Denne siden forteller hvordan vi behandler personopplysninger i student- og forskningsprosjekter ved NTNU.

Skal du behandle opplysninger om personer i ditt forsknings- eller studentprosjekt? NTNU har avtale om personverntjenester med Sikt (tidligere NSD), og alle student- og forskningsprosjekter som behandler personopplysninger, skal derfor meldes dit (skjemaet må være sendt inn minst 30 dager før datainnsamling starter). Unntaket er helseforskningsprosjekter på MH-fakultetet, som skal forhåndsgodkjennes av Regional komite for medisinsk og helsefaglig forskningsetikk (REK). Helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig, skal meldes til Sikt i tillegg til søknad til REK.

English version - Collection of personal data for research projects

Sider merket med personvern

Hva er personopplysninger?

Personopplysninger er opplysninger som kan knyttes til en enkeltperson og gjøre det mulig å identifisere vedkommende. Typiske eksempler på direkte identifiserende personopplysninger er navn, personnummer, e-postadresse, telefonnummer og andre personlige kjennetegn. IP-adresser regnes også som personopplysninger, og det samme gjelder bilder og lydopptak dersom en person kan gjenkjennes. Stemmen er en personopplysning, dermed vil lydopptak regnes som personidentifiserende selv om det ikke nevnes noen navn. Biometriske kjennetegn, det vil si kjennetegn som fingeravtrykk, irismønster og hodeform, regnes også som personopplysninger. Det samme gjelder atferdsmønster; det kan for eksempel være lett å identifisere en enkeltperson ut fra hvor vedkommende har oppholdt seg i løpet av en dag.

Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Når gjelder personvernlovgivningen?

Den norske personvernloven, inkludert EUs personvernforordning (GDPR), gjelder i utgangspunktet for all behandling av personopplysninger som utføres av studenter og ansatte ved NTNU, også når behandlingen skjer utenfor Norges grenser. Den gjelder uavhengig av om opplysningene er direkte eller indirekte identifiserende, og omfatter også avidentifiserte eller pseudonymiserte opplysninger. Anonyme opplysninger, altså informasjon som ikke på noen måte kan knyttes til et enkeltindivid, omfattes ikke av personvernlovgivningen. Den gjelder heller ikke opplysninger om avdøde, men der er det til gjengjeld andre lover som kan begrense behandlingen. Eksempler på disse er helseregisterloven, helseforskingsloven, helsepersonelloven og pasientjournalloven. I tillegg kan opplysninger om avdøde av og til fortelle noe om nålevende slektninger, og vil da omfattes av personvernregelverket. For mer informasjon, se Sikt sine sider om forskning på avdøde.

Særlige kategorier av personopplysninger (sensitive)

Noen typer personopplysninger stiller strengere krav til behandlingsgrunnlag og informasjonssikkerhet enn såkalte alminnelige personopplysninger.

Følgende personopplysninger regnes som særlige kategorier:

• opplysninger om rasemessig eller etnisk opprinnelse
• opplysninger om politisk oppfatning, religion og filosofisk overbevisning
• opplysninger om fagforeningsmedlemskap
• genetiske opplysninger
• biometriske opplysninger med det formål å entydig identifisere noen
• helseopplysninger
• opplysninger om seksuelle forhold
• opplysninger om seksuell legning

I tillegg gjelder tilsvarende krav for personopplysninger om straffedommer og lovovertredelser.

Opplysninger om personer i sårbare situasjoner skal også beskyttes som særlige kategorier. Barn har også et særlig vern som gjør at opplysninger om barn må behandles med særlig omtanke. I noen tilfeller skal det også gjennomføres en personvernkonsekvensvurdering (DPIA) ved behandling av særlige kategorier av personopplysninger eller opplysninger om sårbare grupper.

Klassifisering av personopplysninger

All informasjon skal klassifiseres for å avgjøre hvilket sikkerhetsnivå som kreves under innsamling, lagring og bearbeiding. Ved NTNU brukes det fire konfidensialitetsklasser for forskningsdata og annen informasjon.

• Åpen (grønn) - Informasjonen er tilgjengelig for alle uten pålogging. Forskningsdata med personopplysninger havner sjelden i denne kategorien.
• Intern (gul) - Informasjonen er tilgjengelig for utvalgte interne og eksterne brukere, men krever pålogging.
• Fortrolig (rød) - Informasjonen krever streng tilgangsstyring. Klassifiseringen benyttes hvis offentliggjøring vil skade offentlige interesser, institusjonen eller enkeltperson(er).
• Strengt fortrolig (svart) - Informasjonen krever meget streng tilgangsstyring. Klassifiseringen benyttes hvis offentliggjøring vil gi betydelig skade på offentlige interesser, institusjonen eller enkeltpersoner.

Som regel havner forskningsdata i intern (gul) eller fortrolig (rød) klasse. Alminnelige personopplysninger er som regel gule, mens de særlige kategoriene av personopplysninger krever særskilt beskyttelse, og vil som regel havne i fortrolig kategori. Andre eksempler på persondata som bør klassifiseres som fortrolige, er opplysninger om straffedommer og lovovertredelser, eller opplysninger om personer fra sårbare grupper eller i sårbare situasjoner. Strengt fortrolig brukes sjelden, men kan være aktuelt dersom det er opplysninger som kan skade liv og helse dersom de kommer ut. Et eksempel er informasjon om personer som har behov for særlig beskyttelse.

Avidentifiserte personopplysninger

Avidentifiserte, eller pseudonymiserte personopplysninger brukes om datamateriale der direkte personidentifiserende kjennetegn er erstattet med for eksempel et nummer, en kode eller fiktive navn. Indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet kan regnes som avidentifisert eller pseudonymisert. Den eneste måten å identifisere enkeltpersoner i et pseudonymisert datamateriale skal være gjennom koblingsnøkkelen, og så lenge koblingsnøkkelen eksisterer er materialet å regne som personopplysninger (altså ikke anonymt). Dette gjelder uavhengig av hvor og hvordan koblingsnøkkelen oppbevares.

Gjennomføre prosjekt anonymt

Som hovedregel skal en behandle så få personopplysninger som mulig for å oppnå forskningsformålet (dataminimeringsprinsippet). I noen tilfeller er det mulig å gjennomføre et prosjekt uten å samle inn personopplysninger i det hele tatt. Hvis datainnsamlingen skal gjennomføres anonymt, må intervju og observasjon registreres i form av notater uten noen direkte eller indirekte identifiserende opplysninger, og nettbaserte spørreskjema må ikke kunne knyttes til respondentens e-post eller IP-adresse på noe tidspunkt. For mer informasjon om anonyme spørreskjema, se Sikre anonymitet i Nettskjema.

Husk at bakgrunnsopplysninger kan identifisere personer selv om selve undersøkelsen er anonym. Et eksempel er hvis en anonym undersøkelse er gjennomført på en liten arbeidsplass og deltakerne har oppgitt alder og kjønn. Ta derfor høyde for at selv anonyme spørreskjema kan gjøre det mulig å identifisere enkeltpersoner.

For mer informasjon, se Sikts side om anonym datainnsamling.

Dersom hele datainnsamlingen foregår anonymt, trenger ikke prosjektet å meldes til Sikt. Merk at å gjennomføre et prosjekt anonymt, er noe annet enn å anonymisere. Dersom det samles inn personopplysninger som deretter anonymiseres, er dette en behandling av personopplysninger som skal meldes til Sikt på vanlig måte.

Husk at dersom en undersøkelse gjennomføres anonymt, trengs det fremdeles informasjon og samtykke til deltakelse fra et forskningsetisk perspektiv. Det trengs imidlertid ikke samtykke som juridisk behandlingsgrunnlag, da det ikke behandles personopplysninger. Dermed skal det heller ikke stå noe om innsyn, retting eller rett til å trekke samtykket i informasjonen som gis. I stedet kan det for eksempel stå at datainnsamlingen er anonym, og at en ved å gjennomføre undersøkelsen anses å ha samtykket. Det skal IKKE være noen signatur eller lignende som kan identifisere deltakeren. Det skal heller ikke stå noe om at datamaterialet skal behandles konfidensielt dersom dette ikke er tilfellet. Dersom datamaterialet skal deles eller publiseres i ettertid, for eksempel i et åpent dataarkiv, skal du likevel gjøre oppmerksom på det.

Risikovurdering

Før behandling av personopplysninger skal det foretas en risikovurdering. Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene. Målet med en risikovurdering er å avdekke nåværende risikonivå og komme fram til tiltak som kan være med på å redusere risikoen. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.

Risikovurderingen skal godkjennes av prosjektleder (eventuelt veileder for studentprosjekt), og en godkjent og signert versjon skal være tilgjengelig på forespørsel (kan scannes og lagres digitalt). Vurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet.

Det er laget en egen wiki med mal for riskovurdering av forskningsprosjekter med personopplysninger ved NTNU. Der finnes også en forenklet mal for studentprosjekter.

Vurdering av personvernkonsekvenser (DPIA)

Hvis det er sannsynlig at en type behandling vil medføre høy risiko for enkeltpersoners rettigheter og friheter, skal det foretas en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet. Dette gjelder også for forskning. Denne vurderingen kalles en personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA) og er en mer omfattende gjennomgang av behandlingen av personopplysninger.

For prosjekter som meldes til Sikt, vil Sikt hjelpe til med å vurdere om en DPIA er nødvendig, samt bistå NTNUs personvernombudet med gjennomføringen av den.

Melding til Sikt

Forsknings- og studentprosjekter som behandler personopplysninger samt helseforskning hvor andre fakultet enn MH er forskningsansvarlig, skal meldes til Sikt personverntjenester for forhåndsvurdering.

Sikt har en rådgivende rolle og skal vurdere om prosjektet tilfredsstiller kravene i EUs personvernforordning. Behandlingen av personopplysninger kan ikke settes i gang før Sikt har gitt tilbakemelding til prosjektleder om at den planlagte behandlingen vurderes å være i samsvar med EUs personvernforordning, samt at nødvendige forutsetninger og anbefalte tiltak og vurderinger gjennomføres.

Prosjektleder eller veileder ved studentprosjekt er ansvarlig for at prosjektet blir meldt til Sikt. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte.

Slik melder du inn prosjektet

Innsamling av data i utlandet

Dersom du er student/forsker ved en institusjon i Norge og skal samle inn personopplysninger i utlandet, skal søknad sendes til REK/ prosjektet meldes til Sikt på lik linje som ved datainnsamling i Norge.

Endring av forskningsprosjektet

Hvis det skal gjøres vesentlige endringer i prosjektet, skal det sendes søknad til REK / melding til Sikt. Endringene kan ikke settes i verk før REK eller Sikt har gitt tilbakemelding.

Medisinsk og helsefaglig forskning

Medisinsk og helsefaglig forskning (helseforskning) skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet starter. REK skal foreta en etisk vurdering av prosjektet. NTNU har en egen portal for medisinsk og helsefaglig forskning med forskningsadministrative rutiner og veiledninger som skal sikre at helseforskning gjennomføres forsvarlig og i tråd med lovgivningen. Etter avtale med Sikt skal helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig, meldes til Sikt. Dette i tillegg til søknad til REK.

Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling. I portalen om helseforskning finnes mer informasjon om grensedragningen mellom helseforskning og annen forskning som behandler personopplysninger.

Internettforskning

Skal du forske på informasjon funnet på Internett? I så fall vil prosjektet ditt være meldepliktig til Sikt dersom du behandler personopplysninger. Eksempler kan være lagring av informasjon fra åpne eller lukkede diskusjonsfora, som inneholder kallenavn eller navn på deltakere. Videre kan direkte sitater være søkbare, og kan derfor betraktes som personlig identifiserbar informasjon. Som hovedregel skal man gi informasjon til deltakerne og de skal gi sitt samtykke til behandling av personopplysninger i forbindelse med forskningsprosjekter. I mange tilfeller kan det imidlertid være vanskelig, og av og til også umulig, å hente inn samtykke. Da kan du vurdere om allmenhetens interesse er et mer egnet behandlingsgrunnlag. Det kan også være unntak fra informasjonskravet. Se mer om internettforskning på Sikts nettsider.

Behandlingsgrunnlag

Dersom personopplysninger skal behandles i forbindelse med forskning, kreves et behandlingsgrunnlag (samtykke fra deltakere eller en lov som tillater det). Samtykke har tradisjonelt vært hovedregelen ved forskning på personopplysninger. Dersom samtykke fra forskningsdeltakeren er behandlingsgrunnlaget, skal samtykket være uttrykkelig. Deltaker må få informasjon om at personopplysninger vil bli samlet inn og hva som er formålet med innsamlingen.

Samtykke

Et gyldig samtykke må være

• Frivillig
• Spesifikt og informert
• Utvetydig
• Gitt gjennom en aktiv handling
• Dokumenterbart
• Like lett å avgi som å trekke tilbake

Dette betyr at det må informeres klart og tydelig hva deltakelse i forskningsprosjektet innebærer, hvem som er ansvarlig for databehandlingen, hvilke data som samles inn og hva de skal brukes til (se Sikt sine sider om informasjon til deltakere). Videre må deltakerne foreta en aktiv handling for at samtykket skal være gyldig. Det vil si at de må aktivt signere, krysse av eller fylle ut noe dersom de samtykker. Muntlig samtykke er også mulig, men alle former for samtykke må kunne dokumenteres. Deltakere skal også informeres om retten til å trekke samtykket tilbake, og ved tilbaketrekking skal datamaterialet om vedkommende som regel slettes (eventuelt anonymiseres).

Når samtykke innhentes, skal utvalget informeres om hvor lenge opplysningene skal behandles. I langvarige prosjekter kan det være nødvendig å gi supplerende informasjon med jevne tidsintervaller. Det kan også være nødvendig å innhente nye samtykker ved større endringer. Se nærmere om informasjon til forskningsdeltakere og samtykke hos Sikt.

Husk at deltakerne også må informeres om og samtykke til hva som skal skje med dataene etter at prosjektet er avsluttet. Dersom datasettet skal publiseres eller deles på andre måter, er det viktig at deltakerne har samtykket til dette.

Samtykkekompetanse

• Samtykkekompetanse hos myndige personer kan falle bort på grunn av fysiske eller psykiske forstyrrelser som åpenbart gjør at de ikke er i stand til å forstå hva samtykket omfatter.
• Umyndiggjorte skal i så stor utstrekning som mulig selv samtykke. Dersom dette ikke er mulig, skal vergen samtykke.
• Helseforskning: Mindreårige mellom 16 og 18 år kan samtykke med mindre annet følger av særlige lovbestemmelser eller tiltakets art. Samtykke fra foreldre/foresatte kreves hvis forskningen innebærer legemsinngrep eller legemiddelutprøving. Helseforskningsloven § 17 har nærmere bestemmelser om samtykkekompetanse.
• Annen forskning: Avhengig av prosjektets art og omfang, er vanlig praksis 15 års aldersgrense for når barn kan samtykke selv til deltakelse i forskning. Gjelder det sensitive personopplysninger er aldersgrensen 16 -18 år. Skal mindreårige (under 18 år) kunne gi et gyldig samtykke til behandling av personopplysninger forutsetter dette at de forstår konsekvensene. Muligheten til forståelse beror på faktorer som alder, art og omfang av personopplysninger, samt formålet med innhentingen.
• Ved inklusjon av mindreårige, må det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreåriges modenhet og erfaringsbakgrunn.
• Hvis forskningen skjer uten samtykke, har prosjektleder plikt til å informere deltakerne med mindre det finnes unntak fra informasjonsplikten.

Allmennhetens interesse

I visse tilfeller kan behandling av personopplysninger skje uten å ha innhentet uttrykkelig samtykke dersom det er nødvendig for å utføre en oppgave i allmennhetens interesse. For alminnelige kategorier av personopplysninger, oppfylles vilkåret ved å vise til hvorfor de opplysningene er nødvendige for å oppnå forskningsformålet. For særlige kategorier og opplysninger om straffbare forhold må det også beskrives hvordan samfunnsnytten overstiger ulempen for deltakerne.

Behandlingen skal også omfattes av nødvendige garantier for at det innføres tiltak som reduserer risikoen for de registrerte, for eksempel pseudonymisering av materialet der det det er mulig. Disse tiltakene må beskrives.

For mer informasjon om samtykke og allmennhetens interesse, se Sikts sider om behandlingsgrunnlag.

Forskningsdeltakernes rett til innsyn

Forskningsdeltakerne har rett til innsyn i egne personopplysninger.

• Forskningsdeltaker som ønsker innsyn, skal be om dette i samsvar med NTNUs rutine: Innsyn i egne personopplysninger.
• Prosjektleder / studentens veileder skal sørge for at forskningsdeltakeren får innsyn.

Roller og oppgaver

For de ansvarsene som er beskrevet nedenfor, er studentprosjekter/oppgaver definert som de som gjennomføres i forbindelse med en bachelor/mastergrad ved NTNU. Studentens veileder fungerer som prosjektleder i studentprosjekter. Doktorgradstudier defineres som ordinære forskningsprosjekt. Doktorgradskandidater kan være prosjektledere (men for helseforskning utført ved MH fakultetet, gjelder det spesielle regler om ansvar). Hvis det er kun én forsker, er vedkommende prosjektleder.

Prosjektleder for forskningsprosjekt

• Skal foreta risikovurdering og vurdere personvernkonsekvenser i forsknings- student- og kvalitetssikringsprosjekt
• skal sørge for at det iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på en risikovurdering
• er ansvarlig for de data som prosjektet samler inn og bruker og skal ha tilgang til alle forskningsdata som prosjektet omfatter
• tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene
• Skal følge opp henvendelser om innsyn mm. fra forskningsdeltakere og er ansvarlig for at informasjonsplikten overfor disse blir fulgt opp
• har det operative ansvaret og skal sørge for internkontroll ved gjennomføringen av forskningsprosjektet, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer for informasjonssikkerhet og personvern etterleves
• skal sørge for nødvendig søknad til REK eller melding til Sikt og at skjema fylles ut i samsvar med hvordan prosjektet gjennomføres i praksis
• skal involvere forskningsansvarlig i forkant av søknad til REK eller melding til Sikt og legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det
• skal utarbeide en datahåndteringsplan.
• skal sørge for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerhet og personvern blir inngått (for inngåelse av databehandleravtaler se wikien Databehandleravtale)
• er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet
• skal vurdere om personopplysningene kan pseudonymiseres
• skal melde fra til forskningsansvarlig og Helsetilsynet om alvorlige, uønskede og uventede medisinske hendelser. Forskningsdeltakerne skal også omgående informeres dersom de har blitt påført skade eller det har oppstått komplikasjoner som følge av forskningsprosjektet.
• Skal sørge for at personopplysningene blir anonymisert eller slettet ved avslutning av forskningsprosjekt hvis det ikke er krav om lagring etter godkjenninger som er gitt eller i forbindelse med finansiering av forskningsprosjektet, samt sørge for at det blir sendt nødvendige bekreftelser til REK og Sikt

Veileder for student i studentprosjekt

• skal vurdere om studentprosjektet omfattes av helseforskningsloven eller om det gjelder annen forskning som behandler personopplysninger.
• skal vurdere om den planlagte behandlingen vil være i samsvar med de grunnleggende personvernprinsippene etter EUs personvernforordning, herunder at det foreligger rettslig grunnlag (lovbestemmelse) for behandlingen eller skal innhentes samtykke fra deltakerne i prosjektet.
• skal vurdere om studentprosjektet kan gjennomføres uten at det må meldes, dvs. at det ikke behandles personopplysninger elektronisk i studentprosjektet. Dette er mulig hvis alt gjennom hele prosessen er anonymt. Nettbaserte skjema må da være fullstendig anonyme, dvs. slik at respondentens e-post / IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet. Ved intervju og observasjon må data registreres kun i form av notater for hånd. Det kan ikke gjøres opptak av samtaler eller filming av personer.
• skal, sammen med studenten, skal foreta en risikovurdering som skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. Risikovurderingen skal dokumenteres.
• skal rådføre seg med personvernombudet hvis det er krav om en vurdering av personvernkonsekvenser etter EUs personvernforordning artikkel 35.
• skal sende melding til Sikt personverntjenester senest 30 dager før behandlingen skal starte (denne oppgaven kan delegeres til studenten, dersom veileder har godkjent dette). Veileder eller student fyller ut meldeskjema til Sikt, samt utarbeider tilhørende vedlegg. Hvis prosjektet er helseforskning, skal veileder/prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). I tillegg skal helseforskningsprosjektet meldes til Sikt hvis ikke MH er forskningsansvarlig.
• skal sørge for at det blir inngått avtale med studenter som ikke har et tilsettingsforhold ved NTNU, dersom de skal ha tilgang til NTNUs systemer.
• skal sørge for at studenten signerer taushetserklæring der det er påkrevd. Se Taushetserklæring studenter for mer informasjon.
• skal sørge for at studenten har gjennomført nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger i studentprosjekt. NTNU har utviklet et eget kursopplegg som undervisere og veiledere kan benytte for dette.

Student

• skal, sammen med veileder, foreta en risikovurdering som skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne. Risikovurderingen skal dokumenteres.
• skal, i samråd med veileder, utarbeide en datahåndteringsplan. Studenter kan bruke forenklet mal for datahåndteringsplan (docx).
• skal, dersom veileder har godkjent dette, sende melding til Sikt personverntjenester senest 30 dager før behandlingen skal starte. Veileder eller student fyller ut meldeskjema til Sikt, samt utarbeider tilhørende vedlegg. Hvis prosjektet er helseforskning, skal veileder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). I tillegg skal helseforskningsprosjektet meldes til Sikt hvis ikke MH er forskningsansvarlig.
• skal signere taushetserklæring der det er påkrevd.
• skal ha gjennomført nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger i studentprosjekt.
• skal sette seg inn i rutiner for bruk av privat IKT-utstyr dersom administrert NTNU-PC ikke er tilgjengelig.

Sikt personverntjenester

• skal gi råd om hvordan NTNU som behandlingsansvarlig best mulig kan ivareta personverninteressene i forskningsprosjekter
• skal motta meldinger om behandlinger av personopplysninger i forskningsprosjekter og føre protokoll/oversikt over slike behandlinger i et eget meldingsarkiv

Personvernombudet ved NTNU

• skal gi NTNUs ledelse og ansatte informasjon og råd om forpliktelser NTNU har i henhold til EUs personvernforordning og annen relevant lovgivning om personvern
• skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av den
• skal kontrollere overholdelsen av EUs personvernforordning og annen relevant lovgivning om vern av personopplysninger og interne retningslinjer
• skal holde seg informert om og følge opp avvik ved brudd på personvernet
• skal samarbeide med og være kontaktpunkt for Datatilsynet og de registrerte

Forskningsdatahjelpen/Research Data @NTNU

• gir rådgivning og veiledning knyttet til behandling av personopplysninger i forskningsprosjekt
• skal samarbeide med og være kontaktpunkt for Sikt for oppfølging av konkrete prosjekt

Innsamling, lagring og bruk av aktive forskningsdata

Godkjente innsamlingsmåter for personopplysninger er beskrevet i datainnsamlingsguiden. Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet de ble innhentet for, hvis ikke annet er bestemt i lov eller f.eks. i forbindelse med finansiering av forskning. Lagring og behandling av personidentifiserbare eller pseudonyme data skal foregå i NTNUs systemer eller i systemer der det foreligger en databehandleravtale med NTNU. Se lagringsguiden for en oversikt over tilgjengelige løsninger ved NTNU. På siden Databehandleravtale ligger NTNUs mal for databehandleravtale.

Privat utstyr (hjemme-PC) skal som hovedregel ikke brukes til lagring og bruk av personopplysninger. Dersom det unntaksvis er nødvendig å benytte privat IKT-utstyr for behandling av personopplysninger, se Behandling av informasjon med privat IKT-utstyr. Studenter som bare har tilgang på privat PC,kan se på de skisserte dataflytene for ulike datatyper.

Tilgang

Forskningsdataene skal bare være tilgjengelig for godkjente prosjektmedarbeidere fram til prosjektavslutning. Prosjektleder bestemmer hvilke prosjektmedarbeidere som skal ha tilgang til pseudonymiserte personopplysninger og koblingsnøkkel. Prosjektleder skal ha dokumenterbar oversikt over hvem som har tilgang til data. Oversikten skal være tilgjengelig for forskningsansvarlig.

Prosjektmedarbeidere skal normalt ikke ha tilgang til koblingsnøkkel. I de tilfeller de har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som pseudonymiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.

Overføring

Godkjente måter for overføring av datamateriale finnes på Sikker sending av filer og dokumenter.

Ved avslutning av prosjektet

• Prosjektleder skal ved prosjektslutt sørge for at personopplysningene anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden, f.eks. ved forhåndsgodkjenning fra REK, etter lov eller fra eksterne som har finansiert forskningen.
• Prosjektleder skal sende sluttmelding til Sikt/REK når prosjektet er avsluttet og eventuelt bekrefte at personopplysningene er anonymisert eller slettet. Ved avslutning av et studentprosjekt skal dette gjøres umiddelbart etter sensur.
• Prosjektleder skal sørge for at kopier av dataene blir håndtert på samme måte.
• En kopi av fullstendig anonymiserte data kan beholdes. Hvis dataene er avidentifisert, foregår anonymisering vanligvis ved å slette koblingsnøkkelen.
• Når studenter eller prosjektmedarbeidere slutter, skal prosjektleder forsikre seg om at forskningsmateriale disse har innhentet eller har hatt tilgang til, er sikkert lagret eller slettet dersom det ikke lenger er behov for oppbevaring.
• Dersom dataene skal lagres utover prosjektslutt, må prosjektleder i samarbeid med forskningsansvarlig (normalt instituttet) ta stilling til hvordan denne lagringen skal gjennomføres. Sikt tilbyr lagring av forskningsdata etter at prosjektet er avsluttet.
• Kildedata eller andre forskningsdata og dokumenter skal ikke slettes dersom tilsyns-myndighetene har åpnet saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Granskningsutvalget om uredelighet i forskning.

Deling av data

Før oppstart av prosjektet, må det avklares om prosjektet skal dele data med andre, enten det er underveis eller etterpå. Med deling av data mener vi her alle former for deling, inkludert deling med samarbeidspartnere fra andre institusjoner og arkivering for deling i etterkant. Merk at deltakerne skal være informert om at data skal deles og hvem som er mottakerne, uavhengig av hvilket behandlingsgrunnlag som brukes. Dette gjelder også dersom data skal deles anonymt. For mer informasjon om deling av data med personopplysninger, se Sikt forskningsdataarkiv.

Anonymisering av data

Hvis et datasett skal anonymiseres, må alle direkte identifiserende opplysninger slettes (inkludert koblingsnøkkel/navneliste), og indirekte identifiserende opplysninger må slettes eller omarbeides. Ifølge Statistisk Sentralbyrå (SSB) er ikke opplysninger anonymiserte hvis de kan knyttes til grupper på fem eller mindre. Husk at anonymisering av personopplysninger er regnet som en behandling, og at forskningsdeltakerne må være informert om at opplysningene deres vil anonymiseres.

Håndtering av avvik (uønskede hendelser)

Studenter og forskere skal melde avvik ved brudd på personvern i NTNUs avvikssystem. Formålet er å gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt lettere unngå fremtidige sikkerhetsbrudd og brudd på personvernet.

Avvik kan f.eks. være

• e-post med sensitive personopplysninger som er sendt til feil person
• fødselsnummer som er sendt ukryptert pr. e-post eller gjort tilgjengelig åpent på nett
• utstyr som er mistet (mobil, laptop, nettbrett, notater og lignende)
• feilutlevering eller feilpublisering
• feil i tilganger, utstyr eller programvare som kan svekke sikkerheten
• rutiner som mangler, ikke fungerer, eller som ikke følges
• data som er åpent/mangler tilgangsstyring og hvor det er krav til opplysningens konfidensialitet og/eller integritet

Kurs om personopplysninger i forskning

Nettkurset Introduksjon til personopplysninger i forskning er laget spesielt for NTNU. Kurset tar 45 minutter å gjennomføre og gir deg et godt innblikk i hvordan vi behandler personopplysninger i forskningsprosjekter. Kurset kan også brukes som oppslagsverk ved behov.

NTNU har også et eget undervisningsopplegg beregnet til bruk i metodeundervisning for studenter. Kurset er modulbasert og består av videoer og oppgaver som løses i gruppe.

Se også

• Sikt (tidligere NSD) veileder forskere og studenter med tanke på datainnsamling, dataanalyse, metode og personvern. Her finner du også meldeskjema for prosjekt som skal behandle personopplysninger.
• Felles innmelding av studentprosjekter med lav personvernulempe (Sikt)
• Sikt institusjonsportal (krever innlogging)
• Retningslinje for behandling av personopplysninger ved NTNU
• NTNUs retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern
• NTNUs datainnsamlingsguide
• NTNUs lagringsguide
• NTNUs oversikt over overføringsmetoder
• NTNUs avtalemaler for overføring av personopplysninger (databehandleravtale, felles behandlingsansvar, dataoverføringsavtale)
• Generelt om personvern og GDPR ved NTNU (EUs personvernforordning)
• NTNUs helseforskningsportal. Hvordan planlegge, gjennomføre og avslutte forskningsprosjekt.
• Søk i prosjekter hos REK
• Datatilsynets veileder og sjekkliste for vurdering av personvernkonsekvenser (DPIA)

Kontakt

Har du spørsmål om melding til Sikt eller forhåndsgodkjenning av helseforskningsprosjekter, kan du kontakte:

• Anne Marie Snekvik (Seniorrådgiver, jurist, og kontakt for denne wikien)
• AD-fakultetet: Sunita Prugsamatz Ofstad
• HF-fakultetet: Chamila Thushari Attanapola og Marte Lintoft
• IE-fakultetet: Harald Lenschow
• IV-fakultetet: Astrid Vigtil
• MH-fakultetet: Sigurd Engum
• NV-fakultetet: Randi Utgård
• SU-fakultetet: Rune Dahl
• ØK-fakultetet: Gunnar Bendheim
• Forskningsdatahjelpen/Research Data @NTNU tilbyr råd, støtte og veiledning knyttet til håndtering av forskningsdata
• REK: rek-midt@mh.ntnu.no