Fra 1. januar 2022 ble NSD (Norsk senter for forskningsdata) til en del av Sikt. Sikt personverntjenester for forskning er et rådgivende organ som høgskolen kjøper tjenester fra for å sikre at den planlagte behandlingen av personopplysninger i våre student- og forskningsprosjekter er i tråd med lovverket.
Hvis du skal behandle personopplysninger i ditt prosjekt kan det være nyttig å se denne presentasjonen "Grunnleggende om personvern i forskning" fra Sikt.
Meldeskjema
Alle som planlegger å behandle personopplysninger i student- og forskningsprosjekter ved høgskolen må melde prosjektet til Sikt via meldeskjemaet. Meldeskjemaet må sendes til Sikt minst 30 dager før oppstart av prosjektet og du må vente på svar fra Sikt før du kan starte prosjektet. Før du begynner å fylle ut meldeskjemaet bør du ha klart blant annet utkast til intervjuguide, spørreskjema og variabelliste. På Sikt sine hjemmesider finner du en rekke spørsmål og svar knyttet til meldeskjemaet. Sikt har også laget et e-kurs om meldeskjema og en presentasjon hvor de går igjennom utfyllingen av meldeskjemaet.
Felles innmelding av studentprosjekter (felles meldeskjema)
Dersom man har flere studentprosjekter med lik tematikk, kort varighet og lav personvernulempe kan man benytte felles vurdering og få vurdert prosjektene samlet. For å kunne benytte felles innmelding må emne- eller fagansvarlig ta rollen som prosjektansvarlig.
Personvernkonsekvensvurdering
I noen tilfeller kan det være behov for en personvernkonsekvensvurdering (Data Protection Impact Assessment - DPIA). Dette gjelder prosjekter hvor den planlagte behandlingen av personopplysninger innebærer en høy risiko for de registrerte. Det er Sikt som vurderer om det er behov for en DPIA. Dersom det er behov for en DPIA vil rådgivere i Sikt skrive denne i samråd med prosjektansvarlig.
I personvernforordningen fastsettes noen minimumskriterier for hva en vurdering av personvernkonsekvenser skal inneholde (artikkel 35 nr. 7):
a) En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen.
b) En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene.
c) En vurdering av risikoene for de registrertes rettigheter og friheter
d) De planlagte tiltakene for å håndtere risikoene og for å påvise at forordningen overholdes.
I tillegg er ansvarlighet et viktig personvernprinsipp, så til slutt må man bedømme og evaluere, og eventuelt godkjenne. Høgskolens PVO går igjennom DPIA og gir sine innspill før den deretter sendes til ledelsen for godkjenning.
På Sikt sine sider kan du lese mer om vurdering av personvernulempe.
Endringsmelding
Det er ikke uvanlig at det skjer endringer underveis i prosjektet. Dersom disse endringene får betydning for behandlingen av personopplysninger må de meldes til Sikt. Endringene melder du ved å oppdatere meldeskjemaet og bekrefte innsending på nytt. Når du melder om endringer må du vente på en vurdering fra Sikt før du går videre med prosjektet.