Rutiner for forskning som behandler personopplysninger

Det er viktig å avklare formålet med forskningsprosjektet før oppstart, fordi formålet styrer hvilke regelverk og fremgangsmåte som gjelder.

Prosjektleder skal avklare formålet med prosjektet, og hvilke fremgangsmåter som gjelder ut fra formålet med prosjektet.

Prosjektleder skal vurdere om prosjektet gjelder medisinsk- og helsefaglig forskning og omfattes av helseforskningsloven. Forskning på mennesker og helseopplysninger som har til formål å skaffe til veie ny kunnskap om helse og sykdom, trenger etisk forhåndsgodkjenning fra REK. Er du usikker på om prosjektet omfattes av helseforskningsloven, kan du be REK om en fremleggingsvurdering.

Les mer om å søke REK på rekportalen.no

Prosjektleder skal gjøre seg kjent med gjeldende forskningsetiske retningslinjer for det aktuelle fagområdet.

Les gjeldende forskningsetiske retningslinjer på forskningsetikk.no

Hovedregelen er at forskning på mennesker skal være basert på et fritt, informert og gjenkallelig samtykke til deltakelse. Prosjektleder skal vurdere om prosjektets formål kan gjøre det nødvendig å fravike hovedregelen om samtykke til deltakelse. Hvis det ikke kan eller skal innhentes spesifikt samtykke fra deltakerne må dette kunne begrunnes ut fra formålet med forskningen og faglige metoder

• Hvis unntak fra samtykkekravet gjelder tilgang til helseopplysninger må det søkes dispensasjon fra helsepersonells taushetsplikt, jf helsepersonelloven § 29
• Hvis unntak fra samtykkekravet gjelder andre opplysninger omfattet av forvaltningens taushetsplikt må det søkes vedkommende forvaltningsorgan om tilgang til opplysningene

Formål knyttet til forskning, utdanning og formidling er oppgaver som universitetet gjennomfører i allmennhetens interesse, i henhold til formålsbestemmelsen i universitetet- og høyskoleloven og institusjonens samfunnsoppdrag

Det rettslige grunnlaget for å behandle personopplysninger vil derfor alltid være at behandlingen av personopplysninger er nødvendig for å utføre en oppgave i allmennhetens interesse

Det som må vurderes er om personopplysningene som skal behandles er nødvendige, dvs relevante og hensiktsmessige, i forbindelse med det konkrete forskningsformålet

Vær oppmerksom på at et forskningsetisk samtykke til deltakelse er noe annet enn samtykke som et rettslig grunnlag etter personvernregelverket. Et juridisk samtykke er lite egnet for formål knyttet til forskning, utdanning og formidling, ettersom det sjelden vil oppfylle de strenge kravene i GDPR, og gir ikke mulighet for å ivareta de særlige behovene til forskningsformål, eller åpner for de særlige unntakene i personvernregelverket

Prosjektleder skal sørge for at de grunnleggende prinsippende for behandling av personopplysninger er ivaretatt, herunder at behandlingen må ha behandlingsgrunnlag i personvernforordningen og behandlingen må være omfattet av åpenhet og rettferdighet overfor forskningsdeltakerne.

Rettslig grunnlag (lovhjemmel) for behandling av personopplysninger som er nødvendig for formål knyttet til vitenskapelig forskning vanligvis være personvernforordningens artikkel 6 (1) e) nødvendig for å utføre en oppgave i allmennhetens interesse. Supplerende grunnlag i nasjonal lovgivning er personpplysningsloven § 8, nødvendig for formål knyttet til vitenskapelig forskning. 

Behandling av særlige kategorier (sensitive) personopplysninger må oppfylle et av vilkårene i artikkel 9. For vitenskapelig forskning vil dette vanligvis være artikkel 9(2) j) nødvendig for formål knyttet til vitenskapelig forskning.  

Prosjektleder må i tillegg sørge for at forskningsprosjektet er omfattet av nødvendige garantier for å ivareta deltakernes integritet og velferd, jf. artikkel 89 nr. 1, herunder at :

• prosjektet utføres i samsvar med forskningsetiske normer og retningslinjer, herunder at deltakelse som hovedregel er basert på frivillig samtykke
• det er sikres at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes, herunder pseudonymisering
• at informasjonssikkerhet er ivaretatt, herunder sikker håndtering, lagring og utlevering av personopplysninger

For at UiB skal kunne ivareta sine plikter som behandlingsansvarlig og forskningsansvarlig, må prosjektleder sørge for å registrere opplysninger om prosjektet i universitetets prosjektoversikt RETTE, og sikre at opplysningene til enhver tid er korrekte og oppdaterte.

Registrer prosjektet ditt i RETTE

Forsknings- og studentprosjekter hvor det behandles allminnelige personopplysninger, helseforskningsprosjekter og prosjekter hvor det allerede er gjennomført en personvernkonsekvensvurdering (DPIA), registreres direkte i RETTE. Se nærmere om rådføringsplikt nedenfor.

Slik oppretter du en personvernkonsekvensvurdering

Behandling av særlige kategorier personopplysninger (sensitive personopplysninger) for formål knyttet til vitenskapelig forskning har rådføringsplikt med personvernombud. Rådføringsplikten gjelder også ved behandling av opplysninger om straffedommer og lovovertredelser. Rådføringsplikten kan oppfylles ved at forsker henvender seg til Sikt for å søke råd om behandlingen av personopplysninger.

Personverntjenestene fra Sikt omfatter ikke vurdering av forskningsetiske problemstillinger, herunder metode, forsvarlighet, grunnlag for deltakelse i forskningen, innbefattet informasjonsskriv og samtykkeerklæringer, idet dette hører til universtetets ansvar etter forskningsetikkloven.   

Unntatt fra den særskilte rådføringsplikten for vitenskapelig forskning er også forskningsprosjekter som gjennomføres som følge av lovpålagte oppgaver, herunder kvalitetssikring og kvalitetsutviklingsprosjekter. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. 

Prosjektleder skal vurdere om et prosjekt som behandler alminnelige personopplysninger i forbindelse med vitenskapelig forskning, og er unntatt fra rådføringsplikt, likevel bør rådføres med personvernombud, eventuelt om det bør gjennomføres en personvernkonsekvensvurdering (DPIA). Dette kan særlige være aktuelt der prosjektet behandlinger opplysninger om sårbare grupper, som f.eks. barn og andre personer med nedsatt kompetanse til å samtykke til deltakelse.

Les mer om rådføringsplikt for sensitive personopplysninger i vitenskapelig forskning

Prosjektleder skal ved planleggingen av prosjektet vurdere om det bør gjennomføres en personvernkonsekvensvurdering etter personvernforordningen artikkel 35. Dette kan være aktuelt der det er sannsynlig at behandlingen kan medføre en høy personvernrisiko. 

Les mer om gjennomføring av personvernkonsekvensvurdering

UiB bruker Drafit som løsning for gjennomføring av personvernkonsekvensvurdering. 

Slik oppretter du en personvernkonsekvensvurdering i Draftit

Ved vurderingen om det bør gjennomføres en DPIA, skal prosjektleder søke råd hos institusjonens personvernombud, og personvernombudet skal involveres i gjennomføringen av personvernkonsekvensutredningen. 

Prosjektleder skal avklare behov for avtaler med samarbeidende forskere og forskningsinstitusjoner, herunder:

• avtale med prosjektmedarbeidere som ikke har et ansattforhold ved universitetet dersom de skal ha tilgang til universitetssystemer
• avtaler om deling av data innad i forskningsprosjektet
• overføring av data til tredjeland i samsvar med personvernforordningens bestemmelser

• Veileder skal alltid være prosjektansvarlig for studentoppgaver.
• Studenten må avklare studentoppgavens innretning med sin veileder med hensyn til metodevalg, forskningsetikk og ivaretakelse av deltakernes integritet.
• Studenter skal følge prosjektansvarligs veiledning og instruksjoner, signere eventuell taushetserklæring og gjennomføre nødvendig opplæring i informasjonssikkerhet.
• Studentoppgaver der det behandles personopplysninger skal registreres institusjonens oversikt over student- og forskningsprosjekter, RETTE. I RETTE har studenten rollen som prosjekteier og veilederen som er ansatt ved UiB som har rollen som prosjektansvarlig
• For studentoppgaver som gjennomføres i samarbeid med annen institusjon, f.eks helsetjenesten eller skoleverket, må studentens oppgaver avklares med prosjektansvarlig og samarbeidende virksomhet
• Studentprosjekter som defineres som kvalitetssikringsprosjekt i helsetjenesten følger bestemmelsene til samarbeidsinstitusjonen for gjennomføring av kvalitetssikringsprosjekter.
• Prosjektansvarlig skal sørge for at alminnelig rutiner for oppstart og gjennomføring av forskningsprosjekter følges så langt de passer.

Prosjektleders oppgaver

Prosjektleder skal

• avklare hvilke tillatelser prosjektet krever før behandling av personopplysninger kan starte.
• foreta en selvstendig vurdering av prosjektets forsvarlighet i samsvar med anerkjente forskningsetiske normer og retningslinjer.

          Mer om de anerkjente forskningsetiske retningslinjene på forskningsetikk.no

• sørge for at grunnleggende prinsipper om forskning på mennesker og personopplysninger er ivaretatt, herunder
  • lovlighet
  • informasjonsplikt
  • samtykke til deltakelse
• vurdere om det er nødvendig å gjennomføre en personvernkonsekvensvurdering (DPIA).

          Les mer om personvernkonsekvensvurdering

• gjennomføre eventuell rådføringsplikt med personvernombud. Ved rådføringspliktige prosjekter kan UiBs personvernombud bistå i vurderingen. Benytt UiBhjelp ved kontakt. Helseforskningsprosjekter er unntatt fra den særlige rådføringsplikten, med mindre de er omfattet av krav om personvernkonsekvensvurdering (DPIA).

         Les mer om rådføringsplikt med personvernombud

• holde behandlingsansvarlig orientert om prosjektet gjennom registrering i RETTE og sikre at opplysningene der er oppdaterte og korrekte.
  • Forskningsprosjekter som ikke er rådføringspliktige registreres direkte i RETTE.
  • Forsknings- og studentprosjekter som er godkjent av REK importeres direkte til RETTE.
• sørge for at det inngås nødvendige avtaler med samarbeidspartnere som regulerer blant annet forskernes rettigheter, plikter og ansvar overfor forskningsdeltakerne.

Prosjektleders oppgaver i helseforskningsprosjekter omfatter også:

• sørge for nødvendig forhåndsgodkjenning fra REK. Les mer om forhåndsgodkjenning fra REK på rekportalen.no
  • utarbeide en forskningsprotokoll
  • legge ved nødvendig dokumentasjon, herunder samarbeidsavtaler og informasjon til forskningsdeltakerne.
• For genforskningsprosjekter som har diagnostiske eller behandlingsmessige konsekvenser for deltakeren eller hvor opplysninger om den enkelte kan føres tilbake til vedkommende, må prosjektleder forsikre seg om at det foreligger godkjenning for den sykdom som skal undersøkes.
• holde forskningsansvarlig orientert om behandling av personopplysninger i prosjektet gjennom å fullføre registrering av prosjektet i RETTE og holde opplysningene oppdaterte og korrekte.

Les mer om prosjektregistrering i RETTE

Forskning på helseopplysninger (registerstudier)

For forskning på helseopplysninger (registerstudier), må det søkes dataansvarlig om tilgang til dataene og om nødvendig dispensasjon fra taushetsplikten.

Kliniske studier

Ved klinisk utprøving av legemidler må søkes om godkjenning fra Direktoratet for medisinske produkter (DMP). DMP er tilsynsmyndighet for klinisk utprøving av medisinsk utstyr. Dette kan gjøres parallelt med søknad til REK.

Les mer om søknad om klinisk utprøving av legemidler hos Direktoratet for medisinske produkter

Forskningssamarbeid med andre virksomheter

Dersom prosjektet skal gjennomføres i samarbeid med andre virksomheter, skal prosjektleder sikre at nødvendige avtaler kommer på plass. Samarbeidsavtaler må signeres av representant for forskningsansvarlig virksomhet med myndighet til å forplikte virksomheten.

Ved samarbeidsprosjekter mellom UiB og Helse Bergen skal prosjektleder:

• avklare ansvarsforhold og oppgaver i samarbeidsprosjekt, herunder hvilke institusjon som har rollen som prosjekteier og hvilke som er partner
• gjøre seg kjent med virksomhetenes sine rutiner for oppstart av forskningsprosjekter, herunder behandling av forskningsdata

Multisenterstudier etter helseforskningsloven

• Det skal bare være én prosjektleder i multisenterstudier. Det skal oppnevnes lokale prosjektkoordinatorer som har det koordinerende ansvaret i forhold til prosjektleder, samt lokal oppfølging av den forskningsansvarliges plikter.
• Prosjektleder skal sikre at nødvendig avtale om multisenterstudie kommer på plass.
• Prosjektleder skal koordinere aktivitetene i forskningsprosjektet og innhente forhåndsgodkjenning fra REK og andre relevante offentlige myndigheter. I søknaden skal det tydelig fremgå at studien er en multisenterstudie og hvilke andre forskningsansvarlige som deltar i studien
• Prosjektleder skal informere de andre forskningsansvarlige virksomhetene om prosjektet og sørge for at de har tilgang til informasjon som er nødvendig for å ivareta sine oppgaver i prosjektet.
• I internasjonale multisenterstudier skal det være én norsk prosjektleder for de deler som finner sted i Norge.

• Prosjektleder har generell plikt til å informere forskningsdeltakerne om behandlingen av deres personopplysninger.

Prosjekter basert på frivillig deltakelse

Deltakelse i forskningsprosjekter, herunder helseforskningsprosjekter, hvor personopplysninger ikke kan behandles anonymt, skal som hovedregel være basert på samtykke fra deltakerne.

Prosjektleder skal sørge for at samtykke er innhentet og dokumentert før datainnsamlingen begynner. Et samtykke til deltakelse skal være informert, frivillig, aktivt, uttrykkelig og dokumenterbart.

Prosjektleder skal utarbeide informasjonsskriv og samtykkeerklæring der det minimum skal fremgå

• Navn, adresse og logo til forskningsansvarlig og dennes eventuelle representant
• Formålet med forskningsprosjektet
• At det er frivillig å delta i forskningsprosjektet
• Mulige fordeler og ulemper ved å delta i studien (helseforskningsprosjekter)
• Hvor opplysningene hentes fra
• Hvordan opplysningene vil bli håndtert i studien
• Om opplysningene vil bli utlevert, og hvem som er mottaker
• Dato og versjonsnummer på samtykke- og informasjonsskrivet
• Annet som gjør forskningsdeltakeren i stand til å gjøre gjeldende sine rettigheter, f.eks. retten til å kreve innsyn, retting og sletting av opplysninger

Prosjektleder skal sørge for at eventuelle vilkår som REK eller andre godkjenningsmyndigheter (Statens legemiddelverk) med hensyn til utforming og innhold i informasjonsskriv og samtykkeerklæring oppfylles før rekrutteringen kan starte.

Prosjektleder skal sørge for at informasjonen er tilpasset målgruppen og at deltakerne har samtykkekompetanse til å delta. Muligheten til forståelse beror på faktorer som alder, art og omfang av personopplysninger, samt formålet med innhentingen. For umyndiggjorte skal vergen samtykke.

For forskning på mindreårige under 18 år, skal forsker som hovedregel innhente samtykke både fra foresatte og barnet selv. I noen tilfeller kan barn samtykke alene. I helseforskningsprosjekter følges den helsemessige myndighetsalder.

• Ved inklusjon av mindreårige må det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreåriges modenhet og erfaringsbakgrunn
• Ved inklusjon av mindreårige i helseforskning, under 16 år eller under 18 år ved legemsinngrep eller legemiddelutprøving, må det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreåriges modenhet og erfaringsbakgrunn

Prosjektleder skal sikre at forskningsdeltakerne ikke inkluderes i forskningsprosjektet før samtykke er dokumentert.

Finn og last ned REK sine maler for informasjonsskriv og samtykke på rekportalen.no

Bredt samtykke

I enkelte sammenhenger er det adgang til å innhente et bredt samtykke, hvor deltakerne samtykker til flere forskjellige forskningsprosjekter forutsatt at de hører inn under det samme definerte forskningsformål.

Unntak fra krav om samtykke

Dersom det er umulig eller uforholdsmessig vanskelig å innhente et forskningsetisk samtykke til deltakelse, kan det likevel være forskningsetisk forsvarlig å forske på mennesker og/eller personopplysninger uten et spesifikt samtykke fra hver enkelt deltaker. Prosjektleder må uansett ivareta ansvaret for å informere om formålet med prosjektet, se nedenfor. Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) godkjenner bruk av helseopplysninger og humant biologisk materiale i forskning uten samtykke. REK bestemmer hvordan slik informasjon kan gis. 

Dersom det er innvilget dispensasjon fra taushetsplikten og REK har bestemt at informasjon skal gis til forskningsdeltakerne, må dette gjøres før innsamling av data kan starte.

Særskilte former for samtykke:

• Ved forskning i kliniske nødssituasjoner kan samtykke innhentes i etterkant.
• Ved forskning som ikke kan gjennomføres på personer med samtykkekompetanse.

Informasjonsplikt

• Prosjektleder har generell plikt til  å sørge for at forskningsdeltakere er informert om behandlingen av deres personopplysninger.
• Informasjonsplikten gjelder også i prosjekter der datainnsamlingen foregår i en gruppe (f.eks deltakende observasjon) og det ikke samles inn direkte identifiserbare personopplysninger.
• Dersom og den grad det er umulig eller uforholdsessig vanskelilg å gi informasjon direkte til forskningsdeltakerne, skal prosjektleder sørge for at informasjon om prosjektet er gjort offentlig tilgjengelig, f.eks på en nettside.

Prosjektleder skal:

• sørge for at personopplysninger, og humant biobankmateriale, behandles forsvarlig og i henhold til UiBs retningslinjer.
• sørge for at dataene kun er tilgjengelig for de medarbeidere som skal delta i forskningsprosjektet.
• sørge for at dataene kun behandles i det tidsrom som er angitt i forskningsprotokollen og så lenge gyldig godkjenning fra REK foreligger, eller sluttdatoen satt av prosjektleder i RETTE. Oppbevaring ut over denne tidsperioden krever endringsmelding

Forsvarlig behandling av personopplysninger – informasjonssikkerhet

Prosjektleder skal sørge for at informasjon behandles i de løsninger UiB har godkjent, basert på en risikovurdring og klassifisering av informasjonsverdiene. 

Behandling og lagring skal skje i henhold til UiBs styringssystem for informasjonssikkerhet og personvern og UiB sin lagringsguide.

Gå til lagringsguiden

Ved UiB skal sensitive persondata i forskningsprosjekter som hovedregel lagres i SAFE, som er UiBs system for behandling av sensitive personopplysninger i forskningsprosjekter. Ovenstående plikt til å behandle data i UiBs systemer gjelder også ved bruk av private enheter, f.eks i studentoppgaver.

Les mer om SAFE

Prinsippet om dataminimering

Prosjektleder skal sørge for at det behandles minst mulig personidentifiserende opplysninger gjennom prosjektets levetid og etter avslutning.

Hovedregelen er at sensitive personopplysninger skal oppbevares avidentifisert. Det betyr at forskningsdata og identifiserende elementer som koblingsnøkkel skal lagres hver for seg.

Papirbaserte forskningsdata som ikke er anonymiserte skal lagres i avlåste arkiv hvor kun personell underlagt virksomhetens instruksjonsmyndighet har tilgang. Dersom slike data skal lagres på prosjektleders kontor, skal dette låses når det ikke er personell tilstede. Kravet er at det skal være to sperrer for tilgang til personidentifiserbare opplysninger.

Lagres både data og koblingsnøkkel digitalt, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret. Som hovedregel er det bare prosjektleder som skal ha tilgang til koblingsnøkkelen. Tilgang til koblingsnøkkelen for annet personell kan gis ved spesielle behov og i et avgrenset tidsrom, for eksempel for registrering av data.

Tilgangen til koblingsnøkkelen skal sterkt begrenses etter at datainnsamling og kvalitetssikring er fullført. Etter at datainnsamling og kvalitetssikring er fullført skal prosjektleder sørge for at det ikke er tilgang til koblingsnøkkelen for andre enn prosjektleder med mindre det begrunnes i særlige behov.

Prosjektleder kan etter endt datainnsamling bare bruke koblingsnøkkelen dersom hensikten er å:

• saksbehandle henvendelser etter rutiner beskrevet i rutinenen om Oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter
• kvalitetssikre data i den hensikt å rette uriktige registrerte eller mangelfulle personopplysninger
• gjennomføre sammenstilling av registre det eksplisitt er gitt tillatelse til
• utføre sine arbeidsoppgaver etter rutiner for forskningsprosjekter og helseforskningsprosjekter
• For oppbevaring etter avsluttet prosjekt, se rutiner for langtidsoppbevaring av forskningsdata

Tilgang til data

Prosjektleder skal sørge for at kun autoriserte personer kan få tilgang til forskningsdata, som prosjektleder, prosjektmedarbeidere og eksterne samarbeidende forskere.

Prosjektleder skal autorisere prosjektmedarbeidere som skal ha tilgang til avidentifiserte forskningsdata. Dersom en forskningsmedarbeider ikke er ansatt ved UiB, skal det inngås avtale med vedkommende før de får tilgang. En slik avtale sikrer taushetsplikt og at UiB har instruksjonsmyndighet over vedkommende i henhold til UiB sitt IKT-reglementet.

Les hele IKT-reglementet til UiB

For helseforskningsprosjekter må det sendes endringsmelding til REK dersom nye prosjektmedarbeidere skal ha tilgang til dataene. Se rutiner for endring av forskningsprosjekter for mer informasjon.

Prosjektleder skal ha oversikt over hvem som har tilgang til forskningsdataene i det enkelte prosjekt. Opplysningene skal alltid være tilgjengelig for behandlingsansvarlig eller forskningsansvarlig virksomhet.

Deltakelse i forskningsprosjekter er som hovedregel basert på frivillighet og dokumentert samtykke. Enhver person som er inkludert i forskning kan kreve innsyn, retting av uriktige registrerte personopplysninger, trekke seg fra videre deltakelse eller tilbakekalle avgitt samtykke, herunder sletting av personopplysninger. Det er også mulig å reservere seg mot videre behandling av opplysninger eller biobankmateriale. Deltakere trenger ikke å oppgi begrunnelse for å be om innsyn, retting eller sletting. Prosjektleder skal så langt det er mulig sikre at forskningsdeltakernes rettigheter kan oppfylles i forskningsprosjekter der personopplysninger behandles. 

For at forskningsdeltakerne skal kunne utøve sine rettigeheter skal prosjektelder sørge for at deltakerne har nødvendig informasjon. Se rutiner for informasjonsplikt og samtykke for mer informasjon.

Prosjektleder sine oppgaver

Prosjektleder skal på eget initiativ rette uriktige opplysninger, oppdatere foreldede opplysninger og supplere ufullstendige opplysninger.

Prosjektleder skal slette eller endre uriktige og foreldede opplysninger på en måte som gjør at endringen kan spores. Fullstendig sletting av uriktige og foreldede opplysninger kan bare skje dersom det blir krevd av noen som opplysningene kan få direkte innvirkning på, og slettingen ikke får avgjørende innvirkning på forskningsresultatenes validitet eller representativitet.

Prosjektleder skal sørge for at krav om innsyn, retting eller sletting besvares fortløpende og uten ugrunnet opphold, senest innen 30 dager etter at virksomheten mottok henvendelsen. Henvendelser om innsyn som ikke skjer skriftlig, skal nedtegnes og dateres, og navn på forskningsdeltaker eller verge skal noteres. Forskningsdeltakeren har rett til innsyn i opplysninger om seg selv, samt sikkerhetstiltakene ved behandlingen av opplysningene så langt innsyn ikke svekker sikkerheten. Ved innsyn skal informasjonen fremstilles på en måte som er tilpasset den enkeltes evner og behov

Dersom forskningsdeltaker ikke lenger ønsker å delta i forskningsprosjektet, må det avklares om forskningen på forskningsdeltakerens biologiske materiale, helseopplysninger eller andre personopplysninger må opphøre, altså at samtykket trekkes tilbake, eller om forskningsdeltaker bare ikke ønsker å delta videre i prosjektet.

Prosjektlederen skal vurdere hvorvidt innsyn skal begrenses eller avslås med en medisinsk eller annen begrunnelse. Dersom prosjektleder er i tvil, skal prosjektleder kontakte behandlingsansvarlig eller forskningsansvarlig.

Hvis krav om innsyn, retting eller sletting ikke kan etterkommes, må det begrunnes i de særlige unntakene som gjelder for vitenskapelig forskning. Ved avslag på krav om innsyn, retting og sletting, må forskningsdeltakeren få informasjon om at avgjørelsen kan klages inn tin Regional komité for medisinsk og helsefaglig forskningsetikk (REK).

Prosjektleder skal sørge for at henvendelser og svar på henvendelser kan dokumenteres.

Behandlingen av personopplysninger må stemme med opplysningene prosjektleder har registrert og bekreftet i RETTE, og med det som er angitt i forskningsprotokollen godkjent av REK for helseforskningsprosjekter.

Prosjektleder skal vurdere fortløpende om det er endringer i prosjektets gjennomføring som har forskningsetiske implikasjoner eller personvernmessige konsekvenser. Det kan for eksempel være vesentlige endringer i forskningsprosjektets formål, metode, tidsløp eller organisering. Dersom endringen av forskningsprosjektet er så stor at det må anses å være et helt nytt prosjekt, må prosjektleder melde det som et nytt prosjekt.

For medisinsk og helsefaglig forskning

Ved vesentlige endringer i forskningsprosjektets formål, metode, tidsløp eller organisering, herunder nye prosjektmedarbeidere, eller ved andre endringer i prosjektopplegget som lå til grunn for REK sin vurdering, må dere sende endringsmelding til REK og eventuelt til Direktoratet for medisinske produkter.  (DMP). Den omsøkte endringen må være godkjent av REK.

Send endringsmelding til REK på rekportalen.no

Prosjektleder må sørge for å oppdatere opplysningene om prosjektet i  RETTE. Prosjektleder må også vurdere om endringene vil medføre en endret personvernrisiko som gjør at det bør gjennomføres en ny eller oppdatere en eksisterende personvernkonsekvensvurdering. Se rutiner for vurdering av behov for å gjennomøre personvernkonsekvensvurdering for mer informasjon om dette. 

Prosjektleder skal vurdere å oppdatere informasjonen til forskningsdeltakerne eller de registrerte. Se rutiner for informasjonsplikt og samtykke for mer informasjon om dette.

Behandling av personopplysninger i forskningsprosjekter er av midlertidig art. Ved prosjektavslutning skal personopplysningene som hovedregel anonymiseres eller slettes, med mindre forskningsdataene skal oppbevares for etterkontroll eller framtidige forskningsformål.

Prosjektleder skal ta stilling til om forskningsdataene skal anonymiseres, slettes eller langtidsoppbevares, basert på godkjenningen fra REK eller forpliktelser som forskeren er pålagt, f.eks som følge av avtale

• dersom behandling av forskningsdataene har vært utført avidentifisert, vil anonymisering som hovedregel foregå ved at koblingsnøkkelen slettes.
• hvis behandlingen ikke har vært utført avidentifisert, må alle direkte og indirekte personidentifiserbare opplysninger fjernes fra forskningsdataene for at de skal blir anonyme, se veileder fra Datatilsynet
• krav om sletting/anonymisering gjelder all informasjon der forskningsdeltakerens identitet direkte eller indirekte fremkommer, inklusiv signerte samtykkeerklæringer.

Prosjektleder skal sørge for at eventuelle kopier av forskningsdataene blir håndtert på tilsvarende måte

For medisinske og helsefaglige forskningsprosjekter

Prosjektleder skal sende sluttmelding til REK senest 6 måneder etter godkjenningsperioden er utløpt, i henhold til helseforskningsloven § 12. Prosjektleder skal overholde eventuelle krav eller vilkår som REK stiller til innholdet i sluttmeldingen. Prosjektleder skal også sikre at helseopplysningene ikke oppbevares ut over de 5 årene som REK godkjenner for nødvendig etterkontroll etter innsendt sluttmelding 

Les hele helseforskningsloven på lovdata.no 

Ved behov for fortsatt oppbevaring av forskningsdata etter prosjektavslutning, se rutiner for langtidsoppbevaring av forskningsdata.

Dersom forskningsprosjektet er finansiert med midler fra EU eller Norges Forskningsråd, er forskningsansvarlig forpliktet til å lagre dataene i henholdsvis 5 og 10 år. Prosjektleder må i samarbeid med forskningsansvarlig, som normalt er fra instituttet, ta stilling til hvor og hvordan denne lagringen kan gjennomføres.

Forskningsdata skal som hovedregel ikke oppbevares lenger enn det som er nødvendig for å gjennomføre prosjektet. Opplysningene skal da normalt slettes, men en kopi av fullstendig anonymiserte data kan likevel beholdes.

Etter universitets- og høyskoleloven § 1-5 (6), plikter hver enkelt forsker å sørge for at det relevante forskningsgrunnlaget kan stilles til rådighet i overensstemmelse med god skikk på vedkommende fagområde. Det kan derfor være oppbevaringsplikt for forskningsdataene av hensyn til etterkontroll og tilsyn.

I noen tilfeller bør kopi oppbevares av hensyn til OECD-retningslinjer for tilgjengeliggjøring av forskningsdata.

I andre sammenhenger vil det være ønskelig å arkivere forskningsdataene i personidentifiserbar form for å ha muligheten til senere å kunne gjennomføre oppfølgingsstudier eller for å undersøke relaterte forskningsspørsmål basert på samme datautvalg og grunnlag. Dette må i så fall være avklart med personvernombudet, eller godkjent av den Regionale komitée for medisinsk og helsefaglig forskningsetikk (REK).

Når prosjektet er avsluttet skal prosjektleder ta stilling til hvorvidt forskningsdataene fortsatt kan eller skal oppbevares. Personopplysninger kan oppbevares til historiske, vitenskapelige og statistiske formål selv om de ikke er nødvendige lenger etter sitt opprinnelige formål. Forutsetningen er at samfunnets interesse i oppbevaring klart overstiger den registrertes interesse i personvern. Prosjektleder må dokumentere denne vurderingen, og sende dokumentasjonen til instituttleder og personvernombudet. 

Forskningsprosjekter etter personopplysningsloven:

Oppbevaringsplikt:

• Kontraktsbestemmelser kan stille krav om lagringstid utover prosjektperioden. Dersom forskningsprosjektet er finansiert med midler fra EU eller Norges Forskningsråd, er man forpliktet til å lagre dataene i hhv. 5 og 10 år. Tilsvarende krav kan foreligge i andre prosjektkontrakter. Prosjektleder må i samarbeid med prosjekteier (normalt instituttet) ta stilling til hvordan denne lagringen kan gjennomføres
• Dersom tilsynsmyndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere er under granskning i Uredelighetsutvalget for forskning, må kildedata eller andre forskningsdata og dokumenter ikke slettes.
• Enkelte opplysninger innsamlet i forbindelse med forskningsprosjekter kan være oppbevaringspliktige etter arkivloven. Fortsatt oppbevaring etter dette kriteriet krever at opplysningene kun lagres i virksomhetens saksarkiv.

Hvis forskningsdataene ønskes brukt til oppfølgingsprosjekt eller til andre formål:

• Når det ikke foreligger oppbevaringsplikt i medhold av lov eller forskrift, kan fortsatt oppbevaring av personopplysninger til forskningsformål kun skje etter godkjenning fra personvernombudet.
• Dersom forskningsdataene skal oppbevares med tanke på senere forskning, fyller prosjektleder ut meldeskjema til NSD. Dersom formålet med den planlagte forskningen endres, må det sendes endringsmelding eller ny melding til personvernombudet, alt etter hvor omfattende endringen er.
• Når forskningsdata er under langtidsoppbevaring (passive data) skal tilgangen til forskningsdataene sterkt begrenses. Prosjektleder er ansvarlig for at eventuelle kopier av forskningsdataene hos prosjektmedarbeiderne slettes, slik at prosjektleder har full kontroll med alle forskningsdataene under langtidsoppbevaring.

Elektroniske data kan også langtidsoppbevares hos eksterne virksomheter som er godkjent for dette, som for eksempel Norsk senter for forskningsdata (NSD) eller Statistisk sentralbyrå (SSB).

Forskningsprosjekter etter helseforskningsloven:

Oppbevaringsplikt:

• REK kan bestemme at forskningsdataene skal oppbevares i 5 år eller lengre etter at prosjektet er avsluttet
• Ved klinisk utprøving av legemidler på mennesker skal alle kildedata være tilgjengelig på hvert utprøvingssted i minst 15 år etter at sluttrapport foreligger. Kontraktsbestemmelser kan tilsi lengre lagringstid.
• Dersom tilsynsmyndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere er under granskning i redelighetsutvalget for forskning, må kildedata eller andre forskningsdata og dokumenter ikke slettes.
• Enkelte helseopplysninger innsamlet i forbindelse med forskningsprosjekter kan være oppbevaringspliktige etter journalforskriften og/eller arkivloven. Fortsatt oppbevaring etter dette kriteriet krever at opplysningene kun lagres i henholdsvis pasientjournalsystem og/eller virksomhetens saksarkiv.

Hvis forskningsdataene ønskes brukt til oppfølgningsprosjekt eller til andre formål:

• Når det ikke foreligger oppbevaringsplikt i medhold av lov eller forskrift, kan fortsatt oppbevaring av helseopplysninger til forskningsformål kun skje etter godkjenning fra REK. Etter forholdene kan det bli nødvendig med konsesjon fra Datatilsynet.

Ulike forhold og hendelser kan utgjøre et avvik i et forskningsprosjekt. Brudd på personopplysningssikkerheten, brudd på forskningsprotokollen eller manglende forskningsetisk godkjenning er kjernen i hva som kan utgjøre et avvik i et forsknings- eller studentprosjekt.

Den som oppdager avviket skal melde fra om det. 

Avvik skal meldes inn så snart som mulig etter oppdagelse. 

Avvik skal meldes via UiB sitt avvikssystem og til din nærmeste leder.

Meld fra om avvik i UiBhjelp