Kravene til internkontroll og avvikshåndtering følger av blant annet helseforskningsloven og personopplysningsloven. Administrasjonen ved NIH er ansvarlig for å utarbeide rapport til styret om intern kontrollen som gjennomføres årlig. Instituttlederne er ansvarlig for at forskningsprosjektene ved instituttene gjennomføres i samsvar med gjeldene lover og interne retningslinjer.
Årlig internkontroll
Retningslinjer om internkontroll av forskningsprosjekt er til oppdatering (per mai 2023)
NIHs ansatte og studenter har plikt til å varsle om kritikkverdige forhold ved gjennomføring av forskningsprosjekter. Kritikkverdige forhold kan være
- Brudd på lovregulerte forpliktelser
- Brudd på NIHs interne retningslinjer
- Brudd på etiske standarder innen forskning
- Uregelmessigheter ved innsamling, bearbeiding og fremstilling av data
- Alvorlige sikkerthetsmessige forhold ved oppbevaring og behandling av forskningsdata.
Brudd personvernsikkerhet
Send varsling til sikkerhetsavvik@nih.no. Beskriv hendelsen/hva som har skjedd.
Institusjonen/NIH skal rapportere brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer.
Eksempler avvik personvern
- personlige opplysninger, passord eller lignende kommer i feil hender som følge av «phishing» eller falske nettverk.
- feilsendt e-post og vedlegg, særlig der det er personopplysninger
- innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NIH ikke har databehandleravtale
- feilutlevering eller feilpublisering av informasjon
- feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten
- rutiner som mangler, ikke fungerer, eller som ikke følges
- informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
- manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger
- fødselsnummer som er sendt ukryptert per e-post til eksterne
Meldeplikt
Det er meldeplikt til Statens Helsetilsyn ved uønskede medisinske hendelser.
Prosjektleder er pålagt å omgående sende skriftlig melding til Statens Helsetilsyn om alvorlige og uønskede/uventede medisinske hendelser som antas å ha sammenheng med forskningen. Instituttleder skal informeres om dette samtidig. Se § 23 i Hlf-loven.
Øvrige avvik
Når et avvik oppstår bør det løses på lavest mulig nivå eller bruke ordinær tjenestevei. Dersom avviket gjelder prosjektleder kan instituttleder varsles. Dersom dette ikke fører frem, skal NIHs varslingssystem for HMS benyttes. I HMS-systemet fremgår det hvilke rutiner NIH følger når de håndterer en varsling. HMS-systemet finner du på NIHs intranett.
Vitenskapelig uredelighet
Dersom avviket innebærer vitenskapelig uredelighet skal reglement for vurdering av vitenskapelig uredelighet følges. Reglementet finner du på side om NIHs redelighetsutvalg. Med vitenskapelig uredelighet menes forfalskning, fabrikkering, plagiering og andre alvorlige brudd på anerkjente forskningsetiske normer som er begått forsettlig eller grovt uaktsomt i planlegging, gjennomføring eller rapportering av forskning. Brudd på forskningsetikk og god forskningspraksis vil si markerte avvik fra det som er akseptabelt innenfor faget.