Retningslinjer for behandling av personopplysninger i forskning og studentoppgaver ved VID vitenskapelige høgskole

Retningslinjene gjelder for forskere, veiledere og studenter som skal behandle personopplysninger i forskningsprosjekter og studentoppgaver ved VID. Retningslinjene skal sikre at personvernet til forskningsdeltakerne (deltakerne) ivaretas. Retningslinjene erstatter også tidligere rutine for behandling av personopplysninger i helseforskning.

Retningslinjene skal sees i sammenheng med Rammeverk for behandling av personopplysninger i VID.

2.1. Prosjektleder

Prosjektleder er ansvarlig for at personvernet ivaretas i hvert enkelt prosjekt. Doktorgradsstudenter er prosjektleder for eget prosjekt. I studentoppgaver er den oppnevnte veileder prosjektleder.

Prosjektleders ansvar er blant annet:

• Bestemme formålet med prosjektet og vurdere om det er nødvendig å behandle personopplysninger for å oppnå formålet.

Dersom det er nødvendig å behandle personopplysninger:

• Sørge for at prosjektet meldes til Sikts personverntjenester for forskning (tidligere NSD)
• Sørge for at helseforskning godkjennes av REK (de regionale etiske komiteer)
• Sørge for at det utarbeides informasjonsskriv til deltakerne (bruk Sikts mal)
• Sørge for at det utarbeides samtykkeerklæring til deltakerne (bruk Sikts mal)
• Sørge for at det utarbeides en databehandlingsplan.
• Rådføre seg med personvernombudet hvis det er krav om en vurdering av personvernkonsekvenser (DPIA) etter EUs personvernforordning artikkel 35.
• Sikre personopplysninger. Gi tilgang til og holde oversikt over hvem som har tilgang til data.
• Håndtere henvendelser fra deltakerne om rettigheter
• Følge opp at personopplysninger blir slettet, anonymisert eller arkivert ved prosjektslutt og at sluttmelding blir sendt til Sikt og eventuelt REK.

2.2. Prosjektmedarbeidere og studenter

Prosjektmedarbeidere og studenter har taushetsplikt, skal ivareta deltakernes personvern og gjennomføre prosjektet i henhold til vurdering fra Sikt, eventuelt godkjenning fra REK.

Prosjektmedarbeidere og studenter skal ha gjennomført nødvendig opplæring i personvern og informasjonssikkerhet før behandling av personopplysninger i prosjektet.

3.1. Datahåndteringsplan

Ved oppstart, og før data samles inn, analyseres og lagres, skal det utarbeides en datahåndteringsplan. Prosjektleder skal, eventuelt sammen med prosjektmedarbeider eller student, beskrive hvordan personopplysningene skal behandles i prosjektet. Mal for datahåndteringsplan finnes på Sikts nettsider.

3.2. Melding til Sikt

Sikts digitale meldeskjema på Sikts nettsider skal fylles ut når personopplysninger skal behandles i et forskningsprosjekt. Skjemaet skal sendes inn senest 30 dager før datainnsamlingen starter. Behandling av anonyme data skal ikke meldes.

Meldeskjema kan fylles ut av den som gjennomfører prosjektet. Studenter skal sende en delingslenke til veileder ved innmelding. Sikt vurderer om den planlagte behandlingen fyller krav til personvern. Datainnsamling kan starte når vurdering fra Sikt er mottatt.

Vesentlige endringer i prosjektet skal meldes i meldeskjema. Se informasjon på Sikts nettsider. Endringen kan ikke iverksettes før vurdering fra Sikt er mottatt.

Dersom prosjektet antas å ville innebære høy risiko for deltakernes personvern, skal Sikt i samarbeid med den enkelte forsker eller student gjøre en DPIA. En sjekkliste for når DPIA skal gjøres finnes i rammeverk for behandling av personopplysninger ved VID. DPIA skal godkjennes av prorektor for forskning og personvernombudet ved VID før datainnsamling kan starte.

Sikts Personvernhåndbok for forskning gir nærmere informasjon om krav til personvern i forskning.

3.3. Søknad til REK

Helseforskning skal være forhåndsgodkjent av REK før prosjektet kan starte. Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. For informasjon om grensene mellom helseforskning og annen forskning som behandler personopplysninger se REKs nettsider.

Etisk forhåndsgodkjenning fra REK skal legges ved eller ettersendes meldeskjema til Sikt.

Vesentlige endringer i prosjektet skal forelegges REK. Endringene kan ikke iverksettes før REK har gitt tilbakemelding.

3.4. Lagring

Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Se VIDs lagringsguide.

Kun personer som er medarbeidere i prosjektet skal ha tilgang til personopplysningene. For å begrense tilgang til personopplysninger ytterligere, kan pseudonymisering benyttes. Det vil si at direkte identifiserende opplysninger fjernes, slik at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger. Vurder også om personopplysninger kan slettes i løpet av prosjektperioden.

3.5. Rettigheter

Deltakerne i prosjektet skal ha mulighet til å få oppfylt sine rettigheter på en enkel måte. Deltakerne har rett til informasjon, innsyn, retting, sletting, begrensning, å protestere og dataportabilitet. Alle henvendelser angående rettigheter skal rettes til og besvares av prosjektleder senest innen 30 dager. Innsynsskjema finnes på VIDs nettsider.

3.6. Utlevering av personopplysninger

Personopplysninger skal ikke utleveres til utenforstående. Utlevering kan likevel skje dersom det er innhentet samtykke fra deltakerne eller dispensasjon fra REK, og Sikt har vurdert slik utlevering. Instansen opplysningene skal utleveres til må ha gyldig behandlingsgrunnlag for å motta personopplysningene. All slik utlevering skal godkjennes av VID. Ta kontakt med personvernombud@vid.no for mer informasjon.

4.9.1 Overføring av personopplysninger til tredjeland

Overføring av personopplysninger til tredjeland (utenfor EU/EØS) kan være tillatt etter EUs personvernforordning artikkel 46. Overføringen må beskrives i meldeskjema til Sikt og eventuelt i søknad til REK før den eventuelt kan finne sted. Ta kontakt med personvernombud@vid.no, dersom prosjektet innebære dataoverføring til land utenfor EU/EØS området.

Personopplysninger skal ikke lagres lenger enn nødvendig for å oppnå formålet med prosjektet. Prosjektleder skal ved prosjektslutt sørge for at:

• Personopplysningene anonymiseres eller slettes, med mindre det er krav om oppbevaring utover prosjektperioden (se punkt 6 om arkivering).
• Hvis data er avidentifisert, foregår anonymisering vanligvis ved å slette koblingsnøkkelen.
• Sluttmelding til Sikt, eventuelt REK, bekrefter at personopplysningene er slettet eller anonymisert.
• Kopier av dataene blir håndtert på samme måte.
• En kopi av fullstendig anonymiserte data kan beholdes.
• Når studenter eller prosjektmedarbeidere slutter, forsikre seg om at forskningsmateriale disse har innhentet eller har hatt tilgang til, er sikkert lagret eller slettet.
• Kildedata eller andre forskningsdata og dokumenter ikke slettes dersom tilsynsmyndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Granskingsutvalget om uredelighet i forskning.

Dersom personopplysninger skal lagres etter prosjektslutt, skal det gis informasjon til deltakerne, i meldeskjema til Sikt og eventuelt i søknad til REK. Prosjektleder skal redegjøre for formålet med videre lagring, hvilke samfunnsinteresser som kan ivaretas og eventuelle ulemper for deltakerne. Opplysningene skal lagres i samsvar med VID sine retningslinjer.

Vurdering fra Sikt eller REK vil normalt angi hvor lenge opplysningene kan lagres.

• REK kan bestemme at dokumenter som er nødvendig for etterkontroll av prosjektet, skal oppbevares i fem år etter at sluttmelding er sendt (jf. helseforskningsloven § 38).
• Sikt og REK kan vurdere om personopplysninger kan arkiveres for oppfølgingsstudier eller relaterte forskningsspørsmål basert på samme datautvalg og grunnlag.
• Dersom personopplysninger ønskes brukt til andre formål enn forskning, for eksempel undervisning, skal personvernkontakt ved VID eller personvernombudet ved VID kontaktes.
• Dersom behandling av personopplysninger krever samtykke, og data skal oppbevares lengre enn det opprinnelige samtykket gir rett til, skal det
  • Innhentes nytt samtykke fra deltaker eller
  • Søkes om dispensasjon fra taushetsplikt for videre oppbevaring uten samtykke (REK)

Den som oppdager avvik, skal straks varsle til nærmeste leder. Den som oppdager avviket, eller nærmeste leder, rapporterer til prorektor for forskning og personvernombudet. Personvernombudet vurderer om avviket skal meldes til Datatilsynet.

Se håndtering av avvik i rammeverk for behandling av personopplysninger i VID og avviksskjema på VIDs nettsider.

• Rammeverk for behandling av personopplysninger i VID
• Risikovurdering mal for forskning for VID vitenskapelige høgskole
• Avviksskjema for VID vitenskapelige høgskole
• Innsynsskjema for VID vitenskapelige høgskole
• Personvernhåndbok for forskning (Sikt)
• Meldeskjema for personopplysninger i forskning (Sikt)
• Mal for informasjonsskriv (Sikt)
• REK-portalen