Personvern i forskinga

Kva er persondata?

Persondata er innsamla data som inneheld personopplysingar. Personopplysninger er alle opplysingar og vurderinger som kan knyttes til deg som enkeltperson. 

Typiske personopplysingar er namn, adresse, telefonnummer, e-post og fødselsnummer. Videre er en dynamisk IP-adresse er også definert som personopplysning. Et bilde regnes som en personopplysning dersom personer kan gjenkjennes, og lydopptak kan være personopplysninger selv om ingen navn blir nevnt i innspillingen. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger.

Vi skiller mellom ikke-sensitive og sensitive personopplysingar. 

NMBU anbefaler at studentar ikkje skal behandla persondata med sensitive personopplysingar (RAUD og SVART klassifisering). 

Ikke-sensitive personopplysingar (GUL klassifisering)

Gjeld opplysningar om:

  • namn, adresse, telefonnummer og e-post adresse
  • fødselsnummer regnes ikke som en sensitiv opplysning

Sensitive personopplysninger (RAUD og SVART klassifisering)

Dette blir også kalla særlege kategoriar av personopplysingar og gjeld opplysningar om:

  • rase eller etnisk opprinnelse (inkludert feks. statsborgerskap) 
  • politisk oppfatning 
  • religiøs overbevisning eller livssyn 
  • genetiske opplysninger 
  • biometriske opplysninger
  • helseopplysninger 
  • opplysninger om seksuelle forhold eller seksuelle orientering 
  • fagforeningsmedlemskap 

Les meir her om særlege kategoriar av personopplysingar (sensitive opplysningar).

Plikter, meldeplikt og meldeskjema

Det første du må gjere er å sjekke om prosjektet ditt skal behandle personopplysingar (persondata) og om det må meldast til Norsk senter for forskningsdata (NSD):

Viss testen du gjennom denne sjekken får beskjed om at prosjektet ditt må verta meldt til NSD må du følge de pliktene som følger av regelverket og du må melde inn prosjektet til NSD seinast 30 dagar før behandlingen skal starte : 

Hvilke plikter skal være oppfylt for at du kan behandle personopplysninger?

  • Du må dokumentere formål med behandlingen
  • Du må okumentere fullstendig oversikt over hvilke personopplysninger som skal behandles
  • Du må dokumentere vurdering av hvilket behandlingsgrunnlag som skal gjelde. Samtykke er som oftest det grunnlaget som anvendes i forskning. Det er viktig at du også dokumentere hvordan du skal håndtere samtykket og hvordan du skal forholde deg til at et samtykke trekkes
  • Du må utforme informasjon til respondenter
  • Du må melde prosjektet til Norsk senter for forskningsdata (NSD)
  • Du må sikre sletting/ anonymisering av opplysninger etter at prosjektet er ferdig

Innmelding av forskningsprosjekt til NSD via meldeskjema

 

Kontakt Norsk senter for forskningsdata (NSD) for spørsmål om plikter, meldeplikt og meldeskjema.

Vurdering av personvernkonsekvensar (DPIA)

Når du melder inn prosjektet ditt til NSD vil du kunna få tilbakemelding om å gjera ei vurdering av personvernkonsekvensar (DPIA). Dette blir gjort i samråd med Jan Olav Aarflot i Forskingsavdelinga som videre involverer NMBUs personvernombod. Prorektor for forsking skal godkjenna DPIA.

Les meir info om DPIA på Datatilsynets nettsider

Klassifisering av forskingsdata

Alle forskingsdata vert klassifisert som GRØN, GUL, RAUD eller SVART. Studentar og forskarar er ansvarlege for at forskingsdata vert behandla i samsvar med krava for dei ulike klassane. 

  • Open eller fritt tilgjengeleg - GRØN: Forskingsdata om dyr, plantar, bakteriar m.m
  • Begrensa - GUL: Anonymiserte forskingsdata, upubliserte forskningsdata, data med ikke-sensitive personopplysingar
  • Fortruleg - RAUD: Forskingsdata med særskilte kategoriar eller sensitive personopplysingar og helseopplysingar
  • Strengt fortruleg - SVART: Store mengder sensitive personopplysingar eller helseopplysingar og forskingsdata/ datasett av stor økonomisk verdi

Les meir her om klassifisering av forskingsdata.

Kontakt Norsk senter for forskningsdata (NSD) eller Solveig Fossum-Raunehaug (Forskingsavdelinga) for spørsmål om klassifisering av forskingsdata.

Avtale om felles behandleransvar (Joint data controller agreement)

Formålet med Avtale om felles behandlingsansvar eller ein Joint data controller agreement er å sørge for at alle forpliktelsar etter personvernregelverket vert etterlevd og at ansvaret for behandling av sensitive data deles mellom aktørane som er involvert. Ansvarsfordelingen er viktig for å sørge for at ingen pliktar/ oppgåvar vert glem fordi to aktørar deler eit ansvar. 

I avtalen skal det gå fram kven som skal gjere hva, til dømes:

  • Kven av aktørane skal oppfylle informasjonsplikten overfor dei registrerte?
  • Kven av aktørane har ansvaret for at personopplysningane er underlagt tilfredsstillande informasjonssikkerheit under behandlinga?
  • Kven av aktørane skal sørge for at personopplysningane slettast eller anonymiserast når prosjektet er avslutta?
  • Kven av aktørane skal sørge for å oppfylle dei registrerte sine rettigheitar medan prosjektet pågår (innsyn, retting, sletting, trekking av samtykk mv)?

Det er også mogleg å regulere forhold partane imellom knytta til manglande oppfylling. Ein avtale kan innebære at ein av partane har ansvar for å oppfylle alle pliktar. 

Her finner du Avtale om felles behandlingsansvar.

Les meir om Behandlingsansvarlig og databehandler hos Datatilsynet.

Kontakt juristene i Forskingsavdelinga for spørsmål om Avtale om felles behandlingsansvar.

Databehandlaravtale 

En databehandlaravtalen skal sikre at personopplysningar blir behandla i samsvar med regelverket og sett ei klar ramme for korleis ein databehandler kan behandle opplysningar. Databehandleravtalen regulerer også ansvarsfordeling.

Her finner du mal for Databehandleravtale.

Kontakt juristene i Forskingsavdelinga for spørsmål om databehandleravtale.

Innsamling av persondata

Innsamling av data ved hjelp av Nettskjema

  • Studentar og forskarar ved NMBU kan bruka Nettskjema for innsamling av forskingsdata med personopplysningar (GULE data) eller forskingsdata i særlege kategoriar (RAUDE og SVARTE data).
  • Nettskjema kan nyttast til spørjeskjema og kan handtera store datamengder.
  • Nettskjema har direkte overføring til Tenester for sensitive data (TSD) for lagring av RAUDE og SVARTE data.

Lyd- og videopptak av intervjuer

  • Lyd- og videopptak klassifiserast som RAUDE eller SVARTE data og krever særskilt handtering og samtykke fra intervjuobjektet.
  • Nettskjema diktafon kan nyttast. Lagring av data skjer ved direkte overføring til Tenester for sensitive data (TSD).
  • Teams eller Zoom kan nyttast. Opptak blir automatisk lagret på personlig område og må overførast til egnet lagringssted og/ eller anonymiserast så fort som mulig. 

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om innsamling av persondata.

Lagring av persondata

  • GULE forskingsdata kan lagrast på NMBU sin LargeFile W:. I slike tilfelle må dataa anonymiserast. Koplingsnøkkel skal lagrast separat frå sjølve dataa, og kan til dømes verta lagra hos TSD. Les meir her om koss du anonymiserer eit datamateriale.
  • RAUDE og SVARTE forskingsdata skal lagrast hos Tenester for Sensitive Data (TSD)TSD gir tilgang til ei forskingsplattform som oppfyller det strenge kravet lova har til behandling og lagring av sensitive forskingsdata. NMBU studentar og tilsette kan nytta seg av denne tenesta. 

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om lagring av persondata.

Lagring av persondata på privat einheit

Det er begrensingar i lagring av data på privateigd datamaskin, mobil eller andre digitale einheiter. Data som er fortruleg (RAUD) eller strengt fortruleg (SVART) skal ikkje lagrast på privat datamaskin/ einheit. 

Data som kjem under betegnelsen intern (GUL) kan lagrast viss datamaskin/ einheit dersom følgjande krav er oppfylt. Les meir her.

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om lagring av av data på privat einheit.

Arkivering av persondata

Persondata skal arkiverast hos Norsk senter for forskingsdata (NSD) dersom dette er mogleg. I enkelte tilfelle må dataa verta sletta etter prosjektslutt. Dette blir bestemt av samtykket personane i forskingsprosjektet har gjeve ved oppstart av prosjektet / innhenting av data.  

Kontakt Norsk senter for forskningsdata (NSD) eller Solveig Fossum-Raunehaug (Forskingsavdelinga) for spørsmål om arkivering av persondata.

Roller og ansvar knytta til handtering av persondata

Kven er prosjektleiar?

  • Rettleier fungerer som prosjektleiar i studentprosjekter.
  • Ph.d.-kandidater kan vera prosjektleiar for egne ph.d.-prosjekt. 
  • Tilsette ved NMBU.

Prosjektleiars ansvar (tilsett og/ eller rettleier for student)

  • Å vurdere om prosjektet skal behandle personopplysingar. Her kan prosjektleiar sjekke om prosjektet må meldast til NSD.
  • Å vurdere om den planlagte behandlingen er i samsvar med GDPR regelmentet. 
  • Å melda prosjektet sitt til NSD senest 30 dager før behandlingen skal starte. I meldeskjemaet skal Jan Olav Aarflot i Forskingsavdelinga verta gjeven opp som kontaktperson ved NMBU.
  • Å beskrive handtering (innsamling, lagring og arkivering) av persondata i ein datahåndteringsplan.
  • Å sikre at personar som skal handtera persondata har gjennomført nødvendig opplæring i informasjonssikkerhet og personvern før behandling. 
  • Å melda eventuelle endringar som oppstår undervegs i prosjektet.
  • Å følga opp eigne prosjekt ved prosjektslutt.  

Personvernrådgivar for NMBU

Norsk senter for forskingsdata (NSD) fungerer som personvernrådgivar for prosjekt som vert gjennomført av studentar og tilsette ved NMBU og som handterer forskingsdata med personopplysingar

NSD kontaktperson ved NMBU er Jan Olav Aarflot i Forskingsavdelinga.

Personvernombod ved NMBU

Hanne Pernille Gulbrandsen (fra Deloitte) er NMBU sitt personvernombod. Forskingsavdelinga involverer personvernombudet når det er nødvendig. Les meir om personvern ved NMBU og personvernombodets rolle her. 

Nasjonal informasjon om personvern

Ressursnettside for personvern (sikresiden.no)

Personvern (e-læring 3-5 min) (sikresiden.no)

Published 28. august 2014 - 14:10 - Updated 25. mars 2021 - 13:59