English Till intranät

Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Diarienummer: DNR 105/2017

Remisställare:

Utbildningsdepartementet
Forskningspolitiska enheten
103 33 Stockholm

I detta ärende har generaldirektören Olof Åslund beslutat. Ställföreträdande generaldirektören Erik Mellander och biträdande generaldirektören Anders Forslund har varit föredragande.

Nedan ger vi först en kort inledande beskrivning av hur samhällsvetenskaplig empirisk forskning bedrivs och hur detta relaterar till de regelverk och praxis som gäller för tillgång till forskningsdata. Detta är tänkt att fungera som en bakgrund för de kommentarer till betänkandet som därefter följer.

Inledning

I den samhällsvetenskapliga forskningen behandlas personuppgifter av olika slag (känsliga eller inte känsliga) och från olika källor i minst tre olika sammanhang: i forskningsprojekt, i forskningsprogram och i forskningsdata­baser. Data kan antingen samlas in eller hämtas från befintliga register. Insam­lingen kan dels ske efter interventioner som påverkar berörda personer direkt, dels samlas in utan att berörda personer direkt påverkas. Vidare kombineras ofta insamlade data med data från befintliga register.

Etikprövning är obligatorisk om personuppgifterna är känsliga. I praktiken uppstår ofta krav på etikprövning också när uppgifter som samlats in med samtycke ska kombineras med registeruppgifter, även om personuppgifterna inte är känsliga i lagens mening.

En typisk process inom samhällsvetenskaplig empirisk forskning är att en grupp forskare får anslag från något forskningsråd. Typiskt avser anslagen antingen projektstöd eller programstöd. Handlar det om ett projekt som inbegriper användandet av känsliga personuppgifter och/eller kombinerar insamlade data och registerdata är nästa steg att etikpröva projektets behand­ling av personuppgifter. Vid bifall innebär nästa steg att analysdata samman­ställs. Om Statistiska centralbyrån, SCB, är inblandat måste alla data som man avser att använda räknas upp i ansökan om etikprövning, på variabelnivå. Detta innebär mycket ofta en eller flera ändringsansökningar till den lokala etikpröv­ningsnämnden, EPN eftersom forskarna sällan i början av ett projekt kunnat förutse exakt vilka uppgifter ur SCB:s rika register som kan komma att vara värdefulla för analysen. Denna process är naturligtvis tids- och resurskrävande, både för forskarna och för EPN.

Handlar det om ett program och inte ett projekt, så är vår erfarenhet att EPN i nuläget inte anser sig kunna bevilja etikprövning, eftersom hela tanken med ett program är att alla detaljer, inklusive alla frågeställningar, inte kan vara kända vid starttidpunkten. Därmed tvingas ofta forskare i program göra ett flertal fullständiga etikprövningar i takt med att forskningsfrågorna successivt konkretiseras. Även detta är en tids- och resurskrävande process.

Regelverket för personuppgifter har hittills inte alls hanterat frågan om forskningsdatabaser med personuppgifter. När personuppgiftslagen, PUL, var ny biföll EPN ansökningar där databaser hade förklätts till projekt. Senare stängdes, av naturliga skäl, denna dörr. Nu får forskare huvudsakligen vända sig till SCB (eller annan myndighet) med projektvisa databeställningar. Återigen är detta en tids- och resurskrävande process.

Som samhällsvetare får man ofta intrycket att regelverket för personuppgifts­behandling är uttänkt för medicinsk forskning i mycket större utsträckning än för samhällsvetenskap. Det typiska i samhällsvetenskapen är inte att person­uppgifterna samlas in i ett forskningsprojekt som utsätter de inblandade individerna för någon fara. Det vanligaste är att uppgifterna kommer från register som redan samlats in för andra ändamål. Den risk forskningen innebär är att redan insamlade och lagrade personuppgifter hamnar i fel händer och utnyttjas på sätt som skadar de enskilda personerna. De etiska överväganden som följer av denna typ av datainsamling skiljer sig mycket från dem som uppstår vid prospektiva insamlingar. Vid insamling i efterhand är det till stor del en fråga om sekretess och inte om forskningsetik. Vi tycker inte att denna distinktion hittills har gjorts tydlig i regelverket för personuppgifts­behandling, eller i tillämpningen av detsamma.

Kommentarer

Med anledning av att EU:s dataskyddsförordning (EU 2016/679) ska börja tillämpas den 25 maj 2018 har Forskningsdatautredningen haft i uppdrag att analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas, samt att lämna de författningsförslag som behövs. Kommentarerna i detta yttrande avser båda aspekterna och görs mot bakgrund av samhällsvetenskaplig forskning, såsom den beskrivs ovan.

  1. Likställande av rättslig grund för behandling av personuppgifter för forskningsändamål med avseende på offentliga och privata forsknings­aktörer

     Utredningens bedömning:
    ”Dataskyddsförordningens bestämmelser innebär, om inga åtgärder vidtas, att offentliga forskningsaktörer framför allt har att utgå från artikel 6.1 e, uppgift av allmänt intresse, vid behandling av person­uppgifter för forskningsändamål. Privata aktörer har framför allt att utgå från samtycke, enligt artikel 6.1 a, eller intresseavvägning, enligt artikel 6.1 f, vid sin behandling av personuppgifter för samma ändamål. Att dataskyddsförordningen medför så betydande skillnader i möjlig­heterna att åberopa de olika rättsliga grunderna i artikel 6.1 vid behand­ling av personuppgifter för likvärdiga forskningsändamål, helt beroende på vilken organisationsform aktören har, är enligt utredningens uppfatt­ning rimligen inte avsiktligt.” (s. 144-145)

    Utredningens författningsförslag: Förslag till forskningsdatalag; 6 §: ”… Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.”.

    IFAU:s synpunkter: IFAU instämmer i utredningens bedömning och bejakar 6 § i förslaget till forskningsdatalag.

  2. Huruvida ”…. iordningsställande av databaser för breda syften, exempelvis inom ramen för ett forskningsprogram, ska anses ingå i forskningsprocessen och således ha forskningsändamål.” (s. 103)

    Utredningens bedömning:
    ”… ibland … svårt att exakt definiera enskilda ändamål vid insamlings­tillfället. ... rimligt att konstruktionen av forskningsdatabaser, under förutsättning att syftet framställs som ett väl avgränsat forsknings­område, kan bedömas som personuppgiftsbehandling för forsknings­ändamål och därmed utgöra en del av själva forskningen.” (s. 103) och, vidare: ”Personuppgiftsbehandling för forskningsändamål är enligt utred­ningens bedömning arbete som är eller anses vara en del av forsknings­processen, inklusive förberedande eller avslutande aktiviteter såsom iordningsställande och dokumentation av databaser för användning i forskning eller arkivering av forskningsmaterial.” (s. 113-114)

    IFAU:s synpunkter:
    IFAU instämmer i utredningens bedömning. IFAU menar dock att det är angeläget att denna bedömning tydligt uttrycks i författningsförs­laget. Så är inte fallet i det föreliggande författningsförslaget. Under rubriken Lagens tillämpningsområde framgår endast: 4 § Denna lag ska tillämpas vid behandling av personuppgifter för forskningsändamål.

  3. Behandling av personuppgifter för forskningsändamål utöver de ända­mål för vilka personuppgifterna ursprungligen har insamlats.

    Utredningens bedömning    :
    ”Dataskyddsförordningens bestämmelser innebär att ytterligare behand­ling av personuppgifter för forskningsändamål av samma personupp­giftsansvarig får ske utan att någon ny rättslig grund måste åberopas. Det räcker att den ursprungliga insamlingen utfördes med åberopande av rättslig grund enligt artikel 6.1. Detta innebär att en forskningsaktör får behandla personuppgifter som denne redan samlat in vid ett tillfälle och för ett visst ändamål för ytterligare forskningsändamål utan krav på ny rättslig grund, vilket skiljer sig mot tillämpningen av personuppgifts­lagen där all behandling kräver stöd i 10 §.” (s. 146-147) Utredningens förslag: Inget förslag lämnas.

    IFAU:s synpunkter:
    IFAU menar att detta är en positiv förändring i förhållande till nu­varande situation, av tre skäl. Det första skälet utgörs av de i pkt. 2 noterade svårigheterna att exakt definiera enskilda forskningsändamål vid tillfället för den ursprungliga datainsamlingen. Det andra skälet är att möjligheterna att utnyttja ett givet datamaterial för forskning av all­mänt intresse inte är statiska utan utökas över tiden, till följd av såväl teoretisk som metodologisk utveckling. Det tredje skälet avser admi­nistrativ effektivitet: givet att den rättsliga grunden 6.1 e alltid kan åberopas vid användning av personuppgifter för forskningsändamål finns det ingen anledning att ställa krav på att en ytterligare behandling explicit hänvisar till denna grund. Att utredningen inte har lämnat något förslag i frågan tolkar IFAU som ett uttryck för att utredningen inte anser att ett förslag är nödvändigt – dataskyddsförordningen bestämmelser är tillräckliga och behöver inte kompletteras.

  4. Behandling av personuppgifter för forskningsändamål utöver de ända­mål för vilka personuppgifterna ursprungligen har insamlats, när personuppgifterna ursprungligen samlats in med samtycke.

    Utredningens bedömning:
    ”När personuppgifterna ursprungligen samlats in med samtycke är dock ytterligare behandling inte lika självklar.” (s. 146) Utredningen hänvisar till Dataskyddsförordningens skäl 33 ”Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt sam­tycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.” Utredningen konstaterar att skäl 33 öppnar upp för en bredare syn på samtycke än vad som hittills tillämpats och att forskningsändamålen vid samtycke således kan ”… både vara specifika och någorlunda breda.” (s. 171)
    Utifrån ett hypotetiskt socialmedicinskt exempel konstaterar utred­ningen vidare att det ankommer på en etikprövningsnämnd att ta ställ­ning till om ett ytterligare tänkt projekt är av väsentligt annan karaktär än det projekt för vilket personuppgifterna ursprungligen samlades in. Etikprövningsnämnden kan så fall, menar man, som villkor för ytter­ligare behandling kräva att nytt samtycke inhämtas. (s. 178, sista stycket).

    Utredningens förslag:
    Inget förslag lämnas. Sammanfattningsvis menar utredningen dock att: ”Ytterligare behandling av personuppgifter för forskningsändamål, där behandlingen ursprungligen grundas på samtycke, bör enligt utred­ningens uppfattning normalt omfattas av nytt samtycke ….” (s. 183)

    IFAU:s synpunkter:
    Någon form av samtycke är ett krav för i praktiken all datainsamling som inte uteslutande bygger på personuppgifter från vissa befintliga register. Krav på samtycke föreligger i regel även när informationen endast tillgängliggörs för forskarna i pseudonymiserad form och inte innehåller känsliga personuppgifter. Situationer som täcks in av punkt 4 ovan är alltså mycket vanliga, vilket understryker vikten av att den situation som beskrivs i denna punkt regleras.
    IFAU:s åsikt är att utredningens sammanfattningsvisa ståndpunkt är alltför allmänt hållen. IFAU saknar en diskussion om hur de ”bredare” samtycken som skäl 33 till dataskyddsförordningen öppnar för skulle kunna formuleras och menar att det vore både rimligt och effektivt att skapa möjligheter att inhämta samtycke som inte endast avser en specifik frågeställning utan (flera frågeställningar inom) ett specifikt forskningsområde.
    För att exemplifiera: Inom ramen för ett projekt om effekterna av naturvetenskaplig pedagogik i förskolan på senare utbildningsutfall samlade IFAU från landets kommuner in uppgifter rörande inskriv­ningar vid kommunernas förskolor. Dessa uppgifter samkördes dels med information om förskollärarutbildningen (naturvetenskapligt inriktad respektive traditionell) samt information om förskolebarnens familjebakgrund. Uppgifterna om förskoleinskrivningar med tillhörande familjebakgrundsdata är uppenbart av stort intresse för andra studier av effekterna av förskoledeltagande. I det brev där kommunerna till­frågades om att bidra med information nämndes därför också att inskrivningsuppgifterna skulle kunna komma att användas i andra uppföljningar (av förskolan). Sedermera formulerades också ett projekt med titeln Svenska förskolereformers effekter på barns skolresultat. SCB, som hade sammanställt datamaterialet för det ursprungliga projektet, ville dock inte att lämna ut uppgifterna avseende förskole­inskrivningar och föräldrabakgrund till det nya projektet med motive­ringen att skrivningen om tillkommande analyser i den ursprungliga förfrågan till kommunerna var för allmänt hållen samt att samtycke borde inhämtas från föräldrar och barn snarare än från kommunerna.
    Detta exempel visar på två saker som i möjligaste mån bör regleras i forskningsdatalagen, i fråga om formuleringen av samtycke. För det första, hur specifik kan, och bör, en beskrivning av framtida ytterligare användning av personuppgifter för forskningsändamål vara? För det andra, om det finns anledning att inhämta ett nytt samtycke i samband med en ytterligare användning, kan det finnas omständigheter under vilka det tänkas finnas anledning att inhämta samtycket från några andra än de som har lämnat det ursprungliga samtycket?

  5. Etikprövningslagens geografiska tillämplighet.
    I nuläget finns en bristande överensstämmelse mellan etikpröv­ningslagens och personuppgiftslagens tillämplighet. ”Etikprövnings­lagen är tillämplig på forskning som ska utföras i Sverige, till skillnad från personuppgiftslagen som huvudsakligen tar sikte på sådana personuppgiftsansvariga som är etablerade i Sverige.” (s. 3)
    Enligt lagkommentaren till personuppgiftslagen: ”Etikprövningslagen tillämpas bara på forskning som ska utföras i Sverige. .... En personuppgiftsansvarig som är bunden av personupp­giftslagen (företrädesvis därför att han/hon är etablerad i Sverige) och som ska utföra forskning utanför Sverige kan alltså inte behandla känsliga personuppgifter för forskningsändamål efter en etikprövning enligt etikprövningslagen utan torde i praktiken ha att förlita sig på uttryckligt samtycke till behandlingen från alla registrerade” (s. 321).
    Eftersom dataskyddsförordningen är tillämplig på personuppgifts­ansvariga som är etablerade i unionen kommer dissonansen mellan etikprövningslagen och dataskyddsförordningen att bli ännu större än mellan etikprövningslagen och personuppgiftsagen om inte en anpass­ning sker av etikprövningslagen. Dessutom är kravet på uttryckligt samtycke från alla registrerade uppenbart orimligt ifråga om registerforskning.
    Frågan är mycket relevant eftersom internationella forskningsprojekt är vanligt förekommande och, med all sannolikhet, kommer att bli ännu vanligare i framtiden. Utredningens bedömning: Ingen, såvitt IFAU har kunnat konstatera.

    Utredningens förslag:
    Inget.

    IFAU:s synpunkter:
    IFAU:s intryck är utredningen inte har tagit ställning till en utökning av Etikprövningslagens tillämpning i rummet, utan bara med avseende på personuppgiftsbehandling för forskningsändamål. Denna begränsning menar IFAU är olycklig.

  6. Utökande av etikprövningslagens tillämplighet till att omfatta all behandling av personuppgifter för forskningsändamål.

    Utredningens bedömning    :
    ”Dagens krav på etikprövning omfattar … även sådan personuppgifts­behandling som generellt kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skyddsåtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgifts­behandling som etikprövningslagen omfattar är mot denna bakgrund inte rimligt och proportionerligt. Det riskerar dessutom att urholka förtroendet för etikprövning som skyddsåtgärd om förfarandet inte åtminstone i viss mån anpassas utifrån skyddabehovet.” (s. 362)

    Utredningens förslag:
    Etikprövningslagen ska tillämpas på forskning som innefattar behandling av: i. sådana särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter), ii. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets­berövanden. (s. 346)

    IFAU:s synpunkter:
    IFAU håller med om utredningens bedömning och instämmer i utredningens förslag.

  7. Förenklat förfarande vid etikprövning av behandling av kodade personuppgifter från myndighetsregister.
    I direktiven till utredningen anges det som ett alternativt förslag att ärenden som är av den typen att det finns en väl etablerad praxis på området skulle kunna avgöras av ordföranden i samråd med en vetenskaplig ledamot.

    Utredningens diskussion:
    Utredningen refererar Registerforskningsutredningens (U 2013:10) förslag att sådana ärenden skulle kunna avgöras av den regionala etik­prövningsnämndens ordförande ensam, samt remissinstansernas kommentarer till detta förslag. Utredningen noterar också att i 27 § i etikprövningslagen anges redan idag förutsättningar under vilka ordföranden, eller annan ledamot, i en regional etikprövningsnämnd får fatta beslut ensam, nämligen i ärenden som är av den typen att det finns en väl etablerad praxis på området.
    Utredningen konstaterar vidare att ”Vi har under utredningstiden också tagit del av uppfattningen från flera håll att behandling av kodade personuppgifter ur myndighetsregister inte självklart medför lägre risk för intrång i den registrerades integritet utan snarare tvärtom.” (s. 357)

    Utredningens bedömning:
    ”Ett mer ändamålsenligt etikprövningsförfarande för sådan person­uppgiftsbehandling som typiskt sett kan anses innebära en lägre för integritetsintrång bör utredas vidare.” (s. 361)

    IFAU:s synpunkter:
    IFAU instämmer i utredningens bedömning att ett förenklat förfarande bör utredas vidare. I samband därmed menar IFAU att det vore värde­fullt om det ovan citerade konstaterandet i utredningen på s. 357 utvecklas och diskuteras närmare. Frågor om risk för integritetsintrång och skada för den enskilde, och hur dessa risker i praktiken ser ut och ska vägas mot nyttan av att kunna bedriva registerbaserad forskning, är komplex och har behandlats i flera utredningar. Betänkandets kommentar ovan (s. 357) är löst hållen och kan uppfattas som svepande och oklar.

  8. ”… ett godkännande vid etikprövning är därmed långtifrån alltid en tillräcklig nödvändig förutsättning för forskningens bedrivande.” (s. 322-323)
     IFAU instämmer i detta konstaterande, med förbehållet att ordet nödvändig är redundant i sammanhanget. Konstaterandet väcker dock en fråga som IFAU menar att det, på förekommen anledning, finns anledning att diskutera: Hur ska en situation hanteras där den regionala etikprövningsnämnden har godkänt ett projekt (delvis) baserat på registerdata, men där den myndighet som ska lämna ut (det pseudonymiserade) datamaterialet, SCB, motsätter sig detta. SCB kan anse sig ha goda skäl för sitt beslut, exempelvis utifrån överväganden baserade på sekretesslagstiftningen. Problemet för forsk­ningsprojektet är att det inte finns någon instans i vilken SCB:s beslut kan överklagas samtidigt som SCB i allmänhet är den enda aktör som kan lämna ut registerbaserade datamaterial.
    IFAU vill här peka på en asymmetri: ett beslut av en regional etikpröv­ningsnämnd baserat på etikprövningslagen kan överklagas hos centrala etikprövningsnämnden, medan SCB:s beslut, baserat på (t ex) sekretess­lagen inte kan överklagas någonstans. Dessutom är det, såvitt IFAU kan bedöma, inte klart att SCB behöver motivera sitt beslut, ut­över att hän­visa till den lagstiftning man har att följa, d.v.s. man behöver inte ange sakskäl i ett enskilt ärende. Det medför att det blir svårt att lära av erfarenheter för att undvika liknande framtida situationer.
    IFAU menar att det är angeläget att förutsättningslöst undersöka möjligheterna att undvika, eller lösa upp, låsta situationer av det slag som diskuteras här. Det är inte självklart att den enda möjligheten består i att inrätta ytterligare en överprövningsinstans. Ett alternativ är att ge inte bara forskare – d.v.s. dataanvändare – möjlighet att överklaga den regionala etikprövningsnämndens beslut, utan att även erbjuda denna möjlighet till den instans som ska lämna ut datamaterialet till forskarna, d.v.s. SCB. Det skulle innebära att den datautlämnande instansen skulle behöva motivera sitt ställningstagande och, eventuellt, peka på potentiella konflikter mellan etikprövningslagen och näraliggande lagstiftning, såsom sekretesslagstiftningen.