Hoppa direkt till innehållet
Navigerat till

Om personuppgifter i forskning

En personuppgift kan direkt eller indirekt kopplas till en enskild person. Vissa personuppgifter räknas som känsliga eller särskilt skyddsvärda, men alla personuppgifter behöver skyddas på olika sätt. Umeå universitet som organisation är ansvarig för behandlingen av personuppgifter som sker i forskning som bedrivs på universitetet.

Personuppgifter kan kopplas till en enskild person

En personuppgift är information som direkt eller indirekt kan kopplas till en enskild person. Det innebär att både uppenbar information som namn och personnummer och all annan information som kan kopplas till en individ är en personuppgift. Även kombinationer av uppgifter är personuppgifter om det är möjligt att koppla dessa till en person.

Det finns tre kategorier av personuppgifter:

Känsliga personuppgifter

Uppgifter som avslöjar

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • personuppgifter som rör hälsa eller sexualliv, genetiska eller biometriska uppgifter.

Uppgifter om hälsa kan vara till exempel allergier, sjukfrånvaro, graviditet och läkarbesök.

Integritetskänsliga/särskilt skyddsvärda personuppgifter

Dessa inkluderar till exempel

  • personnummer
  • löneuppgifter
  • uppgifter om lagöverträdelser
  • värderande uppgifter som till exempel uppgifter från utvecklingssamtal
  • uppgifter om resultat från personlighetstester eller personlighetsprofiler
  • information som rör någons privata sfär
  • uppgifter om sociala förhållanden.

Vanliga personuppgifter

Dessa är uppgifter som varken är känsliga eller integritetskänsliga/särskilt skyddsvärda personuppgifter.

Pseudonymiserade eller anonymiserade uppgifter

Pseudonymisering innebär inte att personuppgifterna är anonymiserade. Pseudonymiserade uppgifter, alltså kodade personuppgifter, är personuppgifter så länge en kodnyckel finns - oavsett var nyckeln finns eller vem som har tillgång till den.

Anonymiserade uppgifter kan inte på något vis kopplas till en enskild person och är därför inte längre personuppgifter. Om forskningsdata med personuppgifter innehåller många variabler kan det vara svårt att anonymisera uppgifterna.

Då räknas uppgifterna som anonymiserade

Uppgifterna upphör att vara personuppgifter först när det inte längre finns någon som helst möjlighet att koppla uppgifterna till en enskild individ. Uppgifterna är anonymiserade om kodnyckel saknas och det saknas möjlighet att med hjälp av annan data koppla uppgifterna till en enskild person (så kallad bakspårning). Ett exempel är om pseudonymiserade personuppgifter omkodas och den nya kodnyckeln förstörs (så kallad dubbelpseudonymisering).

De ursprungliga uppgifterna och kodnyckeln till dessa ska som regel bevaras av forsknings- och arkivskäl.

Känsliga personuppgifter och lagöverträdelser kräver etikprövning

Forskning som innefattar behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser omfattas av ett krav på etikprövning enligt lag (2003:460) om etikprövning av forskning som avser människor. Många gånger är sådana uppgifter även sekretessreglerade vilket innebär att även offentlighets- och sekretesslagens regler ska beaktas.

Läs mer om etikprövning

Läs mer om forskningsdata i etikprövad forskning

Personuppgiftsansvar 

Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det kan finnas en eller flera personuppgiftsansvariga för samma personuppgiftsbehandling.  

Det är Umeå universitet som organisation som är ansvarig för behandlingen av personuppgifter som sker i forskning som bedrivs på universitetet. I forskningssamarbete kan flera organisationer vara ansvariga för sin del av personuppgiftsbehandlingen. Att en organisation endast lämnar ut data till ett forskningsprojekt innebär dock inte att den organisationen är personuppgiftsansvarig för den personuppgiftsbehandling som sker i forskningen. 

Det här måste du göra

Det finns flera grundläggande krav som måste följas när din forskning innebär att du behandlar personuppgifter. Behandling av personuppgifter är allt du gör med personuppgifter, till exempel alla former av insamling, registrering, lagring, bearbetning, analysering, läsning, sammanförande, utlämnande och radering. 

Läs om krav för att behandla personuppgifter för forskningsändamål

Har du en fråga?

Om du har frågor kring behandling av personuppgifter, kan du vända dig till universitetsjuristerna:

Kontakta pulo@umu.se (dataskydd)

För frågor om hantering av forskningsdata, kan du kontakta det centrala forskningsdatastödet.

Kontakta forskningsdatastödet

Senast uppdaterad: 2025-06-03

Läs mer om personuppgifter och informationssäkerhet

Hand plockar ut en identifikation från en dator.

Anmäl incidenter omgående

Anmäl en incident gällande IT-säkerhet, personuppgifter eller säkerhetsskydd direkt.

Närbild på en gammaldags kompass.

Forskningsetik och god forskningssed

Du måste bedriva forskning vetenskapligt och på ett respektfullt och etiskt sätt.

Illustration händer på tangentbord framför en datorskärm med ett upplåst hänglås.

Informationssäkerhet

Planera för säker informationsbehandling under hela forskningsprojektet.