Planera hanteringen av data

Redan när man planerar sin forskning är det bra att också planera för en god hantering av forskningsdata genom hela projektet och efter att projektet tagit slut. Aspekter som man bör tänka på är att:

  • bedöma vilka etiska och juridiska aspekter som är aktuella för datahanteringen
  • fastställa om projektet innebär samarbete med andra forskningshuvudmän
  • säkerställa att relevanta tillstånd och avtal finns på plats
  • bedöma om immateriella rättigheter behöver hanteras
  • informationsklassificera, uppskatta datavolymer och planera för lämplig lagringslösning
  • uppskatta eventuellt behov av datorbaserade beräkningsresurser
  • förväntade kostnader för ett projekts datahantering är budgeterade
  • planera för långsiktigt bevarande av data.

En datahanteringsplan (DHP) används som ett verktyg för planering av forskningsdata. Allt fler forskningsfinansiärer och andra intressenter kräver en DHP, ibland i en kortare version redan vid ansökan om forskningsmedel. En datahanteringsplan som regelbundet följs upp och uppdateras blir ett stöd i genomförandet av ett projekt. FDS granskar gärna ett utkast och återkopplar.

Tillstånd och avtal

För en riktig datahantering kan tillstånd behöva erhållas eller avtal upprättas innan ett projekt startar. Om projektet innefattar verksamhet hos flera forskningshuvudmän behöver man fastställa vilka data vilken huvudman är ansvarig för. Avtal med externa finansiärer kan innehålla krav på tillgängliggörande av dokumentation och data från projekt som de finansierar.

I projekt där du hanterar data med känsliga personuppgifter och planerar att deponera data i repositorier med rutiner för kontrollerad utlämning bör du inkludera den informationen i ansökan om etikprövning.

Tillstånd och avtal ska diarieföras och arkiveras i enlighet med universitetets dokumenthanteringsplan, och ska gå att härleda till den forskning som bedrivs.

Avtalsgranskning görs vanligen av universitetets juridiska avdelning.

Se även:

Samarbets- och uppdragsavtal

För projekt som genomförs i samarbete med andra lärosäten, myndigheter, sjukhus, företag eller andra organisationer finns det ett antal områden, däribland forskningsdata, som du kan behöva avtala om. Innan du inleder ett projekt med parter utanför universitetet bör du rådgöra med universitetets juridiska avdelning.

Tänk på att det kan finnas skillnader mellan olika länder när det gäller lagar och regler som styr hanteringen av forskningsdata. Vid samarbete med forskare i andra länder kan därför de juridiska förutsättningarna skilja sig åt.

Hur forskningsdata från projektet ska hanteras och får användas bör klargöras i samverkans- och uppdragsavtal. Det bör vara tydligt vilka som ska få tillgång till datamaterialet, hur materialet får överföras och användas och eventuella begränsningar i tid av nyttjande. Aspekter som kan behöva klargöras är också om någon part har äganderätt eller upphovsrätt till data och eventuella begränsningar för hur data kan delas med andra eller göras öppet tillgängliga.

Önskemål om sekretess för data i ett projekt kan förekomma från externa samarbetspartners, men de måste hanteras i enlighet med den svenska offentlighetsprincipen och de lagrum som styr utlämnande av allmänna handlingar.

Se även: Att samarbeta med Uppsala universitet: förutsättningar för uppdrags- och samverkansforskning (pdf) Pdf, 245 kB.

Datasäkerhet och informationsklassning

Forskningsdata kan vara svåra att återskapa och innehåller ibland konfidentiell information. Att planera hur data ska lagras och skyddas är därför viktigt. Val av arbetssätt och tekniska lösningar ska säkerställa att data inte går förlorade, att hantering och lagringslösningar uppfyller krav på informationssäkerhet samt att uppgifter som omfattas av sekretess inte röjs.

För att hitta rätt typ av lösningar för lagring och annan hantering av data är det viktigt att veta vilka legala och andra krav den typ av data du arbetar med ställer. Informationsklassning av projektets data bör därför göras innan projektstart eftersom utfallet påverkar tid och resurser som behövs för att etablera rutiner och få tillgång till tillräckligt säkra system. Höga krav innebär vanligtvis större kostnader för teknisk lösningar.

Informationsklassning görs genom att bedöma behov och data med avseende på tre faktorer: Konfidentialitet, Riktighet och Tillgänglighet (KRT), med riktlinjer från Myndigheten för samhällsskydd och beredskap (MSB).

  • Med Konfidentialitet syftar man på om data innehåller information som inte ska göras tillgänglig eller avslöjas för obehöriga personer, system eller processer.
  • Med Riktighet avses att informationen inte ska förändras eller förstöras, varken av obehöriga, av misstag eller på grund av funktionsstörningar.
  • Med Tillgänglighet avses att informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid.

Klassificeringen görs med en skala på 0 till 3 för varje faktor och resultatet brukar benämnas KRT-värde. Du kan själv göra en klassning av dina data med hjälp av i Uppsala universitets instruktion för informationsklassificering – se Rutiner för riskhantering – informationssäkerhet, bilaga 2.

Läs mer om universitetets rekommendationer kring informationssäkerhet och ta gärna del av universitetets kurs i grundläggande informationssäkerhet. Kontakta Säkerhetsavdelningen för rådgivning: security@uu.se

Konfidentiell information i forskningsdata

Vissa data som hanteras i forskning innehåller information som av etiska, juridiska, kommersiella eller andra skäl bör skyddas mot obehörig åtkomst. Det handlar ofta om uppgifter som enligt Offentlighets och sekretesslagen (2009:400) ska beläggas med sekretess. Det kan vara information:

  • som direkt eller indirekt kan kopplas till enskilda individer
  • som är upphovsrättsskyddad eller omfattas av immateriella rättigheter av någon part
  • som berör rikets säkerhet eller produkter med dubbla användningsområden (dvs. både civilt och militärt bruk)
  • om skyddade arter eller biologiskt känsliga lokaler
  • som ligger till grund för patenterbara uppfinningar.

För att förhindra obehörig åtkomst till den typen av information är det viktigt att göra en informationsklassning (se ovan) och välja tekniska och administrativa lösningar som säkerställer en adekvat säkerhetsnivå. Se även Lagra data och samarbeta.

Om data med konfidentiell information kommer att hanteras av externa parter ska överenskommelser om ansvar samt säkerhetsåtgärder och rutiner säkerställas genom avtal. Tänk på att vid samarbeten med exempelvis företag omfattas personal i den verksamheten inte av tystnadsplikt på samma sätt som anställda i offentlig verksamhet. – Se Tillstånd och avtal ovan.

Rutiner för informationssäkerhet

Innan ett projekt påbörjas bör man planera och dokumentera vilka tekniska och administrativa rutiner som krävs för att upprätthålla en tillräcklig säkerhetsnivå vid hantering och lagring av data genom hela dess livscykel.

Alla medarbetare i ett projekt, både interna och externa parter, ska informeras om vilka data som är konfidentiella, samt vilka lösningar och rutiner som ska följas för att säkerställa att bara behöriga får åtkomst till materialet. Se även Rutiner för säker informationshantering.

Projektledare ansvarar för datahantering inom ett projekt, men särskilt vid större projekt rekommenderas att någon eller några medarbetare får ett ansvar för datahanteringen.

Tänk på att:

  • hålla mjukvara uppdaterad på de enheter som genererar, överför eller har åtkomst till data med konfidentiella uppgifter
  • inte skicka konfidentiella data via e-post och undvika att hantera konfidentiella data på offentliga platser eller över publika nätverk
  • vid behov säkerställa att projektmedarbetare även har en säker IT-miljö hemma
  • medarbetare ska ha kännedom om anvisningar om informationssäkerhet

Kontroll över åtkomst till data

Dokumentera vilka medarbetare som har tillgång till data och vilken behörighetsnivå de ska ha - redigerings- och/eller läsrättigheter. Ge tillgång på lägsta lämpliga nivå och se till att bara behöriga har åtkomst till de enheter och system där data genereras, lagras eller processas. Det är ofta en bättre lösning att ge åtkomst på fil- eller mapp-nivå på en lagringsyta än att skicka konfidentiella data som bilagor till e-post. Om e-post används för att skicka data så bör kryptering tillämpas.

Ingen kedja är säkrare än sin svagaste länk. Det är därför viktigt att alla system där data hanteras eller överförs har en adekvat säkerhetsnivå – från egen dator och e-posthantering till plattformar som används vid analys och lösningar för lagring av data efter avslutat projekt. Undvik onödig överföring av datamängder med konfidentiell information och kryptera vid behov data som flyttas mellan olika system. Se till att data raderas om de inte längre används för fortsatt analys på en plattform.

Data som innehåller personuppgifter är konfidentiell information som enligt Dataskyddsförordningen endast får behandlas om tekniska och organisatoriska åtgärder säkerställer skydd mot obehörig åtkomst och förlust av data. Vid hantering av känsliga personuppgifter ställs högre säkerhetskrav och vald lagringslösning bör om möjligt ha stöd för inloggning med multifaktorsautentisering. Data med personuppgifter kan även krypteras eller kodas för att öka säkerhetsnivån. Se även Lagra data och samarbeta.

Öppen vetenskap och konfidentiell information

Övergången till öppen vetenskap och krav på transparens och reproducerbarhet inom forskning ökar förväntningarna på att forskningsdata görs öppet tillgängliga. Men om data innehåller information som av någon anledning är konfidentiell kan dock möjligheterna att publicera dessa data vara mycket begränsade.

Data som inte kan delas öppet kan ändå beskrivas, exempelvis i ett datarepositorium. Där kan kontaktuppgifter anges och vilka förutsättningar som finns för andra att få tillgång till data. Men för data med hög konfidentialitet och högt skyddsvärde kan det i vissa fall vara motiverat att även avstå från att beskriva data publikt, eftersom kännedom om att viss information existerar ökar risken för försök till dataintrång.

Data med personuppgifter är normalt konfidentiella och kan i de flesta fall bara publiceras i anonymiserad form. Se Att dela och publicera data med personuppgifter.

Allmän handling och sekretess

Forskningsdata räknas som allmän handling vid myndigheten och även data med konfidentiell information kan begäras utlämnade. Universitetet kan dock efter sekretessprövning neka att lämna ut handlingar, om det finns stöd för detta i Offentlighets- och sekretesslagen. Observera dock att universitetet inte kan avtala med annan part om att absolut sekretess ska gälla för viss information. Vid begäran om utlämning av handlingar tas beslut om sekretess i varje enskilt fall.

Konfidentialitet och långsiktigt bevarande

Behovet att skydda viss information från obehörig åtkomst är ofta långsiktigt och kvarstår även när ett forskningsprojekt är avslutat. Tänk därför på att även långsiktigt välja lagringslösningar och skyddsåtgärder som erbjuder tillräckligt hög säkerhetsnivå. Sträva också efter att uppgifter om sekretess och konfidentialitet hos data inte blir personberoende eftersom ansvariga forskare kan lämna lärosätet. Konfidentialitet hos data och andra forskningshandlingar måste därför dokumenteras för att säkerställa att man vid en framtida sekretessprövning kan få en korrekt bild av eventuellt skyddsvärde hos materialet.

Se även Forskningsdata – allmän handling och arkivering.

Senast uppdaterad:

FÖLJ UPPSALA UNIVERSITET PÅ

facebook
instagram
twitter
youtube
linkedin