Dataguiden, Vetenskapsrådet, startsida
Dataguiden, Vetenskapsrådet, startsida

Beställa data

Varje datainnehavare har sin egen process för utlämnande av data, vilket gör att rutinerna för beställning kan skilja sig åt. För att kunna hantera en beställning och göra nödvändiga bedömningar behöver datainnehavaren viss information från forskaren. Den information som efterfrågas varierar mellan olika datainnehavare.

Etikprövning och beställning av data för forskning hos datainnehavare är två separata processer. Ett etikgodkännande är i sig ingen garanti för att få tillgång till data, ett eventuellt utlämnande beror på vad den utlämnande myndigheten kommer fram till i sin självständiga bedömning.

Förbered information som kan efterfrågas vid beställning av data

Nedan beskrivs vanliga krav och vilken information som ofta behöver bifogas en beställning om utlämnande av data som inbegriper personuppgifter för forskningsändamål.

Projektbeskrivning – även kallad projektplan eller forskningsplan

Beskriv tydligt forskningsfrågan, studiedesign, mål- och studiepopulation samt planerad dataanalys så att datainnehavaren kan bedöma vilka data som behöver lämnas ut. Ju tydligare beskrivning, desto större sannolikhet att få korrekt data från början.

Detaljerad specifikation av de data som önskas utlämnade

Precisera vilka data som ska lämnas ut genom att ange variabler och urvalsönskemål. Det kan handla om att definiera studiepopulation, antal individer som populationen ska omfatta och tidsperioden för önskad data.

Vissa datainnehavare erbjuder särskilda mallar eller verktyg (ibland kallade variabelväljare), som ska användas för att fylla i information. Ett vanligt misstag är att begära ut för mycket data eller data som inte är relevant för projektet. Uppgiftsminimering är en grundläggande dataskyddsprincip och innebär att varje variabel måste motiveras utifrån projektets syfte och studiedesign.

En detaljerad specifikation av datan underlättar för datainnehavaren att hitta rätt information och att genomföra sekretessprövningen. Om forskningen kräver ett etikprövningsgodkännande behöver specifikationen av data överensstämma med uppgifterna i den godkända ansökan om etikprövning. Om uppgifterna inte stämmer finns risk att en ändringsansökan till Etikprövningsmyndigheten kan behöva göras, vilket kan försena utlämnandet.

Som regel lämnas endast pseudonymiserade uppgifter eller uppgifter som anonymiserats ut. Om personnummer eller andra direkt identifierbara personuppgifter behövs ska detta motiveras och även finnas beskrivet i etikprövningstillståndet.

Information om annan data som ska ingå i projektet

Förutom att specificera de data som önskas utlämnade från aktuella datainnehavare kan det behövas information om annan data ska ingå i projektet, till exempel från andra datainnehavare eller egeninsamlade data. Detta är nödvändigt om data ska samköras eller på annat sätt samordnas.

Information om upprepade leveranser

Ange om projektet planerar att följa upp data över tid och därför behöver uppdateringar, till exempel nya årgångar eller populationer. Detta är nödvändigt för att projektets kodnyckel ska kunna sparas en längre tid.

Beskrivning av hur data ska hanteras och skyddas

Beskriv hur datan kommer att skyddas tekniskt och organisatoriskt efter att den lämnats ut. Datainnehavare efterfrågar ofta specifik information om detta i samband med utlämnande, till exempel:

  • Vilken sekretess uppgifterna kommer att omfattas av efter utlämnandet.
  • Hur data ska lagras, inklusive åtkomstbehörighet. Vilka som kommer få tillgång till uppgifterna och om dessa personer informerats om sekretessens innebörd.
  • Om data ska behandlas av personer som inte tillhör den mottagande forskningshuvudmannen. Detta gäller exempelvis om uppgifter ska överföras till andra huvudmän eller organisationer. I dessa fall kan särskilda avtal krävas (se Övriga tillstånd och avtal nedan).
  • Hur kodnycklar för pseudonymisering kommer att förvaras.
  • Hur data kommer att hanteras efter avslutat projekt.

Om informationen redan finns i en datahanteringsplan kan det räcka att bifoga den.

Information om vilken forskningshuvudman datan ska lämnas ut till

Vid forskning som kräver etikprövningsgodkännande kan data endast lämnas ut till den forskningshuvudman som står angiven i den godkända ansökan om etikprövning.

Undertecknad ansökan om etikprövning och beslut om godkännande

Utlämnande av data måste överensstämma med det godkännande och de eventuella villkor som Etikprövningsmyndigheten beslutat om. Hela ansökan, inklusive bilagor, eventuella kompletteringar och beslut om godkännande med eventuella villkor, måste bifogas.

Övriga tillstånd, avtal och underlag

I vissa fall behöver ytterligare tillstånd eller avtal bifogas för att datainnehavaren ska kunna lämna ut data, till exempel:

  • Personuppgiftsbiträdesavtal, PUB-avtal. Här beskrivs de vanligaste kraven och vilken information som vanligtvis ska bifogas en beställning om utlämnande av data som inbegriper personuppgifter för forskningsändamål.
  • Data transfer agreement, DTA. Ett DTA-avtal krävs när data delas vidare med samverkande forskningshuvudmän inom ett forskningsprojekt eller när en mottagare har ett självständigt personuppgiftsansvar. Avtalet specificerar bland annat vilka typer av data som kan överföras, under vilka förutsättningar, hur länge data får behållas och vilka säkerhetsåtgärder som måste följas. Avtalet säkerställer även att mottagande organisationer följer relevanta dataskyddsbestämmelser.
  • Utlämnandebeslut från andra datainnehavare. Detta beslut krävs om data som begärs ut ska samköras med data från andra källor.
  • Data Protection Impact Assessment, DPIA eller en konsekvensbedömning avseende dataskydd, när en sådan finns och behövs.

Godkänna slutlig dataspecifikation och kostnadsförslag

Vanligtvis krävs att en slutlig specifikation och ett kostnadsförslag accepteras innan data kan lämnas ut. Kostnaden kan variera mellan olika datainnehavare, men generellt debiteras för tiden det tar att handlägga ärendet. Omfattning och komplexitet på en begäran om datauttag påverkar alltså kostnaden.

Datainnehavarens bedömning av om datan kan lämnas ut

När beställningen av data är komplett gör datainnehavaren en självständig bedömning om den begärda datan kan lämnas ut. En central del i denna bedömning är att göra en sekretessprövning, här följer exempel på vad som bedöms vid sekretessprövningen.

Rätten för mottagaren att behandla uppgifterna

  • Finns det en rättslig grund för det specifika ändamålet hos mottagaren, det vill säga forskningshuvudmannen, om personuppgifter kommer att behandlas?
  • Vid forskning som kräver etikprövning:
    • finns det en godkänd ansökan om etikprövning för behandling av uppgifterna som begärs ut?
    • är det samma forskningshuvudman som ansöker om utlämnande av data och som ansökt om och erhållit det etiska godkännandet?
    • överensstämmer ansökan med det etiska tillståndet?

Om ändamålet gäller forskning som kräver etikprövning kontrollerar datainnehavare till exempel att:

  • beskrivningen av studiepopulationen stämmer överens
  • datakällorna och datainnehavarna finns namngivna i godkänd ansökan om etikprövning
  • syftet (behovet) med begärda uppgifter framgår i godkänd ansökan om etikprövning
  • det framgår i godkänd ansökan om etikprövning att en kodnyckel behöver sparas (om detta krävs)
  • det är motiverat i godkänd ansökan om etikprövning varför personnummer krävs istället för löpnummer, om personnummer ska utlämnas
  • det framgår i godkänd ansökan om etikprövning om uppgifter från andra datainnehavare och datakällor ska hanteras eller samköras inom projektet.

Menprövning

  • Kan någon person lida skada eller men om uppgifterna lämnas ut?
  • Hur ser sekretesskyddet ut hos mottagaren av data? Finns förmåga att garantera samma sekretessnivå som datakällan omfattas av och säkerhet för uppgifterna som utlämnas, för att förhindra att datauttaget orsakar skada?

Sekretess hos datainnehavare och skydd hos forskningshuvudmannen

Vid beställning av data som omfattas av sekretess kan datainnehavaren begära information om vilken eventuell sekretess som data kommer skyddas av i den mottagande organisationen.

Lagstiftaren har underlättat tillgången till data mellan myndigheter genom särskilda sekretesslättnader. Enligt 11 kap. 3 § offentlighets- och sekretesslagen (OSL) följer sekretessen med uppgifter som lämnas från en myndighet till en annan, till exempel från ett nationellt kvalitetsregister till ett universitet. Sekretessen omvandlas då till forskningssekretess hos mottagaren, vilket beaktas i den utlämnande myndighetens menprövning.

För privata aktörer, såsom läkemedelsföretag eller tillverkare av medicintekniska produkter, gäller inte samma regler. Dessa omfattas inte av OSL:s sekretess- och tystnadsplikt, men enligt 10 kap. 14 § OSL kan sekretessbelagda uppgifter lämnas ut till enskilda om risken för skada eller men kan undanröjas genom ett sekretessförbehåll. Ett sådant förbehåll innebär att uppgifterna ska skyddas på samma sätt som hos utlämnande myndighet, inte får spridas vidare och endast används för det angivna syftet. Förbehållet är personligt och beslutas efter menprövning i varje enskilt fall.

Ytterligare information om offentlighet och sekretess

Beslut om utlämnande av data

Processen för beslut om utlämnande kan se olika ut mellan datainnehavare. Ofta granskar en handläggare, eller en bedömargrupp som representerar olika kompetenser, beställningen och ger en rekommendation till beslut. Det formella ansvaret för att pröva och fatta beslut om utlämnande är vanligtvis delegerat till en verksamhetschef eller jurist. Myndigheternas bedömningar och ställningstaganden utgår från de regelverk som respektive myndighet omfattas av.

Rätt till ett överklagbart beslut

Om datainnehavaren beslutar att neka ett utlämnade av data har den som begärt uppgifterna rätt att få ett formellt överklagbart avslagsbeslut. Det skriftliga beslutet om avslag ska innehålla information om hur överklagandet görs.

Vilken instans överklagan ska göras till beror på vilka aktörer som är involverade. Ett negativt beslut på en begäran om utlämnande av allmänna handlingar överklagas till förvaltningsdomstol. När det gäller en myndighets rätt att ta del handlingar hos en annan skiljer sig processen: avslag från en kommunal myndighet överklagas till förvaltningsdomstol, medan avslag från en statlig myndighet överklagas till regeringen.

Databearbetning, eventuell samkörning och utlämnande av data

När datainnehavaren beslutat om utlämnande görs först nödvändig kvalitetssäkring och databearbetning. Utlämnande sker i regel endast efter begäran från en behörig företrädare för ansvarig forskningshuvudman, som ansvarar för att den fortsatta hanteringen av data sker på ett korrekt sätt. I vissa fall kan data lämnas ut digitalt via en portal eller säker digital miljö.

Ingen direktåtkomst till patientjournaler

Direktåtkomst till patientjournaler i forskningssyfte är otillåtet. Det gäller även för forskare som är anställda i samma organisation som ansvarar för journalerna och som, genom sitt kliniska arbete, har praktisk tillgång till dem.

Kontrollera utlämnade data

Efter att data lämnats ut är det viktigt att kontrollera att uppgifterna är korrekta. Datainnehavare har sällan möjlighet att bevara utlämnade uppgifter i ett datamaterial och tillåter oftast bara korrigeringar under en begränsad tid. Om ingen tidsfrist angivits i samband med utlämnandet bör detta diskuteras med ansvarig handläggare hos datainnehavaren. Kompletteringar med ytterligare uppgifter godtas normalt inte efter tidsfristen utan kräver en ny beställning.

Nästa steg i forskningsdatacykeln

Hantera data

Publicerat den

Uppdaterat den