Droppe til innhold

Behandling av personopplysninger i studieoppgaver

Skal du intervjue eller sende ut et spørreskjema i forbindelse med studieoppgaver? Det innebærer som regel at du også må håndtere personopplysninger om informantene dine.

Håndtering av personopplysninger i oppgavesammenheng skal gjøres på bestemte måter. Her finner du en oversikt over viktige ting å gjøre og lenker til relevante veiledninger/retningslinjer.

Prosjektleder

Hvem er ansvarlig for studentprosjektet?

Når du skal utføre en undersøkelse er det viktig at noen tar ansvar for at undersøkelsen (forskningsprosjektet) gjennomføres og utføres på en forsvarlig måte. Til dette må du ha en ”prosjektleder” for undersøkelsen. Du som student kan ikke selv stå for denne prosjektledelsen, men du må ha med deg en som kan ta ansvaret – normalt er dette veilederen din. Veileder skal i sammen med deg, ved kvalitetssikring, blant annet vurdere om det er nødvendig å samle inn personopplysninger, hvilke personopplysninger det er nødvendig å samle inn ut i fra formålet med prosjektet og om prosjektet er meldepliktig til NSD.

Husk å ALLTID sende kopi av meldeskjema til din veileder, samt å ha veileder på kopi i ALL korrespondanse med NSD.

Veileder er ansvarlig for at studenter som skal behandle personopplysninger på vegne av OsloMet er gitt informasjon, opplæring og tilgang til nødvendig infrastruktur,- for dermed å kunne gjennomføre behandlingen av personopplysninger på en trygg måte.

Når er studentprosjektet meldepliktig til NSD?

Behandlingsansvar:

Hvis ditt bachelor- eller masterprosjekt foregår ved OsloMet og du som student ved OsloMet samler inn data, f.eks. ved bruk av lydbåndopptak, er OsloMet behandlingsansvarlig eller felles behandlingsansvarlig. Her samler du inn personopplysninger som student og med "OsloMet-hatten" på. Du bestemmer formålet (hva personopplysningene skal brukes til) og metode (hvilke metode/middel som skal brukes ved innsamling) i samarbeid med veileder fra OsloMet. Her er det meldeplikt til NSD og eventuelt REK. Samler du inn personopplysninger hos en annen institusjon må du ha tillatelse fra denne institusjonen til å kontakte informanter/forskningsdeltakere fra dem. 

Veileder eller hovedveileder skal være fra OsloMet og har ansvar for at eventuelle personopplysninger i ditt prosjekt blir behandlet i samsvar med personvernregelverket. Den institusjonen du samler inn data hos bør også stille med veileder (biveileder) i de tilfeller personopplysningene skal behandles i denne institusjonen sine systemer.

Databehandleravtale:

Hvis du som student skal ta lydopptak og deretter analysere og lagre dataene på PC/server ved ekstern institusjon, f.eks. OUS, må det inngås en databehandleravtale mellom OsloMet og denne institusjonen. OsloMet vil da være behandlingsansvarlig og institusjonen, f.eks. OUS, vil være databehandler (institusjonen har ikke et eget formål med personopplysningene, men behandler dem (siden det skjer i deres systemer) på vegne av behandlingsansvarlig OsloMet. Databehandleravtale er aktuelt selv om data ikke fysisk overføres til OsloMet. Det er tilstrekkelig at en med "OsloMet-hatt" har tilgang til personopplysningene.

Felles behandlingsansvar:

Felles behandlingsansvar (med tilhørende avtale) kan være aktuelt der både OsloMet og institusjonen bestemmer formål og metode/middel.

Når er studentprosjektet ikke meldepliktig til NSD?

Hvis bachelor-  eller masterprosjektet ved OsloMet er et delprosjekt som inngår i et større prosjekt (hovedprosjekt som bestemmer formål og metode) ved en annen institusjon, vil hovedveileder være fra denne institusjonen og stå ansvarlig for den behandlingen av personopplysninger i ditt prosjekt som foregår ved denne institusjonen. Du vil også ha en biveileder som da skal være fra OsloMet. Biveileder ved OsloMet vil være ansvarlig for din behandling av eventuelle personopplysninger ved OsloMet (forutsetter en overføring av personopplysninger til OsloMet sine elektroniske løsninger).

  •  Du må sørge for at det inngås en databehandleravtale mellom OsloMet og ekstern institusjon, da OsloMet vil behandle personopplysninger på vegne av den eksterne institusjonen.
  • Du må sjekke at den eksterne institusjonen har sendt endringsmelding til NSD eller sitt personvernombud og fått din behandling av personopplysningene vurdert som ok.  

Her er noe av det du ellers må huske på og sørge for:

Planlegging/oppstart

Relevante dokumenter og tekster for behandling av personopplysninger i oppstartsfasen:

  1. Aktuelle data skal alltid være kryptert med unntak av når de er i aktiv bruk.

  2. Før data dekrypteres (åpnes), skal datamaskinen kobles av internett (både trådfast og trådløst), og forbli frakoblet til data igjen er kryptert.

  3. Bruker må gis forsvarlig opplæring i bruk av krypteringsprogram og sikker håndtering av data. 

  4. Ved melding til Norsk senter for forskningsdata (NSD) skal det leveres en bekreftelse (brevmal) fra OsloMet på at bruk av privat PC (under forutsetning av kryptering) er akseptert ved aktuelt institutt ved skriving og analyse av data i det aktuelle master/bachelorprosjektet.                                                                                                                                            

Se e-læringer om Personvern (GDPR) i forskning ved OsloMet på sikresiden.no. De tar 3-5 minutter pr. leksjon.

Gjennomføring

Generelt om behandling av personopplysninger i gjennomføring av prosjekt 

NB: Legg spesielt merke til punktene om "Status og endring" og "Behandling og lagring av data".

Avslutte prosjekt

Generelt om behandling av personopplysninger i avsluttende fase av prosjektet  

NB: legg spesielt merke til punktene om Sluttrapport og Dokumentasjon.

chatbot-portlet