SV-fakultetet lanserte nylig et nettkurs i personvern i samfunnsforskning. Dette kurset er obligatorisk for alle vitenskapelig ansatte og for administrativt ansatte som jobber med personvern i forskning. Snart kommer det også et kurs i personvern i helseforskning, tilpasset ansatte særlig ved Psykologisk institutt.
Det er en stund siden EUs personvernforordning, blant venner og andre gjerne kalt GDPR, ble innført i norsk lov. Så det er på tide at SV-fakultetet gjør en innsats for å få opp personvernkompetansen blant våre forskere.
Saken er vel at vi burde hatt dette nettkurset på plass for lenge siden. Når vi nå får det, skyldes det ikke minst innsatsen fra juristene ved USIT.
Sett av et par timer
Nettkurset tar litt tid å gjennomføre, så til dere som ikke har tatt kurset ennå, og som er litt grønne på forhånd: sett gjerne av et par timer – det er en del tekst som skal fordøyes. Høydepunktet kommer til slutt: en samling med ti interessante caser der sju riktige svar eller fler på flervalgsoppgavene gir godkjent kurs.
De på fakultetet som kjenner forskningen min, vet at det ikke er mye data jeg har studert gjennom karrieren min. Ikke desto mindre må jo også forskningsdekanen kunne fortelle de som måtte lure, at han kjenner personvernlovgivningen. For utfordringer knyttet til den dukker hyppig opp i det daglige arbeidet, ikke minst når det gjelder phd-programmet.
Det er mange prosjektledere og phd-veiledere som overvurderer sin egen kompetanse om GDPR, og dette gjør for tiden at annet nødvendig arbeid i administrasjonen av phd-programmet går saktere enn det burde gjøre. Jeg håper dette nettkurset vil være til hjelp her.
Det har også vist seg vanskelig for mange å få tak på grensen mellom jus og etikk, særlig når det gjelder forskning på personer, grupper og institusjoner.
Jeg oppfordrer alle til å sette seg godt inn i de oppdaterte nasjonale forskningsetiske retningslinjene fra NESH som kom på tampen av fjoråret, gjerne før dere går i gang med personvernkurset.
Personvern er viktig
Alle som steller med personopplysninger i sin forskning, blir nødt til å vite hvilke opplysninger om en person som krever enten samtykke fra personen eller en dokumentasjon av at behandlingen av opplysningene er i allmennhetens interesse (ofte vil forskning være grunn god nok innenfor samfunnsvitenskap).
Vi må kjenne godt til forskjellen mellom anonymiserte og pseudonymiserte opplysninger.
Og vi må vite hvordan vi håndterer deling av persondata med samarbeidspartnere i inn- og utland. Pluss mye mer.
Personvern er viktig for de personene vi har tilgang til data om. Det er viktig at vi er trygge på at systemet rundt oss fungerer, at informasjonen vi behandler som forskere, tas godt vare på. Personvern er et hett tema også utenfor universitetet, og vi må stå klare til å svare godt hvis en journalist skulle interessere seg for det personvernmessige ved virksomheten vår.
Plikt å kunne personvern
Når fakultetet setter i gang med dette nettkurset, er disse hensynene viktige. Men i tillegg innebærer GDPR et institusjonelt ansvar i personvernsaker, og det er derfor universitetets plikt, og dermed fakultetets plikt, å sørge for at kompetansen på området er god nok.
Siden nettkurset gjennomføres i Canvas, vil personalsystemet ved universitetet registrere at vi tar kurset.
Med jevne mellomrom vil instituttlederne, som har personalansvaret, få oversendt lister over hvem som har bestått kurset.
Dersom vi holder Psykologisk institutt utenfor, siden forskerne der skal få sitt eget nettkurs senere, har vi 377 forskere ansatt ved fakultetet. Sist jeg sjekket, omtrent to uker etter at kurset ble lansert, hadde 26 ansatte tatt kurset: jeg pluss 25 til. Så vi har fremdeles et stykke igjen før vi er der vi skal være ved fristen vi har satt for å ta kurset – 1. september.
Hvis du nå kommer på at du ikke er en av de 25, så gå gjerne hit.
Les også: Obligatorisk kurs skal bidra til refleksjon
Editorial: Compulsory online course in data protection
“Everyone who handles personal data in their research needs to know which personal data relating to an individual require either the consent of the person concerned or proof that the processing of the data is in the public interest,” writes Vice-Dean Tore Nilssen in this editorial.
The Faculty of Social Sciences has recently launched an online course on protection of personal data in social science research. This course is compulsory for all academic staff and for administrative staff involved in the protection of personal data in research. Soon there will also be a course on protection of personal data in health research, adapted primarily for employees at the Department of Psychology.
The EU’s General Data Protection Regulation, widely known as the GDPR, was incorporated into Norwegian law a few years ago now, so it is high time the Faculty of Social Sciences took steps to ensure our researchers have the required competence in protection of personal data. In reality, this online course is long overdue. The fact that we now finally have one is not least due to input from lawyers at the University Centre for Information Technology (USIT).
Set aside a couple of hours
The online course takes some time to complete, so if you haven’t taken the course yet and are a little green in this area, make sure to set aside a couple of hours – there is quite a lot of content to digest. The highlight is at the end, in the form of a collection of ten interesting cases where you need at least seven correct answers on the multiple choice test to pass the course.
Those of you who are familiar with my research will know that I am no empiricist, making it all the more important for me, as research dean, to be able to prove that I have a good working knowledge of the data protection legislation. Challenges related to data protection arise frequently in our day-to-day work, not least in connection with the PhD programme.
There are many project managers and PhD supervisors who overestimate their own expertise in respect of the GDPR, often resulting in a delay in other necessary work in the administration of the PhD programme. I hope this online course will help resolve this.
Many people are uncertain as to where the line between law and ethics lies, especially in connection with research on people, groups and institutions. I would encourage everyone to take a good look at the updated national research ethics guidelines from the National Committee for Research Ethics in the Social Sciences and the Humanities (NESH) that were issued at the end of last year – ideally before taking the data protection course.
Data protection is important
Everyone who handles personal data in their research needs to know which personal data relating to an individual require either the consent of the person concerned or proof that the data processing is in the public interest. (In most cases in the social sciences, research will in itself constitute an adequate legal basis.) We need to understand the differences between anonymised and pseudonymised personal information. We also need to know the rules for sharing personal data with partners in Norway and internationally. And a whole lot more.
Protection of personal data is extremely important for the people whose data we have access to. We need to be confident that the system around us works, such that the information we handle and process as researchers is well protected. Protection of personal data is a hot topic outside academia as well, and we must be fully able to answer any questions journalists might ask about our data protection routines.
Obligation to know the data protection rules
These considerations are important reasons for the Faculty’s decision to create this online course. In addition, the GDPR also stipulates institutional responsibilities in matters pertaining to protection of personal data, meaning the University – and thus also the Faculty – has a duty to ensure the employees have adequate competence in this area.
Since the online course is conducted in Canvas, completion of the course will be registered in the University’s personnel system. The heads of department, who have personnel responsibility, will regularly be sent lists of who have completed and passed the course.
Excluding the Department of Psychology, since a separate online course is being developed for the researchers there, there are 377 researchers employed at the Faculty. The last time I checked, some two weeks after the course was launched, only 26 employees had taken the course – me and 25 more. So we still have a long way to go before we meet the goal of everyone having taken the course by the deadline of 1 September.
If you are not one of the 25 who have already taken the course, follow the link.