Personvern og personopplysninger i forskning

Behandling av personopplysninger er lovregulert. Dersom du skal samle inn personopplysninger i forbindelse med et forsknings- eller studentprosjekt må du registrere dette i meldeskjema til Sikt som er HVL sin personvernrådgiver. Sikt personverntjenester vil foreta en vurdering av om den planlagte behandlingen er i tråd med krav i personvernregelverket. 

Helseforskingsloven regulerer forsking på mennesker, humant biologisk materiale og helseopplysninger, som blir utført for å skaffe ny kunnskap om helse og sykdom. Alle student- og forskningsprosjekter som omfattes av bestemmelser helseforskingsloven, skal forhåndsgodkjennes både av Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) og vurderes av Sikt personverntjenester. Observasjoner på Helseinstitusjoner må som en hovedregel ha samtykke fra de som observeres, og vurderes fra sak til sak. 

Forskningsprosjekt som behandler personopplysninger skal ha en prosjektleder som er ansvarlig for at prosjektet oppfyller kravene i personvernregelverket. 

Prosjektledere har et selvstendig ansvar for personvernet i forskningsprosjekter. For prosjekter innen medisinsk og helsefaglig forskning må prosjektleder inneha førstekompetanse.

Studentveiledere har ansvar for personvernet i studentoppgaver på bachelor- og masternivå. Studenter har likevel et selvstendig ansvar for at personvernet er ivaretatt i daglig drift av prosjektet.

Personopplysninger er opplysninger som kan knyttes til en person, for eksempel fødselsnummer, navn eller e-postadresse/IP-adresse. Stemme på lydopptak regnes også som en personopplysning. Det er også mulig at kombinasjonen av opplysninger som samles kan gjøre en person indirekte identifiserbar.

Alle student- og forskningsprosjekter som skal samle inn personopplysninger, må vurderes av Sikt personverntjenester før oppstart. Meldeskjemaet til Sikt finner du her.

Selv om du skal anonymisere alle personer i publikasjonen eller oppgaven, må prosjektet meldes hvis du på et tidspunkt sitter på persondata. Et eksempel på dette er å benytte lydopptak av intervju for transkribering, uavhengig om andre personopplysninger blir samlet.

Dersom du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til Sikt. Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner – verken direkte gjennom navn, e-post eller IP-adresse, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel, krypteringsformel og kode.

Særlige kategorier (sensitive) opplysninger skal bare samles inn når det er nødvendig for å utføre prosjektet. I regelverket er følgende opplysninger særlige kategorier: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere noen, helseopplysninger, om seksuelle forhold, seksuell legning, straffedommer og lovovertredelser. Dersom dine forskningsdata inneholder denne typen opplysninger er det krav om at disse dataene lagres på Sikker lagring av forskningsdata (SILAF) - Høgskulen på Vestlandet (hvl.no)

Sikt har et skjema som skal benyttes ved melding av forsknings- og studentprosjekter som skal behandle personopplysninger. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir så mange detaljer som mulig om ditt prosjekt.

Når du ikke skal behandle personopplysninger er undersøkelsen anonym og skal ikke meldes til Sikt. Hvis du kan svare ja på ett av spørsmålene under er undersøkelsen ikke anonym:

• Skal du bruke lydopptak?
• Skal du samle inn bakgrunnsopplysninger i en survey som gjør at du kan identifisere enkeltpersoner? Kan surveyen koples til IP adresse?
• Kan du kople svarene dine til identitenen på deltakere gjennom en navneliste/koblingsnøkkel?
• Innholder datamaterialet andre kjennetegn som gjør at enkeltpersoner er sporbare?

Meldeskjemaet til Sikt finner du her.

Her finner du i tillegg nyttig veiledning og svar på ofte stilte spørsmål. Sikt har også en chat-funksjon du kan bruke hvis du har spørsmål mens du fyller ut skjemaet.

Meldeskjemaet skal fylles ut av den som skal gjennomføre prosjektet. Når dette er en student, skal meldeskjemaet deles med veileder.

Sikt hadde høsten 2021 et digitalt kresjkurs i utfylling av meldeskjema. Opptaket finner du her.

Kopi av spørreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerklæring, prosjektbeskrivelse, søknad/tilråding fra Regional komité for medisinsk og helsefaglig forskningsetikk (hvis aktuelt), vedtak om dispensasjon fra taushetsplikten, etc. skal legges ved meldeskjemaet. Dersom meldeskjemaet sendes inn før andre vedtak foreligger, skal kopi av vedtak ettersendes.

Ved lagring på privat enhet trenger du også å legge ved HVL sin retningslinje for lagring av forskningsdata. 

Du finner mal for informasjonsskriv og samtykke på nettsidene til Sikt 

Når du melder ditt prosjekt til Sikt, vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil Sikt gi deg tilbakemelding på at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas å ville innebære høy risiko for informantenes personvern, vil Sikt melde fra til HVL om at det må gjennomføres en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles en DPIA, og vil bli gjennomført i samarbeid mellom prosjektleder og fagansvarlig for forskningsetikk ved HVL. DPIA skal godkjennes av prorektor for forskning.

Dersom prosjektet ditt kommer innunder helseforskningsloven må det søkes om forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK).

• Søknadsskjemaet til REK finner du på rekportalen.no

For studentprosjekt som kommer innunder helseforskningsloven er det veileder, og ikke studenten selv, som søker om forhåndsgodkjenning av REK. Det samme gjelder for P.hd. - studenter.

Vær oppmerksom på at REK har søknadsfrister. 

Forskningsprosjektet skal i tillegg meldes til Sikt som gjør en individuell vurdering av prosjektets personvernkonsekvenser.

Dele personopplysninger
Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor HVL, må du avklare om du har lov til å dele personopplysningene. Den virksomheten eller forskerne/studentene/medarbeiderne du skal dele opplysninger med må være omtalt i meldeskjema til Sikt personverntjenester og eventuelt i søknad til REK. Da er det som regel også behov for en samarbeidsavtale mellom virksomhetene. 

Avtale for forskningssamarbeid
I noen tilfeller vil samarbeidet innebære felles behandlingsansvar for personopplysninger. 

Ta kontakt på forskningsetikk@hvl.no dersom du trenger hjelp med å sette opp samarbeidsavtale eller avtale om felles behandlingsansvar. Det er prosjektleder eller veileder for studenter som må sørge for at avtaler inngås. 

Databehandleravtale med de som behandler data på dine vegne
Hvis det er andre som skal behandle personopplysningene på dine vegne er det nødvendig med en databehandleravtale. Mal for databehandleravtale finner du her.

HVL har rammeavtaler med blant annet databehandlere som surveyxact (verktøy for spørreundersøkelser), totaltekst (transkripsjon, språkvask, oversettelse) og panopto (programvare for video). Hvis du bruker disse verktøyene trenger du ikke en egen avtale

Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Ved HVL er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.

• HVL sin forskningsserver
• Bruk av private enheter (studenter)
• Bruk av OneDrive med to-faktorpålogging (ansatte)

Forskningsserver
HVL har en egen forskningsserver (SILAF) som skal benyttes for å behandle særlige kategorier (sensitive) personopplysninger. Dette gjelder for både studenter og ansatte.

For å få tilgang til forskningsserveren (SILAF) ved HVL, må prosjektet registreres. Dette gjøres av prosjektleder etter at prosjektet er meldt til Sikt/REK og det foreligger et positivt svar.

Registreringsskjema for tilgang til forskningsserveren ved HVL finner du her.

Brukerveiledning for nye brukere av forskningsserveren finner du her.

Gjennom registreringen autoriserer prosjektleder medarbeidere som skal ha tilgang til forskningsdata på forskningsserveren (SILAF). Dersom en ekstern forskningsmedarbeider skal ha tilgang til forskningsdataene, skal det undertegnes Avtale med ikke-ansatt.

All sensitiv data skal overføres til forskningsserveren (SILAF) umiddelbart og slettes fra andre enheter og videre behandling av disse dataene skal foregå på HVL sin forskingsserver. Dersom data skal behandles på andre enheter må dataene benyttes i avidentifisert form der personopplysninger og indirekte identifiserbare opplysninger er fjernet.

Lagring på privat enhet for studenter
Studenter kan lagre data som ikke inneholder sensitive personopplysninger på sine private enheter. Dette gjelder også lyd- og video.
Dersom prosjektet inneholder personopplysninger og skal meldes til Sikt, må retningslinjen til HVL legges ved. 

Lagring av forskningsdata på OneDrive for forskere
Forskere kan lagre forskingsdata på Microsoft 365 med multifaktorpålogging, eller på forskingsserveren (SILAF). Multifaktorifaktorpålogging får du lagt til brukeren din ved å kontakte IT-hjelp.

Husk at sensitive opplysninger alltid skal lagres på forskningsserveren (SILAF). 

Studenter og forskere kan benytte Zoom til intervjuer med eller uten bilde, i de tilfellene der disse ikke inneholder særlige kategorier (sensitive) personopplysninger. HVL-konto og ende-til-ende kryptering må benyttes.

Teams kan brukes ved behandling  av alminnelige opplysninger (gule data), også ved opptak av video.

HVL ønsker at lydopptak tas med diktafon eller ved bruk av Zoom. Smarttelefon kan benyttes dersom du følger retningslinjene for bruk av private enheter.

SurveyXact brukes som til å gjennomføre spørreundersøkelser og HVL har databehandler avtale med tjenesteleverandøren. Når det registreres personopplysninger må undersøkelsen meldes til Sikt  Dersom undersøkelsen gjennomføres anonymt uten kobling mot IP adresse,  eller at det innhentes bakgrunnsvariabler som gjør at deltakerne kan identifiseres indirekte, så skal det ikke meldes til Sikt. 

Publisering er i denne sammenhengen å gjøre data tilgjengelig for andre forskere etter eget prosjekt er avsluttet. Prosjekter som får ekstern finansiering fra NFR eller EU har som regel krav om å tilgjengeliggjøre data etter prosjektslutt. Data skal være så åpne som mulig og så lukket som nødvendig. Det betyr at det som hovedregel er anonymiserte data som arkiveres.

Biblioteket har egne nettsider om tilgjengeliggjøring av forskningsdata. 

Når student eller forsker ved HVL innhenter opplysninger i andre land gjelder HVL sine rutiner, norsk lov og nasjonale forskningsetiske retningslinjer. I tillegg må forsker/student overholde de lokale retningslinjene og lovverket.

Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal dette meldes til veileder eller leder. Du kan også melde fra på forskningsetikk@hvl.no, på sei ifrå, eller til personvernombod@hvl.no

Ved behov for opplæring av vitenskapelig eller administrativt ansatte i personvern eller forskningsetikk ta kontakt her: forskningsetikk@hvl.no