I juni 2023 genomförde Etikprövningsmyndigheten ett webbinarium om personuppgifter i forskning tillsammans med Integritetsskyddsmyndigheten, Överklagandenämnden för etikprövning och Uppsala universitet. Här har vi sammanställt svar på inkomna frågor som kan ge tydlig vägledning.

Har du fler frågor rekommenderar vi att du i första hand vänder dig till de stödfunktioner som finns inom din organisation. Etikprövningsmyndigheten vill också tipsa om Integritetsskyddsmyndighetens nya utbildningsmaterial om GDPR på https://www.imy.se/verksamhet/utbildning-och-stod/imy-play/

Går det att generellt säga om en personuppgift är av en särskild kategori av känsliga personuppgifter?

Nej. Personuppgiften behöver sättas in i ett sammanhang för att det ska gå att säkert avgöra om det kan röra sig om en känslig personuppgift eller inte. Till exempel kan en personuppgift tillsammans med en annan personuppgift göra att de tillsammans blir känsliga personuppgifter. En enskild uppgift om till exempel medborgarskap, hudfärg, vilket land man kommer ifrån eller vilket språk man talar, behöver inte alltid vara en känslig personuppgift var för sig. Men tillsammans kan de bli känsliga personuppgifter om etnicitet.

Det går att läsa mer om känsliga personuppgifter på Integritetsskyddsmyndighetens (IMY) webbplats här: https://www.imy.se/privatperson/dataskydd/introduktion-till-gdpr/vad-ar-personuppgifter/kansliga-personuppgifter/

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/

Vart ska forskarna vända sig med frågor kring personuppgifter?

Forskningshuvudmannen är personuppgiftsansvarig och måste känna till när personuppgifter behandlas i verksamheten, vilka kategorier av personuppgifter det handlar om, att det finns rättsligt stöd för att behandla uppgifterna, och att de registrerades rättigheter tas tillvara. Personuppgiftsansvaret innebär även en skyldighet att informera och instruera samtliga anställda om hur behandling av personuppgifter ska och får gå till i verksamheten. Universitet och andra stora personuppgiftsansvariga har ofta särskilda handläggare som forskarna kan vända sig till för att få stöd och hjälp. Det är viktigt att de handläggarna har bred kompetens om både juridik, teknik och ”förståelse” för forskningsverksamhet.

Om en forskare planerar att behandla personuppgifter i sin forskning måste forskaren i samråd med forskningshuvudmannen och dataskyddsombudet lägga upp en korrekt plan för personuppgiftsbehandling och dataskydd. Detta måste göras innan någon behandling av personuppgifter påbörjas.

Vem är behörig att göra bedömningen av om en personuppgift faller in under kategorierna känsliga personuppgifter? Om forskningshuvudmannen, gör bedömningen att de personuppgifter som ska behandlas i ett forskningsprojekt, inte utgör känsliga personuppgifter, kan forskaren i praktiken i så fall vara trygg med att projektet inte behöver etikgodkännande? Om Etikprövningsmyndigheten gör bedömningen att det inte är känsliga personuppgifter, och på grundval av det avvisar en ansökan för att den inte faller under lagen, kan forskaren i praktiken i så fall vara trygg med att det inte är känsliga personuppgifter? Kan forskaren vara lika trygg med en bedömning gjord av forskningshuvudmannen som en bedömning gjord av Etikprövningsmyndigheten?

Den som är personuppgiftsansvarig ansvarar för att regler om behandling av personuppgifter följs i de forskningsprojekt som verksamheten bedriver. Forskare och andra anställda får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvariga.

Etikprövning krävs om känsliga personuppgifter kommer att behandlas i forskningen. Men även om så inte är fallet kan etikprövning krävas enligt någon av de andra grunderna i 3 § eller 4 § etikprövningslagen. Forskare och forskningshuvudman ansvarar för att bedöma om etikprövning krävs eller inte.

Ett beslut om att avvisa en ansökan kan överklagas till Överklagandenämnden för etikprövning (ÖNEP). Även om Etikprövningsmyndigheten och ÖNEP bedömer att känsliga personuppgifter inte kommer att behandlas i forskningen måste den som är personuppgiftsansvarig säkerställa detta när forskningen genomförs. Vill forskaren kunna använda allt material som kommer in i studien så bör etikprövning ske om det finns minsta möjlighet att det kan komma in känsliga personuppgifter. Medskicket från webbinariet är att Etikprövningsmyndigheten och ÖNEP inte får vara för stränga med att granska hur stor sannolikheten egentligen är för att sådana uppgifter kommer in. På så sätt kommer det förhoppningsvis gå att undvika situationer där forskarna hamnar i ovisshet kring vad som egentligen gäller.

Integritetsskyddsmyndigheten (IMY) är den myndighet som ansvarar för tillsyn över personuppgiftsbehandling och kan i tillsynsbeslut bedöma frågan om det inom ramen för forskningsprojektet behandlas känsliga personuppgifter. IMY gör en självständig bedömning enligt regleringen i EU:s dataskyddsförordning (GDPR) och är inte bunden av den bedömning som Etikprövningsmyndigheten eller ÖNEP gör.

Det faller alltid tillbaka på den personuppgiftsansvariga forskningshuvudmannen att ta ställning till om känsliga personuppgifter kommer att behandlas eller inte. Det gäller också att genom projektets gång vara uppmärksam på vilka uppgifter som samlas in och vartefter bedöma kategori och skyddsvärdet av dem.

Dessutom gäller det för den personuppgiftsansvarige att hela tiden hålla koll på vad för uppgifter den får in. Om det inkommer flera svar med personuppgifter som betraktas som känsliga, t.ex. om hälsa, ska detta uppmärksammas av den personuppgiftsansvarige.

 

Mer information om behandling av personuppgifter inom forskning finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/behandling-av-personuppgifter--for-forskare/

Behövs alltid etikprövning om risk för insamling av känsliga personuppgifter finns?

Om en forskare har utformat studien så att känsliga personuppgifter inte ska komma in och är forskaren inte intresserad av att behandla sådana uppgifter behöver etikprövning inte ske. Skulle känsliga personuppgifter råka komma in får dessa uppgifter exkluderas från forskningsmaterialet och forskningen får fortsätta utan etikprövning (se Öneps beslut Ö 18-2023/3.1.) Vill forskaren kunna använda allt material som kommer in i studien så bör etikprövning ske om det finns minsta möjlighet att det kan komma in känsliga personuppgifter.

Vad gäller angående etikprövning när klassrum filmas för att undersöka lärarens undervisning? Innebär videodokumentation av undervisning en behandling av känsliga personuppgifter?

Etikprövning krävs om behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas i forskningen (3 § etikprövningslagen) och/eller om forskningen kommer utföras enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt (punkten 2 i 4 § etikprövningslagen).

Videodokumentation av undervisning behöver inte betyda att det är en behandling av känsliga personuppgifter. Däremot sker en behandling av personuppgifter om det går att identifiera personer i exempelvis en videofilm.

Utbildningsinsatser eller läxhjälp har av Centrala etikprövningsnämnden (CEPN; sedan den 1 januari 2019 Överklagandenämnden för etikprövning, ÖNEP) inte ansetts utgöra sådan psykisk påverkan som avses i andra punkten i 4 §. CEPN har bedömt att det är nödvändigt vid tolkningen av etikprövningslagen att beakta det grundläggande syftet med lagen, nämligen att skydda den enskilda människan och respekten för människovärdet vid forskning. Utbildning som syftar till att öka kunskap eller färdigheter kan inte generellt anses ha en sådan karaktär att detta syfte gör sig gällande (se CEPN:s beslut i Ö 40-2005 och Ö 16-2016).

Vad gäller för forskning på personuppgifter för historiska forskningsändamål, till exempel arkivmaterial, där det kan vara svårt att veta om de individer som uppgifterna härleder till fortfarande är i livet?

Uppgifter om avlidna är inte längre personuppgifter. Men de uppgifterna kan i vissa fall säga något om enskilda levande individer och då rör det sig om personuppgifter.

För all behandling av personuppgifter i forskning eller annan verksamhet måste den personuppgiftsansvariga se till att behandlingen sker i enlighet med EU:s dataskyddsförordning (GDPR).

För att kunna säkerställa att behandlingen sker i enlighet med GDPR måste man i förväg veta eller göra en så noggrann bedömning som möjligt av vilka kategorier av personuppgifter som man kommer att behandla. Vill forskaren försäkra sig om att få använda allt material som samlas in och finns det minsta sannolikhet att det kan komma med känsliga personuppgifter i insamlingsmetoden, så bör forskaren ansöka om ett etikgodkännande.

Mer information om vad som är personuppgifter finns på IMY:s webbplats här:

https://www.imy.se/privatperson/dataskydd/introduktion-till-gdpr/vad-ar-personuppgifter/

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/

Vad gäller för redan offentliga personuppgifter från offentliga personer, exempelvis en forskningsanalys av en riksdagsdebatt eller en analys av tidningars ledarsidor? Innebär detta forskning som kräver etikprövning, och i så fall, varför är det nödvändigt för att uppfylla lagens syfte om att skydda den enskilda människan?

För att avgöra om etikprövning krävs behöver den som ska genomföra analysen först och främst ta ställning till om det verkligen rör sig om forskning enligt lagens definition samt om det som planeras är en del av den s.k. genomförandefasen av ett forskningsprojekt. Genomförandefasen innefattar rekrytering av forskningspersoner, inhämtande av underlag, genomförande av försök, analys och bearbetning. Det är endast genomförandefasen av ett avgränsat forskningsprojekt som kan kräva etikprövning. Att planera sin forskning eller att ta del av offentligt material för att förkovra sig och få uppslag till ny forskning är exempel på sådant som inte hör till genomförandefasen.

Ska känsliga personuppgifter som politiska åsikter behandlas i forskning krävs det ett etikgodkännande för att få genomföra forskningen. Lagen gör ingen skillnad på vilket skyddsvärde personuppgifterna har, så länge det rör sig om de särskilda kategorierna av känsliga personuppgifter. Däremot kan kravet på konfidentialitet bli mindre högt ju mer offentliga personuppgifterna är. Även om det kan handla om data som inte är särskilt känsliga så kan det samtidigt vara viktigt att komma ihåg att själva studien kan ge upphov till andra forskningsetiska frågor som behöver hanteras och granskas.

Hur förhåller sig regelverket för personuppgiftsbehandling till analysstudier av media och publika dokument, till exempel citat av politiker och ledarsidor från nationella tidningar? Och hur förhåller det sig till uppgifter i halvoffentliga forum, som inlägg och kommentarer i sociala medier?

För all behandling av personuppgifter i forskning eller annan verksamhet måste den personuppgiftsansvariga se till att behandlingen sker i enlighet med EU:s dataskyddsförordning (GDPR).

Är det personuppgifter som rör politiska åsikter så spelar det ingen roll om det är hel- eller halvoffentligt. Det finns ett krav på etikprövning om man vill forska med känsliga personuppgifter eller uppgifter om lagöverträdelser.

Mer information om behandling av personuppgifter inom forskning finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/behandling-av-personuppgifter--for-forskare/

Måste informerat samtycke till att delta i forskning inhämtas för att få forska på inlägg i sociala medier från så kallade influencers (som är myndiga) eller får inläggen analyseras utan samtycke? Måste personen behandlas konfidentiellt (anonymiseras eller pseudonymiseras) trots att den valt att göra sitt konto offentligt?

Om det förväntade integritetsintrånget är mer betydande eller om uppgifterna som ska behandlas är särskilt integritetskänsliga kan informerat samtycke vara forskningsetiskt motiverat i en sådan situation.

Men rör det sig om forskningspersoner som är så pass offentliga att deras inlägg på sociala medier är allmänt kända och därmed inte integritetskänsliga för personerna själva är utgångspunkten att det inte krävs informerat samtycke.

Vikten av att forskaren vidtar åtgärder för att skydda forskningspersonernas personliga integritet och rätt till skydd mot insyn i sitt privatliv är grundläggande för all forskning.

Om forskningspersoner ska förekomma identifierbara i forskningsdata och i resultat ska det vara särskilt motiverat och tydligt att nyttan uppväger de eventuella negativa konsekvenserna och riskerna för integritetsintrång. Åtgärder för att säkerställa att dessa forskningspersoner inte kommer till skada i forskningen ska vara väl beskrivna.

Hur forskaren resonerar i sina överväganden kring frågorna om informerat samtycke och om hur insamlade uppgifter ska behandlas måste redovisas i etikansökan och så får Etikprövningsmyndigheten pröva om det beskrivna upplägget är godtagbart.

Det är även viktigt att komma ihåg att regleringen i EU:s dataskyddsförordning (GDPR) anger att om syftet med behandlingen kan uppnås även om uppgifterna anonymiseras, det vill säga inte längre är personuppgifter, eller pseudonymiseras så ska den personuppgiftsansvarige göra det.

I till exempel feministisk- eller queerteori, eller postkolonial teori, ses ofta uppgifter som rör författarens sexualitet eller etnicitet som viktiga för den teori som skrivs. Kan även de teorier som forskningen utgår ifrån ligga till grund för krav på etikprövning?

Inte teorierna i sig, men ska uppgifter om en persons etniska ursprung eller sexuella läggning behandlas i forskningen innebär det att etikprövning krävs.

Tidskrifter idag vill ofta ta del av rådata. Är det ok att skicka in rådata-filen som den är, det vill säga med kodnummer eller ska man ta bort kodnumret? Data kan komma att användas på ett sätt som inte godkänts vid utlämnandet. Hur ställer ni er till det? Går det att skydda på annat sätt än att inte lämna ut data?

En svensk myndighet som lämnar ut uppgifter som en allmän handling får generellt inte ställa krav på hur uppgifterna ska hanteras efter ett utlämnande. Undantagen är vid utlämnande med förbehåll för sekretess och när myndigheten befarar att uppgifterna kan komma att behandlas i strid med GDPR efter ett utlämnande. Det senare regleras i 21 kap. 7 § OSL. Uppsala universitet har också direktiv om att eftersträva open access, eller öppna data. Forskningsdata ska kunna återanvändas och beforskas av fler efter publicering där forskningsdata ligger öppet i enlighet med FAIR-principerna. Det har varit svårt att förena det med OSL och EU:s dataskyddsförordning (GDPR) och bland annat principen om ändamålsbegränsning och risken som föreligger för en ändamålsglidning. De forskare som ska publicera sina resultat och som kontaktat universitetets dataskyddsombud har fått instruktion om att beskriva sina data ordentligt, göra metadatataggar i en avsedd lagringsyta vid universitetets huvuddiarium och få ett unikt diarienummer. Det forskaren behöver göra i förhållande till den publicerande tidskriften är att uppge diarienumret. Sedan ombesörjer myndigheten utlämnandet av uppgifterna som utlämnande av allmän handling i vanlig ordning. På så sätt har källdata och forskningsdata kopplats ihop, arkivskyldigheten har tagits till vara och forskaren kan understödja principerna om open access. Det kan vara en väg framåt.

Mer information om informationssäkerhet och behandling av personuppgifter finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/informationssakerhet/

Information om behandling av personuppgifter vid utlämnande av allmän handling finns här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/myndighet/

Vilka system finns det för att skicka data på ett säkert sätt mellan enheter i en multicenterstudie, till exempel mellan en region och ett universitet?

Kontakta de som har kompetens inom det området, exempelvis informationssäkerhetssamordnarna som finns vid de flesta universitet och högskolor. Ta hjälp av dem med rätt kunskap och få bra vägledning och ett tryggt och säkert sätt att överföra personuppgifterna. Det ligger i de båda juridiska personernas intresse att de säkerställer att det sker på ett säkert sätt så att risken för personuppgiftsincidenter undviks. Ha dialog med den utlämnande myndigheten eller parten och hör hur de vill lägga upp det hela också.

Mer information om informationssäkerhet och behandling av personuppgifter finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/informationssakerhet/

I flera av presentationerna sades att känsliga personuppgifter som kommit in av misstag kan raderas direkt. Finns det en skyldighet att spara inkomna handlingar om den personuppgiftsansvarige är en myndighet? Är inte radering av data en avvikelse från god forskningssed?

Även när det saknas rättsligt stöd för en myndighet att behandla vissa personuppgifter i sin verksamhet kan myndigheten vara skyldig att bevara den inkomna, allmänna handling som uppgifterna finns i. Det är dock viktigt att uppgifterna hålls separerade från myndighetens övriga verksamhet med en väldigt begränsad åtkomst. På vilket sätt de ska separeras rent praktiskt är en fråga för den personuppgiftsansvariga myndigheten.

I stället för att tala om radering handlar det om att känsliga personuppgifter eller personuppgifter om lagöverträdelser som råkar komma in i ett forskningsprojekt kan exkluderas från forskningsmaterialet och att detta under vissa förutsättningar kan möjliggöra att forskningen får fortsätta utan etikprövning (se Öneps beslut i Ö 18-2023/3.1.).

Känsliga personuppgifter eller personuppgifter om lagöverträdelser som i strid med GDPR och etikprövningslagen kommer in i en forskningsstudie där forskningshuvudmannen är en myndighet kan alltså behöva bevaras enligt myndighetens arkiv- och gallringsföreskrifter. Uppgifterna får dock inte användas i forskningen.

Att fortsätta använda känsliga personuppgifter eller personuppgifter om lagöverträdelser i forskningen som samlats in utan lagstöd är en tydlig avvikelse från god forskningssed.

Mer information om myndigheters behandling av personuppgifter och arkivering finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/myndighet/

Att inkludera fritextfrågor i enkäter ökar risken att få in oönskade personuppgifter i datamaterialet. Men att utesluta fritextfrågor innebär också att forskningspersoner inte ges möjlighet att kommentera sina svar, uttrycka sig med egna ord eller kommentera enkäten i sin helhet.

Det är bättre att ansöka om etikprövning än att begränsa sin forskning. Det kan ge ett stort mervärde till studien att ge forskningspersonerna frihet att dela sina tankar och berättelser fullt ut. Om man inte kan säkerställa att känsliga personuppgifter inte kommer att ingå i studien, bör man överväga att ansöka om etikgodkännande för att kunna forska på alla uppgifter som kan komma in. Etikprövning är inte något som hindrar eller omöjliggör forskningen.

Medicinska rådata är ofta spårbara om man lägger samman flera variabler och är därför sällan anonymiserade. Vi kallar dem pseudonymiserade när vi lagt till ett individuellt kodnummer som förvaras separat. Är dessa data verkligen pseudonymiserade?

Pseudonymisering innebär att man exempelvis ersätter en direkt personuppgift med en kod, till exempel ett löpnummer, men det finns fortfarande en nyckel som kan koppla koden till den ursprungliga personuppgiften, som t.ex. personnummer och namn. Dessa pseudonymiserade data betraktas fortfarande som personuppgifter. Pseudonymisering används som en skyddsåtgärd för att minska risken för integritetsintrång och balansera intresset och behovet av att behandla personuppgifter.

Om man har stora mängder personuppgifter och den tillgängliga datorkraften gör det svårt att anonymisera personuppgifter helt, så är det bättre att betrakta det som personuppgifter och se till att det finns ett rättsligt stöd för behandlingen av dessa uppgifter. Detta är viktigt för att undvika problem i framtiden.

Mer information om anonymisering och pseudonymisering finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/innovationsportalen/vanliga-fragor/vi-hanterar-bara-anonymiserade-personuppgifter-da-kan-vi-val-bortse-fran-gdpr/

Kan hälsoenkäter och andra enkäter som samlar in känsliga personuppgifter inte genomföras utan uttryckligt samtycke, om de inte görs i forskningssyfte?

Jo, det finns andra rättsliga grunder än samtycke i artikel 6 i GDPR som kan användas. Det behöver också finnas rättsligt stöd i artikel 9.2 i GDPR för behandlingen av s.k. känsliga personuppgifter. Det behöver utredas i det enskilda fallet vad som är möjligt och vilken rättslig grund som verksamheten kan använda sig av. Vilken rättslig grund som kan vara tillämplig kan dock skilja sig åt beroende på om det är en myndighet eller om det är en privat aktör.

Mer information om rättslig grund finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/

Kan Etikprövningsmyndigheten i ett beslut att godkänna forskningen ställa ett villkor med krav på en rättslig grund som den personuppgiftsansvarige ska använda och informera de registrerade om?

Nej. Etikprövningsmyndigheten kan inte bestämma vilken rättslig grund den personuppgiftsansvarige ska använda. Det är den personuppgiftsansvariga verksamheten som har ansvar att följa GDPR och ska kunna visa att GDPR följs (ansvarsskyldigheten).

Är det ett tillräckligt uttryckt samtycke att kryssa för "ja" i en digital enkät?

Att en forskningsperson svarar på en digital enkät i en forskningsstudie och skickar in svaren är normalt ett tillräckligt uttryck för informerat samtycke till deltagande i studien om det också är dokumenterat att personen har fått fullständig information om studien och om sina rättigheter innan enkäten besvaras.

Ska forskningspersoner alltid uttryckligen i en samtyckeshandling samtycka till att personuppgifter behandlas i en forskningsstudie? Och i så fall oavsett om den rättsliga grunden är samtycke eller exempelvis allmänt intresse? Varför finns inte en formulering för samtycke till personuppgiftsbehandling med i Etikprövningsmyndighetens stödmall för samtycke? Kan Etikprövningsmyndigheten utöka malltexten i stödmallen för forskningspersonsinformationen kring den rättsliga grunden för behandling av personuppgifter?

Innefattar forskningen något av det som anges i 4 § etikprövningslagen kräver lagen att informerat samtycke alltid inhämtas.

Bestämmelserna i etikprövningslagen om information och samtycke är däremot inte formellt tillämpliga vid forskning enligt 3 §, dvs. forskning som enbart innefattar behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser.

Ett krav på informerat samtycke vid forskning enbart på personuppgifter kan dock vara forskningsetiskt motiverat vid tydliga risker för forskningspersonernas hälsa, säkerhet eller integritet. Exempel på situationer då informerat samtycke krävs är vid insamling av data från människor genom intervjuer eller enkäter samt när detaljerade uppgifter i patientjournaler eller intima uppgifter om en person som lagts ut på sociala medier ska behandlas i forskningen. Däremot krävs inget informerat samtycke vid forskning på data från nationella kvalitetsregister eller om kända politikers politiska åsikter eller annars när integritetsintrånget är begränsat eller obetydligt.

Det finns inget krav på visst format för samtycket eller ens på skriftlighet. Den valda lösningen måste dock kunna säkerställa att det är rätt personer som samtycker samt att dessa har fått relevant information före samtycket. Information och samtycke måste dokumenteras. Dessutom är det nödvändigt att det finns ett fullgott skydd för personernas personliga integritet samt att gällande dataskyddsreglering följs i hanteringen.

Att det inte finns en formulering för samtycke till personuppgiftsbehandling i stödmallen beror på att stödmallen enbart rör inhämtande av informerat samtycke till deltagande i forskningen enligt etikprövningslagen och forskningsetiska principer.

I stödmallens anvisningar sägs bl.a. att ändamålen med behandlingen av personuppgifterna och den rättsliga grunden enligt EU:s dataskyddsförordning (GDPR) för behandlingen ska anges i informationen till forskningspersonerna. Hur detta ska formuleras behöver den personuppgiftsansvariga organisationen lämna instruktioner om till sina anställda. Det är den personuppgiftsansvariga som är skyldig att följa GDPR och eventuella kompletterande nationella regler.

Vad avgör om man ska ha gemensamt personuppgiftsansvar eller om man räknas som självständiga parter som delar data med varandra i en multicenterstudie med flera universitet och regioner?

Om man ska vara gemensamt personuppgiftsansvariga ska man bestämma ändamål och medel tillsammans. Gör man inte det, utan ansvarar för olika delar, till exempel av en studie eller en verksamhet, då föreligger i stället separata personuppgiftsansvariga verksamheter. Även om man är gemensamt personuppgiftsansvariga så innebär det inte att man har rätt att helt fritt dela personuppgifter. Det kan till exempel finnas sekretessregler som gör att det blir ett utlämnande mellan olika aktörer.

Det är viktigt att komma ihåg att samtliga aktörer ska ha rättsligt stöd för all behandling de tänkt genomföra.

Mer information om personuppgiftsansvar finns på IMY:s webbplats och i Europeiska dataskyddsstyrelsens (EDPB) riktlinjer om personuppgiftsansvar:

https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/personuppgiftsansvariga-och-personuppgiftsbitraden/

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en

Ofta finns förväntningar om att kunna starta forskningen relativt snart så fort beslut om finansiering är klart. Men det kräver att ett etikgodkännande redan är på plats som garanterar att studien faktiskt får genomföras. Samtidigt verkar det ogörligt att söka en prövning redan innan man skickar in förslag på en studie till en utlysning för forskningsmedel?

En del av granskningen vid etikprövning tar sikte på om det finns tillräckliga resurser för att garantera forskningspersonernas säkerhet. Finansieringen måste därför normalt vara ordnad innan man ansöker om etikprövning. Det är viktigt att i dialogen med forskningsfinansiärer och eventuella andra intressenter påminna om den lagstiftning som faktiskt finns och vad som krävs innan forskningen kan starta. Även efter ett etikgodkännande kan det finnas ytterligare åtgärder som behöver vidtas eller tillstånd som behöver inhämtas innan forskningen får påbörjas. Se till att du i din planering skapar utrymme för allt som behöver uppfyllas innan du får börja forska.

Vid stora registerlänkningar blir variabelförteckningen lätt mycket omfattande. Hur vill Etikprövningsmyndigheten helst ta emot dessa så att syftet med varje variabel framgår tillräckligt tydligt, utan alltför krävande arbetsinsats för vare sig den som söker eller för den som granskar?

I de fallen är det bra om sökanden skickar med en övergripande beskrivning av variabelförteckningen och syftet med de olika variablerna.

Går det att överklaga en godkänd ansökan om etikprövning? Går det att överklaga ett beslut om avvisning, att etikprövning inte behövs? Vad ska en forskare göra som upptäcker att känsliga personuppgifter behandlas i sin studie och det inte går att överklaga?

Det är bara sökanden som kan överklaga ett beslut från Etikprövningsmyndigheten. Överklagande kan endast ske om beslutet har gått sökanden emot. Har en ansökan om etikprövning godkänts anses sökanden normalt ha fått det som begärts.

Ett beslut om avvisning anses normalt ha gått sökanden emot och kan överklagas. Överklagande ska ske inom tre veckor från det att den som är behörig att företräda forskningshuvudmannen har mottagit beslutet.

Om tiden för att överklaga har passerats och forskaren upptäcker att känsliga personuppgifter behandlas i studien, behöver forskningen pausas. Om de känsliga personuppgifterna inte behövs i forskningen kan uppgifterna exkluderas från forskningsmaterialet och forskningen får fortsätta utan etikprövning. Möjligen kan upplägget på studien behöva justeras för att undvika att fler känsliga personuppgifter kommer in. Om de känsliga personuppgifterna visar sig vara viktiga, behövs ett etikgodkännande för att i fortsättningen få behandla de uppgifter som kommer in efter att etikgodkännandet har erhållits. Att Etikprövningsmyndigheten eller ÖNEP beslutat om avvisning eller avslag hindrar inte att en ny ansökan om etikprövning avseende samma studie ges in och prövas. Det är viktigt att det i ansökan på ett tydligt och korrekt sätt anges vilka kategorier av personuppgifter som kommer att behandlas och hur detta kommer att gå till.

De känsliga personuppgifter som kommit in före ett etikgodkännande får inte användas i forskningen.

Behöver alla kvalitativa studier med öppen forskningsavsikt (forskning utan en på förhand given hypotes eller forskning utifrån metoden grundad teori, där analys av det insamlade data är utgångspunkt för ny kunskap och teorier) etikprövas för säkerhets skull, eftersom forskaren på förhand inte kan eller vill beskriva vad forskningspersonerna kommer att lämna för information?

För all behandling av personuppgifter i forskning eller annan verksamhet måste den personuppgiftsansvariga se till att behandlingen sker i enlighet med EU:s dataskyddsförordning (GDPR). I GDPR finns ett antal grundläggande principer. Dessa måste vara uppfyllda vid all personuppgiftsbehandling för forskningsändamål. Utöver de grundläggande principerna i GDPR finns ytterligare regler som ska följas för att behandlingen av personuppgifter ska vara tillåten.

För att kunna säkerställa att behandlingen sker i enlighet med GDPR måste man i förväg veta eller göra en så noggrann bedömning som möjligt av vilka kategorier av personuppgifter som man kommer att behandla. Det går alltså inte att säga som forskare att man ”på förhand inte kan eller vill beskriva vad forskningspersonerna kommer att lämna för information”.

Innan forskningen påbörjas är det i stället nödvändigt att bedöma vilka personuppgifter som kommer att behandlas i studien. Vill forskaren försäkra sig om att få använda allt material som samlas in och finns det minsta sannolikhet att det kan komma med känsliga personuppgifter i insamlingsmetoden, så bör forskaren ansöka om ett etikgodkännande.

Mer information om behandling av personuppgifter vid forskning finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/forskning/behandling-av-personuppgifter--for-forskare/

Kan Etikprövningsmyndigheten och ÖNEP vara mer pragmatiska vid etisk granskning av vidare behandling av redan insamlade uppgifter? Det skulle kunna vara ett bra sätt att hantera situationer där uppgifter oförutsett inkommit, men som trots det i sannolikt många fall kan vara intressanta för forskningen.

Insamling av känsliga personuppgifter i forskning i strid med GDPR och etikprövningslagen är förbjudet. Det innebär att det inte finns något rättsligt stöd för forskningshuvudmannen att behandla uppgifterna. Etikprövningsmyndigheten och ÖNEP kan inte genom etikprövning efter att insamlingen har skett möjliggöra forskning på dessa uppgifter.

Etikprövningslagen omfattar bara forskning som äger rum i Sverige. Hur avgör man “var” forskning på sociala medier äger rum? Själva analysen kan eventuellt ske i Sverige. Om kodning av analysen sker någonstans i utlandet, har då både datainsamling och analys skett utomlands?

Etikprövning av Etikprövningsmyndigheten krävs av det eller de moment i genomförandefasen (rekrytering av forskningspersoner, inhämtande av underlag, genomförande av försök, analys och bearbetning) av forskningsstudien som ska ske i Sverige. Ska forskaren sitta i Sverige och göra själva analysen så är det något som sker här i landet. Då behöver det momentet i forskningen etikprövas här, förutsatt att analysen som ska ske i Sverige faller under 3 § och/eller 4 § etikprövningslagen, till exempel att materialet som ska analyseras innehåller känsliga personuppgifter eller att biologiskt material ska hanteras här. Annars behöver etikprövning inte ske i Sverige.

När räknas exempelvis rapporter som kvalitetsuppföljning/verksamhetsutveckling och när räknas de som forskning?

Forskning definieras i 2 § etikprövningslagen som ”vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå”.

Det saknar betydelse i vilket sammanhang som arbetet utförs. Utredningsverksamhet av olika slag och i olika sammansättningar kan rymma undersökningar eller utredningsmoment som syftar till att hämta in ny kunskap genom vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation. Samma förhållanden kan vara tillämpliga om en särskilt tillsatt utredare eller kommitté genomför sådant arbete inom ramen för en statlig utredning, liksom det arbete som en kommunal eller regional FoU-enhet utför åt en kommun eller region. Vidare kan det handla om det arbete som ett privat företag eller en annan aktör utför på uppdrag av en myndighet, en ideell organisation eller annan uppdragsgivare. Uppdragsgivare behöver uppmärksamma om moment som är etikprövningspliktiga kan bli aktuella i projektet och i så fall även tänka på att anpassa tiden för uppdragen utifrån detta.

I förarbetena till etikprövningslagen pratar man angående begreppet utvecklingsarbete på vetenskaplig grund om gränsen till det arbete som myndigheter eller regioner ska göra för att utvärdera och utveckla den interna verksamheten och att detta inte ska omfattas av etikprövningslagen. Utvecklingsarbete på vetenskaplig grund tar sikte på den utveckling av produkter, processer eller system som sker i företag eller hos myndigheter genom det systematiska utnyttjandet av vetenskapliga metoder. Avgörande för gränsdragningen är enligt förarbetena och överklagandeinstansens praxis om det rör sig om myndighetsinternt utvärderingsarbete eller om det finns en vetenskaplig ansats och en avsikt att sprida det man kommer fram till i ett vidare vetenskapligt perspektiv.

Hur hanterar Uppsala universitet eventuell publicering av studentarbeten?

På Uppsala universitet får studenter eller andra som är involverade i forskningsstudier som en del av sina examensarbeten den praktiska rekommendationen att om arbetena handleds av akademiskt kompetenta personer och/eller är avsedda för publicering bör de etikprövas. Då betraktas examensarbetet som en del av en forskningsstudie för vilken Uppsala universitet har personuppgiftsansvar. Det finns även rutiner för att hantera förteckningar över student- och examensarbeten.

Det finns dock en viss oenighet mellan lärosäten och tillsynsmyndigheter, som IMY, när det gäller studentarbeten eller utbildningssituationer. Enligt IMY är det lärosätet eller utbildningsanordnaren som är personuppgiftsansvarig och som ansvarar för att personuppgiftsbehandlingen sker i enlighet med regleringen i GDPR.

Problem kan uppstå särskilt i de högre studierna, när utbildningen börjar närma sig forskningsverksamhet. GDPR syftar till att skydda den registrerades rättigheter, och att lägga detta ansvar på studenter kan vara problematiskt då de kanske inte har möjlighet att fullt ut möta dessa rättigheter. Det är viktigt att säkerställa att den personuppgiftsansvarige har resurser och möjlighet att ta på sig detta ansvar för att GDPR:s rättigheter inte ska bli en chimär. Studentarbeten, som ibland utgör ren forskning, har valts bort från att omfattas av etikprövningslagen, vilket lett till att viktiga skyddsåtgärder saknas. Generellt sett är regleringen av utbildningsverksamhet lite bristfällig och skulle behöva tydligare stöd och riktlinjer.

Är lokala "etikprövningsnämnder" för studentarbeten rådgivande eller beslutande?

Lokala etikråd och etikkommittéer finns på flera lärosäten i Sverige. Deras beslut är alltid rådgivande. De finns till som stöd för forskare i frågor om forskningsetik och etikprövning. De kan ge bra vägledning kring om du behöver ansöka om etikprövning eller inte och även ge feedback på din etikprövningsansökan innan du skickar in den för granskning hos Etikprövningsmyndigheten. Det är viktigt att lokala ”etikråd” och motsvarande är mycket tydliga med att de inte ersätter förfarandet med ansökan om etikprövning.

I Etikprövningsmyndighetens årsredovisning för år 2022 står att Etikprövningsmyndigheten har tagit emot totalt 7 135 ansökningar, varav drygt hälften är grundansökningar och hälften ansökningar om ändringar. Betyder det att ni har fått in ansökningar för runt 3 500 nya studier under 2022?

Det exakta antalet nya grundansökningar som kom in under år 2022 var 3 623. På sidan 9 och framåt i årsredovisningen redovisas antalet ärenden indelade i avgiftskategorier och prövningstyper.

Vilka är det som jobbar med den EU-gemensamma vägledningen om personuppgiftsbehandling för forskningsändamål?

Det är ett antal dataskyddsmyndigheter i Europeiska dataskyddsstyrelsen (EDPB) som arbetar tillsammans med den vägledningen.

Mer information om EDPB finns på IMY:s webbplats här:

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/

Ändringsansökan

Vid väsentlig ändring som avser ett redan godkänt forskningsprojekt ska en ändringsansökan göras. Om en ändring av ett ...

Ansvar för forskningen

Ansvar för forskningen Forskningshuvudmannen, dvs den fysiska eller juridiska person i vars verksamhet forskningen utförs, ansvarar för forskningen. ...

Avgift för etikprövning

Avgift för etikprövning För en ny ansökan är avgiften 5 000 kr eller 16 000 kr. Avgiften för ...

Etikprövning – så går det till

Etikprövning - så går det till En ny ansökan om etikprövning kallas grundansökan. Etikprövningsmyndigheten varken kan eller får ...