Checklista inför start av forskningsprojekt

1. Gör en informationsklassning

Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, d v s det som ska skyddas.

Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Viss information är mer skyddsvärd än annan. Till exempel förekommer sekretessbelagda handlingar/uppgifter vilka har andra krav på hantering än allmänna handlingar. Behovet av skydd skiljer sig därför åt mellan olika information, och varierar dessutom beroende på situation

Mer information

Informationssäkerhet

Vägledning informationsklassning.pdf

Vid frågor kontaktas dan.harnesk@umu.se

 

2. Gör en risk- och sårbarhetsanalys

Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker för våra informationstillgångar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.

Mer information

IT-säkerhet

Riskanalys

 Vid frågor kontaktas ingegerd.stenlund@umu.se

3. Krävs datahanteringsplan?

För många forskare ingår ansökningar om forskningsbidrag i de centrala arbetsuppgifterna och redan i samband med ansökningsprocessen är det dags att börja planera hur data ska hanteras under projektets gång. Många internationella forskningsfinansiärer kräver idag att en ansökan ska innehålla en datahanteringsplan (eng. Data Management Plan; DMP).

Detta kan komma att bli ett krav även från svenska forskningsfinansiärer. För den enskilde forskaren är datahanteringsplanen ett sätt att redan i ett tidigt skede tänka igenom upplägg, insamling och hantering av forskningsmaterialet d v s hur forskningsmaterialet ska hanteras, organiseras, lagras, tillgängliggöras och bevaras under och efter forskningsprojektet.

Mer information

Policy för hantering av forskningsdata

Mall för datahanteringsplan

Datahanteringsplanens utformning

4. Utred lämpliga lagrings, datainsamlings- och bearbetningstjänster/ytor, delningstjänster

Baserat på den tidigare gjorda informationsklassningen.

Mer information

Fillagring och dokument

5. Behövs ett etikprövningstillstånd?
Har innehåll och upplägg stämts av mot god vetenskaplig sed?

Ska du forska på människor, mänsklig vävnad eller känsliga personuppgifter eller personuppgifter om lagöverträdelser behöver du skicka in en ansökan om etikprövning.

 

Mer information

God forskningssed, Vetenskapsrådet

Etikprövning - så går det till, Etikprövningsmyndigheten

 

6. Behöver upphandling av vara eller tjänst ske?

Som statlig myndighet måste Umeå universitet följa lagen om offentlig upphandling. Alla anställda som ska köpa in något måste därför känna till att olika regler gäller för olika typer av inköp.

Mer information

Regler och riktlinjer för upphandling (kräver för närvarande inloggning)

 Vid frågor kontaktas upphandling@umu.se

7. Behövs samarbetsavtal?

Om det i forskningsprojektet finns flera samarbetspartners utom Umeå universitet kan det behövas avtal som reglerar frågor om exempelvis IPR, publicering, sekretess och personuppgiftsansvar. Det kan även förekomma att överföring av data m.m. behöver regleras i avtal. (MTA, DTA).

För att universitetsjurist ska kunna påbörja granskning/upprättande av ditt avtal måste det i god tid skickas in nödvändiga uppgifter från dig till universitetsjurist@umu.se. Det gör du med blanketten Underlag avtalsgranskning som finns i högerspalten.

8. Kommer uppgifter med sekretess att behandlas i projektet?

Föreligger sekretess? Följer sekretess med från annan exempelvis som vid utlämnande av patientuppgifter? Vill man dela uppgifter med annan måste man ta ställning till sekretess och menprövning göras.

 

Mer information

Offentlighet och sekretess

Vägledning om offentlighet och sekretess v 3 2020-05-12.pdf

9. Kommer säkerhetsskyddsklassade uppgifter att behandlas i projektet?

Med säkerhetsklassade uppgifter menas exempelvis beredskapsinformation eller uppgifter kring hamnar, flygplatser, broar, dricksvattenförsörjning, kärnkraftverk, militära skyddsobjekt, fibernät eller knutpunkterna för Sveriges internettrafik.

Mer information

Kontakta universitetets säkerhetschef

10. Kommer personuppgifter behandlas i projektet?

Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.

Behöver en konsekvensbedömning göras? Knyter an till risk- och sårbarhetsanalysen som är gjord.

Om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter måste det alltid göras en konsekvensbedömning.

Konsekvensbedömningar och förhandssamråd, IMY

Anmäl behandlingen till Umu:s centrala register för personuppgiftsbehandlingar.

Personuppgiftsansvariga är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Vid Umeå universitet förs detta register hos dataskyddsombudet.

Anmäl din personuppgiftsbehandling

Tillse att de behandlade får den information som GDPR kräver

Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Följ den mall som tagits fram för Umeå universitet.

Information till registrerade

Är avsikten att känsliga personuppgifter ska behandlas? Finns Etikprövningstillstånd?

Högre säkerhetsåtgärder krävs för exempelvis överföring, lagring etc

Känsliga personuppgifter, IMY

Kommer särskilt skyddsvärda (integritetskänsliga) personuppgifter att behandlas?

(Personnummer, lagöverträdelser, löneuppgifter etc.) Högre säkerhetsåtgärder krävs för exempelvis överföring, lagring etc.

OBS! Behandling av lagöverträdelser i forskning kräver etiktillstånd

FAQ

Kommer annan extern part (inte annan samarbetspart) på uppdrag av forskningsprojektet att behandla personuppgifter?

Om så är fallet krävs i normalfallet personuppgiftsbiträdesavtal (PUBA). Kontakta pulo@umu.se

Kommer personuppgifterna på uppdrag av forskningsprojektet att behandlas utom EU/ESS?

(Molntjänst, analyser, support, samarbetsparter). Ordna med standardavtalsklausuler. Kontakta pulo@umu.se.

OBS! Privacy Shield har upphävts av EU-domstolen – för överföring till USA kontakta pulo@umu.se

Hur säkerställs organisatorisk och teknisk säkerhet?

Åtkomst, loggar, säkra lagringsytor, hur ska uppgifterna delas mellan samarbetsparter?

  • Behörighetstilldelning är viktigt! – med en godkännandeprocess
  • Starkare kontroll av behörig användare genom 2-faktorsautentisering
  • Loggning behövs - värdet på forskningsdatat styr nivån på loggningen
  • All kommunikation bör vara krypterad, överväg om informationen i sig behöver krypteras.
  • Datalivscykelhantering
  • Planera för lagring, gallring, arkivering och eventuell avveckling – tänk på kommande kostnader
  • Backuper – återskapande av information kontra redundans – hur länge kan ni vara utan forskningsdata?
  • Välj lösningar som är mer isolerade från andra system och mindre exponerad mot internet.

Säkerhet och certifikat

Fillagring och dokument

Stöd för forskare

Incidenter

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Incidenter ska rapporteras till abuse@umu.se

Anmäl personuppgiftsincidenter

11. Utlämnande av data

Behöver projektet lämna ut handlingar eller data till annan, exv. Samarbetspart eller annan utanför universitetet

– säkerställ att ett utlämnande får ske och under vilka villkor. Måste föregås av menprövning som ska dokumenteras skriftligen

Behöver projektet tillgång till hälsodata eller kliniska data från region

– säkerställ att utlämnande kommer att kunna ske från sådan region.

Behöver projektet tillgång till annan myndighets allmänna handlingar

– säkerställ att sådant utlämnande kan ske. Kommer projektet att lämna ut data till annan kan sekretessprövning behöva göras.

Offentlighet och sekretess

Datauttag för forskare, Region Västerbotten

12. Arkivering

De flesta typer av forskningsmaterial är allmänna handlingar och måste arkiveras. Det är viktigt att materialet som forskningen bygger på struktureras och redovisas på ett begripligt sätt. Syftet är att det ska gå att se att slutsatserna verkligen följer av det forskningsunderlag som forskaren utgått från.

Arkivering av forskningsmaterial

Chatarina Wiklund
2021-05-05