Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD

Like dokumenter
Forskrift om organisering av medisinsk og helsefaglig forskning

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Helseforskningsloven - lovgivers intensjoner

NAV-evaluering. - behandling av personopplysninger. Voksenåsen, Oslo. Personvernombudet for forskning. 23.oktober 2007

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

Helseforskningsloven - intensjon og utfordringer

Kvalitetssystem for medisinsk og helsefaglig forskning. Delegering av oppgaver i kvalitetssystemets rutiner Bakgrunn

I Forskning som involverer personopplysninger særlig forholdet til personopplysningsloven og helseforskningsloven

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning

Implementering av det nye personvernregelverket ved UiB

BEHANDLING AV PERSONOPPLYSNINGER

Tilbakemelding på melding om behandling av personopplysninger

Personvern i forskning

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Helseforskningsloven - oppfølging ved universiteter og høyskoler Seminar om helseforskningsloven 25. oktober 2010 Trine B. Haugen

Hva vet du om forskningsetikk?

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Databehandleravtale etter personopplysningsloven

Kvalitetssikring av forskningsprosjekter Normer og regelverk. Introduksjonskurs Doktorgradsprogrammet Det medisinske fakultet, Universitetet i Oslo

UiO : Universitetet i Oslo Universitetsdirektøren

KVALITETSIKRINGSSYSTEM. for ETIKK OG PERSONVERN

Søknad om tildeling av FoU- tid for studieåret

Policy for personvern

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

RETNINGSLINJER FOR BEHANDLING AV SØKNADER OM FORSKNING I KRIMINALOMSORGEN

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

Opplæringsbehov etter helseforskningsloven

Én helseforskninglov. Ny helseforskningslov Medisinsk og helsefaglig forskning

DEL I TILRÅDING ELLER KONSESJON?

Etikk- og personvernshensyn i brukerundersøkelser

102 Definisjoner og forklaringer

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Forsknignsetikk for dummies

Personvernerklæring for Cristin (Current Research Information System in Norway)

Forskningsjus og forskningsetikk i et nøtteskall

Rettslig regulering av helseregistre

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvern og informasjonssikkerhet

Å redusere unyttig helseforskning i Norge ved å bruke systematiske oversikter kommentar sett fra erfaring med forskningsetiske vurdering i REKVEST

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Status Kvalitetssystemet for medisinsk og helsefaglig forskning. Seniorrådgiver Katrine Ore

RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Personopplysninger og opplæring i kriminalomsorgen

Brukerinstruks Informasjonssikkerhet

Skjemaet skal ikke benyttes for forskningsstudier som skal godkjennes av REK.

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

GDPR Ny personvernforordning

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Invitasjon til høring om framtidig instituttstruktur ved SVT-fakultetet. Innstilling fra instituttstrukturutvalget.

UNIVERSITETET 7 % I OSLO

Vedlegg C - Datahåndteringsplan

Nye personvernregler

Personvernombudet for forskning

Personvernerklæring Stendi

RETTE. System for Risiko og ETTErlevelse. Hvorfor RETTE? Personvernkrav Internkontroll Forskningsetikk Kompetanseøkning

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

hva betyr loven for den enkelte forsker?

Planlegging og gjennomføring av brukerundersøkelser

Lærerstudenter, forskning og bacheloroppgaven: Lærerstudenter som forskere?

1.1 Innledning. Internkontrollsystem for behandling av personopplysninger i forskning. Dokumenteier: Behandlingsansvarlig

Forskningsdefinisjoner (vedlegg til styrende dokument nr 60, 61 og 62) Utarbeidet av: Stab FoU Ajour pr:

Noe om forskningsetikk

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

NINAs personverndokument

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Hva kan vi bruke NSD til?

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)

Aktuelle temaer. Forskningsetikk & juss hva veier tyngst? - Roller og ansvarsfordeling?

Prosedyre for personvern

Meldeplikt når og hvor?

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjon om bruk av personnummer i Cristin-systemet

REK og helseforskningsloven

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Hvilken rolle har REK (NEM), Personvernombudene, Datatilsynet og Helsetilsynet i henhold til klinisk oppdragsforskning og helseforskningsloven?

Personvernerklæring for Flyt Høgskolen i Molde

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Prosjektinformasjonen må oppdateres

Lagring av forskningsdata i Tjeneste for Sensitive Data

Styring og ledelse ved instituttene Medvirkningsbaserte prosesser for å innføre andre ordninger enn normalordningen

Bestemmelse om utlevering av personopplysninger til forskning og gjennomføring av spørreundersøkelser

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning

REK-vurderinger etter GDPR

Særavtale om lønns- og personalregistre

Forespørsel om deltakelse i forskningsprosjektet: <Sett inn tittel, prosjektnummer>

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Retningslinjer for utlevering av data fra Kreftregisteret

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR for HR. En praktisk tilnærming til hva Sopra Steria har gjort for å møte de nye kravene

Transkript:

1 av 10 Fakultet for samfunnsvitenskap og teknologiledelse Retningslinjer ved SVT-fakultetet for håndtering av forskningsprosjekt som behandles av REK eller NSD Retningslinjene innføres i denne form i forbindelse med delegasjon av myndighet som forskningsansvarlig til instituttlederne ved SVT-fakultetet. Helseforskningsprosjekter: Bakgrunn og overordnet regelverk. I denne delen av dokumentet behandles rollen som forskningsansvarlig kun ut fra LOV 2008-06-20 nr 44: Lov om medisinsk og helsefaglig forskning (Helseforskningsloven) med tilhørende Forskrift om organisering av medisinsk og helsefaglig forskning. Helseforskningslovens 4e definerer forskningsansvarlig som «institusjon eller en annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjektet, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter etter denne loven». Lovens 5 og 6 setter krav til henholdsvis forsvarlighet og organisering. Det sies eksplisitt at det skal føres internkontroll. Forskriften 3 beskriver forskningsansvarliges plikter: Forskningsansvarlig har det overordnede ansvaret for forskningsprosjektet og skal minst sørge for a) at det tilrettelegges for at medisinsk og helsefaglig forskning blir utført på en måte som ivaretar etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold b) at det tilrettelegges for forsvarlig organisering, igangsetting, gjennomføring, formidling, avslutning og etterforvaltning av forskningsprosjektet c) at forskningsdata og humant biologisk materiale behandles forsvarlig d) at det foreligger nødvendig forsikring av forskningsdeltakere i samsvar med helseforskningsloven 50 e) at det føres internkontroll i samsvar med 4 tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Den forskningsansvarlige kan delegere oppgaver til andre, men ikke ansvar. Postadresse Org.nr. 974 767 880 Besøksadresse Telefon Saksbehandler E-post: Bygg 1, nivå 4, NTNU +47 73 59 19 00 7491 Trondheim postmottak@svt.ntnu.no Dragvoll Telefaks http://www.ntnu.no +47 73 59 19 01 All korrespondanse som inngår i saksbehandling skal adresseres til saksbehandlende enhet ved NTNU og ikke direkte til enkeltpersoner. Ved henvendelse vennligst oppgi referanse.

2 av 10 Forskriften 4 beskriver internkontrollen: Med internkontroll menes systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med krav fastsatt i eller i medhold av helseforskningsloven. Internkontroll skal dokumenteres og utformes i den form og det omfang som er nødvendig på bakgrunn av virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Internkontroll skal ha styrende, gjennomførende og kontrollerende elementer, som innebærer at den forskningsansvarlige minst skal sørge for a) at virksomhetens mål for forskningen, samt ansvars- og myndighetsforhold og hvordan forskningsvirksomheten strukturelt er tilrettelagt og organisert, er beskrevet b) at det føres løpende oversikt over alle medisinske og helsefaglige forskningsprosjekter som involverer mennesker, humant biologisk materiale eller helseopplysinger innen eget ansvarsområde c) å ha oversikt over de krav i og i medhold av helseforskningsloven og annet regelverk, som gjelder for forskningen d) at det utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeiderne i virksomhetens forskningsprosjekter i stand til å overholde kravene som nevnt i bokstav c e) at prosjektleder, medarbeidere og annet personell som er involvert i forskningsprosjekter har tilstrekkelig kompetanse f) at det utarbeides og dokumenteres rutiner for å motta meldinger om avvik og sikre at avvik rettes g) at det foretas systematisk overvåking og gjennomgang av internkontroll, for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring i virksomheten. Den forskningsansvarlige kan delegere oppgaver til andre, men ikke ansvar. NTNU har innført et felles internkontrollsystem for helseforskningsprosjekter. Dette ble operativt høsten 2011 (datert 01.01.2012) og er ment å tilfredsstille lovens krav. Systemet er utformet som en web-portal «Forsvarlig gjennomføring av medisinsk- og helsefaglig forskning» 1. Her foreligger det et fullmaktskart hvor Rektor delegerer oppgaver og myndighet som forskningsansvarlig til dekanene. Muligheten for at dekanene kan delegere dette videre til instituttlederne er også nedfelt, mens instituttlederne ikke gis myndighet til å delegere videre. I portalen beskrives videre de ulike rollene i helseforskningsprosjektene, bl.a. rollen som forskningsansvarlig: 1 http://www.ntnu.no/dmf/helseforskning

3 av 10 Forskningsansvarlig skal sørge for at internkontrollsystemet blir implementert og fulgt i praksis. Forskningsansvarlig skal i forkant eller i etterkant av REKs behandling (før prosjektet starter) vurdere om prosjektet faller innenfor enhetens strategi og om de nødvendige ressurser foreligger. Forskningsansvarlig skal ha oversikt over sin forskningsportefølje. Den forskningsansvarlige setter i verk tiltak for å lukke avvik og skal stanse eller bringe i orden forskning som er medisinsk, etisk eller juridisk uforsvarlig eller som er i strid med de gitte tillatelser. Forskningsansvarlig skal gjennomføre systematiske tiltak som fremmer god forskning og som sikrer at forskningen planlegges, organiseres, gjennomføres og avsluttes i samsvar med helseforskningsloven med forskrift. Forskningsansvarlig kan be prosjektleder om utdypende informasjon som søknad og endringsmeldinger, protokoll, informasjonsskriv, samtykkeerklæringer, risikovurderinger, sluttmelding og lagring av data. Forskningsansvarlig skal i styringsdialogen med sin leder rapportere om forskningsvirksomheten ved enheten og i hvilken grad lover og rutiner etterleves og kvalitetsverktøyet benyttes. Helseforskningsportalen fremhever også at det skal føres kontroll med helseforskningsprosjektene. Implementering ved SVT-fakultetet. Instruks for medisinsk og helsefaglig forskning 1 Formål. Instruksens formål er å fremme forsvarlig organisering og gjennomføring av medisinsk og helsefaglig forskning ved SVT-fakultetet, NTNU. Som et minimum skal Lov om medisinsk og helsefaglig forskning (med gjeldende forskrift) dekkes. 2 Instruksens virkeområde Alle som driver forskning ved SVT-fakultetet skal gjøre seg kjent med denne instruksen. 3 Roller innen forskningsprosjekter Alle forskningsprosjekter skal ivaretas av personer fordelt på tre roller. a) Forskningsansvarlig. i. Myndigheten som forskningsansvarlige ved SVT-fakultetet er delegert instituttlederne.

4 av 10 ii. Den forskningsansvarlige har det overordnete ansvaret for at all forskning som foregår ved virksomheten gjennomføres på forsvarlig måte. iii. Den forskningsansvarlig skal sørge for rutiner, infrastruktur og internkontrollsystemer som skal gjelde for forskningsvirksomheten. Internkontrollen skal bidra til å fremme etisk forsvarlig forskning av god vitenskapelig kvalitet. iv. Den forskningsansvarlige skal sørge for at staben har kjennskap til denne instruksen og relevant lovverk. v. Den forskningsansvarlige skal vurdere om prosjektet faller innenfor enhetens strategi og om de nødvendige ressurser foreligger. Den forskningsansvarlige skal sørge for at slike prosjekter blir registrert i prosjektregisteret før prosjektstart. vi. Den forskningsansvarlige skal regelmessig føre kontroll med forskningsprosjektene slik overordnet regelverk forordner. vii. Den forskningsansvarlige har også plikt til å omgående bringe i orden, eventuelt å stanse, forskning som er medisinsk, etisk eller juridisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. viii. Forskningsansvarlig skal ha løpende oversikt over alle prosjekter i virksomheten. ix. Den forskningsansvarlige skal i styringsdialogen med sin leder rapportere om forskningsvirksomheten ved enheten og i hvilken grad lover og rutiner etterleves og kvalitetsverktøyet benyttes. b) Prosjektleder. Alle forskningsprosjekt skal ha én og bare én prosjektleder. i. Prosjektleder skal utarbeide en forskningsprotokoll for prosjektet i tråd med god vitenskapelig praksis og de krav som stilles i helseforskningsloven med forskrifter. Forskningsprosjektets mål skal være klart og metoden skal være adekvat. ii. Prosjektleder har ansvar for å involvere den forskningsansvarlig før prosjektet startes. iii. Prosjektleder skal sørge for at epost-adressen helseforskning@svt.ntnu.no er innmeldt som medbruker i REK-portalen ved prosjektets oppstart. iv. Prosjektleder skal sørge for at prosjektet gjennomføres i henhold til godkjent forskningsprotokoll. v. Prosjektleder skal sette seg inn i og ivareta etiske, medisinske, helsefaglige, vitenskapelige, personvern- og informasjonssikkerhetsmessige forhold i den daglige driften av prosjektet. vi. Vesentlige endringer i prosjektet skal meldes REK. Hva som regnes som vesentlige endringer er definert i lovens 11 og 15. vii. Prosjektleder skal ha tilgang til alle forskningsdata som prosjektet omfatter. Dette er avgjørende for at prosjektleder skal være i stand til å ivareta sine lovbestemte plikter. viii. Prosjektleder har ansvaret for at uønskede eller alvorlige hendelser meldes til helsetilsynet og til den forskningsansvarlige.

5 av 10 Forskningsdeltakerne skal omgående informeres dersom de har blitt påført skade, eller det har oppstått komplikasjoner som følge av forskningsprosjektet. ix. Prosjektleder skal omgående stanse, eventuelt bringe i orden, forskning som er medisinsk, etisk eller juridisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. x. Prosjektleder skal sørge for åpenhet, og har ansvaret for at forskningsresultater blir publisert i overensstemmelse med god vitenskapelig praksis, herunder forfatterskapsreglene i Vancouverkonvensjonen. xi. Prosjektets avslutning og resultater skal meldes REK. Prosjektleder skal sørge for å informere instituttet om at prosjektet er avsluttet slik at dette kan registreres. c) Prosjektmedarbeider. Alle som er involvert på en eller annen måte i et forskningsprosjekt er forpliktet til å påse: i. Forskningen skal gjennomføres i tråd med god vitenskapelig praksis og i henhold til prosjektets forhåndsgodkjente forskningsprotokoll. Vesentlige endringer må godkjennes av REK. ii. Før forskning på mennesker gjennomføres skal det gjøres en grundig vurdering av risiko og belastning for deltakerne. Disse må stå i forhold til påregnelige fordeler for forskingsdeltakerne selv eller for andre mennesker. iii. Forskning som involverer mennesker skal som hovedregel være basert på spesifisert eller bredt samtykke fra deltakerne. Unntak skal være spesielt begrunnet og i overensstemmelse med lovens krav. iv. Humant biologisk materiale og helseopplysninger skal oppbevares forsvarlig. Alt datamateriale skal oppbevares i henhold til helseforskningslovens og fakultetets bestemmelser om slik lagring. Humant biologisk materiale skal oppbevares i en godkjent biobank. v. Forskere har taushetsplikt og skal hindre at andre (inkludert andre forskere og helsepersonell) får adgang eller kjennskap til opplysninger med mindre vedkommende har rettslig grunnlag for å få opplysningene utlevert. vi. Forskningsresultater skal publiseres i overensstemmelse med god vitenskapelig praksis, herunder forfatterskapsreglene i Vancouverkonvensjonen. 4 Praktisk gjennomføring a) Prosjektleder benytter BOA-skjemaet eller det forenklete oppstartskjemaet (se http://www.ntnu.no/svt/forskning/innmelding ) for å involvere den forskningsansvarlige. Ferdig utfylt skjema sendes Dokumentsenteret ved SVTfakultetet; dokumentsenteret@svt.ntnu.no.

6 av 10 b) Prosjektleder skal føre opp instituttleder som forskningsansvarlig i sin søknad til REK. I denne sammenheng er den forskningsansvarliges epost-adresse: postmottak@svt.ntnu.no. c) Studenter som blir prosjektmedarbeidere som følge av sin masteroppgave må avmerke dette på sin avtale om masteroppgave og fylle ut tilleggsavtalen Avtale om studentens medvirkning i helseforskningsprosjekt. Denne tilleggsavtalen følger masteravtalen. d) Fakultetsadministrasjonen har ansvaret for oppfølging av prosjektregisteret. 5 Retningslinjer for avvikshåndtering a) Uønskede hendelser knyttet til et forskningsprosjekt skal uten unødig opphold meldes til dertil egnet sivil myndighet (for eksempel arbeidstilsynet) i tillegg til meldepunkt som beskrevet i punkt c). b) Forskere skal for øvrig omgående melde fra om forskning som er medisinsk, etisk eller juridisk uforsvarlig eller for øvrig i strid med de tillatelser som er gitt og øvrige krav som stilles til forskningen. c) Melding rettes normalt til leder på det aktuelle organisatoriske nivå. Dersom dette ikke vil kunne tilfredsstille hensikten med varslingen kan melding gis på et høyere organisatorisk nivå. d) Det rettes spesiell oppmerksomhet mot Lovens 23 og 24. e) Melding av unormale hendelser kan også foretas av forskningsdeltager og utenforstående. f) Avvik skal også meldes i NTNUs avvikssystem https://avvik.ntnu.no/home/start Andre prosjekter som kommer innunder personopplysningsloven: Forskningsprosjekter som innebærer opprettelse av personregister og behandling av personopplysninger (unntatt medisinske og helsefaglige prosjekter som kommer inn under helseforskningsloven). Noen sentrale definisjoner: Personregister: «registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen» (Personopplysningslovens 2, pkt. 3). Personopplysning: «opplysninger og vurderinger som kan knyttes til en enkeltperson» (Personopplysningslovens 2, pkt.1). Direkte personidentifiserende opplysninger: «En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn» (Personvernombudet for forsknings nettside http://www.nsd.uib.no/personvern/meldeplikt/vanlige_sporsmal.html).

7 av 10 Indirekte personidentifiserende opplysninger: «En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.» (Personvernombudet for forsknings nettside http://www.nsd.uib.no/personvern/meldeplikt/vanlige_sporsmal.html). Sensitive personopplysninger: «opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger» (Personopplysningslovens 2, pkt. 8). Disse avsnittene gjelder forskningsprosjekter (unntatt medisinsk/helsefaglige forskningsprosjekter) som innebærer opprettelse av personregister, dvs. registrering/behandling av personopplysninger digitalt på datamaskin, eller registrering/behandling av sensitive personopplysninger, uansett registrerings/behandlingsmåte. Den behandlingsansvarlige og den daglig ansvarlige. Den behandlingsansvarlige er definert i personopplysningslovens 2, pkt. 4 som «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes». Personvernombudet for forskning utdyper dette på følgende måte på sin nettside http://www.nsd.uib.no/personvern/meldeplikt/vanlige_sporsmal.html: «Behandlingsansvarlig er den institusjon/bedrift/annen juridisk person som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig vil dermed være for eksempel universitetet, høgskolen, helseforetaket eller forskningsinstituttet ved øverste ledelse. Behandlingsansvarlig betegner en formell posisjon og innebærer krav til etterlevelse av en rekke plikter i loven.» Alle institusjoner som er ansvarlig for behandling av personopplysninger har en lovpålagt plikt til å drive internkontroll med egen virksomhet. Denne plikten er beskrevet i personopplysningsloven 14: «Den behandlingsansvarlige skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemda.» Institusjonen skal tilrettelegge for at den daglige ansvarlige kan utføre sine oppgaver. Datatilsynet har nettsider vedrørende sikkerhet og internkontroll: https://www.datatilsynet.no/sikkerhet-internkontroll/.

8 av 10 Personopplysningsloven definerer ikke begrepet den daglig ansvarlige eksplisitt, men av lovens 18, pkt. b og 32, pkt. c framgår at den daglig ansvarlige er den som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter. Personvernombudet for forskning utdyper dette på følgende måte på sin nettside http://www.nsd.uib.no/personvern/meldeplikt/vanlige_sporsmal.html: «Daglig ansvarlig er den som kan ha det daglige ansvaret for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll, gjerne definert ved forsker selv/studentens veileder». I veiledningen til utfylling av Personvernombudet for forsknings meldeskjema, som man får tilgang til når man registrerer seg for å opprette meldeskjema på Personvernombudet for forsknings nettside http://www.nsd.uib.no/personvern/meldeplikt/meldeskjema, står det at «Veileder er vanligvis daglig ansvarlig ved studentprosjekt». Vanlig praksis er at dette gjelder opp til og med mastergradsnivå. Doktorgradskandidater kan være daglig ansvarlige for egne doktorgradsprosjekt. Når det gjelder den daglig ansvarliges institusjonelle tilknytning ved studentprosjekter, spesifiserer veiledningen til utfylling av Personvernombudet for forsknings meldeskjema at «Veileder og student må være tilknyttet samme institusjon. Dersom studenten har ekstern veileder, kan biveileder eller fagansvarlig ved studiestedet stå som daglig ansvarlig. Arbeidssted må være tilknyttet behandlingsansvarlig institusjon, f.eks. underavdeling, institutt etc.» Den behandlingsansvarlige er altså institusjonen (hos oss NTNU) ved øverste leder, og Den daglig ansvarlige er forskeren selv ved ansattes prosjekter og doktorgradsprosjekter, og veileder ved studentprosjekter, evt. biveileder eller fagansvarlig dersom studenten har ekstern veileder. Det framgår videre at Den daglig ansvarlige må være en person som er tilknyttet (ansatt ved) institusjonen (hos oss NTNU). Den daglig ansvarliges plikter Generelt: «Den daglig ansvarlige» skal sørge for at Den behandlingsansvarliges plikter etter personopplysningsloven med forskrift oppfylles. Den daglig ansvarlige har altså fått delegert ansvar fra Den behandlingsansvarlige. Den daglig ansvarlige kan ikke delegere sitt ansvar videre. Oppgaver kan imidlertid delegeres, og det er f.eks. vanlig at daglig ansvarlige ved studentprosjekter (dvs. veileder) delegerer utfylling av meldeskjema til studenten. Men selv om oppgaver delegeres, må den daglig ansvarlige (veilederen) påse at oppgavene faktisk blir utført. Litt mer spesifikt: Den daglig ansvarlige må påse at opprettelsen av personregisteret er begrunnet i samsvar med personopplysningslovens bestemmelser. Opprettelse av personregister til forskningsformål er i utgangspunktet hjemlet i 8, pkt d («behandlingen er nødvendig for å utføre en oppgave av allmenn interesse»). Når det gjelder sensitive personopplysninger må

9 av 10 registreringen/behandlingen i tillegg bare finne sted når «behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte». Av dette følger at Den daglig ansvarlige i særdeleshet må påse at unødig registrering/behandling av sensitive personopplysninger ikke finner sted. Den daglig ansvarlige må påse at konsesjons-/meldeplikten overholdes (Personopplysningslovens 31). Forskningsprosjekter er unntatt fra konsesjonsplikt dersom de er tilrådd av et personvernombud, og i likhet med de fleste andre høyere utdanningsinstitusjoner i Norge har NTNU valgt Personvernombudet for forskning (Norsk samfunnsvitenskapelig datatjeneste, NSD AS) som sitt personvernombud for forskning. Den daglig ansvarlige må altså påse at melding sendes til Personvernombudet for forskning. Når det gjelder studentprosjekter der veileder delegerer melding til Personvernombudet for forskning til studenten, må vi gå ut fra at å påse betyr å ta opp spørsmålet om meldeplikt i veiledningen, og å kontrollere at en studentutfylt melding til Personvernombudet for forskning, inkludert vedlegg, er korrekt og i samsvar med de faktiske forhold. Den daglig ansvarlige må, når melding er sendt inn, påse at råd fra Personvernombudet for forskning etterleves. Dette må bety å sette seg inn i svar og meldinger fra Personvernombudet for forskning, og å ta opp innholdet i meldingene med studenten i veiledningen. Den daglig ansvarlige må sørge for at personregister/personopplysninger lagres med tilstrekkelig grad av sikkerhet. I praksis er lokal IT-tjeneste rett adresse for å få råd/hjelp med dette. I mange tilfeller vil man i praksis operere med avidentifiserte datafiler, dvs. datafiler der personidentifiserende informasjon er erstattet av koder som viser til en kodeliste, og i slike tilfeller vil det være naturlig at den daglig ansvarlige sørger for forsvarlig oppbevaring av kodeliste, f.eks. i låst arkivskap. 2 Den daglig ansvarlige må sørge for at eventuelle intensjoner om sletting/anonymisering følges opp. Det er vanlig at en i melding til Personvernombudet for forskning, og til respondenter/informanter, opplyser om at data vil bli anonymisert eller slettet ved på et bestemt tidspunkt, oftest ved prosjektslutt. Er det snakk om anonymisering, betyr dette å sette seg inn i hvordan en eventuell anonymisering skal foregå i praksis (sletting og/eller grovkategorisering av variabler), og å se til at dette er gjort med alle eksisterende eksemplarer av personregisteret innen det fastsatte tidspunktet. Ved oppgitt tidspunkt for sletting/anonymisering vil Personvernombudet for forskning sende forespørsel om bekreftelse av at dette er gjort. Ved studentprosjekter kan den praktiske gjennomføringen av sletting/anonymisering være delegert til studenten, og i så fall er det viktig at den daglig ansvarlige (veileder) sikrer seg en skriftlig bekreftelse fra studenten om at dette faktisk er gjennomført, slik at bekreftelsen kan videresendes til Personvernombudet for forskning når dette etterspørres. 2 Se også NTNUs policy og prinsipper for informasjonssikkerhet: https://innsida.ntnu.no/wiki/-/wiki/norsk/informasjonssikkerhet

10 av 10 Den daglig ansvarlige må, når hun/han fratrer sin stilling, sørge for at nærmeste overordnede (normalt instituttleder) får relevant informasjon om ikke avsluttede prosjekter som innebærer behandling av personopplysninger, slik at det blir mulig å fortsatt oppfylle den behandlingsansvarliges plikter. Prosjekter som ikke er forskningsprosjekter Slike prosjekt 3 behandles normalt ikke av NSD-PVO og det må vurderes om konsesjon fra Datatilsynet er nødvendig. Nye ph.d. studenter informeres om disse retningslinjene på et oppstartseminar. 3 Med dette menes f.eks. rent administrative undersøkelser som ikke karakteriseres som forskning, som kandidatundersøkelser, evalueringer, arbeidsmiljøundersøkelser etc. som ikke gjennomføres av vitenskapelig tilsatt personell. Slike prosjekt behandles normalt ikke av NSD-PVO, men dersom det innenfor et slikt prosjekt opprettes personregister, slik at det ville vært meldepliktig til NSD-PVO dersom det hadde vært et forskningsprosjekt, er det meldepliktig til Datatilsynet. I enkelte tilfeller kan det være aktuelt å søke konsesjon fra Datatilsynet, dette gjelder f.eks. for slike prosjekter som benytter sensitive personopplysninger, og som er av stort omfang (over 5000 personer) og lang varighet (over 15 år)."

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding