Lurer du på hvordan data og oppgaven kan lagres på en sikker måte? Er du bachelorstudent og vurderer å behandle personopplysninger i oppgaven? Eller er du masterstudent og usikker på reglene for å behandle personopplysninger i oppgaven? Visste du at det finnes gode alternativer, som å behandle informasjon anonymt? Her er UiS sine retningslinjer for behandling av personopplysninger i studentprosjekt.
Hva er en personopplysning?
Personopplysninger er alle typer opplysninger og vurderinger som kan knyttes til en identifisert eller identifiserbar fysisk person.
Personopplysninger kan blant annet være:
- navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer.
- informasjon om vaner og oppførsel (handlevaner, nettsøk, hvor du fysisk beveger deg i løpet av en dag).
- bilde, film- og lydopptak hvor enkeltpersoner kan gjenkjennes.
Vurderinger eller opplysninger regnes som personopplysninger uavhengig av om de er tekst, bilder, lyd- eller filmopptak.
Hva er sensitive (særlige kategorier) personopplysninger?
Disse personopplysningene er sensitive (særlige kategorier):
- helseopplysninger, genetiske opplysninger og helserelaterte forhold.
- biometriske opplysninger med formål om å identifisere noen.
- etnisk opprinnelse.
- politisk, filosofisk eller religiøs oppfatning.
- seksuell orientering eller seksuelle forhold.
- at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling.
- fagforeningsmedlemskap.
Eksempler på sensitive personopplysninger kan være:
- informasjon om studenters sykdom eller diagnoser.
- informasjon om fusk eller forsøk på fusk.
- behov for tilrettelagt eksamen av helsemessige grunner.
- informasjon om holdninger til ulike religiøse eller politiske spørsmål som deltager oppgir i en spørreundersøkelse.
Behandling av personopplysninger:
Innsamling, registrering, lagring, sammenstilling, bruk, overføring, publisering og sletting.
Alle personopplysninger skal lagres på en sikker måte, på et sikkert sted. Særlige kategorier av personopplysninger skal sikres ekstra godt (se mer informasjon om sikker lagring lenger ned på siden).
Behandling av personopplysninger må følge gjeldende retningslinjer og regelverk (både ved UiS og nasjonalt). All behandling av personopplysninger skal meldes til Sikt (tidligere NSD). Melding til Sikt skal alltid skje i samråd med veileder.
Hvordan gjennomføre et prosjekt anonymt?
Det er mange måter å behandle personopplysninger på, slik at det kan gjennomføres anonymt. Da trenger du ikke ta hensyn til regler som gjelder behandling av personopplysninger.
Slik kan du gjennomføre et prosjekt anonymt:
- Intervju og observasjon - ta kun notater (ikke lydopptak).
- Ikke registrer navn eller bakgrunnsopplysninger som kan identifisere noen
- Nettbaserte spørreskjema må bruke anonym løsning (uten epost-/IP-adresse koblet til spørreskjema). Spørreskjema må være uten opplysninger som kan identifisere noen.
- NB! De fleste nettbaserte spørreskjema registrerer epost-/IP-adresse. Da må behandlingen meldes, selv om det bare er leverandør som har tilgang til opplysningene. Det er mulig å bruke tjenesten «Nettskjema» til anonyme undersøkelser.
- Registerdata kan brukes uten melding når kun anonyme data nyttes: Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. hos SSB.
- Skriv oppgaven basert på en litteraturstudie.
Data må ikke kunne spores tilbake til enkeltpersoner, hverken direkte, indirekte eller via e-post/IP-adresse eller koblingsnøkkel.
Ta kontakt med veileder dersom du har spørsmål knyttet til anonymisering eller ønsker å gjennomføre prosjektet ditt med anonyme opplysninger.
Om data - og sikker lagring av data
Hvilke type data skal du behandle? Hvordan kan de lagres på en sikker måte?
For de fleste studenter vil verktøy som Nettskjema, UiS OneDrive konto og Office-pakken (med UiS-konto) være tilstrekkelige verktøy i studietiden:
- Bruk Nettskjema til datainnsamling og lydopptak (til og med røde data)
- Bruk Office-pakken (med din UiS-konto) til bearbeiding av data
- Bruk OneDrive UiS-konto til lagring – da har du back-up i skyen
Her finner du mer informasjon om hvordan du kan klassifisere dataene dine på riktig måte (hvor følsom informasjonen er).
Ønsker du å bruke andre verktøy enn nevnt over, for eksempel SPSS eller Nvivo, finner du mer informasjon i UiS lagringsguide.
Hvis du samler inn røde data i Nettskjema (for eksempel helseopplysninger), enten med lydopptak eller spørreskjema, er det viktig at du avidentifiserer dataene når du eksporterer eller transkriberer fra Nettskjema. Det samme gjelder hvis lydopptaket ditt inneholder røde data som du ikke trenger til forskningen din - da skal du ikke eksportere disse dataene ut av Nettskjema.
Du finner mer informasjon om avidentifisering nedenfor, under "definisjoner, spørsmål og svar".
Hjelpemidler og utstyr
Mobiltelefon/nettbrett kan ikke brukes til å gjøre lydopptak direkte, men det er mulig å bruke appen “Nettskjema-Diktafon” til lydopptak. Både film- og lydopptak regnes som personopplysninger.
Dersom det ikke er mulig å gjennomføre intervju ved å møtes fysisk, er det mulig å bruke Zoom (husk å skru på sikkerhetsinnstillingene som beskrevet på siden).
Godkjent bruk
Alle maskiner som skal brukes i behandlingen av personopplysninger skal være beskyttet på best mulig måte (med relevante sikkerhetsmekanismer):
- Antivirusprogram
- Aktivert brannmur
- Aktivert sikkerhetsoppdateringer
- Bruk sterke passord for både enheter og systemer som benyttes
Du har selv ansvar for å vurdere behovet for sikkerhetskopi av datamaterialet, og at sikkerhetskopien blir oppbevart i henhold til UiS klassifiserings- og lagringsguide.
Når du behandler datamaterialet må du også være bevisst slik at uvedkommende ikke kan få fysisk innsyn på skjermen.
Ved bruk av bærbar pc og eksterne lagringsmedier (minnepinner, eksterne harddisker, lydopptakere, kameraer og lignende) må oppbevaring og frakt av utstyret gjøres på en slik måte at risikoen for tyveri og skader minimaliseres.
Du skal benytte UiS e-postadresse for kommunikasjon/korrespondanse i student- og forskningsprosjektet (privat e-postadresse skal ikke benyttes).
Hvor og hvordan kan du få mer informasjon?
Har du flere spørsmål om lagring av data og sikker lagring eller om bruk av personopplysninger i oppgaven?
Informasjonssikkerhet:
- www.uis.no/infosik
- Les informasjonen det er lenket til i feltene ovenfor eller ta kontakt med IT-hjelp.
Personvern:
- Kontakt veileder etter å ha lest gjennom informasjon om behandling av personopplysninger i oppgaven.
- Ha dialog – spør når du er i tvil!
- Sikt (som NSD er del av) svarer på spørsmål om meldeskjema.
- Veiledere og forskere ved UiS som har spørsmål, kan kontakte personvernkontakt på eget fakultet (intranett)
- UiS sitt personvernombud er Rolf Jegervatn.
Vi anbefaler bachelorstudenter å skrive oppgaven uten å behandle personopplysninger.
Unntaket er når oppgaven skrives som del av "Felles vurdering av bachelorprosjekt".
Ta kontakt med veilederen din for mer informasjon.
Husk!
Veileder er alltid prosjektleder for studentprosjekter på lavere nivå enn doktorgrad.
Ved "Felles vurdering av bachelorprosjekt" er den som er ansvarlig for fellesskjemaet (emneansvarlig, studieprogramansvarlig e.l.) prosjektansvarlig.
Har det skjedd avvik eller feil ved behandling av forskningsdata eller personopplysninger? Student og/eller veileder har ansvar for å melde fra om eventuelt avvik umiddelbart. Som student bør du også varsle veileder.
Avvik kan meldes her:
Meld om avvik på personvern.
Meld avvik på informasjonssikkerhet.
Utfyllende info og retningslinjer
Denne informasjonen gjelder alle som skal behandle personopplysninger i studentprosjektet sitt.
Informasjonen gjelder primært masterstudenter, men den gjelder også bachelorstudenter som sender individuelt meldingsskjema.
Dersom du skal behandle personopplysninger i studentoppgaven, er det viktig å følge disse retningslinjene og huske på at:
- Veileder er alltid prosjektleder for studentprosjekter på lavere nivå enn doktorgrad. Behandling av personopplysninger i studentprosjekt skal alltid skje i samråd med veileder.
- Prosjektet må meldes til Sikt dersom du skal samle inn eller behandle personopplysninger på noe tidspunkt i prosjektet, selv om dataene er avidentifisert (pseudonymisert) eller anonymisert i oppgaven.
- Du må være ute i god tid! Man kan ikke starte behandling av personopplysninger før det foreligger endelig tilbakemelding fra Sikt. Det kan ta rundt 30 dager før Sikt sender tilbakemelding.
- Melding til Sikt skal kun skje etter avtale med veileder, og meldeskjema skal alltid deles med veileder.
- Du må bruke din UiS student e-postadresse i meldingsskjema til Sikt, og i all kommunikasjon i prosjektet ditt (også med informanter og respondenter). Det er ikke lov å bruke privat e-postadresse til dette.
- Ved melding til Sikt får du en vurdering på at prosjektet er i tråd med lovverket. Mangel på innmelding kan i verste fall føre til at datamaterialet må slettes. Veileder har ansvar for at studenter er gjort kjent med UiS sine rutiner, retningslinjer og overordnet regelverk innen informasjonssikkerhet og behandling av personopplysninger
- Du har ansvaret for å ivareta personvernet til deltakere i forskningsprosjekter (respondenter/informanter) når det behandles personopplysninger om dem, og besvare henvendelser fra respondenter eller informanter i prosjektet om hvordan deres personvernrettigheter blir ivaretatt i prosjektet. Husk informasjonsskriv.
- Husk å innhente samtykke. Det er egne regler for innhenting av personopplysninger fra barn og ungdom, se regler for dette på Datatilsynets nettsider.
Vær også oppmerksom på:
- Alle tilbakemeldinger fra Sikt må følges opp, personopplysninger kan ikke behandles før det foreligger endelig tilbakemelding/klarsignal fra Sikt. Dette bekreftes skriftlig til veileder.
- Send beskjed/tilbakemelding til Sikt ved prosjektslutt/innlevering av oppgaven, med bekreftelse av at alle data er slettet/ anonymisert. Dette må gjøres innen innlevering av oppgaven, og bekreftes skriftlig til veileder.
- Dersom det finnes en koblingsnøkkel som kobler sammen data og navn/andre identifiserende opplysninger, er dette personopplysninger, selv om student/ forskergruppe ikke har adgang til koblingsnøkkel.
- UiS er lovpålagt å dokumentere alle behandlinger av personopplysninger. Dette oppfylles gjennom innmeldingen.
- Alle studenter som skal behandle personopplysninger, må lese informasjon om dette på Sikt (tidligere NSD) sine nettsider.
Medisinske og helsefaglige forskningsprosjekt
Skal prosjektet ditt skaffe ny kunnskap om helse og sykdom? Slike prosjekter regnes som helseforskning. Da gjelder både personvernlovverket og helseforskningsloven.
Denne informasjonen gjelder primært masterstudenter. Men den gjelder også bachelorstudenter som sender fremleggingsvurdering.
Helseforskningsloven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger (inkludert pilotstudier og utprøvende behandling).
Medisinske og helsefaglige forskningsprosjekter må godkjennes av REK (Regionale komiteer for medisinsk og helsefaglig forskningsetikk).
Les mer om hvilke typer forskningsprosjekter som kanskje må behandles av REK. For å få en vurdering av om ditt prosjekt trenger godkjenning, kan du sende inn skjemaet fremleggingsvurdering (REK gjør en forhåndsvurdering av om de må behandle prosjektet).
Dersom REK vurderer at prosjektet må gjennom full søknadsbehandling og trenger godkjenning, må det sendes en prosjektsøknad til REK. En prosjektsøknad må sendes av en søker med doktorgrad, primært en ansatt ved UiS. Ta kontakt med veileder for avklaring om hvem som skal sende prosjektsøknaden. En student kan ikke sende prosjektsøknad til REK, bare fremleggingsvurdering.
NB! Det kan ta opp til tre måneder før REK forhåndsgodkjenner prosjektet, og lenger tid før prosjektsøknad er ferdig behandlet. Godkjenning må være på plass før du kan begynne å samle inn opplysninger.
Definisjoner, spørsmål og svar
Her finner du noen definisjoner, og vanlige spørsmål og svar.
Definisjoner
Avidentifiserte (pseudonymiserte) personopplysninger
Opplysningene er avidentifiserte dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel).
Også indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet skal være å regne som avidentifisert. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) heller enn presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et avidentifisert datamateriale skal være gjennom navnelisten/koblingsnøkkelen.
Vær oppmerksom på at avidentifiserte opplysninger anses som personopplysninger uavhengig av hvem som oppbevarer navnelisten/koblingsnøkkelen, hvor og hvordan den oppbevares.
Koblingsnøkkel
En koblingsnøkkel er en navneliste eller fil som gjør det mulig å identifisere enkeltpersoner i et datasett. Det å opprette en koblingsnøkkel innebærer å erstatte navn, personnummer, e-epostadresse eller andre personentydige kjennetegn i et datasett med en kode, et nummer, et fiktivt navn eller lignende, som viser til en atskilt liste der hver kode viser til navn. Koblingsnøkkelen må oppbevares separat fra selve datamaterialet for å sikre at utenforstående ikke får tilgang til koblingen mellom navn og kode.
Spørsmål og svar (Q&A)
NSD ber om retningslinjer ved UiS for behandling av personopplysninger i studentprosjekt. Hva skal jeg sende? | Del lenken til denne siden. |
Hvem er personvernombud ved UiS? | Personvernombud er Rolf Jegervatn |
Kan jeg bruke digital diktafon eller ta opp intervju på mobilen min? | Nei, bruk Nettskjemas diktafon-app – da ivaretar du bedre informantens sikkerhet. |
Kan iCloud være databehandler i prosjektet? | Nei, UiS har ingen databehandleravtale med iCloud. |
Kan jeg bruke SurveyMonkey eller Google Forms til å gjennomføre spørreundersøkelse? | Nei, bruk Nettskjema eller finn godkjent verktøy i UiS lagringsguide |
Retningslinjer for behandling av personopplysninger i ordinære undervisningsemner ved UiS (unntaksbestemmelse)
Hovedregel
Studenter gis som hovedregel ikke anledning til å samle inn og behandle personopplysninger som del av eller i ordinære undervisningsemner (for eksempel arbeidskrav, semesteroppgaver, eksamensoppgaver el).
Unntak, kun ved skriftlig digitalt signert avtale mellom emneansvarlig og aktuelle studenter:
Unntaksvis kan det gis anledning til å samle inn og behandle personopplysninger som del av eller i ordinære undervisningsemner når det på forhånd er eksplisitt avklart med emneansvarlig. Innsamling og behandling av personopplysninger må være faglig strengt nødvendig. Unntaket gjelder opp til og med gule data, det vil si kun alminnelige personopplysninger, (se EUs personvernforordning (GDPR), kap. 1. art. 4 for definisjoner). Det må signeres en egen avtale mellom emneansvarlig og aktuelle studenter tilknyttet hvert enkelt prosjekt i aktuelt emne, før innsamling av personopplysninger igangsettes. Innhenting må være i tråd med Personopplysningsloven og GDPR.
Dersom det skal samles inn og behandles personopplysninger i undervisningsprosjekt må emneansvarlig sørge for at avtalen inneholder beskrivelse av hvorfor det er nødvendig å innhente personopplysninger, beskrivelse av behandlingsgrunnlag, formål, angivelse av hvilke personopplysninger som skal samles inn, hvilken informasjon som blir gitt til den registrerte, hvordan personopplysningene blir sikret (lagring, tilgangsstyring, anonymisering), samt informasjon om sletting i etterkant, osv. Emneansvarlig har ansvar for at alle felter i avtalen blir korrekt fylt ut, at avtalen blir digitalt signert, samt sendt til fakultetet for arkivering. Ta kontakt med emneansvarlig dersom du har spørsmål knyttet til dette.
Det gis ikke unntak for, eller anledning til å samle inn eller behandle røde eller sorte data (sensitive/særlige kategorier personopplysninger) som del av undervisning i ordinære undervisningsemner (jamfør GDPR, art. 9).
Veiledning hos Sikt:
Fylle ut meldeskjema for personopplysninger
Informasjon om det å fylle ut meldeskjema (e-kurs hos Sikt):
Er det noe du savner, eller som du synes kan gjøres bedre, på våre sider om informasjonssikkerhet og personvern? Klikk her for å gi tilbakemelding.
NB! Husk å legge ved en lenke til hvilken side det gjelder.