8. Overføring av personopplysninger og helseforskningsdata til prosjekt utenfor egen virksomhet

HVL skal sikre rettmessig overføring av personopplysninger og helseforskningsdata fra prosjekter der HVL er/har vært behandlingsansvarlig, til bruk i prosjekt der en annen institusjon er behandlingsansvarlig.

 • HVL ved prosjektleder kan overføre personopplysninger og helseforskningsdata til ekstern virksomhet dersom det foreligger lovlig grunnlag.
 • Søknad om overføring av personopplysninger og helseforskningsdata person- og helseopplysninger skal rettes skriftlig til HVL ved prorektor for forskning, som fatter vedtak om overføring.
  • Bekreftelse på gyldig behandlingsgrunnlag, en spesifikasjon av hvilke personopplysninger som søkes utlevert og hvordan disse skal oppbevares skal legges ved.
  • HVL vurderer om opprinnelig informasjonsskriv og samtykkeerklæring rommer overføringen.
  • Spørsmål om overføring av registerdata som HVL har mottatt fra en ekstern virksomhet, skal rettes til det opprinnelige registeret.
  • Overføringen skal være avtalefestet i en samarbeidsavtale mellom institusjonene.
 • Prosjektleder sammenstiller personopplysningene og helseforskningdataene før overføring, evt. kan dette gjøres av databehandler etter avtale.
  • Personer som ikke er underlagt HVL sin instruksjonsmyndighet kan ikke gis tilgang til HVL sin forskningsserver for selv å hente ut opplysningene.
 • Ved overføring må prosjektleder påse at:
  • Dersom opplysningene skal overføres avidentifisert skal det opprinnelige koblingsnummeret erstattes med et nytt. De utleverte koblingsnumrene oppbevares sammen med koblingsnøkkelen.
  • Overføring av avidentifiserte data via minnepenn eller CD/DVD sendes rekommandert i to forsendelser med koblingsnøkkel og data hver for seg, fortrinnsvis kryptert.
  • Løsninger for utleveringer via skytjenester skal være risikovurdert og tilfredsstiller HVL sine krav til akseptabelt risikonivå, jf. skytjenester tilbudt av HVL.
  • Ved utlevering til land utenfor EØS (tredjestater eller internasjonale organisasjoner) skal dette skje i henhold til Artiklene 44-50 i personvernforordningen, og utlevering skal dokumenteres. Prosjektleder skal ha dialog med personvernombudet eller forskningsadministrasjonen for å sikre lovlig utlevering.
 • Dersom uautorisert utlevering av personopplysninger har skjedd skal prosjektleder omgående informere behandlingsansvarlig som må varsle Datatilsynet, se 9.b Håndtering av avvik og brudd på personopplysningssikkerheten.