Risikovurdering av forskningsprosjekter med personopplysninger - Kunnskapsbasen
Risikovurdering av forskningsprosjekter med personopplysninger
På denne siden finner du veiledning til hvordan utføre en risikovurdering i forskningsprosjekter med personopplysninger.
Før behandling av personopplysninger har prosjektleder ansvar for at det foretas en risikovurdering (også kalt risiko- og sårbarhetsvurdering, ROS), for å ivareta rettighetene til de personer som har bidratt med data/opplysninger. Sentrale forhold i risikovurderingen er prosjektets omfang, opplysningenes konfidensialitetsklasse, miljøet opplysningene bearbeides og lagres i, og prosjektets varighet.
Risikovurderingen skal godkjennes av prosjektleder (eller av veileder i studentprosjekter), og en godkjent og signert versjon skal være tilgjengelig på forespørsel (kan scannes og lagres digitalt). Vurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet.
English version: Risk assessment of research projects with personal data
Mal for risikovurdering av forskningsprosjekter med personopplysninger
Det er utarbeidet en egen mal for risikovurderinger av forskningsprosjekter ved NTNU. Malen er et regneark med tre faner. Veiledning finnes i egen fane, og kan også lastes ned i pdf-format.
Merk at malen er et utgangspunkt som kan - og bør - tilpasses til prosjektet. Et kortvarig prosjekt med få informanter vil for eksempel kunne ha andre og færre risikofaktorer enn et større forskningsprosjekt med prosjektmedlemmer fra flere institusjoner. Bruk derfor malen til å vurdere reell risiko og lage gjennomførbare tiltak.
En kort og høyst uformell videoveiledning er tilgjengelig fra Panopto.
Mal for risikovurdering av forskningsprosjekter (xlsx-fil)
NB: Helseforskningsprosjekter har egne retningslinjer for planlegging og gjennomføring, se Planlegge og gjennomføre helseforskningsprosjekt.
Er du student? Her finner du en forenklet ROS-mal du kan bruke for studentprosjekt (xlsx-fil). Her finner du også eksempel på en utfylt ROS-vurdering for røde data (pdf-fil).
Hva er en risikovurdering?
Kjernen i en risikovurdering (også kalt risiko- og sårbarhetsanalyse, ROS) består av tre spørsmål:
- Hva kan gå galt?
- Hva kan vi gjøre for å hindre det?
- Hva kan vi gjøre for å redusere konsekvensen dersom det skjer?
Målet med en risikovurdering er å avdekke nåværende risikonivå og komme fram til tiltak som kan være med på å redusere risikoen. Risiko angis gjerne som produktet av sannsynlighet og konsekvens angitt som tallverdier i henhold til en skala. Ofte framstilles risikonivået også med utgangspunkt i en fargeskala der grønn betegner lav risiko, gul er moderat, og rød er høy.
Gjennomføring av risikovurdering
Det er prosjektleder som har ansvar for å gjennomføre en risikovurdering, men det kan være en fordel å ha med flere i arbeidet. For studentprosjekter er det veileder som har ansvaret for å gjøre en risikovurdering sammen med studenten.
Tenk på dataflyt
Det kan være nyttig å starte med å skissere opp dataflyten for hele prosjektet. Hvordan samles data inn, hvordan overføres de, hvor lagres de, hvor bearbeides de, hvem skal ha tilgang i de ulike fasene, og hva skjer med dem når prosjektet er ferdig?
Hva kan gå galt?
Når du har oversikt over dataflyten, gjelder det å identifisere hva som kan gå galt i hvert enkelt trinn. Et eksempel kan være persondata lagret på eksterne enheter (diktafon, minnepinne, lokal harddisk etc.) som kommer på avveie. Utover det faktum at viktig datamateriale går tapt dersom det ikke finnes kopier, kan persondata på avveie potensielt være svært belastende for informantene.
Vurder mulige konsekvenser
En risikovurdering knyttet til behandling av personopplysninger bør vurdere:
- konsekvensene for de registrerte, det vil si de personene som opplysningene gjelder. Dette bør være hovedfokus for vurderingen.
- konsekvenser for selve prosjektet (hva skjer for eksempel dersom en mister tilgang til datamateriale eller det skjer brudd på personopplysningsregelverket?)
- konsekvenser for NTNU som institusjon (for eksempel tap av omdømme eller økonomisk tap som følge av bøter).
Potensielle konsekvensen og deres alvorlighet avhenger blant annet av hvor mange personer som omfattes, hvor mange opplysninger det gjelder, og om det er snakk om alminnelige eller særlige kategorier av personopplysninger.
Særlige kategorier av personopplysninger (også gjerne kalt sensitive) medfører som regel høyere risiko enn alminnelige, og omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Denne typen personopplysninger klassifiseres som regel som fortrolige/røde data, mens alminnelige personopplysninger ofte er interne/gule data.
Vurder relevante tiltak
NTNU har allerede noen tiltak for å forhindre at uønskete hendelser skjer, for eksempel NTNUs retningslinjer for behandling av personopplysninger i forskning og politikk for informasjonssikkerhet.
I tillegg finnes det anbefalte verktøy for innsamling og lagring av personopplysninger.
De eksisterende tiltakene hjelper imidlertid lite dersom prosjektdeltakerne ikke har kunnskap om dem eller vet hvordan det skal gjennomføres i praksis. Aktuelle tiltak i forskningsprosjekter kan derfor være å gjøre alle prosjektdeltakerne kjent med NTNUs retningslinjer, bruke NTNUs løsninger og tjenester for innsamling og lagring der det er mulig, og etablere gode rutiner for sikring, deling og sletting.
Risikovurderingen bør gås gjennom med jevne mellomrom og tilpasses eventuelle endringer i prosjektet.
Restrisiko og risikoaksept
Det skal godt gjøres å eliminere all risiko i et forskningsprosjekt. Av og til vil en havne i gul risikokategori også etter å ha gjennomført tiltak, og det må da vurderes om det skal iverksettes nye tiltak, eller om risikoen kan aksepteres. Dette må diskuteres i hvert enkelt prosjekt, og ansvaret for å akseptere risiko ligger hos linjeleder, noe som vil si at det som regel er instituttleder som skal godkjenne dersom restrisiko er gul eller høyere.
DPIA
I prosjekter der det er høy restrisiko for personers rettigheter og friheter også etter foreslåtte tiltak, kan det være nødvendig å gjennomføre en personvernkonsekvensvurdering (Data Protection Impact Assessment, DPIA). Dette er en mer omfattende gjennomgang av behandlingen av personopplysninger.
Noen prosjekter vil automatisk utløse krav om DPIA dersom de oppfyller visse kriterier. For prosjekter som meldes til Sikt, vil Sikt hjelpe til med å vurdere om en DPIA er nødvendig, samt bistå med gjennomføringen.
NB: For helseforskningsprosjekter er det egne retningslinjer for når og hvordan en DPIA skal gjennomføres.
Se også
- Informasjonssikkerhet - risikovurdering,
- Behandle personopplysninger i student- og forskningsprosjekt
Kontakt
- Research Data @NTNU/Forskningdatahjelpen - hvis du har spørsmål, tilbakemeldinger eller trenger råd ved utarbeidelse av en risikovurdering for forskningsprosjekt med personopplysninger, ta kontakt med Research Data @NTNU i NTNU Hjelp. Eksterne brukere kan sende epost til research-data@ntnu.no (har du NTNU-bruker vil du få svar i NTNU Hjelp-portalen).
- Har du spørsmål om risikovurdering i forbindelse med utdanning eller undervisning? Kontakt BLINK Læringshub