Risikovurdering av forskningsprosjekter med personopplysninger - Kunnskapsbasen
Risikovurdering av forskningsprosjekter med personopplysninger
På denne siden finner studenter og ansatte informasjon som gjør dem i stand til å vurdere risiko for forskningsprosjekter med personopplysninger.
Før behandling av personopplysninger har prosjektleder ansvar for at det foretas en risikovurdering, det vil si en systematisk gjennomgang av hva som kan gå galt. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes konfidensialitetsgrad, miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.
Risikovurderingen skal godkjennes av prosjektleder (eventuelt veileder for studentprosjekt), og en godkjent og signert versjon skal være tilgjengelig på forespørsel (kan scannes og lagres digitalt). Vurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet.
English version: Risk assessment of research projects with personal data
Mal for risikovurdering av forskningsprosjekter med personopplysninger
Det er utarbeidet en egen mal for risikovurderinger av forskningsprosjekter ved NTNU. Malen er et regneark med tre faner. Veiledning finnes i egen fane, og kan også lastes ned i pdf-format.
Merk at malen er et utgangspunkt som kan og bør tilpasses til prosjektet. Et kortvarig prosjekt med få informanter vil for eksempel kunne ha andre og færre risikofaktorer enn et større forskningsprosjekt med prosjektmedlemmer fra flere institusjoner. Bruk derfor malen til å vurdere reell risiko og lage gjennomførbare tiltak.
En kort og høyst uformell videoveiledning er tilgjengelig fra Panopto.
Mal for risikovurdering av forskningsprosjekter (xlsx-fil)
NB: Helseforskningsprosjekter har egne retningslinjer for risikovurdering, se Planlegge og gjennomføre helseforskningsprosjekt og Risikovurdering ved håndtering av personopplysninger - helseforskning
Er du student? Her finner du en forenklet ROS-mal du kan bruke for studentprosjekt (xlsx-fil).
Hva er en risikovurdering?
Kjernen i en risikovurdering (også kalt risiko- og sårbarhetsanalyse, ROS) består av tre spørsmål:
- Hva kan gå galt?
- Hva kan vi gjøre for å hindre det?
- Hva kan vi gjøre for å redusere konsekvensen dersom det skjer?
Målet med en risikovurdering er å avdekke nåværende risikonivå og komme fram til tiltak som kan være med på å redusere risikoen. Risiko angis gjerne som produktet av sannsynlighet og konsekvens angitt som tallverdier i henhold til en skala. Ofte framstilles risikonivået også med utgangspunkt i en fargeskala der grønn betegner lav risiko, gul er moderat, og rød er høy.
Gjennomføring av risikovurdering
Det er prosjektleder som har ansvar for å gjennomføre en risikovurdering, men det kan være en fordel å ha med flere i arbeidet. For studentprosjekter er det veileder som har ansvaret for å gjøre en risikovurdering sammen med studenten.
Det kan være nyttig å starte med å skissere opp dataflyten for hele prosjektet. Hvordan samles data inn, hvordan overføres de, hvor lagres de, hvor bearbeides de, hvem skal ha tilgang i de ulike fasene, og hva skjer med dem når prosjektet er ferdig? Deretter gjelder det å identifisere hva som kan gå galt i hvert enkelt trinn.
Et eksempel kan være persondata lagret på eksterne enheter (diktafon, minnepinne, lokal harddisk etc.) som kommer på avveie. I tillegg til at viktig datamateriale går tapt dersom det ikke finnes kopier, kan persondata på avveie potensielt være svært belastende for informantene.
En risikovurdering av denne typen skal ha hovedfokus på konsekvensene for de registrerte, det vil si de personene som opplysningene gjelder. I tillegg skal en også tenke på konsekvenser for selve prosjektet (hva skjer for eksempel dersom en mister tilgang til datamateriale eller det skjer brudd på personopplysningsregelverket?) og for NTNU som helhet (for eksempel tap av omdømme eller økonomisk tap som følge av bøter). Konsekvensen avhenger blant annet av hvor mange personer som omfattes, hvor mange opplysninger det gjelder, og om det er snakk om alminnelige eller særlige kategorier av personopplysninger.
Særlige kategorier av personopplysninger (også gjerne kalt sensitive) medfører som regel høyere risiko enn alminnelige, og omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Denne typen personopplysninger klassifiseres som regel som fortrolige/røde data, mens alminnelige personopplysninger ofte er interne/gule data.
Det finnes allerede tiltak for å forhindre at uønskete hendelser skjer, for eksempel NTNUs retningslinjer for behandling av personopplysninger i forskning og politikk for informasjonssikkerhet.
I tillegg finnes det anbefalte verktøy for innsamling og lagring av personopplysninger. Disse hjelper imidlertid lite dersom prosjektdeltakerne ikke har kunnskap om dem eller vet hvordan det skal gjennomføres i praksis.
Aktuelle tiltak kan derfor være å gjøre alle prosjektdeltakerne kjent med NTNUs retningslinjer, bruke NTNUs løsninger og tjenester for innsamling og lagring der det er mulig, og etablere gode rutiner for sikring, deling og sletting.
Risikovurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet.
Restrisiko og risikoaksept
Det skal godt gjøres å eliminere all risiko i et forskningsprosjekt. Av og til vil en havne i gul risikokategori også etter å ha gjennomført tiltak, og det må da vurderes om det skal iverksettes nye tiltak, eller om risikoen kan aksepteres. Dette må diskuteres i hvert enkelt prosjekt, og ansvaret for å akseptere risiko ligger hos linjeleder, noe som vil si at det som regel er instituttleder som skal godkjenne dersom restrisiko er gul eller høyere.
DPIA
I prosjekter der det er høy restrisiko for personers rettigheter og friheter også etter foreslåtte tiltak, kan det være nødvendig å gjennomføre en personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA). Dette er en mer omfattende gjennomgang av behandlingen av personopplysninger. Noen prosjekter vil automatisk utløse krav om DPIA dersom de oppfyller visse kriterier. For prosjekter som meldes til Sikt, vil de hjelpe til med å vurdere om en DPIA er nødvendig, og bistå med gjennomføringen.
NB: For helseforskningsprosjekter er det egne retningslinjer for når og hvordan en DPIA skal gjennomføres.
Se også
- Informasjonssikkerhet - risikovurdering,
- Behandle personopplysninger i student- og forskningsprosjekt
Kontakt
- Research Data @NTNU/Forskningdatahjelpen - hvis du har spørsmål, tilbakemeldinger eller trenger råd ved utarbeidelse av en risikovurdering for forskningsprosjekt med personopplysninger, ta kontakt med Research Data @NTNU i NTNU Hjelp. Eksterne brukere kan sende epost til research-data@ntnu.no (har du NTNU-bruker vil du få svar i NTNU Hjelp-portalen).
- Har du spørsmål om risikovurdering i forbindelse med utdanning eller undervisning? Kontakt BLINK Læringshub