Vad är en kodnyckel

Personuppgifter i forskning

Personuppgifter är all slags kunskap som direkt eller omväg kan härledas till enstaka fysisk individ som existerar i existensen (läs mer på Integritetsskyddsmyndighetens hemsida). Personuppgifter inkluderar även bilder (foton) och ljudinspelningar av personer som behandlas/lagras i datamaskin, även ifall inga namn nämns. Krypterade, kodade alternativt pseudonymiserade fakta och olika slags elektroniska identiteter, likt exempelvis IP-nummer, räknas liksom personuppgifter angående de är kapabel kopplas mot fysiska personer. Vissa personuppgifter anses såsom särskilt känsliga, till modell genetiska uppgifter och upplysning rörande ett individs hälsa.

Det behövs etikgodkännande, och vanligen också personligt samtycke, på grund av att erhålla hantera personuppgifter för forskning.

Pseudonymiserade (kodade) personuppgifter

Pseudonymiserade personuppgifter innebär att personnummer och namn har ersatts med ett kod alternativt liknande. Koden kan kopplas ihop tillsammans med namn samt personnummer vid nytt via en kodnyckel. Kodnyckeln samt kodade uppgifter ska ej förvaras tillsammans. Så länge detta finns ett kodnyckel vilket kan användas för för att identifiera individerna i studien, även ifall du såsom forskare ej har ingång till den, b

  • vad är en kodnyckel

    • Vanliga frågor om GDPR

    Vad är en personuppgift?

    All slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet räknas som personuppgifter. Även bilder (foton) och ljudupptagningar på individer kan vara personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer och användarkonto, räknas som personuppgifter om de kan kopplas till fysiska personer.

    Krypterade och pseudonymiserade personuppgifter räknas som personuppgifter så länge som kodnyckeln finns sparad, oavsett om nyckeln finns vid KI eller hos en annan part och även om man inte ens har laglig rätt att få ta del av den.
    Här kan du läsa mer om begrepp inom dataskydd.

    Om vi bara behandlar kodade personuppgifter gäller väl inte GDPR?

    Jo, så länge som det finns en s.k. kodnyckel sparad någonstans, med vilken det går att identifiera en enskild individ, så utgör en pseudonymiserad (kodad) uppgift en personuppgift och kraven i GDPR måste efterlevas.

    Om kodnyckeln däremot är förstörd/raderad och det inte går att koppla personuppgifterna till en specifik person anses uppgifterna vara anonymiserade. I dessa fall utgör inte u

    Lätt att blanda ihop

    Begreppen pseudonymisering och anonymisering blandas ofta ihop, vilket kan vara problematiskt eftersom dataskyddsreglerna fortfarande gäller för pseudonymiserade uppgifter. Så länge det finns kompletterande information som möjliggör identifiering måste dataskyddsreglerna beaktas.

    Bedömningen av om en uppgift är anonymiserad eller inte måste göras i det enskilda fallet, eftersom det till viss del kan bero på vilken information den personuppgiftsansvarige har tillgång till.

    I slutet av april avgjorde EU-domstolen mål T/ I målet prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren av ett dataset, trots att avsändaren hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Teoretiskt skulle det vara möjligt för mottagaren att åter identifiera uppgifterna, men frågan var om det var praktiskt möjligt?

    EU-domstolen förtydligade i målet att bedömningen måste göras utifrån mottagarens perspektiv, om denne har medel som gör det möjligt att identifiera en individ. I avgörandet förtydligar Domstolen att bedömningen huruvida personuppgifter går att åter identifiera inte enbart kan göras utifrån vilka uppgifter mottagaren har tillgån