Dato: 28.11.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1 Kapittel: 0 Dokument: 1 Tittel: INNHOLDSFORTEGNELSE «Handbok for behandling av personopplysninger i forskningsprosjekter» er inndelt i følgende kapitler: 1 Innledning 2 Overordnede retningslinjer for behandling av personopplysninger (utdrag) 3 Organisasjon og ansvarsforhold, plikter og rettigheter 4 Framgangsmåte ved forskningsprosjekt som omfatter personopplysninger 5 Ansvarsforhold ved samarbeidsprosjekt 6 Framgangsmåte ved studentprosjekt som omfatter personopplysninger 7 Bruk av datasystem og elektroniske hjelpemidler 8 Personvernombud NSD s rolle 9 Kontroll, revisjon og avvikshandtering 10 Definisjoner Tillegg: Tillegg A: Lov om personopplysninger, med tilhørende forskrift Tillegg B: Sjekklister og skjemaer Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 28.11.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1 Kapittel: 1 Dokument: 1 Tittel: INNLEDNING Etter personopplysningsloven er universitetsdirektøren den behandlingsansvarlige for all behandling av personopplysninger i virksomheten 1. I tillegg legger loven et direkte ansvar på hver den som behandler personopplysninger på vegne av universitetsdirektøren 2. Ved Universitetet i Stavanger er det et grunnleggende krav at all behandling av personopplysninger skjer i overenstemmelse med gjeldende lover, forskrifter og vedtak 3. Hensikten med personopplysningsloven er «å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.» 4 Samlet utgjør loven, forskriftene og gjeldende vedtak (inklusive vedtatte retningslinjer og prosedyrer) et omfattende regelverk som berører enhver som behandler personopplysninger. Hensikten med denne handboka er å forenkle den enkeltes oppgave med å påse at behandling av personopplysninger i forskningsprosjekter skjer innenfor de pålagte rammer. Handboka kan ikke frita den enkelte for ansvaret man pålegges av loven. Den omfatter heller ikke alle detaljer i loven, men den inneholder prosedyrer, sjekklister og rutiner for å handtere de vanligste typer av forskningsprosjekter ved universitetet. Det underliggende systemet for universitetets interne kontroll med behandling av personopplysninger er beskrevet i «Internkontroll-systemet ved UiS: Behandling av personopplysninger» 5. Denne handboka er bygget opp av en rekke dokumenter. Hvert dokument tilhører et kapittel, og det enkelte dokument er nummerert innenfor kapitlet. Dokumentene revideres ett for ett etter behov. Den fullt oppdaterte versjonen av handboka er tilgjengelig i Kvalidok. For at handboka skal fylle sin hensikt, må den være så praktisk og anvendelig som mulig. Det oppfordres derfor til innspill og forslag til forbedringer. 1 Lov om behandling av personopplysninger av 14. apr. 2001 nr 31 (personopplysningsloven), 2 2 Personopplysningsloven 2 3 «Overordnede føringer for virksomheten», rev.1.0 4 Personopplysningsloven 1 5 Tilgjengelig i Kvalidok Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 1 av 3 Kapittel: 2 Dokument: 1 Tittel: OVERORDNEDE RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER De fullstendige retningslinjer for behandling av personopplysninger finnes i dokumentet «Retningslinjer for behandling av personopplysninger ved UiS» 1, som inngår i dokumentsamlingen «Internkontrollsystemet ved UiS: Behandling av personopplysninger». Dette kapitlet inneholder utdrag fra retningslinjene. Hensikten er å samle deler av retningslinjene som har stor relevans i forbindelse med forskningsprosjekter. Utdraget er gjort med fokus mer på nytteverdi enn på kompletthet. Kapitlet inneholder derfor ikke all informasjon fra retningslinjene som kan ha relevans i forskningsprosjekter. «Ved Universitetet i Stavanger skal personopplysninger kun behandles når: det er nødvendig i institusjonens utdanningsprosesser, det er nødvendig for institusjonens formidling, det skjer som del av institusjonens forskning, det er nødvendig i virksomhetens støttende prosesser for overstående tre formål, eller det er nødvendig for å etterkomme pålegg i lover og forskrifter.» Akseptabel risiko «Lov om personopplysninger stiller krav til informasjonssikkerhet ved all behandling av personopplysninger og for informasjonssystemer som benyttes til slik behandling. Forskrift om personopplysninger gir ytterligere krav angående informasjonssikkerhet når denne er nødvendig for å hindre fare for tap av liv og helse, økonomisk tap, eller tap av anseelse og personlig integritet 2 for personer det behandles opplysninger om.» «Universitetsdirektøren fastsetter hva som skal være kriteriene for akseptabel risiko i behandling av personopplysninger 3, og hvilke mål som skal gjelde for disse.» «Universitetet anvender følgende kriterier for akseptabel risiko: Alvorlige brudd: Antall tilfeller hvor brudd på konfidensialitet, tilgjengelighet eller integritet for personopplysninger er påvist å ha ført til tap av liv eller helse, økonomisk tap eller tap av anseelse og personlig integritet for personene hvis opplysninger ble behandlet. Mindre alvorlige brudd (nonkomplianse): Behandlinger som ikke er fullt ut i samsvar med gjeldende lover, forskrifter og vedtak, men hvor det ikke er oppstått slike konsekvenser som beskrevet i punktet ovenfor.» 1 Finnes i Kvalidok 2 Personopplysningsforskriften 2-1 3 Personopplysningsforskriften 2-4 Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 2 av 3 Kapittel: 2 Dokument: 1 Tittel: OVERORDNEDE RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER «Det er vedtatt følgende mål: Alvorlige brudd skal ikke forekomme. Mindre alvorlige brudd skal utgjøre mindre enn 1,5 % av behandlingstilfellene.» Sikkerhetsmål og sikkerhetsstrategi «Universitetsdirektøren fastsetter mål for sikkerhet 4 i virksomhetens bruk av informasjonsteknolgi som benyttes til behandling av personopplysninger, og bestemmer de strategiske føringer 5 som skal lede til at målene for sikkerhet oppnås.» Når personopplysninger behandles, gjelder følgende: Den som behandler personopplysninger i et prosjekt eller en prosess, skal være autorisert av prosjekt- eller prosessansvarlige til å utføre behandlingen 6. Det skal være skriftlig avtalt hvordan personopplysningene skal behandles 7. Den prosjekt- eller prosessansvarlige skal føre register over hvem som er autorisert til å utføre behandlinger i prosessen, og hvilke behandlinger de er autorisert for 8. Den prosjekt- eller prosessansvarlige må forsikre seg om at så vel de elektroniske hjelpemidlenes egenskaper, samt den bruk av hjelpemidlene som skjer i prosjektet, er tilfredsstillende i forhold til interne og eksterne krav angående sikkerhet 9. Dersom det helt eller delvis benyttes elektroniske hjelpemidler til behandling av personopplysninger, og behandlingen kan føre til tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet 10, gjelder følgende: Det må være kartlagt hvilke av institusjonens samlede elektroniske hjelpemidler som benyttes til behandling som kan medføre slike tap 11. Prosjekt- eller prosessansvarlig for den enkelte prosess svarer for at det er registrert hvilke hjelpemidler av denne art som benyttes i den aktuelle prosess. Det arbeides planmessig og systematisk med nødvendige tiltak i forhold til bruk av slike hjelpemidler, i et omfang som står i forhold til sannsynlighet for og konsekvens av at slike tap oppstår 12. Mulige konsekvenser i form av slike tap kartlegges og vurderes 13 av prosjekt/prosessansvarlig for behandlingene. 4 Personopplysningsforskriften 2-3 5 Personopplysningsforskriften 2-3 6 Personopplysningsforskriften 2-8 7 Personopplysningsloven 15 8 Personopplysningsloven 15, Personopplysningsforskriften 2-8 9 Personopplysningsforskriften 2-3 og 2-5 10 Personopplysningsforskriften kapittel 2, jfr 2-1 11 Personopplysningsforskriften kapittel 2, jfr Datatilsynets vedtak 12 Personopplysningsforskriften 2-1, 2-2, 2-3, 2-4, 2-5 13 Personopplysningsforskriften 2-1, 2-3
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 3 av 3 Kapittel: 2 Dokument: 1 Tittel: OVERORDNEDE RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER Sannsynligheten for at behandlingsprosessene gjennom sikkerhetsbrudd vil ha slike konsekvenser 14 vurderes av prosjekt/prosessansvarlig for behandlingene. Sannsynligheten for at egenskaper ved de elektroniske hjelpemidlene kan føre til slike tap 15 vurderes av systemansvarlig for det system hvor hjelpemidlene inngår. Behandlingenes innvirkning på opplysningenes konfidensialitet, tilgjengelighet og integritet vurderes normalt under ett, med mindre vurderingene gir grunn til å anta at risiko for tap er knyttet til ett av disse aspektene i særskilt grad. Vurderinger den prosessansvarlige gjør, dokumenteres 16 og inngår som del av prosessdokumentasjonen. Vurderinger den systemansvarlige gjør, dokumenteres 17 og inngår som del av systemdokumentasjonen. I vurdering og prioritering av nødvendige tiltak har universitetsdirektøren fastsatt at: Tiltak for å unngå at behandling av personopplysninger kan føre til at personen taper liv og helse, skal gå foran de øvrige tiltak. Prioriteringer skal deretter gjøres ut i fra risiko for tap 18, og sett i forhold til de risiki som tidligere har gitt de største slike tap som følge av institusjonens behandling av personopplysninger. Universitetsdirektøren har fastlagt at risiki skal bedømmes på følgende måte: For informasjonens konfidensialitet skal risiko vurderes som lav når innsyn ikke kan oppnås uten forsett, og innsyn krever særskilt innsats eller særskilt kompetanse. Risikoen skal vurderes som svært lav når innsyn ikke kan oppnås uten forsett, og innsyn ikke kan oppnås uten betydelig innsats og betydelig kompetanse. For informasjonens integritet og tilgjengelighet skal risiko vurderes som lav når brudd ikke kan skje uten forsett. Risikoen skal vurderes som svært lav når brudd ikke kan skje uten forsett og uten særskilt innsats og/eller særskilt kompetanse. 14 Personopplysningsforskriften 2-4 15 Personopplysningsforskriften 2-1, 2-7 16 Personopplysningsforskriften 2-3, 2-4, 2-5, 2-6 17 Personopplysningsforskriften 2-5, 2-6, 2-7 18 Med tap menes her de øvrige tap i personopplysningslovens forstand, dvs at personer det ble behandlet opplysninger om, lider økonomisk tap eller tap av anseelse og personlig integritet som følge av behandlingen.
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 1 av 4 Kapittel: 3 Dokument: 1 Tittel: ORGANISASJON OG ANSVARSFORHOLD, PLIKTER OG RETTIGHETER De fulle organisasjons- og ansvarsforhold angående behandling av personopplysninger ved UiS finnes i dokumentet «Retningslinjer for behandling av personopplysninger ved UiS» 1. Dette kapitlet inneholder utdrag fra retningslinjene, og gir en oversikt over forholdene innenfor forskningsprosjekter. Utdraget er gjort med fokus på nytteverdi heller enn kompletthet, slik at kapitlet ikke inneholder all informasjon som kan ha relevans i forskningsprosjekter. I «Retningslinjer for behandling av personopplysninger ved UiS» er det fastslått at det overordnede behandlingsansvar etter personopplysningsloven (POL) er forankret hos universitetsdirektøren, som også har overordnet ansvar for behandlinger og kontroll med behandlingene i forskning og undervisning. For forskningsprosjekter (og andre prosesser i forskning hvor personopplysninger behandles) ved det enkelte fakultet er ivaretagelsen av behandlingsansvaret delegert fra universitetsdirektøren til dekan ved fakultetet. Her vil ivaretakelsen normalt være delegert videre fra dekan til prodekan for forskning (prosesseier) til prosjektleder/prosessansvarlig til den enkelte databehandler (dersom dette er en annen enn prosjektleder/prosessansvarlig). I sitt brev til rektor og direktør peker Datatilsynet særskilt på at «det er nødvendig å ha en uttømmende oversikt over hvilke behandlinger som utføres i virksomheten for å kunne identifisere og ivareta de plikter som regelverket oppstiller i tilknytning til de ulike behandlingene.» I praksis betyr dette at virksomheten er nødt til å ha oversikt over alle sine forskningsprosjekter for å være sikker på å ha oversikt over alle forskningsprosjekter hvor det behandles personopplysninger. Oversikt over prosjektene Universitetsdirektøren har delegert ivaretagelsen av ansvaret for slik oversikt over forskningsprosjekter i fakultetene til dekanen ved det aktuelle fakultet. Det vil være naturlig at dekanen delegerer ivaretakelsen videre til sin prodekan for forskning. For fakulteter som omfatter forskningssentre vil det være naturlig at ivaretakelsen av ansvaret for oversikt over sentrenes forskningsprosjekter delegeres videre til senterlederen ved det enkelte senter. Den som ivaretar ansvaret for oversikt over forskningsprosjekt(er), betegnes som prosjekteier i internkontrollsystemet for personopplysninger. Prosjekteier må kjenne til om det enkelte prosjekt omfatter behandling av personopplysninger. Prosjekteier må kunne gi tilsvar på 1 Finnes i Kvalidok Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 2 av 4 Kapittel: 3 Dokument: 1 Tittel: ORGANISASJON OG ANSVARSFORHOLD, PLIKTER OG RETTIGHETER innsynsbegjæringer, og må kunne framskaffe den informasjon som personopplysningsloven med forskrift krever, og innenfor de frister loven setter. Sjekkliste for prosjekteiers ivaretakelse av ansvaret finnes i Tillegg B. Oversikt over behandlinger i prosjektene Universitetsdirektøren har delegert ivaretagelsen av ansvaret for behandling av personopplysninger i fakultetenes forskningsprosjekter til dekanen ved det aktuelle fakultet. Det vil være naturlig at dekanen delegerer ivaretakelsen videre til prodekan for forskning, og videre til prosjektlederen for det enkelte prosjekt. Prosjektleder (eller dekan, dersom ivaretakelsen ikke er delegert videre) må sikre at all behandling innenfor det enkelte prosjekt skjer i tråd med kravene som stilles i lover, forskrifter og vedtak, og at hver den som behandler personopplysninger i prosjektet, fyller de krav som stilles til databehandleren i lover, forskrifter og vedtak. Hit delegeres også ivaretakelsen av en rekke andre krav som er knyttet til administrasjonen av behandlingene og av det system som eventuelt benyttes til behandlingene. Dette omfatter blant annet registrering, søknad om konsesjon m.m. for de prosjekter hvor dette er aktuelt. Framgangsmåter og rutiner for prosjektlederens plikter og ivaretakelse av ansvaret finnes i kapittel 4, 5 og 6. Den enkelte behandling Personopplysningsloven definerer databehandleren som den som behandler personopplysninger på vegne av behandlingsansvarlig. I et forskningsprosjekt kan prosjektleder selv være databehandleren, eller personopplysninger kan behandles av andre som er tilknyttet prosjektet, på oppdrag fra prosjektlederen. Disse er i så fall databehandlere i personopplysningslovens forstand. I «Retningslinjer for behandling av personopplysninger ved UiS» er det fastlagt at «Hver den som behandler personopplysninger har et selvstendig ansvar for: Å kjenne til hvilken prosess eller prosjekt behandlingen inngår i, samt hvem som er prosjekteier (prosesseier) og prosjektansvarlig (prosessansvarlig) Å kjenne til de regler og rutiner som gjelder for behandlingen Dersom datasystem brukes i behandlingen, må den som behandler personopplysninger forvisse seg om at systemet er egnet for den type behandling som gjøres 2. Dette omfatter også at systemet fyller de krav til sikkerhet som behandlingen krever 3.» 2 Personopplysningsforskriften 2-3 3 Personopplysningsforskriften 2
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 3 av 4 Kapittel: 3 Dokument: 1 Tittel: ORGANISASJON OG ANSVARSFORHOLD, PLIKTER OG RETTIGHETER Personopplysningsloven og forskriften omfatter en lang rekke krav til behandleren som den som utfører behandlingen plikter selv å påse blir fulgt. Databehandleren må enten selv ivareta disse, eller påse at blir ivaretatt. Kravene går på hvordan behandlingene skal gjennomføres, men også på de systemer eller andre hjelpemidler som benyttes i behandlingene. Framgangsmåter og rutiner for databehandlerens plikter og ivaretakelse av ansvaret finnes i kapittel 4, 5 og 6. Allmenne rettigheter, og den registrertes rettigheter Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar 4. Innsynsbegjæring stiles til Universitetet i Stavanger v/behandlingsansvarlig for personopplysninger. Datatilsynet påpeker at det er nødvendig å ha oversikt over samtlige behandlinger som gjøres for å kunne oppfylle dette kravet. For å oppnå den pålagte grad av kontroll må det finnes oversikt over forskningsprosjektene i virksomheten, og det må være kjent hvilke av dem som omfatter behandling av personopplysninger. Slik oversikt over eksisterende og tidligere behandlinger vedlikeholdes lettest gjennom en prosjektkatalog, slik at den som har ansvar for å ivareta oversikt over prosjekter innenfor en enhet / et område påser at alle prosjekter kan søkes gjennom katalogen. Enhver som ber om informasjon om en bestemt type behandling 5, og krever informasjon som angitt i personopplysningslovens 18, skal gis den informasjonen som kreves 6. Begjæring og behandling skjer som ovenfor, idet prosesskatalogen leder til prosjekteieren for den bestemte typen behandling. Prosjekteieren har plikt til å framskaffe den aktuelle informasjon for behandlingstypen innenfor fristene som loven setter. Dersom den som begjærer innsyn er registrert, og opplysningene behandles for annet enn historiske, statistiske eller vitenskaplige formål, eller behandlingen får direkte betydning for den registrerte, skal det gis også den ytterligere informasjon som framgår av personopplysningslovens 18. I slike tilfeller må den som begjærer innsyn overlevere begjæring ved frammøte, og vedkommende må framvise gyldig legitimasjon. Ytterligere framgangsmåter og rutiner for prosjektlederens plikter og ivaretakelse av ansvaret finnes i kapittel 4, 5 og 6. Sjekklister for behandling av innsynsbegjæringer finnes i Tillegg B. Informasjonsplikt 4 Personopplysningsloven 18 5 Personopplysningsloven 18 6 Visse unntak finnes. Se personopplysningsloven m/forskrift for nærmere informasjon.
Dato: 20.12.04 Handbok for behandling av Revisjon: 1.4 personopplysninger i forskningsprosjekter Side: 4 av 4 Kapittel: 3 Dokument: 1 Tittel: ORGANISASJON OG ANSVARSFORHOLD, PLIKTER OG RETTIGHETER Personopplysningsloven pålegger informasjonsplikt 7 : «Når det samles inn personopplysninger fra den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28.» Plikt til å påse tilfredsstillende informasjonssikkerhet Personopplysningsforskriften pålegger den behandlingsansvarlige og databehandleren særskilte krav i de tilfeller hvor elektroniske hjelpemidler benyttes i behandlingen og når det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. I slike tilfeller plikter prosjektleder å påse at kravene i personopplysningsforskriftens kapittel 2 er oppfylt. Databehandler har plikt til å påse at de krav i forskriftens kapittel 2 som særskilt stilles til databehandler, er oppfylt. «En sentral bestemmelse er at den behandlingsansvarlige [her: prosjektlederen] må gjennomføre risikovurdering for å klarlegge den risiko behandlingen av personopplysninger innebærer i forhold til behovet for konfidensialitet, tilgjengelighet eller integritet. Resultat fra risikovurdering skal sammenlignes med det nivå for akseptabel risiko den behandlingsansvarlige [her: universitetsdirektøren] på forhånd har fastsatt. Den behandlingsansvarlige [her: prosjekteieren] skal etter slik sammenligning iverksette sikkerhetstiltak der dette er nødvendig. 8» «Sikkerhetsbestemmelsene i personopplysningsforskriften skal være oppfylt før behandlingen av personopplysninger igangsettes. Den behandlingsansvarlige skal for eget bruk dokumentere informasjonssystemet og informasjonssikkerheten.» Prosjektleder plikter i slike tilfeller å enten selv dokumentere systemet og informasjonssikkerheten, eller å kontrollere at de som har ansvaret for systemet har dokumentert systemet og informasjonssikkerheten i tråd med kravene i forskriften, før behandling av personopplysninger igangsettes. De samme plikter hviler på prosjektleder også når behandlingene i forbindelse med universitetets prosjekter skjer eksternt. 7 Personopplysningsloven 19 8 «Sikkerhetsbestemmelsene i personopplysningsforskrifter», Datatilsynet., des. 2000
Dato: 02.12.04 Handbok for behandling av personopplysninger Revisjon: 1.3 i forskningsprosjekter Side: 1 av 1 Kapittel: 4 Dokument: 1 Tittel: FRAMGANGSMÅTE VED FORSKNINGSPROSJEKT SOM OMFATTER PERSONOPPLYSNINGER Dette kapitlet inneholder konkrete framgangsmåter og rutiner som kan benyttes i forskningsprosjekter som omfatter behandling av personopplysninger. Følgende framgangsmåter og rutiner er beskrevet i separate dokumenter i dette kapittel: 4.2 Registrering, godkjenning og meldeplikt 4.3 Informasjonsplikt 4.4 Samtykke og frivillighet 4.5 Rutine for innsamling av personopplysninger 4.6 Innsynsrett og handtering av innsynsbegjæringer 4.7 Anonymisering og avidentifisering av data 4.8 Rutine for datakvalitet og retting/sletting av data 4.9 Lagring av data på elektroniske media i prosjektperioden 4.10 Lagring av data på ikke-elektroniske media i prosjektperioden 4.11 Lagring av data etter prosjektets avslutning 4.12 Informasjonssikkerhet Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 17.12.04 Revisjon: 1.4 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 2 Kapittel: 4 Dokument: 2 Tittel: REGISTRERING, GODKJENNING OG MELDEPLIKT Dette dokumentet beskriver framgangsmåte og rutiner for registrering, godkjenning og meldeplikt for forskningsprosjekter hvor behandling av personopplysninger inngår. 1 Personvernombud Universitetet har oppnevnt NSD som personvernombud for forskning. Dette medfører at NSD opptrer på vegne av Datatilsynet i saker som angår meldeplikt, og at NSD bistår i saker med konsesjonsplikt (gjennom å søke Datatilsynet om konsesjon på våre vegne). I praksis innebærer dette at forskere og studenter som er tilknyttet universitetet og som skal gjennomføre prosjekt som medfører behandling av personopplysninger, har meldeplikt til Personvernombudet for forskning i stedet for til Datatilsynet. 2 Meldeplikt eller konsesjonsplikt Meldeplikt er hovedregelen i personopplysningsloven, men dersom forskningsprosjektet omfatter behandling av sensitive opplysninger, vil prosjektet som hovedregelen være underlagt konsesjonsplikt. Med sensitive opplysninger menes opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger. 3 Rutine for melding av forskningsprosjekt Forskere og studenter som skal gjennomføre et prosjekt der de skal behandle personopplysninger, må fylle ut NSD s meldeskjema og sende det til Personvernombudet for forskning. Meldeskjemaet finnes i Tillegg B, samt i Kvalidok og på NSD s nettsted (www.nsd.uib.no ). Hvilke prosjekter som skal meldes Alle forsknings- og studentprosjekt som innebærer behandling av personopplysninger skal meldes. Med personopplysninger menes opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson (jfr personopplysningsloven 2). En person vil være direkte identifiserbar via navn, personnummer eller andre personentydige kjennetegn. Opplysninger som registreres med et referansenummer som viser til en atskilt liste med for eksempel navn eller personnummer, er (indirekte) personopplysninger, uansett hvem som oppbevarer navnelisten, hvor den oppbevares og hvordan den oppbevares. En person vil være indirekte identifiserbar, dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 17.12.04 Revisjon: 1.4 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 2 av 2 Kapittel: 4 Dokument: 2 Tittel: REGISTRERING, GODKJENNING OG MELDEPLIKT eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. Hvordan prosjektet skal meldes NSD s meldeskjema (finnes i Tillegg B og på www.nsd.uib.no ) må fylles ut. Dette skjemaet skal benyttes for alle prosjekter, både meldepliktige og konsesjonspliktige. Det er NSD som gjør vurderingen om prosjektet er konsesjonspliktig, eller bare meldepliktig. Meldeskjemaet inneholder en punkt for punkt veiledning for utfylling, og ytterligere informasjon om utfylling finnes på www.nsd.uib.no. Hva som skal legges ved meldeskjemaet Sammen med meldeskjemaet ønsker NSD følgende (dersom det foreligger): Kopi av spørreskjema, intervjuguide, registreringsskjema, informasjonsskriv, samtykkeerklæring, eventuelt søknad/tilråding fra Regional komité for medisinsk forskningsetikk, vedtak om dispensasjon fra taushetsplikten. 4 Meldeplikt, registrering og godkjenning NSD vurderer meldeskjemaet med vedlagt dokumentasjon henhold til gjeldende lover og forskrifter. NSD s vurdering skjer i nær dialog med prosjektleder. Dersom opplegget for behandling av personopplysninger ikke er i overensstemmelse med regelverket for behandling av personopplysninger, påpeker ombudet hvilke endringer som må gjøres for at de kravene som er nedfelt i regelverket skal være oppfylt. For meldepliktige prosjekter avsluttes saksbehandlingen hos personvernombudet, og prosjektleder får skriftlig tilbakemelding om at prosjektet eventuelt kan igangsettes. I tilbakemeldingen vil det gå frem om prosjektet etter personvernombudets vurdering oppfyller kravene i personopplysningsloven og eventuelt helseregisterloven og om datainnsamlingen kan starte. 5 Konsesjonsplikt Dersom forskningsprosjektet omfatter behandling av sensitive opplysninger, vil prosjektet som hovedregel være underlagt konsesjonsplikt. For prosjekter som vurderes som konsesjonspliktige sender personvernombudet søknad til Datatilsynet (på vegne av prosjektleder, og med kopi til prosjektleder). Prosjektet kan ikke igangsettes før konsesjon fra Datatilsynet foreligger.
Dato: 17.12.04 Revisjon: 1.4 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 1 Kapittel: 4 Dokument: 3 Tittel: INFORMASJONSPLIKT Dette dokumentet beskriver framgangsmåte og rutiner for oppfylling av informasjonsplikt for forskningsprosjekter hvor behandling av personopplysninger inngår. Informasjonsplikten følger hovedsaklig av personopplysningslovens kapittel III. 1 Når den som registreres selv er den direkte kilde til opplysningene Når det samles inn personopplysninger fra den registrerte selv (spørreundersøkelser, intervju, etc.) må det påses at vedkommende på forhand har fått informasjon om: At den behandlingsansvarlige er Universitetet i Stavanger v/universitetsdirektøren, 4036 Stavanger Navn og adresse til den som representerer den behandlingsansvarlige. Dette vil normalt være prosjektlederen. Navn og kontoradresse oppgis. Formålet med behandlingen. Det beskrives hvordan personopplysningene inngår i prosjektet. Eventuell utlevering av opplysningene. Hvis opplysningene leveres videre til andre, skal det informeres om hvem som er mottaker. Frivillighet. Når det ikke foreligger juridisk/rettslig krav til at personen skal gi opplysningene, skal det informeres om at det er frivillig å gi opplysningene. Innsynsrett og retten til eventuelt å kreve retting av opplysningene. I praksis vil framgangsmåten være at informasjonen blir gitt som en del av spørreskjema, eller som et eget informasjonsskriv som leveres eller sendes ut i forkant av innsamlingen. Eksempel på et slikt informasjonsskriv finnes i Tillegg B. 2 Når opplysningene hentes fra andre kilder enn den som registreres Når det samles inn personopplysninger fra andre kilder enn den registrerte selv må det påses at den som registreres så snart opplysningene er innsamlet får den informasjon som er nevnt ovenfor. Dersom formålet med innsamlingen av opplysningene er å gi dem videre til andre, er det ikke nødvendig å gi denne informasjonen før overleveringen av opplysningene skjer. Informasjonsplikten bortfaller om innsamlingen av opplysninger er uttrykkelig fastsatt i lov, eller det er på den rene at den registrerte allerede kjenner til informasjonen som skulle gis. Plikten til straks å gi informasjon kan også i andre mer spesielle tilfeller bortfalle eller forskyves i tid. Nærmere informasjon om dette finnes i personopplysningloven, eller ved henvendelse til univeristetets personvernombud (som er NSD, www.nsd.uib.no ). Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 02.12.04 Revisjon: 1.2 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 3 Kapittel: 4 Dokument: 4 Tittel: SAMTYKKE OG FRIVILLIGHET Dette dokumentet beskriver framgangsmåte og rutiner for oppfylling av krav om samtykke og frivillighet ved behandling av personopplysninger i forskningsprosjekter. Informasjonsplikten følger hovedsaklig av personopplysningslovens 8. I forskningsprosjekter vil personopplysninger i hovedsak bare kunne behandles dersom den registrerte har samtykket 1. 1. Framgangsmåte for oppfylling av krav om samtykke Framgangsmåten for å fylle kravet er: 1. Avgjøre om samtykke er nødvendig: Kontroller om prosjektet faller inn under unntak som beskrevet i punkt 4 nedenfor. 2. Hvis samtykke er nødvendig: a. Bestemme den form samtykket skal ha: Skriftlig, muntlig, eller annen form for samtykke (se punktene 3 og 5 nedenfor) b. Kontrollere at samtykke fyller lovens kriterier (se punkt 2 nedenfor) c. Etablere rutiner som sikrer at samtykke innhentes fra alle som inngår 2. Kriterier for samtykke Personopplysningsloven definerer samtykke som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv». (Personopplysningslovens 2.) Frivillig At samtykket skal være frivillig, betyr at det ikke må være avgitt under noen form for tvang fra den som retter forespørselen eller andre involverte aktører. Vær oppmerksom på at måten kontakten blir opprettet på, kan få betydning for om samtykket kan vurderes som frivillig. Dette spørsmålet må ses i sammenheng med maktforholdet mellom den som retter forespørselen og den som blir forespurt, for eksempel i relasjonen mellom saksbehandler og klient. Hvordan prosjektet blir presentert, kan også tilsløre frivillighetsaspektet, for eksempel ved at deltakelse i forskningsprosjektet framstår som en videreføring eller utvidelse av et eksisterende behandlingstilbud. Uttrykkelig At samtykket skal være uttrykkelig, betyr at det ikke skal herske noen tvil om at det avgis samtykke. Et passivt samtykke er derfor ikke et uttrykkelig samtykke i lovens forstand. Et passivt 1 I spesielle tilfeller vil personopplysninger kunne behandles uten slikt samtykke. Se personopplysningslovens 8 for nærmere informasjon om hvilke slike muligheter som finnes. Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 02.12.04 Revisjon: 1.2 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 2 av 3 Kapittel: 4 Dokument: 4 Tittel: SAMTYKKE OG FRIVILLIGHET samtykke betyr at den forespurte ikke gjør en aktiv handling som tilsier at hun eller han ønsker å være med i forskningsprosjektet. Retur av spørreskjema vil være å betrakte som et uttrykkelig og aktivt samtykke. Informert At samtykket skal være informert, betyr at den registrerte skal gis tilstrekkelig informasjon til at vedkommende vet hva det samtykkes til. Informasjonen må imidlertid ikke være så detaljert at det virker forvirrende eller at fokus flyttes fra det som faktisk kan true personvernet. I prosjekt der det deltar personer med norsk som andrespråk, bør informasjonen så langt det lar seg gjøre, gis på morsmålet. Informasjonen bør som hovedregel gis skriftlig. Muntlig informasjon kan supplere eller erstatte den skriftlige informasjon. 3. Skriftlig eller muntlig samtykke Loven stiller ikke krav til formen på samtykket, dvs. om det skal være skriftlig eller muntlig. Et skriftlig samtykke vil likevel være å foretrekke for å kunne sannsynliggjøre i ettertid at samtykke faktisk er innhentet. Samtykke som er gitt elektronisk er å betrakte som et skriftlig samtykke. Det finnes imidlertid tilfeller der muntlig samtykke vil være å foretrekke, for eksempel dersom det er sannsynlig at deltakerne på bakgrunn av sin alder, kulturelle tilhørighet eller lignende, vil oppfatte et skriftlig samtykke som en kontrakt som ikke kan brytes. Samtykket skal i utgangspunktet gis av den registrerte selv. For mindreårige og umyndiggjorte skal samtykke innhentes fra foresatte eller verge. I meldeskjema til NSD spørres det om samtykke innhentes. Dersom det svares ja på spørsmålet, skal det oppgis hvordan frivillighetsaspektet er ivaretatt og på hvilken måte samtykke innhentes, for eksempel skriftlig erklæring, muntlig erklæring, retur av spørreskjema. 4. Manglende samtykke Loven gir visse muligheter til å behandle personopplysninger uten innhenting av samtykke. I forskningsprosjekter er følgende de mest aktuelle unntakene fra kravet om samtykke: I prosjekter hvor personopplysningene som behandles ikke er sensitive personopplysninger, kan behandling skje uten samtykke når det er nødvendig for å utføre en oppgave av allmenn interesse (personopplysningsloven 8). I prosjekter hvor sensitive personopplysningene behandles, kan behandling skje uten samtykke når behandlingen er nødvendig for historiske, statistiske eller vitenskaplige formål, og samfunnets interesse i behandlingen klart overstiger ulempene den kan medføre for den enkelte (personopplysningsloven 9). Med sensitive opplysninger menes opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger. I meldeskjema til NSD skal det i så fall gis en redegjørelse for hvorfor behandlingen er av en så stor allmenn og/eller samfunnsmessig interesse at behandlingen overstiger ulempene for enkeltindividet. Det skal videre oppgis hvorfor det ikke lar seg gjøre å innhente samtykke. Dette
Dato: 02.12.04 Revisjon: 1.2 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 3 av 3 Kapittel: 4 Dokument: 4 Tittel: SAMTYKKE OG FRIVILLIGHET kan for eksempel være fordi det praktisk ikke lar seg gjøre, at det er så store etiske betenkeligheter knyttet til det å innhente samtykke eller at det ikke lar seg forsvare. Disse begrunnelsene må være konkrete. 5. Andre former for samtykke Dersom det benyttes andre former for samtykke, for eksempel generelt samtykke, passivt samtykke, stedfortredende samtykke, samtykke innhentet etter at behandlingen har funnet sted eller dispensasjon fra taushetsplikten, må dette oppgis i meldeskjema til NSD.
Dato: 17.12.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 2 Kapittel: 4 Dokument: 5 Tittel: RUTINE FOR INNSAMLING AV PERSONOPPLYSNINGER Dette dokumentet beskriver framgangsmåte og rutiner for innsamling av personopplysninger til bruk i forskningsprosjekter. Metode for innsamling av personopplysninger Personopplysningene kan innhentes på flere måter. De kan innhentes direkte fra den registrerte gjennom for eksempel personlig intervju, postale spørreskjema, deltakende observasjon, medisinske undersøkelser/tester. Personopplysninger kan også innhentes fra eksisterende registre (for eksempel Kreftregisteret, Medisinsk fødselsregister) eller ved dokumentgjennomgang (for eksempel sakspapirer hos PPT, sykejournaler etc.). I mange prosjekter kombineres ulike metoder. Dersom prosjektet skal godkjennes av personvernombudet (NSD), må alle kilder til informasjon om personene som inngår i utvalget oppgis i meldeskjemaet til NSD. Datamaterialets innhold Kravene til innsamlingsprosedyre er mer omfattende når behandlingen omfatter sensitive opplysninger enn for ikke-sensitive opplysninger. Med sensitive opplysninger menes opplysninger om: Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Helseforhold. Dette er opplysninger om personers tidligere, nåværende eller fremtidige fysiske og psykiske tilstand, inkludert opplysninger om medisin- og narkotikabruk. Genetiske opplysninger omfattes også av begrepet helseforhold. Også opplysninger om sosiale forhold kan vurderes til å falle inn under begrepet helseforhold dersom det kan antas at de sosiale forholdene påvirker helsa. Seksuelle forhold Medlemskap i fagforeninger Med opplysninger om tredjeperson menes opplysninger som kan spores tilbake til personer som ikke inngår i utvalget. Eksempler på opplysninger om tredjeperson er opplysninger om spesifiserte familiemedlemmer til en registrert, som mor, far, onkel, bestemor. Informasjonssikkerhet Personopplysningsloven pålegger den behandlingsansvarlige, gjennom planlagte og systematiske tiltak, å sørge for at personopplysningene til enhver tid er underlagt tilfredsstillende tekniske og organisatoriske sikkerhetstiltak. Eksempler på tekniske tiltak er å skjerme informasjonssystemet i forhold til eksterne datanett, passordbeskyttelse, oppbevaring av direkte identifiserbare personopplysninger og avidentifiserte opplysninger atskilt og automatisk nedkobling av skjermbilder med personinformasjon. Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 17.12.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 2 av 2 Kapittel: 4 Dokument: 5 Tittel: RUTINE FOR INNSAMLING AV PERSONOPPLYSNINGER Eksempler på organisatoriske tiltak er å etablere klare ansvars- og myndighetsforhold i organisasjonen med hensyn til hvem som håndterer persondata og hvem som har tilgang til persondata. I personopplysningsforskriften kapittel II blir det redegjort nærmere for krav til sikring av personopplysninger. Selv om universitetets IT-avdeling har gjennomført en rekke tekniske og organisatoriske tiltak i forbindelse med informasjonssystemene, er det den som samler inn opplysningene (prosjektlederen) som har ansvaret for å vurdere tiltakene opp mot prosjektets risiko, og for å sikre at tiltakene er tilstrekkelige og virker etter hensikten. Sikkerhetstiltakene bør alltid vurderes i relasjon til i hvor stor grad den registrerte er identifiserbar, som for eksempel om det behandles direkte eller indirekte personidentifiserbare opplysninger. Risikovurdering Den behandlingsansvarlige plikter å holde oversikt over hvilke personopplysninger som skal behandles med elektroniske hjelpemidler og som må sikres spesielt mot at uvedkommende får adgang til dem. Den behandlingsansvarlige skal også vurdere sannsynligheten for at sikkerhetsbrudd kan forekomme: Er f.eks. pc-tilgangen beskyttet med brukernavn og passord og står pc-en i et låsbart rom? Videre skal den behandlingsansvarlige vurdere hvilken skade det vil volde den registrerte dersom sikkerhetsbrudd inntreffer: Kan sikkerhetsbrudd f.eks. føre til tap av personlig integritet eller anseelse? Vurderingene som gjøres skal dokumenteres.
Dato: 17.12.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 1 av 3 Kapittel: 4 Dokument: 6 Tittel: INNSYNSRETT OG INNSYNSBEGJÆRINGER Dette dokumentet beskriver innsynsrett og rutine og framgangsmåte for behandling av innsynsbegjæringer i forbindelse med forskningsprosjekter. Slike begjæringer skal behandles i tråd med universitetets generelle rutine for behandling av innsynsbegjæringer. 1 Universitetets generelle rutine for behandling av innsynsbegjæringer Hovedtrekkene i universitetets generelle rutine for behandling av innsynsbegjæringer er: 1. Universitetsdirektøren har lagt ivaretakelsen av det overordnede ansvar for behandling av innsynsbegjæringer til kvalitetskontoret. 2. Begjæringene skal som hovedsak overleveres universitetet i skriftlig form. Begjæringene stiles til: Den behandlingsansvarlige ved Universitetet i Stavanger v/kvalitetskontoret, Universitetet i Stavanger 4036 Stavanger 3. Den som berettiget krever å få overlevere innynsbegjæring muntlig, skal overlevere begjæringen til kvalitetskontorets leder. 4. Kvalitetskontoret avgjør om begjæringen gjelder generelt innsyn (hva slags behandling av personopplysninger universitetet foretar) eller spesielt innsyn (informasjon om en bestemt type behandling). 5. Kvalitetskontoret innhenter de nødvendige opplysninger fra universitetets informasjonssystem, og besvarer begjæringen. Ved behov innhentes opplysninger fra de prosjekt- og prosessansvarlige i virksomheten. 2 Framgangsmåte for oppfylling av krav om innsyn i forskningsprosjekt Prosjekteiers/prosjektleders framgangsmåte for å fylle lovens krav i forhold til forskningsprosjekter er: 1. Henvendelsen vil direkte eller indirekte komme fra kvalitetskontoret, som også har avgjort hvilken type innsyn begjæringen gjelder (se punkt 1 nedenfor). Dersom begjæring om innsyn rettes direkte til prosjektet, skal begjæringen ikke mottas, men den som fremmer begjæringen skal henvises til kvalitetskontoret. 2. Hvis begjæringen gjelder generelt innsyn: a. Enhver som ber om det, skal få vite hva slags behandling av personopplysninger universitetet foretar. Punkt 4 angir hvordan kravet oppfylles for forskningsprosjekter. 3. Hvis begjæringen gjelder innsyn i bestemt behandling: a. Når den som ber om innsyn ikke selv er registrert, kan hun eller han kreve å få den informasjonen som er angitt i punkt 5. Utarbeidet av: SS-A, KMB, OFT, TI, PS Godkjent av: Inger Østensjø Dokumenteier: Kvalitetskontoret. Dokumentet godkjennes av: Universitetsdirektøren. Revisjon: Dokumentet revideres ved behov. Ved revisjon skal det avløste dokument arkiveres. Avløst dokument skal påføres avløsningsdato og dato for arkiverings-tidens utløp, som skal være fem år etter avløsningsdato. Endring av dokumenteier eller godkjenningsmyndighet skal framlegges for og godkjennes av universitetsdirektøren.
Dato: 17.12.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 2 av 3 Kapittel: 4 Dokument: 6 Tittel: INNSYNSRETT OG INNSYNSBEGJÆRINGER b. Når den som ber om innsyn selv er registrert, kan hun eller han i tillegg kreve å få informasjonen som er angitt i punkt 6. 4. Svaret på begjæringen innsyn utformes av kvalitetskontoret. Svaret på kvalitetskontorets henvendelse angående det enkelte prosjekt kan sendes direkte til kvalitetskontoret, med mindre fakultetet/senteret/avdelingen har rutiner som beskriver noe annet. 3 Generelt eller spesifikt innsyn Personopplysningsloven fastslår at enhver som ber om det, skal få vite hva slags behandling av personopplysninger universitetet foretar 1 (generelt innsyn). Loven fastslår også at enhver som ber om det, få nærmere bestemt informasjon om en bestemt type behandling (spesielt innsyn). Retten til å kreve informasjon er ytterligere utvidet når den som ber om innsyn, selv er registrert/behandles. Kvalitetskontoret avgjør om den enkelte begjæring er en begjæring om generelt eller spesielt innsyn. 4 Generelt innsyn Ved begjæring om innsyn i hva slags behandling av personopplysninger universitetet foretar, vil informasjonen om behandling i det enkelte prosjekt bare være en liten del av den samlede informasjon som gis tilbake. I slike tilfeller vil det være tilstrekkelig for den som har ansvar for forskningsprosjekt å gi en generell beskrivelse av behandlingene som foretas, og av prosjektets forskningsområde. Eksempel: Innsamling, lagring og bearbeiding av personopplysninger i forbindelse med forskningsprosjekt som i hovedsak angår emigrasjon fra Ryfylke de siste 150 år. Etterfølgende anonymisering og/eller sletting. 5 Innsyn i bestemt behandling Personopplysningsloven fastslår at enhver som ber om det, kan kreve å få følgende informasjon om en bestemt type behandling (tekst i kursiv er hentet fra personopplysningsloven): Navn og adresse på den behandlingsansvarlige og dennes eventuelle representant. Informasjon om behandlingsansvarlig tas hand om av kvalitetskontoret. For forskningsprosjektet vil det normalt være prosjektleder som er den behandlingsansvarliges representant. Da oppgis prosjektleders navn og kontoradresse. Hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter. Her oppgis prosjektlederens navn. 1 Pesonopplysningsloven 18
Dato: 17.12.04 Revisjon: 1.3 Handbok for behandling av personopplysninger i forskningsprosjekter Side: 3 av 3 Kapittel: 4 Dokument: 6 Tittel: INNSYNSRETT OG INNSYNSBEGJÆRINGER Formålet med behandlingen. Her beskrives kort hvordan behandling av personopplysninger inngår i prosjektet. Det må framgå hvorfor behandling av personopplysninger er viktig eller nødvendig i prosjektet. Beskrivelser av hvilke typer personopplysninger som behandles. Det finnes ingen standard for personopplysningstyper. Gi en kort, generell oversikt over de typene informasjon som innsamles, eksempelvis bostedsinformasjon, informasjon om utdanning og yrkespraksis, informasjon om holdninger, kunnskaper og ferdigheter. Hvor opplysningene er hentet fra. Oppgi hvilke kilder som er brukt. Om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Det finnes visse unntak fra innsynsretten. Dersom utlevering av disse opplysningene føles problematisk i forhold til prosjektet eller personer som er registrert, bør dette tas opp med kvalitetskontoret med tanke på å avklare om det foreligger et unntakstilfelle, eller om opplysningene bør utleveres i en annen form. 6 Den registrertes innsyn i bestemt behandling Når den som begjærer innsyn selv er registrert, skal det i tillegg til informasjonen i punkt 5 opplyses om: Hvilke opplysninger om den registrerte som behandles. Informasjonen som skal gis vil eksempelvis være en liste over hvilke felt i databasen eller felt i spørreskjema som inneholder personopplysninger. Eksempel: Følgende opplysninger behandles: Opplysninger om navn, adresse, fødselsdato, kjønn, utdanning, og yrkespraksis. Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. Før slik informasjon gis, må det foreligge generelle vurderinger som konkluderer med at det ikke svekker sikkerheten å gi bestemt informasjon om det enkelte sikkerhetstiltak, og/eller slike risikovurderinger må gjøres for hvert enkelt tiltak i forhold til den konkrete henvendelse. Slike vurderinger skal gjøres skriftlig, og lagres i Kvalidok. Informasjon i henhold til punkt 5 og/eller 6 gis ikke direkte til den som begjærer innsyn, men rutes tilbake til kvalitetskontoret. Kvalitetskontoret utformer responsen tilbake til den som krever innsyn. Kvalitetskontoret vil også ta stilling til evnetuelle krav om utdyping av informasjonen i henhold til personopplysningsloven, og de øvrige krav loven stiller ut over det som behandles i overstående rutine og framgangsmåte.