Riktlinjer för arbete med personuppgifter vid GIH

Relevanta dokument
Personuppgiftsbehandling i forskning

Personuppgiftsbehandling för forskningsändamål

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen (PuL) - En kort introduktion

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Lathund Personuppgiftslagen (PuL)

Personuppgifter i forskningen vilka regler gäller?

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

PERSONUPPGIFTSLAGEN (PUL)

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Policy för hantering av personuppgifter

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Behandling av personuppgifter vid Göteborgs universitet

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

Personuppgifter. Behandling av personuppgifter

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Riktlinjer för webbpublicering enligt PuL

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Bilaga Personuppgiftsbiträdesavtal

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Säkerhet vid behandling av personuppgifter i forskning

Kerstin Wardman, 25 april 2018

Tillsyn enligt personuppgiftslagen (1998:204) två forskningsprojekt vid Roche AB

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Personuppgiftslagen 20 april 2010

Kanslichef - Tillsvidare

Riktlinjer för behandling av personuppgifter

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Personuppgiftsbehandling Dataskydd

Personuppgifter i forskning riktlinje för SLSO

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Integritet, personuppgifter

Riktlinjer för hantering av personuppgifter

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PERSONUPPGIFTSBITRÄDESAVTAL

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) forskningsprojektet SWEGHO vid Pfizer AB

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

BILAGA Personuppgiftsbiträdesavtal

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄ DESÄVTÄL

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Etik och etikansökningar Praktiska synpunkter Vad skall man tänka på?

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Rutin för webbpublicering av personuppgifter

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Svensk författningssamling

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftslagen PUL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Personuppgiftspolicy

Pass 6 Forskningsjuridik

Den nya Dataskyddsförordningen

BILAGA Personuppgiftsbiträdesavtal

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Dataskyddspolicy för Rotsunda Utbildning AB

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Personuppgiftsinformation för Svedala kommun

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Bilaga 1. Preliminär juridisk rapport

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE


Dataskyddsförordningen, GDPR

Transkript:

Styrdokument Diarienummer: 01-546/12 Beslutat av: Rektor Beslutsdatum: 2012-09-10 Giltighetstid: Tills vidare Riktlinjer för arbete med personuppgifter vid GIH Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08 120 53 700 Orgnr 202100-4334 www.gih.se info@gih.se

INNEHÅLLSFÖRTECKNING Riktlinjer för arbete med personuppgifter i forskningen... 3 Bakgrund... 3 Organisation... 3 Riktlinjer vid arbete med personuppgifter i forskningen... 4 Anmälan av personuppgifter enligt PUL 36... 4 Förteckning över behandlingar av personuppgifter enligt PUL 36 och 39... 4 Registerutdrag enligt PUL 26... 5 Länkar... 5 Personuppgiftslagen... 6 Personuppgifter... 6 Känsliga personuppgifter... 6 Personuppgiftsansvarig... 7 Personuppgiftsombud... 7 Personuppgiftsbiträde... 7 Samtycke och information till de registrerade... 7 Registerutdrag... 8 Förhandskontroll... 8 Säkerhet vid behandling av personuppgifter... 8 Överföring av personuppgifter till tredje land... 8 Etikprövningslagen... 9 Ansökan... 9 Datainspektionens roll... 9 Informationssäkerhet... 10 Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08 120 53 700 Orgnr 202100-4334 www.gih.se info@gih.se

RIKTLINJER FÖR ARBETE MED PERSONUPPGIFTER I FORSKNINGEN Bakgrund Inom ramarna för verksamheten vid GIH behandlas personuppgifter i olika sammanhang t.ex. inom forskningen. Det finns flera olika lagar och regelverk som måste följas när man behandlar personuppgifter inom forskningen. Personuppgiftslagen (PuL) har som syfte att skydda människor mot att deras integritet kränks när personuppgifter behandlas och etikprövningslagen avser forskning på människor. Därutöver kan även regler om sekretess och tystnadsplikt bli aktuella när det gäller viss typ av forskning och/eller uppgifter. Med anledning av ovanstående har dessa riktlinjer avseende organisation och rutiner i samband med upprättande av förteckningar över personuppgifter och registerutdrag enligt nedan tagits fram. Bifogat finns även en kort sammanfattning över PuL och etikprövningslagen. Organisation Personuppgiftsansvarig Gymnastik- och idrottshögskolan är personuppgiftsansvarig avseende all personuppgiftsbehandling inom högskolan. Personuppgiftsombud Vid GIH finns ett personuppgiftsombud som är anmält till Datainspektionen (Dnr 01-547/12). Personuppgiftsombudets uppgifter är att: se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom myndigheten ge råd och anvisningar som rör tillämpningen av PuL samråda med Datainspektionen se till att förteckningar över behandlingar av personuppgifter förs vid myndigheten fungera som kontaktperson för de registrerade och hjälpa de registrerade att få rättelse ingripa vid felaktig behandling av personuppgifter Medhjälpare Fysisk person som behandlar personuppgifter under personuppgiftsansvariges ledning inom organisationen, t.ex. en anställd forskare. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlat personuppgifter för den personuppgiftsansvariges räkning utanför organisationen (t.ex. ett labb som utför laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data). Den registrerade Fysisk person som en personuppgift avser. Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08 120 53 700 Orgnr 202100-4334 www.gih.se info@gih.se

4(10) Riktlinjer vid arbete med personuppgifter i forskningen Kontrollera att arbetet är förenligt med lagar och förordningar Informerat och skriftligt samtycke från de registrerade ska föregå all dataregistrering som innehåller personuppgifter Forskning som avser människor ska etikprövas Vid behandling av genetiska data ska anmälan om förhandsprövning göras hos Datainspektionen senast tre veckor innan insamlandet påbörjas Datainspektionens och GIH:s egna anvisningar för datasäkerhet ska beaktas Känsliga uppgifter ska alltid krypteras Ett biträdesavtal ska upprättas när en annan organisation anlitas för att bearbeta uppgifter eller när registren läggs på datorer tillhörig någon annan Anmälan av personuppgifter enligt PUL 36 Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen, men den personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandling av personuppgifter till Datainspektionen. All behandling av personuppgifter för forsknings-, statistik- och administrativt ändamål där samtycke inhämtas eller där annat särskilt lagstöd gäller ska anmälas till GIH:s personuppgiftsombud. Om aktuellt ska nedanstående beslut bifogas anmälan till personuppgiftsombudet enligt följande: Beslut från den Regionala etikprövningsnämnden. Vid behandling av personuppgift för forsknings- och statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och behandlingen godkänts av en Regional etikprövningsnämnd. Beslut från Datainspektionen. Vid behandling av personuppgift för forskningsoch statistikändamål, innehållande känsliga personuppgifter där samtycke inte inhämtats och där ansökan inte skall behandlas av Regional etikprövningsnämnd, skall anmälas till Datainspektionen för en förhandskontroll. Beslut från Datainspektionen. Vid behandling av personuppgifter där genetiska anlag kan framkomma skall behandlingen anmälas till Datainspektionen för en förhandskontroll. Avanmälan När en behandling av personuppgifter är avslutad skall dessa normalt avidentifieras. Ta kontakt med personuppgiftsombudet för vidare åtgärd. Förteckning över behandlingar av personuppgifter enligt PUL 36 och 39 GIH:s personuppgiftsombud ska enligt PuL 39 ansvara för att upprätthålla en förteckning över de behandlingar av personuppgifter som äger rum vid universitetet och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Som underlag till denna förteckning ska uppgifter lämnas till personuppgiftsombudet på särskild blankett.

5(10) Registerutdrag enligt PUL 26 Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig signerad ansökan till personuppgiftsombudet. Den skriftliga ansökan fungerar som ett kvitto på att den registrerade själv signerat en begäran om detta. Registerutdraget skall vara skriftligt och innehålla information om vilka av den registrerades personuppgifter som har behandlas, varifrån dessa uppgifter har hämtats, vilka ändamålen med behandlingen är och till vilka mottagare som uppgifterna lämnas ut. Information om personuppgifter i löpande text behöver inte lämnas ut. Informationen skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informationen dock lämnas senast fyra månader efter ansökan. Som exempel på särskilda skäl kan nämnas att personuppgifterna är krypterade, att sökmöjligheterna är begränsade eller att det rör sig om många uppgifter som är uppdelade på flera olika register eller databaser. Det efterfrågade registerutdraget skall skickas via posten till folkbokföringsadressen för att minimeras risken att registerutdraget kommer till fel person. Länkar www.datainspektionen.se www.cepn.se www.codex.vr.se www.biobanksverige.se

Bilaga 1 PERSONUPPGIFTSLAGEN Nedanstående text är endast en sammanfattning av innehållet i personuppgiftslagen och personuppgiftsförordningen. Se personuppgiftslagen (länk till lagtexten) och personuppgiftsförordningen (länk till lagtexten) för att se texterna i sin helhet. Personuppgiftslagen (PuL) trädde i kraft 1998 och bygger på gemensamma regler, det så kallade dataskyddsdirektivet som har beslutats inom EU. Övriga EU-länder har liknande lagar vilket underlättar flödet av information inom EU. Personuppgiftslagen är subsidär, dvs. träder åt sidan i förhållande till annan lagstiftning. Det betyder att PuL:s bestämmelser inte gäller i den utsträckningen bestämmelserna strider mot bestämmelser i andra lagar, t.ex. tryck- och yttrandefrihetslagen, patientdatalagen, arkivlagen eller sekretesslagen. Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL omfattar i princip all behandling av personuppgifter. Begreppet "behandlas" är brett och omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. I personuppgiftslagen finns regler för hur personuppgifter får behandlas och lagen bygger i hög grad på samtycke och information till de registrerade. PuL gäller när den personuppgiftsansvarige (se definition nedan) är etablerad i Sverige eller då den personuppgiftsansvarige är etablerad i tredje land men där utrustningen som används för behandlingen av personuppgifter finns i Sverige. PuL gäller både vid automatiserad behandling och vid manuell behandling. Personuppgifter Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgifter är således inte bara namn, ID-nummer och personnummer, utan även t.ex. DNA, ägande, längd, kön, levnadsvanor, medlemskap och adress. Detta gäller även om det finns en kodnyckel i eller utanför den egna organisationen. Känsliga personuppgifter Enligt PuL 13 är det förbjudet att behandla personuppgifter som avslöjar: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv Dessa känsliga personuppgifter är det som huvudregel förbjudet att behandla, men det finns undantag. Ett av dessa undantag är forskning och statistik (19 PuL). Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. "Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära." Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08 120 53 700 Orgnr 202100-4334 www.gih.se info@gih.se

7(10) Undantaget för forskning i 19 PuL innebär att det under viss förutsättning är tillåtet att behandla personuppgifter utan samtycke. Personuppgiftsansvarig Personuppgiftsansvarig, dvs. högskolan, är den som bestämmer ändamålen med och medlen för behandlingen (PuL 3 ). Det är den personuppgiftsansvariga som skall se till att personuppgifter bara behandlas på ett lagligt sätt. Det innebär bl.a. att personuppgifter: bara får behandlas för ett särskilt och uttryckligt angivet ändamål, är riktiga och inte fler än som behövs och inte bevaras längre än nödvändigt Det är också den personuppgiftsansvarigas ansvar att se till att information och samtycke till registreringen ges i de fall det är nödvändigt. Personuppgiftsombud Enligt PuL ska all behandling av personuppgifter generellt anmälas till Datainspektionen. Personuppgiftsansvarig som utser ett personuppgiftsombud slipper skyldigheten att anmäla viss behandlingar av personuppgifter till Datainspektionen och minskar därigenom sin administration. Ett personuppgiftsombud är en fysisk person som ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt inom den egna organisationen. Ansvaret ligger dock kvar hos personuppgiftsansvarig. Personuppgiftsombudet fungerar även som kontaktperson för de registrerade. Om ett personuppgiftsombud är utsett måste det anges i deltagarinformationen. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlat personuppgifter för den personuppgiftsansvariges räkning utanför organisationen (t.ex. ett labb som utför laboratorietester på materialet, eller en servicebyrå som tillhandahåller serverutrymme för lagring av data). Observera att det alltid ska upprättas ett skriftligt biträdesavtal och att ansvaret för personuppgifterna alltid vilar på den personuppgiftsansvarige. Skyddet för personuppgifterna ska inte bli sämre bara för att man väljer att anlita ett personuppgiftsbiträde. Samtycke och information till de registrerade Tillåten behandling av personuppgifter kräver ett samtycke och samtycket ska enligt PuL vara frivilligt, särskilt, otvetydigt, individuellt, informerat och skriftligt. Det finns grundläggande forskningsetiska krav på hur informerat samtycke skall ske och vad informationen skall innefatta på datainspektionens hemsida (http://www.datainspektionen.se/ ). Samtycket kan alltid återkallas. Vid återkallning av samtycke kan redan erhållna resultat användas, men inga nya analyser får göras. För barn under ca 15 år ska båda vårdnadshavarnas samtycke inhämtas. Åldersgränsen är en godtycklig bedömning av när ett barn själv kan anses klara av att göra en adekvat bedömning av vad det innebär att låta sina personuppgifter behandlas av t.ex. forskare. Ansvaret att informera barnen ligger på föräldrarna. Ett barn kan från ca 12 års ålder dra tillbaka sina föräldrars samtycke (även här gäller en godtycklig bedömning av åldern).

8(10) Registerutdrag Den registrerade har rätt till ett gratis registerutdrag en gång per år efter skriftlig ansökan till personuppgiftsansvarig. Den skriftliga signerade ansökan fungerar som ett kvitto på att den registrerade själv signerat en begäran om detta. Genom att skicka efterfrågat registerutdrag via posten till folkbokföringsadressen minimeras risken att registerutdraget kommer till fel person. Den registrerade har rätt att få felaktiga uppgifter rättade. Vid oenighet kan den registrerade anmäla ärendet till Datainspektionen. Förhandskontroll Vid behandling av personuppgifter där genetiska anlag kan framkomma, t.ex. efter en genetisk undersökning, ska alltid en anmälan om förhandskontroll göras till Datainspektionen senast tre veckor innan planerad start. Förhandskontrollen innebär att Datainspektionen gör en bedömning av om den planerade behandlingen är förenlig med gällande lagstiftning. Blankett finns på datainspektionens hemsida (www.datainspektionen.se). Säkerhet vid behandling av personuppgifter 30 Personer som behandlar personuppgifter och 31 Säkerhetsåtgärder i PuL reglerar säkerheten vid behandling av personuppgifter. I 31 PuL står att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Med lämplig säkerhetsnivå menas, en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig. Det skall finnas en balans mellan nedlagda kostnader och ansträngningarna i relation till allvarlighetsgraden av de behandlade personuppgifterna. När det gäller fysisk säkerhet är det viktigt att se på tillträdeskontroll och skydd av utrustningen. Det bör upprättas rutiner för t.ex. mobila enheter och flyttbara lagringsmedia samt för autentisering, datakommunikation, säkerhetskopiering (externa nätverk, internet), utplåning, reparation och service (avtal med extern part om tystnadsplikt/sekretess) och skydd mot skadliga program. Vid anlitande av utomstående personuppgiftsbiträde för uppdrag som utgör behandling av personuppgifter, skall det finnas ett skriftligt avtal (personuppgiftsbiträdesavtal) som särskilt reglerar säkerhetsfrågorna. Det är dock alltid högskolan som har det slutgiltiga ansvaret och därtill det rättsliga ansvaret gentemot den registrerade. Känsliga uppgifter bör som regel alltid krypteras. Se informationsbladet Säkerhet för personuppgifter på datainspektionens hemsida för ytterligare information. Överföring av personuppgifter till tredje land Det finns ett generellt förbud mot att föra över personuppgifter som är under behandling till ett tredje land, d.v.s. ett land utanför EU och EES. Men om det finns en adekvat skyddsnivå i det tredje landet, samtycke från den registrerade eller vid särskilda situationer, avtal, rättsliga anspråk, vitala intressen finns det möjlighet att överföra personuppgifter till tredje land.

9(10) ETIKPRÖVNINGSLAGEN Nedanstående text är endast en sammanfattning av innehållet i de lagar och förordningar som styr etikprövning av forskning som avser människor. Se Lagen om etikprövning av forskning som avser människor (länk till lagtexten) och Förordning om etikprövning av forskning som avser människor (länk till lagtexten) för att se texterna i sin helhet. Från den 1 januari 2004 finns en lag om etikprövning av forskning som avser människor (etikprövningslagen, EPL). Den omfattar forskning på levande personer, men också forskning på avlidna och på biologiskt material från människor samt forskning som innebär hantering av känsliga personuppgifter. EPL gäller för forskning som: Innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott m.m. (3 EPL) innebär ett fysiskt ingrepp på en forskningsperson (4 1. EPL) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt (4 2. EPL) avser studier på biologiskt material från en levande människa och kan härledas till denna människa (4 3. EPL) innebär ett fysiskt ingrepp på en avliden människa (4 4. EPL) avser studier på biologiskt material som tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa (4 5. EPL) Forskning som omfattas av EPL får endast utföras om den har godkänts vid etikprövning. Forskningen måste påbörjas inom två år från det att beslutet vunnit laga kraft, därefter upphör godkännandet. Ansökan Ansökan om etikprövning ska göras av forskningshuvudmannen (23 EPL). Forskningshuvudman är en statlig myndighet (t.ex. GIH) eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. För hjälp att skriva en ansökan och blanketter, se www.epn.se. Forskning förutsätter att det finns ett vetenskapligt syfte, dvs. en vetenskapligt relevant frågeställning som avses belysas på ett systematiskt sätt eller med vetenskapliga metoder. I vissa fall krävs dessutom en avsikt att göra resultaten tillgängliga. Studentarbeten behöver inte etikprövas förutsatt att de inte ska publiceras i vetenskaplig tidskrift eller användas i avhandling. Det går att få en studie etikprövad i efterhand i det fall studenten som vill använda sin uppsats för publikation eller i avhandling. Avslagen ansökan kan överklagas till Centrala etikprövningsnämnden av forskningshuvudmannen. DATAINSPEKTIONENS ROLL Datainspektionen är en tillsynsmyndighet som genom sin verksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Om Datainspektionen i sin tillsynsverksamhet finner att en personuppgiftsansvarig behandlar uppgifter i strid med lagen och organisationen inte ändrar sitt agerande efter påpekande har Datainspektionen möjlighet att sätta ut vite (böter). Andra

10(10) straffmöjligheter som finns är att den som registrerats kan få skadestånd vid felaktigheter i registren. INFORMATIONSSÄKERHET För GIH:s allmänna policy och riktlinjer gällande informationssäkerhet hänvisas till övriga styrdokument rörande informationssäkerhet. Kortfattat ska följande beaktas beträffande informationssäkerhet vid behandling av personuppgifter i forskningen. Åtkomstskydd: När datorutrustning och löstagbara datamedier inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras. I bärbara datorer ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. Säkerhetskopia Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna skall förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Det är viktigt att det finns en rutin för test av återläsning. Behörighetskontroll Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna. Behörigheten skall begränsas till de som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Åtkomst till personuppgifter ska i efterhand kunna följas upp genom en maskinell logg eller liknande maskinellt underlag om datorn används av mer än en person. Av underlaget ska framgå vem som har haft åtkomst, tidpunkten för åtkomsten samt till vilken persons uppgifter åtkomsten har skett. Underlaget skall kontrolleras i erforderlig utsträckning. Datakommunikation Personuppgifter som överförs via datorkommunikation (t.ex. E-post) ska skyddas med kryptering. Utplåning När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska lagringsmedierna förstöras. Alternativt ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. Reparation och service Vid servicebesök ska lagringsmedier som innehåller personuppgifter avlägsnas. Är detta inte möjligt ska servicen ske under medhjälparen/personuppgiftsbiträdets överinseende. Service via datakommunikation får endast ske efter säker identifiering av den som utför servicen. Servicepersonal skall ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss