Implementeringen av EU:s nya dataskyddsförordning GDPR ställer till det för uppsatsarbeten och forskning i samhällsvetenskapliga ämnen.
Det menar två lektorer som nu varnar för att implementeringen har medfört stor osäkerhet hur förordningen ska tolkas och att studenter därför nekas att använda vissa metoder och att studera vissa ämnen.
Det var i slutet av maj förra året som EU:s nya dataskyddsförordning GDPR trädde i kraft. Till skillnad från det tidigare dataskyddsdirektivet och personuppgiftslagen, PUL, är kraven på den som hanterar personuppgifter hårdare ställda och där brister i hanteringen kan straffas med en särskild, och hög, sanktionsavgift.
Syftet med GDPR har varit att stärka EU-medborgarnas integritetsskydd där rättigheterna har stärkts jämfört med tidigare. Ett annat syfte har varit att implementera samma direktiv inom hela EU, där det tidigare dataskyddsdirektivet varit upp till respektive medlemsland att implementera.
I och med GDPR ökade samtidigt kraven på hur den som hanterar personuppgifter också informerar om vilka uppgifter som hanteras, hur hanteringen görs och varför uppgifterna hanteras. Därutöver finns i GDPR en rättighet att bli glömd, där det är möjligt att få sina personuppgifter bortplockade.
För den som hanterar personuppgifter kräver den nya förordningen att man kan svara för varför de uppgifter som man har hanteras, hur uppgifterna samlas in samt vem som har tillgång till dem. Krav ställs samtidigt på att den som hanterar personuppgifter som omfattas av GDPR kan visa att förordningen efterföljs.
För Karlstads universitet har implementeringen av GDPR medfört en rad förändringar. Däribland att universitetet ansvarar för hanteringen av personuppgifter i arbeten som studenter gör i sin utbildning. Universitetet ansvarar även för den dokumentation som görs för att visa hur uppgifterna hanteras och för att visa att man efterföljer förordningen.
– När studenter skriver en uppsats blir det Karlstads universitet som ansvarar för behandlingen av personuppgifter eftersom uppsatsen skrivs inom ramen för utbildningen. Då måste vi ha ett register för det, och det är där som blanketten om hur personuppgifterna hanteras kommer in, säger Niklas Nikitin, informationssäkerhetssamordnare på Karlstads universitet.
Och fortsätter:
– Inför det att studenterna börjar sin behandling av personuppgifter lämnar de in en blankett om vilka uppgifter som de samlar in, hur uppgifterna hanteras och hur länge de kommer att hanteras. När studenterna är klara med sitt arbete och har lämnat in sitt det raderar studenterna de personuppgifter som de har hanterat och lämnar in ett intyg att uppgifterna är raderade. Detta för att veta att Karlstads universitet under en specifik tidsperioden har hanterat just de här personuppgifterna.
Inför det att förordningen trädde i kraft förra våren togs en policy och regler fram på universitetet om hur förordningen ska tolkas på ett lokalt plan. I reglerna, som beslutas om av rektor, anges både studenters och handledares ansvar vid uppsatsarbeten, där handledaren är huvudansvarig för att hanteringen av personuppgifter sköts på ett korrekt sätt.
I reglerna anges även att det i studentarbeten inte är tillåtet att behandla så kallade känsliga personuppgifter, vilket omfattar exempelvis politiska åsikter, religiös övertygelse och hälsa. Det eftersom en sådan hantering ställer särskilda krav på tekniska och organisatoriska skyddsåtgärder vid behandlingen – skyddsåtgärder som inte fanns på plats för studenter när reglerna skrevs.
– Det går att hantera personuppgifter, men man måste tänka mer och längre om vilka uppgifter som man samlar in, hur man gör det och varför. Dock får man i dagsläget inte behandla känsliga personuppgifter förutom när det sker inom ramen för ett större forskningsprojekt som har tillstånd från Etikprövningsmyndigheten, säger Conny Claesson.
För undervisande personal har implementeringen av GDPR medfört att man har tvingats att tänka om vad gäller ämnen och metoder för datainsamling i samband med studentarbeten och forskning – särskilt inom samhällsvetenskapliga ämnen.
– Det största problemet för våra uppsatsstudenter är att viktiga ämnen inom sociologi inte kan undersökas med hjälp av enkäter i Survey & Report (universitetets digitala undersökningsverktyg, reds. anm.) och genom intervjuer. Det eftersom studenter inte får behandla så kallade känsliga personuppgifter, säger Annika Jonsson, universitetslektor i sociologi.
Och fortsätter:
– Som känsliga personuppgifter räknas exempelvis etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, hälsa och sexuell läggning. Först och främst är det svårt att avgöra vad vissa av dessa begrepp står för.
Annika Jonsson menar att det just i sociologiska studier kan dyka upp situationer där den person som intervjuas kan röja känsliga personuppgifter i sina svar under en intervju, och att det då blir problematiskt att använda svaret i undersökningen rent juridiskt.
– Intervjuer blir som ett slags minfält. Tänk om intervjupersonen berättar något utan att ha tillfrågats om saken?
Implementeringen av GDPR har enligt Annika Jonsson resulterat i att studenter som läser sociologi inte längre har möjlighet att undersöka sådana aspekter och faktorer som är viktiga inom sociologin – något som blir motsägelsefullt jämfört med den nya förordningens syfte:
– Våra studenter läser mycket om maktordningar och marginalisering, och att de sedan inte kan skicka ut en enkät för att undersöka vilka fördomar som finns blir motsägelsefullt. Avsikten med lagen är att skydda individer, men när det gäller uppsatsarbeten blir många studenter frustrerade eftersom de inte kan adressera angelägna samhällsproblem, säger Annika Jonsson.
Och fortsätter:
– Vi har helt enkelt tvingats att säga nej till en hel del studenter när de har presenterat sina uppsatsidéer. Det har uppstått många frågor längs vägen, inte minst därför att informationen om hur vi ska hantera GDPR i uppsatssammanhang har varit rätt sparsam. Det har i sin tur lett till en hel del merarbete eftersom vi har fått söka svar på egen hand.
Vid sidan av att GDPR har resulterat i stor osäkerhet kring vad som utgör olika nivåer av personuppgifter, har förordningens krav på att det ska vara möjligt att visa att förordningen efterföljs gett upphov till merarbete för såväl handledare som studenter.
– Det eftersom det ska göras en anmälan om behandling av personuppgifter. Även för studenterna har det blivit fler dokument att hantera.
Under våren lyftes frågan om GDPR i sammanhang som rör studentuppsatser och andra studentarbeten i fakultetsnämnden på Fakulteten för humaniora och samhällsvetenskap där frågan kommer att behandlas under hösten, något som Annika Jonsson hoppas ska ge vägledning i det fortsatta arbetet.
– Ett större samtal har inletts om hur begrepp ska tolkas och så vidare. Rutiner sätter sig ju med tiden, men här finns också större frågor om rimligheten i lagen och tillämpningen av lagen, menar Annika Jonsson.
Och fortsätter:
– Vi förstår att tanken med både förordning och implementering har varit god, men det finns brister i bådadera.
Även inom ämnet statsvetenskap upplever man utmaningar i tillämpningen av GDPR när det kommer till studentarbeten – särskilt i de fall där det råder osäkerhet kring huruvida ämne och metod befinner sig i gränslandet för förordningens formuleringar.
– Jag har personligen inte varit med om att behöva säga nej till ett föreslaget uppsatsmanus, men min misstanke är att vår situation är lik den inom andra samhällsvetenskapliga ämnen. Det mest påtagliga är att vi på institutionen har en ansvarig person för frågor om GDPR samt att vi måste följa fler nya rutiner, säger Andreas Öjehag, universitetslektor i statsvetenskap.
Och fortsätter:
– Om det inte har hänt ännu är det nog bara en tidsfråga eller en fråga om att alla faktiskt inte har tagit till sig vad de nya reglerna innebär ännu.
Andreas Öjehag menar att implementeringen av GDPR även innebär ytterligare en arbetsuppgift utöver implementeringen av flera nya studieadministrativa system förra året; dels införandet av den nya lärplattformen Canvas, dels övergången till nya Ladok.
– Det blir ytterligare en arbetsbörda för undervisande personal som redan innan de nya direktiven lägger mycket till administration och hantering av olika system.
Ett syfte med införandet av GDPR var att stärka skyddet av personuppgifter och hanteringen av dessa, men där Andreas Öjehag menar att förordningen snarare har resulterat i merarbete i form av ökad administration.
– Den vanliga framställningen handlar om att det är för att skydda våra digitala liv och den data som vi genererar. Samtidigt är den också mycket explicit i att det också handlar om att säkra fria flöden av data för handelns och tillväxtens skull. Någonstans känner jag då att resultatet inte i första hand blir att vi nu är skyddade på internet, utan att det snarare blir just ett stort administrativt projekt som i sig självt är väldigt resurskrävande.
Inför höstens diskussioner i fakultetsnämnden hoppas Andreas Öjehag att Karlstads universitet kan blicka mot övriga lärosäten i landet, och att det således etableras en samsyn på hur förordningen ska tolkas på landets lärosäten.
– I den här breda bemärkelsen har jag ingen lösning, men när det gäller undervisning hoppas jag att den diskussion som har startats i fakultetsnämnden kan koppla upp mot nationella sammanhang i Högskolesverige. Förhoppningsvis kan vi finna en väg framåt där det här på så minimala sätt som möjligt påverkar möjligheten att bedriva forskning och undervisning i samhällsvetenskap.
Sedan det från fakultetshåll riktats önskemål om att revidera styrdokumenten menar Conny Claesson och Niklas Nikitin att det i dagsläget finns ett behov av se över och uppdatera universitetets policy och regler för hur GDPR tolkas.
– Nu har GDPR funnits i över ett år och vi ser att det finns ett behov av att göra vissa revideringar av universitetets styrdokument gällande personuppgiftsbehandling och att se vilka lösningar som finns i dag. Det verkar även finnas idéer för hur det kan vara möjligt för studenter att behandla känsliga personuppgifter på några andra lärosäten och därför kommer vi att i dialog med fakulteten och IT-avdelningen se vilka lösningar som kan finnas, säger Conny Claesson.
– För att det ska vara möjligt kommer det att kräva investeringar i teknik och administration i någon form. Utrustning som datorer och diktafoner behöver införskaffas och underhållas, informationen från den tidigare användaren behöver raderas och så vidare, tillägger Niklas Nikitin.