Behandling av personuppgifter

Karlstads universitet är personuppgiftsansvarig för studenters behandling av personuppgifter inom utbildningen. När en student behandlar personuppgifter under universitetets överinseende, likställs studenten med en representant för universitetet. Universitetet ansvarar därmed för att behandlingen är laglig och att de registrerades integritet skyddas.

För vidare information om studenters behandling av personuppgifter, samt handledning och mallar vid uppsatsarbeten, besök:

• GDPR för handledare, lärare och studenter

Definitioner

Behandling (av personuppgifter): allt som görs med personuppgifter. Några exempel på behandlingar är: insamling av personuppgifter genom exempelvis intervjuer (även om inga namn nämns) eller enkäter på webben, visa någon personuppgift på en skärm, utskrift av personuppgifter på en skrivare, spara fil som innehåller personuppgift på en dator, skicka personuppgifter via e-post samt radera en fil som innehåller personuppgifter. Även pappersenkäter innebär som huvudregel en behandling av personuppgifter.

Känsliga personuppgifter: är uppgifter som avslöjar ras  eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Obehöriga: de personer (till exempel dina barn, partner eller klasskompisar) som inte ska ha tillgång till informationen.

Personuppgift: all slags information som direkt eller indirekt kan knytas till en person som är i livet. Exempel på personuppgifter är: familjeförhållanden, privatekonomi, medlemskap, åsikter, kunskaper, religiös tro och mycket mer. 

Uppsatsarbeten: självständiga uppsatsarbeten samt uppsatsarbeten som utgör en del av ett forskningsprojekt.

IT-säkerhet vid behandling av känsliga personuppgifter

Vid Karlstads universitet är det som huvudregel förbjudet för studenter att behandla känsliga personuppgifter Det finns dock undantagssituationer. Känsliga personuppgifter får exempelvis hanteras i självständiga uppsatsarbeten av studenter i de ämnen som har fått ett undantag av dekan. Säkerställ med din handledare att du har rätt att behandla känsliga personuppgifter och att personuppgiftsbehandlingen har diarieförts i universitetets register över behandling av personuppgifter i uppsatsarbeten innan du påbörjar insamlingen av personuppgifter.

Studenterna får endast behandla känsliga personuppgifter på IT-tekniska lösningar och tjänster som IT-chefen har bedömt ha adekvat skydd för den aktuella typen av uppgifter och i enlighet med framtagna instruktioner. All annan hantering av känsliga personuppgifter är inte tillåten och kan medföra disciplinära påföljder. Vilka system som kan användas och instruktioner på hur dessa ska användas finns här: 

• Säker uppsats

Molntjänster och andra externa tjänster

Externa molntjänster som inte tillhandahålls av Karlstads universitet får inte användas för behandling av personuppgifter. Detta inkluderar lagringstjänster som Dropbox, Google docs, iCloud med flera. 

En aktuell förteckning över godkända tjänster finns på:

• Tjänster

Inloggning till dessa tjänster ska ske via Karlstads universitets länkar.

IT-säkerhet vid behandling av personuppgifter (ej känsliga personuppgifter)

Karlstads universitet rekommenderar att studenter använder Microsoft 365 (M365) genom att logga in på:

• office.com 

Studenten loggar in med sitt KauID och arbetar med dokumenten i Office Online för att hantera personuppgifter. Studenter kan logga in på M365 från vilken enhet som helst med sitt KauID. M365 erbjuder säker och smidig lagring samt goda möjligheter till samarbete, och har även funktioner för säkerhetskopiering som studenten själv kan återställa enligt instruktioner på Microsofts hemsida .

Om en student föredrar att använda egen IT-utrustning, ska detta ske i samråd med handledaren. Dock är det viktigt att studenten i sådana fall säkerställer en adekvat säkerhetskopiering som inte en obehörig kan ta del av. 

M365 eller egen IT-utrustning får aldrig användas för känsliga personuppgifter; för sådana fall ska alltid den av universitetet framtagna säkra tekniska lösningen användas.

För att skydda informationen i M365 ska stark autentisering aktiveras senast den 31 december 2025. Aktivera därför stark autentisering så snart som möjligt enligt instruktionerna på:

• Microsoft 365

Synkning från M365 till egen IT-utrustning ska vara avstängd och nedladdning av personuppgifter ska ske endast efter handledarens godkännande. Dock kan utkast av uppsatsen samt den färdiga uppsatsen laddas ner till egen IT-utrustning för att till exempel kunna skrivas ut. 

Vid användning av Microsoft 365-appen på mobila enheter är det viktigt att aktivera en PIN-kod för att förhindra obehörig åtkomst till informationen i M365. 

Chromebooks, mobiltelefoner eller surfplattor får endast användas när studenten arbetar i M365, på grund av att dessa ofta har säkerhetskopiering aktiverad till molntjänster som universitetet inte har avtal med, till exempel iCloud. Mobiltelefoner och surfplattor får dock användas för inspelning av intervjuer.

Mer information om säkerhetskopiering och återställning av filer:

• Microsoft restore a previous version of a file in onedrive

IT-säkerhetsåtgärder för egen dator

För att studenterna ska kunna hantera personuppgifter i uppsatsarbeten behöver behandlingen ske med tillräcklig säkerhet på studentens egen dator. Kraven för Linux/Unix-datorer är motsvarande de för Windows och macOS, men beskrivs inte på denna sida.

Detta innebär att datorer som används för uppsatsarbeten behöver:

• skyddas med ett bra lösenord
• ha ett antivirus installerat och aktiverat
• säkerställa att operativsystemets inbyggda brandvägg är aktiverad
• datorns operativsystem och programvara som används ska också vara uppdaterade med nödvändiga säkerhetsuppdateringar. Gamla operativsystem som till exempel Windows 7 och 8.1, äldre versioner av Windows 10 före 23H2 respektive äldre macOS versioner före version 13, får inga säkerhetsuppdateringar längre och är därmed inte säkra att använda.

Länkar för säkerhetsåtgärder:

• Brandvägg för Windows
• Brandvägg för MacOS
• Uppdatera Windows
• Uppdatera MacOS

Olika programvaror har olika sätt att uppdatera. Några exempel på vanliga program:

• Office
• Adobe PDF Reader
• Firefox
• Chrome

Mer information om hur man uppdaterar de program man använder finns i hjälpen till programmet eller på företagets webb.

• Vilken Windowsversion datorn har
• Vilken version av MacOS datorn har

IT-säkerhetsåtgärder för egen mobiltelefon och surfplatta

Vid användning av mobiltelefon eller surfplatta ska följande säkerställas:

• enheten skyddas av en svårgissad PIN-kod
• operativsystemet och apparna på enheten är uppdaterade med nödvändiga säkerhetsuppdateringar.

Externa USB-minnen, USB-hårddiskar och pappershandlingar

Vid användning av externa lagringsmedia, såsom USB-minnen eller externa hårddiskar, för att lagra personuppgifter är det viktigt att dessa hålls under uppsikt eller låses in för att förhindra obehörig åtkomst till den sparade informationen. Även pappershandlingar, exempelvis utskrifter, som innehåller personuppgifter ska hållas under uppsikt eller låsas in för att skydda dem från obehörig åtkomst.

Inloggningsuppgifter

Lösenord används för att skydda din information på IT-tjänster och datorer, så att angripare och obehöriga inte kan läsa eller förstöra din information. Därför är det viktigt att skapa ett starkt lösenord som gör det svårt för angripare att komma åt din information. Här är några råd baserade på Internetstiftelsens rekommendationer för att skapa ett bra lösenord:

• Ett unikt lösenord för varje tjänst. Världens bästa lösenord kan bli världens sämsta om du använder det till allt. Läcker lösenordet till en tjänst har den som vill göra intrång plötsligt tillgång till alla dina tjänster. Se därför till att ha olika lösenord för olika tjänster, och använd aldrig samma lösenord på ditt KauID som du har eller har haft på externa tjänster (som exempelvis Google, Spotify eller Netflix). Du ska inte heller återanvända samma lösenord som du har haft tidigare, till exempel på föregående skolor.
• Använd ovanliga och opersonliga lösenord. Glöm Sommarlov2023 eller Swifties4Ever. Ett starkt lösenord är ovanligt och innehåller ingenting som kan kopplas till dig som person.
• Tänk långt när det gäller lösenord. Ju längre ett lösenord är desto svårare är det att knäcka, ett lösenord ska ha minst 10 tecken. Genom att tänka i fraser blir lösenordet lättare att komma ihåg än ett gäng bokstäver och siffror huller om buller. Med fyra slumpmässigt valda ord kommer du långt.

För mer tips och information om att skapa bra lösenord:

• Internetkunskap starka lösenord

Pinkod

Pinkoder ska som lösenord vara svåra att gissa, välj därför pinkoder som inte har någon koppling till dig som person. Exempel på dåliga pinkoder är siffror i följd som 1234 eller 0000. Även pinkoder som är kopplade till ditt, din partners eller dina barns födelsedatum är även exempel på dåliga pinkoder. Långa pinkoder är säkrare än korta, precis som med lösenord. Använd därför, om möjligt, pinkoder som är sex tecken eller längre. 

Inspelning av intervjuer

När du ska genomföra en intervju, börja då med att tänka på vilken plats du befinner dig på. Du behöver säkerställa att inga obehöriga kan ta del av samtalet. Lämpliga lokaler är till exempel de grupprum som finns på universitetet. 

Inspelning via M365 

För en enkel och smidig hantering kan inspelning av en intervju ske direkt till M365 genom att installera appen från Microsoft, M365 Copilot, på din mobiltelefon eller surfplatta. Förutom att ljudfilen lagras direkt i M365 så får du även möjlighet att transkribera ljudfilen till en Wordfil i M365. 

Observera! Transkriberingen i M365 kommer att innehålla felaktigheter. Därför ska studenten lyssna igenom ljudfilen och korrigera fel.

Om studenten väljer att använda appen på mobiltelefon eller surfplatta är det viktigt att aktivera en PIN-kod på enheten och säkerställa att inga obehöriga får tillgång till dessa. Om en obehörig får tillgång till mobiltelefonen eller surfplattan kan denne inte bara få åtkomst till informationen, utan även förstöra eller förvanska informationen i M365.

• Microsoft 365 och stream

Inspelning om M365 inte är möjligt

Om studenten efter samråd med handledaren finner att det nödvändigt att spela in intervjuer på annat sätt än direkt till M365kan det göras enligt följande sätt:

Via Zoom
Inspelning i Zoom kan ske om datorn, mobiltelefonen eller surfplattan som används har tillräcklig säkerhet. När inspelningen sker i Zoom skapas två filer, en ljudfil och en videofilm. Videofilmen ska raderas så fort intervjun är avslutad såvida inget annat är i förväg överenskommet med din handledare.

Via dator
Lokal programvara i datorn med tillräcklig säkerhet kan användas för att spela in intervjun förutsatt att ingen synkning sker av ljudfilen till en molntjänst som Karlstads universitet inte har avtal med.

Via mobil eller surfplatta
Följande steg behöver tas om en mobiltelefon eller surfplatta som har tillräcklig säkerhet användas för att spela in intervjun:

1. Sätt mobiltelefonen eller surfplattan i flygplansläge, säkerställ att WiFi är avstängd
2. Utför intervjun
3. Kopiera filen med intervjun via en kabel till datorn med tillräcklig säkerhet
4. Radera filen som innehåller intervjun från mobilen eller surfplattan
5. Ta mobilen eller surfplattan ur flygplansläge

Via en diktafon (som inte är ansluten till internet)
Så länge intervjun är sparad på diktafonen måste den hanteras på ett sådant sätt att obehöriga inte ska kunna höra den inspelade intervjun som har möjlighet att göra detta. Detta kan ske genom att du har uppsikt över diktafonen så länge den innehåller intervjun eller att du låser in diktafonen. När intervjun är sparad på en dator med tillräcklig säkerhet och sedan raderad från diktafonen behöver ingen speciell hantering ske på diktafonen.

Transkribering

Vid transkribering av intervjuer, det vill säga när intervjuer skrivs ner i skriftlig form från ljudfiler, kan detta genomföras på två olika sätt, i M365 eller manuellt av studenten. 

• Transkribering i M365. Studenten laddar upp ljudfilen i M365 för att få den transkriberad automatiskt. Observera! Transkriberingen i M365 kommer att innehålla felaktigheter. Därför ska studenten lyssna igenom ljudfilen och korrigera fel.
• Manuell transkribering. Transkriberingen utförs manuellt genom att lyssna av ljudfilen och skriva ner informationen i text av de studenter som deltar i uppsatsarbetet, använd i första hand Word i M365, Office online. I de fall det inte är möjlig kan Word på en dator med tillräcklig säkerhet användas efter samråd med din handledare. 

Instruktioner hur man laddar upp ljudfil i Word och får dessa transkriberade:

• Microsoft transcribe your recordings

Radering efter avslutat uppsatsarbete

Efter att uppsatsarbetet är avslutat ska allt arbetsmaterial som innehåller personuppgifter raderas från Säker uppsats, M365, datorn och eventuella externa lagringsmedier, såsom USB-minnen. Glöm inte att även tömma papperskorgen i M365 och på datorn.

Eventuella utskrivna handlingar som innehåller personuppgifter ska förstöras innan de kastas. Se till att förstöra dessa handlingar genom att klippa sönder pappren i mindre bitar eller använda en dokumentförstörare (papperstugg), om sådan finns tillgänglig.