Hvilke avtaler trenger du?
På bakgrunn av kartleggingen du har gjort av roller og ansvar i prosjektet, sammen med deling av data (veilederens kapittel 6 og 9) må du vurdere om det er nødvendig å få på plass avtaler knyttet til behandling av personopplysninger. Mange institusjoner vil ha rutiner for hvilke avtalemaler som skal brukes og rutiner for kvalitetskontroll i forkant av signering. Vi anbefaler at du tar kontakt med personvernressurser for å undersøke hva som gjelder ved din institusjon. Husk at avtalene må inngås før den aktuelle behandlingen av personopplysninger settes i gang.
Avtale om felles dataansvar
Dersom det er et samarbeidsprosjekt der din institusjon er dataansvarlig sammen med en eller flere institusjoner må det inngås en avtale om felles dataansvar. Her er det viktig å være oppmerksom på at en samarbeidsavtale mellom institusjonene nødvendigvis ikke omfatter partenes plikter knyttet til behandling av personopplysninger. F. eks vil det i samarbeid være slik at det foreligger en samarbeidsavtale der andre forhold som finansiering, organisering og rettigheter knyttet til resultater og forfatterskap er regulert. Ved siden av vil det da være en avtale om felles dataansvar som beskriver partenes ansvar og roller knyttet til behandlingen av personopplysninger i prosjektet.
Databehandleravtale
Når det tas i bruk leverandører av f. eks laboratorietjenester, lagringstjenester ol., der leverandøren vil behandle personopplysninger på vegne av prosjektet (dataansvarlig), må det inngås en databehandleravtale. Denne avtalen vil sette rammen for behandlingen av personopplysninger. Merk også at det kan være tilfeller der din institusjon kan behandle personopplysninger på instruks fra andre og derfor vil ha rollen som databehandler, også da er det nødvendig å inngå en databehandleravtale.
Ved noen institusjoner er det inngått databehandleravtaler som også vil dekke behandling av personopplysninger i prosjekter ved institusjonen. Da vil det ikke være nødvendig å inngå en databehandleravtale for det konkrete prosjektet. Dersom du skal bruke databehandler kan det være nyttig å undersøke i forkant om det allerede foreligger en slik avtale eller om det er nødvendig å inngå en prosjektspesifikk databehandleravtale.
Du finner mer informasjon om databehandlere og databehandleravtaler i Normens faktaark 10. Helsedirektoratet har utgitt mal for standard databehandleravtale med veileder: Standard databehandleravtale med veileder
Andre avtaler som kan være relevante
Det kan oppstå situasjoner der du f. eks får forespørsel om å utlevere personopplysninger fra ditt prosjekt til et annet. Dette kan typisk være tilfelle der to eller flere prosjekter forsker på det samme fagområdet, og kan ha nytte av hverandres data uten at det foreligger noe ytterligere samarbeid. Det kan også være at en institusjon har tilgang til humant biologisk materiale som et forskningsprosjekt ved en annen institusjon trenger.
I en slik situasjon der du utleverer personopplysninger uten å bestemme verken formål eller midler ved behandlingen, er det ikke noe felles dataansvar. Det er likevel viktig å inngå en avtale om utlevering av data, som beskriver de nærmere vilkårene for utleveringen og behandlingen av personopplysninger i det andre prosjektet. Før du vurderer å overføre personopplysninger bør du lese veilederens kapittel 9 om å dele data.
Videre er det som nevnt over ikke uvanlig å både motta og utlevere humant biologisk materiale. Materialet analyseres og frembringer personopplysninger, og krever derfor at det inngås en avtale om felles dataansvar eller databehandleravtale.
I tillegg bør det også inngås en avtale som regulerer utleveringen av selve materialet, hvor det f. eks fremgår hva som utleveres og hvordan materialet er merket, rammer for bruk og analyser, oppbevaring, om det skal returneres eller destrueres etter at analyser er gjennomført mv.