7. november 2017 mottok NESH en henvendelse fra Jacob Aasland Ravndal, forsker ved Senter for ekstremismeforskning (C-REX) ved Universitetet i Oslo (UiO). Henvendelsen dreier seg om et datasett (RVT) over høyreekstrem terrorisme og vold i Vest-Europa 1990-2015 som opprinnelig ble utviklet mens Ravndal var stipendiat ved Forsvarets forskningsinstitutt (FFI).

Henvendelsen til NESH dreier seg om vurderinger i forbindelse med en endringsmelding til NSD, som både omfatter en videreutvikling av datasettet og tilrettelegging for deling av data. Ravndal og C-REX er anmodet av NSD om å innhente en uttalelse fra NESH i forbindelse med behandlingen av saken før den eventuelt oversendes til Datatilsynet.

I tillegg til redegjørelsen fra C-REX fikk NESH oversendt henvendelse, tilbakemelding og endringsskjema til/fra NSD, samt selve datasettet. På oppfordring har NESH også fått tilgang til kodeboken. Henvendelsen ble behandlet på NESH-møte 28. november 2017.

Bakgrunn

Det opprinnelige datasettet ble utviklet ved FFI fra 2012, men ble ikke meldt inn med tanke på tilråding fra personvernombudet og eventuell konsesjon fra Datatilsynet. Ved overføringen til UiO tok derfor C-REX initiativ til å melde prosjektet til NSD i juni 2016. All nødvendig informasjon forelå 27. januar 2017, og tilbakemeldingen fra NSD er datert 5. mai 2017. Prosjektet ble vurdert som meldepliktig, men ble etter personvernombudets vurdering unntatt krav om konsesjon og informasjonsplikt, dels med begrunnelse i at prosjektet var av mindre omfang og dels med henvisning til samfunnsnytten.

På bakgrunn av NSDs positive vurdering ble det sendt inn en endringsmelding for å oppdatere datasettet og tilrettelegge for deling av data. I følge henvender har saken blir liggende hos NSD, som argumenterer for at både utvidelsen av datasettet og delingen av data kan innebære at Datatilsynet må fatte vedtak om konsesjon. C-REX er av ulike grunner ikke enig med NSDs konklusjon: «Derfor er C-REX usikker på om en konsesjonssøknad hos Datatilsynet er riktig eller nødvendig ettersom det vil innebære en slags innrømmelse av å samle inn sensitive personopplysninger – noe C-REX mener ikke er tilfelle.»

På bakgrunn av dette forslår C-REX følgende to alternativer i prioritert rekkefølge:

1. Gjøre fullversjonen av datasettet tilgjengelig på C-REX sine hjemmesider, med en innebygd mulighet for å rapportere inn feilregistreringer eller melde inn nye hendelser.

2. Gjøre en begrenset versjon av datasettet uten kildereferanser tilgjengelig på C-REX sine hjemmesider, og tilrettelegge for at andre forskere kan få utlevert fullversjonen fra C-REX med utgangspunkt i et sett med kriterier nedfelt av NESH/NSD.

NESHs vurdering

I vurderingen av prosjektet legger NESH til grunn Forskningsetiske retningslinjer for samfunnsvitenskap og humaniora (2016), samt den kommende veilederen for internettforskning.

NESH legger til grunn at NSD i utgangspunktet har konkludert med at prosjektet kan unntas kravet om konsesjon, «da prosjektet er av mindre omfang og varighet». Behandlingsgrunnlaget (popplyl § § 8 d) og 9 h)) tilsier at prosjektet også kan unntas fra informasjonsplikten. Det er altså ikke personopplysningene som sådan som er spørsmålet her, men delingen av data og utvidelsen av datasettet. Hvorvidt den foreslåtte utvidelsen resulterer i et «stort omfang» og faktisk utløser konsesjonsplikt, er ikke opp til NESH å vurdere. Denne skjønnsmessige vurderingen av loven ligger hos NSD og Datatilsynet (jf. NESH 2016: s. 9).

NESH mener imidlertid det er relevant å problematisere hvorvidt det er snakk om registrering av personopplysninger eller etableringen av et avidentifisert hendelsesregister. Riktignok bygger registeret på ulike kilder hvor personopplysninger forekommer, og navn og andre sensitive personopplysninger kan i noen tilfeller spores indirekte, men formålet med kildehenvisningene (kolonne V 19-21 i vedlagte datasett) er ikke at det skal forskes på personopplysningene. Snarere er formålet at henvisninger til kilder skal sikre kravet om etterrettelighet og etterprøving (NESH 2016, retningslinje 29). NESHs vurdering er at det primære siktemålet er å etablere et avidentifisert hendelsesregister som utgangspunkt for forskning på de aktuelle hendelsene.

NESH mener derfor i utgangspunktet at C-REX kan tilrettelegge for deling av data og at andre forskere kan få tilgang til datasettet: «Forskningsmaterialet bør gjøres tilgjengelig for andre forskere for etterprøving og etterbruk.» (NESH 2016, retningslinje 29).

NESH mener imidlertid det er viktig å fokusere på forskerens og forskningens ansvar (NESH 2016, retningslinje 3): «[...] samfunnets tillit til forskning forutsetter ansvarlighet både fra den enkelte forsker og fra forskningsinstitusjonene». Saken handler ikke bare om personvern, beskyttelse av personopplysninger, og om etterlevelse av loven, den dreier seg også om forskningsetiske normer knytte til respekt for individet og beskyttelse av forskningsdeltakere. Her vil ulike kilder kunne følge ulik praksis. I deler av materialet kan det være individer som har spesielt behov for beskyttelse. Personvern og individets integritet er ivaretatt på forskjellig måte i ulike land. Og det er vesentlig forskjell på redigerte og ikke-redigerte medier. Siden grensene er uklare og kildene er ulike, fordrer dette kontinuerlig refleksjon og aktsomhet i forskningsmiljøet. Det gjelder også for kvalitetssikring og forskningsetiske avveiinger ved utvidelsen av datasettet basert på innspill om nye saker fra andre forskere. Uavhengig av tilrådingen fra NSD, har altså forskerne og forskningsinstitusjonene et selvstendig ansvar for å fremme god og forsvarlig forskning og samtidig ivareta personvern og individenes integritet. Og det gjelder i alle faser av forskningen, fra innsamling og behandling av data til publisering og formidling av materialet, inklusiv deling.

NESH vil også vise til institusjonenes ansvar (NESH 2016, retningslinje 4). C-REX og UiO har et selvstendig ansvar for at deling av data skjer på en måte som er forskningsetisk forsvarlig i tråd med anerkjente forskningsetiske normer. I denne sammenheng vises det til de nasjonale retningslinjene og til den kommende veilederen for internettforskning. Det vises også til at UiO i lys av EUs personvernforordning har et ansvar for å påse at lagringen og delingen av personopplysninger skjer på en forsvarlig måte. C-REX bør derfor avklare utvidelsen av det eksisterende registeret med UiO som ansvarlig institusjon.

Konklusjon

NESH mener at C-REX kan tilrettelegge for deling av data og at andre forskere kan få tilgang til datasettet. NESH vil samtidig understreke forskernes aktsomhetsplikt og institusjonen ansvar ved innsamling og deling av datasettet.