Den digitale utviklingen stiller nye krav til håndteringen av personopplysninger. En ny EU-forordning skal oppdatere regelverket og vil gjelde som lov i Norge fra 2018. (Foto: Shutterstock)

Fra strengere til slakkere samtykkekrav

Flere fryktet at EUs personvernforordning skulle gjøre det vanskeligere å drive forskning på data fra offentlige registre. Nå tyder mye på at loven tvert imot kan gi en oppmyking av norske regler.

– Nå skal vi følge med på om den norske implementeringen blir like forskervennlig som EU-forordningen er, sier Vigdis Kvalheim, avdelingsdirektør i NSD. (Foto: NSD)

Obligatorisk personvernombud

Ingen forskere vil måtte søke Datatilsynet om konsesjon etter at EU-forordningen trer i kraft. Konsesjonsplikten skal erstattes med meldeplikt til institusjonenes obligatoriske personvernombud.

Dette er en organiseringsform som allerede er utbredt i forskningssektoren i Norge. I dag slår konsesjonsplikten likevel inn blant annet for store helseundersøkelser.

Datatilsynet vil få en mer veiledende funksjon i prosjektenes tidligste fase, men beholder muligheten til å gjennomføre etterkontroll og gi pålegg.

Personvernforordningen

General Data Protection Regulation (GDPR) gjelder for alle som skal behandle personopplysninger. Det ble politisk enighet om teksten i desember 2015, og Europaparlamentet skal fatte sitt vedtak i vår.

Erstatter EUs gjeldende personverndirektiv, som ligger til grunn for Personopplysningsloven. 

Vil gjelde som lov i Norge når den trer i kraft i 2018 og vil kreve betydelige endringer i personvernregelverket. Den gir imidlertid store muligheter for strengere nasjonal regulering – hvis det ikke hindrer den frie flyten av personopplysninger i EU.

Det norske folk er gjennomregistrert i alt fra Kreftregisteret og Medisinsk fødselsregister til databaser hos NAV og Statistisk sentralbyrå.

Forskere får ofte tilgang til slike data uten å innhente samtykke. I tidligere versjoner av forslaget til personvernforordning ble det stilt strengere krav til samtykke. I den endelige versjonen har innstrammingen uteblitt.

– Det er en lettelse i europeiske forskningsmiljøer nå. Forordningen varsler om gode forhold for norsk forskning, sier Vigdis Kvalheim, avdelingsdirektør i NSD – Norsk senter for forskningsdata.

Begrunnelsen for registerforskning uten samtykke er at den fremskaffer så viktig og samfunnsnyttig kunnskap at det veier tyngre enn personvernulempen. Et vanlig argument er at innhenting av samtykke ville gjøre forskningen for omfattende og kostbar. Dessuten ville resultatet bli mindre robust, siden ethvert avslag på forespørsel om samtykke betyr mindre representative data.

Spesielle regler for forskning

I tråd med denne tankegangen er forskningsformål satt i en særstilling i EU-forordningen. I deler av forhandlingsprosessen lå det ikke helt an til å bli slik. Kvalheim er blant de som nå gleder seg over alle unntaksbestemmelsene som kom på plass til slutt.

– Dette er et viktig signal om behovet for forskning og forskningens plass i samfunnet. Forordningen markedsføres med at man styrker individets rettigheter – blant annet kontroll over egne opplysninger. Samtidig formidler særbestemmelsene at forskning har stor verdi for samfunnet og legitime krav om tilgang til persondata. Så langt jeg kan se, er det en god balanse mellom forskningsinteressene og personverninteressene, sier hun.

Kvalheim tror de nye reglene vil gi mer kontinuitet enn endring for forskere her hjemme.

– Det skal en del til for å få mer krav om samtykke i norsk sammenheng, for vi har strenge krav, sier hun.

Presset personvern

Akkurat den oppfatningen deles ikke av alle. Kjetil Rommetveit, førsteamanuensis ved Senter for vitenskapsteori ved Universitetet i Bergen, har et annet perspektiv.

– I både norsk og europeisk sammenheng, og særlig inn mot medisinske data, har det vært et voldsomt påtrykk de siste årene for å bygge ned samtykke og personvernreguleringer generelt. Formålet har vært å erstatte dette med vage og breie begreper som generelt samtykke, forutsatt samtykke, bredt samtykke eller kollektivt samtykke, sier han.

Rommetveit tror de fleste har forstått at samtykke ikke er en god reguleringsform når det gjelder store databaser.

– Spørsmålet vi burde stille med større kraft er: Hva slags alternative mekanismer kan ivareta de grunnleggende verdiene og hensynene som samtykke var ment å beskytte?

Rommetveit mener presset for å bygge ned samtykke er særlig knyttet til utviklingen av ny informasjonsinfrastruktur for å koble sammen eksisterende databaser. Ett eksempel er kobling av biobanker mot helseregistre og videre kobling til lignende infrastruktur i Europa og globalt.

– I den første versjonen av forordningen var samtykkets rolle styrket. Så mobiliserte miljøer innen biomedisinsk forskning. De fikk også andre miljøer innen registerforskning og bruk av store databanker på banen, sier Rommetveit.

Frykter uheldige konsekvenser

Dana Irina Jaedicke, juridisk rådgiver i Datatilsynet, har fulgt EUs arbeid med å utarbeide forordningen og er sentral i Datatilsynets arbeid med implementering i Norge.

– Noen av unntaksreglene som har kommet med for forskning, kan gi uheldige konsekvenser for personvernet, mener hun.

Forordningen er i tråd med prinsippet i norsk lovgivning om at forskning uten samtykke kan godkjennes dersom vurderingen er at samfunnets interesse veier tyngre enn individets personvern.

Den forhåndsdefinerer også forskning som et legitimt, forenlig formål for gjenbruk av opplysninger. Forskere trenger altså ikke innhente nytt samtykke for å kunne forske på data som opprinnelig er innhentet til et annet formål.

– Dette er en form for liberalisering. Datatilsynet vil fortsette å gå i fronten for individets personvern. Vi skal jobbe for at Norge benytter seg av alle mulighetene til strammere regulering av de typene behandling av personopplysninger som erfaringsmessig er knyttet til stor risiko for personvernet, sier Jaedicke.

Sensitive opplysninger

- EU-forordningen har ganske romslige bestemmelser som er litt tvetydige og diffuse, mener Lee Bygrave ved Universitetet i Oslo. (Foto: Privat)

Jussprofessor Lee Bygrave ved Universitetet i Oslo tror heller ikke at samtykkekravet vil bli strengere for norske forskere.

– Forordningen har endt opp med å bli ganske forskervennlig, sier han.

Bygrave peker blant annet på at mange aktører fryktet et krav om uttrykkelig samtykke i forordningen. At et samtykke er uttrykkelig, betyr at forskningsdeltagerne må gi det aktivt – for eksempel sende inn en svarslipp. Den norske Personopplysningsloven stiller krav om dette.

– Slik teksten i EU-forordningen er nå, gjelder kravet om uttrykkelig samtykke bare opplysninger som er særlig sensitive. Forskning er unntatt fra dette kravet, så det vil faktisk være mulig å forske på sensitive opplysninger uten å innhente samtykke, påpeker Bygrave.

Opplysninger om rase og etnisitet, politisk ståsted, religiøse eller filosofiske oppfatninger, fagforeningsmedlemskap, helse, sexliv og seksuell legning, genetikk og biometri faller i denne kategorien.

Hva er personopplysninger?

Kvalheim i NSD viser til enda et punkt som kan bety oppmyking av de norske samtykkereglene. EU-forordningen definerer nemlig personopplysninger annerledes enn Personopplysningsloven.

Personopplysningslovens definisjon er «opplysninger og vurderinger som kan knyttes til en enkeltperson». EU-forordningen gjør en avgrensing: For å avgjøre om opplysninger er mulige å knytte til en enkeltperson, skal man vurdere alle midler som med rimelighet kan bli tatt i bruk for å få det til.

– Formuleringen «med rimelighet» virker kanskje ubetydelig, men dette kan avgrense volumet av behandlinger av personopplysninger som faller inn under loven, sier Kvalheim.

Lettere å utveksle data

En stadig tilbakevendende diskusjon her hjemme er når et datamateriale er tilstrekkelig avidentifisert til å kunne leveres ut. Med andre ord: Hvor vanskelig må det være å reidentifisere?

Formuleringen i forordningen kan innebære at opplysninger som er vanskelige å reidentifisere, faller utenfor loven. Kvalheim mener for eksempel at definisjonen bør gjøre det mulig å utelukke datakilder som det vil kreve lovbrudd for å få tilgang til.

Dersom et forskningsprosjekt ikke omfattes av forordningen, vil det bare være forskningsetiske krav om samtykke som gjelder. Kvalheim sier den strenge, norske definisjonen av anonymitet gjør det vanskelig å bruke våre registerdata i tverrnasjonale undersøkelser. Hun tror EU-forordningen kan bidra til at det blir lettere å utveksle data både nasjonalt og internasjonalt.

Flere spørsmål enn svar

Selv om forordningen inneholder punkter som kan medføre oppmyking av norske samtykkekrav, har den også flere bestemmelser som kan modifisere dette.

– Vi er i en tidlig fase, og det er mange usikkerhetsmomenter. Foreløpig har vi flere spørsmål enn svar når det gjelder denne forordningen, sier Jaedicke i Datatilsynet.

Rommetveit mener det er fint at forordningen ikke bare fokuserer på samtykke.

– Man må gjøre en helhetlig vurdering av hele miljøet hvor databehandlingen skjer, og forordningen innfører en obligatorisk risikovurdering, sier han.

Dette kobles til prinsippet om innebygd personvern og betyr at risikoen skal vurderes i alle ledd i databehandlingen.

– Personvern skal ikke være noe man kommer på i siste liten, understreker også Bygrave.

Powered by Labrador CMS