6. Roller og ansvar

Når du setter i gang med et prosjekt må roller og ansvar avklares. Det er særlig viktig å ha klarhet i hvilken institusjon som bestemmer og har ansvaret for behandlingen av personopplysninger i prosjektet.

Å kartlegge roller og ansvar er blant annet viktig for å finne ut hva din institusjon må iverksette av tiltak for å ivareta personvernet til de registrerte i prosjektet, og hva som må være på plass av dokumentasjon, f. eks hvilke typer avtaler som skal inngås med eventuelle samarbeidspartnere. Ansvar og roller skal dokumenteres før datainnsamlingen i et prosjekt begynner.

Dersom du er usikker på rollene og ansvaret i ditt prosjekt, anbefaler vi at du tar kontakt med personvernressurser ved din institusjon i god tid før oppstart av datainnsamlingen i prosjektet.

Vi anbefaler også å lese Datatilsynets veileder om roller og ansvar, som gir gode forklaringer og eksempler: Behandlingsansvarlig og databehandler | Datatilsynet

Datanansvarlig institusjon

Etter personvernforordningen er en dataansvarlig institusjon forpliktet til å ivareta personvernet og informasjonssikkerheten knyttet til alle behandlinger av personopplysninger som skjer i institusjonen.

Dataansvarlig er etter personvernforordningens art. 4 nr. 7 definert som en «fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».

Med «midler» menes her hvordan vi behandler personopplysninger, f. eks hvilke opplysninger som skal samles inn, hvordan de skal analyseres, lagres og evt. brukes videre. Hvordan et prosjekt finansieres vil imidlertid ikke alene påvirke dataansvaret.

Vær oppmerksom på at det er institusjonen som bestemmer over behandlingen av personopplysninger i prosjektet og hvilken rolle institusjonen skal ha, ikke den enkelte prosjektleder.

Dersom din institusjon alene bestemmer formålet og midler ved behandlingen av personopplysninger, eventuelt har samarbeidspartnere som har liten eller ingen innflytelse på behandlingen av personopplysninger i et prosjekt, vil din institusjon være dataansvarlig.

I helseforskning vil som oftest rollen som dataansvarlig og forskningsansvarlig være sammenfallende, se definisjon av forskningsansvarlig i vedlegg 1. Det finnes imidlertid tilfeller der dette nødvendigvis ikke er samme institusjon.

En institusjon/virksomhet kan altså være dataansvarlig uten å være forskningsansvarlig. Et eksempel kan være legemiddelstudier der et helseforetak er forskningsansvarlig og dataansvarlig frem til utlevering av personopplysninger til sponsor, som også vil være dataansvarlig.

Hvilke plikter som er pålagt dataansvarlig institusjon, f.eks. om den registrertes rettigheter, krav til behandlingsgrunnlag mv., er regulert i helse- og personvernlovgivningen. Mange institusjoner har imidlertid også interne rutiner som beskriver hvordan disse pliktene skal etterleves i praksis, som er tilpasset den enkelte institusjon. Vi anbefaler derfor at du setter deg inn i hva som gjelder ved din institusjon.

Når flere institusjoner har felles dataansvar

Din institusjon kan være dataansvarlig alene, eller ha felles dataansvar sammen med andre institusjoner. Da vil din institusjon bestemme formål og midler ved behandling av personopplysninger (helt eller delvis) sammen med en eller flere andre institusjoner. Dette kan f.eks. være tilfellet i multisenterstudier.

For å finne ut av om det foreligger et felles dataansvar, kan det være nødvendig å ta en felles gjennomgang av hvilke aktiviteter knyttet til personvern den enkelte institusjon skal ha ansvar for å gjennomføre i prosjektet, og dokumentere dette sammen.

Et verktøy som kan brukes til denne øvelsen er flytskjemaet med steg-for-steg-veiledningen som hører til flytskjemaet.

Videre må ansvarsforholdene i et prosjekt tydelig kommuniseres utad. Det er f. eks viktig at informasjonen som de registrerte mottar i et prosjekt klart kommuniserer hvem som er dataansvarlig institusjon(er), og eventuelt for hvilke behandlingsaktiviteter (hvis det ikke er felles ansvar for hele behandlingen), slik at de registrerte vet hvor de kan rette henvendelser om sitt personvern.

I prosjekter der det er flere forsknings- og/eller dataansvarlige institusjoner må disse organisere seg på en måte som gjør at de på en god måte kan ivareta henvendelser fra den registrerte.

Databehandler

En databehandler er i Personvernforordningen art. 4 nr. 8 definert som «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige».

En databehandler vil ha liten eller ingen innflytelse på formålet med behandlingen av personopplysningene eller midlene som skal brukes. Databehandleren behandler opplysningene på instruks fra dataansvarlig institusjon.

Hvordan databehandler skal behandle de aktuelle personopplysningene skal reguleres i en databehandleravtale. Se kapittel 15.3 om databehandleravtaler og Normens faktaark 10 om bruk av databehandler.

Et eksempel på databehandlere kan være laboratorier som gjennomfører analyser på humant biologisk materiale som frembringer personopplysninger for et forskningsprosjekt. Andre eksempler er Tjeneste for sensitive data (TSD), SAFE og HUNT som et prosjekt kan bruke for å samle inn og lagre data.

I alle prosjekter som behandler personopplysninger er det viktig å kartlegge om en eller flere databehandlere er involvert. I prosjekter med flere dataansvarlige kan denne kartleggingen gjerne skje i den felles gjennomgang av aktiviteter i prosjektet.

Prosjektleders ansvar

De fleste typer prosjekter vil ha en utpekt prosjektleder, som har ansvaret for planleggingen og den daglige driften. Prosjektleder er gjerne den som i praksis skal følge opp, slik at prosjektet ivaretar lovpålagte krav til personvern og informasjonssikkerhet. Det er imidlertid viktig å understreke at institusjonen sitter med ansvaret.

Som prosjektleder kan du derfor forvente å få råd og veiledning fra din institusjon, og det er viktig at du gjennomfører prosjektet og behandlingen av personopplysninger i tråd med interne rutiner og i samråd med institusjonen din.

Det er kun helseforskningsloven som konkret regulerer hvilke forpliktelser og oppgaver en prosjektleder har i et helseforskningsprosjekt. Dette finner du i helseforskningsloven § 6 og forskrift om organisering av helseforskning § 5.

Alle forskere og forskningsprosjekter i Norge er imidlertid også bundet av forskningsetikkloven. Det er utarbeidet en rekke forskningsetiske retningslinjer, både generelle og innen ulike fagområder, f.eks. Generelle forskningsetiske retningslinjer.

Din institusjon vil også som regel ha egne rutiner der prosjektleders ansvar er nærmere beskrevet. I tillegg kan denne veilederen og flytskjema være verktøy prosjektleder kan bruke som et hjelpemiddel for å ivareta sitt ansvar.

Siste faglige endring: 04. april 2025