Forskningsdata med personuppgifter

En personuppgift är information som direkt eller indirekt kan kopplas till en nu levande, identifierad eller identifierbar fysisk person. Det kan till exempel handla om namn, personnummer, e-postadress, etniskt ursprung, hälsotillstånd eller politiska åsikter. Vissa personuppgifter kategoriseras som känsliga.

All behandling av personuppgifter regleras i dataskyddsförordningen (GDPR). Behandling av personuppgifter kan vara allt från insamling, registrering, lagring och bearbetning till utlämning, spridning och radering.

Grundläggande principer

All personuppgiftsbehandling ska ske enligt de grundläggande principer som framgår av artikel 5 i dataskyddsförordningen. Personuppgifterna ska bland annat behandlas på ett lagligt, korrekt och öppet sätt i förhållande till de enskilda individer som berörs. Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är inte tillåtet att senare behandla personuppgifterna på ett sätt som är oförenligt med dessa ursprungliga ändamål. Den personuppgiftsansvarige (oftast lärosätet) ska ansvara för och kunna visa att principerna efterlevs (ansvarsskyldighet).

  • Laglighet. Att uppgifterna ska behandlas lagligt innebär att det ska finnas en rättslig grund för behandlingen.
  • Korrekthet. Att uppgifterna ska behandlas korrekt innebär att behandlingen ska vara proportionerlig. Det betyder att du inte ska behandla fler uppgifter än du behöver för ditt ändamål.
  • Öppenhet. Att uppgifterna ska behandlas på ett öppet sätt innebär att du på ett klart och tydligt sätt ska informera om behandlingen.

Ta kontakt med dataskyddsombudet för att få veta mer om personuppgiftsbehandling vid just ditt lärosäte. Du kan läsa mer om de grundläggande principerna på Datainspektionens webbplats.

Rättslig grund för personuppgiftsbehandling i forskning

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som räknas upp i artikel 6 i dataskyddsförordningen. För lärosäten och universitet, som är myndigheter, är det nästan utan undantag den rättsliga grunden allmänt intresse som är aktuell vid personuppgiftsbehandling i samband med forskning. Eftersom lärosäten och universitet har ett författningsreglerat uppdrag att bedriva forskning är personuppgiftsbehandlingen nödvändig för att utföra en uppgift av allmänt intresse, vilket alltså utgör den rättsliga grund behandlingen stödjer sig på.

Även samtycke kan vara en rättslig grund för personuppgiftsbehandling. Myndigheter kan dock endast i sällsynta fall använda sig av samtycke som rättslig grund. Anledningen till detta är att det råder betydande ojämlikhet mellan den enskilda registrerade och myndigheten. Även förhållandet mellan en enskild forskningsperson och en forskningshuvudman (vanligtvis ett lärosäte) kan vara präglat av en sådan obalans. För att ett samtycke ska vara giltigt får det inte finnas någon form av beroendeställning mellan forskningspersonen och lärosätet. (Med forskningsperson avses den person som ingår i en forskningsstudie. Olika vetenskapliga discipliner använder olika benämningar på deltagare i studier, exempelvis informant, respondent eller intervjuobjekt.)

Oavsett vilken rättslig grund som används så måste alltid forskningspersonerna få klar och tydlig information om behandlingen av personuppgifterna och vilka rättigheter de har. Rättigheterna innebär bland annat att de ska få information om när och hur deras personuppgifter behandlas och att de ska ha kontroll över sina egna uppgifter.

OBS! Den rättsliga grunden samtycke i dataskyddsförordningens mening är inte kopplat till samtycket till att medverka i forskningen enligt etikprövningslagen (2003:460), se Etikprövning.

Känsliga personuppgifter

En särskild kategori av personuppgifter, så kallade känsliga personuppgifter, berör:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • uppgifter om hälsa, sexualliv eller sexuell läggning
  • genetiska uppgifter
  • biometriska uppgifter som entydigt identifierar en person.

Känsliga personuppgifter omfattas av särskilda bestämmelser i dataskyddsförordningen. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund i artikel 6, även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten. Två exempel på sådana situationer är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse eller att behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål.

Ytterligare krav tillkommer då på etikprövningstillstånd och lämpliga skyddsåtgärder. En sådan skyddsåtgärd är användning av pseudonymisering (läs mer under nästa rubrik).

Direkta och indirekta personuppgifter

Direkta personuppgifter är sådana uppgifter som tydligt identifierar en person, till exempel namn, foto eller personnummer. Indirekta personuppgifter är flera uppgifter som i kombination med varandra kan användas för att identifiera en person. Det kan exempelvis vara bostadsort, medlemskap i en viss förening, IP-adress, registreringsskylt för fordon, information om inkomst eller hälsorelaterade uppgifter. Om orten är liten och där bara finns en person som har ett visst yrke, kan uppgifter om bostadsort och yrke vara tillräcklig information för att identifiera en person som deltar i ett forskningsprojekt.

För att dölja personers identitet kan du pseudonymisera data. Det innebär att du ersätter sådant som direkt identifierar en person, som namn och personnummer, med koder. Det finns en kodnyckel, som förvaras inlåst och som enbart vissa personer kan komma åt. Så länge kodnyckeln finns kvar går det att koppla ihop data med en specifik individ. Pseudonymiserade data är därför fortfarande personuppgifter och omfattas av dataskyddsförordningen. Observera att pseudonymisering kan göras oavsett hur personuppgifterna förekommer i data. Det spelar ingen roll om uppgifterna finns i tydliga kolumner med data (som i en databas), om de är samlade i en informationspost för varje individ (som i information om vem som finns med i en bild) eller om de är spridda i materialet (som namn i en ostrukturerad intervju); det går att pseudonymisera ändå.

Om du förstör kodnyckeln eller raderar allt som identifierar personer, direkt och indirekt, så att det inte längre är möjligt att koppla uppgifterna till en individ så har du avidentifierat, eller anonymiserat, materialet. Då är det inte längre fråga om personuppgifter och dataskyddsförordningen tillämpas inte.

Bakvägsidentifiering 

Data som ska göras tillgängliga behöver kontrolleras så att de inte innehåller information som kan innebära en röjanderisk för de individer som har deltagit i studien. Bakvägsidentifiering är när någon tar ett anonymiserat material och kombinerar olika indirekta identifierare, som uppgift om yrke, kommun och ålder, och på så sätt identifierar en person. Det går att minska risken för bakvägsidentifiering genom att till exempel koda om variabler så att ålder och inkomst anges i större intervall och geografisk plats anges i större områden. Vilka indirekta identifierare som behöver kodas om skiftar mellan olika projekt eftersom risken för bakvägsidentifiering beror på vilken typ av data som samlats in.

Personuppgifter i ljud, bild och video

Innan ljud-, bild- och videofiler görs tillgängliga för vidare forskning är det viktigt att ta hänsyn till dataskyddsförordningen och övrig lagstiftning. En persons ansikte kan lätt användas för att identifiera personen och är därmed en personuppgift. En röst utgör en personuppgift förutsatt att det går att identifiera personen med hjälp av rösten, alltså så länge den inte förvrängs eller har ändrats på grund av ålder eller andra orsaker. Det går ofta inte att anonymisera den här typen av data utan mycket extra arbete och tekniska verktyg, och det kan innebära att data blir helt eller delvis värdelösa för vidare forskning. (En förvrängd röst kan till exempel inte användas för dialektstudier.) Sådana data bör ändå pseudonymiseras i så stor omfattning som möjligt, genom att exempelvis ersätta namn på personer, datum, platser och liknande information med ID-nummer, löpnummer, pseudonymer eller mer generella termer. Rådgör med dataskyddsombudet om du samlar in ljud-, bild- eller videodata som kan innehålla personuppgifter.

Här följer några exempel på ljud-, bild- och videofiler som kan innehålla personuppgifter:

  • röntgenbilder 
  • inspelningar från djup- eller fokusgruppintervjuer 
  • videoinspelning från dansuppvisningar (det kan räcka att se en persons rörelsemönster för att identifiera en person) 
  • ljudinspelningar till dialektstudier 
  • videoinspelningar från klassrum.

Lagring av personuppgifter

Precis som andra forskningsdata ska data med personuppgifter lagras säkert utifrån sin säkerhetsklass. Dataskyddsförordningen och övrig lagstiftning ställer också en del krav utöver detta.

Personuppgifter bör inte lagras i en molntjänst eftersom det blir svårare att garantera att data är säkra och att projektet uppfyller de krav som lagen ställer. Med data i en molntjänst riskerar du att personuppgifterna sprids oavsiktligt, eller oavsiktligt överförs till tredjeland (utanför EU). En bättre plats för lagring är till exempel en säker, lösenordsskyddad server som du vet var den finns.

Kodnyckel och personuppgifter ska förvaras åtskilda och ska skyddas antingen genom lösenordsskyddad dator eller server, eller i säkerhetsskåp.

Kontakta dataskyddsombudet på ditt lärosäte för att avgöra hur data med personuppgifter lagras bäst hos er.