Personvern i forskinga

Kva er persondata?

Persondata er innsamla data som inneheld personopplysingar. Personopplysninger er alle opplysingar og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysingar er namn, adresse, telefonnummer, e-post og fødselsnummer. Videre er en dynamisk IP-adresse er også definert som personopplysning. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Vi skiller mellom ikke-sensitive og sensitive personopplysingar. 

Ikke-sensitive personopplysingar (gul klassifisering)

Gjeld opplysningar om:

  • namn, adresse, telefonnummer og e-post adresse
  • fødselsnummer regnes ikke som en sensitiv opplysning

Sensitive personopplysninger (raud og svart klassifisering)

Dette blir også kalla særlege kategoriar av personopplysingar og gjeld opplysningar om:

  • rase eller etnisk opprinnelse (inkludert feks. statsborgerskap) 
  • politisk oppfatning 
  • religiøs overbevisning eller livssyn 
  • genetiske opplysninger 
  • biometriske opplysninger
  • helseopplysninger 
  • opplysninger om seksuelle forhold eller seksuelle orientering 
  • fagforeningsmedlemskap 

Les meir her om særlege kategoriar av personopplysingar (sensitive opplysningar).

Retningslinjer ved NMBU

Handtering av forskingsdata med personopplysingar eller annan type sensitiv informasjon er beskriven i NMBUs retningslinjer for Handtering av forskingsdata (vedtatt 10.04.2018).

Klassifisering av forskingsdata

Alle forskingsdata vert klassifisert som grøn, gul, raud eller svart. Studentar og forskarar er ansvarlege for at forskingsdata vert behandla i samsvar med krava for dei ulike klassane. 

  • Open eller fritt tilgjengeleg - GRØN: Forskingsdata om dyr, plantar, bakteriar m.m
  • Begrensa - GUL: Anonymiserte forskingsdata, upubliserte forskningsdata, data med ikke-sensitive personopplysingar
  • Fortruleg - RAUD: Forskingsdata med særskilte kategoriar eller sensitive personopplysingar og helseopplysingar
  • Strengt fortruleg - SVART: Store mengder sensitive personopplysingar eller helseopplysingar og forskingsdata/ datasett av stor økonomisk verdi

Les meir her om klassifisering av forskingsdata.

Les meir her om lagring av forskingsdata som er grøn, gul, raud eller svart.

Les meir her om arkivering av forskingsdata som er grøn, gul, raud eller svart.

Meldeplikt og meldeskjema

Dersom du skal behandla personopplysingar i eit forskingsprosjekt skal dette meldast inn til NSD. Sjekk her om du må melda inn ditt prosjekt. 

Viss du gjennom denne sjekken får beskjed om at prosjektet ditt må verta meldt åt NSD, gjer du dette via meldeskjema.

Slik vurderer NSD prosjekta som vert melde inn.

Vurdering av personvernkonsekvensar (DPIA)

Når du melder inn prosjektet ditt til NSD vil du kunna få tilbakemelding om å gjera ei vurdering av personvernkonsekvensar (DPIA). Dette blir gjort i samråd med Jan Olav Aarflot i Forskingsavdelinga og ev. NMBUs personvernombod. Prorektor for forsking skal godkjenna DPIA. Les meir info om DPIA på Datatilsynets nettsider

Personvernombod ved NMBU

Hanne Pernille Gulbrandsen (fra Deliotte) er NMBUs personvernombod. Les meir om personvern ved NMBU og personvernombodets rolle her. 

Personvernrådgivar for NMBU

Norsk senter for forskingsdata (NSD) fungerer som personvernrådgivar for prosjekt som vert gjennomført av studentar og tilsette ved NMBU og som handterer forskingsdata med personopplysingar

NMBUs kontaktperson for forskingsprosjekt som omfattar personopplysingar er Jan Olav Aarflot i Forskingsavdelinga.

Prosjektleiars ansvar 

Prosjektleiar kan både vera student og tilsett. 

  • Å melda prosjektet sitt åt NSD. I meldeskjemaet skal Jan Olav Aarflot i Forskingsavdelinga verta gjeven opp som kontaktperson ved NMBU.
  • Å melda eventuelle endringar som oppstår undervegs i prosjektet.
  • Å følga opp eigne prosjekt ved prosjektslutt.  

Innsamling av persondata med Nettskjema

Studentar og forskarar ved NMBU kan bruka Nettskjema for innsamling av forskingsdata med personopplysningar eller forskingsdata i særlege kategoriar. Nettskjema kan nyttast til spørjeskjema, påmeldingar og fleirvalsoppgåver, og kan handtera store datamengder og data frå mobilappea. Nettskjema har direkte overføring til TSD for raude og svarte data. Nettskjema vert drifta av UiO. Les meir om Nettskjema her.

Joint data controller agreement

Formålet med en Joint data controller agreement er å sørge for at alle forpliktelser etter personvernregelverket etterleves og at ansvaret for behandling av sensitive data deles mellom aktørene involvert. Ansvarsfordelingen er viktig for å sørge for at ingen plikter/ oppgaver glemmes fordi to aktører deler et ansvar. 

I avtalen skal det fremgå hvem som skal gjøre hva, f.eks.:

  • Hvem av aktørene skal oppfylle informasjonsplikten overfor de registrerte?
  • Hvem av aktørene har ansvaret for at personopplysningene er underlagt tilfredsstillende informasjonssikkerhet under behandlingen?
  • Hvem av aktørene skal sørge for at personopplysningene slettes eller anonymiseres når prosjektet er avsluttet?
  • Hvem av aktørene skal sørge for å oppfylle de registrertes rettigheter mens prosjektet pågår (innsyn, retting, sletting, trekking av samtykk mv.)?

Det er også mulig å regulere forhold partene imellom knyttet til manglende oppfyllelse. En avtale kan innebære at en av partene har ansvar for å oppfylle alle plikter. 

Det er utarbeidet en mal av det danske Datatilsynet som kan benyttes: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/apr/ny-skabelon-til-en-aftale-om-faelles-dataansvar

Databehandleravtale 

En databehandleravtalen skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan en databehandler kan behandle opplysninger. Databehandleravtalen regulerer også ansvarsfordeling. Les mer informasjon om databehandleravtale her.

Lagring av persondata

Forskingsdata som vert rørt av Helseforskingslova, Bioteknologilova, Helseregisterlova eller Personopplysingslova (GDPR), blir sett på som sensitive data og krev særskilt handtering. Lovverket krev at slike data vert handtert og lagra på ein sikker og forsvarleg måte.

  • Gule forskingsdata kan lagrast på NMBU sin LargeFile W:. I slike tilfelle må dataa anonymiserast. Koplingsnøkkel skal lagrast separat frå sjølve dataa, og kan til dømes verta lagra hos TSD. Les meir her om koss du anonymiserer eit datamateriale.
  • Raude og svarte forskingsdata skal lagrast hos Tenester for Sensitive Data (TSD)TSD gir forskarar tilgang til ei forskingsplattform som oppfyller det strenge kravet lova har til behandling og lagring av sensitive forskingsdata. NMBU studentar og tilsette kan nytta seg av denne tenesta. TSD blir drifta av USIT ved UiO. 
  • Raude og svarte forskingsdata MÅ IKKJE lagrast på laptop/ C disk, telefon, dropbox, ekstern harddisk og liknande. 
Les meir her om koss du anonymiserer eit datamateriale.

Lagring av data på privat einheit

Det er begrensingar i lagring av data på privateigd datamaskin, mobil eller andre digitale einheiter. Data som er fortruleg (Raud) eller strengt fortruleg (Svart) skal ikkje lagrast på privat datamaskin/ einheit. Data som kjem under betegnelsen intern (Gul) kan lagrast viss datamaskin/ einheit dersom følgjande krav er oppfylt. Les meir her.

Arkivering av persondata

Persondata skal arkiverast hos Norsk senter for forskingsdata (NSD) dersom dette er mogleg. I enkelte tilfelle må dataa verta sletta etter prosjektslutt. Dette blir bestemt av samtykket personane i forskingsprosjektet har gjeve ved oppstart av prosjektet / innhenting av data. 

Nasjonal informasjon om personvern

Ressursnettside for personvern (sikresiden.no)

Personvern (e-læring 3-5 min) (sikresiden.no)

Published 28. august 2014 - 14:10 - Updated 27. november 2020 - 14:15