Dataskyddsanvisning för forskare

Medicinska fakultetens dataskyddsanvisning för forskare.
Personuppgifter inom forskning

Personuppgifter är alla sådana uppgifter som direkt eller indirekt kan kopplas till en person. De är alltså mycket mer än bara ett namn, en personbeteckning eller kontaktuppgifter. Prover och/eller analyser av prover är också personuppgifter om de kan kopplas till en person, till exempel med hjälp av en pseudonymiseringskod. Behandling av prover i forskningssyfte betyder därför i praktiken nästan alltid att forskningsmaterialet består av känsliga personuppgifter. 

I forskningen vid Medicinska fakulteten ingår nästan alltid hantering av personuppgifter. Personuppgifter samlas ofta in av patienter eller av friska frivilliga (till exempel genom analys av prover, mätningar och frågeformulär) och från olika register. Forskningen regleras och styrs av dataskyddsförordningen (GDPR och den nationella dataskyddslagen), särskilda bestämmelser om medicinsk forskning (till exempel lagen om medicinsk forskning, biobankslagen, lagen om patientens ställning och rättigheter), bestämmelser om registerforskning (lagen om sekundär användning av personuppgifter inom social- och hälsovården, den så kallade lagen om sekundär användning) samt av universitetets interna policyer och riktlinjer. 

Forskaren och forskarens organisation ansvarar för forskningens lagenlighet och etik. Rätten till integritet och korrekt behandling av personuppgifter är en grundläggande rättighet för alla som deltar i en undersökning. Lagstiftningen ger riktlinjer för hur forskningsdata och personuppgifter ska hanteras på ett etiskt riktigt sätt. Genom att behandla personuppgifter på ett etiskt riktigt och lagenligt sätt vinner du forskningspersonernas förtroende, skyddar deras uppgifter från obehörig åtkomst och säkrar deras rättigheter och friheter.  Genom att noggrant planera din forskning i förväg och sakligt informera forskningspersonerna om dina planer säkrar du att du kan genomföra din studie från början till slut. 

I enlighet med dataskyddslagstiftningen har forskningspersonen rätt att förbjuda användning av sina uppgifter och få information om vilket ändamål uppgifterna används för. Mer information om forskningspersoners rättigheter hittar du på webbsidan Dataskyddsanvisning för forskare.

Säker hantering av data

Säker hantering av data ingår i dataskyddet och är också en förutsättning för att forskningen ska få ett positivt förordande av etiska kommittén. Förhandsplanering och iakttagande av lagstiftningen skyddar också forskaren om uppgifterna av någon anledning skulle hamna i fel händer. 

Helsingfors universitet och CSC erbjuder forskare säkra lagringsmiljöer vid hanteringen av känsliga data.

  • Medicinska fakultetens HU Grupplagringsutrymme (L-station)
    • för pseudonymiserade personuppgifter
    • för personuppgifter med låg och måttlig risk eller för sekretessbelagd information
  • UMPIO
  • CSC:s tjänster: 
    • SD Services
    • Allas

Läs mer om informationsteknik inom forskning här

Samarbete med HUS (eller med andra serviceproducenter inom hälso- och sjukvården)

En del av forskningen vid Medicinska fakulteten genomförs i samarbete med HUS eller någon annan serviceproducent inom hälso- och sjukvården. Vid samarbetet måste samarbetsorganisationens praxis och riktlinjer tas i beaktande. Forskningstillstånd söks hos den organisation vars patientuppgifter eller annat material (t.ex. prover) kommer att behandlas vid forskningen. Helsingfors universitet använder sig inte i sig av forskningstillstånd, men det är policy vid de flesta sjukhusorganisationer. Om registerdata ska användas i forskningen måste ett tillstånd enligt lagen om sekundär användning fås av Findata eller av registerhållaren i enlighet med lagen (se mer i avsnittet om registerforskning).  Biobankstillstånd söks hos den biobank vars prover du vill hantera.

Anvisningar för forskare på HUS webbsida

Helsingfors universitet och HUS har ett nära samarbete och en del av forskarna vid Medicinska fakulteten arbetar också vid HUS. Det är viktigt att notera att universitetet och HUS är två separata juridiska personer. Alltid när Helsingfors universitet samarbetar med HUS (eller någon annan part utanför universitetet), ska nödvändiga forskningsavtal ingås med samarbetsparten. 

HUS och Helsingfors universitet är två separata juridiska personer och därför ansvarar vardera organisationen för sina skyldigheter. Vid samarbete upprättas ett samarbetsavtal och avtal om behandling av personuppgifter (avtal om gemensamt personuppgiftsansvar och/eller avtal om behandling av personuppgifter) samt annan nödvändig dokumentation (t.ex. dataskyddsmeddelande, konsekvensbedömning). Parternas rättigheter, ansvar och skyldigheter fastställs i avtalen.

Patientforskning och etiska utlåtanden

Helsingfors universitet är inte en vårdenhet inom hälso- och sjukvården och har inga patienter. Om du bedriver forskning som involverar patienter måste du ansöka om ett utlåtande från det aktuella välfärdsområdets etiska kommitté och om ett forskningstillstånd hos vederbörande vårdenhet (t.ex. HUS). 

Patienterna är på den behandlande enhetens (t.ex. HUS) ansvar, vilket innebär att enheten är personuppgiftsansvarig. För att HUS patientuppgifter ska kunna hanteras vid Helsingfors universitet, krävs nödvändiga forskningstillstånd (i fråga om registerforskning dataanvändningstillstånd). De data som används vid forskningen bildar ett eget forskningsregister/dataregister, vars personuppgiftsansvariga måste definieras separat. Detta är ett annat register än patientregistret till exempel vid HUS. För mer information om personuppgiftsansvariga, se Dataskyddsanvisning för forskare.  

All interventionsforskning på patienter och klinisk medicinsk forskning genomförs vid ett sjukvårdsdistrikt (såsom vid HUS) och sjukvårdsdistriktets jurister ger det stöd som behövs för att forskningen ska kunna genomföras. Om det är fråga om uppdragsforskning vid HUS (t.ex. en studie som sponsrats/beställts av ett läkemedelsföretag) ska ett avtal om forskningen ingås med HUCS-institutet. HUCS-institutet administrerar all beställd forskning vid HUS och även en del av den övriga forskningsfinansieringen.   

HUCS-institutets webbplats

Registerforskning

Om uppgifter som uppkommer inom social- och hälsovården behandlas som forskningsmaterial rör det sig om sekundär användning av registeruppgifter inom social- och/eller hälsovården och på insamlingen och behandlingen av uppgifterna tillämpas lagen om sekundär användning av personuppgifter inom social- och hälsovården (den s.k. lagen om sekundär användning).

För att få tillgång till uppgifter i registret krävs ett dataanvändningstillstånd eller en begäran om information. Dataanvändningstillståndet ger tillgång till uppgifter på individnivå (för vetenskaplig forskning), medan en begäran om information ger tillgång till uppgifter i form av aggregerad statistik (för vetenskaplig forskning eller utvecklings- och innovationsverksamhet). Mer information på Flamma: Sekundär användning av personuppgifter inom social- och hälsovården i forskning och Findatas webbplats.

Öppen vetenskap och skydd av personuppgifter

Helsingfors universitet har förbundit sig att följa principerna för öppen vetenskap och i fråga om forskningsdata gäller principen "så öppet som möjligt och så slutet som nödvändigt". Också finansiärer eller utgivare kan kräva öppna publikationer eller att forskningsmaterialet tillgängliggörs. Läs mer om öppen vetenskap.  

Inom Medicinska fakultetens forskning måste dock särskild försiktighet iakttas vid publicering och tillgängliggörande av data. Vid publicering måste de undersöktas identitet skyddas särskilt noggrant, och i vissa fall kan materialet inte tillgängliggöras alls, alternativt kan det endast tillgängliggöras i begränsad utsträckning. Det här beror på att materialet innehåller känsliga uppgifter om människor och att hanteringen av uppgifterna begränsas av såväl dataskyddsförordningen som nationell speciallagstiftning. När forskningspublikationer och forskningsdata tillgängliggörs är det viktigt att beakta att personuppgifter inte inkluderas i onödan.  Mer information om öppen publicering av identifierbara data hittar du i Flamma.

När materialet tillgängliggörs ska du särskilt noggrant beakta hur väl forskningspersonerna har informerats och vilka typer av tillstånd och samtycken du har gällande materialet. Lagstiftningen begränsar även överföring av uppgifter till länder utanför EU. Särskild noggrannhet ska iakttas om du överför material som inte kan anonymiseras (t.ex. genetiska uppgifter eller prover, i synnerhet om de innehåller dna). 

Om till exempel en utgivare (vetenskaplig tidskrift) eller samarbetspartner kräver att du laddar material till en viss databas är det här kanske inte juridiskt möjligt. Diskutera frågan med utgivaren eller partnern innan du agerar. Ofta räcker det med att publicera metadata. 

Forskarens checklista – dokument, avtal och tillstånd

Innan forskningen inleds vid Medicinska fakulteten vid Helsingfors universitet, ska den forskare som ansvarar för forskningen försäkra sig om att alla de dokument, tillstånd och avtal som nämns i checklistan nedan har utarbetats eller beviljats. Vid en ren registerstudie krävs inte de dokument som nämns i punkterna 4 och 5 (samtycke till att delta i forskningen; utlåtande från etiska kommittén, om inte utgivaren eller finansiären begär det). Du kan använda universitetets mallar för att utarbeta dokument, men i samarbetsprojekt kan du även använda mallar från andra organisationer, huvudsaken är att dokumenten har utarbetats: 

  1. Gör upp en forskningsplan. Se guiden för planeringen av ett forskningsprojekt.  Redan när du planerar din studie är det bra att identifiera alla medverkande organisationers roller och utreda om studien kan genomföras på det sätt du har tänkt dig (t.ex. under vilka förutsättningar du kan få tillgång till det tänkta materialet och om du behöver vänta länge på tillstånd). Planera studien noggrant och kontakta vid behov universitetets stödtjänster redan under planeringsskedet. Det gör forskningsprocessen smidigare senare. 
  2. Datahanteringsplan. Planera hur datahanteringen ska skötas. Forskning vid Medicinska fakulteten förutsätter en datahanteringsplan. I datahanteringsplanen ska du beskriva hur dataskyddslagstiftningens allmänna principer kommer att iakttas, bedöma eventuella risker för materialet och forskningspersonerna samt vid behov göra en konsekvensbedömning avseende dataskydd. Mer information om riskbedömning finns på sidan Dataskyddsanvisning för forskare.  
  3. Dataskyddsmeddelande. Varje forskningsprojekt vid universitet som involverar personer måste upprätta ett dataskyddsmeddelande(du hittar mallen till höger på sidan), som skickas till tietosuoja@helsinki.fi. Dataskyddsmeddelandet kan användas för att informera forskningspersonerna, och det uppfyller också det lagstadgade kravet på forskningsdokumentering. Vid universitetsforskning är grunden för behandling av personuppgifter i regel allmänt intresse
  4. Samtyckesblankett för att delta i studien och meddelande till forskningspersonerna. Om forskningspersonerna deltar frivilligt i studien (dvs. det inte är fråga om en registerstudie), ska du redan på förhand formulera meddelandet till forskningspersonerna och samtyckesblanketterna. Observera att ett samtycke till medicinsk undersökning inte betyder ett samtycke till behandling av personuppgifter. Grunden för behandling av personuppgifter är i regel allmänt intresse. Var också särskilt uppmärksam på vem materialet behöver delas med (till exempel samarbetspartner) och om det är meningen att det ska göras tillgängligt eller återanvändas.
  5. Utlåtande av den etiska kommittén. Begär ett utlåtande av den etiska kommittén i förväg (etiska kommittéer).
  6. Forskningstillstånd och/eller dataanvändningstillstånd. Skaffa de nödvändiga forskningstillstånden och/eller dataanvändningstillstånden: Ansök om forskningstillstånd av den organisation vars patientuppgifter eller övriga material (såsom prover) du tänker behandla i studien. Helsingfors universitet använder sig inte i sig av forskningstillstånd, men det är policy vid de flesta sjukhusorganisationer. Om du tänker använda registerdata i din forskning måste du söka forskningstillstånd enligt lagen om sekundäranvändning hos Findata eller av en enskild registerhållare i enlighet med lagen (se mer: Findata. Biobankstillstånd söks hos den biobank vars prover du vill hantera. 
  7. Avtal. Förhandla om nödvändiga avtal och överlåtelser av rättigheter. Forskningsavtalen utarbetas med stöd av universitetets juridiska service (tutkimuksenjuristit@helsinki.fi). Mer information om avtal, notera särskilt Anvisningar för ingående av avtal.
  8. Se också till att universitetet eller forskningsgruppen har nödvändiga försäkringar.