Hantering av forskningsdata

(1) Före insamling av data (under forskningsplaneringsfasen)

1. Planera vilka data du behöver

Om din forskning innebär behandling av personuppgifter, utforma målen för din studie redan i det tidigaste skedet av forskningsplaneringen och definiera vilka data och hur mycket data du behöver för dina forskningsuppgifter. Samla endast in den minsta mängd personuppgifter som är nödvändig och proportionerlig för att genomföra dina forskningsuppgifter. Dessa principer om dataminimering samt integritet genom design och standardinställningar är grundläggande principer i GDPR.

2. Utvärdera risker för registrerade

2.1 Begära ett utlåtande om etikprövning vid behov

Vid all forskning ska relevanta etiska principer och riktlinjer och tillämpliga praxis för etikprövning följas. Gör en etisk självbedömning och identifiera etiska frågor i din forskningsplan.

• Kolla de sex studietyper som beskrivs i Etikprövning för att se om du ska begära ett utlåtande om etikprövning av Hankens Forskningsetiska kommitté.

Mer information, see Ethics and data protection  (av Europeiska kommissionen för forskarvärlden, särskilt för finansieringssökande) och prova Ethics and Data Protection Decision Tree.

2.2 Gör en konsekvensbedömning avseende dataskydd vid behov

Om en planerad personuppgiftsbehandling sannolikt leder till en hög risk för de registrerade ska en konsekvensbedömning avseende dataskydd (Data protection impact assessment, DPIA) göras före behandlingen. Detta kan inträffa när följande data behandlas:

• uppgifter som behandlas i stor omfattning, t.ex. stora mängder data eller data från mer än 500 registrerade.
• personuppgifter om barn under 15 år eller om andra sårbara registrerade, t.ex. anställda, psykiskt sjuka personer, asylsökande, äldre personer eller patienter.
• känsliga personuppgifter eller uppgifter av mycket personlig karaktär, t.ex. särskilda kategorier av personuppgifter, elektronisk kommunikation vars konfidentialitet ska skyddas, lokaliseringsuppgifter vars insamling medför att den fria rörligheten ifrågasätts, finansiella uppgifter som kan användas för betalningsbedrägeri, personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter. 
• en systematisk och omfattande bedömning av personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som i betydande grad påverkar fysiska personer. 
• systematisk övervakning: behandling som används för att observera, övervaka eller kontrollera registrerade, inbegripet uppgifter som har samlats in genom nätverk eller systematisk övervakning av en allmän plats. I dessa situationer kanske de registrerade inte är medvetna om vem som samlar in deras uppgifter eller hur de kommer att användas. Dessutom kan det vara omöjligt för enskilda att undvika att bli föremål för sådan behandling på allmän plats (eller allmänt tillgängliga platser).
• matchande eller kombinerande uppgiftsserier, som t.ex. kommer från två eller flera behandlingar av uppgifter som utförs i olika syften och/eller av olika personuppgiftsansvariga på ett sätt som överstiger den registrerades rimliga förväntningar.
• innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar, såsom en kombination av fingeravtryck och ansiktsigenkänning för förbättrad fysisk åtkomstkontroll. 
• om särskilda kategorier av personuppgifter behandlas OCH det finns ett undantag från den registrerades rättigheter till tillgång, rättelse, begränsning av behandling och rätt att göra invändningar. Observera att i denna situation ska DPIA delges Dataombudsmannens byrå innan behandlingen inleds enligt 31 § i Finlands Dataskyddslag (1050/2018). 
• Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning.

Mer information, se de nio kriterierna i Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida
behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (PDF-filen av Europeiska dataskyddsstyrelsen, s.10-12). Riktlinjerna (s.12-16) presenterar också en längre lista över scenarier där en DPIA kan vara nödvändig eller inte.

En behandling som uppfyller ett eller två av kriterierna kan kräva att en DPIA utförs. En DPIA ska innehålla åtminstone: 

• en systematisk beskrivning av den planerade behandlingen, inklusive dess karaktär, omfattning, sammanhang, syften och rättsliga grund,
• en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
• en bedömning av de risker för de registrerades rättigheter och friheter, och
• de lämpliga ytterligare åtgärder som planeras för att hantera, förhindra eller mildra riskerna.

Beroende på din uppgiftsbehandlings karaktär och omfattning kan du utföra en fullständig eller lätt version av en DPIA. Använd Hanken's DPIA template (for studies and research) för att utföra en fullständig version av DPIA, eller svara direkt på de fyra minsta aspekter som krävs för en DPIA.

Kontakta dataethics@hanken.fi för att göra en DPIA.

(2) Datainsamling och analys (under aktiv forskningsfas)

3. Be om samtycke och ge dataskyddsmeddelandet

Vid insamlingen av personuppgifter, vad forskare ska göra för att följa god datahanteringspraxis, dataskyddslagar och forskningsintegritet inkluderar:

• (1) Att be om informerat samtycke från forskningsdeltagarna, vilket krävs av forskningsetik, t.ex. Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland 2019. Forskningsetiska delegationens anvisningar 2019 (PDF). Anvisningarna står att "[in]formerat samtycke om att delta i forskningen är en viktig etisk praxis inom humanforskningen" (s. 9). 

Observera att detta samtycke (till att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycke (till behandlingen av personuppgifterna, som en rättslig grund enligt GDPR). Skillnaden erkänns av TENK:s riktlinjer (s. 9). För forskningsarbete som utförs av forskare inklusive doktorander är vanligtvis behandlingsgrunden vetenskaplig forskning som en uppgift av allmänt intresse . 

• Forskare använder Hankens mall för informerat samtycke (på engelska, på finska eller på svenska) för att be om informerat samtycke. Välj det språk som dina forskningsdeltagare vill ha.

• (2) Att ge dataskyddsmeddelandet till forskningsdeltagarna om behandlingen av deras personuppgifter för att fullgöra skyldigheten att tillhandahålla nödvändig information enligt GDPR. 

  • Forskare fyller i och skickar in e-blanketten Forskningens dataskyddsmeddelande (på engelska, på finska eller på svenska) och ge dataskyddsmeddelandet till forskningsdeltagarna.

• Efter att blanketten sänds in, klickar du på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina forskningsdeltagare.

• Efter inlämningen fungerar detta e-blankett också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter enligt GDPR.

Vid insamlingen av personuppgifter, vad kandidat-, magister- och EMBA-studerande ska göra för att följa dataskyddslagar inkluderar:

• (1) Att få respondenternas samtycke till behandlingen av personuppgifterna som den rättsliga grunden. För studier och avhandlingar av kandidat-, magister- och EMBA-studerande används vanligtvis samtycke som behandlingsgruden om inte studenten är medlem i ett forskningsprojekt där det finns en eller flera forskare (på doktorsnivå eller högre). 
  • Studerande använder Hankens mall för Samtycke till behandlingen av personuppgifter i studien (på engelska, på finska eller på svenska) för att få samtycke. Välj det språk som dina respondenter vill ha. 

• (2) Att fylla i och skicka in e-blanketten Studiens dataskyddsmeddelande (på engelska, på finska eller på svenska) och ge dataskyddsmeddelandet till respondenterna om behandlingen av deras personuppgifter för att följa öppenhetsprincipen och fullgöra skyldigheten att tillhandahålla nödvändig information enligt GDPR (art. 12-14). 
  • Efter att blanketten sänds in, klicka på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina respondenter. 
  • Efter inlämningen fungerar e-blanketten också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter enligt GDPR.

Särskilda kategorier av personuppgifter (känsliga personuppgifter) är föremål för specifika behandlingsvillkor:

• Forskare använder vanligtvis undantaget (j) – behandlingen av särskilda kategorier av personuppgifter är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

• Studerande använder vanligtvis undantaget (a) – den registrerade har lämnat sitt uttryckliga samtycke till behandlingen av särskilda kategorier av personuppgifter. Detta innebär att samtycket inte bara ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandlingen av personuppgifterna, utan också vara uttryckligt med en tydlig bekräftande handling från den registrerade.

En konsekvensbedömning avseende dataskydd (DPIA) kan krävas när studerande och forskare behandlar särskilda kategorier av personuppgifter, uppgifter av mycket personlig karaktär och andra särskilt skyddade personuppgifter. Se instruktionerna ovan under "2.2 Gör en konsekvensbedömning avseende dataskydd vid behov" och kontakta dataethics@hanken.fi. 

4. Lagra, säkerhetskopiera och överföra data på ett säkert sätt

För säker lagring och säkerhetskopiering av aktiv forskningsdata använder studerande och forskare:

• datalagringstjänster som tillhandahålls av Hanken inklusive forskarens eget konto på Hankens nätverk som H:\, Microsoft Office365-applikationer (t.ex. OneDrive for Business), Webropol eller SPSS.
  • Om du samlar in personuppgifter via online frågeformulär eller undersökningar, använd de GDPR-kompatibla verktygen och plattformarna som Webropol. Se Instruktioner för Webropol. 
  • Du kan använda Hankens videoplattform Panopto för att transkribera forskningsdata, från både ljudfiler och videofiler. Se Transkribering av kvalitativ data.
• datalagringstjänster som tillhandahålls av CSC inkluderar IDA som också är till för dataarkivering. IDA är en av Fairdata-tjänsterna som erbjuds av UKM och produceras av CSC.

• Utöver Hankens och CSC:s datalagringssystem kan du använda:
  • din egen lösenordsskyddade persondator och hårdvara (t.ex. interna/externa hårddiskar),
  • lösenordsskyddade samanvändningsdatorer i ett rum på Hanken med begränsad åtkomst,
  • minnesstickor eller externa hårddiskar, men se till att de förvaras säkert, t.ex. i låsta skåp, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter användningen. Du kan kryptera data på minnespinnar och externa hårddiskar med t.ex. zip-applikationer eller Office365.

Använd INTE datalagring som är ansluten till eller säkerhetskopierad på molntjänster (t.ex. iCloud, Google Docs, DropBox), inte ens på din egen dator. Använd endast lokala hårddiskar och datamappar som inte är säkerhetskopierade i molntjänster eller andra internettjänster.

Om du inte har ett databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör som är ett personuppgiftsbiträde, får du INTE använda andra system. Detta gäller t.ex. Dropbox, Google Docs, allmänt tillgänglig OneDrive (för konsumenter) eller andra frågeformulärplattformar än Webropol. Ett databehandlingsavtal (DPA) ska undertecknas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

För personuppgiftsöverföringar utanför Hanken:

• Använd OneDrive-lagringsutrymmet i ditt Hanken-levererade konto för att dela filer och samarbeta med andra. Använd "Specific people"-alternativet för att säkerställa dataåtkomstkontroll. 

• Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärder som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.

• Du kan använda fysiska minnespinnar eller externa hårddiskar, t.ex. i en situation där du eller din parten inte har tillgång till Hankens datadelningssystem. Se till att data förvaras på ett säkert sätt, och att du raderar personuppgifter som finns lagrade på dina minnesstickor omedelbart efter dataöverföringen. Du kan kryptera data på minnespinnar och externa hårddiskar.

• Observera att du INTE ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken eller CSC (t.ex. DropBox, GoogleDocs, allmänt tillgänglig OneDrive (för konsumenter) för dataöverföringar.

• Om du har en tredje part utanför Hanken som personuppgiftsbiträdet som tillhandahåller t.ex. översättning/tolkning, translitteration/transkription eller rådataanalystjänster, behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

• Om du överför personuppgifter utanför EU/EES, kontakta dataethics@hanken.fi för råd. Se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.

Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.

Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information, information om nationell säkerhet och uppgifter som erhållits genom tillit och förtroende:

• Se till att dina lagringslösningar är tillräckligt säkra för dina data.
• Använd INTE molnlagring p.g.a. dess otillräckliga dataskydd.
• Använd INTE externa hårddiskar som det huvudsakliga lagringsalternativet.
• Skydda data med kryptering. Vid behov bör särskilt mobila enheter, bärbara och externa lagringsenheter krypteras, t.ex. genom att använda Cryptomator.
• Data med direkta identifierare, kontaktinformation, känsliga personuppgifter och konfidentiella uppgifter ska INTE skickas mellan forskargruppens medlemmar via e-post – inte ens Hankens e-postsystem.

Du kan be om råd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) för att säkerställa att dina datalagrings- och arkiveringslösningar uppfyller dataskyddskraven. 

5. Informera registrerade om ändringar och uppdatera dokumentation

Om det sker förändringar i behandlingen av personuppgifterna, t.ex. nya, kompatibla behandlingsändamål andra än det ursprungliga ändamålet, nya mottagare av personuppgifterna (t.ex. nya forskningspartner eller leverantörer av översättnings- eller transkriptionstjänster), eller nya datavariabler tillagda i dataset, ska dataskyddsmeddelandet och annan dokumentation uppdateras och forskningsdeltagarna informeras om ändringarna innan den nya behandlingen.

6. Anonymisera/pseudonymisera data före publicering och arkivering

Det står på sidan Minimering av personuppgifter i vetenskaplig forskning av Dataombudsmannens byrå att "[a]nonymiseringen och pseudonymiseringen ska genomföras så snart det är möjligt, till exempel efter att uppgifterna har sammanförts". 

Pseudonymisering innebär att personuppgifter behandlas på ett sådant sätt att de inte längre kan hänföras till en specifik registrerad utan användning av ytterligare information. Pseudonymisering kan göras genom att ta bort eller ersätta identifierare med pseudonymer, alias eller koder. De kompletterande uppgifterna och teknikerna som används för att skapa pseudonymerna eller koderna ska förvaras organisatoriskt och tekniskt åtskilda från de pseudonymiserade uppgifterna för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Uppgifterna förblir pseudonymiserade och personliga så länge de kompletterande identifieringsuppgifterna finns tillgängliga. Det vill säga, pseudonymiserade uppgifter kan tillskrivas till en fysisk person genom användningen av de kompletterande uppgifterna och är fortfarande personuppgifter. 

Pseudonymiserade uppgifter blir anonymiserade när de separat förvarade kompletterande identifieringsuppgifter som används för att skapa pseudonymerna och koderna (t.ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna) har oåterkalleligt raderats och inte kan kopplas till de pseudonymiserade uppgifterna.

Med anonymisering avses att personuppgifter behandlas på så sätt att personen inte längre kan identifieras utifrån dessa. Anonymiserade uppgifter anses inte längre som personuppgifter och omfattas inte av dataskyddsförordningen.

Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimliga ansträngningar baserat på dina data, t.ex. genom att kombinera olika indirekta identifierare i dina data, eller genom att kombinera dina data med information från andra externa källor.

Tabellen från FSD ger bra tips för att veta om vad som är direkta, indirekta och starka indirekta identifierare och hur man anonymiserar forskningsdata genom att ta bort, ändra eller kategorisera dessa identifierare.

Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.

Det räcker dock sällan att enbart ta bort direkta och starka indirekta identifierare för anonymisering. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. För att lära dig vad och hur man gör för framgångsrik anonymisering, se de detaljerade beskrivningarna av anonymiseringsprinciper och tekniker för både kvantitativ och kvalitativ data i Anonymisation and Personal Data av FSD.

(3) Efter aktiv forskningsfas

7. Dataradering och (meta)datapublicering

Personuppgifter som inte längre behövs för det ursprungliga ändamålet bör raderas så snart som möjligt om det inte finns särskilda skäl eller lagstiftning som kräver arkivering. Om det inte är möjligt att fastställa den exakta datalagringsperioden, specificera kriterierna som används för att bestämma den perioden för dina forskningsdeltagare.

Anonymiserade data publiceras och arkiveras i ett datalager för gemensamt bruk närhelst det är möjligt.Om ett datasets öppna tillgänglighet inte är möjlig kan datasetets metadata publiceras öppet tillgänglig. Det rekommenderas att använda Fairdata Qvain-metadataverktyget för att publicera (meta)data. Se Datapublicering och långtidsbevaring.

Mer information, se:

• A Preliminary opinion on data protection and scientific research av Europeiska datatillsynsmannen
• Vetenskaplig forskning och dataskydd av Dataombudsmannens byrå i Finland
• How to handle personal data in research? av Aalto-universitetet
• Instructions for researchers av Jyväskylä universitet
• Data protection in research av Tammerfors universitet