Lagkrav och principer

Svensk forskning styrs av internationella konventioner och regler samt av nationell lagstiftning, med flera lagkrav och vägledande principer för hur data får hanteras. Dessa behöver beaktas redan i planeringsfasen, varför det är viktigt att i ett tidigt skede ta reda på vilket stöd som forskningshuvudmannen erbjuder.

Dataskyddskrav

Om personuppgifter kommer att behandlas i något steg i forskningen, så behöver regler om dataskydd beaktas. Personuppgifter ska tolkas brett och omfattar även sådan uppgifter som indirekt går att hänföra till en specifik person. Med behandling avses i princip all typ av hantering av personuppgifter, såsom till exempel insamling, användning och radering.

Om känsliga personuppgifter, exempelvis uppgifter om en persons hälsa, eller uppgifter om lagöverträdelser behandlas inom forskningen ställs särskilda krav eftersom sådana uppgifter avses vara extra skyddsvärda. För forskning som innefattar känsliga personuppgifter och uppgifter om lagöverträdelser krävs etikprövningstillstånd.

Säkerställ efterlevnad av de grundläggande principerna

När personuppgifter behandlas behöver flera grundläggande principer beaktas. Dessa innebär bland annat att forskningshuvudmannen behöver se till att:

personuppgiftsbehandlingen har ett berättigat och tydligt ändamål, samt att uppgifter sedan inte hanteras för andra oförenliga ändamål (ändamålsbegränsning).
uppgifterna som behandlas är nödvändiga och går att motivera utifrån forskningsfrågan (uppgiftsminimering).
uppgifterna inte behandlas längre tid än vad som är nödvändigt (lagringsminimering).
behandlingen av personuppgifter är laglig och präglas av öppenhet (laglighet och öppenhet), genom att bland annat säkerställa att behandlingen av personuppgifter har stöd i en rättslig grund och att kraven på information till registrerade är uppfyllda.
uppgifterna skyddas genom tekniska och organisatoriska åtgärder (integritet och konfidentialitet), vilket ställer krav på en god informationssäkerhet.

Den personuppgiftsansvarige måste också kunna visa att den följer dataskyddsreglerna (ansvarsskyldighet). Detta görs bland annat genom att behandlingen av personuppgifter är dokumenterad i en registerförteckning och att det finns interna riktlinjer för datahanteringen.

Säkerställ stöd i en rättslig grund

Behandlingen av personuppgifter måste alltid ha stöd i en eller flera så kallade rättsliga grunder. Vid forskning är det oftast ”uppgift av allmänt intresse” eller ”intresseavvägning” som gäller. Även samtycke kan utgöra en rättslig grund.

Beträffande känsliga personuppgifter är huvudregeln att de inte får behandlas. Det finns dock undantag, till exempel när behandlingen är nödvändig för forskning. För att denna forskning ska vara tillåten krävs etikgodkännande från Etikprövningsmyndigheten. Detsamma gäller för vid behandling av personuppgifter om lagöverträdelser. Kravet gäller även om forskningspersonerna har gett sitt samtycke till forskningen. När det finns ett etikprövningstillstånd är den rättsliga grunden ”uppgift av allmänt intresse”.

Beakta registrerades rättigheter

När personuppgifter behandlas i ett forskningsprojekt måste individers rättigheter respekteras. vilket innebär att de ska ges information och inflytande. Det handlar om rätten till information om personuppgiftsbehandlingen, rätten att få tillgång till sina personuppgifter, rätten till rättelse, rätten till radering, rätt till begränsning av behandling, rätt till dataportabilitet samt rätt att göra invändningar. Om behandlingen av personuppgifter sker med stöd av samtycke som rättslig grund har den registrerade även en rätt att återkalla sitt samtycke.

Det finns dock flera undantag från rättigheterna och flera rättigheter är begränsade genom att de endast är tillämpliga i vissa situationer.

Beakta andra centrala krav

Om en annan aktör kommer att behandla personuppgifter för forskningshuvudmannens räkning behöver reglerna om personuppgiftsbiträde följas. Detta kan till exempel vara fallet om forskningshuvudmannen använder en extern leverantör för lagring av forskningsdata. I dessa situationer behöver forskningshuvudmannen bland annat säkerställa att personuppgiftsbiträdet är tillförlitligt, uppfyller vissa krav och att ett personuppgiftsbiträdesavtal har ingåtts mellan parterna.

Vid samarbete med andra forskningsaktörer krävs att delning av personuppgifter är tillåten. Här kan till exempel regler om ansvar och regler om tredjelandsöverföring behöva beaktas.

Genomför en konsekvensbedömning när så krävs

En DPIA-bedömning, eller konsekvensbedömning avseende dataskydd, kan till exempel behövas i situationer om forskningsprojektet hanterar känsliga personuppgifter, till exempel hälsodata från patientjournaler eller hälsodataregister. En konsekvensbedömning är en dokumenterad process som hjälper ansvariga att följa dataskyddsreglerna och att minska riskerna vid så kallade högriskbehandlingar. Bestämmelserna om konsekvensbedömning kräver i vissa fall att den ansvariga förhandssamråder med Integritetsskyddsmyndigheten innan behandlingen av personuppgifter kan påbörjas.

Ta reda på vilka interna riktlinjer som gäller i organisationen

Det finns ofta utarbetade riktlinjer för hur data och personuppgifter ska hanteras vid lärosäten och andra organisationer. Vid frågor om datahantering går det ofta att få stöd från organisationens dataskyddsombud eller annan lokal stödfunktion.

På gång

Den europeiska dataskyddsstyrelsen, EDPB, arbetar med att ta fram riktlinjer för behandling av personuppgifter för forskningsändamål. När den första versionen är klar kommer att den att publiceras och skickas på publik konsultation innan den slutligen blir antagen.

Relaterat innehåll

Vad utgör en personuppgift

Grundläggande principer enligt dataskyddsförordningen (imy.se)

Juridiska aspekter kring att använda individuppgifter i forskning

Ansvar och dataskydd för forskningsändamål (imy.se)

Sammanställning av de centrala bestämmelserna i GDPR (imy.se)

Behandling av personuppgifter för forskare (imy.se)

Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet personuppgifter som rör lagöverträdelser som innefattar brott i artikel 10 i dataskyddsförordningen (imy.se)

Information, vägledning och mallar om hur en konsekvensbedömning ska genomföras (imy.se)

Frågor och svar om personuppgifter i forskning samt ingång till Vanliga frågor med bland annat personuppgifter i forskning (etikprovningsmyndigheten.se)

Information om rättslig grund för behandling av personuppgifter inom klinisk forskning i rapporten Åtkomst till hälsodata för forskningsändamål (kliniskastudier.se)

Beskrivning av specifika scenarier för överföring av personuppgifter till tredje land i rapporten Tredjelandsöverföring vid klinisk forskning (kliniskastudier.se)

Planering och hantering av forskningsdata med personuppgifter (researchdata.se)

Etikprövningstillstånd och andra tillstånd

Etikprövningstillstånd

Om ett projekt omfattas av etikprövningslagens definition av forskning och forskningen ska utföras i Sverige behöver bestämmelserna i den lagen beaktas. Etikprövningstillstånd krävs om forskningen:

innefattar behandling av känsliga personuppgifter
innefattar behandling av personuppgifter om lagöverträdelser
innebär ett fysiskt ingrepp på såväl levande som avliden person
utförs enligt en metod som syftar till att påverka en forskningsperson fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen
innebär studier på biologiskt material som har tagits från en levande eller avliden människa och som kan härledas till denna människa.

Viktigt att beakta:

Etikprövning krävs även om forskningspersonen har lämnat sitt samtycke till att uppgifterna används och hanteras.
Etikprövningslagen innehåller bestämmelser om informerat samtycke för forskning som innebär ett fysiskt ingrepp, utförs enligt en metod som syftar till att påverka en forskningsperson fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen eller innebär studier på biologiskt material som kan härledas till en individ. Etikprövningsmyndigheten kan även i andra situationer ställa krav på informerat samtycke genom att ställa upp det som villkor i etikprövningstillståndet.
Etikprövningslagen gäller för forskning som utförs i Sverige. Vid internationella forskningssamarbeten krävs etikprövning för de delar av forskningen som utförs i Sverige. Lagring av forskningsdata räknas som en del av forskningen, vilket innebär att om datalagring sker i Sverige så förutsätter denna del av genomförandet etikgodkännande i Sverige.
Om forskningen kräver etikprövning får inget moment av forskningen påbörjas innan det finns ett godkänt etikprövningstillstånd. Detta gäller även för moment såsom rekrytering av forskningspersoner eller insamling av data och prover. Forskning som redan har utförts kan inte godkännas i efterhand och får inte fortsätta, publiceras eller användas i något sammanhang.

På Etikprövningsmyndighetens webbplats finns bland annat:

utbildningsmaterial i form av en vägledning för etikprövning, där ett kapitel tar upp användning av personuppgifter i forskning
frågor och svar med en sektion som rör personuppgifter i forskning
stödmallar som kan behöva bifogas vid ansökan om etikprövning.

Andra regulatoriska tillstånd

Forskningsprojektet kan även behöva tillstånd från andra regulatoriska myndigheter. Det kan till exempel handla om tillstånd enligt EU:s förordning om kliniska prövningar av humanläkemedel 2014/536, även kallad Clinical Trials Regulation, CTR, och tillstånd för medicintekniska prövningar enligt Medical Device Regulation, MDR.

Läkemedelsverket och Europeiska läkemedelsmyndigheten erbjuder stöd vid kliniska läkemedelsprövningar, liksom vid frågor om användning och hantering av personuppgifter eller hälsodata. Exempel på stöd är:

regulatorisk och vetenskaplig rådgivning samt ett centrum för innovationsstöd vid Läkemedelsverket
riktlinjer och metodstöd för registerbaserade studier som tydliggör vad nationella tillståndsgivande myndigheter (motsvarande Läkemedelsverket) anser vara viktigt ur ett regulatoriskt perspektiv när registerdata används i läkemedelsprövningar. Rekommendationer och överväganden är utformade av olika expertgrupper, under ledning av EMA
checklista för studieprotokoll, enligt principer som är framtagna av European Network of Centres for Pharmacoepidemiology and Pharmacovigilance, ENCePP, vilka koordineras av EMA. Checklistan uppdateras återkommande utifrån metodologiska framsteg och innehåller flera viktiga principer att beakta vid utformning av farmakoepidemiologiska studier.

Relaterat innehåll

Stöd och vägledning för forskning på personuppgifter (etikprovningsmyndigheten.se)

Vägledning vid etikprövning

Regulatorisk och vetenskaplig rådgivning (lakemedelsverket.se)

Riktlinjer och metodstöd för registerbaserade studier – på engelska (ema.europa.eu)

Checklista för studieprotokoll – på engelska (encepp.europa.eu)

Andra regler att beakta

Utöver generella regler om dataskydd och bestämmelser i etikprövningslagen kan även andra regler aktualiseras. Om prover och data från biobanker ska användas i forskning behöver bestämmelserna i biobankslagen beaktas.

Forskning på tidigare insamlade biologiska prover (etikprövningsmyndigheten.se)

Offentlighet och sekretess

När en forskningshuvudman omfattas av offentlighets- och sekretesslagen blir handlingar som skapas, tas emot eller lämnar organisationen i regel allmänna handlingar. Det gäller även forskningsdata som till exempel digitala texter, bilder, ljud- och videomaterial, 3D-skanningar, observationer och experimentresultat. I tryckfrihetsförordningen finns bestämmelser om allmänhetens rätt att ta del av allmänna handlingar, den så kallade offentlighetsprincipen. Som huvudregel ska allmänna handlingar lämnas ut vid en begäran, förutsatt att det inte hindras av sekretess.

Redan i planeringsfasen är det viktigt att ta reda på vilka bestämmelser om sekretess som gäller för forskningsdata hos forskningshuvudmannen.

Privata forskningsutförare omfattas inte av offentlighets- och sekretesslagstiftningen. Däremot kan utlämnanden av data till en privat forskningshuvudman komma att omfattas av sekretessförbehåll.

Information om sekretess hos datainnehavare och skydd hos forskningshuvudman

Upprätta avtal

Att bedöma om avtal krävs och att upprätta korrekta avtal kan kräva stöd från jurist. Avtal kan exempelvis behövas i följande situationer:

Om ett projekt omfattar flera forskningshuvudmän: Ett samarbetsavtal kan behövas för att reglera behörigheter (åtkomst till data), ansvarsfördelning, datahantering samt vid gemensamt personuppgiftsansvar mellan parterna. I vissa fall kan även ett personuppgiftsbiträdesavtal behövas.
Om data ska hanteras i olika lagringslösningar eller verktyg för analys/bearbetning: Ett personuppgiftsbiträdesavtal kan behöva upprättas med leverantören av lösningen.
Vid särskilda villkor: Det kan gälla sekretess/konfidentialitet, rättighetsanspråk till eventuella immateriella rättigheter eller upphovsrättsligt tillstånd för vissa forskningsdata. Sådana frågor behöver regleras i avtal med en extern part.

Om avtal för forskning (snd.se)

Riktlinjer angående personuppgiftsansvarig och personuppgiftsbiträde i dataskyddsförordningen, GDPR (edpb.europa.eu)

Nästa steg i forskningsdatacykeln

Beställa data

Dataåtkomst Lagar och regler

Publicerat den 2025-10-22

Uppdaterat den 2025-10-23