Personuppgifter

Personuppgifter är information som direkt eller indirekt kan knytas till en nu levande fysisk person.  

Direkta personuppgifter är information som tydligt identifierar en person, till exempel namn, foto, filmer eller personnummer.

Indirekta personuppgifter är information som inte ensam är tillräcklig för att identifiera en fysisk person, men som i kombination med annan information kan användas för att identifiera en person. Det kan exempelvis handla om bostadsadress, medlemskap i en viss förening, IP-adress eller registreringsskylt för fordon.  

Notera att det inte alltid är uppenbart vad som utgör indirekta personuppgifter. Om det handlar om en liten ort där det bara finns en person som har ett visst yrke kan uppgifter om bostadsort och yrke vara tillräcklig information för att identifiera en person som deltar i ett forskningsprojekt. Att identifiera individer genom att kombinera information på det här sättet kallas för bakvägsidentifiering. 

För att få behandla personuppgifter i enlighet med den allmänna dataskyddsförordningen (GDPR) måste det finnas en rättslig grund för behandlingen (artikel 6 i dataskyddsförordningen). När det gäller den rättsliga grunden att hantera personuppgifter i forskningsdata är den nästan alltid allmänt intresse.

Känsliga personuppgifter 

En särskild kategori av personuppgifter är så kallade känsliga personuppgifter. Det är information om: 

  • etniskt ursprung 
  • politiska åsikter 
  • religiös eller filosofisk övertygelse 
  • medlemskap i fackförening 
  • uppgifter om hälsa, sexualliv eller sexuell läggning 
  • genetiska uppgifter 
  • biometriska uppgifter som entydigt identifierar en person 
  • uppgifter om straff, brott eller sanktionsåtgärder

Känsliga personuppgifter omfattas av särskilda bestämmelser i Dataskyddsförordningen. Utgångspunkten är att behandling av känsliga personuppgifter är förbjuden, men det finns undantag. Behandlingen måste utöver att vila på en rättslig grund även omfattas av någon av undantagssituationerna i artikel 9 för att vara tillåten enligt någon av de rättsliga grunderna i Dataskyddsförordningen.

Ytterligare krav tillkommer på godkänd etikprövning och lämpliga skyddsåtgärder. En sådan skyddsåtgärd är pseudonymisering av personuppgifter.

Pseudonymisering och anonymisering 

Pseudonymisering innebär att ersätta uppgifter som direkt identifierar en person, som namn och personnummer, med koder. Då skapas också en kodnyckel där personuppgifterna och koderna kopplas ihop. Kodnyckeln måste förvaras säkert, åtskild från de forskningsdata den gäller, och vara tillgänglig enbart för behöriga personer. Så länge kodnyckeln finns kvar – oavsett var eller hos vem – är det möjligt att koppla uppgifterna till en specifik individ. Det innebär att pseudonymiserade data fortfarande är personuppgifter och omfattas av dataskyddsförordningen. 

Om kodnyckeln och alla uppgifter som direkt eller indirekt kan identifiera en individ raderas så att det inte längre är möjligt att koppla uppgifterna till en individ så har du avidentifierat, eller anonymiserat, materialet så att det inte kan identifiera någon. Då är det inte längre fråga om personuppgifter och Dataskyddsförordningen gäller inte. 

Som forskare får du i regel inte radera kodnyckeln eller andra identifierare eftersom de är handlingar som måste arkiveras, men registerutdrag eller data levererade av undersökningsföretag kan anonymiseras.

Bakvägsidentifiering  

Data som ska göras tillgängliga behöver kontrolleras så att de inte innehåller information som riskerar att röja de individer som har deltagit i studien. Bakvägsidentifiering är när någon kombinerar olika indirekta identifierare i data, som uppgifter om yrke, kommun och ålder, och på så sätt identifierar en person. Indirekta identifierare kan kombineras inom ett dataset, men även genom att uppgifter från originaldatasetet kombineras med kompletterande datakällor, som registerdata eller data från sociala medier. Det går att minska risken för bakvägsidentifiering genom att använda större intervall för ålder och inkomst snarare än numeriska värden, eller ange kommun som geografisk information snarare än GPS-koordinater för en adress. Vilka indirekta identifierare som behöver kodas om varierar mellan olika projekt, eftersom risken för bakvägsidentifiering beror på vilken typ av data som samlats in.

Lagring av personuppgifter 

Precis som andra forskningsdata ska data med personuppgifter lagras säkert utifrån sin informationsklass. Dataskyddsförordningen ställer krav på att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Tekniska säkerhetsåtgärder är till exempel kryptering, virusskydd och brandväggar som ska förhindra att obehöriga tar del av informationen. Organisatoriska säkerhetsåtgärder kan vara behörighetsbegränsningar, uppföljning av behörigheter när anställda slutar på en arbetsplats och krav på regelbundet återkommande utbildningar inom informationssäkerhet. Det kan även handla om att säkerställa att alla anställda följer framtagna rutiner för behandling av personuppgifter.