Personvern i forskning

Dersom du skal bruke personopplysninger i forskning må du registrere dette i et meldeskjema til Sikt. Sikt er HVL sin personvernrådgiver. Sikt personverntjenester vil foreta en vurdering av om den planlagte behandlingen er i tråd med krav i personvernregelverket.   

Meldeskjemaet til Sikt finner du her.

Veiledning til utfylling av meldeskjema

Det er viktig at meldeskjemaet blir fylt ut korrekt. Avkrysningene man gjør i meldeskjemaet har noe å si for hvordan Sikt vurderer meldeskjemaet. Alle meldeskjema hvor avkrysningene tyder på at personvernrisikoen vil være lav får kun en automatisk vurdering av Sikt. Det vil si at ingen rådgiver går gjennom meldeskjemaet og gir veiledning. Derfor er det særlig viktig at informasjon som indikerer en høy personvernrisiko blir oppgitt i meldeskjema. Meldeskjema som indikerer at prosjektet har en høyere personvernrisiko vil bli vurdert manuelt av en rådgiver som kan bistå prosjektleder med veiledning.  

Følgende avkrysninger i meldeskjema vil indikere at prosjektet har en høyere personvernrisiko, og vil derfor bli vurdert manuelt av en rådgiver:

• Særlige kategorier personopplysninger (personopplysninger som er ekstra sensitive og derfor trenger ekstra beskyttelse). Slike persondata skal lagres med ekstra beskyttelse på HVL sin forskningsserver, HVL SILAF. Det blir automatisk opprettet lagringsplass på SILAF når det er krysset av i meldeskjema for at det skal behandles særlige kategorier. Følgende personopplysninger er særlige kategorier: Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere noen, helseopplysninger, opplysninger om seksuelle forhold, seksuell legning, straffedommer og lovovertredelser (GDPR, art. 9. og 10.)
• Helseopplysninger: GDPR legger opp til en bred tolkning av hva som anses som helseopplysninger. Dette betyr at også informasjon som alene virker lite sensitiv, kan være helseopplysninger hvis den – på egen hånd eller i kombinasjon med andre data – kan avsløre noe om helsetilstanden til en identifiserbar person. Høyde, vekt, pollenallergi og langsynthet er eksempler på mindre sensitive helseopplysninger. Informasjon om psykiske eller fysiske diagnoser, reproduktiv helse eller rusavhengighet er eksempler på sensitive helseopplysninger.
• Personopplysninger om tredjepersoner. Det vil si at det samles inn opplysninger om noen som ikke dirkete deltar i forskningen, men som en annen informant gir opplysninger om. For eksempel nærmeste familie, venner eller kolleger.
• Utvalg: På utvalg skal du beskrive noen karteristikker om de man skal bruke opplysninger om. Man skal oppgi alder, fordi det er av betydning om man skal bruke persondata om voksne eller barn. Meldeskjema oppgir også noen grupper man skal krysse av for om vil inngå i utvalget:
  - Pasienter, uføre eller syke
  - Sårbare grupper
  - Personer bosatt i land utenfor EU/EØS
  - Voksne (18 år +) som ikke kan samtykke selv.
• Utvalget mottar ikke informasjon om behandlingen av personopplysningene? Dette er også et spørsmål i meldeskjemaet under utvalg.
• Lagring av persondata etter prosjektslutt. Hvis det er planlagt at persondataene skal kunne brukes til lignende prosjekt i fremtiden må det krysses av dette under punktet avslutning.

Vær også oppmerksom på følgende:

• Formål: Du må oppgi alle formål personopplysningene skal brukes til. Planlegger du å bruke persondataene for eksempel både til forskningsformål og undervisningsformål må du oppgi begge deler.
• Behandlingsgrunnlag: HVL anbefaler at forskningsprosjekt krysser av for allmennhetens interesse som behandlingsgrunnlag. Dersom det er planlagt at persondataene skal brukes til fremtidige prosjekter kan det gjøre det mer utfordrende dersom samtykke er behandlingsgrunnlag.

Informasjonsskriv 

Ved innsending av meldeskjema til Sikt skal du laste opp informasjonsskrivet som skal brukes til å informere deltakerne om den planlagte behandlingen av personopplysninger.

HVL har utarbeidet en egen mal for informasjonsskriv til forskningsprosjekter, og det anbefales å benytte denne. Du finner malen her:

Informasjonsskriv for forskningsprosjekt

Informasjonsskriv for studentoppgaver

Personvernkonsekvensvurdering (DPIA)

Når du melder ditt prosjekt til Sikt, vil de foreta en vurdering av prosjektets personvernkonsekvenser. Dersom prosjektet antas å ville innebære høy risiko for informantenes personvern, vil Sikt melde fra til HVL om at det må gjennomføres en inngående personvernkonsekvensvurdering der risikoer og tiltak for å minske risikoene blir kartlagt. Dette kalles en DPIA.

Eksempler på behandling som kan gjøre at DPIA vil være nødvendig:

• Storskala behandling av særlige kategorier personopplysninger
• Bruk av ny innovativ teknologi
• Behandling som involverer sårbare grupper
• Behandling hvor de registrerte (de man behandler personopplysninger om) ikke mottar informasjon om behandlingen  

DPIA vil bli gjennomført i samarbeid mellom prosjektleder, rådgiver i Sikt og rådgiver i AFII. HVL sitt personvernombud skal alltid rådføres når det gjennomføres en DPIA. DPIA skal godkjennes av prorektor for forskning.

Når trenger man ikke melde til Sikt:

Når du ikke skal behandle personopplysninger er undersøkelsen anonym og skal ikke meldes til Sikt. Hvis du kan svare ja på ett av spørsmålene under er undersøkelsen ikke anonym:

• Skal du bruke lydopptak?
• Skal du samle inn bakgrunnsopplysninger i en survey som gjør at du kan identifisere enkeltpersoner? Kan surveyen koples til IP adresse?
• Kan du kople svarene dine til identiteten på deltakere gjennom en navneliste/koblingsnøkkel?
• Inneholder datamaterialet andre kjennetegn som gjør at enkeltpersoner er sporbare?

Helseforskingsloven regulerer forsking på mennesker, humant biologisk materiale og helseopplysninger, som blir utført for å skaffe ny kunnskap om helse og sykdom. Alle forskningsprosjekter som omfattes av bestemmelsene i helseforskingsloven, skal forhåndsgodkjennes av Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Observasjoner på Helseinstitusjoner må som en hovedregel ha samtykke fra de som observeres, og vurderes fra sak til sak. 

• Søknadsskjemaet til REK finner du på rekportalen.no

For studentprosjekt som kommer innunder helseforskningsloven er det veileder, og ikke studenten selv, som søker om forhåndsgodkjenning av REK. Det samme gjelder for P.hd. - studenter.

Vær oppmerksom på at REK har søknadsfrister. 

Forskningsprosjektet skal i tillegg meldes til Sikt som gjør en individuell vurdering av prosjektets personvernkonsekvenser.

Dele personopplysninger
Dersom du skal dele personopplysninger med andre personer, institusjoner, organisasjoner eller virksomheter utenfor HVL, må du avklare om du har lov til å dele personopplysningene. Den virksomheten eller forskerne/studentene/medarbeiderne du skal dele opplysninger med må være omtalt i meldeskjema til Sikt personverntjenester og eventuelt i søknad til REK. Da er det som regel også behov for en samarbeidsavtale mellom virksomhetene. 

Avtale for forskningssamarbeid
I noen tilfeller vil samarbeidet innebære felles behandlingsansvar for personopplysninger. 

Ta kontakt på personvern-afii@hvl.no dersom du trenger hjelp med å sette opp samarbeidsavtale eller avtale om felles behandlingsansvar. Det er prosjektleder eller veileder for studenter som må sørge for at avtaler inngås. 

Databehandleravtale med de som behandler data på dine vegne
Hvis det er andre som skal behandle personopplysningene på dine vegne er det nødvendig med en databehandleravtale. Mal for databehandleravtale finner du her.

HVL har rammeavtaler med blant annet databehandlere som surveyxact (verktøy for spørreundersøkelser), totaltekst (transkripsjon, språkvask, oversettelse) og panopto (programvare for video). Hvis du bruker disse verktøyene trenger du ikke en egen avtale

Personopplysninger skal behandles på en måte som gir tilstrekkelig sikkerhet for personopplysningene, og vern mot uautorisert tilgang og skade. Ved HVL er det gitt anbefalinger for lagring av data ut fra klassifisering som ivaretar disse hensynene.

• HVL sin forskningsserver
• Bruk av private enheter (studenter)
• Bruk av OneDrive med to-faktorpålogging (ansatte)

Forskningsserver
HVL har en egen forskningsserver (SILAF) som skal benyttes for å behandle særlige kategorier (sensitive) personopplysninger. Dette gjelder for både studenter og ansatte.

For å få tilgang til forskningsserveren (SILAF) ved HVL, må prosjektet registreres. Dette gjøres av prosjektleder etter at prosjektet er meldt til Sikt/REK og det foreligger et positivt svar.

Registreringsskjema for tilgang til forskningsserveren ved HVL finner du her.

Brukerveiledning for nye brukere av forskningsserveren finner du her.

Gjennom registreringen autoriserer prosjektleder medarbeidere som skal ha tilgang til forskningsdata på forskningsserveren (SILAF). Dersom en ekstern forskningsmedarbeider skal ha tilgang til forskningsdataene, skal det undertegnes Avtale med ikke-ansatt.

All sensitiv data skal overføres til forskningsserveren (SILAF) umiddelbart og slettes fra andre enheter og videre behandling av disse dataene skal foregå på HVL sin forskingsserver. Dersom data skal behandles på andre enheter må dataene benyttes i avidentifisert form der personopplysninger og indirekte identifiserbare opplysninger er fjernet.

Lagring på privat enhet for studenter
Studenter kan lagre data som ikke inneholder sensitive personopplysninger på sine private enheter. Dette gjelder også lyd- og video.
Dersom prosjektet inneholder personopplysninger og skal meldes til Sikt, må retningslinjen til HVL legges ved. 

Lagring av forskningsdata på OneDrive for forskere
Forskere kan lagre forskingsdata på Microsoft 365 med multifaktorpålogging, eller på forskingsserveren (SILAF). Multifaktorifaktorpålogging får du lagt til brukeren din ved å kontakte IT-hjelp.

Husk at sensitive opplysninger alltid skal lagres på forskningsserveren (SILAF). 

Studenter og forskere kan benytte Zoom til intervjuer med eller uten bilde, i de tilfellene der disse ikke inneholder særlige kategorier (sensitive) personopplysninger. HVL-konto og ende-til-ende kryptering må benyttes.

Teams kan brukes ved behandling  av alminnelige opplysninger (gule data), også ved opptak av video.

HVL ønsker at lydopptak tas med diktafon eller ved bruk av Zoom. Smarttelefon kan benyttes dersom du følger retningslinjene for bruk av private enheter.

SurveyXact brukes som til å gjennomføre spørreundersøkelser og HVL har databehandler avtale med tjenesteleverandøren. Når det registreres personopplysninger må undersøkelsen meldes til Sikt  Dersom undersøkelsen gjennomføres anonymt uten kobling mot IP adresse,  eller at det innhentes bakgrunnsvariabler som gjør at deltakerne kan identifiseres indirekte, så skal det ikke meldes til Sikt. 

Når student eller forsker ved HVL innhenter opplysninger i andre land gjelder HVL sine rutiner, norsk lov og nasjonale forskningsetiske retningslinjer. I tillegg må forsker/student overholde de lokale retningslinjene og lovverket.

Dersom du oppdager et avvik fra disse rutinene eller personvernregelverket i forbindelse med behandling av personopplysninger i forskningsprosjektet skal dette meldes til veileder eller leder. Du kan også melde fra på personvern-afii@hvl.no, på sei ifrå, eller til personvernombod@hvl.no

Ved behov for opplæring av vitenskapelig eller administrativt ansatte i personvern ta kontakt her: personvern-afii@hvl.no