26. november 2007 RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 0. Kontaktpersoner ved spørsmål Spørsmål vedrørende denne rutine kan rettes til AFD, forskningsadministrativ enhet, eller L- AFD. Norsk samfunnsvitenskapelig datatjeneste, NSD, er oppnevnt som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH (se pkt. 4). NSD har som følge herav stor kompetanse i personvernspørsmål, og den enkelte forsker og student er velkommen til å ta kontakt for å få avklart tvilsspørsmål (se www.nsd.uib.no/personvern for kontaktinformasjon). 1. Virkeområdet Disse rutinene gjelder for alle forsknings- og studentprosjekter ved Norges idrettshøgskole (NIH) som innbefatter behandling av personopplysninger helt eller delvis med elektroniske hjelpemidler, jf. personopplysningsloven, helseregisterloven, biobankloven og forskningsetikkloven. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en person, som direkte eller indirekte kan identifiseres for eksempel ved hjelp av koblingsnøkkel, navn, identifikasjonsnummer, eller et annet kjennetegn som er spesielt for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet. Dette inkluderer også humant biologisk materiale, dvs. organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og døde mennesker (som typisk oppbevares i en forskningsbiobank). Sensitive personopplysninger er opplysninger om Rasemessig eller etnisk bakgrunn Politisk, filosofisk eller religiøs oppfatning At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling Helseforhold Seksuelle forhold Medlemskap i fagforeninger. Kun anonyme opplysninger om personer er ikke omfattet av ovennevnte lover og disse rutinene. Et unntak er dog at medisinsk forskning på anonyme data/materiale skal fremlegges en regional komité for medisinsk forskningsetikk (se pkt. 7). - Det skal bemerkes at avidentifisering av opplysningene ved hjelp av koblingsnøkkel ikke gjør personopplysningene anonyme uansett hvor og hvordan nøkkelen oppbevares. Et avidentifisert datasett blir først anonymt dersom man tilintetgjør koblingsnøkkelen. 1
Film- og lydopptakk, foto m.m. av enkeltpersoner/enkeltpersoners stemmer er i utgangspunktet omfattet av personopplysningsloven. Det kan være vanskelig å vurdere om behandlingen av for eksempel et filmopptak skal meldes til NSD, om personene på opptaket skal gi samtykke osv. Reglene er ikke entydige. I tvilstilfeller kan spørsmål rettes til AFD eller direkte til NSD. 2. Daglig ansvar Seksjonsleder har det overordnede ansvaret for at pliktene som personopplysningsloven m.m. tillegger NIH er oppfylt for behandlingen som skjer av personopplysninger i forskningsprosjekter tilknyttet seksjonen. Det daglige ansvaret for oppfyllelsen av disse pliktene har imidlertid prosjektlederen for det enkelte forskningsprosjekt med mindre annet skriftlig er avtalt mellom seksjonsleder og prosjektleder. Dersom prosjektleder er ansatt i eller på annen måte tilknyttet flere virksomheter, må det før prosjektet startes opp avklares om det er NIH som har behandlingsansvaret. For studentprosjekter er det den oppnevnte faglige veileder eller hvis det ikke er oppnevnt veiledere den eller de undervisningsansvarlige - som har dette daglige ansvaret. Det anbefales at den daglig ansvarlige fører en sjekkliste hvor han/hun kan krysse av når de forskjellige punkter i denne rutinen er gjennomført. 3. Taushetserklæring fra studenter og eksterne prosjektdeltagere Alle studenter og eksterne prosjektdeltagere (f.eks. forskere som ikke er tilsatt på NIH) som får tilgang til personopplysninger via deltagelse i et NIH-prosjekt må signere taushetserklæring (mal må utarbeides) og få opplæring i reglementet for informasjonssikkerhet. Den daglig ansvarlige har ansvar for opplæring og innhentning av signert taushetserklæring. 4. Melding til Norsk samfunnsvitenskapelig datatjeneste Norsk samfunnsvitenskapelig datatjeneste, NSD, fungerer som personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved NIH. Ordningen med personvernombud innebærer at meldeplikten til Datatilsynet erstattes av en meldeplikt til personvernombudet hos NSD. I henhold til personopplysningslovens 31 skal forsknings- og studentprosjekter meldes ved elektronisk behandling av personopplysninger ved opprettelse av manuelle registre med sensitive personopplysninger. Hvis behandlingen av ikke-sensitive personopplysninger utelukkende skjer manuelt, skal behandlingen med andre ord ikke meldes til NSD. Den daglig ansvarlige skal straks, og senest 30 dager før behandlingen av personopplysningene tar til, melde prosjektet til NSD. Daglig ansvarlig sørger for at meldeskjemaet arkiveres i NIHs arkivsystem, ephorte. 2
Meldeskjema og veiledning til det finnes på Norsk samfunnsvitenskapelig datatjenestes internettsider: www.nsd.uib.no/personvern AFD orienteres straks om at meldingen er sendt til NSD (med henvisning til relevant saksnummer i ephorte). Bakgrunnen for dette er at AFD har ansvaret for gjennomføringen av risikovurdering, jf. punkt 16. Den daglig ansvarlige må samtidig angi det elektroniske systemet (programvare m.m.) som er tenkt benyttet ved behandlingen og gi informasjon om eventuelle spesielle sikkerhetsrutiner som skal gjelde for prosjektet. Tilbakemeldinger fra NSD eller Datatilsynet, herunder eventuelle meddelte konsesjonsvilkår, skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK AT PROSJEKTET FØRST KAN IGANGSETTES NÅR PROSJEKTLEDER HAR MOTTATT POSITIV TILBAKEMELDING FRA NSD ELLER DATATILSYNET. Seksjonsleder skal etablere rutiner for å sikre at alle forskningsprosjekter som behandler personopplysninger etter personopplysningslovens og helseregisterlovens bestemmelser blir meldt til NSD. Han/hun skal i forbindelse med årlige gjennomganger ved oppslag i NSDs database kontrollere at alle prosjekter som skulle meldes har blitt meldt til NSD (se www.nsd.uib.no/personvern/database). 5. Melding av prosjekter med utenlandske opplysninger Uansett om data er innsamlet i Norge eller utlandet skal et prosjekt inneholdende opplysninger om personer fra utlandet meldes til NSD såfremt behandlingen av personopplysningene skjer i Norge. Hvis behandlingen ikke skjer i Norge skal prosjektet ikke meldes til NSD. Især i forhold til land utenfor EU-/EØS-området skal man være oppmerksom på eventuelle nasjonale særregler gjeldende for innsamling av personopplysningene. 6. Melding om endringer i prosjektopplegget Dersom prosjektleder foretar endringer i prosjektopplegget/behandlingen av personopplysningene i forhold til de opplysninger som ligger til grunn for NSDs opprinnelige vurdering, skal prosjektleder melde dette til NSD via et endringsskjema (se www.nsd.uib.no/personvern). Dette gjelder for eksempel forlengelse av prosjektet, herunder pga. svangerskapspermisjon eller lignende. Kopi av endringsskjema skal arkiveres i ephorte (og AFD orienteres om arkiveringen). Se også pkt. 16, siste avsnitt. 7. Melding til Regionale komiteer for medisinsk forskningsetikk All medisinsk forskning som involverer mennesker (inkludert personopplysninger og humant materiale) skal fremlegges for en regional komité for medisinsk forskningsetikk (REK). I NIHs tilfelle vil det vanligvis være REK Sør. 3
Ut over medisinsk forskning omfatter fremleggelsesplikten også forskning som anvender psykologisk, samfunnsvitenskapelig og bioteknologisk metodikk. Slike forskningsprosjekter er fremleggelsespliktige dersom de omhandler menneskers fysiske og mentale helse og anvender terapeutiske eller ikke-terapeutiske metoder på personer. Meldeskjema og veiledning til det finnes på forskningsetiske komiteer sine internettsider: www.etikkom.no/rek/skjemaer. Komiteene har en rådgivende funksjon (kan frarå eller tilrå), men en forsker får i alminnelighet ikke publisert studier i et medisinsk tidsskrift uten tilråding fra REK. Et prosjekt skal forelegges komiteen på nytt, dersom det under gjennomføringen skjer endringer i de forutsetninger komiteen har basert sin opprinnelige avgjørelse på. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). HUSK: Prosjektet skal vurderes og tilrås av REK før prosjektet settes i gang. Det vil si at man ikke skal ta kontakt med forsøkspersoner eller deltakere før REKs vurdering foreligger. 8. Melding til Biobankregisteret Humant biologisk materiale som innsamles, oppbevares og behandles i en forskningsbiobank skal behandles som andre personopplysninger. Med forskningsbiobank forstås en samling humant biologisk materiale og opplysninger som direkte fremkommer ved analyse av dette materialet, og som anvendes eller skal anvendes til forskning. - Det gjelder imidlertid også særlige regler for forskningsbiobanker. Forskningsbiobanker kan i henhold til biobankloven bare opprettes etter å ha blitt vurdert av regional komité for medisinsk forskningsetikk (REK) og godkjent av Sosial- og helsedirektoratet. Meldeskjema og veiledning til det finnes på Biobankregisteret sine internettsider: http://129.177.219.11/bbr5/login.asp?m=1 REK sender søknad om opprettelse av forskningsbiobank til Sosial- og helsedirektoratet når REKs godkjennelse av prosjektet foreligger. REK melder også forskningsbiobanken til det sentrale nasjonale biobankregisteret underlagt Nasjonalt folkehelseinstitutt. Dersom direktoratet innen 45 dager etter at slik melding er mottatt ikke har kommet med innsigelser til biobanken, anses opprettelsen som lovlig. Ny melding til direktoratet må gis ved endret, utvidet eller ny bruk av materialet i forhold til den opprinnelige meldingen. Hver biobank skal ha en ansvarshavende person med medisinsk eller biologisk utdannelse av høyere grad. Denne person trenger ikke være den daglig ansvarlige, men må utpekes av denne. Kopi av meldinger og tilbakemeldinger skal arkiveres i ephorte (og AFD orienteres om arkiveringen). 4
9. Informasjon ved innsamling av personopplysninger Den daglig ansvarlige skal når det samles inn personopplysninger (direkte fra respondenten eller fra andre enn respondenten selv), av eget tiltak først informere respondenten om - at NIH er behandlingsansvarlig, - formålet med behandlingen av personopplysningene, - om opplysningene vil bli utlevert, og hvem som eventuelt er mottaker, - at det er frivillig å gi fra seg opplysningene, og - om at respondenten har rett til innsyn og til å kreve retting. Ovennevnte er lovens minimumskrav til informasjon av respondenten. Informasjonsbrevet bør imidlertid inneholde flere punkter, jf. eksempel på infoskriv fra NSD (se www.nsd.no/personvern/melding/pvo_eks_infoskriv.cfm) eller De nasjonale forskningsetiske komiteer (www.etikkom.no/rek/forskerportal/infoskriv). Sistnevnte eksempel er primært relevant for helsefaglige prosjekter som faller inn under mandatet til REK, jf. pkt. 7. Utgangspunktet er altså at den registrerte skal informeres dersom opplysninger om vedkommende skal brukes. Det finnes likevel enkelte unntakssituasjoner (som må fortolkes strengt): - Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen. - Plikten til å gi informasjon omfatter enn videre ikke opplysninger det må anses for utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forhold til personer som står vedkommende nær. Unntaket må anvendes med stor varsomhet. Som eksempel kan nevnes at det å bli konfrontert med sykdomsforhold ikke i seg selv er tilstrekkelig for at dette unntaket er oppfylt. I tilfelle hvor personopplysningene er samlet inn fra andre enn den registrerte selv, har den registrerte ikke krav på varsel dersom - innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, - varsling er umulig eller uforholdsmessig vanskelig. Som et utgangspunkt kan det antas at varsling i prosjekter som inkluderer mer end 1000 personer vil kunne være uforholdsmessig vanskelig, såfremt samtykke ikke skal innhentes (se pkt. 10). Det samme må antas å gjelde der adresseopplysningene er av mangelfull kvalitet, det er ukjent om personene lever på det aktuelle tidspunktet og den behandlingsansvarlige kun har avidentifiserte opplysninger, og derfor ikke kjenner de registrertes identitet direkte. Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. 10. Innhenting av samtykke Personopplysninger kan bare behandles dersom - det foreligger et samtykke fra den det behandles opplysninger om (respondenten eller deltageren), eller - det foreligger samfunnsinteresser som nødvendiggjør behandlingen og som klart overstiger de ulempene behandlingen medfører for den enkelte (respondenten eller deltageren), se personopplysningslovens 8 og 9 samt helseregisterlovens 5. 5
Normalt vil man skulle innhente samtykke fra respondentene/deltagerne. Samtykket skal være en frivillig, uttrykkelig og informert erklæring fra den opplysningene gjelder om at han/hun godtar behandlingen. Det er daglig ansvarliges ansvar at innhente samtykke etter bestemmelsene beskrevet i dette avsnittet. Fremgangsmåten vil typisk være den at respondenten/deltageren i informasjonsbrevet, jf. punkt 9, blir bedt om å signere og returnere en samtykkeerklæring. Under alle omstendigheter skal det gis tilstrekkelig informasjon til respondenten/deltageren for at denne kan forstå hva samtykket gjelder og konsekvensene av det herunder - navn og adresse på den behandlingsansvarlige (= NIH) - hva opplysningene skal brukes til - om opplysningene vil bli utlevert til andre og eventuelt til hvem - om det er frivillig å gi fra seg opplysningene - om forhold som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som f.eks. retten til å kreve innsyn, retting og sletting - hvor lenge personopplysningene vil bli behandlet eller oppbevart (se også pkt. 14 om lagring og sletting). I tilfeller med store utvalg kan prosjektleder ofte unntas for sin informasjonsplikt, for eksempel på bakgrunn av vanskeligheten det vil medføre å gi slik informasjon til utvalget. Det er imidlertid ikke mulig å avgrense entydig når innhentning av samtykke kan unnlates (for eksempel: hvor stort skal utvalget være?). På dette område er veiledning fra NSD spesielt viktig. I praksis viser det seg at det ofte skjer endringer underveis i prosjektet, som for eksempel forsinkelser eller andre forlengelser. For at samtykket fremdeles skal være gyldig, må deltageren som hovedregel informeres om disse endringene (for eksempel hvis det i løpet av prosjektet viser seg ønskelig å oppbevare opplysningene lenger enn det respondentene/ deltagerne er informert om og har samtykket til). I forbindelse med spørreskjemaundersøkelser vil det ofte være å regne som samtykke hvis respondenten returnerer skjemaet. Tilsvarende gjelder hvis en respondent aksepterer deltakelse i intervju eller annen aktiv handling for deltakelse i forskning. Det krever imidlertid at det i følgebrev eller lignende er gitt ovenstående opplysninger om hva opplysningene skal brukes til m.m. I mange tilfeller vil skriftlig samtykke være å anbefale bl.a. for å gjøre samtykket mer dokumenterbart. NSD vil ofte i utgangspunktet akseptere hvis man i samtykkeerklæringer skriver at datamaterialet vil kunne brukes til andre formål. Det er imidlertid ikke ensbetydende med en garanti for at NSD godkjenner at materialet kan brukes til et hvilket som helst formål i fremtiden. Gjenbruk av forskningsdata uten nytt samtykke vil av NSD alltid vurderes i forhold til hva som er forsvarlig (etisk og personvernmessig) og metodisk nødvendig samt i forhold til det samtykke som opprinnelig ble gitt. En særlig problemstilling er innhenting av samtykke fra barn og unge samt voksne personer med manglende eller redusert samtykkekompetanse (f.eks. personer med psykiske lidelser eller demens). Datatilsynet har sammen med Forbrukerombudet utviklet retningslinjer for innhenting og bruk av mindreårige sine personopplysninger (se www.datatilsynet.no). 6
Tilsvarende har Forskningsetiske komiteer utarbeidet retningslinjer for inklusjon av voksne personer med manglende eller redusert samtykkekompetanse (se www.etikkom.no). Hvis man uoppfordret mottar informasjon om tredjeperson som er identifiserbar (f.eks. i forbindelse med et kvalitativt intervju), skal denne informasjonen som hovedregel ikke brukes. Årsaken er at det kan være etisk problematisk å gå ut med informasjon og innhente samtykke til bruk av slik informasjon i ettertid. I forbindelse med bruk av humant biologisk materiale (forskningsbiobank) skal det tilsvarende innhentes samtykke fra giveren (se 12 i biobankloven: www.lovdata.no/all/hl- 20030221-012.html). Endret, utvidet eller ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 11. Behandling av innsynsforespørsler Enhver som ber om det, kan av den daglig ansvarlige kreve å få vite følgende informasjon om behandlingen av personopplysninger i et bestemt forskningsprosjekt: a. navn og adresse på den behandlingsansvarlige b. hvem som har det daglige ansvar for å oppfylle pliktene som er tillagt behandlingsansvarlig for det enkelte prosjekt, c. formålet med den enkelte behandlingen, d. beskrivelse av hvilke typer personopplysninger som behandles i det enkelte prosjekt, e. om personopplysningene i det enkelte prosjekt vil bli utlevert, og eventuelt hvem som er mottaker. Hvis den som ber om innsyn er respondent/deltager, gjelder følgende: Dersom behandlingen av personopplysningene utelukkende skjer for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte, kan respondenten/deltageren kun kreve å få vite ovenstående informasjon (som alle andre). Dersom behandlingen ikke utelukkende skjer for historiske, statistiske eller vitenskapelige formål eller såfremt den historiske, statistiske eller vitenskapelige behandling får direkte betydning for den registrerte, skal den daglig ansvarlige for prosjektet i tillegg til pkt. a e opplyse om f. hvilke opplysninger om respondenten som behandles, og g. sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. Den registrerte kan i dette tilfelle dessuten kreve at NIH utdyper informasjonen i punkt a e i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Før det gis innsyn i opplysninger om en respondent/deltager, skal den daglig ansvarlige kreve at respondenten/deltageren leverer en skriftlig og undertegnet begjæring. I tvilstilfeller skal det kreves legitimasjon fra vedkommende som etterspør opplysninger av personlig karakter. Som utgangspunkt skal informasjonen gis skriftlig. 7
Forespørsler vedr. flere prosjekter eller behandling av personopplysninger generelt vises til AFD. Henvendelser om innsyn skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 12. Utlevering av personopplysninger til utenforstående Personopplysninger i forsknings- eller studentprosjektene må ikke utleveres til utenforstående. Utlevering kan likevel skje 1. som informert om ved innhenting av personopplysningene, 2. med samtykke fra respondenten, 3. med hjemmel i lov, eller forskrift gitt med hjemmel i lov. 13. Retting av mangelfulle personopplysninger Personer som behandler personopplysninger i forsknings- eller studentprosjekter som blir kjent med at det er registrert personopplysninger i prosjektet som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal av eget tiltak eller etter krav fra respondenten rette eller få rettet de mangelfulle opplysningene. Den daglig ansvarlige skal så vidt mulig sørge for at eventuelle feil ikke får konsekvenser for respondenten/deltageren (for eksempel ved å varsle mottakere av utleverte opplysninger). Henvendelser fra respondenten/deltageren om retting skal besvares av den daglig ansvarlige uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 14. Lagring og sletting av personopplysninger Personopplysninger skal som hovedregel ikke oppbevares lengre enn det som er nødvendig for å gjennomføre formålet med behandlingen. Dette kan fortolkes som et krav om at personopplysningene skal slettes når de i meldingen oppgitte analyser er gjennomført og resultatene publisert. På den annen side tilsier hensynet til etterprøvbarhet av forskningen at alle forskningsdata bør oppbevares i en periode etter at prosjektet er avsluttet. Forskningsrådet krever således at prosjektdata oppbevares i minimum 10 år etter avslutningen av prosjektet. NIH har på den bakgrunn besluttet at personopplysninger i forsknings- og studentprosjekter skal lagres i en periode etter prosjektets avslutning. Inntil videre foreslås minimum 10 år (jf. kravet fra NFR). For å kunne lagre personopplysningen etter prosjektets avslutning krever det imidlertid at man i forbindelse med innhentning av samtykke har opplyst at datamaterialet etter prosjektslutt vil bli oppbevart i 10 år for å kunne sikre behovet for kontroll og ivareta kravet til redelighet i forskningen. Av hensyn til datasikkerheten vil forskningsdata inntil videre skulle lagres hos NSD etter prosjektslutt. Personopplysninger kan lagres ut over ovenstående for historiske, statistiske eller vitenskapelige formål (f.eks. oppfølgingsundersøkelser), dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte 8
respondent/deltager. Den daglig ansvarlige skal i fall sørge for at opplysningene ikke oppbevares på en måte som gjør det mulig å identifisere respondenten/deltageren lenger enn nødvendig. NSD sender rutinemessig forespørsel om arkivering av prosjektdata til forskere og studenter som melder forskningsprosjektene sine til personvernombudet. Etter avtalen med NSD skal NSD som personvernombud føre kontroll med arkivering, anonymisering eller sletting av persondata etter at formålet med behandlingen er oppfylt. Det er den daglig ansvarliges ansvar å ta kontakt med NSD for å avklare premissene for lagring av data. Det er videre den daglig ansvarliges ansvar (i samarbeid med IKT-seksjonen) å sikre at NSDs anvisninger for sletting/lagring av personopplysninger følges opp. Den daglig ansvarlige skal sørge for at eventuelle personopplysninger som er innsamlet og registrert, men ikke anvendt i prosjektet, bliver slettet. IKT-seksjonen foretar slettingen. Den daglig ansvarlige skal informere AFD skriftlig når personopplysningene er slettet eller overført til NSD. 15. Gjenbruk av data Gjenbruk av lagrede ikke-anonymiserte personopplysninger fra tidligere forsknings-/ studentprosjekter er underlagt reglene om melde- og konsesjonsplikt (punkt 4, 7 og 8), innhenting av samtykke (punkt 10) osv. på samme måte som andre typer behandlinger. Tilsvarende gjelder for gjenbruk av materiale fra biobanker. - Dersom det er umulig eller svært vanskelig å innhente nytt samtykke, kan departementet gjøre unntak fra kravet om nytt samtykke. Det må foreligge en vurdering fra en regional komité for medisinsk forskningsetikk. Ny bruk av anonymisert humant biologisk materiale krever ikke samtykke, men må vurderes av en regional komité for medisinsk forskningsetikk. 16. Risikovurdering AFD skal holde oversikt over alle forsknings- og studentprosjekter hvor det behandles personopplysninger. NIH skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering for forsknings- og studentprosjektene. Risikovurderingen skal gjennomføres så snart som mulig og senest 30 dager etter at AFD har mottatt kopi av meldingen av prosjektet til NSD, jf. punkt 4. Leder av AFD har ansvar for at risikovurderingen gjennomføres. Resultatet av risikovurderingen skal dokumenteres, arkiveres og kopi sendes relevant seksjonsleder. Ved større endringer av prosjektet skal risikovurderingen gjentas. Den daglig ansvarlige kontakter i så fall leder av AFD som er ansvarlig for at risikovurderingen gjennomføres. Dersom den daglig ansvarlige er i tvil om hvorvidt endringen krever en ny risikovurdering tar han/hun kontakt med leder av AFD med henblikk på avklaring. 9
17. Sikkerhetskrav Ved elektronisk behandling av personopplysninger i forsknings- og studentprosjekter, som NIH er behandlingsansvarlig for, skal så langt det er mulig høgskolens edb-anlegg benyttes. IT-utstyret skal bare benyttes av de som er knyttet til prosjektet. Andre, som for eksempel kollegaer, studenter eller familiemedlemmer, skal ikke ha tilgang til eller bruke utstyret. ITutstyret skal være passord-beskyttet i henhold til reglene i 2.2 i NIHs instruks for bruk av IT-utstyr. Utgangspunktet er at personidentifiserbare opplysninger ikke skal lagres elektronisk. Personopplysningene skal avidentifiseres ved hjelp av koblingsnøkkel. Personidentifiserbare opplysninger kan unntaksvis lagres elektronisk på NIHs filserver på eget, lukket område når dette er klart nødvendig ut fra formålet med behandlingen (etter avtale med IKT-seksjonen). Slike opplysninger bør ikke lagres sammen med det øvrige datamaterialet i prosjektet. Koblingsnøkkel eller annet materiale som kan brukes til å identifisere personene, skal ikke lagres på samme maskin, filserver eller annet lagringsmedium. Manuelle koblingsnøkler som er nedlåst separat vil normalt oppfylle kravet om tilfredsstillende atskillelse fra det resterende datamateriale. Maskinen som benyttes skal være satt opp med de tiltak som er mulig for å sikre maskinen, uansett operativsystem. IKT-seksjonen er ansvarlig for dette. Den daglig ansvarlige har ansvar for kontakten til IKT-seksjonen. Personopplysningene lagres på filservere, det tas back up av og som er beskyttet av høgskolens sikkerhetsrutiner/brannmur. Veiledning kan fås av IKT-seksjonen. Personopplysningene skal ikke lagres på kontorpc-ens hard disk (dvs. C:/-drevet), hjemme-pc, bærbar pc, pda (håndholdt pc), mobiltelefon eller lignende. Personidentifiserbare personopplysninger må ikke overføres elektronisk ved hjelp av overføringsmedium (e-post, minnepinn, cd-rom, pda, mobiltelefon eller lignende). Koblingsnøkkel overføres separat. Såfremt det i forbindelse med feltarbeid innsamles data inneholdende personopplysninger på lydbånd, på papir eller på bærbar pc må man forsøke å avidentifisere opplysningene best mulig. I praksis betyr dette for eksempel at navnelister oppbevares atskilt fra intervjudata, at lydopptak ikke merkes med navn, men heller med nummer osv. Anvendes bærbar pc, pda eller lignende er det viktig å sikre maskinen med passord. Når et forskningsprosjekt pågår vil det ofte bli innsamlet materiale som kan utgjøre store mengder papirer i form av spørreskjema og/eller videotaper/båndopptak. Dette materialet må oppbevares bak låste dører/ i skuffer/skap som utelukkende de involverte forskere/studenter har adgang til. En låst kontordør vil typisk ikke være tilstrekkelig, da det ofte vil være mange som har nøkkel til kontoret. I slike tilfelle må materialet oppbevares i avlåst skuffe eller skap. Ingen andre enn de involverte forskere/studenter og evt. de medarbeidere som har ansvar/roller i NIHs informasjonssikkerhetssystem skal informeres om eksistensen av materialet. Tilsvarende gjelder for oppbevaring av humant biologisk materiale. 10
Utskrifter inneholdende personidentifiserbare opplysninger skal likeledes oppbevares bak låste dører/ i skuffer/skap. Ved utskrift av personidentifiserbare opplysninger skal man så vidt mulig bruke separat printer som ingen annen har tilgang til eller anvende personlig kode til å få papirene skrevet ut. Kontakt IKT-seksjonen hvis du er i tvil. Leder av AFD vil etter risikovurderingen kunne stille ytterligere sikkerhetskrav til det enkelte prosjekt. 18. Internkontrollrutiner NIHs informasjonssikkerhetsforum (FL) har ansvar for at det jevnlig gjennomføres revisjon av høgskolens internkontrollsystem for behandling av personopplysninger i forsknings- og studentprosjekter ved NIH, herunder kontrollere ledelsens valg av rutiner og etterlevelsen av rutinene. NSDs system og register over forsknings- og studentprosjekter skal brukes som et grunnlag i dette arbeidet. Revisjonen skal gjennomføres av en person som er uavhengig i forhold til kontrollsystemet: Det kan være en NIH-medarbejder (f.eks. en avdelingsleder bortsett fra lederen av AFD) eller ekstern person (f.eks. en informasjonssikkerhetsansvarlig fra en annen institusjon). Informasjonssikkerhetsansvarlig eller den han/hun delegerer oppgaven til skal være oppnevnt som kontaktperson overfor NSD og ha ansvaret for å gi informasjon til høgskolens forskere og studenter om personvernlovgivningen, melde- og konsesjonsplikt, ordningen med personvernombud, ordningen med arkivering av persondata etter prosjektslutt og NIHs rutiner for behandling av personopplysninger i forsknings- og studentprosjekter. Kontaktpersonen skal årlig foreta kontroll av et utvalg av pågående forsknings- og studentprosjekter som er meldt til NSD. Formålet med kontrollen er å se om behandlingen av personopplysningene skjer i henhold til høgskolens retningslinjer, som opplyst om i melding til NSD, i henhold til eventuelle konsesjonsvilkår og AFDs eventuelle anbefalte spesielle sikkerhetsrutiner for prosjektet. Kontaktpersonen skal når prosjektet er avsluttet kontrollere om personopplysningene har blitt overført til lagring eller slettet, jf. punkt 14. AFD skal årlig evaluere internkontrollsystemet. 11