NSD / Personverntjenester / Avtale om personverntjenester for forskning

Avtale om personverntjenester for forskning

Sikt har avtaler om å levere personverntjenester for forskning med en rekke utdannings- og forskningsinstitusjoner. Det er institusjonene som selv bestemmer hva som skal meldes til og vurderes av Sikt. 

Per 2022 har Sikt avtale med over 130 norske forskningsinstitusjoner om å levere personverntjenester for forskning. Se hvilke institusjoner som har slik avtale.

Avtalen omfatter følgende personverntjenester:

  • Generell informasjon, opplæring og rådgivning om behandling av personopplysninger og ivaretakelse av personvern i forskning
  • Vurdering av bruk av personopplysninger i innmeldte forskningsprosjekt, både i forkant, underveis og ved avslutning av forskningsprosjekt. Vurderingene skal være skriftlige og gjøres tilgjengelige for institusjonene i meldingsarkivet.
  • Håndtering av henvendelser fra registrerte (deltakere) i forskningsprosjekt
  • Varsling av og eventuelt bistand for å håndtere brudd på personopplysningssikkerheten og andre brudd på personvernregelverket som avdekkes i alle deler av forskningsprosjektets planlegging, gjennomføring og/eller avslutning.
  • Personvernkonsekvensvurderinger (Data ProtectionImpactAssessment - DPIA).
  • Forhåndsdrøftinger og dialog med Datatilsynet.
  • Utvikling og vedlikehold av systemer for innmeldinger og rådgivning, og oppdatert meldingsarkiv over forskningsprosjektene.
  • Jevnlige rapportering og statusmøter mellom institusjonens ledelse og Sikt

Institusjoner som inngår avtaler med NSD får tilgang til to systemer i arbeidet med å sikre etterlevelse av personvernlovverket i forskningsprosjekter:

Rollefordeling

Sikt utfører personverntjenester for institusjonene i tråd med avtalen, for å bistå institusjonene i å skape etterlevelse og dokumentasjon av at behandlingen av personopplysninger til forskningsformål er i samsvar med personvernregelverket.

Institusjonene er behandlingsansvarlig for all behandling av personopplysninger til forskningsformål.

Institusjonenes ansvar 

Institusjonene skal sørge for at:

  • Sikts personverntjenester er kjent ved institusjonen,
  • forskere og studenter søker råd hos Sikt om behandlinger av personopplysninger til forskningsformål innenfor avtalens område,
  • forskere og studenter melder behandling av personopplysninger, der institusjonen er behandlingsansvarlig, til Sikt senest 30 dager før planlagt oppstart,
  • forskere og studenter bruker Sikts meldeskjema, vedlegger all nødvendig dokumentasjon, kompletterer meldeskjema dersom Sikt etterspør dette, og avventer Sikts vurderinger før oppstart.
  • forskere og studenter får veiledning slik at behandlingen oppfyller kravene til sikkerhet i art. 5 d), art. 5 f). og art. 32) og kravene ved felles behandlingsansvar (art. 26), bruk av databehandler (art. 28) og overføring av personopplysninger til tredjeland og internasjonale organisasjoner (kapittel 5)
  • forskere og studenter oppfyller art. 5 d om riktighet, og art. 5 f om integritet og konfidensialitet

Sikts ansvar etter avtalen

Sikt skal sørge for å:

  • ha oppdatert dybdekunnskap om personvernlovgivning og gi uavhengige vurderinger
  • tilstrebe å bruke under 30 virkedager på å gi sine vurderinger. Vurderingstid vil være avhengig av at forsker/student gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon. Særlig komplekse prosjekt kan kreve lenger tid å få vurdert
  • gi generell veiledning til forsker/student om behandling av personopplysninger i forskning og forskningsetiske retningslinjer som ikke faller inn under De regionale etiske komitéene for medisinsk og helsefaglig forsknings (REK) mandat

Hva vurderer Sikt i innmeldte prosjekter?

Ifølge avtalene om personverntjenester for forskning skal vi gjøre en forhåndsvurdering av den planlagte behandlingen av personopplysninger som blir meldt til oss.

Basert på informasjonen som blir oppgitt i meldeskjema vurderer vi om behandlingen:

  1. faller inn under bestemmelsene i personvernlovverket eller reglene i helselovgivningen.
  2. har et lovlig grunnlag for å behandle personopplysningene.
  3. oppfyller prinsippene i personvernlovverket (lovlighet, rettferdighet og åpenhet, formålsbegrensning, dataminimering og lagringsbegrensning).
  4. oppfyller lovkrav til informasjonen til deltakerne og beskriver prosjektet på en forståelig måte.
  5. Ivaretar rettighetene til deltakerne (retten til innsyn, retting og sletting av opplysninger. I tillegg til retten til å be om dataportabilitet (kopi) hvis prosjektet er basert på deltakernes samtykke, eller retten til protest hvis prosjektet har et annet behandlingsgrunnlag. Vi vurderer også om prosjektet  eventuelt kan/bør unntas fra noen av rettighetene.
  6. trenger dispensasjon fra taushetsplikten for å kunne gjennomføre prosjektet
  7. trenger godkjenning av forskningsbiobank
  8. trenger en personvernkonsekvensvurdering (DPIA), og utfører i så fall denne i samråd med institusjonens ledelse og personvernombud, hvis institusjonen ber om bistand
  9. trenger forhåndsdrøfting med Datatilsynet, og utfører i så fall denne i samråd med institusjonens ledelse og personvernombud, hvis institusjonen ber om bistand

Dersom noe er uklart eller mangelfullt beskrevet i meldeskjemaet tar vi kontakt, slik at vi har nok informasjon til å kunne gjøre vurderingen.

Sikt gir kun generelle råd og veiledning om:

  • tekniske og organisatoriske tiltak for sikring av personopplysningene, men forutsetter at institusjonen tar ansvar for at personopplysninger behandles i samsvar med art. 32 og art. 5d) og f) og institusjonens retningslinjer for informasjonssikkerhet. 
  • deling av personopplysninger med felles behandlingsansvarlige eller databehandlere, og gir i så fall generelle råd om hvordan dette bør gjennomføres for at behandlingen av personopplysninger skjer i samsvar med personvernregelverket jf. art. 26, 28, 29
  • overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, og gir i så fall generelle råd om hvordan dette bør gjennomføres for å være i samsvar med personvernregleverket.

Varsling av brudd på personvernregelverket

Sikt varsle institusjonene uten ugrunnet opphold dersom vi i forbindelse med forhånds- og underveisvurdering og/eller ved avslutning av forskningsprosjekt mistenker eller oppdager brudd på personopplysningssikkerheten, eller andre brudd på personvernregelverket.

På anmodning fra institusjonene skal Sikt bistå i vurderingen av om brudd på person-opplysningssikkerheten er varslingspliktig til Datatilsynet og/eller de registrerte jf. art. 33-34.

Det er institusjonens ledelse som avgjør om, og på hvilken måte, slik varsling skal skje.