Åtgärder

Checklista för forskningsjuridik

Från DAU-handboken

Checklista för forskningsjuridik

Här presenteras några viktiga punkter som kan användas som en checklista när det gäller forskningsjuridik.

Fastställ om forskningen rör personuppgifter

En första kontrollfråga är om forskningsprojektet rör personuppgifter eller inte. Det är viktigt att kontrollera att forskaren är medveten om att även kodade (pseudonymiserade) personuppgifter är att betrakta som personuppgifter, även om kodlistan förvaras vid en annan verksamhet. Det är först om kodlistan är förstörd och det inte går att bakvägsidentifiera individer som uppgifterna upphör att vara personuppgifter.

Fastställ vem som är personuppgiftsansvarig

Om forskningen rör personuppgifter i någon form är det viktigt att redan från början identifiera vem eller vilka som är personuppgiftsansvariga för personuppgiftsbehandlingen. Det kan också vara bra att redan från början bedöma om något personuppgiftsbiträde ska användas. Detta är framförallt viktigt att klargöra när det är flera parter som är inblandade i ett forskningsprojekt.

De allmänna principerna enligt dataskyddsförordningen ska beaktas

Det är viktigt att forskningsprojektet beaktar de grundläggande principerna vid insamlingen och behandlingen av personuppgifterna. Detta innebär t.ex. att uppgifterna bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att inte mer uppgifter än nödvändigt samlats in. Rör personuppgiftsbehandlingen en särskilt riskfylld behandling kan en konsekvensbedömning göras.

Fastställ en rättslig grund

Varje forskningsprojekt behöver fastställa vilken rättslig grund personuppgiftsbehandlingen sker med stöd av. Den rättsliga grunden vid lärosäten är normalt allmänt intresse. Gäller det känsliga personuppgifter ska behandlingen vara nödvändig för forskningsändamål och omfattas av ett etiktillstånd från etikprövningsmyndigheten. Särskilda och lämpliga åtgärder ska vidtas.

Information till forskningspersoner om personuppgiftsbehandlingen

Det är viktigt att klargöra vilken information forskningspersonerna ska få om personuppgiftsbehandlingen som kommer att ske med anledning av forskningen. Man kan säga att det finns ett dubbelt informationskrav – dels utifrån etikprövningslagens krav på informerat samtycke och dels utifrån dataskyddsförordningens krav på information om personuppgiftsbehandlingen.

Mer att läsa om etikprövningslagens informationskrav finns på etikprövningsmyndighetens hemsida (https://etikprovningsmyndigheten.se). Gällande informationskravet från dataskyddsförordningens regelverk finns mer att läsa på Integritetsskyddsmyndighetens hemsida (https://www.imy.se).

Delning av forskningsdata och sekretessgränser

Det är viktigt att komma ihåg att sekretessen i de allra flesta fall endast sträcker sig till myndighetens gräns. Någon form av bedömning av sekretess är viktigt att göra när man vet att data som kan omfattas av sekretess ska lämnas till en annan myndighet eller annan part.

Kommer forskningsdata att lämna myndigheten eller hämtas in från en annan myndighet? Det är inte ovanligt att forskare vill använda olika källor och hämta in till exempel registerdata från SCB eller Socialstyrelsen och arbeta med tillsammans med sin egen inhämtade data. Här får det till exempel betydelse att man anger rätt rättslig grund till de registerförande myndigheterna – dessa myndigheter gör (precis som ett lärosäte ska göra) en sekretessprövning innan de lämnar ut sin data och kan neka ett utlämnande om de bedömer att den som begärt ut data inte har en adekvat rättslig grund enligt dataskyddsförordningen. Det finns nämligen en sekretessbestämmelse som kopplar just till dataskyddsförordningen.

Forskningshuvudman - till vilken myndighet samlas data in?

Det är viktigt att den verksamhet som behandlar uppgifterna och samlar in data också är den forskningshuvudman som anges i etikansökan. Det är inte ovanligt att en verksamhet ansöker om tillstånd för projekt som ska genomföras i samarbete med andra verksamheter. Typexemplet här är ett universitet som tillsammans med universitetssjukhus ska genomföra ett forskningsprojekt. Båda verksamheterna måste då anges i ansökan som forskningshuvudmän – i annat fall riskerar den verksamhet som inte anges i ansökan att bedriva forskningen utan tillstånd. Detta får också betydelse för om personuppgiftsbehandlingen gäller känsliga uppgifter. Utan tillstånd från etikprövningsmyndigheten är behandlingen inte tillåten i den verksamhet som inte står med på etikansökan.

Det är också viktigt att redan från början klargöra vilken myndighet som är arkivansvarig för projektets insamling av data.