Hva betyr GDPR for forskere?

Like dokumenter
GDPR-møte

Hva kan vi bruke NSD til?

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Implementering av det nye personvernregelverket ved UiB

Personvernombudet for forskning

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

ET VERKTØY FOR FORSKNING

Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 Oslo. 1. Innledning

Tilgang til forskningsdata. Bjørn Henrichsen NSD Norsk senter for forskningsdata

Nye personvernregler

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Opplæringsbehov etter helseforskningsloven

Helseforskningsloven - oppfølging ved universiteter og høyskoler Seminar om helseforskningsloven 25. oktober 2010 Trine B. Haugen

Nye personvernregler

Personvernforordningen

Forskningsinstituttenes Fellesarena - FFA Postboks 5490, Majorstuen 0305 Oslo Tlf

Innføring av nytt personvernregelverk ved UiO

Personvern i digitalisering av forvaltningen

Innføring av ny personvernforordning (GDPR) på universitetet

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Helseforskningsloven - intensjon og utfordringer

Helseforskningsloven - lovgivers intensjoner

Personvernforordningen

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

RETTE. System for Risiko og ETTErlevelse. Hvorfor RETTE? Personvernkrav Internkontroll Forskningsetikk Kompetanseøkning

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Personvernerklæring for Cristin (Current Research Information System in Norway)

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Hva gjør så KiNS og KS med GDPR?

O-sak 2 - side 1 av 19

Hva betyr det for din virksomhet?

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Nye personvernregler Gullik Gundersen juridisk rådgiver

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Perspektiver og planer ved Universitetet i Oslo

Høring - om utkast til ny personopplysningslov

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

102 Definisjoner og forklaringer

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

Høringsuttalelse til utkast til ny personopplysningslov - gjennomføring av personvernforordningen i norsk rett

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

Krav til informasjonssikkerhet i nytt personvernregelverk

Innføring av ny personvernforordning (GDPR) på universitetet

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

GDPR i et nøtteskall

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Bakgrunn. EU har vedtatt ny personvernforordning

GDPR (personopplysningsloven)

Oslo kommune Bystyret

Dato: 23. april 2009 Vår ref: VK/1SE/amd Deres dato: 26. februar 2009 Deres ref: /LTH

REK-vurderinger etter GDPR

GDPR - PERSONVERN. Advokat Sunniva Berntsen

NSD Norsk senter for forskningsdata

Innføring av ny personvernforordning (GDPR) på universitetet

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

EUs nye forordning for personvern

Del 2. Fagdag GDPR - Arkiv Troms

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Personvern i praksis, GDPR personvernforordningen erfaringer

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Personopplysningsvern med ProFundo som databehandler

SAKSNR, HØRINGSUTTALELSE OM ETTERKONTROLL AV PERSONOPPLYSNINGSLOVEN

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Databehandleravtale. Charlotte Lindberg Difi

Innføring av ny personvernforordning (GDPR) på universitetet

Nytt personvernregelverk på 1-2-3

DEL I TILRÅDING ELLER KONSESJON?

Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

Universitetet i Oslo Universitetsdirektøren

Introduksjon forskningsetikk og de berørte etter 22. juli

Informasjonssikkerhet i forordningen

Håndtering av forskningsdata og utvikling av datahåndteringsplaner (DMP) Solveig Fossum-Raunehaug (Forskningsavdelingen)

Ny personopplysningslov norsk implementering av EUs personvernforordning

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvernforordningen

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

Forskningsdesign. i tråd med lovverk og forskningsetikk

NORID - Registrarseminar 26. april 2017

Styret Helse Sør-Øst RHF 14. desember 2017

NSD Norsk senter for forskningsdata. Verktøy for DMP - erfaringer fra Norge

Uttalelse om forskningsprosjektet «Kultur for læring»

EUs nye forordning for personvern

Underbygger lovverket kravene til en digital offentlighet

Transkript:

Hva betyr GDPR for forskere? NSDs rolle etter 1. juli 2018 Vigdis Kvalheim, NSD De nasjonale forskningsetiske komiteene (FEK) NSD Norsk senter for forskningsdata Litteraturhuset i Oslo, Fredag 8. juni 2018

NSDs strategi 2016-2019 NSD skal tilby data og tjenester som fremmer og forbedrer mulighetene for empirisk forskning. Strategien skal videreutvikle og styrke NSDs nasjonale rolle som: 1. Arkiv for forskningsdata. 2. Tilgangsforvalter til viktige forskningsdata. 3. Nasjonalt kompetansesenter for personvern for forskningssektoren.

NSD - seksjon for personverntjenester Har vært rådgiver på personvernspørsmål i forskning siden 1981 Personvernombud for forskning for 132 forsknings- og utdanningsinstitusjoner Personvernombud for European Social Survey (ESS) Nært samarbeid med forskningsmiljøene nasjonalt og internasjonalt Nær dialog med Datatilsynet 20+ saksbehandlere med tverrfaglig bakgrunn Høyt volum av saker fra alle fagområder og på alle nivå Legge til rette for og fremme forskning

Alle fagområder melder til NSD 3000 2500 2000 1500 Samfunnsfag Pedagogiske fag Medisinske og helsefag Humaniora Matematikk, biologi, landbruk og fiskerifag Psykologi Juridiske fag 1000 500 0 2009 2010 2011 2012 2013 2014 2015 2016 2017

NSD - kompetansesenter for personvern for forskningssektoren siden 1981 1976: Seminar i Riksdagen i Stockholm om erfaringer med den svenske personlovgivningen (etablert 1974) 1977 (9.-11. mai): NSD arrangerte et seminar med støtte fra UiO, UiB, UiT og NTNU Tittel: Personvern og samfunnsfag Fire foredrag: Professor Ørjar Øyen (UiB): Personvern og behov for data til samfunnsvitenskapelig forskning Personal- og økonomisjef Rolf Dragvold (SSB): Statistisk sentralbyrå, personvern og statistikkproduksjon. Synspunkter på servicetilbudet til de samfunnsvitenskapelige forskningsmiljøer Førsteamanuensis Jon Bing (UiO): Fagetiske spørsmål knyttet til bruk av data på personnivå Professor Stein Rokkan (UiB): Norsk samfunnsvitenskapelig datatjeneste og den kommende datalov

NSDs personverntjenester En rekke møter med involverte personer og institusjoner, herunder Datatilsynet NAVF (Forskningsrådet) nedsatte arbeidsgruppe ledet av professor Jon Bing (UiO) Februar 1979: Innstilling med forslag om et forskningsetisk råd med følgende oppgaver: 1. Bistå med vurderinger av prosjekter som benytter persondata under søknadsbehandlingen i NAVF Professor Jon Bing (1944-2014) 2. Etter henvendelse eller på eget initiativ avgi forskningsetiske vurderinger om behandling og lagring av persondata 3. Samordne forskningens kontakt med Datatilsynet og fungere som NAVFs kontrollerende organ etter de forskrifter som Datatilsynet måtte utferdige

NSDs personverntjenester Dette ble: NAVFs datafaglige sekretariat Etablert i 1981 Vurdering av forskningsprosjekt i forhold til krav om personvern og konsesjonsbestemmelsene i personregisterloven (1978 opphevet av personopplysningsloven) Tjenesteytende organ for forskningsmiljøene Kompetansesenter for forskere og studenter Kontaktledd mellom Datatilsynet og forskningsmiljøene (rammekonsesjoner) NAVFs råd for persondataarkivering Ledet av Professor Jan Fridthjof Bernt (UiB) Oppnevnt av NAVF, sammensatt av repr. fra ulike fag, Datatilsynet observatør Vedtaksorgan i spørsmål om sletting, arkivering og gjenbruk av personidentifiserbare data. Universitetsrådet og Høgskolerådet sluttet seg til i 1984 og 1994 Forskningsinstituttene og helsesektoren kom med etterhvert

NSDs personverntjenester Legge til rette for og fremme forskning Grunnlaget for forskningsmiljøenes og NSD arbeid på personvernområdet endret da personopplysningsloven trådte i kraft i 2001 Fra forhåndskontroll til tilsyn og ansvarliggjøring basert på en frivillig ordning med personvernombud 7000 Nye prosjektmeldinger 6000 5000 4000 3000 2000 1000 0 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

GDPR - Hva er nytt i 2018? Forskningsvennlig reform - mer kontinuitet enn endring De registrerte får flere rettigheter Strengere krav til form og innhold i informasjon som blir gitt Strengere formkrav til samtykke, men åpner for brede samtykker Forskning defineres bredt Felles lovverk - det kan bli enklere å dele data mellom europeiske land Sannsynligvis større mulighet til gjenbruk av data til forskningsformål

GDPR - Hva er nytt i 2018? Datatilsynet: «Fra kontroll til ansvarlighet» Den lovpålagte meldeplikten og konsesjonsplikten bortfaller Forskningsinstitusjonene får større ansvar for å dokumentere behandling av personopplysninger, rutiner og etterlevelse Krav til innebygd personvern (ikke bare tekniske prosedyrer) Større fokus på informasjonssikkerhet Strengere krav til avvikshåndtering større sanksjonsmuligheter Personvernombudsordningen styrkes - fra frivillig til obligatorisk

GDPRs krav til personvernombud art. 37-39 Personvernombudet skal (som et minimum): a) informere og gi råd om regelverk til virksomheten og ansatte, b) kontrollere at virksomheten overholder personvernregelverk og virksomhetens personvernpolitikk og prosedyrer, c) gi råd og delta i konsekvensanalyser, d) samarbeide med tilsynsmyndighetene, e) fungere som kontaktpunkt mellom Datatilsynet og virksomheten, inkl. forhåndsdrøftinger Kan ha tilleggsoppgaver. Naturlig/vanlig tilleggsoppgave er å i vareta institusjonens plikt til å føre protokoll over alle behandlinger av personopplysninger (jf. GDPR artikkel 30). En slik oversikt viktig verktøy for at personvernombudet skal kunne gjøre jobben sin «i store trekk blir forventningene og oppgavene til personvernombudet uendret» (Datatilsynet)

For forskning er konsesjons- og meldeplikten i praksis avviklet ikke meldepliktig 3 % under behandling 4 % 7-27 personopplysningsforskriften 30 % 31 personopplysningsloven 62 % 33 personopplysningsloven 1 %

GDPR hva nå? En form for meldeplikt videreføres Bidra til å skape og påvise etterlevelse av regelverket Melding et viktig verktøy for å beskrive behandlingen av personopplysninger og dokumentere ansvarlighet, dvs. at personvernkonsekvenser er vurdert og at regelverket overholdes Institusjon (behandlingsansvarlig) må ha oversikt for å sikre etterlevelse og dokumentere tiltak Personvernombudet må ha oversikt for å utføre oppgavene «Det er viktig å huske på at det å vurdere personvernkonsekvenser ikke er en plikt bare i artikkel 35. Det er en prosess som uansett skal gjennomføres for alle behandlinger. En konkret vurdering av personvernkonsekvenser etter artikkel 35 gjentar denne prosessen, men da først og fremst for å finne de ekstra tiltakene som må til for å redusere en høy risiko som man ikke har klart å redusere tidligere». (Datatilsynets veileder om vurdering av personvernkonsekvenser)

Hvorfor fortsatt melde til NSD? Personvernombud (rådgiver) et verktøy i arbeidet med å skape og påvise (dokumentere) etterlevelse av lovkrav Oppfylle den generelle rådføringsplikten med personvernombudet (jf. art 38 Oppfylle den spesielle rådføringsplikten (jf. 9 og 10) (helseforskning unntatt) Fange opp behov for personvernkonsekvensvurderinger og forhåndsdrøftinger (jf. art 35 og 36) Vurdering av personvernkonsekvenser - en gjentakende prosess Oppfølging og rådgivning gjennom prosjektets livssyklus Få en samlet protokoll/oversikt over alle behandlinger (jf. art 30) Legge til rette for og fremme forskning

Hva med helseforskningen? I dag gir REK-godkjenningen nødvendig og tilstrekkelig behandlingsgrunnlag for helseforskningsprosjekter (jf. helseforskningsloven 33). Fortsatt krav om etisk forhåndsgodkjenning og disp. fra REK Vår forståelse etter dialog med Justisdepartementet og Datatilsynet, er at behandlingsansvarlig plikter: å ta selvstendig stilling til om kravene i personvernregelverket er oppfylt, fastsette behandlingsgrunnlag å involvere personvernombudet i alle behandlinger av personopplysninger å rådføre seg med ombudet ved personvernkonsekvensvurderinger etter art.35 å ha en samlet protokoll/oversikt over alle behandlinger (jf. art 30)

To postkasser? Tja. Som tidligere må forskerne forholde seg til sin egen institusjon. Institusjonen må ha tilstrekkelig informasjon og oversikt over alle behandlinger for å kunne skape og påvise etterlevelse. Dette gjelder også helseforskningen Vurdering av personvernkonsekvenser skal gjennomføres for alle behandlinger av personopplysninger (Datatilsynet) Gjentakende prosess - underveis og ved prosjektslutt Fange opp behandlinger i gråsonen mellom helseforskning og annen forskning og anbefaler kontakt med REK for avklaring

To postkasser? Melding til personvernombudet er ikke en ny postkasse, men verktøy i institusjonenes arbeid med å skape og dokumentere (påvise) etterlevelse Institusjonene må ha oversikt (protokoll, jf. Art. 30). Naturlig tilleggsoppgave for ombudet Viktig verktøy for at personvernombudet skal kunne utføre sine arbeidsoppgaver. (jf. Datatilsynet og Art. 29 gruppens veiledning om personvernombud) De fleste vil bruke Meldeskjema og Meldingsarkivet som NSD har utviklet på oppdrag fra sektoren, noen vil velge å registrere prosjektene i egne systemer APIer som muliggjør utveksling av informasjon mellom systemer

NSD personvernombud eller kompetansesenter? Justis- og beredskapsdepartementet i høringsnotat om ny personopplysningslov ( 6): «Det nevnes i denne forbindelse at ordningen der Norsk senter for forskningsdata (NSD) er personvernrådgiver for en rekke forskningsinstitusjoner når det gjelder forskningsvirksomhet, tilsynelatende fungerer godt, og at det er ønskelig at en slik ordning kan videreføres også under forordningen» (Høringsnotatet s. 39). Departementet skisserte to hovedmodeller: a) NSD fortsetter som sektorombud: en forskningsinstitusjon kan ha NSD som personvernombud for forskning, og et annet ombud som dekker behandling av personopplysninger til andre formål b) NSD fortsetter som rådgiver for institusjonene veileder og utfører tjenester for internt ombud Vårt budskap: Uansett om NSD fortsetter som ombud eller kompetansesenter, kan vi levere de samme tjenestene

Hva er klart 1. juni? Reviderte avtaler Personvernombud, personvernrådgiver - Samarbeid med en arbeidsgruppe nedsatt av UHR om ny mønsteravtale Nytt meldeskjema - sikrer institusjonen nødvendig informasjon om prosjektet, som formål, utvalg, data, sikkerhetstiltak, varighet Meldingsarkivet - landingsside for hvert prosjekt (prosjektopplegg og vår vurdering) - gir oversikt over behandlingene (protokoll jf. art. 30)

Opplæring og bransjenorm Opplæring- og kurs i håndtering av persondata og internkontroll Digitale læringsplattformer Kurs og undervisning Samarbeid med sektoren Bransjenorm for forskning «en bransjes egne retningslinjer for bruk av personopplysninger og sikring av opplysninger. Normen er ikke en plikt, men et hjelpemiddel for godt personvern.» (Datatilsynet)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding