​ [[ Content #3508: You do not have permission to view this Content ]] ​All digital behandling av personopplysninger i forskning, og for andre data som krever beskyttelse, skal som utgangspunkt foregå i HINNs IT-infrastruktur for forskning og/eller andre generiske systemer som høgskolen har med tilfredsstillende sikkerhetsnivå (f.eks. arkivsystemet).  

Her kan du lese om gjeldende prinsipper  for HINN, om informasjonssikkerhet og det selvstendige ansvaret du har, samt om avvikshåndtering . 

(1) Dersom ekstern databehandler foretrekkes, må aktuelle enhet/forsker/student selv dekke alle kostnader. Videre må man sørge for at databehandleravtale er utarbeidet og signert av IT-direktør samt at kjøp av slik tjeneste er i tråd med anskaffelsesforskriften

(2) Prosjektleder er ansvarlig for de data som prosjektet samler inn og bruker, og skal ha tilgang til alle forskningsdata som prosjektet omfatter. Prosjektleder tildeler tilgangsrettigheter og holder oversikt over hvem som har tilgang til dataene. Prosjektleder er også ansvarlig for håndteringen av aktive forskningsdata og for sletting og/eller lagring av data på en betryggende måte når prosjektet avsluttes.

(3) Veileder er formelt prosjektleder i studentprosjekter, mens studenten er den som gjennomfører oppgavene som avtales sammen med veileder. 

(4) Aktive forskningsdata eies av HINN som behandlingsansvarlig. Dette gjelder ikke for studenter.  Ansatte som slutter eller faller fra av ulike grunner må overdra sine aktive data til, som hovedregel, forskergruppen vedkommende er en del av. Endringsmelding til NSD eller REK må i tillegg vurderes. 

(5) Uansett hva slags forskningsdata du har, enten det er personopplysninger, konfidensielt eller ikke, må du passe på at tilgang og oppbevaring er sikkert både elektronisk og fysisk. Tiltakene må stå i forhold til grad av personvern, kommersielle interesser og intellektuelle rettigheter. Sikkerhet innebærer også at man er spesielt oppmerksom når data skal slettes i prosjektmappene eller i eksterne enheter som opptaksutstyr og måleinstrument.

Informasjonssikkerhet 

Prøv  å ha klart for deg alle tiltak som må til for å redusere risiko for uhell, ikke-planlagt modifisering av data eller ondsinnet ødeleggelse. Husk da på at sikkerhet dreier seg like mye om at du selv kan ‘rote det til’, som at uvedkommende får tak i dataene dine.

Informasjonssikkerhet defineres som evnen til å forebygge, oppdage og håndtere tre typer hendelser:

  • Brudd på konfidensialitet: uvedkommende får innsyn  i beskyttelsesverdig informasjon.
  • Brudd på integriteten: informasjon og/eller systemer endres, skades eller slettes på uautoriserte eller utilsiktete måter
  • Brudd på tilgjengeligheten:  informasjon og/eller systemer går tapt eller er utilgjengelige når behovet er der.

God IT-sikkerhet innebærer at

  • Informasjon ikke skal komme på avveie eller bli ødelagt
  • Informasjon er tilgjengelig og korrekt
  • Tilgang til og endringer av informasjon er sporbare
  • Lov- og regelverk samt avtaler med forretningspartnere er oppfylt

Sikkerhet må planlegges på tre nivåer:

Fysisk datasikkerhet
  • Sikkerhet for både elektroniske og fysiske ressurser  -  det skal ikke være mulig å gå inn på kontoret ditt å enten stjele, tjuvlese, ta bilde av eller kopiere filene dine.
  • Er utstyrsrom og laboratorier låst når ingen er tilstede? Er man enige om hvem som har nøkkel(kort)?
  • Er du alltid trygg på at du ikke mister eller får frastjålet bærbar pc, nettbrett eller mobiltelefon?
Nettverkssikkerhet 
  • Ikke samle inn og lagre sensitiv eller konfidensiell data på andre måter enn beskrevet under menyvalg "Valg av IT-systemer .. " 
  • Om det samles inn data via andre elektroniske hjelpemidler, må internett være skrudd av inntil data er lastet over til HINNs server og slettet i enheten den er eksportert fra.
  • Kommersielle skytjenester som f.eks. Droopbox, Google Drive e.l. skal ikke benyttes. 
Sikkerhet for datamaskinen og bærbare enheter 
  • Ha sterke passord for innlogging.
  • Har klart for deg hvordan data overføres fra elektronisk utstyr, for eksempel lydopptak, til pc.
  • Ha klart for deg hvordan data skal slettes i prosjektmappene eller i eksterne enheter som opptaksutstyr og måleinstrument.
  • Aldri send filer via e-post ukryptert med informasjon som ikke kan eller bør nå offentligheten.
  • Redusere mengden av data til et minimum som befinner seg på personlig område (P:/ eller skrivebord) i bærbar pc, nettbrett eller mobiltelefonen

Skriv en datahåndteringsplan (lenke) for forskningsprosjektet du er involvert i – sikkerhet er også et tema der. Da kan du tenke nærmere over om det annet å ta hensyn til som er spesifikt for det du jobber med enn det som er listet opp her.

Avvikshåndtering (uønskede hendelser ved behandling av personopplysninger i forskning) 

Studenter og forskere skal melde avvik ved brudd på personvern i HINNs avvikssystem.   Formålet er å gjøre det mulig å gjenopprette tilstanden, fjerne årsaken til avviket, redusere negative konsekvenser for både HINN og tredjepersoner, samt lettere unngå fremtidige sikkerhetsbrudd og brudd på personvernet.

Avvik kan f.eks. være 

  • e-post med sensitive personopplysninger som er sendt til feil person 
  • fødselsnummer som er sendt ukryptert pr. e-post eller gjort tilgjengelig åpent på nett
  • utstyr som er mistet (mobil, laptop, nettbrett, notater og lignende)
  • feilutlevering eller feilpublisering 
  • feil i tilganger, utstyr eller programvare som kan svekke sikkerheten 
  • rutiner som mangler, ikke fungerer, eller som ikke følges 
  • data som er åpent/mangler tilgangsstyring og hvor det er krav til opplysningens konfidensialitet og/eller integritet
  • manglende ivaretakelse av informantenes rettigheter (i henhold til GDPR)
Sist endret: .