Håndtering av personopplysninger

 
I mange forskningsprosjekt som vi har ansvar for, blir det benyttet personopplysninger. All håndtering av personopplysninger skal foregå i samsvar med Personopplysningsloven. Denne loven stiller en rekke krav til hvordan personopplysninger skal behandles.
 
Ved Møreforsking danner følgende  prosedyrer rammene for vårt internkontrollsystem for håndtering av personopplysninger:
 
1.   Alle prosjekt som har personopplysninger knyttet til seg, skal meldes til Norsk Samfunnsvitenskaplig Datatjeneste - NSD (både kvalitative og kvantitative undersøkelser).
2.   Melding skal sendes minst 30 dager før datainnsamlingen starter. Det betyr at:
  • Så snart en forsker har et prosjekt, må vi starte å tenke på melding til NSD.
  • Oppdragsgiver må informeres om dette når vi får/er i ferd med å få et prosjekt med kort frist.
  • Prosjekt skal ikke påbegynnes før vi har fått svar fra NSD
3.   Elektronisk meldeskjema ligger på NSD's hjemmesider.  
4.   Det kreves konsesjon fra Datatilsynet for å behandle sensitive dataopplysninger. I tilfelle det skal benyttes sensitive opplysninger, meldes dette til NSD.
5.   Det skal alltid innhentes samtykke til deltaking.
6.   Til alle kvantiative undersøkelserskal det benyttes et følgebrev, som gir informasjon om hva respondenten samtykker til. Skrivet skal mellom annet inneholde informasjon om:
  • Formål med behandlingen
  • Hvem som er ansvarlig
  • At det er frivillig å delta
  • Hvordan data lagres (tidsperiode og tilgang)
  • Rettigheter den registrerte har ifbm. retting og sletting av opplysningene.
      Les mer om informasjonsskriv og last ned eksempel her.      
 
7.   Det skal ikke samles inn mer personopplysninger enn nødvendig.
8.   Personopplysninger skal ikke være tilgjengelige for flere enn det som er nødvendig utfra formålet med innsamlingen.
9.   Alle data skal slettes når det ikke lenger er nødvendig å lagre de til det opphavlige formål. De skal ikke benyttes til annet formål enn det som er oppgitt i melding til NSD uten at det sendes endringsmelding. Det vil i en del tilfeller også være nødvendig å informere respondenten om endringer.
10. Dersom en ekstern part behandler data på vegne av Møreforsking, skal standard databehandleravtale benyttes. Denne stiller krav til at den samarbeidende part setter like strenge krav til behandling av personopplysninger som Møreforsking.
 
Som en del av Møreforsking's internkontrollsystem, skal administrative ledere på avdelingene en gang per år gå gjennom en sjekkliste med direktøren.