FAQs forskning og personvern
Svar på en del ofte stilte spørsmål om personvern og forskning
Main content
Innledning – hvilke spørsmål kan jeg få svar på her?
Her får du svar på en del ofte stilte spørsmål om personvern og forskning, og spesielle forskningsetiske hensyn og krav som lovverket stiller. Det nye personvernregelverket (GDPR) gir forskere og forskningsinstitusjoner nytt ansvar og plikter, som krav om å ha personvernombud og rådføringsplikt med personvernombud i forskningsprosjekter.
Melde og konsesjonsplikten er opphevet, og det innebærer at forskningsansvarlig får et skjerpet ansvar for å sørge for at regelverket overholdes, og for å gjennomføre personvernkonsekvensvurderinger (DPIA) dersom nødvendig (artikkel 35).
Nedenfor defineres først noen sentrale begreper. Deretter kommer svar på spørsmål om praktisk fremgangsmåte i forskningsprosjekter. Til slutt kommer litt nærmere svar om GDPR.
Hva er personvern i forskningsetikken?
Personvern omtales gjerne i GDPR som vern av personers rettigheter og friheter, og er noe mere enn vern av personopplysninger. Personvern har utgangspunkt i menneskeverdet og respekt for personlig integritet. Dette er reflektert i de forskningsetiske retningslinjer på de ulike områder.
Det kan skilles mellom personvernregler og forskningsetikk, selv om hensynet til personer og personvern utgjør en vesentlig del av forskningsetikken. Men personvernregelverket kan ikke alene gi svar på forskningsetiske utfordringer og spørsmål. Nasjonale og internasjonale retningslinjer, som retningslinjene fra NESH, og Helsinki-deklarasjonen, utdyper det etiske ansvaret forskere har overfor forskningsdeltakerne.
Hva er GDPR?
GDPR er forkortelse for the General Data Protection Regulation, og er EU's personvernforordning som trådte i kraft i 2018. Forordningen ble norsk lov ved at det ble vedtatt en ny norsk personopplysningslov, som implementerte GDPR i norsk rett. I tillegg er det vedtatt tilleggsbestemmelser i den norske personopplysningsloven som er relevant for forskning, og en flere endringer i andre lover, blant annet helseforskningsloven.
Personvernforordningen består av ca 100 artikler, med nesten like mange fortalepunkter, som forklarer begrep og gir noen premisser. Den norske personopplysningsloven består av ca 30 paragrafer, og omfatter viktige tilleggsbestemmelser på områder der landene har rett eller plikt til å bestemme selv.
Hvordan defineres forskning i GDPR?
GDPR bruker begrepet «vitenskapelig forskning» (fortalepunkt 159). Begrepet er ikke nærmere definert, men det fremgår at det skal tolkes vidt, og det er nevnt eksempler, som f.eks teknologisk utvikling og demonstrasjon, grunnforskning og anvendt forskning.
Virksomhet som faller inn under begrepet vitenskapelig forskning, er i GDPR omfattet av enkelte særlige bestemmelser, for eksempel i artikkel 9 (unntak fra forbudet om behandling av særlige kategorier personopplysninger, når det er for vitenskapelig forskningsformål) og artikkel 89 (de særlige bestemmelsene for forskning), og i personopplysningsloven.
I forskningsetikken er vitenskapelig forskning kjennetegnet ved at det oppfyller visse vitenskapelige normer, som originalitet, åpenhet, etterprøvbarhet, uavhengighet osv. (NENT 2016, NESH 2016).
Helseforskning er avgrenset gjennom definisjonen i helseforskningsloven paragraf 4a, «virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom».
Hva er personopplysninger?
Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»), GDPR artikkel 4 nr. 1. En identifiserbar fysisk person er «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller et eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet».
Forskere må særlig være oppmerksom på sammenhengen som informasjon innhentes i. Det som kan oppleves som personlig kan variere mellom mennesker og kulturer, og forskere har et særlig ansvar for å ta hensyn til konteksten. Nye teknologiske muligheter gjør at data kan sammenstilles
Som forsker bør man derfor være oppmerksom på risikoen for deltakerne som inngår i forskningen, og ikke bare hvilken type data som behandles.
Personvernregelverket gjelder i utgangspunktet kun for levende personer. Vær likevel oppmerksom på at avdødes helseopplysninger er beskyttet gjennom helselovgivningens regler om taushetsplikt. I tillegg fremgår det av de forskningsetiske retningslinjer at det skal vises respekt for avdøde og deres pårørende.
For å behandle alminnelige personopplysninger må minst ett av behandlingsgrunnlagene (lovhjemmel) i artikkel 6 være tilstede. For forskning er det mest aktuelt med a) samtykke eller e) allmennhetens interesse. For kvalitetssikring kan c) oppfyllelse av rettslig forpliktelse være aktuelt. For c) og e) kreves det supplerende rettsgrunnlag i nasjonale lovbestemmelser i tillegg.
Hva er særlige kategorier personopplysninger?
Særlige kategorier er det som tidligere ble omtalt som sensitive personopplysninger. Dette er personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering», ref GDPR artikkel 9.
Nytt er at opplysninger om straffbare handlinger og straffedommer er flyttet over i egen bestemmelse, artikkel 10. I tillegg er det lagt til kategoriene om genetiske og biometriske opplysninger.
Hovedregelen er at det er forbudt å behandle særlige kategorier personopplysninger, med mindre ett av unntakene i artikkel 9 er oppfylt. De mest aktuelle unntakene for forskning er artikkel 9 nr. 2 a) uttrykkelig samtykke eller j) vitenskapelig forskningsformål. Det stilles i tillegg krav om supplerende rettsgrunnlag i nasjonale bestemmelser.
Den norske personopplysningsloven paragraf 9 gir grunnlag for å behandle særlige kategorier etter norsk rett når den registrerte ikke har samtykket. Vilkåret er at samfunnsinteressen av forskningsprosjektet klart overstiger personvernulempene, og at den behandlingsansvarlige har rådført set med personvernombudet eller lignende. I tillegg må garanter og sikkerhetstiltak være iverksatt i tråd med GDPR artikkel 89.
Den norske personopplysningsloven paragraf 10 gir adgang til å behandle særlige kategorier på grunnlag av samtykke, også såfremt den behandlingsansvarlige har rådført seg med personvernombud eller lignende.
Hva er spesielt med helseopplysninger i forskning?
Helseopplysninger er en særlig kategori personopplysninger. For å kunne behandle helseopplysninger må minst ett av vilkårene i GDPR artikkel 9 nr. 2 være oppfylt, i tillegg til ett av vilkårene i artikkel 6. For forskning er det mest aktuelt med artikkel 9 nr. 2 a) samtykke, eller artikkel 9 nr. 2 j), formål knyttet til vitenskapelig forskning.
Hvis prosjektet utføres på grunnlag av samtykke, er hovedregelen i personopplysningsloven § 10 at det er rådføringsplikt med personvernombud (NSD for forskning). Det er unntak fra rådføringsplikten for helseforskningsprosjekt som har etisk forhåndsgodkjenning fra REK, jfr helseforskningsloven § 33 tredje ledd. Det er også unntak fra rådføringsplikten hvis det allerede er utført en DPIA.
Hvis prosjektet utføres på grunnlag av allmennhetens interesse (ikke-samtykkebasert), er det nødvendig med dispensasjon fra taushetsplikt etter bestemmelsene i helselovene. Adgangen til å gi dispensasjon for forskningsformål er delegert til REK, og REKs lovhjemlede vedtak utgjør det supplerende rettsgrunnlag både etter artikkel 6 og artikkel 9. Det er etter personopplysningsloven § 9 rådføringsplikt med personvernombud i tillegg til vedtaket fra REK.
Når er det rådføringsplikt med personvernombud i forskning?
Det er rådføringsplikt for behandling av særlige kategorier personopplysninger i forskning, jf personopplysningsloven § 9 (ikke-samtykkebasert) og § 10 (på grunnlag av samtykke).
Det er unntak fra rådføringsplikten for alminnelige personopplysninger, helseforskningsprosjekter og hvis det allerede er gjennomført en personvernkonsekvensvurdering (DPIA).
Når trenger prosjektet mitt godkjenning fra REK?
Hvis forskningsprosjektet faller inn under formålet av helseforskningsloven, trenger det etisk forhåndsgodkjenning fra REK.
Når må jeg ellers kontakte REK?
- Når du trenger vurdering om prosjektet faller innenfor formålet av helseforskningsloven – fremleggingsvurdering.
- Når du trenger dispensasjon fra taushetsplikten for ikke samtykkebaserte helseforskningsprosjekter, etter helseforskningsloven § 35.
- Når du trenger dispensasjon fra taushetsplikten for ikke samtykke baserte forskningsprosjekter (som ikke er helseforskning) etter helsepersonelloven § 29.
- Når du trenger godkjenning for bruk av biologisk materiale