Metoder för kvantitativa data

När du pseudonymiserar forskningsdata är det viktigt att du dokumenterar vad du gör, både för din egen skull och för potentiella sekundäranvändare. Använd ett statistikprogram där du kan dokumentera dina ändringar i ett skript. 

I de flesta fall kommer du att behöva testa dig fram till en lösning som passar just dina behov. Arbeta därför inte i originaldata utan gör en kopia som du kan experimentera med utan att riskera någon typ av oåterkallelig informationsförlust. 

Börja alltid med att identifiera direkta och indirekta identifierare. Att pseudonymisera de variablerna ger störst effekt för att minska risken för återidentifiering.

Genom att tabulera och visualisera olika kombinationer av variabler får du en överblick över fördelningen av dina observationer. Identifiera unika eller avvikande observationer som löper större risk för återidentifiering. Utvärdera om observationerna kan pseudonymiseras eller om de bör raderas helt. 

Om forskningsdata innehåller fritextsvar eller andra typer av kommentarsfält bör du alltid gå igenom dem. Fritextsvar kan innehålla direkt eller indirekt identifierande information både om svarspersonen och om tredje part. I ett första steg kan du markera potentiellt identifierande information med [hakparenteser] för att märka ut vad som eventuellt behöver kodas om, maskas eller raderas.

Genomför din pseudonymisering konsekvent. Det vill säga, gör inte separata lösningar för delar av dina forskningsdata eller för olika dataset i samma serie. Det riskerar inte bara att skapa förvirring för dig själv och andra utan kan också öka risken för återidentifiering.

Gå igenom eventuell dokumentation och annat bakgrundsmaterial som hör ihop med dina forskningsdata. Kontrollera att de inte innehåller någon specifik information om till exempel urvalsprocessen, adresslistor eller e-postadresser och att det inte finns några tillgängliga kodnycklar. Se också till att eventuella metodbeskrivningar och metadata inte innehåller information som direkt eller indirekt gör det möjligt att identifiera en forskningsperson.

Säkerställ att de åtgärder du tillämpat faktiskt skyddar forskningspersonernas identitet. Testa om du med rimliga medel kan identifiera enskilda individer i dina data. Kontrollera att det inte finns några kompletterande datakällor som kan användas för bakvägsidentifiering.

Dokumentera hur du har kodat om eller på annat sätt förändrat variabler och information i datamängden. Om du använder ett statistikprogram med skript (se punkt 1) fungerar själva skriptet som en kodbok.

Om du redan i insamlingsfasen vet att du vill göra forskningsdata öppet tillgängliga bör du fundera noga på vilka uppgifter du planerar att samla in. Data med personuppgifter kan i de flesta fall inte göras öppet tillgängliga. Möjligheten att radera forskningsdata, inklusive insamlade personuppgifter, är i regel begränsade eftersom de behöver sparas så länge det inte finns ett gallringsbeslut (se avsnittet om juridik). För att besvara vissa forskningsfrågor kommer det vara nödvändigt att samla in personuppgifter medan det i andra fall inte är nödvändigt. Kom ihåg att personuppgifter inte bara är information som direkt kan identifiera en person utan även information som indirekt kan identifiera någon. Om du till exempel inte planerar att samla in direkta personuppgifter men vill samla in uppgifter om studiedeltagarnas ålder och inkomst så kan ett alternativ vara att samla in ålders- och inkomstuppgifter i form av intervaller snarare än specifika värden (t.ex. 18–29 år, 30–39 år, <20.000 kr, 20.001–30.000 kr) för att minimera risken för återidentifiering.

Du ska i princip alltid radera direkta identifierare (som namn, personnummer och e-post) från dataset som ska delas med personer utanför den egna organisationen. Kom dock ihåg att forskningsdata i regel är allmänna handlingar och därför inte får raderas utan ett gallringsbeslut (se avsnittet om juridik). 

När du tar bort direkta identifierare från dataset som ska delas med personer utanför den egna organisationen är det viktigt att komma ihåg att gå igenom eventuella fritextsvar. Ibland hanteras den typen av information som en separat bilaga till kvantitativa datafiler, vilket innebär att det finns en risk att förbise direkt identifierande information. Det är exempelvis inte ovanligt att fritextsvar som uppmanar forskningspersoner att ge feedback på en undersökning avslutas med en hälsning där forskningspersonen kan lämna namn, e-postadress eller telefonnummer för att kunna bli kontaktade av forskaren. En annan fallgrop vid delning av data kan vara att man av misstag får med direkt identifierande information i dokumentationen, som urvalsprocess, bortfallsanalys och metodbeskrivning.

En av de vanligaste metoderna för att anonymisera data är att koda om värden på variabler för att skapa bredare kategorier eller intervaller. Genom att generalisera och aggregera värden för specifika variabler kan man kraftigt reducera risken för bakvägsidentifiering i en datamängd. Vanligtvis börjar man med att koda om indirekta identifierare som exempelvis ålder, inkomst och yrke eller geografiska variabler som boendekommun. 

Det kan vara svårt att aggregera extrema värden (låga eller höga) i samma kategorier som övriga data. I sådana fall kan man använda sig av så kallad topp- eller botten-kodning genom att ersätta de extrema värdena med ett tröskelvärde.  Ett exempel kan vara att skapa en ålderskategori med etiketten ”65 år eller äldre” eller ”18 år eller yngre”.

Hur du kodar om bakgrundsvariabler och indirekta identifierare beror på hur du ska använda dina data och vilka analyser du vill genomföra samt på hur öppet de behöver delas. En utgångspunkt är dock att utgå från etablerade klassifikationer och standarder. SCB:s klassifikationer och standarder är ett exempel på vägledning i hur du kan koda om dina variabler.

Den vanligaste metoden för att pseudonymisera fritextsvar är att koda om, radera eller byta ut identifierande information mot pseudonymer eller alias. Metoden följer i regel samma principer som när du pseudonymiserar kvalitativa data. Det kan exempelvis handla om namn, telefonnummer eller adress, boendekommun, anhöriga eller annan information om tredje part som i kombination med övriga data kan användas för att identifiera en enskild individ. Ett annat sätt är att koda om fritextsvar i olika kategorier som kan användas som frekvensmått eller statistiska analyser.  

En tumregel är att på förhand skapa ett genomtänkt och koherent system för hur du ändrar eller kodar informationen i fritextsvar, speciellt i större datamaterial och om du arbetar i ett projekt med flera forskare. Om du kodar om fritextsvar bör du upprätta en kodinstruktion med tydliga kategorier och kriterier.  

Om du byter ut information mot pseudonymer eller alias kan du använda exempelvis [hakparenteser] för att markera den information som har ändrats. Dokumentera ändringarna i någon form av kodbok så att du lätt kan orientera dig i det pseudonymiserade materialet. Radera information som inte är relevant för din forskningsfråga.

K-anonymitet är ett statistiskt koncept och en metod för att utvärdera hur väl du har pseudonymiserat ett kvantitativt dataset strukturerat i tabellform. Metoden ger ett mått på hur många individer i data som delar samma attribut eller egenskaper. Detta ger en indikation på hur hög risken är att enskilda individer kan återidentifieras i ett dataset.

När du kodar om bakgrundsvariabler i data grupperar du individer i samma kategori eller intervall. Grovt förenklat kan man säga att du skapar ”datatvillingar” som får samma attribut och därför blir mer eller mindre oskiljbara. K-anonymitet ger ett mått på hur många individer i en grupp som delar samma attribut, det vill säga hur många datatvillingar ett dataset innehåller. Som exempel innebär k=10 att det finns minst tio individer i varje grupp med samma variabelkombination i datasetet. Ju högre k-värde, desto fler personer delar samma egenskaper, vilket ger en lägre sannolikhet att en enskild person kan särskiljas ur mängden.

Hur högt ett k-värde bör vara för ett specifikt dataset beror helt på innehållet, hur lätt det är att länka till kompletterande datakällor och hur känslig informationen i data är. Även om man lite förenklat kan säga att ett högt k-värde tyder på ett bättre skydd innebär det i regel också större informationsförlust. Det är därför viktigt att komma ihåg att k-anonymitet endast är en av flera metoder du bör överväga när du pseudonymiserar data.

Det finns flera digitala verktyg för att beräkna k-anonymitet, och vi har samlat några av dem i avsnittet Verktyg. Du kan också beräkna k-anonymitet direkt i ett statistikprogram. Videon nedan går igenom hur du kan räkna på k-anonymitet i statistikprogrammen R och Stata.

Brustillägg innebär att man lägger till slumpmässig variation i data för att göra det svårare att identifiera enskilda individer. Man kan lägga till brus eller variation på en rad olika sätt, till exempel genom att slumpmässigt ändra värden för vissa egenskaper eller genom att byta plats på individer i datamängden. Detta gör det svårare att relatera data till enskilda individer, vilket minskar risken för återidentifiering.

Permutation är en form av brustillägg men istället för att slumpmässigt ändra attribut byter man ut värden inom vissa variabler mot andra värden inom samma dataset. När man använder sig av permutation slumpar man alltså inte fram nya värden utan kastar om befintliga värden inom en kolumn i ett kvantitativt dataset i tabellformat. Permutation används därför ofta när man vill bevara den underliggande distributionen i ett dataset. Genom att byta värden inom en variabel (kolumn i datasetet) förändras inte variationen eller fördelningen i datasetet, men korrelationen mellan variabeln och den specifika individen bryts.  

Permutation bör i regel endast användas för variabler som inte är starkt korrelerade, om du vill undvika alltför stor informationsförlust. Till exempel i en situation där två attribut, som inkomst och yrke, har en stark korrelation och ett av dem behöver pseudonymiseras. Då bör du överväga att använda någon annan pseudonymiseringsteknik.

Differentiell integritet tillhör gruppen brustillägg och används bland annat som en metod för att räkna på balansen mellan integritet och informationsförlust. Principen är egentligen densamma som för brustillägg, det vill säga du lägger till slumpmässig variation i svarsdata, vilket gör det svårt eller omöjligt att koppla specifika svar till en enskild person. Skillnaden mellan differentiell integritet och brustillägg i allmänhet kan lite förenklat sägas vara i vilken skala man tillämpar det.  

Differentiell integritet kan liknas vid att singla slant. I ett forskningsdatasammanhang kan man väldigt förenklat säga att differentiell integritet bygger på att respondenternas svar slumpas enligt logiken i figuren nedan. Detta kan låta märkligt men om datamängden är tillräckligt stor jämnar potentiella snedfördelningar ut sig och data kan användas för att göra realistiska prediktioner trots att svaren är helt slumpmässigt fördelade.

Differentiell integritet används vanligtvis bara på mycket stora datamängder (”big data”) där den tillagda slumpmässigheten jämnas ut tack vare det stora antalet observationer. Fördelen med differentiell integritet är att du, om datamängden är tillräckligt stor, fortfarande kan göra realistiska analyser och prediktioner på datamaterialet samtidigt som du bibehåller en hög nivå av integritetsskydd. Differentiell integritet fungerar dock inte på små datamängder eftersom slumpmässiga förändringar i sådana data kan påverka analysresultaten avsevärt.

Läs mer om differentiell integritet och hur metoden kan tillämpas i praktiken med Python-kod: A differential privacy example for beginners.