Personverntenester for forsking

Sikt (tidlegare NSD) tilbyr personverntenester for forsking til utdannings- og forskingsinstitusjonar. Vi har avtale med over 130 institusjonar. I avtalen bestemmer insitusjonen sjølv kva type prosjekt som skal bli meldt til og vurdert av Sikt.  

Personverntenestene frå Sikt hjelper forskingsinstitusjonar med å etterleve regelverket og skaffe lovleg tilgang til persondata. Tenesta gir også tilgang på verktøy som gir institusjonen oversikt over deira prosjekt.

Når vi vurderer prosjekt, hjelper vi forskarar og studentar med å finne løysingar som passar til prosjektet, og med å sikre at behandlinga dei har planlagt er i tråd med lovverket.

Personverntenester for forsking omfattar:

  • Generell informasjon, opplæring og rådgiving om behandling av personopplysningar og varetaking av personvern i forsking.
  • Vurdering av bruken av personopplysningar i innmelde forskingsprosjekt, både i forkant, undervegs og ved avslutning av forskingsprosjekt. Vurderingane blir gjort tilgjengelege for institusjonane i meldingsarkivet.
  • Håndtering av førespurnader frå dei registrerte (deltakarar) i forskingsprosjekt.
  • Varsling av og eventuelt bistand for å handtere brot på personopplysningstryggleiken, og andre brot på personvernregelverket, som blir avdekt i alle delar frå planlegginga av forskingsprosjektet, til gjennomføring og/eller avslutning.
  • Personvernkonsekvensvurderinger (DPIA – Data Protection Impact Assessment). 
  • Førehandsdrøftingar og dialog med Datatilsynet.
  • Utvikling og vedlikehald av system for innmeldingar og rådgiving, og oppdatert meldingsarkiv over forskingsprosjekta.
  • Jevnlig rapportering og statusmøte mellom leiinga i institusjonen og Sikt.

Verktøy som institusjonen får tilgang til i arbeidet med personvern:

Rollefordeling

Sikt utfører personverntenester for institusjonane i tråd med inngått avtale. Tenestene hjelper institusjonane i å skape etterleving av og dokumentasjon på at behandlingar av personopplysningar til forskingsformål skjer i samsvar med personvernlovverket. 

Institusjonane er behandlingsansvarlege for all behandling av personopplysningar til forskingsformål. 

I tråd med avtalen skal institusjonane sørgje for at: 

  • Sikts personverntenester er kjende ved institusjonen. 
  • Forskarar og studentar søkjer råd hos Sikt om behandlingar av personopplysningar til forskingsformål innanfor området til avtalen.
  • Forskarar og studentar melder behandling av personopplysningar, der institusjonen er behandlingsansvarleg, til Sikt seinast 30 dagar før planlagt oppstart.
  • Forskarar og studentar bruker Sikts meldeskjema, legg ved all nødvendig dokumentasjon, kompletterer meldeskjema dersom Sikt etterspør dette, og ventar på Sikts vurderingar før oppstart. 
  • Forskarar og studentar får rettleiing slik at behandlinga oppfyller krava til tryggleik i art. 5 d), art. 5 f). og art. 32) og krava ved felles behandlingsansvar (art. 26), bruk av databehandlar (art. 28) og overføring av personopplysningar til tredjeland og internasjonale organisasjonar (kapittel 5).
  • Forskarar og studentar oppfyller art. 5 d om riktigheit, og art. 5 f om integritet og konfidensialitet.

I tråd med avtalen skal Sikt sørgje for å: 

  • Ha oppdatert djupnekunnskap om personvernlovgivinga og gi uavhengige vurderingar.
  • Tilstrebe å bruke under 30 vyrkedagar på å gi våre vurderingar. Vurderingstida vil vere avhengig av at forskar/student gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon. Særleg komplekse prosjekt kan krevje lengre tid å få vurdert.
  • Gi generell rettleiing til forskar/student om behandling av personopplysningar i forsking. 

Kva vurderer Sikt i prosjekta? 

Ifølgje avtalen om personverntenester for forsking skal Sikt gjere ei førehandsvurdering av den planlagde behandlinga av personopplysningar, slik den blir meldt til oss.

Basert på informasjonen som blir oppgitt i meldeskjema vurderer vi om behandlinga: 

  1. fell inn under føresegnene i personvernlovverket eller reglane i helselovgivinga.
  2. har eit lovleg grunnlag for å behandle personopplysningane.
  3. oppfyller prinsippa i personvernlovverket (lovlegheit, rettferd og openheit, formålsavgrensing, dataminimering og lagringsavgrensing).
  4. oppfyller lovkrav til informasjonen til deltakarane og beskriv prosjektet på ein forståeleg måte.
  5. tar vare på rettane til deltakarane (retten til innsyn, retting og sletting av opplysningar, i tillegg til retten til å be om dataportabilitet (kopi) viss prosjektet er basert på samtykket til deltakarane, eller retten til protest viss prosjektet har eit anna behandlingsgrunnlag). Vi vurderer også om prosjektet kan/bør får fritak frå nokre av rettane.
  6. medfører at det må innhentast dispensasjon frå teieplikta.

Dersom noko er uklart eller mangelfullt beskrive i meldeskjemaet tek vi kontakt med innmelder, slik at vi har nok informasjon til å kunne gjere vurderinga. 

Sikt gir berre generelle råd og rettleiing om: 

  • Tekniske og organisatoriske tiltak for sikring av personopplysningane. Vi føreset at institusjonen tar ansvar for at personopplysningar blir behandla i samsvar med art. 32 og art. 5d) og f) og retningslinjene til institusjonen for informasjonssikkerheit
  • Deling av personopplysningar med felles behandlingsansvarlege eller databehandlarar. I så fall gir vi generelle råd om korleis dette bør gjennomførast for at behandlinga av personopplysningar skjer i samsvar med personvernregelverket jf. art. 26, 28, 29 
  • Overføring av personopplysningar til tredjeland eller internasjonale organisasjonar. I så fall gir vi generelle råd om korleis dette bør gjennomførast for å vere i samsvar med personvernregleverket
Les om dei ulike typene av vurdering som Sikt gir til forskningsprosjekt

Varsling av brot på personvernregelverket 

Sikt varslar institusjonane utan ugrunna opphald dersom vi i samband med førehands- og underveisvurdering og/eller ved avslutning av forskingsprosjekt mistenkjer eller oppdagar brot på personopplysningstryggleiken, eller andre brot på personvernregelverket. 

På oppmoding frå institusjonane skal Sikt hjelpe til i vurderinga av om brot på person-opplysningstryggleiken er varslingspliktig til Datatilsynet og/eller dei registrerte jf. art. 33-34. 

Det er leiinga i institusjonen som avgjer om, og på kva måte, slik varsling skal skje. 

Produkt- og tenestevilkår

Produkt- og tenestevilkår for rammeavtale mellom Sikt (leverandør), org. nr. 919477822, og Virksomheten (kunden).  Kunden blir omtalt som «Institusjonen» i desse produkt- og tenestevilkåra.

Føresetnadene for tenesta er angitt i tre hovudavtalar:

  • Avtale om personverntenester i forsking med UHR
  • Avtale om personverntenester i forsking med andre institusjonar utanfor UHR
  • Avtale om personvernombod

Desse har alle ulike modellar for finansiering.

Kontaktperson: 

  • Institusjonen forpliktar seg til å utnemne ein fast kontaktperson for personverntenesta  
  • Kontaktpersonen skal ha det daglege ansvaret for samarbeidet med Sikt om personverntenester.  
  • Institusjonen er ansvarleg for å halde informasjon om kontaktperson oppdatert  

Administrator: 

  • Institusjonen forpliktar seg til å utnemne ein administrator for tilgang til meldingsarkivet.  
  • Institusjonen er ansvarleg for å halde tilgangslista oppdatert. 

Periodiske møter 

  • Institusjonen og Sikts personverntenester er gjensidig forplikta til eitt årleg møte i tidsrommet januar–mars, der Sikts personverntenester legg fram status for Institusjonens behandling av personopplysningar i forskingsprosjekt. 

 

 Tenesta har Servicenivå 2. Servicenivået beskriv:

  • Kontaktpunkt og respons- og svartider tider ved behov for support og for å melde feil.  
  • Eventuell varsling ved feil og planlagt arbeid 

Særskilt for personverntenestene

Spørsmål om eksisterande meldeskjema: Brukarane kan sende melding via minforskning.sikt.no. Brukarane kan også chatte med oss på kvardagar mellom 12 og 14.

Institusjonen har eit sjølvstendig ansvar for å sørgje for tilfredsstillande informasjonssikkerheit ved eigen bruk av tenesta. Dette følgjer mellom anna av føresegnene i eForvaltningsforskriften og personopplysningsloven. Det inneber at virksomheten skal vurdere risikoen for brudd på sikkerheiten og setje i verk nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelegheit. Vurdering og iverksetting av nødvendige sikringstiltak skal skje innanfor ramma av virksomhetens ledelsessystem for informasjonssikkerheit. 

Det skal inngåast ein databehandlaravtale før tenesta blir tatt i bruk. Informasjon om handtering av sikkerheit og personvern i tenesta er nærare beskriven i databehandlaravtalen. 

Institusjonen bør gjennomføre ein risiko- og sårbarheitsvurdering (ROS) for tenesta. Sikt kan hjelpe til med malar og eventuelt rådgiving i samband med dette.  

Avtalen gjennom UHR er regulert av ein felles avtale med sektoren om grunnlaget for berekninga og ein eigen avtale med kvar enkelt institusjon. Tenesta blir fakturert gjennom ei årleg tenesteavgift (basis) som blir berekna ut frå talet på vitskaplege årsverk (FTE) ved verksemda. Første fakturering tar omsyn til når på året kunden inngår avtale om å nytte tenesta. Det blir også fakturert etterskotsvis kvart kvartal for talet på innsende prosjekt frå institusjonen.  

Personverntenester for andre institusjonar blir fakturert ein gong kvart år, i byrjinga av året. Då blir det betalt ein basisavgift som er lik for alle og ein prosjektpris per meldeskjema. Dei betaler meir for personvernkonsekvensvurderinger (DPIA). Første fakturering vil ta omsyn til når på året kunden inngår avtale om å nytte tenesta. 

Avtalane gjeld frå dato den er underteiknina og inntil avtalen blir sagt opp av ein av partane. Avtalen kan seiast opp med seks månaders skriftleg varsel. I oppseiingstida kan kunden/institusjonen sjølv hente ut sine data.  

Kontaktskjema

Vedlegg:

Av sikkerhetsmessige grunner må vedlegg ettersendes. Du vil motta en bekreftelse på oppgitte e-post. Du kan ettersende vedlegg ved å svare på denne e-posten.