Vanliga frågor - Personuppgifter i forskning

Forska utan etikprövning

• Om du som forskare har utformat studien så att känsliga personuppgifter inte ska komma in och om du inte är intresserad av att behandla sådana uppgifter behöver etikprövning inte ske.
• Skulle känsliga personuppgifter råka komma in får dessa uppgifter raderas och forskningen får fortsätta utan etikprövning.

Etikpröva för att kunna använda allt material som kommer in

• Vill du kunna använda allt material som kommer in i studien så bör etikprövning ske om det finns minsta möjlighet att det kan komma in känsliga personuppgifter.
• Etikprövningsmyndigheten och Överklagandenämnden för etikprövning kan då inte vara för stränga med att granska hur stor sannolikheten egentligen är för att sådana uppgifter kommer in.

Handlingsalternativ om fler känsliga personuppgifter kommer in än beräknat eller om dessa uppgifter är mer intressanta för forskningen än väntat

1. Pausa projektet och radera de känsliga personuppgifter eller personuppgifter om lagöverträdelser som kommit in
2. Överväg etikprövning för att kunna behandla känsliga personuppgifter eller personuppgifter om lagöverträdelser i forskningen
   alternativt
   Ändra upplägget så att sådana personuppgifter inte fortsätter komma in.

Krav på bevarande av information i allmänna handlingar med mera

Känsliga personuppgifter som i någon av situationerna ovan kommer in till en myndighet i en allmän handling kan behöva bevaras enligt myndighetens arkiv- och gallringsföreskrifter. Uppgifterna får dock inte användas i forskningen. Att ändå göra det trots att uppgifterna samlats in i strid med GDPR och etikprövningslagen skulle sannolikt ses som en avvikelse från god forskningssed.

Vid det här laget känner nog de flesta till att forskning på känsliga personuppgifter omfattas av etikprövningslagens krav. Många ställer sig frågande till varför det är nödvändigt och jämför med klinisk medicinsk forskning som kan orsaka allvarliga risker för fysisk skada. Det stämmer såklart att det inte görs några fysiska ingrepp, men behandling av personuppgifter i forskning reser andra viktiga forskningsetiska aspekter. Goda intentioner är inte alltid tillräckliga, vi behöver också syna riskerna när människor på ett eller annat sätt involveras i forskning. Och oavsett om forskningen omfattas av etikprövningslagen eller inte behöver alltid en avvägning mellan risk och nytta göras. Här följer några exempel på risker att beakta, informera om och ha beredskap för.

Integritetsintrånget
De främsta riskerna med forskning på känsliga personuppgifter rör intrång i den personliga integriteten.

Riskerna för den personliga integriteten vid användning av känsliga personuppgifter i forskning påverkas av uppgifternas karaktär och känslighetsgrad. Det är en liten risk för integritetsintrång om uppgifter om politisk uppfattning som uttrycks av en etablerad politiker i media behandlas för andra ändamål än vad politikern avsåg, medan en politisk eller ideologisk uppfattning uttryckt av en ung aktivist på sociala medier kan utgöra en större risk för integritetsintrång om den behandlas i ett annat sammanhang.

Det kan förekomma att personuppgifter behandlas och tolkas tendentiöst på ett sätt som kan åsamka stora skador på den personliga integriteten. Publicerade resultat i forskning låter sig heller inte bemötas på samma sätt som en nyhetsartikel i media, det är svårare för den som anser sig feltolkad i forskning att nå upprättelse.

Integritetsintrång kan uppstå när personuppgifter om privatlivet röjs, när forskningspersonen ombes att reflektera antingen kring sin normbrytande funktionalitet, om sitt migrationskap, sin hälsa, eller sin sexualitet. I sammanhanget ger sig också känslor och minnen till känna. Även om forskaren endast har goda intentioner med sin forskning, så kan inte denne förutse det djup som döljer sig i forskningspersonens livsberättelse. Vissa forskningspersoner kan dessutom ha varit med om upprepade händelser där deras personuppgifter behandlats, antingen av forskare eller myndigheter. Detta är något som kan förstärka upplevelsen av integritetsintrång och viljan att delta i en ny studie. Att sätta forskningsstudien i ett större sammanhang, att vrida och vända på sin forskningsmetod och att se forskningsetiken som ett sätt att förbereda sig vetenskapligt är en fråga om tillförlitlighet och validitet, även om det tar tid.

Att sammanställa och systematisera känsliga data som forskningspersonen själv har offentliggjort i ett visst sammanhang med data om personen från andra källor kan även leda till en kartläggning av åsikter eller andra integritetskänsliga uppgifter som inte bör förekomma i ett demokratiskt samhälle.

Risk för hälsa och säkerhet
Det kan innebära stora risker även för hälsa och säkerhet att delta i en studie inom humanistisk-samhällsvetenskaplig forskning, inte minst när forskningen rör människor som lever under svåra förhållanden, till exempel i utsatta områden med hedersförtryck eller kriminella nätverk eller barn som upplever våld i hemmet. Redan att någon deltar i sig och lämnar uppgifter om sina levnadsförhållanden kan få andra personer att reagera. Om uppgifter skulle spridas om vad personerna har sagt kan det få ödesdigra följder. Data på individ- eller gruppnivå kan dessutom lätt användas av andra för stigmatiserande syften. Personer som intervjuas om traumatiska händelser riskerar att reagera starkt och hamna i ett dåligt psykiskt mående.

Risk för identifiering
Ett exempel är att det trots pseudonymisering går att identifiera vissa forskningspersoner samtidigt som ytterst känsliga uppgifter om personerna redovisas. Det kan handla om att sammanhanget samt övriga data om personerna är så särpräglade att det går att identifiera personerna trots att namn och andra tydliga identifikationsmarkörer har tagits bort.

En annan situation är att uppgifterna rör personer som lever på en mindre ort eller under unika omständigheter och av det skälet är lätta att identifiera. Samkörning av flera olika register i forskning kan också medföra att pseudonymisering inte är ett tillräckligt skydd. Redan att forskarna förstår vem uppgifterna handlar om i de olika ovan redovisade situationerna kan i många fall vara tillräckligt för att skada forskningspersonernas personliga integritet, även om någon ytterligare spridning inte sker.

För vissa grupper av forskningspersoner, flyktingar och återvändande migranter som kan vara sexuellt eller religiöst utsatta till exempel, är populationen redan avgränsad och risken för igenkänning stor. Detta kan medföra problem inte bara för forskningspersonen i Sverige, utan också i relation till ursprungslandet för återvändande samt för anhöriga till forskningspersonen.

Skyddet av insamlade data
Brister i själva skyddet av de data som behandlas kan riskera att uppgifterna sprids och kommer till felaktig användning, till exempel i kommersiella sammanhang. I värsta fall kan dataskyddet vara så bristfälligt att data helt förkommer på grund av en borttappad USB-sticka. Information kan spridas på alla tänkbara sätt. Det beror på brister i det tekniska eller att uppgifter lämnas ut på andra sätt, till exempel att publicering av forskningsresultaten leder till att personer kan identifieras.

Hamnar personuppgifter felaktigt i händerna på odemokratiska eller korrupta organisationer, i Sverige och i andra länder, eller organisationer med säkerhetsbrister kan det få livshotande konsekvenser för individer som riskerar förföljelser. Som angetts ovan kan även personer som lever under svåra förhållanden drabbas av våld och förföljelse i Sverige om uppgifter hamnar i orätta händer.

Frivillighet och information

Mötet mellan forskaren och forskningspersonen innebär en maktskillnad, där forskningspersonen kan ha svårt att hävda sin integritet, att våga tycka annorlunda, att våga tycka till om frågorna, eller att avbryta deltagande i forskning som forskningspersonen inte finner sig bekväm i. Skillnaderna kan bero på kunskapsnivå, språklig nivå, ålder, kön, kulturella koder, eller helt enkelt livserfarenhet. Det är inte självklart att alla kan avgöra skillnaden mellan en forskare från ett statligt universitet och en myndighetsutövande tjänsteman från Försäkringskassan. Även om de kan se skillnaden i fråga, så har de säkert förväntningar på forskningen och forskaren. Dessa förväntningar kan förekomma såväl inom humanistisk forskning – kanske i hopp om kontakter i fråga om uppehållstillstånd – som medicinsk forskning – i hopp om goda resultat i en omdanande behandling eller ett nytt läkemedel.

En forskningsetisk princip är att forskningspersoner ska få information om vad forskningen innebär för deras del och ges möjlighet att aktivt samtycka till att delta. Det är viktigt att personerna får klart för sig vilka negativa konsekvenser som ett deltagande kan ge upphov till. Forskning på registerdata och på andra tillgängliga personuppgifter som innebär ett obetydligt integritetsintrång kan godkännas utan krav på informerat samtycke. Då utgör etikprövningen ett tillräckligt skydd. Ibland kan informerat samtycke dock vara forskningsetiskt motiverat vid ren behandling av data. Ska data samlas in från människor, genom exempelvis intervjuer eller enkäter, behöver informerat samtycke alltid inhämtas. Potentiella forskningspersoner behöver då få information om

• den övergripande planen för forskningen,
• syftet med forskningen,
• de metoder som kommer att användas,
• de följder och risker som forskningen kan medföra,
• vem som är forskningshuvudman,
• att deltagande i forskningen är frivilligt, och
• forskningspersonens rätt att när som helst avbryta sin medverkan.

Personuppgifter är uppgifter som direkt eller indirekt kan härledas till en fysisk person som är i livet. 

Namn och personnummer är exempel på direkta personuppgifter medan ip-adress och andra lokaliseringsuppgifter är exempel på indirekta personuppgifter.

Det är viktigt att komma ihåg att forskarna inte behöver ha tillgång till alla uppgifter som krävs för att identifiera någon för att de uppgifter som finns i projektet ska bedömas som personuppgifter. 

Pseudonymiserade personuppgifter har behandlats så att de bara kan härledas till en person genom till exempel en kodnyckel eller annan kompletterande information. Så länge som det finns en kodnyckel, oberoende av lokalisering, så rör det sig om personuppgifter.

Anonymiserade uppgifter är uppgifter som aldrig eller inte längre kan härledas till någon levande person. Vid anonymisering har alla källor till identifiering tagits bort, till exempel uppgifter om sällsynta sjukdomar kopplade till en ort, IP-adresser, bild eller film, biometriska data. Observera att om det finns en teoretisk möjlighet att identifiera en person genom att exempelvis lägga ihop flera till synes anonymiserade uppgifter, så ska mängden uppgifter betraktas som personuppgifter och inte längre beskrivas som anonymiserade.

Undvik att använda begrepp som inte är entydigt definierade. Ord som avidentifierat, re-identifierat, kodat, avkodat med flera, kan betyda olika saker i olika sammanhang. Beskriv istället vad det rör sig om för uppgifter och förklara hur de har eller kommer att behandlas.
 

För att överhuvudtaget få behandla personuppgifter krävs att man kan stödja sig på någon av de rättsliga grunderna som räknas upp i artikel 6 i GDPR. 

För lärosäten och universitet och andra offentliga institutioner som har forskning som en av sina uppgifter är det nästan utan undantag den rättsliga grunden allmänt intresse som är aktuell vid personuppgiftsbehandling i samband med forskning. Även privata forskningsutförare som har fått ett etikgodkännande för sin studie kan behandla personuppgifter i sin forskning med stöd av den rättsliga grunden allmänt intresse. 

Samtycke kan också vara en rättslig grund för personuppgiftsbehandling. En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men ofta är det varken lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. För offentliga institutioner är det ofta en sådan ojämlik situation i förhållande till den enskilda personen att det inte kan sägas att inhämtade samtycken lämnas frivilligt. 
Enligt Integritetsskyddsmyndigheten (IMY) bör det alltid övervägas om det går att stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna. 

Privata forskningsutförare kan även använda den rättsliga grunden intresseavvägning.

Observera att den rättsliga grunden samtycke i GDPR är något annat än det informerade samtycke till att delta i forskning som krävs enligt etikprövningslagen.

För att få använda känsliga personuppgifter och personuppgifter om lagöverträdelser i forskning räcker det inte att det finns en rättslig grund i artikel 6. Sådana personuppgifter får endast användas i forskning om behandlingen har godkänts vid etikprövning.

Känsliga personuppgifter omfattas av särskilda bestämmelser i GDPR. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden. Behandlingen måste, utöver att ha stöd i en rättslig grund i artikel 6, även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten. Två exempel på sådana situationer är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse eller att behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål. För undantag krävs i dessa fall att behandlingen av känsliga personuppgifter för forskningsändamål omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt.

Etikprövning är en sådan lämplig skyddsåtgärd som avses i artikel 9 som är fastställd i svensk rätt och som krävs för behandling av känsliga personuppgifter för forskningsändamål enligt GDPR. 

För att förbudet mot att behandla känsliga personuppgifter inte ska gälla vid forskning krävs alltså att behandlingen har godkänts vid etikprövning.

Observera att detta även gäller när en forskare vill använda data som har samlats in inom ramen för en tidigare studie i ny forskning. Ett etikgodkännande ger bara rätt att behandla personuppgifter i det avgränsade projekt som godkännandet avser. Vill en forskare använda samma data i en ny studie så måste etikprövning ske. Öppen tillgång till forskningsdata (där detta är möjligt) är givetvis värdefullt. Om det rör sig om sådana personuppgifter som avses i 3 § etikprövningslagen (eller studien annars kräver etikprövning), måste det dock alltid finnas ett etikgodkännande innan det går att använda materialet i den nya forskningsstudien.
 

Ja. Så snart någon av de kategorier av personuppgifter som anges i artikel 9 ska behandlas i forskning måste etikprövning ske (jfr 3 § etikprövningslagen). Detta gäller även om något annat undantag kan ha möjliggjort behandling av vissa personuppgifter i ett annat sammanhang. 

Hänvisningen i 3 § etikprövningslagen till de personuppgifter som avses i artikel 9 i GDPR är ett sätt att avgränsa vad som ska etikprövas och inte enbart relaterat till dataskyddsregleringen. Etikprövning sker i syfte att säkerställa att varje enskilt forskningsprojekt sker med respekt för människovärdet, att riskerna för forskningspersonernas hälsa, säkerhet och personliga integritet uppvägs av forskningens vetenskapliga värde, att riskerna inte är större än nödvändigt samt att det finns tillräcklig kompetens i projektet. Frågan om informerat samtycke behöver inhämtas eller inte prövas också. Även om en person t.ex. aktivt har offentliggjort sina politiska åsikter eller sin sexuella läggning i ett visst sammanhang är det inte säkert att det innebär att personen vill att uppgifterna om hen ska användas i forskning. 
 

Enligt artikel 10 i GDPR måste det i unionsrätten eller den nationella rätten finnas lämpliga skyddsåtgärder för behandling av personuppgifter som rör fällande domar i brottmål och
lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder som utförs av andra än myndigheter.

Etikprövning är en sådan lämplig skyddsåtgärd som avses i artikel 10 som är fastställd i svensk rätt och som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt GDPR.

Vad som utgör behandling av personuppgifter definieras i artikel 4.2 i GDPR och omfattar 

•    insamling, 
•    registrering, 
•    organisering, 
•    strukturering, 
•    lagring, 
•    bearbetning eller ändring, 
•    framtagning, 
•    läsning, 
•    användning, 
•    utlämning genom överföring, 
•    spridning eller tillhandahållande på annat sätt, 
•    justering eller sammanförande, 
•    begränsning, 
•    radering eller förstöring.

Så snart personuppgifter finns i projektet och hanteras på något av ovan angivna sätt så behandlas uppgifterna i forskningen. Det är viktigt att komma ihåg att frågan om vissa uppgifter behandlas i studien inte påverkas av om det funnits ett syfte eller intresse av att få in just dessa personuppgifter i studien.

Nej. Det är den som är personuppgiftsansvarig (dvs. forskningshuvudmannen) som måste veta när personuppgifter behandlas i verksamheten, vilka kategorier av personuppgifter det handlar om, att det finns rättsligt stöd för att behandla uppgifterna och att de registrerades rättigheter tas tillvara. Bedömningen av om något utgör känsliga personuppgifter eller inte måste ske med tillämpning av gällande rätt på dataskyddsområdet redan när ett forskningsprojekt planeras.

Integritetsskyddsmyndigheten (IMY) är den ansvariga myndighet som kan ge vägledning och stöd i frågor som rör GDPR och den nationella dataskyddsregleringen, https://www.imy.se/.

Det som Etikprövningsmyndigheten gör är att pröva om den behandling av personuppgifter som beskrivs i ansökan omfattas av etikprövningslagen och om den i så fall är etisk godtagbar och kan godkännas.

Ett etikgodkännande måste avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Det är också så att forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker. Behandling av känsliga personuppgifter får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

Detta innebär att det endast är tillåtet att samla in och behandla de data som behövs för att besvara det konkreta projektets frågeställningar. Sökanden måste därför ange i sin ansökan vilka variabler som ska användas och varför alla variabler behövs.

Känsliga personuppgifter är uppgifter som avslöjar

• Etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i fackförening
• Hälsa
• Sexualliv
• Sexuell läggning
• Genetiska uppgifter
• Biometriska uppgifter för att entydigt identifiera en fysisk person, dvs. uppgifter som man får fram med särskild teknik för att automatiskt identifiera en viss person. Att utan sådan särskild teknik ta ett fotografi med en kamera eller att göra en ljudinspelning av en röst gör inte att fotografiet eller inspelningen innehåller biometriska uppgifter för att entydigt identifiera en fysisk person.

Personuppgifter är all data som direkt eller indirekt kan kopplas till en fysisk levande person. Spårbarheten, t.ex. via namn eller kodnyckel, avgör om det är en personuppgift.

Personuppgifter om lagöverträdelser är uppgifter som handlar om att någon har begått ett brott, blivit fälld i domstol i ett brottmål eller blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag.