Hopp til hovedinnhold

Behandling av personopplysninger i bachelor- og masteroppgaver ved UiS

Hvis du som student skal skrive bachelor- eller masteroppgave og ønsker å bruke personopplysninger og/eller helseopplysninger som del av arbeidet, må du være klar over at det stilles en rekke krav og forventninger før du kan starte på arbeidet.

Publisert: Endret:

Det viktigste du må gjøre er å rådføre deg med veileder før planlegging og oppstart. Student og veileder skal sammen sikre at forskningsdata forvaltes på en planlagt og dokumentert måte ved oppstart av prosjektet/oppgaven, at personopplysningsdata behandles i tråd med lov- og regelverk, og at nødvendig dokumentasjon oppbevares. 

Student- og forskningsprosjekter som behandler personopplysninger, skal meldes til NSD: Norsk senter for forskningsdata. NSD leverer personverntjenester for UiS. Prosjektet skal meldes til NSD senest 30 dager før datainnsamlingen skal starte. Medisinske og helsefaglige forskningsprosjekter må også meldes til NSD, det  kan gjøres parallelt med søknad om etisk forhåndsgodkjennelse hos Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Du skal ikke starte på prosjektet før du har fått aksept fra NSD (og godkjent vedtak fra REK ved medisinske og helsefaglige forskningsprosjekter). 

Krav til behandling av personopplysninger i studentprosjekter 

Kravene til behandling av personopplysninger i studentprosjekter tilsvarer kravene som gjelder for forskere/ph.d.-kandidater ved UiS. I tillegg gjelder følgende for studentprosjekter: 

  • Alle studenter som skal behandle personopplysninger i studentoppgaver plikter å lese informasjon om dette på NSD sine nettsider, og å undersøke om prosjektet må meldes til NSD
  • Bachelorstudenter anbefales å gjennomføre studentprosjekter uten behandling av personopplysninger, med unntak av felles innmelding av prosjekter, eller som del av forskerledet prosjekt. Det anbefales å benytte anonyme registerdata eller journaldata, eller andre anonymiserte data. Dersom student og veileder ønsker å gjennomføre studentprosjekter med behandling av personopplysninger, skal NSDs veiledning "Hvordan gjennomføre et prosjekt uten å behandle personopplysninger?" – gjennomgås før endelig beslutning. 
  • Studenten skal kun sende inn meldeskjema til NSD i samråd med veileder, og dele skjema med veileder. All dialog med NSD skal skje i samråd med veileder. Studenten er ansvarlig for å følge opp alle tilbakemeldinger fra NSD, og skal ikke starte behandling av personopplysninger før det foreligger tillatelse fra NSD.  
  • Studenten skal sende beskjed/tilbakemelding til NSD ved prosjektslutt, og bekrefte at alle data er slettet/anonymisert. Alle steg i prosessen bekreftes skriftlig til veileder. 

Dersom du har spørsmål knyttet til NSD sitt meldeskjema må du kontakte veileder eller NSD: Telefon (kl 10–12): +47 55 58 21 17 (tast 1). E-post: personverntjenester@nsd.no

Ditt ansvar for personvern omfatter alle faser i et forskningsprosjekt:

Planleggings- eller oppstartfasen er den delen av forskningsprosjektet/oppgaven som strekker seg fra utarbeidelse av prosjektskisse frem til at datainnsamlingsprosessen begynner. 

I denne fasen har du ansvaret for følgende oppgaver: 

  • I startfasen er det særlig viktig å bestemme hvilke type data du skal samle inn og vurdere nøye om det er behov for å samle inn personopplysninger. Dette gjøres i samråd med din veileder.   
  • Hvis du skal samle inn og behandle personopplysninger må du lage oversikt over hvilke typer personopplysninger du skal samle inn, og sammen med veileder sjekke om forskningsprosjektet må meldes inn til NSD personverntjenester, og ev. REK hvis det gjelder helseopplysninger. Du må beregne god tid fordi innsamling av data ikke kan starte før du har fått vurdering fra NSD, og ev. svar på søknad fra REK ved helseopplysninger. 
  • Du bør sette opp en datahåndteringsplan som beskriver hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet. UiS har utarbeidet egen oversikt over klassifisering og håndtering av ulike typer persondata. Du kan sammen med veileder vurdere om det er nødvendig å bruke et verktøy for datahåndteringsplan (DMP) for prosjektet. UiS anbefaler å bruke NSDs mal for Datahåndteringsplan. 
  • Hvis prosjektet er meldepliktig, skal du sammen med din veileder melde inn prosjektet til NSD (lenke til NSD meldeskjema). Din veileder skal stå som ansvarlig på meldeskjemaet, og skjemaet skal deles med din veileder på “min side” hos NSD. Som vedlegg til meldeskjemaet må det vanligvis utformes informasjonskriv til respondenter/informanter og samtykkeskjema (lenke til maler hos NSD).  Medisinsk og helsefaglige forskningsprosjekter kan søke NSD parallelt med søknad om etisk forhåndsgodkjennelse hos regionale etiske komiteer (REK). 
  • Du har ansvar for sikre dine data og sørge for at sikre tekniske løsninger for innsamling, lagring, overføring og analyse av forskningsdata (personopplysninger) er i tråd med retningslinjene på UiS, se under informasjonssikkerhet nedenfor. 
  • Du har ansvaret for å ivareta personvernet til deltakere i forskningsprosjekter (respondenter og informanter) når det behandles personopplysninger om dem. 

Gjennomføringsfasen er den delen av prosjektet som omfatter datainnsamling og analyser av innsamlede data (personopplysninger). 

I denne fasen har du ansvaret for å: 

  • besvare henvendelser fra respondenter eller informanter i prosjektet om hvordan deres personvernrettigheter blir ivaretatt i prosjektet. 
  • sørge for forsvarlig sletting av forskningsdata/personopplysninger dersom respondenter eller informanter trekker tilbake sitt samtykke til å delta i prosjektet. 
  • kontrollere at personopplysninger som behandles i prosjektet ikke anvendes til uforenlige formål eller på andre måter enn det respondentene eller informantene har samtykket til 
  • kontrollere at vilkår i avtaler med eventuelle eksterne informasjonsleverandører, for eksempel registereiere, eller samarbeidspartnere ved andre institusjoner faktisk overholdes 
  • melde fra om avvik som oppstår ved behandling av opplysninger om respondenter eller informanter i prosjektet, se melding om avvik nedenfor. 
  • Hvis det foretas endringer i prosjektopplegget i forhold til de opplysningene som ligger til grunn for NSDs vurderinger, skal det sendes inn et eget endringsskjema. Du må da vente på ny vurdering fra NSD. Endring i prosjektet kan medføre at det må sendes nytt informasjonsskriv og innhentes nytt samtykke fra respondenter/informanter.

     

Avslutningsfasen omfatter den delen av forskningsprosjektet hvor dataanalysen er avsluttet og innsamlede data (personopplysninger) skal slettes, anonymiseres eller ev. arkiveres. Dette skal alltid gjøres slik du har beskrevet det i meldingen til NSD, og du skal melde tilbake til NSD at prosjektet er avsluttet og data er slettet/anonymisert. 

I denne fasen har du ansvar for følgende oppgaver, i tråd med det du har meldt inn til NSD: 

  • sørge for at alle personopplysninger om respondenter eller informanter som ikke skal oppbevares etter prosjektslutt blir forsvarlig slettet. 
  • sørge for at personopplysninger som skal oppbevares etter prosjektslutt blir anonymisert, for eksempel ved at koblingsnøkkel for avidentifiserte opplysninger destrueres. 
  • sørge for at personopplysninger som skal tas vare på etter prosjektslutt blir forsvarlig oppbevart (hvis det gjort avtale om sikker lagring og i samråd med veileder). 
  • Melde fra til NSD at prosjektet er avsluttet og data håndtert i tråd med innmeldingen. 

Informasjonssikkerhet – lagring og behandling av personopplysninger 

Det aller viktigste er at du lagrer, behandler, deler filer og data på riktig måte. Det er dataenes innhold og grad av sensitivitet som bestemmer hvor informasjonen kan behandles og lagres. Dette er informasjonssikkerhet. Når du skal skrive en oppgave som krever behandling av sensitive personopplysninger skal du:

  1. Tenke nøye over hvilke typer informasjon, filer og data du skal lagre og behandle  
  1. Finne ut hvilke informasjonsklasser som gjelder for denne informasjonen. Sett deg inn i hva som menes med grønne, gule, røde og sorte data. Dette gjør du ved å slå opp i klassifiseringsguiden.  

Du skal merke deg spesielt at røde data omtales som sensitive personopplysninger og at slike data har strenge krav til beskyttelse. Helseforskningsdata og personidentifiserbare opplysninger skal ikke lagres usikret! 

Hva slags verktøy kan jeg bruke? 

Etter at du har avklart hvilken informasjonsklasse som er gjeldende for dine data skal du bruke UiS sine retningslinjer for hvilket utstyr du kan bruke når du skal jobbe med dataene dine. Det gjør du ved å slå opp i UiS sin lagringsguide. Denne lagringsguiden gir deg oversikt over hva som er aksepterte steder å lagre data. Her skal du spesielt merke deg at du ikke har lov til å jobbe med noe annet enn grønne data på din private PC eller Mac.  

UiS anbefaler derfor studenter og forskere å ta i bruk Nettskjema og Nettskjema-Diktafon for innsamling og behandling av gule og røde data. Nettskjema kan brukes til å lage spørreundersøkelser, for gjøre lydopptak i intervjusammenheng og behandle sensitive data. Det er viktig å merke seg at inaktiv informasjon i Nettskjema automatisk blir slettet etter 6 måneder.   

I de fleste tilfeller vil dette være et tilstrekkelig og trygt valg av verktøy til innsamling og behandling av sensitive data.  

Hvis Nettskjema viser seg å ikke være en tilstrekkelig løsning for lagring i forbindelse med din oppgave, må du sørge for at informasjonen blir lagret på andre sikre måter. Alternative lagringsområder er beskrevet i lagringsguiden og i Retningslinjer for behandling og oppbevaring av forskningsdata med personopplysninger i studentprosjekter ved Universitetet i Stavanger

Avvik og hendelser 

Dersom du oppdager avvik eller hendelser i forbindelse med ivaretakelsen av personopplysninger er det viktig at du varsler om dette slik at UiS kan hjelpe med å vurdere, begrense og reparere skadeomfanget.  

Avvik og hendelser kan være at du oppdager at noen har fått urettmessig tilgang til brukerkonto eller PC, at du mister minnepinne med data, at du klassifiserer data feil og lagrer på feil sted, at du oppdager brudd på taushetsplikt, feil ved anonymisering og sletting og lignende. I slike tilfeller er det svært viktig at du som student og/eller din veileder melder fra om eventuelle avvik umiddelbart.   

 Melding om brudd eller mulige brudd på personvernet går til Personvernombudet ved personvernombud@uis.no.

 Melding av brudd eller mulige brudd på informasjonssikkerhet går til it-hjelp@uis.no.