Personvernulempe

All behandling av personopplysninger innebærer en viss personvernulempe. Her kan du lese mer om hvordan du kan vurdere ulempen for deltakerne i ditt forskningsprosjekt, og hva du kan gjøre for å redusere den.

I vurdering av personvernulempe er det ulike faktorer som spiller inn, blant annet:

  • Hvor mange opplysninger som registreres: per person og totalt i prosjektet
  • Hvor sensitive opplysningene er
  • Hvor godt dataene sikres
  • Hvor lenge dataene oppbevares
  • Hvor mange som har tilgang

I forkant av innmelding bør du tenke igjennom hvilke faktorer som bidrar til personvernulempe i ditt prosjekt, og om/hvilke tiltak du kan gjøre for å redusere denne ulempen.

For eksempel: Trenger du alle variablene du har oppgitt? Kan du unngå å registrere særlige kategorier? Kan det være mulig å anonymisere datamaterialet tidligere? Trenger hele prosjektgruppen tilgang til alt materialet? Kan det legges til noen ytterligere sikringstiltak?

Et prosjekt med høyere personvernulempe krever generelt en mer omfattende vurdering. Økt personvernulempe medfører også høyere krav til prosjektet og avveiningen som gjøres: At prosjektet er godt strukturert, at opplysningene lagres på en sikker måte osv.

Prosjekter med lav personvernulempe

Prosjekter med lav personvernulempe kan i noen tilfeller få raskere vurderingstid eller forenklet vurdering med vilkår. Raskere vurdering forutsetter at meldeskjemaet er godt fyllt ut, og at visse kriterier oppfyles:

  • Utvalget ikke inkluderer sårbare grupper (deriblant barn)
  • Det ikke blir registrert særlige kategorier av personopplysninger eller opplysninger om straffedommer og lovovertredelser
  • Varigheten/prosjektperioden er kort
  • Behandling av personopplysninger er basert på samtykke
  • Datakildene er intervju, spørreskjema eller observasjon.

I tillegg må informasjonsskrivet oppfylle lovkravene, og det ikke være andre uklare eller problematiske siden ved prosjektet.

Om informasjonsskrivet har noen mangler kan vi enkelte tilfeller sende en forenkler vurdering med vilkår. Det vil si at vi vurderer personvernulempen som lav og at behandlingen av personopplysninger er i samsvar med personvernlovverket forutsatt at det lastes opp et revidert informasjonsskriv i ettertid.

Prosjekter med høy personvernulempe

Om den planlagte behandlingen av personopplysninger vil innebære relativt høy risiko for de registrertes rettigheter og friheter må det gjennomføres en personvernkonsekvensvurdering (DPIA) jf. personvernforordningen art. 35.

En DPIA er en mer omfattende vurdering som inneholder:

  • en systematisk beskrivelse av den planlagte behandlingen av personopplysninger
  • vurdering av om behandlingsaktivitetene er nødvendige og står i rimelig forhold til formålet
  • analyse av risiko for de registrertes rettigheter og friheter
  • planlagte tiltak for å håndtere risikoene

Målet med en DPIA er å redusere personvernrisikoen i en slik grad at behandlingen kan gjennomføres i samsvar med personvernforordningen, uten forhåndsdrøfting med Datatilsynet. 

Prosjektansvarlig, rådgiver ved NSD og eventuelt andre involverte fyller ut en DPIA i felleskap. Deretter når vi er blitt enige om et utkast, oversendes DPIAen til ledelsen ved behandlingsansvarlig institusjon for godkjenning.

Det er behandlingsansvarlig institusjon (ved ledelsen) som bestemmer om personvernkonsekvensvurderingen er tilfredsstillende utført, og om personvernrisikoen er redusert til et akseptabelt nivå slik at behandlingen kan gjennomføres. Eller at det er nødvendig med forhåndsdrøfting.