Publicerad 7 juni 2021

Kort om personuppgifter (GDPR)

Det är viktigt att du hanterar testpersonernas uppgifter på ett korrekt sätt.

För att hantera information om människors på ett korrekt sätt enligt Dataskyddsförordningen (GDPR) finns några enkla principer:

  1. Fråga bara efter den information du behöver.
  2. Använd bara informationen i enlighet med de ursprungsliga anledningarna för att samla in dem.
  3. För varje informationsmängd du samlar in behöver du en så kallad "laglig grund" för att hantera den informationen.

För att ha en laglig grund för att hantera informationen måste du först identifiera vilken information som är nödvändig för undersökningen. Sedan definierar du syftet med att samla in varje informationsmängd, och håller dig till det syftet under hela processen.

Om du vill använda en kontaktlista för att rekrytera testpersoner, och du är osäker på om personerna på listan samtyckt till att listan används på det sättet, bör du alltså skapa en ny "rekryteringskampanj" för att mottagarna specifikt ska kunna ge samtycke till att bli kontaktade för användningsundersökningar.

Tänk på att genom att samarbeta med andra delar av organisationen kan du i deras regelbundna utskick be om sådana samtycken, så att du inte endast behöver förlita dig på ett särskilt utskick.

Tala om vad informationen används till

Redan när du rekryterar personer är det bra att tala om varför du begär viss information. För varje texfält, om du gör detta digitalt, kan du alltså ha en tilläggstext som förklarar vad informationen kommer användas till. Du kanske begär deras telefonnummer för att kunna ringa och boka tid för en intervju, och du kanske begär e-postadress för att kunna skicka presentkort.

Informerat samtycke

Samtycke innebär att deltagarna förstår:

  • vem som gör undersökningen
  • syftet med undersökningen
  • vilken information som samlas in
  • vad som händer under det att undersökningen pågår
  • hur du använder resultatet av undersökningen, och vem resultatet delas med
  • att deras deltagande är frivilligt och att de kan avsluta eller ta tillbaka sitt samtycke när som helst
  • hur länge informationen om dem sparas
  • vad deras rättigheter är och hur de kan rapportera missnöje

Du måste också låta deltagarna veta:

  • Om sessionen observeras av fler än de som deltar (testledare och testperson).
  • Om något spelas in

Samt:

  • Vilken organisation som är ansvarig för informationen (data controller) så att deltagaren vet vem de ska kontakta om de vill avsluta sitt deltagande eller lämna in klagomål.
  • Andra organisationer som hanterar informationen, till exempel transkriberingstjänster, eller konsulter från byråer som arbetar i teamet.

Lagring av information

Observera att informationen måste lagras på ett säkert sätt så att inte obehöriga får tillgång till den. Den får inte heller sparas på ett sådant sätt att informationen ligger utanför EU:s gränser. Personuppgifterna ska raderas när de inte längre behövs eller när det begärs av den berörda personen.

Genom att göra på rätt sätt kan ni vid en tillsyn visa hur ni lever upp till Dataskyddsförordningen.

Referenser

https://www.gov.uk/service-manual/user-research/getting-users-consent-for-research

https://medium.com/design-research-matters/general-data-protection-regulation-gdpr-and-user-research-e00a5b29338e

https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/

Mer om oss

Sveriges Kommuner och Regioner

SKR är en arbetsgivar- och intresseorganisation för landets alla
kommuner och regioner.

Kontakta SKR

Kontaktinformation

08-452 70 00

info@skr.se

Till toppen av sidan