Droppe til innhold

I forskning

I forskning

Behandling av lydfiler i forskning

Lydopptak kan være svært personidentifiserende og dess mer sensitiv informasjon som behandles, dess høyere bør sikkerhetstiltakene være.

Innhold

Anonymisering av lyd

Anonymisering av lyd betyr at alle kjennetegn ved stemmen på opptaket fjernes. Det kan gjøres på følgende måte:

Originallyd overføres etter opptak fra lydopptaker til en lydbearbeidings pc som ikke er koblet til nett. Lydopptakene kjøres gjennom en stemmeskifter som avidentifiserer stemmene (OsloMet har per i dag ikke slik programvare). Deretter kan lyden tas ut via mobil disk e.l. og bearbeides videre på PC, uansett om den er koblet til nett eller ikke (PC til dette formålet må bestilles selv). Selv om stemmen er skiftet, kan innhold av det som sies fremdeles gjøre personen identifiserbar. Du må derfor være obs på hva som sies.

Skal materiale transkriberes, og pauser, tonefall med mer vil ha betydning for tolkning av materiale, bør du ikke bruke denne metoden.

NB:

I henhold til ny personvernlovgivning må du også ta hensyn til at den fremtidige tekniske utviklingen kan tilbakeidentifisere tidligere stemmeforvrenging. I praksis betyr det at du ikke bør ta lydopptak (heller ikke med stemmeskifter), dersom du skal gjennomføre et prosjekt som skal være helt anonymt fra innsamlingstidspunktet og personvernregelverket ikke skal gjelde.

Reduksjon av antall personidentifiserende faktorer i lydopptak

NSD anbefaler i flere prosjekter å instruere de intervjuede til ikke å gi opplysninger som vil øke sannsynligheten for gjenkjennelse. For eksempel opplysninger om geografi som stedsnavn og institusjon intervjuede er knyttet til skal ikke oppgis uten at det er nødvendig for datamaterialet.   

Opptaksutstyr og bruk av opptaksutstyr

Opptaksutstyr skal i utgangspunktet tilhøre OsloMet og ikke privatpersoner.

Bruk av mobil App "Diktafon"

OsloMet anbefaler som hovedregel at du benytter mobil App "Diktafon" som du kan laste ned og bruke som en diktafon til intervju/lyddata. Data krypteres på  mobiltelefon og sendes direkte til Nettskjema (NB! Mobil App "Diktafon" må ikke brukes ved overføring av sensitive personopplysninger kun til Nettskjema og/eller lastes ned på privat PC). Etter overføring blir opptak værende kryptert på telefonen i 90 dager. Appen Diktafon kan også benyttes til opptak av sensitive personopplysninger, men det forutsettes da at data blir levert til TSD.

NB! Bruk av mobil Appen til behandling av personopplysninger er problematisk per i dag  for studenter av følgende grunner:

  • Innsamling av sensitive personopplysninger må overføres til TSD og ikke lagres i Nettskjema.
  • Nedlasting av personopplysninger skal ikke gjøres på privat PC.

I tilfeller med svært viktige opptak, anbefales det ekstra telefon som samtidig tar opp med diktafonApp, eller unntaksvis fysisk diktafon (med eksternt minnekort). Vurdering og begrunnelse for unntak bør fremgå av risikovurderingen som skal foretas.

Bruk av opptaksutstyr

Ved behandling av fysisk opptaker må du være bevisst din adferd, f.eks. ikke legge den fra deg på steder hvor du ikke har kontroll på opptakeren, lås kontoret hvor den oppbevares, ikke lån opptaker ut til uvedkommende osv.

Enheter som har forbindelse med nett skal aldri brukes til opptak av lyd, for eksempel mobiltelefon og nettbrett. Vi anbefaler bruk av diktafon med eksternt minnekort, (eksempelvis Olympus DM-720 og Sony PX4700, ekstra minnekort på 4 GB er tilstrekkelig). 

Utlån av fysisk diktafon ved OsloMet

På biblioteket (P48 1. etasje) kan du få hjelp til ulike IT-utfordringer. Du kan også låne over 40 forskjellige typer AV-utstyr, blant annet fysiske diktafoner uten minnekort (dette må du kjøpe selv), se nettside IT-hjelp og AV-utlån.

Kryptering

Opptaker kan brukes til flere prosjekter samtidig hvis den brukes kun av en person. Men det anbefales at opptak overføres til kryptert enhet (minnepenn, ekstern harddisk), TSD eller at intervju transkriberes så snart som mulig, slik at opptak kan slettes fra diktafon.

Se nedlasting av krypteringsprogramvare.

Minnebrikker eller disken i lydopptaksutstyr kan til vanlig ikke krypteres.

Dersom en opptaker brukes av flere personer samtidig, skal den kun brukes til ett prosjekt av gangen. Opptakene skal overføres på kryptert enhet og slettes på diktafon så snart som mulig etter opptak. Dersom diktafon skal brukes i nye prosjekt skal nye minnekort benyttes. Gamle minnekort destrueres.

Opptaker skal oppbevares i låsbart skap når den ikke er i bruk, se nedenfor om lagring av lydfiler. Andre krypterte lagringsenheter skal også oppbevares i låsbare skap.

Redigering og overføring av lydfiler fra en lagringsenhet til en annen

Lydfiler med sensitive personopplysninger skal ikke redigeres eller lagres ukryptert på PC tilknyttet nett.

Lydfiler kan redigeres på stasjonære og bærbare PCer som ikke har nett-tilkobling, enten permanent eller midlertidig. Med midlertidig menes at trådløst nettilkobling er slått av eller nettkabel er tatt ut. Dersom lydfil er mellomlagret på PC, må du sørge for at den blir fullstendig slettet før nett kobles til.

Med permanent menes at det ikke er teknisk mulig å koble PCen til nett. Grad av sensitivitet i materialet avgjør om du bør velge permanent eller midlertidig frakobling fra nett. 

Du må forsikre deg om at uvedkommende ikke er i det rommet redigering foregår.

Sletting av lydfiler ved prosjektslutt

Data skal anonymiseres eller slettes etter prosjektslutt, og det innebærer at lydfiler skal slettes. Lydopptaker tas med til IT-servicedesk for å sikre fullstendig sletting.

Data overført til minnekort/minnepinne kan ikke slettes helt sikkert. Etter prosjektslutt skal de destrueres, dersom de ikke skal gjenbrukes av eksakt samme person/personer. Minnekort/minnepinner leveres itservicedesk@oslomet.no for destruering. Ved gjenbruk av eksakt samme person/personer, bruk programmet CCleaner for å fjerne dataene fra minnekortet/minnepinnen.

  • Se retningslinjer for informasjonssikkerhet om sletting og makulering.
  • Dersom langtidslagring av lydopptak er ønskelig med tanke på oppfølgingsstudier (forskningsformål), skal det søkes godkjenning av NSD og REK.
  • Dersom lydopptak skal brukes til andre formål etter prosjektslutt, som for eksempel i undervisning, må det vurderes om nytt formål er forenelig med opprinnelig formål, hva som skal være rettslig grunnlag osv., samt at behandlingen skal registreres i Ardoq, se nettide om personvernrutiner.

Lagring av lydfiler

Lydfiler bør lagres på krypterte minnepenner eller kryptert ekstern harddisk. Enhetene bør lagres i et avlåst arkiv eller et skap som er adgangsregulert. Står skapet i et rom som er alminnelig tilgjengelig, anbefales det å bruke en safe eller at skapet har to dører, slik at det er vanskelig å bryte opp. Dersom skapet oppbevares i et rom som ikke er alminnelig tilgjengelig, kan det være tilstrekkelig med et ordinært låsbart skap.

  • Se retningslinjer for informasjonssikkerhet om Lagre sende, dele og slette.
  • Skap må være brannsikret og ha brannvarsler og brannslokkingsapparat/sprinkelanlegg i samme rom, dersom råmaterialet er viktige for å sikre etterprøvbarheten.
  • Dersom lydopptak lagres på kontoret, skal kontoret låses når du forlater det, se også retningslinjer for informasjonssikkerhet om fysisk sikring av OsloMets lokaler.
  • Det bør foreligge en rutine for lagring av nøkler/nøkkelkort til dører og skap.
  • Du bør loggføre når, hvem og til hvilket formål hver gang du håndterer lydopptakene.
  • Alternativt kan lydfiler lagres på Tjeneste sensitive data (TSD 2.0). Ta kontakt med itservicedesk@oslomet.no for mer informasjon.

Arkivering og langtidslagring av lydfiler

Hvis det er ønskelig å bevare dataene for fremtiden, kan lydfiler lagres hos NSD, se NSD sine nettsider om arkivering. Her gis en beskrivelse av hvordan dataene klargjøres for arkivering med blant annet en oversikt over foretrukne filformat og relevant dokumentasjon som skal legges ved, hva som skal fylles ut og signeres og selve forsendelsen. 

Veileder spesielt for helse- og omsorgssektoren

Veileder video-, lyd og bildeopptak i helse- og omsorgssektoren (ehelse.no).

To eksempler på avklaringer ved håndtering av lydopptak

1. Henvendelse fra helsefag angående lagring av data fra diktafon

Tidligere vurderinger gjort av overingeniør Stig Muren

Avklaringer:

  • Ingen sensitiv informasjon.

  • Intervju som kartlegger behov for økt kompetanse.

  • Alle respondenter har underskrevet samtykkeerklæring.

  • Prosjekt etter initiativ fra ekstern samarbeidspartner og respondenter.

  • Prosjektdeltakere: Navn på de 3 deltagende institusjoner.

  • Skal ikke samhandle på data (kan ha de lagret hver for seg).

  • Varighet; 1 t 25 min.

Håndtering av data:

  • Lagre filene i kryptert folder (VeraCrypt) som lagres i Office 365 med klassifisering "Fortrolig".
  • Filer kan overføres ved å kopiere den krypterte filen over til minnepenn.
  • Ingen kan lese filene uten tilgang til passordet.

Oppfølging

Avtalt møte for overføring og kryptering med tidligere FoU IT med installasjon av program, opplæring bruker, opprette kryptert folder, overføre filer, slette fra diktafon. 

2. Spørsmål om lagring av lydfiler

Forsker har sendt melding til NSD: Lydopptak registreres på annet enhet. Data overføres til virksomhetens lagringsområde og transkriberes.

NSD skriver i tilrådning at data forutsettes håndtert i henhold til virksomhetens retningslinjer.

Avklaringer:

  • Det ingen opplysninger/data som er sensitive etter personopplysningsloven.

  • Intervju av personer som prater om aktiviteter og arbeidsoppgaver.

  • Intervju er personidentifiserbar på grunnlag av stemme, men innholdet oppfattes ikke som sensitivt verken etter personopplysningsloven eller «allmenn forståelse».

  • Bruker har benyttet privat opptaker: Olympus WS853 (Digital Voice Recorder), med eksternt minnekort.

  • Data er lagret på kryptert minnepinne. (Programmet BitLocker ble brukt for å kryptere hele minnepinnen)

Forsker ber om råd:

  • Hvordan data kan/bør behandles,

  • Eventuell tilgang hjemmefra.

Vurdering/anbefaling:

  • Ingen sensitive data eller andre personopplysninger av en slik grad at det medfører spesielle krav til sikring.

  • Bruker sikrer data bedre enn det som kreves (lest på nettsider, har gjort seg kjent med krypteringsprogram som BitLocker og 7zip)

  • Data kan legges i Office 365 med klassifisering "Fortrolig", men siden bruker er kjent med bruk av kryptert minnepinne, så anbefales det å fortsette med dette.

  • For backup, kan data lagres i Office 365 med klassifisering "Fortrolig". Siden bruker også var kjent med 7zip, vil en være på den trygge siden om det i tillegg er kryptert med 7zip.

 

Kontakt IT-servicedesk

Kontaktinformasjon

Telefon :
67235555
E-post :
Sted/Adresse :
Stensbergsgaten 29 (egen inngang bak), Kjeller (andre etasje) og P48 (første etasje)
Tidspunkt/Åpningstid :
Telefon: Hverdager 08:00-20:00
Besøkstid IT-servicedesk:
Skranke SG29: Man-tors 08:00 - 15:45 og fre 08:00-15:00. Skranke Kjeller: Hverdager 09:00- 14:30.

Glemt passord?

Url :
Glemt passord?

Driftsmeldinger

Url :
Driftsmeldinger

Brukerforum

Url :
IT-servicedesk i Teams
chatbot-portlet