Vi anbefaler at du alltid bruker siste versjon av nettleseren din.
Samtykke og informasjonsplikt
Mange prosjekter innen for eksempel kunstig intelligens benytter så mye data at det er ikke praktisk mulig å innhente samtykke. Dette kan gjøres så fremt man har lovmessig grunnlag for det (se [avklare formål] og [søknad om godkjenninger]).
Det er imidlertid slik at for enkelte prosjekttyper er det naturlig at det innhentes samtykke. For eksempel er hovedregelen for medisinsk og helsefaglig forskning er at deltakelse skal være basert på et informert, frivillig, uttrykkelig og dokumenterbart samtykke.
Merk at selv om det gis fritak fra samtykke, er det likevel et krav for alle prosjekter at det vurderes hvordan informasjonsplikten skal ivaretas! Du kan lese mer om dette i det følgende.
Plikten til å behandle personopplysninger på en åpen måte, betyr at virksomheten må gi kort og forståelig informasjon om hvordan de behandler personopplysningene. Loven sier altså at informasjon skal gis, men den sier ikke så mye om hvordan den skal gis. Virksomheten må derfor selv finne en passende måte å gi informasjonen på, innenfor visse rammer.
For å hjelpe til med å gi informasjon på en passende måte har Datatilsynet laget en veiledning som beskriver hvordan virksomheter kan gå fram for å ivareta informasjonsplikten ved behandling av personopplysninger. Denne omfatter
Overordnede krav
Hva skal virksomheten gi informasjon om?
Når skal virksomheten gi informasjon?
Hvordan skal virksomheten gi informasjon?
Unntak
Vi anbefaler å benytte seg av Datatilsynets veileder for å sørge for at informasjonsplikten og prinisippet om åpenhet kan ivaretas.
Som hovedregel skal samtykke baseres på informasjon om prosjektet og hva det vil si for personen å samtykke til deltagelse. Siden et informert samtykke skal være dokumenterbart innebærer det nesten bestandig skriftlig informasjon i form av et informasjonsskriv. Informasjonen skal også tilpasses den gruppen som skal informeres, f.eks. barn eller voksne.
Informasjonsskriv skal omfatte følgende:
Innledning med forespørsel
Formål til prosjektet
Ansvarlig institusjon
Hvilke metoder skal benyttes og hvilke data samles inn
At det er frivillig å delta og at en når som helst kan trekke seg uten å oppgi grunn
Prosjektperioden
Prosjektslutt og hva som skal skje med dataene etter dette, skal de slettes, anonymiserer eller lagres videre
Om vil kunne gjenkjennes i en publikasjon og hvilke typer opplysninger som eventuelt publiseres
Deltakernes rett til innsyn, retting og sletting av opplysninger mm.
Retten til å klage til Datatilsynet
Kontaktopplysninger til prosjektansvarlig og institusjonenes personvernombud
I tillegg bør informasjonsskrivet inneholde:
En bekreftelse på at opplysningene behandles konfidensielt.
En opplisting av hvem som har tilgang til personidentifiserbare data.
Hvor prosjektet er meldt inn/hvem det er godkjent av (eks. PVO, REK..).
Informasjon skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt gjennom annonsering. Det skal da informeres om følgende:
Navn og adresse på den behandlingsansvarlige.
Formålet med behandlingen.
Om opplysningene vil bli utlevert og hvem som i så fall er mottaker.
At det er frivillig å gi fra seg opplysningene.
Annet som gjør den registrerte i stand til å ivareta sine rettigheter.
Muligheten til å reservere seg mot forskning.
Prosjektleder skal vurdere i hvert enkelt prosjekt om det foreligger en selvstendig informasjonsplikt overfor registrerte, jamfør artikkel 12 – 14 i personvernforordningen (GDPR). I prosjekter hvor det er åpnet for gjenbruk av helseopplysninger som er innhentet på basis av samtykke, skal de registrerte som minimum informeres.
Forskningsdeltakere kan samtykke til at humant biologisk materiale og helseopplysninger brukes til bredt definerte forskningsformål. Dette kan for eksempel være aktuelt ved etablering av generelle forskningsbiobanker uten at det foreligger et konkret forskningsprosjekt. Plikten til å informere gjelder også andre prosjekter som ikke krever samtykke.
Deltakere som har avgitt bredt samtykke har krav på jevnlig informasjon om prosjektet. Den generelle informasjonsplikten innebærer at prosjektleder plikter å informere avgivere om aktuell bruk. Avgiver bør bli orientert om hvor denne informasjonen vil bli gitt, f.eks. kan jevnlig informasjon gis gjennom nettsider, aviser eller innkallingsbrev. REK skal godkjenne bruk av bredt samtykke og kan sette vilkår for bruken.
I enkelte tilfeller kan det likevel gjøres unntak fra informasjonsplikten. Dette kan for eksempel være aktuelt hvis
personopplysningene må holdes konfidensielle som følge av taushetsplikt
det er umulig å gi informasjonen
det vil innebære en uforholdsmessig stor innsats å gi informasjonen
informasjon sannsynligvis vil umuliggjøre eller i alvorlig grad hindre formålet med behandlingen