English version of this page

Forskningsdata - ansvarsfordeling mellom forskere og HINN

Som forsker har du et selvstendig ansvar for sikker datahåndtering mens prosjektet pågår og du skal så langt mulig gjøre data tilgjengelig ved prosjektslutt. HINN som institusjon skal sørge for sikre og brukervennlige tjenester for forskerne.

""

Les "Retningslinjer for forskningsdata ved HINN" samlet her. 

Forskere har selvstendig ansvar for å sette seg inn i datahåndteringsrutinene og å følge dem for å ivareta informasjonssikkerheten. Forskningsdata er verdifullt og må beskyttes fordi det er et produkt av intellektuell innsats, tid og penger, og er oftest krevende eller umulig å gjenskape. Ved innsamling og lagring av personopplysninger blir kravene til informasjonssikkerhet enda strengere.

HINN som organisasjon har hovedansvaret for å forebygge, oppdage og håndtere mulige brudd på informasjonssikkerheten, det vil si:

  • Uvedkommende får innsyn i beskyttelsesverdig informasjon (=konfidensialitet).
  • Informasjon og systemer endres, skades eller slettes på uautoriserte eller utilsiktede måter (=integritet).
  • Informasjon og systemer går tapt eller er utilgjengelige når behovet er der (=tilgjengelighet).

Ditt personlige "nettvett" har i tillegg alltid en betydning for informasjonssikkerheten. Heng med og sjekk innom NETTVETT.NO med jevne mellomrom.

Som forsker har du ansvar for å:

  • Følge "Retningslinjer for forskningsdata ved HINN".
  • Alltid benytte høgskolens datatjenester basert på Feide-innlogging når du behandler personopplysninger eller annen data som bør beskyttes.
  • Ikke utveksle aktive data pr e-post, messenger, sms eller minneenheter.
  • Aldri benytte private skytjenester eller private filmapper for innsamling og lagring av prosjektdata. Det gjelder for eksempel Google Drive, ICloud, Dropbox, private Office 365-tjenester, Filr, Slack, Figshare og så videre. Dette er eksempler på digitale tjenester HINN eller norsk UH-sektor under ett ikke har databehandleravtale med. Det betyr i praksis at data havner utenfor HINNs eie og beskyttelse og blir et brudd på informasjonssikkerheten i henhold til personvernforordningen/GDPR art. 29 og 30. 

Som forsker ved HINN har du tillatelse til å:

  • Benytte eget privat utstyr/devices som pc, mac, smarttelefon eller nettbrett. Hvem som eier enheten har ingen betydning. Det som har betydning er hvilken skytjenestekonto du logger deg inn i; det må alltid være med Feide-innlogging som et minimum.

Hvorfor må du kun benytte deg av HINNs datatjenester for behandling av aktive forskningsdata?

  • De datatjenestene HINN og/eller UH-sektoren felles har databehandleravtale med, er basert på Feide-innlogging som et minimum for at du kan komme i gang på korrekt måte. Disse tjenestene har innebygget personvern (privacy by design) som sterkt reduserer sannsynligheten for sikkerhetsbrudd.
  • HINN eier data og er behandlingsansvarlig for personopplysninger mens studentprosjektet ditt pågår. Slippes data til private skytjenestekontoer mister HINN eierskapet og kan ikke lenger ivareta behandlingsansvaret slik personvernforordningen (GDPR) setter krav til.
  • Tjenestene som er valgt har det til felles at det muliggjør tilgang til data for samarbeidspartnere på en trygg og sporbar måte.

Hvorfor disse begrensningene? Hvorfor er det så strengt med forskningsdata? Hva er gjeldende prinsipper?

  • Prosjektdata må befinne seg på ett sted! Du kan ikke duplisere data med e-post-vedlegg, via Filesender, kopier til private mapper, minnebrikker, eksterne harddisker e.l. Vil du dele data med andre, tildeles tilgang til din eller prosjektgruppens HINN-One Drive/Sharepoint–, Educloud eller TSD-mappe. Dette må gjøres for å kunne etterleve personvernprinsippene i GDPR om datasikkerhet, innsyn, retting og sletting. For eksempel hvis en av dine informanter hevder sin rett til kontroll over egne opplysninger og vil rette eller slette data, er ikke det mulig dersom data er spredd til ulike steder og til flere samarbeidspartnere, inkludert transkriberingstjeneste. Ytterste konsekvens for brudd på personvernforordningen, er prosjektstans og varsling til Datatilsynet.
  • Duplisering av datasett vil uansett kreve nøye kontroll med hva som er siste versjon av rådata- og analysefiler. Det er lett å gjøre feil, og det er langt tryggere å samle data på ett sted med tilgangskontroll og -logg på hvem som har åpnet ulike filmapper.
  • Aktive forskningsdata kan ikke dupliseres eller tas ut av "rommet" som man har logget seg inn i. Det er forskere med tilgangsrett som skal logge seg inn til dataene, det er ikke dataene som skal sendes til dem. Dersom forskningsdata skal gjøres tilgjengelig for andre, er det prosjektleder som bestemmer tilgangsrett, skrive og/eller lese, for hele eller deler av datasettene.
  • Du kan ikke lagre forskningsdata i private skytjenester, kun skytjenester i HINNs eller UH-sektorens eie: For eksempel må Office365-konto som inkluderer Sharepoint- og OneDrive-mapper være opprettet med din ansatt/student Feide-brukerkonto, IKKE med en privat konto uten Feide-innlogging og med en annen e-postadresse enn inn.no! Sharepoint- og OneDrive-mapper via Feide må være forhåndsinnstilt til å ikke synkroniseres til tilsvarende private kontoer.

Følgende illustrerer at aktive forskningsdata skal være samlet på ett sted. Skal flere jobbe om samme data, tildeles tilgang til "datarommet" , og data skal aldri bli duplisert og sendt ut eller overført til andres maskiner eller skykontoer. Prinsippet er tilgangsstyring til data og ikke deling og kopiering av data mens prosjektet pågår.

 

Sist endret 10. aug. 2023 14:44