Känsliga personuppgifter

Du ska alltid särskilt överväga om behandlingen av personuppgifter är lämplig och nödvändig för att du ska kunna uppnå ditt ändamål med behandlingen, och om du kan minimera uppgifterna på något sätt.

Detta kan illustreras av följande exempel. Du planerar att fråga om medborgares upplevelser av sitt senaste besök på en vårdcentral. Genom att begränsa frågeställningarna till att endast gälla upplevelsen av vårdcentralen, och undvika att ställa frågor om varför medborgaren besökte vårdcentralen eller vilken diagnos hen sökte för, minskar du risken för att behandla fler uppgifter än nödvändigt.

Tillsammans med din handledare ska du även bedöma lämpligheten i det tilltänka arbetet. Är arbetet något som ryms inom din utbildning? Kan det utföras så att integriteten för de personer vars personuppgifter som ska behandlas inte påverkas negativt?

Tillsammans med din handledare behöver du säkerställa att arbetet kan bedrivas under etiskt säkerställda och trygga former. Om du ska behandla känsliga personuppgifter eller uppgifter om lagöverträdelser behöver ni säkerställa att den typen av personuppgifter endast behandlas i en mindre omfattning och att arbetet inte kombinerar flera olika typer av känsliga personuppgifter.

Som stöd vid bedömningen ska du och din handledare diskutera om arbetet kan genomföras under etiskt godtagbara former med utgångspunkt i de allmänna forskningsetiska principerna, exempelvis Vetenskapsrådets rapport ”God forskningssed”. Personuppgifterna kan behandlas om de återges på ett återhållsamt sätt från exempelvis publicerade domar eller uppgifter i massmedia samt att förutsättningarna som beskrivs på denna sida kan uppfyllas.

Till rapporten God forskningssed

Om du och din handledare är osäkra på om ett arbete är lämpligt att genomföra, kontakta dataskydd@gu.se. Det finns också en möjlighet att kontakta Etikprövningsmyndigheten för ett rådgivande yttrande rörande ett arbete eller projekt.

Om du ska behandla känsliga personuppgifter i ditt arbete bedömer universitetet att en sådan behandling kräver att du får samtycke från de personer vars uppgifter som ska behandlas. GDPR ställer särskilda krav på hur ett samtycke till behandling av känsliga personuppgifter ska vara utformat. En särskild mall ska användas, du hittar den under "Mallar". 

Tänk på att du själv måste hålla de insamlade samtyckena i ordning och förvara dem på ett säkert ställe så att du kan ta fram dem i efterhand om någon vill återkalla sitt samtycke till behandlingen.

Du får enbart använda de verktyg och tjänster som tillhandahålls av universitetet. Det är inte tillåtet att använda sig av gratistjänster som du har tillgång till fritt på internet. De verktyg som tillhandahålls av universitetet finns samlade på följande sidor: 

Digitala verktyg
Andra digitala verktyg och programvaror

Behandling av känsliga personuppgifter kan endast ske med digitala verktyg eller tjänster som är godkända för att hantera data inom informationsklass 3, det vill säga data som innefattar exempelvis sekretessbelagd information eller känsliga personuppgifter. Universitetet kan i dagsläget inte erbjuda sådana verktyg eller tjänster till studenter. Det är därför extra viktigt att du utför övriga säkerhetsåtgärder för att behandlingen ska vara laglig. 

Känsliga personuppgifter ska i så hög utsträckning som möjligt pseudonymiseras/kodas. Det innebär att du behöver ersätta det riktiga namnet på personen som avses med något annat. Vanligtvis använder man sig av beteckningar som ”person 1", "person 2" och så vidare istället för att skriva ut det riktiga namnet. Det är extra viktigt att detta har gjorts innan dess att ett examensarbete publiceras. Kodnyckeln, det vill säga förklaringen till vem som är person 1 eller person 2, ska förvaras avskilt från övriga dokument.

Tänk på att även om namn har skrivits ut i domar som går att hitta i rättsdatabaser så behöver du fortfarande pseudonymisera/koda uppgifterna. Det kan räcka med en annan benämning som exempelvis ”klaganden” eller ”svaranden”. 

En grundläggande säkerhetsåtgärd är att säkerställa att endast personer som har rätt att behandla uppgifterna har tillgång till uppgifterna. Detta innebär i sin enklaste form att du är ansvarig för att ingen annan än du själv har tillgång till personuppgifterna. Uppgifterna ska därför naturligtvis inte visas för eller delas med medstudenter, vänner eller familj.

Din dator ska vara skyddad av ett starkt lösenord. Detta innebär att lösenordet helst ska uppfylla följande punkter:

• Lösenordet ska vara så långt som möjligt och bestå av blandade små och stora bokstäver, siffror och specialtecken. Ett långt lösenord är mycket bättre än ett komplext.
• Använd inte lösenord som har direkt anknytning till dig själv eller saker runt omkring dig som andra kan känna till.
• Använd inte samma lösenord för olika konton.
• Lösenordet ska inte innehålla ord som kan återfinnas i någon ordlista eller något lexikon och det bör inte heller vara en enkel sammanskrivning av två ord.

Som hjälp för att komma ihåg ett långt lösenord kan en lösenordsfras användas. Lösenordsfraser innebär att du bildar lösenordet genom att exempelvis kombinera första bokstaven i varje ord i en mening, fras eller sångtext. Om du dessutom varierar tecknen genom att använda små och stora bokstäver, siffror och specialtecken blir lösenordet ännu säkrare. Om frasen till exempel är ”Min snälla kyckling Bertil föddes på Bondgården -22!”, så kan det motsvara lösenordet ”MskBfpB-22!”.

Lämna aldrig ut ditt lösenord till någon annan, skriv inte ner lösenordet och låt inte heller datorn spara användaridentifikation och lösenord för automatisk inloggning.