RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE

Størrelse: px
Begynne med side:

Download "RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE"

Transkript

1 26. november 2007 RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 0. Kontaktpersoner ved spørsmål Spørsmål vedrørende denne rutine kan rettes til AFD, forskningsadministrativ enhet, eller L- AFD. Norsk samfunnsvitenskapelig datatjeneste, NSD, er oppnevnt som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH (se pkt. 4). NSD har som følge herav stor kompetanse i personvernspørsmål, og den enkelte forsker og student er velkommen til å ta kontakt for å få avklart tvilsspørsmål (se for kontaktinformasjon). 1. Virkeområdet Disse rutinene gjelder for alle forsknings- og studentprosjekter ved Norges idrettshøgskole (NIH) som innbefatter behandling av personopplysninger helt eller delvis med elektroniske hjelpemidler, jf. personopplysningsloven, helseregisterloven, biobankloven og forskningsetikkloven. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en person, som direkte eller indirekte kan identifiseres for eksempel ved hjelp av koblingsnøkkel, navn, identifikasjonsnummer, eller et annet kjennetegn som er spesielt for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Dette inkluderer også humant biologisk materiale, dvs. organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og døde mennesker (som typisk oppbevares i en forskningsbiobank). Sensitive personopplysninger er opplysninger om Rasemessig eller etnisk bakgrunn Politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger. Kun anonyme opplysninger om personer er ikke omfattet av ovennevnte lover og disse rutinene. Et unntak er dog at medisinsk forskning på anonyme data/materiale skal fremlegges en regional komité for medisinsk forskningsetikk (se pkt. 7). - Det skal bemerkes at avidentifisering av opplysningene ved hjelp av koblingsnøkkel ikke gjør personopplysningene anonyme uansett hvor og hvordan nøkkelen oppbevares. Et avidentifisert datasett blir først anonymt dersom man tilintetgjør koblingsnøkkelen. 1

2 Film- og lydopptakk, foto m.m. av enkeltpersoner/enkeltpersoners stemmer er i utgangspunktet omfattet av personopplysningsloven. Det kan være vanskelig å vurdere om behandlingen av for eksempel et filmopptak skal meldes til NSD, om personene på opptaket skal gi samtykke osv. Reglene er ikke entydige. I tvilstilfeller kan spørsmål rettes til AFD eller direkte til NSD. 2. Daglig ansvar Seksjonsleder har det overordnede ansvaret for at pliktene som personopplysningsloven m.m. tillegger NIH er oppfylt for behandlingen som skjer av personopplysninger i forskningsprosjekter tilknyttet seksjonen. Det daglige ansvaret for oppfyllelsen av disse pliktene har imidlertid prosjektlederen for det enkelte forskningsprosjekt med mindre annet skriftlig er avtalt mellom seksjonsleder og prosjektleder. Dersom prosjektleder er ansatt i eller på annen måte tilknyttet flere virksomheter, må det før prosjektet startes opp avklares om det er NIH som har behandlingsansvaret. For studentprosjekter er det den oppnevnte faglige veileder eller hvis det ikke er oppnevnt veiledere den eller de undervisningsansvarlige - som har dette daglige ansvaret. Det anbefales at den daglig ansvarlige fører en sjekkliste hvor han/hun kan krysse av når de forskjellige punkter i denne rutinen er gjennomført. 3. Taushetserklæring fra studenter og eksterne prosjektdeltagere Alle studenter og eksterne prosjektdeltagere (f.eks. forskere som ikke er tilsatt på NIH) som får tilgang til personopplysninger via deltagelse i et NIH-prosjekt må signere taushetserklæring (mal må utarbeides) og få opplæring i reglementet for informasjonssikkerhet. Den daglig ansvarlige har ansvar for opplæring og innhentning av signert taushetserklæring. 4. Melding til Norsk samfunnsvitenskapelig datatjeneste Norsk samfunnsvitenskapelig datatjeneste, NSD, fungerer som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH. Ordningen med personvernombud innebærer at meldeplikten til Datatilsynet erstattes av en meldeplikt til personvernombudet hos NSD. I henhold til personopplysningslovens 31 skal forsknings- og studentprosjekter meldes ved elektronisk behandling av personopplysninger ved opprettelse av manuelle registre med sensitive personopplysninger. Hvis behandlingen av ikke-sensitive personopplysninger utelukkende skjer manuelt, skal behandlingen med andre ord ikke meldes til NSD. Den daglig ansvarlige skal straks, og senest 30 dager før behandlingen av personopplysningene tar til, melde prosjektet til NSD. Daglig ansvarlig sørger for at meldeskjemaet arkiveres i NIHs arkivsystem, ephorte. 2

3 Meldeskjema og veiledning til det finnes på Norsk samfunnsvitenskapelig datatjenestes internettsider: AFD orienteres straks om at meldingen er sendt til NSD (med henvisning til relevant saksnummer i ephorte). Bakgrunnen for dette er at AFD har ansvaret for gjennomføringen av risikovurdering, jf. punkt 16. Den daglig ansvarlige må samtidig angi det elektroniske systemet (programvare m.m.) som er tenkt benyttet ved behandlingen og gi informasjon om eventuelle spesielle sikkerhetsrutiner som skal gjelde for prosjektet. Tilbakemeldinger fra NSD eller Datatilsynet, herunder eventuelle meddelte konsesjonsvilkår, skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK AT PROSJEKTET FØRST KAN IGANGSETTES NÅR PROSJEKTLEDER HAR MOTTATT POSITIV TILBAKEMELDING FRA NSD ELLER DATATILSYNET. Seksjonsleder skal etablere rutiner for å sikre at alle forskningsprosjekter som behandler personopplysninger etter personopplysningslovens og helseregisterlovens bestemmelser blir meldt til NSD. Han/hun skal i forbindelse med årlige gjennomganger ved oppslag i NSDs database kontrollere at alle prosjekter som skulle meldes har blitt meldt til NSD (se 5. Melding av prosjekter med utenlandske opplysninger Uansett om data er innsamlet i Norge eller utlandet skal et prosjekt inneholdende opplysninger om personer fra utlandet meldes til NSD såfremt behandlingen av personopplysningene skjer i Norge. Hvis behandlingen ikke skjer i Norge skal prosjektet ikke meldes til NSD. Især i forhold til land utenfor EU-/EØS-området skal man være oppmerksom på eventuelle nasjonale særregler gjeldende for innsamling av personopplysningene. 6. Melding om endringer i prosjektopplegget Dersom prosjektleder foretar endringer i prosjektopplegget/behandlingen av personopplysningene i forhold til de opplysninger som ligger til grunn for NSDs opprinnelige vurdering, skal prosjektleder melde dette til NSD via et endringsskjema (se Dette gjelder for eksempel forlengelse av prosjektet, herunder pga. svangerskapspermisjon eller lignende. Kopi av endringsskjema skal arkiveres i ephorte (og AFD orienteres om arkiveringen). Se også pkt. 16, siste avsnitt. 7. Melding til Regionale komiteer for medisinsk forskningsetikk All medisinsk forskning som involverer mennesker (inkludert personopplysninger og humant materiale) skal fremlegges for en regional komité for medisinsk forskningsetikk (REK). I NIHs tilfelle vil det vanligvis være REK Sør. 3

4 Ut over medisinsk forskning omfatter fremleggelsesplikten også forskning som anvender psykologisk, samfunnsvitenskapelig og bioteknologisk metodikk. Slike forskningsprosjekter er fremleggelsespliktige dersom de omhandler menneskers fysiske og mentale helse og anvender terapeutiske eller ikke-terapeutiske metoder på personer. Meldeskjema og veiledning til det finnes på forskningsetiske komiteer sine internettsider: Komiteene har en rådgivende funksjon (kan frarå eller tilrå), men en forsker får i alminnelighet ikke publisert studier i et medisinsk tidsskrift uten tilråding fra REK. Et prosjekt skal forelegges komiteen på nytt, dersom det under gjennomføringen skjer endringer i de forutsetninger komiteen har basert sin opprinnelige avgjørelse på. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK: Prosjektet skal vurderes og tilrås av REK før prosjektet settes i gang. Det vil si at man ikke skal ta kontakt med forsøkspersoner eller deltakere før REKs vurdering foreligger. 8. Melding til Biobankregisteret Humant biologisk materiale som innsamles, oppbevares og behandles i en forskningsbiobank skal behandles som andre personopplysninger. Med forskningsbiobank forstås en samling humant biologisk materiale og opplysninger som direkte fremkommer ved analyse av dette materialet, og som anvendes eller skal anvendes til forskning. - Det gjelder imidlertid også særlige regler for forskningsbiobanker. Forskningsbiobanker kan i henhold til biobankloven bare opprettes etter å ha blitt vurdert av regional komité for medisinsk forskningsetikk (REK) og godkjent av Sosial- og helsedirektoratet. Meldeskjema og veiledning til det finnes på Biobankregisteret sine internettsider: REK sender søknad om opprettelse av forskningsbiobank til Sosial- og helsedirektoratet når REKs godkjennelse av prosjektet foreligger. REK melder også forskningsbiobanken til det sentrale nasjonale biobankregisteret underlagt Nasjonalt folkehelseinstitutt. Dersom direktoratet innen 45 dager etter at slik melding er mottatt ikke har kommet med innsigelser til biobanken, anses opprettelsen som lovlig. Ny melding til direktoratet må gis ved endret, utvidet eller ny bruk av materialet i forhold til den opprinnelige meldingen. Hver biobank skal ha en ansvarshavende person med medisinsk eller biologisk utdannelse av høyere grad. Denne person trenger ikke være den daglig ansvarlige, men må utpekes av denne. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). 4

5 9. Informasjon ved innsamling av personopplysninger Den daglig ansvarlige skal når det samles inn personopplysninger (direkte fra respondenten eller fra andre enn respondenten selv), av eget tiltak først informere respondenten om - at NIH er behandlingsansvarlig, - formålet med behandlingen av personopplysningene, - om opplysningene vil bli utlevert, og hvem som eventuelt er mottaker, - at det er frivillig å gi fra seg opplysningene, og - om at respondenten har rett til innsyn og til å kreve retting. Ovennevnte er lovens minimumskrav til informasjon av respondenten. Informasjonsbrevet bør imidlertid inneholde flere punkter, jf. eksempel på infoskriv fra NSD (se eller De nasjonale forskningsetiske komiteer ( Sistnevnte eksempel er primært relevant for helsefaglige prosjekter som faller inn under mandatet til REK, jf. pkt. 7. Utgangspunktet er altså at den registrerte skal informeres dersom opplysninger om vedkommende skal brukes. Det finnes likevel enkelte unntakssituasjoner (som må fortolkes strengt): - Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen. - Plikten til å gi informasjon omfatter enn videre ikke opplysninger det må anses for utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forhold til personer som står vedkommende nær. Unntaket må anvendes med stor varsomhet. Som eksempel kan nevnes at det å bli konfrontert med sykdomsforhold ikke i seg selv er tilstrekkelig for at dette unntaket er oppfylt. I tilfelle hvor personopplysningene er samlet inn fra andre enn den registrerte selv, har den registrerte ikke krav på varsel dersom - innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, - varsling er umulig eller uforholdsmessig vanskelig. Som et utgangspunkt kan det antas at varsling i prosjekter som inkluderer mer end 1000 personer vil kunne være uforholdsmessig vanskelig, såfremt samtykke ikke skal innhentes (se pkt. 10). Det samme må antas å gjelde der adresseopplysningene er av mangelfull kvalitet, det er ukjent om personene lever på det aktuelle tidspunktet og den behandlingsansvarlige kun har avidentifiserte opplysninger, og derfor ikke kjenner de registrertes identitet direkte. Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. 10. Innhenting av samtykke Personopplysninger kan bare behandles dersom - det foreligger et samtykke fra den det behandles opplysninger om (respondenten eller deltageren), eller - det foreligger samfunnsinteresser som nødvendiggjør behandlingen og som klart overstiger de ulempene behandlingen medfører for den enkelte (respondenten eller deltageren), se personopplysningslovens 8 og 9 samt helseregisterlovens 5. 5

6 Normalt vil man skulle innhente samtykke fra respondentene/deltagerne. Samtykket skal være en frivillig, uttrykkelig og informert erklæring fra den opplysningene gjelder om at han/hun godtar behandlingen. Det er daglig ansvarliges ansvar at innhente samtykke etter bestemmelsene beskrevet i dette avsnittet. Fremgangsmåten vil typisk være den at respondenten/deltageren i informasjonsbrevet, jf. punkt 9, blir bedt om å signere og returnere en samtykkeerklæring. Under alle omstendigheter skal det gis tilstrekkelig informasjon til respondenten/deltageren for at denne kan forstå hva samtykket gjelder og konsekvensene av det herunder - navn og adresse på den behandlingsansvarlige (= NIH) - hva opplysningene skal brukes til - om opplysningene vil bli utlevert til andre og eventuelt til hvem - om det er frivillig å gi fra seg opplysningene - om forhold som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. retten til å kreve innsyn, retting og sletting - hvor lenge personopplysningene vil bli behandlet eller oppbevart (se også pkt. 14 om lagring og sletting). I tilfeller med store utvalg kan prosjektleder ofte unntas for sin informasjonsplikt, for eksempel på bakgrunn av vanskeligheten det vil medføre å gi slik informasjon til utvalget. Det er imidlertid ikke mulig å avgrense entydig når innhentning av samtykke kan unnlates (for eksempel: hvor stort skal utvalget være?). På dette område er veiledning fra NSD spesielt viktig. I praksis viser det seg at det ofte skjer endringer underveis i prosjektet, som for eksempel forsinkelser eller andre forlengelser. For at samtykket fremdeles skal være gyldig, må deltageren som hovedregel informeres om disse endringene (for eksempel hvis det i løpet av prosjektet viser seg ønskelig å oppbevare opplysningene lenger enn det respondentene/ deltagerne er informert om og har samtykket til). I forbindelse med spørreskjemaundersøkelser vil det ofte være å regne som samtykke hvis respondenten returnerer skjemaet. Tilsvarende gjelder hvis en respondent aksepterer deltakelse i intervju eller annen aktiv handling for deltakelse i forskning. Det krever imidlertid at det i følgebrev eller lignende er gitt ovenstående opplysninger om hva opplysningene skal brukes til m.m. I mange tilfeller vil skriftlig samtykke være å anbefale bl.a. for å gjøre samtykket mer dokumenterbart. NSD vil ofte i utgangspunktet akseptere hvis man i samtykkeerklæringer skriver at datamaterialet vil kunne brukes til andre formål. Det er imidlertid ikke ensbetydende med en garanti for at NSD godkjenner at materialet kan brukes til et hvilket som helst formål i fremtiden. Gjenbruk av forskningsdata uten nytt samtykke vil av NSD alltid vurderes i forhold til hva som er forsvarlig (etisk og personvernmessig) og metodisk nødvendig samt i forhold til det samtykke som opprinnelig ble gitt. En særlig problemstilling er innhenting av samtykke fra barn og unge samt voksne personer med manglende eller redusert samtykkekompetanse (f.eks. personer med psykiske lidelser eller demens). Datatilsynet har sammen med Forbrukerombudet utviklet retningslinjer for innhenting og bruk av mindreårige sine personopplysninger (se 6

7 Tilsvarende har Forskningsetiske komiteer utarbeidet retningslinjer for inklusjon av voksne personer med manglende eller redusert samtykkekompetanse (se Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. I forbindelse med bruk av humant biologisk materiale (forskningsbiobank) skal det tilsvarende innhentes samtykke fra giveren (se 12 i biobankloven: html). Endret, utvidet eller ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 11. Behandling av innsynsforespørsler Enhver som ber om det, kan av den daglig ansvarlige kreve å få vite følgende informasjon om behandlingen av personopplysninger i et bestemt forskningsprosjekt: a. navn og adresse på den behandlingsansvarlige b. hvem som har det daglige ansvar for å oppfylle pliktene som er tillagt behandlingsansvarlig for det enkelte prosjekt, c. formålet med den enkelte behandlingen, d. beskrivelse av hvilke typer personopplysninger som behandles i det enkelte prosjekt, e. om personopplysningene i det enkelte prosjekt vil bli utlevert, og eventuelt hvem som er mottaker. Hvis den som ber om innsyn er respondent/deltager, gjelder følgende: Dersom behandlingen av personopplysningene utelukkende skjer for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte, kan respondenten/deltageren kun kreve å få vite ovenstående informasjon (som alle andre). Dersom behandlingen ikke utelukkende skjer for historiske, statistiske eller vitenskapelige formål eller såfremt den historiske, statistiske eller vitenskapelige behandling får direkte betydning for den registrerte, skal den daglig ansvarlige for prosjektet i tillegg til pkt. a e opplyse om f. hvilke opplysninger om respondenten som behandles, og g. sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. Den registrerte kan i dette tilfelle dessuten kreve at NIH utdyper informasjonen i punkt a e i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Før det gis innsyn i opplysninger om en respondent/deltager, skal den daglig ansvarlige kreve at respondenten/deltageren leverer en skriftlig og undertegnet begjæring. I tvilstilfeller skal det kreves legitimasjon fra vedkommende som etterspør opplysninger av personlig karakter. Som utgangspunkt skal informasjonen gis skriftlig. 7

8 Forespørsler vedr. flere prosjekter eller behandling av personopplysninger generelt vises til AFD. Henvendelser om innsyn skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 12. Utlevering av personopplysninger til utenforstående Personopplysninger i forsknings- eller studentprosjektene må ikke utleveres til utenforstående. Utlevering kan likevel skje 1. som informert om ved innhenting av personopplysningene, 2. med samtykke fra respondenten, 3. med hjemmel i lov, eller forskrift gitt med hjemmel i lov. 13. Retting av mangelfulle personopplysninger Personer som behandler personopplysninger i forsknings- eller studentprosjekter som blir kjent med at det er registrert personopplysninger i prosjektet som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal av eget tiltak eller etter krav fra respondenten rette eller få rettet de mangelfulle opplysningene. Den daglig ansvarlige skal så vidt mulig sørge for at eventuelle feil ikke får konsekvenser for respondenten/deltageren (for eksempel ved å varsle mottakere av utleverte opplysninger). Henvendelser fra respondenten/deltageren om retting skal besvares av den daglig ansvarlige uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 14. Lagring og sletting av personopplysninger Personopplysninger skal som hovedregel ikke oppbevares lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Dette kan fortolkes som et krav om at personopplysningene skal slettes når de i meldingen oppgitte analyser er gjennomført og resultatene publisert. På den annen side tilsier hensynet til etterprøvbarhet av forskningen at alle forskningsdata bør oppbevares i en periode etter at prosjektet er avsluttet. Forskningsrådet krever således at prosjektdata oppbevares i minimum 10 år etter avslutningen av prosjektet. NIH har på den bakgrunn besluttet at personopplysninger i forsknings- og studentprosjekter skal lagres i en periode etter prosjektets avslutning. Inntil videre foreslås minimum 10 år (jf. kravet fra NFR). For å kunne lagre personopplysningen etter prosjektets avslutning krever det imidlertid at man i forbindelse med innhentning av samtykke har opplyst at datamaterialet etter prosjektslutt vil bli oppbevart i 10 år for å kunne sikre behovet for kontroll og ivareta kravet til redelighet i forskningen. Av hensyn til datasikkerheten vil forskningsdata inntil videre skulle lagres hos NSD etter prosjektslutt. Personopplysninger kan lagres ut over ovenstående for historiske, statistiske eller vitenskapelige formål (f.eks. oppfølgingsundersøkelser), dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte 8

9 respondent/deltager. Den daglig ansvarlige skal i fall sørge for at opplysningene ikke oppbevares på en måte som gjør det mulig å identifisere respondenten/deltageren lenger enn nødvendig. NSD sender rutinemessig forespørsel om arkivering av prosjektdata til forskere og studenter som melder forskningsprosjektene sine til personvernombudet. Etter avtalen med NSD skal NSD som personvernombud føre kontroll med arkivering, anonymisering eller sletting av persondata etter at formålet med behandlingen er oppfylt. Det er den daglig ansvarliges ansvar å ta kontakt med NSD for å avklare premissene for lagring av data. Det er videre den daglig ansvarliges ansvar (i samarbeid med IKT-seksjonen) å sikre at NSDs anvisninger for sletting/lagring av personopplysninger følges opp. Den daglig ansvarlige skal sørge for at eventuelle personopplysninger som er innsamlet og registrert, men ikke anvendt i prosjektet, bliver slettet. IKT-seksjonen foretar slettingen. Den daglig ansvarlige skal informere AFD skriftlig når personopplysningene er slettet eller overført til NSD. 15. Gjenbruk av data Gjenbruk av lagrede ikke-anonymiserte personopplysninger fra tidligere forsknings-/ studentprosjekter er underlagt reglene om melde- og konsesjonsplikt (punkt 4, 7 og 8), innhenting av samtykke (punkt 10) osv. på samme måte som andre typer behandlinger. Tilsvarende gjelder for gjenbruk av materiale fra biobanker. - Dersom det er umulig eller svært vanskelig å innhente nytt samtykke, kan departementet gjøre unntak fra kravet om nytt samtykke. Det må foreligge en vurdering fra en regional komité for medisinsk forskningsetikk. Ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 16. Risikovurdering AFD skal holde oversikt over alle forsknings- og studentprosjekter hvor det behandles personopplysninger. NIH skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering for forsknings- og studentprosjektene. Risikovurderingen skal gjennomføres så snart som mulig og senest 30 dager etter at AFD har mottatt kopi av meldingen av prosjektet til NSD, jf. punkt 4. Leder av AFD har ansvar for at risikovurderingen gjennomføres. Resultatet av risikovurderingen skal dokumenteres, arkiveres og kopi sendes relevant seksjonsleder. Ved større endringer av prosjektet skal risikovurderingen gjentas. Den daglig ansvarlige kontakter i så fall leder av AFD som er ansvarlig for at risikovurderingen gjennomføres. Dersom den daglig ansvarlige er i tvil om hvorvidt endringen krever en ny risikovurdering tar han/hun kontakt med leder av AFD med henblikk på avklaring. 9

10 17. Sikkerhetskrav Ved elektronisk behandling av personopplysninger i forsknings- og studentprosjekter, som NIH er behandlingsansvarlig for, skal så langt det er mulig høgskolens edb-anlegg benyttes. IT-utstyret skal bare benyttes av de som er knyttet til prosjektet. Andre, som for eksempel kollegaer, studenter eller familiemedlemmer, skal ikke ha tilgang til eller bruke utstyret. ITutstyret skal være passord-beskyttet i henhold til reglene i 2.2 i NIHs instruks for bruk av IT-utstyr. Utgangspunktet er at personidentifiserbare opplysninger ikke skal lagres elektronisk. Personopplysningene skal avidentifiseres ved hjelp av koblingsnøkkel. Personidentifiserbare opplysninger kan unntaksvis lagres elektronisk på NIHs filserver på eget, lukket område når dette er klart nødvendig ut fra formålet med behandlingen (etter avtale med IKT-seksjonen). Slike opplysninger bør ikke lagres sammen med det øvrige datamaterialet i prosjektet. Koblingsnøkkel eller annet materiale som kan brukes til å identifisere personene, skal ikke lagres på samme maskin, filserver eller annet lagringsmedium. Manuelle koblingsnøkler som er nedlåst separat vil normalt oppfylle kravet om tilfredsstillende atskillelse fra det resterende datamateriale. Maskinen som benyttes skal være satt opp med de tiltak som er mulig for å sikre maskinen, uansett operativsystem. IKT-seksjonen er ansvarlig for dette. Den daglig ansvarlige har ansvar for kontakten til IKT-seksjonen. Personopplysningene lagres på filservere, det tas back up av og som er beskyttet av høgskolens sikkerhetsrutiner/brannmur. Veiledning kan fås av IKT-seksjonen. Personopplysningene skal ikke lagres på kontorpc-ens hard disk (dvs. C:/-drevet), hjemme-pc, bærbar pc, pda (håndholdt pc), mobiltelefon eller lignende. Personidentifiserbare personopplysninger må ikke overføres elektronisk ved hjelp av overføringsmedium (e-post, minnepinn, cd-rom, pda, mobiltelefon eller lignende). Koblingsnøkkel overføres separat. Såfremt det i forbindelse med feltarbeid innsamles data inneholdende personopplysninger på lydbånd, på papir eller på bærbar pc må man forsøke å avidentifisere opplysningene best mulig. I praksis betyr dette for eksempel at navnelister oppbevares atskilt fra intervjudata, at lydopptak ikke merkes med navn, men heller med nummer osv. Anvendes bærbar pc, pda eller lignende er det viktig å sikre maskinen med passord. Når et forskningsprosjekt pågår vil det ofte bli innsamlet materiale som kan utgjøre store mengder papirer i form av spørreskjema og/eller videotaper/båndopptak. Dette materialet må oppbevares bak låste dører/ i skuffer/skap som utelukkende de involverte forskere/studenter har adgang til. En låst kontordør vil typisk ikke være tilstrekkelig, da det ofte vil være mange som har nøkkel til kontoret. I slike tilfelle må materialet oppbevares i avlåst skuffe eller skap. Ingen andre enn de involverte forskere/studenter og evt. de medarbeidere som har ansvar/roller i NIHs informasjonssikkerhetssystem skal informeres om eksistensen av materialet. Tilsvarende gjelder for oppbevaring av humant biologisk materiale. 10

11 Utskrifter inneholdende personidentifiserbare opplysninger skal likeledes oppbevares bak låste dører/ i skuffer/skap. Ved utskrift av personidentifiserbare opplysninger skal man så vidt mulig bruke separat printer som ingen annen har tilgang til eller anvende personlig kode til å få papirene skrevet ut. Kontakt IKT-seksjonen hvis du er i tvil. Leder av AFD vil etter risikovurderingen kunne stille ytterligere sikkerhetskrav til det enkelte prosjekt. 18. Internkontrollrutiner NIHs informasjonssikkerhetsforum (FL) har ansvar for at det jevnlig gjennomføres revisjon av høgskolens internkontrollsystem for behandling av personopplysninger i forsknings- og studentprosjekter ved NIH, herunder kontrollere ledelsens valg av rutiner og etterlevelsen av rutinene. NSDs system og register over forsknings- og studentprosjekter skal brukes som et grunnlag i dette arbeidet. Revisjonen skal gjennomføres av en person som er uavhengig i forhold til kontrollsystemet: Det kan være en NIH-medarbejder (f.eks. en avdelingsleder bortsett fra lederen av AFD) eller ekstern person (f.eks. en informasjonssikkerhetsansvarlig fra en annen institusjon). Informasjonssikkerhetsansvarlig eller den han/hun delegerer oppgaven til skal være oppnevnt som kontaktperson overfor NSD og ha ansvaret for å gi informasjon til høgskolens forskere og studenter om personvernlovgivningen, melde- og konsesjonsplikt, ordningen med personvernombud, ordningen med arkivering av persondata etter prosjektslutt og NIHs rutiner for behandling av personopplysninger i forsknings- og studentprosjekter. Kontaktpersonen skal årlig foreta kontroll av et utvalg av pågående forsknings- og studentprosjekter som er meldt til NSD. Formålet med kontrollen er å se om behandlingen av personopplysningene skjer i henhold til høgskolens retningslinjer, som opplyst om i melding til NSD, i henhold til eventuelle konsesjonsvilkår og AFDs eventuelle anbefalte spesielle sikkerhetsrutiner for prosjektet. Kontaktpersonen skal når prosjektet er avsluttet kontrollere om personopplysningene har blitt overført til lagring eller slettet, jf. punkt 14. AFD skal årlig evaluere internkontrollsystemet. 11

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

SPØRSMÅL OFTE STILT OM BIOBANKER

SPØRSMÅL OFTE STILT OM BIOBANKER SPØRSMÅL OFTE STILT OM BIOBANKER Spørsmål: Hva er en biobank? Svar: En biobank er en samling humant biologisk materiale. Med humant biologisk materiale forstås organer, deler av organer, celler og vev

Detaljer

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN Kriminalomsorgens sentrale forvaltning RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN Innledning Retningslinjene omfatter behandling av søknader om adgang til å rekruttere innsatte/domfelte

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007 NAV-evaluering - behandling av personopplysninger Voksenåsen, Oslo 23.oktober 2007 Instanser å forholde seg til Registerforvalter - SSB - Rikstrygdeverket (melding) Fagdepartementet Arbeidsog inkluderingsdepartementet

Detaljer

BEHANDLING AV PERSONOPPLYSNINGER

BEHANDLING AV PERSONOPPLYSNINGER BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

Forespørsel om deltakelse i forskningsprosjektet

Forespørsel om deltakelse i forskningsprosjektet [Sett inn korttittel på studien Hoveddel - sett inn dato] Forespørsel om deltakelse i forskningsprosjektet [Fjern den merkede teksten og hakeparentesen og sett inn din egen tekst: Bruk minimum 12 pkt.

Detaljer

Tilbakemelding på melding om behandling av personopplysninger

Tilbakemelding på melding om behandling av personopplysninger Vedlegg 1: NSD-kvittering Wolfgang Schmid Postboks 7800 5020 BERGEN Vår dato: 05.10.2017 Vår ref: 55639 / 3 / BGH Deres dato: Deres ref: Tilbakemelding på melding om behandling av personopplysninger Vi

Detaljer

Etikk- og personvernshensyn i brukerundersøkelser

Etikk- og personvernshensyn i brukerundersøkelser www.nr.no Etikk- og personvernshensyn i brukerundersøkelser Workshop om brukerundersøkelser 21. mai 2010, Norsk Regnesentral (NR) Kristin S. Fuglerud Seniorforsker Agenda: personvern og etikk 2 1. Personopplysningsloven

Detaljer

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere?

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere? Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere? Prof. em. Sidsel Lied Landskonferansen for studie- og praksisledere Hamar 11.mai 2016 To viktige presiseringer 1. Når lærerstudenter

Detaljer

Helseforskningsloven - lovgivers intensjoner

Helseforskningsloven - lovgivers intensjoner Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Skjemaet skal ikke benyttes for forskningsstudier som skal godkjennes av REK.

Skjemaet skal ikke benyttes for forskningsstudier som skal godkjennes av REK. Meldeskjema for forskningsstudier, kvalitetssikring og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Forespørsel om deltakelse i forskningsprosjektet

Forespørsel om deltakelse i forskningsprosjektet Diett og genuttrykk Hoveddel 01.05.2010 Forespørsel om deltakelse i forskningsprosjektet Diett og genuttykk Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie for å se om

Detaljer

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Personvernerklæring for Webstep AS

Personvernerklæring for Webstep AS Personvernerklæring for Webstep AS Terminologi «Personopplysninger» Betyr enhver opplysning om en identifisert eller identifiserbar fysisk person. Personopplysninger er typisk navn, adresse, telefonnummer,

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

NINAs personverndokument

NINAs personverndokument NINAs personverndokument Opprettet: Juni 2018 Sist oppdatert: 1. OM PERSONVERNDOKUMENTET... 1 2. ANSVAR FOR BEHANDLING AV PERSONOPPLYSNINGER HOS OSS... 1 3. GRUNNKRAV FOR BEHANDLING AV PERSONOPPLYSNINGER...

Detaljer

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer) Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter

Detaljer

Personvern i forskning

Personvern i forskning Personvern i forskning NLA Høgskolen 15. januar 2015 Linn-Merethe Rød, Seniorrådgiver Norsk Samfunnsvitenskapelig Datatjeneste AS Seksjon for personverntjenester 12 saksbehandlere med ulik bakgrunn Personvernombud

Detaljer

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Go to  use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn. INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1

Detaljer

DEL I TILRÅDING ELLER KONSESJON?

DEL I TILRÅDING ELLER KONSESJON? Veileder: Bruk av sensitive personopplysninger i forskning DEL I TILRÅDING ELLER KONSESJON? Versjon 2.0 publisert 28.03.2017 Innhold Bakgrunn... 3 Målgruppe for veilederen... 3 Ordliste... 4 Hvilken lov

Detaljer

Forskningsjus og forskningsetikk i et nøtteskall

Forskningsjus og forskningsetikk i et nøtteskall Forskningsjus og forskningsetikk i et nøtteskall Grunnkurs D, Våruka 2016 Professor Elin O. Rosvold Uetisk forskning og forskningsjuks Historier om uetisk forskning Helsinkideklarasjonen Lover som regulerer

Detaljer

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer>

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer> Forespørsel om deltakelse i forskningsprosjektet: Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie ved Universitetet i. [Sett inn informasjon

Detaljer

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Til 1: Formål Bestemmelsen slår fast forskriftens formål. Formålet er å fremme forsvarlig organisering

Detaljer

Forskningsetikk, REKsystemet

Forskningsetikk, REKsystemet Forskningsetikk, REKsystemet og personvern Uetiske forskningsprosjekt kun i andre land? Overlege G.H. Armauer Hansen og oppdagelse av leprabasillen (dømt i 1880 for brudd på krav om informert samtykke)

Detaljer

Noe om forskningsetikk

Noe om forskningsetikk Noe om forskningsetikk Dag Bruusgaard Professor emeritus Institutt for helse og samfunn Avdeling for allmennmedisin Leder av Den nasjonale forskningsetiske komite for medisin og helsefag Tidl. fastlege

Detaljer

UiO : Universitetet i Oslo Universitetsdirektøren

UiO : Universitetet i Oslo Universitetsdirektøren UiO : Universitetet i Oslo lav Gyldig fra: l 15.05.2012 Gj k K ^/^vt r4 ' Gunn-Elin Aa. Bjomeboe MEDISINSK OG HELSEFAGLIG FORSKNING Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie

Detaljer

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen INF1000: IT og samfunn Uke 6, høst 2014 Siri Moe Jensen Oversikt Praktisk om semesterplan og obliger Hilde Lovett, Teknologirådet IT: Eksempler på muligheter og løsninger Kan teknologi styres? Om anvendelse

Detaljer

102 Definisjoner og forklaringer

102 Definisjoner og forklaringer Retningslinjer for vern og utveksling av og helsesdata Regulert av lovverk: Personopplysningsloven, Helsesloven, Forskningsetikkloven Definisjoner og forklaringer er inndelt i kategoriene Personopplysninger,

Detaljer

Personvernerklæring for Cristin (Current Research Information System in Norway)

Personvernerklæring for Cristin (Current Research Information System in Norway) Personvernerklæring for Cristin (Current Research Information System in Norway) Sist endret: 15.06.2018 Innhold: 1) Kort om Cristin (Current Research Information System in Norway) 2) Hva er en personvernerklæring?

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer>

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer> Forespørsel om deltakelse i forskningsprosjektet: Bakgrunn og hensikt Dette er et spørsmål til deg om å delta i en forskningsstudie ved Helse Bergen HF/Haukeland universitetssykehus.

Detaljer

Helseforskningsloven - intensjon og utfordringer

Helseforskningsloven - intensjon og utfordringer Helseforskningsloven - intensjon og utfordringer Sverre Engelschiøn Gardermoen, 25. oktober 2010 Intensjonen Fremme god og etisk forsvarlig medisinsk i og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

KVALITETSIKRINGSSYSTEM. for ETIKK OG PERSONVERN

KVALITETSIKRINGSSYSTEM. for ETIKK OG PERSONVERN KVALITETSIKRINGSSYSTEM for ETIKK OG PERSONVERN 1 INNHOLDSFORTEGNELSE 1. Innledning... 1 1.1 Hvilke instanser regulerer forskningen ved UiN?... 1 1.1.1 Personvernombudet for forskning Norsk Samfunnsvitenskapelig

Detaljer

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften, Page 1 of 11 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

Detaljer

Meldeplikt når og hvor?

Meldeplikt når og hvor? Meldeplikt når og hvor? KAI VICTOR HANSEN, PHD, MSC NORSK HOTELLHHØGSKOLE UNIVERSITETET I STAVANGER KVH 2015 Innhold Hvilke prosjekter er meldepliktige? Når skal en søknad til NSD og når skal den til Regionaletisk

Detaljer

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker

Detaljer

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo) [Sett inn databehandlingsansvarliges logo) Samtykkeerklæring Forespørsel om registrering i [sett inn navn på register]. Gi en kort beskrivelse av registeret [sett inn informasjon om bakgrunn, når registeret

Detaljer

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning

Detaljer

Prosedyre for personvern

Prosedyre for personvern Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser. Til ordfører, administrasjonssjef og daglig leder Nærmere informasjon om www.styrevervregisteret.no KS sendte den 5. januar 2007 brev til kommuner, fylkeskommuner og kommunalt eide selskaper der Styrevervregisteret

Detaljer

Lydopptak og personopplysningsloven

Lydopptak og personopplysningsloven Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...

Detaljer

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) Randi Rolvsjord randi.rolvsjord@grieg.uib.no Griegakademiet - Institutt for musikk Universitetet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

Orientering om arbeidsgruppe - implementering av ny helseforskningslov Orientering om arbeidsgruppe - implementering av ny helseforskningslov IT-forum 20.05.2010 IT-forum 20. mai 2010 Arbeidsgruppens sammensetning Prorektor Berit Rokne (leder) Prodekan Robert Bjerknes, MOF

Detaljer

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven INTERNT BAKGRUNNSNOTAT I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven Bakgrunn En rekke forskningsprosjekter ved fakultetet håndterer

Detaljer

Implementering av det nye personvernregelverket ved UiB

Implementering av det nye personvernregelverket ved UiB Implementering av det nye personvernregelverket ved UiB Læringsdag MatNat 31.01.2019 Spørsmål? Hvordan har UiB fulgt opp kravene i det nye personvernregelverket i datasystemene vi bruker Hva bør lokale

Detaljer

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354

NOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk

Detaljer

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere Personvernerklæring for EVUweb - søkere Sist endret: 21.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon som lar deg melde deg på kurs og andre arrangementer og å søke om opptak til Nord universitet.

Detaljer

Personvernerklæring for medlemmer

Personvernerklæring for medlemmer Personvernerklæring for medlemmer Denne personvernerklæringen gir deg informasjon om Fontenehuset Asker (heretter kun omtalt som "Fontenehuset") sin behandling av personopplysninger som samles inn i forbindelse

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine

Detaljer

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

DRI1010 Emnekode. Oppgave Kandidatnummer Dato Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»

Detaljer

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning

Én helseforskninglov. Ny helseforskningslov 010710. Medisinsk og helsefaglig forskning UNH1 Medisinsk og helsefaglig forskning Ny helseforskningslov 010710 Sameline Grimsgaard Leder Klinisk forskningssenter Anne Husebekk Fag- og forskningssjef, UNN Professor, UiT virksomhet som utføres med

Detaljer

Avtale mellom. om elektronisk utveksling av opplysninger

Avtale mellom. om elektronisk utveksling av opplysninger Avtale mellom og.. om elektronisk utveksling av opplysninger INNHOLD 1. AVTALENS PARTER 3 2. AVTALENS GJENSTAND OG AVTALENS DOKUMENTER 3 3. HJEMMEL FOR UTLEVERING, INNHENTING OG BEHANDLING AV OPPLYSNINGENE

Detaljer

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret INTERNKONTROLLINSTRUKS 1 Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret Gjeldende fra 1.1.2003 1 Innledning Datasikkerhet er svært viktig for et forskningsinstitutt, av to

Detaljer

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 2. mai 2018 kl. 13.55 PDF-versjon 14. mai 2018 27.04.2018 nr. 645 Forskrift om befolkningsbaserte

Detaljer

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1 Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet 1. Innledning og bakgrunn Mange land i Europa har de senere årene forenklet sine

Detaljer

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -

Detaljer

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av

Detaljer

Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE

Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE ROLLER I EVALUERINGEN FORBEREDELSE Notat til IMT 1431 Designmetoder. Anders Fagerjord, tirsdag 25. november 2014 Rigorøs evaluering EVALUERINGSPLAN KAN INNEHOLDE 1: Målsetninger og formål for evalueringen overblikk over planen Hva som skal

Detaljer

Personvernerklæring for Flyt Høgskolen i Molde

Personvernerklæring for Flyt Høgskolen i Molde Personvernerklæring for Flyt Høgskolen i Molde Sist endret: 24.07.2019 Innhold: 1) Kort om Flyt 2) Om denne personvernerklæringen 3) Hva er personopplysninger? 4) Formålet med og rettslig grunnlag for

Detaljer

Samfunnsnytte og belastninger for den registrerte

Samfunnsnytte og belastninger for den registrerte Samfunnsnytte og belastninger for den registrerte Bjørn Hvinden Seminar om registerforskning, Litteraturhuset, Oslo, 6. februar 2014 Hovedpunkter 1. Rettslig og forskningsetisk regulering av forskning

Detaljer

Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt

Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt Forespørsel om deltakelse i forskningsprosjektet og forskningsbiobank Blodstrøm og vekst i svangerskap med diabetes Bakgrunn og hensikt Dette er en forespørsel til deg om å delta i en forskningsstudie

Detaljer

Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning

Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning l Formål Loven skal bidra til at forskning i offentlig og privat regi skjer i henhold til anerkjente etiske normer. 2 Uavhengighet

Detaljer

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset

Personvern, offentlighet og utlevering fra matrikkelen. Bakgrunnen for kurset Personvern, offentlighet og utlevering fra matrikkelen Bakgrunnen for kurset Dagens tema Matrikkelinformasjon er offentlig informasjon Gratis og fri gjenbruk Matrikkelloven gjelder for utlevering fra matrikkelen

Detaljer

Retningslinjer for databehandleravtaler

Retningslinjer for databehandleravtaler Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER

Detaljer

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA 1. Innledning Denne personvernerklæringen gjelder for Fend advokatfirma DA («Fend»). Vi er behandlingsansvarlige for behandlingen av personopplysninger som

Detaljer

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb Personvernerklæring for Søknadsweb Sist endret: 07.06.2018 1) Kort om Søknadsweb Søknadsweb er en webapplikasjon for søknad om opptak til studier ved MF vitenskapelig høyskole. Søknadsweb er knyttet til

Detaljer

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte Dag Wiese Schartum, AFIN Offentlighetsprinsippet som bakgrunn Personopplysningsloven gjelder generelt, uavhengig av sektor, og gir generelle

Detaljer

Personvernerklæring for EVUweb - søkere

Personvernerklæring for EVUweb - søkere Personvernerklæring for EVUweb - søkere Sist endret: 06.06.2018 1) Kort om EVUweb EVUweb er en webapplikasjon for påmelding til kurs og andre arrangementer ved MF vitenskapelig høyskole. EVUweb er knyttet

Detaljer

Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema

Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema Veiledning Søknad om konsesjon Utforming av oversendelsesnotat og søknadsskjema Dokument nr: EPUT V701 Versjon nr: 2.1 Formål: Målgruppe: Bidra til riktig utforming av søknadsskjema og oversendelsnotat.

Detaljer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes

Detaljer

Datasikkerhetserklæring Kelly Services AS

Datasikkerhetserklæring Kelly Services AS SPESIALISTER REKRUTTERER SPESIALISTER Datasikkerhetserklæring Kelly Services AS Innhold Vårt engasjement ovenfor personvern Hvilke personlige opplysninger samler vi inn? Hvem deler vi personopplysninger

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Søknad om tildeling av FoU- tid for studieåret 2015-2016

Søknad om tildeling av FoU- tid for studieåret 2015-2016 Søknad om tildeling av FoU- tid for studieåret 2015-2016 Kriterier for tildeling av FoU- tid FoU- tiden skal resultere i tellende publikasjoner. (Med tellende publikasjon menes fagfellevurdert, vitenskapelige

Detaljer

Hva vet du om forskningsetikk?

Hva vet du om forskningsetikk? Hva vet du om forskningsetikk? Katrine Utaaker Segadal, NSD Anne Cathrine Beckstrøm, NEM Camilla Nervik, Datatilsynet Heidi Skramstad, HiB NARMA 1. april 2014 Norsk samfunnsvitenskapelig datatjeneste AS

Detaljer

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb Personvernerklæring for Søknadsweb Sist endret: 06.07.2018 Kort om Søknadsweb Søknadsweb er en webapplikasjon for søking om opptak til studier ved VID vitenskapelige høgskole. Søknadsweb er knyttet til

Detaljer

Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010

Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010 Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr: 24.06.2010 Anonyme helse- og personopplysninger: Opplysninger der navn, fødselsnummer og andre personentydige

Detaljer

Personvernerklæring for Studentweb

Personvernerklæring for Studentweb Personvernerklæring for Studentweb Sist endret: 21.06.2018 1) Kort om Studentweb Studentweb er en webapplikasjon som lar deg som student utføre en rekke studieadministrative oppgaver, slik som semesterregistrering

Detaljer

REK-vurderinger etter GDPR

REK-vurderinger etter GDPR REK-vurderinger etter GDPR Anders Strand Rådgiver, REK sør-øst C anders.strand@medisin.uio.no Plan Litt bakgrunnsinformasjon om REK, GDPR og fritak fra taushetsplikt for forskningsformål. Case til diskusjon;

Detaljer

Samtykke, Helseforskningsloven kap 4

Samtykke, Helseforskningsloven kap 4 Samtykke, Helseforskningsloven kap 4 Marit Grønning REK 13.Hovedregel om samtykke Det kreves samtykke fra deltakere i medisinsk og helsefaglig forskning, med mindre annet følger av lov. Samtykket skal

Detaljer

GDPR Hva, hvordan og når

GDPR Hva, hvordan og når GDPR Hva, hvordan og når General data protection regulation / EU forordning/direktiv 95/46/EC EØS avtalen pålegger Norge å sikre samsvar med norsk lov Inntas som norsk lov igjennom henvisning i nåværende

Detaljer

Personopplysninger og opplæring i kriminalomsorgen

Personopplysninger og opplæring i kriminalomsorgen Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier

Detaljer

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1 1. Generelt De enkelte enheter som utgjør SEBs norske virksomheter (SEB) er blant annet gjennom lov

Detaljer

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Helse- og omsorgsdepartementet Høringsnotat Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Høringsfrist 20. april 2017 Side 1 av 9 Innhold

Detaljer

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO Databehandleravtale mellom [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» og Xledger AS org.nr. 987290986, Østensjøveien 32 0667 OSLO heretter «Underdatabehandler» 1/5 1 Avtalens formål Denne

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer