Droppe til innhold

I forskning

I forskning

Avtaler, etikk og jus

Personvern i forskning

Før du som prosjektleder setter i gang med et forskningsprosjekt må du vite om data skal anonymiseres eller avidentifiseres og hvilke eksterne instanser som skal godkjenne bruk av ulike typer personopplysninger.

Vanligvis er det De regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK), Norsk senter for forskningsdata (NSD) eller Datatilsynet som skal godkjenne et forskningsprosjekt.

Anonymiserte eller avidentifiserte data

Det første spørsmålet som er viktig å stille er om du skal bruke anonymiserte data eller om dataene bare blir avidentifiserte. Så lenge opplysninger og vurderinger på noe vis kan knyttes til enkeltpersoner anses de å være personopplysninger.

Anonymiserte data

Anonymiserte data er opplysninger som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, verken direkte gjennom navn, personnummer eller andre personentydige kjennetegn, indirekte gjennom bakgrunnsvariabler som for eksempel kjønn, alder, bosted, diagnose og yrke, gjennom navneliste/koblingsnøkkel, krypteringsformel og kode eller IP-adresse.

Du må være oppmerksom på at opplysningene i seg selv kan være nok til å identifisere den enkelte deltaker. Personopplysningene vil i så fall ikke anses å være tilstrekkelig anonymiserte. Det skal være en konkret vurdering i hvert enkelt tilfelle. En tommelfingerregel er at opplysningene ikke kan knyttes til en gruppe på 5 eller færre personer.

Du må også være oppmerksom på at en sammenstilling av ulike databaser kan av-anonymisere personopplysninger på en slik måte at forskningsdeltakere blir identifiserte.

Dersom dataene er totalt anonymiserte, gjelder ikke personvernlovgivningen og du trenger ikke søke om godkjenning fra en ekstern instans.

Nettskjema (uio.no) kan brukes ved anonyme undersøkelser. Sjekk nettside om tiltak for å sikre anonymitet og nettside om elektroniske spor.

På NSD sine nettsider kan du lese om hvordan du kan gjennomføre prosjekter uten å registrere personopplysninger.

Avidentifiserte data

Avidentifiserte data er personopplysninger der navn, fødselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av en koblingsnøkkel/lister med koder, slik at opplysningene ikke umiddelbart kan knyttes til en enkelt person. Imidlertid vil bruk av koblingsnøkkel gjøre det mulig å avdekke forskningsdeltaker sin identitet. Det er derfor viktig at koblingsnøkler/lister med koder oppbevares adskilt fra personopplysningene, nedlåst eller sikret på annen forsvarlig måte.

Siden det er mulig å avdekke forskningsdeltakers identitet gjelder personvernlovgivningen og du må søke om godkjenning fra en ekstern instans.

Informasjon og brosjyrer på NSD sin nettside.

Nærmere beskrivelse om forskjellen mellom anonymiserte og avidentifiserte data kan du finne på nettsiden til OUS og Datatilsynet.

Tvilstilfeller

Det kan være tvilstilfeller der det er usikkert om forskningsdata er tilstrekkelig anonymisert eller ikke, for eksempel ved små utvalg; eksempelvis forskning på en diagnose som få i landet har eller et forskningsprosjekt med få forskningsdeltakere innenfor et avgrenset geografisk område. Ved tvilstilfeller bør du sjekke med personvernombudet (NSD). NSD har i tillegg en uformell meldeplikttest som du kan prøve.

Godkjenningsinstans for ditt forskningsprosjekt

Formål avgjør hvor du må søke godkjenning

Dersom du i ditt forskningsprosjekt skal behandle data elektronisk (eller manuell systematisering av sensitive personopplysninger) som ikke er tilstrekkelig anonymisert, må du vurdere hvilke eksterne instanser du må søke godkjenning fra. Formålet med forskningen og hva slags type data som benyttes i forskningsprosjektet er avgjørende for ditt valg.

Formål 1 - Du skal melde prosjektet ditt til NSD når:

Forskning som har andre formål enn å fremhente ny kunnskap om sykdom og helse kan berøres både av personopplysningsloven og helseregisterloven.

  • Samfunnsvitenskapelige formål.
  • Kvalitetssikring, definert som prosjekter, undersøkelser, evalueringer og lignende som har som formål å kontrollere at diagnostikk og behandling faktisk gir de tilsiktede resultater.
  • Opprettelse av helseregistre, definert som registre, fortegnelser, m.v. der helseopplysninger er lagret systematisk (listet opp) slik at opplysninger om den enkelte kan finnes igjen, jf. helseregisterloven § 2 nr. 6. Helseregistre kan være papirbaserte eller elektroniske. For eksempel benyttes registre som journalsystemer i helsetjenesten eller opprettes for forskningsformål, se helseforskningsloven § 2 (2).
  • Innsamling av helseopplysninger med annet formål enn å skaffe til veie ny kunnskap om helse og sykdom, se helseforskningsloven §§ 2 (1) og 4 d).
  • Se eksempler på virksomhet som ikke skal søke REK på REK sin nettside.

Mer informasjon om hvordan du melder forskningsprosjektet til NSD.

Oversikt over definisjoner av begrepene i tabellene.

Godkjenningsmyndighet
Type prosjekt Godkjenningsmyndighet Lovverk Rådgivende instans
Ikke sensitive personopplysninger – manuell behandling Ikke søknadspliktig    
Ikke sensitive personopplysninger (under 5000 objekter) – elektronisk behandling NSD Pol. §§ 2 nr. 1 og  31 (1) a) og pol. forskrift § 7-27 (1) NSD
Ikke sensitive personopplysninger (over 5000 objekter og lang varighet) - elektronisk behandling Datatilsynet Pol. §§ 2.nr. 1 og 31 (1) a) og pol. forskrift § 7-27 (2) NSD
Sensitive personopplysninger – manuell systematisering, ordnet etter navn/f.nr. NSD Pol. §§ 2 nr. 8 og 31 (1) b) NSD
Sensitive personopplysninger (under 5000 objekter) – elektronisk behandling NSD Pol. §§ 2 nr. 8 og 33 og pol. forskrift § 7-27 (1) NSD
Sensitive personopplysninger store prosjekter (over 5000 objekter og lang varighet) –  elektronisk behandling Datatilsynet Pol. §§ 2.nr. 8 og 33 og pol. forskrift § 7-27 (2) NSD

Formål 2 - Du skal sende søknad til REK når:

  • ”Forskningsvirksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom», se helseforskningsloven § 4 a).
  • Opprettelse av helseregistre som er et ledd i et konkret medisinsk- og helsefaglig forskningsprosjekt.
  • Se eksempler på virksomhet som skal søke REK på REK sin nettside.

Mer informasjon om hvordan du sender søknad til REK.

Godkjenningsmyndighet
Type prosjekt Godkjenningsmyndighet Lovverk Rådgivende instans
Medisinsk og helsefaglig forskning REK Helseforskningsloven § 2 (1) REK
Forskning på mennesker REK Helseforskningsloven § 2 (1) REK
Naturmidler eller andre stoffer inntas av mennesker REK, Statens legemiddelverk Helseforskningsloven § 2 (3) og legemiddelloven l § 3
med forskrifter
Statens legemiddelverk
Forskning hvor medisinsk utstyr brukes på mennesker REK, Helsedirektoratet Helseforskningsloven § 2 (3) og lov om
medisinsk utstyr med forskrifter
Helsedirektoratet
Forskning på humant biologisk materiale REK Helseforskningsloven §§ 2 (1) og 4 b) REK
Forskning som innebærer innsamling av helseopplysninger REK Helseforskningsloven §§ 2 (1) og 4 d),
samt helsepersonelloven § 21
REK

Les mer om personvern

GDPR - ny lovgivning om personopplysninger - hva betyr det for forskning

De nasjonale forskningsetiske komiteene har laget en egen nettside med spørsmål og svar når det gjelder ny lovgivning om personopplysniger (GDPR) og hva det betyr for forskning.

Rutine

Rutine vedrørende meldeplikt til NSD finnes også i nettgruppa for FoU-rådgivere på fakultet/senter.

Kontakt