Wikier

Personvern og GDPR

Behandling av personopplysninger i studentprosjekt

Detaljer Skriv ut

Innholdsfortegnelse [-]

  1. Hva er personopplysninger?
    1. Særlige kategorier av personopplysninger
    2. Vurder om prosjektet kan gjennomføres anonymt
    3. Behandling av personopplysninger
  2. Hva må du tenke på før du behandler persondata?
  3. Sjekkliste for riktig behandling av persondata
    1. 1. Velg behandlingsgrunnlag
      1. Samtykke
      2. Allmennhetens interesse
      3. Informasjon til deltakere
    2. 2. Klassifiser datamaterialet riktig
    3. 3. Velg system for innsamling og lagring
    4. 4. Gjennomfør risikovurdering
    5. 5. Lag datahåndteringsplan
    6. 6. Send inn meldeskjema
    7. 7. Send inn sluttmelding
    8. Spesielt om Internettforskning
    9. Spesielt om helseforskning
  4. Ditt ansvar som student
    1. Veileder for student i studentprosjekt
  5. Håndtering av avvik (uønskede hendelser)
  6. Se også
  7. Kontakt

Det er mange ting du må tenke på når du skal bruke informasjon om personer i bachelor- eller masterprosjektet ditt. Denne siden viser deg alt du må vite før du starter, hvordan du håndterer informasjonen riktig og hva du som student har ansvar for.

Personopplysninger er beskyttet av lovkrav og retningslinjer. Hensynet til forskningsdeltakerne er viktigst, og du skal alltid ha forskningsetikken i bakhodet. Kravene kan virke overveldende, men husk at du ikke sitter med dette ansvaret alene – veilederen din har det overordnete ansvaret og hjelper deg på veien.

Hvis du er helt ny til tematikken, ta gjerne en kikk på sjekklisten først for å få oversikt.

English version - Personal data in student projects

Temaside: Personvern og GDPR | For forskere og veiledere: Behandling av personopplysninger i forskningsprosjekt

NTNU Retningslinje for behandling av personopplysninger

Hva er personopplysninger?

Personopplysninger, eller persondata, er informasjon som kan knyttes til en enkeltperson og gjøre det mulig å identifisere vedkommende:

Direkte identifiserende personopplysninger er for eksempel navn, personnummer, e-postadresse, telefonnummer og IP-adresse. Det samme gjelder bilder og video dersom en person kan gjenkjennes. Stemmen er også en personopplysning, derfor er lydopptak av intervjuer alltid personidentifiserende, selv om det ikke nevnes noen navn.

Indirekte identifiserende personopplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson. For eksempel bostedskommune eller arbeidssted kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Les mer om begrep og definisjoner i Retningslinje for behandling av personopplysninger.

Særlige kategorier av personopplysninger

Noen typer personopplysninger stiller strengere krav til behandlingsgrunnlag og informasjonssikkerhet enn såkalte alminnelige personopplysninger. Disse ble tidligere kalt sensitive, men omtales nå som særlige.

Disse typene personopplysninger regnes som særlige kategorier:

  • Rasemessig eller etnisk opprinnelse
  • Politisk oppfatning, religion og filosofisk overbevisning
  • Fagforeningsmedlemskap
  • genetiske opplysninger
  • Biometriske opplysninger med formål om å identifisere noen
  • Helseopplysninger
  • Seksuelle forhold
  • Seksuell legning

Andre typer personopplysninger som stiller samme strenge krav er straffedommer og lovovertredelser, og opplysninger om personer i sårbare situasjoner. Barn har et særlig vern som gjør at opplysninger må behandles med ekstra omtanke. I noen tilfeller kreves det også en personvernkonsekvensvurdering (DPIA) ved behandling av særlige kategorier av personopplysninger eller opplysninger om sårbare grupper.

Vurder om prosjektet kan gjennomføres anonymt

Hovedregelen er at du skal behandle så få personopplysninger som mulig for å oppnå forskningsformålet ditt. Dette kalles Dataminimeringsprinsippet. Du skal derfor alltid vurdere om du kan gjennomføre prosjektet ditt uten å samle inn personopplysninger.

Du kan gjennomføre et prosjekt med data om personer uten å samle inn personopplysninger i det hele tatt – gjennom anonym datainnsamling. Det innebærer at du må registrere intervju og observasjon i form av notater uten direkte eller indirekte identifiserende opplysninger, og at nettbaserte spørreskjema ikke kan knyttes til respondentens e-post eller IP-adresse på noe tidspunkt.

For mer informasjon, se Sikts side om anonym datainnsamling (Sikt er kunnskapssektorens tjenesteleverandør).

For å gjennomføre anonym datainnsamling må du:

  • Ta høyde for at selv tilsynelatende anonyme spørreskjema kan gjøre det mulig å indirekte identifisere enkeltpersoner. For eksempel hvis undersøkelsen er gjennomført på en liten arbeidsplass og deltakerne har oppgitt alder og kjønn. Ha alltid i bakhodet at bakgrunnsinformasjon kan identifisere, bruk gjerne vide kategorier (alder: 0-30, 30-50 etc.) og ikke samle inn unødvendig data.
  • KUN bruke Nettskjema for å lage anonyme digitale spørreskjema. Les mer om hvordan du kan Sikre anonymitet i Nettskjema (UiO).
  • Være klar over at det å gjennomføre et prosjekt anonymt er noe annet enn å anonymisere. Dersom du samler inn personopplysninger som du deretter anonymiserer, er dette en behandling av personopplysninger.
  • Gi informasjon og be om samtykke til deltakelse. Dette samtykket er forskningsetisk, ikke juridisk, og skal ikke dokumenteres med signatur eller på annen måte som kan identifisere deltakerne. Du skal heller ikke informere om innsyn, retting eller mulighet til å trekke samtykket, fordi undersøkelsen er anonym. I stedet kan du si at datainnsamlingen er anonym, og at det å gjennomføre undersøkelsen regnes som samtykke. Husk: Forskningsetisk samtykke er ikke det samme som samtykke som behandlingsgrunnlag for personopplysninger. Les mer om Behandlingsgrunnlag.
  • IKKE be om signatur eller lignende som kan identifisere deltakeren. Du skal heller ikke si at datamaterialet skal behandles konfidensielt, dersom dette ikke er tilfellet. Hvis datamaterialet skal deles eller publiseres i ettertid, for eksempel i et åpent dataarkiv, bør du gjøre oppmerksom på det.

Behandling av personopplysninger

Hvis du ikke kan gjennomføre prosjektet anonymt, betyr det at du skal behandle personopplysninger. Behandling er et vidt begrep som omfatter alt du gjør med informasjon om identifiserbare mennesker; helt fra du samler inn deltakernes kontaktinformasjon, til prosjektet er avsluttet og datamaterialet er slettet, anonymisert eller arkivert.

  • Når du samler og analyserer personopplysninger til bruk i forskning, behandler du personopplysninger.
  • Du behandler personopplysninger selv om du ikke offentliggjør materialet (for eksempel i oppgaven) eller deler det med andre.
  • Du behandler også personopplysninger hvis du samler inn opplysninger som allerede er offentliggjort (for eksempel på nettforum eller sosiale medier), eller du bruker personopplysninger andre har samlet inn.
  • Du samler inn personopplysninger selv om du anonymiserer underveis.

Hva må du tenke på før du behandler persondata?

Personvernprinsippene er grunnleggende for behandling av personopplysninger.

  • All behandling av personopplysninger må være lovlig, rettferdig og gjennomsiktig.
  • Behandlingen skal foregå etter prinsippene om formålsbegrensning og dataminimering.
  • Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.
  • Personopplysninger skal behandles slik at integritet, konfidensialitet og tilgjengelighet beskyttes.

Med andre ord:

  • Du skal ha en god grunn, altså et formål.
  • Du skal ha lov, det vil si et juridisk behandlingsgrunnlag.
  • Du skal vise respekt for den registrerte og dens rettigheter.
  • Du skal ikke samle inn mer enn du trenger.
  • Du skal ikke bruke opplysningene til noe annet enn du har sagt.
  • Du skal ikke beholde opplysningene lenger enn det som er nødvendig.
  • Du skal sørge for god informasjonssikkerhet.

Sjekkliste for riktig behandling av persondata

1. Velg behandlingsgrunnlag

Du må ha et behandlingsgrunnlag for å kunne behandle personopplysninger i prosjektet ditt. Avhengig av hvilket grunnlag du velger, må behandlingen også oppfylle noen vilkår.

Samtykke

Studentprosjekter er ofte avgrenset i varighet og formål, og samtykke er dermed et egnet grunnlag. Det innebærer at du må ha dokumentert samtykke fra deltakerne før du innhenter data, altså at deltaker må få informasjon om at personopplysninger vil bli samlet inn og hva som er formålet med innsamlingen. For særlige kategorier av personopplysninger, skal samtykket være uttrykkelig, det vi si ekstra tydelig. For mer om kravene til samtykke, se Samtykke for behandling av personopplysninger.

Allmennhetens interesse

I noen tilfeller, for eksempel ved internettforskning, kan behandling av personopplysninger skje uten innhenting av samtykke dersom det er nødvendig for å utføre en oppgave i allmennhetens interesse. For alminnelige kategorier av personopplysninger, betyr det at du må vise til hvorfor opplysningene er nødvendige for å oppnå forskningsformålet ditt. For særlige kategorier og opplysninger om straffbare forhold må du også beskrive hvordan samfunnsnytten ved prosjektet overstiger ulempen for deltakerne.

For mer informasjon om samtykke og allmennhetens interesse, se Sikts sider om behandlingsgrunnlag.

Informasjon til deltakere

Uavhengig av hvilket behandlingsgrunnlag som brukes, må deltakerne få informasjon om forskningsprosjektet. Der det er mulig, må de også takke ja til å delta i forskning, dette kalles forskningsetisk samtykke. Forskningsetisk samtykke trenger ikke dokumenteres.

2. Klassifiser datamaterialet riktig

Når du skal samle inn, lagre og jobbe med personopplysninger, er det viktig å sørge for riktig nivå av informasjonssikkerhet. Det første du må gjøre, er derfor å klassifisere datamaterialet du skal samle inn og jobbe med:

  • Alminnelige personopplysninger klassifiseres som regel som interne (gule) data.
  • Særlige kategorier av personopplysninger krever særskilt beskyttelse, og vil som regel havne i fortrolig (rød) kategori.

Les mer om informasjonssikkerhet på Klassifisering av informasjonsverdier – retningslinje.

3. Velg system for innsamling og lagring

Innsamling og lagring av persondata skal gjøres i NTNUs systemer, eller i systemer med en databehandleravtale med NTNU. Velg løsninger og verktøy for innsamling av persondata gjennom intervju, video og spørreskjema, fra oversikten i Datainnsamlingsguiden. Se Lagringsguiden for oversikt over tilgjengelige lagringsløsninger ved NTNU.

Merk at lagringsguiden er laget for ansatte med NTNU-PC som er administrert av IT-avdelingen. Studenter som kun har tilgang på privat PC, kan se på dataflytene på siden Behandle informasjon med privat IKT-utstyr.

4. Gjennomfør risikovurdering

Før behandling av personopplysninger skal du foreta en risikovurdering, også kalt risiko- og sårbarhetsanalyse, ROS. Risikovurderingen skal bidra til å forebygge uønskede hendelser. Kjernen i en risikovurdering er tre spørsmål:

  • Hva kan gå galt i behandlingen av personopplysninger?
  • Hva kan vi gjøre for å hindre det?
  • Hva kan vi gjøre for å redusere konsekvensen dersom det skjer?

Risikovurderingen skal godkjennes av veilederen din. Dersom den lastes opp som vedlegg til meldeskjema til Sikt, trenger ikke veileder å signere den.

Du finner en forenklet mal for studentprosjekter på siden Risikovurdering av forskningsprosjekter med personopplysninger.

Se video om utfylling av risikovurdering for studenter.

5. Lag datahåndteringsplan

En datahåndteringsplan (data management plan, DMP) er et dokument som beskriver hvordan data i et forskningsprosjekt skal håndteres helt fra starten av prosjektet, gjennom hele forskningsprosessen, og etter at prosjektet er avsluttet. Du skal bruke malen for datahåndteringsplan for studentprosjekter med persondata (docx). Den er basert på de tilgjengelige alternativene for innsamling, oversending, lagring og bearbeiding av data.

Se video om utfylling av datahåndteringsplan for studenter.

6. Send inn meldeskjema

Studentprosjekter som behandler personopplysninger på bachelor- og masternivå skal meldes til Sikt personverntjenester for forhåndsvurdering. (Unntak er prosjekter på MH-fakultetet.) Du kan ikke behandle personopplysninger før Sikt har gitt tilbakemelding om at den planlagte behandlingen samsvarer med EUs personvernforordning.

Veileder er ansvarlig for at prosjektet blir meldt til Sikt, men oppgaven delegeres ofte til studenten. Prosjektet skal meldes senest 30 dager før datainnsamlingen skal starte. Hvis det gjøres endringer underveis i prosjektet, må dette også meldes til Sikt.

Slik melder du inn prosjektet ditt.

Slik melder du inn endring i prosjektet ditt.

Du må selv gi veileder tilgang til prosjekt og meldeskjema gjennom Sikt-portalen. Det er også lurt å laste opp risikovurderingen og datahåndteringsplanen som vedlegg til meldeskjema. Da sikrer du at veileder har tilgang til dokumentene, og du kan finne dem igjen ved behov.

Se video om utfylling av meldeskjema.

7. Send inn sluttmelding

Når prosjektet ditt er avsluttet, får du et e-postvarsel fra Sikt som ber deg bekrefte at behandlingen av personopplysninger er avsluttet. Dette er svært viktig, og det er veileders ansvar å sørge for at det blir gjort. Det er derfor viktig at veileder også har tilgang til meldeskjemaet ditt. Hvis du ønsker å melde prosjektet som avsluttet tidligere enn planlagt, kan du melde fra til Sikt om det.

Spesielt om Internettforskning

Skal du forske på informasjon funnet på Internett? Da er prosjektet ditt meldepliktig til Sikt dersom du behandler personopplysninger. For eksempel hvis du skal lagre informasjon fra åpne eller lukkede diskusjonsfora, som inneholder deltakernes navn eller kallenavn. Ordrette sitater kan dessuten være søkbare, og kan regnes som indirekte identifiserende personopplysninger.

Som hovedregel skal man alltid gi informasjon til deltakerne. Men ved Internettforskning kan det ofte være vanskelig, av og til også umulig, å hente inn samtykke. Da kan du vurdere om allmennhetens interesse er et mer egnet behandlingsgrunnlag. Det kan også være unntak fra informasjonskravet. Les mer om Internettforskning på Sikts nettsider.

Spesielt om helseforskning

Medisinsk og helsefaglig forskning (helseforskning) er forskning på mennesker, humant biologisk materiale eller helseopplysninger, der formålet er ny kunnskap om helse og sykdom. Helseforskningsloven sier at helseforskningsprosjekter skal være forhåndsgodkjent av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet starter. Det er veileder/prosjektleders ansvar å sende søknaden om forhåndsgodkjenning. Helseforskningsprosjekter der andre fakultet enn MH er forskningsansvarlig, skal meldes til Sikt i tillegg til søknad til REK.

Se også Planlegge og gjennomføre helseforskningsprosjekt.

Ditt ansvar som student

Du som student har mye av ansvaret for å sørge for at du behandler personopplysninger riktig i ditt prosjekt. Veilederen din deler også på ansvaret, og skal hjelpe deg på veien.

Studenten har ansvar for å:

  • Gjøre en risikovurdering sammen med veileder
  • Utarbeide en datahåndteringsplan i samråd med veileder
  • Sende melding til Sikt personverntjenester, dersom veileder har godkjent dette. Veileder eller student fyller ut meldeskjema og tilhørende vedlegg i Sikt-portalen. Veileder skal stå som prosjektansvarlig
  • Signere taushetserklæring der det er nødvendig
  • Gjennomføre nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger
  • Sette seg inn i rutiner for bruk av privat IKT-utstyr

Veileder for student i studentprosjekt

Veileder fungerer som prosjektleder i studentprosjekt, og har det overordnede ansvaret for at kravene for riktig behandling av persondata oppfylles. Veileder skal også sørge for at studenten gjennomfører nødvendig opplæring i informasjonssikkerhet og personvern før behandling av personopplysninger i studentprosjekt.

Les om veileders ansvar på siden Behandle personopplysninger i forskningsprosjekt.

Håndtering av avvik (uønskede hendelser)

Til tross for god planlegging, hender det at personopplysninger kommer på avveie. Hvis du oppdager ønskede hendelser, er det viktig at du melder fra i NTNUs avvikssystem. Avviksmeldinger skal ikke henge ut eller straffe noen, men gjør det lettere å både rette opp avviket og unngå lignende hendelser i framtiden.

Avvik kan for eksempel være:

  • E-post med sensitive personopplysninger er sendt til feil person
  • Utstyr er mistet (minnepinne, diktafon e.l.)
  • Persondata har ligget åpent tilgjengelig på grunn av manglende tilgangsstyring og/eller kryptering

Se også

(Lenker kommer)

Kontakt

Har du spørsmål, tilbakemeldinger eller trenger råd, kontakt Forskningsdatahjelpen i NTNU Hjelp.
Eksterne brukere kan sende epost til research-data@ntnu.no.

1382 Visninger
Målgruppe: Medarbeidere Studenter Tema: Forskning Studier Personvern
Tagger
persondata personvern gdpr studentprosjekt