Nedan följer en checklista som sammanfattar informationen som framgår i plusboxarna nedan. Checklistan innehåller ett antal punkter som är viktigt att tänka på redan i planeringsfasen av ett forskningsprojekt.”

• Ta ställning till om personuppgifter kommer att behandlas i forskningsprojektet. Observera att även pseudonymiserade uppgifter anses vara personuppgifter enligt GDPR, oavsett om kodnyckeln finns här på högskolan eller hos ett annat företag eller myndighet.
• För det fall känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas behöver forskaren ansöka om etikprövningstillstånd hos Etikprövningsmyndigheten.
• Utred vem eller vilka som är personuppgiftsansvarig för personuppgiftsbehandlingen. Om det föreligger ett gemensamt personuppgiftsansvar behöver det ingås ett avtal om gemensamt personuppgiftsansvar. Det är även bra att utreda om en annan extern part kommer att behandla personuppgifter på uppdrag av forskningsprojektet. I så fall behöver ett personuppgiftsbiträdesavtal ingås med den externa parten.
• Om personuppgiftsbehandlingen sannolikt leder till en hög risk för personers fri- och rättigheter ska en konsekvensbedömning göras innan behandlingen påbörjas.
• Bestäm hur personuppgifterna ska förvaras och säkerställ att uppgifterna hanteras på ett säkert sätt under tiden forskningsprojektet pågår.
• Bestäm vilka delar av forskningsmaterialet som ska arkiveras eller gallras. Observera att de flesta typer av forskningsmaterial är allmänna handlingar och måste därför arkiveras.
• Om forskningsprojektet kommer att behandla personuppgifter behöver ansvarig forskare registrera personuppgiftsbehandlingen i en registerförteckning.
• Om en forskare avser att genomföra till exempel en enkätstudie eller intervjua personer behöver forskaren inhämta forskningspersonernas samtycke samt ge information om forskningsprojektet och hur personuppgifterna kommer att hanteras.

Vad är en personuppgift?

En personuppgift är information som direkt eller indirekt kan kopplas till en nu levande, identifierad eller identifierbar fysisk person. Det innebär att avlidna personer inte omfattas av GDPR. Exempel på personuppgifter är namn, adress, e-postadress och personnummer. Även bild- och ljudupptagningar, till exempel inspelade intervjuer, kan betraktas som personuppgifter.

Känsliga personuppgifter och personuppgifter om lagöverträdelser

Forskningsprojekt som innefattar känsliga personuppgifter och personuppgifter om lagöverträdelser måste genomgå godkänd etikprövning innan forskningen påbörjas. Mer information om etikprövning finns på sidan Etik i forskningen under rubriken Etikprövning.

Känsliga personuppgifter är uppgifter om

• etniskt ursprung (hit räknas också frågor om det ibland kallas ”ras”)
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter (till exempel uppgifter från DNA-analys)
• biometriska uppgifter (till exempel ansiktsigenkänning eller fingeravtryck)

Personuppgifter om lagöverträdelser är uppgifter om att någon har begått ett brott, blivit fälld i domstol i ett brottmål, blivit föremål för så kallade straffprocessuella tvångsmedel (till exempel häktning, reseförbud eller beslag) och misstänkts för ett konkret brott.

Integritetskänsliga personuppgifter

Det finns många andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara

• löneuppgifter
• uppgifter om lagöverträdelser
• värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
• information som rör någons privata sfär
• uppgifter om sociala förhållanden
• personnummer

Dessa personuppgifter klassas som integritetskänsliga personuppgifter och kräver därför en högre säkerhetsnivå jämfört med harmlösa personuppgifter (till exempel namn, e-postadress och telefonnummer).

Grundläggande principer

I GDPR uppställs ett antal grundläggande principer som ska genomsyra all personuppgiftsbehandling. Principerna, som framgår nedan, bör man ha i bakhuvudet när man arbetar med personuppgifter.

• Behandla inte fler personuppgifter än vad som är nödvändigt.
• Samla bara in personuppgifter för specifika och berättigade ändamål.
• När personuppgifterna inte längre behövs för ändamålet ska dessa enligt GDPR raderas eller avidentifieras. Observera dock att när det gäller forskningsdata ska sådan data bevaras och gallras i enlighet med högskolans informationshanteringsplan.
• Personuppgifterna ska skyddas genom att vidta lämpliga säkerhetsåtgärder.

Ändamål med personuppgiftsbehandlingen

Enligt GDPR ska all behandling av personuppgifter ha ett särskilt, uttryckligt angivet och berättigat ändamål. I ett forskningsprojekt är ändamålet att utföra den forskning som projektet avser att genomföra.

Rättslig grund

Utöver att det ska finnas ett tydligt ändamål med personuppgiftsbehandlingen måste behandlingen ha stöd i någon av de sex rättsliga grunder som uppställs i GDPR. De rättsliga grunder som framför allt kan komma i fråga för den forskning som bedrivs vid Södertörns högskola är att personuppgiftsbehandling är nödvändig för att utföra en uppgift av allmänt intresse samt samtycke.

Nödvändig personuppgiftsbehandling för att utföra en uppgift av allmänt intresse

Personuppgifter får samlas in och behandlas om det är nödvändigt för att utföra en uppgift av allmänt intresse. Uppgift av allmänt intresse måste framgå av lag eller annan författning. Uppgiften att forska är fastställd genom bestämmelser i högskolelagen. Det innebär att när det är nödvändigt att behandla personuppgifter för att utföra forskningen kan forskare använda sig av den rättsliga grunden uppgift av allmänt intresse.

För att bedöma om en personuppgiftsbehandling är nödvändig ska man göra en rimlighetsbedömning där man tittar på vilka alternativa sätt det finns att genomföra forskningen. Om syftet med forskningen kan uppnås i stort sett lika väl, enkelt och billigt med anonymiserade uppgifter som med personuppgifter, kan personuppgiftsbehandlingen inte anses vara nödvändig.

Samtycke som rättslig grund

Enligt GDPR ska ett samtycke vara frivilligt, specifikt och informerat samt lämnat genom ett uttalande eller en entydigt bekräftande handling. Av medgivandet ska det framgå att personen godkänner behandlingen av personuppgifterna. Det är viktigt att säkerställa att det inte råder någon form av beroendeförhållande mellan den som lämnar sitt samtycke och den personuppgiftsansvarige (Södertörns högskola) som gör att samtyckets frivillighet kan ifrågasättas. Om ett forskningsprojekt avser att samla in personuppgifter från anställda eller studenter vid Södertörns högskola kan ett beroendeförhållande anses föreligga.

Samtycke som rättslig grund kan användas vid till exempel forskningssamverkan med privata eller internationella organisationer. Detta beror på att dessa aktörer inte alltid kan använda sig av den rättsliga grunden uppgift av allmänt intresse.

För frågor om rättslig grund, kontakta dataskydd@sh.se.

Etiskt samtycke till att delta i forskning

En grundläggande forskningsetisk princip är att inhämta informerat samtycke från den som avser att delta i forskningen. Syftet med att inhämta informerat samtycke är bland annat att skydda den som avser att delta i forskningen och respektera dennes rätt till självbestämmande. Ett etiskt samtycke till att delta i forskning är inte samma sak som ett samtycke till behandling av personuppgifter – det är två olika delar.

När ska en konsekvensbedömning göras?

Om en personuppgiftsbehandling sannolikt leder till en hög risk för enskildas fri- och rättigheter ska en konsekvensbedömning göras. Syftet med att genomföra en konsekvensbedömning är att identifiera och förebygga risker. En konsekvensbedömning ska som utgångspunkt genomföras innan personuppgiftsbehandlingen påbörjas. På så sätt minimeras risken för att högskolan påbörjar en behandling som senare måste förändras på grund av att den inte uppfyller kraven i GDPR. En konsekvensbedömning kan vara till hjälp vid bedömningen av vilka säkerhetsåtgärder som behövs eller vilka tekniska lösningar som bör väljas för att minimera identifierade risker.

En konsekvensbedömning ska exempelvis göras om personuppgiftsbehandlingen består av känsliga personuppgifter i stor omfattning. En konsekvensbedömning kan också behöva göras om man i ett forskningsprojekt behandlar personuppgifter i stor omfattning om personer som av något skäl befinner sig i ett underläge eller i beroendeställning, till exempel barn, anställda, asylsökande, äldre och patienter.

Mer information om när och hur en konsekvensbedömning ska göras finns under ”Rättslig vägledning”.

Informationssäkerhet och valet av skyddsåtgärder

Enligt GDPR ska all personuppgiftsbehandling för forskningsändamål omfattas av lämpliga skyddsåtgärder. På Södertörns högskola pågår just nu ett arbete med att ta fram ett ramverk för informationssäkerhet. Ett sådant ramverk innebär bland annat att information, till exempel personuppgifter, ska klassas utifrån vissa parametrar. Vid klassning kommer till exempel känsliga personuppgifter få en högre klassning och därmed högre skyddsvärde än övriga personuppgifter. Under tiden högskolan arbetar med att ta fram ett ramverk för informationssäkerhet ges följande vägledning.

Valet av skyddsåtgärder är beroende av vilken typ av personuppgifter som behandlas inom forskningsprojektet. Även antalet personuppgifter spelar roll. Kryptering och åtkomstsyrning är exempel på tekniska och administrativa skyddsåtgärder som kan vidtas när det bedöms lämpligt. En viktig princip i GDPR är principen om uppgiftsminimering. Principen innebär att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Samla därför inte in fler personuppgifter än vad som behövs.

Vid behandling av känsliga personuppgifter är det särskilt viktigt att begränsa åtkomsten till uppgifterna genom att se till att endast behöriga har tillgång till uppgifterna. Sådana uppgifter ska inte mejlas (i vart fall inte okrypterat) eller lagras i Microsofts molntjänster.

För mer information om vilka skyddsåtgärder som bör vidtas vid behandling av personuppgifter, kontakta dataskydd@sh.se. För frågor som är av teknisk karaktär (till exempel lagringslösningar eller tekniska säkerhetslösningar), kontakta cit@sh.se.

Pseudonymisering

En skyddsåtgärd som ofta är lämplig vid personuppgiftsbehandling för forskningsändamål är pseudonymisering. Pseudonymiserade personuppgifter innebär att personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter (kodnyckel). För att personuppgifter ska anses vara pseudonymiserade krävs det att dessa kompletterande uppgifter förvaras separat och skyddas av åtgärder som säkerställer att de inte kan användas för att identifiera personen. Observera att pseudonymisering inte är samma sak som anonymisering. Vid pseudonymisering ersätts till exempel personnummer med en kod. Koden kan kopplas ihop med personnummer på nytt genom kodnyckeln. Personuppgifterna är alltså inte avidentifierade eftersom det fortfarande finns kompletterande uppgifter, dvs. kodnyckeln, som kan identifiera en individ. Pseudonymiserade uppgifter anses utgöra personuppgifter och omfattas därför av GDPR. Om kodnyckeln förstörs och det inte längre är möjligt att koppa en individ till uppgifterna anses uppgifterna vara anonymiserade. Anonymiserade uppgifter anses inte utgöra personuppgifter och omfattas därför inte av GDPR. Det kan dock vara svårt att avidentifiera personuppgifter som förekommer i forskningsdata då man måste se till att alla möjligheter att identifiera en person har tagits bort ur uppgifterna.

Etikprövning är en skyddsåtgärd vid behandling av känsliga personuppgifter och uppgifter om lagöverträdelser

Det ställs särskilda krav på skyddsåtgärder vad gäller forskningsdata som innehåller känsliga personuppgifter och personuppgifter om lagöverträdelser. Forskning som innefattar sådana uppgifter får inte påbörjas innan den har godkänts vid en etikprövning.

Utgångspunkten i GDPR är att personuppgifter endast får sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen. Eftersom Södertörns högskola är en statlig myndighet innebär det att forskningsdata som skapas vid högskolan ofta utgör allmänna handlingar. Forskningsdata omfattas därmed av arkivlagstiftningen. Av högskolans informationshanteringsplan Öppnas i nytt fönster., som utgår från Riksarkivets föreskrifter, framgår vilka forskningshandlingar som ska bevaras och gallras.

För frågor om gallring och arkivering, kontakta arkivarie@sh.se.