Gå till huvudinnehållet

Forskningsdata: Juridiska och etiska frågor

Guiden är avsedd att stöda forskare vid Åbo Akademi med frågor om forskningsdata.

Personuppgifter - vad är det?

Begreppet "personuppgifter" är omfattande, och vidgades ytterligare i och med GDPR (maj 2018). Där ingår vilken som helst uppgift som kan förbindas med en levande person. En del av uppgifterna är känsliga. Det är viktigt att planera hanteringen av personuppgifter redan innan ett forskningsprojekt inleds.

  • Namn, e-post med namnet i, socialskyddssignum, fotografi, röst- eller biometrisk identifikation (iris, fingeravtryck) är direkta identifikationsuppgifter. En kombination av indirekta identifikationsuppgifter kan också göra en person igenkännbar.
  • Yrke och arbetsplats kan vara information som inte identifierar en person direkt utan indirekt, ifall flera sådana uppgifter kombineras.Hit räknas också adress, ip-adress, telefonnummer, kön och poster som ordförande. En uttömmande katalog kan inte skapas eftersom all information som kan förbindas med en naturlig person kan fungera som personuppgift. 
  • Särskilda personuppgifter är uppgifter om etniskt ursprung, politiska åsikter, hälsa, religiös eller filosofisk övertygelse, hälsa, sexualliv, genetiska uppgifter, biometrisk entydigt identifierande information.

Personuppgifter inom forskning kräver planering och förhandsåtgärder

Insamling, förvaring, användning, överföring och överlåtelse av personuppgifter räknas som behandling av personuppgifter. Sådana uppgifter får inte

En utgångspunkt är att man minimerar hanteringen av personuppgifter i den mån det är möjligt. Därtill kräver sådana uppgifter kräver ofta åtgärder som:

  • pseudonymisering eller anonymisering
  • kryptering av hårdskivan om du använder bärbar dator (ta kontakt med helpdesk, för Mac, använd t.ex. FileVault).
  • ​dokumentation/plan för ansvarsfull hantering innan hanteringen påbörjas
  • tydlig information om hanteringen och risker, sammanställd så att den registrerade (den vars uppgifter hanteras) kan få tillgång till den

Dataskyddsmeddelande

  • Använd mallen för dataskyddsmeddelanden på ÅA:s intranät: Dataskyddsblanketter. Med hjälp av mallen sammanställer du den information som alltid ska ges till de berörda personerna när man behandlar deras personuppgifter (lagstadgat obligatoriskt enligt GDPR). När du använder mallen kommer du – samtidigt, utan dubbelarbete – att sköta din del av ansvaret för att registrera samlingar med personuppgifter vid Åbo Akademi. 
 
Annan känslig information
  • Sekretesskänslig information som försvarsmaktens data eller sådana som har biosäkerhetsaspekter
  • Biodiversitetsinformation om t.ex. utrotningshotade arter - Läs mera på Laji.fi
  • Data insamlad från sociala medier kräver eftertanke - Läs här på sidan om ansvarsfull vetenskap
 

AI-verktyg för transkribering och forskning

Med vissa restriktioner kan AI-verktyg för forskning användas till exempel för att underlätta läsning och skrivande utan att orsaka dataskyddsproblem. AI-verktyg för transkribering kan vara frestande för forskare för att spara tid. Att använda AI i forskning är dock både en fråga om ansvarsfull forskning, dataskydd och datakvalitet. Kvaliteten på AI-transkriptioner eller AI-översättningar måste kontrolleras noggrant. Som forskare ansvarar du för att bedöma risknivån på dina forskningsdata. Tänk igenom och identifiera de data du bearbetar och välj därför forskningsverktyg som ger rätt säkerhetsnivå. Du måste också tänka på vad du lovar dina forskningspersoner. Att transkribera intervjuer innebär alltid behandling av personuppgifter eftersom en persons röst är en personuppgift. Dessutom handlar intervjuer ofta om känsliga uppgifter. Det som verkligen har betydelse ur ett dataskyddsperspektiv är var databehandlingen görs och vilka parter som är inblandade. När du laddar upp intervjuljudfiler till en app eller molntjänst för AI-transkribering, eller något annat ändamål, anlitar du egentligen ett personuppgiftsbiträde. Då ansvarar du för att kontrollera att allt som ingår i tjänstens servicevillkor efterlever GDPR. Det handlar bl.a. om att ha ett giltigt avtal om personuppgiftshantering och att inte tillåta att tjänsten använder ditt material för andra ändamål än ditt vetenskapliga forskningsändamål. AI-transkriberingsverktyg innebär också ofta att personuppgifter överförs utanför EU via en molntjänst. Även om europeiska tjänsteleverantörer intygar att de är engagerade i dataskydd och efterlevnad av GDPR, använder de ofta underprocessorer utanför EU. Det är alltid dataägarens ansvar att göra en efterlevnadskontroll och tillräcklig riskbedömning. När du som forskare bedömer lämpligheten av specifika verktyg behöver du ta hänsyn till dataskydd samt andra lagar och avtal, till exempel immateriella rättigheter och upphovsrättsliga frågor.

Säker användning av AI-verktyg i en universitetsmiljö

Flödesschemat presenterar en förenklad beslutsprocess om huruvida ett AI-verktyg ska användas i forskning. Källa: Michel Rouleau-Dick, Lise Eriksson, Anna-Maria Nordman, Jan Wennström, Dionysia Kang, Matti Karinen, Kalypso Filippou, & Victor Popescu. (2023). Safe use of AI Tools in a university environment. Zenodo. https://doi.org/10.5281/zenodo.8250395 CC BY 4.0Flödesschemat presenterar en förenklad beslutsprocess om huruvida ett AI-verktyg ska användas i forskning.

Anonymisering och pseudonymisering

Pseudonymisering är när uppgifter behandlas så att de inte längre kan kopplas till en viss person så att de kan återidentifieras t.ex. med hjälp av en kodnyckel.

Anonymisering är när personuppgifter tas bort eller behandlas så att uppgifter om en enskild person inte kan urskiljas, och inte återställas.

Läs mera på:

Forskningsetiskt utlåtande

En del forskning kräver en etisk förhandsprövning som görs av Forskningsetiska nämnden (FEN) vid Åbo Akademi. Vid etisk förhandsprövning granskas också hur forskaren planerar att hantera sina forskningsdata.

Läs mer på intranätet (inloggning krävs) > Etisk förhandsprövning