Wikier

Datainnsamling

Detaljer Skriv ut

Denne guiden er en oversikt over NTNUs verktøy og prosedyrer for innsamling av forskningsdata som inneholder personopplysninger. Oversikten skal hjelpe deg som forsker eller student med å ta riktige valg for det du skal gjøre i ditt forsknings- eller studentprosjekt.

Datainnsamlingsguiden gir deg en oppdatert oversikt over hvilke digitale verktøy for innsamling som er vurdert av NTNU, til hvilke formål du kan bruke verktøyene, og informasjon om hvordan du kan ta i bruk verktøyene. I tillegg gir datainnsamlingsguiden og lagringsguiden deg utfyllende informasjon til bruk i arbeid med datahåndteringsplaner.

Innholdsfortegnelse [-]

  1. Informasjonssikkerhet og klassifisering
    1. Klassifisering av personopplysninger
  2. Hvordan samle inn personopplysninger digitalt
    1. Steg 1 – Vurdere informasjonssikkerhetsnivå og tillatelser
    2. Steg 2 – Valg av verktøy for innsamling av personopplysninger
      1. Intervju med opptak av lyd og/eller video
      2. Spørreskjemaverktøy
    3. Steg 3 – Beskytte og overføre data til lagringssted for videre bruk
    4. Steg 4 – Avslutning av behandling av personopplysninger
  3. Se også
  4. Kontakt

English version: Data collection

Informasjonssikkerhet og klassifisering

Ved NTNU er det innført retningslinjer for klassifisering av informasjon. All informasjon du behandler og deler har ulike behov for sikring og skjerming, ut fra hvor verdifull den er. For å identifisere verdinivå og hvilke sikkerhetstiltak som er nødvendige, må informasjonen klassifiseres. Du som samler inn og behandler data er ansvarlig for å gjøre deg kjent med og ta stilling til informasjonssikkerhetsnivået til dataene du behandler. Les mer om NTNUs retningslinjer her

Les mer om:

Klassifisering av personopplysninger

Som regel klassifiseres forskningsdata som interne (gule) eller fortrolige (røde), og dette gjelder også for forskningsdata som inneholder personopplysninger. Personopplysninger er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson. Eksempler på personopplysninger er navn, fødselsnummer, e-postadresse, IP-adresse, bilde, video, lydopptak og transkriberte intervjuer (gjelder også dersom intervjuene er avidentifiserte og/eller bare inneholder indirekte identifiserende informasjon).

Noen typer personopplysninger anses som særlige kategorier (også kalt sensitive). Disse krever særskilt beskyttelse, og vil som regel havne i fortrolig kategori. Særlige kategorier av personopplysninger omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Andre eksempler på fortrolige data er opplysninger om straffedommer og lovovertredelser, eller opplysninger om personer fra sårbare grupper eller i sårbare situasjoner.

Det finnes eksempler på at personopplysninger i forskning havner i klassen strengt fortrolig (svart). Strengt fortrolig benyttes bare dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Eksempel på slik informasjon kan være informasjon om personer som har behov for særlig beskyttelse (kode 7).

Hvordan samle inn personopplysninger digitalt

Vi anbefaler at du følger stegene nedenfor for å sikre at du samler inn data på en god og trygg måte.

Steg 1 – Vurdere informasjonssikkerhetsnivå og tillatelser

Når du samler inn og behandle personopplysninger er det mange ting du må ha klart før innsamlingen kan starte. Alle kulepunktene må være sjekket ut før innsamling!

Gjenbruk: Trenger jeg egentlig nye data, eller kan jeg gjenbruke noe som noen andre har samlet inn? Les mer om å søke etter data.

  • Dataminimering: Hvor mye data trenger jeg egentlig for å gjennomføre prosjektet? Husk på prinsippet om dataminimering. Les mer
  • Klassifisering: Du må ha kontroll på om data du skal samle inn er åpne, interne eller fortrolige data.
    NB! Om du tror at du behandler strengt fortrolige data bør dette ikke gjøres digitalt uten særskilt vurdering. Ta kontakt med Digital sikkerhet for nærmere veiledning.
  • Melding: Må prosjektet meldes til Sikt? Mest sannsynlig: Ja. Les mer og meld prosjektet her.
  • Endringsmelding: Prosjekter som er allerede meldt til Sikt, men som skal endre datainnsamlingsmetode må meldes fra til Sikt. Bruk meldingsdialogen i det eksisterende prosjektet på Sikt sine nettsider.

Steg 2 – Valg av verktøy for innsamling av personopplysninger

Studenter og ansatte har tilgang på forskjellige verktøy, og du bør følge anbefalingene nedenfor for å vurdere hvilket verktøy du skal bruke og metode for å samle inn informasjon. I utgangspunktet skal ikke privat utstyr brukes for å samle inn og lagre personopplysninger. Det finnes konkrete unntak, slik som installasjon av Nettskjema-Diktafon-appen på din private mobil, eller bruk av ekstern diktafon med rutiner for overføring og sletting.

NTNU anbefaler at du ikke benytter andre verktøy enn de du finner i tabellene under. Verktøy som Facetime, Google hang-outs, Skype (privat), Messenger, Snapchat eller lignende skal ikke benyttes til datainnsamling i regi av NTNU. NTNU har ikke databehandleravtale med Google, og forskere og studenter ved NTNU kan derfor ikke bruke programvare og verktøy fra Google til innsamling av personopplysninger.

Se også merknader under tabellene for utfyllende informasjon.

Intervju med opptak av lyd og/eller video

Informasjonsklassifisering:ÅpenInternFortroligStrengt fortrolig
ZoomOK (1)OK (1)NEI NEI
Teams OK (1)OK (1)NEINEI
Nettskjema-Diktafon-app (X)OK OK OK (2) OK (2)
Ekstern lydopptaker/diktafonOK OK (3) OK (3)NEI (4)

(X) UiO har tidligere rapportert om teknisk ustabilitet ved lagring av opptak. Vi anbefaler derfor at du tester først, og sjekker i etterkant av hvert opptak at det blir lagret.

(1) Du kan bruke innebygd opptaksfunksjon, men pass på at opptaket lagres og behandles på trygt og egnet sted, se også Lagringsguiden.

(2) Diktafon-appen må settes opp med innsamling og lagring direkte i TSD (Tjenester for Sensitive Data).

(3) Forutsetter gode rutiner for overføring av opptak til egnet lagringsområde og sletting fra diktafonen.

(4) Helhetlig informasjonssikkerhetsklassifisering ikke gjennomført, ta kontakt med Digital sikkerhet.

Spørreskjemaverktøy

For innsamling av data med digitale spørreskjema i forskning og studentprosjekt anbefales Nettskjema. Dersom det skal samles inn fortrolige (røde) data, må skjemaet settes opp med lagring i TSD. På nettsidene til UiO finnes brukerveiledninger for Nettskjema, og Research Data @NTNU tilbyr også råd, veiledning og hjelp.

Utfyllende informasjon

  • Lydopptak av fortrolig informasjon (røde data): Du kan gjennomføre et intervju over telefon, Teams, Zoom eller Skype og ta opptak av samtalen med ekstern opptaker/diktafon. Filen må deretter overføres til et sikkert lagringsområde for videre behandling. Alternativt kan du bruke Nettskjema-Diktafon-appen med lagring direkte i TSD.
  • Videopptak av fortrolig informasjon (røde data): I øyeblikket har NTNU ingen digitale verktøy som tilfredsstiller informasjonssikkerhetskravene for å samle inn videoopptak digitalt. Digital sikkerhet vurderer nå hvilke verktøy og prosedyrer som kan benyttes og dette blir offentliggjort når klart.

Steg 3 – Beskytte og overføre data til lagringssted for videre bruk

Etter at du har samlet inn dataene dine må du passe på at du lagrer og beskytter dataene dine. Du kan bruke lagringsguiden til å finne riktig lagringsområde for dine data. Husk på:

  • Kan du samle inn data rett til det lagringsområdet du skal benytte? Om data må overføres fra et lagringssted til et annet må dette gjøres på en trygg og sikker måte, se mer informasjon på Sikker sending og mottak av filer og dokumenter. Fortrolig data bør krypteres før overføring. Les mer om kryptering.
  • Slett kopier av innsamlet data som ligger på usikrede områder og enheter etter at filene er overført. Slik går du fram for å slette informasjon fra eksterne enheter som minnekort og minnepinner:
    • Windows: Koble til eksternt lagringsmedium i PCen, finn mediet, høyreklikk og velg Formater. velg NTFS filsystem, pass på at «Quick format» ikke er haket av og klikk Start. NB: Det er viktig å bruke full formatering for å hindre at informasjonen lar seg gjenopprette.
    • MacOS: Koble til eksternt lagringsmedium. Åpne Disk Utility, velg enhet under External, klikk Erase og velg ønsket format fra menyen. (Bruk MS-DOS (FAT) for 32GB og mindre, og ExFat for kort over 32GB med mindre du har en god grunn til å velge andre formater.) Klikk Security Options og flytt bryteren helt til høyre før du klikker Erase.
  • Om du benytter NTNUs lagringstjenester har disse som regel automatisk backup, og du trenger ikke selv å lage egne kopier. Lagringsguiden blir oppdatert med informasjon om backuptjenester.

Steg 4 – Avslutning av behandling av personopplysninger

Når du er ferdig med databehandling skal personopplysninger som regel slettes. Det kan være aktuelt å anonymisere og arkivere eller publisere data, og for dette er det egne rutiner og retningslinjer. Les mer om hvordan dette kan gjøres her.

Se også

Kontakt

Kontakt research-data@ntnu.no hvis du har spørsmål om datainnsamlingsguiden eller innspill til hvordan vi kan gjøre denne siden bedre.

English version: Data collection guide

19384 Visninger
IT-info: brukerstøtte Målgruppe: Medarbeidere Studenter Tema: Forskning Utstyr IT-hjelp
Tagger
personopplysninger informasjonssikkerhet forskningsdata datainnsamling informasjonsklassifisering