Hopp til hovedinnhold

Retningslinjer for behandling av personopplysninger i studentprosjekter

Student og veileder skal sikre at forskningsdata forvaltes på en planlagt og dokumentert måte ved oppstart av prosjektet/oppgaven, og at personopplysningsdata behandles i tråd med lov- og regelverk samt NSD sin vurdering (og REK ved helseopplysninger).

Publisert: Endret:

Felles retningslinjer for behandling av personopplysninger i studentprosjekter gjelder på bachelor- og masternivå ved Universitetet i Stavanger. Kravene til behandling av personopplysninger i studentprosjekter tilsvarer kravene som gjelder for forskere/ph.d.-kandidater ved UiS. I tillegg gjelder følgende for studentprosjekter:

  • Alle studenter som skal behandle personopplysninger i studentoppgaver plikter å lese informasjon om dette på NSD sine nettsider, og å undersøke om prosjektet må meldes til NSD.
  • Bachelorstudenter anbefales å gjennomføre studentprosjekter uten behandling av personopplysninger, med unntak av innmeldte fellesprosjekter, eller som del av forskerledet prosjekt. Det anbefales å benytte anonyme registerdata eller journaldata, eller andre anonymiserte data. Dersom student og veileder ønsker å gjennomføre studentprosjekter med behandling av personopplysninger, skal NSDs veiledning Hvordan gjennomføre et prosjekt uten å behandle personopplysninger? – gjennomgås før endelig beslutning.
  • Studenten skal kun sende inn meldeskjema til NSD i samråd med veileder og dette skal deles med veileder ved innmeldingen hos NSD.
  • Studenten er ansvarlig for å følge opp alle tilbakemeldinger fra NSD, og skal ikke starte opp prosjektet med behandling av personopplysninger før det foreligger tillatelse fra NSD. Studenten bekrefter dette skriftlig til veileder via e-post.
  • Studenten er ansvarlig for å sende beskjed/tilbakemelding til NSD ved prosjektslutt, og bekrefte at alle data er slettet/anonymisert. Studenten bekrefter dette også skriftlig til veileder.

Du kan ikke bruke mobiltelefonen til opptak

UiS godkjenner ikke bruk av private enheter som mobiltelefon, iPad eller nettbrett til innsamling/opptak av lyd eller bilde. Både video- og lydopptak regnes som personopplysninger, og skal krypteres. Framgangsmåte ved lydopptak/ev. video finner du i retningslinjene pkt. 8.1.

Studenten har selv ansvar for å skaffe nødvendig utstyr som elektronisk lydopptaker, eller annet påkrevd utstyr som ekstern harddisk, o.l.

Husk sikkerhetskopi/backup av datamaterialet. Vis aktsomhet med tanke på fysisk innsyn på skjermen din, og ved oppbevaring og transport av mobile enheter.

Viktig å vite om kryptering

Det er veldig viktig at man forstår at hvis man krypterer en enhet, eksempelvis en hel harddisk, så vil man tape all informasjon lagret på denne enheten hvis krypteringsnøkkelen og ditt personlige passord mistes. Ingen kan hjelpe deg dersom dette skjer, heller ikke IT-avdelingen.

Datahåndteringsplan

Det skal vurderes om det er nødvendig å utarbeide en datahåndteringsplan (DMP) for prosjektet. UiS anbefaler å bruke NSDs mal for Datahåndteringsplan. Planen beskriver hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet. UiS har utarbeidet egen oversikt over klassifisering og håndtering av ulike typer persondata.

Definisjoner:

Personopplysninger er all informasjon som kan knyttes til en fysisk person eller personer. Informasjonen kan foreligge som tekst, bilder, video, lydopptak eller elektroniske spor, for eksempel IP-adresser eller aktivitetslogger i IT-systemer. For at informasjonen skal regnes som personopplysninger, må det være mulig å identifisere den eller de personer som opplysningene knytter seg til. (Iht. Personopplysningsloven artikkel 4-1)

Med «Behandling» menes alle operasjoner eller rekker av operasjoner som gjøres med personopplysninger i administrasjon, forskning, kundebehandling ol, enten automatisert eller ikke. Eksempler på dette er innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. (Personopplysningsloven artikkel 4-2)

En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.

Rektor er øverste behandlingsansvarlige. Den enkelte enhet er ansvarlig for å iverksette informasjonssikkerhet ved enhetene. Fakultetets ledelse v/dekanen, er ansvarlig for implementering og informasjon til enhetene om disse retningslinjene. Enhetsledere har ansvar for implementering og oppfølging på egen enhet.

Daglig ansvarlig: Den personen som har det daglige ansvaret for oppfylling av pliktene som den behandlingsansvarlige har, for studentprosjekt er det studenten selv og oppnevnt veileder. Veileder står ansvarlig for studentprosjekter som meldes til Norsk senter for forskningsdata (NSD). Dersom veileder ikke er ansatt ved UiS når prosjektet avsluttes, må veileder avtale med enhetsleder hvordan ansvaret mot NSD skal følges opp før han/hun slutter som veileder.

Lenkesamling

NSD: Oppslagsverk for personvern i forskning

NSD: Hvordan gjennomføre et prosjekt uten å behandle personopplysninger?

NSD: Hva er personopplysninger?

REK nettside

UiS: Dokumentklasser og lagringssteder

UiS: IT-reglement

VeraCrypt: Dette er en gratis krypteringsprogramvare for både PC og Mac, anbefalt av IT-UiS.

Alle maskiner, deriblant hjemme- og bærbare maskiner, som skal brukes i behandlingen av personopplysningene skal være beskyttet med relevante sikkerhetsmekanismer, herunder blant annet antivirusprogram, brannmur og system for jevnlige oppdateringer av operativsystem og sikkerhetsmekanismer.

Informasjon om Windows:

Hjelp og læring i Windows 10

Enhetskryptering i Windows 10

Kryptere e-postmeldinger i Windows 10

Informasjon om Mac

Kundestøtte for Mac

Enhetskryptering på Mac

Kryptere e-postmeldinger på Mac