Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

8. Dataflyt og sikkerhet

For å få en oversikt over dataflyten i prosjektet bør du lage en konkret plan for hvordan prosjektet skal samle inn, analysere, koble, lagre, dele og sikre personopplysninger, samt tidspunkt for sletting eller anonymisering. For mange kan det være nyttig å illustrere dataflyten i et flytskjema.

​​

Vi anbefaler at du tar med følgende momenter i beskrivelsen av dataflyten i prosjektet:

  •  
  • alle datakilder
  • alle enheter og kanaler dataene skal innom
  • om/hvordan data om enkeltpersoner fra ulike datakilder kobles
  • om personopplysninger lagres sammen med eller adskilt fra datasettet
  • hvor eventuell koblingsnøkkel lagres
  • hvem som får tilgang til personopplysninger (institusjon og rolle). Prosjektleder må sørge for at det finnes en løpende oversikt over hvilke navngitte personer som til enhver tid har tilgang til hvilke personopplysninger og hvorfor slik tilgang er nødvendig. Husk å oppdatere tilganger ved endringer i prosjektgruppen.
  • hvilke opplysninger de ulike mottakerne skal ha tilgang til og til hvilket tidspunkt
  • hvorfor de får tilgang
  • om publikasjoner vil inneholde anonyme eller personidentifiserende data
  • hvordan prosjektet avslutter behandlingen av personopplysninger (sletting, anonymisering eller viderebehandling)

Videre bør du beskrive og vurdere følgende sikkerhetstiltak:

  •  
  • vurderes for hver enhet og kanal som dataene flyter gjennom
  • kan være tekniske og/eller organisatoriske
  • skal være egnet til å sikre dataene mot uautorisert deling, endring og sletting
  • må være mer grundig jo høyere personvernrisikoen er, se veilederens kapittel 13 om personvernkonsekvensvurdering (DPIA)

Beskrivelsen av dataflyt og vurderingen av sikkerhetstiltak må være god og riktig. Det kan være hensiktsmessig og i noen tilfeller nødvendig, å be om bistand fra IT-ressurser ved din institusjon for å sikre dette, særlig når dataflyten er kompleks og/eller kan innebære høy risiko. Du bør også rådføre deg med din institusjon dersom prosjektet skal bruke nytt utstyr, løsning eller leverandør som ikke allerede er vurdert av institusjonen. Vi anbefaler at du gjør dette i god tid før datainnsamling.

Se også Normens faktaark 25 om lagringstid og sletting og Normens veileder om risikostyring for informasjonssikkerhet og personvern.

Ved oppstart av et prosjekt er det gjerne mange prosesser som pågår samtidig. Det er derfor viktig at du skaffer deg oversikt over dataflyten, f. eks. utarbeidelse av søknader, informasjon- og samtykkeskriv mv. Du må da huske på at det skal være samsvar mellom dataflyten i prosjektet og den informasjonen du gir til den registrerte og REK, Helsedataservice, Helsedirektoratet, Direktoratet for medisinske produkter mv.

 

Siste faglige endring: 31. mars 2025