Ansvar for personvern i studentprosjekter
Veiledere har ansvar for personvernet i studentforskning på masternivå, men du som student har også et selvstendig ansvar for å ivareta personvernet til respondenter eller informanter i ditt forskningsprosjekt. Veiledningsavtalen mellom deg og din veileder tydeliggjør ansvaret for personvernet og håndteringen av dataene i ditt prosjekt.
På TF er det obligatorisk for både masterstudenter og veiledere å ha gjennomført kurs i personvern i Canvas (eksterne veiledere skal ha satt seg inn i nødvendig informasjon, dette kan gjøres ved å gjennomføre åpent kurs). For masterstudenter inngår kurset som obligatorisk komponent i et av emnene du tar i masterprogrammet, og du vil få informasjon om kurset når du tar det aktuelle emnet.
Du kan lese mer om plikter og ansvar for personvern i studentprosjekter på UiO sine nettsider.
Hva er personopplysninger?
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en person, enten direkte eller indirekte.
Eksempler på personopplysninger er navn, fødsels- og personnummer, e-postadresse, bilde, helseopplysninger, stemme, adferdsmønster og en rekke andre opplysninger som er om en person.
For mer informasjon:
Anonyme opplysninger
Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer eller indirekte gjennom tilleggsinformasjon. Indirekte identifikasjon kan skje ved at det oppgis opplysninger man kan koble til navn ved hjelp av andre registre eller lignende. Eksempler kan være telefonnummer, registreringsnummer på bil, adresse, eller kombinasjoner av opplysninger som for eksempel kjønn, alder, skoletilhørighet og antall søsken.
Anonyme opplysninger er ikke personopplysninger siden de ikke kan knyttes til identifiserbare enkeltpersoner. Dersom du kun behandler anonyme opplysninger i ditt prosjekt, trenger du ikke å melde prosjektet til Personverntjenester under Sikt (tidligere NSD).
Behandling av personopplysninger
Dersom du skal behandle personopplysninger i prosjektet ditt, er det viktig at du sørger for å behandle personopplysningene på en god og sikker måte. Du må følge gjeldende regler og UiOs rutiner for forskning med personopplysninger. Du må også vurdere om prosjektet ditt er i tråd med de forskningsetiske retningslinjene.
Ved UiO må alle forskningsprosjekter som skal behandle personopplysninger meldes til Personverntjenester under Sikt for vurdering av personvernet i prosjektet. Dersom du skal samle data i utlandet (utenom EU/EØS), må du være oppmerksom på at du i tillegg til å følge de ordinære reglene, også må følge eventuelle lokale regler. Snakk med veileder om dette.
Før du kan melde inn prosjektet må du ha avklart en del ting, og det kan det være lurt å se på Personverntjenester under Sikts sjekkliste for utfylling av meldeskjema. Saksbehandlingstid hos Personverntjenester under Sikt kan variere fra et par dager til en måned avhengig av prosjektets kompleksitet. Derfor bør du melde inn prosjektet senest 30 dager før datainnsamlingen skal starte.
Dersom du skal behandle medisinske og helsefaglige opplysninger må prosjektet ditt i tillegg forhåndsgodkjennes av Regional komité for medisinsk og helsefaglig forskningsetikk (REK). På grunn av tidsrammen anbefaler TF som hovedregel at masterstudenter ikke velger REK-prosjekter.
Ta kontakt med veilederen din dersom du har spørsmål om behandling av personopplysninger i forbindelse med masteroppgaven.
Dette må du tenke på i oppstarten av prosjektet dersom du skal behandle personopplysninger
Hva skal du forske på og hvem skal du innhente opplysninger om?
Definer så presist som mulig hva du skal forske på, hvem du trenger å innhente personopplysninger om samt hvilke personopplysninger du trenger, for å svare på problemstillingen din.
Hva slags personopplysninger skal du behandle?
Sammen med veilederen din må du klassifisere personopplysningene du skal behandle i prosjektet ditt i henhold til UiOs klassifisering. Er det grønne, gule eller røde data? Hvilken klassifisering personopplysningene tilhører har innvirkning på hvordan de kan behandles. Særlige kategorier av personopplysninger klassifiseres som røde data og skal behandles som sensitive og ekstra beskyttelsesverdige.
Hvordan skal du samle inn data?
Innsamling av data må skje innenfor trygge rammer og ved bruk av godkjent utstyr. Hvordan du skal samle inn data planlegger du og avklarer med din veileder.
Du må forsikre deg om at data lagres forsvarlig og slettes på midlertidige enheter.
Du kan benytte UiO-Nettskjema til datainnsamling. Nettskjema har også en diktafon-app.
Hvor og hvordan skal du lagre dataene?
Når du har klassifisert dataene dine må du sørge for at de lagres på godkjent måte i henhold UiOs lagringsguide. Det skal sikres at ingen uvedkommende får tilgang til informasjon som kan være personidentifiserende.
Sørg for å slette midlertidige lagringer. Sørg også for at hoveddata og eventuelle backup er lagret på forsvarlig måte.
Lagring av røde data i TSD
Skal du samle inn røde data i ditt prosjekt, kan det hende at du må lagre dataene i TSD. TF har egne rutiner for dette.
Hvordan skal du rekruttere informanter/respondenter?
Du må diskutere dette med veileder. Dette må gjøres tidlig i prosessen. Husk at du må ha avtalt med steder der du tenker å samle inn data. Ved rekruttering i institusjoner som skoler, barnehager etc kan det være lurt å se utenfor Oslo-området.
- Retningslinjer for undersøkelser blant UiO-studenter
- Tips ved rekruttering via sosiale medier (for ansatte- side ved UV)
Hvordan skal du innhente samtykke?
Når du samler inn personopplysninger, må du kunne dokumentere at du har gitt informasjon og innhentet samtykke fra dem du registrerer opplysninger om, med mindre du benytter data på aggregert nivå (for eksempel registerdata). Informasjonen du gir til deltakerne i prosjektet ditt skal være kortfattet, lett forståelig og i en lett tilgjengelig form. Se gjerne Personverntjenester under Sikt sin sjekkliste for hva du må informere deltakerne om.
Personverntjenester under Sikt anbefaler skriftlig informasjon og skriftlig samtykke som hovedregel, og har utarbeidet en mal for informasjonsskriv og samtykkeskjema som du kan benytte deg av i ditt prosjekt. Det er også mulig å bruke nettskjema for samtykke.
Dersom du skal bruke elektronisk samtykkeskjema og du skal samle inn røde data må du bruke høyeste sikkerhetsnivå for signering.
Samtykker må arkiveres på et trygt sted
Samtykker må lagres på et sikkert sted. Avtal med veilederen din hvordan samtykkene skal oppbevares (i låsbart skap, skannet til serverområde, elektronisk samtykkeportal). Samtykkeskjemaer skal oppbevares i TSD hvis prosjektet har røde data.
Datahåndteringsplan
I samråd med veilederen din må du utarbeide en datahåndteringsplan som beskriver hvordan du vil sikrer god og trygg håndtering av dataene i prosjektet ditt fra start til slutt, også etter at prosjektet er avsluttet.
Datahåndteringsplanen kan legges ved som vedlegg når du melder prosjektet ditt til Personverntjenester under Sikt.
Når du har avklart punktene over er du klar for å melde inn prosjektet ditt til Personverntjenester under Sikt (og evt REK)
Slik melder du prosjektet ditt til Personverntjenester under Sikt
Du melder inn prosjektet til Personverntjenester under Sikt i et meldeskjema. Det er du som student som melder inn prosjektet til Personverntjenester under Sikt, men veilederen din kan hjelpe deg. Personverntjenester under Sikt har også en chat-funksjon du kan bruke hvis du har spørsmål mens du fyller ut skjemaet.
Når du melder inn prosjektet ditt må du oppgi hvem som er prosjektansvarlig. Den som står oppført som prosjektansvarlig hos Personverntjenester under Sikt må være ansatt på UiO. Oppgi veilederen din som prosjektansvarlig. Dersom veilederen din ikke er ansatt ved UiO kontakter du studieseksjonen for avklaring.
Her melder du prosjektet ditt til Personverntjenester under Sikt
Husk å legge inn privat epostadresse og mobilnummer i meldeskjema for å sikre at det er mulig for Personverntjenester under Sikt og UiO å ta kontakt med deg når prosjektet skal avsluttes.
Hvis du må gjøre endringer i prosjektet etter at meldeskjema er utfylt og endringene får følger for behandlingen av personopplysninger, må du melde fra til Personverntjenester under Sikt for ny vurdering. Du finner informasjon om hvordan du melder inn endringer til Personverntjenester under Sikt her.
Om søknad til REK
Snakk med veileder om hvordan du sender søknad til REK, dersom dette er aktuelt for deg
Forskningsprosjektet kan starte behandlingen av personopplysninger når det foreligger godkjenning fra REK og man får klarsignal fra Personverntjenester under Sikt om at behandlingen kan starte. Søknader til REK og Personverntjenester under Sikt kan sendes parallelt for å unngå unødvendig ventetid.
Når kan jeg begynne å samle inn data?
Først når du har fått godkjenning fra Personverntjenester under Sikt (og evt. også fra REK) kan du starte med datainnsamling.
Noen tips for å unngå unødig personidentifiserende data
- Unngå at informanter bruker navn og informasjon som kan være identifiserende.
- Unngå at personer utilsiktet blir med på opptak. (Stopp eventuelt opptak).
Dersom du allikevel samler inn personopplysninger du ikke har fått godkjenning til å samle inn, må du slette dem umiddelbart, og du bør kontakte veileder.
Eventuelle avvik ved behandling av personopplysninger skal meldes inn til UiO.
Transkribering og anonymisering av data
Dersom du skal ta data ut fra lagringsstedet må du transkribere dataene og sørge for at all persondata er avidentifisert eller anonymisert. Etter transkribering er det vanlig å slette rådata.
- Avidentifisering: personidentifiserende informasjon er fjernet, men indirekte personidentifiserende informasjon finnes, f.eks. i form av koblingsnøkler.
- Anonymisering: all personidentifiserende informasjon slettes (inklusive koblingsnøkler). NB: Det er da ikke lenger mulig for informanter å trekke seg fra undersøkelsen.
Hva gjør jeg når prosjektet er avsluttet?
Prosjektet er ikke avsluttet før du er ferdig eksaminert. Når prosjektet er avsluttet skal dataene slettes, med mindre noe annet er avtalt og godkjent.
Husk å melde fra til Personverntjenester under Sikt når prosjektet er avsluttet
Dersom du har meldt prosjektet ditt til Personverntjenester under Sikt, er det viktig at du melder fra om at prosjektet er avsluttet, og hva som skal skje med personopplysningene.
Mer informasjon om hva du må sørge for når prosjektet er avsluttet finner du her.
Har du spørsmål, behov for teknisk veiledning eller skal låne utstyr?
Kontakt din veileder hvis du har spørsmål om personvern.
Veilederen din kan ved behov rådføre seg med personvernkontaktene på instituttene.
IT-tjenesten på Det teologiske fakultet bistår med teknisk veiledning i forbindelse med datahåndtering, og utlån av noe utstyr.
Du som student kan også ta direkte kontakt med Personverntjenester under Sikt.
Vil du vite mer om personvern?
Du finner mye nyttig informasjon om personvern på Personverntjenester under Sikt sin hjemmeside