Att hantera personuppgifter

Forskning har ibland persondata som föremål för forskning. T.ex. i longitudinella studier sker forskningen över en längre tid - uppemot trettio år är inte ovanligt - och är inriktad på att följa sådant som förändringar vad gäller hälsa, sociala förändringar etc. för skilda befolkningsgrupper för att t.ex. få kunskaper om hur skilda arbetsförhållanden påverkar oss på längre sikt. För annan forskning är inte persondata det väsentliga men då forskningen utförs på eller med människor får det som konsekvens att sådana data hanteras. De personuppgifter som hanteras kan vara av känslig art. Därigenom riskerar forskningen kränka de registrerades integritet. 

Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en levande enskild fysisk person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas alltså som personuppgifter. Lägg märke till att också kodade uppgifter är att betrakta som personuppgifter så länge en kodnyckel existerar.

Den svenska myndighet som har tillsyn över personuppgiftsfrågor är Integritetsskyddsmyndigheten

General Data Protection Regulation, GDPR

Den reglering som i Sverige reglerar hanteringen av personuppgifter är i första hand EU:s generella dataskyddsförordning (2016/679), GDPR, som började tillämpas den 25 maj 2018. Sedan har European Data Protection Board presenterat Riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679.

Medan regler om sekretess reglerar när uppgifter får lämnas ut så reglerar dataskyddsförordningen hur uppgifter hanteras (behandlas). De registrerade ska informeras om vilka uppgifter om dem som behandlas. Den som lämnar uppgifter till ett personregister upprättat för forskningsändamål har vidare rätt att få ta del av uppgifterna som gäller den egna personen. Om man kan identifieras - register kan också vara anonyma - har man även rätt att få felaktiga eller ofullständiga uppgifter korrigerade respektive kompletterade. Detta bör forskaren upplysa uppgiftslämnaren om. GDPR talar bland annat om dessa grundläggande principer för all personuppgiftshantering som då även gäller för forskning. De som behandlar personuppgifter

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är korrekta
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att och hur man lever upp till dataskyddsförordningen.

För behandling av personuppgifter fordras enligt huvudregeln samtycke från den person uppgifterna gäller, men undantag från samtyckeskravet kan medges för vissa s.k. nödvändiga behandlingar. En behandling kan bl.a. anses nödvändig om den rör en arbetsuppgift av allmänt intresse, såsom för forskning, statistik och arkivändamål. Avser sådan behandling s.k. känsliga uppgifter - dvs. uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter som rör hälsa eller sexualliv, genetiska uppgifter och biometriska uppgifter för identifikationsändamå - uppställs krav på godkännande av en forskningsetisk nämnd. Den bedömmer forskningen utifrån etikprövningslagen, som bland annat stadgar att forskning får godkännas bara om den kan utföras med respekt för människovärdet, att mänskliga rättigheter och grundläggande friheter alltid skall beaktas samt att människors välfärd skall ges företräde framför samhällets och vetenskapens behov. Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. GDPR jämställer personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder med känsliga personuppgifter. 

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter kallas personuppgiftsansvarig (i regel en organisation), medan den fysiska person som förordnas av den personuppgiftsansvarige till att se till att personuppgifter behandlas på ett korrekt och lagligt sätt kallas dataskyddsombud.

Sekretess

En förutsättning för att personuppgifter från exempelvis patientjournaler skall kunna lämnas ut för forskningsändamål är alltså att utlämnandet är förenligt med relevanta bestämmelser om sekretess m.m. Har man samtycke från dem uppgifterna berör så trumfar det alltid regler om sekretess.

Inom hälso- och sjukvård gäller sekretess för uppgifter om enskildas hälsotillstånd och andra personliga förhållanden, så länge det inte klart framgår att sekretessen kan röjas utan att en enskild eller dennes närstående lider men av detta. När det ska avgöras om en patient lider men är den enskildes subjektiva upplevelse av stor vikt. Sekretess är alltså ett slags tystnadsplikt i det allmännas verksamhet för dem som har tillgång till uppgifter som kan skada patienter (eller rikets säkerhet, det allmännas ekonomiska intresse m.m.). Innebörden är att utomstående inte skall få ta del av de uppgifter som är under sekretess. Ett sådant förbud att röja uppgift gäller vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt. Mellan två myndigheter råder enligt huvudregeln sekretess på samma sätt som mellan myndigheter och enskilda. 

Från detta finns dock flera undantag. För forskningsändamål kan uppgifter från hälso- och sjukvården lämnas ut med förbehåll. Som anställd vid annan myndighet kan även den sekretess som gäller vid utlämnande myndighet tas över. Om uppgiften som efterfrågas anses vara belagd med sekretess och därför inte lämnas ut har forskaren rätt att få beslutet prövat. Först vänder man sig till handläggande arkivarie. Därefter fattar stadsarkivarien ett formellt beslut innehållande en motivering. Överklagande görs till Kammarrätten som är sista instans. Journaler som är äldre än 70 år omfattas dock inte av sekretess och är således tillgängliga för alla som vill ta del av dem. 

När forskning bedrivs talar offentlighets- och sekretesslagen om att uppgifter om enskildas förhållande i utgångsläget skall lyda under sekretess vid medicinska, beteendevetenskapliga och samhällsvetenskapliga studier. I anslutning till lagregeln (se 7 § offentlighets- och sekretessförordningen, SFS 2009:641), gäller sekretess för uppgift om enskildas personliga förhållanden vid utbildningsanstalter och forskningsinrättningar för medicinska studier samt beteendevetenskapliga och samhällsvetenskapliga studier. Det är också så att får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Det finns även en generell bestämmelse om sekretess vid statistikframtagande. En särskild bestämmelse om sekretessskydd rör dialektologiska och etnologiska upptagningar som som har gjorts eller anskaffats för vetenskapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs. Alla dessa bestämmelser avser offentlig forskning, inte privat sådan.

ALLMÄNNA OCH OFFENTLIGA HANDLINGAR

Det hör till god forskningssed att lämna ut grundmaterial för andra forskares granskning, exempelvis vid disputationer och referee-granskning av ansökningar och artiklar. Vidare är forskande myndigheters handlingar ofta allmänna och kan därigenom bli offentliga (offentlighetsprincipen) i de fall sekretess inte råder. Detta begrepp definieras i 2 kap. 3 § tryckfrihetsförordningen. Av särskilt intresse är när en handling anses upprättad vid myndigheten. Hänför sig handlingen inte till något speciellt ärende anses den upprättad när den har justerats av myndigheten eller helt enkelt har färdigställts på något annat sätt. Till denna sistnämnda kategori kan man många gånger hänföra handlingar som tillkommer vid forskning, t.ex. färdiga provanalyser, framkallade fotografier eller audiovisuella upptagningar. För vissa typer av handlingar, t.ex. dagböcker, register eller andra förteckningar som förs fortlöpande, gäller att de anses upprättade när handlingen har färdigställts för anteckning eller införande. Varje ny anteckning som förs in blir sedan direkt en del av den allmänna handlingen. All forskning – pågående eller avslutad – vid universiteten är underkastad reglerna om allmänna handlingars offentlighet. Det innebär att material som förekommer i löpande projekt – journaler, enkätsvar, provsvar, av forskaren nedtecknade svar på muntliga frågor etc – ofta anses utgöra allmänna handlingar. Dessa ordningar svarar mot exempelvis anslagsgivares, patienters och allmänhetens intresse av insyn och möjlighet till kontroll. 

Problem kan uppstå då forskare ger löften om fullständig konfidentialitet, något som alltså inte är oproblematiskt genomförbart. En patient/försöksperson bör informeras om att deras uppgifter är skyddade men också om de grunder för utlämnande som kan komma att bli aktuella. I ett överklagandeärende till centrala etikprövningsnämnden (CEPN) gick nämnden emot den regionala etikprövningsnämnden och godkände ett projekt för vilket den regionala nämnden krävt att sekretess utlovas till deltagare. Istället skall informationen till deltagare innehålla: "Dina svar och dina resultat kommer att behandlas så att inga obehöriga kan ta del av dem". CEPNs beslut är prejudicerande (Dnr Ö 5-2004). Till sådana som kan vara behöriga hör granskare vid tidskrifter eller vid en disputation, personer med uppdrag att utreda oredlighet, eller andra forskare som vill nyttja materialet för vidare forskning.