Rutine for forskning med personopplysninger

Ansvar

Hvert forskningsprosjekt som behandler personopplysninger skal ha en forsker som er  ansvarlig for at prosjektet oppfyller kravene i personvernregelverket.

Prosjektledere har et selvstendig ansvar for personvernet i forskningsprosjekter Ph.d.-studenter regnes som prosjektledere for sine ph.d.-prosjekter som ikke er medisinsk og helsefaglig forskning. For ph.d-prosjekter innen medisinsk og helsefaglig forskning f?lger ansvaret av Rutine 2 i Kvalitetssystemet for medisinsk og helsefaglig forskning.

Studentveiledere har ansvar for personvernet i studentforskning p? bachelor- og masterniv?. Studenter har likevel ogs? et selvstendig ansvar for at personvernet er ivaretatt.

Se ogs?: Delegering av oppgaver knyttet til forskning med personopplysninger ved Universitetet i Oslo (PDF)

Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@setisk vurdering

Ved planlegging av et forskningsprosjekt som behandler personopplysninger, m? du vurdere om prosjektet er i tr?d med de forskningsetiske retningslinjene. Hvis dette ikke er tilfellet, m? det gj?res justeringer slik at prosjeketet er i tr?d med disse retningslinjene.

Videre m? du i planleggingen av forskningsprosjektet, kartlegge hvilke godkjennelser som er n?dvendige for ditt prosjekt, og vurdere hva som skal v?re prosjektets behandlingsgrunnlag.

Behandling av personopplysninger i student- eller forskningsprosjekter

Sikt leverer personverntjenester for UiO. Student- og forskningsprosjekter som behandler personopplysninger skal meldes til Sikt.

Dette gjelder ogs? prosjekter innenfor medisinsk og helsefaglig forskning fra 01.01.2020. For utfyllende regler om medisinsk og helsefaglig forskning se Kvalitetssystemet for medisinsk og helsefaglig forskning og informasjon om overgangsregler.

Prosjektet skal meldes til Sikt senest 30 dager f?r datainnsamlingen skal starte. 

Hvis det foretas endringer i prosjektopplegget i forhold til de opplysningene som ligger til grunn for Sikts vurderinger, skal det sendes inn en endringsmelding. 

Medisinsk og helsefaglige forskningsprosjekter kan s?ke Sikt parallelt med s?knad om etisk forh?ndsgodkjennelse hos regionale etiske komiteer (REK).

Anonyme opplysninger

Hvis du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke ? melde prosjektet til Sikt. Anonyme opplysninger er informasjon som ikke p? noe vis kan identifisere enkeltpersoner ¨C verken direkte gjennom navn eller f?dselsnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsn?kkel, krypteringsformel og kode.

Hvis du er i tvil om forskningsprosjektet behandler personopplysninger, kan du ta kontakt med Sikt.

Hvordan melde et forskningsprosjekt?

Sikt har utarbeidet et skjema som skal benyttes ved melding av forsknings- og studentprosjekter. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir s? mange detaljer som mulig om ditt prosjekt.

Meldeskjemaet finner du p? Sikts hjemmeside.. Her finner du ogs? nyttig veiledning og svar p? ofte stilte sp?rsm?l. Sikt har ogs? en chat-funksjon du kan bruke hvis du har sp?rsm?l mens du fyller ut skjemaet.

Meldeskjemaet skal fylles ut av den som skal gjennomf?re prosjektet.

I medisinsk og helsefaglige forskningsprosjekter skal prosjektleder, i henhold til rutine 2 "Prosjektlederes ansvar" i Kvalitetssystemet for medisinsk og helsefaglig forskning, fylle ut meldeskjemaet. 

Hva skal legges ved meldeskjemaet?

Kopi av sp?rreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerkl?ring, s?knad/tilr?ding fra Regional komit¨¦ for medisinsk og helsefaglig forskningsetikk (hvis aktuelt), vedtak om dispensasjon fra taushetsplikten, etc. skal legges ved meldeskjemaet. Dersom meldeskjemaet sendes inn f?r andre vedtak foreligger, skal kopi av vedtak ettersendes.

Dersom du velger "lagring p? privat enhet" ved utfylling av Sikts meldeskjema, blir du bedt om ? laste opp retningslinjer for lagring p? privat enhet, eller godkjennelse fra UiO. Retningslinjer for lagring vil du kunne finne i UiOs lagringsguide. Hvor du kan lagre ulike typer data, kommer an p? hvilken type opplysninger du skal forske med. De ulike kategorier av data (gr?nn, gul, r?d, svart) kan du lese om i UiOs dataklassifisering. Kun gr?nne data kan lagres fritt p? privat enhet. Gule data kan lagres p? privat enhet under visse forutsetninger som du kan lese om her. Du er selv ansvarlig for ? f?lge lagringsrutinene.

Saksbehandling

N?r du melder ditt prosjekt til Sikt, vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil Sikt gi deg tilbakemelding p? at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas ? ville inneb?re h?y risiko for de registrertes personvern, vil Sikt foreta en inng?ende personvernkonsekvensvurdering der risikoer og tiltak for ? minske risikoene blir kartlagt. Dette kalles ogs? en DPIA. Sikts endelige vurdering blir s? oversendt til ut?ver av behandleransvaret, som vil vurdere og godkjenne Sikts vurdering overordnet. Deretter sendes UiOs godkjennelse tilbake til Sikt, som s? kontakter deg med resultatet. All kommunikasjon i forbindelse med prosjektet vil foreg? mellom deg og Sikt.

N?r et student- eller forskningsprosjekt godkjennes av Sikt, vil det registreres i Sikts prosjektarkiv. Prosjektarkivet oppdateres fortl?pende, og inneholder all informasjon om ditt prosjekt.

Deling av personopplysninger

Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor UiO, m? du avklare om du har lov til ? dele personopplysningene.

Hvis det er andre som skal behandle personopplysningene p? dine vegne er det n?dvendig med en databehandleravtale. Du kan lese mer om databehandleravtaler her

S?rg for sikker lagring 

Personopplysninger skal behandles p? en m?te som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Ved UiO er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.

Les mer om UiOs lagringsguide for data og informasjon.

Tilgangen til informasjon skal begrenses slik at kun personer som er deltakere i forskningsprosjektet har tilgang til personopplysningene. For ? begrense tilgang til personsensitiv informasjon ytterligere, kan pseudonymisering benyttes. Det vil si at man fjerner direkte identifiserende opplysninger slik at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger.

Arkivering av prosjektdata

Dataene skal ikke lagres lenger enn det som er n?dvendig for ? n? form?lene som personopplysningene behandles for. N?r forskningsprosjektet er avsluttet, skal dataene enten bli slettet eller anonymisert. I noen tilfeller kan dataene v?re arkivverdige og kan da overf?res til et arkiv for videre lagring. Sikt kan gi anbefaling om h?ndtering av data ved prosjektslutt.

Sikt vil ved prosjektavslutning ta kontakt med prosjektleder med tilbud om arkivering av prosjektdata.

Avvik

Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal dette meldes til UiO-CERT. Les mer om avvik og hvordan melde et avvik her.

Forskpro

Forskpro (tidligere Helseforsk) er et system for ? holde oversikt over medisinske og helsefaglige forskningsprosjekter ved UiO. Systemet har som form?l ? bidra til etterlevelse av helseforskningslovens krav om l?pende oversikt og oppf?lging. Alle medisinske og helsefaglige forskningsprosjekter skal registreres i Forskpro. Enkelte institutter ved UiO stiller ogs? krav om at all forskning ved instituttet skal registreres i Forskpro. Dette gjelder uavhengig av om det er medisinsk og helsefaglig forskning. Forh?r deg derfor med din forskningsr?dgiver om hva som er rutinen for ditt institutt.

Overgangsregler for ny rutine for medisinsk og helsefaglig forskning

• P?g?ende medisinske og helsefaglige prosjekter som tidligere har f?tt en vurdering/godkjenning av personvernet, trenger i utgangspunktet ikke ? s?ke Sikt.
• P?g?ende medisinske og helsefaglige prosjekter som f?r prosjektendringer godkjent fra REK etter 01.01.2020, m? i tillegg s?ke Sikt dersom endringene i prosjektet medf?rer endrede konsekvenser for personvernet til forskningsdeltakerne. Dersom du er i tvil om endringene vil f? konsekvenser for personvernet, kan du ta kontakt med behandlingsansvarlig@uio.no.
• Medisinske og helsefaglige forskningsprosjekter som har s?kt REK f?r 20.12.2019 kan fremdeles f? en intern godkjenning av personvernet dersom ut?ver av behandleransvaret f?r beskjed om dette p? behandlingsansvarlig@uio.no.

Sp?rsm?l?

Kontaktopplysninger til Sikt personverntjenester finner du p? deres nettsider. Ved UiO kan sp?rsm?l rettes til behandlingsansvarlig@uio.no.

Ved det Utdanningsvitenskapelige fakultet (UV): Du kan f? juridisk vurdering av personvern ved ordin?re forskningsprosjekter og studentprosjekter.