Denne siden er for ansatte og studenter ved Institutt for samfunnsmedisin og sykepleie (ISM). Den gir en hjelp i prosessen med å vurdere spørsmål om personvern, DPIA, DMP, datadeling og datalagring i forskningsprosjekter ved instituttet.

Datahåndtering og Personvern

Har du spørsmål om datahåndtering og personvern? Ta kontakt med May Karin Dyrendahl og Maiken Elvestad Gabrielsen på epostadressen personvern@ism.ntnu.no

• Personvernombud (PVO) ved NTNU: Alle organisasjoner er lovpålagt å ha et personvernombud. PVO har en rådgivende rolle.
• Sikt: Skal kontaktes for å vurdere personvern i prosjekter som faller utenfor helseforskningsloven og REKs mandat.

Sentrale informasjonssider:

• Personvern ved NTNU
• Personvern og GDPR ved NTNU

Om forskningsansvarlig

Den forskningsansvarlige er en (fortrinnsvis) juridisk eller (unntaksvis) fysisk person med et overordnet ansvar for å tilrettelegge for at forskningen skjer på en forsvarlig måte. Ved NTNU er dette ansvaret delegert ned til instituttleder. Instituttleder er forskningsansvarlig og kan ikke delegere dette ansvaret videre. Instituttleder skal derfor godkjenne alle prosjekter og avtaler.

Hva er personopplysninger?

Personopplysninger er definert i Personvernforordningen artikkel 4: Personopplysninger er "enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet".

Hva er sensitive personopplysninger?

Disse kalles "Særlige kategorier" i loven (artikkel 9 og 10 forordningen) og omfatter:

• opplysninger om etnisk opprinnelse
• opplysninger om politisk oppfatning
• opplysninger om religion
• opplysninger om filosofisk overbevisning
• opplysninger om fagforeningsmedlemskap
• genetiske opplysninger
• biometriske opplysninger med det formål å entydig identifisere noen
• helseopplysninger
• opplysninger om seksuelle forhold
• opplysninger om seksuell legning

Nyttige hjelpemidler

• Datatilsynets side om «Hva er en personopplysning?»
• Sikt har laget et Oppslagsverk for personvern i forskning. Her finner du linker til mange nyttige tema.
• Normen - Personvern og informasjonssikkerhet i forsknings- og kvalitetsprosjekter

Helseforskning

Forskning som faller inn under Helseforskningsloven skal søkes til REK (Regional etisk komite): Rekportalen

Skal innsamling av anonyme data fremlegges REK?

Det finnes ikke et enkelt enten-eller-svar på fremleggelsesplikt når det gjelder studier som innebærer innsamling av anonyme data. Forskeren må selv gjøre en konkret vurdering i hvert enkelt tilfelle. Konteksten er avgjørende - les mer om problemstillingen i Tidsskrift for den norske legeforening: "Anonyme data og forskningsetikk", av Jacob C. Hølen.

NTNU har gode veiledninger for Helseforskning

• Helseforskning - veiledning
• Roller og ansvar i helseforskningsprosjekt - helseforskning

For supplerende info, se avsnitt om "Helseforskning" på siden "Prosjektprosessen ved ISM"

Nyttige NTNU-ressurser for forskningsdata

• Informasjonssikkerhet for ansatte
• Personvern og GDPR
• Research Data @NTNU
• Behandle personopplysninger i student- og forskningsprosjekt
• Forskningsprosess på 1-2-3 – prosesshjelp og etikk
• Forskningsprosjekt - støtte for ledere av forskningsprosjekt

Data Protection Impact Assessment (DPIA)

Prosjekter som involverer bruk av persondata, må gjøre en vurdering av konsekvenser for personvernet ved behandling av personopplysninger og i det vurdere om de trenger en DPIA. På ISM er det May Karin Dyrendahl og Maiken Elvestad Gabrielsen som håndterer DPIA. De kan kontaktes på personvern@ism.ntnu.no

Rutiner ved ISM

1. Gjør MH sin test for å vurdere om du trenger DPIA eller ikke
   
   1. Hvis JA: MH har egen mail for DPIA for helseforskningsprosjekter. Vi på ISM benytter denne malen.
2. Last ned MH sin nyeste DPIA-mal (NO/ENG). NB: MH har egen mal.
3. Fyll ut DPIA-malen. Ta Kontakt med personvern@ism.ntnu.no dersom du trenger hjelp til
   • Behandlingsgrunnlag
   • Databehandler
   • Overføring til utland
4. Ferdig utfylt DPIA, som word dokument, sendes til: personvern@ism.ntnu.no
5. Ved endringer i prosjektet: oppdater DPIA (marker/synliggjør endringer) og send til personvern@ism.ntnu.no

DPIA vil gjennomgås av May Karin Dyrendahl og Maiken E. Gabrielsen. De går gjennom DPIA og sender den til signering hos instituttleder. Forskningsstøtte ved ISM returnerer signert DPIA til forsker og lagrer i NTNUs arkiv.

Bruker du HUNT-data?

Vær klar over at samtykket fra HUNT 2 ikke dekker kobling til elektronisk pasientjournal. Du må her ha dispensasjon fra REK i henhold til Helseregisterloven §19 og Helsepersonelloven § 29 (for prosjekt godkjent av REK før 1. juni 2021, Helseforskningsloven §35). Dette kan krysses av for dette under artikkel 9, Annet. Lov- eller forskriftshjemmel.

For HUNT 1 foreligger det ikke et eget signert samtykke. REK vurderer det dit hen at oppmøte er tilsvarende samtykke for deltakelse.

Nyttige NTNU-ressurser

• NTNUs DPIA-veiledning
• Datatilsynets DPIA-veiledning
• Behandle personopplysninger i student- og forskningsprosjekt
• Personvern og GDPR
• Lov om behandling av personopplysninger (Personopplysningsloven)
• Lov om medisinsk helsefaglig forskning (Helseforskningsloven)
• Lov om helseregistre og behandling av helseopplysninger (Helseregisterloven)
• Lov om helsepersonell m.v. (Helsepersonelloven)

Data Management Plan (DMP)

Alle prosjekt skal ha en Data Management Plan (DMP). Dette skal være et levende dokument gjennom prosjektets levetid og si noe om hvordan data behandles, lagres og publiseres gjennom prosjektets levetid. I tillegg til plan for data etter prosjektslutt. Dette henger derfor sammen med info i avsnitt om Open Data.

NTNU har gode infosider og kurs om temaet: Datahåndteringsplan

DMP-en beholder du som forsker gjennom prosjektet. Det er ikke behov for å sende denne til signering hos forskningsansvarlig. Trenger du hjelp med DMP så ta kontakt med personvern@ism.ntnu.no

Plan for lagring av data ved prosjektslutt

For helseforskningsprosjekter godkjent av REK skal alle data i prosjektet oppbevares i 5 år etter prosjektslutt for kontrollhensyn.

ISM jobber med å utarbeide rutiner for lagring av data ved prosjektslutt. Har du et prosjekt som avsluttes, ta kontakt med personvern@ism.ntnu.no

Se også mer info under avsnittet om Datalagring

Deling av data

Har du er forskningsprosjekt der det er samarbeid med noen på an annen institusjon hvor dere dele data eller skal benytte en leverandør av en tjeneste som involverer persondata? Da er det behov for å regulere dette gjennom en avtale. Hvilken avtale du trenger er avhengig av forholdet dere imellom. Avtalemaler for overføring av personopplysninger (databehandleravtale, dataoverføringsavtale og avtale om feles behandlingsansvar)

Du kan lese mer om forholdet mellom parter under Multisenterstudier på siden Roller og ansvar i helseforskningsprosjekt - helseforskning

Dataoverføring – overføringsgrunnlag – må også fremgå i din DPIA.

Ta kontakt med personvern@ism.ntnu.no hvis du trenger veiledning. Vi kan hjelpe deg med avtalen og vurdere behovet for å sende avtalen via juristene på NTNU.

Ferdig avtale sendes til personvern@ism.ntnu.no og avtalene signeres av Instituttleder.

For deling av data med land utenfor EU/EØS gjelder egne regler. Vi ber deg da ta kontakt med personvern@ism.ntnu.no dersom du skal dele data med tredjeland.

Open Data

NTNU har en politikk for åpne forskningsdata som vi er forpliktet til å følge. Dette innebærer at forskningsdata skal være FAIR – Findable, Accessible, Iteroperable og Reusable. Her kan du lære med om FAIR prinsippene. FAIR-prinsippene og NTNU sin politikk har innvirkning på hvor du publiserer og hva du gjør med dine data etter publisering.NTNU har et arkiv for arkivering av åpne data: NTNU Open Research Data.

Det skal fremgå av din Data Management Plan (DMP) hvorvidt det er planlagt å offentliggjøre forskningsdata. For helse- og persondata vil det naturligvis være restriksjoner for hva som kan gjøres offentlig tilgjengelig. Grunnprinsippet er at data skal være «så åpne som mulig, så lukkede som nødvendig.»

Trenger du hjelp ta kontakt med personvern@ism.ntnu.no eller Research Data @NTNU (via NTNU Hjelp) eller på epost: research-data@ntnu.no

Nyttige ressurser:

• NTNU Open Data
• Arkivere forskningsdata
• Åpen kildekode
• Publisere med åpen tilgang - Open Access

Kategorier av data og datalagring

Forskningen som gjøres ved ISM har en høy grad av persondata knytte til seg. Det er viktig å ha kunnskap og forståelse for hvor du kan lagre og analysere forskjellige typer data. NTNU har en Lagringsguide der du kan få oversikt over hvor forskjellige typer data lagers.

Hvor data lagres skal også være beskrevet i din Data management plan (DMP)

Klassifisering av data har betydning for hvor og hvordan data lagres og behandles. Som regel klassifiseres forskningsdata som interne (gule) eller fortrolige (røde), og dette gjelder også for forskningsdata som inneholder personopplysninger. Les mer om klassifisering av data på NTNU sin side Informasjonsklassifisering - informasjonssikkerhet.

Anonymisering vs pseudonymisering/avidentifisering

data i helseforskningsprosjekter er ofte pseudonymisert. Dette betyr at personidentifiserbar ID (fødselsnummer, navn) er byttet ut med en prosjektspesifikk ID. En kobling eller bro tilbake til personidentifiserbar ID oppbevares av en dataeier, annen part, og adskilt fra data i prosjektet

Anonyme data, er data som ikke på noen måte, direkte eller indirekte, via IP-adresse eller koblingsnøkkel kan knyttes til en person. Se NSD sin guide for hvordan data kan være anonyme.

Noen data vil aldri kunne gjøres anonyme, dette gjelder særlig genetiske data og intervju med lyd og bilde. Disse vil alltid være indirekte identifiserbar.

NSD har laget en PERSONVERNORDBOK hvor du kan lese mer om hva de forskjellige begrepene betyr

Se Informasjonssikkerhet - For ansatte og studenter for overordnet informasjon om temaet ved NTNU.

Kryptering: AIP i Office 365

Forskningsdata med særlige personopplysninger (helsedata) klassifiseres normalt som “Fortrolig”.

Alle ansatte ved NTNU har automatisk kryperingsprogrammet AIP aktivert, og kan enkelt kryptere filer “fortrolig”. Filer som ikke lar seg kryptere med AIP, kan krypteres med 7-Zip.

Studenters lagring

Studenter har ikke automatisk AIP aktivert. Studenter må laste inn AIP fra programvaresenteret, og passe på at programmet er aktivert når forskningsdata mottas fra veileder. Student kan lagre data på sin NTNU office 365-konto, men aldri på sin egen PC. Se Lagringsguide.

Datalagring etter prosjektslutt og plan for lagring

Se avsnittet om "DMP" (litt lengre opp) for ISMs rutiner for lagring av data ved avslutning av prosjekt.

For helseforskningsprosjekter godkjent av REK skal alle data i prosjektet oppbevares i 5 år etter prosjektslutt for kontrollhensyn. ISM jobber med å utarbeide rutiner for lagring av data ved prosjektslutt. Har du et prosjekt som avsluttes, ta kontakt med personvern@ism.ntnu.no

Sikre lagringsområder

• HUNT Cloud
• NICE-1
• TSD (Tjenester for sensitive data)

Nyttige NTNU-ressurser:

• Lagringsguide
• Informasjonsklassifisering - informasjonssikkerhet
• Informasjonssikkerhet - For ansatte og studenter
• Håndtering av forskningsdata fra helseforskning