Tunnisteellisten tutkimusaineistojen käsittelyn tulee olla suunnitelmallista ja huolellista. Tutkittavien yksityisyyden suojaa ei saa vaarantaa esimerkiksi aineiston huolimattomalla säilyttämisellä tai suojaamattomilla sähköisillä siirroilla.
Henkilötietojen käsittelyn yleisiä suojatoimia ovat pseudonymisointi, anonymisointi ja säilytyksen rajoittaminen.
Pseudonymisointi
- Pseudonymisointi on aineiston tunnisteellisten tietojen poistamista tai korvaamista peitetiedolla tai koodeilla, jotka prosessin jälkeen säilytetään erillään aineistosta organisatorisesti ja teknisesti. Organisatorisilla toimenpiteillä tarkoitetaan tietojen suojattua fyysistä käyttöympäristöä ja hallinnollisesti rajattua ja valvottua käyttöoikeutta. Teknisillä toimenpiteillä viitataan tietoturvallisiin tallennusratkaisuihin. Pseudonyymistä aineistosta tulee anonyymi, kun erillään säilytettävät tunnistetiedot (koodiavain, henkilötiedot ja tiedot muutettujen arvojen muodostamistavoista) hävitetään.
Anonymisointi
- Täysin anonyymiä tietoa ei ole olemassa. Anonymisoinnilla voidaan kuitenkin päästä sellaiseen tulokseen, jossa yksittäisiä henkilöitä ei voi annettujen tietojen perusteella tai tietoja muihin tietoihin yhdistämällä tunnistaa. Aineisto on siis anonyymi, jos sitä ei voi kohtuullisin keinoin enää yhdistää alkuperäisiin henkilötietoihin.
- Tutkimusaineiston anonymisointiin ei ole olemassa valmista kaikkiin aineistoihin soveltuvaa menettelytapaa. Anonymisointi tulee suunnitella aina aineistokohtaisesti ottaen huomioon aineiston ominaisuudet (aineiston ikä, arkaluonteisuus, vastaajajoukon koko, sisällön yksityiskohtaisuus), käyttöympäristö (ketkä dataa käyttävät ja missä, mitä ulkopuolisia tietoja on saatavilla sillä hetkellä, fyysinen säilyttäminen) ja käytettävyys (miten anonymiteetin ja aineiston käytettävyyden saa yhdistettyä niin, että aineisto olisi tutkimuksellisesti käyttökelpoinen anonymisoinnin jälkeen).
- Anonymisointiprosessin hahmottamiseksi niin kvantitatiivisissa kuin kvalitatiivisissa aineistoissa voi käyttää apuna seuraavia kysymyksiä:
- Mitä suoria tai epäsuoria tunnisteita aineisto sisältää?
- Sisältääkö aineisto ainutlaatuisia tai harvinaisia havaintoja?
- Mitä aineiston tietoja yhdistelemällä henkilö saattaa henkilö voi olla tunnistettavissa?
- Onko saatavilla ulkopuolisia tietoja, jotka voidaan yhdistää aineistoon niin, että havainnot/tutkittavat voivat olla tunnistettavissa?
- Mieti, mihin aineistoa tullaan käyttämään ja mitkä ovat juuri ne aineiston ominaisuudet, jotka halutaan säilyttää ja mitkä voidaan "uhrata" anonymisointiprosessissa.
Säilytyksen rajoittaminen:
- Tutkimuksen toteuttamiselle tarpeettomat henkilötiedot poistetaan heti, kun se on mahdollista. Esimerkiksi aineiston keruuvaiheessa tarvitut nimitiedot, osoitteet ja vastaavat tunnisteet hävitetään heti, kun ne eivät ole enää välttämättömiä tutkimuksessa. Samoin tietojen yhdistämiseen tarvittu henkilötunnus voidaan hävittää, kun sitä ei enää tarvita.
