Sentrale begreper

  • Anonyme opplysninger

    Anonyme opplysninger er informasjon som ikke på noe vis kan identifisere enkeltpersoner i et datamateriale, hverken direkte gjennom navn eller personnummer, indirekte gjennom bakgrunnsvariabler, eller gjennom navneliste/koblingsnøkkel eller krypteringsformel og kode. Les om hvordan du kan anonymisere datamaterialet.

  • Avidentifiserte personopplysninger

    Dette begrepet er i personvernforordningen erstattet med pseudonymiserte personopplysninger.

  • Behandling av personopplysninger

    Det å behandle personopplysninger innebærer å samle inn, registrere, oppbevare og eventuelt sammenstille og utlevere personopplysninger.

    Dersom du skal behandle personopplysninger i forbindelse med prosjektet ditt, omfattes prosjektet av loven. Prosjektet må da meldes til personvernombudet. Merk at meldeplikten gjelder selv om du ikke skal publisere personopplysninger. Det er hvordan du behandler personopplysninger underveis fra datainnsamlingen starter til resultatene publiseres, som avgjør om du må sende inn meldeskjema for prosjektet. Les mer her.

  • Behandlingsansvarlig

    Behandlingsansvarlig er den institusjon/bedrift/annen juridisk person som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig vil dermed være for eksempel universitetet, høgskolen, helseforetaket eller forskningsinstituttet ved øverste ledelse. Behandlingsansvarlig betegner en formell posisjon og innebærer krav til etterlevelse av en rekke plikter i loven.

  • Daglig ansvarlig

    Begrepet daglig ansvarlig er i personvernforordningen erstattet med kontaktperson.

  • Databehandler

    En databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon, som behandler personopplysninger på vegne av den behandlingsansvarlige. Loven krever at denne relasjonen skal avtalereguleres. Les mer om databehandleravtale.

    Eksempler på databehandlere kan være ekstern leverandør av spørreskjema, transkriberingsassistent eller tolk (som ikke er ansatt ved behandlingsansvarlig institusjon).

  • Dataminimering

    Dataminimering betyr at du ikke skal samle inn flere opplysninger om utvalget ditt enn det som er nødvendig for å realisere forskningsformålet ditt. Hvis noen av personopplysningene du ønsker å samle inn ikke er nødvendige for å oppnå formålet, skal du ikke samle dem inn. Dataminimering er ett av personvernprinsippene i personvernforordningen.

  • Dataportabilitet

    Dataportabilitet er en rettighet som gir dem du skal forske på rett til å få utlevert de personopplysningene du har samlet inn om dem, og gjenbruke disse opplysningene på tvers av ulike systemer og tjenester. Retten til dataportabilitet er en ny rettighet i personvernforordningen som skal styrke deg og dine forskningsdeltakeres kontroll over egne personopplysninger. Les gjerne mer på Datatilsynets nettsider >>

  • Direkte personidentifiserbare opplysninger

    En person vil være direkte identifiserbar via navn, fødsels-/personnummer eller andre personentydige kjennetegn.

  • DPIA

    DPIA står for Data Protection Impact Assessment, som på norsk betyr en vurdering av personvernkonsekvenser. Se under «Personvernkonsekvensvurdering».

  • Forhåndsdrøftelse

    En forhåndsdrøftelse er en skriftlig og formalisert prosess som gjennomføres med Datatilsynet. En forhåndsdrøftelse med Datatilsynet skal gjennomføres dersom en etter å ha gjennomført en personvernkonsekvensvurdering (DPIA) ikke i tilstrekkelig grad klarer å redusere den høye risikoen for utvalgets rettigheter og friheter. En søknad om forhåndsdrøftelse vil i praksis behandles av Datatilsynet på en lignende måte som det som tidligere ble kalt konsesjon.

    Se mer på Datatilsynets nettsider >>

  • Indirekte personidentifiserbare opplysninger

    En person vil være indirekte identifiserbar dersom det er mulig å identifisere vedkommende gjennom bakgrunnsopplysninger som for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, diagnose, etc.

  • Koblingsnøkkel

    En koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett. Det å opprette en koblingsnøkkel innebærer å erstatte navn, personnummer, e-epostadresse eller andre personentydige kjennetegn i et datasett med en kode, et nummer, et fiktivt navn eller lignende, som viser til en atskilt liste der hver kode viser til navn. Koblingsnøkkelen må oppbevares separat fra selve datamaterialet for å sikre at utenforstående ikke får tilgang til koblingen mellom navn og kode. .

    Av hensyn til informasjonssikkerhet anbefaler vi bruk av koblingsnøkkel i de fleste prosjekter, spesielt i prosjekter der det behandles sensitive personopplysninger.

  • Kontaktperson

    Den som kan ha det daglige ansvaret for riktig og forsvarlig etterlevelse av lovens bestemmelser om informasjonssikkerhet og internkontroll. Kontaktpersonen må være ansatt ved behandlingsansvarlig institusjon.

    I forskerprosjekter (inkludert Ph.d.-prosjekter) er dette vanligvis prosjektleder/forsker selv. I studentprosjekter (bachelor eller master) skal veileder (eventuelt biveileder eller fagansvarlig ved studiestedet) være kontaktperson. Studenten selv kan ikke være kontaktperson.

  • Personopplysning

    En personopplysning er en opplysning/vurdering som kan knyttes til en person. Opplysninger kan for eksempel knyttes til en person via fødselsnummer, navn, e-postadresse/IP-adresse eller referansenummer som viser til en navneliste, via bilde/video av ansikter eller en sammenstilling av bakgrunnsopplysninger.

  • Personvernkonsekvensvurdering

    En personvernkonsekvensvurdering (DPIA) vil måtte gjøres i prosjekter hvor behandlingen av personopplysninger vil medføre en høy risiko for fysiske personers rettigheter og friheter. Før behandlingen av personopplysninger starter, skal man i slike prosjekter foreta en mer omfattende vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.

    Når prosjektet ditt meldes inn til NSD, vil vi vurdere om det er nødvendig å gjennomføre en personvernkonsekvensvurdering i ditt prosjekt, og vi vil i så fall hjelpe deg med dette.

    På Datatilsynets nettsider finnes en nyttig veileder hvis du vil ha mer informasjon >>

  • Personvernprinsippene

    Personvernforordningen inneholder både rettigheter og plikter knyttet til behandling av personopplysninger. I artikkel 5 i personvernforordningen fremgår de grunnleggende prinsippene for personvern som alle reglene i forordningen er bygget videre på. Personvernprinsippene skal sikre at all behandling av personopplysninger er forutsigbar for dem du skal forske på. All behandling av personopplysninger skal derfor være i tråd med følgende prinsipper:

    1. Lovlighet, rettferdighet og gjennomsiktighet
    2. Formålsbegrensning
    3. Dataminimering
    4. Riktighet
    5. Lagringsbegrensning
    6. Integritet og konfidensialitet
    7. Ansvar
  • Prosjektslutt

    Prosjektslutt er tidspunktet når formålet med behandlingen av personopplysninger er oppfylt, og datamaterialet enten skal anonymiseres/slettes, eller arkiveres i påvente av oppfølgingsstudier eller annet.

  • Pseudonymiserte personopplysninger

    Opplysningene er pseudonymiserte dersom navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller lignende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel). Merk at også indirekte personidentifiserende opplysninger må kategoriseres i vide kategorier eller fjernes for at datamaterialet skal være å regne som pseudonymisert. Med vide kategorier menes for eksempel landsdel i stedet for spesifiserte kommuner eller byer, aldersintervaller (10-19 år, 20-29 år osv.) heller enn presis alder og lignende. Den eneste måten å identifisere enkeltpersoner i et pseudonymisert datamateriale skal være gjennom navnelisten/kodenøkkelen.

    Vær oppmerksom på at pseudonymiserte opplysninger anses som personopplysninger uavhengig av hvem som oppbevarer navnelisten, hvor og hvordan den oppbevares.

  • Sensitive personopplysninger

    Dette begrepet er i personvernforordningen erstattet med særlige kategorier av personopplysninger samt personopplysninger om straffedommer og lovovertredelser mv.

  • Særlige kategorier av personopplysninger

    Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

    For personopplysninger om straffedommer og lovovertredelser mv. gjelder tilsvarende krav.

    Særlige kategorier av personopplysninger og personopplysninger om straffedommer og lovovertredelser mv. overlapper i hovedsak med det som tidligere var kjent som sensitive personopplysninger.

  • Tredjepersonsopplysninger

    Personidentifiserbare opplysninger om andre personer enn utvalget/respondentene selv regnes som tredjepersonsopplysninger. Det kan her være snakk om direkte eller indirekte identifiserende opplysninger (se definisjoner over). Tredjepersonsopplysninger kan f.eks. komme frem i intervju eller i spørreskjema (f.eks. respondent som spørres om mors og fars utdannelse ellerdiagnoser, eller elev som spørres om lærers undervisningsmetoder).

    Merk at dersom utvalget har taushetsplikt, kan dette være til hinder for utlevering av tredjepersonsopplysninger.



© NSD - Norsk senter for forskningsdata • Kontakt NSDPersonvern og informasjonskapsler (cookies)