Studenters ansvar for personvern i oppgaveskriving

Skal du skrive en praksisrapport eller en bachelor- eller masteroppgave der du samler og bruker personopplysninger? Her finner du informasjon om krav og retningslinjer du må forholde deg til.

Personopplysninger skal kun behandles når det er nødvendig, og skal behandles etter personvernregelverket. Studenter bør unngå å behandle personopplysninger, men kan behandle personopplysninger når det er nødvendig å for å oppnå læringsutbyttet.

Her finnes informasjon om hvordan opplysninger kan innhentes anonymt, og hvilke regler som gjelder når studenter må behandle personopplysninger i sine studentarbeider. 

Veiledningen gjelder for alle typer studentarbeider der studentene behandler personopplysninger, herunder bl.a. praksisrapporter, arbeidskrav og større prosjekter som bachelor- og masteroppgaver.

  • Personopplysninger er enhver opplysning som kan knyttes til en person. En personopplysning kan for eksempel være fødselsnummer, navn, adresse, e-postadresse eller IP-adresse. 
    Et bilde eller videoopptak regnes som en personopplysning dersom personer kan gjenkjennes, og stemme på lydopptak regnes alltid som en personopplysning selv om ingen navn blir nevnt i innspillingen. 

    Det er også mulig at en samlet kombinasjon av opplysninger kan knyttes til en person. For eksempel om det registreres nøyaktig alder, bosted og studieretning, og det kun er én person på 37 fra Verdal som studerer naturforvaltning.
    Hvorvidt bakgrunnsopplysninger kan gjøre en person identifiserbar avhenger av variablene/de registrerte dataene, men også av kontekst, tema og kriteriene for utvalget.

    Ettersom pseudonyme personopplysninger kan knyttes til en bestemt person ved bruk av tilleggsopplysninger/koblingsnøkkel, er disse å regne som personopplysninger (sett inn lenke til definisjon).

    Anonyme opplysninger er ikke personopplysninger, men husk å sjekke om opplysningene faktisk er helt anonyme. 

    Hvordan anonymisere personopplysninger? (Datatilsynet)​

  • Datahåndteringsplan er et anbefalt verktøy for alle som skriver studentoppgaver. Den bidrar til å skaffe deg oversikt over hva du skal samle inn, hvordan du skal samle det inn, hvordan du beskriver dataene, hvor du skal lagre data, hvordan du skal jeg jobbe med data, om det andre som skal ha tilgang til dine data, hva du gjør du når du er ferdig med å bruke dataene, med mer.​

    NSD har en mal som du kan bruke. Dette er et nyttig verktøy i planleggingsfasen gir pekepinn på hvilken sikkerhet som kreves for dine data. Ved å lage en datahåndteringsplan, sikrer at du har gjennomgått og tenkt på alle aktuelle spørsmål som gjelder bl.a. personvern.

  • Personopplysninger skal kun behandles når det er nødvendig, og alle behandlinger er underlagt et strengt regelverk. Studenter kan ofte unngå å behandle personopplysninger i sine studentarbeider, men noen ganger er det nødvendig å behandle personopplysninger for at studenter skal oppnå læringsutbyttet.

    Du må alltid vurdere om det er nødvendig å behandle personopplysninger. Personopplysninger skal ikke behandles utover det som er nødvendig for å oppnå formålet. Dersom du kan oppnå læringsutbyttet eller formålet med ditt studentprosjekt ved å behandle kun anonyme opplysninger [lenke til definisjon], så skal du gjøre det.

    • Kan du innhente opplysningene anonymt? Det kan du f.eks. gjøre ved å skrive referater fra intervju uten at det fremkommer direkte eller indirekte identifiserende opplysninger i referatet.
    • Kan du bruke anonyme datasett som allerede er innhentet av andre? På Finn data | NSD  finnes en stor mengde med datasett innen ulike tema.

    Her finner du gode tips:

    Dersom det ikke er mulig med kun anonym behandling, bør data pseudonymiseres (avidentifiseres), og koblingsnøkkel/kodenøkkel lagres på annet sikkert sted enn hvor dataene ligger.​

  • ​Ved behandling av personopplysninger skal følgende prinsipper i personvernforordningen (GDPR) alltid følges:

    ​Du skal ha tillatelse

    • ​Du må ha et rettslig grunnlag for å behandle personopplysninger, enten i form av et samtykke eller at annet grunnlag.
    • Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet. Hvis du ønsker å gjenbruke opplysningene til annet formål, må du ha et selvstendig/nytt rettslig grunnlag.
    • Du må søke om nødvendige tillatelser der dette er påkrevd, se mer om dette i punkt 10.

    Du skal ha en god grunn

    • Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at formålet med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.

    Du skal ikke behandle flere personopplysninger enn nødvendig, og du skal ikke behandle de lenger enn nødvendig

    • ​Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å oppnå formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.
    • Personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.

    Du skal sørge for god sikkerhet

    • Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene. Herunder skal du sørge for at de er vernet mot at uvedkommende får tilgang til dem.

    ​Du skal vise respekt for informantene og deres rettigheter

    • Behandlingen skal gjøres i respekt for informantenes interesser og rimelige forventninger. Behandlingen skal være forståelig for informantene og ikke foregå på skjulte eller manipulerende måter.
    • Bruken av personopplysninger skal være oversiktlig og forutsigbar for informantene. Gjennomsiktighet bidrar til å skape tillit og det setter informantene i stand til å bruke sine rettigheter og ivareta sine interesser.
    • Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at du må sørge for å straks slette eller rette personopplysninger som er uriktige.
    • Du skal sikre at informantene har mulighet til å bruke sine rettigheter. Du kan lese mer om informantenes rettigheter her: Dine rettigheter | Datatilsynet

    Du skal melde ifra dersom du oppdager avvik

  • Praksisrapporter, refleksjonsnotater, arbeidskrav og andre mindre studentoppgaver skal i utgangspunktet kun inneholde anonyme opplysninger. 


    I noen få tilfeller kan du likevel ha behov for å behandle personopplysninger. Dette kan f.eks. være aktuelt når du skal beskrive situasjoner du opplever i praksisstudiene dine, og bakgrunnsopplysninger gjør det helt umulig å anonymisere alle personer.
    Dersom du tror at du blir nødt til å behandle personopplysninger for å kunne oppnå læringsutbyttet, så skal du informere din emneansvarlig om dette før du begynner å samle inn opplysninger.

    Dere skal sammen vurdere om det virkelig trengs å behandle personoppplysninger, og vurdere hvilke tiltak som må gjøres for å sikre personopplysningene.

    • Vurdér om det er nødvendig å behandle personopplysninger. Kan du i stedet innhente opplysningene anonymt, så skal du gjøre det. 
    • Husk at du ikke kan bruke taushetsbelagte opplysninger i oppgaven/praksisrapporten din! 
    • ​Følg de grunnleggende prinsippene for behandling av personopplysninger. Det er bl.a. viktig å huske at du alltid må ha et lovlig grunnlag (f.eks. samtykke) for å behandle personopplysninger.
    • Gjør en vurdering av eventuelle forskningsetiske problemstillinger. Dette kan f.eks. være aktuelt dersom du skal innhente opplysninger på egen arbeidsplass.
    • Klassifisér opplysningene i henhold til Nord universitets retningslinjer for klassifisering av data, ​og sørg for at opplysningene sikres i henhold til beskyttelsesbehovet.
    • Sørg for at personopplysningene alltid er forsvarlig sikret, og at ingen uvedkommende får tilgang til dem. Du skal kun bruke tekniske løsninger som er godkjent av Nord. Les lagrings- og delingsguide for Nord universitet.​
    • Sørg for at all informasjon som kan knyttes til enkeltpersoner blir slettet når du er ferdig med behandlingen/oppgaven.
    • Dersom du skal levere inn en praksisrapport eller annet studentarbeid som inneholder personopplysninger, så skal du be emneansvarlig vurdere behov for klausulering.
    • Meld fra dersom det skjer avvik ved behandlingen av personopplysninger.
    • Be om hjelp dersom du er usikker på hvilke regler som gjelder.​
  • Med større studentoppgaver menes FoU-, kandidat-, bachelor- eller masteroppgaver. Ved denne typen studentoppgaver er det veileder eller emneansvarlig som er prosjektleder.
    Selv om prosjektleder har det formelle ansvaret for at retningslinjer og rutiner blir overholdt i prosjektet, har du som student likevel et selvstendig ansvar for å sikre personvernet i prosjektet. I tillegg vil du ha ansvaret for den praktiske gjennomføringen i henhold til prosjektleders instrukser og veiledning. 

    • Vurdér om det er nødvendig å behandle personopplysninger i prosjektet. Kan du i stedet innhente opplysningene anonymt eller bruke anonyme datasett som er tilgjengelig hos f.eks. NSD eller SSB?
    • Følg gjeldende retningslinjer og rutiner og de grunnleggende prinsippene for behandling av personopplysninger.
       
    • Gjør en vurdering av eventuelle forskningsetiske problemstillinger sammen med veileder. Dette kan f.eks. være aktuelt dersom du skal innhenting opplysninger på egen arbeidsplass.
    • ​Ikke start innsamlingen eller annen behandling av personopplysninger før du har fått tillatelse fra Norsk senter for forskningsdata (NSD). 
    • Søk bistand hos veileder dersom du er usikker på hva du skal gjøre.

    Noen studenter deltar i større forskningsprosjekter, og skriver sin studentoppgave i forbindelse med dette. I disse tilfellene må studenten følge de retningslinjer og tillatelser som gjelder for det aktuelle prosjektet. 
    Studenter som skriver studentoppgave under et utvekslingsopphold, må normalt følge gjeldende retningslinjer og instrukser ved vertsinstitusjonen. 

    Oppstart

    ​I planleggings-/oppstartsfasen skal du forberede hvordan du skal gjennomføre datainnsamlingen, og sørge for at nødvendige tillatelser m.m. er på plass.
    I denne fasen har studenten ansvaret for ​​følgende:

    • ​Bestemme og ha oversikt over hvilke typer personopplysninger som skal behandles i oppgaven. Herunder skal du lage en intervjuguide dersom du skal gjennomføre intervju, en observasjonsguide dersom du skal gjennomføre observasjon, eller et spørreskjema dersom du skal gjennomføre en spørreundersøkelse. Det anbefales at du lager en datahåndteringsplan. 
    • Sørge for å dokumentere at du har behandlingsgrunnlag . I de aller fleste tilfeller må du innhente samtykke fra dine informanter. Les mer om samtykke og andre behandlingsgrunnlag.
    • Dersom du skal innhente personopplysninger på egen arbeidsplass eller på praksissted, må du ha tillatelse fra ledelsen ved arbeidsplassen/praksisstedet.
    • Dersom du ønsker å bruke personopplysninger fra pasientjournal, helseregistre o.l., må du be om tillatelse fra den aktuelle institusjonen, og søke dispensasjon fra taushetsplikten hos Regional komité for medisinsk og helsefaglig forskningsetikk (REK).​
    • Utforme informasjon til informanter om deres personvernrettigheter. Du skal bruke NSD sin mal for informasjon til deltakerne​. Informasjonsskrivet fungerer også som samtykkeskjema, se tips nedenfor om bruk av digitalt spørreskjema for innhenting av samtykke.
    • Melde inn prosjektet til Norsk senter for forskningsdata (NSD) senest 30 dager før datainnsamlingen skal starte. Du skal melde prosjektet her.​​ Det du skriver i meldeskjemaet legger grunnlaget for hva du har lov til å gjøre med personopplysningene du henter inn fra informantene. 
    • Dele meldeskjemaet i NSD med prosjektleder.
    • Dele meldeskjemaet i NSD med din private e-post. Dette sikrer at du mottar nødvendige e-poster fra NSD om avslutning av prosjektet når du er ferdig med studiene dine.
    • Dersom prosjektet ditt omhandler helseforskning, må du søke godkjenning hos Regional komité for medisinsk og helsefaglig forskningsetikk i REK-portalen.
    • Klassifisér opplysningene du skal behandle i henhold til Nord universitets retningslinjer for klassifisering av data . Denne klassifiseringen gir en pekepinn på hvor streng beskyttelse som trengs for å sikre opplysningene.​

    Gjennomføring

    Gjennomføringsfasen er den delen av prosjektet som omfatter datainnsamling og analyser av innsamlede data.

    I denne fasen har studenten ansvaret for å:

    • ​Sikre at personopplysningene alltid er forsvarlig sikret, både ved innsamling, lagring, overføring og analyse m.m. Du har ansvaret for at ingen uvedkommende får tilgang til personopplysningene. Du skal kun bruke tekniske løsninger som er godkjent av Nord. Les mer om dette her 
    • Besvare henvendelser fra informanter i prosjektet om hvordan de kan ivareta sine personvernrettigheter
    • Sørge for forsvarlig sletting eller anonymisering av personopplysninger dersom informanter trekker tilbake sitt samtykke til å delta i prosjektet
    • Kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til andre formål eller på andre måter enn det informantene har samtykket til
    • Be informanter om nytt samtykke dersom innsamlede opplysninger skal behandles til andre formål eller på andre måter, for eksempel lagres lengre eller brukes i et nytt prosjekt, enn hva de opprinnelig har gitt samtykke til
    • Levere endringsmelding til NSD dersom du underveis i prosjektet må gjøre endringer. F.eks. dersom du må gjøre intervju over Teams i stedet for fysisk intervju, eller dersom du må innhente flere/andre opplysninger enn du opprinnelig har meldt inn
    • Meld fra dersom det skjer avvik ved behandlingen av personopplysninger i prosjektet ditt.

    Avslutning

    Avslutningsfasen er den delen av prosjektet hvor dataanalysen er avsluttet og innsamlede data (personopplysninger) skal slettes, anonymiseres eller overføres til andre for videre oppbevaring.
    I denne fasen har prosjektleder ansvaret for følgende oppgaver:

    • Avgjøre hvilke data som skal slettes og hvilke som skal oppbevares/arkiveres etter prosjektslutt. Vurderingen må gjøres i henhold til Nords retningslinje for forvaltning av forskningsdata.
    • Sørge for at alle personopplysninger som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet.
    • Sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for pseudonymiserte/avidentifiserte opplysninger destrueres.
    • Sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart.
    • Sørge for at oppgaver som inneholder taushetsbelagte opplysninger blir klausulert. Vurdere om elektronisk tilgjengeliggjøring av oppgaven skal utsettes eller avslås.
    • Sende sluttmelding til NSD og eventuelt til REK.

    I denne fasen har studenten ansvaret for å bistå prosjektleder i den praktiske gjennomføringen. Herunder skal studenten overføre, anonymisere og/eller slette opplysninger i henhold til fristen som er satt i meldeskjemaet til NSD, og prosjektleders instrukser. 

  • Alle FoU-, kandidat-, bachelor- og masteroppgaver som innebærer behandling av personopplysninger skal meldes til NSD. Det er prosjektleder som er ansvarlig for at studentprosjektet meldes, men det er som oftest studenten som gjennomfører selve meldingen.

    Prosjektet skal meldes til NSD hvis du på et eller annet tidspunkt behandler personopplysninger, selv om du skal anonymisere alle personer senere i prosessen eller i selve oppgaven. Dersom du f.eks. gjør et lydopptak av et intervju som du senere transkriberer til anonym tekst, skal prosjektet meldes til NSD.

    Du vil bli bedt om å oppgi en sluttdato for prosjektet. Dersom du skal oppbevare datagrunnlag med personopplysninger frem til sensur er gjennomført, må du sette datoen til etter sensurfrist. 

    Hvordan skal prosjektet meldes?

    Du skal melde prosjektet her: Personverntjenester | NSD

    Her kan du se et eksempel på meldeskjema

    Her finner du informasjon om  å fylle ut meldeskjema | NSD

    NSD kan gi veiledning på hvordan skjemaet skal utfylles. Du kan også be om bistand fra din veileder eller personvernombudet ved Nord

    Hvordan følge opp meldingen til NSD?

    Det er viktig at du følger opp spørsmål og oppgaver som du får fra NSD.

    Jo raskere du svarer ut eventuelle spørsmål om den planlagte behandlingen, jo raskere kan NSD gi deg godkjenning til å starte innsamlingen av data.

    I noen tilfeller kan NSD gi deg beskjed om å laste opp retningslinjer eller en godkjenning som viser at personopplysningene kan behandles som beskrevet. Ofte skyldes dette at NSD ikke kan godkjenne at personopplysningene behandles slik som du har beskrevet det i meldingen. Dette kan f.eks. skje dersom du har oppgitt at du skal bruke privat PC eller mobiltelefon ved innsamling eller lagring av data.

    Dersom du får en slik melding, må du vurdere å endre planen for behandling av personopplysninger i prosjektet, slik at det ligger innenfor det som er beskrevet i Nords retningslinjer. Dersom du og din veileder mener at det er spesielle årsaker til at du er nødt til å behandle personopplysninger på en måte som ikke er i henhold til Nords retningslinjer, må du kontakte fakultetet for å få en skriftlig godkjenning.

    Når du er ferdig med oppgaven, og alle personopplysningene er slettet eller anonymisert, skal du sende sluttmelding til NSD.

  • REK behandler søknader om medisinsk og helsefaglig forskning som har som mål å skaffe til veie ny kunnskap om helse og sykdom. REK behandler også søknader om dispensasjon fra taushetsplikt i annen forskning.

    Studenter vil sjelden ha behov for å melde inn sine prosjekter til REK. Kontakt din veileder dersom du mener at ditt prosjekt bør meldes til REK, eller er usikker på om ditt prosjekt omfattes av kravet til REK-søknad.​

  • I utgangspunktet skal en studentoppgave ikke inneholde personopplysninger. Unntak kan gjøres dersom det er en vitenskapelig grunn til å publisere en oppgave som inneholder personopplysninger. Dette må du vurdere sammen med din veileder. Du må i tillegg sørge for at følgende kriterier er oppfylt: 

    • Informantene må samtykke til at du publiserer opplysninger om dem. Informasjonsskrivet må inneholde tydelig informasjon om hvordan personopplysningene vil bli publisert.
    • Informantene skal få anledning til å lese igjennom de delene av oppgaven som omhandler opplysninger om dem før oppgaven publiseres.
    • Selv om du har samtykke fra informantene om at personopplysninger kan publiseres, må det gjøres en etisk vurdering av om opplysningene skal publiseres.

    Kan studenter innhente personopplysninger på egen arbeidsplass?

    Å innhente personopplysninger på egen arbeidsplass kan gi noen etiske utfordringer. Det er viktig at du er bevisst disse utfordringene, og gjør en vurdering av dem sammen med veilederen din. Her er noen temaer du må tenke igjennom før du begynner å samle inn personopplysninger på din arbeidsplass:

    • Du må ha tillatelse fra arbeidsgiver (behandlingsansvarlig) før du innhenter personopplysninger på arbeidsplassen din.
    • Hvilke utfordringer kan det gi å ha dobbeltrollen ansatt/forsker?
    • Har du taushetsplikt i kraft av din stilling på arbeidsplassen?
    • Du har taushetsplikt som forsker, og kan i din rolle som ansatt ikke bruke/dele personopplysninger informantene har delt med deg som forsker. Hvordan skille mellom opplysninger du får som ansatt versus opplysninger du mottar som forsker?
    • Vil samtykke føles frivillig for informantene dersom dere har en relasjon der du er i maktposisjon? Dette kan f.eks. være aktuelt der informantene er dine pasienter eller elever/elevers foresatte. 
  • Hvordan vurdere hvilket lagringsområde og utstyr som kan brukes?

    Nord har en retningslinje for klassifisering av informasjon. Denne gjelder også for studenter som behandler data i forbindelse med sine studentarbeider. Informasjon skal klassifiseres som grønn/åpen, gul/beskyttet eller rød/fortrolig. Studenter skal ikke behandle data som er så sensitive at de er klassifisert som sorte/strengt fortrolige data.

    • Før du gjennomfører innhenting av data skal du klassifisere alle opplysninger ut fra beskyttelsesbehov. Bruk Nord universitets retningslinjer for klassifisering av data. Du kan be om bistand fra din veileder eller personvernombudet dersom du er usikker på hvilken klassifisering dine data skal ha.
    • Når du har avklart klassifiseringen for dine data må du sjekke hvilke lagringsområder, verktøy og utstyr du kan bruke til å behandle disse dataene. Oversikt over dette finner du i Lagringsguide for Nord universitet. Den forklarer blant annet hvilket krav det er til lagringsområder og utstyr som skal benyttes for gule og røde data.

    Kan studenter bruke private enheter?

    I utgangspunktet skal gule eller røde data alltid behandles i systemer og verktøy som driftes/eies av Nord. Dette betyr at du ikke kan behandle personopplysninger på private enheter eller bruke software eller skyløsninger som Nord ikke har lisens på. Du skal f.eks. ikke lagre personopplysninger på privat Onedrive-konto, og aldri kan ta lydopptak med din mobiltelefon.​ Dette betyr bl.a. at du aldri kan ta lydopptak med mobiltelefon.

    Å bruke privat PC/Mac til å logge seg inn på Nords skylagring mot OneDrive er ikke å anse som bruk av privat enhet dersom dataene ikke lastes ned til privat PC/Mac. Dette forutsetter at data i din OneDrive ikke blir synkronisert til din PC/Mac. Sjekk derfor innstillingene i dine One Drive før du lagrer gule eller røde data i OneDrive.

    Dersom du av særlige grunner er nødt til å behandle data på privat enhet, må du innhente en skriftlig godkjenning fra ditt fakultet. Privat enhet skal da være kryptert i henhold til kravene gitt ved Nord.

    Hvordan innhente opplysninger i digitalt spørreskjema – Nettskjema?

    Dersom du skal innhente opplysninger gjennom spørreskjema, skal du bruke Nettskjema - Nord-hjelp.

    Du må logge inn med din FEIDE-bruker for å få tilgang til å bruke Nettskjema. Du har ikke lov til å laste ned data fra Nettskjema til din egen maskin eller andre usikre lagringsområder. Dersom det er behov for å overføre dataene til annet lagringsområde, skal du følge Nords lagringsguide.

    Dersom du i spørreskjemaet skal innhente opplysninger som vil kunne identifisere informantene, må skjemaet inneholde informasjonsskriv og en obligatorisk avkryssingsboks for samtykke. Ved opprettelse av skjemaet må du velge at informanter skal logge inn med ID-porten, slik at du har kontroll på hvem som har fylt ut skjemaet.

    Du kan lage anonyme spørreskjema. Det er da viktig at det kun brukes spørsmål med radioknapper/avkryssingsbokser eller nedtrekkliste, og at det ikke stilles spørsmål som indirekte kan identifisere enkeltpersoner.

    Skjema i Nettskjema skal slettes når prosjektet avsluttes. 

    Hvordan gjøre lydopptak av intervju?

    En persons stemme er å anse som en personopplysning i seg selv, så alle lydopptak av personer skal behandles i henhold til personvernregelverket.

    Lydopptak skal gjøres med Nettskjema-diktafon-appen (Universitetet i Oslo). Denne appen lastes ned på mobiltelefon. Lydopptaket lagres ikke på mobilen, men sendes direkte til Nettskjema. Du må logge inn i Nettskjema med din Nord FEIDE-konto for å lytte til opptaket. Tips og informasjon finner du på UiO sine nettsider om Nettskjema.

    Dersom du på grunn av nettilgang ikke har mulighet til å bruke Nettskjema Diktafon, kan lydopptaker uten nettilgang brukes. Lydopptaker kan lånes på enkelte avdelinger hos Universitetsbiblioteket. Enkelte fakulteter/forskningsprosjekter kan også ha lydopptakere tilgjengelig. Lydopptaker, kassetter, minnepenner o.l. som inneholder lydopptak skal oppbevares på en sikker måte, og skal om mulig krypteres. Når data er transkribert eller overført til sikkert lagringsområde, skal opptakene slettes. Det er viktig å sjekke at alle opptak er slettet før man leverer tilbake en lånt lydopptaker.

    Hvordan gjennomføre et digitalt intervju?

    Du kan bruke Zoom eller Teams for å gjennomføre intervju. Du må da forsikre deg om at møtelenken kun gis til den som skal intervjues og at ingen utenforstående deltar på møtet.

    Det er ikke tillatt å ta videoopptak av samtalen.

    Dersom du har behov for å gjøre lydopptak, skal Nettskjema Diktafon brukes. Dette kan du gjøre ved å legge mobil m/Nettskjema diktafon-app ved PC-høyttaler når intervjuet pågår.

    Kan studenter gjøre videoopptak av informantene?

    Det tillates ikke at studenter gjør videoopptak av informanter i Teams eller Zoom. 

    Dersom spesielle forhold tilsier at det er nødvendig å gjøre videoopptak, skal studenten sammen med prosjektleder avklare hvordan dette kan gjennomføres på en sikker måte, og søke om godkjenning ved fakultetet. Personvernombudet ved Nord kan bistå i vurderingen.

    Hvor kan data lagres?

    OneDrive

    På Nords hjemmeside under «Student» finner du fanen Office 365 (kan lastes ned gratis av våre studenter). Den leder til en side med Microsofts skyløsning OneDrive. Her kan du lagre informasjon som er klassifisert som grønne, gule eller røde data. 

    Før du lagrer data i OneDrive er det viktig at du sjekker følgende:

    • Sørg for at filer/mapper ikke er delt med andre
    • Sørg for at OneDrive ikke blir synkronisert til din private PC/Mac automatisk
    • Sørg for ekstra beskyttelse(kryptering) dersom du skal lagre røde data

    Hvordan hindre synkronisering i OneDrive? 

    Har du allerede installert Office 365 (applikasjonene) kan det hende alle data i din OneDrive blir synkronisert til din maskin automatisk. Følg disse stegene for å hindre at visse type data lagres på privat pc:

    1. Finn det blå OneDrive-symbolet i verktøymenyen nederst til høyre på din PC.
    2. Trykk på Help & Settings. Og videre på Settings.
    3. Et lite vindu med OneDrive kontoinformasjon skal komme opp (Account). Den viser hvilken lokasjon (kontoer) som synkroniseres. Trykk på «choose folders»/«velg folder». Markér bort hvilken folder som ikke skal synkroniseres.

    Hvordan sikre røde data i OneDrive? 

    Dersom du skal behandle røde data, skal lagring i OneDrive sikres ytterligere med kryptering. Dette vil være spesielt aktuelt dersom du skal behandle sensitive personopplysninger eller andre taushetsbelagte opplysninger. Du kan kontakte IT-hjelp for bistand.

    Hvordan skal koblingsnøkkel lagres? 

    Koblingsnøkkel skal krypteres, og skal alltid lagres adskilt fra resten av dataene. Dersom du lagrer pseudonymiserte/avidentifiserte data i OneDrive, må koblingsnøkkelen lagres på annet sikkert sted, f.eks. på en kryptert minnepinne som oppbevares innelåst.

    Fysisk materiale

    Minnepinner og andre portable medier/enheter som inneholder gule eller røde data skal være kryptert.

    Utskrifter, lydopptaker, minnepinner o.l. skal oppbevares innelåst, slik at andre ikke får tilgang til dem. ​

  • Anonyme opplysninger
    Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode.

    Behandling
    Enhver operasjon som gjøres med personopplysninger, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

    Behandlingsansvarlig
    Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Nord universitet er behandlingsansvarlig institusjon for personopplysninger som behandles i forskning og studentoppgaver ved universitetet. Det daglige/utøvende behandleransvaret er delegert til fakultetene v/dekan.  

    Behandlingsgrunnlag
    Rettslig grunnlag for å behandle personopplysninger. Dette kan for eksempel være et samtykke fra personer man behandler opplysninger om.

    Brudd på personopplysningssikkerheten 
    Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

    Dataminimering
    Dataminimering betyr at du ikke skal samle inn flere opplysninger om utvalget ditt enn det som er nødvendig for å realisere forskningsformålet ditt. Hvis noen av personopplysningene du ønsker å samle inn ikke er nødvendige for å oppnå formålet, skal du ikke samle dem inn. Dataminimering er ett av personvernprinsippene i personvernforordningen.

    GDPR
    Forkortelse for The General Data Protection Regulation, EUs forordning (regelverk) for personvern. Også kalt personvernforordningen.

    Indirekte personidentifiserbare opplysninger
    En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.

    Informant
    Enkeltperson som du innhenter personopplysninger fra, og som opplysningene kan knyttes til. Ofte også kalt forskningsdeltaker, respondent eller den registrerte.

    Informasjonssikkerhet
    Sikring av opplysninger ved å bruke prinsippene om konfidensialitet, integritet og tilgjengelighet.

    Integritet 
    Prinsipp om at personopplysninger skal være sikret mot utilsiktet eller uautorisert endring eller sletting.

    Koblingsnøkkel
    En koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett. Det å opprette en koblingsnøkkel innebærer å erstatte navn, personnummer, e-epostadresse eller andre personentydige kjennetegn i et datasett med en kode, et nummer, et fiktivt navn eller lignende, som viser til en atskilt liste der hver kode viser til navn. Koblingsnøkkelen må oppbevares separat fra selve datamaterialet for å sikre at utenforstående ikke får tilgang til koblingen mellom navn og kode.
    Av hensyn til informasjonssikkerhet bør koblingsnøkkel brukes i de fleste prosjekter der det behandles personopplysninger, og spesielt i prosjekter der det behandles sensitive personopplysninger.

    Konfidensialitet
    Prinsipp om at personopplysninger må være sikret mot at uvedkommende får tilgang til dem.

    Kryptering
    Metode for å gjøre data (for eksempel tekst) uleselig for andre ved hjelp av en matematisk funksjon (krypteringsteknikk/-algoritme) og en forhåndsbestemt nøkkel.

    NSD
    Forkortelse for «Norsk senter for forskningsdata». Nord har en avtale med NSD om at de vurderer personvernet i student- og forskningsprosjekter der det behandles personopplysninger. 

    Personopplysning
    Opplysning eller vurdering som kan knyttes til en enkeltperson. Dette kan være navn, adresse, telefonnummer, e-postadresse, stemme, bilnummer, bilder eller fødselsdato.

    Personvernombud
    En person som er utpekt av behandlingsansvarlig. Toril Irene Kringen er personvernombud ved Nord. Personvernombudet har som oppgave å bidra til at Nord følger personvernregelverket, og er et ombud for de personene som Nord behandler personopplysninger om. 

    Prosjekt
    Begrepet prosjekt brukes om forskningsprosjekter. I denne veilederen blir FoU-, kandidat- bachelor- og masteroppgaver omtalt som «prosjekt».

    Prosjektleder
    Studenten vil i NSD sitt meldeskjema bli bedt om å oppgi hvem som er prosjektleder. Dersom veileder er ansatt ved Nord, er det denne som er prosjektleder for FoU-, kandidat-, bachelor og master-oppgaver. Dersom veileder ikke er ansatt ved Nord, er det emneansvarlig som er prosjektleder. 

    Pseudonymisering
    Opplysningene er pseudonymiserte dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel).
    Merk at også indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet skal være å regne som pseudonymisert. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) heller enn presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et pseudonymisert datamateriale skal være gjennom navnelisten/kodenøkkelen.
    Vær oppmerksom på at pseudonymiserte opplysninger anses som personopplysninger uavhengig av hvem som oppbevarer navnelisten, hvor og hvordan den oppbevares.

    REK – Regional komité for medisinsk og helsefaglig forskningsetikk
    Alle forskningsprosjekter som omfattes av helseforskningsloven skal forhåndsgodkjennes av REK. REK behandler også søknader om unntak fra taushetsplikten.

    Samtykke 
    En frivillig, spesifikk, informert, utvetydig og aktiv erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.

    Skytjenester
    Samlebetegnelse på datatjenester som ytes over internett og som er satt opp for å kunne virke sammen med andre datatjenester.

    Sensitive personopplysninger/særlige kategorier av personopplysninger
    Dette er opplysninger som krever ekstra beskyttelse. I loven er «særlige kategorier av personopplysninger» definert som personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

    Transkribere lydopptak
    Å lage en avskrift av et lydopptak.

    Tredjeperson
    En enkeltperson som ikke er med som informant/forskningsdeltaker/respondent, men som opplysninger kan knyttes til. Dersom en informant f.eks. forteller om sin mor, og opplysningene du behandler kan knyttes til moren, så vil mor være tredjeperson som du behandler personopplysninger om.