Syftet med denna vägledning är att guida forskare vid Umeå universitet kring vilka ställningstaganden som behöver göras när det finns behov av att dela forskningsdata med samarbetsparter i ett forskningsprojekt.
Tillämpning av regelverken skiljer sig åt beroende på vad forskningsdata innehåller och om mottagaren befinner sig i Sverige, i EU/EES eller ett annat land och om mottagaren är en myndighet, region, ett företag eller en frivilligorganisation.
Vägledningens uppbyggnad
På denna sida hittar du övergripande information och frågeställningar som behöver beaktas vid delning av forskningsdata i samarbetsprojekt. På följande sidor presenteras ett antal typfall som närmare beskriver vilka specifika ställningstaganden som behöver tas vid delning av forskningsdata i olika situationer.
Stöd och hjälp
Det är komplexa bedömningar som ska göras i samband med delning av forskningsdata. Du kan få stöd och hjälp av universitetsjuristerna. De har också tillgång till mallar för information om överförd sekretess och beslut om sekretessförbehåll som du vid behov får hjälp att fylla i.
För att få så bra hjälp som möjligt är det viktigt att du beskriver tydligt vad forskningsdata som ska delas innehåller och vem som är mottagare när du kontaktar universitetsjuristerna.
Typfall för delning av forskningsdata
Beroende på vilken typ av uppgifter som forskningsdata innehåller och vem som är mottagare behöver hänsyn tas till frågor gällande bland annat skydd av personuppgifter och sekretess.
Typfallen beskriver vilken rättslig reglering som aktualiseras och vilka överväganden och ställningstaganden som behöver tas vid delning av forskningsdata med olika typer av mottagare. Till varje typfall finns en checklista som sammanfattar de ställningstaganden som måste göras innan forskningsdata delas.
En sekretessbedömning ska alltid göras innan forskningsdata delas. Dessa typfall är därför tillämpliga även i de fall där du bedömer att det inte finns sekretess
Om delning av forskningsdata behöver göras med flera samarbetspartners behöver du ta ställning till delning med varje samarbetspartner för sig baserat på respektive typfall.
Typfallen avser inte delning av forskningsdata med leverantör av en köpt tjänst, exempelvis för transkribering, analys eller liknande. I de fallen krävs delvis andra åtgärder, till exempel kan ett personuppgiftsbiträdesavtal behövas.
Delning av forskningsdata i etikprövad forskning.
Delning av forskningsdata med integritetskänsliga personuppgifter eller vanliga personuppgifter.
Delning av forskningsdata med sekretess.
Vilka är det som samarbetar?
Forskningssamarbeten är juridiskt sett ett samarbete mellan organisationerna som en forskare är anställd hos eller anlitad av och inte med den enskilda forskaren. Delning av forskningsdata sker därmed i de flesta fall till medforskarens arbets- eller uppdragsgivare. Forskningsdata är allmänna handlingar vid Umeå universitet och myndigheten är ansvarig för sitt forskningsdata. Delning av forskningsdata sker därför från Umeå universitet som myndighet och ska följa de regler som gäller för hantering av allmänna handlingar vid Umeå universitet.
Allmänna handlingar
Forskningsdata är allmänna handlingar vid Umeå universitet och myndigheten är ansvarig för sitt forskningsdata. Delning av forskningsdata sker därför från Umeå universitet som myndighet och ska följa de regler som gäller för hantering av allmänna handlingar vid Umeå universitet.
Biobanksprover utgör inte allmänna handlingar och omfattas därför inte av denna vägledning eller ställningstaganden gällande avtal. För dessa tillämpas regler i Biobankslagen (SFS 2023:38).
Definitioner
Begrepp i vägledningen definieras enligt följande:
Anonymiserade personuppgifter avser sådana uppgifter som inte innehåller någon information som går att koppla till en enskild individ. Kopplingen till en nu levande enskild individ ska därmed vara oåterkalleligt kapad. Anonymiserade uppgifter utgör inte personuppgifter i GDPR's mening.
Delning avser utlämnande av forskningsdata till samarbetspartner i forskningsprojekt för ändamål med koppling till projektet. Vid delning av forskningsdata lämnar universitet ut forskningsdata på eget initiativ utan en föregående begäran om tillgång till allmän handling.
Forskningsdata avser digital information som har samlats in för att analyseras i ett vetenskapligt syfte. Exempel på sådana forskningsdata är resultat från experiment och mätningar, observationer från fältarbete, statistik, enkätsvar, intervjuer och bilder. Fysiska föremål som t.ex. naturvetenskapliga och arkeologiska samlingar, fysiska konstverk eller biobanker betraktas i sig själva inte som forskningsdata, men däremot är digital information om sådana föremål att betrakta som forskningsdata. Definitionen motsvarar definitionen av forskningsdata som används i Umeå universitets policy för hantering av forskningsdata, dnr FS 1.1-545-21. Forskningsdata är allmän handling hos universitetet.
Integritetskänsliga personuppgifter avser personuppgifter som anses särskilt skyddsvärda. Det kan till exempel vara fråga om löneuppgifter, uppgifter om lagöverträdelser, värderande uppgifter som till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler, information som rör någons privata sfär eller uppgifter om sociala förhållanden.
Känsliga personuppgifter avser personuppgifter om en individs ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter.
Personuppgift avser varje uppgift som direkt eller indirekt kan kopplas till en levande person. Detta innebär att det inte bara är namn och personnummer som kan vara personuppgifter utan även användarnamn, Umu-id, e-post- eller IP-adresser, biometriska data, fysiologiska uppgifter och även exempelvis en röstinspelning. Enkätsvar där man vet vem som har svarat utgör personuppgifter. Även kombinationer av uppgifter kan utgöra personuppgifter om det genom uppgifterna är möjligt att koppla dessa till en fysisk person.
Pseudonymiserade personuppgifter avser personuppgifter som kodats och därmed inte kan användas för att direkt identifiera enskilda individer men där en kodnyckel finns bevarad som gör det möjligt att senare komplettera uppgifterna, och då även identifiera vilken individ som uppgifterna avser.
Rättslig grund avser ett lagligt stöd i dataskyddsförordningen (GDPR) för att behandlingen av personuppgifter ska vara tillåten. För forskning utgör allmänt intresse den rättsliga grunden enligt GDPR.
Sekretess innebär att det råder förbud mot att röja (avslöja) en uppgift, vare sig det sker muntligen, genom att lämna ut en allmän handling eller på annat sätt. För att en uppgift som ingår i en allmän handling hos Umeå universitet ska anses omfattas av sekretess måste det finnas stöd i OSL.
Utlämnande: avser utlämnande av forskningsdata enligt tryckfrihetsförordningens definition och är ett bredare begrepp än delning.
Vem avgör om forskningsdata kan delas
Det är den forskare som ansvarar för forskningsdatat, vanligen forskningsledare (PI), som ansvarar för bedömning av om forskningsdata kan delas, bland annat sekretessprövningen. Stöd i bedömningen kan erhållas från universitetsjuristerna. Vid svåra sekretessprövningar eller osäkerhet gällande hur personuppgifter får delas ska universitetsjuristerna alltid kontaktas.
Val av system för delning av forskningsdata
Välj vilket it-system du kan använda för delning av forskningsdata med stöd av projektets informationsklassning och risk- och sårbarhetsanalys. Välj lösningar som är godkända för den högsta nivå av skydd som informationen kräver. Välj i första hand ett system som rekommenderas av universitetet centralt eller som din institution rekommenderar.
Om offentlighetsprincipen
Offentlighetsprincipen innebär att var och en har rätt att ta del av allmänna handlingar hos svenska myndigheter, kommuner och regioner m.fl. Denna rätt kan endast inskränkas om uppgiften kan sekretessbeläggas enligt en bestämmelse i offentlighets- och sekretesslagen (OSL).
Forskning utgör i juridisk mening faktiskt handlande. Det innebär till skillnad mot handlingar i ett ärende att forskningsdata som huvudregel blir allmän handling direkt när uppgifterna inkommer till universitetet, exempelvis enkätsvar, eller när de färdigställts, det vill säga när de analyser, experiment och tester som genererat uppgifterna genomförts.
På sidorna om allmänna handlingar och sekretess kan du läsa mer om offentlighetsprincipen och när en handling är att betrakta som allmän.
Vad är utlämnande av allmän handling?
Att lämna ut en allmän handling innebär att informationen delas med en person utanför Umeå universitet. Utlämnandet kan innebära att en kopia av handlingen lämnas till mottagaren men det kan också vara att mottagaren får läsbehörighet för informationen i ett IT-system, att informationen visas på en datorskärm, spelas upp, eller att mottagaren på annat sätt ges tillgång till informationen. Allmänna handlingar i original ska bevaras hos Umeå universitet och ska därför inte lämnas ut till mottagaren. Även vid delning av forskningsdata ska de formella kraven för utlämnande av allmän handling vara uppfyllda.
Särskilt om data som samlats in av anställda med förenad anställning och anknutna.
Forskningsdata som samlats in inom anställning hos en annan offentlig arbetsgivare än Umeå universitet, till exempel inom ramen för kliniskt arbete vid en region, är allmänna handlingar hos den arbetsgivaren och måste begäras ut enligt dennes regelverk även om den som ska ta del av uppgifterna på Umeå universitet är den som samlat in uppgifterna vid den andre arbetsgivaren. Utlämnande av uppgifterna sker ofta med överförd sekretess vilket innebär att samma sekretess gäller för hantering av uppgifterna vid Umeå universitet.
En anknytning eller affiliering till Umeå universitet innebär inte att personen är anställd vid universitetet. Delning av forskningsdata med en anknuten person ska därför hanteras på samma sätt som andra samarbetspartners.
Om sekretess
Sekretess innebär att det råder förbud mot att röja (avslöja) en uppgift, vare sig det sker muntligen, genom att lämna ut en allmän handling eller på annat sätt. För att en uppgift som ingår i en allmän handling hos Umeå universitet ska anses omfattas av sekretess måste det finnas stöd i OSL. Om det vid en sekretessprövning bedöms att den som uppgifterna berör kan lida skada på det sätt som anges i det aktuella lagrummet omfattas uppgifterna av sekretess.
Umeå universitet behöver inför delning av forskningsdata dels utreda ifall universitetet har fått uppgifterna från en annan myndighet och den myndigheten vid utlämnandet har överfört "sin" sekretess till Umeå universitet. Dels behöver universitetet utreda om uppgifterna omfattas av någon annan sekretess.
Om en uppgift omfattas av sekretess får den inte lämnas ut förutom om det finns en sekretessbrytande bestämmelse i lagen som är tillämplig på den aktuella situationen. Omvänt innebär detta att om det inte finns någon risk för skada eller något lagstöd för sekretess kan uppgifterna inte sekretessbeläggas.
Vid osäkerhet om de forskningsdata som avses delas omfattas av sekretess ska universitetsjuristerna kontaktas.
Sekretess innebär att du har tystnadsplikt
Om en uppgift är sekretessbelagd har du som får ta del av uppgiften tystnadsplikt. Tystnadsplikten innebär att det är straffbart att röja sekretessbelagda uppgifter för en utomstående oavsett om detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.
Vad är en sekretessprövning?
Innan en handling lämnas ut eller delas måste en sekretessprövning göras. Sekretessprövningen måste göras vid varje enskild delning, det är inte möjligt att endast hänvisa till hur situationen hanterats tidigare.
En sekretessprövning innebär att Umeå universitet prövar om uppgiften omfattas av sekretess enligt någon bestämmelse i OSL. Bedömningen utgår från de villkor som anges i lagrummet. Umeå universitet ska som regel bedöma om någon fysisk eller juridisk person lider skada eller men (psykiskt, fysiskt eller ekonomiskt lidande) på det sätt som beskrivs i paragrafen av att uppgiften röjs. Om sekretessprövningen resulterar i att sekretess anses föreligga kan delning av forskningsdata ändå möjliggöras om det finns möjlighet att föra över sekretess till mottagaren, att lämna ut forskningsdata med förbehåll eller vidta åtgärder som innebär att uppgifterna inte längre kan kopplas till den som uppgifterna rör.
Sekretessprövning steg för steg
En sekretessprövning omfattar en prövning om utlämnandet av forskningsdatat kan innebära men eller skada för de personer eller organisationer som uppgifterna berör. Vissa åtgärder kan innebära att forskningsdata kan delas med en samarbetspartner trots att informationen annars skulle omfattas av sekretess. Om sekretessen kan överföras till mottagaren talar detta för att ett utlämnande kan ske och att den möjligheten ska nyttjas. Personuppgifter kan vidare pseudonymiseras så att information om en enskilds personliga förhållanden, som sekretessbestämmelser i vissa fall avser att skydda, inte längre kan kopplas till en viss individ. Under respektive typfall finns vägledning kring hur vanliga situationer kan hanteras.
Kontakta universitetsjuristerna om du är osäker på hur du kan dela forskningsdata med din samarbetspartner.
- Ingår forskningsdata i en allmän handling?
I Vägledning om offentlighet och sekretess finns information om bedömningen av när en handling blir en allmän handling. Forskningsdata är som regel allmän handling så snart den inkommit till universitetet eller har uppkommit här.
- Finns någon bestämmelse om sekretess i offentlighets- och sekretesslagen som gäller uppgifterna?
Om det inte finns någon bestämmelse om sekretess för uppgifterna kan forskningsdata delas med samarbetspartnern.
- Om uppgiften är sekretessbelagd – finns någon annan bestämmelse som gör att uppgiften kan lämnas ut ändå?
Undersök om det är möjligt att föra över sekretess till mottagaren eller dela uppgifterna med sekretessförbehåll. Om det finns en sådan möjlighet kan forskningsdata delas med samarbetspartnern.
- Om sekretessbestämmelse finns; Gör en men- och skadeprövning
Universitetet ska pröva om utlämnandet av forskningsdata kan innebära men eller skada på det sätt som anges i lagrummet för de personer eller organisationer som uppgifterna berör.
I Vägledning om offentlighet och sekretess finns information om de vanligaste sekretessbestämmelserna som rör universitetets verksamhet.
I vissa fall kan åtgärder som innebär att uppgifterna inte längre kan kopplas till den som uppgifterna rör, till exempel pseudonymisering av personuppgifter, innebära att uppgifterna kan lämnas ut.
- Om det fortfarande inte är möjligt att dela forskningsdata ska de uppgifter omfattas av sekretess tas bort (maskas).
- Lämna information om rätt till skriftligt avslagsbeslut.
Universitetet måste informera om varför forskningsdata har bedömts sekretessbelagd. Universitetet måste också informera om att den som begärt att få tillgång till forskningsdata har rätt att få ett skriftligt avslagsbeslut som går att överklaga till kammarrätten. På sidorna om utlämnande av allmänna handlingar finns en text som kan användas som svar till den som vill ta del av forskningsdata men som nekats att ta del av detta på grund av sekretess.
- Om ett skriftligt avslagsbeslut begärs ska det fattas enligt universitetets delegationsordning.
Om personuppgifter
Personuppgifter är alla uppgifter som direkt eller indirekt kan användas för att identifiera en levande person. Uppgifter som rör avlidna personer är endast i undantagsfall personuppgifter, om de kan användas för att identifiera en annan, nu levande person. Uppgifter som har anonymiserats, där det inte finns något sätt att koppla uppgifterna till en nu levande person utgör inte personuppgifter. Pseudonymiserade personuppgifter, det vill säga uppgifter som kodats för att skydda personuppgifterna, utgör personuppgifter så länge kodnyckeln finns kvar, även om Umeå universitet eller den som uppgifterna delas med, inte har tillgång till kodnyckeln.
Läs mer om vad du ska tänka på gällande personuppgiftsbehandling på sidorna om personuppgifter.
Vilka regler gäller för delning av personuppgifter?
Hur personuppgifter får behandlas regleras i EU:s dataskyddsförordning, GDPR. GDPR gäller för samtliga medlemsstater i EU/EES och för all personuppgiftsbehandling oavsett i vilket sammanhang personuppgiftsbehandlingen förekommer. Delning av forskningsdata som innehåller personuppgifter med samarbetspartners inom EU/EES är oftast oproblematiskt utifrån GDPR.
Den nivå på skyddet som garanteras i GDPR får inte försämras när forskningsdata med personuppgifter delas med samarbetspartners som befinner sig utanför EU/EES. I dessa fall måste universitetet därför före delningen undersöka om det finns beslut om adekvat skyddsnivå från EU-kommissionen. Om så inte är fallet måste lämpliga skyddsåtgärder vidtas som säkerställer samma nivå av skydd för personuppgifterna.
Omfattas personuppgifter av sekretess?
GDPR innehåller inga bestämmelser om sekretess för personuppgifter men personuppgifter kan omfattas av sekretess enligt bestämmelser i OSL.