5. Guide for å behandle forskningsdata

5.  Lagringsguide

All forskningsdata skal ha en entydig og identifiserbar «eier», og som regel er dette daglig ansvarlig (prosjektleder eller veileder). Daglig ansvarlig skal:

  • sikre at informasjonen er behandles i henhold til HVL sine retningslinjer
  • påse at all lagring, behandling og bearbeiding av informasjon foregår på tekniske løsninger som er godkjent jf. HVL sin lagringsguide
  • regelmessig sjekke at man oppfyller eventuelle endringer i kravene

HVL-konto og e-post

Ved behandling av personopplysninger i student-eller forskerprosjekter, skal studenter og forskere ved HVL bruke sin HVL-konto med tilhørende tjenester. Studenter og forskere må også bruke sin HVL e-post for identifisering internt og eksternt. For eksempel gjelder dette ved pålogging til HVL sine tjenester eller i kommunikasjon med deltakere/informanter i forskning og studentoppgaver. 

Klassifisering av data 

 Åpen eller fritt tilgjengelig (grønn)

Denne klassen benyttes dersom det gjelder forskningsdata som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. Dette vil i hovedsak si data som er anonymisert og ikke inneholder persondata.

Dataenes integritet skal likevel sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om dataene kan være åpen, er det ikke fritt frem å velge hva du gjør med den.

Interne (Gul)

Denne klassen gjelder for informasjon som må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, men med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom informasjonen kun har relevans for eller er innrettet mot en begrenset brukergruppe ved HVL og evt. samarbeidspartnere.

Eksempler på slik informasjon kan være:

  • alminnelige personopplysninger
  • upubliserte forskningsdata og -arbeider
Fortrolig (Rød)

Dette er informasjon som HVL er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. «Fortrolig» benyttes hvis det vil kunne forårsake skade for offentlige interesser, HVL, enkeltpersoner eller samarbeidspartnere dersom informasjonen blir kjent for uvedkommende [1].

 Eksempler på slik informasjon kan være:

  • særskilte kategorier av (sensitive) personopplysninger
  • helseopplysninger

Forskningsdata og personopplysninger i denne kategorien skal alltid lagres på forskningsserveren ved HVL.

Strengt fortrolig (Svart)  

Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.

 «Strengt fortrolig» [2] benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, HVL, enkeltpersoner eller samarbeidspartnere at informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon er:

  • store mengder sensitive personopplysninger
  • store mengder helseopplysninger
  • forskningsdata og datasett av stor økonomisk verdi

Forskningsdata og personopplysninger i denne kategorien skal alltid lagres på forskningsserveren ved HVL. 

Kategorisering av tjenester og enheter ved behandling av forskningsdata ved HVL

 

Kommunikasjon- og delingsverktøy

 

 

 

 

HVL e-post

Ja

1

Nei

Nei

Privat e-post (Gmail, Hotmail el.)

Ja

Nei

Nei

Nei

Zoom

Ja

Ja

2

Nei

Teams

Ja

Ja

Nei

Nei

Autotekst (transkribering)

Ja

Ja

Ja

Nei

Datalagring

 

 

 

 

OneDrive

Ja

Ja

3

Nei

Personlig skytjeneste (Dropbox, Google Drive el.)

Ja

Nei

Nei

Nei

Skytjenester ved HVL (Box og Filesender)

Ja

4

Nei

Nei

Forskningsserver ved HVL (SILAF)

Nei

Nei

Ja

Ja

Enheter

 

 

 

 

Smarttelefon (f.eks. til lydopptak)

Ja

5

Nei

Nei

Privat pc

Ja

5

Nei

Nei

HVL driftet pc (lokalt område)

Ja

6

6

Nei

Minnepinne / ekstern harddisk

Ja

Nei

Nei

Nei

Minnepinne / ekstern harddisk - kryptert

Ja

Ja

7

Nei

  1. E-post kan benyttes dersom e-postene er internt mellom ansatte på HVL
  2. Behandling er tillatt i Zoom så lenge det ikke gjøres opptak, men bare streames. Zoom kan gjøre opptak av røde data hvis det gjøres en egen skriftlig vurdering i form av en DPIA.
  3. Løsningen forutsetter at forskningsdata sikres med to-faktor pålogging i OneDrive, samt at det er gjennomført en personvernkonsekvensvurdering (DPIA) som er godkjent av HVL sin ledelse.
  4. Kan mellomlagres i skytjenester som er spesielt tilrettelagt for dette og som lagrer data innenfor EØS-området. Prosjektleder skal kun benytte skytjenester som tilbys av HVL.
  5. Nei, men det er unntak for studenter dersom retningslinjer for bruk av privat enhet følges.
  6. For ansatte anbefales det ikke å lagre data lokalt på PC, men i stedet å bruke OneDrive med to-faktor pålogging.
  7. Kan lagres på kryptert minnepinne eller kryptert ekstern harddisk. Det må påsees at enheten til enhver tid fyller kravene som er gitt i retningslinjene til HVL og at data ikke lastes ned eller hentes ut til hjemmeområdet eller andre lagringssteder som ikke er godkjent for å behandle denne typen opplysninger. Det er anbefalt at disse dataene overføres til forskningsserveren ved HVL.

 

[1] Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen.

[2] Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen.