Vurdering av risiko og forsvarlighet ved forskning på skoler og barnehager

Last ned som pdf

Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora (NESH) er et rådgivende organ, som arbeider for å fremme god og etisk forsvarlig forskning. NESH er en del av forvaltnings­organet De nasjonale forskningsetiske komiteene (FEK), og medlemmene er oppnevnt av Kunnskaps­departementet (KD) etter innstilling fra Forskningsrådet i tråd med reglene i forskningsetikkloven § 9. Nåværende komité er oppnevnt for perioden 2026–2029. Komiteen er faglig uavhengig og avgjør selv hvilke saker komiteen tar til behandling. En uttalelse fra NESH er rådgivende og kan være utgangspunkt for videre refleksjon og eventuelle endringer i praksis. Forskere og forskningsinstitusjoner har et selvstendig ansvar for å sikre at forskningen de utfører, er god og etisk forsvarlig.

NESH mottok 4. november 2025 en henvendelse fra Ingjald Pilskog, førsteamanuensis ved Fakultet for lærerutdanning, kultur og idrett på Høgskulen på Vestlandet (HVL), angående Bergen kommune (BK) og deres praksis knyttet til forskningshenvendelser for kommunale skoler og barnehager. Saken ble diskutert på NESH-møte 25. november, og den forrige komiteen etterlyste mer informasjon. BK redegjorde for sitt syn i brev av 27. januar 2026, og saken ble behandlet av den nye komiteen på NESH-møter 12. februar og 3. mars. 

NESH har gjort en forskningsetisk vurdering av henvendelsen med utgangspunkt i Forskningsetiske retningslinjer for samfunnsvitenskap og humaniora (NESH 2023). I denne uttalelsen vil NESH spesielt trekke frem betydningen av å foreta en selvstendig forskningsetisk vurdering av risiko og forsvarlighet ved forskning på skoler og barnehager.

Bakgrunn

Bakgrunnen for saken er at BK de siste årene har utviklet et system for Forskningshenvendelser for kommunale barnehager og skoler i Bergen. Formålet er å sikre at forskningsprosjektene tar hensyn til barnas beste, personvern og skolens/barnehagens kapasitet. BK har utviklet interne rutiner hvor det skilles mellom søknader om bachelor- og masteroppgaver, som blir vurdert av relevant skole, barnehage eller etat for tilrettelagt opplæring, og søknader om PhD og større forskningsprosjekt, hvor etaten først vurderer søknaden, før den blir vurdert av relevant enhet. I vurderingen av PhD og større forsknings-prosjekter er det mer fokus på risiko, og BK stiller krav om dokumentasjon både av vurdering av personvernkonsekvenser (DPIA) og vurdering av risiko og sårbarhet (ROS).

Henvender er kritisk til dette systemet og viser til en rekke saker høsten 2025 hvor saksbehandlingen til BK har skapt utfordringer for studenter og forskere ved HVL. Henvender fremhever følgende punkter:

1. BK gir administrative avslag på søknader begrunnet med at de ikke har kapasitet til å behandle søknadene. Siden det ikke er basert på et enkeltvedtak, er det heller ikke klagerett. Dette er et hinder for fri forskning, og BK opptrer som en «portvokter».
   
   
2. BK stiller krav om samtykke fra alle elevene som er til stede i klasserommet. BK anser heller ikke de risikoreduserende tiltakene som tilstrekkelige. Henvender mener kommunens krav om samtykke fra alle elevene er urimelig og at kommunen overser de negative konsekvenser for elever som eventuelt må tas ut av klasserommet. Henvender har avvist krav om å oversende samtykkeskjema og DPIA til godkjenning.
   
   
3. BK stiller urimelige krav knyttet til bruk av KI-verktøy. Henvender ønsker å gjøre transkripsjoner av opptak ved hjelp av UiOs KI-tjeneste Autotekst (Whisper fra OpenAI), som ifølge henvender følger personopplysningsloven. Det foreligger også en avtale mellom UiO og HVL som regulerer bruken. Henvender mener BK opptrer som «portvokter» når de nekter forskerne å bruke KI-verktøy, som allerede er vurdert og godkjent av en ansvarlig forskningsinstitusjon.

Avgrensning

Mange spørsmål i henvendelsen handler om personvern, jf. personopplysningsloven som gjennom­fører EUs personvernforordning (General Data Protection Regulation, GDPR), som Norge er bundet av gjennom EØS-avtalen. NESH skal i denne uttalelsen primært vurdere forskningsetikken, men vil først omtale noen juridiske sider av saken. NESH har tidligere klargjort dette skillet i Uttalelse om personvern og forskningsetikk (2025/156).

NESH legger til grunn at HVL som ansvarlig institusjon må overholde lovverk og regelverk ved behandling av personopplysninger, mens BK har et selvstendig ansvar for å vurdere tilgang til opplysninger om barn i skoler og barnehager. NESH mener derfor det er legitimt at BK etterspør dokumentasjon på hvordan forskerne og HVL overholder sitt ansvar, jf. GDPR artikkel 5(2) om den behandlingsansvarliges ansvar. Basert på denne grunnleggende rollefordelingen, gjør NESH følgende vurderinger:

For det første mener NESH at det er forståelig at BK vurderer søknader basert på hensyn til personvern, barnets beste og skolen/barnehagens kapasitet. Slike vurderinger kan være både kompliserte og tidkrevende, og NESH har forståelse for at BK som forvaltningsorgan må sikre likebehandling, jf. likhets­prinsippet og forvaltningsloven. Det er imidlertid uheldig dersom forskning ikke blir vurdert på grunn av begrenset kapasitet i byrådsavdelingen og avvist i form av en administrativ avgjørelse. NESH har forståelse for at dette i stor grad handler om prioriteringer og økonomi, men ser samtidig at det er uheldig at BK stiller krav om godkjenning som forskerne i praksis ikke kan innfri. Når BK har valgt å etablere en egen saksbehandling for forskning, og med egne kriterier, mener NESH at kommunen også må sette av tilstrekkelig ressurser for å realitetsbehandle henvendelser om forskning.

For det andre mener NESH det er rimelig at BK etterspør dokumentasjon om informasjon og samtykke. Det bør være klart at det handler om dokumentasjon, ikke om å overprøve vurderingene til forsker eller forskningsinstitusjon. Ansvaret for behandlingen av personopplysninger ligger hos behandlingsansvarlig institusjon, ikke hos kommunen, men BK har et selvstendig ansvar for å sikre at det foreligger dokumentasjon når de vurderer tilgang. Siden denne saken primært handler om risiko og forsvarlighet, går ikke NESH nærmere inn på juridiske spørsmål om informasjon og samtykke her, men begrenser seg til å vise til Datatilsynets veileder om samtykke fra mindreårige.

For det tredje mener NESH det er rimelig at BK etterspør dokumentasjon om DPIA. BK forklarer at det ikke er et krav at det skal være gjennomført en DPIA, men det skal alltid gjøres en vurdering av behovet for en DPIA. Dersom det ikke er nødvendig, skal også denne vurderingen kunne dokumenteres. Derfor er det rimelig at forskere og forskningsinstitusjon kan fremlegge dokumentasjon av hvilke vurderinger som er gjort. I denne saken er det høyst rimelig fordi det er snakk om forskning på barn og unge, som er en sårbar gruppe, og fordi det dreier seg om både opptak av lyd og bilde og bruk av KI-verktøy. NESH viser i denne sammenheng til Datatilsynets liste over behandlingsaktiviteter som alltid krever at det gjennomføres en DPIA, herunder kameraovervåking i skoler og barnehager i åpningstider; behandling av personopplysninger for systematisk monitorering av ansatte; og behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager. 

NESH mener, for det fjerde, at spørsmål om vurdering av risiko ved bruk av KI-verktøy i stor grad handler om juss, jf. EUs AI Act og utkast til ny norsk KI-lov. NESH har forståelse for at slike vurderinger kan være krevende, og at det handler om ressurser og kapasitet. Men ledelsen ved forsknings­institusjonene har like fullt ansvar for ivaretakelse av informasjonssikkerhet, personvern og forskningsetikk, herunder vurdering av risiko og forsvarlighet ved bruk av KI-verktøy. I denne saken foreligger det, ifølge henvender, både en vurdering fra UiO av KI-verktøyet og en avtale med HVL som sikrer personvernet. NESH mener det er rimelig at både forsker og institusjon kan dokumentere hvilke vurderinger som er gjort av risiko ved bruk av KI-verktøy, jf. NESHs Uttalelse om prosjektet KidAd (2024/121). 

For det femte mener NESH det er viktig å tydeliggjøre ansvaret til både eier og ansatte ved skole og barnehage, jf. opplæringslova § 10-1 om «det beste for eleven». De ansatte må, på lik linje med andre som deltar i forskningen, få informasjon og gi samtykke til å delta, uten press eller føringer fra kommunen eller fra ledelsen ved skole eller barnehage. De ansatte må også ha mulighet til å avbryte forskningen i klasserommet dersom deres profesjonelle vurdering av risiko og forsvarlighet tilsier at det er nødvendig av hensyn til barnas beste, jf. barnelova og Grunnloven § 104. 

NESH anerkjenner at saken reiser prinsipielle spørsmål om oppgavefordeling i offentlig sektor og forholdet til akademisk frihet, jf. universitets- og høgskoleloven § 2-2. De kriteriene som BK har satt opp for å vurdere søknader er alle saklige, og er beskyttet på ulike måter i relevante lovverk. Det kan likevel oppstå utfordringer dersom forvaltningsorganer og forskningsinstitusjoner, slik som BK og HVL, har ulike syn på hvordan kriteriene skal tolkes. Det kan for eksempel være ulike, men hver for seg rimelige, oppfatninger om hva som er til barnets beste og hvor langt personvernhensyn rekker. Slik kriteriene er formulert, kan de også føre til at kommunen går inn og gjør vurderinger av metodevalg i forskningen. NESH mener at valg av metode bør være opp til forskerne, og forskningsinstitusjonen skal sikre at forskningen er forsvarlig. Derfor bør BK vise tilbakeholdenhet i å legge føringer og begrensninger på metodevalg. Kommunen har et medansvar for å bidra til å sikre forskningens uavhengighet, jf. NESHs retningslinjer (2023), punkt 38.

Oppsummerende mener NESH at det er positivt at BK har laget et system for forsknings­henvendelser, jf. NESHs retningslinjer (2023), punkt 34: «Offentlig forvaltning bør legge til rette for uavhengig forskning på virksomheten og dataene sine». Komiteen håper uttalelsen kan være til hjelp for å videreutvikle dette systemet, og til inspirasjon for andre kommuner som skal legge til rette for fri og uavhengig forskning.

Samtidig vil NESH fremheve at ledelsen ved HVL har det overordnete ansvaret for etterlevelse av personvernlovgivningen og annet lovverk som skal sikre ivaretakelse av de registrertes rettigheter og friheter. NESH håper at uttalelsen vil være en ressurs i det videre arbeidet med personvern og forskningsetikk, parallelt med videreutviklingen av virksomhetens systemer for internkontroll, informasjonssikkerhet og risikostyring, jf. Årsrapport for 2025 fra Personoverombudet ved HVL. 

NESH har forståelse for at vurderinger av personvern kan være sammensatte, og i lovverket er beskyttelsen av barn fragmentert. Det handler ikke bare om sikker behandling av personopplysninger, men også om å ivareta privatliv og andre grunnleggende rettigheter og friheter. NESH vil understreke at disse rettighetene og frihetene må ivaretas også for de elevene som blir direkte berørt av forskningen i klasserommet, selv om det ikke samles inn personopplysninger om dem. Dette er en viktig forutsetning for den påfølgende drøftingen av behovet for en bredere forskningsetisk vurdering av både risiko og forsvarlighet.

Vurdering av risiko

Saken reiser viktige spørsmål om kriterier og rutiner for systematisk vurdering av risiko. I den forbindelse, mener NESH, er det viktig å skille mellom a) vurdering av personvernkonsekvenser (DPIA), b) vurdering av risiko og sårbarhet (ROS) og c) ulike forskningsetiske perspektiver på vurdering av risiko. NESH vil fremheve betydningen av en selvstendig forskningsetisk vurdering av risiko, uavhengig av om det også blir gjennomført DPIA eller ROS.

Selv om henvendelsen viser til flere ulike prosjekter ved HVL, vil NESH primært ta utgangspunkt i henvenders eget prosjekt om «Grunnopplæring Naturfag I SmåTrinnet (GNIST)», som innebærer opptak av lyd og bilde i klasserommet og bruk av KI-verktøy. Her foreligger det en egen risikoanalyse, som drøfter to risikoområder eller uønskete hendelser, henholdsvis at persondata kommer på avveie og at personer som ikke har gyldig samtykke, blir filmet eller tatt opp på lydopptak. Analysen peker på mulige årsaker, sannsynlighet og konsekvenser, og det utledes en rekke risikoreduserende tiltak, som skal bidra til å minimere risiko. Henvender hevder at denne risikoanalysen i praksis er en DPIA, men den tilfredsstiller ikke BKs krav til verken ROS eller DPIA.

BK legger til grunn at det er større behov for vurdering av risiko i vurderingen av ph.d. og større forskningsprosjekter på grunn av varighet og datamengde. Derfor stiller BK krav om obligatorisk dokumentasjon av både DPIA og ROS. Dette fremgår tydelig på BKs nettsider, hvor det også finnes lenker til relevante ressurser – og hvor forskjellen blir forklart: «Forskjellen på en risikovurdering (ROS) og en vurdering av personvernkonsekvenser (DPIA) er at ROS ofte ser på sikkerheten fra bedriftens side, mens en DPIA fokuserer på risiko for personers rettigheter og friheter.» Samtidig fremgår det ikke klart hvilke kriterier BK mener skal gjelde, for eksempel for vurdering av risiko.[1]

NESH legger til grunn at henvender og BK har ulik forståelse av behovet for vurderinger av risiko. Samtidig virker det som om partene snakker forbi hverandre, fordi systemer og rutiner for både DPIA og ROS framstår som uklare. I det som følger, vil NESH derfor bidra til å klargjøre ulike rammeverk for vurdering av risiko. NESH understreker at verken DPIA eller ROS er tilstrekkelig for å sikre at forskningen er etisk forsvarlig.

a) Personvernkonsekvenser (DPIA)

NESH mener det er hensiktsmessig å klargjøre kriteriene for en DPIA, for å tydeliggjøre de forsknings­etiske implikasjonene knyttet til dette lovverket.[2] Kravet om DPIA følger av GDPR artikkel 35, og en vurdering av personvernkonsekvenser er nødvendig dersom behandlingen vil medføre «en høy risiko for fysiske personers rettigheter og friheter». Vurderingen skal omfatte personopplysningsvern i snever forstand, knyttet til sikker lagring, behandling og deling av registrerte opplysninger, men også personvern i bred forstand, for eksempel retten til privatliv. NESH presiserer at en slik vurdering også omfatter vern av andre grunnleggende rettigheter og friheter som ytringsfrihet, tankefrihet, bevegelsesfrihet, forbud mot diskriminering, retten til frihet, og samvittighets- og religionsfrihet. NESH vil i denne uttalelsen spesielt fremheve retten til privatliv og beskyttelse av barns beste, jf. Grunnloven §§ 102 og 104. Vurderingen skal ikke bare omfatte de registrerte, men også andre berørte personers rettigheter og berettigede interesser. Formålet med vurderingen er å formulere konkrete tiltak for å redusere og håndtere risikoene, slik at behandlingen kan gjennomføres i samsvar med forordningen. 

Ansvaret for etterlevelse av personvernlovverket ligger hos øverste ledelse ved behandlingsansvarlig institusjon. Det handler ikke bare om å utvikle systemer for informasjonssikkerhet og internkontroll, men også om å gjennomføre egnede tekniske og organisatoriske tiltak, for eksempel å bistå med råd og veiledning om hvordan forskere kan foreta en behovsvurdering for DPIA. Institusjonen må også ha rutiner for dokumentasjon av disse selvstendige vurderingene, når det blir etterspurt av eksterne parter, for eksempel ved bruk av KI-verktøy.

NESH understreker at personvernlovverket ikke er utviklet for forskning spesielt og at det mangler en nærmere utdyping av hva som bør inngå i en vurdering av høy risiko. Ansvaret ligger hos ledelsen ved forskningsinstitusjonen, ikke hos den enkelte forskeren. Derfor, mener NESH, er det uansett nødvendig med en selvstendig forskningsetisk vurdering av risiko.

b) Risiko og sårbarhet (ROS)

NESH mener det også er hensiktsmessig å klargjøre kriteriene for en ROS-analyse, for å tydeliggjøre at ulike tilnærminger til risiko har ulike forskningsetiske implikasjoner.[3] Til forskjell fra en DPIA, kan det være nødvendig å vurdere risiko og sårbarhet også i prosjekter der det ikke samles inn person­opplysninger. Behovet for en ROS-analyse favner derfor bredere enn for en DPIA. Den mulige skaden eller belastningen kan også ha konsekvenser for andre ting enn fysiske personers rettigheter og friheter, for eksempel helse og velferd, natur og miljø eller samfunn og demokrati. 

ROS-analyse er i utgangspunktet utviklet på virksomhetsnivå, for eksempel i offentlig forvaltning, arbeidsliv og næringsliv, ofte knyttet til andre systemer for internkontroll, helse, miljø og sikkerhet (HMS) eller sikkerhet og beredskap. ROS-analyse er velegnet for å kartlegge risiko og – basert på en analyse av uønskede hendelser, mulige årsaker, sannsynlighet konsekvenser og kunnskapsstyrke – formulere nødvendige tiltak for å redusere risiko.[4] 

NESH understreker at ROS-analyse ikke er utviklet for forskning spesielt. Ansvaret ligger hos den øverste ledelsen ved virksomheten, ikke hos den enkelte forskeren. Derfor, mener NESH, er det uansett nødvendig med en selvstendig forskningsetisk vurdering av risiko og sårbarhet.

c) Forskningsetiske perspektiver på risiko

Det er altså ikke tilstrekkelig med DPIA og/eller ROS for å sikre at forskningen er etisk forsvarlig. Det er også nødvendig at forskere gjør en selvstendig forskningsetisk vurdering av risiko. NESH understreker at det finnes ulike tilnærminger til vurdering av risiko på ulike fagområder. 

Innen medisin og helsefag tar analysen av risiko og forsvarlighet utgangspunkt i forsknings­deltakernes menneskerettigheter og menneskeverd, jf. helseforskningsloven § 5. I tillegg til en vurdering av risiko (sannsynlighet x konsekvens), må forskere her også foreta en vurdering av proporsjonalitet (risiko vs. nytte) for å avgjøre om forholdet er rimelig eller forsvarlig. Dersom samfunnsnytten vektlegges tyngre enn nytten for deltakerne, kan prosjektet fremdeles være forsvarlig, men ofte også kontroversielt. I slike tilfeller vil kvaliteten på informasjon og samtykke veie tungt for å avgjøre hvorvidt forskningen er forsvarlig eller ikke. Forskerne må derfor redegjøre for sine vurderinger av risiko og forsvarlighet når det søker om godkjenning fra en Regional komité for medisinsk og helsefaglig forskningsetikk (REK).

Innen naturvitenskap og teknologi tar analysen gjerne utgangspunkt i krav om beskyttelse av natur, miljø og klima, samt beskyttelse av dyr. Her vektlegges snarere forholdet mellom risiko og usikkerhet, slik det er oppsummert i føre-var-prinsippet. Forsvarlighet i denne sammenheng innebærer at forskere gjør konkrete vurderinger av risiko, er ærlige i formidling av usikkerhet, og bidrar til at også andre relevante parter forholder seg til føre-var-prinsippet (for eksempel beslutningstakere, jf. NENT (2024) Forskningsetiske retningslinjer for naturvitenskap og teknologi. 

NESH understreker at det finnes mange andre tilnærminger til risiko, også innen humaniora og samfunnsvitenskap. NESHs retningslinjer (2023) fremhever spesifikt behovet for å vurdere risiko for skade og belastning (punkt 28). Samtidig er andre relevante vurderinger av risiko og forsvarlighet spredt utover i retningslinjene, for eksempel retten til privatliv (punkt 23), beskyttelse av barn (punkt 18), svakstilte og sårbare grupper (punkt 31), og direkte og indirekte berørte (punkt 26). Forskerne må ivareta alle disse grunnleggende normene, også når det ikke samles inn personopplysninger. Komiteen ser imidlertid at behandlingen av risiko i NESHs retningslinjer ikke utgjør en tydelig helhet og vil derfor, i oppsummeringen av denne uttalelsen, formulerer fem hovedpunkter som bør inngå i en forskningsetisk vurdering av risiko og forsvarlighet.

Selv om det finnes ulike forskningsetiske perspektiver på vurdering av risiko, må alle forskere uansett kunne vurdere og begrunne at forskningen skjer i henhold til anerkjente forskningsetiske normer, jf. forskningsetikkloven § 4. Det er nødvendig å vurdere risiko for skade og belastning i bred forstand for å kunne vurdere om prosjektet er forsvarlig i etisk forstand. 

 

Vurdering av forsvarlighet

Selv om det er foretatt en vurdering av risiko, og formulert tiltak for å redusere risiko, er det altså nødvendig å foreta en selvstendig vurdering av forsvarlighet. I fortsettelsen vil NESH drøfte relevante forskningsetiske spørsmål ved forskning på skoler og barnehager med opptak av bilde og lyd og med bruk av KI. Formålet med drøftingen er å løfte frem kriterier for en systematisk vurdering av forsvarlighet. 

Henvender argumenterer for at det er forsvarlig at barna som ikke har samtykket, blir værende i klasserommet. I samråd med Sikt er det avklart, «at persondataen som samles inn i prosjektet er i gul kategori», som ifølge HVLs guide for behandling av forskningsdata innebærer krav om en viss beskyttelse og begrenset tilgang til data. Den eventuelle belastningen skal minimeres gjennom en rekke tiltak, for eksempel at elevene plasseres utenfor kameraets fokus og mikrofonenes rekkevidde. Et annet tiltak er å slette eventuelle opptak av dem så fort som mulig. Det kan for eksempel dreie seg om elever som har skjult oppholdssted (jf. risikoanalyse for prosjektet GNIST). 

BK svarer at forskerne «ikke vil kunne benytte video- eller lydopptak i et klasserom der elever som ikke har samtykket oppholder seg.» Det er heller ikke tilstrekkelig, fortsetter BK, å sladde i etterkant eller å rette kameraet slik at de som ikke har samtykket ikke blir filmet (BK til henvender, 30.10.2025). Dette, mener henvender, innebærer at elevene i praksis må forlate klasserommet, og dette «strider mot god forskningsetisk skikk i klasseromsforskning om at det ikke skal ha negative konsekvenser for noen som ikke samtykker.» Henvender vektlegger at det å forlate klasserommet kan ha store negative konsekvenser for barna, «både i form av manglende mulighet til å motta samme undervisning som de andre, og i form av den potensielt negative oppmerksomheten de kan utsettes for når de forlater undervisningssituasjonen som de andre deltar i.» (Henvender til NESH, 04.11.2025). 

NESH mener i utgangspunktet at det bør være mulig å legge til rette for opptak av bilde og lyd i klasserom, gitt at barn som ikke har samtykket aktivt holdes utenfor forskningen. Det er imidlertid viktig å se spørsmål om informasjon og samtykke i forbindelse med en bredere forskningsetisk vurdering av risiko og forsvarlighet. Forskere må uansett kunne begrunne sine valg og vurderinger, for eksempel ved å vise til forskningens verdi og mangel på alternative metoder, jf. NESHs retningslinjer (2023), punkt 15-16. NESH vil imidlertid trekke frem tre områder hvor vurderingen av risiko og forsvarlighet er mangelfull i dette konkrete tilfellet.

NESH etterlyser for det første en forskningsetisk drøfting av mulige negative konsekvenser for barna dersom de må bli værende i klasserommet, til tross for at de ikke har samtykket. Selv om de fysisk sett blir tatt ut av forskningen, og det ikke blir samlet inn personopplysninger om dem, er den pågående forskningen like fullt en intervensjon i deres skolehverdag som kan ha negative konsekvenser, for eksempel i form av stigmatisering eller tilgang på taushetsbelagte opplysninger. Formelt sett handler det om beskyttelse av deres grunnleggende rettigheter, både retten til privatliv og beskyttelse av barnas beste. Disse rettighetene er også nedfelt i Grunnloven §§ 102 og 104 og gjelder uansett, uavhengig av om det samles inn personopplysninger eller ikke. 

For det andre etterlyser NESH en forskningsetisk drøfting av den dynamiske situasjonen i klasserommet. Situasjonen kan endre seg raskt dersom det oppstår negative sosiale dynamikker mellom elevene som resultat av forskningen, for eksempel mobbing eller utestengelse, og det blir for kategorisk å slå fast på forhånd at det bare er snakk om «gule data». Ettersom vilkårene for samtykket kan endre seg, kan det være behov for en løpende, dynamisk og situasjonsbasert vurdering for å sikre samtykkets gyldighet og barnas personvern i bredere forstand, jf. NESHs retningslinjer (2023), punkt 16: «Samtykket er en prosess, og formål, roller og relasjoner kan endre seg underveis i prosjektet. Forskere må derfor vurdere om og når det er behov for å oppdatere eller justere samtykket.» NESH minner om at læreren har et overordnet ansvar for å ivareta det beste for eleven og bør kunne avbryte forskningen ved behov, jf. opplæringslova § 10-1.

For det tredje etterlyser NESH en forskningsetisk drøfting av mulige negative reaksjoner hos foresatte, som av ulike grunner ikke ønsker at deres barn skal delta i forskning på skolen. I slike tilfeller er det spesielt viktig med åpenhet og informasjon. I tillegg bør forskere har en strategi for konstruktiv dialog, da det i mange tilfeller er mulig å avklare uklarheter og usikkerhet på en måte som sikrer tilliten til forskningen. Dersom foresattes myndighet og rettigheter blir tilsidesatt, kan det være en kilde til kritikk og mistillit, som også kan ramme annen forskning, spesielt i skole og barnehage. NESH understreker at alle forskere har et felles ansvar for å bidra til å sikre tilliten til forskning.

Konklusjon

NESH mener at forskning på barn i skole og barnehage med opptak av lyd og bilde i utgangspunktet krever samtykke fra barn og foresatte. Samtykket er dynamisk og må vurderes kontinuerlig ut fra den konkrete situasjonen i klasserommet, som kan være både uforutsigbar og omskiftelig. I tilfeller hvor det ikke foreligger samtykke fra alle, kan det likevel finnes unntak for forskning som har lav grad av risiko og/eller som har verdi for dem som deltar. Ved bruk av KI-verktøy kreves det i tillegg en mer omfattende vurdering av risiko og forsvarlighet.

NESH mener det er fint at kommuner og andre offentlige etater utvikler systemer for å håndtere forskningshenvendelser. Kommunen bør i hovedsak etterspørre dokumentasjon, ikke overprøve faglige vurderinger som er gjort av ansvarlige forskningsinstitusjoner. Det forutsetter at forskningsinstitusjoner har rutiner og ressurser til å bistå forskerne med nødvendig veiledning og dokumentasjon. 

NESH erkjenner at de nåværende retningslinjene (2023) er mangelfulle når det gjelder råd og veiledning om vurdering av risiko og forsvarlighet. NESH har derfor formulert en liste over fem ulike risikoområder, som kan være til hjelp når forskere skal gjøre en selvstendig forskningsetisk vurdering av risiko og forsvarlighet. NESH mener en helhetlig vurdering av risiko og forsvarlighet bør omfatte a) risiko for forskningens integritet, for forskere og for tilliten til forskning; b) risiko for informasjonssikkerhet, for personopplysningsvern og for personvern; c) risiko for direkte og indirekte berørte, for svakstilte og sårbare grupper og for barns menneskeverd og integritet; d) risiko for samfunn, for offentlighet og for demokrati; e) risiko for natur, miljø og klima. En slik vurdering er spesielt viktig ved fare for uønsket flerbruk og ved bruk av KI. 

NESH håper at denne oversikten kan tydeliggjøre hvilke momenter som bør inngå i en selvstendig forskningsetisk vurdering av risiko og forsvarlighet, som kan supplere arbeidet med DPIA og/eller ROS. En slik vurdering kan også bidra til å støtte opp om de grunnleggende prinsippene for risikoreduserende tiltak, knyttet til medbestemmelse, åpenhet, forutsigbarhet og tillit. 

 

For NESH,

Kari Steen-Johnsen
Leder, NESH  

Vidar Enebakk
Sekretariatsleder, NESH 

 

[1] På BKs nettsider står det at forskere må fylle ut og legge ved «risikovurdering (ROS) med utgangspunkt i konfidensialitet, integritet og tilgjengelighet (KIT)», uten at dette forklares nærmere. Det vises videre til en nettside hos Kommunenes sentralforbund (KS) om «ROS-Analyse», som ikke utarbeidet for forskere, men som et veikart for tjenesteinnovasjon i kommunen.

[2] Kunnskapsdepartementet (2020), Policy for informasjonssikkerhet og personvern i høyere utdanning og forsking.

[3] Beredskapsrådet for kunnskapssektoren (2022). Risiko- og sårbarhetsanalyse i kunnskapssektoren.

[4] Kunnskapsdepartementet (2025). Styringsdokument for arbeidet med sikkerhet og beredskap i Kunnskapsdepartementets sektor, kap. 4.1.