Planera hanteringen av data
- Datahanteringsplan
- Tillstånd och avtal
- Datasäkerhet och informationsklassning
- Konfidentiell information i forskningsdata
Redan innan man börjar samla in eller producera data är det bra att planera hur de kommer att hanteras genom hela livscykeln för projektets forskningsdata. Aspekter som man bör tänka på är:
- att bedöma vilka etiska och juridiska aspekter som är aktuella för datahanteringen
- att säkerställa att relevanta tillstånd och avtal finns på plats
- att bedöma om immateriella rättigheter behöver hanteras
- att informationsklassificera, uppskatta datavolymer och planera för lämplig lagringslösning
- att uppskatta eventuellt behov av datorbaserade beräkningsresurser
- att förväntade kostnader för ett projekts datahantering är budgeterade
- att planera för långsiktigt bevarande av data
Datahanteringsplan (DHP)
Kvalitetssäkrad och korrekt hantering av data underlättas ofta av en genomtänkt datahanteringsplan (DHP). Många forskningsfinansiärer och andra parter kräver en DHP, ibland i en kortare version redan vid ansökan om forskningsmedel. En datahanteringsplan som regelbundet följs upp och uppdateras blir ett stöd i genomförandet av ett projekt.
Tillstånd och avtal
Olika tillstånd och avtal som berör och reglerar datahantering kan behöva upprättas innan ett projekt startar. Krav på och överenskommelser om hur data ska hanteras kan förekomma i etiktillstånd, biobanksavtal, samarbets- och uppdragsavtal, konsortieavtal och personuppgiftsbiträdesavtal. Avtal med externa finansiärer kan innehålla krav på tillgängliggörande av dokumentation och data från projekt som de finansierar. Avtalsgranskning görs vanligen av universitetets juridiska avdelning.
Projekt som hanterar data med känsliga personuppgifter och planerar att deponera data i repositorier med rutiner för kontrollerad utlämning bör inkludera den uppgiften i ansökan om etikprövning.
Användning av genetiska resurser och/eller tillhörande traditionell kunskap inhämtade från andra länder kan behöva medgivanden och vid forskning som omfattar produkter med så kallade dubbla användningsområden kan tillstånd behövas. Vid forskning med genmodifierade bakterier, växter och djur behövs tillstånd från bland annat Arbetsmiljöverket och forskning med joniserande strålning kräver tillstånd från Strålsäkerhetsmyndigheten.
Tillstånd och avtal ska diarieföras och arkiveras i enlighet med universitetets dokumenthanteringsplan, och ska gå att härleda till den forskning som bedrivs.
Samarbets- och uppdragsavtal
Om du deltar i ett projekt som inkluderar samarbete med organisationer utanför det egna lärosätet finns det ett antal områden, däribland forskningsdata, som man kan behöva avtala om. Det kan vara projekt med forskare från flera lärosäten eller samarbeten med privata företag, andra myndigheter eller sjukvården. Innan du inleder ett projekt med parter utanför universitetet bör du rådgöra med universitetets juridiska avdelning.
Tänk på att det kan finnas skillnader mellan olika länder när det gäller lagar och regler som styr hanteringen av forskningsdata. Vid samarbete med forskare i andra länder kan därför de juridiska förutsättningarna skilja sig åt.
Det är lämpligt att ansvarig forskare för ett projekt skriftligen bekräftar avtalsvillkoren för ett projekt. För detta finns en avtalsmall: ”Villkor för deltagande i följande projekt vid Uppsala universitet”. Den ansvariga forskaren ska sedan tillse att andra forskare som deltar i ett projekt blir informerade om förutsättningarna.
Viktiga frågor som bör klargöras i exempelvis samverkans- och uppdragsavtal är hur forskningsdata från projektet ska hanteras och får användas. Det bör vara tydligt vilka som ska få tillgång till datamaterialet, hur materialet får överföras och användas och eventuella begränsningar i tid av nyttjande. Aspekter som kan behöva klargöras är också om någon part har äganderätt eller upphovsrätt till data och eventuella begränsningar för hur data kan delas med andra eller göras öppet tillgängliga. Juridiska avdelningen (e-post: juravd@uu.se) kan bistå med att granska avtal och har även vissa avtalsmallar.
Önskemål om sekretess kan förekomma från externa samarbetspartners, men de måste hanteras i enlighet med den svenska offentlighetsprincipen och de lagrum som styr utlämnande av allmänna handlingar.
Se även:
- Universitetets information om forskningsavtal
- Att samarbeta med Uppsala universitet: förutsättningar för uppdrags- och samverkansforskning
- Om tillstånd och etisk prövning
Datasäkerhet och informationsklassning
Forskningsdata kan vara svåra att återskapa och innehåller ibland konfidentiell information. Att planera hur data ska lagras och skyddas är därför viktigt. Val av arbetssätt och tekniska lösningar ska säkerställa att data inte går förlorade, att hantering och lagringslösningar uppfyller krav på informationssäkerhet samt att uppgifter som omfattas av sekretess inte röjs.
För att hitta rätt typ av lösningar för lagring och annan hantering av data är det viktigt att veta vilka legala och andra krav den typ av data du arbetar med ställer. Informationsklassning av projektets data bör därför göras innan projektstart eftersom utfallet påverkar tid och resurser som behövs för att etablera rutiner och få tillgång till tillräckligt säkra system. Höga krav innebär vanligtvis större kostnader för teknisk lösning.
Informationsklassning görs genom att bedöma behov och data med avseende på tre faktorer: Konfidentialitet, Riktighet och Tillgänglighet (KRT), med riktlinjer från Myndigheten för samhällsskydd och beredskap (MSB).
- Med Konfidentialitet syftar man på om data innehåller information som inte ska göras tillgänglig eller avslöjas för obehöriga personer, system eller processer.
- Med Riktighet avses att informationen inte ska förändras eller förstöras, varken av obehöriga, av misstag eller på grund av funktionsstörningar.
- Med Tillgänglighet avses att informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid.
Klassificeringen görs en med en skala 0-3 för varje faktor och resultatet brukar benämnas KRT-värde. Du kan själv göra en klassning av dina data med hjälp av i Uppsala universitets instruktion för informationsklassificering – se Rutiner för riskhantering – informationssäkerhet, bilaga 2
Läs mer om universitetets rekommendationer kring informationssäkerhet och ta gärna del av universitetets kurs i grundläggande informationssäkerhet. Kontakta Säkerhetsavdelningen för rådgivning, e-post: security@uu.se
Konfidentiell information i forskningsdata
Vissa data som hanteras i forskning innehåller information som av etiska, juridiska, kommersiella eller andra skäl bör skyddas mot obehörig åtkomst. Det handlar ofta om uppgifter som enligt Offentlighets och sekretesslagen (2009:400) ska beläggas med sekretess. Det kan vara information:
- som direkt eller indirekt kan kopplas till enskilda individer
- som är upphovsrättsskyddad eller omfattas av immateriella rättigheter av någon part
- som berör rikets säkerhet eller produkter med dubbla användningsområden (dvs. både civilt och militärt bruk)
- om skyddade arter eller biologiskt känsliga lokaler
- som ligger till grund för patenterbara uppfinningar
För att förhindra obehörig åtkomst till den typen av information är det viktigt att göra en informationsklassning (se ovan) och välja tekniska och administrativa lösningar som säkerställer en adekvat säkerhetsnivå. Se även Lagra och samarbeta.
Om data med konfidentiell information kommer att hanteras av externa parter ska överenskommelser om ansvar samt säkerhetsåtgärder och rutiner säkerställas genom avtal. Tänk på att vid samarbeten med exempelvis företag omfattas personal i den verksamheten inte av tystnadsplikt på samma sätt som anställda i offentlig verksamhet. - Se Tillstånd och avtal ovan.
Planera och informera
Innan ett projekt påbörjas bör man planera vilka tekniska och administrativa rutiner som krävs för att upprätthålla en tillräcklig säkerhetsnivå vid hantering och lagring av data genom hela dess livscykel. Dokumentera valda lösningar för lagring, analys, delning och annan hantering av data i projektets datahanteringsplan.
Alla medarbetare i ett projekt, både interna och externa parter, ska informeras om vilka data som är konfidentiella, samt vilka lösningar och rutiner som ska följas för att säkerställa att bara behöriga får åtkomst till materialet. Projektledare ansvarar för datahantering inom ett projekt, men särskilt vid större projekt rekommenderas att någon medarbetare får ett ansvar för datahanteringen.
Det är viktigt att alla medarbetare får kännedom om och följer rutiner som bidrar till att upprätthålla en hög säkerhetsnivå i den praktiska hanteringen av data. Se Rutiner för säker informationshantering
Tänk också på att:
- Hålla mjukvara uppdaterad på de enheter som genererar, överför eller har åtkomst till konfidentiella data.
- Inte skicka konfidentiella data via e-post och undvika att arbeta med eller överföra konfidentiella data på offentliga platser eller över publika nätverk.
- Vid behov säkerställa att projektmedarbetare även har en säker IT-miljön hemma.
- Att ha kännedom om grunderna för informationssäkerhet
Skydd av data och kontroll över åtkomst
Dokumentera vilka medarbetare som har tillgång till data och vilken behörighetsnivå de ska ha - redigerings- och/eller läsrättigheter. Ge tillgång på lägsta lämpliga nivå och se till att bara behöriga har åtkomst till de enheter och system där data genereras, lagras eller processas. Det är ofta en bättre lösning att ge åtkomst på fil- eller mapp-nivå på en lagringsyta än att skicka konfidentiella data som bilagor till e-post. Om e-post för att skicka data så bör kryptering tillämpas.
Ingen kedja är säkrare än sin svagaste länk. Det är därför viktigt att alla system där data hanteras eller överförs har en adekvat säkerhetsnivå – från egen dator och e-posthantering till plattformar som används vid analys och lösningar för lagring av data efter avslutat projekt. Undvik onödig överföring av datamängder med konfidentiell information och kryptera vid behov data som flyttas mellan olika system. Se till att data raderas om de inte längre används för fortsatt analys på en plattform.
Data som innehåller personuppgifter är konfidentiell information som enligt Dataskyddsförordningen endast får behandlas om tekniska och organisatoriska åtgärder säkerställer skydd mot obehörig åtkomst och förlust av data. Vid hantering av känsliga personuppgifter ställs högre säkerhetskrav och vald lagringslösning bör ha stöd för inloggning med tvåfaktorsautentisering. Data med personuppgifter kan även krypteras eller kodas för att öka säkerhetsnivån. Se även Lagra data och samarbeta
Publicering av data
Övergången till öppen vetenskap och krav på transparens och reproducerbarhet inom forskning ökar förväntningarna på att forskningsdata görs öppet tillgängliga. Men om data innehåller information som av någon anledning är konfidentiell kan dock möjligheterna att publicera dessa data vara mycket begränsade.
Data som inte kan delas öppet kan ändå beskrivas, exempelvis i ett datarepositorium. Där kan kontaktuppgifter anges och vilka förutsättningar som finns för andra att få tillgång till data. Men för data med hög konfidentialitet och högt skyddsvärde kan det i vissa fall vara motiverat att även avstå från att beskriva data publikt, eftersom kännedom om att viss information existerar ökar risken för försök till dataintrång.
Data med personuppgifter är normalt konfidentiella och kan i de flesta fall bara publiceras i anonymiserad form. Se Att dela och publicera data med personuppgifter
Allmän handling och sekretess
Forskningsdata räknas som allmän handling vid myndigheten och även data med konfidentiell information kan begäras utlämnade. Universitetet kan dock efter sekretessprövning neka att lämna ut handlingar, om det finns stöd för detta i Offentlighets- och sekretesslagen. Observera dock att universitetet inte kan avtala med annan part om att absolut sekretess ska gälla för viss information. Vid begäran om utlämning av handlingar tas beslut om sekretess i varje enskilt fall.
Långsiktigt bevarande
Behovet att skydda viss information från obehörig åtkomst är ofta långsiktigt och kvarstår även när ett forskningsprojekt är avslutat. Tänk därför på att även långsiktigt välja lagringslösningar och skyddsåtgärder som erbjuder tillräckligt hög säkerhetsnivå. Sträva också efter att uppgifter om sekretess och konfidentialitet hos data inte blir personberoende eftersom ansvariga forskare kan lämna lärosätet. Konfidentialitet hos data och andra forskningshandlingar måste därför dokumenteras för att säkerställa att man vid en framtida sekretessprövning kan få en korrekt bild av eventuellt skyddsvärde hos materialet.
Se även Forskningsdata - allmän handling och arkivering