Personvern for studentoppgaver

Studentoppgaver (både på bachelor- og masternivå) må følge de samme prinsippene som gjelder for forskningsprosjekter. Hovedregelen er at studenter ikke skal samle inn personopplysninger i studentoppgaver, men personopplysninger kan unntaksvis samles inn i masteroppgaver.

 

Nedenfor listes noen sentrale punkter over hvilket ansvar studentene har, basert på Interne retningslinjer for innsamling av data i studentoppgaver (vedtatt i rektoratet 22.11.2021). Studenten skal vurdere i hvilke tilfeller disse vil være aktuelle.

  1. Hovedregelen er at studenten ikke skal samle inn personopplysninger i studentoppgaver, slik at meldeplikten til SIKT (Kunnskapssektorens tjenesteleverandør) unngås.
  2. Studenten skal – under veiledning av sin veileder – lære å samle inn anonyme data. Dette betyr at studenten bla. skal:
    • Ikke ta lydopptak ved intervju. Stemme er en personopplysning.
    • Kunne gjennomføre intervju på telefon eller zoom uten å ta opp samtalen, eller notere personopplysninger.
    • Bruke nettskjema med anonyme innstillinger.
    • Vurdere å bruke anonyme data tilgjengelig ved eksisterende databaser (som f.eks. SSB, SIKT, etc.)
  3. Studenten skal aldri samle inn helseinformasjon eller andre særlige kategorier av personopplysninger som for eksempel krever REK-godkjenning og bruk av Tjeneste for lagring av sensitive data (TSD). Dette gjelder også dersom materialet og opplysninger senere skal anonymiseres.
  4. Studenten skal – under veiledning av sin veileder – følge FAIR-prinsippene som tilsier at forskningsdata skal være bla. gjenfinnbare, tilgjengelige og mulig å gjenbruke.
  5. Studenten skal – sammen med sin veileder – vurdere om studentoppgaven kan være delprosjekt i større forskningsprosjekter som inkluderer personopplysninger eller helseinformasjon.

Unntaksvis kan personopplysninger samles inn i masteroppgaver. Veilederen må godkjenne unntaket. I dette tilfelle er studenten ansvarlig for:

  1. Studenten skal – under veiledning av sin veileder – vurdere hvilke data som er adekvate og relevante for prosjektets formål, og begrense datainnsamlingen til disse data (prinsippet om dataminimering).
  2. Studenten skal – under veiledning av sin veileder – utarbeide en datahåndteringsplan, og foreta en risikovurdering av prosjektets informasjonssikkerhet.
  3. Studenten skal – under veiledning av sin veileder – utarbeide samtykkeerklæring og informasjonsskriv til sin studentoppgave.
  4. Studenten skal - under veiledning av sin veileder - sende melding til Kunnskapssektoren tjenesteleverandør (SIKT) senest 30 dager før behandlingen skal starte. Studenten skal oppføre veilederen som kontaktperson mot SIKT.
  5. Studenten skal aldribehandle særlige kategorier av personopplysninger. Dermed skal det ikke være nødvending å gjennomføre en vurdering av personvernkonsekvensvurdering (DPIA), eller melde prosjektet til REK.
  6. Studenten har taushetsplikt om personopplysninger som behandles i en studentoppgave. Se de nasjonale forskningsetiske komiteenes generelle forskningsetiske retningslinjer 5 og UH-lovens 4-6 Studentens taushetsplikt.
    Unntaket fra denne taushetsplikten er hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger.
  7. Når studentoppgaven er ferdig, skal studenten be veilederen - som er kontaktperson mot SIKT – om å sende sluttmelding til SIKT dersom studentoppgaven har vært meldt inn dit.
  8. Studenten skal – under veiledning av sin veileder – vurdere om personopplysningene anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden.

Hvordan kan jeg gjennomføre et forskningsprosjekt uten å behandle personopplysninger?

Prosjekter som behandler anonyme data gjennom hele forskningsprosessen, skal ikke meldes inn til SIKT. For at data skal kunne anses som anonyme, må de ikke kunne knyttes til personopplysninger via en kode eller koblingsnøkkel.

Når er data anonyme?

Data er anonyme når de ikke på noe vis kan brukes til å identifisere enkeltpersoner:

  1. hverken direkte gjennom navn eller personnummer
  2. indirekte gjennom bakgrunnsvariabler
  3. eller gjennom navneliste/ koblingsnøkkel eller krypteringsformel og kode

Et datamateriale er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Rådata må også være anonyme.

Her er noen fremgangsmåter som kan benyttes:

  1. Ved intervju og observasjon registreres data kun i form av notater (ikke lydopptak). Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
  2. Spørreskjemaer innhentes i papirform, uten navn og indirekte identifiserende opplysninger.
  3. For at bruk av nettbaserte spørreskjemaikke skal omfattes av loven, må man forsikre seg om at IT-løsningen er fullstendig anonym (bl.a. at respondentens epost-/IP-adresse ikke på noe tidspunkt kan knyttes til spørreskjemaet), og at selve spørreskjemaet ikke inneholder spørsmål om identifiserende opplysninger. NB! Alle ansatte og studenter ved Høyskolen Kristiania kan bruke Nettskjema som tilbyr en anonym løsning.
  4. Registerdata og journaldata kan brukes uten SIKT-melding så lenge det kun er anonyme data som hentes ut. Opplysningene må ikke kunne tilbakeføres til enkeltpersoner på noen måte. Det finnes en rekke anonyme registerdata tilgjengelig på nett, bl.a. hos SSB og SIKT.

Hva betyr prinsippet om dataminimering?

Dataminimering er et juridisk personvernprinsipp som begrenser innsamling av personopplysninger til det som er nødvendig for formålet. Som forsker (gjelder også studenter) skal du bare innhente opplysninger som er relevante og nødvendige for forskningsformålet ditt (Personopplysningslovens, artikkel 5, del 1C). Tenk derfor nøye igjennom om det er nødvendig å innhente personopplysninger for å gjøre prosjektets undersøkelser. Kan anonyme data, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer, tjene prosjektets formål like godt?

Kristiania anbefaler også at prosjektledere samordner innhentingen og legger til rette for gjenbruk av data (Open Science).