Intramed

Medicinska fakultetens interna webbplats

Meny

General Data Protection Regulation (GDPR) - nya dataskyddsförordningen

Informationsmöten om GDPR

29 maj

Den 29 maj hölls ett informationsmöte om vad GDPR innebär för forskare! Medverkade gjorde representanter för Lunds universitet, Medicinsak fakulteten och Region Skåne.

5 april

Den 5 april hölls på CRC ett informationsmöte om GDPR och vad det innebär för forskningen och för dig som forskar. Representanter för Region Skåne och för Lunds universitet redde ut begreppen och svarade på frågor.

5 april informationsmoete om gdpr

Medverkande: Per Bergstrand, regionjurist, personuppgiftsombud, Region Skåne, Kajsa Thelin, arkivarie, Region Skåne, Camilla Andersson, enhetschef forskningsmedel och utbildningsekonomi på SUS, Ulf Malmqvist, enhetschef, Kliniska studier forum Söder, Ingemar Johansson, forskningschef SUS, Kristina Åkesson, prodekan, Medicinska fakulteten och Colm Doyle, biblioteks- och IKT-chef, Medicinska fakulteten.


GDPR – vad bör vi tänka på?

Dataskyddsförordningen är det svenska namnet för “General Data Protection Regulation” (GDPR) som träder i kraft den 25 maj 2018. Dataskyddsförordningen kommer att ersätta dataskyddsdirektivet och den svenska personuppgiftslagen. Förordningen gäller all personuppgiftsbehandling vid universitetet, dvs. sådan information som direkt eller indirekt kan relateras till en identifierbar eller identifierad levande person.

Vad bör vi tänka på?

Här är några exempel:

  • Bevisbördan på att behandlingen är laglig och korrekt ligger på universitetet.
  • All personuppgiftsbehandling måste registreras till universitetet innan den påbörjas.
  • Baserat på GDPR har individen rätt att veta hur man planerar att använda personuppgifterna, dock finns undantag
  • Inbyggt dataskydd krävs, vilket betyder att IT-system och rutiner bör utformas med datasäkerheten i åtanke.
  • Data bör minimeras, den som samlar in data bör kunna förklara relevansen av dataprocessen samt hur data begränsas med syfte på forskningsprojektet och i åtanke av dataminimering.
  • Den som samlar in data bör beskriva de säkerhetsåtgärder som ska genomföras för att förhindra obehörig tillgång till personuppgifter och beskriva de tekniska och organisatoriska åtgärder som ska genomföras för att skydda de registrerade och forskningsdeltagarnas rättigheter och friheter.
  • Förordningen gäller all personuppgiftsbehandling vid universitetet. Territoriellt har det ingen betydelse var uppgifterna samlas in eller lagras. Det spelar inte heller någon roll om uppgifterna är krypterade eller kodade, så länge det går att återställa kopplingen till det uppgifterna handlar om.
  • GDPR gäller universitetets alla samarbeten, även då personuppgifter överförs från ett icke-EU land till EU.
  • Ifall personuppgifter överförs från EU till ett icke-EU land, eller organisation bör det bekräftas att överföring följer GDPR.
  • Om syfte med bearbetning, särskilt med hjälp av ny teknik, och med hänsyn till arten, omfattningen samt sammanhanget sannolikt kommer att leda till stor risk för fysiska personers rättigheter och friheter, skall kontrollanten före bearbetningen, göra en bedömning av effekterna av den planerade bearbetningsprocessen för att skydda personuppgifter.
  • När du behandlar patientdata, genetisk data och hälsorelaterade data behöver du kartlägga integritetsrisker, dokumentera personuppgiftsbehandlingen, kartlägga risknivåer i hanteringen av personuppgifter och upprätta en åtgärdsplan = Data Protection Impact Assessment (DPIA)
  • Utvärdera riskerna i samband med projektets datahantering. Detta inkluderar också en konsekvensbedömning ifall DPIA bör göras. Riskbedömningen och yttrandet måste lämnas in.

Ny lagstiftning på gång

För att forskning ska vara möjlig även framöver kommer en helt ny lag – forskningsdatalagen – att träda i kraft. När är ännu oklart. Behandlar du känsliga personuppgifter, såsom information om en persons hälsa, kommer du även i framtiden behöva inhämta etiskt tillstånd.

Varför sådan hysteri med GDPR?

Skyddet av den personliga integriteten är ett skäl att ta förordningen på allvar. Vid överträdelse kan en verksamhet bli skyldig att betala en sanktion upp till 20 miljoner euro, eller upp till 4% av den globala årsomsättningen under föregående budgetår. Organisationer som bedriver forskning, så som universitet spekuleras komma undan med 10 miljoner SEK.

Mer information

För att underlätta anpassningen till den nya lagstiftningen har universitetsledningen ett projekt ”Hantering av personuppgifter inom Lunds universitet”.
Här finns kontaktuppgifter till projektgruppen samt mer information om projektet: