3.1. Datahåndteringsplan

Ved oppstart, og før data samles inn, analyseres og lagres, skal det utarbeides en datahåndteringsplan. Prosjektleder skal, eventuelt sammen med prosjektmedarbeider eller student, beskrive hvordan personopplysningene skal behandles i prosjektet. Mal for datahåndteringsplan finnes på Sikts nettsider.

3.2. Melding til Sikt

Sikts digitale meldeskjema på Sikts nettsider skal fylles ut når personopplysninger skal behandles i et forskningsprosjekt. Skjemaet skal sendes inn senest 30 dager før datainnsamlingen starter. Behandling av anonyme data skal ikke meldes.

Meldeskjema kan fylles ut av den som gjennomfører prosjektet. Studenter skal sende en delingslenke til veileder ved innmelding. Sikt vurderer om den planlagte behandlingen fyller krav til personvern. Datainnsamling kan starte når vurdering fra Sikt er mottatt.

Vesentlige endringer i prosjektet skal meldes i meldeskjema. Se informasjon på Sikts nettsider. Endringen kan ikke iverksettes før vurdering fra Sikt er mottatt.

Dersom prosjektet antas å ville innebære høy risiko for deltakernes personvern, skal Sikt i samarbeid med den enkelte forsker eller student gjøre en DPIA. En sjekkliste for når DPIA skal gjøres finnes i rammeverk for behandling av personopplysninger ved VID. DPIA skal godkjennes av prorektor for forskning og personvernombudet ved VID før datainnsamling kan starte.

Sikts Personvernhåndbok for forskning gir nærmere informasjon om krav til personvern i forskning.

3.3. Søknad til REK

Helseforskning skal være forhåndsgodkjent av REK før prosjektet kan starte. Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. For informasjon om grensene mellom helseforskning og annen forskning som behandler personopplysninger se REKs nettsider.

Etisk forhåndsgodkjenning fra REK skal legges ved eller ettersendes meldeskjema til Sikt.

Vesentlige endringer i prosjektet skal forelegges REK. Endringene kan ikke iverksettes før REK har gitt tilbakemelding.

3.4. Lagring

Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Se VIDs lagringsguide.

Kun personer som er medarbeidere i prosjektet skal ha tilgang til personopplysningene. For å begrense tilgang til personopplysninger ytterligere, kan pseudonymisering benyttes. Det vil si at direkte identifiserende opplysninger fjernes, slik at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger. Vurder også om personopplysninger kan slettes i løpet av prosjektperioden.

3.5. Rettigheter

Deltakerne i prosjektet skal ha mulighet til å få oppfylt sine rettigheter på en enkel måte. Deltakerne har rett til informasjon, innsyn, retting, sletting, begrensning, å protestere og dataportabilitet. Alle henvendelser angående rettigheter skal rettes til og besvares av prosjektleder senest innen 30 dager. Innsynsskjema finnes på VIDs nettsider.

3.6. Utlevering av personopplysninger

Personopplysninger skal ikke utleveres til utenforstående. Utlevering kan likevel skje dersom det er innhentet samtykke fra deltakerne eller dispensasjon fra REK, og Sikt har vurdert slik utlevering. Instansen opplysningene skal utleveres til må ha gyldig behandlingsgrunnlag for å motta personopplysningene. All slik utlevering skal godkjennes av VID. Ta kontakt med personvernombud@vid.no for mer informasjon.

4.9.1 Overføring av personopplysninger til tredjeland

Overføring av personopplysninger til tredjeland (utenfor EU/EØS) kan være tillatt etter EUs personvernforordning artikkel 46. Overføringen må beskrives i meldeskjema til Sikt og eventuelt i søknad til REK før den eventuelt kan finne sted. Ta kontakt med personvernombud@vid.no, dersom prosjektet innebære dataoverføring til land utenfor EU/EØS området.

1. Innledning

2. Roller og ansvar

3. Krav til behandling av personopplysninger i prosjekter

4. Avslutning av prosjekt

5. Arkivering

6. Avvik

7. Relevante ressurser