​Forskningdata er verdifullt fordi det er et produkt av intellektuell innsats, tid og penger.  Informasjonssikkerheten må derfor ha fokus gjennom hele forskningsprosjektet, og i særlig grad dersom du samler inn og lagrer personopplysninger.

HINN har på organisasjonsnivå hovedansvaret for informasjonssikkerhet ved å forebygge, oppdage og håndtere tre kategorier av problemer som kan oppstå:  1) Uvedkommende får innsyn i beskyttelsesverdig informasjon (=konfidensialitet).  2) Informasjon og systemer endres, skades eller slettes på uautoriserte eller utilsiktete måter (=integritet).  3) Informasjon og systemer går tapt eller er utilgjengelige når behovet er der (=tilgjengelighet).

Som student eller ansatt har du et selvstendig ansvar ved å kun benytte høgskolens IT-infrastruktur og å følge de rutiner eller instrukser som er gitt for tilgang og bruk.  Informasjonssikkerhet er dermed et felles ansvar mellom HINN som organisasjon og deg som forsker eller student .  Målet er at data kan behandles både sikkert og effektiv med ulike e-verktøy/ utstyr/devices.  Forutsetningen er at du alltid benytter høgskolens dataløsninger basert på Feide-innlogging, og aldri på private løsninger. 

Ditt personlige "nettvett"  har alltid en betydning for informasjonssikkerheten. Heng med og sjekk innom NETTVETT.NO med jevne mellomrom. 

Guide for innsamling og lagring av forskningsdata (gjelder for studenter og ansatte) 

 Prosjekter med alminnelige personopplysninger                      GULE DATAProsjekter med sensitive / særskilte kategorier av personopplysninger eller graderte opplysninger                               RØDE og SORTE DATA
INNSAMLING  
1) SpørreskjemaNettskjemaNettskjema kombinert med Tjeneste for sensitive Data (TSD)
2) Opptak/intervju, kun stemme

Nettskjema-Diktafon 

Nettskjema-Diktafon veiledningsskriv

 

Nettskjema - Diktafon kombinert med 'Tjeneste for Sensitive Data (TSD)'

3) Opptak av lyd+bilde (feks videokonferanse) Zoom: ta kontakt med IT - forskningsstøtte (brukerstøtte)I kombinasjon med TSD løsning; ta kontakt med IT - forskningstøtte
4) Fotografering og filmingNettskjema-bilde app eller kamera uten internett samme som nr 3

5) 'Internet of Things' apper

Ta kontakt med IT - forskningstøtte (brukerstøtte)samme som nr 3
6) Utstyrsspesifikke måleapparaterTa kontakt med IT- forskningstøtte (brukerstøtte)samme som nr 3
LAGRING OG DELING  
1 Personlig mappe med delings muligheterOneDrive Office 365 FEIDE konto (ikke bruk privat konto!). Videoopplæring. Rutiner for lagring av dataTjeneste for Sensitive Data (TSD)
2 Grupper - internt og eksterntSharePoint Office 365 FEIDE konto (ikke bruk privat konto!).
Videoopplæring
Tjeneste for Sensitive Data (TSD)
   
ARKIVERING  
Ta kontakt med biblioteket
DataverseNO; NSDarkiv
 

Tenk nøye over behovet for å samle inn personopplysninger til ditt prosjekt. Forsøk alltid å redusere personvernulempen; kan røde data bli gule, kan gule data bli grønne? Å samle inn sorte data er en beslutning en forsker ikke kan ta alene, men diskuteres med forskerkolleger og eventuelt personvernombud. Studenter kan ikke samle inn sorte data, og i tillegg får ikke bachelorstudenter lov til å samle inn røde data. 

Førstevalget er anonyme undersøkelser så sant det metodisk vil kunne besvare dine forskningspørsmål, først og fremst for engangs undersøkelser og uten behov for koblingsnøkkel e.l.  HVORDAN GJENNOMFØRE EN ANONYM SPØRREUNDERSØKELSE

Prinsipper for håndtering av forskningsdata

Mens prosjektet pågår, skal forskningsdata  kun befinne seg i godkjente, beskyttete rom eller ‘skyer’, som krever Feide-innlogging som et minimum for å få tilgang til, som illustrert i figurene under.  Forskningsdata kan deles med andre ved å tildele tilgangsrettigheter. For gule data er det relativt enkelt, for røde og sorte data er det mer rigid fordi TSD krever streng adgangsbegrensning med flerfaktor autentisering. 

Content #4365: You do not have permission to view this Content

Aktive forskningsdata kan ikke dupliseres eller tas ut av "rommet" som man har logget seg inn i. Det er forskere/studenter med tilgangsrett som skal logge seg inn til  dataene, det er ikke dataene som skal sendes til dem. Dersom forskningsdata skal gjøres tilgjengelig for andre, er det prosjektleder som bestemmer tilgangsrett (skrive og/eller lese) for hele eller deler av datasettene. 

Content #4588: You do not have permission to view this Content

Prinsippene gjelder uavhengig hvilken fysisk enhet/utstyr/device du benytter, enten det er pc, stasjonær datamaskin, smarttelefon eller nettbrett. Hvem som eier enheten, enten det er din egen eller høgskolens, har ingen betydning. Det som har betydning er hvilken konto du logger deg inn med.  For eksempel må Office365-konto som inkluderer Sharepoint- og OneDrive-mapper være opprettet med din ansatt/student Feide-brukerkonto, IKKE med en privat konto uten Feide-innlogging og med en annen e-postadresse enn @inn.no! Sharepoint- og OneDrive-mapper via Feide skal være forhåndsinnstilt til å ikke synkroniseres til tilsvarende private kontoer. 

Hvorfor må du følge disse prinsippene? 

Når du logger deg inn med @inn.no-epostadressen og Feide-passordet ditt, vil dine forskningsdata være i HINNs eie og beskyttelse. Dersom du logger deg inn i privatkonto i kommersielle skytjenester som f.eks. Google,  ICloud og Dropbox, vil forskningsdata havne utenfor din egen og HINNs eie og beskyttelse.   Les mer om Feide her.  

De datatjenestene HINN og/eller UH-sektoren har databehandleravtale med er basert på Feide-innlogging som et minimum for at du kan komme i gang på korrekt måte. Disse tjenestene vil ha personvern bygget inn (privacy by design) og som gjør at du som forsker/student kan håndtere personopplysninger og andre verdifulle data uten sikkerhetsbrudd. 

Det er først mulig å etterleve personvernprinsippene i personvernforordningen (GDPR/General Data Protection Regulation)  når forskningsdata befinner seg på ett sted.  For eksempel har en forskningsdeltaker som inkluderes i studien  rett til kontroll over egne opplysninger og kan be om innsyn, retting og sletting.  Er data spredd til ulike steder og til flere samarbeidspartnere, er ikke disse rettighetene mulige å innfri. Ytterste konsekvens for brudd på personvernforordningen, er prosjektstans og varsling til Datatilsynet. 

Content #4382: You do not have permission to view this Content
Sist endret: .