Rutinar for behandling av personopplysningar i forsking

Vedtatt i Universitetets forskningsutvalg 15.11.18, UF-sak 54/18

Sjå også UiAs rutinar for studentoppgåver.

Del 1 Rutinar for behandling av personopplysningar i forsking og i studentoppgåver

1. Virkeområdet

Desse rutinane gjeld alle forskingsprosjekt og studentprosjekt ved Universitetet i Agder der innsamling, behandling og lagring av personopplysningar vert gjort. Rutinane gjeld både elektronisk og manuelt innsamla opplysningar. Den enkelte forskar, rettleiar og student pliktar å sette seg inn i kva omgrepet personopplysning omfattar.

2. Før oppstart av nye prosjekt

Forskar, rettleiar og student må sette seg inn i kva ansvar dei har for å sikre personopplysningane i prosjektet (sjå del 2 om ansvarsfordeling).

I tillegg bør følgjande spørsmål vurderast før oppstart:

• Kva er formålet med å samle inn og nytte personopplysningar i prosjektet?
• Kan prosjektet gjennomførast utan bruk av personopplysningar?
• Dersom ikkje, korleis er personopplysningane tenkt sikra mot uautorisert innsyn?
• Er det forskingsetisk forsvarleg å behandle personopplysningar i dette prosjektet?

Dersom det skal samlast inn personopplysningar i prosjektet, skal prosjektet meldast Sikt- Kunnskapssektorens tjenesteleverandør. Merk at dette gjeld uavhengig av om all rapportering frå prosjektet er anonym. 

3. Melding til Sikt – Kunnskapssektorens tjenesteleverandør

Universitetet i Agder nyttar Sikt som personvernteneste for forsking, og det er difor Sikt behandlar meldingane.

Prosjektleiar er ansvarleg for at melding vert sendt Sikt i god tid før datainnsamlinga startar. Datainnsamlinga kan ikkje starte før vurdering frå Sikt er motteke. Oppgåva med å fylle ut meldeskjema kan delegerast til prosjektmedarbeidar/student, men prosjektleiar skal delta i vurderinga av om prosjektet skal meldast.

Dersom det vert gjort endringar i prosjektopplegget undervegs, skal endringa meldast til Sikt. Tilbakemelding frå Sikt skal vere motteken før endringa vert sett i verk.

Dersom prosjektet omhandlar medisinsk eller helsefagleg forsking, er det i tillegg krav om forskingsetisk vurdering frå regional forskningsetisk komite (REK). Det er formålet med prosjektet som avgjer om behandlinga av personopplysningar fell innafor helseforskingslova sitt verkeområde. Med medisinsk og helsefagleg forsking meiner ein: "virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom".

UiA ligg under REK sør-øst.

4. Samarbeid

Dersom forskingsprosjektet/studentprosjektet vert gjennomført i samarbeid med andre institusjonar eller aktørar som skal ha tilgang til personopplysningane, må dei samarbeidande partane avgjere kven som har det formelle behandlingsansvaret. Samarbeidet skal skriftleggjerast i form av ein databehandlaravtale som blant anna omfattar ansvarsfordeling, ansvarsstruktur, kven som initierer prosjektet, bruk av data og eventuelt eigarskap.

5. Samtykke

Hovudregel: Det skal innhentast samtykke frå den registrerte dersom det vert innhenta personopplysningar om vedkommande. Dette gjeld sjølv om opplysningane vert samla inn frå andre kjelder. Hovudregelen om samtykke gjeld også personidentifiserande opplysningar som er gjort tilgjengeleg på internett (ref. NESH sin rettleiar for internettforsking).

Samtykket skal vere gitt frivillig, spesifikt, informert og utvetydig (sjå personvernforordninga artikkel 4). Eit samtykke kan trekkast tilbake når som helst så lenge prosjektet er i gang, utan at deltakaren må grunngje dette. Det vert stilt krav til kva informasjon den som samtykker skal få. Ein skal difor utforme eit informasjonsbrev med samtykkeerklæring som skal signerast (sjå Sikt for rettleiande mal til informasjons-/samtykkeskjema).

Unntak: Dersom forskingsprosjektet ikkje skal basere seg på samtykke frå den registrerte, må det i meldeskjemaet til Sikt gjerast greie for kvifor det er naudsynt å gjennomføre prosjektet utan samtykke. 

6. Teieplikt

Studentar, rettleiarar og/eller forskarar som behandlar personopplysningar er i utgangspunktet omfatta av teieplikta jf. forvaltningsloven § 13. Dersom personopplysningar skal publiserast eller delast med andre, må dette difor baserast på samtykke frå den registrerte.

7. Lyd-/bileteopptak

Opptak av lyd eller video der stemme eller bilete kan identifisere ein person, er berre tillate på einingar som ikkje har internett-tilkopling. Bruk av mobiltelefonar etc. er ikkje tillate. Opptaket skal snarast overførast til UiA sitt OneDrive-område, ev. TSD 2.0, i samsvar med avsnitta under, for så å slettast frå den eksterne eininga. UiA, ved Universitetsbiblioteket, har diktafonar til utlåns til bruk i forskingsprosjekt. Diktafonane er primært meint for studentar, og du må kunne framvise Sikt-godkjenning før utlån.

8. Lagring av personopplysningar

Lagring av personopplysningar er omtala i personvernforordninga artikkel 5. Det generelle kravet er at personopplysningar ikkje skal lagrast lenger enn det som er naudsynt for å gjennomføre formålet med behandlinga. Under arbeid med prosjektet skal prosjektansvarleg sjå til at data som inneheld personopplysningar vert lagra i samsvar med leiingssystemet for informasjonstryggleik ved UiA.

I forsking og studentoppgåver skal alle dokument eller filer innehaldande personopplysningar sikrast ved at dei eine og aleine vert lagra på UiA sine passord-beskytta serverar (Office 365 – OneDrive), eller hos tredjepart som UiA har en tilstrekkeleg dekkande databehandlaravtale med. PC skal ha brukar- og passord-avgrensa tilgang og tilgangen til alle dokument med personidentifiserande informasjon  skal reserverast dei som har behov for informasjonen. 

Dersom det er behov for å sende dokument som inneheld personopplysingar skal dokumenta krypterast før sending.

Ved behandling av sensitive forskingsdata skal tenesta frå UiO, TSD 2.0, nyttast. Alternativt kan lokal dedikert datamaskin utan tilknyting til nettverk brukast. Ta kontakt med UiA Hjelp (hjelp@uia.no) for meir informasjon og rådgjeving om behandling av sensitive data.

Fysisk materiale som lydopptak, bilete, film og liknande skal lagrast i låste skap på låste kontor eller anna låst rom.

Dersom personopplysningar skal lagrast etter at prosjektet er avslutta, skal ein informere om dette når ein melder prosjektet til Sikt. Prosjektleiar har ansvar for å gjere greie for kva som er formålet med vidare lagring og kva eventuelle ulemper det kan medføre for den som er registrert. Opplysningane skal lagrast i samsvar med UiA sine retningslinjer og dei vurderingane/ godkjenningane som gjeld.

9. Innsyn

Ei kvar førespurnad om innsyn i kva behandling av personopplysningar som er gjennomført i forskings- eller studentprosjektet, skal behandlast av prosjektleiar eller rettleiar, i samsvar med personvernforordninga artikkel 15.

Førespurnader om innsyn skal svarast på utan ugrunna opphald, og seinast innan 30 dagar.

10. Utlevering av personopplysningar

Personopplysningar i forskings- og studentprosjekt skal ikkje utleverast til utanforståande. Utlevering kan likevel skje dersom det er innhenta samtykke frå dei registrerte til dette, dersom Sikt har vurdert slik utlevering, og dersom den opplysningane skal utleverast til, har gyldig behandlingsgrunnlag for dette (det er meldt til Sikt, REK, eige personvernombod eller Datatilsynet). All utlevering må vere godkjent av UiA.

Dersom ein person eller verksemd utanfor UiA skal behandle personopplysningar på vegne av UiA (f. eks. innsamling/behandling av elektronisk spørreskjema, transkribering etc.), skal dette oppdraget avtaleregulerast ved at det vert inngått ein databehandlaravtale.

11. Sletting av personopplysningar

Ved prosjektslutt skal innsamla personopplysningar anonymiserast eller slettast, i samsvar med det som er meldt til Sikt. Sikt tek kontakt med forskar eller student ved prosjektslutt og ber om tilbakemelding på status for behandling av personopplysningar. Student/forskar pliktar å svare på denne førespurnaden. Manglande svar vert rapportert til UiA. Merk at det er skilnad mellom avidentifisering og anonymisering, og at det ved prosjektslutt er krav om anonymisering eller sletting.

Del 2 Ansvarsfordeling

Forskaren/prosjektleiar sitt ansvar: Prosjektleiar for kvart enkelt forskingsprosjekt, også ph.d.-kandidatar, har det daglege ansvar med å sjå til at rutinar og lovverk vert følgd. I samband med studentprosjekt er det den oppnemnte rettleiar som står ansvarleg. I ansvarsområdet inngår blant anna vurdering av meldingsbehov, innmelding til Sikt (Kunnskapssektorens tjenesteleverandør), sikring av informasjon og samtykke, sikring av personopplysningar og behandling av innsynskrav. Sletting/anonymisering av personopplysningar ved prosjektslutt er også prosjektleiars ansvar. I studentprosjekt er det rettleiar som skal følgje opp at studenten har sletta/anonymisert data i samsvar med det som er innmeldt til Sikt. 

Studenten sitt ansvar: Studenten har teieplikt, og har ansvar for å etterleve dei rutinar som UiA har vedteke for sikring av personopplysningar, samt etterleve prosjektgjennomføringa som den er meldt inn til Sikt. 

Fakultetet sitt ansvar: Fakultetsdirektøren skal sikre at den enkelte forskar eller rettleiar er informert om UiA sine rutinar for behandling av personopplysningar i forsking. Ved avvik skal fakultetet snarast melde frå via nettsida «Si fra», slik at skadeverknadene av avviket blir så lite som mogeleg. Sjå avviksrutinar for meir informasjon.

Overordna ansvar: Det er universitetsdirektøren som er behandlingsansvarleg ved UiA, og som dermed har det overordna ansvaret for all behandling av personopplysningar, administrative og forskingsrelaterte.

Det daglege behandlaransvaret ligg til Forskingsadministrativ avdeling (FAA). FAA svarer på spørsmål om personvern. FAA handterer også situasjonar der det oppstår avvik, i samarbeid med IT-avdelinga og fakulteta. FAA har ansvar for internkontrollrutinar av behandling av personopplysningar i forsking.

Del 3 Avviksrutine

Ved tekniske og formelle feil

Dersom det viser seg at registrerte personopplysningar inneheld feil, skal den som har det daglege ansvaret for prosjektet (prosjektleiar) sørgje for at dette snarast vert retta opp i. Dersom det ikkje er innhenta tillating til å behandle personopplysningar, skal den som har det daglege ansvaret for prosjektet sørgje for at dette snarast vert retta opp i, samt informere næraste leiar. Næraste leiar skal melde frå om avviket via nettsida «Si fra».

Ved personopplysningar på avvege

Ein kvar som behandlar personopplysningar på vegne av UiA skal, straks vedkommande har mistanke om at personopplysningar er på avvege, melde frå om dette til næraste leiar. For studentar vil dette vere rettleiar. Næraste leiar har ansvar for å melde frå til informasjonssikkerhetsansvarleg (CISO). Dette gjerast via nettsida «Si fra».

CISO sørgjer for at skadeavgrensande tiltak vert sett i gang og vil i samarbeid med fakultetet sikre at standardprosedyren for handtering av personopplysningar på avvege vert følgd. Universitetsdirektøren vil  vurdere hendinga og eventuelt kontakte NSD og/eller Datatilsynet.

Standardprosedyre ved handtering av personopplysningar på avvege:
Denne prosedyren gjeld for alle som behandlar personopplysningar på vegne av UiA. Når eit avvik er oppdaga, skal oppfølginga loggførast fortløpande, og saka handterast som beskriven i punkta under. Hovudansvarleg for handteringa står i parentes:

1. Kartlegg kva type opplysningar avviket omhandlar, kven dei registrerte er, samt kvar opplysningane stammar frå (prosjektleiar).
2. Uberettiga tilgang til opplysingar skal fjernast, opplysningar det ikkje er behov for, eller kopiar av slike, fysiske eller digitale, skal slettast (prosjektleiar).
3. Kartlegg kven som har fått tilgang til informasjonen via digitale loggar (prosjektleiar/IT-avdeling).
4. Informer dei registrerte. Som hovudregel skal alle registrerte varslast om hendinga. Dersom dette er vanskeleg, skal behandlingsansvarleg ta ei konkret vurdering av kva varsling som er naudsynt (fakultetsdirektør/behandlingsansvarleg).
5. Informasjon til andre: Behandlingsansvarleg kan i samråd med FAA og kommunikasjonsdirektør vurdere om tilsette, studentar eller media skal informerast.
6. Rapport: Etter hendinga skal prosjektleiar i samarbeid med næraste leiar og fakultetsdirektør skrive ein rapport som dokumenterer kva som har skjedd og kva tiltak som er gjort. Behandlingsansvarleg vurderer om rapporten skal sendast Datatilsynet.

Rutine ved manglande stadfesting av avslutta prosjekt

Som ei del av personverntenestene for UiA, følgjer Sikt opp at prosjekt vert avslutta som meldt. Dersom Sikt ikkje får tilbakemelding frå dagleg ansvarleg om at prosjektet er avslutta, overlet Sikt ansvaret til UiA for vidare oppfølging. Oppfølging vidare skal utførast på følgjande vis:

FAA (forskingsadministrativ avdeling) tek direkte kontakt med forskar og ber om skriftleg stadfesting på at data er sletta/anonymisert i samsvar med melding til Sikt.
Ved manglande tilbakemelding tek FAA kontakt med instituttleiar. Instituttleiar vert ansvarleg for at data vert sletta/anonymisert og at FAA får skriftleg tilbakemelding på at prosjektet er avslutta. Dette skal gjerast innan 3 mnd. etter at instituttleiar er informert om avviket. 

Internkontroll

Ifølgje personopplysningslova §14 skal den behandlingsansvarlege etablere og vedlikehalde planlagde og systematiske tiltak naudsynte for å oppfylle krava i lova. Tiltaka skal dokumenterast.  Det er universitetsdirektøren som er ansvarleg for internkontroll ved UiA. Forskingsadministrativ avdeling (FAA) vil, på vegne av universitetsdirektøren, sørgje for at internkontroll av behandling av personopplysningar i forsking vert gjennomført ved institusjonen. Fakultetsdirektøren er ansvarleg for at internkontrollen vert gjennomført på eige fakultet.  Internkontrolltiltaka skal baserast på årlege risikovurderingar, og vil endrast etter behov.