Aksel

Meny

Retningslinje

Retningslinjer for skriftlig samtykke

Her finner du retningslinjer for samtykke til innhenting av personopplysninger.

Brukerinnsikt

Innholdet kan være utdatert

Det er over 1 år siden innholdet ble revidert. Vi kan ikke være helt sikre på hvor nøyaktig artikkelen er lenger.

Hvorfor må vi be om samtykke?

For å lovlig kunne innhente og oppbevare personopplysninger i forbindelse med brukerundersøkelser i NAV, må vi ha et behandlingsgrunnlag. Behandlingsgrunnlaget når vi utfører brukerundersøkelser er i hovedregel samtykke. Samtykket gir den registrerte kontroll over egne personopplysninger, og er viktig av både etiske og juridiske grunner.

Les mer om behandlingsgrunnlag.

Vi trenger ikke be om skriftlig samtykke hvis vi ikke innhenter noen former for personopplysninger om brukeren. I slike tilfeller bruker du kun et informasjonsskriv til å fortelle hvem vi er, og hva undersøkelsen handler om.

En personopplysning er en hvilken som helst opplysning som kan knyttes til og identifisere en person enten direkte eller indirekte. Hva som er en personopplysning, kan derfor i noen tilfeller variere. I en stor by kan det være vanskelig å identifisere en person ved hjelp av yrket til en person, men det kan være ganske lett på et lite tettsted. I et utvalg på fem personer eller færre vil det alltid være fare for personidentifisering.

Hva er en personopplysning?

Eksempler

  • Navn
  • Alder
  • Yrke
  • Fødselsnummer
  • At en er bruker av NAVs tjenester
  • Inntekt
  • Adresse
  • Telefonnummer
  • E-postadresse
  • Arbeidsgiver
  • Bilder av en bestemt person
  • Lyd eller videopptak av en bestemt person
  • Fingeravtrykk
  • Evalueringer av prestasjoner som kan identifisere en person
  • IP-adresser
  • IMEI nummer i en mobiltelefon
  • Simkortnummer i en mobil
  • Metadata i en mobil, et IT-system eller en webside som kan identifisere en person
  • Logger i en mobil, en PC, en terminal, et IT-system, en webside, eller en database som inneholder personopplysninger

Etter personvernforordningen er noen personopplysninger definert som «særlig kategorier av personopplysninger» (tidligere omtalt som sensitive personopplysninger). Dette er opplysninger som har et spesielt beskyttelsesbehov og er opplysninger om:

  • Rase eller etnisk opprinnelse
  • Politisk oppfatning
  • Religion
  • Filosofisk overbevisning
  • Fagforeningsmedlemskap
  • Genetiske opplysninger og biometriske opplysninger
  • Helseopplysninger
  • Opplysninger om seksuelle forhold eller orientering

Det finnes fire absolutte krav som må være oppfylt for at et samtykke skal være lovlig. Et samtykke er ikke lovlig hvis bare tre av disse er oppfylt.

Samtykket må:

  1. være frivillig
  2. være utvetydig
  3. være informert
  4. ha et spesifikt formål

Hva skal til for at et samtykke er lovlig?

Kort oppsummert handler det om at vi må ha med det som den enkelte trenger å vite for å kunne foreta et reelt og informert valg - den som inviteres til å være med i en brukerundersøkelse må selv ønske å delta, og det må ikke være tvil om at deltakeren har samtykket til å delta. Personen må forstå hva det gis samtykke til og samtykket må ha et konkret og tidsavgrenset formål.

1. Samtykket må være frivillig

Det skal være et fritt og reelt valg for den enkelte.

  • Det må ikke være noen form for press eller tvang for å få personen til å samtykke.
  • Det må heller ikke være noen negative konsekvenser for personen hvis hen ikke samtykker til å delta i undersøkelsen.
  • Du kan heller ikke gjøre samtykket avhengig av å motta en fordel som motivasjon til å delta. Sagt på en annen måte, så kan vi ikke motivere til å avgi samtykke gjennom å gi løfter om å motta fordeler; for eksempel muligheten til å vinne en Ipad, motta gavekort eller lignende.
  • Informasjon om samtykke skal presenteres separat fra annen type informasjon. Det vil si at det som står i samtykkedokumentet skal handle om samtykke. Praktisk informasjon rundt undersøkelsen må presenteres i andre dokumenter.
  • Når vi selv rekrutterer brukere i lokalet på NAV-kontoret er det viktig at brukerne ikke misforstår hvem vi er, og for eksempel tror vi er veiledere som skal hjelpe dem med saken deres. For at brukerne skal oppleve det som frivillig å delta, må de tydelig skjønne hvem du er og hva du er der for å gjøre. Du bør derfor også skille deg ut fra veilederne ved hjelp av visuelle markører som klær eller besøkskort.

Deltakeren har rett til å trekke tilbake samtykke når som

helst

  • Det skal være like lett for en deltaker å trekke tilbake et samtykke som det er å gi det.
  • Deltaker skal være informert om retten til å trekke samtykke tilbake. Vi er pliktig til å informere om retten til å trekke samtykke tilbake når vi innhenter samtykke.
  • Et samtykke som trekkes tilbake fører til at behandlingen av opplysningene må avsluttes og opplysningene slettes. Vi har da ikke lenger et lovlig behandlingsgrunnlag.
  • Tilbaketrekking av samtykke skal behandles så fort mulig.

2. Samtykke må være utvetydig

Vi må bruke et klart og tydelig språk.

  • Det er viktig at vi bruker et klart og tydelig språk som er lett å forstå for målgruppen og at vi gir tilstrekkelig informasjon, slik at det er enkelt å ta stilling til om man ønsker å delta eller ikke.
  • Se NAVs språkstandard og Veilederen for språket på nav.no for tips.

Samtykke må gis gjennom en aktiv handling

  • Samtykke skal gis gjennom en aktiv handling for eksempel ved signatur (underskrift eller BankID), klikke på eller hake av i en boks.
  • Teksten må utformes slik at det ikke er tvil om at brukeren aktivt samtykker.
  • Et passivt samtykke er ikke et gyldig samtykke som for eksempel forhåndskryssede felter, taushet eller inaktivitet (eksempel: «samtykke anses som gitt om du ikke svarer innen to dager»).

3. Samtykket må være informert

Deltakeren må ha samtykkekompetanse.

  • De som inviteres til en brukerundersøkelse må forstå hva samtykket gjelder og hva det innebærer.
  • Samtykke kan kun innhentes fra personer som forstår konsekvensene av et slikt samtykke og kan ta egne avgjørelser. Eksempler på faktorer som kan spille inn på samtykkekompetansen til en bruker er alder, språk og sykdom.

Vi må gi nok informasjon om undersøkelsen til at deltakeren kan ta et informert valg.

  • For at personen skal kunne samtykke er det viktig at det informeres om hva det skal samtykkes til.
  • Når vi ber om samtykke må vi også forklare hvorfor vi ber om personopplysningene og hva vi skal bruke det til.
  • Vi må også forklare hva som skjer med personopplysningene etter at de er samlet inn.

Samtykke gjelder ikke andre enn den som samtykker

  • Samtykke gjelder ikke innhenting og bruk av personopplysninger om andre enn den som samtykker, som for eksempel personens ektefelle og barn over 13 år.

4. Samtykke må ha et spesifikt formål

Samtykke gjelder kun det som det gis informasjon om

  • Det må tydelig fremgå av teksten hva som er formålet med undersøkelsen. Samtykke gjelder kun det formålet som det gis informasjon om.

Det skal være mulig å samtykke til et formål, men unnlate å samtykke til et annet formål.

  • Hvis du planlegger å bruke dataene for flere formål, må du utforme samtykke slik at deltakeren kan samtykke for hvert formål
  • Du kan også gjøre det slik at det er mulig å samtykke til en type behandling innenfor et formål, men unnlate å samtykke til en annen type behandling innenfor samme formål. Det kan for eksempel være at noen ønsker å være med på brukertesten, men ikke vil ikke bli tatt opp på video.

Vi må innhente et nytt samtykke om opplysningene skal brukes til et nytt formål.

  • Vi må innhente et nytt samtykke hvis opplysningene som er samlet inn senere ønskes brukt til noe annet enn det som sto beskrevet i det opprinnelige samtykkeskjemaet.
  • Ønsker du å kontakte deltakerne ved en senere anledning, må du spørre om dette i samtykkeskjemaet slik at vedkommende kan samtykke til dette.

Andre krav til bruk av samtykke

Når innhenter vi skriftlig samtykke?

Samtykke må innhentes før selve undersøkelsen starter, dvs. før vi begynner å samle inn personopplysninger.

Må det opplyses i samtykke om lagring av personopplysninger, om personopplysningene ikke skrives ned og lagres?

Ja, i samtykket må det informeres om at ikke personopplysningen skal lagres. Deltakeren må vite hva vi skal gjøre med opplysningen. Dette gjelder også hva som ikke skjer.

Samtykke skal som hovedregel være skriftlig

  • Det finnes ingen rettslige krav til hvordan et samtykke skal utformes – et samtykke kan gis skriftlig, muntlig, ved bevegelse eller på andre måter. Det eneste kravet til form er at samtykke må kunne dokumenteres. Siden vi må dokumentere at samtykke er innhentet, er derfor hovedregelen at vi må ha skriftlig samtykke. Det er likevel ikke et krav om signatur ved samtykke. Det som betyr noe, er vi må kunne påvise at deltakeren har gitt et samtykke gjennom en tydelig bekreftelse fra riktig person.
  • Må du bruke muntlig samtykke er kravet om at samtykket skal kunne dokumenteres likt som for skriftlig samtykke.
  • Når det gjelder brukerundersøkelser som gjøres på telefon kan det være aktuelt å gjennomføre telefonintervjuer uten at det innhentes samtykke først om brukerundersøkelsen er av generell karakter. Det må derimot innhentes et aktivt samtykke fra bruker i forkant, dersom det gjelder den enkelte brukers sak.

Samtykke skal være i to eksemplarer

Personen som skal intervjues eller testes skal beholde ett eksemplar av det signerte eksemplaret selv, og vi skal ha en kopi.

Deltakeren skal også ha et informasjonsskriv med praktisk informasjon.

  • I samtykkedokumentet samtykker deltakeren til innhentingen av sine personopplysninger, men deltakeren bør også kunne ta stilling til om hen er komfortabel med å være med på selve den praktiske gjennomføringen av undersøkelsen. Praktisk informasjon om hvordan undersøkelsen gjennomføres gir vi i et informasjonsskriv. Praktisk informasjon kan være alt fra hvor deltakeren skal møte opp, dato og tid, hvor lang tid det tar og om vi ønsker at brukeren skal snakke høyt under brukertesten osv.
  • Praktisk informasjon inngår ikke i minimumskravene til et samtykke om innhenting av personopplysninger og skal holdes atskilt fra samtykkedokumentet. Da unngår vi også at viktig informasjon i samtykkedokumentet drukner i for mye tekst. Vi trenger ikke underskrift på informasjonsskrivet. Se retningslinjer og maler for informasjonsskriv (lenke)
  • Når bruker vi samtykke, og når bruker vi kun et informasjonsskriv
  • Har vi ikke behov for å vite hvem deltakeren er, så har vi ikke behov for samtykke. Da gjelder ikke personopplysningsloven, og vi trenger kun å bruke et informasjonsskriv.

Samtykke må dokumenteres og lagres.

  • Det må holdes oversikt over hvilke samtykker som er gitt av hvem, når, hvordan og hvem som har trukket samtykke.
  • Samtykke skal lagres adskilt fra de innsamlede personopplysningene. Se retningslinjer for lagring av samtykke og lagring innsikt.

Deltakerne kan trekke samtykket sitt og/eller få innsyn, rette, begrense eller slette personopplysningene sine.

Slike henvendelser skal behandles så raskt som mulig. Se rutine for innsyn, retting, begrensning og sletting av personopplysninger (NAVs intranett).

Medvirkende

Ståle K

Innspill til artikkelen

Logg inn med NAV SSO for å gi innspill til artikkelen