Overordnet informasjon
GDPR (General Data Protection Regulation) er en personvernforordning som er vedtatt av EU og gjort gjeldende i Norge som vedlegg til EØS-avtalen. GDPR er en forordning “om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.” (Lovdata). Bestemmelsene i forordningen berører alle forskningsprosjekter som behandler personopplysninger.
UiO/SV-fakultetet/Instituttet har det overordnede ansvaret for at gjeldende regler for håndtering av forskningsdata blir gjort kjent og etterfulgt. Veileder påser at studenten ivaretar sitt ansvar, og at personvernet til respondenter eller informanter i studentforskning på bachelor- og masternivå blir ivaretatt av studenten. Studenten har ansvaret for sitt prosjekt, og for personvernet til deltakere i forskningsprosjektet (respondenter og informanter) når det behandles personopplysninger om dem. Studenten må sette seg inn i og etterfølge retningslinjer for datahåndtering. Dette bør skje i samråd med sin veileder.
Se UiOs side om personvern:
Hva er personopplysninger og særskilte kategorier av personopplysninger?
Personopplysninger er alle opplysninger eller vurderinger som direkte eller indirekte kan knyttes til enkeltpersoner. Det gjelder eksempelvis navn, adresse telefonnummer, epost, IP-adresse, fødselsnummer, bilder, lydopptak, videoopptak, biometriske opplysninger. Også ulike typer data om atferd vil kunne være persondata, for eksempel handlevaner eller aktivitet på nettet. Når flere datakilder kobles sammen, kan også data som i seg selv ikke er personidentifiserende bli personopplysninger.
Særskilte kategorier av personopplysninger (tidligere sensitive personopplysninger) er opplysninger som bare kan samles inn ut fra særskilte behov, blant annet vitenskapelig forskning. Dette gjelder informasjon om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger, opplysninger om helse, seksuelle forhold eller seksuell legning, opplysninger om straffedommer eller lovovertredelser.
Klassifisering av data
Når du samler og behandler data, vil dataene ha ulik klassifisering avhengig av hva de omhandler. UiO har utarbeidet en generell klassifiseringsoversikt som identifiser fire kategorier: Grønn – åpen, Gul – begrenset, Rød – fortrolig, og Svart – strengt fortrolig. Denne klassifisering gjelder også for forskere og studenter ved ISV.
Det er du som masterstudent som er prosjektleder for ditt prosjekt. Det betyr at du er ansvarlig for dataene i prosjektet. I samråd med veileder skal du ha oversikt over dataene, vurdere at de er riktig klassifisert, og påse at du samler inn, behandler og lagrer data på forskriftsmessig måte. Sikt vil i sitt svarbrev også kunne si noe om klassifisering, men dette er en anbefaling og det er du som har det endelige ansvaret.
Datahåndteringsplan
En datahåndteringsplan (forkortet DMP: data management plan) er et dokument som beskriver hvordan forskningsdataene i et prosjekt skal håndteres: fra start til slutt, samt etter prosjektet er avsluttet. DMP er et dokument som skal følge forskningsprosjektet og tydeliggjøre hvilke data som vil bli generert, hvordan dataene skal beskrives, hvor dataene skal lagres, om de kan deles og hvordan. For deg som student er det viktig at planen forsøker å svare på følgende punkter:
- Hva slags data skal du samle inn
- Definer hvordan data skal analyseres og/eller kodes
- Forklar hvordan data skal gjengis i oppgaven
- Hva skal du gjøre for å sikre god kvalitet på dine data?
- Hvor og hvordan skal du lagre og arkivere dataene?
- Når, hvordan og hva skal gjøres tilgjengelig for offentligheten?
Du skal utforme en egen datahåndteringsplan for ditt prosjekt. Opplæring i og arbeid med Datahåndteringsplan vil være en del av undervisningsopplegget knyttet til masteroppgaven for ditt program. Rådfør deg med veileder i dette arbeidet.
Mal for datahåndteringsplan (word).
Melde prosjekt til Sikt (tidligere NSD)
Prosjekter som innebærer behandling av personopplysninger må meldes til Sikt, kunnskapssektorens tjenesteleverandør.
Meldeskjema for personopplysninger i forskning
Sjekkliste for utfylling av meldeskjema
Som formell prosjektansvarlig for masteroppgaven, skal veileder påse at meldeplikten overholdes der det er aktuelt. Praksis på ISV er at du drøfter dette med veileder før du melder prosjektet til Sikt.
Intern eller ekstern veileder?
Sikt ber om at du legger inn veileder som prosjektansvarlig. Prosjektansvarlig må være ansatt ved UiO. Mastestudenter i statsvitenskap, som har ekstern veileder, skal sette opp Jonathan Kuyper om prosjektansvarlig.
Personvernombud ved UiO
Sikt ber om at legger inn informasjon om personvernombud ved institusjonen. Du skal legge personvernombudet ved UiO. Hvem som er personvernombud ved UiO finner du her. Høsten 2023 er UiOs personvernombud Roger Markgraf-Bye personvernombud@uio.no
Meld fra til Sikt om avsluttet prosjekt
Dersom du har behandlet/innhentet personopplysninger som er meldepliktige til Sikt, er det viktig at du melder fra om at prosjektet er avsluttet når masteroppgaven er levert, og hva som skal skje med personopplysningene.
Lagring av data - Lagringstjenester, sletting og eventuelt arkivering
Når du samler og behandler data, er det viktig at dette skjer i trygge rammer og at du benytter tekniske løsninger som er sikre. Dette begrenser muligheten for at dataene kan komme på avveie, eller at uvedkommende får tilgang til dem.
Når du har klassifisert dataene i prosjektet ditt, kan du se hva du må gjøre for å behandle de trygt. Det er ulike løsninger utfra hvilken klassifisering dataene i ditt prosjekt har. Instituttet har utviklet en skreddersydd guide for våre studenter som veileder deg.
Lagringshotell for røde data
Send e-post til post@stv.uio.no dersom du har behov for tilgang til lagringshotell.
Lagre gule data på egen PC
Du har lov til å lagre gule data på egen datamaskin, men det er svært viktig at du setter deg inn i reglene for lagring av gule data på egen datamaskin før du samler inn og lagrer data.
Behandling, avidentifisering og anonymisering av data
Når du behandler data, skal du forsikre deg om at alle persondata er avidentifisert eller anonymisert før data blir tatt ut fra lagringsstedet i form av transkripsjoner, skriftlige datautdrag etc. Etter transkribering er det vanlig å slette rådata, men det finnes unntak (se det som står under «Prosjektavslutning»).
- Avidentifisering: personidentifiserende informasjon er fjernet, men indirekte personidentifiserende informasjon finnes, f.eks. i form av koblingsnøkler.
- Anonymisering: all personidentifiserende informasjon slettes (inklusive koblingsnøkler). NB: Det er da ikke lenger mulig for informanter å trekke seg fra undersøkelsen.
Prosjektavslutting – arkivering/sletting
Når prosjektet er ferdig skal data som hovedregel slettes eller anonymiseres.
Hvis data skal arkiveres for videre bruk må samtykke til dette være innhentet på forhånd. For mer informasjon om videre bruk, se Sikts dokumentasjonsguide for arkivering av forskningsdata.
Samtykkeskjema
Når du samler inn data, må du kunne dokumentere at du har gitt informasjon og innhentet samtykke fra de du registrerer opplysninger om, med mindre du benytter data på aggresjonsnivå (for eksempel registerdata). Sikt anbefaler skriftlig informasjon og skriftlig samtykke som en hovedregel.
Du må utarbeide et informasjonsskriv der du forespør om deltakelse og informerer om studien. Informasjonen du gir skal være kortfattet, lett forståelig og i en lett tilgjengelig form. Der er du som er kontaktpersonen men du skal også legge inn kontaktinformasjon til UiOs personvernombud som du finner under informasjon om meldeskjema.
Lydopptak - Nettskjema Diktafon og Zoom
Det er mulig å bruke Nettskjema-Diktafon til lydopptak. Det er også mulig å bruke ta opp lyd i Nettskjema.
Lydopptak vil alltid klassifiseres som røde data, da en persons stemme er personsensitiv og gjenkjennbar. Dette legger endel føringer for hvordan du kan gjøre lydopptak og behandle dem på en sikker måte.
Det er utviklet en sikker løsning som baserer seg på Nettskjema, og du har en egen opptaksapp på mobiltelefonen din. Vi anbefaler at du bruker denne løsningen for alle lydopptak i forbindelse med din masteroppgave.
Se veiledning for å sette opp og ta i bruk nettskjema diktafon
Vi anbefaler sterkt at du noterer på papir underveis når du gjennomfører et intervju. Slik er du sikret notater uavhengig av det tekniske.
Intervju og opptak ved bruk av Zoom
Instituttet har utarbeidet en veiledning for intervju og opptak ved bruk av Zoom. Veiledning for bruk av Zoom
Rutinen tar utgangspunkt i UiOs sentrale rutine for bruk av Zoom.
Andre forhold vedrørende GDPR
Kontaktpunkt for GDPR er post@stv.uio.no
Pernsvernkonsekvensutredning (DPIA) vil være aktuelt for svært sensitive prosjekter. Sikt gir beskjed om at dette skal utføres. Får du beskjed om at ditt prosjekt trenger DPIA, ta kontakt med post@stv.uio.no .
Kollektiv informasjonsplikt vil gjelde dersom ditt prosjekt ikke innhenter spesifikt samtykke fra deltakerne i studien. Sikt gir beskjed om at dette er nødvendig. Får du beskjed om at ditt prosjekt utløser kollektiv informasjonsplikt, ta kontakt med post@stv.uio.no
Dersom du har spørsmål du ikke finner svar på her, kan du ta kontakt med post@stv.uio.no .
GDPR og masteroppgaver – kurs for ISV studenter
Fra og med høsten 2021 vil studenter få opplæring i datahåndtering i masteroppgaver og GDPR i emnet STV4911 Master Thesis - Research Design and Project Management.
Videoer blir lagt ut i Canvas.
«Hvordan går jeg fram med GDPR?»
Dette er en kronologisk sjekkliste du kan bruke når du skal i gang med masteroppgaven.
- Masterskisse for oppgaven utformes og leveres
- Datahåndteringsplan utformes og leveres.
- Melde prosjektet til Sikt. Du kan bli bedt om å legge ved:
- Forslag til intervjuguide dersom du ønsker å benytte kvalitative intervjuer
- Forslag til infoskriv (informasjon om ditt prosjekt for potensielle informanter)
- Forslag til samtykkeskjema
- Ved datainnsamling, sørge for god informasjon og samtykke fra informanter, der det er relevant.
- Hvis relevant, gjennomføre intervjuer ved hjelp av sikker opptaksløsning gjennom Nettskjema-diktafon.
- Under hele prosjektet, lagre data på trygt sted.
- Under hele prosjektet, bruke din datahåndteringsplan og revidere denne hvis det er nødvendig
- Ved databehandling, avidentifisere data som hentes ut av ditt område på UiO lagringshotell, ta kontakt med post@stv.uio.no
- Ved prosjektslutt, slette, anonymisere og arkivere data i henhold til inngåtte avtaler
- Meld prosjektet som avsluttet til Sikt.
UiOs «Sjekkliste for behandling av personopplysninger i en bachelor- eller masteroppgave»(pdf) kan også komme til hjelp. Der kan du enkelt holde oversikt og krysse av de personvernpunktene som gjelder ved prosjektstart, under oppgaveskrivingen og når oppgaven er levert.
Tjenester for sensitive data (TSD)
Samle inn sensitive data i Nettskjema
Se rutine for hvordan du kan bruke nettskjema til å samle inn senstive data.