Personvern og personopplysninger i forskning

All forsking som involverer mennesker, skal ivareta personvernet til deltakere i forskningsprosjektet. Dette innebærer blant annet respekt for den enkelte informant, samtykke til deltakelse og at personopplysninger behandles konfidensielt.

Hva innebærer personvern i forskning?

Behandling av personopplysninger er lovregulert. Dersom du skal samle inn personopplysninger i forbindelse med et forsknings- eller studentprosjekt må du registrere dette i meldeskjema til Norsk senter for forskingsdata (NSD), som er HVL sin personvernrådgiver. NSD vil foreta en vurdering av om den planlagte behandlingen er i tråd med krav i personvernregelverket. 

Helseforskingsloven regulerer forsking på mennesker, humant biologisk materiale og helseopplysninger, som blir utført for å skaffe ny kunnskap om helse og sykdom. Alle student- og forskningsprosjekter som omfattes av bestemmelser helseforskingsloven, skal forhåndsgodkjennes både av Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) og vurderes av Norsk senter for forskingsdata (NSD). Observasjoner på Helseinstitusjoner må også ha en godkjenning fra REK  når det ikke er mulig å få samtykke. Denne godkjenningen kalles dispensasjon fra taushetsplikten. 

Ansvar

Forskningsprosjekt som behandler personopplysninger skal ha en prosjektleder som er ansvarlig for at prosjektet oppfyller kravene i personvernregelverket. 

Prosjektledere har et selvstendig ansvar for personvernet i forskningsprosjekter. Ph.d.-studenter regnes som prosjektledere for sine Ph.d.-prosjekter som ikke er medisinsk og helsefaglig forskning. For Ph.d.-prosjekter innen medisinsk og helsefaglig forskning må prosjektleder inneha førstekompetanse.

Studentveiledere har ansvar for personvernet i studentforskning på bachelor- og masternivå. Studenter har likevel et selvstendig ansvar for at personvernet er ivaretatt.

Personopplysninger

Personopplysninger er opplysninger som kan knyttes til en person, for eksempel fødselsnummer, navn eller e-postadresse/IP-adresse. Stemme på lydopptak regnes også som en personopplysning. Det er også mulig at kombinasjonen av opplysninger som samles kan gjøre en person indirekte identifiserbar.

Alle student- og forskningsprosjekter som skal samle inn personopplysninger, må vurderes av Norsk senter for forskingsdata (NSD) før oppstart. Selv om du skal anonymisere alle personer i publikasjonen eller oppgaven, må prosjektet meldes hvis du på et tidspunkt sitter på persondata. Et eksempel på dette er å benytte lydopptak av intervju for transkribering, uavhengig om andre personopplysninger blir samlet.

Dersom du behandler fullt ut anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til NSD. Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner – verken direkte gjennom navn, e-post eller IP-adresse, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel, krypteringsformel og kode.

Særlige kategorier (sensitive) opplysninger skal bare samles inn når det er nødvendig for å utføre prosjektet. I regelverket er følgende opplysninger særlige kategorier: rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere noen, helseopplysninger, om seksuelle forhold, seksuell legning, straffedommer og lovovertredelser. Dersom dine forskningsdata inneholder denne typen opplysninger, må prosjektet vurderes. I tillegg er det krav om at disse dataene lagres på forskningsserveren til HVL.

NSD sitt meldeskjema

NSD har et skjema som skal benyttes ved melding av forsknings- og studentprosjekter som skal behandle personopplysninger. Det er viktig at alle prosjekter som behandler personopplysninger meldes inn, og at du oppgir så mange detaljer som mulig om ditt prosjekt.

Når du ikke skal behandle personopplysninger er undersøkelsen anonym og skal ikke meldes til NSD. Hvis du kan svare ja på ett av spørsmålene under er undersøkelsen ikke anonym:

  • Skal du bruke lydopptak?
  • Skal du samle inn bakgrunnsopplysninger i en survey som gjør at du kan identifisere enkeltpersoner? Kan surveyen koples til IP adresse?
  • Kan du kople svarene dine til identitenen på deltakere gjennom en navneliste/koblingsnøkkel?
  • Innholder datamaterialet andre kjennetegn som gjør at enkeltpersoner er sporbare?

Meldeskjemaet til NSD finner du her.

Her finner du i tillegg nyttig veiledning og svar på ofte stilte spørsmål. NSD har også en chat-funksjon du kan bruke hvis du har spørsmål mens du fyller ut skjemaet.

Meldeskjemaet skal fylles ut av den som skal gjennomføre prosjektet. Når dette er en student, skal meldeskjemaet deles med veileder.

NSD hadde høsten 2021 et digitalt kresjkurs i utfylling av meldeskjema. Opptaket finner du her.

Vedlegg til meldeskjema

Kopi av spørreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerklæring, prosjektbeskrivelse, søknad/tilråding fra Regional komité for medisinsk og helsefaglig forskningsetikk (hvis aktuelt), vedtak om dispensasjon fra taushetsplikten, etc. skal legges ved meldeskjemaet. Dersom meldeskjemaet sendes inn før andre vedtak foreligger, skal kopi av vedtak ettersendes.

Ved lagring på privat enhet trenger du også å legge ved HVL sin retningslinje for lagring av forskningsdata. 

Du finner mal for informasjonsskriv og samtykke på nettsidene til NSD 

NSD sin vurdering

Når du melder ditt prosjekt til NSD, vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet ikke ansees som personvernmessig risikofylt, vil NSD gi deg tilbakemelding på at du kan starte prosjektet og datainnsamlingen. Dersom prosjektet antas å ville innebære høy risiko for informantenes personvern, vil NSD melde fra til HVL om at det må gjennomføres en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles en DPIA, og vil bli gjennomført i samarbeid mellom prosjektleder og fagansvarlig for forskningsetikk ved HVL. DPIA skal godkjennes av prorektor for forskning.

Helsedata og forhåndsgodkjenning av REK

Dersom prosjektet ditt kommer innunder helseforskningsloven må det søkes om forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK).

For studentprosjekt som kommer innunder helseforskningsloven er det veileder, og ikke studenten selv, som søker om forhåndsgodkjenning av REK. Det samme gjelder for P.hd. - studenter.

Vær oppmerksom på at REK har søknadsfrister

Forskningsprosjektet skal i tillegg meldes til NSD som gjør en individuell vurdering av prosjektets personvernkonsekvenser.

Samarbeid med andre

Dele personopplysninger
Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor HVL, må du avklare om du har lov til å dele personopplysningene. Den virksomheten eller forskerne/studentene/medarbeiderne du skal dele opplysninger med må være omtalt i meldeskjema til NSD og eventuelt i søknad til REK. Da er også behov for en samarbeidsavtale. 

Avtale for forskningssamarbeid
I noen tilfeller vil samarbeidet innebære felles behandlingsansvar for personopplysninger. 

Ta kontakt på forskningsetikk@hvl.no dersom du trenger hjelp med å sette opp samarbeidsavtale eller avtale om felles behandlingsansvar.

Databehandleravtale med de som behandler data på dine vegne
Hvis det er andre som skal behandle personopplysningene på dine vegne er det nødvendig med en databehandleravtale. Mal for databehandleravtale finner du her.

Sikker lagring

Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Ved HVL er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.

Forskningsserver
HVL har en egen forskningsserver som skal benyttes for å behandle særlige kategorier (sensitive) personopplysninger. Dette gjelder for både studenter og ansatte.

For å få tilgang til forskningsserveren ved HVL, må prosjektet registreres. Dette gjøres av prosjektleder etter at prosjektet er meldt til NSD/REK og det foreligger et positivt svar.

Registreringsskjema for tilgang til forskningsserveren ved HVL finner du her.

Brukerveiledning for nye brukere av forskningsserveren finner du her.

Gjennom registreringen autoriserer prosjektleder medarbeidere som skal ha tilgang til forskningsdata på forskningsserveren. Dersom en ekstern forskningsmedarbeider skal ha tilgang til forskningsdataene, skal det undertegnes Avtale med ikke-ansatt.

All sensitiv data skal overføres til forskningsserveren umiddelbart og slettes fra andre enheter og videre behandling av disse dataene skal foregå på HVL sin forskingsserver. Dersom data skal behandles på andre enheter må dataene benyttes i avidentifisert form der personopplysninger og indirekte identifiserbare opplysninger er fjernet.

Lagring på privat enhet for studenter
Studenter kan lagre data som ikke inneholder sensitive personopplysninger på sine private enheter. Dette gjelder også lyd- og video.
Dersom prosjektet inneholder personopplysninger og skal meldes til NSD, må retningslinjen til HVL legges ved. 


Lagring av forskningsdata på OneDrive for forskere
Forskere kan lagre forskingsdata på OneDrive med to-faktorpålogging, eller på forskingsserveren. Tilgang til OneDrive med to-faktorpålogging får du ved å kontakte fagansvarlig for forskingsetikk og personvern i forsking.

Husk at sensitive opplysninger alltid skal lagres på forskningsserveren

Bruk av diktafon, Zoom, Teams og SurveyXact i datainnsamling

Studenter og forskere kan benytte Zoom til intervjuer med eller uten bilde, i de tilfellene der disse ikke inneholder særlige kategorier (sensitive) personopplysninger. HVL-konto og ende-til-ende kryptering må benyttes.

Teams kan inntil videre bare benyttes ved godkjenning fra prodekan for forsking og fagansvarlig for forskingsetikk og personvern i forsking.

HVL ønsker at lydopptak tas med diktafon eller ved bruk av Zoom. Smarttelefon kan benyttes dersom du følger retningslinjene for bruk av private enheter.

SurveyXact brukes som til å gjennomføre spørreundersøkelser og HVL har databehandler avtale med tjenesteleverandøren. Når det registreres personopplysninger må undersøkelsen meldes til NSD.  Dersom undersøkelsen gjennomføres anonymt uten kobling mot IP adresse,  eller at det innhentes bakgrunnsvariabler som gjør at deltakerne kan identifiseres indirekte, så skal det ikke meldes til NSD. 

Arkivering og tilgjengeliggjøring av data

Arkivering er å gjøre data tilgjengelig for andre forskere etter eget prosjekt er avsluttet. Prosjekter som får ekstern finansiering fra NFR eller EU har som regel krav om å tilgjengeliggjøre data etter prosjektslutt. Data skal være så åpne som mulig og så lukket som nødvendig. Det betyr at det som hovedregel er anonymiserte data som arkiveres.

Biblioteket har egne nettsider om tilgjengeliggjøring av forskningsdata. 

 

Innhente data utenfor Norge

Når student eller forsker ved HVL innhenter opplysninger i andre land gjelder HVL sine rutiner, norsk lov og nasjonale forskningsetiske retningslinjer. I tillegg må forsker/student overholde de lokale retningslinjene og lovverket.

Datahåndteringsplan

Prosjekter som har fått finansiering fra NFR og EU må utforme en datahåndteringsplan. En datahåndteringsplan er et verktøy som hjelper deg å planlegge hvordan forskningsdataene skal håndteres fra start til slutt i prosjektet. Vi anbefaler å bruke NSD sin mal for datahåndteringsplan. Ved behov for veiledning, kontakt: forskningsetikk@hvl.no

Rapportere avvik

Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal dette meldes til veileder eller leder. Du kan også melde fra på forskningsetikk@hvl.no, på sei ifrå, eller til personvernombod@hvl.no

Opplæring

Ved behov for opplæring av forskere, studenter, eller administrativt ansatte i personvern eller forskningsetikk ta kontakt her: forskningsetikk@hvl.no