Personuppgifter i forskning

This page in English

GDPR ersätter PUL

Dataskyddsförordningen för behandling av persondata (GDPR, General Data Protection Regulation) kommer att påverka hanteringen av forskningsdata. För aktuell information se GDPR på Karolinska Institutet

I väntan på kompletterande nationell lagstiftning, till exempel en ny forskningsdatalag som är på förslag att antas 2019, kvarstår nedanstående rekommendationer.

Vad är personuppgifter?

Enligt Personuppgiftslagen (PUL) är en personuppgift all slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet (läs mer på Datainspektionens hemsida). Detta inkluderar också bilder (foton) och ljudinspelningar av personer som behandlas/lagras i dator, även om inga namn nämns. Krypterade, kodade eller pseudonymiserade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Vissa personuppgifter anses som särskilt känsliga, till exempel information rörande en individs hälsa.

Det behövs etikgodkännande, och vanligen också personligt samtycke, för att få hantera personuppgifter för forskning.

Pseudonymiserade (kodade) personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med en kod eller liknande. Koden kan kopplas ihop med namn och personnummer på nytt via en kodnyckel. Kodnyckeln och kodade data ska inte förvaras tillsammans.

Anonymiserade (avidentifierade) personuppgifter

Anonymiserade personuppgifter innebär att man inte längre kan koppla en fysisk person till uppgifterna, kodnyckeln är förstörd. Det krävs oftast några steg för att helt kunna avidentifiera personuppgifter.

Anonymiserade personuppgifter räknas inte som personuppgifter enligt PUL.

Hur ska personuppgifter hanteras?

När etiskt godkännande getts till hantering av personuppgifter är det viktigt att alla personuppgifter lagras och arbetas med på ett säkert sätt, och där de är skyddade mot åtkomst av obehöriga. Personuppgifter får enbart lagras i system och lösningar som är godkända på KI, som till exempel KI ELN och godkända servrar (se Hantering av forskningsdata för mer information).

Det är alltid organisationen KI som är personuppgiftsansvarig, aldrig en enskild forskare, och därför ska alla register som innehåller personuppgifter anmälas till personuppgiftsombudet Mats Gustavsson på Juridiska avdelningen. Personuppgiftsombudet och KIs jurister kan vara behjälpliga även med andra frågor kopplade till personuppgiftshantering.

Dela data som innehåller personuppgifter

Helst ska data anonymiseras innan den delas, men det är inte alltid möjligt inom forskningsprojekt på KI. Istället är det då viktigt att pseudonymiser/koda, och ibland dubbelkoda, data samt att säkerställa att data delas på ett säkert sätt.

Om data ska skickas utanför KI måste den krypteras, alternativt att externa samarbetspartners ges tillgång till en säker server på KI.

Vid frågor gällande delande av data som innehåller personuppgifter, kontakta din lokala IT på instititutionen eller ITA.