Personuppgifter i forskning

This page in English

Vad är personuppgifter?

Enligt Personuppgiftslagen (PUL) är en personuppgift all slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet (läs mer på Datainspektionens hemsida). Detta inkluderar också bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Krypterade eller kodade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Vissa personuppgifter anses som särskilt känsliga, till exempel information rörande en individs hälsa.

Det behövs etikgodkännande, och vanligen också personligt samtycke, för att få hantera personuppgifter för forskning.

Kodade personuppgifter

Kodade personuppgifter innebär att personnummer och namn har ersatts med en kod. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans.

Kodade personuppgifter kallas även ibland för anonymiserade eller pseudonymiserade personuppgifter.

Avidentifierade personuppgifter

Avidentifierade personuppgifter innebär att man inte längre kan koppla en fysisk person till uppgifterna, kodnyckeln är förstörd. Det krävs oftast några steg för att helt kunna avidentifiera personuppgifter.

Avidentifierade personuppgifter är ingen personuppgift lyder inte under PUL.

Hur ska personuppgifter hanteras?

När etiskt godkännande getts till hantering av personuppgifter är det viktigt att alla personuppgifter lagras och arbetas med på ett säkert sätt, och där de är skyddade mot åtkomst av obehöriga. Personuppgifter får enbart lagras i system och lösningar som är godkända på KI, som till exempel KI ELN och godkända servrar (se Hantering av forskningsdata för mer information).

Det är alltid organisationen KI som är personuppgiftsansvarig, aldrig en enskild forskare, och därför ska alla register som innehåller personuppgifter anmälas till personuppgiftsombudet Mats Gustavsson på Juridiska avdelningen. Personuppgiftsombudet och KIs jurister kan vara behjälpliga även med andra frågor kopplade till personuppgiftshantering.

Dela data som innehåller personuppgifter

Helst ska data avidentifieras innan den delas, men det är inte alltid möjligt inom forskningsprojekt på KI. Istället är det då viktigt att koda, och ibland dubbelkoda, data samt att säkerställa att data delas på ett säkert sätt.

Om data ska skickas utanför KI måste den krypteras, alternativt att externa samarbetspartners ges tillgång till en säker server på KI.

Vid frågor gällande delande av data som innehåller personuppgifter, kontakta din lokala IT på instititutionen eller ITA.