en_GB
Hold Ctrl-tasten nede. Trykk på + for å forstørre eller - for å forminske.

Retningslinjer for behandling av personopplysninger i studentprosjekter

Retningslinjer for behandling og oppbevaring av forskningsdata med personopplysninger i studentprosjekter ved Det teknisk-naturvitenskapelige fakultet.

1. Virkeområde og definisjoner 

Disse retningslinjene gjelder for alle studentprosjekter ved Det teknisk-naturvitenskapelige fakultet, UiS som innbefatter behandling av personopplysninger helt eller delvis med elektroniske hjelpemidler. Disse retningslinjene gjelder i påvente av oppdaterte retningslinjer for forvaltning, oppbevaring og lagring av forskningsdata med personopplysninger i forsknings- og studentprosjekter ved UiS. 

Disse retningslinjene er utfyllende til Policy for informasjonssikkerhet ved UiS, datert 24.09.2019. 

Definisjoner 

Personopplysninger: Personopplysninger er all informasjon som kan knyttes til en fysisk person eller personer. Informasjonen kan foreligge som tekst, bilder, video, lydopptak eller elektroniske spor, for eksempel IP adresser eller aktivitetslogger i IT-systemer. For at informasjonen skal regnes som personopplysninger, må det være mulig å identifisere den eller de personer som opplysningene knytter seg til (iht Personopplysningsloven/Personvernforordningen (POLF) artikkel 4-1). 

Behandling av personopplysninger: Med «Behandling» menes alle operasjoner eller rekker av operasjoner som gjøres med personopplysninger i administrasjon, forskning, kundebehandling ol, enten automatisert eller ikke. Eksempler på dette er innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller al e andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring (POLF Artikkel 4-2). 

Direkte personidentifiserbare opplysninger: En person vil være direkte identifiserbar via navn, fødsels/personnummer eller andre personentydige kjennetegn. 

Behandlingsansvarlig: Rektor er øverste behandlingsansvarlige. Den enkelte enhet er ansvarlig for å implementere informasjonssikkerhet ved enheten, ved TN-fakultetet: Fakultetets ledelse v/fakultetsdirektøren, på vegne av dekanen, er ansvarlig for implementering og informasjon til enhetene om disse retningslinjene. Enhetsledere (institutt- og kontorsjefer) har ansvar for implementering og oppfølging på egen enhet. 

Daglig ansvarlig: Den personen som har det daglige ansvaret for oppfylling av pliktene som den behandlingsansvarlige har, for studentprosjekt er det studenten selv og oppnevnt veileder. Veileder står ansvarlig for studentprosjekter som meldes til Norsk senter for forskningsdata (NSD). 

 

2. Ansvar 

Studenter og deres veiledere skal sikre at forvaltning av forskningsdata er planlagt og dokumentert i begynnelsen av forskningsprosjektet, og at data med personopplysninger behandles i tråd med disse retningslinjene for innsamling, oppbevaring og lagring. Det gjelder også oppbevaring av dokumentasjonen knyttet til prosjektet, f.eks. NSD-melding, informasjons- og samtykkeskjema. 

Det anbefales å utarbeide en datahåndteringsplan for prosjektet, bruk gjerne NSDs oppsett. En datahåndteringsplan er et verktøy for håndtering av forskningsdata. Planen beskriver hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet 

For veileder: Se oversikt over klassifisering og håndtering av ulike type data her.

 

3. Meldeplikt for prosjekter som skal behandle personopplysninger 

Melding til NSD personverntjenester 

Norsk senter for forskningsdata (NSD) leverer personverntjenester for UiS. Student- og forskningsprosjekter som behandler personopplysninger skal meldes til NSD. 

Dette gjelder også prosjekter innenfor medisinsk og helsefaglig forskning fra 01.01.2020. Prosjektet skal meldes til NSD senest 30 dager før datainnsamlingen skal starte. For å redusere saksbehandlingstiden hos NSD anbefaler vi at du leser Tips for å redusere vurderingstiden. 

Planene for behandling av personopplysninger må være godkjent før prosjektet settes i gang.


Hvis det foretas endringer i prosjektopplegget i forhold til de opplysningene som ligger til grunn for NSDs vurderinger, skal det sendes inn et eget endringsskjema.


Medisinsk og helsefaglige forskningsprosjekter kan søke NSD parallelt med søknad om etisk forhåndsgodkjennelse hos regionale etiske komiteer (REK). 

Daglig ansvarlig for studentprosjekter med personopplysninger er oppnevnt faglig veileder, jamfør NSD meldeskjema.

Sjekk om prosjektet er meldepliktig her

Meldeskjema og veiledning til det finnes på NSDs nettsider

På NSDs nettsider finner du nyttig informasjon om f.eks. informasjons- og samtykkeskjema. 

Se også (under vanlige spørsmål:
Hvordan kan jeg gjennomføre et prosjekt uten at det må meldes?
Hvordan anonymiserer jeg datamaterialet? 

https://nsd.no/personvernombud/hjelp/index.html#hideid2

Sentrale begreper

Meldeskjema med veiledning og informasjon om søknadsfrister og behandlingstid finnes på REKs nettsider.

 

4. Informasjon og innhenting av samtykke ved innsamling av personopplysninger 

Det er viktig at utvalget/respondentene er godt informert om alle aspekter ved den aktuelle studien, slik at de kan foreta en helhetlig vurdering av hvorvidt de ønsker å delta eller ikke. De gjelder formål, risiko og mulige gevinster. Det skal derfor utformes et informasjonsskriv der man forespør om deltakelse og informerer om studien. 

Samtykket skal være avgitt frivillig, være uttrykkelig og på grunnlag av tilstrekkelig informasjon. Les mer om vilkårene på NSDs nettsider. Her finner du også veiledende mal for informasjon/samtykke.

 

5. Behandling av innsynsforespørsler, retting og sletting

Alle forespørsler om hva slags behandling av personopplysninger u iversitetet foretar i forsknings- og studentprosjekter, skal henvises til personvernombudet UiS: personvernombud@uis.no

 

6. Utlevering av personopplysninger/tilgangskontroll 

Personopplysninger i forsknings- eller studentprosjektene må ikke utleveres til utenforstående. Det skal være etablert og dokumentert tilgangskontroll til dataene. Normalt vil det kun være student og veileder som har tilgang, i tråd med melding til NSD personverntjenester. 

 

7. Lagring og sletting av personopplysninger 

Det skal ikke lagres personopplysninger i forsknings- eller studentprosjekter lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Veileder skal påse at opplysningene blir slettet/anonymiseres, jf melding til NSD personverntjenester. 

Direkte personidentifiserbare opplysninger skal ikke lagres elektronisk. Personopplysninger skal avidentifiseres/pseudonymiseres, og lyd-/bildedata skal krypteres (se pkt 8). Hvis en bruker kodeliste/kodenøkkel, eller annet materiale som kan brukes til å identifisere personene, så skal ikke de lagres på samme maskin eller filserver. 

 

8. Sikkerhetskrav og utstyr. Regler for bruk av privat utstyr. 

Når personopplysninger behandles elektronisk på privat datamaskin i prosjekter som Universitetet i Stavanger er behandlingsansvarlig for, skal data lagres i kryptert form slik at ingen andre har tilgang til dataene. 

Alle maskiner også private, som skal brukes i behandlingen av personopplysningene skal være beskyttet med relevante sikkerhetsmekanismer, herunder blant annet antivirusprogram, aktivert brannmur og system for jevnlige oppdateringer av operativsystem og sikkerhetsmekanismer. 

Studenten er selv ansvarlig for at det blir tatt sikkerhetskopi, backup av datamaterialet og at backup blir oppbevart sikret/nedlåst. 

Studenten må også være aktsom med tanke på fysisk innsyn på skjermen fra uvedkommende ved valg av arbeidssted når man behandler datamaterialet. 

Ved bruk av bærbar pc og eksterne lagringsmedier må brukeren være aktsom i forhold til oppbevaring og frakt av utstyret for å minimalisere risikoen for tyveri og skader. Med eksterne lagringsmedier menes minnepinner, eksterne harddisker, lydopptakere, kameraer og lignende. 

Privat e-postadresse skal ikke brukes i korrespondanse vedrørende prosjektet. 

Universitetet v/veileder kan etter vurdering kunne stille ytterligere sikkerhetskrav til det enkelte prosjekt. 

 

8.1 Krav til utstyr/rutiner ved opptak av lyd/ev. video/bilde 

TN-fakultetet godkjenner ikke bruk av private enheter som mobiltelefon, iPad eller nettbrett, til innsamling/opptak av lyd eller bilde. Både video- og lydopptak regnes som personopplysninger. 

Studenten har selv ansvar for å skaffe nødvendig utstyr som elektronisk lydopptaker, eller annet påkrevd utstyr som ekstern harddisk, ol.l. 

 

8.2 Framgangsmåte for datainnsamling ved lydopptak/ev. video 

Framgangsmåter ved lydopptak/ev. video:
Opptak kan tillates på PC/Mac under disse forutsetningene: 

  1. bruk en PC/Mac e.l. med opptaksutstyr tilkoblet 
  2. Ikke vær tilkoblet internett under innsamlingen 
  3. Opptaket lagres direkte på en kryptert enhet: eksternt minnekort/ekstern harddisk 
  4. Når prosjektet er avsluttet (oppgaven levert og evaluert) og dataene skal slettes, bruker man 

programvare for permanent sletting av dataene (hvis nødvendig, enkelte krypteringsprogramvarer gjør også dette). 

Se mer informasjon om sikkerhetsmekanismer og kryptering i slutten av dette dokumentet under vedlegg. 

 

8.3 Viktig å vite om kryptering 

Krypteringsmuligheter: Se informasjon om krypteringsmuligheter i vedlegg i slutten av dokumentet. 

Det er veldig viktig at mang forstår at hvis man krypterer en enhet, eksempelvis en hel harddisk, så vil man tape all informasjon lagret på denne enheten hvis krypteringsnøkkelen og ditt personlige passord mistes, Ingen kan hjelpe deg da. 

Vær også oppmerksom på at passordbeskyttelse ikke er synonymt med kryptering, eks. data lagret på UiS’s hjemmeområder ikke er kryptert. Data lagret i sky-tjenester som Google Drive, Microsoft OneDrive, DropBox, etc. er heller ikke kryptert. Legg merke til at selv om mappen/filen du laster opp er kryptert, så er lagringsstedet ikke kryptert. Lagring av personsensitive data (selv om filen er kryptert) i disse tjenestene er dermed juridisk sett ulovlig. Data lagret på personlig/firma-PC, nettbrett, mobiltelefon, kamera-minnekort, ukryptert USB minnepinne etc., er heller ikke sikret i tråd med forskriftene – selv om du har passordbeskyttelse. 

 

9. Melding av avvik 

Har det skjedd avvik/feil ved behandling av forskningsdata/personopplysninger? 

Avvik skal meldes til:
Student og/eller veileder er ansvarlige for å melde fra om ev. avvik umiddelbart. Rapportering av brudd eller mulige brudd på personvernet går til Personvernombudet ved personvernombud@uis.no  

Rapportering av brudd eller mulige brudd på informasjonssikkerhet går til it-hjelp@uis.no Avvikshåndtering følger avviksprosessen ved UiS 

 

 

Vedlegg:
Lenke til NSD

Lenke til IT-regler ved UiS, herunder Policy for informasjonssikkerhet ved UiS

Lenker til sikkerhetsmekanismer og kryptering:

Alle maskiner, deriblant hjemme- og bærbare maskiner, som skal brukes i behandlingen av personopplysningene skal være beskyttet med relevante sikkerhetsmekanismer, herunder blant annet antivirusprogram, brannmur og system for jevnlige oppdateringer av operativsystem og sikkerhetsmekanismer

Informasjon om dette for PC finnes her