Annonse
Annonse

Personopplysninger brukt i medisinsk forskning

Bjørn Straume Om forfatteren

Ved årsskiftet 2001 ble lov om personvern m.m. fra 1980 erstattet av lov om behandling av personopplysninger, i kortform kalt personopplysningsloven. Det ble samtidig gitt forskrifter til loven. Fra 1.1. 2002 har vi også fått en ny lov om helseregistre og behandling av helseopplysninger, som tilsvarende skal kalles helseregisterloven.

Definisjoner gitt i lovene

Personopplysninger er opplysninger og vurderinger som kan knyttes til enkeltperson, og behandling omfatter enhver tenkelig bruk av personopplysninger. Alle opplysninger om helseforhold er blant dem som i personopplysningsloven er listet opp som sensitive. Når personopplysninger lagres systematisk, har man et personregister. Når registeret inneholder sensitive opplysninger, gjelder de samme relevante bestemmelser for manuelt førte registre som for elektroniske.

Helseopplysninger er etter helseregisterloven «taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson». Helseopplysninger som er lagret systematisk er tilsvarende et helseregister. Opplysninger er avidentifiserte når de ikke direkte kan knyttes til det som kalles personentydige kjennetegn, men anonymitet foreligger bare dersom tilknytning mellom opplysningene og enkeltperson ikke kan gjenopprettes.

Behandlingsansvarlig (i helseregisterloven kalt databehandlingsansvarlig) er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. I denne sammenheng vil dette som regel være forskeren.

Personregister i forskning trenger konsesjon

Det kan vanskelig tenkes at en i medisinsk forskning kan behandle personopplysninger uten at det må etableres et personregister. Det er bare forskningsdata som er anonyme fra de blir etablert, som ikke omfattes av denne lovreguleringen. Etter personopplysningsloven er det meldeplikt for all behandling av personopplysninger der elektroniske hjelpemidler brukes, og for all behandling av sensitive opplysninger trenges det konsesjon. Forskningsprosjekter kan likevel etter forskriften unntas fra konsesjonsplikten dersom alle følgende vilkår er oppfylt:

  1. Førstegangskontakten opprettes på grunnlag av offentlig tilgjengelige registre eller gjennom en faglig ansvarlig person ved virksomheten der respondenten er registrert,

  2. Respondenten, eller dennes verge dersom vedkommende er umyndig, har samtykket i alle deler av undersøkelsen,

  3. Prosjektet skal avsluttes på et tidspunkt som er fastsatt før prosjektet settes i gang,

  4. Det innsamlede materialet anonymiseres eller slettes ved prosjektsavslutning, og

  5. Prosjektet ikke gjør bruk av elektronisk sammenstilling av personregistre.

Hvis man på dette grunnlag ønsker sitt prosjekt unntatt fra konsesjonsplikten, blir prosjektet såkalt meldepliktig. Meldingen skal opplyse om:

  1. Navn og adresse på den behandlingsansvarlige og på dennes eventuelle representant og databehandler

  2. Når behandlingen starter

  3. Hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter

  4. Formålet med behandlingen

  5. Oversikt over hvilke typer personopplysninger som skal behandles

  6. Hvor personopplysningene hentes fra

  7. Det rettslige grunnlaget for innsamlingen av opplysningene

  8. Hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater

  9. Hvilke sikkerhetstiltak som er knyttet til behandlingen

Meldingen må fornyes etter tre år eller når det inntrer endringer i behandlingen i forhold til forrige melding. Vilkårene for unntak fra konsesjonsplikten er i hovedsak de samme som etter den gamle forskriften til personvernloven.

Det er vel en vanlig erfaring at kravet om definert prosjektavslutning og særlig kravene om anonymisering eller sletting av data ved prosjektavslutning innebærer altfor store begrensninger ved mange medisinske forskningsprosjekter. Ved søknad om konsesjon skal det gis tilsvarende opplysninger som ved melding.

Søknadsprosessen

Både søknad om konsesjon for og melding om behandling av personopplysninger skal skje til Datatilsynet. Skjemaer kan hentes på Datatilsynets Internett-sider. For forsknings- og studentprosjekter videreføres ordningen med at de som er tilknyttet høyskole og universitet eller har offentlig prosjektfinansiering, kan søke via Datafaglig sekretariat hos Norsk samfunnsvitenskapelig datatjeneste (NSD). Et felles meldeskjema kan hentes på deres Internett-sider. Datafaglig sekretariat veileder om søknaden og håndterer videre saksgang i forhold til Datatilsynet. De vil nok også yte denne servicen overfor forskere uten slik tilknytning til forskningsinstitusjoner. Meldingen må gis senest 30 dager før behandlingen av personopplysningene starter. Datafaglig sekretariat vurderer om prosjektet trenger konsesjon eller skal meldes til Datatilsynet. Forskeren får kopi av oversendelsen til Datatilsynet. Ved melding om prosjekt skal Datatilsynet sende kvittering, men hvis denne ikke er mottatt innen 30 dager, kan behandlingen starte. Til prosjekter som trenger konsesjon kan man ikke begynne datainnsamling før konsesjonen er gitt. Det er den behandlingsansvarlige som er søker. For studentprosjekter er vanligvis veileder behandlingsansvarlig.

Hva kan avklares før søknaden

For å behandle personopplysninger skal man ha det som i den gamle loven kalles saklig grunn. I personopplysningsloven listes opp en rekke slike konkrete behov, deriblant at behandlingen er nødvendig for vitenskapelige formål og at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte. Den beste dokumentasjon for dette er en god prosjektbeskrivelse, som kan være et vedlegg til både en melding og en konsesjonssøknad. Ved å utarbeide prosjektbeskrivelse, vil det også avklares om og hvordan samtykke skal innhentes, og om det kan være aktuelt med dispensasjon fra taushetsplikt for å få tilgang til nødvendige data. Dersom personnummer skal brukes som direkte identifikasjon, må dette begrunnes. Det stilles også krav for å overføre data til utlandet. Vanligvis vil det for forskningsformål være enklest at dette inngår i samtykket. Hva som skal skje med data etter prosjektavslutning, må også være gjennomtenkt. Dersom forskeren selv ønsker å ta vare på data, må dette spesielt begrunnes. Norsk samfunnsvitenskapelig datatjeneste tilbyr arkiveringstjenester for forskningsdata.

Hva kreves for å få behandle personopplysninger?

Den behandlingsansvarlige pålegges i loven en rekke direkte forpliktelser knyttet til informasjonssikkerhet, internkontroll og informasjon om behandlingen av personopplysningene, og omfatter selvsagt også registre som bare er meldepliktige. Rene forskningsregistre er unntatt for generell innsynsrett, dersom behandlingen ikke får direkte betydning for den som er registrert, men det er spesifisert informasjonsplikt når det samles inn opplysninger fra den registrerte og også når opplysningene samles fra andre. Det pålegges også flere forpliktelser om retting av mangelfulle opplysninger.

For prosjekter som krever konsesjon, kan det stilles en rekke krav knyttet til databehandlingens gjennomføring, mulighet for å gjøre koblinger mellom registre, lagring og/eller arkivering av data. Konsesjonen vil alltid være tidsavgrenset.

Forholdet mellom helseregister- og personopplysningsloven

For helseregisterloven gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser. Helseregisterlovens virkeområde er i helseforvaltningen og helsetjenesten, både offentlig og privat. Dette innebærer at helseforskning kan være slik forankret at den bare omfattes av personopplysningsloven. Det er imidlertid åpnet for at helseregisterloven gjennom forskrift kan gjøres gjeldende for behandling av helseopplysninger som foregår utenom helseforvaltningen og helsetjenesten. Helseregisterloven har ingen bestemmelser om rene forskningsregistre som inneholder helseopplysninger, men her vil bestemmelsene i personopplysningsloven derfor gjelde. Helseregisterloven har for eksempel bare bestemmelser om meldeplikt, men det er likevel antatt at bestemmelsene i personopplysningsloven om konsesjonsplikt vil gjelde for helseregistre som er rene forskningsregistre. Derimot er det sannsynlig at Helseregisterlovens generelle bestemmelse om innsyn i helseregistre vil gjelde også for rene forskningsregistre når de faller inn under loven, mens forskningsregistre etter personopplysningsloven har unntak fra retten til innsyn for den registrerte. Det er ventet at slike spørsmål eventuelt vil bli nærmere avklart i forskrifter.

Kommentarer

(0)
Denne artikkelen ble publisert for mer enn 12 måneder siden, og vi har derfor stengt for nye kommentarer.

Anbefalte artikler

Annonse
Annonse