Personverntenester for forsking
Sikt (tidlegare NSD) tilbyr personverntenester for forsking til utdannings- og forskingsinstitusjonar. Vi har avtale med over 130 institusjonar. I avtalen bestemmer institusjonen sjølv kva type prosjekt som skal meldast til og vurderast av Sikt.
Meldeskjema for personopplysingar
Sjå kven som skal fylle ut meldeskjema, kva Sikt vurderer, og kor lang svartid må ein rekne med.
Personvernhandboka
Få rettleiing i kva omsyn du må ta i prosjektet, og sjå temasider for ulike metodar og forskingsområde.
Institusjonar med avtale
Sjå liste over institusjonane som har avtale med Sikt om personverntenester for forsking.
Personverntenestene frå Sikt hjelper forskingsinstitusjonar med å etterleve regelverket og skaffe lovleg tilgang til data med personopplysingar. Tenesta gir også tilgang på verktøy som gir institusjonen oversikt over deira prosjekt.
Når vi vurderer prosjekt, hjelper vi forskarar og studentar med å finne løysingar som passar til deira prosjekt, og med å sikre at behandlinga som dei har planlagt er i tråd med lovverket.
Personverntenester for forsking omfattar:
- Generell informasjon, opplæring og rådgiving om behandling av personopplysingar og varetaking av personvern i forsking.
- Vurdering av bruken av personopplysingar i innmelde forskingsprosjekt, både i forkant, undervegs og ved avslutning av forskingsprosjekt. Vurderingane blir gjort tilgjengelege for institusjonane i Institusjonsportalen.
- Handtering av førespurnader frå dei registrerte (deltakarar/personar som det blir behandla opplysningar om) i forskingsprosjekt.
- Varsling av, og eventuelt bistand til å handtere brot på personopplysingssikkerheita, eller andre brot på personvernregelverket som blir avdekt i alle delar av forskingsprosjektet, frå planlegging til gjennomføring og/eller avslutning.
- Personvernkonsekvensvurderingar (DPIA – Data Protection Impact Assessment).
- Førehandsdrøftingar og dialog med Datatilsynet.
- Utvikling og vedlikehald av system for innmeldingar og rådgiving, og oppdatert oversikt over innmelde forskingsprosjekt.
- Jamlege rapporteringar og statusmøte mellom leiinga i institusjonen og Sikt.
Verktøy som institusjonen får tilgang til i arbeidet med personvern:
Institusjonsportalen for leiing og administrasjon
Systemet gir institusjonen oversikt over innmelde prosjekt, og høve til å følgje opp prosjekt som har behov for det. Institusjonen kan sjå alle meldeskjema og dialogen mellom prosjektet og Sikt.
Meldeskjema for behandling av personopplysningar
Forskarar og studentar som skal behandle personopplysingar i forsking, melder inn prosjektet til Sikt. Meldeskjema er eit digitalt verktøy som vi bruker til å vurdere personvern og gi rettleiing i prosjektet.
Rollefordeling
Sikt utfører personverntenester for institusjonane i tråd med inngått avtale. Tenestene hjelper institusjonane i å dokumentere at behandlingar av personopplysingar til forskingsføremål skjer i samsvar med personvernlovverket.
Institusjonane er behandlingsansvarlege for all behandling av personopplysningar til forskingsformål.
Institusjonen sitt ansvar
I tråd med avtalen skal institusjonane sørge for at:
- Sikt sine personverntenester er kjende ved institusjonen.
- Forskarar og studentar søkjer råd hos Sikt om behandlingar av personopplysingar til forskingsføermål innanfor området til avtalen.
- Forskarar og studentar melder behandling av personopplysningar, der institusjonen er behandlingsansvarleg, til Sikt seinast 30 dagar før planlagt oppstart.
- Forskarar og studentar bruker Sikt sitt meldeskjema, legg ved all nødvendig dokumentasjon, kompletterer meldeskjema dersom Sikt etterspør dette og ventar på vurdering frå Sikt før dei startar behandlinga.
- Forskarar og studentar får rettleiing slik at behandlinga oppfyller krava til sikkerheit i art. 5 d), art. 5 f). og art. 32), og krava ved felles behandlingsansvar (art. 26), bruk av databehandlar (art. 28) og overføring av personopplysingar til tredjeland og internasjonale organisasjonar (kapittel 5).
- Forskarar og studentar oppfyller art. 5 d) om riktigheit, og art. 5 f) om integritet og konfidensialitet.
Sikt sitt ansvar
I tråd med avtalen skal Sikt sørge for å:
- Ha oppdatert djupnekunnskap om personvernlovgivinga og gi uavhengige vurderingar.
- Ha som mål å bruke under 30 vyrkedagar på å gi våre vurderingar. Vurderingstida vil vere avhengig av at forskar/student gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon. Særleg komplekse prosjekt kan ta lengre tid å få vurdert.
- Gi generell rettleiing til forskar/student om behandling av personopplysingar i forsking.
Kva vurderer Sikt i prosjekta?
Ifølgje avtalen om personverntenester for forsking skal Sikt gjere ei førehandsvurdering av den planlagde behandlinga av personopplysingar, slik den er meld til oss.
Basert på informasjonen som blir gitt i meldeskjema vurderer vi om behandlinga:
- er omfatta av personvern- og helselovgivinga.
- har eit lovleg behandlingsgrunnlag.
- oppfyller prinsippa om lovlegheit, rettferd og openheit, føremålsavgrensing, dataminimering og lagringsavgrensing i personlovverket.
- oppfyller lovkrava til informasjon og skildrar prosjektet på ein forståeleg måte.
- legg til rette for å oppfylle dei registrerte sine rettar (retten til innsyn, retting og sletting av opplysingar, i tillegg til retten til å be om dataportabilitet (kopi) dersom prosjektet er basert på samtykke, eller retten til protest dersom prosjektet har eit anna behandlingsgrunnlag). Vi vurderer også om det er råd å gjere unntak frå rettar.
- krev at det må innhentast dispensasjon frå teieplikta.
Dersom noko er uklart eller mangelfullt forklart i meldeskjemaet, tek vi kontakt med innmeldar og ber om meir informasjon før vi gir vår vurdering.
Sikt gir berre generelle råd og rettleiing om:
- Tekniske og organisatoriske tiltak for sikring av personopplysingane. Vi føreset at institusjonen tar ansvar for at personopplysingar blir behandla i samsvar med art. 32 og art. 5d) og f), og med institusjonen sine eigne retningslinjer for informasjonssikkerheit
- Deling av personopplysingar med felles behandlingsansvarlege eller databehandlarar. I slike tilfelle gir vi generelle råd om korleis behandlinga av personopplysingar kan skje i samsvar med personvernlovverket jf. art. 26, 28 og 29.
- Overføring av personopplysingar til tredjeland eller internasjonale organisasjonar. I slike tilfelle gir vi generelle råd om korleis overføringa bør gjennomførast for å vere i samsvar med personvernlovverket, jf. kap. V.
Varsling av brot på personvernlovverket
Sikt varslar institusjonane, utan ugrunna opphald, dersom vi i samband med førehands- og undervegsvurdering og/eller ved avslutning av forskingsprosjekt mistenker eller oppdagar brot på personopplysingssikkerheita eller andre brot på personvernlovverket.
På oppmoding frå institusjonen skal Sikt hjelpe til i vurderinga av om brot på person-opplysingssikkerheita må meldast til Datatilsynet og/eller til dei registrerte jf. art. 33-34.
Det er institusjonsleiinga som avgjer om, og på kva måte, slik melding skal skje.
Produkt- og tenestevilkår
Produkt- og tenestevilkår for rammeavtale mellom Sikt (leverandør), org. nr. 919477822, og Verksemda (kunden). Kunden blir omtalt som «Institusjonen» i desse produkt- og tenestevilkåra.
Føresetnader
Føresetnadene for tenesta er gitt i tre hovudavtalar:
- Avtale om personverntenester i forsking med UHR
- Avtale om personverntenester i forsking med andre institusjonar utanfor UHR
- Avtale om personvernombod
Avtalane har ulike modellar for finansiering.
Plikter
Kontaktperson:
- Institusjonen forpliktar seg til å utnemne ein fast kontaktperson for personverntenesta
- Kontaktpersonen skal ha det daglege ansvaret for samarbeidet med Sikt om personverntenester.
- Institusjonen er ansvarleg for å halde informasjon om kontaktperson oppdatert
Administrator:
- Institusjonen forpliktar seg til å utnemne ein administrator for tilgang til Institusjonsportalen.
- Institusjonen er ansvarleg for å halde tilgangslista oppdatert.
Periodiske møte:
- Institusjonen og Sikt sine personverntenester er gjensidig forplikta til å ha eitt årleg møte i tidsrommet januar–mars, der personverntenestene legg fram status for Institusjonen sine behandlingar av personopplysingar i forskingsprosjekt.
Servicenivå
Tenesta har Servicenivå 2. Servicenivået skildrar:
- kontaktpunkt og respons- og svartider ved behov for support og for å melde feil.
- eventuell varsling ved feil og planlagt arbeid
Særskilt for personverntenestene
Spørsmål om eksisterande meldeskjema: Brukarane kan sende melding via minforskning.sikt.no. Brukarane kan også chatte med oss på kvardagar mellom 12 og 14 (utanom onsdagar).
Databehandling, personvern, sikkerheit
Institusjonen har eit sjølvstendig ansvar for å sørge for tilfredsstillande informasjonssikkerheit ved eigen bruk av tenesta. Dette følgjer mellom anna av eForvaltningsforskriften og personopplysningsloven. Det inneber at verksemda skal vurdere risiko for brot på sikkerheita og setje i verk nødvendige sikringstiltak for å beskytte konfidensialitet, integritet og tilgjengelegheit. Vurdering og iverksetting av nødvendige sikringstiltak skal skje innanfor ramma av verksemda sitt leiingssystem for informasjonssikkerheit.
Det skal inngåast ein databehandlaravtale før tenesta blir tatt i bruk. Informasjon om handtering av sikkerheit og personvern i tenesta er nærare skildra i databehandlaravtalen.
Institusjonen bør gjennomføre ei risiko- og sårbarheitsvurdering (ROS) for tenesta. Sikt kan hjelpe til med malar og eventuelt rådgiving i samband med slik vurdering.
Vederlag, kostnadar, økonomi
Avtalen gjennom UHR er regulert av ein felles avtale med sektoren om grunnlaget for utrekninga, og ein eigen avtale med kvar enkelt institusjon. Tenesta blir fakturert gjennom ei årleg tenesteavgift (basis) som blir rekna ut frå talet på vitskaplege årsverk (FTE) i verksemda. Første fakturering tar omsyn til når på året kunden inngår avtale om å nytte tenesta. Det blir også fakturert på etterskot kvart kvartal for talet på innsende prosjekt frå institusjonen.
Personverntenester for andre institusjonar blir fakturert ein gong kvart år, i byrjinga av året. Då blir det betalt ei basisavgift som er lik for alle og ein prosjektpris per meldeskjema. Dei betaler meir for personvernkonsekvensvurderinger (DPIA). Første fakturering vil ta omsyn til når på året kunden inngår avtale om å bruke tenesta.
Varigheit og oppseiing
Avtalan gjeld frå datoen den er signert og inntil avtalen blir sagt opp av ein av partane. Avtalen kan seiast opp med seks månaders skriftleg varsel. I oppseiingstida kan kunden/institusjonen sjølv hente ut sine data.