Bruk av personopplysninger i gradsoppgave
Er du student og skal bruke personopplysninger i din bachelor- eller masteroppgave? Da må personopplysningene behandles i tråd med personvernregelverket. På denne siden finner du veiledning om hvordan dette skal gjøres, og veiledningen gjelder alle studenter ved NMBU.
Hva er personopplysninger?
Tommelfingerregelen er at alle opplysninger som på en eller annen måte kan knyttes til en konkret person er personopplysninger. En personopplysning kan for eksempel være fødselsnummer, navn, e-postadresse/IP-adresse, helseopplysninger, eller et bilde der en person kan gjenkjennes. Stemme på lydopptak er også å regne som en personopplysning. Om en opplysning er en personopplysning kan avhenge av om den i den aktuelle konteksten kan knyttes til en enkeltperson.
Noen typer personopplysninger regnes som sensitive (såkalte særlige kategorier av personopplysninger), og da gjelder strengere krav bl.a. til informasjonssikkerhet.
Les mer om hva personopplysninger er, hva som regnes som sensitive personopplysninger og hva det betyr å behandle en personopplysning, på denne siden: Hva er personopplysninger (sikt.no).
Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner. Dersom du ikke skal behandle personopplysninger eller kun behandler anonyme opplysninger, omfattes du ikke av denne veiledningen. Se informasjon om hvordan du kan gjennomføre et prosjekt uten å behandle personopplysninger.
En forklaring av ulike begreper finner du her: Personvernordbok (sikt.no).
Når du skal skrive en gradsoppgave kan det hende du må behandle personopplysninger fordi du skal bruke opplysninger om eller fra en eller flere personer som grunnlag for oppgaven din. Det kan for eksempel være at du samler inn personopplysninger gjennom å intervjue eller ved å sende spørreskjema til en gruppe personer. Dette gjelder også der personopplysningene i seg selv ikke er temaet for undersøkelsen eller intervjuet.
Hvem har ansvar for behandling av personopplysninger i en gradsoppgave?
Når personopplysninger behandles i en gradsoppgave ved NMBU, vil én person ha rollen som prosjektleder. For gradsoppgaver på bachelor- og masternivå er det studentens veileder som er prosjektleder. Prosjektleder har ansvar for at behandlingen av personopplysninger i arbeidet med oppgaven følger personvernregelverket og NMBUs rutiner. Ansvaret omfatter alle fasene i prosjektet.
Veileder har også ansvar for at du får den informasjonen og opplæring som du trenger, at du følger personvernregelverket og NMBUs rutiner, og skal rettlede deg i prosessen.
Du har også et selvstendig ansvar for å sette deg inn i kravene for behandling av personopplysninger og følge disse gjennom fasene i din gradsoppgave, samt følge instruksene fra veilederen din.
NMBU er behandlingsansvarlig og har det overordnede ansvaret for all behandling av personopplysninger til forskningsformål ved universitetet (dette inkluderer gradsoppgaver). NMBU skal sørge for gode rutiner og veiledning til studenter og ansatte.
Hvem kan du gå til for veiledning og opplæring?
Vi håper denne siden hjelper deg et godt stykke på vei med informasjonen du trenger for å behandle personopplysninger riktig i din gradsoppgave. Husk å konferere med veilederen din om detaljene.
Sikt (tidligere NSD) er NMBUs rådgiver for personvern i forskning. De er eksperter på temaet, og du kan ta direkte kontakt med dem dersom det er noe du og din veileder ikke finner ut av.
For spørsmål om NMBUs egne retningslinjer for personvern i forskning og håndtering av forskningsdata (som også gjelder for gradsoppgaver) kan du ta kontakt med Forskningsavdelingen. For spørsmål om IT-verktøy, kan du ta kontakt med IT-avdelingen.
Kontaktinformasjon Sikt: Benytt chatfunksjon, åpen hver dag kl. 12-14 https://meldeskjema.sikt.no/test, eller via et opprettet /innsendt meldeskjema.
Kontaktpersoner ved NMBU:
Forskningsavdelingen:
IT-avdelingen
Det holdes hvert semester et 1-dags kurs i datahåndtering og personvern i forskning rettet mot studenter og ansatte. Spør gjerne din veileder om kurser er aktuelt for deg.
NMBU har et personvernombud som også skal gi råd om de forpliktelsene NMBU har etter personvernlovgivingen. Ansatte, studenter eller eksterne deltakere i forskningsprosjekter kan kontakte personvernombudet for å vite om og hvorfor NMBU behandler personopplysninger om en selv, og om rettighetene man da har etter personvernregelverket. Du kan finne mer detaljer på egen side om NMBUs personvernombud.
Hvordan sikre at personopplysninger behandles etter regelverket?
Sikt gir råd til NMBU slik at forskningen ved universitetet kan gjennomføres i tråd med personopplysningsloven. Dette gjøres blant annet ved at alle som skal behandle personopplysninger i et forskningsprosjekt eller gradsoppgave, skal melde inn prosjektet til Sikt. Dersom du er usikker på om prosjektet må meldes inn, spør Sikt (se kontaktinfo over).
Her finner du to korte e-læringer om hvorfor du må fylle ut et meldeskjema hvis du skal samle inn eller behandle personopplysninger for gradsoppgaven (prosjektet ditt), og hva du må ha klart før utfyllingen: Om meldeskjema - Sikt.
Prosjektet skal meldes inn senest 30 dager før datainnsamlingen eller behandlingen av dataene starter. Sikt vil så gjøre en vurdering av om den planlagte behandlingen av personopplysninger er i tråd med personvernlovverket. Dersom ditt prosjekt har lav personvernrisiko og vurderes automatisk av Sikt kan du få svar fra Sikt i løpet av en dag. For prosjekter som vurderes manuelt skal Sikt gi tilbakemelding innen 30 dager.
Mange studentoppgaver ved NMBU behandler personopplysninger som utgjør en relativt lav personvernrisiko. Lav personvernrisiko er gjerne knyttet til faktorer som at prosjektene ikke behandler sensitive personopplysninger, samtykke innhentes og deltakerne får individuell informasjon, varigheten er avgrenset i tid, få personer vil ha tilgang til personopplysningene og datasikkerheten er tilfredsstillende, antallet personer man behandler opplysninger fra er ikke veldig høyt, og personene er over 15 år i alder. Med noen få, men nødvendige, grep vil du kunne oppfylle kravene i regelverket.
For noen forskningsprosjekter vil det imidlertid være større personvernrisiko, og Sikt vil i noen tilfeller anbefale at det gjøres en personvernkonsekvensvurdering (DPIA). Da må veileder ta ansvar for å følge opp. DPIA-er skal godkjennes av ledelsen ved NMBU og vurderes av personvernombudet, og følger en egen saksbehandlingsprosedyre ved NMBU.
Hva må du huske på i planleggings-/oppstartsfasen av gradsoppgaven din?
Når du forbereder meldeskjema til Sikt og planlegger gradsoppgaven må du, i samarbeid med din veileder, gjøre følgende:
- Tenke gjennom hvilke personopplysninger du trenger for å svare på problemstillingen din.
- Tenke gjennom hvilke faktorer som bidrar til personvernulempe i ditt prosjekt, og om/hvilke tiltak du kan gjøre for å redusere ulempen.
- Lage en fullstendig oversikt over hvilke personopplysninger som skal brukes i din gradsoppgave.
- Utforme et informasjonsskriv til deltakerne (med mindre innsamlingen skal være unntatt fra informasjonsplikten). Mer informasjon og mal finner du via lenke lengre nede på siden.
- Avklare behandlingsgrunnlag. Behandling av personopplysninger må ha et lovlig grunnlag, og det vanligste i forskning er at innhenting av samtykke fra forskningsdeltakerne gir det lovlige grunnlaget. Samtykkeskjema legges gjerne inn i informasjonsskrivet. Det finnes også noen andre lovlige behandlingsgrunnlag.
- Utform intervjuguide, spørreskjema, variabelliste, osv. avhengig av hva som er aktuelt for ditt prosjekt.
- Planlegge hvordan du skal sørge for sikker håndtering av personopplysningene gjennom prosjektet, fra innsamling, lagring og bearbeiding av dataene, til arkivering, eventuell sletting eller anonymisering. Du må utforme en datahåndteringsplan og etterleve NMBUs retningslinjer for håndtering av forskningsdata.
Du finner utdypende informasjon om punktene og begrepene over, samt maler, på Sikts og NMBUs nettsider:
- Sjekkliste før innsending av meldeskjema (sikt.no)
- Eksempel på et meldeskjema
- Informasjon til deltakarane i forskingsprosjekt (sikt.no)
Klar for å begynne utfyllingen?
Her finner du selve meldeskjemaet, logg inn med din Feidebruker. For gradsoppgaver er det gjerne studenten som fyller ut meldeskjemaet. Du må imidlertid dele skjemaet med din veileder, som må se over det før du sender det inn. Når du deler skjemaet får veileder en lenke som må aktiveres innen 7 dager.
Hva må du huske på i gjennomføringsfasen av gradsoppgaven din?
I gjennomføringsfasen må du gjøre følgende:
- Gjennomføre behandlingen av personopplysninger som planlagt og meldt inn til Sikt i meldeskjemaet.
- Melde endring til Sikt dersom det blir endringer i hvordan personopplysningene i prosjektet behandles. Dersom du for eksempel vurderer å bruke personopplysningene til et nytt formål, må du ha behandlingsgrunnlag for dette. Melde endringar i meldeskjema (sikt.no)
- Svare på henvendelser fra deltakere i prosjektet dersom de har spørsmål om personvern rundt deres deltakelse.
- Melde fra om eventuelle avvik Varsel om brudd på informasjonssikkerhet eller personvern ved NMBU - Nettskjema
- Slette eller anonymisere personopplysninger om deltakere som trekker tilbake sitt samtykke til å delta i prosjektet
Hva må du huske på i avslutningsfasen av gradsoppgaven din?
I avslutningsfasen må du gjøre følgende:
- Sørge for at personopplysningene slettes eller arkiveres, ev. anonymiseres, som planlagt.
- Dersom prosjektet avsluttes med din oppgave, skal du sende sluttmelding til Sikt. Dersom prosjektet varer lenger, må ansvaret for sluttmelding tas av din veileder. Avklar dette med veilederen din.
Klassifisering av persondata og informasjonssikkerhet
Det er svært viktig at forskningsdata i bachelor- og masteroppgaver, som inneholder personopplysninger, behandles på en trygg måte med hensyn på innsamling, lagring, arkivering og sletting.
Hvordan du sørger for god informasjonssikkerhet for persondataene du håndterer i prosjektet, finner du veiledning om på siden: Forskningsdata