Nytt från universitetsjuristerna

Här hittar du aktuell information från universitetsjuristerna.

2024-03-01 Checklista för forskningsprojekt

Universitetsledningens kansli har inom ramen för forskningsdatahanteringsprojektet uppdaterat checklista inför forskningsprojekt på Aurora. Den nya versionen av checklistan har ett bredare grepp och täcker många fler ämnesområden och frågor som aktualiseras i forskning än tidigare. Checklistan täcker nu också hela forskningsprocessen.

Exempel på vad som tas upp i checklistan är etik, säker hantering av forskningsinformation, personuppgiftshantering, laboratoriesäkerhet, samarbete, publicering och tillgängliggörande av forskningsdata. 

Det är många regelverk som ska följas under en forskningsprocess. I checklistan vi samlat information för att det ska vara enkelt för dig som forskare att arbeta i enlighet med lagstiftning, regelverk och principer som reglerar forskning.

Checklistan hade tidigare tyngdpunkt på vad forskningsprojekt som hanterar personuppgifter behövde göra inför uppstart av forskningsprojekt.

Du kan ta del av checklistan här: Checklista för forskningsprojekt

2024-01-26 Vägledning för delning av forskningsdata i forskningssamarbeten. 

Delning av forskningsdata är en naturlig del i forskningssamarbeten och kan inbegripa olika former av mottagare på olika platser. Forskningsdata omfattas av regelverk för att skydda olika intressen. Universitetsjuristerna har inom ramen för forskningsdatahanteringsprojektet tagit fram en vägledning som guidar forskare kring vilka ställningstaganden som behöver göras när forskningsdata delas med externa samarbetsparter.

Du hittar vägledningen på sidorna om juridik i forskning. Innan du som forskare delar forskningsdata med externa forskningsparter behöver du ta reda om och hur du får dela informationen. Innan du delar forskningsdata ska du alltid göra en sekretessbedömning. Du behöver också ta hänsyn till om du behandlar personuppgifter. Hur reglerna påverkar delningen av forskningsdata påverkas bland annat av vilken typ av uppgifter forskningsdata innehåller och om mottagaren befinner sig i Sverige, inom EU/EES eller i ett annat land.

I vägledningen finns checklistor för delning av forskningsdata i olika typfall och fördjupande information om vad som gäller beroende på innehållet i forskningsdata och vem som är mottagare. I vägledningens inledning hittar du också allmän information om offentlighet och sekretess samt personuppgiftsbehandling. Där finns också en beskrivning av hur du gör en sekretessprövning.

Du kan alltid kontakta universitetsjuristerna om du behöver stöd i sekretessprövningen eller har andra frågor om juridiken som påverkar din forskning. I vissa fall som anges i vägledningen ska du alltid kontakta universitetsjuristerna.

2024-01-12 Nu kan du anmäla din personuppgiftsbehandling direkt på webben. 

Nu kan du anmäla din personuppgiftsbehandling via en länk som du hittar på sidorna om personuppgifter.

Tidigare behövde alla som skulle anmäla personuppgiftsbehandling kontakta universitetsjuristerna för att få tillgång till länken. Nu kan du själv gå in och fylla i din anmälan direkt via länken som finns på Aurora.

Alla som har behov av att behandla personuppgifter i forskningsprojekt eller i nya it-system ska anmäla detta till universitetets register över personuppgiftsbehandling innan behandlingen påbörjas. Du kan läsa mer om personuppgifter och i vilka fall du ska anmäla din personuppgiftsbehandling på våra sidor.

2024-01-10 Skickar du e-post till många? 

I samband med terminsstart är det vanligt att universitetsjuristerna som jobbar med dataskyddsfrågor får frågor från studenter, blivande studenter och liknande som reagerat på e-postutskick som kommit från institutioner vid universitetet. E-postmeddelandena kan exempelvis ha skickats till alla som tackat ja till utbildningar eller som haft annan beröring till viss utbildning som ges vid institutionen. Det studenterna har reagerat på är att alla mottagare var synliga i meddelandena. Studenterna har undrat om detta inte strider mot GDPR?

För att hantera e-post i enlighet med GDPR bör du alltid ställa dig frågan om det är viktigt, utifrån syftet med meddelandet, att alla mottagarna anges öppet i adressfältetnär du skickar e-post till många personer. Genom att använda "Hemlig kopia" i stället för den vanliga adressrutan "Till" kommer mottagarna av e-posten inte att se vilka andra som fått meddelandet. På så sätt undviker du att studenterna känner att universitetet inte hanterar deras personuppgifter i enlighet med GDPR. Det är också ett enkelt sätt att leva upp till den grundläggande principen om uppgiftsminimering i GDPR.

Principen om uppgiftsminimering handlar om att en personuppgiftsansvarig aldrig ska behandla fler uppgifter än vad som behövs för ändamålet.

Vi har samlat information om vad du behöver tänka på för att hantera e-post i enlighet med GDPR i vår FAQ om personuppgifter.

2023-12-14: Umeå universitet är öppet även runt jul

Nu närmar sig julen med stormsteg. Vi ser alla fram emot att varva ned och umgås med nära och kära. Verksamheten på Umeå universitet går in i en lugnare fas men är inte stängt dagarna runt jul och nyår. Genom goda rutiner och enkla åtgärder uppfyller vi både våra skyldigheter och får en lugn och avslappnad julledighet som vi så väl behöver.

Som anställd på myndighet är du skyldig att besvara frågor från enskilda personer så snart som möjligt, eller se till att de besvaras av någon annan, även under mellandagarna. Genom rutiner för att bevaka inkommande post, e-post och telefonsamtal vid frånvaro uppfyller institutionen denna skyldighet och skapar förutsättningar för medarbetarna att vila under ledigheten. 

På Aurora hittar du tips på hur du kan uppfylla serviceskyldigheten under jul och nyår. Bland annat ska du som anställd lämna en fullmakt med tillstånd att öppna personadresserad post och lyssna av röstmeddelanden. När du är frånvarande ska du lämna frånvaromeddelande där det framgår vem som kan kontaktas i stället. Du kan också hänvisa till Infocenter som kan hjälpa till att besvara allmänna frågor. Om möjligt, vidarebefordra din e-post till en kollega eller en lämplig funktionsbrevlåda som institutionen anvisar. Det är inte tillåtet att vidarebefordra universitetets e-post till e-postkonton utanför universitetet.

Det är viktigt att vi fortsätter skydda vår information även i samband med storhelgerna. Några som tyvärr inte tar ledigt är obehöriga som vill komma åt universitetets information. Det kan också hända misstag eller tekniska fel som innebär att information hamnar i orätta händer, förstörs eller förloras. Om en sådan incident rör personuppgifter eller IT-incidenter ska detta utredas och anmälas inom 72 timmar. Denna tidsfrist gäller även under julledigheten. Institutionen eller enheten behöver därför ha rutiner för att bevaka och anmäla personuppgiftsincidenter även under perioder med hög frånvaro.

Vi önskar er alla en säker och avslappnad julledighet.

2023-11-09 Använda AI i jobbet 
AI-tjänster har på kort tid utvecklats till användbara hjälpmedel för både anställda och studenter. Precis som med alla andra IT-system och -tjänster gäller det att tänka sig för innan AI-tjänster nyttjas. Tjänster som inte har granskats av universitetet kan vara osäkra och kan innebära en risk för läckage av känslig information. Här har universitetsjuristerna samlat några råd om vad du måste tänka på innan du använder AI i tjänsten på Umeå universitet.

För AI-system gäller samma som för andra IT-system och - tjänster; använd bara sådana system och tjänster som rekommenderas och tillhandahålls av ITS. Dessa har granskats för att kunna erbjuda säker hantering av information. Granskade IT-system och -tjänster har ett fastställt skyddsvärde som anger vilken sorts information som de kan användas för. Sådana tjänster är dessutom upphandlande och nyttjas med korrekt licens.

Umeå universitet erbjuder vissa generativa AI-tjänster för användning av dig som anställd. De kommersiella AI-tjänster som finns att tillgå därutöver ligger utanför universitetets kontroll. Detta innebär att dessa tjänsters data- och IT-säkerhet inte är granskade. En försiktighetsprincip bör därför råda avseende vad du nyttjar och vilken data som du som användare lämnar i AI-tjänsten. Att dela sekretessbelagda uppgifter i en AI-tjänst innebär att uppgifterna röjs i strid med din tystnadsplikt. Du bör även vara medveten om att material som skickas in i de flesta fall tillfaller företaget bakom tjänsten. Du måste därför ha rätt att lämna ifrån dig materialet som du lägger in i tjänsten. Kopieringsavtalet ger till exempel inte rätt att använda upphovsrättsskyddat material i AI-tjänster.

Oavsett om du använder en av Umeå universitet rekommenderad tjänst eller en tjänst som inte tillhandahålls av universitet behöver du kontrollera om tjänstens licensvillkor tillåter nyttjande av det resultat tjänsten ger dig på det sätt du tänkt, eller omdet finns begränsningar i hur du får använda av resultatet. Om du exempelvis tänkt nyttja en bild som framställts av tjänsten i en artikel som ska publiceras så kan både tjänstens licensvillkor och tidskriften du vill publicera i förhindra att du nyttjar resultatet på det sätt du tänkt.

Sammanfattningsvis

  • Använd AI-tjänster med förnuft men lägg aldrig in:
    • Sekretessbelagda uppgifter.
    • Andras personuppgifter.
    • Material du inte har rätt att fritt förfoga över, tänk upphovsrätt, kopieringsavtal, annan IPR.
    • Och se upp med: Forskningsdata och annat material som inte bör spridas, till exempel tentamensuppgifter.
  • Använd bara IT-system och –tjänster som rekommenderas och tillhandahålls av ITS. Och använd dem endast för den sorts information som systemets eller -tjänstens fastställda skyddsvärde anger.
  • Om du har behov av IT-system- eller tjänst för dit arbete som inte rekommenderas; kontakta ITS licensansvarig.
  • Kontrollera alltid licensvillkor för tjänsten och hur du får använda resulatatet.
  • Användning av gratistjänster och gratisverktyg bör undvikas.
  • Om det är nödvändigt att använda gratistjänster eller gratisverktyg, bör en noggrann bedömning göras av tjänstens säkerhet och integritet. Det är viktigt att säkerställa att sådana tjänster uppfyller kraven i GDPR och Offentlighets- och sekretesslagen.

Du som är chef behöver se till att alla anställda som använder AI-tjänster är medvetna om dessa riktlinjer och har fått lämplig utbildning.

2023-10-30: Uppdaterade och översatta sidor

Universitetsledningens kansli har det senaste året arbetat intensivt med att uppdatera sidorna om Juridik och personuppgifter på Aurora. Ambitionen är att ge läsaren mer relevant information på ett tillgängligt språk. Sidorna finns nu även på engelska. 

Checklista inför start av forskningsprojekt ska breddas

Nu fortsätter arbetet med att utveckla information som riktar sig specifikt till universitetets forskare. Bland annat pågår ett större arbete med att bredda checklista inför start av forskningsprojekt för att täcka hela forskningsprocessen. Av den anledningen ingår checklistan inte i det material som hittills har översats. 

2023-10-13: Har du råkat skicka ett mail fel eller tappat din mobiltelefon? Det kan vara en personuppgiftsincident.

En personuppgiftsincident är en säkerhetsincident som rör personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer.

En personuppgiftsincident kan vara en hackerattack där alla uppgifter från ett system blir stulna och sprids på Internet. Det kan också vara något så enkelt som att någon tappar bort en mobiltelefon, att intern personal som inte har behörighet att se personuppgifter av misstag får tillgång till sådana uppgifter eller att ett mail innehållande personuppgifter skickas till fel person.

Är du systemägare kan du ha fått information om att en obehörig har fått tillgång till personuppgifter i ett system. Informationen kan komma från en systemleverantör som agerar personuppgiftsbiträde, en medarbetare, en utomstående eller till och med individen vars personuppgifter behandlas.

Misstänker du att en personuppgiftsincident kan ha inträffat ska du anmäla den till abuse@umu.se. Alla som får vetskap om en möjlig personuppgiftsincident ska anmäla detta omedelbart. Läs mer under Om något händer på Aurora.  

Skyldigheten att anmäla personuppgiftsincidenter är till för begränsa eventuella skador. Sprid därför gärna vidare informationen om vikten av att anmäla personuppgiftsincidenter till dina kollegor och medarbetare så att universitetet kan skydda personuppgifterna för att värna den personliga integriteteten för våra medarbetare, studenter och forskningsdeltagare.

2023-09-29: Personuppgifter i forskning

Den 12 juni genomförde Etikprövningsmyndigheten ett webbinarium om personuppgifter i forskning, i samarbete med Integritetsskyddsmyndigheten och Överklagandenämnden för etikprövning. Uppsala universitet deltog som representant för en forskningshuvudman.

Syftet var att belysa vilka aspekter som är viktiga att tänka på när personuppgifter behandlas i forskning. Vilka skyddsåtgärder är nödvändiga och vilka regelverk gäller? Vem ansvarar för vad och vad kan göras för att minska riskerna för forskningspersonerna? Vilket stöd kan forskarna behöva för att kunna hantera personuppgifter i enlighet med de krav som gäller? Och vem avgör vad som är en känslig personuppgift?

Du kan ta del av en inspelning av webbinariet på etikprövningsmyndighetens webb. 

Hör av dig till universitetsjuristerna via pulo@umu.se om du har frågor om personuppgifter i forskning. 

Kontakt

E-post universitetsjuristerna 

E-post Dataskyddsombud, frågor om personuppgiftshantering

Utbildningsmaterial för anställda

2024-03-01