Hopp til innhold

Meny

10. Behandlingsansvar: Hvilket ansvar har forskere og forskningsinstitusjoner?

Ansvaret som pålegges behandlingsansvarlig gjennom personvernreglene kan oppsummeres som følger (listen er ikke fullstendig):

1. Gjennomføre «egnede tekniske og organisatoriske tiltak» for å sikre at behandlingen gjennomføres i samsvar med regelverket (artikkel 24).

Dette innebærer blant annet iverksettelse av egnede retningslinjer for behandling av personopplysninger («atferdsnormer»). Forskingsetiske retningslinjer for samfunnsvitenskap, humaniora, juss og teologi uttrykker anerkjente forskningsetiske normer, inkludert normer for behandling av personopplysninger, og er en nasjonal ressurs som kan brukes til dette formålet.

2. Gjennomføre innebygd personvern og personvern som standardinnstilling (artikkel 25).

Innebygd personvern kan f.eks. innebære pseudonymisering og dataminimering . Personvern som standardinnstilling innebærer at det som hovedregel bare er personopplysninger som er nødvendige for hvert enkelt formål med behandlingen, som faktisk behandles. Dette får konsekvenser for mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet for andre forskere.

3. Føre protokoller over alle behandlingsaktiviteter (artikkel 30)

Protokollen skal inneholde informasjon om bl.a. formålet med forskningen og behandlingen av personopplysninger, hvem det forskes på, hvilke personopplysninger som samles inn, hvem som har tilgang til dem og om mulig, når de skal slettes.

4. Foreta en vurdering av personvernkonsekvenser (artikkel 35)

En vurdering av personvernkonsekvenser innbefatter en vurdering av om mulig personvernulempe står i forhold til målene, en vurdering av risikoen for dem det forskes på og tiltak for å håndtere risikoen.

Tilsvarende vurderinger følger av forskningsetikken: Forskere må vurdere konsekvensene for dem som berøres av forskningsprosjektet – før det igangsettes, underveis og etterpå, og ved formidling av resultatene. Merk at forskningsetikken gjelder selv om prosjektet faller utenfor hele eller deler av personvernregelverket. Dette betyr at forskere må vurdere personvernkonsekvensene ut fra hva som utgjør god og ansvarlig forskning, ikke bare det som står i regelverket. Se for eksempel del B) i NESH 2016 for mer informasjon om forskning og hensynet til personer, og Helsinkideklarasjonen når det kommer til medisinsk forskning.

5. Oppnevne personvernombud (artikkel 37) og sikre at ombudet involveres i alle spørsmål som gjelder vern av personopplysninger (artikkel 38).

Til nå har mange forskningsinstitusjoner hatt eget personvernombud for forskning. Det er foreløpig uklart om ordningen kan videreføres, for eksempel om en institusjon har adgang til å ha personvernombud for hhv. forskning og resten av virksomheten. Personvernombudet skal ikke lenger gi godkjenninger eller tilrådinger, men ha en rådgivende funksjon. Se Datatilsynet for mer om personvernombudsordningen. 

6. Rådføre seg med Datatilsynet i prosjekter som medfører høy risiko for personlige rettigheter og friheterjf. artikkel 36

Forskere/behandlingsansvarlig har plikt til å rådføre seg med Datatilsynet hvis vurderingen av personvernkonsekvenser etter artikkel 35 viser høy risiko for fysiske personers rettigheter og friheter dersom det ikke iverksettes tiltak for å redusere risikoen. Bestemmelsen forstås som at forhåndsdrøfting er forbeholdt tilfellene der risikoen er høy og det ikke er mulig å redusere risikoen til et akseptabelt nivå, se https://www.datatilsynet.no/globalassets/global/regelverk-skjema/artikkel29gruppen/a29-dpia.pdf (på side 18).

Se også Datatilsynets veileder om programvareutvikling med innebygd personvern. 

7. Sikre behandlingsgrunnlag

Alle forskningsprosjekter som behandler personopplysninger må ha et behandlingsgrunnlag med hjemmel i GDPR.

 

Takk for at du hjelper oss å lage en bedre tjeneste.

Skriv din tilbakemelding i skjemaet nedenfor.