Lagringsguide NIH

Et viktig aspekt ved personvern i forskningssammenheng er plikten til å sikre at personopplysningene ikke kommer uvedkommende i hende. NIH skal sikre dette gjennom tilgangsstyring, pseudonymisering og anonymisering samt korrekt lagring av data.

Konsept tegning av med farger: grønn åpen, gul begrenset, rød fortrolig, svart strengt fortroli
Illustrasjon: Ingvild Gillderdalen, NIH

Hovedregler for sikring av forskningsdata ved NIH:

Datasettet må sikres med tilgangskontroll.
Fysiske datasett lagres innelåst.
Elektroniske registre på egen PC må være kryptert.
Den sikreste form for elektronisk lagring er sentrale datalagre med ekstra sikker tilgangskontroll (NIHs Sikker sone).

Pseudonymisering og anonymisering 

Dette er de viktigste formene for sikring av personopplysninger innen forskning.

  • Pseudonymisering: Opplysningene lagres med en kode som erstatter direkte identifiserbare opplysninger som for eksempel navn og fødselsdato/nummer til personene i datasettet. Koblingen til personen gjøres via en kodenøkkel som lagres fysisk adskilt fra datasettet.
  • Anonymisering; Hvis det ikke er behov for å spore opplysningene tilbake til en person bør dataene lagres uten kodenøkkel («anonymisert»)

Det er viktig å være oppmerksom på at i noen tilfeller kan personer indirekte identifiseres. For eksempel om deltakerne i et prosjekt tilhører en begrenset gruppe på en arbeidsplass eller et lag, vil selv høyde kunne være nok til å identifisere personer. For å vurdere om opplysningene kan indirekte knyttes til en person, må man vurdere om det er mulig å identifisere enkeltpersoner i datasettet.

Se utfyllende informasjon / presisering om anonyme og avidentifiserte data nedenfor.

Lagring – filserver eller Sikker sone

  1.  Datasett med personopplysninger skal, så sant det er mulig, pseudonymiseres.
  2.  Pseudonymiserte datasett kan lagres på filserver. NIHs filserver har tilgangsstyrte soner. Koblingsnøkler skal oppbevares i låst skap på instituttet. Instituttene har egne regler om dette.
  3.  Ikke-tilstrekkelig pseudonymiserte data og datasett som inneholder sensitive personopplysninger skal lages i NIHs «Sikker sone». Dette gjelder også data i format som gir særskilte personvernutfordringer (lyd, bilde, film og biometriske eller genetiske data). Sikker sone kan også brukes til deling av data med eksterne forskere. Tilgang administreres via Prosjektweb. 
  4. Se egne regler for biologisk materiale (biobanker - pdf)

Lagringsmuligheter - hva kan lagres hvor:

Se klassifiseringsguide for utfyllende informasjon kategorier av forskingsdata

 

Svart

Rød

Gul

Grønn

NIH driftet laptop-kryptert

Nei

Ja

Ja

Ja

Privat-eid laptop

Nei

Nei

Ja

Ja

Minnepinne

Nei

Nei

Nei

Ja

Minnepinne -kryptert

Nei

Ja

Ja

Ja

Onedrive

Nei

Nei

Ja

Ja

Filserver

Nei

Ja

Ja

Ja

Sikker sone

Ja

Ja

Ja

Ja

 

Avidentifiserte - anonyme opplysninger:

Direkte personidentifiserbare opplysninger

En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.

Indirekte personidentifiserbare opplysninger

En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.

Anonyme opplysninger

Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode.

Avidentifiserte personopplysninger (Pseudonymiserte personopplysninger)

Opplysningene er avidentifisert (pseudonymiserte) dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel).

Merk at også indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet skal være å regne som avidentifisert. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) heller enn presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et avidentifisert datamateriale skal være gjennom navnelisten/kodenøkkelen.

Vær oppmerksom på at avidentifiserte opplysninger anses som personopplysninger uavhengig av hvem som oppbevarer navnelisten, hvor og hvordan den oppbevares. Så lenge navnelisten/koblings nøkkelen eksisterer er ikke dataene anonymisert.

Koblingsnøkkel

En koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett. Det å opprette en koblingsnøkkel innebærer å erstatte navn, personnummer, e-epostadresse eller andre personentydige kjennetegn i et datasett med en kode, et nummer, et fiktivt navn eller lignende, som viser til en atskilt liste der hver kode viser til navn. Koblingsnøkkelen må oppbevares separat fra selve datamaterialet for å sikre at utenforstående ikke får tilgang til koblingen mellom navn og kode.