RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE"

Transkript

1 26. november 2007 RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 0. Kontaktpersoner ved spørsmål Spørsmål vedrørende denne rutine kan rettes til AFD, forskningsadministrativ enhet, eller L- AFD. Norsk samfunnsvitenskapelig datatjeneste, NSD, er oppnevnt som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH (se pkt. 4). NSD har som følge herav stor kompetanse i personvernspørsmål, og den enkelte forsker og student er velkommen til å ta kontakt for å få avklart tvilsspørsmål (se for kontaktinformasjon). 1. Virkeområdet Disse rutinene gjelder for alle forsknings- og studentprosjekter ved Norges idrettshøgskole (NIH) som innbefatter behandling av personopplysninger helt eller delvis med elektroniske hjelpemidler, jf. personopplysningsloven, helseregisterloven, biobankloven og forskningsetikkloven. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en person, som direkte eller indirekte kan identifiseres for eksempel ved hjelp av koblingsnøkkel, navn, identifikasjonsnummer, eller et annet kjennetegn som er spesielt for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Dette inkluderer også humant biologisk materiale, dvs. organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og døde mennesker (som typisk oppbevares i en forskningsbiobank). Sensitive personopplysninger er opplysninger om Rasemessig eller etnisk bakgrunn Politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger. Kun anonyme opplysninger om personer er ikke omfattet av ovennevnte lover og disse rutinene. Et unntak er dog at medisinsk forskning på anonyme data/materiale skal fremlegges en regional komité for medisinsk forskningsetikk (se pkt. 7). - Det skal bemerkes at avidentifisering av opplysningene ved hjelp av koblingsnøkkel ikke gjør personopplysningene anonyme uansett hvor og hvordan nøkkelen oppbevares. Et avidentifisert datasett blir først anonymt dersom man tilintetgjør koblingsnøkkelen. 1

2 Film- og lydopptakk, foto m.m. av enkeltpersoner/enkeltpersoners stemmer er i utgangspunktet omfattet av personopplysningsloven. Det kan være vanskelig å vurdere om behandlingen av for eksempel et filmopptak skal meldes til NSD, om personene på opptaket skal gi samtykke osv. Reglene er ikke entydige. I tvilstilfeller kan spørsmål rettes til AFD eller direkte til NSD. 2. Daglig ansvar Seksjonsleder har det overordnede ansvaret for at pliktene som personopplysningsloven m.m. tillegger NIH er oppfylt for behandlingen som skjer av personopplysninger i forskningsprosjekter tilknyttet seksjonen. Det daglige ansvaret for oppfyllelsen av disse pliktene har imidlertid prosjektlederen for det enkelte forskningsprosjekt med mindre annet skriftlig er avtalt mellom seksjonsleder og prosjektleder. Dersom prosjektleder er ansatt i eller på annen måte tilknyttet flere virksomheter, må det før prosjektet startes opp avklares om det er NIH som har behandlingsansvaret. For studentprosjekter er det den oppnevnte faglige veileder eller hvis det ikke er oppnevnt veiledere den eller de undervisningsansvarlige - som har dette daglige ansvaret. Det anbefales at den daglig ansvarlige fører en sjekkliste hvor han/hun kan krysse av når de forskjellige punkter i denne rutinen er gjennomført. 3. Taushetserklæring fra studenter og eksterne prosjektdeltagere Alle studenter og eksterne prosjektdeltagere (f.eks. forskere som ikke er tilsatt på NIH) som får tilgang til personopplysninger via deltagelse i et NIH-prosjekt må signere taushetserklæring (mal må utarbeides) og få opplæring i reglementet for informasjonssikkerhet. Den daglig ansvarlige har ansvar for opplæring og innhentning av signert taushetserklæring. 4. Melding til Norsk samfunnsvitenskapelig datatjeneste Norsk samfunnsvitenskapelig datatjeneste, NSD, fungerer som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH. Ordningen med personvernombud innebærer at meldeplikten til Datatilsynet erstattes av en meldeplikt til personvernombudet hos NSD. I henhold til personopplysningslovens 31 skal forsknings- og studentprosjekter meldes ved elektronisk behandling av personopplysninger ved opprettelse av manuelle registre med sensitive personopplysninger. Hvis behandlingen av ikke-sensitive personopplysninger utelukkende skjer manuelt, skal behandlingen med andre ord ikke meldes til NSD. Den daglig ansvarlige skal straks, og senest 30 dager før behandlingen av personopplysningene tar til, melde prosjektet til NSD. Daglig ansvarlig sørger for at meldeskjemaet arkiveres i NIHs arkivsystem, ephorte. 2

3 Meldeskjema og veiledning til det finnes på Norsk samfunnsvitenskapelig datatjenestes internettsider: AFD orienteres straks om at meldingen er sendt til NSD (med henvisning til relevant saksnummer i ephorte). Bakgrunnen for dette er at AFD har ansvaret for gjennomføringen av risikovurdering, jf. punkt 16. Den daglig ansvarlige må samtidig angi det elektroniske systemet (programvare m.m.) som er tenkt benyttet ved behandlingen og gi informasjon om eventuelle spesielle sikkerhetsrutiner som skal gjelde for prosjektet. Tilbakemeldinger fra NSD eller Datatilsynet, herunder eventuelle meddelte konsesjonsvilkår, skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK AT PROSJEKTET FØRST KAN IGANGSETTES NÅR PROSJEKTLEDER HAR MOTTATT POSITIV TILBAKEMELDING FRA NSD ELLER DATATILSYNET. Seksjonsleder skal etablere rutiner for å sikre at alle forskningsprosjekter som behandler personopplysninger etter personopplysningslovens og helseregisterlovens bestemmelser blir meldt til NSD. Han/hun skal i forbindelse med årlige gjennomganger ved oppslag i NSDs database kontrollere at alle prosjekter som skulle meldes har blitt meldt til NSD (se 5. Melding av prosjekter med utenlandske opplysninger Uansett om data er innsamlet i Norge eller utlandet skal et prosjekt inneholdende opplysninger om personer fra utlandet meldes til NSD såfremt behandlingen av personopplysningene skjer i Norge. Hvis behandlingen ikke skjer i Norge skal prosjektet ikke meldes til NSD. Især i forhold til land utenfor EU-/EØS-området skal man være oppmerksom på eventuelle nasjonale særregler gjeldende for innsamling av personopplysningene. 6. Melding om endringer i prosjektopplegget Dersom prosjektleder foretar endringer i prosjektopplegget/behandlingen av personopplysningene i forhold til de opplysninger som ligger til grunn for NSDs opprinnelige vurdering, skal prosjektleder melde dette til NSD via et endringsskjema (se Dette gjelder for eksempel forlengelse av prosjektet, herunder pga. svangerskapspermisjon eller lignende. Kopi av endringsskjema skal arkiveres i ephorte (og AFD orienteres om arkiveringen). Se også pkt. 16, siste avsnitt. 7. Melding til Regionale komiteer for medisinsk forskningsetikk All medisinsk forskning som involverer mennesker (inkludert personopplysninger og humant materiale) skal fremlegges for en regional komité for medisinsk forskningsetikk (REK). I NIHs tilfelle vil det vanligvis være REK Sør. 3

4 Ut over medisinsk forskning omfatter fremleggelsesplikten også forskning som anvender psykologisk, samfunnsvitenskapelig og bioteknologisk metodikk. Slike forskningsprosjekter er fremleggelsespliktige dersom de omhandler menneskers fysiske og mentale helse og anvender terapeutiske eller ikke-terapeutiske metoder på personer. Meldeskjema og veiledning til det finnes på forskningsetiske komiteer sine internettsider: Komiteene har en rådgivende funksjon (kan frarå eller tilrå), men en forsker får i alminnelighet ikke publisert studier i et medisinsk tidsskrift uten tilråding fra REK. Et prosjekt skal forelegges komiteen på nytt, dersom det under gjennomføringen skjer endringer i de forutsetninger komiteen har basert sin opprinnelige avgjørelse på. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK: Prosjektet skal vurderes og tilrås av REK før prosjektet settes i gang. Det vil si at man ikke skal ta kontakt med forsøkspersoner eller deltakere før REKs vurdering foreligger. 8. Melding til Biobankregisteret Humant biologisk materiale som innsamles, oppbevares og behandles i en forskningsbiobank skal behandles som andre personopplysninger. Med forskningsbiobank forstås en samling humant biologisk materiale og opplysninger som direkte fremkommer ved analyse av dette materialet, og som anvendes eller skal anvendes til forskning. - Det gjelder imidlertid også særlige regler for forskningsbiobanker. Forskningsbiobanker kan i henhold til biobankloven bare opprettes etter å ha blitt vurdert av regional komité for medisinsk forskningsetikk (REK) og godkjent av Sosial- og helsedirektoratet. Meldeskjema og veiledning til det finnes på Biobankregisteret sine internettsider: REK sender søknad om opprettelse av forskningsbiobank til Sosial- og helsedirektoratet når REKs godkjennelse av prosjektet foreligger. REK melder også forskningsbiobanken til det sentrale nasjonale biobankregisteret underlagt Nasjonalt folkehelseinstitutt. Dersom direktoratet innen 45 dager etter at slik melding er mottatt ikke har kommet med innsigelser til biobanken, anses opprettelsen som lovlig. Ny melding til direktoratet må gis ved endret, utvidet eller ny bruk av materialet i forhold til den opprinnelige meldingen. Hver biobank skal ha en ansvarshavende person med medisinsk eller biologisk utdannelse av høyere grad. Denne person trenger ikke være den daglig ansvarlige, men må utpekes av denne. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). 4

5 9. Informasjon ved innsamling av personopplysninger Den daglig ansvarlige skal når det samles inn personopplysninger (direkte fra respondenten eller fra andre enn respondenten selv), av eget tiltak først informere respondenten om - at NIH er behandlingsansvarlig, - formålet med behandlingen av personopplysningene, - om opplysningene vil bli utlevert, og hvem som eventuelt er mottaker, - at det er frivillig å gi fra seg opplysningene, og - om at respondenten har rett til innsyn og til å kreve retting. Ovennevnte er lovens minimumskrav til informasjon av respondenten. Informasjonsbrevet bør imidlertid inneholde flere punkter, jf. eksempel på infoskriv fra NSD (se eller De nasjonale forskningsetiske komiteer ( Sistnevnte eksempel er primært relevant for helsefaglige prosjekter som faller inn under mandatet til REK, jf. pkt. 7. Utgangspunktet er altså at den registrerte skal informeres dersom opplysninger om vedkommende skal brukes. Det finnes likevel enkelte unntakssituasjoner (som må fortolkes strengt): - Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen. - Plikten til å gi informasjon omfatter enn videre ikke opplysninger det må anses for utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forhold til personer som står vedkommende nær. Unntaket må anvendes med stor varsomhet. Som eksempel kan nevnes at det å bli konfrontert med sykdomsforhold ikke i seg selv er tilstrekkelig for at dette unntaket er oppfylt. I tilfelle hvor personopplysningene er samlet inn fra andre enn den registrerte selv, har den registrerte ikke krav på varsel dersom - innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, - varsling er umulig eller uforholdsmessig vanskelig. Som et utgangspunkt kan det antas at varsling i prosjekter som inkluderer mer end 1000 personer vil kunne være uforholdsmessig vanskelig, såfremt samtykke ikke skal innhentes (se pkt. 10). Det samme må antas å gjelde der adresseopplysningene er av mangelfull kvalitet, det er ukjent om personene lever på det aktuelle tidspunktet og den behandlingsansvarlige kun har avidentifiserte opplysninger, og derfor ikke kjenner de registrertes identitet direkte. Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. 10. Innhenting av samtykke Personopplysninger kan bare behandles dersom - det foreligger et samtykke fra den det behandles opplysninger om (respondenten eller deltageren), eller - det foreligger samfunnsinteresser som nødvendiggjør behandlingen og som klart overstiger de ulempene behandlingen medfører for den enkelte (respondenten eller deltageren), se personopplysningslovens 8 og 9 samt helseregisterlovens 5. 5

6 Normalt vil man skulle innhente samtykke fra respondentene/deltagerne. Samtykket skal være en frivillig, uttrykkelig og informert erklæring fra den opplysningene gjelder om at han/hun godtar behandlingen. Det er daglig ansvarliges ansvar at innhente samtykke etter bestemmelsene beskrevet i dette avsnittet. Fremgangsmåten vil typisk være den at respondenten/deltageren i informasjonsbrevet, jf. punkt 9, blir bedt om å signere og returnere en samtykkeerklæring. Under alle omstendigheter skal det gis tilstrekkelig informasjon til respondenten/deltageren for at denne kan forstå hva samtykket gjelder og konsekvensene av det herunder - navn og adresse på den behandlingsansvarlige (= NIH) - hva opplysningene skal brukes til - om opplysningene vil bli utlevert til andre og eventuelt til hvem - om det er frivillig å gi fra seg opplysningene - om forhold som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. retten til å kreve innsyn, retting og sletting - hvor lenge personopplysningene vil bli behandlet eller oppbevart (se også pkt. 14 om lagring og sletting). I tilfeller med store utvalg kan prosjektleder ofte unntas for sin informasjonsplikt, for eksempel på bakgrunn av vanskeligheten det vil medføre å gi slik informasjon til utvalget. Det er imidlertid ikke mulig å avgrense entydig når innhentning av samtykke kan unnlates (for eksempel: hvor stort skal utvalget være?). På dette område er veiledning fra NSD spesielt viktig. I praksis viser det seg at det ofte skjer endringer underveis i prosjektet, som for eksempel forsinkelser eller andre forlengelser. For at samtykket fremdeles skal være gyldig, må deltageren som hovedregel informeres om disse endringene (for eksempel hvis det i løpet av prosjektet viser seg ønskelig å oppbevare opplysningene lenger enn det respondentene/ deltagerne er informert om og har samtykket til). I forbindelse med spørreskjemaundersøkelser vil det ofte være å regne som samtykke hvis respondenten returnerer skjemaet. Tilsvarende gjelder hvis en respondent aksepterer deltakelse i intervju eller annen aktiv handling for deltakelse i forskning. Det krever imidlertid at det i følgebrev eller lignende er gitt ovenstående opplysninger om hva opplysningene skal brukes til m.m. I mange tilfeller vil skriftlig samtykke være å anbefale bl.a. for å gjøre samtykket mer dokumenterbart. NSD vil ofte i utgangspunktet akseptere hvis man i samtykkeerklæringer skriver at datamaterialet vil kunne brukes til andre formål. Det er imidlertid ikke ensbetydende med en garanti for at NSD godkjenner at materialet kan brukes til et hvilket som helst formål i fremtiden. Gjenbruk av forskningsdata uten nytt samtykke vil av NSD alltid vurderes i forhold til hva som er forsvarlig (etisk og personvernmessig) og metodisk nødvendig samt i forhold til det samtykke som opprinnelig ble gitt. En særlig problemstilling er innhenting av samtykke fra barn og unge samt voksne personer med manglende eller redusert samtykkekompetanse (f.eks. personer med psykiske lidelser eller demens). Datatilsynet har sammen med Forbrukerombudet utviklet retningslinjer for innhenting og bruk av mindreårige sine personopplysninger (se 6

7 Tilsvarende har Forskningsetiske komiteer utarbeidet retningslinjer for inklusjon av voksne personer med manglende eller redusert samtykkekompetanse (se Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. I forbindelse med bruk av humant biologisk materiale (forskningsbiobank) skal det tilsvarende innhentes samtykke fra giveren (se 12 i biobankloven: html). Endret, utvidet eller ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 11. Behandling av innsynsforespørsler Enhver som ber om det, kan av den daglig ansvarlige kreve å få vite følgende informasjon om behandlingen av personopplysninger i et bestemt forskningsprosjekt: a. navn og adresse på den behandlingsansvarlige b. hvem som har det daglige ansvar for å oppfylle pliktene som er tillagt behandlingsansvarlig for det enkelte prosjekt, c. formålet med den enkelte behandlingen, d. beskrivelse av hvilke typer personopplysninger som behandles i det enkelte prosjekt, e. om personopplysningene i det enkelte prosjekt vil bli utlevert, og eventuelt hvem som er mottaker. Hvis den som ber om innsyn er respondent/deltager, gjelder følgende: Dersom behandlingen av personopplysningene utelukkende skjer for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte, kan respondenten/deltageren kun kreve å få vite ovenstående informasjon (som alle andre). Dersom behandlingen ikke utelukkende skjer for historiske, statistiske eller vitenskapelige formål eller såfremt den historiske, statistiske eller vitenskapelige behandling får direkte betydning for den registrerte, skal den daglig ansvarlige for prosjektet i tillegg til pkt. a e opplyse om f. hvilke opplysninger om respondenten som behandles, og g. sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. Den registrerte kan i dette tilfelle dessuten kreve at NIH utdyper informasjonen i punkt a e i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Før det gis innsyn i opplysninger om en respondent/deltager, skal den daglig ansvarlige kreve at respondenten/deltageren leverer en skriftlig og undertegnet begjæring. I tvilstilfeller skal det kreves legitimasjon fra vedkommende som etterspør opplysninger av personlig karakter. Som utgangspunkt skal informasjonen gis skriftlig. 7

8 Forespørsler vedr. flere prosjekter eller behandling av personopplysninger generelt vises til AFD. Henvendelser om innsyn skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 12. Utlevering av personopplysninger til utenforstående Personopplysninger i forsknings- eller studentprosjektene må ikke utleveres til utenforstående. Utlevering kan likevel skje 1. som informert om ved innhenting av personopplysningene, 2. med samtykke fra respondenten, 3. med hjemmel i lov, eller forskrift gitt med hjemmel i lov. 13. Retting av mangelfulle personopplysninger Personer som behandler personopplysninger i forsknings- eller studentprosjekter som blir kjent med at det er registrert personopplysninger i prosjektet som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal av eget tiltak eller etter krav fra respondenten rette eller få rettet de mangelfulle opplysningene. Den daglig ansvarlige skal så vidt mulig sørge for at eventuelle feil ikke får konsekvenser for respondenten/deltageren (for eksempel ved å varsle mottakere av utleverte opplysninger). Henvendelser fra respondenten/deltageren om retting skal besvares av den daglig ansvarlige uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 14. Lagring og sletting av personopplysninger Personopplysninger skal som hovedregel ikke oppbevares lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Dette kan fortolkes som et krav om at personopplysningene skal slettes når de i meldingen oppgitte analyser er gjennomført og resultatene publisert. På den annen side tilsier hensynet til etterprøvbarhet av forskningen at alle forskningsdata bør oppbevares i en periode etter at prosjektet er avsluttet. Forskningsrådet krever således at prosjektdata oppbevares i minimum 10 år etter avslutningen av prosjektet. NIH har på den bakgrunn besluttet at personopplysninger i forsknings- og studentprosjekter skal lagres i en periode etter prosjektets avslutning. Inntil videre foreslås minimum 10 år (jf. kravet fra NFR). For å kunne lagre personopplysningen etter prosjektets avslutning krever det imidlertid at man i forbindelse med innhentning av samtykke har opplyst at datamaterialet etter prosjektslutt vil bli oppbevart i 10 år for å kunne sikre behovet for kontroll og ivareta kravet til redelighet i forskningen. Av hensyn til datasikkerheten vil forskningsdata inntil videre skulle lagres hos NSD etter prosjektslutt. Personopplysninger kan lagres ut over ovenstående for historiske, statistiske eller vitenskapelige formål (f.eks. oppfølgingsundersøkelser), dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte 8

9 respondent/deltager. Den daglig ansvarlige skal i fall sørge for at opplysningene ikke oppbevares på en måte som gjør det mulig å identifisere respondenten/deltageren lenger enn nødvendig. NSD sender rutinemessig forespørsel om arkivering av prosjektdata til forskere og studenter som melder forskningsprosjektene sine til personvernombudet. Etter avtalen med NSD skal NSD som personvernombud føre kontroll med arkivering, anonymisering eller sletting av persondata etter at formålet med behandlingen er oppfylt. Det er den daglig ansvarliges ansvar å ta kontakt med NSD for å avklare premissene for lagring av data. Det er videre den daglig ansvarliges ansvar (i samarbeid med IKT-seksjonen) å sikre at NSDs anvisninger for sletting/lagring av personopplysninger følges opp. Den daglig ansvarlige skal sørge for at eventuelle personopplysninger som er innsamlet og registrert, men ikke anvendt i prosjektet, bliver slettet. IKT-seksjonen foretar slettingen. Den daglig ansvarlige skal informere AFD skriftlig når personopplysningene er slettet eller overført til NSD. 15. Gjenbruk av data Gjenbruk av lagrede ikke-anonymiserte personopplysninger fra tidligere forsknings-/ studentprosjekter er underlagt reglene om melde- og konsesjonsplikt (punkt 4, 7 og 8), innhenting av samtykke (punkt 10) osv. på samme måte som andre typer behandlinger. Tilsvarende gjelder for gjenbruk av materiale fra biobanker. - Dersom det er umulig eller svært vanskelig å innhente nytt samtykke, kan departementet gjøre unntak fra kravet om nytt samtykke. Det må foreligge en vurdering fra en regional komité for medisinsk forskningsetikk. Ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 16. Risikovurdering AFD skal holde oversikt over alle forsknings- og studentprosjekter hvor det behandles personopplysninger. NIH skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering for forsknings- og studentprosjektene. Risikovurderingen skal gjennomføres så snart som mulig og senest 30 dager etter at AFD har mottatt kopi av meldingen av prosjektet til NSD, jf. punkt 4. Leder av AFD har ansvar for at risikovurderingen gjennomføres. Resultatet av risikovurderingen skal dokumenteres, arkiveres og kopi sendes relevant seksjonsleder. Ved større endringer av prosjektet skal risikovurderingen gjentas. Den daglig ansvarlige kontakter i så fall leder av AFD som er ansvarlig for at risikovurderingen gjennomføres. Dersom den daglig ansvarlige er i tvil om hvorvidt endringen krever en ny risikovurdering tar han/hun kontakt med leder av AFD med henblikk på avklaring. 9

10 17. Sikkerhetskrav Ved elektronisk behandling av personopplysninger i forsknings- og studentprosjekter, som NIH er behandlingsansvarlig for, skal så langt det er mulig høgskolens edb-anlegg benyttes. IT-utstyret skal bare benyttes av de som er knyttet til prosjektet. Andre, som for eksempel kollegaer, studenter eller familiemedlemmer, skal ikke ha tilgang til eller bruke utstyret. ITutstyret skal være passord-beskyttet i henhold til reglene i 2.2 i NIHs instruks for bruk av IT-utstyr. Utgangspunktet er at personidentifiserbare opplysninger ikke skal lagres elektronisk. Personopplysningene skal avidentifiseres ved hjelp av koblingsnøkkel. Personidentifiserbare opplysninger kan unntaksvis lagres elektronisk på NIHs filserver på eget, lukket område når dette er klart nødvendig ut fra formålet med behandlingen (etter avtale med IKT-seksjonen). Slike opplysninger bør ikke lagres sammen med det øvrige datamaterialet i prosjektet. Koblingsnøkkel eller annet materiale som kan brukes til å identifisere personene, skal ikke lagres på samme maskin, filserver eller annet lagringsmedium. Manuelle koblingsnøkler som er nedlåst separat vil normalt oppfylle kravet om tilfredsstillende atskillelse fra det resterende datamateriale. Maskinen som benyttes skal være satt opp med de tiltak som er mulig for å sikre maskinen, uansett operativsystem. IKT-seksjonen er ansvarlig for dette. Den daglig ansvarlige har ansvar for kontakten til IKT-seksjonen. Personopplysningene lagres på filservere, det tas back up av og som er beskyttet av høgskolens sikkerhetsrutiner/brannmur. Veiledning kan fås av IKT-seksjonen. Personopplysningene skal ikke lagres på kontorpc-ens hard disk (dvs. C:/-drevet), hjemme-pc, bærbar pc, pda (håndholdt pc), mobiltelefon eller lignende. Personidentifiserbare personopplysninger må ikke overføres elektronisk ved hjelp av overføringsmedium (e-post, minnepinn, cd-rom, pda, mobiltelefon eller lignende). Koblingsnøkkel overføres separat. Såfremt det i forbindelse med feltarbeid innsamles data inneholdende personopplysninger på lydbånd, på papir eller på bærbar pc må man forsøke å avidentifisere opplysningene best mulig. I praksis betyr dette for eksempel at navnelister oppbevares atskilt fra intervjudata, at lydopptak ikke merkes med navn, men heller med nummer osv. Anvendes bærbar pc, pda eller lignende er det viktig å sikre maskinen med passord. Når et forskningsprosjekt pågår vil det ofte bli innsamlet materiale som kan utgjøre store mengder papirer i form av spørreskjema og/eller videotaper/båndopptak. Dette materialet må oppbevares bak låste dører/ i skuffer/skap som utelukkende de involverte forskere/studenter har adgang til. En låst kontordør vil typisk ikke være tilstrekkelig, da det ofte vil være mange som har nøkkel til kontoret. I slike tilfelle må materialet oppbevares i avlåst skuffe eller skap. Ingen andre enn de involverte forskere/studenter og evt. de medarbeidere som har ansvar/roller i NIHs informasjonssikkerhetssystem skal informeres om eksistensen av materialet. Tilsvarende gjelder for oppbevaring av humant biologisk materiale. 10

11 Utskrifter inneholdende personidentifiserbare opplysninger skal likeledes oppbevares bak låste dører/ i skuffer/skap. Ved utskrift av personidentifiserbare opplysninger skal man så vidt mulig bruke separat printer som ingen annen har tilgang til eller anvende personlig kode til å få papirene skrevet ut. Kontakt IKT-seksjonen hvis du er i tvil. Leder av AFD vil etter risikovurderingen kunne stille ytterligere sikkerhetskrav til det enkelte prosjekt. 18. Internkontrollrutiner NIHs informasjonssikkerhetsforum (FL) har ansvar for at det jevnlig gjennomføres revisjon av høgskolens internkontrollsystem for behandling av personopplysninger i forsknings- og studentprosjekter ved NIH, herunder kontrollere ledelsens valg av rutiner og etterlevelsen av rutinene. NSDs system og register over forsknings- og studentprosjekter skal brukes som et grunnlag i dette arbeidet. Revisjonen skal gjennomføres av en person som er uavhengig i forhold til kontrollsystemet: Det kan være en NIH-medarbejder (f.eks. en avdelingsleder bortsett fra lederen av AFD) eller ekstern person (f.eks. en informasjonssikkerhetsansvarlig fra en annen institusjon). Informasjonssikkerhetsansvarlig eller den han/hun delegerer oppgaven til skal være oppnevnt som kontaktperson overfor NSD og ha ansvaret for å gi informasjon til høgskolens forskere og studenter om personvernlovgivningen, melde- og konsesjonsplikt, ordningen med personvernombud, ordningen med arkivering av persondata etter prosjektslutt og NIHs rutiner for behandling av personopplysninger i forsknings- og studentprosjekter. Kontaktpersonen skal årlig foreta kontroll av et utvalg av pågående forsknings- og studentprosjekter som er meldt til NSD. Formålet med kontrollen er å se om behandlingen av personopplysningene skjer i henhold til høgskolens retningslinjer, som opplyst om i melding til NSD, i henhold til eventuelle konsesjonsvilkår og AFDs eventuelle anbefalte spesielle sikkerhetsrutiner for prosjektet. Kontaktpersonen skal når prosjektet er avsluttet kontrollere om personopplysningene har blitt overført til lagring eller slettet, jf. punkt 14. AFD skal årlig evaluere internkontrollsystemet. 11

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

SPØRSMÅL OFTE STILT OM BIOBANKER

SPØRSMÅL OFTE STILT OM BIOBANKER SPØRSMÅL OFTE STILT OM BIOBANKER Spørsmål: Hva er en biobank? Svar: En biobank er en samling humant biologisk materiale. Med humant biologisk materiale forstås organer, deler av organer, celler og vev

Detaljer

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN Kriminalomsorgens sentrale forvaltning RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN Innledning Retningslinjene omfatter behandling av søknader om adgang til å rekruttere innsatte/domfelte

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007 NAV-evaluering - behandling av personopplysninger Voksenåsen, Oslo 23.oktober 2007 Instanser å forholde seg til Registerforvalter - SSB - Rikstrygdeverket (melding) Fagdepartementet Arbeidsog inkluderingsdepartementet

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Forespørsel om deltakelse i forskningsprosjektet

Forespørsel om deltakelse i forskningsprosjektet [Sett inn korttittel på studien Hoveddel - sett inn dato] Forespørsel om deltakelse i forskningsprosjektet [Fjern den merkede teksten og hakeparentesen og sett inn din egen tekst: Bruk minimum 12 pkt.

Detaljer

Etikk- og personvernshensyn i brukerundersøkelser

Etikk- og personvernshensyn i brukerundersøkelser www.nr.no Etikk- og personvernshensyn i brukerundersøkelser Workshop om brukerundersøkelser 21. mai 2010, Norsk Regnesentral (NR) Kristin S. Fuglerud Seniorforsker Agenda: personvern og etikk 2 1. Personopplysningsloven

Detaljer

Skjemaet skal ikke benyttes for forskningsstudier som skal godkjennes av REK.

Skjemaet skal ikke benyttes for forskningsstudier som skal godkjennes av REK. Meldeskjema for forskningsstudier, kvalitetssikring og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Helseforskningsloven - lovgivers intensjoner

Helseforskningsloven - lovgivers intensjoner Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere?

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere? Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere? Prof. em. Sidsel Lied Landskonferansen for studie- og praksisledere Hamar 11.mai 2016 To viktige presiseringer 1. Når lærerstudenter

Detaljer

DEL I TILRÅDING ELLER KONSESJON?

DEL I TILRÅDING ELLER KONSESJON? Veileder: Bruk av sensitive personopplysninger i forskning DEL I TILRÅDING ELLER KONSESJON? Versjon 2.0 publisert 28.03.2017 Innhold Bakgrunn... 3 Målgruppe for veilederen... 3 Ordliste... 4 Hvilken lov

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Personvern i forskning

Personvern i forskning Personvern i forskning NLA Høgskolen 15. januar 2015 Linn-Merethe Rød, Seniorrådgiver Norsk Samfunnsvitenskapelig Datatjeneste AS Seksjon for personverntjenester 12 saksbehandlere med ulik bakgrunn Personvernombud

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer>

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer> Forespørsel om deltakelse i forskningsprosjektet: Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie ved Universitetet i. [Sett inn informasjon

Detaljer

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Til 1: Formål Bestemmelsen slår fast forskriftens formål. Formålet er å fremme forsvarlig organisering

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

Forskningsjus og forskningsetikk i et nøtteskall

Forskningsjus og forskningsetikk i et nøtteskall Forskningsjus og forskningsetikk i et nøtteskall Grunnkurs D, Våruka 2016 Professor Elin O. Rosvold Uetisk forskning og forskningsjuks Historier om uetisk forskning Helsinkideklarasjonen Lover som regulerer

Detaljer

UiO : Universitetet i Oslo Universitetsdirektøren

UiO : Universitetet i Oslo Universitetsdirektøren UiO : Universitetet i Oslo lav Gyldig fra: l 15.05.2012 Gj k K ^/^vt r4 ' Gunn-Elin Aa. Bjomeboe MEDISINSK OG HELSEFAGLIG FORSKNING Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie

Detaljer

Forskningsetikk, REKsystemet

Forskningsetikk, REKsystemet Forskningsetikk, REKsystemet og personvern Uetiske forskningsprosjekt kun i andre land? Overlege G.H. Armauer Hansen og oppdagelse av leprabasillen (dømt i 1880 for brudd på krav om informert samtykke)

Detaljer

Noe om forskningsetikk

Noe om forskningsetikk Noe om forskningsetikk Dag Bruusgaard Professor emeritus Institutt for helse og samfunn Avdeling for allmennmedisin Leder av Den nasjonale forskningsetiske komite for medisin og helsefag Tidl. fastlege

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Forespørsel om deltakelse i forskningsprosjektet

Forespørsel om deltakelse i forskningsprosjektet Diett og genuttrykk Hoveddel 01.05.2010 Forespørsel om deltakelse i forskningsprosjektet Diett og genuttykk Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie for å se om

Detaljer

KVALITETSIKRINGSSYSTEM. for ETIKK OG PERSONVERN

KVALITETSIKRINGSSYSTEM. for ETIKK OG PERSONVERN KVALITETSIKRINGSSYSTEM for ETIKK OG PERSONVERN 1 INNHOLDSFORTEGNELSE 1. Innledning... 1 1.1 Hvilke instanser regulerer forskningen ved UiN?... 1 1.1.1 Personvernombudet for forskning Norsk Samfunnsvitenskapelig

Detaljer

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo) [Sett inn databehandlingsansvarliges logo) Samtykkeerklæring Forespørsel om registrering i [sett inn navn på register]. Gi en kort beskrivelse av registeret [sett inn informasjon om bakgrunn, når registeret

Detaljer

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer>

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer> Forespørsel om deltakelse i forskningsprosjektet: Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie ved Helse Bergen HF/Haukeland universitetssykehus.

Detaljer

Meldeplikt når og hvor?

Meldeplikt når og hvor? Meldeplikt når og hvor? KAI VICTOR HANSEN, PHD, MSC NORSK HOTELLHHØGSKOLE UNIVERSITETET I STAVANGER KVH 2015 Innhold Hvilke prosjekter er meldepliktige? Når skal en søknad til NSD og når skal den til Regionaletisk

Detaljer

Helseforskningsloven - intensjon og utfordringer

Helseforskningsloven - intensjon og utfordringer Helseforskningsloven - intensjon og utfordringer Sverre Engelschiøn Gardermoen, 25. oktober 2010 Intensjonen Fremme god og etisk forsvarlig medisinsk i og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven INTERNT BAKGRUNNSNOTAT I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven Bakgrunn En rekke forskningsprosjekter ved fakultetet håndterer

Detaljer

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften, Page 1 of 11 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) Randi Rolvsjord randi.rolvsjord@grieg.uib.no Griegakademiet - Institutt for musikk Universitetet

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

Orientering om arbeidsgruppe - implementering av ny helseforskningslov Orientering om arbeidsgruppe - implementering av ny helseforskningslov IT-forum 20.05.2010 IT-forum 20. mai 2010 Arbeidsgruppens sammensetning Prorektor Berit Rokne (leder) Prodekan Robert Bjerknes, MOF

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt

Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt Dette er en forespørsel til deg om å delta i en forskningsstudie

Detaljer

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning UNH1 Medisinsk og helsefaglig forskning Ny helseforskningslov 010710 Sameline Grimsgaard Leder Klinisk forskningssenter Anne Husebekk Fag- og forskningssjef, UNN Professor, UiT virksomhet som utføres med

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010

Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010 Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010 Anonyme helse- og personopplysninger: Opplysninger der navn, fødselsnummer og andre personentydige

Detaljer

Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE

Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE Notat til IMT 1431 Designmetoder. Anders Fagerjord, tirsdag 25. november 2014 Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE 1: Målsetninger og formål for evalueringen overblikk over planen Hva som skal

Detaljer

Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD

Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD 1 av 10 Fakultet for samfunnsvitenskap og teknologiledelse Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD Retningslinjene innføres i denne form i

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser. Til ordfører, administrasjonssjef og daglig leder Nærmere informasjon om www.styrevervregisteret.no KS sendte den 5. januar 2007 brev til kommuner, fylkeskommuner og kommunalt eide selskaper der Styrevervregisteret

Detaljer

Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1

Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1 Dato: 28.11.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1 Kapittel: 0 Dokument: 1 Tittel: INNHOLDSFORTEGNELSE «Handbok for behandling av personopplysninger

Detaljer

Hva vet du om forskningsetikk?

Hva vet du om forskningsetikk? Hva vet du om forskningsetikk? Katrine Utaaker Segadal, NSD Anne Cathrine Beckstrøm, NEM Camilla Nervik, Datatilsynet Heidi Skramstad, HiB NARMA 1. april 2014 Norsk samfunnsvitenskapelig datatjeneste AS

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte Dag Wiese Schartum, AFIN Offentlighetsprinsippet som bakgrunn Personopplysningsloven gjelder generelt, uavhengig av sektor, og gir generelle

Detaljer

Klinikk/avdeling hvor prosjektet gjennomføres: Arne Westgaard

Klinikk/avdeling hvor prosjektet gjennomføres: Arne Westgaard Meldeskjema 1 for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Søknad om tildeling av FoU- tid for studieåret 2015-2016

Søknad om tildeling av FoU- tid for studieåret 2015-2016 Søknad om tildeling av FoU- tid for studieåret 2015-2016 Kriterier for tildeling av FoU- tid FoU- tiden skal resultere i tellende publikasjoner. (Med tellende publikasjon menes fagfellevurdert, vitenskapelige

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema

Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema Dokument nr: EPUT V701 Versjon nr: 2.1 Formål: Målgruppe: Bidra til riktig utforming av søknadsskjema og oversendelsnotat.

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning

Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning l Formål Loven skal bidra til at forskning i offentlig og privat regi skjer i henhold til anerkjente etiske normer. 2 Uavhengighet

Detaljer

Samfunnsnytte og belastninger for den registrerte

Samfunnsnytte og belastninger for den registrerte Samfunnsnytte og belastninger for den registrerte Bjørn Hvinden Seminar om registerforskning, Litteraturhuset, Oslo, 6. februar 2014 Hovedpunkter 1. Rettslig og forskningsetisk regulering av forskning

Detaljer

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde Eks7 Pics DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT Adressater i henhold til liste Deres ref Vår ref Dato 201001748 27.08.2010 Helseforskningslovens virkeområde Helse- og omsorgsdepartementet har ved

Detaljer

Forsknignsetikk for dummies

Forsknignsetikk for dummies Forsknignsetikk for dummies NARMA Heidi Skramstad Campus Kronstad 29. mars 2017 Plan Forskningsetikkloven Ulike vitenskapelige normer Personopplysningsloven Helseforskningsloven Uredelighet (igjen) Internkontroll

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Samtykke, Helseforskningsloven kap 4

Samtykke, Helseforskningsloven kap 4 Samtykke, Helseforskningsloven kap 4 Marit Grønning REK 13.Hovedregel om samtykke Det kreves samtykke fra deltakere i medisinsk og helsefaglig forskning, med mindre annet følger av lov. Samtykket skal

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas

Detaljer

1.1 Innledning. Internkontrollsystem for behandling av personopplysninger i forskning. Dokumenteier: Behandlingsansvarlig

1.1 Innledning. Internkontrollsystem for behandling av personopplysninger i forskning. Dokumenteier: Behandlingsansvarlig 1.1 Innledning Internkontrollsystem for behandling av personopplysninger i forskning Dokumenteier: Behandlingsansvarlig 1.3.2013 Gjelder for: Alle Versjon: 2.0 Ved Universitetet i Bergen behandles personopplysninger

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Helse- og omsorgsdepartementet Høringsnotat Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Høringsfrist 20. april 2017 Side 1 av 9 Innhold

Detaljer

Retningslinjer for utlevering av data fra Kreftregisteret

Retningslinjer for utlevering av data fra Kreftregisteret 1 Redigert april 2011 Retningslinjer for utlevering av data fra Kreftregisteret Dette dokumentet regulerer all utlevering av kreftregisterdata til forskningsprosjekter (både interne og eksterne), samt

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Kvalitetssystem for medisinsk og helsefaglig forskning. Delegering av oppgaver i kvalitetssystemets rutiner Bakgrunn

Kvalitetssystem for medisinsk og helsefaglig forskning. Delegering av oppgaver i kvalitetssystemets rutiner Bakgrunn 1 FRAMLEGGSNOTAT TIL FAKULTETSSTYRET Til: Det medisinske fakultets styre Fra: Forskningsadministrasjonen, seniorrådgiver Katrine Ore Sakstype: O Arkivsaksnr: Vedlegg: Rutine for håndtering av avvik som

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Forskere og andre som ønsker tilgang til data fra ungdomsfilene til vitenskapelige formål.

Forskere og andre som ønsker tilgang til data fra ungdomsfilene til vitenskapelige formål. 1 Dokument nr: R105 Versjon nr: 1.6 Retningslinjer Tilgang til data og biologisk materiale fra ungdomsundersøkelsene: UNGHUBRO, UNGHEDMARK, UNGOPPLAND, UNGTROMSØ 2002, UNGDOM 2004, UNGNORDLAND, UNGTROMS

Detaljer

Etikk skal ikke være noe ved siden av -

Etikk skal ikke være noe ved siden av - Personvern i forsking Balansering av personvern og forskningsinteresser Vigdis Namtvedt Kvalheim Forskningsetisk forum, Oslo, 18. oktober 2012 Etikk Etikk skal ikke være noe ved siden av - Det skal være

Detaljer

PERSONVERN. Har du kontroll? Veileder for personvern i forskning

PERSONVERN. Har du kontroll? Veileder for personvern i forskning PERSONVERN Har du kontroll? Veileder for personvern i forskning Denne veilederen er rettet mot deg som er leder eller ansatt i forskningsadministrasjonen. Her finner du praktiske råd og tips om hvordan

Detaljer

Informasjon om bruk av personnummer i Cristin-systemet

Informasjon om bruk av personnummer i Cristin-systemet Informasjon om bruk av personnummer i Cristin-systemet Bakgrunnen til at Cristin og tidligere også Frida-systemet bruker fødselsnummer er at dette er pr i dag den eneste unike identifiseringsnøkkelen for

Detaljer

Hvilken rolle har REK (NEM), Personvernombudene, Datatilsynet og Helsetilsynet i henhold til klinisk oppdragsforskning og helseforskningsloven?

Hvilken rolle har REK (NEM), Personvernombudene, Datatilsynet og Helsetilsynet i henhold til klinisk oppdragsforskning og helseforskningsloven? Jacob C Hølen Hvilken rolle har REK (NEM), Personvernombudene, Datatilsynet og Helsetilsynet i henhold til klinisk oppdragsforskning og helseforskningsloven? Sekretariatsleder Den nasjonale forskningsetiske

Detaljer

Innledning. Behandling av personopplysninger

Innledning. Behandling av personopplysninger Innledning Norsk Direktemarkedsføringsforening (NORDMA) søker å opprettholde et effektivt og pålitelig system for selvregulering. Disse reguleringene (bransjenormene) skal møte rimelige krav og forventninger

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Ledelse og personvern Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger: Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet

Detaljer

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet. Undervisningsvurdering noen juridiske forhold Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet. ARTIKKEL SIST ENDRET:

Detaljer