Hantering av forskningsdata

(1) Före insamling av data (under forskningsplaneringsfasen)

1. Planera vilka data du behöver och implementera principerna om inbyggt dataskydd och dataskydd som standard 

Om din forskning innefattar behandling av personuppgifter ska du ha planer för att visa att EU:s och nationella dataskyddslagar efterlevs under hela datalivscykeln.

I det tidigaste skedet av utformningen av ditt forskningsprojekt fundera på hur du utformar din studie så att dina uppgifter kan vara minst identifierbara samtidigt som du uppnår dina forskningsmål, och se till att personuppgifter behandlas med högsta integritetsskydd i standardfallet. Dessa kallas principerna om inbyggt dataskydd och dataskydd som standard.

Förstå målen för din studie och definiera det tydliga, specificerade behovet av att samla in personuppgifter. Samla bara in den minsta mängd personuppgifter som är nödvändiga för och står i proportion till utförandet av dina studieuppgifter. Personuppgifter ska inte samlas in bara om de skulle kunna vara användbara i framtiden.

Genomföra en uppgiftsminimeringsgranskning för hela datahanteringsprocessen, inklusive att definiera typerna och mängden av personuppgifter som samlas in, i vilken utsträckning de kan kommas åt, hur de behandlas och delas, för vilka syften de används och för vilken period de behölls.

2. Skriva och uppdatera en datahanteringsplan

En datahanteringsplan (Data management plan, DMP) kan hjälpa dig att planera hela livscykeln för dina forskningsdata. Den är en integrerad del av forskningsdatahantering och ett viktigt verktyg för att följa god och och ansvarsfulla forskningspraxis. En DMP beskriver hur forskningsdata behandlas under och efter ett forskningsprojekt, och vilka åtgärder som ska vidtas för etik och regelefterlevnad och FAIR-principerna.

De flesta av forskningsfinansiärerna kräver en DMP som en del av finansieringsansökan (t.ex. av Business Finland), efter ett positivt finansieringsbeslut (t.ex. av Finlands Akademi) eller under de första sex månaderna av projektet (t.ex. av Horizon Europe).

Du kan använda Hankens DMP-mall eller andra Public DMP templates (med Hankens DMP-anvisningar integrerad) i DMPTuuli för att skriva och uppdatera en datahanteringsplan. Se DMPTuuli med Hankens DMP-anvisningar och DMP-mall för att lära dig hur du får tillgång till Hankens DMP-mall och anvisningar.

3. Utvärdera risker för registrerade

3.1 Begära ett utlåtande om etikprövning vid behov

Forskare ska alltid själv ta ansvar för de etiska och moraliska frågor och avgörande som är involverade i forskningen och under interaktionen mellan forskarna och forskningsdeltagarna.

Vid all forskning ska relevanta etiska principer och riktlinjer och tillämpliga praxis för etikprövning följas. 

• Kolla de sex studietyper som beskrivs i Etikprövning för att se om du ska begära ett utlåtande om etikprövning av Hankens Forskningsetiska kommitté. Om din studie är en av de sex typerna, fyll i e-blanketten Request for an ethical review for an empirical study och skicka in den till Hankens Forskningsetiska kommitté. 
• När du ansöker om etikprövning behöver du alltid tillhandahålla dessa bilagor: ett dataskyddsmeddelande och en samtyckesblankett. Beroende på din forskning kan du också behöva andra bilagor, t.ex. en datahanteringsplan (DMP) där du anger datumet för din ansökan om etikprövningen och/eller en konsekvensbedömning avseende dataskydd (DPIA).

Kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi) för råd.

Mer information: För att identifiera etik och dataskyddsfrågor i ditt forskningsprojekt kan du läsa Ethics and data protection  (av Europeiska kommissionen för forskarvärlden, särskilt för finansieringssökande) och prova dess Ethics and Data Protection Decision Tree.

 

3.2 Gör en konsekvensbedömning avseende dataskydd vid behov

Om en planerad personuppgiftsbehandlingen "sannolikt leder till en hög risk" för de registrerades rättigheter och friheter ska en konsekvensbedömning avseende dataskydd (Data protection impact assessment, DPIA) göras före behandlingen (GDPR, art. 35). Detta är särskilt relevant när en ny teknik introduceras och kan inträffa när följande data behandlas:

• Uppgifter som behandlas i stor omfattning, t.ex. stora mängder data eller data från mer än 500 registrerade;
• personuppgifter om barn under 15 år eller om andra sårbara registrerade, t.ex. anställda, psykiskt sjuka personer, asylsökande, äldre personer eller patienter; eller
• känsliga personuppgifter eller uppgifter av mycket personlig karaktär, t.ex. särskilda kategorier av personuppgifter, elektronisk kommunikation vars konfidentialitet ska skyddas, lokaliseringsuppgifter vars insamling medför att den fria rörligheten ifrågasätts, finansiella uppgifter som kan användas för betalningsbedrägeri, personliga dokument, e-postmeddelanden, dagböcker, kommentarer från läsplattor som är utrustade med kommentarfunktioner och mycket personlig information i applikationer som registrerar aktiviteter. 

Kolla även följande fyra listor för att avgöra om du behöver genomföra en DPIA:

• (1) Den icke-uttömmande listan i GDPR (art. 35 (3)):
  • En systematisk och omfattande bedömning av personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som i betydande grad påverkar fysiska personer.
  • Behandling i stor omfattning av särskilda kategorier av uppgifter eller av personuppgifter som rör fällande domar i brottmål och överträdelser.
  • Systematisk övervakning av en allmän plats i stor omfattning.

• (2) De nio kriterierna i Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida
  behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679 (PDF-filen, på svenska, s. 10-12) av Artikel 29-arbetsgruppen för skydd av personuppgifter (nu Europeiska dataskyddsstyrelsen). Riktlinjerna (s. 12-16) presenterar också en längre lista över scenarier där en DPIA kan vara nödvändig eller inte. En behandling som uppfyller ett eller två kriterier kan kräva en DPIA, t.ex.:
  • Kriterium 3: Systematisk övervakning – behandling som används för att observera, övervaka eller kontrollera registrerade, inbegripet uppgifter som har samlats in genom nätverk eller systematisk övervakning av en allmän plats. I dessa situationer kanske de registrerade inte är medvetna om vem som samlar in deras uppgifter eller hur de kommer att användas. Dessutom kan det vara omöjligt för enskilda att undvika att bli föremål för sådan behandling på allmän plats (eller allmänt tillgängliga platser).
  • Kriterium 6: Matchande eller kombinerande uppgiftsserier, som t.ex. kommer från två eller flera behandlingar av uppgifter som utförs i olika syften och/eller av olika personuppgiftsansvariga på ett sätt som överstiger den registrerades rimliga förväntningar.
  • Kriterium 8: Innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar, såsom en kombination av fingeravtryck och ansiktsigenkänning för förbättrad fysisk åtkomstkontroll.

• (3) Dataskyddsmyndigheten i varje medlemsstat ska upprätta och offentliggöra en kompletterande förteckning över behandlingsverksamheter som kräver en DPIA (GDPR, art. 35 (4)). I EU Member State DPIA Whitelists, Blacklists and Guidance som sammanställts av International Association of Privacy Professionals (IAPP), kan du hitta den svarta listan från den finska dataskyddsmyndigheten:
  • Dataombudsmannens beslut om en förteckning över behandling av personuppgifter som omfattas av konsekvensbedömning.

• (4) Enligt 31 § i Finlands Dataskyddslag (1050/2018), för vetenskapliga och historiska forskningsändamål samt statistiska ändamål ska en DPIA utförs om särskilda kategorier av personuppgifter behandlas OCH det finns ett undantag från den registrerades rättigheter till tillgång, rättelse, begränsning av behandling och rätt att göra invändningar (under GDPR, art. 15, 16, 18 och 21). Observera att i denna situation ska DPIA delges dataombudsmannen innan behandlingen inleds.

En behandling som uppfyller ett eller två av kriterierna kan kräva att en DPIA utförs. En DPIA är en process som hjälper dig att identifiera och minimera dataskyddsriskerna med ett projekt. GDPR (Art. 35 (7): (a)-(d)) kräver att en DPIA ska innehålla åtminstone: 

• en systematisk beskrivning av den planerade behandlingen, inklusive dess karaktär, omfattning, sammanhang, syften och rättsliga grund,
• en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,
• en bedömning av de risker för de registrerades rättigheter och friheter, och
• de lämpliga ytterligare åtgärder som planeras för att hantera, förhindra eller mildra riskerna.

Det vill säga, i DPIA identifierar du behovet av en DPIA, beskriver naturen av uppgifterna och databehandlingen inklusive datainsamling, analys, lagring och radering, specificerar vilka och hur mycket data som kommer att samlas in och behandlas, vilka typer av behandling som kan innebära risker, källorna till risker och potentiella påverkan på de registrerade, och identifiera ytterligare åtgärder för att minska eller eliminera riskerna.

Beroende på din uppgiftsbehandlings karaktär och omfattning kan du utföra en fullständig eller lätt version av en DPIA. Använd Hanken's DPIA template (for studies and research) för att utföra en fullständig version av DPIA, eller svara direkt på de fyra minsta aspekter som krävs för en DPIA.

Studerande och forskare ska begära råd av Hankens dataskyddsombud (dpo@hanken.fi) för att genomföra en DPIA. Dataskyddsombudet ska också övervaka genomförandet av DPIA (GDPR, art. 35 och 39).

Om din bearbetning uppfyller ett eller flera av kriterierna, men du anser att den planerade behandlingen inte "sannolikt leder till en hög risk", ska du motivera och dokumentera orsakerna till att inte genomföra en DPIA och inkluderar åsikter från Hankens DPO (dpo@hanken.fi) (Article 29 Data Protection Working Party, 2016/679, s. 12).

(2) Datainsamling och analys (under aktiv forskningsfas)

4. Specificera den rättsliga grunden för behandlingen av personuppgifter och ge tillräcklig, obligatorisk information till de registrerade

Behandling av personuppgifter är endast laglig om och i den mån som åtminstone en av de sex rättsliga grunderna är uppfyllt: samtycke, avtal, rättslig förpliktelse, skydd av vitala intressen, allmänt intresse eller offentlig makt och berättigat intressen (GDPR, art. 6). Du ska stödja dig på en rättslig grund för att motivera varför du har rätt att samla in, lagra och behandla personuppgifter.

För forskningsarbete som utförs av forskare inklusive doktorander är vanligtvis behandlingsgrunden vetenskaplig forskning som en uppgift av allmänt intresse (GDPR (art. 6 (1)(e) och Finlands Dataskyddslag (1050/2018, 2 kap., 4 § (3)). 

Vid insamlingen av personuppgifter, vad forskare inklusive doktorander ska göra för att följa god datahanteringspraxis, dataskyddslagar och forskningsintegritet inkluderar:

• (1) Att be om informerat samtycke från forskningsdeltagarna, vilket krävs av forskningsetik, t.ex. TENK:s riktlinjer. För icke-medicinsk forskning som gäller människor ska forskare följa Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland 2019. Forskningsetiska delegationens anvisningar 2019 (PDF). Anvisningarna står att "[in]formerat samtycke om att delta i forskningen är en viktig etisk praxis inom humanforskningen" (s. 9). 

Observera att detta samtycke (till att delta i forskningen, som krävs av etiska standarder) skiljer sig från samtycke (till behandlingen av personuppgifterna, som en rättslig grund enligt GDPR). Skillnaden erkänns av TENK:s riktlinjer (s. 9).

• Forskare använder Hankens mall för informerat samtycke (på engelska, på finska, på svenska) för att be om informerat samtycke. Välj det språk som dina forskningsdeltagare vill ha.

Om du inte ber om informerat samtycke från forskningsdeltagarna, eller om din studie är en av de andra fem typerna som beskrivs i Etikprövning, ska du anhålla om etikprövning av Hankens Forskningsetiska kommitté.

Det finns ovanliga fall där du kanske inte behöver be om informerat samtycke, t.ex. observationsstudier på offentliga platser och fältexperiment där experimentupplägget kan drabbas avsevärt av att deltagarna informeras om forskningen i förväg. Dessutom, om du bara använder sekundär registeruppgifter som är anonymiserade eller aggregerade (t.ex. data på företagsnivå), behöver du inte informera forskningsdeltagarna (Med "sekundär registeruppgifter" menas att originaluppgifterna om personer har samlats in av någon annan person/part/organisation än dig. T.ex. i din studie analyserar du ett företags anonymiserade kunddatabas eller en undersökningsdata som en statlig myndighet ursprungligen har samlat in).

• (2) Att ge all obligatorisk information i ett dataskyddsmeddelande till forskningsdeltagarna om behandlingen av deras personuppgifter. Transparens är en övergripande princip och ett grundläggande krav under GDPR. Personuppgifter ska behandlas på ett rättvist och öppet sätt. Oavsett den rättsliga grunden för behandlingen av personuppgifterna har de registrerade rätt att få tillräcklig information från dig om varför och hur deras personuppgifter samlas in, används, lagras, delas eller på annat sätt behandlas. GDPR (art. 12-14) fastställer långa listor över information som ska tillhandahållas till de registrerade, inklusive syftet och den rättsliga grunden för behandlingen, identiteten och kontaktuppgifterna för den personuppgiftsansvarige och dataskyddsombudet, mottagarna av personuppgifterna, överföringen av personuppgifter utanför EU och EES, planerna för lagringsperioder och radering och de registrerades rättigheter. Dessutom kräver öppenhetsprincipen i synnerhet att informationen som ges till de registrerade är lättillgänglig och lättbegriplig (GDPR, skäl 39).

  • Forskare fyller i och skickar in e-blanketten Forskningens dataskyddsmeddelande (på engelska, på finska, på svenska) och ge dataskyddsmeddelandet till forskningsdeltagarna för att följa öppenhetsprincipen och fullgöra skyldigheten att tillhandahålla nödvändig information. 

• Efter att blanketten sänds in, klickar du på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina forskningsdeltagare.

• Efter inlämningen fungerar detta e-blankett också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter (GDPR, skäl 82 och art. 30). Öppenhetsprincipen innebär också att behandlingarna av personuppgifter ska vara transparenta för tillsynsmyndigheterna/dataskyddsmyndigheterna. För att påvisa att dataskyddsförordningen följs bör de personuppgiftsansvariga och personuppgiftsbiträdena föra register över behandlingarna och göra registren på begäran tillgängliga för tillsynsmyndigheterna. Hankens dataskyddsombud kollar innehållet i dataskyddsmeddelandena/registren, kontaktar forskarena vid behov och sammanställer registren i arkivet.

Vanligtvis finns det två situationer med olika tidpunkt för att tillhandahålla informationen, beroende på om uppgifterna samlas in från forskningsdeltagarna eller från någon annan källa:

• (1) Om personuppgifterna samlas in från forskningsdeltagare (t.ex. genom intervjuer, via frågeformulär eller genom ljud/videoinspelningar av en föreställning eller social interaktion som utförs av deltagaren), behöver du informera dina forskningsdeltagare om hur deras personuppgifter behandlas före eller vid den tidpunkt då du samlar in/skaffar informationen. Du kan informera om detta t.ex. i början av intervjun eller frågeformuläret. (GDPR, art. 13)

Både samtyckesblanketten coh dataskyddsmeddelandet ska ges till forskningsdeltagarna innan du samlar in deras personuppgifter. Efteråt ska dataskyddsmeddelandet vara tillgängligt, t.ex. på ditt forskningsprojekts webbsida och/eller Hankens webbsida, och tillhandahållas på begäran till alla registrerade, dataskyddsmyndigheter och forskningsfinansiärer. Spara både informerade samtycket och dataskyddsmeddelandet.

• (2) Om personuppgifterna erhålls från en annan källa än forskningsdeltagaren (t.ex. från en annan personuppgiftsansvarig, från offentligt tillgängliga källor eller från andra registrerade, eller om du kombinerar registeruppgifter med dina egna forskningsdata) ska forskningsdeltagarna informeras om behandlingen av personuppgifterna inom en rimlig period efter att du har fått personuppgifterna, dock senast inom en månad (GDPR, art.14)

Detta gäller ofta när du samlar in sekundär data från onlineforum/sociala medier och du behöver säkerställa att behandlingen är rättvis för alla inblandade registrerade, att deras grundläggande rättigheter respekteras i enlighet med etiska principer och dataskyddslagar, och att relevanta villkor för plattformen följs. I tillämpliga fall ska dataskyddsmeddelandet ges till de registrerade som är involverade i insamlingen och behandlingen av uppgifterna från onlineforum/sociala medier och du behöver få samtycke från dem.

Om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, eller avsevärt försvårar uppfyllandet av målen med din behandling, kan du göra ditt dataskyddsmeddelande offentligt tillgängligt, t.ex. på ditt forskningsprojekts webbsida och/eller Hankens webbsida för att göra uppgifterna tillgängliga för allmänheten (GDPR, art.14 (5)(b)). T.ex. kräver Findata att datasökande publicerar dataskyddsmeddelanden online, antingen på hemorganisationens sida eller forskningsprojektens sida, innan Findata ger åtkomsträtt till sekundära data från t.ex. Statistikcentralen.

När det är svårt att tillhandahålla all nödvändig information på en gång, kan du dela upp ditt dataskyddsmeddelande i olika lager. Du kan tillhandahålla först den viktigaste informationen (t.ex. syftet med behandlingen och den personuppgiftsansvariges identitet) i det första korta lagret till de registrerades, tillsammans med en klickande länk till ditt dataskyddsmeddelande med mer detaljerad information.

Mera information se:

• Rätten att få information om behandlingen av personuppgifter av Dataombudsmannens byrå.
• Informing research participants about the processing of their personal data av Finlands samhällsvetenskapliga dataarkiv (FSD).

 

För studier och avhandlingar av kandidat-, magister-, EMBA-studerande används vanligtvis samtycke som behandlingsgruden om inte studenten är medlem i ett forskningsprojekt där det finns en eller flera forskare (på doktorsnivå och däröver) (GDPR, art. 6 (1) (a)). Om samtycke används som behandlingsgrunden för behandlingen av personuppgifterna ska samtycket uppfylla kraven i GDPR. Samtycket till behandlingen av personuppgifter ska vara en "frivillig, specifik, informerad och otvetydig viljeyttring" och begäran om samtycke ska läggas fram "på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk" (GDPR, art. 4 och 7). De registrerade har rätt att när som helst återkalla sitt samtycke. Se Samtycke av den registrerade av Dataombudsmannens byrå.  

Vid insamlingen av personuppgifter, vad kandidat-, magister-, EMBA-studerande ska göra för att följa dataskyddslagar inkluderar:

• (1) Att få respondenternas samtycke till behandlingen av personuppgifterna som den rättsliga grunden. 
  • Studerande använder Hankens mall för Samtycke till behandlingen av personuppgifter i studien (på engelska, på finska, på svenska) för att få samtycke. Välj det språk som dina respondenter vill ha. Spara samtycket, eftersom du kan vara skyldig att visa att det har erhållits. 

• (2) Att fylla i och skicka in e-blanketten Studiens dataskyddsmeddelande (på engelska, på finska, på svenska) och ge all obligatorisk information i dataskyddsmeddelandet till respondenterna om behandlingen av deras personuppgifter för att följa öppenhetsprincipen och fullgöra skyldigheten att tillhandahålla nödvändig information enligt GDPR (art. 12-14). 
  • Efter att blanketten sänds in, klicka på "Spara den ifyllda blanketten som fil". Redigera den nedladdade RTF-filen så att den kan passa dina respondenter. 
  • Efter inlämningen fungerar e-blanketten också som Register över behandling som uppfyller ansvarighet att föra register över samlingar och hanteringar av personuppgifter (GDPR, art. 30). Hankens dataskyddsombud kollar innehållet i dataskyddsmeddelandena/registren, kontaktar studenterna vid behov och sammanställer registren i arkivet.

 

Behandling av särskilda kategorier av personuppgifter (känsliga personuppgifter) ska vara förbjuden. Studerande och forskare behöver stödja sig på minst ett av de tio undantag från förbudet för att samla in och behandla särskilda kategorier av personuppgifter, uppgifter av mycket personlig karaktär och andra särskilt skyddade personuppgifter. Dessa undantag anges i GDPR (art. 9) och kompletteras i Dataskyddslag (1050/2018, 6 §, 7 § och 29 §). 

• Forskare använder vanligtvis undantaget (j) – behandlingen av särskilda kategorier av personuppgifter är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

• Studerande använder vanligtvis undantaget (a) – den registrerade har lämnat sitt uttryckliga samtycke till behandlingen av särskilda kategorier av personuppgifter. Detta innebär att samtycket inte bara ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandlingen av personuppgifterna, utan också vara uttryckligt med en tydlig bekräftande handling från den registrerade.

En personbeteckning får behandlas: (1) med den registrerades samtycke, (2) när behandlingen regleras i lag, (3) för att utföra en i lag angiven uppgift, (4) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller (5) för historisk eller vetenskaplig forskning eller för statistikföring (Dataskyddslag (1050/2018, 5 kap., 29 §).

En konsekvensbedömning avseende dataskydd (DPIA) kan krävas när studerande och forskare behandlar särskilda kategorier av personuppgifter eller uppgifter av mycket personlig karaktär. Se instruktionerna under "3.2 Gör en konsekvensbedömning avseende dataskydd vid behov" och kontakta dpo@hanken.fi. 

5. Lagra, säkerhetskopiera och överföra data på ett säkert sätt

Det som är viktigt i skeden av din datainsamling och dataanalys är att dina forskningsdata lagras och säkerhetskopieras på en plats som inte kan nås av någon som inte är behörig och att dataöverföring utanför Hanken och EU/EES endast sker i enlighet med relevanta förordningar.

Se pdf-filen Hantering av data och dokument på olika skyddsnivåer på sidan Informationshantering på Hanken och lär dig vilka olika lagringslösningar som är tillåtna och lämpliga för olika dokument och data på olika datasäkerhetsnivåer.

För säker lagring och säkerhetskopiering av aktiv forskningsdata använder studerande och forskare:

• datalagringstjänster som tillhandahålls och underhålls av Hanken, inklusive forskarens eget konto på Hankens nätverk som H:\, Microsoft Office365-applikationer (t.ex. Onedrive for Business), Webropol eller SPSS. Om du inte har en plan för dataarkivering efter forskningsprojektet så är detta en lämplig lösning. Eller

• datalagringstjänster som tillhandahålls av CSC såsom IDA som också är till för dataarkivering. IDA är en Fairdata-tjänst för både datalagring och dataarkivering. Fairdata-tjänsterna erbjuds av UKM och produceras av CSC.

Etablerade och välkända infrastrukturer är för det mesta ett säkrare alternativ för arkivering av forskningsdata än t. ex. hårdskivan på forskarens personliga dator, både vad gäller datasäkerhet och ur ett sekretessperspektiv.

Utöver Hankens och CSC:s datalagringssystem kan du använda din egen lösenordsskyddade persondator och hårdvara (t.ex. interna/externa hårddiskar) och lösenordsskyddade samanvändningsdatorer i ett rum på Hanken med begränsad åtkomst för att lagra och hantera data under forskningen:

• Använd dock INTE datalagring som är ansluten till eller säkerhetskopierad på molntjänster (t.ex. iCloud, Google Docs, DropBox). Använd endast lokala hårddiskar och datamappar som inte är säkerhetskopierade i molntjänster eller andra internettjänster.
• Se till att data på din dator är korrekt skyddade genom att hålla datorn uppdaterad med säkerhetsuppdateringar och säkerställa säkra konfigurationer.
• När du använder minnesstickor eller externa hårddiskar, se till att de förvaras säkert, t.ex. i låsta skåp, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter användningen. Du kan också kryptera data på minnespinnar och externa hårddiskar med t.ex. zip-applikationer eller Office365.

Om du inte har ett databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör som är ett personuppgiftsbiträde, får du INTE använda andra system. Detta gäller t.ex. Dropbox, Google Docs, allmänt tillgänglig Onedrive (för konsumenter) eller andra frågeformulärplattformar än Webropol. Ett databehandlingsavtal (DPA) ska undertecknas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

Om du samlar in personuppgifter från frågeformulär eller undersökningar via weblänkar, använd de GDPR-kompatibla verktygen och plattformarna som Webropol. Instruktioner för Webropol finns på sidan av Hankens IT-tjänster. Om informationen du planerar att samla in innehåller känsliga personuppgifter eller konfidentiella data, kan det vara bättre att du inte samlar in dem online.

Om du samlar in intervjudata genom att spela in intervjun med mobiltelefon eller diktafon eller spela in telefonkonferenser, se Säkerhetsinstruktioner för hantering av bandade intervjuer.

Du kan använda Hankens video plattform Panopto för att transkribera forskningsdata, från både ljudfiler och videofiler. Observera att du bär ansvar över att inte dela de personuppgifter som finns i Panopto med någon annan. Se Transkribering av kvalitativ data.

 

Om du överför personuppgifter utanför Hanken:

• Använd OneDrive-lagringsutrymmet i ditt Hanken-levererade konto för att dela filer och samarbeta med andra. Använd "Specific people"-alternativet för att säkerställa dataåtkomstkontroll. Se Instruktioner för att dela filer och samarbeta med andra på Hanken för att säkerställa datasäkerhet.

• Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärder som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.

• Du kan använda fysiska minnespinnar eller externa hårddiskar, t.ex. i en situation där du eller den andra parten inte har tillgång till Hankens datadelningssystem (t.ex. OneDrive for Business). Se till att data förvaras på ett säkert sätt, och att du raderar personuppgifter som finns lagrade på dina minnesstickor och USB-diskar omedelbart efter dataöverföringen. Du kan kryptera data på minnespinnar och externa hårddiskar.

• Observera att du INTE ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken eller CSC (t.ex. DropBox, GoogleDocs, allmänt tillgänglig Onedrive (för konsumenter) för dataöverföringar.

• Om du har en tredje part utanför Hanken som personuppgiftsbiträdet som tillhandahåller t.ex. översättning/tolkning, translitteration/transkription eller rådataanalystjänster, behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

• Överföring av personuppgifter till tredjeländer eller internationella organisationer: För data från och till länderna utanför EU/EES, följ EU-kommissionens Rules on international data transfers (GDPR, Kapitel V, art 44-50):

  • Om mållandet finns med på listan över kommissionens beslut om adekvat skyddsnivå (Adequacy decision) kan personuppgifter överföras utan att ytterligare dataskyddsåtgärder behövs.
  • Om mållandet inte finns på listan och personuppgifter inte kan överföras till tredjelandet på grundval av beslutet om adekvat skyddsnivå, behöver du avgöra om överföringen kan vara laglig under lämpliga dataskyddsåtgärder med någon av de antagna mekanismerna som standard contractual clauses, binding corporate rules, certifieringsmekanism och uppförandekoder.
  • Det finns också begränsade undantag för specifika situationer (GDPR, art. 49). T.ex. som en del av den vetenskapliga publiceringsprocessen kan det vara exceptionellt men nödvändigt att överföra personuppgifter utanför EU/EES till förlagen eller referentgranskarena för att verifiera forskningsresultaten (GDPR, art. 49 (1)(d)).

Om personuppgifter överförs till länder utanför EU/EES, ange ländernas namn i ditt dataskyddsmeddelande och lämpliga dataskyddsåtgärder du planerar att ta för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom dataskyddsförordningen inte undergrävs. Kontakta dpo@hanken.fi för råd, t.ex. för att genomföra en Transfer impact assessment (TIA).

Om inga personuppgifter överförs från och till länderna utanför EU/EES, specificera i ditt dataskyddsmeddelande att data som överförs mellan projektpartners utanför EU/EES är endast begränsade till anonymiserade uppgifter, överföringen sker via en säker kanal, och behandling och överföringar av personuppgifter finns endast inom EU/EES och begränsas till forskningen.

Mer information se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.

 

Särskilda kategorier av personuppgifter (känsliga personuppgifter) klassificeras som på hög skyddsnivå (Se PDF-filen "Anvisning för hantering av data och dokument på olika skyddsnivåer" i Informationshantering på Hanken).

Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.

Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information, information om nationell säkerhet och uppgifter som erhållits genom tillit och förtroende:

• Se till att dina lagringslösningar är tillräckligt säkra för dina data.
• Använd INTE molnlagring p.g.a. dess otillräckliga dataskydd.
• Använd INTE externa hårddiskar som det huvudsakliga lagringsalternativet.
• Skydda data med kryptering. Vid behov bör särskilt mobila enheter, bärbara och externa lagringsenheter krypteras, t.ex. genom att använda Cryptomaror.
• Data med direkta identifierare, kontaktinformation, känsliga personuppgifter och konfidentiella uppgifter ska INTE skickas mellan forskargruppens medlemmar via e-post – inte ens Hankens e-postsystem.

 

Du kan be om råd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) och Dataskyddsombud (DPO, dpo@hanken.fi) för att säkerställa att dina datalagrings- och arkiveringslösningar uppfyller dataskyddkraven. 

6. Informera registrerade om ändringar och uppdatera dokumentation

Om det sker förändringar i behandlingen av personuppgifterna, t.ex. om det finns nya, kompatibla behandlingsändamål andra än det ursprungliga ändamål, om det finns nya mottagare av personuppgifterna (t.ex. nya forskningspartner eller leverantörer av översättnings- eller transkriptionstjänster), eller om det finns ett tillägg av nya datavariabler till kategorierna av personuppgifter som sammanställs i dataset, ska dataskyddsmeddelandet och annan dokumentation uppdateras och forskningsdeltagarna informeras om ändringarna innan den nya behandlingen.

Om det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning att informera varje forskningsdeltagare om ändringarna, kan du uppdatera ditt dataskyddsmeddelande på ditt forskningsprojekts webbsida och/eller Hankens webbsida för att göra uppgifterna tillgängliga för allmänheten.

7. Anonymisera data före publicering och arkivering

Det står på sidan Minimering av personuppgifter i vetenskaplig forskning av Dataombudsmannens byrå att "[a]nonymiseringen och pseudonymiseringen ska genomföras så snart det är möjligt, till exempel efter att uppgifterna har sammanförts". 

Pseudonymisering betyder behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska förvaras omsorgsfullt åtskilda från pseudonymiserade uppgifter och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. (GDPR, art. 4 (5))

Pseudonymisering kan göras genom att ta bort eller ersätta identifierare med pseudonymer, alias eller koder. Uppgifterna förblir pseudonymiserade och personliga så länge de kompletterande identifieringsuppgifterna finns tillgängliga.

Med anonymisering avses att personuppgifter behandlas på så sätt att personen inte längre kan identifieras utifrån dessa. Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimliga ansträngningar baserat på dina data, t.ex. genom att kombinera olika indirekta identifierare i dian data, eller genom att kombinera dina data med information från andra externa källor.

Gör en anonymiseringsplan som beskriver anonymiseringsåtgärderna och utvärderar risken för avslöjandet av registrerades personuppgifter. Anonymiseringsplanen fungerar även som dokumentation om hur uppgifterna har behandlats. Du kan använda Anonymisation plan template i Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD) för att skriva en anonymiseringsplan.

Det rekommenderas att undvika att använda öppna frågor för att samla in bakgrundsinformation som utbildning eller yrke. Använd istället ett strukturerat formulär för att förhindra att intervjupersoner ger fria svar som ofta innehåller identifierare. Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.

Den första anonymiseringsåtgärden är vanligtvis att ta bort direkta och starka indirekta identifierare från dina data. Använd pseudonymer, alias eller koder så att de registrerade inte kan identifieras utan användningen av separat lagrad ytterligare information. Information om de ursprungliga värdena och teknikerna som används för att skapa pseudonymerna och koderna ska förvaras separat från de pseudonymiserade uppgifterna och är föremål för tekniska och organisatoriska åtgärder.

Pseudonymiserade uppgifter kan tillskrivas till en fysisk person genom användningen av de kompletterande uppgifterna och är fortfarande personuppgifter. Pseudonymiserade uppgifter blir anonymiserade när de separat förvarade kompletterande identifieringsuppgifter som används för att skapa pseudonymerna och koderna (t.ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna) har oåterkalleligt raderas och inte kan kopplas till de pseudonymiserade uppgifterna.

Anonymiserade uppgifter ses inte längre som personuppgifter. Dataskyddsbestämmelserna tillämpas inte på dessa.

Tabellen från FSD ger bra tips för att veta om vad som är direkta, indirekta och starka indirekta identifierare och hur man anonymiserar forskningsdata genom att ta bort, ändra eller kategorisera dessa identifierare.

Det räcker dock sällan att enbart ta bort direkta och starka indirekta identifierare för anonymisering. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel med rimlig sannolikhet kan komma att användas, antingen av den personuppgiftsansvarige eller av en annan person, för att direkt eller indirekt identifiera den fysiska personen. Man bör beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. (GDPR, skäl 26)

För att lära dig vad och hur man gör för framgångsrik anonymisering, se de detaljerade beskrivningarna av anonymiseringsprinciper och tekniker för både kvantitativ och kvalitativ data i Anonymisation and Personal Data av FSD.

Eftersom offentligt tillgänglig information ständigt ökar är det viktigt att regelbundet bedöma om ett tidigare anonymiserat dataset fortsätter att vara anonymt och göra residual risk assessments.

För särskilda kategorier av personuppgifter som involverar pseudonymisering eller anonymisering kan det vara nödvändigt att genomföra en konsekvensbedömning avseende dataskydd (DPIA) för att säkerställa en lämplig nivå på dataskydd och minimera riskerna för de registrerades rättigheter. Se 3.2 Gör en konsekvensbedömning avseende dataskydd vid behov och kontakta dpo@hanken.fi.

(3) Efter aktiv forskningsfas

8. Dataradering och (meta)datapublicering

Personuppgifter som inte längre behövs för det ursprungliga ändamålet bör raderas så snart som möjligt om det inte finns särskilda skäl eller lagstiftning som kräver arkivering. T.ex. bör direkta identifierare som namn, e-postadresser och personbeteckningar tas bort omedelbart efter att de inte längre är nödvändiga för att utföra forskningen. Lagringsminimering minskar riskerna relaterade till behandling av personuppgifter. Om det inte är möjligt att fastställa den exakta datalagringsperioden, specificera kriterierna som används för att bestämma den perioden för dina forskningsdeltagare.

Se till att personuppgifter, dispenserbara datafiler, temporära filer som skapas när program används och alla säkerhetskopior raderas inom rätt tid när de inte längre behövs, och att raderade data inte kan återställas.

Att radera filer med operativsystemets verktyg, eller till och med formatera om en hårddisk förstör inte data oåterkalleligt. Det är viktigt att permanent förstöra alla uppgifter som innehåller personliga, känsliga eller konfidentiella uppgifter efter att lagringen inte längre är nödvändig. Spara dina filer på OneDrive och använd funktionen delete/radera. Kom ihåg att tömma papperskorgen också. Data i Webropol raderas av Hankens datacentral strax efter att en studerandes användar-id inaktiveras. Be om hjälp och stöd från Hankens Datasäkerhetschef (datasakerhetschef@hanken.fi) och Dataskyddsombud (dpo@hanken.fi) för säkra åtgärder för att radera data.

Mer information, se:

• Data disposal av FSD.
• Five steps to decide what data to keep av Digital Curation Centre (DCC).

 

Anonymiserade data publiceras och arkiveras i ett datalager för gemensamt bruk närhelst det är möjligt. Enligt Dataskyddslag (1050/2018, § 4 (4)) och GDPR (art. 6 (1)(e)), om behandling av forskningsmaterial som innehåller personuppgifter samt av personuppgifter som ingår i deras metadata behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter, är det lagligt. Pseudonymiserade uppgifter är fortfarande personuppgifter. Begränsad tillgång kan användas som en åtgärd för att arkivera pseudonymiserade uppgifter. Forskningsdeltagarna behöver informeras om dina öppen dataplaner i dataskyddsmeddelandet. Se Anonymisera data före publicering och arkivering.

Om ett datasets öppna tillgänglighet inte är möjlig av berättigade skäl, kan datasetets metadata publiceras öppet tillgänglig. Det rekommenderas starkt att använda Fairdata Qvain-metadataverktyget för att beskriva och publicera din (meta)data. Se Datapublicering och långtidsbevaring.

Kom ihåg att registrera dina data i Hankens forskningsdatabas - Haris och lägg till de PIDs (t.ex. DOI och URN) för dina (meta)data. Se Registrera dataset.

Några grundläggande dataskyddskoncept:

Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad). En identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

Direkta identifierare är information som i sig är tillräcklig för att identifiera en fysisk person. Exempel är en persons fullständiga namn, personbeteckning, e-postadress som innehåller personnamnet och biometriska identifierare (t.ex. fingeravtryck, ansiktsbild, röstmönster eller manuell signatur).

Indirekta identifierare är information som i sig inte räcker för att identifiera en fysisk person, utan kan användas för att härleda en persons identitet när den kopplas till annan tillgänglig information. Exempel är en persons ålder, kön, utbildning, ekonomisk aktivitet, yrkesstatus, socioekonomisk status, hushållssammansättning, inkomst, civilstånd, modersmål, nationalitet, etnisk bakgrund, arbets- eller studieplats samt postnummer.

Vissa typer av information identifieras som starka indirekta identifierare som kan användas för att identifiera en individ ganska lätt, t.ex. en postadress, telefonnummer, fordonsregistreringsnummer, bibliografisk hänvisning till en publikation av individen, e-postadress som inte finns i formuläret av personnamnet, webbadress till en webbsida som innehåller personuppgifter, mycket sällsynt sjukdom, ovanlig jobbtitel, befattning som endast innehas av en person åt gången (t.ex. ordförande på en organisation), studentnummer, försäkrings- eller bankkontonummer och IP-adress för en dator. 

Följande personuppgifter definieras som särskilda kategorier av personuppgifter (känsliga personuppgifter) enligt GDPR (art. 9): ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder är också till sin natur särskilt känsliga och förutsätter särskilda skyddsåtgärder eftersom sammanhanget för deras behandling kan skapa betydande risker för de registrerades grundläggande rättigheter och friheter (GDPR, art. 10).

Mer information om vad som utgör personuppgifter, se:

• "What kind of information constitutes identifiable data?" i Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD).
• Vad är en personuppgift? av Dataombudsmannens byrå.

Databehandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (d.v.s. varför och hur) för behandlingen av personuppgifter. Den personuppgiftsansvarige är primärt ansvarig för efterlevnaden av dataskyddslagar under hela datalivscykeln. Den personuppgiftsansvarige kan fördela ansvar enligt parternas faktiska roller.

• För behandlingen av personuppgifter i forskningsarbete av forskare inklusive doktorander ska den personuppgiftsansvarige bestämmas från fall till fall, och oollen som den registeransvarige eller den gemensamma registeransvarige kan definieras i följande fall:
  • Om forskaren som utför forskningen är anställd av Hanken, d.v.s. om forskningen utförs enligt ett anställningsavtal med Hanken och som en del av den anställdes arbetsuppgifter, är Hanken den personuppgiftsansvarige.
  • Om forskningen inte utförs enligt ett anställningsavtal med Hanken eller inte som en del av ett Hankens forskningsprojekt, är forskaren den personuppgiftsansvarige. 
  • Om forskningen beställs av ett företag eller en organisation är företaget eller organisationen i allmänhet den personuppgiftsansvarige.
  • Om två eller fler personuppgiftsansvariga (t.ex. Hanken, Aalto-universitetet, Helsingfors universitet) gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga.
• För behandlingen av personuppgifter i studier och examensarbete av BSc/MSc/EMBA-studerande ska den personuppgiftsansvarige också bestämmas från fall till fall:
  • Om en student självständigt samlar in och behandlar personuppgifter för sina studier och det inte finns något anställningsavtal mellan Hanken och studenten, är studenten den personuppgiftsansvarige.
  • Om en students studie genomförs enligt ett anställningsavtal med Hanken eller som en del av ett Hankens forskningsprojekt är Hanken den personuppgiftsansvarige.
  • Om studien beställs av ett företag eller en organisation är företaget eller organisationen i allmänhet den personuppgiftsansvarige.
  • Det finns också fall där två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter för en studerandes studier eller avhandling.

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet fastställer inte ändamål och medel (d.v.s. varför och hur) för behandlingen av personuppgifterna. Om ditt forskningsprojekt har en tredje part utanför Hanken som personuppgiftsbiträde som tillhandahåller t.ex. IT-lösningar för datainsamling eller datalagring, översättning/tolkning, translitteration/transkription eller rådataanalystjänster behöver du underteckna ett databehandlingsavtal (DPA) med personuppgiftsbiträdet. Hankens DPA-mallar finns här (Data Processing Agreement template och Data Processing Appendix template (as part of an Agreement)).

 

Mer information, se:

• A Preliminary opinion on data protection and scientific research av Europeiska datatillsynsmannen. Yttrandet anser att dataskydd är helt förenligt med ansvarsfull forskning. Dataskyddsförordningar är avsedda att fungera som en säkerhetsram för individer vars data behövs för att stödja vetenskap och forskning.
• Vetenskaplig forskning och dataskydd av Dataombudsmannens byrå i Finland. Dessa riktlinjer ger riktlinjer om att definiera syftet med behandlingen av personuppgifter, välja den rättsliga grunden och genomföra den registrerades rättigheter. De innehåller också information om en personuppgiftsansvarigs och ett personuppgiftsbiträdes skyldigheter att visa efterlevnaden av dataskyddsförordningarna, ansvar vid överföring av data utanför EU eller EES och lämpliga sätt att radera, anonymisera eller arkivera forskningsdata.
• Additional instructions for planning the management of sensitive and confidential data 2019 (baserad på Finlands Akademis DMP-mall) av Tuuli-projektet.
• How to handle personal data in research? av Aalto-universitetet.
• Privacy policy: Instructions for researchers av Jyväskylä universitet.
• Data protection in research av Tammerfors universitet.