大象传媒

Enhver behandling av personopplysninger som er foretatt i andre 酶yemed enn forskning. Dette omfatter behandlinger av personopplysninger for 氓 administrere tilsattes, studenters og andres forhold til universitetet, ogs氓 n氓r disse opplysningene brukes som ledd i kvalitetssikring, samt andre behandlinger med hjemmel i universitets- og h酶yskoleloven. Tilsvarende er behandlinger som utf酶res i kvalitetssikrings酶yemed i helsetjenesten 氓 regne som administrative behandlinger.

Opplysninger der navn, f酶dselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger, direkte eller indirekte, kan knyttes til en enkeltperson.

Personopplysninger der navn, f酶dselsnummer og andre direkte personentydige kjennetegn er fjernet og erstattet av et nummer, kode, slik at opplysningene ikke umiddelbart kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakef酶res ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Avidentifiserte opplysninger er indirekte personidentifiserende opplysninger.聽

Enhver h氓ndtering av personopplysninger som ikke er i henhold til gjeldende regelverk, for eksempel manglende oppfyllelse av tidligere gitte konsesjonsvilk氓r, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd.聽

Enhver operasjon eller rekke av operasjoner som gj酶res med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk utlevering ved overf酶ring, spredning eller andre former for tilgengeliggj酶ring, sammenstilling eller samkj酶ring, begrensning, sletting eller tilintetgj酶ring.聽

Se ogs氓 Administrativ behandling og Behandling som ledd i forskning. Anonymisering av opplysninger er ogs氓 氓 anse som behandling.

Enhver behandling av helse- og personopplysninger som er foretatt i forsknings酶yemed.

En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer form氓let med behandling av personopplysninger og hvilke midler som skal benyttes. UiB er behandlingsansvarlig i de aller fleste tilfellene der det behandles personopplysninger ved UiB.

Dersom to eller flere behandlingsansvarlige i fellesskap fastsetter form氓l og midler som skal brukes skal de v忙re felles behandlingsansvarlige.聽

Ved UiB er rektor behandlingsansvarlig for behandling av personopplysninger i forskning.聽

Den som ut酶ver behandlingsansvarliges daglige ansvar p氓 vegne av rektor, i henhold til delegasjon

Kalles ogs氓 rettslig grunnlag for behandling av personopplysninger, og er et vilk氓r etter personvernforordningen. Enhver behandling m氓聽ha et behandlingsgrunnlag i samsvar med artikkel 6 og/eller artikkel 9. Kravene i artikkel 6 gjelder bestandig, kravene i artikkel 9 gjelder s忙rlige kategorier personopplysninger. For s忙rlige kategorier personopplysninger m氓 b氓de聽kravene i artikkel 6 og artikkel 9 v忙re oppfylt. Hver behandling av personpplysninger kan trenge flere typer behandlingsgrunnlag. Ogs氓 andre vilk氓r som form氓l og opplysningskvalitet m氓 oppfylles.

N氓r behandlingen utf酶res p氓 grunnlag av artikkel 6 nr. 1 c) 氓 oppfylle en rettslig forpliktelse, eller artikkel 6 nr. 1 e) ut酶ve en oppgave i allmennhetens interesse eller ut酶ve offentlig myndighet, er det krav i artikkel 6 nr. 3 om supplerende rettsgrunnlag i nasjonale bestemmelser (lov eller forskrift) eller i vedtak i medhold av lov eller forskrift.聽

Journal- og informasjonssystem eller annet helseregister som har til form氓l 氓 gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende m氓l i forhold til den enkelte pasient og som utf酶res av helsepersonell, samt administrasjon av slike handlinger.

Brukes synonymt med Humant biologisk materiale

Forskningsdeltakere kan samtykke til at humant biologisk materiale og helse- og personopplysninger kan brukes til n忙rmere bestemte, bredt definerte forskningsform氓l. Bredt samtykke krever jevnlig informasjon til prosjektdeltaker om prosjektet.

En ekstern fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger p氓 vegne av den behandlingsansvarlige. Forholdet mellom Behandlingsansvarlig og Databehandler er regulert i personvernforordningen artikkel 28.聽

N氓r UiB bruker eksterne leverand酶rer til 氓 behandle personopplysninger p氓 vegne av virksomheten, m氓 forholdet mellom behandlingsansvarlig virksomhet og databehandleren reguleres i en databehandleravtale, jf. personvernforordningen artikkel 28. En databehandler kan ikke behandle personopplysninger p氓 en annen m氓te enn det som er skriftlig avtalt med den behandlingsansvarlige. Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomf酶re egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter.

Med eksport av data menes her enhver tilgjengeliggj酶ring av data foruten til eget system/behandling eller til den registrerte selv eller noen som mottar data p氓 dennes vegne. For eksport av data utenfor EU/E脴S, se Overf酶ring til tredjeland utenfor E脴S

se GDPR

Det form氓l som ble oppgitt til personvernombud/r氓dgiver eller REK da prosjektet ble oms酶kt og etablert, og som f酶lger av forskningsprotokollen

Institusjon eller en annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjektet, og som har de n酶dvendige forutsetningene for 氓 kunne oppfylle den forskningsansvarliges plikter etter loven. Dersom egen virksomhet ikke er forskningsansvarlig for et forskningsprosjekt, er prosjektet 氓 regne som eksternt. Samarbeidsprosjekt skal v忙re nedfelt i samarbeidsavtale.聽

En samling humant biologisk materiale som anvendes i et forskningsprosjekt eller skal anvendes til forskning.

Helse- og personopplysninger om, eller opplysninger om humant biologisk materiale fra en forskningsdeltaker som skal inng氓 i forskning.

Det enkeltindivid (den personen) hvis opplysninger /biologisk materiale det forskes p氓. Forskningsdeltakere har en rekke rettigheter etter personvernregelverket og helseforskningsloven, enten prosjektet er basert p氓 samtykke (hovedregelen i medisinsk og helsefaglig forskning) eller ikke-samtykkebasert.聽

Hva som er 氓 betegne som et forskningsprosjekt er n忙rmere beskrevet i en forskningsprotokoll. Et prosjekt kan ha flere forskningsprotokoller. Ved endringer i forskningsprotokollen som medf酶rer endring i prosjektet, er prosjektet 氓 betrakte som et nytt prosjekt, jf. Rutine for oppstart av forskningsprosjekt. Andre endringer i forskningsprotokollen skal meldes til hhv personvernombud/r氓dgiver eller REK

Et eget omr氓de for forskning hvor forskningsdata kan oppbevares sikkert, etter n忙rmere definerte rutiner, se Sikker lagring. SAFE er UiBs forskningsserver.

The General Data Protection Regulation (GDPR) vedtatt 25. mai 2018, erstatter EUs personverndirektiv fra 1995. Forordningen har som m氓l 氓 styrke og forene personvernet for individer innenfor EU. Det omhandler ogs氓 eksport av personopplysninger til omr氓der utenfor EU. Hovedm氓let er 氓 gi borgere tilbake kontrollen over personopplysninger og 氓 forenkle regelverket for virksomheter ved 氓 ha ett regelverk som gjelder innenfor unionen.

Virksomhet som utf酶res med vitenskapelig metodikk for 氓 skaffe til veie ny kunnskap om helse og sykdom, jfr. helseforskningsloven 搂 4 a).

Praktiske rutiner for medisinsk og helsefaglig forskning, som skal sikre at helseforskning gjennomf酶res i henhold til gjeldende lovverk. Helseforskningsrutinene er utviklet i samarbeid med Helse Bergen, og skal blant annet sikre en tydelig ansvarsavklaring i prosjekter der begge institusjoner er involvert.聽UiBs rutiner for helseforskning er integrert i de generelle forskningsrutinene ved UiB

Personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand. Helseopplysninger er taushetsbelagte opplysninger i henhold til helsepersonelloven 搂 21. Helseopplysninger inng氓r i oversikten over s忙rlige kategorier personopplysninger i personvernforordningen, jf. artikkel 9 nr. 1.

Registre, fortegnelser mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Prosjekter som gjelder helsetjenesteforskning omfattes ikke av helseforskningsloven. Bruk av helseopplysninger til forskning forutsetter at den som eier opplysningene har tillatelse til 氓 utlevere dem. Slik tillatelse kan v忙re hjemmel i lov eller forskrift.

I andre tilfeller vil forsker m氓tte innhente dispensasjon fra taushetsplikt for 氓 f氓 tilgang til data. Slik dispensasjon er regulert i helsepersonelloven 搂搂 29 - 29c. Departementet har delegert myndigheten til 氓 dispensere fra taushetsplikten til den regionale etiske komit茅 (REK). Slike prosjekter er underlagt r氓df酶ringsplikt med personvernombud/r氓dgiver, fordi de omfatter s忙rlige kategorier personopplysninger, jfr. personopplysningsloven 搂 9 og 搂 10.聽

Organer, deler av organer, celler og vev og bestanddeler av slikt materiale fra levende og d酶de mennesker.

Med import av data menes her innsamling av data fra enhver annen kilde enn innenfor eget system/behandling og/eller innhenting fra den registrerte selv eller noen som avgir data p氓 dennes vegne.

Bakgrunnsopplysninger som kan gj酶re det mulig 氓 spore opplysningene tilbake til en enkeltperson, f.eks. bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kj酶nn, yrke, nasjonalitet eller annet.聽

Opprettholdelse av et adekvat niv氓 av konfidensialitet, integritet og tilgjengelighet for alle informasjonsressurser tilh酶rende UiB.聽 Databehandlingsansvarlig skal ha definert et akseptabelt risikoniv氓 for behandling av personopplysninger

Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en l酶sning.聽

Forskningsdeltakerens eller den registrertes rett til 氓 f氓 vite hvilke opplysninger som behandles om seg selv og for hvilke form氓l, jfr. personvernforordningen artikkel 15, med de begrensninger som f酶lger av personopplysningsloven 搂 17 for forskning.聽

se Informasjonssikkerhet

Planlagte og systematiske tiltak som er n酶dvendige for 氓 oppfylle kravene i eller i medhold av personopplysningsloven, herunder sikre personopplysningenes kvalitet. Den behandlingsansvarlige skal etablere og vedlikeholde internkontrollsystemet, og dokumentere tiltakene som utgj酶r internkontrollsystemet. Dokumentasjonen skal v忙re tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal ogs氓 v忙re tilgjengelig for Datatilsynet og Personvernnemnda

鈥�...vedvarende eller regelmessig gjentatt personoverv氓king ved hjelp av fjernbetjent eller automatisk virkende videokamera, fotografiapparat eller lignende apparat"

se Informasjonssikkerhet

se Meldeplikt

Kvalitetssikringsarbeid er en lovp氓lagt oppgave. Dette gjelder kvalitetssikringsprosjekter i helsetjenesten, og oppgaver som utf酶res med hjemmel i uhl. 搂 1-6, f.eks. studentunders酶kelser.

Oppbevaring av personopplysninger etter prosjektslutt. Opplysninger m氓 oppbevares hos en godkjent arkivinstitusjon, f.eks. Norsk senter for forskningsdata (NSD) eller Statistisk sentralbyr氓 (SSB)

se Helseforskning

Den tidligere ordningen med meldeplikt og konsesjonsplikt er bortfalt med GDPR. Det betyr at tidligere gitte konsesjoner fra Datatilsynet med krav og vilk氓r ikke gjelder lenger. I praksis betyr dette at selve adgangen til 氓 behandle personopplysninger ikke er falt bort, forutsatt at tidligere konsesjonsvilk氓r overholdes.聽

Ansvaret for behandlng av personopplysninger er flyttet til virksomhetene, og behandlingsansvarlig m氓 selv vurdere om en behandling av personopplysninger er tillatt, og har plikt til 氓 vurdere persovnernkonsekvenser.聽

Forskningsprosjekt som er basert p氓 茅n forskningsprotokoll, hvor forskningsprosjektet utf酶res ved flere virksomheter samtidig.

Den nasjonale forskningsetiske komit茅 for medisin og helsefag. NEM er klageinstans for avgj酶relser gjort av REK

Dekker skader p氓f酶rt pasienter av helsepersonell som yter helsehjelp i henhold til offentlig autorisasjon eller lisens, personer som opptrer p氓 vegne av disse, personer som har rett til 氓 ut酶ve yrke som helsepersonell midlertidig i Norge uten norsk autorisasjon, lisens eller spesialistgodkjenning eller andre personer som er fastsatt i forskrift. All forskning som gjennomf酶res av helsepersonell i offentlig og privat sektor omfattes av NPE. Det betyr at NPE ogs氓 dekker universitetet. Dette gjelder b氓de pasienter og friske fors酶kspersoner.

Sikt (tidligere NSD, Norsk senter for forskningsdata), leverand酶r av personverntjenester etter avtale med UiB. Sikt yter personverntjenester til UiB etter avtale med institusjonen. Prosjekter som har r氓df酶ringsplikt med personvernombud kan oppfylle den ved gjennomg氓tt vurdering hos Sikt.

Sikts meldingsarkiv gir en institusjoner en聽oversikt over behandlingen av personopplysninger i forskningsprosjektene聽der Sikts personverntjenester er benyttet for r氓df酶ring, etter avtale med institusjonen.

Prosjektene f酶lges fra forsker聽har sendt inn melding til Siktf酶r oppstart, gjennom eventuelle endringer i prosjektopplegget, og frem til prosjektene avsluttes og personopplysningene slettes eller lagres videre i tr氓d med n酶dvendige tillatelser. Meldingsarkivet innholder detaljert informasjon om det enkelte prosjekt, bl.a. om form氓l, utvalg, datakilder og type opplysninger, lagringsform, hjemmelsgrunnlag osv., samt alle relevante saksdokumenter. Prosjekter som har gjennomg氓tt vurdering hos Sikt importeres automatisk til RETTE etter fullf酶rt vurdering.聽Eventuelle endringer gj酶res via Meldingsarkivet.聽

Personopplysninger kan聽behandles hvis det er "n酶dvendig", jfr artikkel 6 nr. 1 b) - f). Dette omfatter grunner som avtale, rettslig forpliktelse, vitale interesser, oppgaver i allmennhetens聽interesse, ut酶velse av offentlig myndighet eller berettiget interesse. Ved berettiget interesse stilles det krav om interesseavveiing, jf. artikkel 6 nr. 1 f), og f氓r ikke anvendelse p氓 behandlinger som utf酶res av offentlige myndigheter under utf酶relse av deres oppgaver. For 氓 vurdere om n酶dvendighetskriteriet er oppfylt m氓 det begrunnes at behandlingen av personopplysninger er hensiktsmessig og relevant for 氓 oppfylle form氓let.聽

Behandling av personopplysninger i forskningsprosjekter vil ofte v忙re begrunnet ut fra n酶dvendighetskriteriet, ettersom forskning er definert som en oppgave som utf酶res i allmennhetens interesse. For oppgaver som utf酶res for oppfylle en rettslig forpliktelse, i allmennhetens interesse eller ut酶velse av offentlig myndighet, kreves det supplerende rettslig grunnlag i nasjonale bestemmelser. For forskning er dette gitt adgang til 氓 behandle personopplysninger for forskningsform氓l i den nye personopplysningsloven 搂 8.聽

se Sikker lagring og Informasjonssikkerhet

Prosjektleder har ansvar for at aktive forskningsdata - personopplysninger og humant biologisk materiale - og eventuell koblingsn酶kkel er forsvarlig oppbevart. Hvordan oppbevaring av aktive forskningsdata skal skje, m氓 v忙re avklart f酶r datainnsamlingen p氓begynnes. Ved bruk av UiBs eget system SAFE (Sikker Adgang til Forskningdata og E-infrastruktur) i medisinsk og helsefaglig forskning, og andre forskningsprosjekter som involverer sensitive personopplysninger, vil en rekke av de sikkerhetsmessige kravene som personopplysningsloven og helseregisterloven stiller, automatisk bli oppfylt gjennom de datatekniske l酶sningene og den sikkerhetsarkitekturen som er valgt.

Virksomheter som vil overf酶re personopplysninger til utlandet, kan bare overf酶re til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/E脴S-omr氓det er anerkjent som stater som sikrer at personopplysningene behandles forsvarlig, og derfor kan man overf酶re personopplysninger til disse statene, forutsatt at personopplysningslovens 酶vrige vilk氓r er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent聽 (Kilde: Datatilsynet, ).听

Alle typer opplysninger og vurderinger som kan knyttes til en fysisk person, enten direkte eller indirekte, f.eks. navn, identifikasjonsnummer, nettidentifikator, IP-adresse, ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, 酶konomiske, kulturelle eller sosiale identitet.聽

Opplysninger som ikke alene kan knyttes til en enkeltperson, kan i tilfeller hvor opplysningen kobles sammen med andre data, utgj酶re en personopplysning. Navn, f酶dselsnummer, studentnummer, kandidatnummer, ansattnummer, e-postadresse, genetiske opplysninger, lydopptak, IP-adresse, aktivitetslogger, kallenavn i sosiale media og p氓 internett er eksempler p氓 personopplysninger. Bilder, film og video som avbilder fysiske personer er ogs氓 personopplysninger.聽

Pseudonymiserte opplysninger, som inneb忙rer at opplysningene kan knyttes til en enkeltperson uten bruk av tilleggsopplysninger, er personopplysninger da de kan kobles til en enkeltperson ved hjelp av en koblingsn酶kkel.

Den norske personopplysningsloven, vedtatt 20. juli 2018, som implementerer GDPR i norsk lov. Personopplysningsloven inneholder tilleggsbestemmelser som er relevante for forskning, herunder 搂 8 (adgang til 氓 behandle personopplysninger for forskning), 搂搂 9 - 11 (r氓df酶ringsplikt med personvernombud/r氓dgiver) og 搂 17 (unntak fra den registrertes rettigheter).听

Opprettholdelse av et adekvat niv氓 av konfidensialitet, integritet og tilgjengelighet for alle personopplysninger som UiB er behandlingsansvarlig for. Et brudd p氓 personpplysningssikkerheten er et informasjonssikkerhetsbrudd som har f酶rt til en utilsiktet og/eller ulovlig 酶deleggelse, tap, endring, uautorisert utlevering av, og/eller tilgang til personopplysninger.

Enhver strukturert samling av personopplysninger som er tilgjengelig etter s忙rlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt p氓 et funksjonelt eller geografisk grunnlag, jfr. personvernforordningen artikkel 4 nr. 6).听

Den korte definisjonen av personvern er retten til privatliv og retten til 氓 bestemme over egne opplysninger. Personvern er ivaretakelse av personlig integritet og ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autono颅mi) og selvutfoldelse. Begrepet er dermed sosialt vinklet. Personvern er knyttet til retten til聽personlig integritet聽og til 氓 ha en egen聽privat sf忙re聽som en selv kontrollerer. Personvern er viktig for ytringsfrihet聽for hvis en borger f酶ler sitt personvern svekket, kan det forringe f酶lelsen av frihet til ytring og dermed til 氓 delta i samfunnet.

Personopplysningsvern er聽den delen av personvernet som dreier seg om regler og standarder for behandling av personopplysninger. Begrepet er dermed noe mer teknisk vinklet og er ment 氓 st酶tte opp under personvernets sosiale vinkel.

se GDPR

Et uavhengig ombud, hvis hovedoppgave er 氓 informere og gi r氓d om de forpliktelsene virksomheten har etter personvernlovgivningen til den behandlingsansvarlige eller databehandleren, samt til de ansatte eller andre som utf酶rer behandlingen av personopplysninger.聽

N氓r en det behandles s忙rlige kategorier personopplysninger, samt opplysninger om straffedommer og lovovertredelser, for forskningsform氓l, har den behandlingsansvarlige plikt til 氓 r氓df酶re seg med personvernombudet eller annen som oppfyller vilk氓rene, jfr. personopplysningsloven 搂搂 9 - 10. UiB har avtale med NSD (Norsk senter for forskningsdata) for personverntjenester i forskning, heretter kalt personvernr氓dgiver.聽

Inntreffer n氓r forskningsdata skal anonymiseres, slettes eller langtidsoppbevares. N酶yaktig dato er oppgitt i godkjenning fra personvernombud eller REK. Dersom forskningsprosjektet ikke er avsluttet innen oppgitt dato m氓 rutine for prosjektendring f酶lges.聽

se Forskningsdeltaker

Definisjonen i helseforskningsloven lyder: "En fysisk person med ansvar for den daglige driften av forskningsprosjektet, og som har de n酶dvendige forskningskvalifikasjonene og erfaringer for 氓 kunne oppfylle prosjektlederens plikter etter denne loven." (hfl. 搂 4 f))聽

Prosjektmedarbeidere er alle som er involvert i prosjektet (forskere, doktorgradsstudenter og studenter). Student p氓 lavere niv氓 enn doktorgrad skal v忙re prosjektmedarbeider og kan ikke v忙re prosjektleder.

Behandling av personopplysninger p氓 en slik m氓te at personopplysningene ikke lenger kan knyttes til en bestemt person uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres adskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person.聽

Den som en personopplysning kan knyttes til.

Regional komit茅 for medisinsk og helsefaglig forskningsetikk. REK er delt inn i regionale avdelinger. REK Vest har ansvar for Vest-Norge, men saker fordeles mellom REK'ene etter kapasitet. REK godkjenner medisinsk og helsefaglig forskning p氓 mennesker, humant biologisk materiale eller helseopplysninger, inkludert pilotstudier og utpr酶vende behandling.

UiBs eget system (forskningsserver) for sikker lagring av sensitiv persondata i forskningsprosjekter.

Virksomhetens formelle saksarkiv, der alle formelle brev, notat og sluttrapporter tilknyttet saker skal arkiveres enten de er sendt elektronisk eller p氓 papir.

Enhver frivillig, spesifikk, informert og utvetydig viljesytring. Samtykke er et av flere mulige聽rettslige grunnlag etter personvernforordningen. Det m氓 alltid vurderes hvilket rettslig grunnlag er det mest egnede, basert p氓 form氓let med behandlingen.聽

Ut fra et forskningsetisk perspektiv vil alltid hovedregelen v忙re frivillig deltakelse basert p氓 et informert samtykke. Etter聽personvernregelverket vil det juridiske grunnlaget for informasjonsbehandlingen for forskningsform氓l som regel ikke v忙re samtykke,聽men at behandlingen av personopplysninger for form氓l knyttet til vitenskapelig forskning er en oppgave i allmennhetens interesse, se N酶dvendighet som rettslig grunnlag.聽

Skytjenester (cloud computing) er en samlebetegnelse p氓 alt fra dataprosessering og datalagring til programvare p氓 servere som er tilgjengelig fra eksterne serverparker tilknyttet internett. Serverparker kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden betaler for det den faktisk bruker. Mange eksterne serverparker st氓r utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er 氓 s酶rge for at avtalen med skytjeneste-leverand酶ren er i samsvar med norsk lovgivning. (Kilde: Datatilsynet)

Prinsippet om lagringsbegrensning inneb忙rer at personopplysninger skal slettes eller anonymiseres n氓r de ikke lenger er n酶dvendige for form氓let de ble innhentet for.聽

Statens legemiddelverk

Oppgaver som utf酶res i forbindelse med bachelorgrad/hovedfag/mastergrad ved h酶yskole eller universitet. Doktorgradsstudier defineres som ordin忙re forskningsprosjekt.聽

(Tidligere kalt 'sensitive personopplysninger') Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, filosofisk eller religi酶s overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det form氓l 氓 entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.聽

Plikt til 氓 hindre andre 氓 f氓 adgang eller kjennskap til visse opplysninger. Taushetsplikt kan f酶lge av lov, instruks eller avtale.聽

se ogs氓 Informasjonssikkerhet

Prosjektleder kan utlevere personopplysninger, herunder helseopplysninger, dersom den eksterne virksomhet har selvstendig behandlingsgrunnlag. Det vil enten v忙re til samarbeidende forskere hvis den enkelte har samtykket til 氓 delta i prosjektet og til at data kan deles med samarbeidende forskere, og at utleveringen er omfattet av REKs godkjenning (helseforskning). Det forutsettes at det foreligger en samarbeidsavtale mellom partene og at ansvaret for behandling av personopplysninger er avklart i henhold til personvernforordningen artikkel 26. Alternativt at den mottakende parten har eget behandlingsgrunnlag f.eks. vedtak om dispensasjon fra REK.

Dersom en ekstern virksomhet skal bearbeide eller drifte data p氓 vegne av prosjektet, er behandlingsgrunnlaget avledet fra den behandlingsansvarliges behandlingsgrunnlag, og det skal inng氓s en Databehandleravtale. Den eksterne kan ikke behandle data p氓 annen m氓te enn det som er avtalt.