Sist endret: 01.12.2020

Personopplysninger og GDPR

Håndtering av forskningsdata som inneholder personopplysninger krever bevissthet og hensyn for å sørge for forsvarlig behandling. All behandling av personopplysninger, også i forskning, reguleres av personopplysningloven og EUs personvernforordning (GDPR; General Data Protection Regulation). Denne artikkelen gir en kort, overordnet innføring i noen av de viktigste begrepene og prinsippene knyttet til bruk av personopplysninger i forskningprosjekt.

Hva er personopplysninger?

Personopplysninger er data og informasjon som kan knyttes til enkeltpersoner, enten direkte eller indirekte. Navn og personnummer er eksempler på direkte personidentifiserbare opplysninger. Indirekte personidentifiserbare opplysninger kan for eksempel være variabler som samlet sett gjør det mulig å identifisere enkeltpersoner, slik som alder, bosted, kjønn og yrke. Andre eksempler på personopplysninger er bilder, video eller lydopptak hvor mennesker kan gjenkjennes, biometri, dynamiske IP-adresser og informasjon om atferdsmønstre.

I lovverket (artikkel 9 og 10 i forordningen) er også særlige kategorier av personopplysninger definert (ofte kalt sensitive personopplysninger). Disse er det i utgangspunktet ikke lov å behandle, det vil si at spesifikke vilkår må oppfylles for å kunne behandle disse. Særlige kategorier av personopplysninger inkluderer opplysninger om etnisitet, religion, politisk oppfatning, fagforeningsmedlemskap, helse, seksuelle forhold og genetisk informasjon. I tillegg er det begrensninger knyttet til opplysninger om straffedommer og lovovertredelser. Den fullstendige listen og utfyllende informasjon er tilgjengelig på nettsidene til Datatilsynet.

Anonyme opplysninger er informasjon som ikke på noe vis kan knyttes til enkeltpersoner, hverken direkte eller indirekte. Anonyme opplysinger regnes ikke som personopplysninger, og reguleres derfor ikke av personopplysningloven og forordningen. Anonymisering av personopplysninger i forskningsprosjekt kan være aktuelt for å redusere risiko, men kanskje særlig i forbindelse med arkivering og publisering av datasett. Anonymisering av data kan være utfordrende, og vil ikke alltid være mulig uten å gjøre endringer eller redusere informasjonen som er tilgjengelig i datasettet. Datatilsynet har mer informasjon samt en veileder om anonymisering av personopplysninger.

Pseudonymiserte (eller avidentifiserte) personopplysninger er data hvor det fortsatt er mulig å indirekte identifisere enkeltpersoner, for eksempel via en koblingsnøkkel. Disse er ikke å regne som anonyme personopplysninger, og dekkes fortsatt av personopplysningsloven, men kan være et viktig tiltak for å redusere personvernulemper og risiko.

GDPR i forskning

EUs personvernforordning, GDPR (General Data Protection Regulation), er del av den nye norske personopplysningsloven som trådte i kraft 20. juli 2018. GDPR harmoniserer regelverket for behandling av personopplysninger i EU og EØS-land, og gjelder også for forskningsprosjekt i Norge som behandler personopplysninger. Selv om noen formaliteter har blitt endret, medførte ikke GDPR omfattende endringer for bruk av personopplysninger i forskning da forskningssektoren har alltid vært underlagt strenge føringer og retningslinjer knyttet til personvern og forskningsetikk. For mer informasjon om hva endringene konkret innebærer, se forskningsetikk.no.

Personvernforordningen sikrer rettigheter til enkeltpersoner og beskriver plikter som må oppfylles av behandlingsansvarlig institusjon. All behandling av personopplysninger skal være i samsvar med personvernprinsippene (se Datatilsynet for mer utfyllende informasjon):

  • Lovlighet, rettferdighet og åpenhet
  • Formålsbegrensning
  • Dataminimering
  • Riktighet
  • Lagringsbegrensning
  • Integritet og konfidensialitet
  • Ansvar

Mange forskningsinstitusjoner i Norge har inngått avtale med NSD (Norsk senter for forskningsdata) om personverntjenester, for å sørge for lovmessig behandling av personopplysninger i forskningsprosjekt (inkludert studentprosjekt). Forskere ved institusjoner som har inngått avtale med NSD, melder inn prosjekt til NSD for forhåndsvurdering.

All bruk av personopplysninger krever et behandlingsgrunnlag, et lovlig grunnlag for behandling (Personvernforordningen Artikkel 6). Innen forskning benyttes gjerne samtykke (bokstav a) og/eller en oppgave i allmennhetens interesse (bokstav e) som behandlingsgrunnlag. Et samtykke skal være frivillig, spesifikt, informert og utvetydig. NSD har utfyllende informasjon om samtykke samt mal for informasjonsskriv til deltakere i forskningsprosjekt.

Som oftest vil institusjonen hvor forskningsprosjektet er tilknyttet defineres som behandlingsansvarlig, og ha ansvar for lovmessig behandling av personopplysninger. I noen tilfeller vil det kunne være aktuelt med delt behandlingsansvar mellom institusjoner i samarbeidsprosjekt, og det er da viktig å inngå en avtale som beskriver de ulike partenes ansvar. Behandlingsansvarlig institusjon har etter personvernforordningen en rekke plikter, du kan lese mer om disse på Datatilsynets nettsider.

Hvis andre enn behandlingsansvarlig institusjon(er) skal behandle personopplysninger vil disse regnes som en databehandler, og det vil være nødvendig å inngå en databehandleravtale. Eksempler på dette kan være eksterne leverandører av IT-tjenester slik som programvare, en lagringstjeneste eller firma som transkriberer intervjuer. En databehandleravtale skal sørge for at personopplysninger blir behandlet i tråd med GDPR, og beskrive formål og rammene for behandlingen. For mange standardverktøy og -tjenester som tilbys via egen institusjon eller IT-avdeling vil det ofte allerede være inngått en databehandleravtale. Men særlig for mer spesialiert programvare, eller ved overføring av personopplysninger til samarbeidspartnere, så er det viktig å undersøke om det finnes en gjeldende databehandleravtale, eller om en slik må utarbeides for det aktuelle forskningsprosjektet.

Helseforskning

Forskningsprosjekt innen medisin og helsefag vil i tillegg til personvernforordningen også berøres av helseforskningsloven. Dette innbærer blant annet at alle prosjekt må forhåndsgodkjennes av en av de regionale komiteene for medisinsk og helsefaglig forskningsetikk, REK.

Kliniske studier har gjerne enda flere formelle krav, slik som godkjenning fra Statens legemiddelverk ved utprøving av legemidler. Den nasjonale forskningsinfrastrukturen NorCRIN har kompetanse og ressurser knyttet til planlegging og gjennomføring av klinisk forskning.

Ressurser og mer informasjon

Denne artikkelen gir bare en helt kort introduksjon til tematikken personvern i forskning, og dekker på ingen måte dette omfattende området. Her er noen gode ressurser for mer inngående informasjon: