Dataguiden, Vetenskapsrådet, startsida
Dataguiden, Vetenskapsrådet, startsida

Mer om det rättsliga ramverket för forskning

Svensk forskning omfattas av såväl internationella konventioner och lagar som nationell lagstiftning. Regelverken syftar bland annat till att säkerställa att människor inte utsätts för skada eller onödiga risker inom forskningen. Här beskrivs en fördjupning i de lagar och regler som gäller för forskning.

Dataskydd vid forskning

Om forskningen omfattar behandling av personuppgifter gäller flera bestämmelser som främst regleras i EU:s dataskyddsförordning, GDPR.

Förordningen gäller i hela EU, men också för aktörer utanför unionen som riktar sina tjänster och produkter till EU:s invånare. Syftet är att skapa ett enhetligt skydd för personuppgifter utan att hindra det fria flödet inom EU och det Europeiska ekonomiska samarbetsområdet, EES.

Dataskyddsförordningen kompletteras av både EU-regler och nationell lagstiftning. I Sverige har detta gjorts genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt drygt 200 registerförfattningar. Det finns ingen generell registerförfattning som reglerar behandling av personuppgifter i forskning.

Information om dataskyddslagarna hänger ihop samt ingångar till fördjupande information om bland annat GDPR (imy.se)

Behandling av personuppgifter

Begreppen behandling och personuppgifter är centrala och avgör om dataskyddsregelverket gäller.

Med personuppgift avses information som kan kopplas till en person. Det kan vara direkt identifierande uppgifter som namn eller personnummer/identifikationsnummer, men också indirekta uppgifter som platsdata, onlineidentifikatorer eller kännetecken som beskriver personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1 i dataskyddsförordningen).

Det är vanligt att pseudonymiserade uppgifter används i forskning. Med pseudonymisering avses att personuppgifter behandlas på ett sätt som gör att de inte längre kan kopplas till en specifik person utan att en separat nyckel eller kompletterande uppgifter används. Dessa uppgifter ska förvaras åtskilt och skyddas med lämpliga säkerhetsåtgärder. Pseudonymiserade uppgifter räknas fortfarande som personuppgifter, men en bedömning kan behövas i det enskilda fallet om mottagaren av pseudonymiserade uppgifter behandlar personuppgifter.

Anonym information är inte personuppgifter. Det är information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller personuppgifter som anonymiserats så att individen inte längre går att identifiera. För att avgöra om en person är identifierbar ska alla rimliga hjälpmedel beaktas. Bedömningen om det rimligen kan komma att användas hjälpmedel för att identifiera personen ska göras utifrån objektiva faktorer, som kostnad, tidsåtgång för identifiering och den teknik som finns tillgänglig, både vid tidpunkten för behandlingen och med hänsyn till den tekniska utvecklingen. För anonym information gäller inte kraven i dataskyddsförordningen. Anonym information kan till exempel vara statistik och resultat från en forskningsstudie.

Vissa typer av personuppgifter anses vara särskilt skyddsvärda. Till sådana uppgifter hör så kallade känsliga personuppgifter samt uppgifter om lagöverträdelser. Känsliga personuppgifter omfattar till exempel uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hit räknas också genetiska och biometriska uppgifter som kan användas för att identifiera en person, liksom uppgifter om hälsa, sexualliv och sexuell läggning.

Med uppgifter om lagöverträdelser avses information om att någon har begått eller varit misstänkt för ett brott, blivit fälld eller friad i domstol, eller fått så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag.

För behandling av känsliga personuppgifter och uppgifter om lagöverträdelser ställs specifika krav. Om personuppgifter behandlas i något steg i forskningen måste reglerna om dataskydd följas.

Med behandling avses i princip all typ av hantering av personuppgifter, till exempel:

  • insamling
  • registrering
  • strukturering
  • lagring
  • bearbetning eller ändring
  • framtagning
  • läsning
  • användning
  • utlämning genom överföring
  • spridning eller tillhandahållande på annat sätt
  • justering eller sammanförande
  • begränsning
  • radering eller förstöring.

Vad utgör en personuppgift

Riktlinjer 01/2025 om pseudonymisering – på engelska (edpb.europa.eu)

Grundläggande dataskyddsregler

När personuppgifter ska behandlas inom ramen för ett forskningsprojekt behöver flera dataskyddsbestämmelser beaktas innan uppgifterna samlas in.

Om känsliga personuppgifter eller uppgifter om lagöverträdelser kommer att behandlas krävs dessutom etikprövningsgodkännande från Etikprövningsmyndigheten innan forskningen kan påbörjas.

Grundläggande principer för personuppgiftsbehandling

De grundläggande principerna gäller all personuppgiftsbehandling och sätter ramarna för vad som är tillåtet (artikel 5 i dataskyddsförordningen). Principerna innebär bland annat att:

  • behandlingen måste ha ett tydligt och berättigat ändamål (ändamålsbegränsning)
  • endast nödvändiga uppgifter behandlas (uppgiftsminimering)
  • uppgifter inte bevaras längre än nödvändigt (lagringsminimering)
  • uppgifter skyddas genom tekniska och organisatoriska åtgärder (integritet och konfidentialitet)
  • behandlingen är laglig, till exempel genom stöd i en rättslig grund, och präglas av öppenhet och därmed uppfyller bestämmelserna om information om personuppgiftsbehandlingen till berörda
  • ansvarig för behandlingen, personuppgiftsansvarig, kan visa att dataskyddsreglerna följs (ansvarsskyldighet).

Grundläggande principer i dataskyddsförordningen, GDPR (imy.se)

Stöd i en rättslig grund

När personuppgifter behandlas måste det finnas stöd i en eller flera rättsliga grunder (artikel 6 i dataskyddsförordningen). De rättsliga grunder som är relevanta för behandling av personuppgifter inom forskning är ”uppgift av allmänt intresse” eller ”intresseavvägning” (artikel 6.1 e respektive 6.1.f i dataskyddsförordningen). Även informerat samtycke kan vara en rättslig grund.

Samtycke innebär att en person frivilligt, specifikt, informerat och otvetydigt godtar behandling av sina personuppgifter, antingen genom ett uttalande eller genom en entydig bekräftande handling (artikel 4.11 dataskyddsförordningen).

Behandling av personuppgifter som innefattar känsliga personuppgifter är som utgångspunkt förbjuden enligt dataskyddsförordningen. Det finns dock flera undantag för förbudet, ett sådant är forskningsundantaget. Även behandling av uppgifter om lagöverträdelser är särskilt restriktivt enligt dataskyddsförordningen.

Bestämmelser om forskning finns i etikprövningslagen. Där framgår att forskning som innefattar känsliga personuppgifter och uppgifter om lagöverträdelser kräver etikprövning. I förarbetena till etikprövningslagen framgår att all forskning som kräver etikgodkännande är en ”uppgift av allmänt intresse” (proposition 2017/18:298 s. 54). Det är Etikprövningsmyndighetens beslut om etikgodkännande som berättigar behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser för forskning.

Registrerades rättigheter

I forskningsprojekt där personuppgifter behandlas behöver även individernas rättigheter beaktas (artiklarna 12–22 i dataskyddsförordningen). Det handlar bland annat om rätten:

  • till information
  • till tillgång
  • till rättelse
  • till radering
  • till begränsning av behandling
  • till dataportabilitet
  • att göra invändningar.

Rättigheterna är inte absoluta utan gäller oftast i vissa situationer. Det finns även direkt tillämpliga undantag från flera av dessa rättigheter som skulle kunna aktualiseras vid forskning, till exempel att:

  • personuppgifter inte behöver raderas om det skulle omöjliggöra eller försvåra syftet med forskningen (artikel 17.3 d i dataskyddsförordningen)
  • information inte behöver lämnas till forskningspersoner om det skulle innebära en oproportionell ansträngning eller försvåra för det aktuella forskningsprojektet att nå sina mål (artikel 14.5 b i dataskyddsförordningen).

Registerförfattningar avseende forskning

Lagen (2024:1146) om vissa forskningsdatabaser

Lagen (2024:1146) om vissa forskningsdatabaser gäller vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser vars huvudsakliga syfte är att skapa underlag för flera framtida projekt som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv och som sker med de registrerades frivilliga medverkan. Ett villkor för att behandling av personuppgifter i sådana forskningsdatabaser är att den registrerade har lämnat sitt samtycke.

Lagen möjliggör även för att kompletterande insamling av uppgifter från andra källor än de som angavs i samband med att samtycke till behandling i forskningsdatabasen lämnades får ske utan samtycke men då endast om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna. I dag omfattas forskningsdatabaserna LifeGene-registret och Svenska Tvillingregistret av lagen.

Biobankslagen

Biobankslagen (2023:38) reglerar hur humanbiologiskt material får samlas in, bevaras i en biobank och användas. Lagen reglerar således bland annat behandling av personuppgifter i biobanker. Av lagen framgår att uppgifter i biobanker får användas för forskning. Att använda biobanksprover för forskning kräver etikprövningstillstånd.

Lagen innehåller bland annat bestämmelser om informerat samtycke och bestämmelser om rätten att motsätta sig (4 kap 1 och 7 §§ biobankslagen). Exempel:

  • Huvudregel: provgivaren ska ha lämnat sitt samtycke för att ett prov ska få samlas in till och bevaras i en biobank, om inte annat följer av biobankslagen eller annan lag.
  • Ett samtycke till bevarande ska som huvudregel anses innefatta samtycke till användning.
  • Samtycke krävs inte för att samla in, bevara och använda ett prov för provgivarens vård eller behandling om provgivaren har informerats och samtyckt till vård eller behandling enligt patientlagen (2014:821) eller tandvårdslagen (1985:125). Provgivaren ska också ha fått information om bland annat avsikten med att samla in och bevara provet, provsamlingens ändamål och vad provet får användas till, vilka ändamål som är tillåtna enligt biobankslagen samt rätten att återkalla eller begränsa samtycket. Ett sådant prov får bevaras även för bland annat forskning, förutsatt att provgivaren inte har motsatt sig sådant insamlande, bevarande eller användande.

Om det nya ändamålet avser forskning ska Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning, i samband med att myndigheten eller nämnden godkänner det nya ändamålet, också besluta om vilka krav som ska gälla i fråga om information och samtycke för att proverna i biobanken ska få användas för det nya ändamålet (4 kap 11 § biobankslagen).

Patientdatalagen

Patientdatalagen (2008:355) reglerar vårdgivares behandling av personuppgifter. Lagen innehåller inga specifika bestämmelser om behandling av personuppgifter för forskning eller att personuppgifter får behandlas av vårdgivare för forskningsändamål.

Av förarbetena till patientdatalagen framgår dock att sådan särskild personuppgiftsbehandling som sker för forskningsändamål faller utanför lagens tillämpningsområde. Där framhålls att den patientnära eller kliniska forskningen som förekommer hos vårdgivare inte sällan bedrivs integrerat med patientvården. Forskning respektive patientvård kan emellertid utgöra självständiga verksamhetsgrenar i förhållande till varandra. I förarbetet konstateras att den särskilda personuppgiftsbehandling som föranleds av forskningen i den patientnära forskningen inte ska regleras av patientdatalagen, vilket avser dokumentation som enbart sker i forskningssyfte och som inte har någon betydelse för vården. Den del av informationshanteringen i den patientnära forskningen som innefattar patientjournalföring eller annan dokumentation som hör till vården ska dock regleras av patientdatalagen. I de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den personuppgiftsbehandling som rör vården, till exempel i fråga om journalföringen (proposition 2007/08:126, s. 48 och s. 203).

Antalsberäkningar

I patientdatalagen har ett nytt ändamål lagts till som tydliggör att vårdgivare får behandla personuppgifter för att genomföra antalsberäkningar för forskning (2 kap 4 § p. 7 patientdatalagen och proposition 2022/23:31, s. 27).

Nationella och regionala kvalitetsregister

Patientdatalagen reglerar även nationella och regionala kvalitetsregister (7 kap patientdatalagen). Där framgår att uppgifter i sådana register får användas för bland annat forskning. Personuppgifter får dock inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

Information om rättslig grund för behandling av personuppgifter inom klinisk forskning i rapporten Åtkomst till hälsodata för forskningsändamål (kliniskastudier.se)

Ansvar och dataskydd för forskningsändamål (imy.se)

Vad som gäller enligt dataskyddsförordningen (imy.se)

Planering och hantering av forskningsdata med personuppgifter (researchdata.se)

Sammanställning av de centrala bestämmelserna i GDPR (imy.se)

Frågor och svar om personuppgifter i forskning samt ingång till Vanliga frågor med bland annat personuppgifter i forskning (etikprovningsmyndigheten.se)

Behandling av personuppgifter för forskare (imy.se)

Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet personuppgifter som rör lagöverträdelser som innefattar brott i artikel 10 i dataskyddsförordningen (imy.se)

Tillsyn

Det är Integritetsskyddsmyndigheten som utövar tillsyn enligt dataskyddsregelverket i Sverige. Den som agerar i strid mot dataskyddsreglerna kan bland annat få sanktionsavgifter.

Etik i forskning

De etiska principerna som styr forskning har slagits fast i internationella konventioner och ligger till grund för dagens lagstiftning. Ett centralt dokument är Helsingforsdeklarationen, som antogs av World Medical Association (WMA) 1964. Regelverken syftar till att skydda människor från skada och onödiga risker vid forskning som involverar individer eller deras uppgifter.

Helsingforsdeklarationen, etiska principer rörande medicinsk forskning – på engelska (wma.net)

Etikprövningslagen

Lagen (2003:460) om etikprövning av forskning som avser människor reglerar etikprövning i Sverige. Regleringen avser främst en avvägning mellan forskningens samhällsnytta och individens rätt till personlig integritet. Etikprövningslagen omfattar forskning som definieras i 2 §:

vetenskapligt experimentellt eller teoretiskt arbete, vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, eller om det handlar om utvecklingsarbete på vetenskaplig grund

Forskning kräver ett etikprövningstillstånd om den:

  1. innebär ett fysiskt ingrepp på en levande eller avliden person
  2. utförs enligt en metod som syftar till att påverka en forskningsperson fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen
  3. avser studier på biologiskt material som har tagits från en levande eller avliden människa och som kan härledas till denna människa
  4. innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser.

Det är Etikprövningsmyndigheten som fattar beslut om etikprövningstillstånd. Beslut från Etikprövningsmyndigheten kan överklagas till Överklagandenämnden för etikprövning, ÖNEP.

Etikprövningslagen innehåller bestämmelser om informerat samtycke för sådan forskning som faller inom ramen för punkterna 1-3 ovan (4 och 16-22 §§ etikprövningslagen). Bestämmelserna om informerat samtycke är obligatoriska för sådan forskning.

För studier på biologiskt material som tidigare har tagits från en levande människa, till exempel för vårdsyfte, finns särskilda bestämmelser om informerat samtycke. Vid ett etikprövningsgodkännande ska då Etikprövningsmyndigheten bestämma vilka krav som ska gälla i fråga om information och samtycke för användning av materialet

Det finns även särskilda bestämmelser om informerat samtycke som rör barns inflytande när vårdnadshavare lämnat samtycke till forskningen. Bland annat framgår att trots vårdnadshavarnas samtycke får forskning inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs. Ungdomar som är mellan 15 och 18 år lämnar eget samtycke om de inser vad forskningen innebär för hans eller hennes del.

Det finns även särskilda bestämmelser om undantag från informerat samtycke för forskning som avser forskningspersoner som saknar beslutsförmåga.

Etikprövningslagen innehåller inga direkta bestämmelser om informerat samtycke för sådan forskning som endast innefattar behandling av känsliga personuppgifter och uppgifter om lagöverträdelser. I dessa fall har i stället Etikprövningsmyndigheten och Överklagandenämnden för etikprövning ett utrymme att bedöma om information och inhämtande av samtycke krävs och kan i så fall ställa upp det som villkor i etikprövningstillståndet.

Etikprövningslagen gäller endast forskning som ska bedrivas i Sverige (5 §). Vid internationella forskningssamarbeten krävs etikprövning för de delar av forskningen som utförs i Sverige.

Frågor och svar om personuppgifter i forskning samt ingång till Vanliga frågor med bland annat personuppgifter i forskning (etikprovningsmyndigheten.se)

Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet personuppgifter som rör lagöverträdelser som innefattar brott i artikel 10 i dataskyddsförordningen (imy.se)

Syftet med etikprövningslagen (etikprovningsmyndigheten.se)

Är det forskning enligt etikprövningslagen?

Ibland kan det vara oklart om en studie omfattas av begreppet forskning enligt etikprövningslagen. Exempelvis:

Gränsdragning mot kvalitetssäkring

För att etikprövningslagen ska vara tillämplig krävs att arbetet omfattas av forskningsbegreppet, så som det definieras i lagen. Oftast är detta självklart, men inte alltid. Gränsdragningen mellan vad som är forskning och vad som är kvalitetssäkring är till exempel inte alltid tydlig. Det kräver en helhetsbedömning utifrån det enskilda projektets karaktär. En faktor av betydelse för bedömningen är om det finns en avsikt att sprida resultatet externt eller om syftet är internt. En annan skillnad mellan forskningsprojekt och kvalitetssäkring ligger i den teoretiska förankringen. Forskning analyserar insamlade data utifrån en teori eller hypotes, något som inte sker i kvalitetssäkring. Kvalitetssäkring innebär att undersöka om en verksamhet eller produkt uppfyller en i förväg bestämd (bättre) kvalitet. En annan skillnad mellan kvalitetssäkring och forskning med kvantitativ inriktning är att kvalitetssäkring endast använder enklare beskrivande statistik, medan forskningsprojekt nästan alltid innehåller en fördjupad analys av resultaten. Den fördjupade analysdelen är typisk för ett forskningsprojekt och har stark förankring i vetenskapliga teorier om hur resultaten bäst analyseras.

Studentarbeten

Studentarbeten under grundutbildning och på avancerad nivå omfattas inte av forskningsbegreppet i 2 § etikprövningslagen. Det beror på att det inte är rimligt att förvänta sig att studenter som genomgår utbildning på grundnivå eller på avancerad nivå har hunnit tillägna sig kunskaper och insikter i den omfattning som krävs för att hantera sekretess och personuppgifter i forskning (proposition 2007/08:44 s. 20).

Innebörden av detta är att studenter inte bör ges ansvar för att bedriva arbeten som innefattar behandling av känsliga personuppgifter eller uppgifter om brott och där risk finns att skada individers integritet. Ansvarig institution ska säkerställa att studentarbeten bedrivs under etiskt godtagbara former.

Vägledning vid etikprövning

Information om rådgivande yttrande (etikprovningsmyndigheten.se)

Påföljder vid bristande regelefterlevnad

Den som medvetet eller med stor oaktsamhet genomför forskning utan etikprövningstillstånd eller inte följer reglerna i ett godkänt tillstånd, kan dömas till böter eller fängelse i upp till två år.

EU:s förordning om kliniska prövningar och förordning om prestandastudier av medicintekniska produkter

För kliniska läkemedelsprövningar eller kliniska prövningar och prestandastudier av medicintekniska produkter finns EU-lagstiftning tillsammans med kompletterande nationell lagstiftning. Av lagstiftningen framgår att en etisk granskningen ska utföras av en etikkommitté i enlighet med nationell rätt i den berörda medlemsstaten. I Sverige utförs den etiska granskningen av Etikprövningsmyndigheten och regleras i lag (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Regelverket ställer bland annat krav på ett informerat samtycke och innebär att en försöksperson lämnar sitt fria och frivilliga uttryck för sin vilja att delta i en viss klinisk prövning, efter att ha informerats om alla aspekter av den kliniska prövningen som är relevanta för försökspersonens beslut att delta eller, om försökspersonen är underårig eller inte är beslutskompetent, tillstånd eller samtycke från försökspersonens lagligen utsedda ställföreträdare om att personen får ingå i den kliniska prövningen.

Offentlighet och sekretess vid forskning

Forskare vid offentliga och privata forskningshuvudmän kan begära ut uppgifter och handlingar för specifika forskningsprojekt från offentliga datainnehavare.

I princip innebär offentlighetsprincipen att allmänna handlingar, inklusive personuppgifter, kan begäras ut av allmänheten för vilka syften som helst. I praktiken finns dock begränsningar.

Även om offentlighet är huvudregeln för allmänna handlingar hos myndigheter och andra offentliga aktörer som jämställs med myndigheter, till exempel kommunala bolag, skyddas data oftast av sekretess enligt offentlighets- och sekretesslagen, OSL. Sekretessen kan vara knuten till en viss myndighet eller en specifik verksamhet, och dess styrka kan variera, där vissa uppgifter omfattas av absolut sekretess, medan andra av omvänt eller rakt skaderekvisit. I praktiken kan det innebära att samma typ av uppgift har olika sekretesskydd hos olika myndigheter.

Möjligheten för privata forskningshuvudmän att ta del av handlingar

En förutsättning för en privat forskningshuvudman, till exempel ett läkemedelsföretag, att få ut uppgifter från exempelvis en myndighet eller en sjukvårdshuvudman (region eller kommun) är att uppgifterna som efterfrågas är allmänna handlingar enligt tryckfrihetsförordningen. Ibland krävs en bearbetning av uppgifter för att tillmötesgå en begäran om att få ut uppgifter för forskning. Om myndighetens bearbetning blir alltför omfattande räknas det inte längre som allmän handling och omfattas därmed inte av offentlighetsprincipen.

Enligt tryckfrihetsförordningen, TF, finns det en typ av digitala handlingar som en myndighet alltid är skyldig att ta fram. Det är de så kallade potentiella handlingar som hör till handlingstypen upptagningar, vilket bland annat omfattar databaser (2 kap. 6 § 2 st. TF). Med potentiella handlingar menas sammanställningar som ännu inte finns färdiga, men som myndigheten kan skapa på begäran med hjälp av data i sina system. Sammanställningen ska kunna göras med ”rutinbetonade åtgärder”, vilket innebär en begränsad arbetsinsats som kan utföras utan nämnvärda kostnader eller praktiska svårigheter (JO 2000/01 s. 567 och JO 2006/07 s. 478).

Även om lagen talar om “rutinbetonade åtgärder” kan allmänheten ändå kräva en del ansträngningar av myndigheten. Dåvarande Regeringsrätten (numera Högsta förvaltningsdomstolen) har slagit fast att en myndighet kan vara skyldig att på begäran göra skräddarsydda urval av uppgifter för att sammanställa dessa till en potentiell handling (RÅ 1974 ref. 8). En myndighet är också skyldig att göra vissa anpassningar av sina standardprogram för att göra det aktuella urvalet (RÅ 1976 ref. 122). Däremot finns ingen skyldighet att ta fram ett helt nytt datorprogram för ändamålet (RÅ 1988 ref 84). Om en myndighet av praktiska skäl har delat upp uppgifter i flera register kan den ändå vara skyldig att sammanställa dem till ett samlat registerutdrag (RÅ 1977 Ab 310). Däremot har Högsta förvaltningsdomstolen i ett fall kommit fram till att en sammanställning som kräver 4–6 timmars arbete inte kan ses som en rutinbetonad åtgärd (HFD 4266-14).

Det går dock inte att kräva en sammanställning av personuppgifter som myndigheten själv inte får göra (begränsningsregeln i 2 kap. 7 § TF). I vissa fall saknar myndigheter laglig befogenhet att söka eller sammanställa uppgifter eftersom det skulle kränka den personliga integriteten. Det finns olika grader av begränsningsregler. Om det finns ett absolut förbud mot att använda en viss uppgift som sökbegrepp i en databas, räknas inte heller de sammanställningar som bygger på det sökbegreppet som potentiella handlingar.

Myndigheter kan få ta del av handlingar hos andra myndigheter

Myndigheter kan inte åberopa offentlighetsprincipen för att få ut handlingar hos en annan myndighet. I stället ska en myndighet åberopa uppgiftsskyldigheten i 6 kap. 5 § OSL. Där framgår att en myndighet, på begäran av en annan myndighet, ska lämna uppgift som den förfogar över, såvida de inte är sekretessbelagda eller utlämnandet skulle hindra arbetets behöriga gång. Bestämmelsen ses som en precisering av den allmänna samverkansskyldighet som gäller mellan myndigheter enligt 8 § förvaltningslagen (2017:900).

Uppgiftsskyldigheten omfattar varje uppgift som en myndighet förfogar över, alltså även uppgifter ur handlingar som inte är allmänna (prop. 1979/80:2 Del A s. 89 och 361). Detta innebär att forskande myndigheter inte omfattas av begränsningsreglerna i tryckfrihetsförordningen när de begär uppgifter för forskning hos en annan myndighet.

Sekretess för uppgifter i handlingar

Innan en myndighet lämnar ut handlingar måste den bedöma om uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL. Sekretessens styrka - rakt skaderekvisit, omvänt skaderekvisit och absolut sekretess - bestämmer om uppgifterna som efterfrågas för forskning kan utlämnas. Rakt skaderekvisit innebär att utgångspunkten är offentlighet, alltså att handlingen kan lämnas ut. Omvänt skaderekvisit innebär att utgångspunkten är sekretess och absolut sekretess innebär att uppgifterna inte får lämnas ut.

Vanligt förekommande sekretess för data hos offentliga datainnehavare

Statistiksekretessen

Statistiksekretessen är en särskild form av sekretess som regleras i 24 kap. 8 § i OSL.

Den gäller i särskild verksamhet hos en myndighet som avser framställning av statistik, liksom för jämförbara undersökningar hos vissa myndigheter och innebär att sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden, som kan hänföras till den enskilde.

Uppgifter i flera statliga register, till exempel Socialstyrelsens hälsodataregister, socialtjänstregistret, dödsorsaksregistret samt uppgifter i register hos Statistikmyndigheten SCB omfattas av statistiksekretessen.

Trots statistiksekretessen får uppgifter lämnas ut. Det gäller uppgifter som behövs för bland annat forskningsändamål. Utlämnande får dock bara ske om det står klart att ingen person eller närstående riskerar skada eller men (omvänt skaderekvisit).

Detta undantag möjliggör för forskare att ta del uppgifter som omfattas av statistiksekretessen för sin forskning.

Hälso- och sjukvårdssekretess

Uppgifter i patientjournaler och i regionala och nationella kvalitetsregister omfattas av hälso- och sjukvårdssekretess. Det är en stark sekretess, med så kallat omvänt skaderekvisit. Individuppgifter får enbart lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap 1 § offentlighet- och sekretesslagen).

Sekretess enligt dataskyddsregleringen

Sekretess kan gälla även gentemot en forskningshuvudman enligt 21 kap. 7 § OSL. Bestämmelsen innebär att personuppgifter omfattas av sekretess om det kan antas att de, efter ett utlämnande, kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen (2018:218) eller etikprövningslagen.

Överföring av sekretess och sekretesslättnader i samband med forskning

Överföring av sekretess

Lagstiftaren har underlättat tillgång till forskningsdata genom en bestämmelse om överföring av sekretess.

Enligt 11 kap. 3 § OSL gäller att om en myndighet, till exempel ett universitet, får en sekretessreglerad uppgift från en annan myndighet för sin forskningsverksamhet, följer sekretessbestämmelsen med. Uppgiften omfattas alltså av samma sekretessbestämmelse hos den mottagande myndigheten som hos den myndighet som lämnade ut uppgifterna.

Att sekretessen följer med uppgifterna är något som den utlämnande myndigheten tar hänsyn till i sin sekretessbedömning.

Sekretesslättnad

Sekretesslättnad innebär att sekretessregler kan göras mindre strikta i vissa situationer, till exempel för att underlätta forskning. En sådan lättnad finns i 25 kap. 11 § 5 p. OSL. Sekretess hindrar inte att en uppgift som omfattas av sekretess lämnas ut från en myndighet som bedriver hälso- och sjukvård inom en kommun eller region till en annan sådan myndighet för forskning förutsatt att det inte kan antas att den enskilde eller dess närstående lider men om uppgiften röjs, det vill säga ett rakt skaderekvisit.

Med stöd av bestämmelsen kan kommuner och regioner alltså begära ut uppgifter ur datakällor samt regionala och nationella kvalitetsregister för ändamålet forskning, under förutsättning att de själva är forskningshuvudmän och har fått ett etikgodkännande. Lämnas i stället uppgifter ut från en statistikansvarig myndighet (till exempel Socialstyrelsen eller Statistikmyndigheten SCB) så kommer uppgifterna hos forskningshuvudmannen att omfattas av en absolut sekretess, så kallad statistiksekretess (24 kap. 8 § OSL).

Domstolspraxis för utlämnande av uppgifter för forskning

Domstolspraxis rörande utlämnande av uppgifter för forskning är generös. Den generösa hållningen faller tillbaka på ett flertal domar från Regeringsrätten (numera Högsta förvaltningsdomstolen), RÅ 1988 ref. 103, RÅ 1994 not. 732 och RÅ 1996 not. 124. I dessa hänvisar domstolen till förarbeten där det framhålls att uppgifter som skyddas av sekretessbestämmelser med skaderekvisit - alltså där en menprövning krävs - ofta kan lämnas ut för forskningsändamål utan beaktansvärd risk för skada.

Data hos forskningshuvudmän

När en forskningshuvudman omfattas av offentlighets- och sekretesslagen blir de handlingar som skapas, tas emot eller lämnar organisationen allmänna handlingar. Det gäller även forskningsdata, som exempelvis digitala texter, bilder, ljud- och videomaterial, 3D-skanningar, observationer och experimentresultat. I tryckfrihetsförordningen finns bestämmelser om allmänhetens rätt att ta del av allmänna handlingar, den så kallade offentlighetsprincipen. Som huvudregel ska allmänna handlingar lämnas ut vid en begäran, förutsatt att det inte hindras av sekretess.

Övrig reglering av forskning

Utöver dataskydd, etiska principer och sekretessregler finns det även andra lagar och regler som aktualiseras vid forskning. Nedan nämns några.

Arkivlagen

Arkivlagen (1990:782) innehåller bestämmelser om myndigheters och vissa andra organs arkiv. Enligt 3 § första stycket bildas ett myndighetsarkiv av de allmänna handlingar som uppstår i myndighetens verksamhet, samt av de handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Lagen om ansvar för god forskningssed och prövning av oredlighet i forskning

Lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning reglerar både forskarens och forskningshuvudmannens ansvar för att forskning bedrivs enligt god forskningssed. Den anger också hur prövningen av misstänkt oredlighet i forskning ska gå till.

Öppna data-lagen

Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (den så kallade öppna data-lagen) innehåller regler för hur offentliga data kan delas och användas vidare.

Publicerat den

Uppdaterat den