Hovedregelen er at studenter ikke skal behandle personopplysninger i studentoppgaver. Det finnes ett unntak for mastergradsstudenter som er involvert i et forskningsprosjekt. 

Hva betyr å «behandle personopplysninger»?

Personopplysninger er data som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer, e-postadresse, telefonnummer, IP-adresse, bilde, stemmeopptak eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.

Særskilte kategorier av personopplysninger er opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetikk, biometri (når behandlingsformålet er å entydig identifisere noen), helse, seksuelle forhold og seksuell legning.

Behandling betyr å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger. All behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig.

Studenter skal ikke behandle personopplysninger, inkludert særskilte kategorier av personopplysninger.

Hvilke typer data kan studentene behandle?

Studenten kan behandle anonyme data hvis dette er nødvendig for å gjennomføre studentoppgaven. Studentoppgaver der studenten kun behandler anonyme data, skal ikke meldes inn til SIKT.

Husk at selv om du behandler anonyme data må du informere, hvis dette er mulig, prosjektdeltakere og anonyme informanter om innhold og formål til prosjektet ditt. Dette kan gjøres via f.eks. en nettside eller informasjonsskriv .  

Når er data anonyme?

Data er anonyme når de ikke på noe vis kan brukes til å identifisere enkeltpersoner, hverken:

  1. direkte gjennom navn eller personnummer
  2. indirekte gjennom bakgrunnsvariabler
  3. eller gjennom navneliste/ koblingsnøkkel eller krypteringsformel og kode

Et datamateriale er altså ikke anonymt dersom det bare er det som publiseres i den ferdige rapporten, artikkelen, masteroppgaven eller lignende som er anonymisert. Rådata må også være anonyme.

Hvordan sikrer jeg at jeg ikke behandler personopplysninger?

Dette betyr at studenten må passe på dette under databehandling:

    1. Påse at det ikke registreres noen navn eller personidentifiserende bakgrunnsopplysninger i datamaterialet.
    2. Ikke ta lydopptak ved intervju. Studenten kan registrere data kun i form av notater. Stemmen er en personopplysning.
    3. Kunne gjennomføre intervju på telefon eller zoom uten å ta opp samtalen, eller notere personopplysninger.
    4. Det er mulig å bruke nettskjema med anonyme innstillinger. NB! Alle ansatte og studenter ved Høyskolen Kristiania kan bruke Nettskjema som tilbyr en anonym løsning.
    5. Studenten kan vurdere å bruke anonyme data tilgjengelig ved eksisterende databaser (som f.eks. SSB, SIKT, etc.)

Studenten skal aldri samle inn identifiserbar helseinformasjon eller andre særskilte kategorier av personopplysninger.  Dette gjelder også dersom materiale og opplysninger senere skal anonymiseres.

Hvilke prinsipper er relevante for behandling av data i studentoppgaver?

Studenten skal – under veiledning av sin veileder – følge FAIR-prinsippene som tilsier at forskningsdata skal være bla. gjenfinnbare, tilgjengelige og mulig å gjenbruke.

Studenten skal bare innhente opplysninger som er relevante og nødvendige for studentoppgaven (prinsipp om dataminimering). Tenk derfor nøye gjennom om det er nødvendig å innhente personopplysninger for å utføre prosjektets undersøkelser. Kan anonyme data, dvs. opplysninger som verken direkte eller indirekte kan spores tilbake til individer, tjene prosjektets formål like godt?

Kristiania anbefaler at prosjektledere samordner innhentingen og legger til rette for gjenbruk av data (Open Science).

Når kan en mastergradsstudent unntaksvis behandle personopplysninger?

 En mastergradsstudent kan behandle personopplysninger bare når masteroppgaven er et delprosjekt i et større forskningsprosjekt.

Dette unntaket forutsetter følgende:

  1. Prosjektlederen for det større forskningsprosjektet skal også være veilederen i masteroppgaven.
  2. Veilederen må godkjenne unntaket. Godkjenningen må bli dokumentert.
  3. Studenten skal bare behandle personopplysninger som er adekvate og relevante for masteroppgavens formål (prinsippet om dataminimering).
  4. Studenten skal aldri behandle særskilte kategorier av personopplysninger. Dermed skal det ikke være nødvending å gjennomføre en vurdering av personvernkonsekvensvurdering (DPIA), eller melde prosjektet til REK.
  5. Studenten skal – under veiledning av sin veileder – utarbeide en datahåndteringsplan og foreta en risikovurdering av prosjektets informasjonssikkerhet.
  6. Studenten skal – under veiledning av sin veileder – vurdere og evt. utarbeide en samtykkeerklæring og et informasjonsskriv til sin masteroppgave. Samtykkeerklæring må dokumenteres (f.eks. via nettskjema eller på papir. Se mer informasjon om dette her)
  7. Studenten har taushetsplikt om personopplysninger som behandles i en masteroppgave. Se de nasjonale forskningsetiske komiteenes generelle forskningsetiske retningslinjer 5 og UH-lovens § 12-7 Studentens taushetsplikt.
    Unntaket fra denne taushetsplikten gjelder hvis man kommer over forhold hvor man har en rettslig plikt til å avverge alvorlige straffbare handlinger.
  8. Studenten skal – under veiledning av sin veileder – vurdere om personopplysningene skal anonymiseres eller slettes hvis det ikke er krav om oppbevaring utover prosjektperioden.
  9. Veilederen skal være «ansvarlig» for innmeldingen av prosjektet til SIKT.

Dette innebærer at:

  • Studenten skal - under veiledning av sin veileder – utarbeide en melding til Kunnskapssektoren tjenesteleverandør (SIKT) senest 30 dager før behandlingen skal starte. Veilederen godkjenner meldingen til SIKT og registreres som «ansvarlig».
  • Veilederen er ansvarlig for at meldingen blir sendt inn riktig.
  • Veilederen er ansvarlig for oppfølging av saksbehandling med SIKT.
  • Når masteroppgaven er ferdig, skal veilederen være ansvarlig for å sende sluttmelding til SIKT.

Mer informasjon om personvern i forskningsprosjekter er tilgjengelig her. 

Hva gjelder for praktiske studentoppgaver som har en journalistisk eller kunstneriske komponent? 

I tilfeller der studentoppgaver handler om å utarbeide et journalistisk eller kunstnerisk verk, regnes disse ikke som forskningsprosjekter og er dermed ikke meldepliktige til SIKT.

Personopplysningsloven §3 gir unntak når det gjelder behandling av personopplysninger som skjer for bla. journalistiske, kunstneriske eller litterære formål. Det er likevel obligatorisk å ta noen forbehold. Ta kontakt med veilederen din om hvorvidt dette gjelder deg.