Personvern og GDPR

Personvernerklæring NTNU

Denne siden inneholder NTNUs sentrale personvernerklæring og spesifikke erklæringer for delsystemer. 

NTNUs sentrale personvernerklæring #

På denne siden finner du NTNUs generelle personvernerklæring og lenker til delsystemer som har utfyllende personvernerklæringer. 

Personvernerklæring for delsystemer #

Her legges personvernerklæringer for delsystemer der dette er vurdert påkrevd. 

Erklæring om hvordan NTNU samler inn og bruker personopplysninger #

Rektor er behandlingsansvarlig for NTNUs behandling av personopplysninger. Behandlingsansvarliges oppgaver er delegert organisasjonsdirektøren, og daglig oppfølgingsansvar er delegert videre til linjelederne.

Personvernerklæringen følger kravene som fremgår av personvernforordningen (GDPR) artikkel 12-15. Personvernforordningen er EUs nye lovgivning på personvernområdet, og gjelder for hele EU/EØS fra 25. mai 2018, og i Norge fra juli 2018.

Med personopplysninger menes enhver opplysning eller vurdering som kan knyttes til deg som enkeltperson, enten direkte eller indirekte. For at NTNU skal kunne bruke (registrere, samle inn, utlevere, mv.) personopplysninger om deg, må vi ha at grunnlag som angitt i lov.

Hva er en personvernerklæring? #

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine.

 

NTNU behandler personopplysninger: #

  1. Om deg som student, (søker, tidligere student, student og ph.d.kandidat)
  2. Om deg som ansatt og tidligere ansatt
  3. Om deg som forskningsdeltaker

Generelt #

All behandling ved NTNU skal foregå i henhold til gjeldende lover og forskrifter. NTNU skal ikke behandle personopplysninger i større utstrekning enn det som er nødvendig for å oppfylle universitetets formål, som vil være utdanning, forskning, nyskaping, formidling og administrasjon. NTNU skal sørge for at behandlingen skjer med nødvendig grunnlag angitt i lov, om det er samtykke, følger av lov/forskrift eller om en behandling er nødvendig å gjennomføre.

NTNU skal ved behandling av personopplysninger av den enkelte sørge for at behandlingen av personopplysninger utgjør et så lite inngrep som mulig for den registrerte, og at ikke flere opplysninger om den enkelte brukes eller lagres lenger enn nødvendig, jf. krav om dataminimering.

Der NTNU bruker personopplysninger om den enkelte, vil den registrerte ha krav på innsyn i behandlingen, og hva som er formålet og grunnlaget for behandlingen.

All bruk av NTNUs IKT-infrastruktur etterlater elektroniske spor. NTNU samler inn, analyserer og oppbevarer elektroniske spor for å administrere IKT-infrastrukturen, sikre effektiv og kostnadsbærende drift, og for å beskytte NTNUs IKT-infrastruktur mot trusler og misbruk. NTNUs IKT-infrastruktur er tilrettelagt med løsninger for registrering av aktiviteter (logging) og sikkerhetskopiering blant annet for å kunne dokumentere lovbrudd eller avvik fra interne regler og rutiner, men også for å kunne avdekke/oppdage brudd på sikkerheten i IKT-infrastrukturen. Innsamling, lagring og bruk (og sletting) av elektroniske spor gjøres i henhold til gjeldende lovverk.

 

Personvernombud #

Ved NTNU har vi et eget personvernombud, Thomas Helgesen, som kan kontaktes dersom det er noen spørsmål om behandlingen:

Spørsmål om personvern ved NTNU #

Dersom du ønsker å rette henvendelse til NTNU om vår bruk av dine personopplysninger, kan du ta kontakt med vårt postmottak:

 

Utlevering av personopplysninger #

NTNU må ha et lovlig grunnlag for å levere ut dine personopplysninger. Foruten samtykke kan dette være (ikke uttømmende liste):

  • Forskning. Utlevering krever i utgangspunktet samtykke, men kan også gjøres uten samtykke hvis forskningsprosjektet har fått innvilget unntak fra taushetsplikten.
  • NAV har rett til å innhente opplysninger i kontrolløyemed i forbindelse med behandling av en sak, jf. folketrygdloven § 21-4.
  • Statens Lånekassen for utdanning, hjemlet i lov.
  • Skattemyndigheter, hjemlet i lov.
  • Nærmeste pårørende. De nærmeste pårørende har rett til informasjon for å kunne ta avgjørelser på vegne av en slektning som ikke selv er i stand til å ta avgjørelsen.
  • Opplysninger som er nødvendige for behandling av visse typer saker vil bli utlevert til den nemnd/utvalg som skal behandle saken. Det betyr at nødvendige opplysninger i forbindelse med
    • klagesaker og fuskesaker vil bli utlevert til klagenemnda som er NTNUs klageorgan og nasjonal felles klagenemnd som er klageorgan bl.a. i fuskesaker
    • skikkethetssaker vil bli utlevert til skikkethetsnemnda og
    • enkeltsaker knyttet til vitenskapelig uredelighet vil bli utlevert til Forskningsetisk utvalg.

Pressens og allmennhetens innsyn etter offentleglova #

Hovedregelen etter offentleglova er at forvaltningsorganers saksdokumenter er tilgjengelige for offentligheten. Det betyr at alle som spør om det, presse og andre, vil kunne gjøre seg kjent med innholdet i dokumentene. Din henvendelse til NTNU vil dermed også være offentlig, enten den kommer i form av brev, muntlig og nedtegnes, eller e-post.

En journal er Register over saksdokumenter som behandles i et organ. NTNUs postjournaler legges tilgjengelige på nettsidene. Saksbehandler er ansvarlig for at dokumentasjon er unntatt korrekt og tilstrekkelig, Avdeling for dokumentasjonsforvaltning gjennomfører en kvalitetssikring av offentlig journal før publisering.

Alle innsynsforespørsler blir journalført. NTNU håndterer imidlertid mye dokumentasjon som inneholder taushetsbelagte opplysninger. Dette er for eksempel sensitive opplysninger knyttet til både studenter og ansatte, pasientinformasjon knyttet til pasientbehandling/forskning og forretningshemmeligheter. Slik informasjon er unntatt fra offentlighet. Interne dokumenter kan også unntas offentlighet. 

Dine rettigheter #

Fysiske personer som vi behandler personopplysninger om (registrerte) har rett på grunnleggende informasjon om NTNUs behandlinger av personopplysninger. Personvernforordningen pålegger NTNU å sørge for tilstrekkelig informasjon om våre behandlinger. Dersom du er registrert i en av NTNUs systemer har du rett på innsyn i dine egne opplysninger. NTNU har laget en løsning for oppslag og innsyn i sentrale systemer ved NTNU. Informasjon og kommunikasjon og eventuelle tiltak ved utøvelse av rettigheter for registrerte skal være kostnadsfritt som hovedregel. 

Informasjon om deg som er samlet inn til et bestemt formål, kan ikke brukes til andre formål uten ditt samtykke eller at det foreligger en annen lovlig grunn.

Du har rett til å be om at uriktige, ufullstendige, unødvendige eller opplysninger NTNU ikke har adgang til å behandle blir rettet, slettet eller supplert, eller begrenset. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

Se hvordan du ber om innsyn i og/eller ber om å få data om deg utlevert eller slettet: Innsyn i behandling

Rett til retting #

Dine personopplysninger skal være korrekte. Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til å begrense av behandling #

I enkelte tilfeller kan du ha rett til å kreve at behandlingen av personopplysningene dine blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre bruk og behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har protestert mot behandlingen, har du rett til å kreve at behandlingen av personopplysningene dine midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi eventuelt har rettet personopplysningene dine, eller har fått vurdert om protesten din er berettiget.

I andre tilfeller kan du også kreve en mer permanent begrensing av dine personopplysninger. For å ha rett til å kreve begrensing av dine personopplysninger, må vilkårene i personvernforordningen artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensing av personopplysninger, vil vi vurdere om lovens vilkår er oppfylt.

Rett til sletting #

I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Denne retten følger av personvernforordningen artikkel 17. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av personopplysningsloven og personvernforordningen.

Dersom du ønsker å få slettet personopplysningene dine, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser om hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om de rettslige vilkårene for å kreve sletting er oppfylt. Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting. For eksempel vil dette være tilfelle når vi er nødt til å lagre personopplysningene for å oppfylle en oppgave vi er pålagt etter universitets- og høyskoleloven, eller for å ivareta viktige samfunnsinteresser som arkivering, forskning og statistikk.

Rett til å protestere #

Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen av personopplysningene dine. Rettigheten følger av personvernforordningen artikkel 21. Eksempler kan være dersom du har et beskyttelsesbehov, fortrolig adresse, eller lignende.

Retten til å protestere er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Hvis du protesterer mot behandlingen, vil vi vurdere om vilkårene for å protestere er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene. 

Krav fra deg som registrert skal besvares kostnadsfritt og seneste innen 30 dager. 

Rett til å bli varslet ved brudd på personopplysningssikkerheten #

Dersom NTNU blir gjort kjent med brudd på personopplysningssikkerheten, f.eks. at sensitiv informasjon om den enkelte kommer på avveie, vil NTNU både kunne ha plikt til å varsle Datatilsynet og den enkelte om slikt brudd, jf. Personvernforordningen artikkel 33 og 34.

Rett til å klage over behandlingen til Datatilsynet #

Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

 

Behandling av personopplysninger om deg som student #

Hvilke personopplysninger samles inn om deg som student? #

Eksempler på personopplysninger om deg som blir registrert og behandlet ved NTNU er opplysninger som navn, bilde, kontaktinformasjon, undervisnings- og eksamensmeldinger og karakterer og oppnådde grader.

Søker du opptak til og/eller er student ved NTNU må vi samle inn og registrere blant annet navn, fødselsnummer og kontaktinformasjon. Dersom du har samtykket, kan vi også hente inn resultatene dine fra enkelte andre læresteder. Formålet med registreringene er å administrere din søknad og dine studier hos oss. Opplysningene registrerer du normalt selv via Samordna opptak, i Søknadsweb eller i Studentweb.

Kort om Felles studentssystem (FS) #

Opplysningene blir lagret i Felles Studentsystem (FS) som er det systemet NTNU bruker til studieadministrative data. FS er et studieadministrativt system utviklet for universiteter, vitenskapelige høgskoler og statlige høgskoler i Norge. Søknadsweb og Studentweb og Nominasjonsweb er en del av FS. Dersom du har en søknads- og/eller vedtaksprosess ved universitetet, vil dette være registrert i FS eller universitetets saksbehandlings- og arkivsystem.

Formålet med behandlingen av personopplysninger i FS er å ivareta dine rettigheter som søker, student, doktorgradskandidat eller kursdeltaker og å oppfylle NTNUs oppgaver og plikter etter universitets- og høyskoleloven.

For behandlingen har NTNU lovlig grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e om utøvelse av offentlig myndighet og bokstav c om rettslig forpliktelse og i tillegg  egen bestemmelse i universitets- og høyskoleloven, § 4-15.

RUST - register for utestengte studenter #

Vedtak om utestenging på grunn av falske vitnemål, forstyrrende atferd, grove brudd på taushetsplikt, fusk og manglende skikkethet blir registrert i Register for utestengte studenter (RUST). Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (UNIT) har forvaltningsansvaret for RUST. Gjennom RUST får andre universiteter og høyskoler på en sikker måte informasjon om sanksjoner når aktuell person er søker eller student ved deres institusjon. Personverenerklæring for RUST 

Digital undervisning og eksamen #

Digitale systemer for undervisning og eksamen mottar og behandler personopplysninger om studenter ved NTNU. Vi benytter det digitale eksamenssystemet Inspera Assessment på en rekke eksamener. For at det skal være mulig for deg å gjennomføre digital eksamen, sender vi personopplysninger om deg til Inspera, som utvikler og drifter systemet Inspera Assessment. De vil ha tilgang til disse personopplysningene: Feide-id, kandidatnummer, andre eksamensdata fra FS, IP-adresse.

Under studieforløpet brukes et læringssystem som heter Blackboard Learn. Her foregår kommunikasjon med faglærere og andre studenter, informasjon fra studiestedet og innlevering og retting av arbeidskrav.

Adgangskontroll #

Dine opplysninger vil også bli registrert i universitetets adgangskontrollsystem for at du skal få tilgang til universitetets bygg og rom under studiene dine, ved hjelp av studiekortet. Bildet på aktive studiekort og nøkkelkort lagres i FS og vil være det samme bildet som overføres til mobilappen Studentbevis, for studenter som velger å ta den i bruk.

Sak- og arkivsystem #

Dersom du har en søknads- og/eller saksbehandling eller vedtaksprosess ved NTNU, vil dette være registrert i universitetets saksbehandlings- og arkivsystem som heter ePhorte. NTNU er forpliktet etter arkivloven å ta vare på slike opplysninger.

Personopplysninger til tredjepart #

Utlevering eller eksport av data defineres som enhver avgivelse av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data på dennes vegne. NTNU vil kunne utlevere eller eksportere data som inneholder personopplysninger til andre systemer, f.eks ekstern databehandler eller Lånekassen, i de tilfellene der det anses som nødvendig.

Utlevering av personopplysninger etter offentleglova #

Med jevne mellomrom mottar NTNU begjæringer om innsyn iht. bestemmelsene i offentleglova. Vi gjør oppmerksom på at bestemmelsene i personopplysningsloven ikke vil kunne gi begrensninger i denne innsynsretten der henvendelsen gjelder personopplysninger. 

Behandling av opplysninger om deg som ansatt #

NTNU behandler personopplysninger om deg som ansatt ved NTNU. Opplysningene brukes til lønns- og personaladministrative formål, som for eksempel å beregne lønn og ha oversikt over arbeidstid, fravær, ferie og permisjoner.

Lovlig grunnlag #

Hjemmelsgrunnlaget for behandlingen av personopplysningene om ansatte er personvernforordningen artikkel 6 nr. 1, bokstav a, om samtykke, eller bokstav b om at behandlingen er nødvendig for å oppfylle arbeidsavtale eller annen avtale med den ansatte. I tillegg er artikkel 6 nr. 1 bokstav f om at behandlingen er nødvendig for å gjennomføre NTNUs berettigede interesser, etter en avveiing av den ansattes interesser, rettigheter og friheter.

Der NTNU behandler sensitive opplysninger, f.eks. helseopplysninger, vil NTNU ha grunnlag i artikkel 9 nr. 2 bokstav a der den registrerte har gitt sitt uttrykkelige samtykke, eller artikkel 9 nr. 2 bokstav b der behandlingen er nødvendig for at NTNU som behandlingsansvarlig eller den ansatte selv skal kunne oppfylle forpliktelser eller utøve rettigheter på det arbeidsrettslige området. Et eksempel her kan være bruk av helseopplysninger for å kunne tilrettelegge i en arbeidssituasjon. Personopplysningsloven § 6 fastsetter at personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 (sensitive) kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Hvilke opplysninger brukes om deg som ansatt? #

Informasjon som behandles om deg som ansatt er for eksempel navn, fødselsnummer, kontaktinformasjon (adresse og telefonnummer). I tillegg registreres stillings- og lønnsopplysninger, utdanning og tjenesteansiennitet, samt navn og alder på barn under 12 år og navn og kontaktinformasjon til nærmeste pårørende.

Informasjonen innhentes fra deg selv som jobbsøker eller ansatt og fra andre instanser, som skattemyndigheter, Nav, Folkeregisteret og tidligere arbeidsgiver.

Opplysninger om navn, stilling og arbeidsområde regnes å være offentlige opplysninger og kan publiseres på NTNUs Internettsider. 

Informasjon om utlevering av opplysninger finner du under generelt om utlevering av personopplysninger og pressens og allmenhetens innsyn etter offentleglova.

Personopplysninger om ansatte behandles hovedsakelig i NTNUs lønn- og personalsystemer (Paga). I NTNUs sak – og arkivsystem (lenke til personvernerklæringen for arkiv/ephorte), finnes det en personalmappe for deg med opplysninger om for eksempel:

  • søknad på stilling(er) (kun stillingssøknader fra vedkommende som blir ansatt i en stilling, blir journalført og arkivert)
  • attester for utdanning/arbeidspraksis
  • kompetansegivende kurs og opplæring
  • ansettelsesbrev
  • arbeidsavtale
  • taushetserklæringer
  • dokumenter om pensjonsforhold og lønnsplassering
  • særskilte avtaler i arbeidsforholdet
  • permisjoner
  • eventuell korrespondanse mellom deg og arbeidsgiver, samt om fratredelsen og gjenpart av sluttattest

Når du slutter ved NTNU blir personalmappen din gjennomgått og unødvendig informasjon slettes. NTNU vil fortsatt lagre opplysninger for eksempel om hvem som har jobbet i virksomheten, hvor lenge og hva du om ansatt har jobbet med.

Personer i HR har kun tilgang til personopplysninger om ansatte som er nødvendig for å ivareta deres arbeidsoppgaver. Sensitiv informasjon (særlige kategorier personopplysninger) beskyttes med en egen tilgangskode i dokumentforvaltningssystemet.

Avdelingsleder i HR/HMS-avdelingen har gjennom prosesseierskap et ansvar for å sørge for at det er utarbeidet nødvendige rutiner for å sikre konfidensialitet og kvalitet i behandling av ansattes personopplysninger og at opplysningene ikke lagres lengre enn nødvendig. Avdelingsleder HR/HMS er også ansvarlig for at det tilbys nødvendig opplæring i bruk av NTNUs IKT-systemer og gjeldende rutiner.

Det er enhver leders ansvar at egne ansatte har fått tilstrekkelig opplæring og at dokumenthåndtering og saksbehandling innen eget ansvarsområde skjer i samsvar med NTNUs rutiner.

NTNUs bedriftshelsetjeneste vil kunne behandle opplysninger om deg etter samtykke fra deg.

Behandling av personopplysninger om deg som forskningsdeltaker #

Lovlig grunnlag #

Der NTNU behandler personopplysninger om deg i forskningsprosjekt vil lovlig grunnlag enten være ditt samtykke, eller bruken av opplysningene er nødvendige for forskningsformål.

Personopplysningene behandles i henhold til personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, (samtykke) eller artikkel 6 nr. 1 bokstav e, om behandling i allmennhetens interesse. Personopplysningsloven § 8 fastsetter at personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for formål knyttet til vitenskapelig forskning. Etter forskningsetiske prinsipper er samtykke hovedregelen ved forskning på opplysninger som kan knyttes til enkeltindivider. 

Dersom det behandles sensitive personopplysninger vil behandlingen være lovlig dersom det er innhentet informert og uttrykkelig samtykke jf. artikkel 9 nr. 2 bokstav a. Dersom samtykke ikke er innhentet vil artikkel 9 nr. 2 bokstav j), om nødvendig behandling for vitenskapelig forskning, være behandlingsgrunnlag.

I tillegg følger det av personopplysningsloven § 9 at behandling av sensitive personopplysninger kan skje uten samtykke fra den enkelte, forutsatt at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. I tillegg må behandlingen være omfattet av nødvendige garantier, f.eks. at personopplysningene må avidentifiseres (opplysningene ikke lenger blir direkte knyttet til den enkelte uten tilleggsopplysninger), tilgangsstyring og logging av lagringsområder.

Viderebehandling til forskningsformål #

Viderebehandling til forskningsformål av allerede innsamlede personopplysninger anses som forenlig med det opprinnelige formålet.  Dette forutsetter at det er innført tekniske og organisatoriske tiltak for å sikre den registrertes rettigheter, særlig for å sikre at prinsippet om dataminimering overholdes. Aktuelle tiltak kan f.eks. være pseudonymisering.

 Dersom forskningsformålet kan oppfylles ved anonymiserte opplysninger, skal viderebehandlingen skje på denne måten. Viderebehandling til forskningsformål forutsetter at de allerede innsamlede opplysningene er behandlet i samsvar med regelverket.  Dersom viderebehandlingen innebærer utlevering til en annen behandlingsansvarlig (dvs. andre enn NTNU), må den som mottar opplysningene ha et eget rettslig grunnlag for behandlingen. 

Forhåndsvurdering av forskningsprosjekt #

NTNU har som de fleste institusjonene i universitets- og høyskolesektoren, avtale med Norsk senter for forskningsdata (NSD), som har god kompetanse til å vurdere de personvernmessige sidene ved et forskningsprosjekt, om et prosjekt kan gjennomføres, og setter også krav til og vilkår for slik behandling. Helseforskning må godkjennes av  Regional komite for medisinsk og helsefaglig forskningsetikk (REK).

Hvilke personopplysninger behandles #

Hvilke personopplysninger som skal registreres, vurderes ut ifra hvilke personopplysninger som er nødvendige å registrere for å oppnå formålet med forskningsprosjektet. Informasjon om deg som er samlet inn til et formål, kan som hovedregel ikke brukes til andre formål uten ditt samtykke.

I mange forskningsprosjekter anonymiseres opplysningene, og de kan da på ingen måte føres tilbake til deg.

Personopplysningene kan i andre tilfeller være avidentifiserte/pseudonymiserte. I slike tilfeller vil det være mulig å gjenkjenne den enkelte med en koblingsnøkkel, f.eks. en kode, som vil være underlagt tilgangsstyring. I helseforskningsprosjekter skal personopplysninger alltid avidentifiseres.

Avidentifiserte opplysninger som blir registrert er f.eks. navn, fødselsnummer, alder, kjønn, vekt, høyde, diagnoser, bosted, yrkesopplysninger, institusjon, utdanning, institusjonens størrelse o.l. De personentydige kjennetegnene som navn og personnummer erstattes med et nummer, en kode, fiktive navn eller lignende, som viser til en liste med de direkte personopplysningene. Listen med de direkte personopplysningene holdes adskilt fra de andre personopplysningene. Koblingsnøkkelen skal oppbevares forsvarlig og utilgjengelig for uvedkommende (kryptert).

Forsker innhenter opplysningene i form av spørreundersøkelser, intervjuer, observasjoner, video- og lydopptak o.l. hvor forskningsdeltaker er tilstede.

Personopplysningene behandles fortrinnsvis på bakgrunn av et informert samtykke. Samtykket kan trekkes tilbake på hvilket som helst tidspunkt under gjennomføringen av forskningsprosjektet. Videre bruk av personopplysningene vil da opphøre.

Både studenter og forsker/veileder som kommer i kontakt med personopplysninger har taushetsplikt.

Utlevering fra andre virksomheter #

Forsker kan få tillatelse av annen virksomhet til å få utlevert personopplysninger i sin forskning som denne virksomhet har samlet inn.

Taushetsbelagte personopplysninger kan ikke benyttes uten at det er gitt dispensasjon og prosjektleder har legitime grunner for ikke å innhente gyldig samtykke. Det gjelder studier der man av ulike årsaker mener den samfunnsmessige nytten ved studien overstiger ulempen det er for forskningsdeltaker å ikke bli spurt.

Overføring til andre virksomheter #

Personopplysningene kan ved avtale overføres til andre virksomheter under forutsetning av at de kan tilby tilfredsstillende lagring av personopplysningene og ellers oppfyller vilkårene i personopplysningsloven.

Personopplysningene kan også overføres til utlandet under forutsetning av at vilkårene i personopplysningsloven er oppfylt. Dette innebærer at det må foreligge et grunnlag for overføring og at informasjonssikkerheten skal være tilfredsstillende.

Lagring av personopplysninger #

Hovedregelen er at personopplysningene skal være avidentifiserte når de lagres på datamaskinbasert utstyr. Det skal aldri være større grad av personidentifikasjon enn det som er nødvendig for forskningen.

Personopplysninger skal normalt ikke lagres lengre enn det som er nødvendig for å få gjennomført forskningen. Kreves samtykke og personopplysningene skal oppbevares lengre enn opprinnelig samtykke gir rett til, skal det som hovedregel innhentes nytt samtykke. Ved helseforskning må slik bruk forelegges REK.

Personopplysninger skal normalt slettes eller anonymiseres ved prosjektavslutning hvis ikke annet er bestemt av REK eller f.eks. av finansøren av forskningsprosjektet.

Ansvar for forskningsprosjekter #

Dekan på hvert fakultet har fått delegert det daglige (operative) forskningsansvaret. Noen oppgaver kan videredelegeres i linjen.

Ansvaret gjelder all informasjon innsamlet til forskningsformål som behandles og lagres ved elektronisk lagring eller på papir.

Det innebærer å sørge for at det er utarbeidet nødvendige rutiner for blant annet å sikre konfidensialitet, kvalitet og at opplysningene ikke lagres lengre enn nødvendig. Ansvaret innebærer også at det tilbys nødvendig opplæring av prosjektledere og at det etableres tilstrekkelige rutiner.

Enhver leder på fakultet som har fått delegert forskningsansvarliges oppgaver er ansvarlig for at prosjektleder og forskningsmedarbeidere som kommer i kontakt med personopplysninger i forskning, får tilstrekkelig opplæring, følger personvernlovgivning og ivaretar etiske, medisinske, helsefaglige, vitenskapelige og informasjonssikkerhetsmessige forhold.

Kontakt for denne nettsiden #

NTNUs jurister 

  

0 Vedlegg
1552 Visninger
Gjennomsnitt (0 Stemmer)