Anonyymien tulosten tuottaminen

Tältä sivulta löydät ohjeet anonyymien tulosten tuottamiseen. Henkilötietoaineistoa käsittelevän tulee tuottaa analyysitulokset anonyymissa muodossa, josta yksittäisen henkilön tietoja tai ominaisuuksia ei paljastu. Varmistamme toisiolain mukaisesti tulosten anonymiteetin. Tämä koskee kaikkia aineistoja, joihin on myönnetty lupa toisiolain perusteella. Emme peri anonymiteetin varmistuksesta maksua.

Lisäksi tällä sivulla esitellään yleisimpiä analyysityyppejä, joita tutkimusten tuloksissa on yleensä mukana. Lista ei ole kattava. On hyvä huomata, että paljastumisriskiin vaikuttaa muuttujien sisältö. Jossain tapauksissa paljastumisen riski on ilmeinen, mutta on paljon muuttujia, joiden yksittäisen tarkan arvonkaan kautta henkilöä ei ole mahdollista päätellä.

Tulokset tulee tarkastaa ja varmistaa, että ne noudattavat tätä ohjeistusta eri tulostyyppien osalta. Joidenkin tulostyyppien osalta voidaan anonymiteetti todeta helposti, kun taas toisten osalta siihen vaaditaan tarkempaa tarkastelua. Vaikka pelkän ohjeistuksen noudattaminen ei varmista tulosten anonymiteettiä, näitä ohjeita seuraamalla päästään mahdollisimman lähelle tavoitetta.

Tulosten anonymiteetin varmistaminen koostuu näiden ohjeiden lisäksi tulosten mukana toimitettavasta yhteenvetolomakkeesta sekä Findatan suorittamista tulosten tarkastuksista. Älä lähetä tuloksia anonymiteetin varmistamiseen, ennen kuin olet varma, että tulokset on tuotettu anonyymissa muodossa.

Täytä lomake huolellisesti. Anonymiteetin varmistaminen perustuu vahvasti yhteenvetolomakkeessa antamiisi tietoihin. Neuvomme tarvittaessa anonyymien tulosten tuottamisessa. Tuota tulokset sellaisessa muodossa, että anonymiteetin varmistaminen on mahdollista. Katso alta vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen.

Sisällys

Mitä anonymisointi tarkoittaa Tulostyyppien paljastumisriskin mukainen luokittelu Kuvailevat tunnusluvut ja analyysit Kuviot Muita tulostyyppejä Lähteet Tulosten julkaiseminen Viittausohje Usein kysyttyä anonymiteetin varmistamisesta

Miten tulosten anonymiteetin varmistamista voi nopeuttaa

Lue tämän sivun ohjeet huolellisesti läpi. Varmista, että tuottamasi tulokset noudattavat ohjeita.
- Ole tarvittaessa yhteydessä Findatan neuvontaan (info@findata.fi), jos tarvitset apua ohjeiden soveltamiseen.
Täytä yhteenvetolomake huolellisesti. Täytä lomakkeen kaikki sivut ja laita raksi kaikkiin tarvittaviin kohtiin Yhteenveto-sivulla
- Jos tuottamasi tulokset eivät ole kaikkien väittämien mukaisia, perustele, miksi tulosten voidaan silti katsoa olevan anonyymejä.
- Jos tulokset toimitetaan siirtopalvelu Nextcloudin välityksellä, varmista, että Nextcloud-tunnus on mainittu lomakkeessa. Lisäohjeet salauksesta ja aineiston toimittamisesta Nextcloudilla löydät sivulta Aineistojen toimittaminen Findatalle.
Tuota tulokset muodossa, joka mahdollistaa anonymiteetin varmistuksen. Varmista, että kaikki muuttujat on kuvattu nimillä, jotka tutkimuksen ulkopuolinen henkilö voi ymmärtää.
- Huolehdi, että tulostyyppi tulee selkeästi esille (eli onko kyseessä esim. frekvenssi, regressiokerroin tai joku muu testisuure).
Pyydä tuloksia ulos käyttöympäristöstä järkevän kokoisessa paketissa.
- Yksittäisiä tulospaketteja ei kannata toimittaa usein (esim. joka päivä). Tulospakettien käsittely useana eri toimituksena vie enemmän aikaa tietojen siirron ja kommunikoinnin osalta.
- Suosittelemme toimittamaan tulokset enintään 50 tiedoston paketeissa. Todella laajan, satoja tiedostoja sisältävän tulospaketin käsittely on työlästä, erityisesti, jos tulosten anonymiteetin osalta on epäselvyyksiä tai huomautettavaa.
Jos pyydät käyttöympäristöstä ulos muita tietoja kuin tuloksia, varmista, että nämä tiedostot eivät sisällä tuloksia. Kuvaa siirrettävät tiedot selkeästi yhteenvetolomakkeeseen.
- Varmista, että kooditiedostot eivät sisällä tuloksia tai dataa (esim. pseudokoodeja).

Mitä anonymisointi tarkoittaa?

Anonymisointi tarkoittaa prosessia, jossa aineisto käsitellään niin, että

yksittäistä henkilöä ei voida suoraan tai välillisesti tunnistaa
ei voida tehdä vain yksittäistä henkilöä koskevia päätelmiä
yksittäistä henkilöä koskevia tietoja ei voida yhdistellä muuhun aineistoon.

Anonyymi aineisto tulee olla mahdotonta tai kohtuuttoman vaikeaa palauttaa muotoon, jossa yksittäinen henkilö on tunnistettavissa. Toisiolain mukaan tulosten tulee olla anonyymejä.

Mikäli tutkimuksessa on tarve julkaista tuloksia, joita ei ole mahdollista anonymisoida, tulee tämä ottaa huomioon jo tutkimusta suunniteltaessa ja käyttää muita perusteita tutkimuksen toteuttamiseen, kuten tutkittavien suostumusta.

On tärkeä huomata, että vaikka yksittäinen tulos itsessään on anonyymi, on useita tuloksia yhdistelemällä joskus mahdollisuus tietojen paljastumiselle. Tyypillinen esimerkki tästä on useampien frekvenssitaulukoiden tuottaminen samoilla muuttujan luokituksilla. Näistä on yleensä mahdollista yhdistää tarkempaa tietoa sisältävä frekvenssitaulukko, jossa tietoa on määritelty useamman muuttujan suhteen.

Tulosten yhdisteleminen tulee ottaa huomioon sekä työn alla olevan analyysin että aiempien analyysien osalta. Jos käyttäjällä on tiedossa aiempia julkaisuja, joiden analyyseissä on käytetty samaa tai liki samaa aineistoa tai sen osajoukkoa, käyttäjän tulee toimittaa vähintään linkit sellaisiin julkaisuihin.

Anonymiteetin varmistamiseksi lähdetään siitä, että tuloksissa esiintyvä minimifrekvenssi on viisi. Tätä kriteeriä käytetään tietosuojan varmistamiseksi. Perustellusta syystä ja tapauskohtaista harkintaa käyttäen voidaan poiketa minimifrekvenssin 5 vaatimuksesta ja käyttää minimifrekvenssiä 3, jos kyseessä on esimerkiksi erittäin pieni kohdejoukko, harvinaissairaustutkimus tai tutkitaan muuten harvinaista ilmiötä. Tämän tiedon tulee olla tutkimuksen kannalta merkittävä löydös, joka on välttämätöntä raportoida tällä tarkkuudella ja anonymiteetin kriteerien tulee täyttyä (eli käytetyt muuttujat eivät yksilöi henkilöä niin, että tunnistaminen on mahdollista).

Findatalla on oltava näkyvillä riittävät taustatiedot kuhunkin analyysityyppiin anonymiteetin varmistamiseksi. Ilmoita nämä tiedot tulosten mukana toimitettavalla yhteenvetolomakkeella. Käytämme anonymiteetin varmistuksen prosessin pohjana alla olevassa taulukossa kuvattuja periaatteita.

Tulostyyppien paljastumisriskin mukainen luokittelu

Tietotyyppi	Tuloksen tyyppi	Yleistävä luokittelu
Kuvailevat tunnusluvut
	Frekvenssitaulukko	Tarkastettava
	Määrätaulukko	Tarkastettava
	Maksimi, minimi, persentiilit, mediaani	Tarkastettava
	Moodi	Yleensä turvallinen
	Keskiarvo, indeksit, suhdeluvut, indikaattorit	Tarkastettava
	Keskittymisaste	Yleensä turvallinen
	Korkeamman momentin tunnusluvut (kuten varianssi, kovarianssi, huipukkuus, vinous)	Yleensä turvallinen
	Kuviot: alkuperäisen aineiston kuvallinen esittäminen	Tarkastettava
Korrelaatiot ja regressiotyyppiset analyysit
	Lineaarisen regression kertoimet	Yleensä turvallinen
	Epälineaarisen regression kertoimet	Yleensä turvallinen
	Estimoinnin residuaalit	Tarkastettava
	Estimaattien yhteenveto- ja testisuureet (R2, χ2 etc.)	Yleensä turvallinen
	Korrelaatiokertoimet	Yleensä turvallinen
	Faktorianalyysi	Yleensä turvallinen
	Korrespondenssianalyysi	Yleensä turvallinen

Kuvailevat tunnusluvut ja analyysit

Alla olevassa tekstissä joukko tai kohdejoukko tarkoittaa niitä havaintoja, joista tunnuslukuja lasketaan.

Minimi, maksimi ja vaihteluväli

Yleensä minimi ja maksimi kohdistuvat helpoimmin tunnistettavaan yhteen yksikköön, joten lähtökohtaisesti sisältävät paljastumisriskin. Nämä voidaan julkaista, mikäli tunnusluvun arvo perustuu useampaan yksikköön. Tulosten anonymiteettiä voi parantaa jakamalla tiedot luokkiin, jolloin jokaiseen luokkaan tulee useampia yksilöitä. Minimin ja maksimin rinnalla voi harkita sopivien kvantiilien käyttöä.

Fraktiilit – kvantiilit, desiilit, persentiilit, mediaani

Julkaistavissa mikäli luvun taustalla oleva frekvenssi on riittävän suuri.

Keskiarvo, keskihajonta

Voi harvoissa tapauksissa sisältää paljastumisriskin. Tarkastettava, että tulos kuvaa riittävän isoa joukkoa ja koko kohdejoukko ei saa samaa arvoa. Tarkastettava, ettei raportoida tunnuslukuja useammasta lähes identtisestä joukosta tai osajoukosta.

Moodi eli tyyppiarvo

Lähtökohtaisesti julkaistavissa, mutta tarkastettava ryhmän paljastuminen eli ettei kuvaa koko kohdejoukon arvoa.

Korkeamman momentin tunnusluvut kuten varianssi

Lähtökohtaisesti julkaistavissa, koska tunnusluku on selvästi muunnettu alkuperäisistä yksilön arvoista. Varmistettava, ettei julkaista pienestä joukosta liian montaa tunnuslukua, joiden avulla koko joukko voisi paljastua.

Korrelaatiokertoimet

Lähtökohtaisesti julkaistavissa, kun tarkasteltavassa joukossa on riittävän monta havaintoa.

Keskittymisasteet

Lähtökohtaisesti julkaistavissa, kun tarkasteltavassa joukossa on riittävän monta havaintoa.

Lineaarinen regressio, epälineaarinen regressio

Lähtökohtaisesti julkaistavissa.

Testisuureet

Lähtökohtaisesti julkaistavissa.

Faktorianalyysi

Lähtökohtaisesti julkaistavissa, mutta on varmistettava, ettei faktorien taustalla ole vain yksittäinen muuttuja.

Pääkomponenttianalyysi

Pääkomponenttivektorit ja niitä vastaavat ominaisarvot lähtökohtaisesti julkaistavissa. Havaintojen projektiot pääkomponenteille tarkastettava (vastaa sirontakuviota, ks. alla).

Indeksit, suhdeluvut, indikaattorit

Indeksit ovat lähtökohtaisesti julkaistavissa, mutta käytetty laskukaava tulee ottaa huomioon. Monimutkaisemman laskukaavan indeksit (esim. Fisher Price) eivät yleensä aiheuta paljastumisriskiä, mutta hyvin yksinkertaisissa laskukaavoissa riski on mahdollinen ja lukujen taustalla tulee olla riittävästi havaintoja.

Gini-kertoimet

Gini-kerroin tulee olla laskettu riittävän suurelle määrälle havaintoja. Tarkastamisessa tarvitaan seuraavat tiedot: laskukaava ja mahdollisesti frekvenssit lukujen taustalla.

Kuviot

Lähtökohtaisesti kuvan tietosuojan arvioinnissa aggregoitu taulukkomuotoinen esitys on helpommin hahmotettavissa kuin itse kuva, koska kuvasta on yleensä mahdotonta nähdä jokaisen pisteen tai käyrän taustalla olevien havaintojen frekvenssit. Tämän takia kuvan mukana tulee toimittaa tuloksen takana oleva taulukko, jos kuvassa kuvataan yksittäisiä havaintoja tai pientä kohdejoukkoa.

Histogrammi

Histogrammeissa tulee kiinnittää huomio siihen, että aineisto on luokiteltu niin, ettei yksittäiseen luokkaan tule liian vähän havaintoja. Tämä tuottaa haasteen erityisesti esimerkiksi normaalijakauman häntiin. Ohje on verrannollinen aineistoa kuvailevien tunnuslukujen tapaukseen ja välttämättä koko häntää ei siis voida kuvata.

Hajontakuviot tai sirontakuvio

Hajontakuvioissa on lähtökohtaisesti yhden pisteen taustalla yksi yksikkö ja siksi nämä eivät ole julkaistavissa ilman kuvaajan tuottamiseen käytetyn aineiston ryhmittelyä siten, että yhden pisteen taustalla on useampia havaintoja. Julkaistavissa ainoastaan, jos kuvion perustana oleva data olisi julkaistavissa taulukkona. Arvioinnissa tulee kuitenkin ottaa myös huomioon, mahdollistaako käytettyjen muuttujien yhdistelmä yksilön tunnistamisen. Hajontakuvion anonymiteettiä voi parantaa korvaamalla se kuvaajalla, jossa esitetään havaintojen frekvenssiä ruudukon soluissa, tai lisäämällä pisteisiin satunnaisuutta.

Viiksilaatikko, laatikkojanakuvio (Box plots)

Lähtökohtaisesti paljastumisriski, koska sisältävät yksittäiseen havaintoon kohdistuvia kuvapisteitä ja erityisesti poikkeavat havainnot voivat johtaa paljastumiseen. Myös keskiarvo voi aiheuttaa paljastumisriskin. Ohje verrannollinen aineistoa kuvailevien tunnuslukujen tapaukseen ja erityisesti poikkeavat havainnot aiheuttavat paljastumisriskiä.

Residuaalit

Residuaalit viittaavat yhteen havaintoon. Residuaalien kuvaamisessa tulisi käyttää kuvaajan muotoa yksittäisiin pisteisiin perustuvan kuvaajan sijasta. Jos käytetään yksittäisiin pisteisiin perustuvaa kuvaajaa, tulisi akseleiden arvojen kertomista välttää.

Elinaika-analyysi, Kaplan-Meier -käyrä

Voi sisältää paljastumisriskin riippuen analyysin määrityksestä. Jos jokainen käyrän askel vastaa riittävän montaa havaintoa, niin voidaan julkaista. Jos on selvää, ettei käyrän taustalla olevien tietojen avulla voida päätellä täsmällisiä ikiä tai kalenteriajan hetkiä, voidaan yksittäisiäkin askeleita sallia. Yksittäisiä askeleita julkaistaessa on kuitenkin pohdittava kuinka hyvin kuvaajan taustatiedot yksilöivät henkilöitä.

Spatiaalinen analyysi

Erityisen haastava tietosuojan kannalta, koska sijaintitieto on yleensä keskeinen tieto paljastumisessa. Vaatii yleensä paljon uudelleen luokittelua ja mieluummin tiedon esittämistä lämpökarttoina havaintopisteiden sijaan.

Muita tulostyyppejä

Valokuvat ja muut kuvantamisen materiaalit

Kuvantamisen materiaalien osalta tarkastetaan tilanne tapauskohtaisesti. Kuvantamisen materiaalien osalta kaikkia erilaisia materiaaleja koskevia yleisiä ohjeita on hyvin vaikea määrittää. Luonnollisesti materiaaleissa ei saa olla tekstimuotoisia suoria tunnisteita ja karkeampi kuva yleensä vaikeuttaa tunnistamista. Kuvantamisen materiaaleja käsittelevät henkilöt ovat yleensä parhaita arvioimaan kuvamateriaalin paljastumisriskiä. Esimerkiksi yksittäinen hammas ei yleensä yksilöi henkilöä, mutta koko hammaskartta luonnollisesti yksilöi.

Katso myös sosiaali- ja terveysministeriön asettaman korkean tason asiantuntijaryhmän laatima periaatelinjaus kuva- ja signaalitietojen anonymisoinnista ja anonymiteetistä:

Kuva- ja signaalitiedon anonymisointi ja anonymiteetti sosiaali- ja terveystietojen toissijaisesta käytöstä annetun lain (522/2019) mukaisessa käsittelyssä (PDF-tiedosto, 248 kB)

Perinnöllinen geneettinen tieto

Perinnöllisen geneettisen tiedon osalta riittävän pientä määrää variantteja koskevat riittävän suuresta joukosta lasketut tunnusluvut voivat olla anonyymejä. Nämä on kuitenkin tarkastettava tapauskohtaisesti.

Koneoppiminen

Neuroverkkojen ja muiden koneoppimismallien (päätöspuut yms.) osalta on harvoin kyse materiaalin varsinaisesta julkaisemisesta. Kuitenkin tällaisia tuloksia halutaan tuoda tietoturvallisen Kapseli-käyttöympäristön ulkopuolelle ja näiden tarkastaminen tehdään tapauskohtaisesti. Ota yhteyttä Findataan tarkempia ohjeita varten.

Yksilötasoinen aineisto

Yksilötasoisen aineiston anonymiteetti tulee aina varmistaa tapauskohtaisesti. Ota yhteyttä Findataan tarkempia ohjeita varten.

Lähteet

Bond et al.: Guidelines for Output Checking (PDF-tiedosto, 1515 kt)
Brandt et al. (2009): Guidelines for the checking of output based on microdata research (ec.europa.eu)
Griffiths, E. et al. (2019). Handbook on Statistical Disclosure Control for Outputs, version 1.0 2019
Hundepool, Anco; Domingo-Ferrer, Josep; Franconi, Luisa; Giessing, Sarah; Schulte-Nordholt, Eric; Spicer, Keith & de Wolf, Peter-Paul (2012). Statistical Disclosure Control. Wiley

Tulosten julkaiseminen

Julkaisemisella tarkoitetaan tässä yhteydessä tiedon tuomista julkisuuteen ja sen levittämistä ympäröivään yhteiskuntaan. Julkaisemiseksi katsotaan tulosten esitteleminen oman työryhmän ulkopuolelle.

Julkaiseminen voi tapahtua tieteellisessä tai muussa lehdessä, opinnäytetyössä, oppi- tai käsikirjassa, konferenssi tms. esityksessä tai abstraktissa, raportissa, selvityksessä tai jossain muodossa internetissä.

Tulosten julkaiseminen Kapselista

Aineistojen käsittely tapahtuu Kapseli-käyttöympäristössä ja vain valmiit analyysitulokset tuodaan järjestelmän ulkopuolelle. Käyttäjä tuottaa tulokset anonyymissa muodossa ja Findata varmistaa toisiolain mukaisesti tulosten anonymiteetin.

Tarkista tulosten anonymiteetti. Katso ohjeet: Anonyymien tulosten tuottaminen
Siirrä tulokset Findatalle Kapselin Output-aseman kautta.
Täytä yhteenvetolomake, joka löytyy Kapselin D-asemalta kansiosta Käyttöohjeet_User_guide_05062023.
Pakkaa tulokset ja yhteenvetolomake zip-kansioon ja nimeä se näin: Tulokset_tietoluvan_diaari_käyttöympäristön_tunniste_siirtopäivämäärä (anna päivämäärä muodossa ppkkvvvv, esim. Tulokset_THL_1234_14.02.00_2020_a01_15032022).
Luo Output-asemalle tyhjä tekstitiedosto ja anna sille nimeksi: ZZZ_READY.txt
- Tämä varmistaa, että zip-kansio siirtyy automaattisesti Findatalle.
- Siirrot tapahtuvat tasatunnein ja puolen tunnin välein.
- Siirron jälkeen tiedostot poistuvat automaattisesti Output-asemalta.
Siirron ilmoitus (vapaaehtoinen) – voit halutessasi ilmoittaa siirrosta sähköpostitse osoitteeseen data@findata.fi. Olemme yhteydessä, jos siirto ei ole tullut perille. Onnistuneesta siirrosta ei tule kuittausta.
Tilaa Nextcloud-tunnukset, jos sinulla ei ole niitä.
- Tilaus tehdään asiointipalvelussa (asiointi.findata.fi) täyttämällä lomake ”Uuden Nextcloud-tunnuksen tilaus”.
Findata tarkastaa pyynnöt viiden arkipäivän sisällä ja toimittaa tulokset siirtopalvelu Nextcloudin välityksellä käyttäjälle.
- Jos tulokset ovat laajoja, anonymiteetin tarkistaminen voi kestää yli viisi arkipäivää. Katso vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen sivun alusta.
- Huomioithan, että nämä aikarajat koskevat vain tulosten siirtoa, eivät esim. kooditiedostojen viemistä Kapselista.

Tulosten julkaiseminen muista tietoturvallisista käyttöympäristöistä

Jos käsittelet aineistoja muussa tietoturvallisessa käyttöympäristössä kuin Findatan Kapselissa ja olet valmis julkaisemaan tuloksia, toimi alla olevien ohjeiden mukaisesti.

Lataa yhteenvetolomake ja täytä pyydetyt tiedot: Yhteenvetolomake – tulosten anonymiteetin varmistus (lataa Word-dokumentti, 38 kt)
Pakkaa tulokset ja yhteenvetolomake zip-kansioon ja nimeä se seuraavasti:
- Tulokset_tietoluvan_diaari_käyttöympäristön_tunniste_siirtopäivämäärä (anna päivämäärä muodossa ppkkvvvv, esim. Tulokset_THL_1234_14.02.00_2020_a01_15032022)
Tulokset voi toimittaa Findataan kahdella tavalla:
- Jos sinulla on olemassa oleva Nextcloud-tunnus, toimita tulokset Nextcloudin välityksellä
- Muussa tapauksessa, toimita tulokset turvasähköpostilla

HUOM! Älä lähetä tulostiedostoja Findatalle tavallisen sähköpostin liitetiedostona.

Ota yhteys Findataan osoitteeseen data@findata.fi.
- Kirjoita viestin otsikoksi: Tulosten anonymiteetin varmistus
- Ilmoita viestissä, toimitatko tuloksia siirtopalvelu Nextcloudin välityksellä vai turvasähköpostilla.
- Jos toimitat tuloksia Nextcloudin välityksellä, kirjoita viestiin tietoluvan diaarinumero ja Nextcloud-tunnuksesi. Saat Findatalta kansion nimen, johon voit toimittaa tulokset ja yhteenvetolomakkeen sisältävän zip-kansion.
- Jos toimitat tuloksia turvasähköpostilla, saat Findatalta turvasähköpostin, johon vastaamalla voit toimittaa tulokset ja yhteenvetolomakkeen sisältävän zip-kansion salattuna. Lisäohjeet salauksesta ja aineiston toimittamisesta Nextcloudilla löydät sivulta Aineistojen toimittaminen Findatalle.
Jos tulosten anonymiteetin osalta on huomautettavaa, olemme yhteydessä seitsemän arkipäivän sisällä tulosten toimittamisesta.
Jos et kuule meistä seitsemän arkipäivän sisällä tulosten toimituksesta, voit edetä tulosten julkaisun osalta.
Katso vinkit tulosten anonymiteetin varmistuksen nopeuttamiseen sivun alusta.

Ilmoita julkaistuista tuloksista Findatalle

Viittausohje

Jos Findata on myöntänyt hankkeelle tietoluvan tai tehnyt tietopyyntöpäätöksen, viittaa julkaisuissa Findataan seuraavasti: ”Sosiaali- ja terveysalan tietolupaviranomainen Findata” tai ”Finnish Social and Health Data Permit Authority Findata”.

Noudata tieteellisen julkaisusarjan kirjoitusohjeita.
Suosittelemme, että Findataan viitataan sen lakisääteisten tehtävien mukaisesti. Tietoluvissa näitä ovat esimerkiksi pseudonymisointi ja tulosten anonymiteetin varmistaminen, tietopyynnöissä aineistojen yhdistäminen, aggregointi ja anonymisointi.
Findataan voi viitata tekstissä, taulukoissa, kuvissa, lupaluetteloissa, kiitoksissa ja viiteluettelossa.
Sisällytä viittauksiin mahdollisuuksien mukaan tietoluvan tai tietopyynnön diaarinumero(t).

Esimerkkejä viittauksesta tekstissä

”Tutkimusaineisto saatiin sosiaali- ja terveysalan tietolupaviranomaiselta Findatalta tietoluvalla THL/XXXX/14.XX.00/20XX. Findata vastasi aineiston pseudonymisoinnista ja tulosten anonymiteetin varmistamisesta.”

”The research data was obtained from Findata, the Finnish Social and Health Data Permit Authority, with data permit THL/XXXX/14.XX.00/20XX. Findata was responsible for the pseudonymization of the data and ensuring the anonymity of the final results.”

”Tilastotiedon on tuottanut sosiaali- ja terveysalan tietolupaviranomainen Findata tietopyynnöllä THL/XXXX/14.XX.00/20XX. Findata vastasi aineiston yhdistämisestä ja anonyymin tilastotiedon tuottamisesta.”

The statistics were produced by Findata, the Finnish Social and Health Data Permit Authority, with data request THL/XXXX/14.XX.00/20XX. Findata was responsible for data integration and producing the anonymized statistics.”

Esimerkki viittauksesta taulukossa

Aineisto	Lähde
Tutkimusaineisto	Sosiaali- ja terveysalan tietolupaviranomainen Findata, tietolupa THL/XXXX/14.XX.00/20XX

Esimerkki viittauksesta viiteluettelossa

Findata. (Vuosi). Tietolupa THL/XXXX/14.XX.00/20XX. Sosiaali- ja terveysalan tietolupaviranomainen Findata.

Findata. (Year). Data permit THL/XXXX/14.XX.00/20XX. Finnish Social and Health Data Permit Authority Findata.

Usein kysyttyä anonymiteetin varmistamisesta

Mitä tarkoitetaan henkilötiedolla?

Henkilötietoja ovat sellaiset tiedot, joiden avulla yksittäinen henkilö voidaan tunnistaa joko suoraan tai epäsuorasti.

Suoran tunnistamisen mahdollistavia henkilötietoja ovat esimerkiksi

nimi,
henkilötunnus,
henkilönimen mukainen sähköpostiosoite ja
biometriset tunnisteet, kuten sormenjälki, kasvokuva, ääni ja silmän iiris.

Epäsuoran tai välillisen tunnistamisen mahdollistavia henkilötietoja ovat esimerkiksi

sukupuoli,
ikä,
koulutus tai
kansallisuus.

Epäsuoria tai välillisiä tietoja voidaan myös yhdistellä ja siten tunnistaa henkilö. Suorien henkilötietojen poistaminen tai korvaaminen ei näin ollen välttämättä tarkoita sitä, ettei aineisto yhä sisältäisi henkilötietoja.

Erityisiä (tai arkaluontoisia) henkilötietoja ovat esimerkiksi

etninen alkuperä,
seksuaalinen suuntautuminen tai käyttäytyminen,
terveystiedot,
biometriset tiedot ja
geneettiset tiedot.

Erityissuojeltavia henkilötietoja ovat esimerkiksi

psykiatriset tiedot,
sosiaalihuollon tiedot sekä
sukupuolitauti- ja perinnöllisyyslääketieteen tiedot.

Mitä tarkoitetaan anonymisoinnilla ja pseudonymisoinnilla?

Anonymisointi tarkoittaa aineiston käsittelemistä niin, että yksittäistä henkilöä koskevia tietoja ei voida yhdistellä muuhun aineistoon, yksittäistä henkilöä ei voida suoraan tai välillisesti tunnistaa, eikä aineistosta voida tehdä vain yksittäistä henkilöä koskevia päätelmiä. Anonyymi aineisto tulee olla mahdotonta tai kohtuuttoman vaikeaa palauttaa muotoon, jossa yksittäinen henkilö on tunnistettavissa.

Pseudonymisointi tarkoittaa henkilötietojen muuttamista esimerkiksi koodattuun tai salattuun muotoon, jossa henkilön suora tunnistaminen on estetty, mutta tiedot on mahdollista palauttaa alkuperäiseen muotoonsa, jos koodiavain on tallessa. Pseudonymisoidut tiedot ovat edelleen henkilötietoja, koska niistä on mahdollista palauttaa henkilön tunnistaminen. Findatan luvittamaa pseudonymisoitua yksilötasoista aineistoa saa käsitellä vain tietoturvallisessa etäkäyttöympäristössä, jonne on pääsy vain luvan saaneilla henkilöillä.