5. Guide for å behandle forskningsdata
5. a Eierskap
All forskningsdata skal ha en entydig og identifiserbar «eier», og som regel er dette daglig ansvarlig (prosjektleder eller veileder). Daglig ansvarlig skal:
- sikre at informasjonen er behandles i henhold til HVL sine retningslinjer
- påse at all lagring, behandling og bearbeiding av informasjon foregår på tekniske løsninger som er godkjent jf. HVL sin lagringsguide
- regelmessig sjekke at man oppfyller eventuelle endringer i kravene
5.b Lagringsguide
 |
Åpen eller fritt tilgjengelig (grønn) |
Denne klassen benyttes dersom det gjelder forskningsdata som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. Dette vil i hovedsak si data som er anonymisert og ikke inneholder persondata.
Dataenes integritet skal likevel sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om dataene kan være åpen, er det ikke fritt frem å velge hva du gjør med den.
 |
Interne (Gul) |
Denne klassen gjelder for informasjon som må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, men med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom informasjonen kun har relevans for eller er innrettet mot en begrenset brukergruppe ved HVL og evt. samarbeidspartnere.
Eksempler på slik informasjon kan være:
- alminnelige personopplysninger
- upubliserte forskningsdata og -arbeider
 |
Fortrolig (Rød) |
Dette er informasjon som HVL er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. «Fortrolig» benyttes hvis det vil kunne forårsake skade for offentlige interesser, HVL, enkeltpersoner eller samarbeidspartnere dersom informasjonen blir kjent for uvedkommende [1].
Eksempler på slik informasjon kan være:
- særskilte kategorier av (sensitive) personopplysninger
- helseopplysninger
Forskningsdata og personopplysninger i denne kategorien skal alltid lagres på forskningsserveren ved HVL.
 |
Strengt fortrolig (Svart) |
Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.
«Strengt fortrolig» [2] benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, HVL, enkeltpersoner eller samarbeidspartnere at informasjonen blir kjent for uvedkommende.
Eksempler på slik informasjon er:
- store mengder sensitive personopplysninger
- store mengder helseopplysninger
- forskningsdata og datasett av stor økonomisk verdi
Forskningsdata og personopplysninger i denne kategorien skal alltid lagres på forskningsserveren ved HVL.
5.c Kategorisering av tjenester og enheter ved behandling av forskningsdata ved HVL
|
|
|
|
|
|
|
Kommunikasjon- og delingsverktøy |
|
|
|
|
|
HVL e-post |
Ja |
1 |
Nei |
Nei |
|
Privat e-post (Gmail, Hotmail el.) |
Ja |
Nei |
Nei |
Nei |
|
Zoom |
Ja |
Ja |
2 |
Nei |
|
Teams |
Ja |
Ja |
Nei |
Nei |
|
Datalagring |
|
|
|
|
|
OneDrive |
Ja |
Ja |
3 |
Nei |
|
Personlig skytjeneste (Dropbox, Google Drive el.) |
Ja |
Nei |
Nei |
Nei |
|
Skytjenester ved HVL (Box og Filesender) |
Ja |
4 |
Nei |
Nei |
|
Forskningsserver ved HVL |
Nei |
Nei |
Ja |
Ja |
|
Enheter |
|
|
|
|
|
Smarttelefon (f.eks. til lydopptak) |
Ja |
5 |
Nei |
Nei |
|
Privat pc |
Ja |
5 |
Nei |
Nei |
|
HVL driftet pc (lokalt område) |
Ja |
6 |
6 |
Nei |
|
Minnepinne / ekstern harddisk |
Ja |
Nei |
Nei |
Nei |
|
Minnepinne / ekstern harddisk - kryptert |
Ja |
Ja |
7 |
Nei |
- E-post kan benyttes dersom e-postene er internt mellom ansatte på HVL
- Behandling er tillatt i Zoom så lenge det ikke gjøres opptak, men bare streames. Zoom kan gjøre opptak av røde data hvis det gjøres en egen skriftlig vurdering i form av en DPIA.
- Løsningen forutsetter at forskningsdata sikres med to-faktor pålogging i OneDrive, samt at det er gjennomført en personvernkonsekvensvurdering (DPIA) som er godkjent av HVL sin ledelse.
- Kan mellomlagres i skytjenester som er spesielt tilrettelagt for dette og som lagrer data innenfor EØS-området. Prosjektleder skal kun benytte skytjenester som tilbys av HVL.
- Nei, men det er unntak for studenter dersom retningslinjer for bruk av privat enhet følges.
- For ansatte anbefales det ikke å lagre data lokalt på PC, men i stedet å bruke OneDrive med to-faktor pålogging.
- Kan lagres på kryptert minnepinne eller kryptert ekstern harddisk. Det må påsees at enheten til enhver tid fyller kravene som er gitt i retningslinjene til HVL og at data ikke lastes ned eller hentes ut til hjemmeområdet eller andre lagringssteder som ikke er godkjent for å behandle denne typen opplysninger. Det er anbefalt at disse dataene overføres til forskningsserveren ved HVL.
[1] Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen.
[2] Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen.