Begreppsordlista

Personuppgifter är information som direkt eller indirekt kan knytas till och identifiera en levande fysisk person. Direkt identifierande uppgifter är till exempel namn, personnummer, e-postadresser och IP-adresser. Indirekt identifierande uppgifter är information som i sig inte är tillräcklig för att identifiera en fysisk person, men som kan leda till identifiering i kombination med annan information (t.ex. kombinationer av information om ålder, inkomst och kommun). Att identifiera enskilda individer på det här sättet kallas för bakvägsidentifiering.

Känsliga personuppgifter är information om: 

• etniskt ursprung 
• politiska åsikter 
• religiös eller filosofisk övertygelse 
• medlemskap i fackförening 
• uppgifter om hälsa, sexualliv eller sexuell läggning 
• genetiska uppgifter 
• biometriska uppgifter som entydigt identifierar en person.

För att få samla in data med och forska på känsliga personuppgifter krävs en godkänd etikprövning.

Läs mer om känsliga personuppgifter och etikprövning.

Personuppgiftsbehandling är all hantering av personuppgifter, till exempel när personuppgifter:.

• samlas in
• sparas
• publiceras
• lämnas ut
• lagras
• raderas

Personuppgifter samlas till exempel in i många intervjuer, enkätundersökningar och från olika register.

Pseudonymiserade forskningsdata är data som har behandlats så att uppgifter inte längre kan kopplas till en specifik individ utan användning av ytterligare information, till exempel en kodnyckel. Pseudonymisering är en viktig och effektiv skyddsåtgärd för att skydda forskningsdeltagares integritet. Pseudonymiserade forskningsdata räknas fortfarande som personuppgifter eftersom de kan kopplas till specifika individer om man har tillgång till kompletterande datakällor.

Anonymiserade forskningsdata, å andra sidan, är data som inte kan kopplas till en levande person, inte ens genom kompletterande datakällor. De är därför inte personuppgifter.

Att använda en kodnyckel innebär att man separerar direkta personuppgifter från forskningsdata genom att ersätta personuppgifterna av löpnummer eller motsvarande. Personuppgifterna och löpnumren kopplas sedan ihop i en separat förteckning som sparas på en annan plats än forskningsdata. På det här sättet kan data analyseras och tolkas utan att enskilda individer kan identifieras, så att forskningspersonernas integritet skyddas. Så länge det finns en kodnyckel är forskningsdata dock inte att betrakta som anonymiserade, utan pseudonymiserade, eftersom data kan kopplas till specifika individer om man har tillgång till kompletterande datakällor, som kodnyckeln. Därmed räknas data fortfarande som personuppgifter.

Bakvägsidentifiering är när olika indirekta identifierare i data kombineras, till exempel uppgifter om ålder, inkomst och kommun, och på så sätt kan identifiera en person. Indirekta identifierare kan kombineras inom ett originaldataset, men det kan också handla om att kombinera uppgifter från originaldatasetet med kompletterande datakällor, som registerdata eller information i sociala medier. Det går att minska risken för bakvägsidentifiering genom att till exempel koda om variabler så att ålder och inkomst anges i större intervall och geografisk plats anges i större områden.

En handling är allmän om den förvaras hos en myndighet och antingen är inkommen till eller upprättad hos en myndighet. Forskningsdata är i regel allmänna handlingar.

Läs mer om forskningsdata och allmänna handlingar.

En forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskning utförs. Forskningshuvudmannen har bland annat det övergripande ansvaret för att forskningen utförs i enlighet med god forskningssed. Det kan finnas flera forskningshuvudmän i ett och samma forskningsprojekt, exempelvis ett samarbetsprojekt med flera parter. Begreppet forskningshuvudman definieras i lag (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning och lag (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

En personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Den personuppgiftsansvarige ansvarar för hur forskningsdata med personuppgifter behandlas. I svensk statligt finansierad forskning är det nästan alltid forskningshuvudmannen, till exempel lärosätet, som är personuppgiftsansvarig.

Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Det kan även vara en annan aktör som hjälper till att samla in eller analysera forskningsdata, som en forskningsinfrastruktur eller ett företag. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation och har ett specifikt uppdrag att behandla personuppgifter åt den organisation som är personuppgiftsansvarig. Relationen mellan personuppgiftsansvarig och personuppgiftsbiträde ska alltid regleras av ett så kallat personuppgiftsbiträdesavtal.

När två lärosäten samarbetar i ett forskningsprojekt är den vanligaste fördelningen av ansvaret att respektive lärosäte är personuppgiftsansvarig för de uppgifter som hanteras av det egna lärosätet.

När den personuppgiftsansvarige är ett lärosäte eller en myndighet måste den utse ett dataskyddsombud. Dataskyddsombudet har till uppgift att informera om dataskyddsförordningen (GDPR), ge råd om personuppgiftsbehandling och kontrollera att alla i organisationen följer dataskyddsförordningen. Dataskyddsombudet är alltid inblandat vid konsekvensbedömningar av personuppgiftsbehandling och dataskydd och är kontaktperson gentemot Integritetsskyddsmyndigheten (IMY).

Statistisk röjandekontroll är en metod för att se till att uppgifter om enskilda individer inte ska gå att utläsa ur en datamängd. Inom statistisk röjandekontroll används också metoder för att beräkna risk för återidentifiering och informationsförluster i samband med anonymisering och pseudonymisering.

Läs mer: Handbok i statistisk röjandekontroll (pdf).

Kryptering är ett sätt att omvandla information till en kod eller ett chiffer som i sin kodade form inte kan utläsas som den faktiska informationen. Koden kan dekrypteras med hjälp av en krypteringsnyckel som kan förmedlas till mottagaren på olika sätt. Krypteringsalgoritmer kan variera från väldigt enkla som lätt kan brytas genom att pröva sig fram (till exempel ”flytta fram alla bokstäver tre positioner i alfabetet”) till sådana som är i princip omöjliga att bryta utan nyckeln, även med hjälp av superdatorer. För forskningsdata med personuppgifter kan kryptering ses som en pseudonymiseringsteknik, där de krypterade uppgifterna är pseudonymiserade och krypteringsnyckeln är den ytterligare information som behövs för att identifiera individer. Inom forskning används kryptering ofta för data som lagras och inte aktivt används.