Lyssna på den här sidan Lyssna

|  Textstorlek: Minska textstorleken Öka textstorleken   |  Kontakta oss  |  English

Till vetenskapsrådets webbplatsTill Uppsala universitets webbplats

Personuppgifter

Forskning har ibland persondata som föremål för forskning. T.ex. i longitudinella studier sker forskningen över en längre tid - uppemot trettio år är inte ovanligt - och är inriktad på att följa sådant som förändringar vad gäller hälsa, sociala förändringar etc. för skilda befolkningsgrupper för att t.ex. få kunskaper om hur skilda arbetsförhållanden påverkar oss på längre sikt. För annan forskning är inte persondata det väsentliga men då forskningen utförs på eller med människor får det som konsekvens att sådana data hanteras. De personuppgifter som hanteras kan vara av känslig art. Därigenom riskerar forskningen kränka de registrerades integritet.

Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en levande enskild fysisk person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas alltså som personuppgifter. Lägg märke till att också kodade uppgifter är att betrakta som personuppgifter så länge en kodnyckel existerar.

Den svenska myndighet som har tillsyn över personuppgiftsfrågor är Datainspektionen (som snart kommer heta Integritetsskyddsmyndigheten)

Sverige och EU

De lagar som i Sverige reglerar hanteringen av personuppgifter är i första hand EU:s generella dataskyddsförordning (2016/679), GDPR, som började tillämpas den 25 maj 2018. Det har föreslagits en ny forskningsdatalag för att anpassa svenska regelverket. Redan har Article 29 Data Protection Working Party presenterat bland annat Guidelines on Consent under Regulation 2016/679. GDPR kompletteras av offentlighets- och sekretesslagen, offentlighets- och sekretessförordningen, och tryckfrihetsförordningen. För hälso- och sjukvården gäller lagen om hälsodataregister och patientdatalagen.

En ny lag som gäller forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt ger från 1 december 2013 statliga universitet och högskolor möjlighet att få skapa registerunderlag för forskningsprojekt, om de som ger registerdata har gett sitt aktiva samtycke. Anonymiserade personuppgifter kan sedan lämnas ut till konkreta och av etiknämnd godkända forskningsprojekt (bakgrunden till de nya reglerna är osäkerheten kring Karolinska institutets forskningsprojekt Lifegene som stoppades av Datainspektionen). Regeringen har tillsatt en utredning om registerforskning och den nya lagen gäller därför bara till och med den 31 december 2015, senare förlängt till 31 december 2017. Den har sommaren 2017 föreslagits fortsätta att gälla till och med den 31 december 2020 (Fortsatt giltighet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa).

GDPR och forskning

Medan regler om sekretess reglerar när uppgifter får lämnas ut så reglerar dataskyddsförordningen hur uppgifter hanteras (behandlas). De registrerade ska informeras om vilka uppgifter om dem som behandlas. Den som lämnar uppgifter till ett personregister upprättat för forskningsändamål har vidare rätt att få ta del av uppgifterna som gäller den egna personen. Om man kan identifieras - register kan också vara anonyma - har man även rätt att få felaktiga eller ofullständiga uppgifter korrigerade respektive kompletterade. Detta bör forskaren upplysa uppgiftslämnaren om. GDPR talar bland annat om dessa grundläggande principer för all personuppgiftshantering som då även gäller för forskning. De som behandlar personuppgifter

För behandling av personuppgifter fordras enligt huvudregeln samtycke från den person uppgifterna gäller, men undantag från samtyckeskravet kan medges för vissa s.k. nödvändiga behandlingar. En behandling kan bl.a. anses nödvändig om den rör en arbetsuppgift av allmänt intresse, såsom för forskning, statistik och arkivändamål. Avser behandlingen s.k. känsliga uppgifter - dvs. uppgifter om ras eller etniskt ursprung,  politiska åsikter,  religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter som rör hälsa eller sexualliv, genetiska uppgifter och biometriska uppgifter för identifikationsändamå - uppställs krav på godkännande av en forskningsetisk nämnd. Den bedömmer forskningen utifrån etikprövningslagen, som bland annat stadgar att forskning får godkännas bara om den kan utföras med respekt för människovärdet, att mänskliga rättigheter och grundläggande friheter alltid skall beaktas samt att människors välfärd skall ges företräde framför samhällets och vetenskapens behov. Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. GDPR jämställer personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder med känsliga personuppgifter, liksom PuL gjorde. 

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter kallas personuppgiftsansvarig (i regel en organisation), medan den fysiska person som förordnas av den personuppgiftsansvarige till att se till att personuppgifter behandlas på ett korrekt och lagligt sätt kallas dataskyddsombud.

Sekretess

En förutsättning för att personuppgifter från exempelvis patientjournaler skall kunna lämnas ut för forskningsändamål är alltså att utlämnandet är förenligt med relevanta bestämmelser om sekretess m.m. Har man samtycke från dem uppgifterna berör så trumfar det alltid regler om sekretess.

Inom hälso- och sjukvård gäller sekretess för uppgifter om enskildas hälsotillstånd och andra personliga förhållanden, så länge det inte klart framgår att sekretessen kan röjas utan att en enskild eller dennes närstående lider men av detta. När det ska avgöras om en patient lider men är den enskildes subjektiva upplevelse av stor vikt. Sekretess är alltså ett slags tystnadsplikt i det allmännas verksamhet för dem som har tillgång till uppgifter som kan skada patienter (eller rikets säkerhet, det allmännas ekonomiska intresse m.m.). Innebörden är att utomstående inte skall få ta del av de uppgifter som är under sekretess. Ett sådant förbud att röja uppgift gäller vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt. Mellan två myndigheter råder enligt huvudregeln sekretess på samma sätt som mellan myndigheter och enskilda.

Från detta finns dock flera undantag. För forskningsändamål kan uppgifter från hälso- och sjukvården lämnas ut med förbehåll. Som anställd vid annan myndighet kan även den sekretess som gäller vid utlämnande myndighet tas över. Om uppgiften som efterfrågas anses vara belagd med sekretess och därför inte lämnas ut har forskaren rätt att få beslutet prövat. Först vänder man sig till handläggande arkivarie. Därefter fattar stadsarkivarien ett formellt beslut innehållande en motivering. Överklagande görs till Kammarrätten som är sista instans. Journaler som är äldre än 70 år omfattas dock inte av sekretess och är således tillgängliga för alla som vill ta del av dem.

När forskning bedrivs talar offentlighets- och sekretesslagen om att uppgifter om enskildas förhållande i utgångsläget skall lyda under sekretess vid medicinska, beteendevetenskapliga och samhällsvetenskapliga studier. I anslutning till lagregeln (se 7 § offentlighets- och sekretessförordningen, SFS 2009:641), gäller sekretess för uppgift om enskildas personliga förhållanden vid utbildningsanstalter och forskningsinrättningar för medicinska studier samt beteendevetenskapliga och samhällsvetenskapliga studier. Det är också så att får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Det finns även en generell bestämmelse om sekretess vid statistikframtagande. En särskild bestämmelse om sekretessskydd rör dialektologiska och etnologiska upptagningar som som har gjorts eller anskaffats för vetenskapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs. Alla dessa bestämmelser avser offentlig forskning, inte privat sådan.

Allmänna och offentliga handlingar

Det hör till god forskningssed att lämna ut grundmaterial för andra forskares granskning, exempelvis vid disputationer och referee-granskning av ansökningar och artiklar. Vidare är forskande myndigheters handlingar ofta allmänna och kan därigenom bli offentliga (offentlighetsprincipen) i de fall sekretess inte råder. Detta begrepp definieras i 2 kap. 3 § tryckfrihetsförordningen. Av särskilt intresse är när en handling anses upprättad vid myndigheten. Hänför sig handlingen inte till något speciellt ärende anses den upprättad när den har justerats av myndigheten eller helt enkelt har färdigställts på något annat sätt. Till denna sistnämnda kategori kan man många gånger hänföra handlingar som tillkommer vid forskning, t.ex. färdiga provanalyser, framkallade fotografier eller audiovisuella upptagningar. För vissa typer av handlingar, t.ex. dagböcker, register eller andra förteckningar som förs fortlöpande, gäller att de anses upprättade när handlingen har färdigställts för anteckning eller införande. Varje ny anteckning som förs in blir sedan direkt en del av den allmänna handlingen. All forskning – pågående eller avslutad – vid universiteten är underkastad reglerna om allmänna handlingars offentlighet. Det innebär att material som förekommer i löpande projekt – journaler, enkätsvar, provsvar, av forskaren nedtecknade svar på muntliga frågor etc – ofta anses utgöra allmänna handlingar. Dessa ordningar svarar mot exempelvis anslagsgivares, patienters och allmänhetens intresse av insyn och möjlighet till kontroll.

Problem kan uppstå då forskare ger löften om fullständig konfidentialitet, något som alltså inte är oproblematiskt genomförbart. En patient/försöksperson bör informeras om att deras uppgifter är skyddade men också om de grunder för utlämnande som kan komma att bli aktuella. I ett överklagandeärende till centrala etikprövningsnämnden (CEPN) gick nämnden emot den regionala etikprövningsnämnden och godkände ett projekt för vilket den regionala nämnden krävt att sekretess utlovas till deltagare. Istället skall informationen till deltagare innehålla: "Dina svar och dina resultat kommer att behandlas så att inga obehöriga kan ta del av dem". CEPNs beslut är prejudicerande (Dnr Ö 5-2004). Till sådana som kan vara behöriga hör granskare vid tidskrifter eller vid en disputation, personer med uppdrag att utreda oredlighet, eller andra forskare som vill nyttja materialet för vidare forskning. En ordning för hur utlämnande bör gå till samtidigt som konfidentialiteten skyddas har föreslagits i artikeln 'Preparing raw clinical data for publication: guidance for journal editors, authors, and peer reviewers'.

USA & internationella regler

Ifall forskningssamarbete sker med USA kan det hända att frågan om att inhämta ett Certificates of Confidentiality kommer upp. Dessa skall skydda konfidentialiteten genom att förhindra att uppgifter framtagna inom forskning kommer till användning i rättstvister. De ges av U.S. Department of Health and Human Services och gäller sådan information som "could have adverse consequences or damage subjects' financial standing, employability, insurability, or reputation". I den federala lagstiftningen sägs att "persons engaged in biomedical, behavioral, clinical, or other research … may not be compelled in any Federal, State, or local civil, criminal, administrative, legislative, or other proceedings to identify such individuals".

Senast uppdaterad: 2018-09-17

Regler & riktlinjer

Se vidare

CODEX, Centrum för forsknings- & bioetik, BMC, Husarg. 3, Uppsala | Webbansvarig | Om webbplatsen