Projektet har fått anslag från Europeiska unionens sjunde ramprogram för forskning, teknisk utveckling och demonstration enligt bidragsavtal nr #607798

METODER OCH VERKTYG

METOD:
FORSKNINGSETIK

OCH GDPR-KRAV

Att följa etiska principer och normer för
god forskningsetik och efterleva
GDPR-kraven
FÖRSÖKSÄGARE
Utvärderingssamordnare
Utövarsamordnare
Teknisk samordnare
Lösningsleverantörer

om

vad verktyget
används till

Något som är relevant för samtliga tre resultatmätningsdimensionerna av ett försök är frågor som rör forskningsetik. Regler och normer för forskningsetik ingår i TGM och måste beaktas när man upprättar ett försök. När människor är inblandade i aktiviteterna måste krav och regler för uppgiftsskydd alltid följas för att skydda individernas integritet och reglera deras deltagande. Dessa krav definieras framför allt i EU:s allmänna dataskyddsförordning, GDPR. GDPR bygger på en rad integritetsprinciper som beskrivs i korthet nedan. Med utgångspunkt från dessa principer innehåller den här guiden en lista över nyckelkrav och -rekommendationer som är kopplade till var och en av de tre faserna av ett försök: förberedelse, genomförande och utvärdering. Enligt de nya reglerna kan ett företag få böta 2 % av sin omsättning om det inte för ordentliga register (artikel 28 i GDPR), inte meddelar tillsynsmyndigheten och registrerade personer om incidenter eller inte genomför en konsekvensutredning. Vid genomförande av försök handlar de ändringar som de nya reglerna medför framför allt om medborgarrättigheter. Registrerade personers rättigheter behandlas i kapitel III av GDPR. Även om de nya reglerna för företag också är relevanta i försökssammanhang ligger ansvaret för tillämpning och genomdrivning av GDPR hos de enskilda företag/organisationer som deltar i försöket. Som sammanfattning är de här etiska riktlinjerna (som en del av Trial Guidance Methodology) inte inriktade på att hjälpa företag att anpassa sig till GDPR, utan de berör först och främst enskilda registrerades rättigheter när de deltar i försöksaktiviteterna.  

Följande riktlinjer speglar de främsta frågor och koncept som man kan vänta sig när man organiserar ett försök, men de är inte helt uttömmande. Skälet till det är att för att kunna identifiera exakt vilka etiska frågor som kan vara relevanta för ett försök behövs mer information om arrangemangen, till exempel scenariot och hur stor inblandning externa deltagare som volontärer kommer att ha. Riktlinjerna ger dock en bra bild av vilka de viktigaste frågorna kan vara och hur man bemöter dem.

Först och främst en översikt över några av nyckelprinciperna i GDPR:

Laglighet, korrekthet och öppenhet: GDPR anger tydligt att behandling av personuppgifter är laglig endast om och i den mån som åtminstone ett av flera villkor är uppfyllt (artikel 6 i GDPR). Ett sådant villkor är till exempel att den registrerade ska ha givit sitt samtycke till behandlingen av hans eller hennes personuppgifter i ett eller flera specifika syften. Villkoren för samtycke har stärkts och samtycke måste ges i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk.

Begränsningar av insamling, behandling och syfte: GDPR anger att personuppgifter endast får samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål” (artikel 5, stycke 1.b i GDPR). GDPR anger också att registrerade bör ha möjlighet att ”endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.” Artikel 17 ger varje registrerad person rätt att få sina personuppgifter raderade om han eller hon återtar sitt samtycke eller invänder mot behandlingen, liksom om uppgifterna inte längre behövs med tanke på de ändamål för vilka de samlats in. Enligt GDPR är det inte nödvändigt att skicka in meddelanden/anmälningar till respektive lokal dataskyddsmyndighet om uppgiftsbehandling. Istället finns interna registerföringskrav, och i vissa fall är det obligatoriskt att utse ett dataskyddsombud.

Korrekthet: GDPR anger att personuppgifter ska vara ”korrekta och om nödvändigt uppdaterade” (artikel 5, stycke 1.d i GDPR).

Uppgiftsminimering & inbyggt dataskydd: GDPR anger att uppgifter som samlas in om en registrerad ska vara ”adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas” (artikel 5, stycke 1.c i GDPR). Inbyggt dataskydd, som är ett nytt lagkrav enligt GDPR, innebär att dataskydd ska byggas in direkt när ett system utformas istället för att vara ett tillägg. Enligt artikel 23 ska personuppgiftsansvariga lagra och behandla endast sådana uppgifter som är nödvändiga för fullgörandet av deras skyldigheter (dataminimering) och begränsa tillgången till personuppgifterna till de som ska utföra behandlingen.

Lagringsminimering/integritet och konfidentialitet: Enligt GDPR får personuppgifter ”inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt” (artikel 5, stycke 1.e i GDPR). GDPR anger också att de som behandlar personuppgifter ska göra det ”på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada” (artikel 5, stycke 1.f i GDPR). Rätten att bli bortglömd, även kallad uppgiftsradering, ger den registrerade rätt att begära att den personuppgiftsansvarige raderar hans/hennes personuppgifter, upphör med vidare spridning av uppgifterna samt eventuellt begär att tredje part upphör med behandling av uppgifterna. Exempel på villkor för radering enligt artikel 17 är att uppgifterna inte längre behövs för de ursprungliga ändamålen eller att den registrerade återtar sitt samtycke.

GDPR-krav & -rekommendationer för förberedelsefasen

Fastställ om en konsekvensbedömning avseende dataskydd behövs (se artikel 35, stycke 3 i GDPR). En konsekvensbedömning avseende dataskydd behövs i synnerhet i följande fall:

  • en systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer  
  • behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10 eller 
  • systematisk övervakning av en allmän plats i stor omfattning.
  • Se till att uppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5, stycke 1.b i GDPR).
  • Informera den registrerade (den person som personuppgifter samlas in från) om den personuppgiftsansvariges identitet och kontaktuppgifter, vilka typer av uppgifter som ska samlas in och behandlas och hur resultatet av den registrerades bidrag kommer att användas. Se också till att de uppgifter som faktiskt samlas in överensstämmer med denna beskrivning. Lämna information om syftet med forskningen, vilka som kommer att få tillgång till uppgifterna och hur länge materialet kommer att sparas. Informationen bör lämnas i ett formulär för informerat samtycke som den registrerade måste skriva under innan datainsamlingen.
  • Klargör tydligt förfarandet vid observation eller registrering. Ge alla som kan komma att påverkas av det möjlighet att tacka nej till att bli observerade eller inspelade.
  • Informera alltid alla deltagare och möjliga åskådare noggrant och i god tid innan undersökningen genomförs. Om åskådare kan påverkas av aktiviteten, till exempel genom att de bevittnar ett försöksscenario med en fältkomponent, bör de få så mycket information som möjligt i förväg. Det kan till exempel göras genom att man sätter upp informationsaffischer i närheten av försöksområdet. Detta kan betraktas som god praxis även om åskådarna inte är registrerade personer i egentlig mening. Detta kan dock bero på situationen. Om lösningsleverantören utför videoövervakning eller spårning av åskådare kan de bli registrerade personer.

GDPR-krav & rekommendationer för förberedelsefasen (fortsättning)

  • Vid behov ska lokala dataskyddsmyndigheter tillfrågas för att se till att lagar och regler för skydd av personuppgifter följs. Om registrering hos nationella myndigheter krävs ska det också göras. Genom GDPR upphör kravet på att dataskyddsmyndigheten ska informeras om behandling av personuppgifter. Det finns dock andra skyldigheter som kan påverka deltagarnas rättigheter, till exempel krav på konsekvensbedömning avseende dataskydd och förhandssamråd (beskrivningar av när dessa kan behövas finns i artikel 35 och 36 i GDPR).
  • Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne (artikel 22 i GDPR). Om sådan behandling krävs i DRIVER+ (till exempel för den ”potentiellt automatiserade” resultatmätningen och -loggningen med hjälp av teknisk infrastruktur i SP92), ska beslutet grundas på den registrerades uttryckliga samtycke (artikel 22, stycke 2.c i GDPR).  
  • Planera för uppgiftsminimering, det vill säga undvik att samla in uppgifter i onödan.  
  • Planera för och tillförsäkra att de personuppgifter som samlas in lagras på ett säkert sätt, till exempel genom att tillämpa standarderna i ISO/IEC 27000 eller de riktlinjer som National Cyber Security Center tillhandahåller.  
  • Anonymisera och kryptera personuppgifter som regel.  
  • Använd teknik för dataregistrering endast om det är nödvändigt. Motivera beslutet.  

GDPR-krav & -rekommendationer för genomförandefasen

  • Om serverintrång sker genom hackning, eller om personuppgifter på annat sätt koms åt av någon obehörig, är anmälan om sådana incidenter nu obligatorisk i alla medlemsstater. Detta gäller i fall där en personuppgiftsincident troligen innebär ”en risk för fysiska personers rättigheter och friheter”. Anmälan ska ske inom  
  • 72 timmar efter att man först blivit medveten om incidenten.
  • Tillförsäkra att de personuppgifter som samlas in lagras på ett säkert sätt, till exempel genom att tillämpa standarderna i ISO/IEC 27000 eller de riktlinjer som National Cyber Security Center i Storbritannien tillhandahåller.  
  • Använd teknik för dataregistrering endast om det är nödvändigt. Motivera beslutet.
  • Utöva uppgiftsminimering, dvs. undvik att samla in uppgifter i onödan. Insamlade uppgifter som inte längre behövs ska raderas. Det innebär att färre personer påverkas om en personuppgiftsincident inträffar.
  • Behandla inte uppgifter som inte längre är aktuella. Som regel, anonymisera och kryptera personuppgifter
  • Var medveten om att enligt GDPR kan alla inom Europeiska Unionen (alla som bor i EU, inte bara EU-medborgare) begära att deras personuppgifter tas bort ur ett företags databas, eller att få veta varför det inte går.
  • Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne (artikel 22 i GDPR). Om sådan behandling krävs för genomförandet av ett försök (till exempel för den ”potentiellt automatiserade” resultatmätningen och -loggningen med hjälp av Test-bed Technical Infrastructure), ska beslutet grundas på den registrerades uttryckliga samtycke (artikel 22, stycke 2.c i GDPR).
  • Se till att uppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5, stycke 1.b i GDPR).

GDP-krav & rekommendationer för utvärderingsfasen

  • Om serverintrång sker genom hackning, eller om personuppgifter på annat sätt koms åt av någon obehörig, är anmälan om sådana incidenter nu obligatorisk i alla medlemsstater. Detta gäller i fall där en personuppgiftsincident troligen innebär ”en risk för fysiska personers rättigheter och friheter”. Anmälan ska ske inom 72 timmar efter att man först blivit medveten om incidenten.  
  • Återanvänd inte uppgifter utan uttryckligt samtycke. Om den personuppgiftsansvarige tänker behandla personuppgifter för ett ytterligare syfte ska ett uppdaterat, undertecknat formulär för informerat samtycke inhämtas från den registrerade.
  • Behandla inte uppgifter som inte längre är aktuella.
  • Insamlade uppgifter som inte längre behövs ska raderas. Det innebär att färre personer påverkas om en personuppgiftsincident inträffar.
  • Anonymisera och kryptera personuppgifter som regel. Personuppgifter ”får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt” (artikel 5, stycke 1.e i GDPR).  
  • De som behandlar/analyserar personuppgifter ska göra det ”på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada” (artikel 5, stycke 1.f i GDPR).
  • Var medveten om att enligt GDPR kan alla inom Europeiska Unionen (alla som bor i EU, inte bara EU-medborgare) begära att deras personuppgifter tas bort ur ett företags databas, eller att få veta varför det inte går.
  • Om personuppgifter ingår i den beskrivning av försöksresultaten som lagras i PoS ska detta vara motiverat.
  • Förutom att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål ska man också se till att uppgifterna inte behandlas vidare på ett sätt som inte överensstämmer med dessa ändamål (artikel 5, stycke 1.b. i GDPR).
Länk
  • Det här är inte ett fysiskt verktyg utan en process.