Under forskningsprojekt

Oplys informanter om indsamlingen af personoplysninger samtidig med indsamlingen. Husk at du altid skal have hjemmel til at indsamle personoplysninger (Spørg RIO, hvis du er i tvivl)

Enhver behandling af personoplysninger kræver hjemmel i enten Databeskyttelsesforordningen eller i Databeskyttelsesloven. Det gælder også når personoplysninger skal bruges til forskning.

Din hjemmel kan groft sagt være samtykke eller Databeskyttelseslovens § 10. SDU-RIO kalder et samtykke, som fungerer som hjemmel for behandling af personoplysninger for  et "GDPR-samtykke". Mange er ikke klar over, at et samtykke ikke er nødvendigt, hvis personoplysningerne kun skal bruges til forskning, men Databeskyttelseslovens § 10 giver mulighed for- på visse betingelser – at bruge personoplysninger uden GDPR-samtykke.  Husk dog at oplysningspligten altid gælder.

Der er fordele og ulemper ved både § 10 og GDPR-samtykket, så det beror på en konkret vurdering om du skal vælge den ene fremfor den anden hjemmel. Du skal dog være opmærksom på, at et samtykke godkendt i den videnskabsetiske komite ikke er et GDPR-samtykke, så hvis du har fået godkendelse i det videnskabsetiske komitesystem, giver det dig ikke hjemmel til at behandle personoplysninger. Kontakt RIO for råd og vejledning og se evt. Vejledning om valg af behandlingshjemmel .

Mens du samler data ind, skal det udstyr og software du bruger, være godkendt af SDU og der skal være databehandleraftaler. Du må gerne lægge data i fx OneDrive, mens du samler data ind. Der kan i særlige tilfælde være behov for at have data på fx sin telefon, men det skal hurtigst muligt lagres et sikkert sted. Der er ingen“30-dages-regel".

Godkendte IT-løsninger er fx OneDrive, Sharepoint og Nextcloud. Tal med SDU IT eller din GDPR-ambassadør for at få mere at vide.

Hvis du laver spørgeundersøgelser eller interviews må du kun spørge om ting du har brug for at vide. Se evt SDU’s procesbeskrivelser for dataindsamling.  Din dataindsamling skal være beskrevet i din data management plan og du kan med fordel allerede nu forberede aflevering til Rigsarkivet, ved at opfylde deres krav til dokumentation.

Når du er færdig med dataindsamling og skal i gang med at analysere data, bør du få oprettet en sikker server (S4) hos SDU IT. S4 er et lukket analysemiljø, hvor du både kan lagre dine data og have det nødvendige software til analyse. Hvis dine data ligger i OneDrive, kan analysen ikke foregå i OneDrive, men på din computer, og det er ikke en sikker måde. Hvis det ikke virker for dit projekt, så gå i dialog med SDU IT om andre sikre opbevaringsmuligheder. Du må ikke have data liggende på din computer.

Data skal lagres et sted hvor mindst en anden person (kollega, chef eller data manager) kan få adgang. 

Hvis der sker ændringer i projektet undervejs, skal du ajourføre din data management plan (brug fx denne skabelon https://dmponline.deic.dk/). Husk at data management planen skal opbevares sammen med din øvrige projektdokumentation et sted, hvor andre kan se den, fx netværksdrev, sharepoint eller PF-share.

Du skal også huske at ajourføre din anmeldelse, hvis du f.eks. benytter en ny databehandler, indsamler nye typer oplysninger, udvider antallet af deltagere m.v. 

Helbredsoplysninger mv. er følsomme personoplysninger og CPR-nummer er fortrolige personoplysninger. Den rette måde at behandle sådanne oplysninger på er at lagre dem et sikkert sted, og så hurtigt som muligt afidentificere, pseudonymisere eller anonymisere oplysningerne.

De fleste persondata kan let afidentificeres, ved at kryptere eller fjerne CPR-nummer og navn. Det er vigtigt at vide at data ikke er pseudonymiserede, hvis CPR-nummeret blot er fjernet. Der skal mere til.  Begreberne forklares i dette dokument.

Bemærk, at afidentificerede eller pseudonymiserede data skal lagres på en måde, så ingen uvedkommende kan få adgang til dem. Kun anonymiserede data må offentliggøres. Du kan ikke selv afgøre om data er anonymiserede, anonymisering kræver at ingen nogensinde, på nogen måde vil kunne genkendes i data, undtagen af sig selv.