Medfarms riktlinje för gränsdragning mellan personuppgifter och anonymiserade data
Vetenskapsområdet för medicin och farmaci strävar efter att göra forskningsdata tillgänglig genom öppen vetenskap och nu finns riktlinjer för gränsdragning mellan personuppgifter och anonyma data som fastställdes i områdesnämnden den 17 april.
Hallå där, Karl Michaëlsson som arbetat med att ta fram de nya riktlinjerna.
Varför är det viktigt med riktlinjer för när personuppgifter kan betraktas som anonymiserade?
– Gränsen mellan personuppgifter, inklusive känsliga personuppgifter, och anonymiserade data, är inte klart och tydligt definierad. De här riktlinjerna behövs för att vi lättare ska förstå vad anonymiserade data innebär i – framför allt i våra kliniska forskningsstudier. I och med beslutet i områdesnämnden så rekommenderar vetenskapsområdet här hur data ska definieras för att anses anonymiserade. Alla som forskar med personuppgifter som grund är berörda av vägledningen som riktlinjerna utgör. Det är utformat som en punktlista, som ska vara tydlig att förhålla sig till.
Vad innebär anonymiserade data?
– Anonymiserade data innebär information där det inte längre är möjligt att identifiera en enskild person. Det ska då inte gå att identifiera en individ genom att kombinera olika variabler i data, eller genom att kombinera dessa data med andra datakällor. När en anonymisering av enskilda individers data genomförts är de inte längre att betrakta som personuppgifter och då innebär det att dessa uppgifter kan publiceras öppet.
Vad behövs för att data ska anses anonymiserade?
– Så snart du som forskare närmar dig en person så behöver du personuppgifter och du behöver förhålla dig till dessa. Det ska inte gå att härleda personen till studien. Om jag som forskare har anonymiserat data så ska jag inte behöva oroa mig för att röja en persons identitet.
Vad behöver man uppfylla för att data ska behålla sin anonymitet?
– Vi hanterar personuppgifter om vi hanterar datauppgifter om personer. Så enkelt är det. Pseudonymisering hjälper inte. GDPR hjälper inte. Att arbeta med anonymiserade data innebär en massa administration, men det måste göras. Man kan inte smita undan! Man måste ha allt på plats innan man hanterar personuppgifter och här gör riktlinjerna arbetet smidigare.
Hur ska riktlinjerna i detta dokument hjälpa till?
– Denna vägledning, som våra riktlinjer är, garanterar inte fullständig anonymitet och det kan fortfarande finnas en risk för att personuppgifter hamnar fel om informationen kombineras med andra tillgängliga data. Det är viktigt att dokumentera överväganden om denna typ av risker och hur man hanterar dem, i varje enskilt fall. Om det finns minsta osäkerhet om anonymitet, så behöver ytterligare skyddsåtgärder vidtas. Hur det kan gå till beskrivs i riktlinjen.
Vad riskerar man om man inte har riktlinje att hålla sig i?
– Om man inte har riktlinjer att hålla sig i kan hela forskningsprojektet omöjliggöras men det kan också innebära att universitet och forskaren inte håller sig inom det lagligt tillåtna utrymmet.
Ebba Burman
Pseudonymisering
Pseudonymisering är en teknik som används för att skydda personuppgifter genom att ersätta identifierande data med konstgjorda identifierare eller pseudonymer. Detta innebär att uppgifterna inte längre direkt kan kopplas till specifika individer utan ytterligare information. Till skillnad från anonymisering, där data är permanent omöjlig att koppla till individer, går det dock att återskapa de ursprungliga uppgifterna om man har tillgång till den informationen.