ºÚÁϳԹÏ×ÊÔ´

Det er viktig å avklare formålet med forskningsprosjektet før oppstart, fordi formålet styrer hvilke regelverk og fremgangsmåte som gjelder.

Prosjektleder skal avklare formÃ¥let med prosjektet, og hvilke fremgangsmÃ¥ter som gjelder ut fra formÃ¥let med prosjektet.

Prosjektleder skal vurdere om prosjektet gjelder medisinsk- og helsefaglig forskning og omfattes av helseforskningsloven. Forskning pÃ¥ mennesker og helseopplysninger som har til formÃ¥l Ã¥ skaffe til veie ny kunnskap om helse og sykdom, trenger etisk forhÃ¥ndsgodkjenning fra REK. Er du usikker pÃ¥ om prosjektet omfattes av helseforskningsloven, kan du be REK om en fremleggingsvurdering.

Prosjektleder skal gjøre seg kjent med gjeldende forskningsetiske retningslinjer for det aktuelle fagområdet.

Hovedregelen er at forskning pÃ¥ mennesker skal være basert pÃ¥ et fritt, informert og gjenkallelig samtykke til deltakelse. Prosjektleder skal vurdere om prosjektets formÃ¥l kan gjøre det ²Ôø»å±¹±ð²Ô»å¾±²µ Ã¥ fravike hovedregelen om samtykke til deltakelse. Hvis det ikke kan eller skal innhentes spesifikt samtykke fra deltakerne mÃ¥ dette kunne begrunnes ut fra formÃ¥let med forskningen og faglige metoder

• Hvis unntak fra samtykkekravet gjelder tilgang til helseopplysninger mÃ¥ det søkes dispensasjon fra helsepersonells taushetsplikt, jf helsepersonelloven § 29
• Hvis unntak fra samtykkekravet gjelder andre opplysninger omfattet av forvaltningens taushetsplikt mÃ¥ det søkes vedkommende forvaltningsorgan om tilgang til opplysningene

Formål knyttet til forskning, utdanning og formidling er oppgaver som universitetet gjennomfører i allmennhetens interesse, i henhold til formålsbestemmelsen i universitetet- og høyskoleloven og institusjonens samfunnsoppdrag

Det rettslige grunnlaget for Ã¥ behandle personopplysninger vil derfor alltid være at behandlingen av personopplysninger er ²Ôø»å±¹±ð²Ô»å¾±²µ for Ã¥ utføre en oppgave i allmennhetens interesse

Det som mÃ¥ vurderes er om personopplysningene som skal behandles er ²Ôø»å±¹±ð²Ô»å¾±²µe, dvs relevante og hensiktsmessige, i forbindelse med det konkrete forskningsformÃ¥let

Vær oppmerksom pÃ¥ at et forskningsetisk samtykke til deltakelse er noe annet enn samtykke som et rettslig grunnlag etter personvernregelverket. Et juridisk samtykke er lite egnet for formÃ¥l knyttet til forskning, utdanning og formidling, ettersom det sjelden vil oppfylle de strenge kravene i GDPR, og gir ikke mulighet for Ã¥ ivareta de særlige behovene til forskningsformÃ¥l, eller Ã¥pner for de særlige unntakene i personvernregelverket

Prosjektleder skal sørge for at de grunnleggende prinsippende for behandling av personopplysninger er ivaretatt, herunder at behandlingen må ha behandlingsgrunnlag i personvernforordningen og behandlingen må være omfattet av åpenhet og rettferdighet overfor forskningsdeltakerne.

Rettslig grunnlag (lovhjemmel) for behandling av personopplysninger som er ²Ôø»å±¹±ð²Ô»å¾±²µ for formÃ¥l knyttet til vitenskapelig forskning vanligvis være personvernforordningens artikkel 6 (1) e) ²Ôø»å±¹±ð²Ô»å¾±²µ for Ã¥ utføre en oppgave i allmennhetens interesse. Supplerende grunnlag i nasjonal lovgivning er personpplysningsloven § 8, ²Ôø»å±¹±ð²Ô»å¾±²µ for formÃ¥l knyttet til vitenskapelig forskning. 

Behandling av særlige kategorier (sensitive) personopplysninger mÃ¥ oppfylle et av vilkÃ¥rene i artikkel 9. For vitenskapelig forskning vil dette vanligvis være artikkel 9(2) j) ²Ôø»å±¹±ð²Ô»å¾±²µ for formÃ¥l knyttet til vitenskapelig forskning.  

Prosjektleder mÃ¥ i tillegg sørge for at forskningsprosjektet er omfattet av ²Ôø»å±¹±ð²Ô»å¾±²µe garantier for Ã¥ ivareta deltakernes integritet og velferd, jf. artikkel 89 nr. 1, herunder at :

• prosjektet utføres i samsvar med forskningsetiske normer og retningslinjer, herunder at deltakelse som hovedregel er basert pÃ¥ frivillig samtykke
• det er sikres at det er innført tekniske og organisatoriske tiltak for særlig Ã¥ sikre at prinsippet om dataminimering overholdes, herunder pseudonymisering
• at informasjonssikkerhet er ivaretatt, herunder sikker hÃ¥ndtering, lagring og utlevering av personopplysninger

For at ºÚÁϳԹÏ×ÊÔ´ skal kunne ivareta sine plikter som behandlingsansvarlig og forskningsansvarlig, mÃ¥ prosjektleder sørge for Ã¥ registrere opplysninger om prosjektet i universitetets prosjektoversikt RETTE, og sikre at opplysningene til enhver tid er korrekte og oppdaterte.

Forsknings- og studentprosjekter hvor det behandles allminnelige personopplysninger, helseforskningsprosjekter og prosjekter hvor det allerede er gjennomført en personvernkonsekvensvurdering (DPIA), registreres direkte i RETTE. Se nærmere om rådføringsplikt nedenfor.

Behandling av særlige kategorier personopplysninger (sensitive personopplysninger) for formÃ¥l knyttet til vitenskapelig forskning har rÃ¥dføringsplikt med personvernombud. RÃ¥dføringsplikten gjelder ogsÃ¥ ved behandling av opplysninger om straffedommer og lovovertredelser. 

Unntatt fra den særskilte rÃ¥dføringsplikten for vitenskapelig forskning er ogsÃ¥ forskningsprosjekter som gjennomføres som følge av lovpÃ¥lagte oppgaver, herunder kvalitetssikring og kvalitetsutviklingsprosjekter. Det kan likevel være forsvarlig Ã¥ gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. Det kan likevel være forsvarlig Ã¥ gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. 

Prosjektleder skal vurdere om et prosjekt som behandler alminnelige personopplysninger i forbindelse med vitenskapelig forskning, og er unntatt fra rådføringsplikt, likevel bør rådføres med personvernombud, eventuelt om det bør gjennomføres en personvernkonsekvensvurdering (DPIA). Dette kan særlige være aktuelt der prosjektet behandlinger opplysninger om sårbare grupper, som f.eks. barn og andre personer med nedsatt kompetanse til å samtykke til deltakelse.

Prosjektleder skal ved planleggingen av prosjektet vurdere om det bør gjennomføres en personvernkonsekvensvurdering etter personvernforordningen artikkel 35. Dette kan være aktuelt der det er sannsynlig at behandlingen kan medføre en høy personvernrisiko. 

ºÚÁϳԹÏ×ÊÔ´ bruker Drafit som løsning for gjennomføring av personvernkonsekvensvurdering. 

Ved vurderingen om det bør gjennomføres en DPIA, skal prosjektleder søke rÃ¥d hos institusjonens personvernombud, og personvernombudet skal involveres i gjennomføringen av personvernkonsekvensutredningen. 

Prosjektleder skal avklare behov for avtaler med samarbeidende forskere og forskningsinstitusjoner, herunder:

• avtale med prosjektmedarbeidere som ikke har et ansattforhold ved universitetet dersom de skal ha tilgang til universitetssystemer
• avtaler om deling av data innad i forskningsprosjektet
• overføring av data til tredjeland i samsvar med personvernforordningens bestemmelser

• Veileder skal alltid være prosjektansvarlig for studentoppgaver.
• Studenten mÃ¥ avklare studentoppgavens innretning med sin veileder med hensyn til metodevalg, forskningsetikk og ivaretakelse av deltakernes integritet.
• Studenter skal følge prosjektansvarligs veiledning og instruksjoner, signere eventuell taushetserklæring og gjennomføre ²Ôø»å±¹±ð²Ô»å¾±²µ opplæring i informasjonssikkerhet.
• Studentoppgaver der det behandles personopplysninger skal registreres institusjonens oversikt over student- og forskningsprosjekter, RETTE. I RETTE har studenten rollen som prosjekteier og veilederen som er ansatt ved ºÚÁϳԹÏ×ÊÔ´ som har rollen som prosjektansvarlig
• For studentoppgaver som gjennomføres i samarbeid med annen institusjon, f.eks helsetjenesten eller skoleverket, mÃ¥ studentens oppgaver avklares med prosjektansvarlig og samarbeidende virksomhet
• Studentprosjekter som defineres som kvalitetssikringsprosjekt i helsetjenesten følger bestemmelsene til samarbeidsinstitusjonen for gjennomføring av kvalitetssikringsprosjekter.
• Prosjektansvarlig skal sørge for at alminnelig rutiner for oppstart og gjennomføring av forskningsprosjekter følges sÃ¥ langt de passer.

Prosjektleders oppgaver

Prosjektleder skal

• avklare hvilke tillatelser prosjektet krever før behandling av personopplysninger kan starte.
• foreta en selvstendig vurdering av prosjektets forsvarlighet i samsvar med anerkjente forskningsetiske normer og retningslinjer.

• sørge for at grunnleggende prinsipper om forskning pÃ¥ mennesker og personopplysninger er ivaretatt, herunder
  • lovlighet
  • informasjonsplikt
  • samtykke til deltakelse
• vurdere om det er ²Ôø»å±¹±ð²Ô»å¾±²µ Ã¥ gjennomføre en personvernkonsekvensvurdering (DPIA).

• gjennomføre eventuell rÃ¥dføringsplikt med personvernombud. Ved rÃ¥dføringspliktige prosjekter kan ºÚÁϳԹÏ×ÊÔ´s personvernombud bistÃ¥ i vurderingen. Benytt ºÚÁϳԹÏ×ÊÔ´hjelp ved kontakt. Helseforskningsprosjekter er unntatt fra den særlige rÃ¥dføringsplikten, med mindre de er omfattet av krav om personvernkonsekvensvurdering (DPIA).

• holde behandlingsansvarlig orientert om prosjektet gjennom registrering i RETTE og sikre at opplysningene der er oppdaterte og korrekte.
  • Forskningsprosjekter som ikke er rÃ¥dføringspliktige registreres direkte i RETTE.
  • Forsknings- og studentprosjekter som er godkjent av REK importeres direkte til RETTE.
• sørge for at det inngÃ¥s ²Ôø»å±¹±ð²Ô»å¾±²µe avtaler med samarbeidspartnere som regulerer blant annet forskernes rettigheter, plikter og ansvar overfor forskningsdeltakerne.

Prosjektleders oppgaver i helseforskningsprosjekter omfatter også:

• sørge for ²Ôø»å±¹±ð²Ô»å¾±²µ forhÃ¥ndsgodkjenning fra REK.
  • utarbeide en forskningsprotokoll
  • legge ved ²Ôø»å±¹±ð²Ô»å¾±²µ dokumentasjon, herunder samarbeidsavtaler og informasjon til forskningsdeltakerne.
• For genforskningsprosjekter som har diagnostiske eller behandlingsmessige konsekvenser for deltakeren eller hvor opplysninger om den enkelte kan føres tilbake til vedkommende, mÃ¥ prosjektleder forsikre seg om at det foreligger godkjenning for den sykdom som skal undersøkes.
• holde forskningsansvarlig orientert om behandling av personopplysninger i prosjektet gjennom Ã¥ fullføre registrering av prosjektet i RETTE og holde opplysningene oppdaterte og korrekte.

Les mer om prosjektregistrering i RETTE

Forskning på helseopplysninger (registerstudier)

For forskning pÃ¥ helseopplysninger (registerstudier), mÃ¥ det søkes dataansvarlig om tilgang til dataene og om ²Ôø»å±¹±ð²Ô»å¾±²µ dispensasjon fra taushetsplikten.

Kliniske studier

Ved klinisk utprøving av legemidler mÃ¥ søkes om godkjenning fra Direktoratet for medisinske produkter (DMP). DMP er tilsynsmyndighet for klinisk utprøving av medisinsk utstyr. Dette kan gjøres parallelt med søknad til REK.

Forskningssamarbeid med andre virksomheter

Dersom prosjektet skal gjennomføres i samarbeid med andre virksomheter, skal prosjektleder sikre at ²Ôø»å±¹±ð²Ô»å¾±²µe avtaler kommer pÃ¥ plass. Samarbeidsavtaler mÃ¥ signeres av representant for forskningsansvarlig virksomhet med myndighet til Ã¥ forplikte virksomheten.

Ved samarbeidsprosjekter mellom ºÚÁϳԹÏ×ÊÔ´ og Helse Bergen skal prosjektleder:

• avklare ansvarsforhold og oppgaver i samarbeidsprosjekt, herunder hvilke institusjon som har rollen som prosjekteier og hvilke som er partner
• gjøre seg kjent med virksomhetenes sine rutiner for oppstart av forskningsprosjekter, herunder behandling av forskningsdata

Multisenterstudier etter helseforskningsloven

• Det skal bare være én prosjektleder i multisenterstudier. Det skal oppnevnes lokale prosjektkoordinatorer som har det koordinerende ansvaret i forhold til prosjektleder, samt lokal oppfølging av den forskningsansvarliges plikter.
• Prosjektleder skal sikre at ²Ôø»å±¹±ð²Ô»å¾±²µ avtale om multisenterstudie kommer pÃ¥ plass.
• Prosjektleder skal koordinere aktivitetene i forskningsprosjektet og innhente forhÃ¥ndsgodkjenning fra REK og andre relevante offentlige myndigheter. I søknaden skal det tydelig fremgÃ¥ at studien er en multisenterstudie og hvilke andre forskningsansvarlige som deltar i studien
• Prosjektleder skal informere de andre forskningsansvarlige virksomhetene om prosjektet og sørge for at de har tilgang til informasjon som er ²Ôø»å±¹±ð²Ô»å¾±²µ for Ã¥ ivareta sine oppgaver i prosjektet.
• I internasjonale multisenterstudier skal det være én norsk prosjektleder for de deler som finner sted i Norge.

• Prosjektleder har generell plikt til Ã¥ informere forskningsdeltakerne om behandlingen av deres personopplysninger.

Prosjekter basert på frivillig deltakelse

Deltakelse i forskningsprosjekter, herunder helseforskningsprosjekter, hvor personopplysninger ikke kan behandles anonymt, skal som hovedregel være basert pÃ¥ samtykke fra deltakerne.

Prosjektleder skal sørge for at samtykke er innhentet og dokumentert før datainnsamlingen begynner. Et samtykke til deltakelse skal være informert, frivillig, aktivt, uttrykkelig og dokumenterbart.

Prosjektleder skal utarbeide informasjonsskriv og samtykkeerklæring der det minimum skal fremgå

• Navn, adresse og logo til forskningsansvarlig og dennes eventuelle representant
• FormÃ¥let med forskningsprosjektet
• At det er frivillig Ã¥ delta i forskningsprosjektet
• Mulige fordeler og ulemper ved Ã¥ delta i studien (helseforskningsprosjekter)
• Hvor opplysningene hentes fra
• Hvordan opplysningene vil bli hÃ¥ndtert i studien
• Om opplysningene vil bli utlevert, og hvem som er mottaker
• Dato og versjonsnummer pÃ¥ samtykke- og informasjonsskrivet
• Annet som gjør forskningsdeltakeren i stand til Ã¥ gjøre gjeldende sine rettigheter, f.eks. retten til Ã¥ kreve innsyn, retting og sletting av opplysninger

Prosjektleder skal sørge for at eventuelle vilkår som REK eller andre godkjenningsmyndigheter (Statens legemiddelverk) med hensyn til utforming og innhold i informasjonsskriv og samtykkeerklæring oppfylles før rekrutteringen kan starte.

Prosjektleder skal sørge for at informasjonen er tilpasset målgruppen og at deltakerne har samtykkekompetanse til å delta. Muligheten til forståelse beror på faktorer som alder, art og omfang av personopplysninger, samt formålet med innhentingen. For umyndiggjorte skal vergen samtykke.

For forskning på mindreårige under 18 år, skal forsker som hovedregel innhente samtykke både fra foresatte og barnet selv. I noen tilfeller kan barn samtykke alene. I helseforskningsprosjekter følges den helsemessige myndighetsalder.

• Ved inklusjon av mindreÃ¥rige mÃ¥ det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreÃ¥riges modenhet og erfaringsbakgrunn
• Ved inklusjon av mindreÃ¥rige i helseforskning, under 16 Ã¥r eller under 18 Ã¥r ved legemsinngrep eller legemiddelutprøving, mÃ¥ det utarbeides alderstilpassede forespørsler som tar hensyn til den mindreÃ¥riges modenhet og erfaringsbakgrunn

Prosjektleder skal sikre at forskningsdeltakerne ikke inkluderes i forskningsprosjektet før samtykke er dokumentert.

Bredt samtykke

I enkelte sammenhenger er det adgang til Ã¥ innhente et bredt samtykke, hvor deltakerne samtykker til flere forskjellige forskningsprosjekter forutsatt at de hører inn under det samme definerte forskningsformÃ¥l.

Unntak fra krav om samtykke

Dersom det er umulig eller uforholdsmessig vanskelig Ã¥ innhente et forskningsetisk samtykke til deltakelse, kan det likevel være forskningsetisk forsvarlig Ã¥ forske pÃ¥ mennesker og/eller personopplysninger uten et spesifikt samtykke fra hver enkelt deltaker. Prosjektleder mÃ¥ uansett ivareta ansvaret for Ã¥ informere om formÃ¥let med prosjektet, se nedenfor. Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) godkjenner bruk av helseopplysninger og humant biologisk materiale i forskning uten samtykke. REK bestemmer hvordan slik informasjon kan gis. 

Dersom det er innvilget dispensasjon fra taushetsplikten og REK har bestemt at informasjon skal gis til forskningsdeltakerne, må dette gjøres før innsamling av data kan starte.

Særskilte former for samtykke:

• Ved forskning i kliniske nødssituasjoner kan samtykke innhentes i etterkant.
• Ved forskning som ikke kan gjennomføres pÃ¥ personer med samtykkekompetanse.

Informasjonsplikt

• Prosjektleder har generell plikt til  Ã¥ sørge for at forskningsdeltakere er informert om behandlingen av deres personopplysninger.
• Informasjonsplikten gjelder ogsÃ¥ i prosjekter der datainnsamlingen foregÃ¥r i en gruppe (f.eks deltakende observasjon) og det ikke samles inn direkte identifiserbare personopplysninger.
• Dersom og den grad det er umulig eller uforholdsessig vanskelilg Ã¥ gi informasjon direkte til forskningsdeltakerne, skal prosjektleder sørge for at informasjon om prosjektet er gjort offentlig tilgjengelig, f.eks pÃ¥ en nettside.

Prosjektleder skal:

• sørge for at personopplysninger, og humant biobankmateriale, behandles forsvarlig og i henhold til ºÚÁϳԹÏ×ÊÔ´s retningslinjer.
• sørge for at dataene kun er tilgjengelig for de medarbeidere som skal delta i forskningsprosjektet.
• sørge for at dataene kun behandles i det tidsrom som er angitt i forskningsprotokollen og sÃ¥ lenge gyldig godkjenning fra REK foreligger, eller sluttdatoen satt av prosjektleder i RETTE. Oppbevaring ut over denne tidsperioden krever endringsmelding

Forsvarlig behandling av personopplysninger – informasjonssikkerhet

Prosjektleder skal sørge for at informasjon behandles i de løsninger ºÚÁϳԹÏ×ÊÔ´ har godkjent, basert pÃ¥ en risikovurdring og klassifisering av informasjonsverdiene. 

Behandling og lagring skal skje i henhold til  og ºÚÁϳԹÏ×ÊÔ´ sin lagringsguide.

Ved ºÚÁϳԹÏ×ÊÔ´ skal sensitive persondata i forskningsprosjekter som hovedregel lagres i SAFE, som er ºÚÁϳԹÏ×ÊÔ´s system for behandling av sensitive personopplysninger i forskningsprosjekter. OvenstÃ¥ende plikt til Ã¥ behandle data i ºÚÁϳԹÏ×ÊÔ´s systemer gjelder ogsÃ¥ ved bruk av private enheter, f.eks i studentoppgaver.

Prinsippet om dataminimering

Prosjektleder skal sørge for at det behandles minst mulig personidentifiserende opplysninger gjennom prosjektets levetid og etter avslutning.

Hovedregelen er at sensitive personopplysninger skal oppbevares avidentifisert. Det betyr at forskningsdata og identifiserende elementer som koblingsnøkkel skal lagres hver for seg.

Papirbaserte forskningsdata som ikke er anonymiserte skal lagres i avlåste arkiv hvor kun personell underlagt virksomhetens instruksjonsmyndighet har tilgang. Dersom slike data skal lagres på prosjektleders kontor, skal dette låses når det ikke er personell tilstede. Kravet er at det skal være to sperrer for tilgang til personidentifiserbare opplysninger.

Lagres både data og koblingsnøkkel digitalt, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret. Som hovedregel er det bare prosjektleder som skal ha tilgang til koblingsnøkkelen. Tilgang til koblingsnøkkelen for annet personell kan gis ved spesielle behov og i et avgrenset tidsrom, for eksempel for registrering av data.

Tilgangen til koblingsnøkkelen skal sterkt begrenses etter at datainnsamling og kvalitetssikring er fullført. Etter at datainnsamling og kvalitetssikring er fullført skal prosjektleder sørge for at det ikke er tilgang til koblingsnøkkelen for andre enn prosjektleder med mindre det begrunnes i særlige behov.

Prosjektleder kan etter endt datainnsamling bare bruke koblingsnøkkelen dersom hensikten er å:

• saksbehandle henvendelser etter rutiner beskrevet i rutinenen om Oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter
• kvalitetssikre data i den hensikt Ã¥ rette uriktige registrerte eller mangelfulle personopplysninger
• gjennomføre sammenstilling av registre det eksplisitt er gitt tillatelse til
• utføre sine arbeidsoppgaver etter rutiner for forskningsprosjekter og helseforskningsprosjekter
• For oppbevaring etter avsluttet prosjekt, se rutiner for langtidsoppbevaring av forskningsdata

Tilgang til data

Prosjektleder skal sørge for at kun autoriserte personer kan få tilgang til forskningsdata, som prosjektleder, prosjektmedarbeidere og eksterne samarbeidende forskere.

Prosjektleder skal autorisere prosjektmedarbeidere som skal ha tilgang til avidentifiserte forskningsdata. Dersom en forskningsmedarbeider ikke er ansatt ved ºÚÁϳԹÏ×ÊÔ´, skal det inngÃ¥s avtale med vedkommende før de fÃ¥r tilgang. En slik avtale sikrer taushetsplikt og at ºÚÁϳԹÏ×ÊÔ´ har instruksjonsmyndighet over vedkommende i henhold til ºÚÁϳԹÏ×ÊÔ´ sitt IKT-reglementet.

For helseforskningsprosjekter må det sendes endringsmelding til REK dersom nye prosjektmedarbeidere skal ha tilgang til dataene. Se rutiner for endring av forskningsprosjekter for mer informasjon.

Prosjektleder skal ha oversikt over hvem som har tilgang til forskningsdataene i det enkelte prosjekt. Opplysningene skal alltid være tilgjengelig for behandlingsansvarlig eller forskningsansvarlig virksomhet.

Deltakelse i forskningsprosjekter er som hovedregel basert pÃ¥ frivillighet og dokumentert samtykke. Enhver person som er inkludert i forskning kan kreve innsyn, retting av uriktige registrerte personopplysninger, trekke seg fra videre deltakelse eller tilbakekalle avgitt samtykke, herunder sletting av personopplysninger. Det er ogsÃ¥ mulig Ã¥ reservere seg mot videre behandling av opplysninger eller biobankmateriale. Deltakere trenger ikke Ã¥ oppgi begrunnelse for Ã¥ be om innsyn, retting eller sletting. Prosjektleder skal sÃ¥ langt det er mulig sikre at forskningsdeltakernes rettigheter kan oppfylles i forskningsprosjekter der personopplysninger behandles. 

For at forskningsdeltakerne skal kunne utøve sine rettigeheter skal prosjektelder sørge for at deltakerne har ²Ôø»å±¹±ð²Ô»å¾±²µ informasjon. Se rutiner for informasjonsplikt og samtykke for mer informasjon.

Prosjektleder sine oppgaver

Prosjektleder skal på eget initiativ rette uriktige opplysninger, oppdatere foreldede opplysninger og supplere ufullstendige opplysninger.

Prosjektleder skal slette eller endre uriktige og foreldede opplysninger på en måte som gjør at endringen kan spores. Fullstendig sletting av uriktige og foreldede opplysninger kan bare skje dersom det blir krevd av noen som opplysningene kan få direkte innvirkning på, og slettingen ikke får avgjørende innvirkning på forskningsresultatenes validitet eller representativitet.

Prosjektleder skal sørge for at krav om innsyn, retting eller sletting besvares fortløpende og uten ugrunnet opphold, senest innen 30 dager etter at virksomheten mottok henvendelsen. Henvendelser om innsyn som ikke skjer skriftlig, skal nedtegnes og dateres, og navn på forskningsdeltaker eller verge skal noteres. Forskningsdeltakeren har rett til innsyn i opplysninger om seg selv, samt sikkerhetstiltakene ved behandlingen av opplysningene så langt innsyn ikke svekker sikkerheten. Ved innsyn skal informasjonen fremstilles på en måte som er tilpasset den enkeltes evner og behov

Dersom forskningsdeltaker ikke lenger ønsker å delta i forskningsprosjektet, må det avklares om forskningen på forskningsdeltakerens biologiske materiale, helseopplysninger eller andre personopplysninger må opphøre, altså at samtykket trekkes tilbake, eller om forskningsdeltaker bare ikke ønsker å delta videre i prosjektet.

Prosjektlederen skal vurdere hvorvidt innsyn skal begrenses eller avslås med en medisinsk eller annen begrunnelse. Dersom prosjektleder er i tvil, skal prosjektleder kontakte behandlingsansvarlig eller forskningsansvarlig.

Hvis krav om innsyn, retting eller sletting ikke kan etterkommes, må det begrunnes i de særlige unntakene som gjelder for vitenskapelig forskning. Ved avslag på krav om innsyn, retting og sletting, må forskningsdeltakeren få informasjon om at avgjørelsen kan klages inn tin Regional komité for medisinsk og helsefaglig forskningsetikk (REK).

Prosjektleder skal sørge for at henvendelser og svar på henvendelser kan dokumenteres.

Behandlingen av personopplysninger må stemme med opplysningene prosjektleder har registrert og bekreftet i RETTE, og med det som er angitt i forskningsprotokollen godkjent av REK for helseforskningsprosjekter.

Prosjektleder skal vurdere fortløpende om det er endringer i prosjektets gjennomføring som har forskningsetiske implikasjoner eller personvernmessige konsekvenser. Det kan for eksempel være vesentlige endringer i forskningsprosjektets formål, metode, tidsløp eller organisering. Dersom endringen av forskningsprosjektet er så stor at det må anses å være et helt nytt prosjekt, må prosjektleder melde det som et nytt prosjekt.

For medisinsk og helsefaglig forskning

Ved vesentlige endringer i forskningsprosjektets formÃ¥l, metode, tidsløp eller organisering, herunder nye prosjektmedarbeidere, eller ved andre endringer i prosjektopplegget som lÃ¥ til grunn for REK sin vurdering, mÃ¥ dere sende endringsmelding til REK og eventuelt til Direktoratet for medisinske produkter.  (DMP). Den omsøkte endringen mÃ¥ være godkjent av REK.

Prosjektleder mÃ¥ sørge for Ã¥ oppdatere opplysningene om prosjektet i  RETTE. Prosjektleder mÃ¥ ogsÃ¥ vurdere om endringene vil medføre en endret personvernrisiko som gjør at det bør gjennomføres en ny eller oppdatere en eksisterende personvernkonsekvensvurdering. Se rutiner for vurdering av behov for Ã¥ gjennomøre personvernkonsekvensvurdering for mer informasjon om dette. 

Prosjektleder skal vurdere å oppdatere informasjonen til forskningsdeltakerne eller de registrerte. Se rutiner for informasjonsplikt og samtykke for mer informasjon om dette.

Behandling av personopplysninger i forskningsprosjekter er av midlertidig art. Ved prosjektavslutning skal personopplysningene som hovedregel anonymiseres eller slettes, med mindre forskningsdataene skal oppbevares for etterkontroll eller framtidige forskningsformål.

Prosjektleder skal ta stilling til om forskningsdataene skal anonymiseres, slettes eller langtidsoppbevares, basert på godkjenningen fra REK eller forpliktelser som forskeren er pålagt, f.eks som følge av avtale

• dersom behandling av forskningsdataene har vært utført avidentifisert, vil anonymisering som hovedregel foregÃ¥ ved at koblingsnøkkelen slettes.
• hvis behandlingen ikke har vært utført avidentifisert, mÃ¥ alle direkte og indirekte personidentifiserbare opplysninger fjernes fra forskningsdataene for at de skal blir anonyme, se
• krav om sletting/anonymisering gjelder all informasjon der forskningsdeltakerens identitet direkte eller indirekte fremkommer, inklusiv signerte samtykkeerklæringer.

Prosjektleder skal sørge for at eventuelle kopier av forskningsdataene blir håndtert på tilsvarende måte

For medisinske og helsefaglige forskningsprosjekter

Prosjektleder skal sende sluttmelding til REK senest 6 mÃ¥neder etter godkjenningsperioden er utløpt, i henhold til helseforskningsloven § 12. Prosjektleder skal overholde eventuelle krav eller vilkÃ¥r som REK stiller til innholdet i sluttmeldingen. Prosjektleder skal ogsÃ¥ sikre at helseopplysningene ikke oppbevares ut over de 5 Ã¥rene som REK godkjenner for ²Ôø»å±¹±ð²Ô»å¾±²µ etterkontroll etter innsendt sluttmelding 

Ved behov for fortsatt oppbevaring av forskningsdata etter prosjektavslutning, se rutiner for langtidsoppbevaring av forskningsdata.

Dersom forskningsprosjektet er finansiert med midler fra EU eller Norges Forskningsråd, er forskningsansvarlig forpliktet til å lagre dataene i henholdsvis 5 og 10 år. Prosjektleder må i samarbeid med forskningsansvarlig, som normalt er fra instituttet, ta stilling til hvor og hvordan denne lagringen kan gjennomføres.

Forskningsdata skal som hovedregel ikke oppbevares lenger enn det som er ²Ôø»å±¹±ð²Ô»å¾±²µ for Ã¥ gjennomføre prosjektet. Opplysningene skal da normalt slettes, men en kopi av fullstendig anonymiserte data kan likevel beholdes.

Etter universitets- og høyskoleloven § 1-5 (6), plikter hver enkelt forsker å sørge for at det relevante forskningsgrunnlaget kan stilles til rådighet i overensstemmelse med god skikk på vedkommende fagområde. Det kan derfor være oppbevaringsplikt for forskningsdataene av hensyn til etterkontroll og tilsyn.

I noen tilfeller bør kopi oppbevares av hensyn til OECD-retningslinjer for tilgjengeliggjøring av forskningsdata.

I andre sammenhenger vil det være ønskelig å arkivere forskningsdataene i personidentifiserbar form for å ha muligheten til senere å kunne gjennomføre oppfølgingsstudier eller for å undersøke relaterte forskningsspørsmål basert på samme datautvalg og grunnlag. Dette må i så fall være avklart med personvernombudet, eller godkjent av den Regionale komitée for medisinsk og helsefaglig forskningsetikk (REK).

NÃ¥r prosjektet er avsluttet skal prosjektleder ta stilling til hvorvidt forskningsdataene fortsatt kan eller skal oppbevares. Personopplysninger kan oppbevares til historiske, vitenskapelige og statistiske formÃ¥l selv om de ikke er ²Ôø»å±¹±ð²Ô»å¾±²µe lenger etter sitt opprinnelige formÃ¥l. Forutsetningen er at samfunnets interesse i oppbevaring klart overstiger den registrertes interesse i personvern. Prosjektleder mÃ¥ dokumentere denne vurderingen, og sende dokumentasjonen til instituttleder og personvernombudet. 

Forskningsprosjekter etter personopplysningsloven:

Oppbevaringsplikt:

• Kontraktsbestemmelser kan stille krav om lagringstid utover prosjektperioden. Dersom forskningsprosjektet er finansiert med midler fra EU eller Norges ForskningsrÃ¥d, er man forpliktet til Ã¥ lagre dataene i hhv. 5 og 10 Ã¥r. Tilsvarende krav kan foreligge i andre prosjektkontrakter. Prosjektleder mÃ¥ i samarbeid med prosjekteier (normalt instituttet) ta stilling til hvordan denne lagringen kan gjennomføres
• Dersom tilsynsmyndighetene har Ã¥pne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere er under granskning i Uredelighetsutvalget for forskning, mÃ¥ kildedata eller andre forskningsdata og dokumenter ikke slettes.
• Enkelte opplysninger innsamlet i forbindelse med forskningsprosjekter kan være oppbevaringspliktige etter arkivloven. Fortsatt oppbevaring etter dette kriteriet krever at opplysningene kun lagres i virksomhetens saksarkiv.

Hvis forskningsdataene ønskes brukt til oppfølgingsprosjekt eller til andre formål:

• NÃ¥r det ikke foreligger oppbevaringsplikt i medhold av lov eller forskrift, kan fortsatt oppbevaring av personopplysninger til forskningsformÃ¥l kun skje etter godkjenning fra personvernombudet.
• Dersom forskningsdataene skal oppbevares med tanke pÃ¥ senere forskning, fyller prosjektleder ut meldeskjema til NSD. Dersom formÃ¥let med den planlagte forskningen endres, mÃ¥ det sendes endringsmelding eller ny melding til personvernombudet, alt etter hvor omfattende endringen er.
• NÃ¥r forskningsdata er under langtidsoppbevaring (passive data) skal tilgangen til forskningsdataene sterkt begrenses. Prosjektleder er ansvarlig for at eventuelle kopier av forskningsdataene hos prosjektmedarbeiderne slettes, slik at prosjektleder har full kontroll med alle forskningsdataene under langtidsoppbevaring.

Elektroniske data kan ogsÃ¥ langtidsoppbevares hos eksterne virksomheter som er godkjent for dette, som for eksempel  eller Statistisk sentralbyrÃ¥ (SSB).

Forskningsprosjekter etter helseforskningsloven:

Oppbevaringsplikt:

• REK kan bestemme at forskningsdataene skal oppbevares i 5 Ã¥r eller lengre etter at prosjektet er avsluttet
• Ved klinisk utprøving av legemidler pÃ¥ mennesker skal alle kildedata være tilgjengelig pÃ¥ hvert utprøvingssted i minst 15 Ã¥r etter at sluttrapport foreligger. Kontraktsbestemmelser kan tilsi lengre lagringstid.
• Dersom tilsynsmyndighetene har Ã¥pne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere er under granskning i redelighetsutvalget for forskning, mÃ¥ kildedata eller andre forskningsdata og dokumenter ikke slettes.
• Enkelte helseopplysninger innsamlet i forbindelse med forskningsprosjekter kan være oppbevaringspliktige etter journalforskriften og/eller arkivloven. Fortsatt oppbevaring etter dette kriteriet krever at opplysningene kun lagres i henholdsvis pasientjournalsystem og/eller virksomhetens saksarkiv.

Hvis forskningsdataene ønskes brukt til oppfølgningsprosjekt eller til andre formål:

• NÃ¥r det ikke foreligger oppbevaringsplikt i medhold av lov eller forskrift, kan fortsatt oppbevaring av helseopplysninger til forskningsformÃ¥l kun skje etter godkjenning fra REK. Etter forholdene kan det bli ²Ôø»å±¹±ð²Ô»å¾±²µ med konsesjon fra Datatilsynet.

Ulike forhold og hendelser kan utgjøre et avvik i et forskningsprosjekt. Brudd på personopplysningssikkerheten, brudd på forskningsprotokollen eller manglende forskningsetisk godkjenning er kjernen i hva som kan utgjøre et avvik i et forsknings- eller studentprosjekt.

Den som oppdager avviket skal melde fra om det. 

Avvik skal meldes inn sÃ¥ snart som mulig etter oppdagelse. 

Avvik skal meldes via ºÚÁϳԹÏ×ÊÔ´ sitt avvikssystem og til din nærmeste leder.