English version of this page

Personvern i forskning

Hva er personopplysninger og hva vil det si å behandle personopplysninger? Hvordan påvirker personvernforordningen (GDPR) forskningsprosjekter ved HINN? Når og på hvilken måte må et prosjekt meldes til SIKT Personverntjenester?

Her følger informasjonen om hvordan innsamling av personopplysninger skal foregå når formålet er forskning. Merk deg at disse rutinene ikke gjelder for personopplysninger som følger eksamenssvar, emneevalueringer og annen pedagogisk kartlegging.

Bachelor- og masteroppgaver regnes som forskningsprosjekt, og studentene har en egen lignende informasjonsside om personvern i studentoppgaver, dels med overlappende informasjon. 

Fra høsten 2023: HINN har egne maler for informasjon- og samtykkeskriv. Du skal benytte en av dem for å sikre korrekte formelle opplysninger som er tilpasset HINN (se mer under - trinn 7).

Om du baserer ditt forskningsprosjekt helt eller delvis på innsamling av personopplysninger, stiller det alltid ekstra krav til datasikkerhet. Les mer her om datahåndtering i forskning ved HINN.

Trinn-for-trinn-veiledning om datakategorisering og personvern  

Trinn 1: Avgjør hva slags data du skal samle inn og om det krever tillatelse

Kategorier av opplysninger (data) som kan bli samlet inn. Listen er ikke uttømmende.

Personopplysninger: Du må differensiere mellom anonyme, alminnelige eller særskilte (sensitive). Stemmen er i seg selv en personopplysning, derfor vil et intervjuopptak bli omfattet av personvernet som annen personidentifiserende data. 

Opplysninger fra dokumenter: Vil du skrive en kunnskapsoppsummering (systematisk oversikt), konfererer du med biblioteket.  Andre dokumentstudier kan f.eks. være basert på sakspapirer fra offentlige etater, journaler, arkiv eller lignende.  Følger det med i dokumentene identifiserbare personopplysninger fra ikke-offentlige personer og det heller ikke er historiebasert, kan reglene for behandling av personopplysninger komme til anvendelse.

Opplysninger fra sosiale medier: Informasjon som ligger åpent tilgjengelig på nettet er ikke nødvendigvis offentlig. De du samler opplysninger, f.eks. fra en blogger, skal som hovedregel være informert og ha samtykket. Dermed må du sette deg inn i all informasjon som du finner videre her som angår behandling av personopplysninger.

Bruk av dyr i forskning: Følg egne nasjonale etiske retningslinjer.

Humant biologisk materiale: Følg Helseforskningsloven, kpt 6  

Sekundære data/registerdata: Les informasjon fra biblioteket her

Tillatelser

Samler du inn personopplysninger utløser du meldeplikt til Sikt Personverntjenester (tidligere NSD). Du må lese all påfølgende informasjon på denne siden. Sett av god tid! Sikts saksbehandlingstid er ca 30 dager og du kan ikke begynne før du har fått svar. Melding til Sikt gjelder kun for forskningsprosjekter og bachelor- og masteroppgaver regnes som det. Andre studentrealterte oppgaver med innsamling av personopplysninger underveis i studieløpet, i tillegg til ikke-anonyme evalueringer og studentundersøkelser, skal vurderes av HINNs lokale personvernombud

Skal du samle inn personopplysninger blant grupper som tilhører en institusjon, f.eks. med intervju eller spørreskjema til brukere og ansatte i en institusjon, en skole eller et politikammer, må du som hovedregel innhente tillatelse fra institusjonsledelsen. Det samme gjelder om du skal samle inn opplysninger fra studenter og ansatte på HINN. Melding til Sikt Personverntjenester kommer i tillegg til lokal tillatelse.  

Vær oppmerksom på å ikke komme i konflikt med andres opphavsrett.

Taushetserklæring

Dersom det inngår bachelor- eller masterprosjektet i et forskningsprosjekt ved HINN vil studenten mest sannsynlig få tilgang til mer beskyttelsesverdig informasjon enn det som angår studentens prosjekt, og taushetserklæring må opprettes. 
Innleide transkribtører må også signere taushetserklæring sammen med kontrakten. 

Trinn 2: Forstå hva personopplysninger er. Hva får du lov til å samle inn eller ikke?

Personopplysninger deles i tre kategorier; anonyme, alminnelige og særskilte, også kalt sensitive. Juridisk sett regnes ikke anonyme opplysninger som personopplysninger og omfattes ikke av personvernforordningen (GDPR). Men i begynnelsen er det nyttig å se alt under ett for å forstå sammenhengen.

I personvernforordningen omtales alle former for innsamling og bearbeiding av data for ‘behandling av personopplysninger’.  Man kan behandle opplysninger om personer selv om man ikke aktivt bruker opplysningene til noe.

HINN som institusjon er definert som behandlingsansvarlig for personopplysninger i forsker- og studentprosjekter, og forpliktes til å gi forskere, studenter og deres veiledere retningslinjer og informasjon, sørge for sikre dataløsninger og å holde oversikt/kontroll. 

En personopplysning er enhver opplysning som kan knyttes til en person. Opplysninger kan for eksempel knyttes til en person via fødselsnummer, navn, e-postadresse, IP-adresse eller referansenummer som viser til en navneliste eller register, en sammenstilling av bakgrunnsopplysninger (indirekte identifisering), biometri o.a. Stemmen er i seg selv en personopplysning, dermed er et intervjuopptak behandling av personopplysninger.

Sensitive personopplysninger, også kalt særskilte, er opplysninger om informanten din som angår rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (GDPR art. 9). 

Med helseopplysninger forstås opplysninger om en persons fysiske eller psykiske helse i vid forstand, også ytelser av helsetjenester eller om sosiale forhold.

Når opplysninger hentes fra barn  og andre sårbare grupper, vil det i seg selv kunne bli kategorisert som sensitive/særskilte personopplysninger.

Det er i utgangspunktet ikke tillatt for noen å behandle særskilte personopplysninger. For å gjøre behandling av særskilte opplysninger mulig, må det ha et velbegrunnet formål og en nytteverdi for samfunnet, i tillegg til uttrykkelig samtykke fra informantene (GDPR art.9, 2.ledd). Unntak fra å innhente samtykke kan skje helt unntaksvis etter spesiell vurdering av Sikt og HINNs forskningsadministrasjon. 

Hovedregelen ved HINN er at alle studenter bør unngå behandling av personopplysninger, og at det først kan forsvares dersom det ikke finnes gode alternativer. Bachelorstudenter får uansett ikke lov til å behandle særskilte personopplysninger.

Reglene for behandling av personopplysninger for henholdsvis bachelor-, master- og  forskningsprosjekter:

  Bachelor Master  Forsker 
Anonyme JA JA JA
Alminnelige Helst ikke Ja Ja 
Sensitive NEI Helst ikke Etter nærmere vurdering

Tenk nøye over om studenter du veileder kan redusere personvernulempen i prosjektet sitt; trenger studenten i det hele tatt å behandle personopplysninger? Må  masterstudent og like gjerne deg som forsker samle inn særskilte opplysninger eller holder det med alminnelige personopplysninger? Og hvis du synes du må, legg allikevel bånd på deg for å avgrense datainnsamlingen. Spør kun etter opplysninger som klart tjener formålet med undersøkelsen din.

Trinn 3: Finn ut om du kan unngå å samle inn personopplysninger

Enhver virksomhet, Høgskolen i Innlandet inkludert, må ha som mål å behandle færrest mulig personopplysninger. Dette er også et individuelt ansvar du må ta. Du kan velge å basere prosjektet ditt på informasjon som ikke angår personer direkte (se trinn 1) eller du kan samle inn anonyme opplysninger.

Trinn 4: For veiledere og studenter: Avklar ansvarfordelingen dere i mellom 

Veileder er prosjektleder i en bachelor- eller masteroppgave. Studenten har allikevel et selvstendig ansvar for å sette seg inn i og etterleve krav som utløses når man velger å behandle personopplysninger. Sammen skal man først vurdere om studentprosjektet kan gjennomføres uten å behandle personopplysninger. Hvis det ikke er aktuelt må student melde prosjektet til Sikt Personverntjenester (se trinn 8). Her oppgis veileder som prosjektleder og studenten deler meldeskjemaet med veileder.

Særskilte personopplysninger kan ikke samles inn i bachelorprosjekter, og unngås så langt råd i mastergradsprosjekter og må alltid være gjenstand for diskusjon mellom student og veileder.

Veileder og student bør sette av nok tid til å diskutere informasjon- og samtykkeskriv.  En samtale om forskningsetikk i bred forstand, bør inngå, og spesielt i helse- og sosialfag der fremleggelse for enten Regional etisk komite (REK) eller HINNs komité for forskningsetikk, kan bli aktuelt. 

Benytt denne sjekklisten som kontroll på at pliktene er/blir ivaretatt.

Studenten anbefales i samråd med veileder utarbeide en enkel datahåndteringsplan.

Trinn 5: Forstå personvernforordningen (GDPR) og krav du må innfri

Personvernforordningen, på engelsk kalt General Data Protection Regulation (GDPR), tro i kraft i 2018 og har som viktigste formål å styrke personvernet i EU/EØS-land. Både privat næringsliv, offentlig virksomhet og forskning omfattes av GDPR. Hvis du skal behandle personopplysninger i prosjektet ditt, vil GDPR også påvirke deg, og dette er det mest relevante:

  • Forskningsdata skal kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene .
  • Forskeren/studenten kan bare behandle data som er nødvendig for forskningsformålet.
  • Behandling av personopplysninger kan godtas dersom det ikke finnes gode alternativer, og har et klart formål og nytteverdi for samfunnet.
  • Behandling av personopplysninger kan først skje etter dokumentert samtykke fra personer med samtykkekompetanse.
  • Samtykke skal kunne trekkes like lett som det gis, og alle data om vedkommende slettes umiddelbart hvis samtykket trekkes.
  • Personopplysningene skal lagres sikkert og ikke lengre enn nødvendig for formålet. Personopplysninger skal som hovedregel være slettet ved prosjektslutt. 

Du må sikre at du kan innfri dine informanters (forskningsdeltakeres) rettigheter. Det vil si at så lenge en person kan identifiseres i datamaterialet, har vedkommende rett til:

  • når som helst kunne avbryte deltakelsen uten begrunnelse (trekke samtykket). 
  • innsyn i hvilke personopplysninger som er registrert om seg,
  • å få rettet personopplysninger om seg, hvis noe viser seg å være feil eller ufullstendig
  • få slettet personopplysninger om seg
  • få utlevert en kopi av sine personopplysninger og
  • å sende klage til personvernombudet eller Datatilsynet om behandlingen av sine personopplysninger

Du må opplyse om rettighetene i informasjon- og samtykkeskrivet du skriver i forkant av rekruttering informanter. Ingen kan inkluderes i prosjektet ditt før samtykkeerklæring er signert. Les mer om samtykke i trinn 7.

Retten til å klage 

Dersom det er inkluderte informanter/forskningsdeltakere som mener at behandlingen av personopplysningene ikke har foregått på en korrekt og lovlig måte i prosjektet ditt, eller mener at du og/eller HINN som behandlingsansvarlig institusjon ikke har klart eller motsatt seg å oppfylle rettighetene, har vedkommende mulighet til å klage over behandlingen til HINNs personvernombud.

Dersom HINN ikke tar klagen til følge, har informant/forskningsdeltaker mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven/GDPR ved behandling av personopplysninger. 

Trinn 6: Velg dataløsninger for sikker innsamling og lagring

Informasjonssikkerhet er viktig enten prosjektet ditt er basert på personopplysninger eller ikke. Det er ille å miste eller få manipulert data du har samlet inn!

HINN har hovedansvaret for informasjonssikkerhet ved å forebygge, oppdage og håndtere tre situasjoner som kan oppstå: 

  • Uvedkommende får innsyn i beskyttelsesverdig informasjon (=konfidensialitet). 
  • Informasjon og systemer endres, skades eller slettes på uautoriserte eller utilsiktete måter (=integritet).
  • Informasjon og systemer går tapt eller er utilgjengelige når behovet er der (=tilgjengelighet).

Forsker/student har ansvar for å:

  • Følge retningslinjer for forsknings- og studentprosjektet (dvs. informasjon på denne websiden).
  • Alltid benytte høgskolens dataløsninger basert på Feide-innlogging når du behandler personopplysninger eller for annen data som bør beskyttes.
  • Aldri benytte private skytjenester eller private filmapper for innsamling og lagring av prosjektdata. Det gjelder Google Drive, ICloud, Dropbox, private Office 365-tjenester, Filr, Slack og så videre. Da havner data utenfor HINNs eie og beskyttelse og medfører brudd på informasjonssikkerheten.
  • Ikke utveksle data pr e-post, Messenger, sms eller minneenheter.

Forsker/student har tillatelse til å

  • Benytte eget privat utstyr/devices som pc, mac, smarttelefon eller nettbrett. Hvem som eier enheten har ingen betydning. Det som har betydning er hvilken skytjenestekonto du logger deg inn i; det må alltid være med FEIDE-innlogging som et minimum, noen ganger også pinkode i tillegg (flertrinns autentisering).

GUIDE FOR INNSAMLING OG LAGRING AV DATA MENS PROSJEKTET PÅGÅR  

 

Hvorfor må du kun benytte deg av HINNs datatjenester?

  • De datatjenestene HINN og/eller UH-sektoren har databehandleravtale med er basert på Feide-innlogging som et minimum for at du kan komme i gang på korrekt måte. Disse tjenestene har innebygget personvern ("privacy by design") som sterkt reduserer sannsynligheten for sikkerhetsbrudd.
  • HINN eier data og er behandlingsansvarlig for personopplysninger mens prosjektet ditt pågår. Slippes data til private skytjenestekontoer mister HINN eierskapet og kan ikke lenger ivareta behandlingsansvaret.

Dine data må befinne seg på ett sted! Du kan ikke duplisere data med e-post-vedlegg, kopier til private mapper, minnebrikker, eksterne harddisker e.l.  Vil du dele data med andre, tildeler du tilgang til HINN/Feide-One Drive-mappen din (evt TSD-mappen). Dette er nødvendig for å kunne etterleve personvernprinsippene i GDPR (se trinn 5) om datasikkerhet, innsyn, retting og sletting;  for eksempel hvis en av dine informanter hevder sin rett til kontroll over egne opplysninger og vil rette eller slette data, er ikke det mulig dersom data er spredd til ulike steder og til flere samarbeidspartner.

 

Trinn 7: Lag et informasjonsskriv med samtykkeskjema og vurder samtykkekompetanse

Informert samtykke er den kommunikasjon og de opplysninger som gjør at hver deltaker, uavhengig alder og mental kapasitet, kan ta en kvalifisert beslutning om å delta i ditt studentprosjekt. For at samtykket faktisk kan kalles et informert samtykke må du bruke tid på å utarbeide informasjon om prosjektet ditt. Test ut teksten din på personer du kjenner som kan ligne på informantgruppen du skal rekruttere fra. Enhver tvil om hva som faktisk står skrevet eller opplysninger som savnes, må du ta til deg og revidere. Vær også forberedt på å gi muntlig informasjon i tillegg,

Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette. 

HINN har egne maler for informasjon- og samtykkeskriv. Du skal benytte en av dem for å sikre korrekte formelle opplysninger som er tilpasset HINN. Du trenger ikke følge den slavisk, du må se til at alle obligatorisk tema som er merket ut i malen, er omtalt i ditt skriv.  Det er også mulig å lage en informasjonsvideo sammen med det skriftlige.   

Mer om samtykke og informasjonsskriv (Sikt). 

Samtykkekompetanse

Du skal være ytterst oppmerksom på «redusert eller manglende samtykkekompetanse». Det betyr at informanten(e) dine kan være ute av stand til å forstå hva samtykket omfatter. Det kan dreie seg om «sårbare grupper» som f.eks. psykisk utviklingshemmede, barn, ruspåvirkete og demente. Eller det dreier seg om at du spør om samtykke fra informanter i «sårbare situasjoner» som stress, ulykker, akutt sykdom osv. 

Umyndiggjorte skal i så stor utstrekning som mulig selv samtykke. Dersom dette ikke er mulig, skal vergen samtykke.

Aldersgrenser

Avhengig av prosjektets art og omfang, er vanlig praksis 15 års aldersgrense for når barn kan samtykke selv til deltakelse i forskning. Gjelder det sensitive personopplysninger er aldersgrensen 16 -18 år. For de yngre må foreldre/foresatte eller verge samtykke på vegne av barnet.

Helseforskning: Mindreårige mellom 16 og 18 år kan samtykke med mindre annet følger av særlige lovbestemmelser eller tiltakets art. Samtykke fra foreldre/foresatte kreves hvis forskningen innebærer legemsinngrep eller legemiddelutprøving.

Helseforskningsloven § 17 har nærmere bestemmelser om samtykkekompetanse.

Trinn 8: Ivareta meldeplikten til Sikt Personverntjenester 

Har du kommet fram til at du skal behandle elektroniske opplysninger om personer i ditt forsknings- eller studentprosjekt, trenger du dokumentasjon fra Sikt ​Personverntjenester på at prosjektet ditt behandler personopplysninger på en lovlig måte.  Meldeplikten gjelder uansett om det er forsker-, master-  eller bachelorprosjekter.

Meldeplikten gjelder uansett hvilken innsamlingsmetode du velger, også intervjuer eller på informasjon som er gjort tilgjengelig på internett /sosiale medier.

Et anonymt prosjekt er ikke meldepliktig, men da må du være helt sikker på at innsamlingen faktisk er anonymt – se trinn 3.

Her er alle opplysninger du trenger for å kontrollere at du faktisk skal melde eller ikke, og i så fall hvordan du skal gå fram.

For studenter: Veileder er den formelle prosjektlederen i ditt bachelor- eller masterprosjekt. Det innebærer bl.a. at studenten må dele  meldeskjema med veileder, og sammen diskutere meldingen før den sendes.

Hva vurderer Sikt Personverntjenester?

Når meldeskjemaet vurderes, gjør Sikt en helhetlig vurdering av hvordan innmelder planlegger å behandle personopplysninger ved å se blant annet på:

  • om personopplysningene en vil samle inn er relevante for formålet med prosjektet.
  • hvordan opplysningene skal samles inn, registreres, oppbevares og eventuelt sammenstilles eller utleveres
  • om en må informere utvalget og innhente samtykke fra dem
  • om informasjonsskriv og samtykkeerklæring oppfyller lovkravene
  • hvor lenge personopplysningene skal oppbevares, og om de skal anonymiseres eller lagres videre etter prosjektslutt
Hvordan vurderer Sikt et meldeskjema?
  • Når et meldeskjema er sendt inn til forhåndsvurdering, vil det bli gjennomgått av en personvernrådgiver.
  • Meldeskjemaet sendes i retur til innmelder dersom det ikke er fylt ut riktig eller vedlegg mangler.
  • Hvis innmelder får meldeskjemaet i retur, finner innmelder personvernrådgiverens kommentarer på Min side. Innmelder må så gjøre nødvendige endringer i meldeskjemaet og sende det inn på nytt.
  • Innmelder fyller selv ut meldeskjemaet og argumentere for hva som er riktig i prosjektet. NSDs personvernrådgivere kan ikke endre eller oppdatere meldeskjemaet for innmelder. 

Når meldeskjemaet er ferdig vurdert, fungerer dette som dokumentasjon på at prosjektet behandler personopplysninger på en lovlig måte. Forutsetningen er at forsker/student følger sin institusjon (HINN) retningslinjer for informasjonssikkerhet

Utvidet vurdering av prosjekter med høy risiko og konsekvens for personvernet (DPIA)

En utvidet personvernkonsekvensvurdering, i GDPR betegnet som 'data protection impact assessment' (DPIA),  vil være nødvendig i spesielt inngripende prosjekter med behov for risikoreduserende tiltak.  DPIA må utarbeides i samarbeid med NSD Personvernombudet og personvernombudet lokalt på HINN i samråd med personvernrådgiver for forskning. Her er Datatilsynets liste over prosjekter som alltid vil kreve DPIA. Merk spesielt at HINN-prosjekter rettet mot barn kan utløse DPIA, se punktet "behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager."  

Trinn 9: Hvis det skjer endringer underveis i prosjektet eller det er forsinket.

Hvis du foretar endringer underveis i prosjektet ditt som kan få følger for vurderingen av om prosjektet innfrir kravene i personvernlovgivingen, må du melde om endringen til Sikt Personverntjenester. Endringene kan for eksempel være dato for prosjektslutt, legge til nye metoder og datakilder, nye utvalgsgrupper, ny prosjektansvarlig eller at du bytter arbeidsplass. 

Les her om hvordan du utfører endringsmeldingen.

Trinn 10: Sluttmelding, sletting og arkivering.

Sikt vil følge opp ved planlagt avslutning (den dato du har oppgitt for prosjektslutt) for å avklare om behandlingen av personopplysningene er avsluttet. Du vil få beskjed som du er forpliktet til å følge opp. Veilederen din vil motta samme beskjed. Hvis du på varslingstidspunktet innser at sluttdatoen må utsettes,  følg opplysningene i trinn 9.

Sletting av personopplysninger ved prosjektslutt

Ha klart for deg følgende:

  • Personopplysninger skal slettes eller anonymiseres  ved prosjektavslutning. Unntak kan skje i sjeldne tilfeller der det er avtalt på forhånd med dine informanter og med veileder at personopplysninger kan bestå.
  • Anonymisering betyr at koblingsnøkkel slettes, samt at direkte personopplysninger som navn, og/eller personnummer slettes. I tillegg fjernes eller grovkategoriseres indirekte personopplysninger (identifiserende sammenstilling av bakgrunnsopplysninger som f.eks. yrke, alder, kjønn), slik at ingen enkeltpersoner kan gjenkjennes i materialet. Men datasettet må slettes om du ikke klarer å fjerne indirekte personopplysninger.
  • I tillegg til sletting av selve koblingsnøkkelen, må du også huske å slette eller makulere samtykkeskjema, adresselister og annen kontaktinformasjon.
  • Anonymisering av data likestilles med sletting, slik at en anonymisert versjon av datasettet kan beholdes.
  • Hvis noen har stilt krav om sletting, for eksempel REK (helse/medisin) eller virksomheten du har innhentet forskningsdata fra, eller det er gitt informasjon om dette i forbindelse med innhentingen av samtykke, skal du sørge for at sletting av forskningsdata skjer på en hensiktsmessig, fullstendig og sikker måte. Ved tvil; ta kontakt med IT-forskningsstøtte. 
  • Papirbaserte data med personopplysninger må makuleres.
  • Lydopptak skal slettes mens transkribsjonene kan beholdes dersom alle direkte og indirekte personopplysninger er fullstendig fjernet. 
  • For sletting eller redigering/sladding av  bilder eller film/videoopptak, bør du innhente råd fra IT-forskningsstøtte.

Spesielt for medisinsk og helsefaglig forskning

1) Avgrensning for studenter: Noen få masterprosjekter ved HINN  kan falle inn under kategorien medisinsk- og helsefaglig forskningsprosjekt. Ingen bachelorprosjekter er aktuelle for dette fordi bachelorstudenter ikke har anledning til å samle inn sensitive personopplysninger i det hele tatt.  Medisinsk- og helsefaglig forskningsprosjekt er per definisjon helseopplysninger og dermed sensitive/særskilte opplysninger. 

2) Generelt for forskere og masterstudenter: All forskning som faller inn under Lov om medisinsk og helsefaglig forskning må forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). Følg nøye all informasjon som finnes i REK-portalen og Retningslinjer for helseforskning ved HINN .

Hvis man er usikker på om prosjektet må forhåndsgodkjennes av REK, kan du sende inn en fremleggingsvurdering (finn skjema under "Ny søknad"). Dette gir REK grunnlag for videre veiledning.

Det er også mulig å få framlagt sitt prosjekt for HINNs komité for forskningsetikk  (KoFE) dersom det er helserelatert forskning på mennesker eller humant biologisk materiale men som faller (like) utenfor REKs mandat. 

Meldeplikten til NSD Personverntjenester (se trinn 8) må også ivaretas i helseforskningsprojekter; en etisk vurdering av REK evt KoFE inkluderer ikke kontroll av personvern og datasikkerhet. Med andre ord, kreves to meldinger for helseforskningsprosjekter. 

Dersom man ser for seg en mulighet for å publisere en fagartikkel basert på prosjektet, bør du vurdere å registrere prosjektet i den internasjonale databasen ClinicalTrials.gov før oppstart. En rekke tidsskrifter krever at studier er registrert her for å få publisert.