Lyssna på den här sidan Lyssna

|  Textstorlek: Minska textstorleken Öka textstorleken   |  Kontakta oss  |  English

Till vetenskapsrådets webbplatsTill Uppsala universitets webbplats

Personuppgifter

Forskning har ibland persondata som föremål för forskning. T.ex. i longitudinella studier sker forskningen över en längre tid - uppemot trettio år är inte ovanligt - och är inriktad på att följa sådant som förändringar vad gäller hälsa, sociala förändringar etc. för skilda befolkningsgrupper för att t.ex. få kunskaper om hur skilda arbetsförhållanden påverkar oss på längre sikt. För annan forskning är inte persondata det väsentliga men då forskningen utförs på eller med människor får det som konsekvens att sådana data hanteras. De personuppgifter som hanteras kan vara av känslig art. Därigenom riskerar forskningen kränka de registrerades integritet.

Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en levande enskild fysisk person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas alltså som personuppgifter. Lägg märke till att också kodade uppgifter är att betrakta som personuppgifter så länge en kodnyckel existerar.

Sverige och EU

I Europa har Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter varit ledande för utvecklingen. Direktivet har underlättat flödet av personuppgifter mellan EU-länderna, men där krävs även att medlemsländerna endast skall överföra personuppgifter till så kallat tredjeland om detta land säkerställer en "adekvat" skyddsnivå för uppgifterna. De första fya länderna som ansågs ha uppnått en sådan skyddsnivå var Schweiz, Kanada, Ungern och USA. Det har sedan tillkommit en handfull länder. Det är också bl.a. tillåtet att föra över personuppgifter som enbart skall användas i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Enligt dataskyddsdirektivet kan det vara tillåtet för ett EU-land att föra över personuppgifter till ett land även om landet inte har en ”adekvat skyddsnivå” ifall den personuppgiftsansvarige (se nedan) kan garantera integritetsskyddet. I direktivets kölvatten har ett antal rekommendationer och tolkningar presenterats av EU:s Data Protection Working Party. Kommissionen har också utarbetat standardkontrakt för sådan överföring till tredje land.

De lagar som i Sverige reglerar hanteringen av personuppgifter är i första hand personuppgiftslagen (PuL) och -förordningen, kompletterade med datainspektionens myndighetsföreskrifter, men också offentlighets- och sekretesslagen, offentlighets- och sekretessförordningen, och tryckfrihetsförordningen är väsentliga. För hälso- och sjukvården gäller lagen om hälsodataregister och patientdatalagen. I anslutning till denna lag återfinns Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården. I Sverige har även Vetenskapsrådet publicerat ett policydokument om behandlingen av personuppgifter inom forskningen.

En ny lag som gäller forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt ger från 1 december 2013 statliga universitet och högskolor möjlighet att få skapa registerunderlag för forskningsprojekt, om de som ger registerdata har gett sitt aktiva samtycke. Anonymiserade personuppgifter kan sedan lämnas ut till konkreta och av etiknämnd godkända forskningsprojekt (bakgrunden till de nya reglerna är osäkerheten kring Karolinska institutets forskningsprojekt Lifegene som stoppades av Datainspektionen). Regeringen har tillsatt en utredning om registerforskning och den nya lagen gäller därför bara till och med den 31 december 2015.

Personuppgiftslagen

Medan regler om sekretess reglerar när uppgifter får lämnas ut så reglerar Personuppgiftslagen hur uppgifter hanteras (behandlas). Enligt PuL ska de registrerade informeras om vilka uppgifter om dem som behandlas. Den som lämnar uppgifter till ett personregister upprättat för forskningsändamål har vidare rätt att få ta del av uppgifterna som gäller den egna personen. Om man kan identifieras - register kan också vara anonyma - har man även rätt att få felaktiga eller ofullständiga uppgifter korrigerade respektive kompletterade. Detta bör forskaren upplysa uppgiftslämnaren om. Att god registersed upprätthålls åligger enligt praxis den forskande institutionens prefekt (rektor).

För behandling av personuppgifter fordras enligt huvudregeln i 10 § personuppgiftslagen samtycke från den person uppgifterna gäller, men undantag från samtyckeskravet medges för vissa s.k. nödvändiga behandlingar. En behandling kan bl.a. anses nödvändig om den rör en arbetsuppgift av allmänt intresse. Avser behandlingen s.k. känsliga uppgifter - dvs. uppgifter om ras eller etniskt ursprung,  politiska åsikter,  religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv - uppställs emellertid  strängare krav. För att man skall få behandla sådana uppgifter för forskningsändamål krävs enligt 19 § godkännande av en forskningsetisk nämnd. Den bedömmer forskningen utifrån etikprövningslagen, som bland annat stadgar att forskning får godkännas bara om den kan utföras med respekt för människovärdet, att mänskliga rättigheter och grundläggande friheter alltid skall beaktas samt att människors välfärd skall ges företräde framför samhällets och vetenskapens behov. Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Känsliga personuppgifter får behandlas för statistikändamål om behandlingen är nödvändig på sätt som sägs i personuppgiftslagens 10 § och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Märk också att vissa typer av forskningsprojekt enligt lagens 36 § har anmälningsplikt till Datainspektionen. I andra fall är det normalt tillräckligt att det s.k. personuppgiftsombudet informeras. Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter kallas personuppgiftsansvarig (i regel en organisation), medan den fysiska person som förordnas av den personuppgiftsansvarige till att se till att personuppgifter behandlas på ett korrekt och lagligt sätt kallas personuppgiftsombud. För mer om personuppgifter i forskningen, se vägledande dokument från Datainspektionen. Myndigheten har också avgivit samrådsyttranden angående bl a personuppgiftsansvar vid kliniska prövningar.

Sekretess

En förutsättning för att personuppgifter från exempelvis patientjournaler skall kunna lämnas ut för forskningsändamål är alltså att utlämnandet är förenligt med relevanta bestämmelser om sekretess m.m. Har man samtycke från dem uppgifterna berör så trumfar det alltid regler om sekretess.

Inom hälso- och sjukvård gäller sekretess för uppgifter om enskildas hälsotillstånd och andra personliga förhållanden, så länge det inte klart framgår att sekretessen kan röjas utan att en enskild eller dennes närstående lider men av detta. När det ska avgöras om en patient lider men är den enskildes subjektiva upplevelse av stor vikt. Sekretess är alltså ett slags tystnadsplikt i det allmännas verksamhet för dem som har tillgång till uppgifter som kan skada patienter (eller rikets säkerhet, det allmännas ekonomiska intresse m.m.). Innebörden är att utomstående inte skall få ta del av de uppgifter som är under sekretess. Ett sådant förbud att röja uppgift gäller vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt. Mellan två myndigheter råder enligt huvudregeln sekretess på samma sätt som mellan myndigheter och enskilda.

Från detta finns dock flera undantag. För forskningsändamål kan uppgifter från hälso- och sjukvården lämnas ut med förbehåll. Som anställd vid annan myndighet kan även den sekretess som gäller vid utlämnande myndighet tas över. Om uppgiften som efterfrågas anses vara belagd med sekretess och därför inte lämnas ut har forskaren rätt att få beslutet prövat. Först vänder man sig till handläggande arkivarie. Därefter fattar stadsarkivarien ett formellt beslut innehållande en motivering. Överklagande görs till Kammarrätten som är sista instans. Journaler som är äldre än 70 år omfattas dock inte av sekretess och är således tillgängliga för alla som vill ta del av dem.

När forskning bedrivs talar offentlighets- och sekretesslagen om att uppgifter om enskildas förhållande i utgångsläget skall lyda under sekretess vid medicinska, beteendevetenskapliga och samhällsvetenskapliga studier. I anslutning till lagregeln (se 7 § offentlighets- och sekretessförordningen, SFS 2009:641), gäller sekretess för uppgift om enskildas personliga förhållanden vid utbildningsanstalter och forskningsinrättningar för medicinska studier samt beteendevetenskapliga och samhällsvetenskapliga studier. Det är också så att får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Det finns även en generell bestämmelse om sekretess vid statistikframtagande. En särskild bestämmelse om sekretessskydd rör dialektologiska och etnologiska upptagningar som som har gjorts eller anskaffats för vetenskapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs. Alla dessa bestämmelser avser offentlig forskning, inte privat sådan.

Allmänna och offentliga handlingar

Det hör till god forskningssed att lämna ut grundmaterial för andra forskares granskning, exempelvis vid disputationer och referee-granskning av ansökningar och artiklar. Vidare är forskande myndigheters handlingar ofta allmänna och kan därigenom bli offentliga (offentlighetsprincipen) i de fall sekretess inte råder. Detta begrepp definieras i 2 kap. 3 § tryckfrihetsförordningen. En allmän handling är sådan handling i offentlig verksamhet som dels är att anse som inkommen till eller upprättad av en myndighet, dels förvaras hos myndighet (universiteten/högskolorna är myndigheter i denna mening). Att en handling inkommer till myndigheten innebär i korthet att den rör en fråga som ankommer på t.ex. ett universitet och når en av denna myndighet anställd person, och att denne får handlingen i egenskap av just innehavare av anställning på myndigheten. Även om handlingen anländer till hemmet skall den anses inkommen och förvaras vid myndigheten om den uppfyller ovanstående kriterier.

En handling anses upprättad vid myndigheten om den har expedierats (dvs. lämnats ut eller skickats från myndigheten) eller om det ärende handlingen hänför sig till har slutbehandlats. Hänför sig handlingen inte till något speciellt ärende anses den upprättad när den har justerats av myndigheten eller helt enkelt har färdigställts på något annat sätt. Till denna sistnämnda kategori kan man många gånger hänföra handlingar som tillkommer vid forskning, t.ex. färdiga provanalyser, framkallade fotografier eller audiovisuella upptagningar. För vissa typer av handlingar, t.ex. dagböcker, register eller andra förteckningar som förs fortlöpande, gäller att de anses upprättade när handlingen har färdigställts för anteckning eller införande. Varje ny anteckning som förs in blir sedan direkt en del av den allmänna handlingen. Att handlingen förvaras vid myndigheten innebär normalt att den faktiskt med rätta finns hos myndigheten, med det kan i vissa fall också betyda att den är tillgänglig för myndigheten genom tekniska hjälpmedel. Observera att eftersom sekretessbestämmelser kan vara tillämpliga så är inte en handling som är allmän med automatik en offentlig handling.

Märk att "allmän handling" inte bara avser papper utan likväl "framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel" (tryckfrihetsförordningen). All forskning – pågående eller avslutad – vid universiteten är underkastad reglerna om allmänna handlingars offentlighet. Det innebär att material som förekommer i löpande projekt – journaler, enkätsvar, provsvar, av forskaren nedtecknade svar på muntliga frågor etc – ofta anses utgöra allmänna handlingar. Dessa ordningar svarar mot exempelvis anslagsgivares, patienters och allmänhetens intresse av insyn och möjlighet till kontroll. Problem kan uppstå då forskare ger löften om fullständig konfidentialitet, något som alltså inte är oproblematiskt genomförbart. En patient/försöksperson bör informeras om att deras uppgifter är skyddade men också om de grunder för utlämnande som kan komma att bli aktuella. Se här vidare ett pm från Högskoleverket: Integritetskänsligt forskningsmaterial och en rapport från SUHF: Övergripande principer för offentlighet och sekretess i integritetskänslig forskning.

I ett överklagandeärende till centrala etikprövningsnämnden (CEPN) gick nämnden emot den regionala etikprövningsnämnden och godkände ett projekt för vilket den regionala nämnden krävt att sekretess utlovas till deltagare. Istället skall informationen till deltagare innehålla: "Dina svar och dina resultat kommer att behandlas så att inga obehöriga kan ta del av dem". CEPNs beslut är prejudicerande (Dnr Ö 5-2004). Till sådana som kan vara behöriga hör granskare vid tidskrifter eller vid en disputation, personer med uppdrag att utreda oredlighet, eller andra forskare som vill nyttja materialet för vidare forskning. En ordning för hur utlämnande bör gå till samtidigt som konfidentialiteten skyddas har föreslagits i artikeln 'Preparing raw clinical data for publication: guidance for journal editors, authors, and peer reviewers'.

USA & internationella regler

Ifall forskningssamarbete sker med USA kan det hända att frågan om att inhämta ett Certificates of Confidentiality kommer upp. Dessa skall skydda konfidentialiteten genom att förhindra att uppgifter framtagna inom forskning kommer till användning i rättstvister. De ges av U.S. Department of Health and Human Services och gäller sådan information som "could have adverse consequences or damage subjects' financial standing, employability, insurability, or reputation". I den federala lagstiftningen sägs att "persons engaged in biomedical, behavioral, clinical, or other research … may not be compelled in any Federal, State, or local civil, criminal, administrative, legislative, or other proceedings to identify such individuals".

De första viktiga internationella riktlinjerna angående personuppgifter var OECD:s Guidelines on the Protection of Privacy and Transborder Flows of Personal Data och Europarådets Convention for the protection of individuals with regard to automatic processing of personal data. De var ganska lika och utgick båda från en idé om "fair information practices", något som pga den stora uppslutning dessa två riktlinjer fick sedan har präglat policydokument från hela världen. Konventionen, som är snävare till sitt innehåll (endast ADB) är till skillnad från riktlinjerna bindande för de stater åpublicerat Guidelines on Security of Information Systems. Slutligen kan FNs Guidelines Concerning Computerized Personal Data Files nämnas här.

Idag ser vi hur skyddet för personuppgifter och för privatlivet alltmer urholkas, då ekonomiska intressen och skyddet mot terror allt oftare framhävs som legitima skäl för att göra undantag. Madriddeklarationen om skydd för privatlivet har påtalat detta och kräver starkare skydd.

Senast uppdaterad: 2014-08-18

Regler & riktlinjer

Se vidare

CODEX, Centrum för forsknings- & bioetik, BMC, Husarg. 3, Uppsala | Webbansvarig | Om webbplatsen