Hva er personopplysninger og hva vil det si å behandle personopplysninger? Hvordan påvirker personvernforordningen (GDPR) forskningsprosjekter ved HINN? Når og på hvilken måte må et prosjekt meldes til SIKT Personverntjenester?
Her følger informasjonen om hvordan innsamling av personopplysninger skal foregå når formålet er forskning. Merk deg at disse rutinene ikke gjelder for personopplysninger som følger eksamenssvar, emneevalueringer og annen pedagogisk kartlegging.
Bachelor- og masteroppgaver regnes som forskningsprosjekt, og studentene har en egen lignende informasjonsside om personvern i studentoppgaver, dels med overlappende informasjon.
Fra høsten 2023: HINN har egne maler for informasjon- og samtykkeskriv. Du skal benytte en av dem for å sikre korrekte formelle opplysninger som er tilpasset HINN (se mer under - trinn 7).
Om du baserer ditt forskningsprosjekt helt eller delvis på innsamling av personopplysninger, stiller det alltid ekstra krav til datasikkerhet. Les mer her om datahåndtering i forskning ved HINN.
Trinn-for-trinn-veiledning om datakategorisering og personvern
Trinn 1: Avgjør hva slags data du skal samle inn og om det krever tillatelse
Kategorier av opplysninger (data) som kan bli samlet inn. Listen er ikke uttømmende.
Tillatelser
Samler du inn personopplysninger utløser du meldeplikt til Sikt Personverntjenester (tidligere NSD). Du må lese all påfølgende informasjon på denne siden. Sett av god tid! Sikts saksbehandlingstid er ca 30 dager og du kan ikke begynne før du har fått svar. Melding til Sikt gjelder
Skal du samle inn personopplysninger blant grupper som tilhører en institusjon, f.eks. med intervju eller spørreskjema til brukere og ansatte i en institusjon, en skole eller et politikammer, må du som hovedregel innhente tillatelse fra institusjonsledelsen. Det samme gjelder om du skal samle inn opplysninger fra studenter og ansatte på HINN. Melding til Sikt Personverntjenester kommer i tillegg til lokal tillatelse.
Vær oppmerksom på å ikke komme i konflikt med andres opphavsrett.
Taushetserklæring
Dersom det inngår bachelor- eller masterprosjektet i et forskningsprosjekt ved HINN vil studenten mest sannsynlig få tilgang til mer beskyttelsesverdig informasjon enn det som angår studentens prosjekt, og taushetserklæring må opprettes.
Innleide transkribtører må også signere taushetserklæring sammen med kontrakten.
Trinn 2: Forstå hva personopplysninger er. Hva får du lov til å samle inn eller ikke?
Personopplysninger deles i tre kategorier; anonyme, alminnelige og særskilte, også kalt sensitive. Juridisk sett regnes ikke anonyme opplysninger som personopplysninger og omfattes ikke av personvernforordningen (GDPR). Men i begynnelsen er det nyttig å se alt under ett for å forstå sammenhengen.
I personvernforordningen omtales alle former for innsamling og bearbeiding av data for
HINN som institusjon er definert som
- Hva er en personopplysning? (video)
En personopplysning er enhver opplysning som kan knyttes til en person. Opplysninger kan for eksempel knyttes til en person via fødselsnummer, navn, e-postadresse, IP-adresse eller referansenummer som viser til en navneliste eller register, en sammenstilling av bakgrunnsopplysninger (indirekte identifisering), biometri o.a. Stemmen er i seg selv en personopplysning, dermed er et intervjuopptak behandling av personopplysninger.
Sensitive personopplysninger, også kalt særskilte, er opplysninger om informanten din som angår rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (GDPR art. 9).
Med helseopplysninger forstås opplysninger om en persons fysiske eller psykiske helse i vid forstand, også ytelser av helsetjenester eller om sosiale forhold.
Når opplysninger hentes fra barn og andre sårbare grupper, vil det i seg selv kunne bli kategorisert som sensitive/særskilte personopplysninger.
Det er i utgangspunktet ikke tillatt for noen å behandle særskilte personopplysninger. For å gjøre behandling av særskilte opplysninger mulig, må det ha et velbegrunnet formål og en nytteverdi for samfunnet, i tillegg til uttrykkelig samtykke fra informantene (GDPR art.9, 2.ledd). Unntak fra å innhente samtykke kan skje helt unntaksvis etter spesiell vurdering av Sikt og HINNs forskningsadministrasjon.
Hovedregelen ved HINN er at alle studenter bør unngå behandling av personopplysninger, og at det først kan forsvares dersom det ikke finnes gode alternativer. Bachelorstudenter får uansett ikke lov til å behandle særskilte personopplysninger.
Reglene for behandling av personopplysninger for henholdsvis bachelor-, master- og forskningsprosjekter:
Bachelor | Master | Forsker | |
Anonyme | JA | JA | JA |
Alminnelige | Helst ikke | Ja | Ja |
Sensitive | NEI | Helst ikke | Etter nærmere vurdering |
Tenk nøye over om studenter du veileder kan
Trinn 3: Finn ut om du kan unngå å samle inn personopplysninger
Enhver virksomhet, Høgskolen i Innlandet inkludert, må ha som mål å behandle færrest mulig personopplysninger. Dette er også et individuelt ansvar du må ta. Du kan velge å basere prosjektet ditt på informasjon som ikke angår personer direkte (se trinn 1) eller du kan samle inn anonyme opplysninger.
- Trenger du egentlig personopplysninger?
- Hva må til for at et prosjekt er anonymt fra første øyeblikk?
Trinn 4: For veiledere og studenter: Avklar ansvarfordelingen dere i mellom
Veileder er prosjektleder i en bachelor- eller masteroppgave. Studenten har allikevel et selvstendig ansvar for å sette seg inn i og etterleve krav som utløses når man velger å behandle personopplysninger. Sammen skal man først vurdere om studentprosjektet kan gjennomføres uten å behandle personopplysninger. Hvis det ikke er aktuelt må student melde prosjektet til Sikt Personverntjenester (se trinn 8). Her oppgis veileder som prosjektleder og studenten deler meldeskjemaet med veileder.
Særskilte personopplysninger kan ikke samles inn i bachelorprosjekter, og unngås så langt råd i mastergradsprosjekter og må alltid være gjenstand for diskusjon mellom student og veileder.
Veileder og student bør sette av nok tid til å diskutere informasjon- og samtykkeskriv. En samtale om forskningsetikk i bred forstand, bør inngå, og spesielt i helse- og sosialfag der fremleggelse for enten Regional etisk komite (REK) eller HINNs komité for forskningsetikk, kan bli aktuelt.
Benytt denne sjekklisten som kontroll på at pliktene er/blir ivaretatt.
Studenten anbefales i samråd med veileder utarbeide en enkel datahåndteringsplan.
Trinn 5: Forstå personvernforordningen (GDPR) og krav du må innfri
Personvernforordningen, på engelsk kalt General Data Protection Regulation (GDPR), tro i kraft i 2018 og har som viktigste formål å styrke personvernet i EU/EØS-land. Både privat næringsliv, offentlig virksomhet og forskning omfattes av GDPR. Hvis du skal behandle personopplysninger i prosjektet ditt, vil GDPR også påvirke deg, og dette er det mest relevante:
- Forskningsdata skal kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene .
- Forskeren/studenten kan bare behandle data som er nødvendig for forskningsformålet.
- Behandling av personopplysninger kan godtas dersom det ikke finnes gode alternativer, og har et klart formål og nytteverdi for samfunnet.
- Behandling av personopplysninger kan først skje etter dokumentert samtykke fra personer med samtykkekompetanse.
- Samtykke skal kunne trekkes like lett som det gis, og alle data om vedkommende slettes umiddelbart hvis samtykket trekkes.
- Personopplysningene skal lagres sikkert og ikke lengre enn nødvendig for formålet. Personopplysninger skal som hovedregel være slettet ved prosjektslutt.
Du må sikre at du kan innfri dine informanters (forskningsdeltakeres) rettigheter. Det vil si at så lenge en person kan identifiseres i datamaterialet, har vedkommende rett til:
- når som helst kunne avbryte deltakelsen uten begrunnelse (trekke samtykket).
- innsyn i hvilke personopplysninger som er registrert om seg,
- å få rettet personopplysninger om seg, hvis noe viser seg å være feil eller ufullstendig
- få slettet personopplysninger om seg
- få utlevert en kopi av sine personopplysninger og
- å sende klage til personvernombudet eller Datatilsynet om behandlingen av sine personopplysninger
Du må opplyse om rettighetene i informasjon- og samtykkeskrivet du skriver i forkant av rekruttering informanter. Ingen kan inkluderes i prosjektet ditt før samtykkeerklæring er signert. Les mer om samtykke i trinn 7.
Retten til å klage
Dersom det er inkluderte informanter/forskningsdeltakere som mener at behandlingen av personopplysningene ikke har foregått på en korrekt og lovlig måte i prosjektet ditt, eller mener at du og/eller HINN som behandlingsansvarlig institusjon ikke har klart eller motsatt seg å oppfylle rettighetene, har vedkommende mulighet til å klage over behandlingen til HINNs personvernombud.
Dersom HINN ikke tar klagen til følge, har informant/forskningsdeltaker mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven/GDPR ved behandling av personopplysninger.
Trinn 6: Velg dataløsninger for sikker innsamling og lagring
Informasjonssikkerhet er viktig enten prosjektet ditt er basert på personopplysninger eller ikke. Det er ille å miste eller få manipulert data du har samlet inn!
HINN har hovedansvaret for informasjonssikkerhet ved å forebygge, oppdage og håndtere tre situasjoner som kan oppstå:
- Uvedkommende får innsyn i beskyttelsesverdig informasjon (=konfidensialitet).
- Informasjon og systemer endres, skades eller slettes på uautoriserte eller utilsiktete måter (=integritet).
- Informasjon og systemer går tapt eller er utilgjengelige når behovet er der (=tilgjengelighet).
Forsker/student har ansvar for å:
- Følge retningslinjer for forsknings- og studentprosjektet (dvs. informasjon på denne websiden).
- Alltid benytte høgskolens dataløsninger basert på Feide-innlogging når du behandler personopplysninger eller for annen data som bør beskyttes.
- Aldri benytte private skytjenester eller private filmapper for innsamling og lagring av prosjektdata. Det gjelder Google Drive, ICloud, Dropbox, private Office 365-tjenester, Filr, Slack og så videre. Da havner data utenfor HINNs eie og beskyttelse og medfører brudd på informasjonssikkerheten.
- Ikke utveksle data pr e-post, Messenger, sms eller minneenheter.
Forsker/student har tillatelse til å
- Benytte eget privat utstyr/devices som pc, mac, smarttelefon eller nettbrett. Hvem som eier enheten har ingen betydning. Det som
har betydning er hvilken skytjenestekonto du logger deg inn i; det må alltid være med FEIDE-innlogging som et minimum, noen ganger også pinkode i tillegg (flertrinns autentisering).
GUIDE FOR INNSAMLING OG LAGRING AV DATA MENS PROSJEKTET PÅGÅR
Hvorfor må du kun benytte deg av HINNs datatjenester?
- De datatjenestene HINN og/eller UH-sektoren har databehandleravtale med er basert på Feide-innlogging som et minimum for at du kan komme i gang på korrekt måte. Disse tjenestene har innebygget personvern ("privacy by design") som sterkt reduserer sannsynligheten for sikkerhetsbrudd.
- HINN eier data og er behandlingsansvarlig for personopplysninger mens prosjektet ditt pågår. Slippes data til private skytjenestekontoer mister HINN eierskapet og kan ikke lenger ivareta behandlingsansvaret.
Dine data må befinne seg på ett sted! Du kan ikke duplisere data med e-post-vedlegg, kopier til private mapper, minnebrikker, eksterne harddisker e.l. Vil du dele data med andre, tildeler du tilgang til HINN/Feide-One Drive-mappen din (evt TSD-mappen). Dette er nødvendig for å kunne etterleve personvernprinsippene i GDPR (se trinn 5) om datasikkerhet, innsyn, retting og sletting; for eksempel hvis en av dine informanter hevder sin rett til kontroll over egne opplysninger og vil rette eller slette data, er ikke det mulig dersom data er spredd til ulike steder og til flere samarbeidspartner.
Trinn 7: Lag et informasjonsskriv med samtykkeskjema og vurder samtykkekompetanse
Informert samtykke er den kommunikasjon og de opplysninger som gjør at hver deltaker, uavhengig alder og mental kapasitet, kan ta en kvalifisert beslutning om å delta i ditt studentprosjekt. For at samtykket faktisk kan kalles et
Det må være klart hva den enkelte samtykker til. Det vil si at man må samtykke til et klart og presist formulert formål. Dersom noen har samtykket til et formål, kan personopplysningene kun brukes til dette.
HINN har egne maler for informasjon- og samtykkeskriv. Du skal benytte en av dem for å sikre korrekte formelle opplysninger som er tilpasset HINN. Du trenger ikke følge den slavisk, du må se til at alle obligatorisk tema som er merket ut i malen, er omtalt i ditt skriv. Det er også mulig å lage en informasjonsvideo sammen med det skriftlige.
Mer om samtykke og informasjonsskriv (Sikt).
Samtykkekompetanse
Du skal være ytterst oppmerksom på «redusert eller manglende samtykkekompetanse». Det betyr at informanten(e) dine kan være ute av stand til å forstå hva samtykket omfatter. Det kan dreie seg om «sårbare grupper» som f.eks. psykisk utviklingshemmede, barn, ruspåvirkete og demente. Eller det dreier seg om at du spør om samtykke fra informanter i «sårbare situasjoner» som stress, ulykker, akutt sykdom osv.
Umyndiggjorte skal i så stor utstrekning som mulig selv samtykke. Dersom dette ikke er mulig, skal vergen samtykke.
Aldersgrenser
Avhengig av prosjektets art og omfang, er vanlig praksis 15 års aldersgrense for når barn kan samtykke selv til deltakelse i forskning. Gjelder det sensitive personopplysninger er aldersgrensen 16 -18 år. For de yngre må foreldre/foresatte eller verge samtykke på vegne av barnet.
Helseforskning: Mindreårige mellom 16 og 18 år kan samtykke med mindre annet følger av særlige lovbestemmelser eller tiltakets art. Samtykke fra foreldre/foresatte kreves hvis forskningen innebærer legemsinngrep eller legemiddelutprøving.
Helseforskningsloven § 17 har nærmere bestemmelser om samtykkekompetanse.
Trinn 8: Ivareta meldeplikten til Sikt Personverntjenester
Har du kommet fram til at du skal behandle elektroniske opplysninger om personer i ditt forsknings- eller studentprosjekt, trenger du dokumentasjon fra Sikt Personverntjenester på at prosjektet ditt behandler personopplysninger på en lovlig måte. Meldeplikten gjelder uansett om det er forsker-, master- eller bachelorprosjekter.
Meldeplikten gjelder uansett hvilken innsamlingsmetode du velger, også intervjuer eller på informasjon som er gjort tilgjengelig på internett /sosiale medier.
Et anonymt prosjekt er ikke meldepliktig, men da må du være helt sikker på at innsamlingen faktisk er anonymt – se trinn 3.
For studenter: Veileder er den formelle prosjektlederen i ditt bachelor- eller masterprosjekt. Det innebærer bl.a. at studenten må dele meldeskjema med veileder, og sammen diskutere meldingen før den sendes.
Hva vurderer Sikt Personverntjenester?
Når meldeskjemaet vurderes, gjør Sikt en helhetlig vurdering av hvordan innmelder planlegger å behandle personopplysninger ved å se blant annet på:
- om personopplysningene en vil samle inn er relevante for formålet med prosjektet.
- hvordan opplysningene skal samles inn, registreres, oppbevares og eventuelt sammenstilles eller utleveres
- om en må informere utvalget og innhente samtykke fra dem
- om informasjonsskriv og samtykkeerklæring oppfyller lovkravene
- hvor lenge personopplysningene skal oppbevares, og om de skal anonymiseres eller lagres videre etter prosjektslutt
- Når et meldeskjema er sendt inn til forhåndsvurdering, vil det bli gjennomgått av en personvernrådgiver.
- Meldeskjemaet sendes i retur til innmelder dersom det ikke er fylt ut riktig eller vedlegg mangler.
- Hvis innmelder får meldeskjemaet i retur, finner innmelder personvernrådgiverens kommentarer på Min side. Innmelder må så gjøre nødvendige endringer i meldeskjemaet og sende det inn på nytt.
- Innmelder fyller selv ut meldeskjemaet og argumentere for hva som er riktig i prosjektet. NSDs personvernrådgivere kan ikke endre eller oppdatere meldeskjemaet for innmelder.
Når meldeskjemaet er ferdig vurdert, fungerer dette som dokumentasjon på at prosjektet behandler personopplysninger på en lovlig måte. Forutsetningen er at forsker/student følger sin institusjon (HINN) retningslinjer for informasjonssikkerhet.
Utvidet vurdering av prosjekter med høy risiko og konsekvens for personvernet (DPIA)
En utvidet personvernkonsekvensvurdering, i GDPR betegnet som 'data protection impact assessment' (DPIA), vil være nødvendig i spesielt inngripende prosjekter med behov for risikoreduserende tiltak. DPIA må utarbeides i samarbeid med NSD Personvernombudet og personvernombudet lokalt på HINN i samråd med personvernrådgiver for forskning. Her er Datatilsynets liste over prosjekter som alltid vil kreve DPIA. Merk spesielt at HINN-prosjekter rettet mot barn kan utløse DPIA, se punktet "behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager."
Trinn 9: Hvis det skjer endringer underveis i prosjektet eller det er forsinket.
Hvis du foretar endringer underveis i prosjektet ditt som kan få følger for vurderingen av om prosjektet innfrir kravene i personvernlovgivingen, må du melde om endringen til Sikt Personverntjenester. Endringene kan for eksempel være dato for prosjektslutt, legge til nye metoder og datakilder, nye utvalgsgrupper, ny prosjektansvarlig eller at du bytter arbeidsplass.
Les her om hvordan du utfører endringsmeldingen.
Trinn 10: Sluttmelding, sletting og arkivering.
Sikt vil følge opp ved planlagt avslutning (den dato du har oppgitt for prosjektslutt) for å avklare om behandlingen av personopplysningene er avsluttet. Du vil få beskjed som du er forpliktet til å følge opp. Veilederen din vil motta samme beskjed. Hvis du på varslingstidspunktet innser at sluttdatoen må utsettes, følg opplysningene i trinn 9.
Sletting av personopplysninger ved prosjektslutt
Ha klart for deg følgende:
- Personopplysninger skal slettes eller anonymiseres ved prosjektavslutning. Unntak kan skje i sjeldne tilfeller der det er avtalt på forhånd med dine informanter og med veileder at personopplysninger kan bestå.
- Anonymisering betyr at koblingsnøkkel slettes, samt at direkte personopplysninger som navn, og/eller personnummer slettes. I tillegg fjernes eller grovkategoriseres indirekte personopplysninger (identifiserende sammenstilling av bakgrunnsopplysninger som f.eks. yrke, alder, kjønn), slik at ingen enkeltpersoner kan gjenkjennes i materialet. Men datasettet må slettes om du ikke klarer å fjerne indirekte personopplysninger.
- I tillegg til sletting av selve koblingsnøkkelen, må du også huske å slette eller makulere samtykkeskjema, adresselister og annen kontaktinformasjon.
- Anonymisering av data likestilles med sletting, slik at en anonymisert versjon av datasettet kan beholdes.
- Hvis noen har stilt krav om sletting, for eksempel REK (helse/medisin) eller virksomheten du har innhentet forskningsdata fra, eller det er gitt informasjon om dette i forbindelse med innhentingen av samtykke, skal du sørge for at sletting av forskningsdata skjer på en hensiktsmessig, fullstendig og sikker måte. Ved tvil; ta kontakt med IT-forskningsstøtte.
- Papirbaserte data med personopplysninger må makuleres.
- Lydopptak skal slettes mens transkribsjonene kan beholdes dersom alle direkte og indirekte personopplysninger er fullstendig fjernet.
- For sletting eller redigering/sladding av bilder eller film/videoopptak, bør du innhente råd fra IT-forskningsstøtte.
Spesielt for medisinsk og helsefaglig forskning
1) Avgrensning for studenter: Noen få masterprosjekter ved HINN kan falle inn under kategorien medisinsk- og helsefaglig forskningsprosjekt. Ingen bachelorprosjekter er aktuelle for dette fordi bachelorstudenter ikke har anledning til å samle inn sensitive personopplysninger i det hele tatt. Medisinsk- og helsefaglig forskningsprosjekt er per definisjon helseopplysninger og dermed sensitive/særskilte opplysninger.
2) Generelt for forskere og masterstudenter: All forskning som faller inn under Lov om medisinsk og helsefaglig forskning må forhåndsgodkjenning til Regional komite for medisinsk og helsefaglig forskningsetikk (REK). Følg nøye all informasjon som finnes i REK-portalen og Retningslinjer for helseforskning ved HINN .
Hvis man er usikker på om prosjektet må forhåndsgodkjennes av REK, kan du sende inn en fremleggingsvurdering (finn skjema under "Ny søknad"). Dette gir REK grunnlag for videre veiledning.
Det er også mulig å få framlagt sitt prosjekt for HINNs komité for forskningsetikk (KoFE) dersom det er helserelatert forskning på mennesker eller humant biologisk materiale men som faller (like) utenfor REKs mandat.
Meldeplikten til NSD Personverntjenester (se trinn 8) må også ivaretas i helseforskningsprojekter; en etisk vurdering av REK evt KoFE inkluderer ikke kontroll av personvern og datasikkerhet. Med andre ord, kreves to meldinger for helseforskningsprosjekter.
Dersom man ser for seg en mulighet for å publisere en fagartikkel basert på prosjektet, bør du vurdere å registrere prosjektet i den internasjonale databasen ClinicalTrials.gov før oppstart. En rekke tidsskrifter krever at studier er registrert her for å få publisert.