Nye personvernregler skaper hodebry
NSD og Datatilsynet mener GDPR handler om økt bevissthet rundt personvernopplysninger. Forskerne på sin side ønsker mer tillit.
Tekst: Erlend Gylver og Øystein Soknes Christie
Den 18. juni 2018 trådde den nye personvernforordningen (GDPR) i kraft i Norge. Virkeområdet til GDPR er bredt, da alle virksomheter som samler inn sensitive personvernopplysninger er berørt av det oppdaterte regelverket. Bakgrunnen er et ønske om at enkeltpersoner skal ha mulighet til å kontrollere personopplysninger som er samlet inn om dem selv. Hva som regnes som sensitive personopplysninger har også blitt klarere definert.
En persons stemme på et lydopptak er nå å regne som en sensitiv personopplysning, noe som har fått konsekvenser for de samfunnsvitenskapelige disiplinene på NTNU. For eksempel har dette medført at alle bachelorstudenter som benytter kvalitative metoder, og særlig intervjuer, må melde inn prosjektet sitt til Norsk senter for forskningsdata (NSD), for så å vente på godkjenning. På grunn av dette har en rekke spørsmål rundt det nye regelverket blitt stilt av vitenskapelige ansatte – hvordan skal innsamling av sensitive personopplysninger kombineres med forskning?
Ny hverdag for kvalitativ forskning og undervisning
Selv personvernforordningen trådte i kraft juni 2018 har det først etter desember oppstått en diskusjon på NTNU om hvordan de skal forstås og implementeres. Instituttleder Per Arne Stavnås ved Institutt for geografi ved NTNU forklarer at de nå jobber med å sette seg inn i det nye regelverket. Fagområdene geografi og sosialantropologi, som deler administrasjon, er eksempler på to disipliner hvor flesteparten av de vitenskapelige ansatte jobber med kvalitativ forskning. Da får nye regler for personvern konsekvenser.
– Det er nå et strengere regelverk slik at det settes mer krav til innmelding, hva man skal gjøre, hva slags utstyr man skal bruke og slikt, sier han.
Stavnås forklarer videre at det er en del spørsmål rundt hvordan det nye regelverket skal forstås, og at de ansatte har rettet spørsmål til NTNU sentralt for å drøfte hvordan de skal forholde seg til det. Han presiserer samtidig at de er innstilt på å følge de nye reglene.
– Vi prøver å finne ut av regelverket og følge det på en slik måte at våre studenter ikke blir skadelidende, forteller Stavnås.
Førsteamanuensis Hilde Bjørkhaug ved Institutt for sosiologi og statsvitenskap forklarer hvordan det nye regelverket til nå har skapt utfordringer når det kommer til gjennomføring av undervisning i kvalitative metoder.
– Intervju med opptak kan ikke lenger gjennomføres uten godkjenning, og per i dag har vi ikke godkjenning for dette på kursnivå. I påvente av en konklusjon om hvordan vi skal håndtere slik godkjenning på kursnivå, må studentene gjennomføre intervju uten opptak, det vil si at informasjon fysisk må noteres underveis, sier hun.
Bjørkhaug beskriver videre hvordan undervisningsopplegget i enkelte emner har måttet bli endret som en konsekvens av de nye reglene – det er for eksempel blitt vanskeligere å gi studenter praktisk erfaring med gjennomføring av intervju.
Hun presiserer samtidig at hensynet til personvern er viktig, og at dette ikke er noe som kommer som en overraskelse.
– Hensyn til og regler om personvern er ikke noe nytt eller en plage. Her handler det om noen nye punkt som vi etterstreber å følge så fort vi blir oppmerksom på dem, sier Bjørkhaug.
Tiltakende panikk i akademia?
Økt mengde byråkrati, mer arbeid, eller at man i ytterste konsekvens må gå vekk fra intervjumetodikk, trekkes fram som potensielt uheldige følger av det nye regelverket. Som en kvalitativt orientert forsker har professor Aksel Tjora ved Institutt for sosiologi og statsvitenskap gjort seg flere tanker om endringene i personvernlovgivningen.
– Saken er mest at vi trenger å gå en runde på hele NTNU i forbindelse med forskning og persondata, men hvorvidt det er en faktisk endring eller bare en tiltagende panikk det man vel diskutere, sier Tjora.
Han forklarer at det ikke er så mye nytt fra lovens side i det nye regelverket, men at det har kommet presiseringer som gjør at oppmerksomheten rundt personvern i forskningen har økt. Stresset som er knyttet til GDPR kan forklares ved at NTNU som organisasjon kan få en stor bot hvis man ikke følger reglene, ifølge ham. Samtidig mener Tjora det er viktig med god opplæring i kvalitativ metode.
– Hvis vi bare dropper alle lydopptak på intervjuer og går over til å skrive notater går vi fra å være forskere til å være journalister. Da kan vi drite i all detaljert koding og analyse. Spørsmålet er om er det verdt å kjempe for å gi studentene en god metodeopplæring, og det er det, fastslår Tjora.
Han forteller videre at man alltids kan bli bedre på personvern, men at han helst vil unngå et byråkrati som skaper forsinkelser for studentene. Dette gjelder særlig de som skriver bacheloroppgave, hvor man på NTNU ikke tidligere har hatt praksisen med å konsekvent søke NSD.
– Det er kritisk hvis man må skrive en søknad til NSD og vente i tre uker, og det vil i hvert fall være kritisk for NSD som får tusenvis av ekstra søknader hvert semester, sier han.
Tjora innrømmer at NTNUs tidligere praksis kan ha vært litt på kanten, men at ny oppmerksomhet rundt personvern er en god anledning til å rydde opp i ting, så lenge byråkratiet holdes nede.
– De fleste har nok godt av å rydde opp i hvordan data er lagret. Men vi er såpass pressa på tid at det å måtte skrive enda flere søknader er noe man helst vil slippe. Det gjelder jo studentene også.
Tjoras prøveprosjekt
▪ Emne SOS2900: - Bacheloroppgave i sosiologi.
▪ Prøveprosjekt i vårsemesteret 2019.
▪ Studenter gjør opptak utelukkende på instituttets egne diktafoner, kalt Zoom H1n Handy Recorder, som lagrer opptaket på SD-minnebrikke uten at det kobles til internett.
▪ Studenten transkriberer og anonymiserer intervjuet på instituttets eget transkripsjonsrom eller på NTNU-datasal, ikke på egen PC.
▪ Transkripsjonen overføres til minnepinne og opptaket slettes.
▪ Emneansvarlig har blant annet ansvar for å fylle ut meldeskjema for det aktuelle årets studenter, påse at alle studentene følger rutinen, og skal være kontaktperson mot NSD.
▪ Veileder og student har ansvar for å gi informasjon til deltakere og for inhente skriftlig samtykke fra dem om prosjektdeltakelse.
Kilde: Aksel Tjora
Lite nytt, men økt bevissthet
Avdelingsdirektør Marianne Høgetveit Myhren i NSD bekrefter at det ikke er nytt at man må melde inn prosjekter dersom man bruker lydopptak av intervju, men at de likevel har merket en betraktelig økt pågang fra akademia. I januar og februar så de en 63 prosent økning i antall innmeldinger sammenlignet med fjorårets tall.
– Det at stemme på lydopptak i seg selv regnes som en personopplysning kan være en av årsakene til at flere melder inn prosjektet sitt. Det kan også tenkes at det skyldes økt bevissthet hos institusjonene vi har avtale med etter innføringen av GDPR, forklarer Myhren.
Ifølge henne fører en slik økning nødvendigvis til lenger vurderingstid. Dette har vært en bekymring i akademiske miljøer, men Myhren forteller at de nye systemene de benytter for å vurdere søknadene stadig forbedres, blant annet ved hjelp av maskinell scoring av prosjekter med lav personvernulempe.
– Generelt kan vi si at vurderingstiden er på vei ned etter en tid med tilpasninger til det nye regelverket og innføring av ny praksis. Vurderingstiden vil være avhengig av at studenter og forskere gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon. Komplekse prosjekter kan ta lenger tid å gi en vurdering.
Mer byråkrati?
Mens det er NSD som yter en tjeneste til NTNU ved å vurdere om forskningsprosjekter er innenfor rammen av loven, er det Datatilsynet som er forvaltningsorganet som har ansvar for personvern på vegne av staten.
Kommunikasjonsrådgiver Anders Ballangrud i Datatilsynet forklarer at i utgangspunktet er det å behandle sensitive personopplysninger strengt regulert i loven. Det finnes imidlertid en rekke unntak for behandling av slike opplysninger, for eksempel om behandlingen er i allmennhetens interesse eller skal brukes til vitenskapelige formål.
– Slik behandling er imidlertid ikke uten forbehold. Derfor er virksomhetene nødt til å sette seg inn i reglementet og foreta egne vurderinger før de setter i gang med å behandle slike data, forteller han.
På spørsmål om hvordan det jobbes med å lage velfungerende løsninger for akademia forklarer Ballangrud at de nye reglene legger mer av ansvaret over på virksomhetene selv, og at det nye regelverket vil være med på å gjøre byråkratiet mindre.
– Det nye regelverket har absolutt tatt høyde for løsninger innen forskning og akademia. Den nye personvernforordningen har mål om mindre, ikke mer byråkrati.
Er ikke det økte antall søknader som studenter må sende inn til NSD et tegn på det motsatte?
– Det er et spørsmål om hvordan NTNU innretter seg. Forskningsinstitusjoner som skal behandle persondata skal involvere personvernombud i disse prosessene og slik sett sørge for å overholde personvernlovgivningen.
Et spørsmål om tillit
Tilbake på Institutt for sosiologi og statsvitenskap mener Tjora at essensen i problematikken rundt personvern og GDPR er et spørsmål om tillit.
– Jeg tror at essensen i problemet handler om manglende tillit til at vi håndterer persondata på en god måte, og jeg mener at man her bør ha et tillitsbasert system, forteller han.
Han sammenligner dette med den tilliten som for eksempel kirurger får til å skjære i kropper, og mener at veiledere og professorer burde vært gitt den samme tilliten når det kommer til håndtering av personopplysninger, siden dette er regler de skal være godt kjent med.
– Hvis man ikke har den samme tilliten til veiledere når det kommer til å ta vare på personlige data generert i et intervju, så bryter systemet sammen, sier han.
Personvernombud Thomas Helgesen ved NTNU, som fungerer som en uavhengig rådgiver mellom universitetet og NSD, er enig med Tjora i at tillit er et nøkkelord når det kommer behandling av persondata. Ifølge ham kan ikke universitetene slutte å samle inn personopplysninger, men man må behandle dem på en måte som viser respekt for dem personopplysningene gjelder.
– Man må kunne ha tillit til at NTNU behandler personopplysninger forsvarlig. Det er lettere å få folk til å delta i forskning når de kan stole på universitetets bruk av deres sensitive personopplysninger, forteller han.
Løsningsorienterte
Helgesen forteller at han ikke har fått høre om store problemer ved de berørte instituttene, men at det har kommet inn en del henvendelser når det kommer til behandling av lydopptak. Her foreslår han felles løsninger.
– Det vil være min anbefaling å finne en måte å gjøre det på som er felles for alle og som er godt gjennomtenkt, istedenfor å lage mange forskjellige løsninger av varierende kvalitet, forteller Helgesen.
Han forteller videre at han forstår studentenes frustrasjon over at man ikke kan gjøre ting på samme vis som man gjorde tidligere, og at det er naturlig at det oppstår noe motstand når vante prosedyrer utfordres.
– Det kan hende at de føler at de ikke har fått nok veiledning og rutiner knyttet til hvordan man nå skal gjøre dette. Da er det viktig at vi har folk som Tjora som går foran for å finne løsninger.
Tjora forteller nemlig at han har laget et forslag til NSD som går på behandling av personopplysninger på en standardisert og trygg måte (se faktaboks). Etter at Under Dusken var i kontakt med NSD og Tjora første gang, har NSD godkjent forslaget.
– Jeg er strålende fornøyd. Dette er et konstruktivt samarbeid med NSD som viser et ønske om å finne løsninger som fungerer godt for oss, samtidig som de tilfredsstiller de offentlige kravene. Jeg vil definitivt oppfordre andre på NTNU til å ikke velge minste motstands vei, men heller gå i dialog for å skape god forskning og gode studentoppgaver, forteller Tjora over telefon.