Du skal først og fremmest tage stilling til, om der i dit forskningsprojekt behandles personoplysninger, og hvis du gør det, vil du være omfattet af reglerne om behandling af persondata.

Hvis du behandler personoplysninger, kan du læse mere om de forskellige typer personoplysninger.

Hvis du er i tvivl, om du behandler personoplysninger i dit forskningsprojekt, kan du altid kontakte SDU RIO.

Man skelner mellem dataansvarlige og databehandlere. Det er vigtigt, at du kender din egen rolle i forbindelse med behandlingen af personoplysninger, fordi kravene til dataansvarlige og databehandlere er forskellige. Dataansvarlige afgør alene eller sammen med andre til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Databehandlere behandler personoplysninger på den dataansvarliges vegne.

Det betyder, at hvis det er dig der definerer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles personoplysninger (hjælpemidler) vil SDU være dataansvarlig. Derfor skal du anmelde dit forskningsprojekt til SDU RIO, så dit forskningsprojekt fremgår af SDU’s interne fortegnelse over forskningsprojekter.

Hvis du er i tvivl, om dataansvaret i dit forskningsprojekt, kan du altid kontakte SDU RIO.

Hvis du behandler persondata i dit forskningsprojekt, og SDU er dataansvarlig, så skal projektet anmeldes til SDU RIO. Juristerne i SDU RIO modtager anmeldelsen, gennemgår denne, stiller spørgsmål til den projektansvarlige, foretager en risikovurdering baseret på oplysningerne i anmeldelsesskemaet, registrerer projektet og giver dig en udtalelse (som bl.a. indeholder kravene til behandling af personoplysninger og behandlingssikkerhed). 

Foruden at registrere projekterne vedligeholder juristerne en oversigt (fortegnelse) over forskningsprojekter og forskningsdatabaser. Herved har SDU styr på i hvilke forskningsprojekter, der behandles personoplysninger. Fortegnelsen kan sendes til Datatilsynet ved et eventuelt tilsyn. 

Du skal forvente en uges sagsbehandlingstid fra du anmelder projektet til SDU RIO kontakter dig.

Bemærk venligst, at projekter som udgangspunkt ikke kan forventes godkendt inden for en uge, da det afhænger af projektets kompleksitet (særlige hjemler, mange registrerede, eventuelle databehandleraftaler eller andet). 

Du skal tage stilling til med hvilket formål og ud fra hvilken hjemmel, du vil behandle personoplysninger i dit forskningsprojekt. Det vil du også blive bedt om at tage stilling til ved anmeldelse af forskningsprojektet til SDU RIO. 

Når du behandler personoplysninger, skal du være bevidst om formålet. Det er fx væsentligt om personoplysningerne kun skal behandles i forskningsøjemed, eller om de også skal behandles til andre formål (fx undervisning, administration eller andet).

Vurdér desuden altid om projektet kan gennemføres med færre eller mindre indgribende persondata. Hvis navn, landsdel og alder fx er tilstrækkelig til forskningsprojektets formål, bør du ikke også behandle CPR-numre, fagforeningsmæssige tilhørsforhold eller andet jf. princippet om dataminimering.

I forskningssammenhænge skelnes der primært mellem behandling på baggrund af samtykke eller behandling på baggrund af databeskyttelseslovens § 10 (forskning i samfundets interesse). Der er fordele og ulemper ved begge hjemmelsgrundlag, og du bør derfor have overvejet det nøje, inden du begynder at indsamle og behandle persondata.

Læs om de to hjemmelsgrundlag.

SDU RIO kan vejlede om hjemmelsgrundlag.

Når du indsamler personoplysninger (fx ved spørgeskemaundersøgelser, interviews, video- /lydoptagelser eller lignende) skal du give den registrerede en række oplysninger – og efterleve den såkaldte oplysningspligt. 

Det er ikke tilstrækkeligt at oplyse om forskningsprojektets indhold og formål; databeskyttelsesloven stiller også krav om, at du skal give en række oplysninger af ren juridisk karakter. Det drejer sig blandt andet om følgende: Identitet på og kontaktoplysninger for den dataansvarlige, kontaktoplysninger på databeskyttelsesrådgiveren (DPO), formålet med behandlingen, hjemmel osv.

Læs om oplysningspligten (docx)

Er du i tvivl om oplysningspligten, kan du altid kontakt SDU RIO.

Hvis du i dit projekt skal udveksle indsamlede personoplysninger med kollegaer på SDU, andre universiteter, eller eksterne virksomheder eller organisationer, skal det afklares, hvorvidt der er tale om videregivelse, om der skal udarbejdes en databehandleraftale.  Ellers skal du søge SDU RIO om tilladelse til, at en anden kollega kan genbruge oplysningerne til et nyt projekt. Hvis du har spørgsmål til fx videregivelse eller anden form for samarbejde om personoplysninger, skal du altid kontakte SDU RIO.

SDU's Open Science policy stiller krav om, at projektets håndtering af de indsamlede data eller skabte forskningsdata skal planlægges. Formen og omfanget af planlægningen varierer mellem forskellige forskningsområder, og de konkrete krav til planlægningen fastlægges i de enkelte institutters Open Science-politikker. I mange tilfælde vil det være en god idé eller et krav at lave en formel Data Management Plan.

Dit institut arbejder muligvis med en specifik skabelon, og ellers kan du finde inspiration hos DeiC DMP.

Hvis du har behov for konkret vejledning eller sparring omkring din Data Management Plan, kan du kontakte Research Data Management-support. 

Dit forskningsprojekt skal oprettes i et journal- og økonomisystem, hvis: 

• der indgås en aftale med en ekstern part 
• du har modtaget en ekstern bevilling 
• SDU hæfter for noget i forbindelse med dit forskningsprojekt.

Bed dit institut om hjælp, hvis du er i tvivl. SDU RIO opretter sager til alle anmeldte forskningsprojekter (inkl. dem, hvor der ikke er en ekstern bevilling eller samarbejde med ekstern part). Du er velkommen til at benytte sagsnummer til opbevaring af projektdokumentation.

Du anbefales desuden at oprette en mappe på fx SharePoint til opbevaring af al relevant projektdokumentation (fx Data Management Plan, teksten til oplysningspligten, SDU RIO’s godkendelse af det anmeldte forskningsprojekt o.l.).

Hvis du benytter samtykke som hjemmel for din behandling af persondata, er det særligt vigtigt, at disse bliver opbevaret et tilgængeligt sted, idet det er din og SDU’s eneste dokumentation for, at du har lov til at behandle oplysninger. Det er ligeledes relevant i tilfælde af, at en respondent trækker sit samtykke tilbage.

Forskningsprojekter som omfatter behandlingen af menneskeligt biologisk materiale skal anmeldes til det videnskabsetiske komitésystem. Det er særligt relevant for forskningsprojekter tilknyttet Det Sundhedsvidenskabelige Fakultet.

Hvis dit forskningsprojekt ikke er anmeldelsespligtigt, men du gerne vil have en etisk godkendelse af dit forskningsprojekt, kan du søge SDU’s videnskabsetiske komité (REC) om en etisk godkendelse.

Bemærk, at du skal anmode komitéen om godkendelse, inden du påbegynder dit forskningsprojekt. REC har faste mødedatoer og frister for ansøgninger.

Ved indsamling, opbevaring og analyse af forskningsdata er det vigtigt, at disse opbevares på SDU’s godkendte systemer til de enkelte formål. I din daglige behandling af data skal du sørge for, at uvedkommende ikke får adgang til data. Det gælder internt på SDU (kontorer, mødelokaler mv.) såvel som på eksterne lokationer (hjemmekontor, offentlig transport, konferencelokaler mv.).

SDU har som udgangspunkt følgende godkendte løsninger til opbevaring og behandling af forskningsdata: OneDrive, SharePoint, Nextcloud, S4 og Ucloud.

Hvis du undervejs i dit forskningsprojekt ønsker at benytte en anden opbevaringsløsning eller et system til transskribering, oversættelse eller andet, skal du altid sikre dig, at det er et godkendt system på SDU. Dette gør du ved at rette henvendelse til RDM-support, så SDU RIO kan tjekke, om der er indgået en databehandleraftale, og SDU IT kan tjekke, om der er tegnet en licens, såfremt en sådan er påkrævet.

Hvis der sker ændringer i projektet undervejs, skal du ajourføre din Data Management Plan.

Du skal ligeledes ajourføre din anmeldelse til SDU RIO, hvis du i projektet siden første anmeldelse fx er begyndt at benytte en ny databehandler, indsamler nye typer oplysninger, udvider antallet af deltagere o.l. Det gør du via en ændringsanmodning. 

Du opfordres til at opbevare den opdaterede Data Management Plan, godkendte ændringsanmodninger eller anden relevant dokumentation, som opstår undervejs i forskningsprojektet samme sted som din øvrige projektdokumentation.

Undervejs i forskningsprojektet kan der ske utilsigtede hændelser i behandlingen af information og dermed også persondata.

Eksempler på utilsigtede hændelser:

• Uvedkommende har haft adgang til de personoplysninger, der indgår i forskningsprojektet.
• Strømmen er gået til en fryser med biologisk materiale eller andet.

Sådanne hændelser betragtes som sikkerhedshændelser og disse skal registreres som brud på sikkerhed. Hvis du er i tvivl om, hvorvidt der er tale om en sikkerhedshændelse, kan du altid kontakte din lokale informationssikkerhedskoordinator.

I forbindelse med publicering kan du opleve, at du skal tage stilling til, om du i dit forskningsprojekt har behandlet persondata i overensstemmelse med reglerne. I sådanne tilfælde kan du benytte en standard passus, som SDU RIO har udarbejdet.

Vær desuden opmærksom på, at publicering af forskningsdata, der indeholder persondata udelukkende kan ske ved udtrykkeligt og informeret samtykke fra de registrerede. Hvis du har behov for at publicere forskningsartikler, der indeholder persondata skal du kontakte SDU RIO for vejledning. Du kan i den forbindelse overveje, om det kan give mening at publicere metadata til projektets data uden at publicere selve data. Data gøres på denne måde søgbart, og man har mulighed for at gøre andre forskere opmærksomme på, at data eksisterer. Hvis du har behov for vejledning herom, kan du kontakte RDM-support.

Ved gennemførelse af peer review af andre forskeres artikler, bør du være særligt opmærksom, hvis materialet indeholder personoplysninger. Disse skal opbevares og behandles forsvarligt og skal altid slettes efter gennemført review. SDU anbefaler Nextcloud i den henseende.

Ved forskningsprojektets afslutning skal du igen kigge på din Data Management Plan. Her skal du særligt tjekke slutdatoen, og hvad der skal ske med data ved projektafslutning – skal data fx slettes, overføres til Rigsarkivet eller anonymiseres? 

Såfremt data skal anonymiseres, er det vigtigt, at det er anonymiseret i databeskyttelsesretlig forstand.

Læs mere om pseudonymisering, afidentificering og anonymisering af data.

Hvis du er i tvivl, om data er anonymiseret i databeskyttelsesretlig forstand, kan du få vejledning hos SDU RIO.

Direktionen vedtog i marts 2018 en Open Science Politik på SDU. Politikken indeholder Data Management Planer, åbne forskningsdata og Open Access til videnskabelige publikationer. Deling af forskningsdata er helt centralt for Open Science, og dermed også Open Science-politikken, og har til formål at gavne andre forskere, samfundet og bidrage til at gøre forskningen transparent.

Anonymiserede data kan stilles til rådighed for andre forskere fx i et data repository.

Bemærk venligst, at data hvor CPR-numre er fjernet eller krypteret ikke betragtes som anonymiserede i databeskyttelsesretlig forstand, og derfor ikke kan offentliggøres. 

Normalt får du tilladelse til at opbevare personoplysningerne i 5 år efter projektets afslutning, så du kan dokumentere dine resultater efterfølgende. De fem år følger anbefalingen i den danske kodeks for integritet i forskningen. At du må opbevare oplysningerne, betyder ikke, at du må bruge oplysningerne aktivt (til f.eks. ny forskning) i opbevaringsperioden. SDU RIO vil kontakte dig 3 måneder og igen 1 måned før de 5 år er udløbet. Herefter vil personoplysningerne blive slettet medmindre de forinden er afleveret til Rigsarkivet eller anonymiseret.

Hvis du ønsker at genbruge personoplysningerne i et nyt projekt, skal du anmelde det nye projekt til SDU RIO og have tilladelse til at genbruge personoplysningerne behandlet på et tidligere tidspunkt.