Behandle personopplysninger i student- og forskningsprosjekt - Kunnskapsbasen
Behandle personopplysninger i student- og forskningsprosjekt
Denne siden forteller hvordan vi behandler personopplysninger i student- og forskningsprosjekter ved NTNU.
Innholdsfortegnelse [-]
- Hva er personopplysninger?
- Risikovurdering
- Hvilke prosjekt skal meldes inn?
- Medisinsk og helsefaglig forskning
- Innsamling av data i utlandet
- Internettforskning
- Endring av forskningsprosjektet
- Samtykke
- Forskningsdeltakernes rett til innsyn
- Roller og oppgaver
- Lagring av forskningsdata
- Håndtering av avvik (uønskede hendelser)
- Se også
- Kontakt
English version - Collection of personal data for research projects
Temaside om forskningsprosessen | Sider merket med etikk
Skal du behandle opplysninger om personer i ditt forsknings- eller studentprosjekt? Da må du sjekke om du må melde prosjektet til Sikt (tidligere Norsk senter for forskningsdata; NSD). Dette gjelder også studentprosjekter på bachelor- og masternivå.
EUs personvernforordning (General Data Protection Regulation (GDPR) gjelder som lov i Norge fra 20. juli 2018. Dette innebærer noen endringer i reglene for behandling av personopplysninger, men forskningsprosjekter som behandler personopplysninger elektronisk, skal fortsatt meldes til Sikt. Helseforskningsprosjekter skal forhåndsgodkjennes av Regional komite for medisinsk og helsefaglig forskningsetikk (REK).
NTNU har i april 2019 inngått ny avtale med Sikt. Helseforskningsprosjekter der forskningsansvarlig er andre fakultet ved NTNU enn Fakultet for medisin og helsevitenskap (MH), skal også meldes til Sikt. Sikt foretar en vurdering av de personvernmessige sidene av prosjektet.
Ta gjerne en kikk på nettkurset Introduksjon til personopplysninger i forskning som er laget spesielt for NTNU.
Hva er personopplysninger?
Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, tlf.nr., IP-adresse eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.
Risikovurdering
Før behandling av personopplysninger skal du foreta en risikovurdering. Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene. Det skal iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på risikovurderingen. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.
Det er laget en egen wiki med mal for riskovurdering av forskningsprosjekter med personopplysninger ved NTNU.
I forbindelse med helseforskning er følgende beskrevet som eksempler på akseptabelt risikonivå. Dette er aktuelt også i en risikovurdering der sensitive personopplysninger inngår i forskning som ikke er helseforskning.
Hvilke prosjekt skal meldes inn?
•Helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig
•Andre forskningsprosjekter som behandler personopplysninger elektronisk
•Studentprosjekter som behandler personopplysninger elektronisk (gjelder både bachelor- og master)
Det samme gjelder også hvis du skal behandle personopplysninger manuelt og disse skal inngå i et personregister.
Prosjektet skal meldes til Sikt selv om personopplysningene er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med personopplysningene. Bruk av bilde- og lydopptak av personer medfører også behandling av personopplysninger hvis:
- opptaket behandles eller lagres med elektroniske hjelpemidler (på datamaskin som lyd- eller bildefil)
- transkripsjoner inneholder personopplysninger og behandles elektronisk (datamaskin)
- transkripsjoner inneholder sensitive personopplysninger og systematiseres i et manuelt register
Selv om all rapportering fra prosjektet er anonym, skal prosjektet likevel meldes til Sikt dersom det under arbeidet med prosjektet blir behandlet personopplysninger elektronisk.
Prosjektleder eller veileder ved studentprosjekt er ansvarlig for at prosjektet blir meldt til Sikt. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. Sikt tilbyr også arkivering av prosjektdata ved prosjektslutt.
Medisinsk og helsefaglig forskning
Medisinsk og helsefaglig forskning (helseforskning) skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet starter. REK skal foreta en etisk vurdering av prosjektet. NTNU har en egen portal for medisinsk og helsefaglig forskning med forskningsadministrative rutiner og veiledninger som skal sikre at helseforskning gjennomføres forsvarlig og i tråd med lovgivningen. Etter ny avtale med Sikt skal helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig, meldes til Sikt. Dette i tillegg til søknad til REK.
Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling. I portalen om helseforskning finnes mer informasjon om grensedragningen mellom helseforskning og annen forskning som behandler personopplysninger.
Innsamling av data i utlandet
Dersom du er student/forsker ved en institusjon i Norge og skal samle inn personopplysninger i utlandet, skal søknad sendes til REK/ prosjektet meldes til Sikt på lik linje som ved datainnsamling i Norge.
Internettforskning
Skal du forske på informasjon som er gjort tilgjengelig på internett, skal prosjektet meldes dersom du skal behandle personidentifiserende opplysninger ved bruk av datamaskin. Eksempler på slik behandling av personidentifiserende opplysninger kan være lagring av dokumenter fra åpne eller lukkede diskusjonsforum, inneholdende “nicknames” på diskusjonsdeltakerne. Videre kan direkte sitater være søkbare, og slik vise tilbake til enkeltpersoner.
Som hovedregel skal man gi informasjon til deltakerne og innhente samtykke til behandling av personopplysninger i forbindelse med forskningsprosjekter, men det kan i visse tilfeller unntas fra informasjonsplikten. Mer om internettforskning på Sikt sine nettsider.
Endring av forskningsprosjektet
Hvis det skal gjøres vesentlige endringer i prosjektet, skal det sendes søknad til REK / melding til Sikt. Endringene kan ikke settes i verk før REK eller Sikt har gitt tilbakemelding.
Samtykke
Deltakelse i forskningsprosjekter hvor personopplysninger ikke behandles anonymt, skal som hovedregel være basert på et dokumentert samtykke fra deltakerne. Se Sikt sine nettsider om samtykke og andre behandlingsgrunnlag for å finne mal for informasjonsskriv og samtykkeskjema.
- Forskningsdeltakere kan ikke inkluderes i et forskningsprosjekt før samtykkeerklæring er signert.
- Dersom behandling av personopplysninger skal skje basert på annen lovhjemmel enn samtykke, må grunnlaget for dette dokumenteres før behandlingen påbegynnes.
- Samtykke skal være frivillig, spesifikt, informert og gitt som et aktivt samtykke.
- Samtykke skal bygge på spesifikk informasjon om et konkret forskningsprosjekt. Forskningsdeltakere kan gi samtykke til visse områder når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det.
- Forskningsdeltakere kan gi samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det.
- Bredt samtykke kan gis i helseforskning dersom kravene etter helseforskningsloven er oppfylt.
- Forskningsdeltakere skal kunne trekke samtykket tilbake. Dette skal opplyses i samtykkeskjemaet.
- Informasjonsskrivet skal inneholde informasjon om at forskerne er underlagt taushetsplikt og at data behandles konfidensielt. Prosjektleder må vurdere om det i informasjonsskrivet bør opplyses om at taushetsplikten ikke er absolutt. Dette kan være aktuelt i prosjekter hvor forskningsdeltakerne kan tenkes å gi informasjon om at det kan bli begått en alvorlig straffbar handling. Prosjektleder vil da ha plikt etter straffelovens § 196 til å søke å avverge slik handling.
- Opplysninger om den som ikke ønsker å delta i prosjektet, kan ikke benyttes i forskningen. Dette gjelder også for frafallsanalyser.
- Forskningsdeltakeren kan trekke tilbake sitt samtykke til å delta i forskningen.
Samtykkekompetanse
- Samtykkekompetanse hos myndige personer kan falle bort på grunn av fysiske eller psykiske forstyrrelser som åpenbart gjør at de ikke er i stand til å forstå hva samtykket omfatter.
- Umyndiggjorte skal i så stor utstrekning som mulig selv samtykke. Dersom dette ikke er mulig, skal vergen samtykke.
- Helseforskning: Mindreårige mellom 16 og 18 år kan samtykke med mindre annet følger av særlige lovbestemmelser eller tiltakets art. Samtykke fra foreldre/foresatte kreves hvis forskningen innebærer legemsinngrep eller legemiddelutprøving. Helseforskningsloven § 17 har nærmere bestemmelser om samtykkekompetanse.
- Annen forskning: Avhengig av prosjektets art og omfang, er vanlig praksis 15 års aldersgrense for når barn kan samtykke selv til deltakelse i forskning. Gjelder det sensitive personopplysninger er aldersgrensen 16 -18 år. Skal mindreårige (under 18 år) kunne gi et gyldig samtykke til behandling av personopplysninger forutsetter dette at de forstår konsekvensene. Muligheten til forståelse beror på faktorer som alder, art og omfang av personopplysninger, samt formålet med innhentingen. Det skal alltid informeres om hvilken aldersgrense som gjelder når man legger opp til at mindreårige skal oppgi personopplysninger.
- Ved inklusjon av mindreårige, må det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreåriges modenhet og erfaringsbakgrunn.
- Hvis forskningen skjer uten samtykke, har prosjektleder plikt til å informere deltakerne med mindre det finnes unntak fra informasjonsplikten.
Forskningsdeltakernes rett til innsyn
Forskningsdeltakerne har rett til innsyn i egne personopplysninger.
- Forskningsdeltaker som ønsker innsyn, skal be om dette i samsvar med NTNUs rutine: Innsyn i egne personopplysninger.
- Prosjektleder / studentens veileder skal sørge for at forskningsdeltakeren får innsyn.
Roller og oppgaver
Hvis du er prosjektleder for forskningsprosjekt
- Prosjektleder skal sende søknad til Regional komite for medisinsk og helsefaglig forskningsetikk (REK) og/eller melding til Norsk senter for forskningsdata (Sikt) samt sørge for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerhet og personvern, blir inngått av den som har myndighet til å inngå slike avtaler.
- Prosjektleder skal involvere forskningsansvarlig i forkant av søknad til REK eller melding til Sikt og legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det.
- Prosjektleder skal foreta en risikovurdering og rådføre seg med NTNUs personvernombud hvis det skal foretas en vurdering av personvernkonsekvenser (DPIA) etter EUs personvernforordning artikkel 35. Sikt vil utføre personvernkonsekvensvurdering for prosjekter som går inn under meldeplikten til Sikt.
- Prosjektleder utarbeider samtykkeskjema og tilhørende informasjonsskriv.
- Prosjektleder skal utarbeide en datahåndteringsplan.
- Prosjektleder skal sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet.
- Prosjektleder skal sørge for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet.
Hvis du er student eller veileder for student i studentprosjekt
- Veileder fungerer som prosjektleder i studentprosjekter. Studentoppgaver defineres som oppgaver som utføres i forbindelse med bachelor/master/hovedoppgave ved NTNU. Doktorgradstudier defineres som ordinære forskningsprosjekt.
- Veileder skal vurdere om studentprosjektet omfattes av helseforskningsloven eller om det gjelder annen forskning som behandler personopplysninger.
- Veileder skal vurdere om den planlagte behandlingen vil være i samsvar med de grunnleggende personvernprinsippene etter EUs personvernforordning, herunder at det foreligger rettslig grunnlag (lovbestemmelse) for behandlingen eller skal innhentes samtykke fra deltakerne i prosjektet.
- Veileder skal vurdere om studentprosjektet kan gjennomføres uten at det må meldes, dvs. at det ikke behandles personopplysninger elektronisk i studentprosjektet. Dette er mulig hvis alt gjennom hele prosessen er anonymt. Nettbaserte skjema må da være fullstendig anonyme, dvs. slik at respondentens e-post / IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet. Ved intervju og observasjon må data registreres kun i form av notater for hånd. Det kan ikke gjøres opptak av samtaler eller filming av personer.
- Veileder, sammen med studenten, skal foreta en risikovurdering som skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. Risikovurderingen skal dokumenteres.
- Veileder skal rådføre seg med personvernombudet hvis det er krav om en vurdering av personvernkonsekvenser etter EUs personvernforordning artikkel 35.
- Studenten skal i samråd med veileder utarbeide en datahåndteringsplan.
- Veileder, eller student dersom veileder har godkjent dette, skal sende melding til Norsk senter for forskningsdata (Sikt) senest 30 dager før behandlingen skal starte. Veileder eller student fyller ut meldeskjema til Sikt, samt utarbeider tilhørende vedlegg. Hvis prosjektet er helseforskning, skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). I tillegg skal helseforskningsprosjektet meldes til Sikt hvis ikke MH er forskningsansvarlig.
- Veileder skal sørge for at det blir inngått avtale med studenter som ikke har et tilsettingsforhold ved NTNU dersom de skal ha tilgang til NTNUs systemer.
- Studenten skal signere taushetserklæring.
- Studenten skal ha gjennomført nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger i studentprosjekt.
Lagring av forskningsdata
Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker, og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting/lagring av data på en betryggende måte ved prosjektets avslutning. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning.
Avtale om lagring av sensitive personopplysninger
NTNU IT har på vegne av NTNU inngått en avtale med Universitetet i Oslo (UiO) om bruk av tjenesten TSD 2.0 som er sikker lagring av sensitive personopplysninger, inkludert helseopplysninger. NTNU har inntil videre kjøpt plass til 60 prosjekter. Det som inngår i løsningen, er 1 TB lagring, samt tilgang til maskinkraft og verktøy i henhold til beskrivelse. Hvis man trenger mer lagring eller annen kapasitet enn det som ligger i grunnpakken, må prosjektene kjøpe dette fra UiO.
- Se informasjonsside om TSD for flere detaljer om verktøyet, inkludert steg-for-steg-prosedyre for bestilling.
- Trenger du hjelp til å vurdere om du har behov for TSD, kan du ta kontakt med Forskningsdatahjelpen/Research Data @NTNU
Lagring av aktive forskningsdata
- Lagring og behandling av personidentifiserbare eller pseudonyme data skal foregå i NTNUs systemer eller i systemer der det foreligger en databehandleravtale med NTNU. Se lagringsguiden for en oversikt over tilgjengelige løsninger ved NTNU. På siden Databehandleravtale finner du bl.a. NTNUs mal for databehandleravtale.
- Privat utstyr (hjemme-PC) skal ikke brukes. Dersom det unntaksvis er nødvendig å benytte privat IKT-utstyr for behandling av personopplysninger, se Behandling av informasjon med privat IKT-utstyr.
- Hvis e-post skal benyttes til overføring av dataene, skal innholdet være kryptert.
- Data skal ikke lagres på bærbare medier som minnepinne, laptop eller lignende, uten at opplysningene er kryptert. Merk at kryptering ikke er det samme som pseudonymisering. Kryptering bør minst være på nivå med 256 bits AES eller tilsvarende.
- Helseopplysninger eller andre sensitive personopplysninger som er direkte identifiserbare, kan bare lagres i kryptert form eller på områder med høy grad av sikkerhet, f.eks. TSD ved UiO, HUNT datasenter eller i annen infrastruktur som er godkjent for lagring av sensitive personopplysninger.
- Hovedregelen er at helseopplysninger e.l. skal oppbevares pseudonymisert, dvs. at forskningsdata og identifiserende elementer (koblingsnøkkel) skal lagres hver for seg, og da slik at forskerne kun har adgang til forskningsdata.
- Papirbaserte forskningsdata som ikke er anonymiserte, skal lagres i låste skap eller arkiv hvor kun personell underlagt organisasjonens instruksjons¬myndighet har tilgang. Dersom papirbaserte forskningsdata oppbevares på kontor, må kontoret låses når man forlater det.
- Koblingsnøkkel skal oppbevares av en betrodd tredjeperson, for eksempel registreringsansvarlig. Lagres både data og koblingsnøkkel elektronisk, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret.
- Hvordan oppbevaring av aktive data skal skje, må være avklart før datainnsamlingen settes i gang.
- Aktive forskningsdata kan oppbevares i prosjektperioden. Melding til Sikt eller søknad til REK skal inneholde opplysninger om hvordan personopplysninger planlegges samlet inn, bearbeidet og lagret – med en vurdering av opplysningenes beskyttelsesbehov sett i forhold til det lagringsmedium som planlegges benyttet og de sikringstiltak som iverksettes for å hindre uautorisert tilgang til opplysningene.
Ved avslutning av prosjektet
- Prosjektleder skal ved prosjektslutt sørge for at personopplysningene anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden, f.eks. ved forhåndsgodkjenning fra REK, etter lov eller fra eksterne som har finansiert forskningen.
- Prosjektleder skal sende sluttmelding til Sikt/REK når prosjektet er avsluttet og eventuelt bekrefte at personopplysningene er anonymisert eller slettet. Ved avslutning av et studentprosjekt skal dette gjøres umiddelbart etter sensur.
- Hvis behandlingen ikke har vært utført avidentifisert, må alle direkte og indirekte personidentifiserbare opplysninger fjernes fra forskningsdataene for at de skal blir anonyme.
- Prosjektleder skal sørge for at kopier av ¬dataene blir håndtert på samme måte.
- En kopi av fullstendig anonymiserte data kan beholdes. Hvis dataene er avidentifisert, foregår anonymisering vanligvis ved å slette koblingsnøkkelen.
- Når studenter eller prosjektmedarbeidere slutter, skal prosjektleder forsikre seg om at forskningsmateriale disse har innhentet eller har hatt tilgang til, er sikkert lagret eller slettet dersom det ikke lenger er behov for oppbevaring.
- Dersom dataene skal lagres utover prosjektslutt, må prosjektleder i samarbeid med forskningsansvarlig (normalt instituttet) ta stilling til hvordan denne lagringen skal gjennomføres. Sikt tilbyr lagring av forskningsdata etter at prosjektet er avsluttet.
- Kildedata eller andre forskningsdata og dokumenter skal ikke slettes dersom tilsyns-myndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Granskningsutvalget om uredelighet i forskning.
Håndtering av avvik (uønskede hendelser)
Studenter og forskere skal melde avvik ved brudd på personvern i NTNUs avvikssystem. Formålet er å gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt lettere unngå fremtidige sikkerhetsbrudd og brudd på personvernet.
Avvik kan f.eks. være
- e-post med sensitive personopplysninger som er sendt til feil person
- fødselsnummer som er sendt ukryptert pr. e-post eller gjort tilgjengelig åpent på nett
- utstyr som er mistet (mobil, laptop, nettbrett, notater og lignende)
- feilutlevering eller feilpublisering
- feil i tilganger, utstyr eller programvare som kan svekke sikkerheten
- rutiner som mangler, ikke fungerer, eller som ikke følges
- data som er åpent/mangler tilgangsstyring og hvor det er krav til opplysningens konfidensialitet og/eller integritet
Se også
- Sikt (tidligere NSD) Veileder forskere og studenter i forhold til datainnsamling, dataanalyse, metode, personvern og forskningsetikk. Her finner du også Meld prosjekt som skal behandle personopplysninger.
- NTNUs helseforskningsportal. Hvordan planlegge, gjennomføre og avslutte forskningsprosjekt.
- Søk i prosjekter hos Sikt
- Søk i prosjekter hos REK
- Oversikt over prosjekter som er meldt inn til Sikt. (krever innlogging)
- Retningslinje for behandling av personopplysninger ved NTNU
- Generelt om personvern og GDPR ved NTNU (EUs personvernforordning)
- NTNUs retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern (vil komme)
- Verktøy for spørreundersøkelser på Innsida
- Datatilsynets veileder og sjekkliste for vurdering av personvernkonsekvenser (DPIA)
Kontakt
Har du spørsmål om melding til Sikt eller forhåndsgodkjenning av helseforskningsprosjekter, kan du kontakte:
NTNU:
- Anne Marie Snekvik
- Gjøvik: Stein Runar Olsen
- AD-fakultetet: Sunita Prugsamatz Ofstad
- HF-fakultetet: Chamila Thushari Attanapola og Marte Lintoft
- IE-fakultetet: Harald Lenschow
- IV-fakultetet: Astrid Vigtil
- MH-fakultetet: Bente Jacobsen
- NV-fakultetet: Marianne Bjordal Havnes
- SU-fakultetet: Rune Dahl
- ØK-fakultetet: Gunnar Bendheim
REK: Tlf. 73 59 75 06 eller epost: rek-4@medisin.ntnu.no
Forskningsdatahjelpen/Research Data @NTNU tilbyr råd, støtte og veiledning knyttet til håndtering av forskningsdata.