Spørsmål og svar: Ny lovgivning om personopplysninger – hva betyr det for forskning?

1. Introduksjon: Hvorfor skal jeg lese dette?

Her forsøker vi å gi et utvalg relevante spørsmål og svar om personvern og forskning, og hvilke forskningsetiske hensyn som aktualiseres gjennom lovverket. Det nye personvernregelverket gir forskere og forskningsinstitusjoner nytt ansvar, som krav om tilråding og krav om personvernombud. Samtidig tydeliggjøres muligheter om blant annet bruk av opplysninger som er offentliggjort, og vi får et helt nytt vern av akademiske ytringer.

Innledningsvis forklarer vi definisjoner og begreper, deretter kommer spørsmål som gjelder forskning i praksis, og avslutningsvis kommer generell informasjon om GDPR, eller GDPR for nybegynnere. Underveis forsøker vi å vise til relevante ressurser internt og eksternt. De nasjonale forskningsetiske komiteene har ikke en rolle som lovfortolker i denne sammenheng, vår oppgave er å gi råd om forskningsetikk. 

Det er vist til, men ikke lenket til personvernlovgivningen. Du finner den her: https://www.regjeringen.no/no/dokumenter/prop.-56-ls-20172018/id2594627/sec1
GDPR ligger som et vedlegg i denne stortingsproposisjonen. 
Her finner du også loven i Lovdata.

Dette dokumentet er ment å være levende - er det noe du stusser over eller savner, send oss en e-post

2. Introduksjon: Hva er personvern i forskningsetikken?

Personvern er mer enn vern av personopplysninger. Personvern har utgangspunkt i menneskeverdet og respekt for personlig integritet. Forskere skal respektere menneskeverdet, se for eksempel Forskningsetiske retningslinjer for samfunnsvitenskap, humaniora, juss og teologi (NESH 2016) punkt 5. I samme retning uttales det i punkt 4 i fortalen til EUs generelle personvernforordning (GDPR) at «behandling av personopplysninger bør ha som formål å tjene menneskeheten».

Det er verdt å understreke forskjellen mellom personvernregler og forskningsetikk. Hensynet til personer utgjør utvilsomt en vesentlig del av forskningsetikken. Det er en stor grad av overlapp mellom det juridiske rammeverket og det NESH 2016 sier om personvern. Men personvernregelverket kan ikke alene gi svar på de mange utfordringene forskere og andre vil møte på i håndteringen av personopplysninger fremover. Den teknologiske utviklingen gir forskere enorme muligheter for tilgang til data, nye sammenstillinger og bruk. Nasjonale og internasjonale retningslinjer, som NESHs retningslinjer eller Helsinki-deklarasjonen, er verktøy for å utdype det etiske ansvaret forskere har overfor dem det forskes på og andre som berøres av forskningen. De nasjonale forskningsetiske komiteene har også andre ressurser som kan komme til nytte for forskere.

Videre omtaler vi det samlede EU-regelverket og den supplerende norske personopplysningsloven som «personvernregelverket».

3. Definisjoner og begreper: Hva er forskning i GDPR?

GDPR bruker begrepet «vitenskapelig forskning» (jf. fortalen punkt 159). Punktet forklarer at begrepet skal tolkes vidt, og det gis eksempler på virksomhet som er omfattet av begrepet – for eksempel teknologisk utvikling og demonstrasjon, grunnforskning og anvendt forskning. Begrepet er bare forklart deskriptivt ved å nevne eksempler. Det er ikke avgrenset normativt gjennom normer som må være oppfylt for å kunne kalle det vitenskapelig forskning. Virksomhet som faller inn under begrepet vitenskapelig forskning har gjennom GDPR fått enkelte særlige bestemmelser, for eksempel i artiklene 9 og 89, og i personopplysningsloven. I tillegg brukes begrepet «akademiske ytringer» i artikkel 85 i GDPR og § 3 i loven.

I forskningsetikken er vitenskapelig forskning kjennetegnet ved å oppfylle vitenskapelige normer som for eksempel originalitet, åpenhet og etterprøvbarhet, uavhengighet osv. (NENT 2016NESH 2016).

Helseforskning er avgrenset gjennom definisjonen i § 4a i helseforskningloven, dvs. «virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom».

4. Definisjoner og begreper: Akademiske ytringer - Er forskning omfattet av unntaket i GDPR artikkel 85 og personopplysningsloven § 3?

Artikkel 85 og personopplysningsloven § 3 fastsetter at behandling av personopplysninger med henblikk på akademiske ytringer kan unntas en rekke av bestemmelsene i forordningen, i likhet med journalistikk og litterære og kunstneriske ytringer. Dette er en utvidelse av tidligere rett, men begrepet er ikke definert i GDPR. Artikkel 85 stiller krav om at hensynet til ytrings- og informasjonsfrihet må veies opp mot personvernhensyn. Justisdepartementet har i Prop. 56 LS (2017-2018) uttalt at forskning ikke er omfattet av unntaket for «akademiske ytringer».

Departementets fortolkning er blitt kritisert, blant annet på grunnlag av lovprosesser i andre land (NNT nr. 1/2018 ref). Siden «akademiske ytringer» ikke er definert eller forklart i GDPR, må innholdet avklares gjennom norsk og europeisk forvaltnings- og domstolspraksis.

5. Definisjoner og begreper: Hva er personopplysninger?

Ifølge personvernregelverket er personopplysninger «enhver opplysning om en identifisert eller identifiserbar fysisk person» («den registrerte»). En identifiserbar fysisk person er «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet» (artikkel 4 nr. 1).

Forskningsetisk sett er det verdt å merke seg at hva som oppleves som personlig kan variere mye mellom mennesker og kulturer. Opplysninger som i utgangspunktet ikke er omfattet av lovens definisjon (eller definisjonen av særlige kategorier, punkt 7) kan dermed oppfattes som personlige av den personen opplysningene gjelder. Forskeren har derfor et ansvar for å ta hensyn til den konteksten der informasjonen innhentes. (Se: Forskningsetisk veileder for internettforskning, NESH 2018)

Som forsker kan man også få tilgang til personlig informasjon man i utgangspunktet ikke har bedt om, men som må håndteres. Dette kan skje når man forsker direkte på eller med mennesker, eller ved f.eks. miljøovervåkning og bruk av droneteknologi eller andre måleinstrumenter.

Med stadig nye teknologiske muligheter for sammenstillinger av data og bruk av disse i åpne nettverk, er det også reelle muligheter for at data som i utgangspunktet ikke er omfattet av definisjonen av personopplysninger, slik som anonyme data, blir personlige eller sensitive (se også under «særlige kategorier av personopplysninger»).

Alle disse forholdene gjør at man som forsker generelt bør være oppmerksom på risikoen for individene som inngår i forskningen, og ikke bare hvilken type data som innhentes.

Ut over personvernet for forskningsdeltakere, må forskere også ta hensyn til tredjeparter som blir berørt av forskningen, se NESH 2016 retningslinje 13.

6. Definisjoner og begreper: Er personopplysninger om døde personer omfattet?

Personvernregelverket gjelder ikke for opplysninger om avdøde personer, med mindre opplysningene sier noe om nålevende personer. Helselovgivningens personvernregler gjelder derimot for avdødes helseopplysninger. Forskere må være oppmerksomme på hva slags type opplysninger de behandler om avdøde personer, og om behandlingen er underlagt lovregler eller ikke.

Forskningsetikken fastslår at det uansett er grunn til å være varsom i prosjekter som omhandler døde personer. Det står for eksempel i NESH 2016 retningslinje 17:

«Også ved forskning på avdøde mennesker gjelder krav om respekt, dokumentasjon og etterrettelighet. Respekt for de avdøde og for de etterlatte tilsier at forskeren bør velge sine formuleringer med omhu. Arkiv og dokumenter etter døde personer kan også inneholde personsensitiv informasjon, og forskere må håndtere informasjon om døde personer og deres etterkommere aktsomt og med respekt.»

I tillegg har Nasjonalt utvalg for vurdering av forskning på menneskelige levninger utarbeidet Forskningsetisk veileder for forskning på menneskelige levninger.

7. Definisjoner og begreper: Hva er særlige kategorier av personopplysninger (tidl. «sensitive personopplysninger»)?

Personvernreglene gjelder også det som tidligere var kjent som sensitive personopplysninger, men som nå kalles «særlige kategorier av personopplysninger». Dette er personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering» (artikkel 9 ref.).

Forordningen skiller seg fra gjeldende lov på to punkter: For det første omfattes ikke opplysninger om at en person har vært mistenkt, tiltalt eller dømt for en straffbar handling. Slike opplysninger er i stedet særregulert (artikkel 10, se nedenfor). For det andre er det lagt til to nye kategorier av opplysninger: genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person.

Som forsker er det maktpåliggende å være bevisst at det kan være utfordrende å definere med sikkerhet hvilke kategorier av data som utgjør særlige kategorier av personopplysninger, og at opplysninger som i utgangspunktet ikke er sensitive kan avsløre sensitiv informasjon ved kobling til nye datasett eller ved hjelp av nye analyseteknikker (se under «personopplysninger»).

Hovedregelen er at det ikke er lov å behandle særlige kategorier av personopplysninger med mindre ett av unntakene i artikkel 9 er oppfylt. Noen av unntakene (bokstavene g, h, i og j – der j er mest aktuell for forskning) stiller også krav om at behandlingen er tillatt etter nasjonal rett. I tillegg må forskerne ha behandlingsgrunnlag etter artikkel 6. Flere av unntakene i artikkel 9 kan være relevante på ulike forskningsområder, men de mest aktuelle er antakeligvis:

Opplysningene behandles på grunnlag av samtykke fra den registrerte (bokstav a)
Opplysningene som behandles er åpenbart offentliggjort av den registrerte (bokstav e)
Opplysningene er nødvendige å behandle for arkiv-, statistikk og forskningsformål, forutsatt at personverninteressene er ivaretatt slik det fremgår av forordningen (bokstav j).
Personopplysningsloven § 9 gir grunnlag for behandling etter norsk rett, og setter som vilkår at samfunnsinteressen av forskningsprosjektet klart overstiger personvernulempene og at den behandlingsansvarlige rådfører seg med personvernombudet eller liknende. I tillegg må garantier og sikkerhetstiltak være iverksatt etter GDPR artikkel 89.

Helseopplysninger er en av kategoriene av «særlige opplysninger». Det betyr at behandling av helseopplysninger krever grunnlag i minst ett av alternativene i artikkel 6 og minst ett av unntakene i artikkel 9 nr. 2. Helselovene (dvs. helseforskningsloven, helseregisterloven, helsepersonelloven inkl. dispensasjon fra taushetsplikt gitt av Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) etter § 29 osv.) gir supplerende rettsgrunnlag etter nasjonal rett. Forskere som behandler særlige kategorier av personopplysninger etter helselovene trenger ikke forholde seg til kravene i personopplysningsloven § 9, men må følge kravene i loven som gir supplerende rettsgrunnlag.

Forskere må ha klart for seg hvilket behandlingsgrunnlag og unntak de bruker av hensyn til videre saksbehandling, for eksempel rådføringsplikt med personvernombudet, forhåndsgodkjenning eller dispensasjon fra REK osv.

8. Definisjoner og begreper: Hva er «behandlingsgrunnlag»?

For å behandle personopplysninger må man ha et lovlig grunnlag for behandlingen. Dette omtales som «behandlingsgrunnlag». Det er nytt med GDPR at all behandling må ha behandlingsgrunnlag i artikkel 6 nr. 1. Nasjonal lovgivning kan gi supplerende rettslig grunnlag, men gir ikke behandlingsgrunnlag i seg selv.

De mest aktuelle behandlingsgrunnlagene for forskning er antakeligvis samtykke (bokstav a), oppgave i allmennhetens interesse (bokstav e) og private virksomheters berettigede interesser (bokstav f).

Behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav e krever i tillegg et supplerende grunnlag i nasjonal rett. For forskning finnes dette for eksempel i personopplysningsloven § 8, helseforskningsloven, helseregisterloven mv.

Tidligere ga forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) grunnlag for behandling av personopplysninger (behandlingsgrunnlag). Etter innføringen av GDPR er det slutt på ordningen med «én postkasse»: Det er fortsatt krav om å søke REK om etisk forhåndsgodkjenning av prosjekter som defineres som helseforskning, jf. helseforskningsloven § 10, jf. § 4a, men forhåndsgodkjenningen gir ikke lenger et behandlingsgrunnlag. I stedet må behandlingsansvarlig sørge for at prosjektet har behandlingsgrunnlag i GDPR og i supplerende nasjonal rett. REK skal fortsatt vurdere personvernmessige sider av prosjektet, men Datatilsynet er ikke forpliktet til å følge REKs vurderinger ved et evt. tilsyn hos behandlingsansvarlig. Behandlingsansvarlig er selv ansvarlig for å oppfylle kravene i GDPR, uavhengig av REKs godkjenning.

Les mer om behandlingsgrunnlag på Datatilsynets nettsider: https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/veileder-om-behandlingsgrunnlag/

9. Definisjoner og begreper: Hvem er «behandlingsansvarlig»?

«Behandlingsansvarlig» er i GDPR definert som den som bestemmer formålet med behandlingen av personopplysningene og hvilke midler som skal brukes (GDPR artikkel 4 nr. 7). Den behandlingsansvarlige skal blant annet påse at ethvert forskningsprosjekt har et behandlingsgrunnlag. Behandlingsansvarlige ansvar er utdypet i GDPR artikkel 24. Alle forskningsprosjekter som behandler personopplysninger må ha en behandlingsansvarlig, og i de fleste tilfellene vil dette være lagt til institusjonsnivået. Evt. sanksjoner for brudd på reglene går på behandlingsansvarlig. Forskningsprosjekter kan få aktører utenfor institusjonen til å behandle personopplysninger. I så fall må det inngås avtale om databehandling, se artikkel 28.

Forskningsetikken stiller krav om å avklare individuelle ansvarsforhold ved samarbeid, se NENTs retningslinje nr. 5 og i retningslinjer for internasjonalt samarbeid (Montreal Statement

I helselovene brukes begrepet «dataansvarlig» som et synonym til «behandlingsansvarlig» i personvernregelverket. Begrunnelsen er å unngå forvekslinger mellom behandlingsansvarlig for helsehjelp og dataansvarlig.

10. Behandlingsansvar: Hvilket ansvar har forskere og forskningsinstitusjoner?

Ansvaret som pålegges behandlingsansvarlig gjennom personvernreglene kan oppsummeres som følger (listen er ikke fullstendig):

1. Gjennomføre «egnede tekniske og organisatoriske tiltak» for å sikre at behandlingen gjennomføres i samsvar med regelverket (artikkel 24)

Dette innebærer blant annet iverksettelse av egnede retningslinjer for behandling av personopplysninger («atferdsnormer»). Forskingsetiske retningslinjer for samfunnsvitenskap, humaniora, juss og teologi uttrykker anerkjente forskningsetiske normer, inkludert normer for behandling av personopplysninger, og er en nasjonal ressurs som kan brukes til dette formålet.

2. Gjennomføre innebygd personvern og personvern som standardinnstilling (artikkel 25)

Innebygd personvern kan f.eks. innebære pseudonymisering og dataminimering . Personvern som standardinnstilling innebærer at det som hovedregel bare er personopplysninger som er nødvendige for hvert enkelt formål med behandlingen, som faktisk behandles. Dette får konsekvenser for mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet for andre forskere.

3. Føre protokoller over alle behandlingsaktiviteter (artikkel 30)

Protokollen skal inneholde informasjon om bl.a. formålet med forskningen og behandlingen av personopplysninger, hvem det forskes på, hvilke personopplysninger som samles inn, hvem som har tilgang til dem og om mulig, når de skal slettes.

4. Foreta en vurdering av personvernkonsekvenser (artikkel 35)

En vurdering av personvernkonsekvenser innbefatter en vurdering av om mulig personvernulempe står i forhold til målene, en vurdering av risikoen for dem det forskes på og tiltak for å håndtere risikoen.

Tilsvarende vurderinger følger av forskningsetikken: Forskere må vurdere konsekvensene for dem som berøres av forskningsprosjektet – før det igangsettes, underveis og etterpå, og ved formidling av resultatene. Merk at forskningsetikken gjelder selv om prosjektet faller utenfor hele eller deler av personvernregelverket. Dette betyr at forskere må vurdere personvernkonsekvensene ut fra hva som utgjør god og ansvarlig forskning, ikke bare det som står i regelverket. Se for eksempel del B) i NESH 2016 for mer informasjon om forskning og hensynet til personer, og Helsinkideklarasjonen når det kommer til medisinsk forskning.

5. Oppnevne personvernombud (artikkel 37) og sikre at ombudet involveres i alle spørsmål som gjelder vern av personopplysninger (artikkel 38)

Til nå har mange forskningsinstitusjoner hatt eget personvernombud for forskning. Det er foreløpig uklart om ordningen kan videreføres, for eksempel om en institusjon har adgang til å ha personvernombud for hhv. forskning og resten av virksomheten. Personvernombudet skal ikke lenger gi godkjenninger eller tilrådinger, men ha en rådgivende funksjon. Se Datatilsynet for mer om personvernombudsordningen

6. Rådføre seg med Datatilsynet i prosjekter som medfører høy risiko for personlige rettigheter og friheterjf. artikkel 36

Forskere/behandlingsansvarlig har plikt til å rådføre seg med Datatilsynet hvis vurderingen av personvernkonsekvenser etter artikkel 35 viser høy risiko for fysiske personers rettigheter og friheter dersom det ikke iverksettes tiltak for å redusere risikoen. Bestemmelsen forstås som at forhåndsdrøfting er forbeholdt tilfellene der risikoen er høy og det ikke er mulig å redusere risikoen til et akseptabelt nivå, se https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/?print=true.

Se også Datatilsynets veileder om programvareutvikling med innebygd personvern

7. Sikre behandlingsgrunnlag

Alle forskningsprosjekter som behandler personopplysninger må ha et behandlingsgrunnlag med hjemmel i GDPR.

11. Behandlingsansvar: Kan personopplysninger viderebehandles?

Personvernregelverket tillater å viderebehandle personopplysninger til forskningsformål uten nytt behandlingsgrunnlag, så fremt det er den samme behandlingsansvarlige som står for behandlingen. Dette betyr at forskningsinstitusjoner/forskere som har innsamlet personopplysninger til forskning kan bruke opplysningene i andre forskningsprosjekter med samme behandlingsansvarlig. Det samme gjelder hvis forskerne skal sammenstille personopplysningene for å utlevere dem til andre behandlingsansvarlige. Forskere som mottar personopplysninger fra en annen behandlingsansvarlig, må derimot passe på å ha eget behandlingsgrunnlag for viderebehandlingen.

Forskningsetikken maner til forsiktighet når det gjelder gjenbruk av personopplysninger til et nytt forskningsformål, og det klare utgangspunktet er at samtykke må innhentes på nytt (NESH 2016 retningslinje 10helseforskningsloven §§ 14 og 15).

12. Forskning i praksis: Hvilke krav stilles til samtykke?

Samtykke er ett av behandlingsgrunnlagene i artikkel 6 nr. 1 og ett av unntakene i artikkel 9 nr. 2. I sistnevnte tilfeller må den behandlingsansvarlige rådføre seg med personvernombudet, jf. personopplysningsloven § 10.

Samtykket skal i utgangspunktet være frivillig, spesifikt, informert og gitt som en utvetydig viljesytring, jf. artikkel 4 nr. 11. For forskningsformål er det åpnet for at samtykke kan være bredere, jf. fortalen punkt 33. Vilkårene for å bruke bredt samtykke er at det fremgår av samtykket hvilke forskningsområder opplysningene kan brukes til. Et bredt samtykke må derfor ha en viss avgrensning. I tillegg må bruken av bredt samtykke være i samsvar med anerkjente forskningsetiske standarder. Helseforskningsloven åpner for bredt samtykke i enkelte tilfeller, jf. § 14. Bredt samtykke kan derfor være i samsvar med anerkjente forskningsetiske standarder for helseforskning.

Forskningsetisk sett er hovedregelen samtykke ved forskning med mennesker og der det samles inn personopplysninger eller forskningen innebærer risiko for dem det forskes på, jf. Forskningsetiske retningslinjer for samfunnsvitenskap, humaniora, juss og teologi (NESH 2016) og Forskningsetisk veileder for internettforskning (NESH 2018). Se også https://www.forskningsetikk.no/ressurser/forskningsetisk-bibliotek/Personvern-og-ansvar-for-den-enkelte/Samtykke/
Det samme gjelder for helseforskning, der hele kapittel 4 handler om samtykke.

13. Forskning i praksis: Finnes det tilfeller der man kan forske uten samtykke?

Tidligere var hovedregelen at personopplysninger skulle behandles på grunnlag av samtykke. GDPR sidestiller flere behandlingsgrunnlag med samtykke, og utvider mulighetene for å behandle personopplysninger på andre grunnlag enn samtykke. Juridisk er det mulig å behandle personopplysninger til forskning uten samtykke, men manglende samtykke innebærer samtidig en økt personvernulempe. Blant annet kan det ha betydning for avveiningen mellom personvern og samfunnsinteresse som er et vilkår for behandling av særlige kategorier av personopplysninger.

På samme måte er det unntak fra kravet om samtykke i forskningsetikken. I enkelte forskningsprosjekter kan det inngå personer som har redusert eller manglende samtykkekompetanse , se for eksempel helseforskningloven § 18. I andre tilfeller kan forskningen være vanskelig eller umulig å gjennomføre med samtykke. Dette er ikke i seg selv en tilstrekkelig grunn for unntak, men NESH 2016 retningslinje 8 fastholder at deltakernes frihet og selvbestemmelse i enkelte tilfeller kan respekteres selv om samtykke ikke innhentes på forhånd. Samtidig kan det være et forskningsetisk hensyn å legge til rette for at samfunnsnyttig forskning kan gjennomføres uten innhenting av samtykke. Da bør ulempene for den enkelte minimeres. For helseforskning, se for eksempel §§ 19 i helseforskningsloven.

Ved forskning uten samtykke er det særlig viktig at forskere utøver etisk refleksjon og godt etisk skjønn. De nasjonale forskningsetiske komiteene kan kontaktes ved behov for rådgivning.

14. Forskning i praksis: Hvilke krav stilles til informasjon (artikkel 13 og 14) – juridisk og forskningsetisk?

Som tidligere, er det både i jussen og i forskningsetikken krav om at den registrerte informeres om behandlingen av personopplysningene. Artikkel 13 i GDPR gjelder informasjonsplikt der opplysninger hentes fra den registrerte selv. Det er listet opp en rekke krav til informasjonen som må gis. Bestemmelsen har ingen unntak for forskning.

Opplysninger som innhentes fra en annen enn den registrerte utløser også informasjonsplikt til den registrerte. Kravene fremgår av artikkel 14. Det kan gjøres unntak fra informasjonsplikten etter artikkel 14 dersom det er umulig eller krever en uforholdsmessig stor innsats å gi informasjonen, og gjelder for blant annet vitenskapelig forskning.

Uavhengig av jussen har forskere et etisk ansvar for å informere forskningsdeltakerne (NESH 2016 retningslinje 7). En rekke forhold må vurderes, som for eksempel metode, type data osv. Til syvende og sist beror det på forskerens skjønn hvilken informasjon som er påkrevet å gi, men informasjonen skal gis på en nøytral måte som ivaretar forskningsdeltakernes behov. I noen tilfeller kan det gjøres unntak fra informasjonskravet, for eksempel ved forskning på offentlige personer. I helseforskning med bredt samtykke er det krav om at forskningsdeltakerne informeres jevnlig, se § 14.

15. Forskning i praksis: Hva med oppbevaring av data?

Lovgivningen gir ikke et fasitsvar på hvor lenge du kan oppbevare personopplysninger, det må behandlingsansvarlig vurdere ut fra prinsipper om dataminimering, etc. I helseforskning fremgår oppbevaringstiden av REKs vedtak, men personvernregelverket gjelder uansett. Utenfor helseforskning er det ikke lenger melde- eller konsesjonsplikt, som betyr at behandlingsansvarlig alene må passe på. Ta kontakt med personvernombudet ved institusjonen hvis du har spørsmål om oppbevaring av data.

Åpenhet i forskning er vesentlig for kvalitetssikring av forskning og for at forskningen skal komme individer, grupper og samfunn til nytte. Det pågår store europeiske og nasjonale initiativer for å tilgjengeliggjøre og dele data (Open Science). I utgangspunktet ser det ut til å være fundamentale motsetninger mellom prinsippet om dataminimering, som vi finner i GDPR, og verdien av å produsere og sirkulere data, som vi finner i ulike Open Science-tiltak. Dette fordrer etisk refleksjon om verdien av data som produseres, og hvorvidt og hvordan de kan overføres til andre former for data (pseudonymiserte).

16. Forskning i praksis: Hva sier forordningen om pseudonymisering (tidl. avidentifisering) og kryptering?

Pseudonymisering er definert i GDPR artikkel 4 nr. 5. I norsk rett har begrepet pseudonymisering blitt brukt i noen forskrifter om helseregistre. Pseudonymisering i GDPR er langt videre enn etter norsk rett, og omfatter også avidentifisering, anonymisering og andre tiltak for å fjerne identifikatorer. Datatilsynet har utarbeidet en veileder for anonymisering av personopplysninger. Veilederen er ikke oppdatert etter nytt personvernregelverk, men teknikkene som omtales er fortsatt aktuelle. 

Det forskningsetiske utgangspunktet er at personopplysninger skal behandles konfidensielt, som også innebærer krav om avidentifisering eller anonymisering (NESH 2016 retningslinje nr. 9). I noen tilfeller kan forskningsdeltakere selv ønske å være identifiserbare. Forskningsetisk kan det være problematisk både når pseudonymisering/kryptering hindrer reproduksjon og etterprøving av forskning, men også når ny teknologi gjør det mulig å re-identifisere krypterte data.

17. Generelt om GDPR: Hvorfor er lovverket forandret?

Personvernreglene ble endret i 2018 for å innlemme EUs generelle personvernforordning (GDPR).  I forordningen står det blant annet følgende: «For å sikre et ensartet og høyt nivå for vern av fysiske personer og fjerne hindringer for flyten av personopplysninger i Unionen bør nivået for vern av fysiske personers rettigheter og friheter i forbindelse med behandling av slike opplysninger være det samme i alle medlemsstater.» (GDPR, artikkel 10).

18. Generelt om GDPR: Hva er målene med GDPR?

Da arbeidet med nytt personvernregelverk i EU startet opp i 2012, var målene blant annet:

  • Å lage et enhetlig regelverk i hele Europa for å kutte administrative og økonomiske byrder
  • Å gjøre det enklere å få godkjenning for behandling i hele Europa mot at behandlingsansvarlige fikk større ansvar for å følge regelverket
  • At innbyggerne skulle ha enklere tilgang til sine egne data og til å flytte dem mellom ulike tjenesteytere
  • «Retten til å bli glemt» - at man skulle få slettet data med mindre det var gode grunner for å beholde dem
  • Å styrke de nasjonale personvernmyndighetene (som Datatilsynet) og gi dem rett til å gi relativt store bøter til virksomheter som bryter reglene.
19. Generelt om GDPR: Hva er en forordning?

Personvernreglene er en del av EU-reglene Norge følger på grunn av EØS-avtalen. EUs lover gis som direktiver eller forordninger. Et direktiv betyr at statene lager nasjonale regler med utgangspunkt i direktivet. Direktivene fungerer som et rammeverk som gir nasjonalstatene mer handlingsrom, men innebærer samtidig at direktivene blir innført med ett regelverk for hvert land (dvs. minst 28 medlemsland + evt. andre tilknyttede land som Norge). En forordning gjelder derimot som den er bestemt av EU. En forordning gir mindre handlingsrom for nasjonalstatene, men betyr samtidig at personer og virksomheter kan forholde seg til ett felles regelverk i hele EU/EØS.

Personvernreglene var tidligere fastsatt i Direktiv 95/46/EF (personverndirektivet). Personopplysningsloven fra 2000 var den norske versjonen av direktivet. De nye personvernreglene i EU er fastsatt i en forordning (GDPR), og dette fører til at forordningsteksten tas inn i norsk rett. Men selv om GDPR er en forordning, er den resultat av politiske kompromisser mellom ulike medlemsland. På flere områder åpner derfor GDPR for at nasjonalstatene kan fastsette egne unntak og særregler. GDPR er ikke en rendyrket forordning, men en hybrid; en blanding av forordning og direktiv.

I norsk sammenheng betyr GDPR at hovedreglene om personvern primært vil fremgå av GDPR slik den er tatt inn i norsk lov. Den norske personopplysningsloven supplerer GDPR der det er adgang til å gi nasjonale unntak eller særregler. Alle som behandler personopplysninger fremover må forholde seg til GDPR som hovedkilde. Hvis det er gitt nasjonale særregler på feltet må man i tillegg forholde seg til personopplysningsloven og annet regelverk som for eksempel helseforskningsloven, andre lands supplerende lover hvis det foregår behandling av personopplysninger på tvers av landegrenser osv.

20. Generelt om GDPR: Hvordan er GDPR bygget opp?

GDPR består av en fortale og selve forordningsteksten. Fortalen består av 173 punkter med begrunnelser og forklaringer av innholdet i forordningsteksten, det man i Norge finner i lovers forarbeider. Selve forordningsteksten består av 99 artikler, det som i norske lover kalles paragrafer, fordelt på 11 kapitler. Som utgangspunkt vil en tekst som viser til artikkel 6 bety artikkel 6 i GDPR. Hvis det er vist til (160) betyr det punkt 160 i fortalen. Og hvis det er henvist til paragrafer, for eksempel § 9, betyr det at lovgrunnlaget er i den norske lovgivningen.

21. Generelt om GDPR: Hva sier GDPR om forskning?

Behandling av personopplysninger utgjør en viktig del av mye forskning. Personvernregelverket regulerer også bruk av personopplysninger til forskning. Tidlige utgaver av GDPR ble kritisert av blant annet forskersamfunnet og pasientorganisasjoner for å gjøre det svært vanskelig å forske, særlig innenfor medisin og helsefag. Mye av diskusjonen i EU har nettopp handlet om individets rettigheter versus samfunnets- og forskningens interesser.

Forskersamfunnets lobbyvirksomhet førte frem, og den ferdige forordningsteksten blir omtalt som et godt rammeverk for forskning. Imidlertid klarte ikke EU å bli enige om felles regulering av personvern i forskning. GDPR åpner i stedet for at nasjonalstatene kan gi særregler og unntak. For forskningens del er målet om et enhetlig EU-regelverk for behandling av personopplysninger ikke nådd. Det er foreløpig usikkert hvor like eller ulike de nasjonale unntakene for forskning blir. Forskere som behandler personopplysninger på tvers av land i Europa må være oppmerksomme på at det kan være forskjeller mellom landenes regelverk.