Skip to Main Content
It looks like you're using Internet Explorer 11 or older. This website works best with modern browsers such as the latest versions of Chrome, Firefox, Safari, and Edge. If you continue with this browser, you may see unexpected results.

Hantering av forskningsdata

Riktlinjer och procedurer för hantering av personuppgifter inom forskning och studier på Hanken

Vad är personuppgifter?

Definitionen av personuppgifter är bred under EU:s dataskyddsförordning (General Data Protection Regulation of the European Union, GDPR). Persnuppogifter inkluderar alla uppgifter som är relaterat till en identifierad eller identifierbar fysisk person och omfattar alla uppgifter som kan identifiera en fysisk person antingen direkt eller indirek.

Direkta identifierare är information som är tillräcklig för att i sig identifiera en fysisk person. Exempel är en persons namn, personnummer, adress, e-postadress, telefonnummer, användarnamn, användar-ID, porträttbild (t.ex. profilbild, videofilmer som visar ansiktet), röstmönster, fingeravtryck och manuell signatur.

Indirekta identifierare är information som i sig inte räcker för att identifiera en fysisk person, utan kan användas för att härleda en persons identitet när de kopplas till annan tillgänglig information. Exempel är en persons kön, ålder, utbildning, yrkesstatus, nationalitet, platsinformation, karriärhistoria, systemloggdata, äktenskaplig status och fordons registreringsnummer.

Vissa typer av information identifieras som starka indirekta identifierare, som kan användas för att identifiera en individ ganska lätt, såsom en postadress, ovanlig jobbtitel, mycket sällsynt sjukdom, befattning som endast innehas av en person åt gången (t.ex. ordförande på en organisation), student ID nummer, försäkring eller bankkontonummer och IP-adress för en dator. Se listan över starka indirekta identifierare i Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD).

Känsliga personuppgifter är speciella kategorier av personuppgifter och klassificeras som på hög skyddsnivå (se "Anvisning för hantering av data och dokument på olika skyddsnivåer" på Informationshantering på Hanken). Följande kategorier klassificeras som känsliga personuppgifter enligt GDPR (art. 9 (1)): uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter (som behandlas för att entydigt identifiera en fysisk person), uppgifter om hälsa, uppgifter om en fysisk persons sexualliv eller sexuell läggning. Uppgifter om brottsdomar och brott eller relaterade säkerhetsåtgärder är också till sin natur särskilt känsliga och förutsätter särskilda skyddsåtgärder eftersom sammanhanget för behandlingen kan skapa betydande risker för de registrerades grundläggande rättigheter och friheter (GDPR, art. 10).

Om du samlar in information från individer eller om individer (t.ex. konsumenter, företagsledare), anta att det är personuppgifter. Pseudonymiserade uppgifter kan hänföras till en fysisk person genom användningen av ytterligare information och är även personuppgifter.

Mer information om vad som utgör personuppgifter, se Vad är en personuppgift? av Dataombudsmannens byrå.

 

Procedurer för hantering av personuppgifter i forskning på Hanken

Personuppgifter bör behandlas lagligt, rättvist och på ett transparent sätt för att skydda de registrerades grundläggande rättigheter och minimera risken för deras rättigheter vid obehörig åtkomst och användning. Insamlade personuppgifter bör skyddas med lämpliga organisatoriska och tekniska åtgärder för datasäkerhet.

European Data Protection Supervisor ( EDPS ) anser att dataskydd är helt förenligt med ansvarsfull forskning. Dataskyddsbestämmelser är avsedda att fungera som en säkerhetsram för individer vars data behövs för att stödja vetenskap och forskning. Se A Preliminary Opinion on data protection and scientific research av EDPS.

Dataombudsmannens byrå i Finland har utfärdat riktlinjer om dataskydd i vetenskaplig forskning. Dessa riktlinjer ger vägledning om att definiera syftet med behandlingen av personuppgifter, välja grund för behandling av personuppgifter och genomföra den registrerades rättigheter. De innehåller också information om en personuppgiftsansvarigs och personuppgiftsbiträdes skyldigheter att visa efterlevnad av dataskyddsbestämmelserna, ansvar vid överföring av data utanför EU eller EES och lämpliga sätt att förstöra, anonymisera eller arkivera forskningsdata. Se Vetenskaplig forskning och dataskydd av Dataombudsmannens byrå (tietosuoja.fi).

Kärnkraven för dataskydd beskrivs i Hankens Dataskyddspolicy.

Här är ett exempel på situationer där data inte är tillräckligt skyddade: University failed to sufficiently protect sensitive personal data, publicerades på webbsidan av European Data Protection Board (EDPB).

Om du behandlar personuppgifter, följ de 8 procedurerna nedan för att upprätthålla etiska standarder och relevanta lagar och förordningar:

(1) Före insamling av data (under forskningsplaneringsfasen)

1. Planera vilken data du behöver och implementera principerna för dataminimering och dataskydd som standard 

2. Skriva och uppdatera en datahanteringsplan (data management plan, DMP)

3. Utvärdera risker för registrerade

3.1 Få etikprövning vid behov

3.2 Gör en data protection impact assessment (DPIA) vid behov

(2) Datainsamling och analys (under aktiv forskningsfas)

4. Förtydliga den behandlingsgrunden för personuppgifterna och ge dina forskningsdeltagare tillräcklig, obligatorisk information om behandlingen

5. Att lagra, säkerhetskopiera och överföra data på ett säkert sätt under forskning

6. Informera registrerade om ändringar och uppdatera dokumentation

7. Anonymisera data före publicering och arkivering

(3) Efter aktiv forskningsfas

8. Dataradering och datapublicering

(1) Före insamling av data (under forskningsplaneringsfasen)
1. Planera vilken data du behöver och implementera principerna för dataminimering och dataskydd som standard

Förstå målen för din studie och definiera det tydliga, specificerade behovet av att samla in personuppgifter. Samla bara in den minsta mängd personuppgifter som är nödvändiga och proportionella för att utföra dina studieuppgifterna. Personuppgifter ska inte samlas in bara i fall att de kan vara användbara i framtiden. Fundera på om din data kan vara den minst identifierbara medan den uppnår dina forskningsmål.

Genomföra en dataminimeringsgranskning för hela datahanteringsprocessen, inklusive att definiera typerna och mängden av personuppgifter som samlas in, i vilken utsträckning de kan kommas åt, vidarebehandlas och delas, för vilka syften de används och för vilken period de hålls.

2. Skriva och uppdatera en datahanteringsplan (data management plan, DMP)

En DMP kan hjälpa dig att planera hela livscykeln för behandlingen av forskningsdata. Den är ett dokument som beskriver hur forskningsdata hanteras under och efter ett forskningsprojekt. I planen beskrivs vilka åtgärder som ska vidtas för att säkerställa att forskningsdata i så stor utsträckning som möjligt hanteras och görs tillgängliga enligt FAIR-principerna. Forskningsfinansiärer kräver i allt högre grad en DMP som är skriven och uppdaterad i olika versioner under hela datalivscykeln.

Forskare kan använda Hankens DMP-mall eller andra Public DMP templates (med Hankens DMP-anvisningar integrerad) i DMPTuuli för att skriva och uppdatera en datahanteringsplan. Se DMPTuuli med Hankens DMP-anvisningar och DMP-mall i LibGuiden om Hantering av forskningsdata.

3. Utvärdera risker för registrerade
3.1 Få etikprövning vid behov

Om din studie är en av de sex typerna som beskrivs i Etikprövning, fyll i e-blanketten Request for an ethical review for an empirical study och skicka till Hankens Forskningsetiska kommitté. Skicka in din dataskyddsmeddelande och/eller datahanteringsplan (DMP) som bilaga för att begära etikprövingen. Ange datumet i dataskyddsmeddelandet när en anhållan om etikpröving lämnades till Hankens Forskningsetiska kommitté.

Du kan kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi) för råd.

 

3.2 Gör en data protection impact assessment (DPIA) vid behov

En data protection impact assessment (DPIA) bör göras om den planerade personuppgiftsbehandlingen kommer sannolikt att utgöra en betydande risk för registrerade. Detta kan inträffa när forskare och studenter behandlar:

  • stora mängder data (t.ex. om fler än 500 registrerade är är involverade),
  • personuppgifter om barn under 15 år, eller
  • känsliga personuppgifter eller uppgifter av högst personlig karaktär.

Innehållet i en DPIA bör inkludera:

  • en beskrivning av behandlingen, inklusive dess karaktär, omfattning, sammanhang, syften och den lagliga grunden,
  • behandlingens nödvändighet och proportionalitet,
  • att identifiera och bedöma de risker som behandlingen kan innebära för registrerade, och
  • att definiera lämpliga ytterligare åtgärder för att förhindra eller mildra dessa risker.

Det vill säga, i DPIA identifierar du behovet av en DPIA, beskriver naturen av data och databehandling inklusive datainsamling, analys, lagring och radering, specificerar hur mycket data som kommer att samlas in och bearbetas, vilka typer av behandling som kan innebära risker, källorna till risk och potentiell påverkan på registrerade, och identifiera ytterligare åtgärder för att minska eller eliminera de risker som identifierats som medelstora eller höga.

Forskare och studenter kan använda  Hanken's DPIA template för att genomföra en DPIA när en DPIA behövs. En DPIA bör utföras genom att konsultera Hankens Dataskyddsombud (DPO, dpo@hanken.fi) som också ska övervaka dess prestation (GDPR, art. 35 och 39).

(2) Datainsamling och analys (under aktiv forskningsfas)
4. Förtydliga den behandlingsgrunden för personuppgifterna och ge dina forskningsdeltagare tillräcklig, obligatorisk information om behandlingen

Personuppgifter ska behandlas lagligt med minst en av de sex rättsliga grunder som definieras av GDPR (art. 6). Du bör förlita dig på en rättslig grund för att motivera varför du har rätt att samla in, hantera och bevara personuppgifter:

För forskningsarbete som utförs av forskare inklusive doktorander är vanligtvis behandlingsgrunden vetenskaplig forskning utförd i allmänintresse (baserat på Finnish Personal Data Act (1050/2018, section 4) och GDPR (art. 6 (1)(e)). 

När de samlar in personuppgifter, vad forskare bör göra för att följa god datahanteringspraxis, dataskyddsbestämmelser och forskningsintegritet inkluderar:

Detta samtycke (att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycket (till behandlingen av personuppgifterna, som en behandlingsgrund för personuppgifterna enligt GDPR). Skillnaden erkänns av TENK:s riktlinjer (s. 9).

  • (2) Ge obligatorisk information till forskardeltagare om behandlingen av deras personuppgifter. Transparens är en övergripande princip och krav under GDPR. Personuppgifter bör behandlas på ett transparent sätt. Oavsett den rättsliga grunden för behandlingen av personuppgifter har de registrerade rätt att få tillräcklig information från dig om varför och hur deras personuppgifter samlas in, används, lagras, sprids eller på annat sätt behandlas. GDPR (art. 12-14) fastställer långa listor med information som ska lämnas till de registrerade, inklusive syfte och rättslig grund för behandlingen, identitet och kontaktuppgifter för den personuppgiftsansvarige och Dataskyddsombudet, mottagare av personuppgifter, internationell dataöverföring, datalagrings och retentions plan och registrerades rättigheter. 

Vanligtvis finns det två situationer med olika tidpunkt för att tillhandahålla informationen, beroende på om uppgifterna samlas in från forskningsdeltagarna eller från någon annan källa:

  • Om personuppgifterna samlas in från forskningsdeltagare (t.ex. genom intervjuer, via frågeformulär eller genom ljud/videoinspelningar av en föreställning eller social interaktion som utförs av deltagaren), behöver du informera dina forskningsdeltagare om hur deras personuppgifter behandlas före eller vid den tidpunkt då du samlar in/skaffar informationen. Du kan informera om detta t.ex. i början av intervjun eller frågeformuläret.
  • Om personuppgifterna tas från en annan källa än forskningsdeltagaren (t.ex. från en annan personuppgiftsansvarig, från offentligt tillgängliga källor eller från andra registrerade, eller om du kombinerar registerdata med din forskningsdata) ska forskningsdeltagarna inom rimlig tid informeras om hur deras personuppgifter behandlas, dock senast en månad räknat från den tidpunkt då du har samlat in/skaffat personuppgifterna.

Detta gäller när du samlar in sekundär data från onlineforum/sociala medier och du behöver säkerställa att databehandlingen är rättvis för alla inblandade registrerade, och att deras grundläggande rättigheter respekteras i enlighet med etiska principer och integritetsprinciper och relevanta villkor för plattformen. I tillämpliga fall bör dataskyddsombudets kontaktuppgifter ges till de registrerade som är involverade i insamlingen och behandlingen av uppgifterna från onlineforum/sociala medier.

För mera information se:

Det informerade samtycket och dataskyddsmeddelandet som du har gett till dina registrerade arkiveras och är tillgängliga på begäran av alla registrerade, forskningsfinansiärer och tillsynsmyndigheter för dataskydd (Data protection authorities, DPAs).

  • (3) Skicka ditt dataskyddsmeddelande till dpo@hanken.fi. Dataskyddsmeddelandet kan fungera som en Registrering av datahantering, registrering ansvarigheten för att visa efterlevnad av GDPR till DPAs (GDPR, art.30). Dataskyddsombudet kollar innehållet i dataskyddsmeddelandena, kontaktar forskaren vid behov och sammanställer meddelandena i arkivet.

 

För studier och avhandlingar av kandidat-, magister-, eMBA-studerande används samtycke som behandlingsgruden om inte studenten är medlem i ett forskningsprojekt där mer seniora forskare (på doktorsnivå och däröver) är involverade (GDPR, art. 6(1)(a)). Om samtycke används som behandlingsgrunden för personuppgifterna, ska samtycket uppfylla kraven i GDPR. Samtycket till behandlingen av personuppgifter ska vara en fritt given, specifik, informerad och otvetydig indikation på de registrerades önskemål, och vara presenteras på ett sätt som är tydligt särskiljbart från de andra ärendena, i en begriplig och lättillgänglig form, med ett klart och tydligt språk (GDPR, art. 4 och 7). De registrerade har rätt att när som helst återkalla sitt samtycke. Se Samtycke av den registrerade av Dataombudsmannens byrå.

När de samlar in personuppgifter, vad studenter bör göra för att följa dataskyddsförordningar inkluderar:

 

Behandling av speciella kategorier av personuppgifter (känsliga personuppgifter) är förbjuden, men det finns tio undantag från förbudet (GDPR (art. 9) och Finnish Data Protection Act (1050/2018, Section 6 och 7)).

  • Forskare kan använda undantaget (j) – behandling av känsliga personuppgifter är nödvändig för offentliga arkiv, vetenskaplig eller historisk forskning eller statistiska ändamål i enlighet med allmänintresset.
  • Studenter använder undantaget (a) – den registrerade har gett uttryckligt samtycke till behandlingen av speciella kategorier av personuppgifter. Detta innebär att samtycke inte bara ska ges fritt, specifikt, informerat och entydigt, utan också vara uttryckligt med en tydlig bekräftande handling från den registrerade.

En data protection impact assessment (DPIA) behövs när forskare och studenter behandlar känsliga personuppgifter eller känsliga personuppgifter eller uppgifter av högst personlig karaktär. Se instruktionerna ovan under "3.2 Gör en data protection impact assessment (DPIA) vid behov."

5. Att lagra, säkerhetskopiera och överföra data på ett säkert sätt under forskning

Det som är viktigt i skedet av din datainsamling och dataanalys är att din forskningsdata lagras och säkerhetskopieras på en plats som inte kan nås offentligt eller av någon som inte är behörig och att dataöverföring utanför Hanken och EU/EES endast sker i enlighet med relevanta lagstiftningar.

Se också Säkerhetsinstruktioner för hantering av bandade intervjuer i LibGuiden om Hantering av forskningsdata, och pdf-filen Hantering av data och dokument på olika skyddsnivåer på sidan Informationshantering på Hanken och lär dig vilka olika lagringslösningar som är tillåtna och lämpliga för olika dokument och data på olika datasäkerhetsnivåer.

För säker lagring och säkerhetskopiering av aktiv forskningsdata använder forskare:

  • Datalagringstjänster som tillhandahålls och underhålls av Hanken, inklusive forskarens eget konto på Hankens nätverk som H:\, Microsoft Office365-applikationer (t.ex. Onedrive for Business), Webropol eller SPSS. Om du inte har en plan för dataarkivering efter forskningsprojektet så är detta en lämplig lösning. 
  • Eller datalagringstjänster tillhandahållna av CSC såsom IDA som också är till för dataarkivering. IDA är en Fairdata-tjänst för både datalagring och dataarkivering. Fairdata-tjänsterna erbjuds av UKM och produceras av CSC.

Etablerade och välkända infrastrukturer är för det mesta ett säkrare alternativ för arkivering av forskningsdata än t. ex. hårdskivan på forskarens personliga dator, både vad gäller datasäkerhet och ur ett sekretessperspektiv.

Om du inte har ett Databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör, får du inte använda andra system än de som Hanken tillhandahåller. Detta gäller t.ex. Dropbox, Google Docs, offentligt tillgängliga Onedrive (för konsumenter) eller andra  system för att göra frågeformulär än Webropol. 

Om du samlar in personuppgifter från frågeformulär eller undersökningar via weblänkar, använd de GDPR-kompatibla verktygen och plattformarna som Webropol. Instruktioner för Webropol finns på sidan av Hankens IT-tjänster. Om informationen du planerar att samla in innehåller känsliga personuppgifter eller konfidentiell data (t.ex. politisk känslig information eller affärshemligheter), kan det vara bättre att du inte samlar in dem online.

Förutom Hankens datorer och datalagrings- och delningssystem kan du använda din egen lösenordsskyddade persondator och hårdvara (t.ex. interna/externa hårddiskar) och lösenordsskyddade samanvändningsdatorer i ett rum på Hanken med begränsad åtkomst för att lagra och bearbeta data under forskningen. 

  • Använd inte datalagring som är ansluten till eller säkerhetskopierad på molntjänster (t.ex. iCloud, Google Docs, DropBox), inte heller på din egen dator. Använd endast lokala hårddiskar och datamappar som inte är säkerhetskopierade i molntjänster eller andra internettjänster.
  • Se till att data på din dator är korrekt skyddade genom att hålla datorn uppdaterad med säkerhetsuppdateringar och säkerställa säkra konfigurationer.
  • När du använder minnesstickor eller externa hårddiskar, se till att de förvaras säkert, t.ex. i låsta skåp, och att du på ett säkert sätt raderar personuppgifter lagrade på dina minnesstickor och på dina USB-diskar omedelbart efter användning. Du kan också kryptera data på minnespinnar och externa hårddiskar med t.ex. zip-applikationer eller Office365.

Om du överför personuppgifter utanför Hanken:

  • Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärderna som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.

  • Du kan använda fysiska minnespinnar eller externa hårddiskar , t.ex. i en situation där du eller den andra parten inte har tillgång till Hankens datadelningssystem (t.ex. OneDrive for Business).

  • Observera att du aldrig ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken (t.ex. DropBox, GoogleDocs, OneDrive for Consumers).

  • För data från och till länderna utanför EU/EES ska alla forskningsmedlemmar hålla höga etiska standarder och följa relevant lagstiftning, oavsett i vilket land forskningen utförs och data samlas in och behandlas. Data som överförs från och till länderna utanför EU/EEA ska uppfylla relevanta villkor och föreskrifter. 
  • Europeiska kommissionens beslut om adekvat dataskydd (Adequacy decision) är den primära överföringsgrunden. Du kan hitta listan över de länder som av Kommissionen anses ha en adekvat dataskyddsnivå på denna Adequacy decision sida. Personuppgifter kan överföras direkt på grundval av likvärdighetsbeslutet. Om personuppgifter inte kan överföras med utgångspunkt i Kommissionens likvärdighetsbeslut ska det utredas om personuppgifter kan överföras på grundval av andra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder är t.ex. standardiserade dataskyddsbestämmelser och bindande företagsbestämmelser. Mer information se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.

Om personuppgifter överförs till länderna utanför EU/EES, ange ländernas namn i ditt dataskyddsmeddelande och lämpliga skyddsåtgärder du planerar att ta för att säkerställa att dataskyddsnivån i enlighet med GDPR inte undergrävs.

Om inga personuppgifter överförs från och till länderna utanför EU/EES, specificera i ditt dataskyddsmeddelande att data som överförs mellan projektpartners utanför EU/EES ska endast begränsas till anonymiserade uppgifter, överföringen sker via en säker kanal, och behandling och överföringar av personuppgifter ska endast vara inom EU/EES och begränsas till forskningen.

Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.

Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information och information om nationell säkerhet:

  • Försäkra dig om att du lagrar din data tillräckligt säkert.
  • Använd inte molnlagring p.g.a. otillräckligt dataskydd.
  • Använd inte externa hårddiskar som huvudsaklig lagring.
  • Skydda data med kryptering. I synnerhet mobila enheter och externa lagringsenheter bör krypteras t.ex. med hjälp av Cryptomaror.
  • Data med direkta identifierare, kontaktinformation, känsliga personuppgifter och konfidentiella uppgifter ska inte skickas mellan forskargruppens medlemmar via e-post – inte ens Hankens e-postsystem.

Du kan använda Hankens video plattform Panopto för att transkribera forskningsdata, från både ljudfiler och videofiler. Observera att du bär ansvar över att inte dela forksningsdatat med någon annan i Panopto. Se Transkribering av kvalitativ data.

Personuppgiftsbiträden som utför översättnings-/tolknings- eller translittererings-/transkriptionsarbete, och forskningspartnerna som analyserar rådata – som innehåller personliga eller individspecifika uppgifter eller är baserade på enskilda informanter – ska underteckna ett Databehandlingsavtal (DPA). Använd Hankens Template for Data Processing Agreement (DPA).

Forskare kan be om råd från Hankens Datasäkerhetschef (mikael.albrecht@hanken.fi) och Dataskyddsombud (DPO, dpo@hanken.fi) för att säkerställa att andra lagrings- och arkiveringslösningar uppfyller dataskyddkraven. 

6. Informera registrerade om ändringar och uppdatera dokumentation

Personuppgifter får endast behandlas för de syftena som du har informerat forskningsdeltagaren om innan behandlingen påbörjades (genom samtyckesmeddelandet). Om du behöver behandla personuppgifter för andra syften bör du informera forskningsdeltagarna om dessa nya syften och uppdatera alla dokument innan behandlingen.

7. Anonymisera data före publicering och arkivering

Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimlig ansträngning baserat på den information som tillhandahålls, t.ex. genom att kombinera olika indirekta identifierare, eller genom att kombinera uppgifterna med information från andra externa källor.

Gör en anonymiseringsplan som beskriver anonymiseringsåtgärderna och utvärderar risken för avslöjande av registrerades personuppgifter. Anonymiseringsplanen fungerar även som dokumentation om hur uppgifterna har behandlats. Du kan använda Anonymisation plan template Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD) för att skriva en anonymiseringsplan.

För känsliga personuppgifter som involverar pseudonymisering eller anonymisering är det nödvändigt att genomföra en data protection impact assessment (DPIA) för att säkerställa en lämplig nivå av dataskydd och minimera riskerna för de registrerades rättigheter.

Det rekommenderas att undvika att använda öppna frågor för att samla in bakgrundsinformation som utbildning eller yrke. Använd istället ett strukturerat formulär för att förhindra att intervjupersoner ger fria svar som ofta innehåller identifierare. Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.

Den första anonymiseringsåtgärden är vanligtvis att ta bort direkta och starka indirekta identifierare från din data. Använd pseudonymer, alias eller koder så att de registrerade inte kan identifieras utan användning av separat lagrad ytterligare information. Information om de ursprungliga värdena och teknikerna som används för att skapa pseudonymerna och koderna bör hållas organisatoriskt och tekniskt separata från de pseudonymiserade uppgifterna.

Att ta bort direkta och starka indirekta identifierare är dock sällan tillräckligt för att göra uppgifterna anonyma. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. Se den detaljerade beskrivningen av anonymiseringsprinciper och tekniker för både kvantitativ data och kvalitativ data i Anonymisation and Personal Data av FSD och lär dig vad du kan göra för framgångsrik anonymisering.

Eftersom offentligt tillgänglig information ständigt ökar är det viktigt att regelbundet bedöma om ett tidigare anonymiserat dataset fortsätter att vara anonymt och göra residual risk assessments.

(3) Efter aktiv forskningsfas
8. Dataradering och datapublicering

Personuppgifter som inte längre behövs för att genomföra forskningen bör kasseras så snart som möjligt. T. ex., bör direkta identifierare som namn, e-postadresser och personnummer tas bort omedelbart efter att de inte längre är nödvändiga för att utföra forskningen. Lagringsbegränsning minskar risker relaterade till behandling av personuppgifter.

Du behöver försäkra dig om att personliga data, dispenserbara datafiler, temporära filer som skapas när program används och alla deras säkerhetskopior raderas inom rätt tid när de inte längre behövs, och att raderade data inte kan återställas.

Att radera filer med operativsystemets verktyg, eller till och med formatera om en hårddisk förstör inte data oåterkalleligt. Det är viktigt att permanent förstöra all data som innehåller personliga, känsliga eller konfidentiella uppgifter efter att lagringen inte längre är nödvändig. Be om hjälp och stöd från Hankens Datasäkerhetschef (mikael.albrecht@hanken.fi) och DPO (dpo@hanken.fi) för säkra åtgärder för att radera data.

Anonymiserad data publiceras och arkiveras i ett dataarkiv för gemensamt bruk när det är möjligt. Data med personuppgifter kan endast publiceras anonymiserad. Pseudonymiserade uppgifter är fortfarande personuppgifter och kan därför inte öppnas utan uttryckligt samtycke i det syftet. Innan forskningsdata arkiveras bör pseudonyma uppgifter göras anonyma genom att oåterkalleligt förstöra den separat förvarade identifieringsinformationen (t. ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna).

Om den öppna tillgängligheten för ett dataset inte är möjlig av motiverade skäl, kan datasets metadata publiceras öppet tillgängligt. Det rekommenderas starkt att använda Fairdata Qvain-metadataverktyget för att beskriva och publicera din (meta)data.

Forskningsdeltagarens samtycke krävs för att öppna materialet som forskningsdeltagaren kan direkt eller indirekt identifieras ifrån. I vissa fall kan materialet delas för det ursprungligen avsedda syftet. Om du planerar att dela eller återanvända data som innehåller personlig information, kontakta Hankens DPO (dpo@hanken.fi).

 

Mer information, se:

Etikprövning

Du ska anhålla om etikprövning av Hankens Forskningsetiska kommitté genom att fylla i e-blanketten för anhållan om etikprövning om din studie är någon av följande sex typer:

  1. en studie där du inte ber om informerat samtycke från forskningsdeltagarna, dvs. du ber inte om forskningsdeltagarnas tillstånd på förhand och informerar dem inte heller om att de studeras/undersöks
  2. en studie där du ger forskningsdeltagare något att äta, dricka, lukta eller röra vid som en intervention eller på annat sätt ingriper i deras fysiska integritet
  3. en studie där du utsätter deltagarna för exceptionellt starka stimuli (t.ex. chockerande bilder)
  4. en studie där forskningsdeltagarna är barn under 15 år eller representerar andra utsatta grupper / populationer (t.ex. asylsökande)
  5. en studie som kan riskera att orsaka deltagarna långvarig mental skada (t.ex. trauma, depression, sömnlöshet) utöver risker som uppstår i det normala livet
  6. en studie som kan riskera att orsaka fysisk skada eller innebära en säkerhetsrisk för deltagarna (t.ex. studier om våld i hemmet).

Skicka in din datahanteringsplan (DMP) som bilaga för att begära etikprövingen. Ange datumet i DMP när en anhållan om etikpröving lämnades till Hankens Forskningsetiska kommitté.

Om du har frågor angående etikprövning, kontakta Hankens Stödperson för forsningsetik: Anu Helkkula, anu.helkkula@hanken.fi.

Se TENKs Etikprövning inom humanvetenskaperna.

Video av TENK: Etikprövning inom humanvetenskaperna 

Etiska principer

Vid all forskning ska Forskningsetiska delegationens anvisningar för god vetenskaplig praxis iakttas. Anvisningarna är publicerade i God vetenskaplig praxis och handläggning av misstankar om avvikelse från den i Finland på finska, svenska och engelska.

Forskningsetiska delegationen har också publicerat Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland (2019) på finska, svenska och engelska.

I händelse av internationellt samarbete ska forskare följa European Code of Conduct for Research Integrity av ALLEA, European Federation of Academies of Sciences and Humanities och alla andra tillämpliga etiska riktlinjer. 

Forskaren ska ta ansvar för etiska och moraliska frågor i samband med forskningen och för kontakterna mellan forskaren och forskningsdeltagarna. Följ Hankens etiska riktlinjer och god dataskyddspraxis för att upprätthålla god forskningsetik och för att följa gällande lagstiftning. Se procedures of personal data management in research at Hanken.

Om du har frågor angående etiska riktlinjer, kontakta Hankens Stödperson för forsningsetik: Anu Helkkula, anu.helkkula@hanken.fi.

Om du har frågor angående dataskydd, kontakta Hankens Dataskyddsombud: dpo@hanken.fi.

Se:

Juridiska frågor

Juridiska frågor relaterade till datahantering inkluderar dataskyddspolicy, datadelningsavtal, dataägande, öppna datalicenser, sekundär dataanvändningsrättigheter och andra immateriella rättigheter (IPR). Avtal om dataägande och andra immateriella rättigheter måste ingås innan någon egentlig forskningsverksamhet påbörjas.

Använd en licens när du öppnar din data för återanvändning (t.ex. forskningsdata, kod, programvara). Licensiering av din öppna forskningsdata innebär att du tydligt definierar återanvändningsvillkoren och eventuella begränsningar för framtida återanvändning av din data. På så sätt har du kontroll över vem som har rätt att återanvända uppgifterna och hur. Använd maskinläsbara licenser som följer internationella standarder, helst Creative Commons. Förutom Creative Commons-licenser finns det också licensing models for research data.

För mer information se: