Personuppgifter i forskning

Den allmänna dataskyddsförordningen (GDPR, eller Dataskyddsförordningen) är relevant för hantering av forskningsdata när personuppgifter ingår i forskningen.

Dataskyddsförordningen (GDPR)

För aktuell information se GDPR på Karolinska Institutet.

Vad är personuppgifter?

gdpr
-

Personuppgifter är all slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet (läs mer på Datainspektionens hemsida). Personuppgifter inkluderar också bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Krypterade, kodade eller pseudonymiserade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Vissa personuppgifter anses som särskilt känsliga, till exempel genetiska data och information rörande en individs hälsa.

Det behövs etikgodkännande, och vanligen också personligt samtycke, för att få hantera personuppgifter för forskning.

Pseudonymiserade (kodade) personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med en kod eller liknande. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans. Så länge det finns en kod som kan användas för att identifiera personerna i studien betraktas de pseudonymiserade uppgifterna fortfarande som personuppgifter och omfattas av dataskyddsförordningen.

Anonymiserade (avidentifierade) personuppgifter

Uppgifterna anonymiseras när kodnyckeln förstörs och det inte längre är möjligt att koppla en person till uppgifterna. Anonymiserade uppgifter betraktas inte som personuppgifter och omfattas inte av dataskyddsförordningen.

Det krävs ofta flera steg för att helt anonymisera personuppgifter. För tips om anonymiseringstekniker se sidan från UKDataService.

Hur ska personuppgifter hanteras?

Det måste finnas en rättslig grund och ett tydligt syfte för behandling av personuppgifter. Etiskt godkännande, och vanligtvis också personligt samtycke, behövs vid hantering av personuppgifter för forskning.

Det är viktigt att alla personuppgifter lagras och bearbetas på ett säkert sätt, och att de är skyddade mot åtkomst av obehöriga. Personuppgifter får enbart lagras i system och lösningar som är godkända på KI, som till exempel KI ELN och godkända servrar.

Det är alltid organisationen KI som är personuppgiftsansvarig, aldrig en enskild forskare, och därför ska alla register som innehåller personuppgifter anmälas till dataskyddsombudet på KI. Dataskyddsombudet och KI:s jurister kan vara behjälpliga även med andra frågor kopplade till personuppgiftshantering.

Dela data som innehåller personuppgifter

Helst ska data anonymiseras innan den delas, men det är inte alltid möjligt inom forskningsprojekt på KI. Istället är det då viktigt att pseudonymisera/koda, och ibland dubbelkoda, data samt att säkerställa att data delas på ett säkert sätt.

Om data ska skickas utanför KI måste den krypteras, alternativt att externa samarbetspartners ges tillgång till en säker server på KI.

Vid frågor gällande delande av data som innehåller personuppgifter, kontakta din lokala IT på instititutionen eller ITA.

När personuppgifter delas utanför KI så ska biträdesavtal tecknas med mottagaren av data. Kontakta KI:s jurister för avtalsmall.

Video om personuppgifter från SND

Kontakta KI:s jurister

Vid frågor kring Dataskyddsförordningen kontakta avtal@ki.se.