Hantering av personuppgifter och etikprövning - ett snabbt intro

Hantering av personuppgifter förekommer ofta inom ämnesdidaktisk forskning. Det finns viktiga jurdiska regelverk och etiska överväganden att ta hänsyn till. Nedan samlas viss grundläggande information och länkar till informationssidor. De är inte uttömande och till slut ansvarar var och en forskare för att informera sig om och följa rådande regler.

Vid frågor kan man även vända sig till Uppsala universitets Dataskyddsombud (dataskyddsombud@uu.se) i första hand för att få hjälp med att hitta rätt!

Både dataskyddsförordningen GDPR (EU:s General Data Protection Regulation) och Lag om etikprövning av forskning som avser människor (2003:460) är relevanta i sammanhanget. De är relaterade men ändå olika regelverk.

• GDPR reglerar vad som definieras som personuppgifter samt känsliga personuppgifter, när de får behandlas och hur ska behandlas
• Lagen om etikprövning reglerar när man måste ansökan om etikprövning för att få etiskt tillstånd när man genomför forskning.

Eftersom lagen kräver etikprövning för forskning där bl a känsliga personuppgifter behandlas, samverkar dessa regelverk. Nedan är en kort sammanfattning av vissa relevanta punkter.

När gäller GDPR? Om du ska behandla personuppgifter eller känsliga personuppgifter, så måste du följa regelverket kring när och hur du får behandla sådana uppgifter. Det finns då krav på bl a laglig grund för behandlingen, samtycke, hur data ska sparas, behandlas, skyddas, raderas m.m. Några definitioner:

• Personuppgifter (källa, se även lagtexten) - allt som gör det möjligt att identifiera en person, till exempel (men inte endast):
  • namn
  • ett identifikationsnummer
  • en lokaliseringsuppgift eller onlineidentifikator
  • en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (även inspelade röster kan räknas)

Observera att det är i praktiken väldigt svårt att anonymisera på riktigt, för att det inte alls går att identifiera någon så att det inte längre är personuppgifter. Det går ofta att någon kan identifera en person om man har tillräckligt med indicier. Dessutom att endast använda pseudonymer fastän en nyckel för avkodning finns i säkert förvar någonstans är inte anonymisering i lagens mening, även om forskaren själv kanske inte har tillgång till nyckeln. Däremot kan detta var ett skyddsåtgärd för att skydda personuppgifterna.

• Känslig personuppgifter (källa, se även lagtexten) - alla personuppgifter som berör:
  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i en fackförening
  • Hälsa
  • Sexualliv eller sexuell läggning
  • Genetiska uppgifter
  • Biometriska uppgifter som entydigt identifierar en person

Vid behandling av känsliga personupppgifter blir det särskilda regler och högre krav enligt GDPR. Dessutom krävs det enligt lagen om etikprövning etiskt tillstånd för att bedriva forskning där känsliga personuppgifter ska behandlas. Observera att man måste beviljas etiskt tillstånd innan forskningen påbörjar. Det går inte att ansökan om etikprövning retroaktivt.

• Behandling av personuppgifter (källa, se även lagtexten) -  innefattar allt man gör med personuppgifter t.ex. insamling, registrering, lagring, bearbetning, spridning, gallring.

När behöver jag ansöka om etikprövning? Detta har varit ett mycket omdiskuterat område inom ämnesdidaktisk forskning, särskilt efter ett uppmärksammat fall vid Örebro universitet (se t.ex. debatt artiklar i Universitetesläraren 22 apr 2022, 25 mar, 2022, 22 feb 2023, 17 maj 2023). Ur Etikprövningsnämndens webbsida (delar med särskild relevans till ämnesdidaktisk forskning i fetstil):

"Den första fråga att ta ställning till är om det som planeras utgör forskning [...] det vill säga om det rör sig om vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, eller om det handlar om utvecklingsarbete på vetenskaplig grund. Om projektet faller utanför detta omfattas det inte av lagen. Men om det rör sig om forskning krävs etikprövning om forskningen

• innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser och/eller
• innebär ett fysiskt ingrepp, på såväl levande som avliden,
• sker med en metod som syftar till att påverka en människa fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen eller
• utförs på biologiskt material från levande eller avliden människa och är spårbart."

I så fall måste man ansöka om etikprövning. Om forskningen inte berör något av ovanstående behövs ingen etikprövning MEN det är viktigt att fundera noggrant och försäkra sig att det verkligen är fallet, då påföljderna kan vara mycket allvarliga.

Några resurser som kan vara användbara för vidare information om GDPR och etikprövning:

• Infomation på Medarbetarportalen om GDPR
• Presentation om GDPR av Jacob Håkansson, Dataskyddsombud UU.
• Etikprövningsnämndens informationssidor, samt vanliga frågor och svar (FAQ)

• Etikprövningsnämdens webbminarum om personuppgifter i forskningen, 12 juni 2023, där även kanslichefen för Överklagandenämnden för etikprövning samt representanter från UU deltog

Det är även bra att fundera på hur dina forskningsdata skapas, samlas och lagras.

• Information på Medarbetarportalen om olika aspekter av forskningsdata
• Datalagring via Dataportal Allvis erbjuds kostnadsfritt upp till 200 GB av Universitetsgemensam IT (UIT). Allvis uppfyller KRT-värde 233 utan kryptering och 333 med kryptering.
• För lagring och bearbetning av känsliga data med behov av hårdare krav för användarautentisering och kryptering kan man undersöka Vesta: det ingår "tillgång till en virtuell dator där du kan bearbeta och analysera dina data utan att de lämnar den säkra lagringen. Tjänsten är lokaliserad i universitetets serverhallar och uppfyller KRT-värdet 332."

Senast uppdaterad: 2023-09-12