Forskningsdata med personuppgifter*
[Sidan är under bearbetning]
Forskningsdata med personuppgifter är data som på något sätt, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Det kan till exempel handla om namn, personnummer, e-postadress, etniskt ursprung, hälsotillstånd eller politiska åsikter. Vissa personuppgifter kategoriseras som känsliga.
All behandling av personuppgifter regleras i dataskyddsförordningen (GDPR). Behandling av personuppgifter kan vara allt från insamling, registrering, lagring och bearbetning till utlämning, spridning och radering.
Om du arbetar med personuppgifter behöver du redan i början av forskningsprojektet ...
På ditt lärosäte finns ett dataskyddsombud som kan ...
[bild]
Grundläggande principer
All personuppgiftsbehandling ska ske enligt de grundläggande principer som framgår av artikel 5 i dataskyddsförordningen. Personuppgifterna ska bland annat behandlas på ett lagligt, korrekt och öppet sätt i förhållande till de enskilda individer som berörs. Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är inte tillåtet att senare behandla personuppgifterna på ett sätt som är oförenligt med dessa ursprungliga ändamål. Den personuppgiftsansvarige (oftast lärosätet) ska ansvara för och kunna visa att principerna efterlevs (ansvarsskyldighet).
- Laglighet. Att uppgifterna ska behandlas lagligt innebär att det ska finnas en rättslig grund för behandlingen.
- Korrekthet. Att uppgifterna ska behandlas korrekt innebär att behandlingen ska vara proportionerlig. Det betyder att du inte ska behandla fler uppgifter än du behöver för ditt ändamål.
- Öppenhet. Att uppgifterna ska behandlas på ett öppet sätt innebär att du på ett klart och tydligt sätt ska informera om behandlingen.
Ta kontakt med dataskyddsombudet för att få veta mer om personuppgiftsbehandling vid just ditt lärosäte. Du kan läsa mer om de grundläggande principerna på Integritetsskyddsmyndighetens webbplats.
=> fördjupning dataskyddsförordningen [länk]
Personuppgifter
Definitionen av vad som utgör personuppgifter är mycket vidsträckt. En personuppgift är information som direkt eller indirekt kan kopplas till en nu levande, identifierad eller identifierbar fysisk person.
Direkta och indirekta personuppgifter
Direkta personuppgifter är sådana uppgifter som tydligt identifierar en person, till exempel namn, foto eller personnummer. Indirekta personuppgifter är flera uppgifter som i kombination med varandra kan användas för att identifiera en person. Det kan exempelvis vara bostadsort, medlemskap i en viss förening, IP-adress, registreringsskylt för fordon, information om inkomst eller hälsorelaterade uppgifter. Om orten är liten och där bara finns en person som har ett visst yrke, kan uppgifter om bostadsort och yrke vara tillräcklig information för att identifiera en person som deltar i ett forskningsprojekt.
Känsliga personuppgifter
En särskild kategori av personuppgifter, så kallade känsliga personuppgifter, berör:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i fackförening
- uppgifter om hälsa, sexualliv eller sexuell läggning
- genetiska uppgifter
- biometriska uppgifter som entydigt identifierar en person
- uppgifter om straff, brott eller administrativa sanktionsåtgärder
Känsliga personuppgifter omfattas av särskilda bestämmelser i dataskyddsförordningen. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund i artikel 6, även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten. Två exempel på sådana situationer är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse eller att behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål.
Ytterligare krav tillkommer då på etikprövningstillstånd och lämpliga skyddsåtgärder. En sådan skyddsåtgärd är användning av pseudonymisering.
[Video 1: Förklarande video 1: Personuppgifter och känsliga personuppgifter + behandling]
Pseudonymisering
För att dölja personers identitet kan du pseudonymisera data. Det innebär att du ersätter sådant som direkt identifierar en person, som namn och personnummer, med koder. Då skapas också en kodnyckel som förvaras inlåst och som enbart vissa personer kan komma åt. Så länge kodnyckeln finns kvar går det att koppla ihop data med en specifik individ. Pseudonymiserade data är därför fortfarande personuppgifter och omfattas av dataskyddsförordningen.
Om du förstör kodnyckeln eller raderar allt som identifierar personer, direkt och indirekt, så att det inte längre är möjligt att koppla uppgifterna till en individ så har du avidentifierat, eller anonymiserat, materialet. Då är det inte längre fråga om personuppgifter och dataskyddsförordningen tillämpas inte.
[Förklarande video 2: pseudonymisering + anonymisering]
Bakvägsidentifiering
Data som ska göras tillgängliga behöver kontrolleras så att de inte innehåller information som kan innebära en röjanderisk för de individer som har deltagit i studien. Bakvägsidentifiering är när någon tar ett anonymiserat material och kombinerar olika indirekta identifierare, som uppgift om yrke, kommun och ålder, och på så sätt identifierar en person. Det går att minska risken för bakvägsidentifiering genom att till exempel koda om variabler så att ålder och inkomst anges i större intervall och geografisk plats anges i större områden. Vilka indirekta identifierare som behöver kodas om skiftar mellan olika projekt eftersom risken för bakvägsidentifiering beror på vilken typ av data som samlats in.
[Förklarande video 3: bakvägsidentifiering]
Samtycke [för långt! här eller på en annan sidan?]
En viktig del av dataskyddsregleringen och skyddet för forskningspersonerna är att forskningspersonerna, eller de registrerade som man säger i dataskyddssammanhang, ska få information om hur deras uppgifter kommer att behandlas. (Olika vetenskapliga discipliner använder olika benämningar på deltagare i studier, exempelvis informant, respondent eller intervjuobjekt.)
Till att börja med finns ett krav på att de registrerade ska lämna samtycke där de går med på att delta i själva forskningsprojektet. Detta är reglerat i etikprövningslagen och brukar kallas informerat samtycke. Detta är det allmänna forskningsetiska kravet som säkerställer att deltagandet i forskning är informerat och frivilligt
Ovanpå detta tillkommer ett krav på information om personuppgiftsbehandlingen, det så kallade informationskravet. Dataskyddsförordningen ställer krav på att forskningspersonerna ska informeras om vad som är ändamålet med behandlingen och vilken rättslig grund behandlingen av personuppgifter stödjer sig på. Forskningspersonerna ska också få information om vem som är personuppgiftsansvarig och vilket dataskyddsombud som kan kontaktas. Om uppgifterna samlas in från någon annan, till exempel från ett register, ska detta uppges. Det ska framgå om uppgifterna kommer att lämnas vidare eller lämnas ut samt hur länge uppgifterna ska lagras. Det ska också framgå vart forskningspersonerna kan vända sig för att klaga på behandlingen, vilket oftast är Datainspektionen.
Läs mer: SU.se
Läs mer: HB.se
Lagring av personuppgifter
Precis som andra forskningsdata ska data med personuppgifter lagras säkert utifrån sin säkerhetsklass. Dataskyddsförordningen och övrig lagstiftning ställer också en del krav utöver detta.
Personuppgifter bör inte lagras i en molntjänst eftersom det blir svårare att garantera att data är säkra och att projektet uppfyller de krav som lagen ställer. Med data i en molntjänst riskerar du att personuppgifterna sprids oavsiktligt, eller oavsiktligt överförs till tredjeland (utanför EU). En bättre plats för lagring är till exempel en säker, lösenordsskyddad server.
Kodnyckel och personuppgifter ska förvaras åtskilda och ska skyddas antingen genom lösenordsskyddad dator eller server, eller i säkerhetsskåp.
Kontakta dataskyddsombudet på ditt lärosäte för att avgöra hur data med personuppgifter lagras bäst hos er.
=> fördjupning: ansvar vid forskningsdata med personuppgifter [länk]