Meldeskjema
Se Sikt sine nettsider for mer informasjon dersom du er i tvil om du må sende inn meldeskjema.
Når ditt meldeskjema er ferdig vurdert av Sikt, fungerer dette som dokumentasjon på at prosjektet behandler personopplysninger på en lovlig måte. Sikt registrerer alle prosjekter de behandler for USN i en egen database, og ved eventuell inspeksjon fra Datatilsynet kan USN dokumentere håndtering av personopplysninger i student- og forskningsprosjekter.
Prosjektleder er ansvarlig for at prosjektet blir meldt til Sikt. Ved studentprosjekter har veileder dette ansvaret. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte, for å sikre at behandlingen er ferdig før innsamlingen av personopplysninger starter. Det er ikke lov å starte behandling av personopplysninger før du har mottatt vurdering fra Sikt.
- Ved vesentlige endringer må prosjektet også sende endringsmelding til Sikt [lenke til punkt om endringer]
Meldeplikten til Sikt gjelder også for studentprosjekter, både på bachelor- og masternivå. Student og veileder har også en plikt til å vurdere hvorvidt det faktisk er nødvendig å samle inn personopplysninger for å få gjennomført studentprosjektet.
P.S. Når man skal utforme et meldeskjema, er det også viktig å tenke på hvorvidt og hvordan man kan legge til rette for gjenbruk av forskningsdata. For eksempel, kan det være en god idé å bruke allmennhetens interesse som lovgrunnlag for behandling av personopplysninger i forskningsprosjekter, og lage en plan for gjenbruk og deling av data dersom det er mulig. For mer om dette, se DHP: Plan for forskningsdata.
Ressurser for meldeskjema
- Retningslinjer for behandling av personopplysninger i student- og forskerprosjekter ved USN.pdf
- Meldeskjema for personopplysninger i forskning (sikt.no)
- SIKT: Hvordan gjennomføre et prosjekt uten å behandle personopplysninger?
- SIKT: Samtykke eller allmennhetens interesse?
- Normen i Helsedirektoratet har lagt en veileder for informasjonssikkerhet og personvern i helseforskningsprosjekter, som det kan være nyttig å se på for avklaringer.
Sikkerhet og risikovurdering
Personopplysninger skal beskyttes. Ved utfylling av meldeskjemaet til Sikt, må du svare på hva du anser som risikabelt ved din behandling og oppbevaring av personopplysninger, og hva du har tenkt å gjøre for å redusere risikoen for at uvedkommende får tilgang til opplysningene.
Vanlige sikkerhetstiltak innebærer blant annet å oppbevare personopplysningene adskilt fra andre data, å anonymisere dataene fortløpende og å bruke adgangsbegrensede lagringsløsninger. Hvor sikre lagringsløsninger du bør bruke vil være avhengig av mengden og sensitiviteten til personopplysningene. For mer informasjon om USNs lagringsløsninger for forskningsdata, se biblioteket sine nettsider om forskningsdata.
I tillegg må du vurdere risiko forbundet med selve databehandlingen:
- Konfidensialitet: Hindre uvedkommende i å få tilgang på opplysningene.
- Integritet: Ingen utilsiktet eller uautorisert endring av opplysninger.
- Tilgjengelighet: Opplysningene kan ikke mistes og skal være tilgjengelig for de som er autorisert til å ha det
Personvernkonsekvensvurdering (DPIA)
Ved større forskningsprosjekter, kan det være nødvendig med en DPIA, det vil si en vurdering av personvernkonsekvenser. En DPIA skal gjennomføres i prosjekter som behandler personopplysninger der det er høy risiko for fysiske personers rettigheter og friheter. Dette kan for eksempel være prosjekter der det behandles sensitive personopplysninger i stor skala.
Vurderingen skal bidra til å forebygge uønskede hendelser eller mangler ved behandlingen av personopplysningene. Tiltak for å beskytte behandlingen av forskningsdataene skal stå i forhold til faktisk risiko identifisert gjennom risikovurderingen. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes følsomhet og prosjektets varighet.
Sikt sine personverntjenester gjør som regel vurderinger omkring dette og bistår i arbeidet, men behandlingsansvarlige tar beslutningene etter at personvernombudet har gitt sine kommentarer. Beslutningen dokumenteres og lastes opp som vedlegg til meldeskjemaet til Sikt.