Personuppgifter i forskning

För att få hantera personuppgifter för forskningsändamål behöver man följa de lagar som är applicerbara på de personuppgifter som skall användas. Forskare hanterar personuppgifter inom ramen för Dataskyddsförordningen-GDPR. Tillsynsmyndighet för efterlevnaden av GDPR är Datainspektionen.

Personuppgifter i forskning samt personuppgiftsbiträdesavtal (PuB)

Datainspektionen har information och definitioner kring personuppgiftshantering och GDPR.

Om en annan organisation eller myndighet ska lagra eller behandla data än den som är personuppgiftsansvarig (PuA) ska ett PuB-avtal upprättas. PuB avtal är ett avtal mellan personuppgiftsansvarig (PuA) samt personuppgiftsbiträde (PuB). Rutiner kring PuB-avtal kan se olika ut beroende på vem som är PuA. Se Vägledning vid uppstart av forskningsstudie.

Generellt gäller att PuA behöver godkänna lagringen (säkerhetsaspekter) hos PuB. Dataskyddsombudet inom SLSO ska granska alla PuB-avtal KI där SLSO är PuA.

När SLSO är PuA används SLSO:s mallar. På insidan finns information om SLSO:s arbete med GDPR samt mall och instruktioner för personuppgiftsbiträdesavtal. Se även Personuppgifter i forskning – riktlinje SLSO. Aktuella mallar finns även i ELN.

När KI är PuA används Kis mallar. På KI:s hemsida finns mer information kring GDPR på KI samt en webbutbildning. Kontakta avtal@ki.se eller cpfsupport@cns.ki.se för avtalsmall för PuB-avtal.

Använda data från patientjournaler för forskning

Patientjournaler upprättas i journalsystem inom ramen för vård och behandling enligt lagrummet Patientdatalagen. För att du som forskare skall få använda dessa uppgifter för forskningsändamål behöver du göra en ansökan om utlämning av uppgifterna till lagrummet GDPR / dataskyddsförordningen. Respektive vårdgivare formulerar egna rutiner och instruktioner kring hur utlämningsförfarandet går till. SLSO har egna riktlinjer och instruktioner.

För att få använda patientdata i SLSO:s journalsystem måste du ansöka om utlämning av journaldata för forskning. Ansökan gör du via denna blankett: Blankett för ansökan till SLSO om utlämning av personuppgifter journalinformation för forskning. Kontakta din FoU-koordinator för stöd i hur man fyller i blanketten. Skicka blanketten (inklusive aktuella bilagor) till registrator.slso@sll.se varefter en menprövning görs av VO FoUU. När utlämningen godkänns skickar VO FoUU ett beslut som undertecknas i enlighet med SLSO:s delegationsordning. Därefter delges du beslutet.

Lagring och hantering, SLSO

I dagsläget finns en filarea för lagring av forskningsdata för forskare inom CPF, SLSO. Den är ännu inte deklarerad som godkänd av regionarkivet, arbete pågår. Kontakta cpfsupport@cns.ki.se för att få mer information. Om SLSO är PuA behöver SLSO IT godkänna lagringen (säkerhetsaspekter) som ska beskrivas utförligt i PuB-avtalet med den organisation som ska vara personuppgiftsbiträde för uppgifterna.

Lagring och hantering, KI

När KI är PuA finns olika tjänster för att lagra data och dela filer. Se uppdaterade riktlinjer här. När KI är PuA behöver ett PuB-avtal upprättas om annan organisation / myndighet ska behandla och lagra data. För mer information läs här.

När KI är PuB (SLSO är PuA) ska dokumentation (inbegriper även forskningsdata) alltid göras i ELN. Aktuella mallar för PuB-avtal med KI finns i ELN.