Planera din datainsamling

Forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Forskningshuvudmannen har bland annat det övergripande ansvaret för att forskningen utförs i enlighet med god forskningssed. När det gäller det forskning på känsliga personuppgifter anges forskningshuvudmannen i etikansökan och är högst ansvarig för ansökan.

Det är inte ovanligt att en verksamhet ansöker om etikprövning för projekt som ska genomföras i samarbete med andra verksamheter. Typexemplet här är ett universitet som tillsammans med universitetssjukhus ska genomföra ett forskningsprojekt. Båda verksamheterna måste då anges som forskningshuvudmän i ansökan, i annat fall riskerar den verksamhet som inte anges i ansökan att bedriva forskningen utan tillstånd. Varje forskningshuvudman är bara ansvarig för den del av forskningsprojektet som utförs i den egna verksamheten.

Det är viktigt att slå fast om forskningsprojektet kommer att behandla personuppgifter eller inte. Kom ihåg att kodade (pseudonymiserade) personuppgifter är personuppgifter, även om kodnyckeln eller kodlistan förvaras vid en annan verksamhet. Det är först när kodnyckeln är förstörd och det inte går att bakvägsidentifiera individer ur materialet som uppgifterna upphör att vara personuppgifter.

Om man i projektet kommer att behandla känsliga personuppgifter för forskningsändamål krävs ett godkännande från Etikprövningsmyndigheten. Man behöver även vidta särskilda och lämpliga tekniska och organisatoriska skyddsåtgärder.

Om forskningen rör personuppgifter i någon form är det viktigt att identifiera vem eller vilka som är personuppgiftsansvariga för personuppgiftsbehandlingen. I svensk statligt finansierad forskning är detta nästan alltid forskningshuvudmannen. Det kan också var bra att redan från början bedöma om något personuppgiftsbiträde ska användas eller om forskningsdata ska delas med en annan personuppgiftsansvarig. Detta blir särskilt viktigt att klargöra när flera parter är inblandade i ett forskningsprojekt.

Det är viktigt att forskningsprojektet följer de grundläggande principerna i GDPR vid insamling och behandling av personuppgifter. Detta innebär till exempel att uppgifterna bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att inte fler uppgifter än nödvändigt samlas in. Den rättsliga grunden för att samla in och forska på personuppgifter vid lärosäten är normalt sett allmänt intresse.

Läs mer om behandling av personuppgifter och rättslig grundÖppnas i en ny tabb.

Den personuppgiftsansvarige behöver också göra en analys av eventuella risker för de registrerades personliga integritet innan en behandling av personuppgifter påbörjas. Analysera vilka riskerna med behandlingen av personuppgifterna kan vara och föreslå säkerhetsåtgärder. I vissa fall, när riskerna bedöms vara höga, behöver det göras en mer omfattande konsekvensbedömning. Alla riskanalyser ska dokumenteras så att ni kan visa att ni följer GDPR.

Enligt GDPR är huvudregeln att de vars personuppgifter behandlas har rätt att få information om behandlingen, det så kallade informationskravet. Ofta ges forskningspersoner information om behandlingen av personuppgifter tillsammans med information om forskningsprojektet i de fall man hämtar in informerat samtycke enligt kraven i etikprövningslagen och allmänna forskningsetiska principer. Som minst behöver man berätta om vilken rättslig grund som behandlingen vilar på, vilket ändamål den har och vem som är personuppgiftsansvarig. Det är också viktigt att ange en kontaktperson och kontaktuppgifter till eventuellt dataskyddsombud. Det finns vissa undantag från informationskravet, till exempel om det är omöjligt att ge informationen. Detta kan till exempel gälla vid registerforskning.

Läs mer om rätten till information och GDPRÖppnas i en ny tabb hos Integritetsskyddsmyndigheten (IMY).

Även etikprövningslagen ställer krav på att forskningspersoner ska få information innan ett samtycke för att delta i forskningen hämtas in (s.k. informerat samtycke). Man kan därför säga att det finns ett dubbelt informationskrav: dels utifrån etikprövningslagens bestämmelser, dels utifrån GDPR.

Läs mer om etikprövningslagens informationskravÖppnas i en ny tabb hos Etikprövningsmyndigheten.

Kommer forskningsdata att hämtas in från en annan myndighet? Det är inte ovanligt att forskare vill använda olika källor för att hämta in befintliga data, till exempel registerdata från SCB eller Socialstyrelsen. Dessa myndigheter gör (precis som ett lärosäte ska göra) en sekretessprövning innan de lämnar ut data. De begär ofta att mottagaren visar ett etikgodkännande (när sådant krävs), frågar vilket sekretesskydd data kommer att ha hos mottagaren, och för vilket ändamål data begärs ut. Undersök vilka krav den utlämnande myndigheten ställer för att lämna ut data och hur lång tid det beräknas ta.

Även när data med personuppgifter samlas in direkt från forskningspersoner behöver man ha en uppfattning om huruvida data kommer att regleras av någon sekretess vid det egna lärosätet och i så fall vilken. Det har bland annat betydelse för hur data kan delas med andra i ett senare skede. Forskningsdata med personuppgifter regleras ofta av den så kallade forsknings- och statistiksekretessen i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400, OSL) och 7 § sekretessförordningen (2009:641) samt av den så kallade dataskyddssekretessen i 21 kap. 7 § OSL.

De flesta organisationer har interna riktlinjer för informationsklassning, vilket i sin tur påverkar exempelvis vilka digitala verktyg och lagringslösningar som bedöms som lämpliga.