Behandling av personopplysningar i studentoppgåver

I planlegginga av ei empirisk bachelor eller masteroppgåve, er det heilt sentralt å vurdere kva data som skal samlast inn, på kva måte datainnsamlinga skal føregå, og korleis data skal lagrast. Ei av dei viktigaste avgjerdene er om ein skal behandle personopplysningar.

Som student kan du samle inn datamateriale av tre typar. Det er eit krav at du diskuterer med rettleiaren din om datamaterialet du sit med er å rekne som grønt, gult eller raudt.

Grøne, gule og raude data

Grøne data

Grøne data: Informasjon som ikkje inneheld personopplysningar.

Dette er all informasjon der personar ikkje kan bli identifisert, korkje direkte eller indirekte. Dersom informanten har  samtykka til det, kan ikkje-sensitive persondata reknast som grøne data.

Lagring: Grøne data treng ikkje særleg vern. Under føresetnad av at du held deg til allmenne forskingsetiske retningslinjer, kan du behandle desse meir eller mindre «som du vil».

Gule data

Gule data: Informasjon som inneheld personopplysningar.

All informasjon der ein person kan bli identifisert direkte eller indirekte. Indirekte identifisering kan til dømes skje ved kopling av bakgrunnsopplysningar, bilete eller stemme.

Lagring: For gule data gjeld dei same reglane som for raude, men kan i tillegg lagrast på eigen pc under føresetnad av at du held deg innanfor retningslinjene for behandling av gule data på privat datamaskin.

Raude data

Raude data: Informasjon som inneheld særleg sensitive personopplysningar.

All informasjon der opplysningar om rase, etnisk opphav, politisk oppfatning, religion, filosofisk overtyding, fagforeiningsmedlemskap, genetiske og biometriske opplysningar, helseopplysningar, seksuelle forhold og seksuell legning.

Opplysningar om straffedommar og lovbrot skal behandlast som særleg sensitive person-opplysningar i forskingsprosjekt, sjølv om det ikkje er definert under artikkel 9 i lova.

Lagring: Raude data kan berre lagrast i Nettskjema og i OneDrive. Det er ein føresetnad at du har såkalla tofaktorautentisering aktivert. Det tyder at du har eit ekstra lag av beskyttelse utover passordet ditt. Som oftast skjer dette ved hjelp av ein kode du får på mobilen din. Du når filene dine ved å logge på office.com. Høgskulen tek tryggleikskopi av data som er lagra i OneDrive. Du treng dermed ikkje å ta backup av filene du har her.

Vidare behandling av personopplysingar

Ansvar og oppgåver

Oversikt over ansvar og oppgåver for involverte partar i forskingsaktivitet ved HVO finn du her.

Oppstart av studentprosjekt

Gjennomføring:

  • Signer evt. rettleiingskontrakt med rettleiar
  • Utarbeid ei prosjektskisse der formålet med prosjektet kjem fram.
  • Vurder i samråd med rettleiar om det er naudsynt å samle inn personopplysningar. Ein bør ikkje registrere personopplysingar unødig. Sikt (tidl. NSD) har tips til korleis gjennomføre eit prosjekt utan å behandle personopplysingar.
  • Om ein skal samle inn personopplysningar, vurder kva personopplysingar du må samle inn. 
  • Om de er usikre på om prosjektet er meldepliktig, ta meldetesten eller kontakt Sikt.
  • Fastsett rettsleg grunnlag. All behandling av personopplysingar må ha eit lovleg grunnlag. For dei fleste studentprosjekt vil dette vere samtykke.
  • Utarbeid informasjonsskriv og evt. samtykkeerklæring. 
  • Legg ein plan for sikker behandling av personopplysingane. Dette omfattar innsamling via trygge kanalar, registrering, overføring, behandling, lagring undervegs, og arkivering eller sletting etter prosjektslutt. Rettleiar skal hjelpe studenten med å klassifisere informasjonen som blir handtert i prosjektet, og velje godkjende tekniske løysingar i høve til HVO sin lagringsguide.
  • Prosjektskissa må vere godkjent av rettleiar før oppstart av prosjektet.
  • Meld prosjektet med naudsynte vedlegg til Sikt seinast 30 dagar før datainnsamlinga skal starte. Studenten skal dele meldeskjemaet med rettleiar. Det kan du gjere via «Del prosjektet» øvst til venstre i meldeskjemaet, «Inviter brukar». Rettleiar har ansvar for å kontrollere at prosjektet er meldt og vurdert, men det er studenten sitt ansvar å fylle ut og sende inn meldeskjema.
  • Sikt skal ha vurdert prosjektet før innsamlinga av forskingsdata kan starte.
  • Om det undervegs i prosjektet blir gjort endringar som kan få følgjer for vurderinga til Sikt, må studenten melde frå om endringa.
  • Helseforskningsloven omfattar forsking med mål om å framskaffe ny kunnskap om helse og sjukdom. Om eit prosjekt skal bruke pasient- eller helseopplysingar til dette føremålet, må ein søke godkjenning frå REK.

Fullstendig rutine for oppstart av studentprosjekt ved HVO kan du finne her.

Informasjonsskriv og samtykke

Gjennomføring:

  • All behandling av personopplysingar må ha eit lovleg grunnlag. Vurder, ut i frå rettsleg grunnlag for prosjektet, om deltakarane skal samtykke til behandling av personopplysingar eller berre til deltaking i prosjektet. Om ein vel å behandle personopplysingar på eit anna grunnlag enn samtykke, må ein likevel innhente samtykke til deltaking i forskingsprosjektet.
  • Utarbeid informasjonsskriv og samtykkeskjema. Ta gjerne utgangspunkt i Sikt sin mal. Dette skal leggast ved Meldeskjema som sendast til Sikt.
  • Samtykke skal vere frivillig, informert, utvetydig, gitt gjennom ei aktiv handling, dokumenterbart, og kunne trekkast tilbake. Informasjonen skal vere kortfatta, med eit klart og lettfatteleg språk. Det er ikkje krav om at dette må vere skriftleg, men det er anbefalt sidan prosjektleiar/student må kunne dokumentere at samtykke er gitt.
  • Sikt skal vurdere prosjektet før ein går i gang med innhenting av samtykke.
  • I større prosjekt kan det vere vanskeleg å formulere eit presist formål på innsamlingstidspunktet. Her opnar lova for at ein kan hente inn samtykke for kvart trinn av forskingsprosjektet.
  • I medisinsk og helsefagleg forsking kan dei registrerte samtykke til at biologisk materiale og helseopplysningar blir nytta til bredt definerte forskingsformål. Deltakarar som har gitt bredt samtykke, har krav på oppdatert informasjon om prosjektet undervegs.
  • Nettskjema kan nyttast til å hente inn elektronisk samtykke. Nettskjema tilbyr også løysingar for samtykke med e-signatur frå Difi, men dette er avgrensa til forskingsprosjekt som nyttar Tjenester for Sensitive data (TSD).

Dokumentasjon: Samtykkeerklæringar lagrast på sikker lagringsplass i samsvar med HVO sin lagringsguide.

Fullstendig rutine for informasjonsskriv og samtykke kan du finne her.

Oppbevaring av aktive forskingsdata

Gjennomføring:

  • Prosjektleiar og student, i samråd med rettleiar, har ansvaret for å vurdere kva type informasjon prosjektet inneheld og klassifisere det i høve til HVO sine Retningslinjer for klassifisering av data og informasjon. Klassifiseringa er avgjerande for kva grad av sikring informasjonen blir pålagt.
  • Prosjektleiar skal sørge for at behandling og lagring av informasjon og data går føre seg på godkjende tekniske løysingar i høve til HVO sin Lagringsguide.
  • Dersom prosjektet skal behandle store mengder særlege kategoriar av personopplysingar eller helseforskingsdata, skal data klassifiserast som «svart/strengt fortruleg informasjon». Prosjektet skal då nytte Tjenester for Sensitive Data (TSD) som lagringsplass. Kontakt IT for tilgang til tenesta.
  • Ikkje oppbevar direkte personidentifiserbart datamateriale lenger enn naudsynt. Ein kan pseudonymisere datamaterialet og oppbevare koplingsnøkkel eller andre personidentifiserande element separat frå datamaterialet. Tilgang til ein evt. koplingsnøkkel skal (vanlegvis) avgrensast til prosjektleiar.
  • Om datamaterialet består av lydopptak, bør ein anonymisere eller pseudonymisere dette om ein vel å transkribere datamaterialet. Sjå Rutine for gjennomføring av lydopptak.
  • Prosjektleiar er ansvarleg for å sikre at ingen uvedkomande får tilgang til dei registrerte personopplysingane. Om prosjektmedarbeidar eller andre samarbeidande partar skal ha tilgang til forskingsdata med personopplysingar, må dette vere i samsvar med det som er skissert i samtykkeskjema og meldeskjema.
  • Dersom prosjektet har medarbeidarar ved andre institusjonar skal prosjektleiar inngå ein samarbeidsavtale. Dersom ein av partane skal behandle data utan å ha behandlingsansvar, eller prosjektet nyttar ein ekstern databehandlar, må prosjektleiar sørge for at det føreligg ein gyldig databehandleravtale. Kopi av alle avtaler som er inngått, skal arkiverast i HVO sitt arkivsystem med kopi til dekan.

Fullstendig rutine for oppbevaring av aktive forskingsdata kan du finne her.

Rutine for bruk av lydopptak i student- og forskingsprosjekt finn du her.

Retningslinjer for behandling av gule data på privat datamaskin

Gule data kan lagrast på eiga datamaskin under følgjande føresetnader:

  • Det er snakk om små mengder gule data (Data som høyrer til ei studentoppgåve er nesten alltid å rekne for små mengder data).
  • Ein skal berre oppbevare data ein jobbar med.
  • Data som ein ikkje jobbar med skal slettast (også frå papirkorga).  
  • Berre data som du har behov for skal vere lokalt på di maskin. Denne vurderinga må du ta sjølv. HVO ynskjer ikkje at data kjem på avvegar og alle må bidra til å avgrense omfanget om det skulle skje.
  • Data skal berre kunne opnast av deg. Andre brukarar av maskina skal ikkje ha tilgang til data. Familie og venner som låner maskina skal ha eigne kontoar
  • Du ikkje synkroniserer gule data automatisk.
  • Datamaskina er tilstrekkeleg sikra.
    • Automatisk oppdatering av operativsystemet er skrudd på
    • Automatisk skjermlås (3-5min) er skrudd på
    • Passord på maskina skal vere «sterke» (lange, unike og ha tal/symbol)
  • Din bruk av maskina er sikker
    • Vær varsam med lenker i e-post og med ukjende nettsider
    • Ikkje bruke ukjende trådlause nettverk
    • Veit at mappene med gule data ikkje vert lagra i skya hos andre leverandørar som t.d. Apple, Google eller andre Microsoftkontoar enn den du har ved HVO.

Avslutning av studentprosjekt

  • Ved prosjektslutt skal personopplysingane handterast i samsvar med meldeskjema, respondentane sitt samtykke og eventuell datahandteringsplan. For dei fleste studentprosjekt inneber dette at studenten anonymiserer eller slettar datamaterialet.
  • Om personopplysingar skal oppbevarast etter prosjektslutt, må dette skje i samsvar med relevant lovverk og i samråd med rettleiar. Sjå rutine for arkivering/langtidslagring av forskingsdata.
  • Studenten skal bekrefte til Sikt at personopplysingane er sletta, anonymisert eller arkivert i tråd med datahandteringa som var skissert i meldeskjemaet for prosjektet. Rettleiar har ansvar for å kontrollere at studenten gjer dette gjennom sin tilgang til meldeskjemaet.

Fullstendig rutine for avslutning av studentprosjekt under personopplysningslova finn du her.

Tips og råd for meldeskjema til Sikt

Skal du samle inn data med personopplysningar må du melde prosjektet til Sikt (tidl. NSD). Meldeskjema har gode forklaringar til korleis fylle ut skjema. Det er forklaring bak spørsmål der det er eit Image removed.. Sikt Personverntjenester har laga ein guide for utfylling av meldeskjemaet, og ei sjekkliste for kva du må ha klart. Du kan også få hjelp frå Personverntjenester via telefon eller Chat på kvardagar.

Vanlege spørsmål vi får:

Under behandling

Dersom du skal lagre i OneDrive, Teams, Nettskjema skal du krysse av for "Ekstern teneste eller nettverk (databehandler)".

Når du har kryssa for Databehandlar må du også krysse av for at "databehandlar har tilgang til opplysningane". Kven som er databehandlar finn du i tabellen med godkjente system for behandling av data. 

Sei i frå om uønska hendingar (avvik)

Alle har ansvar for å seie i frå om uønska hendingar (avvik). Døme på slike uønska hendingar kan vere:

  • feilsendt e-post og vedlegg med personopplysingar
  • feilutlevering-  eller publisering av personopplysingar
  • mista utstyr (mobil, laptop, nettbrett, notat og liknande) der du har personopplysingar
  • feil i tilgongar, utstyr eller programvare som kan svekke sikkerheita
  • rutine om behandling av peronopplysingar som manglar, ikkje fungerer eller som ikkje følges

Ei uønska hending kan ha ulik alvorsgrad avhengig av om det gjeld opplysningar om få personar eller mange, eller om det omfattar særlege kategoriar (sensitive personopplysningar) eller ikkje.

Melding om uønska hending må sendast til IT-sjef eller personvernombod ved HVO.

Nyttige lenkar:

Sikt: Personverntjenester for forskning
Sikt: E-kurs om meldeskjema