Dokumenterad forskningsdatahantering

    Att dokumentera din forskningsdatahantering är viktigt för att skydda din forskning och underlätta återanvändning av data i framtiden. Det hjälper också till att säkerställa att forskningsdatat hanteras enligt regler och krav.

    En gemensam struktur för dokumentation av forskningsdatahantering underlättar förståelsen för forskningsdata under pågående projekt och när forskningsprojektet är avslutat.

    För att få stöd i att planera din forskningsdatahantering och hantera forskningsdata finns processen "Dokumenterad forskningsdatahantering" som består av ett antal dokument som beskriver datahanteringen. Genom processen kartlägger du vilket skydd forskningsdata behöver och hur du ökar möjligheten för återanvändning av data, såväl för dig själv som för andra. 

    Hur ska du dokumentera din forskningsdatahantering?

    I dokumentationen av din forskningsdatahantering ingår informationsklassning, risk- och sårbarhetsanalys och datahanteringsplan. I vissa fall kan också annan dokumentation behövas beroende på vilken typ av forskningsdata som behandlas och hur det hanteras. De vanligaste dokumenten som kan tillkomma är konsekvensbedömning av personuppgiftsbehandling och bevarandeplan för egna IT-system eller molntjänster. Läs mer om Personuppgiftsbehandling i forskning

    Vid samarbete med forskare från andra lärosäten, myndigheter, företag eller organisationer bör även samarbetsavtal som beskriver ansvaret kring forskningsdatahanteringen upprättas. Om leverantörer som kommer att behandla personuppgifter ska anlitas kan även personuppgiftsbiträdesavtal, PUBA, behövas.

    Vad innehåller dokumentation av forskningsdatahantering?

    De olika dokumenten i processen har olika syften och kartlägger olika aspekter av forskningsdatahanteringen. Du beskriver ditt data utifrån olika aspekter och drar slutsatser för att lära känna forskningsdata i ditt forskningsprojekt och hur du bör hantera informationen i olika situationer.   

    Även om syftet är olika kan samma eller liknande information efterfrågas i de olika dokumenten. Det är bra att återanvända de uppgifter som du har angett i ett dokument i övriga dokument där samma information efterfrågas för att undvika motstridig information.

    Vissa uppgifter förekommer i alla dokument. Dessa är

    • Projekt/projektidentifikation
    • Kontaktperson
    • Vem som upprättat dokumentet
    • Typ av information
    • Legala krav, etiska aspekter (sekretesskrav, personuppgifter, immaterialrättsliga frågeställningar)

    Instruktioner för processen dokumenterad forskningsdatahantering

    Nedan presenteras de dokument som ingår i processen Dokumenterad forskningsdatahantering och var du hittar information och stöd för ifyllnad av dokumentationen. 

    Informationsklassning 

    Börja med informationsklassningen. Genom att göra en informationsklassning av den information som du kommer att samla in och analysera i ditt forskningsprojekt lär du känna ditt forskningsdata och hur det hanteras på ett säkert sätt, till exempel vilka IT-system och tjänster som kan användas.

    Du hittar vägledning och anpassade mallar för informationsklassning med föreslagna KRT-värden i inloggat läge på Aurora på sidan Informationsklassning. I vägledning för informationsklassning och risk- och sårbarhetsanalys ges även fördjupat stöd om hur informationsklassning genomförs.

    Om du behöver hjälp med att genomföra informationsklassning kan du delta i "Workshop informationsklassning och risk- och sårbarhetsanalys" som du hittar på Aurora via sidan Interna utbildningar och nätverksträffar. Du kan även kontakta infosak@umu.se för hjälp och stöd.

    Överlappning med andra dokument

    I informationsklassningen efterfrågas följande information som också förekommer i andra dokument.

    Information Förekommer också i
    Risk- och sårbarhetsanalys Datahanteringsplan Bevarandeplan
    Projektöversikt  Benämning, Kort bakgrund och beskrivning av analysobjektet/projektet Ansvar och resurser  
    Forskningsdatamängd Typ av information Databeskrivning Handlingstyper i systemet
    Klassningsresultat Klassificeringsvärde    
    Legala krav Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat?

    Rättsliga och etiska aspekter

    Behöver upphandling av system eller tjänster genomföras av systemet/ projektet (observera krav ur GDPR och arkivperspektiv på sådan)

    Personuppgifter och registering av personuppgifter (med underfrågor)

    Hantering sekretessbelagd information

    Sekretessskyddade uppgifter

    Registering av information (med underfrågor)
    IT-system   Lagring och säkerhetskopiering under projektet  
    Lagringsytor   Lagring och säkerhetskopiering under projektet  

    Uppgifter som är unika för informationsklassningen rör bedömning av informationens skyddsvärde utifrån aspekterna konfidentialitet, riktighet och tillgänglighet.

    Varför ska du göra en informationsklassning? 
    Vid informationsklassningen gör du en bedömning av informationens skyddsvärde utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. Det avgör hur du behöver hantera och lagra din forskningsdata för att skydda den. Informationen ska klassificeras utifrån den funktion och betydelse den har för ditt projekt och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc.
    Informationsklassningen tillsammans med risk- och sårbarhetsanalysen ger vägledning till vilka skyddsåtgärder som behöver vidtas och således även vilka system som är lämpliga att använda för till exempel insamling och lagring. Dessa dokument ger även grunden till din datahanteringsplan.

    Vem ansvarar för att göra informationsklassningen? 
    Informationsägare ansvarar för att genomföra informationsklassning. Informationsägare kan vara en forskningsledare eller en prefekt eller chef över ett område.

    Risk- och sårbarhetsanalys

    När informationsklassningen är klar är nästa steg att genomföra en risk- och sårbarhetsanalys. Genom risk- och sårbarhetsanalysen tar du reda på vilka skyddsåtgärder du behöver vidta för att skydda ditt forskningsdata med utgångspunkt i de hot och sårbarheter som föreligger.

    Du hittar mall för risk- och sårbarhetsanalys på Aurora på sidan Vägledning för att göra en riskanalys. I vägledning för informationsklassning och risk- och sårbarhetsanalys ges även fördjupat stöd om hur risk och sårbarhetsanalysen genomförs.

    Om du behöver hjälp med att genomföra risk- och sårbarhetsanalys kan du delta i "Workshop informationsklassning och risk- och sårbarhetsanalys" som du hittar på Aurora via sidan Interna utbildningar och nätverksträffar. Du kan även kontakta infosak@umu.se för hjälp och stöd.

    Överlappning med andra dokument

    I risk- och sårbarhetsanalysen efterfrågas följande information som också förekommer i andra dokument.

    Information Förekommer också i
    Informationsklassning Datahanteringsplan Bevarandeplan
    Kort bakgrund och beskrivning av analysobjektet/projektet Benämning Ansvar och resurser  
    Typ av information Forskningsdatamängd Databeskrivning Handlingstyper i systemet
    Klassificeringsvärde Klassningsresultat    
    Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat? Legala krav Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)    		  
    Lista skyddsvärda informationsbehandlingar/
    tillgångar (med underfrågor)    		 Lista över informationsbehandlingar.   Sekretesskyddade uppgifter

    Uppgifter som är unika för risk- och sårbarhetsanalysen rör till exempel hot och sårbarheter samt möjliga säkerhetsåtgärder.

    Varför ska du göra en risk- och sårbarhetsanalys?

    Vid risk- och sårbarhetsanalysen utgår du från de informationsbehandlingar som identifierades vid informationsklassningen. Risk- och sårbarhetsanalysen konkretiserar olika typer av tänkbara risker med behandlingen av informationen utifrån bland annat hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen. Utifrån analysen kan du hitta sätt att minimera eller helt undvika olika risker.

    Risk- och sårbarhetsanalysen ger tillsammans med informationsklassningen vägledning till vilka skyddsåtgärder som behöver vidtas och således även vilka IT-system som är lämpliga att använda för till exempel insamling och lagring. Dessa dokument ger även grunden till din datahanteringsplan.

    Vem ansvarar för att göra risk- och sårbarhetsanalys?

    Informationsägaren ansvarar för att genomföra risk- och sårbarhetsanalys. Informationsägare kan vara en forskningsledare eller en prefekt eller chef över ett område.

    Datahanteringsplan

    Du hittar Umeå universitets rekommenderade mall för datahanteringsplan i verktyget DMPonline.

    Datahanteringsplanen uppdateras löpande under projektet. Datahanteringsplanen är klar när det finns en eller flera publikationer att koppla till den data som finns beskriven i planen eller när du som forskare anser att syftet med den insamlade informationen är uppnått. Du kan använda informationsklassningen och risk- och sårbarhetsanalysen som grund för vissa delar av beskrivningen av datahanteringen i datahanteringsplanen. Kontakta universitetsbiblioteket om du behöver stöd  i att skapa datahanteringsplanen. 

    I datahanteringsplanen efterfrågas följande information som också förekommer i andra dokument.

    Information Förekommer också i
    Informationsklassning Risk- och sårbarhetsanalys Bevarandeplan
    Ansvar och resurser Projektöversikt Benämning, Kort bakgrund och beskrivning av analysobjektet/projektet  
    Databeskrivning Forskningsdatamängd Typ av information Handlingstyper i systemet
    Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)    		 Legala krav Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat?

    Personuppgifter och registering av personuppgifter (med underfrågor)

    Hantering sekretessbelagd information
    Sekretesskyddade uppgifter
    Registrering av information (med underfrågor)
    Databeskrivning
    Typ av data – nyskapade    		 Lista över informationsbehandlingar Lista skyddsvärda informationsbehandlingar/
    tillgångar (med underfrågor).    		  

    De uppgifter som är unika för datahanteringsplanen avser mer ingående beskrivning av det material som du bygger din forskning på.

    Varför ska du göra en datahanteringsplan?

    I datahanteringsplanen beskriver du din data eller ditt forskningsmaterial. Alla som kommer arbeta med din data eller ditt forskningsmaterial i projektet ska anges. Det här är allmänna uppgifter som även efterfrågas i informationsklassning och risk- och sårbarhetsanalysen.

    Idag efterfrågar många svenska och europeiska finansiärer en datahanteringsplan. Vissa institutioner vid universitetet har även som krav för finansiering att en datahanteringsplan upprättas och arkiveras eller diarieförs i institutionens arkiv.

    Vem ansvarar för att göra en datahanteringsplan?

    Forskningsledaren (PI) ansvarar för att skapa datahanteringsplan för forskningsprojektet. 

    Bevarandeplan

    Om du använder ett IT-system eller IT-tjänster som inte redan tillhandahålls av universitetet i ditt forskningsprojekt behöver du skapa en bevarandeplan som beskriver hur informationen i projektet ska hanteras ur arkivperspektiv. Du hittar en mall för bevarandeplan på sidan om bevarande av elektroniska handlingar i system. Använder du IT-system eller -tjänster som tillhandahålls av universitetet behöver du inte upprätta en bevarandeplan. Kontakta arkiv och registratur om du behöver stöd vid skapande av bevarandeplanen. 

    I bevarandeplanen efterfrågas följande information som också förekommer i andra dokument.

    Information Förekommer också i
    Informationsklassning Risk- och sårbarhetsanalys Datahanteringsplan
    Handlingstyper i systemet Forskningsdatamängd Typ av information Databeskrivning
    Personuppgifter och registrering av personuppgifter (med underfrågor) Lista över informationsbehandlingar.
    Legala krav    		 Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat? Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)
    Hantering sekretessbelagd information Lista över informationsbehandlingar. Legala krav Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat? Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)
    Sekretesskyddade uppgifter Lista över informationsbehandlingar. Legala krav Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat? Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)
    Registrering av information (med underfrågor) Legala krav Kommer bakgrundskunskap att föras in i projektet – föreligger immaterialrätter kopplade till sådan kunskap? Hur ska resultat hanteras i projektet – finns krav på nyttjande- eller äganderätter till resultat? Rättsliga och etiska aspekter
    Behöver upphandling av system eller tjänster genomföras av systemet/projektet (observera krav ur GDPR och arkivperspektiv på sådan)

    Varför ska du göra en bevarandeplan? 

    Syftet med planen är att kunna förbereda inför en avveckling av ett system och undvika att information som ska bevaras försvinner eller förstörs. Om du använder ett IT-system eller en molntjänst som är nytt behöver du i samband med anskaffningen upprätta en bevarandeplan som beskriver hur information i systemet ska kunna bevaras eller gallras.

    Vem ansvarar för att göra en bevarandeplan? 

    Systemägare ansvarar för att upprätta bevarandeplan.

    När ska dokumentationen göras?

    Forskningsdatahanteringen utvecklas och kan förändras i olika stor utsträckning under forskningsprojektets genomförande. Dokumentationen behöver därför fyllas i och uppdateras i olika skeden under hela projektet. Om förändringarna ryms inom de befintliga bedömningarna behöver dokumentationen inte uppdateras men kan utgöra ett stöd för att bedöma hur informationen kan hanteras.

    Dokumentation av forskningsdatahantering påbörjas innan insamling av forskningsdata för att säkerställa att insamlingen sker säkert och i enlighet med krav från lagstiftning och finansiärer. Dokumentationen kompletteras under projektet i samband med nya förutsättningar för forskningsdatahanteringen och när projektet avslutas.

    Dokumentationen är ett stöd för både forskare och för stödfunktioner, bland annat i följande situationer:

    • Forskare har hjälp av dokumentationen för val av IT-system och -tjänster, val av skyddsåtgärder och planering av nödvändiga rutiner. Dokumentationen är också ett stöd för att bedöma att forskningsdata hanteras korrekt när det sker förändringar i vilken information projektet hanterar.
    • ITS har hjälp av informationsklassning och risk- och sårbarhetsanalysen för att rekommendera lämpliga IT-system och – tjänster och vid skapande av tekniska skyddsåtgärder.
    • Universitetsjuristerna har hjälp av informationsklassning och risk- och sårbarhetsanalys för att förstå dataflödet i samband med upprättande av samarbetsavtal, dokumentation av gemensamt personuppgiftsansvar och personuppgiftsbiträdesavtal (PUBA). Dokumentationen används också för att bedöma sekretessfrågor och vad som krävs för att behandling av personuppgifter ska vara laglig.
    • Biblioteket har hjälp av dokumentationen för att ge stöd i att beskriva metadata och rekommendera lämpliga repositorier för öppen tillgång till forskningsdata.
    • Arkivfunktionen har hjälp av dokumentationen för att göra forskningsdata sökbart i arkivet.

    Varför ska du dokumentera din forskningsdatahantering?

    Korrekt forskningsdatahantering bidrar till att kartlägga, analysera och upprätthålla skyddet för informationen. Det finns regler som styr hur information får hanteras. Dessa regler syftar till att värna skyddsvärda intressen, till exempel den personliga integriteten. Ett korrekt skydd ökar såväl informationens som forskningspersoners integritet. Att forskningsdata dokumenteras innebär också att forskningen kan återupprepas och granskas i högre utsträckning vilket ökar forskningens trovärdighet.

    En gemensam struktur för dokumentation av forskningsdatahantering underlättar förståelsen för forskningsdatat under pågående projekt och när forskningsprojektet är avslutat.

    En dokumenterad forskningsdatahantering bidrar till att

    • Hög kvalitet och säkerhet upprätthålls – När forskaren lär känna sitt data kan lämpliga verktyg för bearbetning, analys och lagring samt kommunikation och samarbete väljas. När du som forskare i ett tidigt skede av ditt forskningsprojekt kartlägger vilka data som faktiskt behövs underlättas val av rätt datamängd och därmed minska riskerna med hantering av för stora mängder data. Kvaliteten och effektiviteteten i forskningen kan också antas öka.
    • Forskningsprocessen stödjs och underlättas – När forskningsdata är dokumenterade underlättas och påskyndas stödprocesser, så som juridisk rådgivning, avtalstecknande och systemrekommendation. Regelverk som styr forskning, forskningsetik och god forskningssed kan uppfyllas samtidigt som du som forskare i högre utsträckning kan fokusera på forskningens kärnfrågor.
    • Förutsättningarna för öppen tillgång till forskningsdata ökar – Genom att främja öppenhet är målet att forskningen ska bli mer lättillgänglig, användbar och transparent. FAIR-principerna är centrala och vägledande i det praktiska arbetet med att beskriva och göra forskningsdata tillgängliga. Forskningsdata som hanteras i enlighet med FAIR principerna är sökbara, tillgängliga, interoperabla och återanvändningsbara. Forskningsdata som uppfylla FAIR principerna kan i högre utsträckning återanvändas av andra och bidra till mer forskning samtidigt som kostnaden for insamling av data minskar. Forskning som bygger på FAIR-data kan också i högre utsträckning valideras och utvärderas vilket ökar sannolikheten för spridning av forskningsresultat och att nya forskningsresultat uppnås snabbare.

     

    Kontaktuppgifter

    Samordningsfunktion för frågor kring forskningsdatahantering

    Universitetsbiblioteket

    Samordningsfunktionen slussar dig sedan vidare till rätt stödfunktion. 

    Frågor om informationsklassning eller risk- och sårbarhetsanalys

    Informationssäkerhet

    Frågor om datahanteringsplan

    Universitetsbiblioteket

    Universitetsjuristerna - frågor om personuppgiftsbehandling, dataskydd

    Dataskyddsombud

    Universitetsjuristerna - allmänna juridiska frågor

    Universitetsjuristerna

    Frågor om bevarandeplan

    Registratur och arkiv

    Elisabeth Mach
    2024-02-16