Behandling av lydfiler i forskning

Bruk av mobil-app "Diktafon", levert av UiO

OsloMet anbefaler at du bruker Nettskjema-diktafon (uio.no) (diktafon-app) for lydopptak.

Fullstendig informasjon og veiledning for å ta i bruk denne appen for lydopptak finnes på OsloMet sine sider "Kom igang med lydopptak" (student.oslomet.no). Veiledningen gjelder både for deg som er forsker og student ved OsloMet.

• For bachelor- og master oppgaver er Diktafon-appen godkjent for levering av mindre mengder røde data kun til Nettskjema.
• For større prosjekter som gjør innsamling av sensitive (røde) data, forutsettes det levering til levering til TSD.
• Nedlasting av personopplysninger skal ikke gjøres på privat PC.

Ønsker man å benytte en fysisk diktafon for lydopptak, les mer under.

Hva må du passe på?

Ved behandling av fysisk opptaker må du være bevisst din adferd:

• ikke legge den fra deg på steder hvor du ikke har kontroll på opptakeren,
• lås kontoret hvor den oppbevares,
• ikke lån opptaker ut til uvedkommende osv.

Kan jeg bruke min mobiltelefon til lydopptak?

Mobiltelefon og nettbrett skal aldri brukes til opptak av lyd eller bilde, selv om de er OsloMet-eid.

Vi anbefaler bruk av diktafon med eksternt minnekort, (eksempelvis Olympus DM-720 og Sony PX4700, ekstra minnekort på 4 GB er tilstrekkelig). 

Utlån av fysisk diktafon ved OsloMet

På biblioteket (P48 1. etasje) kan du få hjelp til ulike IT-utfordringer. Du kan også låne over 40 forskjellige typer AV-utstyr, blant annet fysiske diktafoner uten minnekort (dette må du kjøpe selv), se nettside IT-hjelp og AV-utlån (oslomet.no).

NSD anbefaler i flere prosjekter å instruere de intervjuede til ikke å gi opplysninger som vil øke sannsynligheten for gjenkjennelse. For eksempel opplysninger om geografi som stedsnavn og institusjon intervjuede er knyttet til skal ikke oppgis uten at det er nødvendig for datamaterialet.

Opptaker kan brukes til flere prosjekter samtidig hvis den brukes kun av en person. Men det anbefales at opptak overføres til kryptert enhet (minnepenn, ekstern harddisk), TSD eller at intervju transkriberes så snart som mulig, slik at opptak kan slettes fra diktafon.

Se kryptering av epost, filer og dokumenter.

Minnebrikker eller disken i lydopptaksutstyr kan til vanlig ikke krypteres.

Dersom en opptaker brukes av flere personer samtidig, skal den kun brukes til ett prosjekt av gangen. Opptakene skal overføres på kryptert enhet og slettes på diktafon så snart som mulig etter opptak. Dersom diktafon skal brukes i nye prosjekt skal nye minnekort benyttes. Gamle minnekort destrueres.

Opptaker skal oppbevares i låsbart skap når den ikke er i bruk, se nedenfor om lagring av lydfiler. Andre krypterte lagringsenheter skal også oppbevares i låsbare skap.

Lydfiler med sensitive personopplysninger skal ikke redigeres eller lagres ukryptert på PC tilknyttet nett.

Lydfiler kan redigeres på stasjonære og bærbare PCer som ikke har nett-tilkobling, enten permanent eller midlertidig. Med midlertidig menes at trådløst nettilkobling er slått av eller nettkabel er tatt ut. Dersom lydfil er mellomlagret på PC, må du sørge for at den blir fullstendig slettet før nett kobles til.

Med permanent menes at det ikke er teknisk mulig å koble PCen til nett. Grad av sensitivitet i materialet avgjør om du bør velge permanent eller midlertidig frakobling fra nett. 

Du må forsikre deg om at uvedkommende ikke er i det rommet redigering foregår.

Data skal anonymiseres eller slettes etter prosjektslutt, og det innebærer at lydfiler skal slettes.

Bruker du en fysisk Lydopptaker må den tas med til IT-servicedesk for å sikre fullstendig sletting.

Data overført til minnekort/minnepinne kan ikke slettes helt sikkert. Etter prosjektslutt skal de destrueres, dersom de ikke skal gjenbrukes av eksakt samme person/personer. Minnekort/minnepinner leveres itservicedesk@oslomet.no for destruering. Ved gjenbruk av eksakt samme person/personer, bruk programmet CCleaner, som er installert på alle OsloMet-datamaskiner, for å fjerne dataene fra minnekortet/minnepinnen.

• Se retningslinjer for informasjonssikkerhet om sletting og makulering.
• Dersom langtidslagring av lydopptak er ønskelig med tanke på oppfølgingsstudier (forskningsformål), skal det søkes godkjenning av NSD og REK.
• Dersom lydopptak skal brukes til andre formål etter prosjektslutt, som for eksempel i undervisning, må det vurderes om nytt formål er forenelig med opprinnelig formål, hva som skal være rettslig grunnlag osv., samt at behandlingen skal registreres i Ardoq, se OsloMets nettside om personvern.

Lydfiler bør lagres på krypterte minnepenner eller kryptert ekstern harddisk. Enhetene bør lagres i et avlåst arkiv eller et skap som er adgangsregulert. Står skapet i et rom som er alminnelig tilgjengelig, anbefales det å bruke en safe eller at skapet har to dører, slik at det er vanskelig å bryte opp. Dersom skapet oppbevares i et rom som ikke er alminnelig tilgjengelig, kan det være tilstrekkelig med et ordinært låsbart skap.

• Se retningslinjer for informasjonssikkerhet om å lagre sende, dele og slette.
• Skap må være brannsikret og ha brannvarsler og brannslokkingsapparat/sprinkelanlegg i samme rom, dersom råmaterialet er viktige for å sikre etterprøvbarheten.
• Dersom lydopptak lagres på kontoret, skal kontoret låses når du forlater det, se også retningslinjer for informasjonssikkerhet om fysisk sikring av OsloMets lokaler.
• Det bør foreligge en rutine for lagring av nøkler/nøkkelkort til dører og skap.
• Du bør loggføre når, hvem og til hvilket formål hver gang du håndterer lydopptakene.
• Alternativt kan lydfiler lagres på Tjeneste sensitive data (TSD 2.0) (uio.no). Ta kontakt med itservicedesk@oslomet.no for mer informasjon.

Hvis det er ønskelig å bevare dataene for fremtiden, kan lydfiler lagres hos NSD (nsd.no). Her gis en beskrivelse av hvordan dataene klargjøres for arkivering med blant annet en oversikt over foretrukne filformat og relevant dokumentasjon som skal legges ved, hva som skal fylles ut og signeres og selve forsendelsen. 

Veileder video-, lyd og bildeopptak i helse- og omsorgssektoren (ehelse.no).

Anonymisering av lyd betyr at alle kjennetegn ved stemmen på opptaket fjernes. Det kan gjøres på følgende måte:

Originallyd overføres etter opptak fra lydopptaker til en lydbearbeidings pc som ikke er koblet til nett. Lydopptakene kjøres gjennom en stemmeskifter som avidentifiserer stemmene (OsloMet har per i dag ikke slik programvare). Deretter kan lyden tas ut via mobil disk e.l. og bearbeides videre på PC, uansett om den er koblet til nett eller ikke (PC til dette formålet må bestilles selv). Selv om stemmen er skiftet, kan innhold av det som sies fremdeles gjøre personen identifiserbar. Du må derfor være obs på hva som sies.

Skal materiale transkriberes, og pauser, tonefall med mer vil ha betydning for tolkning av materiale, bør du ikke bruke denne metoden.

NB: I henhold til ny personvernlovgivning må du også ta hensyn til at den fremtidige tekniske utviklingen kan tilbakeidentifisere tidligere stemmeforvrenging. I praksis betyr det at du ikke bør ta lydopptak (heller ikke med stemmeskifter), dersom du skal gjennomføre et prosjekt som skal være helt anonymt fra innsamlingstidspunktet og personvernregelverket ikke skal gjelde.

1. Henvendelse fra helsefag angående lagring av data fra diktafon

Tidligere vurderinger gjort av overingeniør Stig Muren.

Avklaringer

• Ingen sensitiv informasjon.

• Intervju som kartlegger behov for økt kompetanse.

• Alle respondenter har underskrevet samtykkeerklæring.

• Prosjekt etter initiativ fra ekstern samarbeidspartner og respondenter.

• Prosjektdeltakere: Navn på de 3 deltagende institusjoner.

• Skal ikke samhandle på data (kan ha de lagret hver for seg).

• Varighet; 1 t 25 min.

Håndtering av data

• Lagre filene i kryptert folder (VeraCrypt) som lagres i Office 365 med klassifisering "Fortrolig".
• Filer kan overføres ved å kopiere den krypterte filen over til minnepenn.
• Ingen kan lese filene uten tilgang til passordet.

Oppfølging

Avtalt møte for overføring og kryptering med tidligere FoU IT med installasjon av program, opplæring bruker, opprette kryptert folder, overføre filer, slette fra diktafon. 

2. Spørsmål om lagring av lydfiler

Forsker har sendt melding til NSD: Lydopptak registreres på annet enhet. Data overføres til virksomhetens lagringsområde og transkriberes.

NSD skriver i tilrådning at data forutsettes håndtert i henhold til virksomhetens retningslinjer.

Avklaringer

• Det ingen opplysninger/data som er sensitive etter personopplysningsloven.

• Intervju av personer som prater om aktiviteter og arbeidsoppgaver.

• Intervju er personidentifiserbar på grunnlag av stemme, men innholdet oppfattes ikke som sensitivt verken etter personopplysningsloven eller «allmenn forståelse».

• Bruker har benyttet privat opptaker: Olympus WS853 (Digital Voice Recorder), med eksternt minnekort.

• Data er lagret på kryptert minnepinne. (Programmet BitLocker ble brukt for å kryptere hele minnepinnen)

Forsker ber om råd

• Hvordan data kan/bør behandles,

• Eventuell tilgang hjemmefra.

Vurdering/anbefaling

• Ingen sensitive data eller andre personopplysninger av en slik grad at det medfører spesielle krav til sikring.

• Bruker sikrer data bedre enn det som kreves (lest på nettsider, har gjort seg kjent med krypteringsprogram som BitLocker og 7zip)

• Data kan legges i Office 365 med klassifisering "Fortrolig", men siden bruker er kjent med bruk av kryptert minnepinne, så anbefales det å fortsette med dette.

• For backup, kan data lagres i Office 365 med klassifisering "Fortrolig". Siden bruker også var kjent med 7zip, vil en være på den trygge siden om det i tillegg er kryptert med 7zip.