Lagring av forskningsdata
I forskningsprosjekter hvor personopplysninger samles inn og/eller behandles, anbefales det å lage en datahåndteringsplan som viser hvor data lagres fra innsamling til endelig sletting/anonymisering, eventuelt arkivering av data.
Forskere oppfordres til å bruke enheter med ekstern lagring for lyd og bilde. Da slipper du å destruere opptaksenheten ved slutten av prosjektet, som retningslinjene tilsier, hvis den har vært benyttet til innsamling av svært sensitive data. Husk at stemme på lydopptak alltid anses som identifiserbart.
-
Klassifisering av data
For å velge riktig verktøy for lagring av forskningsdata må du klassifisere data i kategoriene grønn, gul, rød, eller svart. Les mer om hva som er sensitive personopplysninger.
-
Lagringssteder av data
Lagring
Ulike lagringssteder og tiltak for å sikre lagringssted, se OsloMet sin lagringsguide.
Bruk av Zoom
Ønsker du å bruke Zoom i forskningsintervju, se rutine for bruk av Zoom i forskningsintervjuer.
Bruk av skytjenester
Dersom du vurderer å bruke skytjenester ved innsamling, analyse og lagring av personopplysninger i forskning, se NORMEN sin veileder i bruk av skytjenester til behandling av helse- og personopplysninger (ehelse.no).
Bruk av epost
Du skal påse at ukryptert e-post ikke brukes ved overføring av direkte identifiserbare og avidentifiserte/pseudonymiserte forskningsdata.
Sende kryptert ekstern harddisk rekommandert
Ved deling av svært røde data bør du vurdere om det er nødvendig å sende forskningsdataene. Et alternativ kan være at du krypterer fil, lagrer på en kryptert ekstern harddisk og sender med rekommandert post.
-
Forskningsfaser og lagringssteder
Hver oppmerksom på at det må være sikkerhet i alle ledd, både ved innsamling, analysebehandling og lagring.
Innsamlingsfase - lagringssteder
- Videoopptaker
- Lydopptaker
- Nettskjema
- Spørreskjema på papir
- Intervjunotater på papir
- Office 365
- Mobile disker
- Minnepinner
- TSD 2.0
Analysefase - lagringssteder
Langtidslagring - lagringssteder
- NSD
- Norstore (må ha egen avtale)
- TSD 2.0
- Minnepinner
- Mobile disker
-
Mime forskningsserver
Mime er en forskningsserver for tunge beregningsoppgaver og er ikke koblet til internett. Den skal ikke brukes på direkte identifiserbare helsedata, større mengder personidentifiserende data eller sammenstillinger som øker identifiserbarhet betydelig. Se fremgangsmåte for bruk på Mime forskningsserver.
-
Opplæring, god adferd og tilgangsstyring
Du skal sørge for at registrering, endring og sletting av forskningsdata blir gjort på en slik måte at forskningsfilens kvalitet og integritet (riktighet) blir sikret ved å sørge for å rette feil og mangelfulle personopplysninger.
Opplæring og god atferd
God atferd forutsetter opplæring av forsknings-/prosjektgruppen slik at de er seg bevisst
-
de tekniske prosessene som er nødvendige ved sikker innsamling, analyse og lagring av forskningsdata,
-
hvordan forholdene er rundt der de jobber med forskningsdataene (hindre innsyn ved ikke å jobbe på offentlig sted med sensitive data, alltid låse skjerm når man forlater rommet m.m.) og
-
de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd.
Tilgangsstyring
Tilgangsstyring betyr at du skal avgjøre hvilken type tilgang de ulike prosjektmedarbeiderne skal ha til ulike typer data i prosjektet, og for hvilket tidsrom denne tilgangen skal gjelde. Det skal utarbeides rutiner for tilgangsstyring, samt hvor dataene oppbevares.
Er det flere som skal ha tilgang til rådataene (har tilgang til koblingsnøkkel), skjerpes kravene til forsvarlig behandling og oppbevaring. Det har også betydning om prosjektmedarbeiderne hører til på OsloMet eller andre steder.
Eksempel på tilganger
Nn: tilgang til avidentifiserte/pseudonymiserte data i en begrenset periode av prosjektet.
Personopplysningene er anonymiserte, dersom personidentifiserende faktorer er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkelt person (personopplysningsregelverket gjelder ikke).
Nn: tilgang til rådata for hele prosjektperioden.
Eksempel på tilgangsstyring
Forskningsassistent tilsatt 13. november 2014 til 14. april og jobber med å transkribere lydopptak. Kryptert minnepenn med lydopptak oppbevares i skap A; transkribert materiale oppbevares i skap C. Prosjektleder og forskningsassistent har tilgang til nøkkel til skap. Prosjektleder og forskningsassistent har kjennskap til krypteringsnøkkel. Prosjektleder endrer krypteringsnøkkel på minnepenn etter at forskningsassistent har fullført arbeidet.
Prosjektmedarbeiderne skal kjenne til OsloMets informasjonssikkerhetssystem, samt at de skal ha opplæring i rutiner for hvor og hvordan forskningsdata kan lagres elektronisk eller lagres fysisk i det enkelte prosjekt.
-
-
Nyttige lenker