Personuppgifter i forskning

Personuppgifter är all slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet (läs mer på Integritetsskyddsmyndighetens hemsida). Personuppgifter inkluderar också bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Krypterade, kodade eller pseudonymiserade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Vissa personuppgifter anses som särskilt känsliga, till exempel genetiska data och information rörande en individs hälsa.

Det behövs etikgodkännande, och vanligen också personligt samtycke, för att få hantera personuppgifter för forskning.

Pseudonymiserade (kodade) personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med en kod eller liknande. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans. Så länge det finns en kodnyckel som kan användas för att identifiera personerna i studien, även om du som forskare inte har tillgång till den, betraktas de pseudonymiserade uppgifterna fortfarande som personuppgifter och omfattas av dataskyddsförordningen.

Anonymiserade (avidentifierade) personuppgifter

Pseudonymiserade uppgifter anonymiseras när kodnyckeln förstörs och det inte längre är möjligt att koppla en person till uppgifterna. Anonymiserade uppgifter betraktas inte som personuppgifter och omfattas inte av dataskyddsförordningen.

Pseudonymiserade data som är aggregerade (presenteras på gruppnivå) skulle kunna anses vara anonymiserade om man säkerställer att det inte går att spåra individerna.

Det krävs ofta flera steg för att helt anonymisera personuppgifter. För tips om anonymiseringstekniker se sidan från UKDataService.

Hur ska personuppgifter hanteras?

Det måste finnas en rättslig grund och ett tydligt syfte för behandling av personuppgifter. Etiskt godkännande, och vanligtvis också personligt samtycke, behövs vid hantering av personuppgifter för forskning.

Det är viktigt att alla personuppgifter lagras och bearbetas på ett säkert sätt, och att de är skyddade mot åtkomst av obehöriga. Personuppgifter får enbart lagras i system och lösningar som är godkända på KI, som till exempel KI ELN och godkända servrar.

Det är alltid organisationen KI som är personuppgiftsansvarig, aldrig en enskild forskare, och därför ska alla register som innehåller personuppgifter anmälas till dataskyddsombudet på KI. Dataskyddsombudet kan vara behjälplig även med andra frågor kopplade till personuppgiftshantering.

Dela data som innehåller personuppgifter

Helst ska data anonymiseras innan den delas, men det är inte alltid möjligt inom forskningsprojekt på KI. Istället är det då viktigt att pseudonymisera/koda, och ibland dubbelkoda, data samt att säkerställa att data delas på ett säkert sätt.

Om data ska skickas utanför KI måste ett säkert system användas.

Vid överföring av personuppgifter mellan KI och annan organisation kan avtal behövas. Beskrivning av processen för upprättande av avtal vid överföring av personuppgifter.