Med god forskningssed avses den moraliska praxis som utvecklas då forskningens olika aktörer i dialog med det omgivande samhället kritiskt reflekterar kring forskningsverksamheten. De principer på vilken en sådan praxis vilar finns beskrivna i olika dokument, däribland den europeiska kodexen för forskningens integritet Länk till annan webbplats, öppnas i nytt fönster. som publiceras av All European Academies, ALLEA.

Med oredlighet i forskning avses en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering (FFP) som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning.

Fabricering innebär att man hittar på resultat och dokumenterar dem som om de vore riktiga.

Förfalskning innebär att forskningsmaterial, utrustning eller processer manipuleras, eller att uppgifter eller resultat ändras, utelämnas eller undanhålls utan att det är vetenskapligt motiverat.

Plagiering innebär att andra personers arbete eller idéer används utan att den ursprungliga källan anges på korrekt sätt.

För att handlingar av dessa slag ska kunna räknas som oredlighet ska de vara av allvarligt slag och begås uppsåtligen eller av grov oaktsamhet.

Avvikelse från god forskningssed är ett bredare begrepp än oredlighet i forskning som också innefattar andra förseelser. Exempel på sådana kan vara att inte inhämta informerat samtycke från forskningspersoner, inte ansöka om tillstånd från etikprövningsmyndighet när så är erforderligt, bryta mot sekretess- och arkiveringsbestämmelser, otillbörligen försvåra eller försena arbetet för andra forskare, manipulation av författarskap, eller att ägna sig åt så kallad självplagiering.

Lagar och förordningar som reglerar god forskningssed och avvikelser från sådan förutsätter att den aktivitet som kommer i fråga är ett exempel på forskning och inte, exempelvis, vård, undervisning, konst, journalistik eller en marknadsundersökning. En exakt avgränsande definition av forskning är svår att ge, men i forskningsetiska sammanhang avses kunskapsproducerande aktiviteter som bedrivs med hjälp av vetenskapliga metoder på grundval av vetenskapliga teorier, företrädesvis på universitet, högskolor, vetenskapliga institut eller i andra liknande miljöer. Med vetenskapliga teorier och metoder avses sådana som är accepterade av forskarsamhället, en bred definition som bör tolkas som teorier och metoder som används av någon etablerad forskargrupp i världen. Som regel finns det även en huvudman vid sidan av forskaren som är ansvarig för att god forskningssed efterlevs. I vårt fall är forskningshuvudmannen Södertörns högskola.

I forskningsetiska sammanhang innebär forskning sådan aktivitet som syftar till att generera resultat som skall publiceras i vetenskapliga forum: artiklar i vetenskapliga tidskrifter, monografier och antologibidrag. Exakt vad som räknas som en vetenskaplig publikation är svårt att ange men kategorin är alltså bredare än artiklar och bokbidrag som genomgår så kallad peer review. Som regel är uppsatser som författas av studenter på grund- eller avancerad nivå (magister eller master) inte forskning om inte studenten eller handledaren (eller bägge) har för avsikt att publicera resultaten på ett annat sätt än i form av själva uppsatsen. Doktoranders kunskapsgenererande aktiviteter på väg mot avhandlingen räknas alltid som forskning. Presentation av forskning och dess resultat utanför forskarsamhället och undervisningen (tredje uppgiften) räknas som regel som populärvetenskap (vilket alltså inte är forskning). Avgränsningen mellan vetenskaps- och kulturjournalistik och forskning kan vara svår att göra, särskilt när det gäller samhällsvetenskap och humaniora, men som regel bör forskaren ställa sig frågan om den publikation där forskningen presenteras förutsätts läsas av andra forskare inom det område där forskaren är verksam (förutom av den intresserade allmänheten). I så fall är det forskning.

Vad är en personuppgift?

En personuppgift är information som direkt eller indirekt kan kopplas till en nu levande, identifierad eller identifierbar fysisk person. Det innebär att avlidna personer inte omfattas av GDPR. Exempel på personuppgifter är namn, adress, e-postadress och personnummer. Även bild- och ljudupptagningar, till exempel inspelade intervjuer, kan betraktas som personuppgifter.

Känsliga personuppgifter och personuppgifter om lagöverträdelser

Forskningsprojekt som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser måste genomgå godkänd etikprövning innan forskningen påbörjas. Mer information om etikprövning finns nedan under rubriken Etikprövning.

Känsliga personuppgifter är uppgifter om

• etniskt ursprung (hit räknas också frågor om det ibland kallas ”ras”)
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter (till exempel uppgifter från DNA-analys)
• biometriska uppgifter (till exempel ansiktsigenkänning eller fingeravtryck)

Personuppgifter om lagöverträdelser är uppgifter om att någon har begått ett brott, blivit fälld i domstol i ett brottmål, blivit föremål för så kallade straffprocessuella tvångsmedel (till exempel häktning, reseförbud eller beslag) och misstänkts för ett konkret brott.

Integritetskänsliga personuppgifter

Det finns många andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara

• löneuppgifter
• uppgifter om lagöverträdelser
• värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
• information som rör någons privata sfär
• uppgifter om sociala förhållanden
• personnummer

Dessa personuppgifter klassas som integritetskänsliga personuppgifter och kräver därför en högre säkerhetsnivå jämfört med harmlösa personuppgifter (till exempel namn, e-postadress och telefonnummer).

Grundläggande principer

I GDPR uppställs ett antal grundläggande principer som ska genomsyra all personuppgiftsbehandling. Principerna, som framgår nedan, bör man ha i bakhuvudet när man arbetar med personuppgifter.

• Behandla inte fler personuppgifter än vad som är nödvändigt.
• Samla bara in personuppgifter för specifika och berättigade ändamål.
• När personuppgifterna inte längre behövs för ändamålet ska dessa enligt GDPR raderas eller avidentifieras. Observera dock att när det gäller forskningsdata ska sådan data bevaras och gallras i enlighet med högskolans informationshanteringsplan.
• Personuppgifterna ska skyddas genom att vidta lämpliga säkerhetsåtgärder.

Ändamål med personuppgiftsbehandlingen

Enligt GDPR ska all behandling av personuppgifter ha ett särskilt, uttryckligt angivet och berättigat ändamål. I ett forskningsprojekt är ändamålet att utföra den forskning som projektet avser att genomföra.

Rättslig grund

Utöver att det ska finnas ett tydligt ändamål med personuppgiftsbehandlingen måste behandlingen ha stöd i någon av de sex rättsliga grunder som uppställs i GDPR. De rättsliga grunder som framför allt kan komma i fråga för den forskning som bedrivs vid Södertörns högskola är att personuppgiftsbehandling är nödvändig för att utföra en uppgift av allmänt intresse samt samtycke.

Nödvändig personuppgiftsbehandling för att utföra en uppgift av allmänt intresse

Personuppgifter får samlas in och behandlas om det är nödvändigt för att utföra en uppgift av allmänt intresse. Uppgift av allmänt intresse måste framgå av lag eller annan författning. Uppgiften att forska är fastställd genom bestämmelser i högskolelagen. Det innebär att när det är nödvändigt att behandla personuppgifter för att utföra forskningen kan forskare använda sig av den rättsliga grunden uppgift av allmänt intresse.

För att bedöma om en personuppgiftsbehandling är nödvändig ska man göra en rimlighetsbedömning där man tittar på vilka alternativa sätt det finns att genomföra forskningen. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonymiserade uppgifter som med personuppgifter, kan personuppgiftsbehandlingen inte anses vara nödvändig.

Samtycke som rättslig grund

Enligt GDPR ska ett samtycke vara frivilligt, specifikt och informerat samt lämnat genom ett uttalande eller en entydigt bekräftande handling. Av medgivandet ska det framgå att personen godkänner behandlingen av personuppgifterna. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den som lämnar sitt samtycke och den personuppgiftsansvarige (Södertörns högskola) som gör att samtyckets frivillighet kan ifrågasättas. Om ett forskningsprojekt avser att samla in personuppgifter från anställda eller studenter vid Södertörns högskola kan ett beroendeförhållande anses föreligga.

Samtycke som rättslig grund kan användas vid till exempel forskningssamverkan med privata eller internationella organisationer. Detta beror på att dessa aktörer inte alltid kan använda sig av den rättsliga grunden uppgift av allmänt intresse.

För frågor om rättslig grund, kontakta dataskydd@sh.se.

Etiskt samtycke till att delta i forskning

En grundläggande forskningsetisk princip är att inhämta informerat samtycke från den som avser att delta i forskningen. Syftet med att inhämta informerat samtycke är bland annat att skydda den som avser att delta i forskningen och respektera dennes rätt till självbestämmande. Ett etiskt samtycke till att delta i forskning är inte samma sak som ett samtycke till behandling av personuppgifter – det är två olika delar.

När ska en konsekvensbedömning göras?

Om en personuppgiftsbehandling sannolikt leder till en hög risk för enskildas fri- och rättigheter ska en konsekvensbedömning göras. Syftet med att genomföra en konsekvensbedömning är att identifiera och förebygga risker. En konsekvensbedömning ska som utgångspunkt genomföras innan personuppgiftsbehandlingen påbörjas. På så sätt minimeras risken för att högskolan påbörjar en behandling som senare måste förändras på grund av att den inte uppfyller kraven i GDPR. En konsekvensbedömning kan vara till hjälp vid bedömningen av vilka säkerhetsåtgärder som behövs eller vilka tekniska lösningar som bör väljas för att minimera identifierade risker.

En konsekvensbedömning ska exempelvis göras om personuppgiftsbehandlingen består av känsliga personuppgifter i stor omfattning. En konsekvensbedömning kan också behöva göras om man i ett forskningsprojekt behandlar personuppgifter i stor omfattning om personer som av något skäl befinner sig i ett underläge eller i beroendeställning, till exempel barn, anställda, asylsökande, äldre och patienter.

Mer information om när och hur en konsekvensbedömning ska göras finns under ”Rättslig vägledning”.

Informationssäkerhet och valet av skyddsåtgärder

Enligt GDPR ska all personuppgiftsbehandling för forskningsändamål omfattas av lämpliga skyddsåtgärder. På Södertörns högskola pågår just nu ett arbete med att ta fram ett ramverk för informationssäkerhet. Ett sådant ramverk innebär bland annat att information, till exempel personuppgifter, ska klassas utifrån vissa parametrar. Vid klassning kommer till exempel känsliga personuppgifter få en högre klassning och därmed högre skyddsvärde än övriga personuppgifter. Under tiden högskolan arbetar med att ta fram ett ramverk för informationssäkerhet ges följande vägledning.

Valet av skyddsåtgärder är beroende av vilken typ av personuppgifter som behandlas inom forskningsprojektet. Även antalet personuppgifter spelar roll. Kryptering och åtkomstsyrning är exempel på tekniska och administrativa skyddsåtgärder som kan vidtas när det bedöms lämpligt. En viktig princip i GDPR är principen om uppgiftsminimering. Principen innebär att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Samla därför inte in fler personuppgifter än vad som behövs.

Vid behandling av känsliga personuppgifter är det särskilt viktigt att begränsa åtkomsten till uppgifterna genom att se till att endast behöriga har tillgång till uppgifterna. Sådana uppgifter ska inte mejlas (i vart fall inte okrypterat) eller lagras i Microsofts molntjänster. För mer information om lagring av forskningsdata se avsnitt "Lagring av forskningsdata".

För mer information om vilka skyddsåtgärder som bör vidtas vid behandling av personuppgifter, kontakta dataskydd@sh.se. För frågor som är av teknisk karaktär (till exempel lagringslösningar eller tekniska säkerhetslösningar), kontakta cit@sh.se.

Pseudonymisering

En skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål är pseudonymisering. Pseudonymiserade personuppgifter innebär att personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter (kodnyckel). För att personuppgifter ska anses vara pseudonymiserade krävs det att dessa kompletterande uppgifter förvaras separat och skyddas av åtgärder som säkerställer att de inte kan användas för att identifiera personen. Observera att pseudonymisering inte är samma sak som anonymisering. Vid pseudonymisering ersätts till exempel personnummer med en kod. Koden kan kopplas ihop med personnummer på nytt genom kodnyckeln. Personuppgifterna är alltså inte avidentifierade eftersom det fortfarande finns kompletterande uppgifter, dvs. kodnyckeln, som kan identifiera en individ. Pseudonymiserade uppgifter anses utgöra personuppgifter och omfattas därför av GDPR. Om kodnyckeln förstörs och det inte längre är möjligt att koppa en individ till uppgifterna anses uppgifterna vara anonymiserade. Anonymiserade uppgifter anses inte utgöra personuppgifter och omfattas därför inte av GDPR. Det kan dock vara svårt att avidentifiera personuppgifter som förekommer i forskningsdata då man måste se till att alla möjligheter att identifiera en person har tagits bort ur uppgifterna.

Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser

Det ställs särskilda krav på skyddsåtgärder vad gäller forskningsdata som innehåller känsliga personuppgifter och personuppgifter om lagöverträdelser. Forskning som innefattar sådana uppgifter får inte påbörjas innan den har godkänts vid en etikprövning.

Utgångspunkten i GDPR är att personuppgifter endast får sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen. Eftersom Södertörns högskola är en statlig myndighet innebär det att forskningsdata som skapas vid högskolan ofta utgör allmänna handlingar. Forskningsdata omfattas därmed av arkivlagstiftningen. Av högskolans informationshanteringsplan Öppnas i nytt fönster., som utgår från Riksarkivets föreskrifter, framgår vilka forskningshandlingar som ska bevaras och gallras.

För frågor om gallring och arkivering, kontakta arkivarie@sh.se.

Personer som deltar i forskningsprojekt ska få information om personuppgiftsbehandlingen och vilka rättigheter de har enligt GDPR. Av informationen ska det bland annat framgå vem som är ansvarig för personuppgiftsbehandlingen och ändamålet med behandlingen.

Deltagarna behöver även få tydlig och utförlig information om vad det innebär att delta i studien (till exempel vilka metoder som kommer att användas och hur deltagarna kan ta del av studiens resultat.). För mer information, se plusboxarna under Etikprövning nedan. Under avsnittet ”Användbara mallar inom forskningsprojekt” finns mallar för informationstext och samtyckesblankett som forskare kan använda sig av.

All personuppgiftsbehandling som förekommer i forskningsprojekt ska tas upp i en registerförteckning. Enligt GDPR är personuppgiftsansvariga skyldiga att föra ett register över sina personuppgiftsbehandlingar. Registerförteckningen ska på begäran kunna göras tillgänglig för Integritetsskyddsmyndigheten.

En registerförteckning ska endast beskriva själva personuppgiftsbehandlingen (till exempel vilka personuppgifter som behandlas och varför). Förteckningen ska alltså inte innehålla någon information om de faktiska personuppgifterna som förekommer i personuppgiftsbehandlingen.

Under avsnittet ”Användbara mallar inom forskningsprojekt” finns en mall för registerförteckning som forskare kan använda sig av. Forskaren ansvarar för att fylla i och förvara registerförteckningen under tiden projektet pågår. Om personuppgiftsbehandlingen förändras under pågående projekt kan registerförteckningen behöva uppdateras av forskaren.

Nedan följer en checklista som sammanfattar informationen som framgår i plusboxarna ovan. Checklistan innehåller ett antal punkter som är viktigt att tänka på redan i planeringsfasen av ett forskningsprojekt.

• Ta ställning till om personuppgifter kommer att behandlas i forskningsprojektet. Observera att även pseudonymiserade uppgifter anses vara personuppgifter enligt GDPR, oavsett om kodnyckeln finns här på högskolan eller hos ett annat företag eller myndighet.
• För det fall känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas behöver forskaren ansöka om etikprövningstillstånd hos Etikprövningsmyndigheten.
• Utred vem eller vilka som är personuppgiftsansvarig för personuppgiftsbehandlingen. Om det föreligger ett gemensamt personuppgiftsansvar behöver det ingås ett avtal om gemensamt personuppgiftsansvar. Det är även bra att utreda om en annan extern part kommer att behandla personuppgifter på uppdrag av forskningsprojektet. I så fall behöver ett personuppgiftsbiträdesavtal ingås med den externa parten.
• Om personuppgiftsbehandlingen sannolikt leder till en hög risk för personers fri- och rättigheter ska en konsekvensbedömning göras innan behandlingen påbörjas.
• Bestäm hur personuppgifterna ska förvaras och säkerställ att uppgifterna hanteras på ett säkert sätt under tiden forskningsprojektet pågår.
• Bestäm vilka delar av forskningsmaterialet som ska arkiveras eller gallras. Observera att de flesta typer av forskningsmaterial är allmänna handlingar och måste därför arkiveras.
• Om forskningsprojektet kommer att behandla personuppgifter behöver ansvarig forskare registrera personuppgiftsbehandlingen i en registerförteckning.
• Om en forskare avser att genomföra till exempel en enkätstudie eller intervjua personer behöver forskaren inhämta forskningspersonernas samtycke samt ge information om forskningsprojektet och hur personuppgifterna kommer att hanteras.

Lagstiftningen syftar till att skydda den enskilda människan och respekten för människovärdet. Människor som deltar i ett forskningsprojekt ska skyddas från fysiska, psykiska och integritetsmässiga risker. Både forskares och forskningspersoners rättssäkerhet ska värnas. Den etiska prövningen väger eventuella risker i projektet mot förväntad samhällsnytta. Vilken forskning som ska genomgå etisk prövning regleras i Lagen (2003:460) om etikprövning av forskning som avser människor Länk till annan webbplats, öppnas i nytt fönster. samt i Lagen (2019:1144) Länk till annan webbplats, öppnas i nytt fönster. om det gjorts ändring i lagen (2003:460). 

Lagstiftningen gäller alla delar av forskningsprocessen som bedrivs inom Sverige, från rekrytering av forskningspersoner, till datainsamling, datahantering, analys och publicering av resultat, etc. Således ska forskningen etikprövas i Sverige om du bedriver din forskning på Södertörns högskola, även om datainsamling sker i annat land. För de delar av forskningen som utförs i ett annat land gäller det landets lagar och regler.

Forskning ska etikprövas om den:

• innebär ett fysiskt ingrepp på en levande eller död person
• utförs med en metod som syftar till att påverka en person fysiskt eller psykiskt eller medför risker om sådan skada
• utförs på biologiskt material från levande eller död människa som kan härledas till denne
• omfattar behandling av känsliga personuppgifter
• omfattar uppgifter om lagbrott.

Det som räknas som känsliga personuppgifter enligt svensk lagstiftning är:

• etniskt ursprung (hit räknas också frågor om det ibland kallas ”ras”)
• politiska åsikter (också i bredare bemärkelse, det vill säga inte bara i partipolitiska åsikter eller engagemang)
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter
• biometriska uppgifter som används för att entydigt identifiera en person

Mer information om känsliga personuppgifter hittar du till exempel på Integritetsskyddsmyndighetens hemsida Länk till annan webbplats, öppnas i nytt fönster..

Ytterst har forskningshuvudmannen (till exempel lärosäte, företag eller region) ansvar för att projekt som faller inom lagstiftningen etikprövas och att ingen sådan forskning bedrivs utan godkännande. I den konkreta verksamheten på högskolan faller detta ansvar i organisationen i regel på prefekten, som behöver skriva under ansökan.

Etikprövning måste utföras oavsett om din forskning är externt finansierad eller om du bedriver den inom ramarna för din tjänst. Det är den huvudansvariga forskaren som ansöker om etisk prövning för ett projekt. I praktiken är det ofta projektledaren för ett projekt eller huvudhandledaren för en doktorand. För många doktorandprojekt står dock doktoranden som huvudansvarig forskare. Men om den huvudansvariga forskaren inte är disputerad måste projektet utföras under överinseende av en disputerad forskare. Vem detta är ska framkomma i ansökan och för doktorander är denna person i regel huvudhandledaren. När det gäller doktorandprojekt har huvudhandledaren också ansvar för se till att projektet prövas. Det är viktigt att etikprövningen utförs innan datainsamling påbörjas, eftersom det inte går att pröva projektet i efterhand.

De projekt som faller inom områdena ovan måste enligt lag (2003:460) genomgå etisk prövning. Att inte göra det kan leda till böter eller i allvarliga fall fängelsestraff.

Men även om projektet inte faller inom lagstiftningen går det att låta etikpröva sitt projekt och begära ett rådgivande yttrande från myndigheten. Förutom att det är en lagstadgad skyldighet att låta etikpröva projekt som faller under Lagen om etikprövning (2003:460) Länk till annan webbplats, öppnas i nytt fönster. så kan det alltså finnas andra goda skäl att göra det.

Alltfler internationella tidskrifter och förlag kräver till exempel att forskningen som ligger till grund för publikationen ska ha genomgått etisk prövning. De kan till exempel ha andra lagar och principer att förhålla sig till än de svenska. Ett sätt att förebygga sådana hinder för publicering är att ansöka om etisk prövning och begära ett rådgivande yttrande. Detta yttrande kan då i kontakt med tidskrifter och förlag fungera som dokumentation att projektet är etikprövat.

Forskning som omfattas av etikprövningslagen får bara utföras om forskningspersonerna givit sitt informerade samtycke. Samtycket ska vara frivilligt, uttryckligt och preciserat i relation till det specifika forskningsprojektet. Samtycket ska alltid dokumenteras, helst skriftligt. Samtycket gäller bara om forskningspersonen innan datainsamlingen påbörjas fått information om forskningsplan och syfte, projektets metoder, möjliga risker eller andra konsekvenser som deltagandet kan medföra och projektets forskningshuvudman. Dessutom måste hen vara informerad om att deltagande i studien är frivilligt och att hen har rätt att avbryta sin medverkan när som helst utan att ange någon orsak.

Information om hur etikprövning går till kan du läsa på Etikprövningsmyndighetens hemsida Länk till annan webbplats, öppnas i nytt fönster.. Södertörns högskola erbjuder också regelbundet internutbildningar i frågor som rör forskningsetik, inklusive etisk prövning.

Du behöver också komma ihåg att din etikprövning och besked om godkännande ska diarieföras på Södertörns högskola.