English version of this page

Ressursoversikt personvern

Om personvernprinsippene. Henvisning til maler og skjema, oversikt viktige institusjoner og interne system som er viktige for forskningsprosjekter.

Publisert 8. nov. 2023 15:39 - Sist endret 2. apr. 2024 10:57

Generelle prinsipp for behandling av personopplysninger

Personvern handler om at den enkelte skal ha privatlivet sitt i fred og skal ha innflytelse over bruken og spredningen av opplysningene om seg selv.

Kort oppsummering av personvernprinsippene:

  • Lovlig, rettferdig og gjennomsiktig - det må finnes et rettslig grunnlag for en planlagt behandling
  • Formålsbegrensing - ethvert formål skal identifiseres og beskrives presist
  • Dataminimering - det skal ikke samles inn mer enn nødvendig for å oppnå formålet
  • Riktighet - personopplysningene skal være korrekte og skal om nødvendig oppdateres
  • Lagringsbegrensning - personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet. 
  • Opplysningenes integritet, konfidensialitet og tilgjengelighet skal beskyttes. Den som behandler må sørge for å iverksette tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endring av personopplysninger.

Prosjektstøtte - interne og eksterne system og partnere

Prosjektweb

Alle forskningsprosjekt som gjennomføres av NIH-ansatte skal registreres i Prosjektweb.  Prosjektweb er tilgjengelig via Innersvingen.

For masterprosjekter må veileder registrere prosjektet og deretter legge til studenten som prosjektmedlem (@student.nih.no).

Stipendiat og veileder kan avtale seg imellom hvem som skal stå som prosjektleder i Prosjektweb. Det er uansett veileder som har forskningsansvaret for prosjektet.

I Prosjektweb får du tilgang på sjekklister/huskelister for prosjektadministrasjon. Ved å laste opp prosjektdokumenter som avtaler, budsjett og rapporteringer oppfyller du også arkiveringsplikten - dokumentene overføres direkte til P360. Se veiledere på Innersvingen/Nyttig/Forskningsstøtte.

Sikt - personverntjenester

Alle forskningsprosjekt ved NIH som inkluderer personopplysninger, skal meldes Sikt - personverntjenester (tidligere NSD) for vurdering før igangsetting. Forsker melder selv prosjektet via Sikts meldingsportal. For studentprosjekt skal studenten gi veileder tilgang til prosjektet/meldeskjema. Veileder har det formelle prosjektlederansvaret og skal ha godkjent prosjektet før det meldes inn. 

Via meldingsportalen får forsker/student også tilgang til mal for informasjonsskriv til prosjektdeltakere og samtykkeskriv. Eventuelle endringer i prosjektet – inklusiv forsinkelse og forlengelse - skal meldes Sikt.

Selv om Sikt gjør vurderinger av personvernrisiko for NIH, er det fortsatt NIH/prosjektleder som har ansvar for at prosjektgjennomføringen følger lover og regler på personvernområdet.

I prosjekter med spesielle personvernutfordringer kan det måtte gjøres en utvidet vurdering (Data Protection Impact Assessment - DPIA). Sikt kan gjennomføre DPIA i samråd med forsker og personvernombud ved NIH. 

Se mer om rutiner for melding til Sikt/Sikts tjenester her.

Se Sikts Personvernhåndbok for forskning her

Fra 2022 er NSD en del av Sikt - kunnskapssektorens tjenesteleverandør. 

Personvernombud ved NIH

Personvernombudet skal ivareta personverninteressene til både studenter og ansatte og styrke institusjonens evne til å etterleve regelverket. Personvernombud ved NIH kan nås via e-post: personvernombud@nih.no.

Fra april 2024 har NIH avtale med Sikt om personvernombudstjenester. Kontaktperson hos Sikt er Lene Brandt.

Les mer om personvernombudets rolle  på Datatilsynets sider.

Personvernrådgiver ved NIH

Seniorrådgiver Kaja Stene (HR-avdelingen) er personvernrådgiver på NIH. Se kontaktdetaljer nederst.

Informasjonssikkerhetsrådgiver ved NIH

Seniorrådgiver Hans Olav Krogsæter (IT-avdelingen) er informasjonssikkerhetsrådgiver på NIH. Se kontaktdetaljer nederst.

Sikresiden.no

Sikresiden.no lages av og for norske universiteter, høgskoler og forskningsvirksomheter. På sikresiden.no gis det forebyggende opplæring og råd om hva du skal gjøre i en krisesituasjon.

Se informasjon om personvern på sikresiden.no.

Se også Sikresiden om å sikre informasjon

Du kan endre institusjonstilhørighet øverst i høyre hjørne hvis det ikke automatisk kommer opp Norges idrettshøgskole/NIH.

Normens veileder for personvern og informasjonssikkerhet

En bransjenorm utviklet spesielt for virksomheter i helsesektoren:

Normens veileder for personvern og informasjonssikkerhet i forskning og kvalitetssikring 

Maler og skjema - Samtykkeskjema for forelesere

Opptak av undervisning - skjema for samtykke (for forelesere) 

For databehandleravtaler og egne avtaler for ikke-ansatte - se Forskningsadmininstrasjon - side for maler og skjema 

NIH som behandlingsansvarlig

Den behandlingsansvarliges personvernplikter

I rollen som behandlingsansvarlig har NIH en rekke personvernplikter. Pliktene følger hovedsakelig av bestemmelsene i personvernforordningen og personopplysningsloven.

NIH skal sørge for at:

  • elektronisk og manuell behandling av personopplysninger skjer på en lovlig og forsvarlig måte i tråd med personvernprinsippene
  • den enkelte sikres medbestemmelse over og kontroll med hvordan NIH behandler hans/hennes personopplysninger
  • NIH har etablert interne rutiner, retningslinjer og gjennomfører egnede tekniske og organisatoriske tiltak som ivaretar de personvernplikter NIH er pålagt.

Den enkeltes personvernrettigheter

Som behandlingsansvarlig er NIH pliktig til å ivareta personvernrettighetene til den som opplysningene gjelder, det vil si ansatte, studenter, gjesteforskere, gjester eller respondenter og informanter i forskningsprosjekter.

Den enkeltes personvernrettigheter gjelder ved all elektronisk behandling av alminnelige og særlige kategorier av personopplysninger som skjer i forskning, undervisning, administrasjon og formidling ved NIH. Rettighetene gjelder også ved behandling av personopplysninger som inngår (eller er ment å inngå) i manuelle personregistre.

Formålet med personvernrettighetene er at de som opplysningene gjelder skal ha medbestemmelse over og kontroll med hvordan NIH behandlinger deres personopplysninger.

For å sikre at de registrerte har medbestemmelse over og kontroll med hvordan NIH behandler deres personopplysninger, har den enkelte på visse vilkår disse rettigheter:

  • rett til informasjon om behandlingsansvarlig, formålet med behandlingen av personopplysninger og eventuelle andre mottakere av personopplysningene
  • rett til innsyn
  • rett til retting/korrigering
  • rett til sletting
  • rett til begrensning av behandling
  • rett til dataportabilitet
  • rett til å protestere

Eksterne databehandlere

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av NIH.

Eksterne aktører blir databehandlere for NIH når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som NIH er behandlingsansvarlig for.

Som behandlingsansvarlig er NIH pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler opplysninger om ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter i forskningsprosjekter.

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten i de eksterne systemene eller tjenestene som NIH vurderer å anvende. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne. 

Databehandleravtale

Databehandleravtaler skal regulere

  • gjenstanden for og varigheten av behandlingen
  • behandlingens art og formål
  • typen personopplysninger og kategorier av registrerte
  • den behandlingsansvarliges rettigheter og plikter
  • hva databehandlerne kan gjøre med personopplysninger som NIH er behandlingsansvarlig for
  • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er NIH pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at NIH får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester.

Se mal for databehandleravtaler på side om maler og skjema.

I tillegg til å anvende databehandlere, er NIH selv databehandler. NIH drifter for eksempel datatjenester for administrasjon og forskning som benyttes av andre institusjoner. NIH har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer.

Elektroniske hjelpemidler - bruk og regler

Relevante lover (lovdata.no)

Personopplysningsloven

Helseforskningsloven

Legemiddelloven

Kontakt

Bilde av Kaja Stene
Kaja Stene
Seniorrådgiver
E-post
kajast@nih.no
Telefon
+47 23 26 20 95
Hans Olav Krogsæter
Seniorrådgiver
E-post
hansok@nih.no
Telefon
+47 23 26 20 65

 

 

Del på e-post