
Hovedregler for sikring av forskningsdata ved NIH:
Datasettet må sikres med tilgangskontroll.
Fysiske datasett lagres innelåst.
Elektroniske registre på egen PC må være kryptert.
Den sikreste form for elektronisk lagring er sentrale datalagre med ekstra sikker tilgangskontroll (NIHs Sikker sone).
Pseudonymisering og anonymisering
Dette er de viktigste formene for sikring av personopplysninger innen forskning.
- Pseudonymisering: Opplysningene lagres med en kode som erstatter direkte identifiserbare opplysninger som for eksempel navn og fødselsdato/nummer til personene i datasettet. Koblingen til personen gjøres via en kodenøkkel som lagres fysisk adskilt fra datasettet.
- Anonymisering; Hvis det ikke er behov for å spore opplysningene tilbake til en person bør dataene lagres uten kodenøkkel («anonymisert»)
Det er viktig å være oppmerksom på at i noen tilfeller kan personer indirekte identifiseres. For eksempel om deltakerne i et prosjekt tilhører en begrenset gruppe på en arbeidsplass eller et lag, vil selv høyde kunne være nok til å identifisere personer. For å vurdere om opplysningene kan indirekte knyttes til en person, må man vurdere om det er mulig å identifisere enkeltpersoner i datasettet.
Se utfyllende informasjon / presisering om anonyme og avidentifiserte data nedenfor.
Lagring – filserver eller Sikker sone
- Datasett med personopplysninger skal, så sant det er mulig, pseudonymiseres.
- Pseudonymiserte datasett kan lagres på filserver. NIHs filserver har tilgangsstyrte soner. Koblingsnøkler skal oppbevares i låst skap på instituttet. Instituttene har egne regler om dette.
- Ikke-tilstrekkelig pseudonymiserte data og datasett som inneholder sensitive personopplysninger skal lages i NIHs «Sikker sone». Dette gjelder også data i format som gir særskilte personvernutfordringer (lyd, bilde, film og biometriske eller genetiske data). Sikker sone kan også brukes til deling av data med eksterne forskere. Tilgang administreres via Prosjektweb.
- Se egne regler for biologisk materiale (biobanker - pdf)
Lagringsmuligheter - hva kan lagres hvor:
Se klassifiseringsguide for utfyllende informasjon kategorier av forskingsdata
|
Svart |
Rød |
Gul |
Grønn |
NIH driftet laptop-kryptert |
Nei |
Ja |
Ja |
Ja |
Privat-eid laptop |
Nei |
Nei |
Ja |
Ja |
Minnepinne |
Nei |
Nei |
Nei |
Ja |
Minnepinne -kryptert |
Nei |
Ja |
Ja |
Ja |
Onedrive |
Nei |
Nei |
Ja |
Ja |
Filserver |
Nei |
Ja |
Ja |
Ja |
Sikker sone |
Ja |
Ja |
Ja |
Ja |
Avidentifiserte - anonyme opplysninger:
Direkte personidentifiserbare opplysninger
En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.
Indirekte personidentifiserbare opplysninger
En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.
Anonyme opplysninger
Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode.
Avidentifiserte personopplysninger (Pseudonymiserte personopplysninger)
Opplysningene er avidentifisert (pseudonymiserte) dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel).
Merk at også indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet skal være å regne som avidentifisert. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) heller enn presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et avidentifisert datamateriale skal være gjennom navnelisten/kodenøkkelen.
Vær oppmerksom på at avidentifiserte opplysninger anses som personopplysninger uavhengig av hvem som oppbevarer navnelisten, hvor og hvordan den oppbevares. Så lenge navnelisten/koblings nøkkelen eksisterer er ikke dataene anonymisert.
Koblingsnøkkel
En koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett. Det å opprette en koblingsnøkkel innebærer å erstatte navn, personnummer, e-epostadresse eller andre personentydige kjennetegn i et datasett med en kode, et nummer, et fiktivt navn eller lignende, som viser til en atskilt liste der hver kode viser til navn. Koblingsnøkkelen må oppbevares separat fra selve datamaterialet for å sikre at utenforstående ikke får tilgang til koblingen mellom navn og kode.