Begära ut personuppgifter för forskningsändamål
Rutinerna för att begära ut data för forskning kan variera mellan olika organisationer, eftersom varje datainnehavare ansvarar för sin egen process för utlämnande av personuppgifter. Här beskrivs de vanligaste kraven och vilken information som vanligtvis ska bifogas en ansökan om utlämnande av data för forskningsändamål.
Nedan följer en översikt av de steg och den information som behöver finnas på plats för att begära ut data för forskning. Sidan fungerar som en checklista som beskriver vad som behöver göras i rätt ordning – från etikprövning och tillstånd till hantering och publicering av data.
Tidig dialog underlättar ansökan
En tidig dialog med datainnehavare underlättar ansökningsprocessen och minska risken för förseningar eller kompletteringar. Många datainnehavare erbjuder informationsstöd, checklistor och beskrivningar av utlämnandeprocessen på sina webbplatser.
1. Godkänd etikprövning
För att få tillgång till känsliga personuppgifter och personuppgifter om lagöverträdelser för forskningsändamål krävs en godkänd etikprövning. Det finns flera aspekter som är viktiga att specificera för att Etikprövningsmyndigheten ska kunna göra sin prövning, men även för att datainnehavaren senare ska kunna lämna ut de data som efterfrågas på det sätt som behövs. Datainnehavare får nämligen bara lämna ut data i enlighet med Etikprövningsmyndighetens godkännande och eventuella villkor som kan vara kopplade till godkännandet.
Om detaljer i forskningsplanen har ändrats efter etikgodkännandet kan en ändringsansökan behöva lämnas in. Vid ansökan om etikprövning kan det därför vara bra att redan ha haft kontakt med de datainnehavare som ska lämna ut data, för att säkerställa att uppgifterna som beskrivs i ansökan till Etikprövningsmyndigheten är tillräckligt detaljerade för att tillgodose de krav som datainnehavaren ställer. Ett etikgodkännande upphör att gälla om forskningen inte har påbörjats inom två år efter godkännandet.
Tänk på följande i etikansökan
Var tydlig med vilken data som avses
I ansökningsblanketten för etikprövning, under ”Registeruppgifter”, krävs svar på de frågor som myndigheten ställer om bland annat vilka datakällor som avses, vilka uppgifter som kommer begäras ut (variabelförteckning krävs) och varför de behövs för att besvara projektets frågeställningar. Den specifikation av data som beskrivs här behöver stämma överens med den specifikation som senare görs vid ansökan om utlämnande av data. Vissa datainnehavare har specifika formkrav i ansökan, vilket kan vara bra att kolla upp innan ansökan om etikprövning lämnas in.
Motivera data som ska användas
Om forskningen behöver data med personnummer eller andra identifierbara individuppgifter ska det vara motiverat och finnas tydligt beskrivet i ansökan om etikprövning. Utlämnande av data med personnummer görs mycket restriktivt och kräver att Etikprövningsmyndigheten bedömer en sådan personuppgiftsbehandling som etiskt godtagbar. Redogör för eventuella samkörningar av datakällor. Om studien inkluderar samkörning med andra datakällor eller ska kombineras med ny insamling av data ska detta beskrivas i etikprövningsansökan.
Specificera om forskningen kräver utlämnande vid flera tidpunkter
Om projektet planerar att ansöka om datauttag vid flera olika tillfällen ska det framgå i etikprövningsansökan. Det är till exempel aktuellt för forskningsprojektet som följer upp individer över tid och därmed behöver årsvisa uppdateringar av en viss population.
Rätt forskningshuvudman måste ansöka
Utlämnande av data sker normalt endast efter begäran från behörig företrädare för den/de forskningshuvudman/män som står angiven på den godkända etikprövningsansökan. Det behöver alltså vara samma forskningshuvudman som ansöker om etikprövning, som också ansöker om utlämnande av data.
En godkänd ansökan om etikprövning innebär inte rätt att få ut data. Datainnehavaren genomför alltid av en separat sekretessprövning och menprövning innan data lämnas ut.
2. Andra regulatoriska tillstånd
Om forskningsprojektet kräver tillstånd från andra regulatoriska myndigheter ska dessa bifogas ansökan om datautlämnande. Det är forskarens ansvar, med stöd av forskningshuvudmannen, att avgöra om projektet kräver sådana tillstånd. Det kan till exempel handla om tillstånd enligt EU:s förordning om kliniska prövningar av humanläkemedel 2014/536, även kallad Clinical Trials Regulation, CTR, och tillstånd för medicintekniska prövningar enligt Medical Device Regulation, MDR.
3. Ansök om utlämnande av data
För att kunna hantera en förfrågan och göra en sekretessprövning (se stycke "6. Databearbetning, eventuell samkörning av data och utlämnande av data" nedan) behöver datainnehavaren som ska lämna ut data ha viss information. En del datainnehavare har skapat en blankett eller ett digitalt formulär för detta, andra kontaktas via mejl. Informationen som efterfrågas varierar mellan datainnehavare.
Exempel på uppgifter som kan efterfrågas i underlaget
Projektbeskrivning (projektplan/forskningsplan) där ändamål för användningen av uppgifterna framgår
Beskriv forskningsfrågeställning, studiedesign, mål- och studiepopulation och hur data ska analyseras tydligt för att ge datainnehavaren förutsättningar att bedöma vilka data som är nödvändiga för utlämnandet. Ju tydligare beskrivning desto större sannolikhet att få korrekt data från början. Vid frågor kontakta datainnehavaren i ett tidigt skede.
Information om data som önskas utlämnad
Precisera vilken data som ska utlämnas genom att ange variabler och urvalsönskemål. Det kan handla om att definiera studiepopulation, antal individer som populationen ska omfatta och tidsperioden för den önskade datan. Vissa datainnehavare erbjuder särskilda mallar eller verktyg, ibland kallade variabelväljare, som informationen ska preciseras i. Ett vanligt misstag är att begära ut för mycket data eller data som inte är relevant för projektet. Uppgiftsminimering är en grundläggande princip i dataskyddsförordningen och innebär att varje variabel måste motiveras utifrån projektets syfte och studiedesign.
En detaljerad specifikation
Datainnehavare får inte lämna ut mer omfattande data än vad som krävs. En detaljerad specifikation underlättar för datainnehavaren att hitta rätt information och att genomföra sekretessprövningen. Specifikationen av data behöver också stämma överens med uppgifterna i den godkända ansökan om etikprövning. Om uppgifterna inte stämmer finns risken att en ändringsansökan behöver göras, vilket kan försena utlämnandet. Som regel lämnas endast pseudonymiserade eller avidentifierade uppgifter ut. Om personnummer eller andra identifierbara individuppgifter behövs ska detta motiveras och finnas beskrivet i den godkända ansökan om etikprövning.
Information om annan data som ska ingå i projektet
Förutom att specificera den data som önskas utlämnad från den aktuella datainnehavaren behövs även information om annan registerdata och egeninsamlade data ska ingå i projektet. Detta är nödvändigt eftersom datainnehavarens sekretessprövning utgår från samtliga förutsättningar och underlag.
Information om upprepade leveranser
Ange om projektet planerar att följa upp data över tid och därför behöver uppdateringar av exempelvis nya årgångar eller populationer . Detta är nödvändigt för att projektets kodnyckel ska kunna sparas längre tid än vad som normalt görs.
Beskrivning över hur data ska hanteras och skyddas
Beskriv hur uppgifterna kommer skyddas (tekniska och organisatoriska åtgärder) i enlighet med bland annat artikel 32 och 89.1 i GDPR. Datainnehavare efterfrågar ofta specifik information om detta i samband med utlämnande av data (om informationen redan finns i datahanteringsplan kan det räcka att denna bifogas). Exempel på beskrivning som kan efterfrågas:
- Vilken sekretess som uppgifterna kommer att omfattas av efter utlämnade.
- Hur data ska lagras, inklusive åtkomstbehörighet. Ange vilka som kommer få tillgång till uppgifterna och om dessa personer informerats om sekretessens innebörd.
- Om data ska behandlas av personer som inte tillhör den mottagande forskningshuvudmannen. Detta gäller exempelvis om uppgifter ska överföras till andra huvudmän eller organisationer. I dess fall kan särskilda avtal krävas, se ”Övriga tillstånd och avtal” nedan.
- Hur kodnycklar för pseudonymisering kommer att förvaras.
- Hur data kommer att hanteras efter avslutat projekt.
Information om vilken forskningshuvudman uppgifterna ska lämnas ut till
Vid forskning på känsliga personuppgifter kan data endast lämnas ut till forskningshuvudman som står angiven i den godkända ansökan om etikprövning.
Undertecknad ansökan om etikprövning samt beslut om godkännande
Ett utlämnande av data måste vara förenligt med det godkännande och eventuella villkor som Etikprövningsmyndigheten beslutat om. Hela ansökan om etikprövning, inklusive bilagor, eventuella kompletteringar och beslut om godkännande med eventuella villkor, måste bifogas.
Övriga tillstånd och avtal
I vissa fall behöver ytterligare tillstånd och avtal bifogas ansökan för att datainnehavaren ska kunna lämna ut data, till exempel:
- Personuppgiftsbiträdesavtal, PUB-avtal. Detta behövs om personer (fysiska eller juridiska) som inte är anställda hos forskningshuvudmannen ska behandla personuppgifter, exempelvis vid teknisk bearbetning eller analys av data.
- Data transfer agreement, DTA. Ett DTA-avtal krävs när data delas vidare med samverkande forskningshuvudmän inom ett forskningsprojekt eller när en mottagare har ett självständigt personuppgiftsansvar. Avtalet specificerar bland annat vilka typer av data som kan överföras, under vilka förutsättningar, hur länge data får behållas och vilka säkerhetsåtgärder som måste följas. Avtalet säkerställer även att mottagande organisationer följer relevanta dataskyddsförordningar.
- Utlämnandebeslut från andra datainnehavare. Detta beslut krävs om data som begärs ut ska samköras med andra data.
- Data Protection Impact Assessment, DPIA. En DPIA-bedömning, eller konsekvensbedömning avseende dataskydd, kan behövas om forskningsprojektet hanterar stora mängder känsliga personuppgifter, till exempel hälsodata från patientjournaler. En DPIA identifierar och minimerar riskerna innan databehandlingen påbörjas och är ett viktigt verktyg för att säkerställa att GDPR och andra dataskyddsbestämmelser efterlevs.
Godkänna slutlig dataspecifikation och kostnadsförslag
Normalt behövs att en slutlig specifikation och ett kostnadsförslag accepteras innan utlämnandet av data kan genomföras. Kostnaderna för utlämnandet kan variera mellan olika datainnehavare, men generellt debiteras för tiden det tar att handlägga ärendet. Omfattning och komplexitet på en begäran om datauttag påverkar därmed kostnaden.
4. Datainnehavarens sekretessprövning
När datainnehavaren har mottagit en komplett ansökan görs en bedömning om de begärda uppgifterna kan lämnas ut. Normalt är uppgifterna allmänna handlingar, vilket innebär att datainnehavaren behöver genomföra en sekretessprövning.
Exempel på vad som bedöms vid sekretessprövningen
Rätten för mottagaren att behandla uppgifterna
- Finns det en rättslig grund för behandling av de personuppgifter som begärs ut för det specifika ändamålet? Läs mer om rättslig grund för behandling av personuppgifter och olika tillåtna ändamål för olika datakällor här (infoga länk).
- Om ändamålet gäller forskning, finns det en godkänd ansökan om etikprövning för behandling av dessa uppgifter? Är det samma forskningshuvudman som ansöker om utlämnande av data och som ansökt om och erhållit det etiska godkännandet? Om forskningshuvudmannen har bytts ut från grundansökan kräver vissa datainnehavare ett godkännande från Etikprövningsmyndigheten för byte av forskningshuvudman.
Menprövning
- Kan någon person lida skada eller men om uppgifterna lämnas ut?
- Hur ser sekretesskyddet ut hos mottagaren av data? Finns förmåga att garantera samma sekretessnivå som datakällan omfattas av och säkerhet för uppgifterna som utlämnas, för att förhindra att datauttaget orsakar skada?
Behovsprövning
Behövs all data som begärts ut? Endast uppgifter som är nödvändiga kan lämnas ut enligt den så kallade uppgiftsminimeringsprincipen i dataskyddsförordningen.
Överenstämmelse med godkänd ansökan om etikprövning
Datainnehavare kontrollerar bland annat att:
- beskrivningen av studiepopulationen stämmer överens
- datakällorna och datainnehavarna finns namngivna i godkänd ansökan om etikprövning
- syftet (behovet) med begärda uppgifter framgår i godkänd ansökan om etikprövning
- det framgår i godkänd ansökan om etikprövning att en kodnyckel behöver sparas (om detta krävs)
- det är motiverat i godkänd ansökan om etikprövning varför personnummer krävs istället för löpnummer, om personnummer ska utlämnas
- det i godkänd ansökan om etikprövning framgår om uppgifter från andra datainnehavare och datakällor ska hanteras eller samköras inom projektet.
5. Beslut om utlämnande av data
Processen för beslut om utlämnande kan se olika ut hos datainnehavarna. Ofta granskar en handläggare och/eller en bedömargrupp, som representerar olika kompetenser, ansökningar och ger en rekommendation till beslut. Det formella ansvaret för att pröva och fatta beslut om utlämnande är vanligtvis delegerat till en verksamhetschef eller jurist. Myndigheternas bedömningar och ställningstaganden utgår från de regelverk som respektive datakälla och myndighet omfattas av.
Om datainnehavaren beslutar att neka ett utlämnade av data har den som ansökt om uppgifterna rätt att få ett formellt överklagbart avslagsbeslut.
6. Databearbetning, eventuell samkörning av data och utlämnande av data
Efter att beslut om utlämnande har fattats genomför datainnehavaren nödvändig kvalitetssäkring och databearbetning innan data lämnas ut. Generellt görs utlämnandet enbart efter begäran från en behörig företrädare för ansvarig forskningshuvudman, som ansvarar för att den fortsatta hanteringen av data sker på ett korrekt sätt. Vissa datainnehavare erbjuder möjlighet till digital utlämning av data via en portal eller säker digital miljö.
Ingen direktåtkomst till patientjournaler
Det är inte tillåtet med direktåtkomst till patientjournaler i forskningssyfte enligt patientdatalagen. Det gäller även för forskare som är anställda i samma organisation som ansvarar för journalerna och som, genom sitt kliniska arbete, har praktisk tillgång till dem.
7. Kontrollera utlämnade data
Efter att data lämnats ut är det viktigt att kontrollera att uppgifterna är rätt. Datainnehavare har sällan möjlighet att bevara utlämnade uppgifter i ett datamaterial och tillåter endast korrigeringar av data under en begränsad tid efter utlämnandet. Om ingen tidsfrist angivits i samband med utlämnandet bör detta diskuteras med ansvarig handläggare hos datainnehavaren. Komplettering av datauttag med ytterligare uppgifter godtas normalt inte efter tidsfristen utan kräver en ny ansökan.
8. Mottagarens ansvar efter att data lämnats ut
Efter att data har överlämnats till en forskningshuvudman övergår det juridiska ansvaret för dataskydd till mottagaren i enlighet med GDPR och dataskyddslagen. Mottagaren behöver säkerställa säker hantering, begränsad användning till godkänt ändamål och skydd av enskilda individers integritet under hela processen även när resultaten publiceras.
Exempel på ansvar
Dataskydd
När personuppgifter har lämnats ut blir mottagande forskningshuvudman ansvarig för att GDPR:s och dataskyddslagens regler tillämpas. Om mottagaren (forskningshuvudmannen) är en myndighet eller ett organ som omfattas av offentlighet- och sekretesslagen, gäller dessa lagar även för den utlämnade datan. Forskningshuvudmannen ansvarar för att data hanteras enligt gällande rätt, det innebär bland annat att data förvaras säkert och att enskilda individers identitet inte röjs.
Som forskare är det viktigt att följa forskningshuvudmannens eventuella riktlinjer och rutiner för informationshantering. Vid oklarheter är det är bra att stämma av med de stödfunktioner som ofta finns tillgängliga hos berörd forskningshuvudman.
Begränsad användning
Utlämnad data får endast användas för det ändamål (i det här fallet för forskning) och på det sätt som godkänts av Etikprövningsmyndigheten. Efter projektets slut ska uppgifterna arkiveras, förstöras eller gallras enligt organisationens rutiner. En ny forskningsfråga kräver en ny etikansökan eller en ändringsansökan till Etikprövningsmyndigheten.
Publicera och offentliggöra resultat
När forskningsresultat, baserat på det specifika datauttaget, publiceras eller offentliggörs på annat sätt får enskilda individers identitet inte röjas. Även statistiska uppgifter kan kopplas till individer indirekt om de exempelvis avser säregna förhållanden, är geografiskt begränsade eller begränsade i tid eller för en specifik åldersgrupp. Observera att uppgifter om enskilda firmor i företagsregister och företagsundersökningar också kan vara personuppgifter. Läs mer om vad som är personuppgifter på Integritetskyddsmyndighetens webbplats.
Publicerat den
Uppdaterat den