Dataskyddsförordningen (GDPR) - undervisar och handleder

Steg 4 - Bestäm hur informationen skall förvaras och hanteras säkert under arbetet

Insamlad information måste behandlas på ett säkert sätt. Att förvara insamlade personuppgifter i din hemkatalog är att rekommendera. Hemkatalogen har tillräcklig säkerhet även för känsliga personuppgifter (som känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter samt uppgifter om en persons hälsa, sexualliv eller sexuella läggning). Universitetet tillhandahåller även ett antal ytterligare tjänster som kan vara praktiska vid arbetet som exempelvis Box. Dessa får användas för personuppgifter som inte är känsliga. Externa lagringstjänster (verktyg som inte tillhandahålls genom Linnéuniversitetet) får inte användas för personuppgifter. Detta gäller exempelvis Dropbox, Google docs, iCloud med flera.

Säkerhetsåtgärder

Den mest grundläggande säkerhetsåtgärden är att aldrig samla in mer uppgifter än vad som behövs för behandlingen. Information som inte finns kan aldrig komma på avvägar eller missbrukas. Den information som samlas in skall därför bara vara det minsta nödvändiga. Om det går att genomföra arbetet med helt anonyma uppgifter är det, som tidigare nämnts, att föredra. Om det är nödvändigt att kunna koppla information till person kan det vara lämpligt att göra en koppling som kräver tillgång till en nyckel som kopplar person till information och förvara den separat. Uppgifter som skyddas på detta sätt kallas pseudonymiserade. Det rör sig fortfarande om personuppgifter i lagens mening men säkerheten är betydligt bättre då endast den som har behov av att göra själva kopplingen har tillgång till nyckeln.

Förvaring av personuppgifter skall ske på ett sätt som garanterar ett lämpligt skydd för uppgifterna. Uppgifternas känslighet och den skada de kan vålla för den registrerade ska balanseras mot kostnader och tekniska möjligheter vad gäller skydd. Kort kan sägas att studentens hemkatalog har en tillräcklig säkerhet för att lagra även känsliga personuppgifter och är därför en lämplig lagringsplats. Detta kan inte sägas om flertalet av de på Internet tillgängliga lagringslösningarna vilket innebär att de inte får användas för att hantera personuppgifter. För att det ska vara tillåtet att använda tredje part i behandlingen av personuppgifter måste exempelvis ett personuppgiftsbiträdesavtal skrivits med leverantören och så har endast skett för de verktyg som tillhandahålls via universitetet. Det är alltså viktigt att notera att endast de tjänster som tillhandahålls via lärosätet får lov att användas för behandling av personuppgifter och endast hemkatalogen (P) för lagring av känsliga personuppgifter.

Om känsliga personuppgifter ska behandlas

Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter samt uppgifter om en persons hälsa, sexualliv eller sexuella läggning räknas som känsliga uppgifter och får inte behandlas alls om det inte finns ett specifikt undantag som tillåter behandling. För ett examensarbete är samtycke ett sådant undantag och uppgifterna får alltså behandlas om den registrerade har samtyckt till behandlingen. Det är viktigt att betona att det, som alltid, måste vara ett klart och tydligt samtycke till behandlingen där den registrerade har fått utförlig information om arbetet och har gett sitt tydliga samtycke till behandlingen. Samtycket ska dokumenteras (skriftligt eller digitalt) och sparas så att det kan visas fram vid behov. Samtycket kan när som helst återkallas och fortsatt behandling med samtycke som grund är då inte tillåten. Känsliga uppgifter ställer höga krav på de administrativa och tekniska skyddsåtgärderna och allt sådant material bör förvaras i studentens hemkatalog. Om så inte är möjligt skall förvaringen ha minst motsvarande tekniska och administrativa skydd.