Personopplysninger i forskning
Her skisseres det hvordan bibliotek kan utvikle og organisere tjenester som støtter forskere og undervisere i arbeidet med persondata.
Persondata er blant de vanligste formene for data som kan være sensitive, og svikt i behandlingsrutinene kan medføre store konsekvenser, både for personene det gjelder og for institusjonen i form av bøter og tap av tillit. Ettersom behandling av personopplysninger involverer mange områder av organisasjonen, anbefales det sterkt å ta kontakt med personvernombud, IT og forskningsadministrasjon i forbindelse med utvikling av støttetjenester. Ofte finnes det gode og innarbeidede rutiner for administrativ behandling av persondata som kan være nyttig og relevant for forskningsfeltet.
Som et minimum må institusjonen ha personvernombud, retningslinjer og tekniske løsninger for behandling av personopplysninger og andre sensitive data. Ideelt sett finnes det også kvalitetssystem(er) som sikrer god personvernhåndtering og fortløpende håndtering av avvik gjennom hele forskningsdatasyklusen. Dette er ikke minst viktig med tanke på behandling av samtykke, men også for å legge til rette for god dataflyt og risikovurdering av prosjekter som skal behandle personopplysninger. Teknikker som pseudonymisering og anonymisering er sentrale virkemidler for å muliggjøre deling og gjenbruk av data som ellers ikke kan gjøres åpent tilgjengelig, og kunnskap om disse bør inngå i institusjonens støttetilbud. Det finnes eksterne løsninger som er godt egnet for opptak og overføring av ulike former for innsamling av persondata via nett, et eksempel er Nettskjema fra UiO.
Personvernombudenes rolle med tanke på forskning varierer, og mange institusjoner bruker Sikts personverntjenester, enten i form av eget personvernombud eller gjennom Sikts meldeskjema for å melde behandling av personopplysninger i forskningsprosjekter. Meldeskjemaet gir også veiledning og dokumentasjon på at prosjektet gjennomføres i tråd med personvernregelverket.
For medisinsk og helsefaglig forskning er også Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) en sentral instans. Prosjekter som faller inn under helseforskningsloven, må søke REK om forhåndsgodkjenning før behandling av personopplysninger kan starte.
Bruken av kunstig intelligens (KI) i forskning reiser nye personvernspørsmål. Mange kommersielle KI-verktøy er ikke egnet for behandling av personopplysninger, og forskere bør varsles om risikoen ved å legge inn persondata i slike tjenester. Institusjoner bør ha klare retningslinjer for bruk av KI-verktøy i forskning, og biblioteket kan bidra til å informere og veilede forskere om dette.
Det er viktig med bevisstgjøring og kompetanseheving i alle ledd av organisasjonen. Erfaringsmessig er det mye usikkerhet og manglende kunnskap rundt persondata og informasjonssikkerhet blant forskere, og det er viktig å kunne gi informasjon og opplæring som legger til rette for riktig behandling fra start til slutt av forskningsprosjekter.
| Bibliotekets tilbud | Organisering og samarbeidspartnere | |
Nivå 1 | Nettbasert informasjon om informasjonssikkerhet og klassifisering av informasjon. Nettbasert informasjon om personvernlovgivning og praktiske konsekvenser for forskere. Beskrivelse av hvordan forskere skal gå fram for å behandle personopplysninger og sensitive data på en forsvarlig måte gjennom hele forskningsdatasyklusen. | Webredaktør/webansvarlig ved institusjonen. IT Personvernombud |
| Nivå 2 | Kursing og opplæring i informasjonssikkerhet og informasjonsklassifisering. Veiledning i behandling av personopplysninger for enkeltprosjekter. Bistå med klassifisering av data og valg av tekniske løsninger. | Forskningsrådgivere og Ph.d.-koordinatorer. Sikt
|
| Nivå 3 | Dedikert ressurs fra biblioteket med kompetanse på persondata. Mulighet for oppfølging og kvalitetssikring av prosjekter. Kompetanse på anonymisering, pseudonymisering og deling av persondata. |
Jurist |
Tekst: Open Science Toolbox. Redigert og oppdatert av Sikt med hjelp fra Claude (Anthropic)
Lisensiert med CC0