Forskningsrutiner
Forskningsrutineene er forankret i UiBs Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen. Rutinene gjelder forskning som behandler personopplysninger. Der det er særlige krav til helseforskning går det fram av egene avsnitt i rutinene.
Hovedinnhold
Planlegging av forskningsprosjektet
Det er viktig å avklare formålet med forskningsprosjektet før oppstart, fordi formålet styrer hvilke regelverk og fremgangsmåte som gjelder.
1.1 Avklare formålet med prosjektet
Prosjektleder skal avklare formålet med prosjektet, og hvilke fremgangsmåte som gjelder ut fra formålet med prosjektet.
Prosjektleder skal vurdere om prosjektet gjelder medisinsk- og helsefaglig forskning og omfattes av helseforskningsloven. Forskning på mennesker og helseopplysninger som har til formål å skaffe til veie ny kunnskap om helse og sykdom, trenger etisk forhåndsgodkjenning fra REK. Ved usikkerhet om prosjektet omfattes av helseforskningsloven kan man be REK om en fremleggingsvurdering.
1.2 Forkningsetiske retningslinjer
- Prosjektleder skal gjøre seg kjent med gjeldende forskningsetiske retningslinjer for det aktuelle fagområdet
- Hovedregelen er at forskning på mennesker skal være basert på et fritt, informert og gjenkallelig samtykke til deltakelse.
- Prosjektleder skal vurdere om prosjektets formål kan gjøre det nødvendig å fravike hovedregelen om samtykke til deltakelse. Hvis det ikke kan eller skal innhentes spesifikt samtykke fra deltakerne må dette kunne begrunnes ut fra formålet med forskningen og faglige metoder
- Hvis unntak fra samtykkekravet gjelder tilgang til helseopplysninger må det søkes dispensasjon fra helsepersonells taushetsplikt, jf helsepersonelloven § 29
- Hvis unntak fra samtykkekravet gjelder andre opplysninger omfattet av forvaltningens taushetsplikt må det søkes vedkommende forvaltningsorgan om tilgang til opplysningene
1.3 Ivareta personvernprinsippene
Prosjektleder skal sørge for at de grunnleggende prinsippende for behandling av personopplysninger er ivaretatt, herunder at behandlingen må ha behandlingsgrunnlag i personvernforordningen, behandlingen må være omfattet av åpenhet og rettferdighet overfor forskningsdeltakerne
Rettslig grunnlag (lovhjemmel) for behandling av personopplysninger som er nødvendig for formål knyttet til vitenskapelig forskning vanligvis være personvernforordningens artikkel 6 (1) e) nødvendig for å utføre en oppgave i allmennhetens interesse. Supplerende grunnlag i nasjonal lovgivning er personpplysningsloven § 8, nødvendig for formål knyttet til vitenskapelig forskning.
Behandling av særlige kategorier (sensitive) personopplysninger må oppfylle et av vilkårene i artikkel 9. For vitenskapelig forskning vil dette vanligvis være artikkel 9(2) j) nødvendig for formål knyttet til vitenskapelig forskning.
Prosjektleder må i tillegg sørge for at forskningsprosjektet er omfattet av nødvendige garantier for å ivareta deltakernes integritet og velferd, jf. artikkel 89 nr. 1, herunder at :
prosjektet utføres i samsvar med forskningsetiske normer og retningslinjer, herunder at deltakelse som hovedregel er basert på frivillig samtykke
det er sikres at det er innført tekniske og organisatoriske tiltak for særlig å sikre at prinsippet om dataminimering overholdes, herunder pseudonymisering
at informasjonssikkerhet er ivaretatt, herunder sikker håndtering, lagring og utlevering av personopplysninger
1.4 Oppfylling av dokumentasjonsplikt
- For at UiB skal kunne ivareta sine plikter som behandlingsansvarlig/forskningsansvarlig skal prosjektleder sørge for å registrere opplysninger om prosjektet i universitetets prosjektoversikt RETTE, og sikre at opplysningene til enhver tid er korrekte og oppdaterte
- Forsknings- og studentprosjekter hvor det behandles allminneligle personopplysninger, helseforskningsprosjekter og prosjekter hvor det allerede er gjennomført en personvernkonsekvensvurdering (DPIA), registreres direkte i RETTE. Se nærmere om rådføringsplikt nedenfor.
1.5 Rådføringsplikt med personvernombud
Behandling av særlige kategorier personopplysninger (sensitive personopplysninger) for formål knyttet til vitenskapelig forskning har rådføringsplikt med personvernombud. Rådføringsplikten gjelder også ved behandling av opplysninger om straffedommer og lovovertredelser. Rådføringsplikten kan oppfylles ved at forsker henvender seg til Sikt for å søke råd om behandlingen av personopplysninger.
Personverntjenestene fra Sikt omfatter ikke vurdering av forskningsetiske problemstillinger, herunder metode, forsvarlighet, grunnlag for deltakelse i forskningen, innbefattet informasjonsskriv og samtykkeerklæringer, idet dette hører til universtetets ansvar etter forskningsetikkloven.
Unntatt fra den særskilte rådføringsplikten for vitenskapelig forskning er også forskningsprosjekter som gjennomføres som følge av lovpålagte oppgaver, herunder kvalitetssikring og kvalitetsutviklingsprosjekter. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen. Det kan likevel være forsvarlig å gjennomføre en personvernkonsekvensvurdering for denne type prosjekt, og involvere institusjonens personvernombud i vurderingen.
Prosjektleder skal vurdere om et prosjekt som behandler alminnelige personopplysninger i forbindelse med vitenskapelig forskning, og er unntatt fra rådføringsplikt, likevel bør rådføres med personvernombud, eventuelt om det bør gjennomføres en personvernkonsekvensvurdering (DPIA). Dette kan særlige være aktuelt der prosjektet behandlinger opplysninger om sårbare grupper, som f.eks. barn og andre personer med nedsatt kompetanse til å samtykke til deltakelse.
1.6 Vurdere behov for å gjennomføre personvernkonsekvensvurdering (DPIA)
Prosjektleder skal ved planleggingen av prosjektet vurdere om det bør gjennomføres en personvernkonsekvensvurdering (data protection impact asessment, "DPIA") etter personvernforordningen artikkel 35. Dette kan blir aktuelt der det er sannsynlig at behandlingen kan medføre en høy personvernrisiko. Se nærmere om DPIA her. UiB bruker Drafit som løsning for gjennomføring av personvernkonsekvensvurdering. Se her for hvordan opprette en personvernkonsekvensvurdering (DPIA).
Ved vurderingen om det bør gjennomføres en DPIA skal prosjektleder søke råd hos institusjonens personvernombud, og personvernombudet skal involveres i gjennomføringen av personvernkonsekvensutredningen.
1.7 Avklare behov for nødvendige avtaler
- Prosjektleder skal avklare behov for avtaler med samarbeidende forskere og forskningsinstitusjoner, herunder
- avtale med prosjektmedarbeidere som ikke har et tilsettingsforhold ved universitetet dersom de skal ha tilgang til universitetssystemer, og
- avtaler om deling av data innad i forskningsprosjektet
- overføring av data til tredjeland i samsvar med personvernforordningens bestemmelser
Studentoppgaver
Kontakt
Kontakt personvernombudet ved UiB, Janecke Veim, ved spørsmål om rådføringsplikt eller DPIA (personvernkonsekvensvurdering).