Veiledning til meldeskjema
Veiledningen bør leses før meldeskjema fylles ut.
1. Prosjekttittel
Oppgi prosjektets tittel, eventuelt arbeidstittel.
2. Behandlingsansvarlig institusjon
Den virksomhet som bestemmer formålet med behandlingen av personopplysningene og hvilke virkemidler som skal anvendes. Det er institusjonens ledelse som har et overordnet ansvar for at personopplysningslovens bestemmelser blir fulgt.
3. Daglig ansvar
Oppfør den som har det daglige ansvaret for prosjektet. For studentprosjekt oppføres faglig veileder. Faglig veileder og student må være tilknyttet samme institusjon.
4. Ved studentprosjekt
Feltet fylles ut med navn på student dersom behandlingen av personopplysningene gjennomføres som et studentprosjekt.
5. Formål med prosjektet
Gi en beskrivelse av prosjektets overordnete formål. Det er ikke nødvendig å redegjøre for alle forskningsspørsmål.
6. Prosjektomfang
Oppgi om det er en eller flere virksomheter som står bak/er ansvarlig for hele eller deler av undersøkelsen/behandlingen av personopplysningene.
7. Utvalgsbeskrivelse
Beskrivelse
Gi en beskrivelse av hvem som skal delta i undersøkelsen. Eksempler er; skoleelever med lese- og skrivevansker, pasienter, innsatte, organisasjonsmedlemmer. Dersom utvalget har kjennetegn som er spesielt for utvalget, gjøres dette rede for. Det må oppgis om personer med redusert eller manglende samtykkekompetanse inngår i utvalget.
Rekruttering og trekking
Gjør rede for hvordan utvalget trekkes; fra bestemte registre (for eksempel Folkeregisteret, pasientregister, registre ved sosialkontor), rekrutteres fra et eller flere miljø (for eksempel bedrifter, skoler, idrettsmiljø eller eget nettverk) eller om det er andre måter forsker skal komme i kontakt med eller få tak i dem som utgjør utvalget i prosjektet. Gjør også rede for hvem som foretar trekkingen/rekrutteringen.
Førstegangskontakt
Førstegangskontakt er første gang utvalget blir kontaktet og får kjennskap til prosjektet. Oppgi hvem det er som oppretter førstegangskontakt, for eksempel lærer, behandlende lege, prosjektleder.
Alder og antall
Oppgi aldersgruppe og antall registrerte som skal inngå i prosjektet. Dersom du ikke kjenner det eksakte antallet, oppgi et cirka antall.
8. Informasjon og samtykke
Informasjon
Beskriv hvordan informasjon til utvalget blir gitt, det vil si om informasjonen blir gitt skriftlig eller muntlig, og på hvilken måte den blir gitt, for eksempel brev, e-post, telefon, avis, tidsskrift eller ansikt-til-ansikt. Informasjonen bør som hovedregel gis skriftlig. Dersom informasjonen gis skriftlig, skal informasjonsskriv eller utkast til informasjonsskriv, legges ved meldeskjemaet. Muntlig informasjon kan supplere eller erstatte den skriftlige informasjon. Dersom informasjonen gis muntlig, skal det oppgis hvilken informasjon som vil bli gitt. Dersom det ikke skal gis informasjon til utvalget må dette begrunnes.
Se for øvrig forslag til informasjonsskriv.
Samtykke
Det innhentes samtykke
For å kunne svare ja på dette spørsmålet, må samtykket være en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av personopplysninger om seg selv. Dersom det svares ja på spørsmålet om samtykke, skal det oppgis hvordan frivillighetsaspektet er ivaretatt og på hvilken måte samtykke innhentes, for eksempel skriftlig erklæring, muntlig erklæring, retur av spørreskjema.
For mindreårige og umyndiggjorte skal samtykke som hovedregel innhentes fra foresatte eller verge. For personer med manglende eller redusert samtykkekompetanse skal det i størst mulig grad gis tilpasset informasjon. Pårørende og/eller verge/hjelpeverge skal informeres, om mulig, og hvis de har innvendinger, skal dette respekteres. I de tilfeller hvor personen har vært midlertidig inkompetent (for eksempel bevisstløs) skal han eller hun informeres i ettertid og gis muligheter til å fortsette eller trekke seg, dersom dette er relevant.
Det innhentes ikke samtykke
Dersom det svares nei på spørsmålet om samtykke, skal det gis en redegjørelse for hvorfor behandlingen er av en så stor allmenn og/eller samfunnsmessig interesse at behandlingen overstiger ulempene for enkeltindividet. Det skal videre oppgis hvorfor det ikke lar seg gjøre å innhente samtykke. Dette kan for eksempel være fordi det praktisk ikke lar seg gjøre eller at det er så store etiske betenkeligheter knyttet til det å innhente samtykke. Begrunnelsene må være konkrete. Dersom det benyttes andre former for samtykke, for eksempel generelt samtykke, passivt samtykke, stedfortredende samtykke, samtykke innhentet etter at behandlingen har funnet sted, eller dispensasjon fra taushetsplikten, skal dette oppgis her.
9. Metode for innsamling av personopplysninger
Personopplysningene kan innhentes på flere måter. De kan innhentes direkte fra den registrerte gjennom for eksempel personlig intervju, postale eller elektroniske spørreskjema, medisinske undersøkelser/tester. Personopplysninger kan også innhentes fra eksisterende registre (for eksempel Kreftregisteret, Medisinsk fødselsregister) eller ved dokumentgjennomgang (for eksempel sakspapirer hos PPT, sykejournaler etc.). Ofte kombineres ulike metoder. Husk å oppgi alle kilder til informasjon om personene som inngår i utvalget.
10. Datamaterialets innhold
Gjør rede for hvilke opplysninger som skal samles inn, og om opplysningene er sensitive eller ikke. Legg ved spørreskjema, intervjuguide, registreringsskjema e. a., som foreligger ferdig utarbeidet eller som utkast.
Sensitive opplysninger
Med sensitive opplysninger menes opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger.
Opplysninger om tredjeperson
Dersom det skal innhentes opplysninger om tredjeperson må dette oppgis. Med opplysninger om tredjeperson menes opplysninger om identifiserbare personer som ikke inngår i utvalget. Eksempler på opplysninger om tredjeperson er opplysninger om spesifiserte familiemedlemmer til den registrerte, som mor, far.
Det skal oppgis om tredjeperson informeres om behandlingen eller ikke. Dersom tredjeperson ikke skal motta informasjon, må dette begrunnes.
11. Informasjonssikkerhet
Med informasjonssikkerhet forstås en dokumentasjon av informasjonssystemet og sikkerhetstiltakene. Dette tilsvarer en beskrivelse av bl.a. hvordan datamaterialet registreres og oppbevares, sikring av konfidensialitet, tekniske tiltak (passordbeskyttelse, oppbevaring av direkte identifiserbare personopplysninger og avidentifiserte opplysninger atskilt og automatisk nedkobling av skjermbilder med personinformasjon).
Definisjon av personopplysninger
Direkte personidentifiserbare opplysninger er opplysninger som direkte kan identifisere den registrerte. Navn og 11-sifret fødselsnummer regnes som direkte personidentifiserbare opplysninger.
Indirekte personidentifiserbare opplysninger er opplysninger som kan identifisere den registrerte uavhengig av om dataene er tilknyttet direkte personidentifiserbare opplysninger. Eksempler på variabler som indirekte kan være med å identifisere deltakerne, er bruk av bosted sammen med alder, kjønn og eventuelt diagnose, yrke, idrettsaktivitet. Andre eksempler som kan medføre at en registrert er indirekte identifiserbar, er spesifikasjon av for eksempel organisasjonstilhørighet, arbeidsplass, sykehus og avdeling, kirke- eller moskétilhørighet sammen med ulike bakgrunnsvariabler.
Direkte personidentifiserbare opplysninger bør ikke registreres sammen med det øvrige datamaterialet, men det anbefales å opprette en koblingsnøkkel, dvs at de direkte personidentifiserbare opplysninger erstattes med et referansenummer/kode som viser til en atskilt liste. Dersom det er nødvendig å registrere opplysningene sammen med de direkte personidentifiserbare opplysningene, skal det gis en begrunnelse for det.
Sikring av konfidensialitet
Daglig ansvarlig og evt student plikter å holde oversikt over hvilke personopplysninger som skal behandles med elektroniske hjelpemidler og som må sikres spesielt mot at uvedkommende får adgang til dem. Den behandlingsansvarlige skal også vurdere sannsynligheten for at sikkerhetsbrudd kan forekomme: Er f.eks. pc-tilgangen beskyttet med brukernavn og passord og står pc-en i et låsbart rom? Videre skal den behandlingsansvarlige vurdere hvilken skade det vil volde den registrerte dersom sikkerhetsbrudd inntreffer: Kan sikkerhetsbrudd f.eks. føre til tap av personlig integritet eller anseelse? Vurderingene som gjøres skal dokumenteres.
Innhentes personopplysninger ved hjelp av e-post/Internett?
Med dette menes om selve datamaterialet samles inn gjennom e-post eller om man anvender andre former for kilder på nettet.
Overføres personopplysningene i eksternt datanett?
Med dette menes om personopplysningene skal samles inn eller overføres til andre gjennom eksternt datanett, f.eks. via e-post fra respondenten.
Dersom noen utenfor den virksomhet som er ansvarlig for undersøkelsen skal ha tilgang til datamaterialet må dette oppgis. Eksempelvis veiledere ved andre institusjoner, eksterne samarbeidspartere, myndighetene.
12. Vurdering/godkjenning av andre instanser
All medisinsk og helsefaglig forskning hvor det inngår forsøk på mennesker og som ikke er av en slik art at det regnes som en del av vanlig etablert behandlingsprosedyre skal fremlegges for en regional komité for medisinsk forskningsetikk, www.etikkom.no
Dersom det i forbindelse med studien opprettes en forskningsbiobank skal dette oppgis.
For å få utlevert taushetsbelagte opplysninger fra offentlige forvaltningsorgan, sykehus, trygdekontor, sosialkontor m.m., må det enten innhentes samtykke fra den opplysningene gjelder, eller det kan søkes om dispensasjon fra taushetsplikten. Dispensasjon søkes vanligvis fra aktuelt departement. Søknad om utlevering av helseopplysninger rettes til Sosial- og helsedirektoratet.
Det skal sendes melding til Statens legemiddelverk ved utprøving av legemidler. Statens legemiddelverk vurderer meldinger om klinisk utprøving i henhold til Forskrift om klinisk utprøving av legemidler til mennesker av 24.9.2003.
13. Prosjektperiode
Oppgis prosjektets varighet fra oppstart med førstegangskontakt/datainnsamling til sluttrapport.
Dersom datamaterialet skal anonymiseres etter prosjektslutt skal alle personopplysninger, både direkte og indirekte, slettes, omskrives eller grovkategoriseres, slik at det ikke lenger er mulig å føre opplysningene tilbake til enkeltpersoner i datamaterialet.
Data kan oppbevares med personidentifikasjon etter prosjektslutt i påvente av eventuelle oppfølgingsundersøkelser, og for historiske, statistiske og vitenskapelige formål. Hovedregel for lagring av data med personidentifikasjon er samtykke fra den registrerte. Det må videre gis konkrete begrunnelser for hvorfor data skal lagres med personidentifikasjon og om dette vil medføre noen ulemper for den registrerte.
Dersom lagringen av personopplysningene ikke skal baseres på samtykke setter personopplysningsloven strengere krav til nødvendigheten av lagringen. Det må da gis en redegjørelse for hvorfor lagringen er av en så stor samfunnsmessig interesse at den klart overstiger ulempene for enkeltindividet, og hvorfor det ikke skal innhentes samtykke.
14. Finansiering
Oppgi eventuelle finansieringskilder, eksempelvis NFR, legemiddelfirma, interne midler.
15. Tilleggsopplysninger
Oppgi eventuelle øvrige opplysninger om prosjektet som anses om relevante for personvernombudets vurdering.
16. Vedlegg
Oppgi antallet på vedleggene til meldeskjema. Eventuelle intervjuguider, spørreskjema, registreringsskjema, informasjonsskriv, mm. vedlegges.
