Forskningsdata: Konfidentiella data och personuppgifter

Begreppet "personuppgifter" är omfattande, och vidgades ytterligare i och med GDPR (maj 2018). Där ingår vilken som helst uppgift som kan förbindas med en levande person. En del av uppgifterna är känsliga. Det är viktigt att planera hanteringen av personuppgifter redan innan ett forskningsprojekt inleds. Läs mer om dataskydd på ÅA:s intranät. 

• Namn, e-post med namnet i, socialskyddssignum, fotografi, röst- eller biometrisk identifikation (iris, fingeravtryck) är direkta identifikationsuppgifter. En kombination av indirekta identifikationsuppgifter kan också göra en person igenkännbar.
• Yrke och arbetsplats kan vara information som inte identifierar en person direkt utan indirekt, ifall flera sådana uppgifter kombineras. Hit räknas också adress, ip-adress, telefonnummer, kön och roll som ordförande. En uttömmande katalog kan inte skapas eftersom all information som kan förbindas med en naturlig person kan fungera som personuppgift. 
• Särskilda personuppgifter är uppgifter om etniskt ursprung, politiska åsikter, hälsa, religiös eller filosofisk övertygelse, hälsa, sexualliv, genetiska uppgifter, biometrisk entydigt identifierande information.

Personuppgifter inom forskning kräver planering och förhandsåtgärder

Insamling, förvaring, användning, överföring och överlåtelse av personuppgifter räknas som behandling av personuppgifter. Sådana uppgifter får inte

• förvaras så att obehöriga kan komma över dem
• samlas in i eller överföras till externa tjänster med olämplig datahanteringspolicy (som molntjänster för privat bruk under allmänna konsumentavtal, t.ex. Dropbox, Google Drive och OneDrive). Anvisningar om var olika typer av information kan lagras finns i ÅA:s Anvisning för lagring och hantering av information vid Åbo Akademi [PDF]. Översikt i hanteringsmatrisen [PDF]. Läs mer också på Verktyg och tjänster för lagring och delning.
• samlas in eller hanteras utan samtycke eller annan laglig grund

En utgångspunkt är att man minimerar hanteringen av personuppgifter i den mån det är möjligt. Därtill kräver sådana uppgifter kräver ofta åtgärder som:

• pseudonymisering eller anonymisering
• kryptering av hårdskivan om du använder bärbar dator (ta kontakt med helpdesk, för Mac, använd t.ex. FileVault).
• ​dokumentation/plan för ansvarsfull hantering innan hanteringen påbörjas
• tydlig information om hanteringen och risker, sammanställd så att den registrerade (den vars uppgifter hanteras) kan få tillgång till den

Dataskyddsmeddelande

• Använd mallen för dataskyddsmeddelanden på ÅA:s intranät: Dataskyddsblanketter. Med hjälp av mallen sammanställer du den information som alltid ska ges till de berörda personerna när man behandlar deras personuppgifter (lagstadgat obligatoriskt enligt GDPR). När du använder mallen kommer du – samtidigt, utan dubbelarbete – att sköta din del av ansvaret för att registrera samlingar med personuppgifter vid Åbo Akademi. 

• Data som är affärshemligheter (t.ex. innovationer som kan vara patenterbara)
• Data som omfattas av sekretessavtal
• Sekretesskänslig information som försvarsmaktens data eller sådana som har biosäkerhetsaspekter
• Biodiversitetsinformation om sensitiva artdata, till exempel uppgifter om utrotningshotade djur och växter, naturskydd eller biosäkerhet - Läs mera på Laji.fi
• Data insamlad från sociala medier kräver eftertanke - Läs här på sidan om ansvarsfull vetenskap och Finlands samhällsvetenskapliga dataarkivs guide för användning och arkivering av data från sociala medier. 

AI-verktyg för forskning kan med vissa restriktioner användas till exempel för att underlätta och försnabba läsning och skrivande utan att orsaka dataskyddsproblem. Att använda AI i forskning väcker dock frågor om ansvarsfull forskning, dataskydd och datakvalitet. Observera följande:

• ÅA rekommenderar Buzz Transcribe som en AI-programvara för att transkribera ljudinspelningar på ett säkert sätt genom lokal bearbetning på din dator (mer information på intranätet).
• Kvaliteten på AI-transkriptioner eller AI-översättningar måste kontrolleras noggrant. Som forskare ansvarar du för att bedöma risknivån på dina forskningsdata. Tänk igenom och identifiera de data du bearbetar och välj forskningsverktyg som ger rätt säkerhetsnivå. När du bedömer lämpligheten av specifika verktyg behöver du ta hänsyn till dataskydd samt andra lagar och avtal, till exempel immateriella rättigheter och upphovsrättsliga frågor. 
• Tänk på vad du lovar dina forskningspersoner och kontrollera att användningen av AI-verktyg inte motstrider det.
• Att transkribera intervjuer innebär alltid behandling av personuppgifter eftersom en persons röst är en personuppgift. Dessutom handlar intervjuer ofta om känsliga uppgifter. Det som verkligen har betydelse ur ett dataskyddsperspektiv är var och av vem databehandlingen görs. När du laddar upp intervjuljudfiler till en app eller molntjänst t.ex. för AI-transkribering anlitar du egentligen ett personuppgiftsbiträde. Då ansvarar du för att kontrollera att allt som ingår i tjänstens servicevillkor efterlever GDPR. Detta innefattar bl.a. att ha ett giltigt avtal om personuppgiftshantering och att inte tillåta att tjänsten använder ditt material för andra ändamål. Användningen av AI-transkriberingsverktyg innebär också ofta att personuppgifter överförs utanför EU via en molntjänst. Även om europeiska tjänsteleverantörer intygar att de är engagerade i dataskydd och efterlevnad av GDPR, använder de ofta underprocessorer utanför EU. Det är alltid dataägarens ansvar att göra en efterlevnadskontroll och tillräcklig riskbedömning. 

Flödesschemat presenterar en förenklad beslutsprocess om huruvida ett AI-verktyg ska användas i forskning. Källa: Michel Rouleau-Dick, Lise Eriksson, Anna-Maria Nordman, Jan Wennström, Dionysia Kang, Matti Karinen, Kalypso Filippou, & Victor Popescu. (2023). Safe use of AI Tools in a university environment. Zenodo. https://doi.org/10.5281/zenodo.8250395 CC BY 4.0

• Dataombudsmannens byrå: vetenskaplig forskning och dataskydd. Se också vanliga frågor om vetenskaplig forskning och dataskydd.
• Vastuullinentiede.fi: Använder du data från sociala medier i din forskning?

Pseudonymisering är när uppgifter behandlas så att de inte längre kan kopplas till en viss person så att de kan återidentifieras t.ex. med hjälp av en kodnyckel.

Anonymisering är när personuppgifter tas bort eller behandlas så att uppgifter om en enskild person inte kan urskiljas, och inte återställas.

• Amnesia, gratis anonymiseringsverktyg för forskningsdata

Läs mera på:

• Dataombudsmannens byrå: anonymiserade och pseudonymiserade uppgifter 
• FSD/Tietoarkistos guide för anonymisering och identifierande uppgifter

En del forskning kräver en etisk förhandsprövning som görs av Forskningsetiska nämnden (FEN) vid Åbo Akademi. Vid etisk förhandsprövning granskas också hur forskaren planerar att hantera sina forskningsdata.

Läs mer på intranätet (inloggning krävs) > Etisk förhandsprövning