Nye personvernregler – hva er konsekvensene for sykepleieforskningen?

Sykepleieres forskning kan ta utgangspunkt i alt fra opplysninger om helse og sykdom som personer gir direkte til forskerne, til opplysninger som hentes fra etablerte registre, som pasientjournalen. Av hensyn til personvernet er det i lov satt mange betingelser for å kunne behandle disse opplysningene, for eksempel i helseforskningsloven, helseregisterloven og helsepersonelloven.

Dessuten skal myndighetsorganer, som Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) og Datatilsynet, tradisjonelt involveres på ulike måter alt etter dataenes og forskningens art.

GDPR i Norge

Nylig har EUs personvernforordning (GDPR – General Data Protection Regulation) trådt i kraft. Den setter en del nye rammer for innsamling og bruk av personopplysninger i forskningen. I tillegg er det gitt ny norsk lov, personopplysningsloven, med bestemmelser som supplerer forordningen.

Dertil er det gjort endringer i norsk særlovgivning som omhandler personvernet. Det er for eksempel gjort endringer i helseforskningsloven, helseregisterloven, helsepersonelloven og pasient- og brukerrettighetsloven. Disse endringene er foretatt for å følge opp forordningen mer spesifikt; den åpner for og dels forutsetter å bli supplert av nasjonale regler.

Hva menes med personopplysninger?

Med personopplysninger menes «enhver opplysning om en identifisert eller identifiserbar fysisk person (ʻden registrerteʼ); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet» (personvernforordningen artikkel 4 nr. 1).

Personvernforordningens artikkel 6 angir grunnlaget for lovlig å kunne behandle, det vil si samle inn og gjøre bruk av, personopplysninger.

En spesiell type personopplysninger, som vanligvis blir mye brukt i sykepleiernes forskning, er de som ofte omtales som sensitive personopplysninger, og som det gjelder ekstra verneregler for. I det nye regelverket er slike opplysninger benevnt som «særlige kategorier av personopplysninger».

De omfatter foruten helseopplysninger «genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person» og «opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering» (artikkel 9).

Unntak fra forbud 

Forordningen uttrykker at det er forbudt å behandle særlige kategorier av personopplysninger med mindre et av de spesielle unntakene i artikkel 9 nr. 2 a–j er oppfylt. Mest aktuelle er trolig følgende unntak:

• at opplysningene blir behandlet på grunnlag av samtykke fra den registrerte (bokstav a),
• at behandlingen er ansett å være nødvendig av hensyn til viktige allmenne interesser (bokstav g), eller
• at opplysningene er nødvendige å behandle for forskningsformål, men da spesielt forutsatt at et strengt vern av den registrertes interesser er ivaretatt (bokstav j).

Å behandle data som bygger på bokstavene b, g, h, i eller j, forutsetter at det også er tillatt etter nasjonal rett. Personopplysningsloven § 9 gir rettsgrunnlag for å behandle opplysningene i disse tilfellene: Samfunnsinteressen av forskningen må klart overstige personvernulempene. Dertil må bestemte garantier og sikkerhetstiltak være iverksatt, jamfør personvernforordningens artikkel 89.

Nasjonalt rettsgrunnlag kan også følge direkte av helselovgivningen. Og samtidig innebærer ikke helselovgivningen at forskere er avskåret fra å basere behandlingen på personopplysningsloven §§ 8 og 9. Dersom helselovgivningen ikke gir et tilstrekkelig supplerende rettsgrunnlag eller unntak fra forbudet mot å behandle det som faller inn under særlige kategorier av personopplysninger, kan forskningen baseres på bestemmelsene i personopplysningsloven dersom vilkårene der er oppfylt.

Ettersom helseopplysninger anses som «særlige kategorier» av opplysninger, betyr det at behandling av slike opplysninger krever grunnlag i minst ett av alternativene i artikkel 6, at minst ett av unntakene i artikkel 9 nr. 2 må være til stede, og dertil må behandlingen oppfylle de supplerende kravene som følger av den nasjonale lovgivningen (personvernloven, helseforskningsloven, helsepersonelloven, helseregisterloven med videre).

Pliktige roller

Alle forskningsprosjekter som behandler personopplysninger, skal ha en oppgitt behandlingsansvarlig (dataansvarlig). I praksis vil det ofte være institusjonen der forskeren arbeider.

Behandlingsansvarlig for opplysningene skal påse at lovkravene vil bli eller blir etterlevd, jamfør nærmere forordningens artikkel 24 flg. om hva kravene går ut på. Den enkelte forsker bør uansett rådføre seg med egen institusjon for å avklare om prosjektet fordrer særskilte vurderinger av personvernspørsmål.

Mange virksomheter som driver forskning, vil nå være pålagt å ha personvernombud. Dette ombudet skal bistå virksomheten med å vurdere prosjektene i et personvernperspektiv, jamfør forordningens artikler 37–39.

Det er ikke opplagt hvor langt plikten til å ha personvernombud går i alle tilfeller. I praksis bør nok de fleste, og i hvert fall forskningsinstitusjonene som behandler «særlige kategorier» av personopplysninger, jamfør forordningens artikkel 9, ha personvernombud.

Mange universiteter, høyskoler og andre har avtale med Norsk senter for forskningsdata (NSD) om at de skal være deres personvernombud eller leverandør av personverntjenester på forskningsområdet. Meldeordningen dit fortsetter i praksis som før. Det innebærer at prosjekter, også studentprosjekter som for eksempel masteroppgaver der personopplysninger blir behandlet, fortsatt skal meldes dit for vurdering.

Må meldes til REK

En viktig del av de nasjonale kravene er at alle medisinske og helsefaglige forskningsprosjekter skal meldes til REK for å få komiteens etiske forhåndsvurdering og -godkjenning. Dette gjelder også dersom enkeltpersoner har samtykket til å benytte opplysninger om dem i forskning. Kravet om slik melding gjelder fortsatt etter at ny personopplysningslov er trådt i kraft.

Om de rettslige oppgavene til REK sies det følgende: «Som et ledd i den forskningsetiske vurderingen, skal REK, som i dag, ta stilling til behandlingen av personopplysninger som prosjektene innebærer. Dette gjelder blant annet om datainnhenting, datahåndtering, deling av data og dataeierskap er i samsvar med reglene om taushetsplikt og personvern», se Prop. 56 LS (2017–2018) pkt. 32.3.2. REKs vurdering danner imidlertid ikke lenger noe rettslig behandlingsgrunnlag.

Trenger ikke meldes til Datatilsynet

En prinsipiell og praktisk viktig endring er at det ikke lenger foreligger noe krav om melding til og konsesjon (forhåndsgodkjenning) fra Datatilsynet for å kunne behandle sensitive personopplysninger i forskningsprosjekter, i kvalitetssikringsprosjekter eller fra helseregistre som ikke er særskilt hjemlet i lov eller forskrift. Men Datatilsynet forutsettes som tidligere å skulle føre tilsyn med at de rettslige kravene er oppfylt.

Personvernforordningen medfører dermed at forskere og forskningsinstitusjoner nå selv må sikre seg at de oppfyller lovkravene. Fordelen for forskerne med denne ordningen er at de i mindre grad må involvere myndighetsorganer, men dette vil nok likevel medføre større usikkerhet for en del, og med det flere utfordringer når prosjekter skal etableres.

Og ansvaret ved forskernes behandling av personopplysninger er understreket ved at Datatilsynet kan ilegge store overtredelsesgebyrer til behandlingsansvarlige som bryter forordningens bestemmelser eller regler som utfyller denne, for eksempel helseforskningslovens regler, se helseforskningsloven § 52.

Artikkelen ble først publisert som et innspill på sykepleien.no 12.09.2018.