Tilbake

Behandle personopplysninger i student- og forskningsprosjekt

Denne siden forteller hvordan vi behandler personopplysninger i student- og forskningsprosjekter ved NTNU.

English version - Collection of personal data for research projects

Temaside om forskningsprosessen | Sider merket med etikk

Skal du behandle opplysninger om personer i ditt forsknings- eller studentprosjekt? Da må du sjekke om du må melde prosjektet til Norsk senter for forskningsdata (NSD). Dette gjelder også studentprosjekter på bachelor- og masternivå.

EUs personvernforordning (General Data Protection Regulation (GDPR)) gjelder som lov i Norge fra 20. juli 2018. Dette innebærer noen endringer i reglene for behandling av personopplysninger, men forskningsprosjekter som behandler personopplysninger elektronisk, skal fortsatt meldes til NSD. Helseforskningsprosjekter skal forhåndsgodkjennes av Regional komite for medisinsk og helsefaglig forskningsetikk (REK). 

NTNU har i april 2019 inngått ny avtale med NSD. Helseforskningsprosjekter der forskningsansvarlig er andre fakultet ved NTNU enn Fakultet for medisin og helsevitenskap (MH), skal også meldes til NSD. NSD foretar en vurdering av de personvernmessige sidene av prosjektet.  

Hva er personopplysninger? #

Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, tlf.nr., IP-adresse eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc. 

Risikovurdering #

Før behandling av personopplysninger skal du foreta en risikovurdering. Risikovurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene. Det skal iverksettes tiltak angående forskningsdataene som står i forhold til faktisk risiko basert på risikovurderingen. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet, trusselbildet knyttet til miljøet opplysningene bearbeides og lagres i, og prosjektets varighet. 

I forbindelse med helseforskning er følgende beskrevet som eksempler på akseptabelt risikonivå.  Dette er aktuelt også i en risikovurdering der sensitive personopplysninger inngår i forskning som ikke er helseforskning. 

Hvilke prosjekt skal meldes inn? #

•Helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig•Andre forskningsprosjekter som behandler personopplysninger elektronisk•Studentprosjekter som behandler personopplysninger elektronisk (gjelder både  bachelor- og master)

Det samme gjelder også hvis du skal behandle personopplysninger manuelt og disse skal inngå i et personregister.

Prosjektet skal meldes til NSD selv om personopplysningene er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med personopplysningene. Bruk av bilde- og lydopptak av personer medfører også behandling av personopplysninger hvis:  

  • opptaket behandles eller lagres med elektroniske hjelpemidler (på datamaskin som lyd- eller bildefil)
  • transkripsjoner inneholder personopplysninger og behandles elektronisk (datamaskin)
  • transkripsjoner inneholder sensitive personopplysninger og systematiseres i et manuelt register

Selv om all rapportering fra prosjektet er anonym, skal prosjektet likevel meldes til NSD dersom det under arbeidet med prosjektet blir behandlet personopplysninger elektronisk. 

Prosjektleder eller veileder ved studentprosjekt er ansvarlig for at prosjektet blir meldt til NSD. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. NSD tilbyr også arkivering av prosjektdata ved prosjektslutt. 

 Slik melder du inn prosjektet

Medisinsk og helsefaglig forskning #

Medisinsk og helsefaglig forskning (helseforskning) skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet starter. REK skal foreta en etisk vurdering av prosjektet. NTNU har en egen portal for medisinsk og helsefaglig forskning med forskningsadministrative rutiner og veiledninger som skal sikre at helseforskning gjennomføres forsvarlig og i tråd med lovgivningen. Etter ny avtale med NSD skal helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig, meldes til NSD. Dette i tillegg til søknad til REK. 

Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling. I portalen om helseforskning finnes mer informasjon om grensedragningen mellom helseforskning og annen forskning som behandler personopplysninger. 

Innsamling av data i utlandet #

Dersom du er student/forsker ved en institusjon i Norge og skal samle inn personopplysninger i utlandet, skal søknad sendes til REK / prosjektet meldes til NSD på lik linje som ved datainnsamling i Norge. 

Internettforskning #

Skal du forske på informasjon som er gjort tilgjengelig på internett, skal prosjektet meldes dersom du skal behandle personidentifiserende opplysninger ved bruk av datamaskin. Eksempler på slik behandling av personidentifiserende opplysninger kan være lagring av dokumenter fra åpne eller lukkede diskusjonsforum, inneholdende “nicknames” på diskusjonsdeltakerne. Videre kan direkte sitater være søkbare, og slik vise tilbake til enkeltpersoner.

Som hovedregel skal man gi informasjon til deltakerne og innhente samtykke til behandling av personopplysninger i forbindelse med forskningsprosjekter, men det kan i visse tilfeller unntas fra informasjonsplikten. Mer om internettforskning på NSD sine nettsider.

Endring av forskningsprosjektet #

Hvis det skal gjøres vesentlige endringer i prosjektet, skal det sendes søknad til REK / melding til NSD. Endringene kan ikke settes i verk før REK/NSD har gitt tilbakemelding. 

Samtykke  #

Deltakelse i forskningsprosjekter hvor personopplysninger ikke behandles anonymt, skal som hovedregel være basert på et dokumentert samtykke fra deltakerne. 

  • Forskningsdeltakere kan ikke inkluderes i et forskningsprosjekt før samtykkeerklæring er signert. 
  • Dersom behandling av personopplysninger skal skje basert på annen lovhjemmel enn samtykke, må grunnlaget for dette dokumenteres før behandlingen påbegynnes.
  • Samtykke skal være frivillig, spesifikt, informert og gitt som et aktivt samtykke.
  • Samtykke skal bygge på spesifikk informasjon om et konkret forskningsprosjekt.  Forskningsdeltakere kan gi samtykke til visse områder når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det.
  • Forskningsdeltakere kan gi samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning. Forskningsdeltakerne bør ha mulighet til å gi sitt samtykke bare til visse forskningsområder eller deler av forskningsprosjektet i det omfang det tilsiktede formålet tillater det. 
  • Bredt samtykke kan gis i helseforskning dersom kravene etter helseforskningsloven er oppfylt. 
  • Forskningsdeltakere skal kunne trekke samtykket tilbake. Dette skal opplyses i samtykkeskjemaet.
  • Informasjonsskrivet skal inneholde informasjon om at forskerne er underlagt taushetsplikt og at data behandles konfidensielt. Prosjektleder må vurdere om det i informasjonsskrivet bør opplyses om at taushetsplikten ikke er absolutt. Dette kan være aktuelt i prosjekter hvor forskningsdeltakerne kan tenkes å gi informasjon om at det kan bli begått en alvorlig straffbar handling. Prosjektleder vil da ha plikt etter straffelovens § 196 til å søke å avverge slik handling.
  • Opplysninger om den som ikke ønsker å delta i prosjektet, kan ikke benyttes i forskningen. Dette gjelder også for frafallsanalyser.
  • Forskningsdeltakeren kan trekke tilbake sitt samtykke til å delta i forskningen.

Samtykkekompetanse #

  • Samtykkekompetanse hos myndige personer kan falle bort på grunn av fysiske eller psykiske forstyrrelser som åpenbart gjør at de ikke er i stand til å forstå hva samtykket omfatter.
  • Umyndiggjorte skal i så stor utstrekning som mulig selv samtykke. Dersom dette ikke er mulig, skal vergen samtykke. 
  • Helseforskning: Mindreårige mellom 16 og 18 år kan samtykke med mindre annet følger av særlige lovbestemmelser eller tiltakets art. Samtykke fra foreldre/foresatte kreves hvis forskningen innebærer legemsinngrep eller legemiddelutprøving. Helseforskningsloven § 17 har nærmere bestemmelser om samtykkekompetanse.
  • Annen forskning: Avhengig av prosjektets art og omfang, er vanlig praksis 15 års aldersgrense for når barn kan samtykke selv til deltakelse i forskning. Gjelder det sensitive personopplysninger er aldersgrensen 16 -18 år. Skal mindreårige (under 18 år) kunne gi et gyldig samtykke til behandling av personopplysninger forutsetter dette at de forstår konsekvensene. Muligheten til forståelse beror på faktorer som alder, art og omfang av personopplysninger, samt formålet med innhentingen. Det skal alltid informeres om hvilken aldersgrense som gjelder når man legger opp til at mindreårige skal oppgi personopplysninger.
  • Ved inklusjon av mindreårige, må det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreåriges modenhet og erfaringsbakgrunn.
  • Hvis forskningen skjer uten samtykke, har prosjektleder plikt til å informere deltakerne med mindre det finnes unntak fra informasjonsplikten.  

Forskningsdeltakernes rett til innsyn #

Forskningsdeltakerne har rett til innsyn i egne personopplysninger. 

  • Forskningsdeltaker som ønsker innsyn, skal be om dette i samsvar med NTNUs rutine: Innsyn i egne personopplysninger
  • Prosjektleder / studentens veileder skal sørge for at forskningsdeltakeren får innsyn. 

Roller og oppgaver #

Hvis du er prosjektleder for forskningsprosjekt #

  • Prosjektleder skal sende søknad til Regional komite for medisinsk og helsefaglig forskningsetikk (REK) og/eller melding til Norsk senter for forskningsdata (NSD) samt sørge for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerhet og personvern, blir inngått av den som har myndighet til å inngå slike avtaler.
  • Prosjektleder skal involvere forskningsansvarlig i forkant av søknad til REK eller melding til NSD og legge frem søknad og meldeskjema dersom forskningsansvarlig ber om det. 
  • Prosjektleder skal foreta en risikovurdering og rådføre seg med NTNUs personvernombud hvis det skal foretas en vurdering av personvernkonsekvenser (DPIA) etter EUs personvernforordning artikkel 35. NSD vil utføre personvernkonsekvensvurdering for prosjekter som går inn under meldeplikten til NSD. 
  • Prosjektleder utarbeider samtykkeskjema og tilhørende informasjonsskriv. 
  • Prosjektleder skal utarbeide en datahåndteringsplan. 
  • Prosjektleder skal sørge for tilgangsstyring dersom det er behov for konfidensialitet ved behandling av personopplysninger i prosjektet.
  • Prosjektleder skal sørge for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet.

Hvis du er student eller veileder for student i studentprosjekt #

  • Veileder fungerer som prosjektleder i studentprosjekter. Studentoppgaver defineres som oppgaver som utføres i forbindelse med bachelor/master/hovedoppgave ved NTNU. Doktorgradstudier defineres som ordinære forskningsprosjekt. 
  • Veileder skal vurdere om studentprosjektet omfattes av helseforskningsloven eller om det gjelder annen forskning som behandler personopplysninger. 
  • Veileder skal vurdere om den planlagte behandlingen vil være i samsvar med de grunnleggende personvernprinsippene etter EUs personvernforordning, herunder at det foreligger rettslig grunnlag (lovbestemmelse) for behandlingen eller skal innhentes samtykke fra deltakerne i prosjektet.
  • Veileder skal vurdere om studentprosjektet kan gjennomføres uten at det må meldes, dvs. at det ikke behandles personopplysninger elektronisk i studentprosjektet. Dette er mulig hvis alt gjennom hele prosessen er anonymt. Nettbaserte skjema må da være fullstendig anonyme, dvs. slik at respondentens e-post / IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet.  Ved intervju og observasjon må data registreres kun i form av notater for hånd. Det kan ikke gjøres opptak av samtaler eller filming av personer.
  • Veileder, sammen med studenten, skal foreta en risikovurdering som skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene som kan ha konsekvenser for forskningsdeltakerne.  Risikovurderingen skal dokumenteres.
  • Veileder skal rådføre seg med personvernombudet hvis det er krav om en vurdering av personvernkonsekvenser etter EUs personvernforordning artikkel 35.
  • Studenten skal i samråd med veileder utarbeide en datahåndteringsplan.
  • Veileder, eller student dersom veileder har godkjent dette, skal sende melding til Norsk senter for forskningsdata (NSD) senest 30 dager før behandlingen skal starte. Veileder eller student fyller ut meldeskjema til NSD, samt utarbeider tilhørende vedlegg. Hvis prosjektet er helseforskning, skal prosjektleder sende søknad om forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). I tillegg skal helseforskningsprosjektet meldes til NSD hvis ikke MH er forskningsansvarlig.  
  • Veileder skal sørge for at det blir inngått avtale med studenter som ikke har et tilsettingsforhold ved NTNU dersom de skal ha tilgang til NTNUs systemer.
  • Studenten skal signere taushetserklæring.
  • Studenten skal ha gjennomført nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger i studentprosjekt. 

Lagring av forskningsdata #

Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker, og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting/lagring av data på en betryggende måte ved prosjektets avslutning. 

Avtale om lagring av sensitive personopplysninger #

NTNU IT har på vegne av NTNU inngått en avtale med Universitetet i Oslo (UiO) om bruk av tjenesten TSD 2.0 som er sikker lagring av sensitive personopplysninger, inkludert helseopplysninger. NTNU har inntil videre kjøpt plass til 60 prosjekter. Det som inngår i løsningen, er 1 TB lagring, samt tilgang til maskinkraft og verktøy i henhold til beskrivelse. Hvis man trenger mer lagring eller annen kapasitet enn det som ligger i grunnpakken, må prosjektene kjøpe dette fra UiO.

Lagring av aktive forskningsdata #

  • Lagring og behandling av personidentifiserbare eller pseudonyme data skal foregå i NTNUs systemer eller i systemer der det foreligger en databehandleravtale med NTNU. På siden Databehandleravtale finner du bl.a. NTNUs mal for databehandleravtale. 
  • Privat utstyr (hjemme-PC) skal ikke brukes.
  • Hvis e-post skal benyttes til overføring av dataene, skal innholdet være kryptert. 
  • Data skal ikke lagres på bærbare medier som minnepinne, laptop eller lignende, uten at opplysningene er kryptert. Merk at kryptering ikke er det samme som pseudonymisering. Kryptering bør minst være på nivå med 256 bits AES eller tilsvarende.
  • Helseopplysninger eller andre sensitive personopplysninger som er direkte identifiserbare, kan bare lagres i kryptert form eller på områder med høy grad av sikkerhet, f.eks. TSD ved UiO, HUNT datasenter eller i annen infrastruktur som er godkjent for lagring av sensitive personopplysninger.  
  • Hovedregelen er at helseopplysninger e.l. skal oppbevares pseudonymisert, dvs. at forskningsdata og identifiserende elementer (koblingsnøkkel) skal lagres hver for seg, og da slik at forskerne kun har adgang til forskningsdata.
  • Papirbaserte forskningsdata som ikke er anonymiserte, skal lagres i låste skap eller arkiv hvor kun personell underlagt organisasjonens instruksjons¬myndighet har tilgang. Dersom papirbaserte forskningsdata oppbevares på kontor, må kontoret låses når man forlater det.
  • Koblingsnøkkel skal oppbevares av en betrodd tredjeperson, for eksempel registreringsansvarlig. Lagres både data og koblingsnøkkel elektronisk, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret.
  • Hvordan oppbevaring av aktive data skal skje, må være avklart før datainnsamlingen settes i gang. 
  • Aktive forskningsdata kan oppbevares i prosjektperioden. Melding til NSD eller søknad til REK skal inneholde opplysninger om hvordan personopplysninger planlegges samlet inn, bearbeidet og lagret – med en vurdering av opplysningenes beskyttelsesbehov sett i forhold til det lagringsmedium som planlegges benyttet og de sikringstiltak som iverksettes for å hindre uautorisert tilgang til opplysningene.

Ved avslutning av prosjektet #

  • Prosjektleder skal ved prosjektslutt sørge for at personopplysningene anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden, f.eks. ved forhåndsgodkjenning fra REK, etter lov eller fra eksterne som har finansiert forskningen. 
  • Prosjektleder skal sende sluttmelding til NSD/REK når prosjektet er avsluttet og eventuelt bekrefte at personopplysningene er anonymisert eller slettet.
  • Hvis behandlingen ikke har vært utført avidentifisert, må alle direkte og indirekte personidentifiserbare opplysninger fjernes fra forskningsdataene for at de skal blir anonyme.  
  • Krav om sletting/anonymisering gjelder all informasjon der forskningsdeltakerens identitet direkte eller indirekte fremkommer.
  • Prosjektleder skal sørge for at kopier av ¬dataene blir håndtert på samme måte.
  • En kopi av fullstendig anonymiserte data kan beholdes. Hvis dataene er avidentifisert, foregår anonymisering vanligvis ved å slette koblingsnøkkelen.
  • Når studenter eller prosjektmedarbeidere slutter, skal prosjektleder forsikre seg om at forskningsmateriale disse har innhentet eller har hatt tilgang til, er sikkert lagret eller slettet dersom det ikke lenger er behov for oppbevaring.
  • Dersom dataene skal lagres utover prosjektslutt, må prosjektleder i samarbeid med forskningsansvarlig (normalt instituttet) ta stilling til hvordan denne lagringen skal gjennomføres. NSD tilbyr lagring av forskningsdata etter at prosjektet er avsluttet.
  • Kildedata eller andre forskningsdata og dokumenter skal ikke slettes dersom tilsyns-myndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Granskningsutvalget om uredelighet i forskning. 

Håndtering av avvik (uønskede hendelser) #

Studenter og forskere skal melde avvik ved brudd på personvern i NTNUs avvikssystem.  Formålet er å gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt lettere unngå fremtidige sikkerhetsbrudd og brudd på personvernet.

Avvik kan f.eks. være 

  • e-post med sensitive personopplysninger som er sendt til feil person 
  • fødselsnummer som er sendt ukryptert pr. e-post eller gjort tilgjengelig åpent på nett
  • utstyr som er mistet (mobil, laptop, nettbrett, notater og lignende)
  • feilutlevering eller feilpublisering 
  • feil i tilganger, utstyr eller programvare som kan svekke sikkerheten 
  • rutiner som mangler, ikke fungerer, eller som ikke følges 
  • data som er åpent/mangler tilgangsstyring og hvor det er krav til opplysningens konfidensialitet og/eller integritet 

Se også #

Kontakt #

Har du spørsmål om melding til NSD eller forhåndsgodkjenning av helseforskningsprosjekter, kan du kontakte: 

NTNU:

NSD: Tlf. 55 58 21 17 eller epost: nsd@nsd.uib.no

REK: Tlf. 73 59 75 06 eller epost: rek-4@medisin.ntnu.no

0 Vedlegg
27513 Visninger
Gjennomsnitt (2 Stemmer)