Personverntjenester for forskning

Sikt (tidligere NSD) tilbyr personverntjenester for forskning til utdannings- og forskningsinstitusjoner. Vi har avtale med over 130 institusjoner, og i avtalen bestemmer insitusjonen selv hvilke type prosjekter som skal meldes til og vurderes av Sikt.  

Tjenestene for personvern i forskning skal bistå ansatte, studenter og ledelsen ved utdannings- og forskningsinstitusjoner med å etterleve personvernlovverket i forskningsprosjekter

Personverntjenestene fra Sikt bistår forskningsinstitusjoner med å sikre etterlevelse av personvernregelverket og skaffe lovlig tilgang til persondata.

Vi hjelper forskere og studenter med å finne løsninger som passer til prosjektet, og med å sikre at planlagt behandling er i tråd med lovverket, og tilbyr verktøy for institusjonen som gir oversikt over prosjektene.

Personverntjenester for forskning omfatter:

  • Generell informasjon, opplæring og rådgivning om behandling av personopplysninger og ivaretakelse av personvern i forskning 
  • Vurdering av bruk av personopplysninger i innmeldte forskningsprosjekt, både i forkant, underveis og ved avslutning av forskningsprosjekt. Vurderingene gjøres tilgjengelige for institusjonene i meldingsarkivet
  • Håndtering av henvendelser fra registrerte (deltakere) i forskningsprosjekt 
  • Varsling av og eventuelt bistand for å håndtere brudd på personopplysningssikkerheten og andre brudd på personvernregelverket som avdekkes i alle deler av forskningsprosjektets planlegging, gjennomføring og/eller avslutning 
  • Personvernkonsekvensvurderinger (Data Protection Impact Assessment - DPIA). 
  • Forhåndsdrøftinger og dialog med Datatilsynet
  • Utvikling og vedlikehold av systemer for innmeldinger og rådgivning, og oppdatert meldingsarkiv over forskningsprosjektene
  • Jevnlige rapportering og statusmøter mellom institusjonens ledelse og Sikt

Verktøy som institusjonen får tilgang til i arbeidet med personvern:

Rollefordeling

Sikt utfører personverntjenester for institusjonene i tråd med inngått avtale. Tjenestene bistår institusjonene i å skape etterlevelse av og dokumentasjon på at behandlinger av personopplysninger til forskningsformål skjer i samsvar med personvernlovverket. 

Institusjonene er behandlingsansvarlige for all behandling av personopplysninger til forskningsformål. 

Institusjonenes ansvar  

I tråd med avtalen skal institusjonene sørge for at: 

  • Sikts personverntjenester er kjent ved institusjonen, 
  • Forskere og studenter søker råd hos Sikt om behandlinger av personopplysninger til forskningsformål innenfor avtalens område, 
  • Forskere og studenter melder behandling av personopplysninger, der institusjonen er behandlingsansvarlig, til Sikt senest 30 dager før planlagt oppstart, 
  • Forskere og studenter bruker Sikts meldeskjema, legger ved all nødvendig dokumentasjon, kompletterer meldeskjema dersom Sikt etterspør dette, og avventer Sikts vurderinger før oppstart. 
  • Forskere og studenter får veiledning slik at behandlingen oppfyller kravene til sikkerhet i art. 5 d), art. 5 f). og art. 32) og kravene ved felles behandlingsansvar (art. 26), bruk av databehandler (art. 28) og overføring av personopplysninger til tredjeland og internasjonale organisasjoner (kapittel 5) 
  • Forskere og studenter oppfyller art. 5 d om riktighet, og art. 5 f om integritet og konfidensialitet 

Sikts ansvar  

I tråd med avtalen skal Sikt sørge for å: 

  • Ha oppdatert dybdekunnskap om personvernlovgivning og gi uavhengige vurderinger 
  • Tilstrebe å bruke under 30 virkedager på å gi sine vurderinger. Vurderingstid vil være avhengig av at forsker/student gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon. Særlig komplekse prosjekt kan kreve lenger tid å få vurdert 
  • Gi generell veiledning til forsker/student om behandling av personopplysninger i forskning og forskningsetiske retningslinjer som ikke faller inn under De regionale etiske komitéene for medisinsk og helsefaglig forsknings (REK) mandat 

Hva vurderer Sikt i innmeldte prosjekter? 

Ifølge avtalen om personverntjenester for forskning skal Sikt gjøre en forhåndsvurdering av den planlagte behandlingen av personopplysninger som blir meldt til oss. 

Basert på informasjonen som blir oppgitt i meldeskjema vurderer vi om behandlingen: 

  1. faller inn under bestemmelsene i personvernlovverket eller reglene i helselovgivningen
  1. har et lovlig grunnlag for å behandle personopplysningene 
  1. oppfyller prinsippene i personvernlovverket (lovlighet, rettferdighet og åpenhet, formålsbegrensning, dataminimering og lagringsbegrensning) 
  1. oppfyller lovkrav til informasjonen til deltakerne og beskriver prosjektet på en forståelig måte
  1. ivaretar rettighetene til deltakerne (retten til innsyn, retting og sletting av opplysninger, i tillegg til retten til å be om dataportabilitet (kopi) hvis prosjektet er basert på deltakernes samtykke, eller retten til protest hvis prosjektet har et annet behandlingsgrunnlag. Vi vurderer også om det i prosjektet kan/bør unntas fra noen av rettighetene
  1. medfører at det må innhentes dispensasjon fra taushetsplikten  
  1. trenger godkjenning av forskningsbiobank 
  1. trenger en personvernkonsekvensvurdering (DPIA), og utfører i så fall denne i samråd med institusjonens ledelse og personvernombud, hvis institusjonen ber om bistand 
  1. trenger forhåndsdrøfting med Datatilsynet, og utfører i så fall denne i samråd med institusjonens ledelse og personvernombud, hvis institusjonen ber om bistand

Dersom noe er uklart eller mangelfullt beskrevet i meldeskjemaet tar vi kontakt med innmelder, slik at vi har nok informasjon til å kunne gjøre vurderingen. 

Sikt gir kun generelle råd og veiledning om: 

  • tekniske og organisatoriske tiltak for sikring av personopplysningene, men forutsetter at institusjonen tar ansvar for at personopplysninger behandles i samsvar med art. 32 og art. 5d) og f) og institusjonens retningslinjer for informasjonssikkerhet
  • deling av personopplysninger med felles behandlingsansvarlige eller databehandlere, og gir i så fall generelle råd om hvordan dette bør gjennomføres for at behandlingen av personopplysninger skjer i samsvar med personvernregelverket jf. art. 26, 28, 29 
  • overføring av personopplysninger til tredjeland eller internasjonale organisasjoner, og gir i så fall generelle råd om hvordan dette bør gjennomføres for å være i samsvar med personvernregleverket
Les om typer vurderinger Sikt gir til forskningsprosjekter

Varsling av brudd på personvernregelverket 

Sikt varsler institusjonene uten ugrunnet opphold dersom vi i forbindelse med forhånds- og underveisvurdering og/eller ved avslutning av forskningsprosjekt mistenker eller oppdager brudd på personopplysningssikkerheten, eller andre brudd på personvernregelverket. 

På anmodning fra institusjonene skal Sikt bistå i vurderingen av om brudd på person-opplysningssikkerheten er varslingspliktig til Datatilsynet og/eller de registrerte jf. art. 33-34. 

Det er institusjonens ledelse som avgjør om, og på hvilken måte, slik varsling skal skje. 

Tjenestebetingelser for rammeavtale mellom Sikt (leverandør), org. nr. 919477822, og Virksomheten (kunden).  

Kunden omtales i disse tjenestebetingelsene som «Institusjonen» 

Forutsetninger

Forutsetningene for tjenesten er angitt i tre hovedavtaler:

  • Avtale om personverntjenester i forskning med UHR
  • Avtale om personverntjenester i forskning med andre institusjoner utenfor UHR
  • Avtale om personvernombud

Disse har alle ulike modeller for finansiering.

Forpliktelser 

Kontaktperson: 

  • Institusjonen forplikter å ha oppnevnt en fast kontaktperson for personverntjenesten  
  • Kontaktpersonen skal ha det daglige ansvaret for samarbeidet med Sikt om personverntjenester.  
  • Institusjonen er ansvarlig for å holde informasjon om kontaktperson oppdatert  

Administrator: 

  • Institusjonen forplikter å å ha oppnevnt en administrator for tilgang til meldingsarkivet.  
  • Institusjonen er ansvarlig for å holde tilgangslisten oppdatert. 

Periodiske møter 

  • Institusjonen og Sikts personverntjenester er gjensidig forpliktet til ett årlig møte i tidsrommet januar - mars, der personverntjenester legger frem status for Institusjonens behandling av personopplysninger i forskningsprosjekt. 

 

Servicenivå 

 Tjenesten har Servicenivå 2. Servicenivået beskriver   

  • Kontaktpunkter og respons- og svartider tider ved behov for support og for å melde feil.  
  • Eventuell varsling ved feil og planlagt arbeid 

Særskilt for Personverntjenesten  

Spørsmål om eksisterende meldeskjema: Melding sendes via minside.nsd.no. Brukerne kan også chatte med oss på hverdager mellom 12 og 14.

Databehandling, personvern, sikkerhet  

Virksomheten har et selvstendig ansvar for å sørge for tilfredsstillende informasjonssikkerhet ved egen bruk av tjenesten. Dette følger blant annet av bestemmelsene i eForvaltningsforskriften og personopplysningsloven. Det innebærer at virksomheten skal vurdere risikoen for brudd på sikkerheten og iverksette nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet. Vurdering og iverksetting av nødvendige sikringstiltak skal skje innenfor rammen av virksomhetens ledelsessystem for informasjonssikkerhet. 

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen. 

Det bør gjennomføres en risiko- og sårbarhetsvurdering (ROS) for tjenesten hos virksomheten. Sikt kan bistå med maler og eventuelt rådgivning i forbindelse med dette.  

Vederlag, kostnader, økonomi 

Avtalen gjennom UHR er regulert av en felles avtale med sektoren om grunnlaget for beregningen og en egen avtale med hver enkelt institusjon. Tjenesten faktureres gjennom en årlig tjenesteavgift (basis) som beregnes ut fra antall vitenskapelige årsverk (FTE) ved virksomheten. Første fakturering vil ta hensyn til når på året kunden inngår avtale om å benytte tjenesten. Det faktureres også etterskuddsvis hvert kvartal for antall innsendte prosjekter fra institusjonen.  

Personverntjenester for andre institusjoner faktureres en gang hvert år, i begynnelsen av året. Da blir det betalt en baisiavgift som er lik for alle og en prosjektpris per meldeskjema. De betaler mer for personvernkosekvensvurderinger (DPIA). Første fakturering vil ta hensyn til når på året kunden inngår avtale om å benytte tjenesten. 

Varighet, oppsigelse 

Avtalene gjelder fra undertegningsdato og inntil den sies opp av en av partene. Avtalen kan sies opp med seks måneders skriftlig varsel. I oppsigelsestiden kan kunden/institusjonen selv hente ut sine data.