Innan du börjar behandla personuppgifter för ett nytt forskningsändamål finns ett antal steg du behöver gå igenom för att kunna avgöra hur informationsmängden får hanteras. Med stöd av checklistan nedan kan du åtgärda risker innan de uppstår och välja lämpliga verktyg som informationen kan och får hanteras i.
Checklistan är framtagen utifrån de rättsliga krav som finns i bland annat dataskyddsförordningen (GDPR), etikprövningslagen (EPL), offentlighets- och sekretesslagen (OSL) och MSB:s föreskrifter. Dessa steg måste därför alltid passeras innan du påbörjar en ny personuppgiftsbehandling.
På denna sida är processen översiktligt beskriven tillsammans med länkar där du hittar mer information om vad som behöver göras. Det finns även information om vem du ska kontakta på Göteborgs universitet (GU) vid frågor om respektive steg i processen.
Denna checklista ska du som informationsägare (prefekt eller huvudansvarig forskare) använda för att kartlägga alla delar av den tilltänkta behandlingen. Detta för att du ska få en överblick över vilka system som informationen och personuppgifterna flödar mellan och vad som är kraven i respektive system.
Informationen på följande sidor kan vara bra att använda som stöd när du går igenom checklistan:
Lagringsalternativ för forskningsdata
OBS! Utöver checklistan måste du följa systemägarens instruktion för respektive system som du planerar att använda. Utgå därför från systemägarens bedömningar när du går igenom checklistan.
All dokumentation rörande ditt forskningsprojekt som tas upp i denna checklista behöver diarieföras. Du ska diarieföra dokumenten kontinuerligt varefter tröskelanalys, datahanteringsplan, etikansökan/godkännande och/eller avtal är upprättade.
Kontakta institutionens Gudoksamordnare eller administrativ chef för att få hjälp med diarieföringen.
All information som tas fram inom forskning behöver informationsklassifieras för att du som forskare ska kunna bedöma vilka digitala verktyg/tjänster som är lämpliga för ditt projekt. Börja därför med att informationsklassificera den data och de personuppgifter som du kommer att behandla. Stöd för detta finns under fliken "informationsklassning" på följande sida:
Informationsklassningen ska diarieföras.
En tröskelanalys innebär att du som forskare gör en inledande riskbedömning av den behandling av personuppgifter som du planerar att genomföra. Genomför en tröskelanalys där du beskriver behandlingen, identifierar ändamål och rättslig grund samt analyserar om potentiella eller faktiska risker finns för de registrerade personerna.
Tröskelanalysen är en översiktlig riskanalys som alla behöver genomföra oavsett omständigheter kring behandlingen samt oavsett hur mycket eller vilken typ av personuppgifter som ska behandlas.
Om du i tröskelanalysen konstaterat att det potentiellt kan föreligga en hög risk för de registrerade måste du även genomföra en konsekvensbedömning för att identifiera och åtgärda samtliga risker. Läs mer om detta i steg 6 i denna checklista.
Mall för tröskelanalys finns här:
Mall: Tröskelanalys för informationsägare inom forskning (uppdaterad 2023-09-08)
Behöver du stöd kan du kontakta Forskningsdatastöd.
Tröskelanalysen ska diarieföras.
En datahanteringsplan är ett bra sätt att översiktligt planera hur dina data ska hanteras genom forskningsprocessen och är ibland ett krav. Många internationella forskningsfinansiärer kräver idag att en ansökan ska innehålla en datahanteringsplan (Data Management Plan eller DMP på engelska). Vetenskapsrådet kräver också att forskare som beviljas bidrag tar fram en datahanteringsplan om forskningen genererar forskningsdata.
För den enskilde forskaren är datahanteringsplanen ett sätt att redan i ett tidigt skede tänka igenom upplägg, insamling och hantering av forskningsmaterialet: det vill säga hur forskningsmaterialet ska hanteras, organiseras, lagras, tillgängliggöras och bevaras under och efter forskningsprojektet. Göteborgs universitets rekommendation är därför att alltid upprätta en datahanteringsplan.
Utifrån beskrivningen av behandlingen och valet av arbetsverktyg och platser där data hanteras och lagras upprättar du en datahanteringsplan. Stöd för detta finns här:
Planera din forskningsdatahantering
Tänk på att varje fastställd version av din datahanteringsplan ska diarieföras.
Ska du bedriva forskning på människor, mänsklig vävnad, känsliga personuppgifter eller personuppgifter om lagöverträdelser behöver du skicka in en ansökan om etikprövning till Etikprövningsmyndigheten, EPM. Information och stöd om forskningsetik och etikprövning hittar du här:
Forskningsetik och etikprövningstillstånd
Forskningsetik Sahlgrenska akademin
Ansökan om etikprövningstillstånd, beslut om godkännande från Etikprövningsmyndigheten och eventuell komplettering ska diarieföras.
Detta steg ska göras om du i tröskelanalysen kommit fram till att en konsekvensbedömning behöver genomföras.
Konsekvensbedömningen (DPIA eller KB) görs för att identifiera, bedöma och hantera risker och sårbarheter för de registrerade forskningspersonerna, dig som forskare och Göteborgs universitet. Om du i tröskelanalysen konstaterat att det potentiellt kan föreligga en hög risk för de registrerade måste du genomföra en konsekvensbedömning för att identifiera och åtgärda samtliga risker.
Mallarna som ska användas vid en konsekvensbedömning heter ”Konsekvensbedömning vid personuppgiftsbehandling" och ”Riskanalys, objekt”. Den ena är ett word-dokument och den andra är ett excel-dokument och de ska användas tillsammans. Dokumenten hittar du här:
Mall: Konsekvensbedömning vid personuppgiftsbehandling (uppdaterad 2023-09-08)
Mall: Riskanalys objekt (uppdaterad 2022-04-22)
Behöver du stöd kan du kontakta Forskningsdatastöd.
Konsekvensbedömningen ska diarieföras.
Många forskningsprojekt görs med andra akademiska parter, företag eller tjänsteleverantörer. Det är vanligt att samarbetet behöver regleras i ett avtal, där man reglerar rätt till resultat samt rättsligt och ekonomiskt ansvar. Det finns flera olika typer av avtal beroende på vilket typ av samarbete det rör sig om. För frågor som rör avtal vänder du dig till affärsjurist på Forsknings- och innovationskontoret.
Om du har konstaterat att personuppgifter ska överföras till en annan extern part (exempelvis till en tjänsteleverantör eller till en samarbetspartner) behöver tjänsten eller samarbetet utöver det grundläggande avtalet regleras i ytterligare ett avtal rörande hur personuppgifterna ska behandlas hos parten.
Det gör du antingen med hjälp av mallen för personuppgiftsbiträdesavtal (PUBA), datadelningsavtal, standardavtalsklausuler (SCC) eller genom ett avtal om gemensamt personuppgiftsansvar. Typen av samarbete och vart uppgifterna ska överföras styr vilken typ av avtal som behöver upprättas. Ta kontakt med dataskydd@gu.se om du är osäker på vilken rollfördelning som gäller.
Avtalen ska diarieföras efter undertecknandet.
Rätten till information om hur ens personuppgifter behandlas är central inom GDPR. Du ska informera forskningspersonerna om den personuppgiftsbehandling som utförs inom ramen för projektet. Även etikprövningslagen ställer krav på att för att ett samtycke ska anses vara frivilligt (informerat samtycke) ska det föregås av utförlig information om projektet. Du behöver därför lämna information både om projektet som sådant och om själva behandlingen av personuppgifter som deltagande i projektet kommer att medföra.
Stöd för hur du gör detta finns här:
Både etikprövningslagen och GDPR ställer krav på att den enskilde ska informeras – man kan formulera det som att det råder ett dubbelt informationskrav. Vilken typ av information som ska lämnas till den enskilde skiljer sig lite åt och det är viktigt att båda informationskraven uppfylls. Vad du ska informera om ur GDPR-perspektiv kan du läsa om här:
Information till forskningspersoner (GDPR)
Generell information om i vilka fler situationer du måste informera de registrerade om personuppgiftsbehandlingen som utförs inom ramen för forskningsprojektet finns på följande sida:
Anmäl personuppgiftsbehandlingen till universitetets register i DraftIT. Efter det kan du påbörja personuppgiftsbehandlingen inom exempelvis projektet eller forskningen.
Mer information om hur du anmäler behandlingen till registret hittar du här:
Denna text är utskriven från följande webbsida:
https://medarbetarportalen.gu.se/Personuppgiftsbehandling/ny-behandling/checklista-forskning/?skipSSOCheck=true
Utskriftsdatum:
2024-03-29