Tunnisteellisen aineiston käsittely vaatii erityistä huolellisuutta.
Tällä sivulla on esitelty lyhyesti tunnisteellisen tiedon käsitteistöä ja tunnisteellisen tiedon käsittelyyn liittyviä toimenpiteitä. Sivun sisältö perustuu Tietoarkiston Aineistonhallinnan käsikirjaan, joka antaa kattavan ohjeistuksen tunnisteellisen tiedon käsittelyyn yleensä sekä ohjeet kvantitatiivisen ja kvalitatiivisen aineiston anonymisointiin.
Lisätietoa: Tietoarkisto: Aineistonhallinan käsikirja, Tunnisteellisuus ja anonymisointi
Henkilötietoja tulee kerätä vain siinä määrin kuin on välttämätöntä tutkimuksen toteuttamiseksi. Henkilötietoja ei saa kerätä vain siltä varalta, että ne saattavat olla hyödyllisiä. Henkilötietojen keräämiselle tulee aina olla suunniteltu tutkimuksellinen tarve.
Tunnisteellisia aineistoja voi käyttää tieteelliseen tutkimukseen silloin, kun se on tarkoituksenmukaista, suunniteltua, asiallisesti perusteltua ja tietojen käsittelyyn on laillinen käsittelyperuste (esimerkiksi tutkittavan suostumus tai yleisen edun mukainen tutkimus).
Tiedot, jotka yksin eivät riitä tunnistamiseen, mutta yhdistettynä voivat mahdollistaa henkilön tunnistamisen.
Tunnisteellisten tutkimusaineistojen käsittelyn tulee olla suunnitelmallista ja huolellista. Henkilötietojen käsittelyn yleisiä suojatoimia ovat pseudonymisointi, anonymisointi ja säilytyksen rajoittaminen (minimointi). Tutkittavien yksityisyyden suojaa ei saa vaarantaa esimerkiksi aineiston huolimattomalla säilyttämisellä tai suojaamattomilla sähköisillä siirroilla.
CSC avaa vuonna 2022 tutkimuksen ja TKI-toiminnan käyttöön kaksi uutta arkaluonteiselle datalle soveltuvaa palvelua (SD Connect ja SD Desktop), jotka on palvelevat mm. organisaatiorajat ylittävän yhteistyön tarpeita. Palveluiden beta-versiot ovat jo testikäytössä.
Lisätietoja CSC:n sensitiivisen datan palveluista: https://research.csc.fi/sensitive-data-services-for-research
Pseudonymisointi on aineiston tunnisteellisten tietojen poistamista tai korvaamista peitetiedolla tai koodeilla, jotka prosessin jälkeen säilytetään erillään aineistosta organisatorisesti ja teknisesti. Organisatorisilla toimenpiteillä tarkoitetaan tietojen suojattua fyysistä käyttöympäristöä ja hallinnollisesti rajattua ja valvottua käyttöoikeutta. Teknisillä toimenpiteillä viitataan tietoturvallisiin tallennusratkaisuihin. Pseudonyymistä aineistosta tulee anonyymi, kun erillään säilytettävät tunnistetiedot (koodiavain, henkilötiedot ja tiedot muutettujen arvojen muodostamistavoista) hävitetään.
Täysin anonyymiä tietoa ei ole olemassa. Anonymisoinnilla voidaan kuitenkin päästä sellaiseen tulokseen, jossa yksittäisiä henkilöitä ei voi annettujen tietojen perusteella tai tietoja muihin tietoihin yhdistämällä tunnistaa. Aineisto on siis anonyymi, jos sitä ei voi kohtuullisin keinoin enää yhdistää alkuperäisiin henkilötietoihin.
Tutkimusaineiston anonymisointiin ei ole olemassa valmista kaikkiin aineistoihin soveltuvaa menettelytapaa. Anonymisointi tulee suunnitella aina aineistokohtaisesti ottaen huomioon aineiston ominaisuudet (aineiston ikä, arkaluonteisuus, vastaajajoukon koko, sisällön yksityiskohtaisuus), käyttöympäristö (ketkä dataa käyttävät ja missä, mitä ulkopuolisia tietoja on saatavilla sillä hetkellä, fyysinen säilyttäminen) ja käytettävyys (miten anonymiteetin ja aineiston käytettävyyden saa yhdistettyä niin, että aineisto olisi tutkimuksellisesti käyttökelpoinen anonymisoinnin jälkeen).
Anonymisointiprosessin hahmottamiseksi niin kvantitatiivisissa kuin kvalitatiivisissa aineistoissa voi käyttää apuna seuraavia kysymyksiä:
Tutkimuksen toteuttamiselle tarpeettomat henkilötiedot poistetaan heti, kun se on mahdollista. Esimerkiksi aineiston keruuvaiheessa tarvitut nimitiedot, osoitteet ja vastaavat tunnisteet hävitetään heti, kun ne eivät ole enää välttämättömiä tutkimuksessa. Samoin tietojen yhdistämiseen tarvittu henkilötunnus voidaan hävittää, kun sitä ei enää tarvita.