Roller og krav
Roller
Behandlingsansvarlig er den institusjonen som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen, skal de være felles behandlingsansvarlige og felles behandlingsavtale må inngås.
Prosjektleder er ansvarlig for at personvernet ivaretas i hvert enkelt prosjekt. Doktorgradsstudenter er prosjektleder for eget prosjekt. I studentoppgaver er den oppnevnte veileder prosjektleder. Prosjektleders ansvar er blant annet å bestemme formålet med prosjektet og vurdere om det er nødvendig å behandle personopplysninger for å oppnå formålet.
Prosjektmedarbeidere og studenter har taushetsplikt, skal ivareta deltakernes personvern og gjennomføre prosjektet i henhold til vurdering fra Sikt, eventuelt godkjenning fra REK. Prosjektmedarbeidere og studenter skal ha gjennomført nødvendig opplæring i personvern og informasjonssikkerhet før behandling av personopplysninger i prosjektet.
Godkjenninger, vurderinger og avtaler
Prosjektlederen må fastslå om visse godkjenninger, vurderinger og avtaler behøves før prosjektoppstart:
- Behandling av personopplysninger: Hvis personopplysninger behandles, må prosjektet meldes til Sikt for vurdering. Se på siden om Sikt meldeskjema.
- Helseforskning: Helseforskning skal være forhåndsgodkjent av REK før prosjektet kan starte. Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. For informasjon om grensene mellom helseforskning og annen forskning som behandler personopplysninger se REKs nettsider. Etisk forhåndsgodkjenning fra REK skal legges ved eller ettersendes meldeskjema til Sikt. Les mer om Prosedyrer knyttet til regional forskningsetisk komité (REK).
- Høy risiko: Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal prosjektlederen foreta en vurdering av personvernkonsekvenser (DPIA).
- Databehandleravtale: må inngås dersom deler av behandlingen settes ut til en virksomhet/institusjon utenfor VID.
- Felles behandlingsavtale: må inngås i de tilfeller VID og en ekstern virksomhet/institusjon må anses å ha et felles behandlingsansvar og det skal skje en overføring av personopplysninger mellom virksomhetene/institusjonene.
- Dataoverføringsavtale: må inngås ved overføring av personopplysninger mellom to behandlingsansvarlige i tilknytning til et konkret prosjekt.
- Transkriberingsavtale: kan brukes for forskningsprosjekter der en enkeltperson skal transkribere intervjuer for et forskningsprosjekt. Det skal i tillegg signeres en taushetserklæring. Ved bruk av en virksomhet/institusjon for transkribering, skal det inngås en databehandleravtale.
- Taushetserklæring: må brukes ved bruk av eksterne eller studenter som ikke er ansatt i VID i et forskningsprosjekt.
- Masteroppgaven som del av større forskningsprosjekt: Avtale må inngås for å avklare forventninger rundt students deltakelse i et større prosjekt.
Du finner avtalemaler på siden Personvern i forskning.