• Viss du har du personopplysingar i ditt forskingsmateriale (semesteroppgåve, masteroppgåve, ph.d.-prosjekt eller forskingsprosjekt), såkalla persondata, så er det ein del ting du må ha i orden for å få forskninga godkjent.
• Handtering av persondata skal vera i tråd med NMBUs retningslinjer for Handtering av forskingsdata (vedteke 10.04.2018) og som beskrevet under.
• Nettside for studentar med informasjon om handtering av forskingsdata.

Kva er persondata?

Persondata er innsamla data som inneheld personopplysingar. Personopplysingar er alle opplysingar og vurderinger som kan knyttast til deg som enkeltperson. 

Typiske personopplysingar er namn, adresse, telefonnummer, e-post og fødselsnummer. Vidare er ei dynamisk IP-adresse er også definert som personopplysing. Eit bilde vert regna som ei personopplysing dersom personar kan verta attkjend, og lydopptak kan vera personopplysingar sjølv om ingen namn blir nemnt i innspillinga. Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysingar.

Vi skil mellom ikkje-sensitive og sensitive personopplysingar. 

NMBU anbefaler at studentar ikkje skal behandla sensitive personopplysingar med SVART klassifisering. 

Ikkje-sensitive personopplysingar (GUL klassifisering)

Gjeld opplysingar om:

• namn, adresse, telefonnummer og e-post adresse
• fødselsnummer vert ikkje rekna som ei sensitiv opplysning

Sensitive personopplysingar (RAUD og SVART klassifisering)

Dette blir også kalla særlege kategoriar av personopplysingar og gjeld opplysingar om:

• rase eller etnisk opphav (inkludert feks. statsborgerskap) 
• politisk oppfatting 
• religiøs overtyding eller livssyn 
• genetiske opplysingar 
• biometriske opplysingar
• helseopplysingar 
• opplysnigar om seksuelle forhold eller seksuell orientering 
• fagforeningsmedlemskap 

Les meir her om særlege kategoriar av personopplysingar (sensitive opplysningar).

Kontakt Norsk senter for forskingsdata (NSD) for spørsmål om persondata og klassifisering.

Roller og ansvar knytta til handtering av persondata

Kven er prosjektleiar?

• Rettleiar fungerer som prosjektleiar i studentprosjekt.
• Ph.d.-kandidatar kan vera prosjektleiar for egne ph.d.-prosjekt. 
• Tilsette ved NMBU.

Prosjektleiars ansvar (tilsett og/ eller rettleiar for student)

• Å vurdera om prosjektet skal behandla personopplysingar. Her kan prosjektleiar sjekka om prosjektet må meldast til NSD.
• Å vurdera om den planlagte behandlinga er i samsvar med GDPR regelmentet. 
• Å melda prosjektet sitt til NSD senest 30 dager før behandlinga skal starta. I meldeskjemaet skal Jan Olav Aarflot i Forskingsavdelinga verta gjeven opp som kontaktperson ved NMBU.
• Å beskrive handtering (innsamling, lagring og arkivering) av persondata i ein datahandteringsplan.
• Å sikra at personar som skal handtera persondata har gjennomført nødvendig opplæring i informasjonssikkerheit og personvern før behandling. 
• Å melda eventuelle endringar som oppstår undervegs i prosjektet.
• Å følga opp eigne prosjekt ved prosjektslutt.  

Personvernrådgivar for NMBU

Norsk senter for forskingsdata (NSD) fungerer som personvernrådgivar for prosjekt som vert gjennomført av studentar og tilsette ved NMBU og som handterer forskingsdata med personopplysingar. 

NSD kontaktperson ved NMBU er Jan Olav Aarflot i Forskingsavdelinga.

Personvernombod ved NMBU

Hanne Pernille Gulbrandsen (fra Deloitte) er NMBU sitt personvernombod. Forskingsavdelinga involverer personvernombudet når det er nødvendig. Les meir om personvern ved NMBU og personvernombodets rolle her. 

Plikter, meldeplikt og meldeskjema

Det første du må gjera er å sjekka om prosjektet ditt skal behandla personopplysingar (persondata) og om det må meldast til Norsk senter for forskingsdata (NSD):

• Sjekk her om du må melda inn ditt prosjekt
• Slik vurderer NSD prosjekta som vert melde inn

Viss testen du gjennom denne sjekken får beskjed om at prosjektet ditt må verta meldt til NSD må du følgja dei pliktene som følgjer av regelverket og du må melda inn prosjektet til NSD seinast 30 dagar før behandlinga skal starta : 

Kva for plikter skal vera oppfylt for at du kan behandla personopplysingar?

• Du må dokumentera formål med behandlinga
• Du må dokumentera fullstendig oversikt over kva for personopplysingar som skal behandlast
• Du må dokumentera vurdering av kva for behandlingsgrunnlag som skal gjelda. Samtykke er som oftast det grunnlaget som vert bruka innan forsking. Det er viktig at du også dokumenterer koss du skal handtera samtykket og koss du skal forholda deg til at eit samtykke vert trekt
• Du må utforma informasjon til respondentar
• Du må melda prosjektet til Norsk senter for forskingsdata (NSD)
• Du må sikra sletting/ anonymisering av opplysingar etter at prosjektet er ferdig

Innmelding av forskingsprosjekt til NSD via meldeskjema

Kontakt Norsk senter for forskingsdata (NSD) for spørsmål om plikter, meldeplikt og meldeskjema.

Vurdering av personvernkonsekvensar (DPIA)

Når du melder inn prosjektet ditt til NSD vil du kunna få tilbakemelding om å gjera ei vurdering av personvernkonsekvensar (DPIA). Dette blir gjort i samråd med Jan Olav Aarflot i Forskingsavdelinga som vidare involverer NMBUs personvernombod. Prorektor for forsking skal godkjenna DPIA.

Les meir info om DPIA på Datatilsynets nettsider. 

Klassifisering av forskingsdata

Alle forskingsdata vert klassifiserte som GRØN, GUL, RAUD eller SVART. Studentar og forskarar er ansvarlege for at forskingsdata vert behandla i samsvar med krava for dei ulike klassane. 

• Open eller fritt tilgjengeleg - GRØN: Forskingsdata om dyr, plantar, bakteriar m.m
• Begrensa - GUL: Anonymiserte forskingsdata, upubliserte forskingsdata, data med ikkje-sensitive personopplysingar
• Fortruleg - RAUD: Forskingsdata med særskilte kategoriar eller sensitive personopplysingar og helseopplysingar
• Strengt fortruleg - SVART: Store mengder sensitive personopplysigar eller helseopplysingar og forskingsdata/ datasett av stor økonomisk verdi

Les meir her om klassifisering av forskingsdata.

Kontakt Norsk senter for forskingsdata (NSD) eller Solveig Fossum-Raunehaug (Forskingsavdelinga) for spørsmål om klassifisering av forskingsdata.

Avtale om felles behandleransvar (Joint data controller agreement)

Formålet med Avtale om felles behandlingsansvar eller ein Joint data controller agreement er å sørga for at alle forpliktelsar etter personvernregelverket vert etterlevd og at ansvaret for behandling av sensitive data vert delt mellom aktørane som er involverte. Ansvarsfordelinga er viktig for å sørga for at ingen pliktar/ oppgåver vert gløymd fordi to aktørar deler eit ansvar. 

I avtalen skal det gå fram kven som skal gjere kva, til dømes:

• Kven av aktørane skal oppfylla informasjonsplikta overfor dei registrerte?
• Kven av aktørane har ansvaret for at personopplysningane er underlagt tilfredsstillande informasjonssikkerheit under behandlinga?
• Kven av aktørane skal sørge for at personopplysningane slettast eller anonymiserast når prosjektet er avslutta?
• Kven av aktørane skal sørge for å oppfylle dei registrerte sine rettigheitar medan prosjektet pågår (innsyn, retting, sletting, trekking av samtykke mv)?

Det er også mogleg å regulera forhold partane imellom knytta til manglande oppfylling. Ein avtale kan innebæra at ein av partane har ansvar for å oppfylla alle plikter. 

Her finn du Avtale om felles behandlingsansvar.

Les meir om Behandlingsansvarleg og databehandlar hos Datatilsynet.

Kontakt juristane i Forskingsavdelinga for spørsmål om Avtale om felles behandlingsansvar.

Databehandlaravtale 

Ein databehandlaravtale skal sikra at personopplysingar blir behandla i samsvar med regelverket og sett ei klar ramme for korleis ein databehandlar kan behandla opplysingar. Databehandleravtalen regulerer også ansvarsfordeling. Dersom du er tilsett ved NMBU og skal vera ansvarleg for databehandlinga i eit prosjekt, skal NMBUs mal verta nytta. 

Her finn du mal for Databehandlaravtale.

Kontakt juristane i Forskingsavdelinga for spørsmål om databehandlaravtale.

Innsamling av persondata

Innsamling av data ved hjelp av Nettskjema

• Studentar og forskarar ved NMBU kan bruka Nettskjema for innsamling av forskingsdata med personopplysningar (GULE data) eller forskingsdata i særlege kategoriar (RAUDE og SVARTE data).
• Nettskjema kan nyttast til spørjeskjema (surveys) og kan handtera store datamengder.
• Nettskjema har direkte overføring til Tenester for sensitive data (TSD) for lagring av RAUDE og SVARTE data. TSD er ein forskingsdataservar som oppfyller det strenge kravet lova har til behandling og lagring av sensitive forskingsdata. NMBU tilsette kan nytta seg av denne tenesta. 

Lyd- og videopptak av intervjuer

• Lyd- og videopptak klassifiserast som RAUDE eller SVARTE data og krever særskilt handtering og samtykke fra intervjuobjektet.
• RAUDE eller SVARTE data som blir anonymiserte, vert GULE, og kan overføras til NMBUs forskingsdataserver (W:).
• Dersom data ikkje anonymiserast er dei RAUDE og SVARTE og må overførast til Tenester for sensitive data (TSD). 

• Tilsette og studentar ved NMBU kan ta appen i bruk. 
• Opptaket blir umiddelbart kryptert på telefonen og du kan aldri lytta til opptak i mobilappen.
• Nettskjema-diktafon fungerer offline og kan leggja lydopptak i kø for levering. 
• Lagring av data kan skje i Nettskjema kor du kan lytta på lydopptaket, eller 
• Lagring av data kan skje ved direkte overføring til Tenester for sensitive data (TSD).

• Opptak blir automatisk lagra på personleg heimeområde i OneDrive og må handerast vidare for sikker lagring.

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om innsamling av persondata.

Kontakt IT-avdelinga dersom du manglar tilgang til NMBUs forskingsdataservar (W:).

Lagring av persondata

• GULE forskingsdata kan lagrast på NMBU sin forskingsdataservar (W:). Koplingsnøkkel skal lagrast separat frå sjølve dataa, og kan til dømes verta lagra hos TSD. Les meir her om koss du anonymiserer eit datamateriale.
• RAUDE og SVARTE forskingsdata skal lagrast hos Tenester for Sensitive Data (TSD). 

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om lagring av persondata.

Lagring av persondata på privat einheit

Det er begrensingar i lagring av data på privateigd datamaskin, mobil eller andre digitale einheiter. 

• Data som er fortruleg (RAUD) eller strengt fortruleg (SVART) skal ikkje lagrast på privat datamaskin/ einheit.
• Data som kjem under betegnelsen intern (GUL) kan lagrast på privat datamaskin/ einheit dersom følgjande krav er oppfylt. Les meir her.

Kontakt Jan Olav Aarflot (Forskingsavdelinga) for spørsmål om lagring av av data på privat einheit.

Arkivering av persondata

Persondata skal arkiverast hos Norsk senter for forskingsdata (NSD) dersom dette er mogleg. I enkelte tilfelle må dataa verta sletta etter prosjektslutt. Dette blir bestemt av samtykket personane i forskingsprosjektet har gjeve ved oppstart av prosjektet / innhenting av data.  

Kontakt Norsk senter for forskingsdata (NSD) eller Solveig Fossum-Raunehaug (Forskingsavdelinga) for spørsmål om arkivering av persondata.

Nasjonal informasjon om personvern

Ressursnettside for personvern (sikresiden.no)

Personvern (e-læring 3-5 min) (sikresiden.no)