Hantering av forskningsdata

Vad är personuppgifter?

Definitionen av persnuppogifter är bred under General Data Protection Regulation of the European Union (GDPR). Persnuppogifter inkluderar alla uppgifter som är relaterat till en identifierad eller identifierbar fysisk person och omfattar alla uppgifter som kan identifiera en fysisk person antingen direkt eller indirek.

Direkta identifierare är information som är tillräcklig för att i sig identifiera en fysisk person. Exempel är en persons namn, personnummer, adress, e-postadress, telefonnummer, användarnamn, användar-ID, porträttbild (t.ex. profilbild, videofilmer som visar ansiktet), röstmönster, fingeravtryck och manuell signatur.

Indirekta identifierare är information som i sig inte räcker för att identifiera en fysisk person, utan kan användas för att härleda en persons identitet när de kopplas till annan tillgänglig information. Exempel är en persons kön, ålder, utbildning, yrkesstatus, nationalitet, platsinformation, karriärhistoria, systemloggdata, äktenskaplig status och fordons registreringsnummer.

Vissa typer av information identifieras som starka indirekta identifierare, som kan användas för att identifiera en individ ganska lätt, såsom en postadress, ovanlig jobbtitel, mycket sällsynt sjukdom, befattning som endast innehas av en person åt gången (t.ex. ordförande på en organisation), student ID nummer, försäkring eller bankkontonummer och IP-adress för en dator. Se listan över starka indirekta identifierare i Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD).

Känsliga personuppgifter är speciella kategorier av personuppgifter och klassificeras som på hög skyddsnivå (se "Anvisning för hantering av data och dokument på olika skyddsnivåer" på Informationshantering på Hanken). Följande kategorier klassificeras som känsliga personuppgifter enligt GDPR, Art. 9 (1), Art. 10: ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska data, biometriska uppgifter, uppgifter om hälsa, uppgifter om en fysisk persons sexualliv eller sexuell läggning, eller uppgifter om brottmålsdomar och brott, eller relaterade säkerhetsåtgärder.

Om du samlar in information från individer eller om individer (t.ex. konsumenter, företagsledare), anta att det är personuppgifter. Pseudonymiserade uppgifter är också personuppgifter. 

Mer information om vad som utgör personuppgifter, se Vad är en personuppgift? av Dataombudsmannens byrå.

Procedurer för hantering av personuppgifter i forskning på Hanken

Personuppgifter bör behandlas lagligt, rättvist och på ett transparent sätt för att skydda de registrerades grundläggande rättigheter och minimera risken för deras rättigheter vid obehörig åtkomst och användning. Insamlade personuppgifter bör skyddas med lämpliga organisatoriska och tekniska åtgärder för datasäkerhet.

European Data Protection Supervisor ( EDPS ) anser att dataskydd är helt förenligt med ansvarsfull forskning. Dataskyddsbestämmelser är avsedda att fungera som en säkerhetsram för individer vars data behövs för att stödja vetenskap och forskning. Se A Preliminary Opinion on data protection and scientific research av EDPS.

Dataombudsmannens byrå i Finland har utfärdat riktlinjer om dataskydd i vetenskaplig forskning. Dessa riktlinjer ger vägledning om att definiera syftet med behandlingen av personuppgifter, välja grund för behandling av personuppgifter och genomföra den registrerades rättigheter. De innehåller också information om en personuppgiftsansvarigs och personuppgiftsbiträdes skyldigheter att visa efterlevnad av dataskyddsbestämmelserna, ansvar vid överföring av data utanför EU eller EES och lämpliga sätt att förstöra, anonymisera eller arkivera forskningsdata. Se Vetenskaplig forskning och dataskydd av Dataombudsmannens byrå (tietosuoja.fi).

Kärnkraven för dataskydd beskrivs i Hankens Dataskyddspolicy.

Här är ett exempel på situationer där data inte är tillräckligt skyddade: University failed to sufficiently protect sensitive personal data, publicerades på webbsidan av European Data Protection Board (EDPB).

Om du behandlar personuppgifter, följ procedurerna nedan för att upprätthålla etiska standarder och följa relevanta lagar och förordningar:

(1) Före insamling av data (under forskningsplaneringsfasen)

1. Planera vilken data du behöver och implementera principerna för dataminimering och dataskydd som standard

Förstå målen för din studie och definiera det tydliga, specificerade behovet av att samla in personuppgifter. Samla bara in den minsta mängd personuppgifter som är nödvändiga och proportionella för att utföra dina studieuppgifterna. Personuppgifter ska inte samlas in bara i fall att de kan vara användbara i framtiden. Fundera på om din data kan vara den minst identifierbara medan den uppnår dina forskningsmål.

Genomföra en dataminimeringsgranskning för hela datahanteringsprocessen, inklusive att definiera typerna och mängden av personuppgifter som samlas in, i vilken utsträckning de kan kommas åt, vidarebehandlas och delas, för vilka syften de används och för vilken period de hålls.

2. Skriva och uppdatera en datahanteringsplan (DMP)

En DMP En DMP kan hjälpa dig att planera hela livscykeln för behandling av personuppgifter. Den är ett formellt dokument som beskriver hur och vilka forskningsdata som hanteras under och efter forskningsprojektet och utarbetar de viktigaste åtgärderna för etisk och juridisk frågeställningar, samt för FAIR dataproduktion.

Forskare kan använda Hankens DMP-mall eller andra Public DMP templates (med Hankens DMP-anvisningar integrerad) i DMPTuuli för att skriva och uppdatera en datahanteringsplan. Se DMPTuuli med Hankens DMP-anvisningar och DMP-mall i LibGuiden om Hantering av forskningsdata.

Den DMP som du skapar med DMPTuuli fungerar samtidigt som en Registrering av datahanteringsaktiviteter, som du kan dela med dina forskningsdeltagare/informanter/respondenter.

Skicka hela DMP eller delarna om dataskydd till Hankens Dataskyddsombud (DPO, dpo@hanken.fi). I Hankens och Finlands Akademis DMP-mallar har avsnitt 1.1 om databeskrivning, 2.1 om etiska frågor, 4.1 om datalagring och säkerhetskopiering, 4.2 om åtkomstkontroll och 5.1 om att öppna och publicera data innehåll relaterat till dataskydd.

3. Utvärdera risker för forskningsdeltagare

3.1 Få etisk rådgivning och etikprövning vid behov

Om känsliga personuppgifter behandlas i forskningsprojektet kan forskare kontakta Hankens Stödperson för forsningsetik (anu.helkkula@hanken.fi) för råd och Dataskyddsombud (dpo@hanken.fi) för vägledning.

Om din studie är en av de sex typerna som beskrivs i Etikprövning, fyll i e-blanketten för Request for an ethical review for an empirical study och skicka till Hankens Forskningsetiska kommitté. Skicka in din datahanteringsplan (DMP) som bilaga för att begära etikprövingen. Ange datumet i DMP när en anhållan om etikpröving lämnades till Hankens Forskningsetiska kommitté.

3.2 Gör en data protection impact assessment (DPIA) vid behov

En data protection impact assessment (DPIA) måste göras om den planerade personuppgiftsbehandlingen kommer sannolikt att utgöra en betydande risk för forskningsdeltagare. Denna situation uppstår sannolikt när du behandlar stora mängder data, personuppgifter om barn under 15 år eller känsliga personuppgifter.

En data protection impact assessment (DPIA) bör utföras genom att konsultera Hankens Dataskyddsombud (DPO, dpo@hanken.fi). En DPIA bör beskriva karaktären, omfattningen, sammanhanget och syftena med databehandling, identifiera och bedöma risker för forskningsdeltagare, och definiera lämpliga ytterligare åtgärder för att minska riskerna. I DPIA identifierar du behovet av en DPIA, beskriver karaktären av data och databehandling inklusive datainsamling, analys, lagring och radering, specificerar hur mycket data som kommer att samlas in och bearbetas, vilka typer av behandling som kan innebära risker, källorna av risken och potentiell påverkan på forskningsdeltagare, och identifiera ytterligare åtgärder för att minska eller eliminera de risker som identifierats som medelstora eller höga.

Att samla in känsliga personuppgifter såsom hälsorelaterad information kräver uttryckligt samtycke från forskningsdeltagaren. Behandling av sådana personliga råuppgifter bör stå i proportion till det eftersträvade forskningsmålet och respektera kärnan i dataskyddsrättigheter. Uppgifterna ska skyddas med kryptering och strikt åtkomstkontroll.

(2) Datainsamling och analys (under aktiv forskningsfas)

4. Förtydliga den behandlingsgrunden för personuppgifterna och informera dina forskningsdeltagare

• Förtydliga den behandlingsgrunden för personuppgifterna: Motivera varför du har rätt att samla in, hantera och bevara personuppgifter. Det vill säga, definiera den behandlingsgrunden för personuppgifterna:

  • Vanligtvis är behandlingsgrunden för vetenskapliga forskningsändamål behovet av personuppgifter för forskningen (vetenskaplig forskning utförd i allmänintresse enligt definitionen i Finnish Personal Data Act (1050/2018) och baserat på GDPR (point (e) of Article 6 (1)). 

  • Om samtycke används som behandlingsgrunden för personuppgifterna, ska samtycket uppfylla kraven i GDPR. Samtycke ska vara en fritt given, specifik, informerad och otvetydig indikation på forskningsdeltagarnas önskemål, genom vilken de med ett uttalande eller med en tydlig positiv särbehandling anger sitt samtycke till behandlingen av personuppgifter som rör dem. Forskningsdeltagarna har rätt att när som helst återkalla sitt samtycke. Se Samtycke av den registrerade av Dataombudsmannens byrå.

• Be om informerat samtycke från forskningsdeltagarna: Observera skillnaden mellan samtycke att delta i forskning (krävs av etiska anvisningar) och samtycke som används som en behandlingsgrund för personuppgifterna enligt GDPR.

  • Forskare ska be om informerat samtycke från forskningsdeltagarna, vilket krävs enligt etiska riktlinjer. För icke-medicinsk forskning som gäller människor ska forskare följa Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland 2019. Forskningsetiska delegationens anvisningar 2019 (PDF). Anvisningarna står att "[in]formerat samtycke om att delta i forskningen är en viktig etisk praxis inom humanforskningen." 

    • Du kan redigera och använda Hankens Dokumentmall för meddelande om samtycke till insamling av personuppgifter (.docx, på engelska, svenska och finska) för att informera dina forskningsdeltagare.

• Ge information till forskningsdeltagarna om behandlingen av deras personuppgifter: Enligt GDPR har de registrerade rätt att få tillräcklig information från dig om insamlingen och behandlingen av deras personuppgifter. Att informera forskningsdeltagare om behandlingen av deras personuppgifter är en avgörande del av transparensprincipen som fastställs i GDPR. Detta innebär att även om din behandlingsgrunden för personuppgifterna inte är baserad på samtycke, dina registrerade ska informeras om bland annat:

  • den personuppgiftsansvariges identitet och kontaktuppgifter,
  • de specifika akademiska syftena med behandling av personuppgifter och inte för några andra ändamål,
  • vad projektet handlar om, vad deras deltagande i projektet kommer att innebära och eventuella risker som kan vara inblandade,
  • behandlingsgrunden för personuppgifterna,
  • behandlingstiderna för personuppgifter, hur länge och vilken del av uppgifterna som kommer att bevaras innan de förstörs, planer för datalagring och datapublicering av deras data,
  • till vem personuppgifter lämnas ut, av och med vilka forskningspartners eller personuppgiftsbiträde uppgifterna kommer att användas och delas, för vilka ändamål och på vilka grunder,
  • avslöjande och överföring av personuppgifter utanför EU eller EES,
  • registrerades rätt att återkalla sitt samtycke och få tillgång till sina uppgifter, och förfaranden och åtgärder för dem att göra dessa, och deras rätt att lämna in ett klagomål till en tillsynsmyndighet,
  • källan till uppgifterna om de inte erhålls direkt från den registrerade,
  • kontaktuppgifterna för dataskyddsombudet.

Vanligtvis finns det två situationer med olika tidpunkt för att tillhandahålla informationen, beroende på om uppgifterna samlas in från forskningsdeltagarna eller från någon annan källa:

• Om personuppgifterna samlas in från forskningsdeltagare (t.ex. genom intervjuer, via frågeformulär eller genom ljud/videoinspelningar av en föreställning eller social interaktion som utförs av deltagaren), behöver du informera dina forskningsdeltagare om hur deras personuppgifter behandlas före eller vid den tidpunkt då du samlar in/skaffar informationen. Du kan informera om detta t.ex. i början av intervjun eller frågeformuläret.

• Om personuppgifterna tas från en annan källa än forskningsdeltagaren (t.ex. från en annan personuppgiftsansvarig, från offentligt tillgängliga källor eller från andra registrerade, eller om du kombinerar registerdata med din forskningsdata) ska forskningsdeltagarna inom rimlig tid informeras om hur deras personuppgifter behandlas, dock senast en månad räknat från den tidpunkt då du har samlat in/skaffat personuppgifterna.

Detta gäller när du samlar in sekundär data från onlineforum/sociala medier och du behöver säkerställa att databehandlingen är rättvis för alla inblandade registrerade, och att deras grundläggande rättigheter respekteras i enlighet med etiska principer och integritetsprinciper och relevanta villkor för plattformen. I tillämpliga fall bör dataskyddsombudets kontaktuppgifter ges till de registrerade som är involverade i insamlingen och behandlingen av uppgifterna från onlineforum/sociala medier.

För mera information se:

• Rätten att få information om behandlingen av personuppgifter av Dataombudsmannens byrå.
• Informing research participants about the processing of their personal data av Finlands samhällsvetenskapliga dataarkiv (FSD).

Samtyckesmeddelandena och informationen som du gav till dina registrerade sparas och är tillgängliga på begäran av alla registrerade, forskningsfinansiärer och tillsynsmyndigheter för dataskydd.

5. Att lagra, säkerhetskopiera och överföra data på ett säkert sätt under forskning

Det som är viktigt i skedet av din datainsamling och dataanalys är att din forskningsdata lagras och säkerhetskopieras på en plats som inte kan nås offentligt eller av någon som inte är behörig och att dataöverföring utanför Hanken och EU/EES endast sker i enlighet med relevanta lagstiftningar.

Se också Säkerhetsinstruktioner för hantering av bandade intervjuer i LibGuiden om Hantering av forskningsdata, och pdf-filen Hantering av data och dokument på olika skyddsnivåer på sidan Informationshantering på Hanken och lär dig vilka olika lagringslösningar som är tillåtna och lämpliga för olika dokument och data på olika datasäkerhetsnivåer.

För säker lagring och säkerhetskopiering av aktiv forskningsdata använder forskare:

• Datalagringstjänster som tillhandahålls och underhålls av Hanken, inklusive forskarens eget konto på Hankens nätverk som H:\, Microsoft Office365-applikationer (t.ex. Onedrive for Business), Webropol eller SPSS.  Om du inte har en plan för dataarkivering efter forskningsprojektet så är detta en lämplig lösning.
• Eller datalagringstjänster tillhandahållna av CSC såsom IDA som också är till för dataarkivering. IDA är en Fairdata-tjänst för både datalagring och dataarkivering. Fairdata-tjänsterna erbjuds av Undervisnings- och kulturministeriet och produceras av CSC.

Etablerade och välkända infrastrukturer är för det mesta ett säkrare alternativ för arkivering av forskningsdata än t. ex. hårdskivan på forskarens personliga dator, både vad gäller datasäkerhet och ur ett sekretessperspektiv.

Om du inte har ingått ett Databehandlingsavtal (Data processing agreement, DPA) med ett annat system eller en annan tjänsteleverantör, får du inte använda andra system än de som Hanken tillhandahåller. Detta gäller t.ex. Dropbox, Google Docs, offentligt tillgängliga Onedrive (för konsumenter) eller andra  system för att göra frågeformulär än Webropol. Om du samlar in personuppgifter från frågeformulär eller undersökningar via weblänkar, använd de GDPR-kompatibla verktygen och plattformarna som Webropol. Instruktioner för Webropol finns på sidan av Hankens IT-tjänster. Om informationen du planerar att samla in innehåller känsliga personuppgifter eller konfidentiell data (t.ex. politisk känslig information eller affärshemligheter), kan det vara bättre att du inte samlar in dem online.

Förutom Hankens datorer och datalagrings- och delningssystem kan du använda din egen persondator och hårdvara (t.ex. interna/externa hårddiskar) för att lagra och hantera data på kort sikt.

• Använd inte datalagring som är ansluten till eller säkerhetskopierad på molntjänster (t.ex. iCloud, Google Docs, DropBox) - inte heller på din egen dator. Använd endast lokala hårddiskar och datamappar som inte är säkerhetskopierade i molntjänster eller andra internettjänster.
• Se till att data på din dator är korrekt skyddade genom att hålla datorn uppdaterad med säkerhetsuppdateringar och säkerställa säkra konfigurationer.
• När du använder minnespinnar eller externa hårddiskar, se till att du på ett säkert sätt raderar personuppgifter lagrade på dina minnespinnar och på dina USB-diskar omedelbart efter användning, i enlighet med din datahanteringsplan. Du kan också kryptera data på minnespinnar och externa hårddiskar med t.ex. zip-applikationer eller Office365.

Om du överför personuppgifter utanför Hanken:

• Använd OneDrive-lagringsutrymme i ditt Hanken-tillhandahållna konto för att dela filer och samarbeta med andra. Använd "Specific people"-alternativet för att säkerställa dataåtkomstkontroll. Se Instruktioner för att dela filer och samarbeta med andra på Hanken för att säkerställa datasäkerhet i LibGuiden om Hantering av forskningsdata.

• Om du sparar och lagrar din data i IDA av CSC, använd de säkra dataöverförings- och delningsåtgärderna som erbjuds av IDA. Se 1.8 I want to share my research data, what should I do? i FAQ i Fairdata services av CSC.

• Du kan använda fysiska minnespinnar eller externa hårddiskar , t.ex. i en situation där du eller den andra parten inte har tillgång till Hankens datadelningssystem (t.ex. OneDrive for Business).

• Observera att du aldrig ska skicka eller dela data med vanlig, oskyddad e-post eller använda system som inte tillhandahålls av Hanken (t.ex. DropBox, GoogleDocs, OneDrive for Consumers).

• För data från och till länderna utanför EU/EES ska alla forskningsmedlemmar hålla höga etiska standarder och följa relevant lagstiftning, oavsett i vilket land forskningen utförs och data samlas in och behandlas. Data som överförs från och till länderna utanför EU/EEA ska uppfylla relevanta villkor och föreskrifter. 
• Europeiska kommissionens beslut om adekvat dataskydd (Adequacy decision) är den primära överföringsgrunden. Du kan hitta listan över de länder som av Kommissionen anses ha en adekvat dataskyddsnivå på denna Adequacy decision sida. Personuppgifter kan överföras direkt på grundval av likvärdighetsbeslutet. Om personuppgifter inte kan överföras med utgångspunkt i Kommissionens likvärdighetsbeslut ska det utredas om personuppgifter kan överföras på grundval av andra lämpliga skyddsåtgärder. Lämpliga skyddsåtgärder är t.ex. standardiserade dataskyddsbestämmelser och bindande företagsbestämmelser. Mer information se Transfers of personal data out of the European Economic Area av Dataombudsmannens byrå.

Om personuppgifter överförs till länderna utanför EU/EES, ange ländernas namn i din datahanteringsplan (DMP) och lämpliga skyddsåtgärder du planerar att ta för att säkerställa att dataskyddsnivån i enlighet med GDPR inte undergrävs.

Om inga personuppgifter överförs från och till länderna utanför EU/EES, specificera i DMP att data som överförs mellan projektpartners utanför EU/EES ska endast begränsas till anonymiserade uppgifter, överföringen sker via en säker kanal, och behandling och överföringar av personuppgifter ska endast vara inom EU/EES och begränsas till forskningen.

Om du arbetar med känsliga personuppgifter, använd CSC:s Sensitive Data Services for Research inklusive Sensitive Data Connect (SD Connect, för känsliga personuppgifters lagring och delning) och Sensitive Data Desktop (SD Desktop) som är designade för att stödja säker hantering av känsliga personuppgifter genom webbanvändargränssnitt tillgängliga från användarens egen dator.

Skydda uppgifterna med strikt åtkomstkontroll och kryptering om du arbetar med känsliga personuppgifter eller konfidentiella uppgifter såsom affärshemligheter, politisk känslig information och information om nationell säkerhet:

• Försäkra dig om att du lagrar din data tillräckligt säkert.
• Använd inte molnlagring p.g.a. otillräckligt dataskydd.
• Använd inte externa hårddiskar som huvudsaklig lagring.
• Skydda data med kryptering. I synnerhet mobila enheter och externa lagringsenheter bör krypteras t.ex. med hjälp av Cryptomaror.
• Data med direkta identifierare, kontaktinformation, känsliga personuppgifter och konfidentiella uppgifter ska inte skickas mellan forskargruppens medlemmar via e-post – inte ens Hankens e-postsystem.

Du kan använda Hankens video plattform Panopto för att transkribera forskningsdata, från både ljudfiler och videofiler. Observera att du bär ansvar över att inte dela forksningsdatat med någon annan i Panopto. Se Transkribering av kvalitativ data.

Personuppgiftsbiträden som utför översättnings-/tolknings- eller translittererings-/transkriptionsarbete, och forskningspartnerna som analyserar rådata – som innehåller personliga eller individspecifika uppgifter eller är baserade på enskilda informanter – ska underteckna ett Databehandlingsavtal (DPA). Använd Hankens Template for Data Processing Agreement (DPA).

Forskare kan be om råd från Hankens Datasäkerhetschef (mikael.albrecht@hanken.fi) och Dataskyddsombud (DPO, dpo@hanken.fi) för att säkerställa att andra lagrings- och arkiveringslösningar uppfyller dataskyddkraven. 

6. Informera registrerade om ändringar och uppdatera dokumentation

Personuppgifter får endast behandlas för de syftena som du har informerat forskningsdeltagaren om innan behandlingen påbörjades (genom samtyckesmeddelandet). Om du behöver behandla personuppgifter för andra syften bör du informera forskningsdeltagarna om dessa nya syften och uppdatera alla dokument innan behandlingen.

7. Anonymisera data före publicering och arkivering

Helt anonyma uppgifter finns inte, men genom att använda olika tekniker och verktyg och följa väl genomförda procedurer kan du uppnå ett resultat där enskilda personer inte kan identifieras med rimlig ansträngning baserat på den information som tillhandahålls, t.ex. genom att kombinera olika indirekta identifierare, eller genom att kombinera uppgifterna med information från andra externa källor.

Gör en anonymiseringsplan som beskriver anonymiseringsåtgärderna och utvärderar risken för avslöjande av registrerades personuppgifter. Anonymiseringsplanen fungerar även som dokumentation om hur uppgifterna har behandlats. Du kan använda Anonymisation plan template i Anonymisation and Personal Data av Finlands samhällsvetenskapliga dataarkiv (FSD) för att skriva en anonymiseringsplan.

För känsliga personuppgifter som involverar pseudonymisering eller anonymisering är det nödvändigt att genomföra en data protection impact assessment (DPIA) för att säkerställa en lämplig nivå av dataskydd och minimera riskerna för de registrerades rättigheter.

Det rekommenderas att undvika att använda öppna frågor för att samla in bakgrundsinformation som utbildning eller yrke. Använd istället ett strukturerat formulär för att förhindra att intervjupersoner ger fria svar som ofta innehåller identifierare. Använd befintliga sociala klassificeringar som dessa Klassificeringar av Statistikcentralen för att kategorisera bakgrundsinformation.

Den första anonymiseringsåtgärden är vanligtvis att ta bort direkta och starka indirekta identifierare från din data. Använd pseudonymer, alias eller koder så att de registrerade inte kan identifieras utan användning av separat lagrad ytterligare information. Information om de ursprungliga värdena och teknikerna som används för att skapa pseudonymerna och koderna bör hållas organisatoriskt och tekniskt separata från de pseudonymiserade uppgifterna.

Att ta bort direkta och starka indirekta identifierare är dock sällan tillräckligt för att göra uppgifterna anonyma. Det är möjligt att identifiera en individ genom att kombinera bakgrundsvariablerna. Se den detaljerade beskrivningen av anonymiseringsprinciper och tekniker för både kvantitativ data och kvalitativ data i Anonymisation and Personal Data av FSD och lär dig vad du kan göra för framgångsrik anonymisering.

Eftersom offentligt tillgänglig information ständigt ökar är det viktigt att regelbundet bedöma om ett tidigare anonymiserat dataset fortsätter att vara anonymt och göra residual risk assessments.

(3) Efter aktiv forskningsfas

8. Dataradering och datapublicering

Personuppgifter som inte längre behövs för att genomföra forskningen bör kasseras så snart som möjligt. T. ex., bör direkta identifierare som namn, e-postadresser och personnummer tas bort omedelbart efter att de inte längre är nödvändiga för att utföra forskningen. Lagringsbegränsning minskar risker relaterade till behandling av personuppgifter.

Du behöver försäkra dig om att personliga data, dispenserbara datafiler, temporära filer som skapas när program används och alla deras säkerhetskopior raderas inom rätt tid när de inte längre behövs, och att raderade data inte kan återställas.

Att radera filer med operativsystemets verktyg, eller till och med formatera om en hårddisk förstör inte data oåterkalleligt. Det är viktigt att permanent förstöra all data som innehåller personliga, känsliga eller konfidentiella uppgifter efter att lagringen inte längre är nödvändig. Be om hjälp och stöd från Hankens Datasäkerhetschef (mikael.albrecht@hanken.fi) och DPO (dpo@hanken.fi) för säkra åtgärder för att radera data.

Anonymiserad data publiceras och arkiveras i ett dataarkiv för gemensamt bruk när det är möjligt. Data med personuppgifter kan endast publiceras anonymiserad. Pseudonymiserade uppgifter är fortfarande personuppgifter och kan därför inte öppnas utan uttryckligt samtycke i det syftet. Innan forskningsdata arkiveras bör pseudonyma uppgifter göras anonyma genom att oåterkalleligt förstöra den separat förvarade identifieringsinformationen (t. ex. dekrypteringsnycklar, koder, applikationer eller tekniker som används för att pseudonymisera uppgifterna).

Om den öppna tillgängligheten för ett dataset inte är möjlig av motiverade skäl, kan datasets metadata publiceras öppet tillgängligt. Det rekommenderas starkt att använda Fairdata Qvain-metadataverktyget för att beskriva och publicera din (meta)data.

Forskningsdeltagarens samtycke krävs för att öppna materialet som forskningsdeltagaren kan direkt eller indirekt identifieras ifrån. I vissa fall kan materialet delas för det ursprungligen avsedda syftet. Om du planerar att dela eller återanvända data som innehåller personlig information, kontakta Hankens DPO dpo@hanken.fi.

Mer information, se:

• Dataombudsmannens byrå, Finland.
• Additional instructions for planning the management of sensitive and confidential data 2019 (baserad på Finlands Akademis DMP-mall) av Tuuli-projektet.
• How to handle personal data in research? av Aalto-universitetet.
• Privacy policy: Instructions for researchers av Jyväskylä universitet.
• Data protection in research av Tammerfors universitet.
• Handling personal data av Utrecht universitet.

En stor del av den forskning som utförs på Hanken inkluderar behandling och lagring av personuppgifter. Det finns flera obligatoriska juridiska och etiska krav som varje forskare måste uppfylla vid hantering av personuppgifter. De viktigaste kraven för dataskydd beskrivs i Hankens dataskyddspolicy.

Allmänna principer

Personuppgifter är alla uppgifter som anknyter till en identifierad eller identifierbar fysisk person. Personuppgifter kan vara t.ex. namn, adress, e-postadress, IP-adress, bild eller en personlig identitetskod.

Huvudprincipen i lagarna om dataskydd är att behandlingen av personuppgifter ska vara laglig, korrekt och transparent för att skydda den registrerades rättigheter. Dessutom ska personuppgifter

• samlas in och behandlas för ett specifikt och lagligt syfte
• samlas in endast i den utsträckning som är nödvändigt med tanke på syftet med behandlingen av personuppgifter
• alltid uppdateras vid behov - felaktiga eller inexakta personuppgifter ska raderas eller rättas till utan dröjsmål
• lagras i en form som gör det möjligt att identifiera den registrerade endast så länge som är nödvändigt för de syften för vilka personuppgifterna behandlas
• behandlas konfidentiellt och säkert.

De viktigaste lagarna om dataskydd för Hankens forskare är Europeiska unionens (EU) allmänna dataskyddsförordning 2016/679 och Dataskyddslagen (1050/2018).

En registrerad är varje person vars personuppgifter samlas in, lagras eller behandlas.

En registrerad har rätt att:

• få information om behandlingen av sina personuppgifter
• få tillgång till uppgifter
• rätta till uppgifter
• avlägsna uppgifter och bli glömd
• begränsa behandlingen av uppgifter
• flytta uppgifterna mellan system
• göra en invänding mot behandling av sin personuppgifter
• inte bli föremål för automatiskt beslutsfattande.

Förutom den registrerade finns det två andra grundläggande roller i dataskyddet: personuppgiftsansvarig och personuppgiftsbiträde.

En personuppgiftsansvarig bestämmer för vilka ändamål och på vilket sätt personuppgifter behandlas. Hanken är t.ex. en personuppgiftsansvarig då högskolan tillhandahåller högre utbildning för sina studenter.

Ett personuppgiftsbiträde behandlar personuppgifter på den personuppgiftsansvariges vägnar. Ett personuppgiftsbiträde är vanligtvis en tredje extern part t.ex. en leverantör av molntjänster som tillhandahåller onlinetjänster för Hanken. Enligt lagen om dataskydd krävs att den personuppgiftsansvarige undertecknar ett dataskyddsavtal med sina personuppgiftsbiträden för att säkerställa skyddet för utlokaliserad behandling och lagring av personlig information.

De rättsliga grunderna för att samla in och behandla personuppgifter är:

• samtycke
• avtal
• rättslig förpliktelse
• grundläggande intresse
• myndigehtsutövning eller uppgift av allmänt intresse
• intresseavvägning.

Mer information om dataskyddets huvudprinciper finns på sidan Dataskyddsprinciper (Dataombudsmannens byrå).

Vid överträdelse av personuppgifter i Finland måste Hankens Dataskyddsombud (dpo@hanken.fi) uderrätta Dataombudsmannens byrå inom 72 timmar.

Tillämpa dataskydd

I allmänhet delas den personuppgiftsansvariges skyldigheter mellan den enskilda forskaren eller projektledaren och Hanken. Det innebär att det krävs gemensamma åtgärder för att säkerställa att de registrerade informeras, för att definiera den rättsliga grunden för behandling, för att skydda personuppgifterna och för att föra register över datahanteringen.

Den rättsliga grunden för att behandla personuppgifter vid forskning på Hanken är vanligen offentlig verksamhet (vetenskaplig forskning) eller de registrerades samtycke. Om studien inte kan definieras som vetenskaplig forskning med målsättning att publicera forskningsresultaten för att främja vetenskap eller med syfte att öka kunskaperna i vetenskapliga metoder, måste de registrerade ge ett samtycke. På Hankens webbsida om dataskydd finns en dokumentmall för att samla in samtycke (kräver inloggning).

För att informera de registrerade om deras rättigheter ska forskaren använda formuleringarna i den ovan nämnda dokumentmallen. Det är viktigt att de registrerade

• är medvetna om att deras personuppgifter behandlas och lagras av forskaren
• kan kontakta forskaren för att använda sina rättigheter, t.ex. avlägsna sina data
• informeras om att deras personuppgifter skyddas enligt Hankens dataskyddspolicy
• kan kontakta Hankens Dataskyddsombud om de har klagomål eller ytterligare frågor.

För att registrera rättslig grund och för att föra register över datahantering har Hanken följande e-blanketter och dokumentmallar:

• Registrering av datahantering  för studerande
• Hankens DMP-anvisningar och DMP-mall i DMPTuuli som Registrering av datahantering för forskare och doktorander
• Dokumentmall för meddelande om samtycke
• Begäran om etikprövning

Med hjälp av dessa blanketter och dokumentmallar kan Hanken och forskaren visa att lagarna om dataskydd beaktas.

Hjälp och stöd

Du kan kontakta Hankens Dataskyddsombud dpo@hanken.fi för råd om dataskydd.

Tilläggsläsning och källor

• Dataombudsmannens byrå, Finland
• Datainspektionen, Sverige
• Finlands samhällsvetenskapliga dataarkiv (FSD)
• Uppförandekoder och certifieringar, Datainspektionen

Du ska anhålla om etikprövning av Hankens Forskningsetiska kommitté genom att fylla i e-blanketten för anhållan om etikprövning om din studie är någon av följande sex typer:

1. en studie där du inte ber om informerat samtycke från forskningsdeltagarna, dvs. du ber inte om forskningsdeltagarnas tillstånd på förhand och informerar dem inte heller om att de studeras/undersöks
2. en studie där du ger forskningsdeltagare något att äta, dricka, lukta eller röra vid som en intervention eller på annat sätt ingriper i deras fysiska integritet
3. en studie där du utsätter deltagarna för exceptionellt starka stimuli (t.ex. chockerande bilder)
4. en studie där forskningsdeltagarna är barn under 15 år eller representerar andra utsatta grupper / populationer (t.ex. asylsökande)
5. en studie som kan riskera att orsaka deltagarna långvarig mental skada (t.ex. trauma, depression, sömnlöshet) utöver risker som uppstår i det normala livet
6. en studie som kan riskera att orsaka fysisk skada eller innebära en säkerhetsrisk för deltagarna (t.ex. studier om våld i hemmet).

Skicka in din datahanteringsplan (DMP) som bilaga för att begära etikprövingen. Ange datumet i DMP när en anhållan om etikpröving lämnades till Hankens Forskningsetiska kommitté.

Om du har frågor angående etikprövning, kontakta Hankens Stödperson för forsningsetik: Anu Helkkula, anu.helkkula@hanken.fi.

Se TENKs Etikprövning inom humanvetenskaperna.

Video av TENK: Etikprövning inom humanvetenskaperna 

Vid all forskning ska Forskningsetiska delegationens anvisningar för god vetenskaplig praxis iakttas. Anvisningarna är publicerade i God vetenskaplig praxis och handläggning av misstankar om avvikelse från den i Finland på finska, svenska och engelska.

Forskningsetiska delegationen har också publicerat Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland (2019) på finska, svenska och engelska.

I händelse av internationellt samarbete ska forskare följa European Code of Conduct for Research Integrity av ALLEA, European Federation of Academies of Sciences and Humanities och alla andra tillämpliga etiska riktlinjer. 

Forskaren ska ta ansvar för etiska och moraliska frågor i samband med forskningen och för kontakterna mellan forskaren och forskningsdeltagarna. Följ Hankens etiska riktlinjer och god dataskyddspraxis för att upprätthålla god forskningsetik och för att följa gällande lagstiftning. Se procedures of personal data management in research at Hanken.

Om du har frågor angående etiska riktlinjer, kontakta Hankens Stödperson för forsningsetik: Anu Helkkula, anu.helkkula@hanken.fi.

Om du har frågor angående dataskydd, kontakta Hankens Dataskyddsombud: dpo@hanken.fi.

Se:

• God vetenskaplig praxis (GVP, 2012) Forskningsetiska delegationen (TENK)
• Etiska principer för humanforskning och etikprövning inom humanvetenskaperna i Finland (2019) TENK
• European Code of Conduct for Research Integrity (Revised edition) ALLEA (All European Academies)
• Europeiska unionens allmän dataskyddsförordning (GDPR)
• Dataskyddslag (1050/2018)

Juridiska frågor relaterade till datahantering inkluderar dataskyddspolicy, datadelningsavtal, dataägande, öppna datalicenser, sekundär dataanvändningsrättigheter och andra immateriella rättigheter (IPR). Avtal om dataägande och andra immateriella rättigheter måste ingås innan någon egentlig forskningsverksamhet påbörjas.

Använd en licens när du öppnar din data för återanvändning (t.ex. forskningsdata, kod, programvara). Licensiering av din öppna forskningsdata innebär att du tydligt definierar återanvändningsvillkoren och eventuella begränsningar för framtida återanvändning av din data. På så sätt har du kontroll över vem som har rätt att återanvända uppgifterna och hur. Använd maskinläsbara licenser som följer internationella standarder, helst Creative Commons. Förutom Creative Commons-licenser finns det också licensing models for research data.

För mer information se:

• Copyright and Agreements Finlands samhällsvetenskapliga dataarkiv (FSD)
• Open Data Creative Commons (CC).