Behandle personopplysninger i forskningsprosjekt

Skal du behandle opplysninger om personer i ditt forsknings- eller studentprosjekt? Da må du sjekke om du må melde i fra til Personvernombudet for forskning. For studentprosjekter gjelder dette både på bachelor- og masternivå. English version - Collection of personal data for research projects

Ser du etter noe annet? Temaside om forskningsprosessen | Sider merket med etikk

Hvilke prosjekt skal meldes inn? #

Behandler du personopplysninger elektronisk og det ikke er innenfor medisinsk eller helsefaglig forskning,  skal du melde prosjektet til Norsk senter for forskningsdata (NSD). Dette gjelder både for forsknings- og studentprosjekt.  Det samme gjelder også hvis du skal behandle personopplysninger manuelt og disse skal inngå i et personregister.

Prosjektleder eller veileder ved studentprosjekt er ansvarlig for at prosjektet blir meldt til NSD. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. NSD tilbyr også arkivering av prosjektdata ved prosjektslutt.

 Slik melder du inn prosjektet

Medisinsk og helsefaglig forskning #

Medisinsk og helsefaglig forskning skal være godkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet starter. Disse prosjektene skal ikke meldes til NSD. NTNU har laget en egen portal for medisinsk og helsefaglig forskning med forskningsadministrative rutiner og veiledninger som skal sikre at medisinsk og helsefaglig forskning gjennomføres forsvarlig og i tråd med lovgivningen.

Medisinsk og helsefaglig forskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling. I portalen om helseforskning finnes mer informasjon om grensedragningen mellom medisinsk og helsefaglig forskning og annen forskning som behandler personopplysninger.

Hva er personopplysninger? #

Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Meldeplikten foreligger selv om personopplysningene er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med personopplysningene. Bruk av bilde- og lydopptak av personer medfører også meldeplikt dersom:

  • opptaket behandles eller lagres med elektroniske hjelpemidler (på datamaskin som lyd- eller bildefil)
  • transkripsjoner inneholder personopplysninger og behandles elektronisk (datamaskin)
  • transkripsjoner inneholder sensitive personopplysninger og systematiseres i et manuelt register

Selv om all rapportering fra prosjektet er anonym, kan prosjektet likevel være meldepliktig dersom det under arbeidet med prosjektet blir behandlet personopplysninger.

Hvis prosjektet omfatter behandling av sensitive personopplysninger (f.eks opplysninger om helseforhold, seksuelle forhold, sosiale forhold som påvirker helsa), vil NSD vurdere om konsesjon er nødvendig og gi en innstilling til Datatilsynet som avgjør om konsesjon skal gis.

Oppbevaring av forskningsdata #

Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker, og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting / lagring av data på en betryggende måte ved prosjektets avslutning.

Det skal iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på en risikovurdering. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i og prosjektets varighet.

I forbindelse med helseforskning er følgende beskrevet som eksempler på akseptabelt risikonivå.  Dette er aktuelt også i en risikovurdering der sensitive personopplysninger inngår i forskning som ikke er helseforskning. 

NTNU IT har på vegne av NTNU inngått en avtale med Universitetet i Oslo (UiO) om bruk av tjenesten TSD 2.0 som er sikker lagring av sensitive personopplysninger, inkludert helseopplysninger. NTNU har inntil videre kjøpt plass til 60 prosjekter. Det som inngår i løsningen er 1 TB lagring, samt tilgang til maskinkraft og verktøy i henhold til beskrivelse. Hvis man trenger mer lagring eller annen kapasitet enn det som ligger i grunnpakken må prosjektene kjøpe dette fra UiO.

Innsamling av data i utlandet #

Dersom du er student/forsker ved en institusjon i Norge og skal samle inn data i utlandet, gjelder meldeplikten til personvernombudet ved registrering av personopplysninger på lik linje som ved datainnsamling i Norge.

Behandlingsansvarlig institusjon i utlandet #

Hvis behandlingsansvarlig institusjon er etablert i et EØS-land, er det tilstrekkelig å melde prosjektet til tilsynsmyndighetene i det aktuelle landet. Hvis behandlingsansvarlig institusjon ligger i et land utenfor EØS, må prosjektet meldes i Norge av en norsk institusjon som påtar seg å være den behandlingsansvarliges representant.

Internettforskning #

Skal du forske på informasjon som er gjort tilgjengelig på internett vil det utløse meldeplikt dersom du skal behandle personidentifiserende opplysninger ved bruk av datamaskin. Eksempler på slik behandling av personidentifiserende opplysninger kan være lagring av dokumenter fra åpne eller lukkede diskusjonsforum, inneholdende “nicknames” på diskusjonsdeltakerne. Videre kan direkte sitater være søkbare, og slik vise tilbake til enkeltpersoner.

Som hovedregel skal man gi informasjon til deltakerne og innhente samtykke til behandling av personopplysninger i forbindelse med forskningsprosjekter, men det kan i visse tilfeller unntas fra informasjonsplikten. Mer om internettforskning på NSD sine nettsider.

Se også: #

Kontakt #

Har du spørsmål om meldeplikten til NSD eller forhåndsgodkjenning av medisinsk og helsefaglige prosjekter, kan du kontakte:

NTNU:

NSD: Tlf. 55 58 21 17 eller epost: nsd@nsd.uib.no

REK: Tlf. 73 59 75 06 eller epost: rek-4@medisin.ntnu.no

0 Vedlegg
10139 Visninger
Gjennomsnitt (0 Stemmer)