Unik kunskap genom registerforskning
Betänkande av Registerforskningsutredningen
Stockholm 2014
SOU 2014:45
SOU och Ds kan köpas från Fritzes kundtjänst. Beställningsadress: Fritzes kundtjänst, 106 47 Stockholm Ordertelefon:
För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.
Svara på remiss – hur och varför.
Statsrådsberedningen, SB PM 2003:3 (reviderad
En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remiss.
Layout: Kommittéservice, Regeringskansliet.
Omslag: Elanders Sverige AB.
Tryck: Elanders Sverige AB, Stockholm 2014.
ISBN
ISSN
Till statsrådet och chefen för
Utbildningsdepartementet
Regeringen beslutade den 17 januari 2013 att tillkalla en särskild ut- redare med uppdrag att utreda förutsättningarna för registerbaserad forskning. Utredaren fick i uppdrag att lämna författningsförslag och andra förslag i syfte att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet och att sambearbetning av registeruppgifter för forskningsändamål ska under- lättas. Utredaren fick vidare i uppdrag att lämna författningsförslag och andra förslag i syfte att göra det möjligt att på ett integritets- säkert sätt samla in personuppgifter till register som förs för sär- skilda och uttryckligt angivna forskningsändamål samt till longitudi- nella studier som håller sig inom ramen för sådana ändamål. I upp- draget ingick också att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning (Dir 2013:08).
Som särskild utredare anställdes förra statsrådet Bengt Westerberg från och med den 17 januari 2013. Som experter förordnades från och med den 22 januari 2013 professorn Björn Halleröd, professorn Mats G Hansson, tillsynschefen Erik Janzon, professorn Cecilia
Som sekreterare i utredningen anställdes från och med den 18 februari 2013 hovrättsassessorn Magdalena Petersson. Professorn Robert Erikson anställdes för ett särskilt uppdrag från och med den 1 augusti 2013 till och med den 30 november 2013.
Utredningen har antagit namnet Registerforskningsutredningen. Utredningen överlämnar härmed betänkandet Unik kunskap genom registerforskning (SOU 2014:45). Utredningens uppdrag är
därmed slutfört.
Stockholm i juni 2014
Bengt Westerberg
/ Magdalena Petersson
Innehåll
Sammanfattning ................................................................ |
17 |
Summary .......................................................................... |
33 |
1 Författningsförslag...................................................... |
49 |
1.1Förslag till lag om ändring av lagen (2001:99) om den
officiella statistiken.................................................................. |
49 |
1.2Förslag till lag om ändring i lagen (2003:460) om
etikprövning av forskning som avser människor ................... |
52 |
1.3Förslag till lag om ändring i offentlighets- och
sekretesslagen (2009:400)........................................................ |
54 |
1.4Förslag till lag om ändring i patientsäkerhetslagen
(2010:659)................................................................................. |
60 |
1.5 Förslag till lag (20xx:xx) om forskningsdatabaser................. |
61 |
1.6Förslag till lag (20xx:xx) om Nationella
|
biobanksregistret...................................................................... |
66 |
2 |
Direktiv, arbetssätt och disposition............................... |
71 |
2.1 |
Direktiven................................................................................. |
71 |
2.2 |
Expertgruppen.......................................................................... |
72 |
2.3 |
Kontakter.................................................................................. |
74 |
2.4 |
Disposition............................................................................... |
75 |
2.5 |
Terminologifrågor.................................................................... |
76 |
5
Innehåll |
SOU 2014:45 |
2.6 |
Förkortningar ........................................................................... |
78 |
3 |
Vad menas med register?............................................. |
81 |
3.1 |
Vad är registerbaserad forskning? ........................................... |
81 |
3.2 |
Vad är ett register? ................................................................... |
82 |
3.3 |
Varför skapar myndigheter register?....................................... |
83 |
3.4 |
Hur ser ett register ut?............................................................. |
84 |
3.5 |
Olika typer av myndighetsregister.......................................... |
85 |
|
3.5.1 Register för administrativa ändamål ............................ |
85 |
|
3.5.2 Uppgiftssamlingar för statistiska ändamål .................. |
86 |
|
3.5.3 Kvalitetsregister och biobanker ................................... |
89 |
3.6 |
Register för forskningsändamål............................................... |
90 |
|
3.6.1 Kodade och avidentifierade uppgifter.......................... |
91 |
4 |
Varför är registeruppgifter bra för forskning? .................. |
93 |
4.1Att följa samhällsförändringar över tid och i olika
|
grupper...................................................................................... |
94 |
4.2 |
Beskrivning och förklaring ...................................................... |
95 |
4.3 |
Observationsstudier och randomiserade experiment ............ |
97 |
4.4När behöver man stora och kanske heltäckande
datamaterial?........................................................................... |
100 |
|
4.4.1 |
Ovanliga företeelser.................................................... |
100 |
4.4.2 Kopplingar mellan urvalsundersökningar och |
|
|
|
registermaterial............................................................ |
103 |
4.4.3 |
Biobanksrelaterad medicinsk forskning .................... |
105 |
4.4.4 Att följa upp konsekvenserna av tidigare |
|
|
|
händelser...................................................................... |
107 |
4.4.5 Den sociala omgivningens betydelse för |
|
|
|
individuella handlingar................................................ |
108 |
4.4.6 Policyskillnader mellan administrativa enheter......... |
109 |
|
4.4.7 |
Longitudinella studier................................................. |
110 |
4.4.8 |
Mikrosimulering.......................................................... |
112 |
4.5 Sammanfattning...................................................................... |
114 |
|
6 |
|
|
SOU 2014:45 |
Innehåll |
|
5 |
Rättsliga förutsättningar för registerbaserad forskning.... |
115 |
5.1 |
Inledning................................................................................. |
115 |
5.2Internationell reglering till skydd för den personliga
integriteten vid behandling av personuppgifter ................... |
116 |
|
5.2.1 FN:s allmänna förklaring om de mänskliga |
|
|
|
rättigheterna m.m. ...................................................... |
116 |
5.2.2 |
Europakonventionen .................................................. |
117 |
5.2.3 |
Europarådets Dataskyddskonvention ....................... |
118 |
5.2.4 |
OECD:s riktlinjer....................................................... |
119 |
5.2.5 Europeiska unionens stadga om de |
|
|
|
grundläggande rättigheterna ...................................... |
120 |
5.2.6 |
Sammanfattning.......................................................... |
121 |
5.3Nationell reglering till skydd för den personliga
integriteten vid behandling av personuppgifter ................... |
121 |
||
5.3.1 |
Regeringsformen......................................................... |
121 |
|
5.3.2 |
Dataskyddsdirektivet.................................................. |
126 |
|
5.3.2.1 |
Syfte ........................................................................... |
126 |
|
5.3.2.2 |
Huvuddragen i direktivet.......................................... |
126 |
|
5.3.2.3 |
Kompletterande rättsakter........................................ |
128 |
|
5.3.2.4 |
Reformarbete............................................................. |
129 |
|
5.3.3 Kommissionens förordning om tillgång till |
|
||
|
konfidentiella uppgifter för vetenskapliga syften..... |
129 |
|
5.3.4 |
Personuppgiftslagen ................................................... |
131 |
5.3.4.1Personuppgiftslagens syfte och förhållande till
|
annan lagstiftning...................................................... |
131 |
5.3.4.2 |
Några viktiga begrepp............................................... |
131 |
5.3.4.3 |
Det territoriella tillämpningsområdet...................... |
135 |
5.3.4.4 Behandling av uppgifter som omfattas av lagen...... |
135 |
|
5.3.4.5 |
Undantag från personuppgiftslagen......................... |
137 |
5.3.4.6 Krav på behandlingen av personuppgifter ............... |
143 |
|
5.3.4.7 När behandling av personuppgifter är tillåten......... |
151 |
5.3.4.8Förbud mot behandling av känsliga
personuppgifter......................................................... |
154 |
5.3.4.9Undantag från förbudet mot behandling av
|
känsliga personuppgifter........................................... |
158 |
5.3.4.10 |
Behandling av personuppgifter om |
|
|
lagöverträdelser m.m................................................. |
162 |
5.3.4.11 Behandling av uppgifter om personnummer........... |
164 |
|
5.3.4.12 |
Skyldigheter enligt personuppgiftslagen ................. |
165 |
|
|
7 |
Innehåll |
SOU 2014:45 |
5.3.4.13 |
Rättelse, skadestånd och straff................................. |
166 |
5.3.5 Övriga registerförfattningar ....................................... |
166 |
|
5.3.5.1 |
Inledning ................................................................... |
166 |
5.3.5.2 |
Något om registerförfattningarnas struktur........... |
168 |
5.3.5.3 |
En översyn av registerlagstiftningen ....................... |
172 |
5.3.6 Exempel på register som kan användas vid |
|
|
forskning...................................................................... |
173 |
|
5.3.6.1 |
Inledning ................................................................... |
173 |
5.3.6.2 |
Hälsodataregister...................................................... |
173 |
5.3.6.3 |
Kvalitetsregister........................................................ |
174 |
5.3.6.4 |
Lokala kvalitetsregister............................................. |
174 |
5.3.6.5 |
Regionala och nationella kvalitetsregister............... |
177 |
5.3.6.6 |
Biobankslagen ........................................................... |
181 |
5.3.6.7 |
Rättspsykiatriskt forskningsregister ....................... |
183 |
5.4Internationella dokument till skydd för den enskilde
inom hälso- och sjukvård samt forskning............................. |
184 |
|
5.4.1 Europarådets konvention om mänskliga |
|
|
rättigheter och biomedicin ......................................... |
184 |
|
5.4.1.1 |
Inledning ................................................................... |
184 |
5.4.1.2 |
Syfte........................................................................... |
184 |
5.4.1.3 |
Människans företräde ............................................... |
185 |
5.4.1.4 Yrkesåliggande och etiska regler.............................. |
185 |
|
5.4.1.5 Bestämmelser som rör forskning............................. |
185 |
5.4.1.6Skydd för personer som inte kan lämna samtycke . 186
5.4.1.7 |
Konventionens krav.................................................. |
187 |
|
5.4.1.8 |
Tolkning av konventionen ....................................... |
188 |
|
5.4.1.9 Rapporter om konventionens tillämpning.............. |
188 |
||
5.4.2 |
Helsingforsdeklarationen ........................................... |
188 |
|
5.5 Etikprövningslagen ................................................................ |
189 |
||
5.5.1 |
Syfte ............................................................................. |
189 |
|
5.5.2 |
Vissa definitioner ........................................................ |
189 |
|
5.5.3 |
Tillämpningsområde ................................................... |
190 |
|
5.5.4 |
Godkännande .............................................................. |
192 |
|
5.5.5 |
Utgångspunkter för etikprövningen.......................... |
195 |
|
5.5.6 |
Utlämnande av personuppgifter................................. |
196 |
|
5.5.7 |
De regionala etikprövningsnämnderna...................... |
197 |
|
5.5.8 |
Centrala etikprövningsnämnden................................ |
198 |
|
5.5.9 |
Straff ............................................................................ |
198 |
8
SOU 2014:45 |
|
Innehåll |
5.6 Offentlighet och sekretess .................................................... |
199 |
|
5.6.1 |
Inledning ..................................................................... |
199 |
5.6.2 |
Offentlighetsprincipen............................................... |
199 |
5.6.2.1 Rätten att ta del av allmänna handlingar.................. |
199 |
|
5.6.2.2 I vilken form ska uppgifterna ges ut? ...................... |
201 |
5.6.2.3Begränsning av rätten att ta del av allmänna
|
handlingar .................................................................. |
202 |
5.6.3 Offentlighets- och sekretesslagen ............................. |
203 |
|
5.6.3.1 |
Sekretessbestämmelsernas uppbyggnad .................. |
203 |
5.6.3.2 |
Myndigheternas sekretessprövning ......................... |
207 |
5.6.3.3 |
Utlämnandeprövningen............................................ |
208 |
5.6.3.4 |
Massuttag................................................................... |
209 |
5.6.3.5Sekretess som kan gälla hos de myndigheter
från vilka forskare begär uppgifter........................... |
210 |
5.6.3.6 Sekretessbrytande bestämmelser.............................. |
218 |
5.6.3.7Bestämmelser om skydd för enskild inom
|
|
forskning och statistik .............................................. |
222 |
|
5.6.3.8 Uppgiftsskyldighet mellan myndigheter................. |
226 |
|
5.7 |
Lagen om den officiella statistiken ....................................... |
227 |
|
|
5.7.1 |
Inledning ..................................................................... |
227 |
|
5.7.2 Utlämnande av uppgifter i vissa fall........................... |
228 |
|
5.8 |
Arkivlagen .............................................................................. |
229 |
|
|
5.8.1 |
Inledning ..................................................................... |
229 |
|
5.8.2 |
Arkivens syfte ............................................................. |
230 |
|
5.8.3 |
Gallring........................................................................ |
230 |
|
5.8.4 |
Riksarkivets föreskrifter för |
|
|
|
forskningsverksamhet ................................................ |
232 |
|
5.8.5 Arkivering av digitala handlingar............................... |
232 |
|
|
5.8.6 |
Förhållande till personuppgiftslagen......................... |
233 |
|
5.8.7 |
Sekretess...................................................................... |
233 |
6 |
Integritet och registerbaserad forskning ...................... |
235 |
|
6.1 |
Vad är integritet?.................................................................... |
236 |
|
6.2 |
Rättsligt skydd för personlig integritet ................................ |
240 |
|
6.3 |
Rättslig grund för myndighetsregister.................................. |
241 |
|
6.4 |
Alla har rätt att få ut uppgifter som gäller dem själva.......... |
245 |
9
Innehåll |
SOU 2014:45 |
6.5Integritetskränkningar genom spridning av
|
uppgifter m.m......................................................................... |
245 |
|
6.6 |
Registerbaserad forskning ..................................................... |
247 |
|
6.7 |
Risker med myndighetsregister............................................. |
249 |
|
6.8 |
Risker vid registerbaserad forskning..................................... |
251 |
|
6.9 |
Etisk prövning ........................................................................ |
256 |
|
6.10 |
Informerat samtycke.............................................................. |
258 |
|
6.11 |
Rätten att dra tillbaka ett samtycke ...................................... |
263 |
|
6.12 RF och sekundäranvändning av uppgifter/prover................ |
264 |
||
6.13 |
Sammanfattande analys.......................................................... |
270 |
|
|
6.13.1 Integritetsskyddskommitténs frågor......................... |
270 |
|
|
6.13.2 Proportionalitetsbedömning ...................................... |
271 |
|
7 |
Erfarenheter från de nordiska länderna ....................... |
275 |
|
7.1 |
Danmark ................................................................................. |
275 |
|
|
7.1.1 |
Offentlighet och sekretess ......................................... |
275 |
|
7.1.2 |
Personuppgiftsbehandling.......................................... |
277 |
|
7.1.3 |
Etikprövning................................................................ |
278 |
|
7.1.4 |
Biobanker..................................................................... |
279 |
|
7.1.5 |
Danmarks Statistik...................................................... |
280 |
|
7.1.6 |
Statens Serum Institut ................................................ |
282 |
7.2 |
Finland .................................................................................... |
283 |
|
|
7.2.1 |
Offentlighet och sekretess ......................................... |
283 |
|
7.2.2 |
Personuppgiftsbehandling.......................................... |
284 |
|
7.2.3 |
Etikprövning................................................................ |
286 |
|
7.2.4 |
Biobanker..................................................................... |
287 |
|
7.2.5 |
Statistikcentralen......................................................... |
290 |
|
7.2.6 Institutet för hälsa och välfärd ................................... |
291 |
|
7.3 |
Norge |
...................................................................................... |
292 |
|
7.3.1 |
Offentlighet och sekretess ......................................... |
292 |
|
7.3.2 |
Personuppgiftsbehandling.......................................... |
293 |
|
7.3.3 |
Personvärnombud....................................................... |
295 |
|
7.3.4 |
Etikprövning................................................................ |
296 |
|
7.3.5 |
Biobanker..................................................................... |
298 |
10 |
|
|
|
SOU 2014:45 Innehåll
|
7.3.6 |
Statistisk sentralbyrå................................................... |
299 |
|
7.3.7 |
Folkehelseinstituttet................................................... |
300 |
7.4 |
Sammanfattning ..................................................................... |
300 |
|
8 |
Bakgrund, nuläge och utmaningar.............................. |
303 |
|
8.1 |
Bakgrund ................................................................................ |
303 |
|
8.2 |
Datakällorna ........................................................................... |
306 |
|
|
8.2.1 |
Myndighetsregister..................................................... |
306 |
|
8.2.2 |
Kvalitetsregister .......................................................... |
307 |
|
8.2.3 |
Biobanker .................................................................... |
309 |
|
8.2.4 |
Forskningsregister...................................................... |
311 |
8.3 |
Tillgänglighet för forskning till register och biobanker ...... |
313 |
|
|
8.3.1 |
Etikprövningen ........................................................... |
314 |
|
8.3.2 |
Utlämnande................................................................. |
318 |
8.3.2.1Forskningsprocessen och vilka uppgifter
|
|
som är nödvändiga .................................................... |
328 |
|
8.3.2.2. Internationellt samarbete.......................................... |
330 |
|
|
8.3.3 |
Sambearbetning........................................................... |
334 |
|
8.3.3.1 Federerat system........................................................... |
337 |
|
|
8.3.4 Skydd och säkerhet vid högskolorna och |
|
|
|
|
universiteten................................................................ |
340 |
8.4 |
Forskningsdatabaser .............................................................. |
342 |
|
|
8.4.1 Det rättsliga läget är oklart......................................... |
343 |
|
|
8.4.2 |
LifeGene och EpiHealth ............................................ |
345 |
|
8.4.3 |
Varför behövs forskningsdatabaser? ......................... |
349 |
|
8.4.4 Behöver myndighetsuppgifter finnas med i |
|
|
|
|
forskningsdatabaser? .................................................. |
353 |
|
8.4.5 |
Hur avgränsat ändamål? ............................................. |
357 |
|
8.4.6 |
Sammanfattning om forskningsdatabaser ................. |
362 |
8.5 |
Slutsatser................................................................................. |
362 |
|
8.6 |
Sammanfattning ..................................................................... |
372 |
|
9 |
Bedömningar och förslag........................................... |
375 |
|
9.1 |
Etikprövningen ...................................................................... |
375 |
|
|
9.1.1 |
Ett enklare förfarande................................................. |
375 |
|
9.1.2 |
Rådgivande yttrande................................................... |
378 |
|
|
|
11 |
Innehåll |
SOU 2014:45 |
9.1.3 |
Ett utvidgat tillämpningsområde ............................... |
380 |
|
9.2 Ändring av bestämmelserna om kodnyckelförfarande ........ |
381 |
||
9.2.1 Lagen om den officiella statistiken ............................ |
383 |
||
9.2.2 När kan kodnyckelförfarande användas? .................. |
383 |
||
9.2.3 Hur länge ska kodnyckeln bevaras?........................... |
386 |
||
9.2.4 De utlämnande myndigheternas problem ................. |
386 |
||
9.2.5 |
Forskarnas problem .................................................... |
387 |
|
9.2.6 |
Ändring av bestämmelserna om |
|
|
|
kodnyckelförfarande................................................... |
388 |
|
9.2.6.1 |
Bevarande av kodnyckel ........................................... |
388 |
|
9.2.6.2 |
Ett utvidgat tillämpningsområde ............................. |
389 |
|
9.2.6.3 Hur länge bör kodnyckeln bevaras? ........................ |
390 |
||
9.2.6.4 |
Kodnyckelns rättsliga status .................................... |
391 |
|
9.2.6.5 |
Kodnyckelförfarandet och arkivlagstiftningen....... |
392 |
|
9.3 En ny sekretessbestämmelse.................................................. |
395 |
||
9.3.1 Primära sekretessbestämmelser till skydd för |
|
||
|
enskild inom forskning............................................... |
396 |
|
9.3.2 |
Pågående lagstiftningsarbete ...................................... |
400 |
|
9.3.3 Vilket skydd finns för uppgifter som över- |
|
||
|
lämnas från en myndighet till forsknings- |
|
|
|
verksamhet hos en myndighet?.................................. |
402 |
|
9.3.4 Vilket skydd finns för uppgifter som inhämtas |
|
||
|
direkt från forskningspersonen eller annan |
|
|
|
enskild? ........................................................................ |
404 |
|
9.3.5 Är skyddet för den enskilde inom |
|
||
|
forskningsverksamhet tillräckligt?............................. |
405 |
|
9.3.6 |
Intresseavvägning........................................................ |
406 |
|
9.3.7 |
Sekretessens styrka ..................................................... |
408 |
|
9.3.8 |
Sekretesstiden.............................................................. |
410 |
|
9.3.9 Placering av bestämmelsen och följdändringar ......... |
410 |
||
9.3.10 Sekretessbrytande bestämmelser................................ |
411 |
||
9.3.11 Överföring av sekretess .............................................. |
413 |
||
9.3.12 En definition av begreppet forskning ........................ |
413 |
||
9.3.13 Rätten att meddela och offentliggöra uppgifter........ |
414 |
||
9.4 En ny lag om forskningsdatabaser ........................................ |
416 |
||
9.4.1 Behov av en reglering.................................................. |
419 |
||
9.4.2 |
Regleringens utformning............................................ |
421 |
|
9.4.3 Hur bör en lagreglering avseende |
|
||
|
forskningsdatabaser utformas? .................................. |
423 |
|
12 |
|
|
|
SOU 2014:45 |
Innehåll |
9.4.4 Vad är en forskningsdatabas?..................................... |
424 |
|
9.4.5 |
Vilka forskningsdatabaser behövs?............................ |
424 |
9.4.6 |
Bör etikprövningslagens tillämpningsområde |
|
|
utvidgas?...................................................................... |
424 |
9.4.7 Vilken behandling ska lagen omfatta?....................... |
425 |
|
9.4.8 Vilka ska få föra forskningsdatabaser? ...................... |
427 |
|
9.4.8.1 Högskolorna och offentlighetsprincipen ................ |
427 |
9.4.8.2Möjlighet för statliga myndigheter att bygga
upp databaser för framtida forskning ...................... |
428 |
9.4.8.3Möjlighet för andra än statliga myndigheter att bygga upp forskningsdatabaser för framtida
|
forskning.................................................................... |
429 |
9.4.9 |
Finansiering och utvärdering av |
|
|
forskningsdatabaser .................................................... |
430 |
9.4.10 Förhållande till personuppgiftslagen......................... |
431 |
|
9.4.11 Personuppgiftsansvar ................................................. |
432 |
|
9.4.12 Ändamålet med behandlingen.................................... |
432 |
|
9.4.13 De primära ändamålen................................................ |
432 |
|
9.4.14 Inhämtande av uppgifter till en forskningsdatabas .. |
434 |
|
9.4.15 Utlämnande av uppgifter från en |
|
|
|
forskningsdatabas ....................................................... |
435 |
9.4.16 Forskning .................................................................... |
435 |
|
9.4.17 De sekundära ändamålen............................................ |
437 |
|
9.4.18 Sambearbetning och kodnyckelförfarande................ |
439 |
|
9.4.19 Innehåll........................................................................ |
441 |
|
9.4.20 Sökbegrepp.................................................................. |
441 |
|
9.4.21 Direktåtkomst............................................................. |
442 |
|
9.4.22 Förbud mot bakvägsidentifiering .............................. |
443 |
|
9.4.23 Intern elektronisk åtkomst ........................................ |
444 |
|
9.4.24 Gallring........................................................................ |
445 |
|
9.4.24.1 Om arkivering och gallring....................................... |
445 |
|
9.4.24.2 Tidigare lagstiftning.................................................. |
445 |
|
9.4.24.3 En särskild bestämmelse om gallring i lagen |
|
|
|
om forskningsdatabaser............................................ |
448 |
9.4.24.4 Avveckling av forskningsdatabaser .......................... |
449 |
|
9.4.25 Information vid insamling.......................................... |
450 |
|
9.4.26 Registerutdrag............................................................. |
451 |
|
9.4.27 Rättelse och skadestånd.............................................. |
452 |
|
9.4.28 Sekretess...................................................................... |
452 |
|
9.4.28.1 Sekretess till skydd för uppgifter |
|
|
|
i forskningsdatabaser ................................................ |
452 |
|
|
13 |
Innehåll |
SOU 2014:45 |
9.4.28.2 Utlämnande av uppgifter till forsknings- |
|
||
|
|
databaser ................................................................. |
452 |
9.4.28.3 |
Särskild verksamhet ................................................ |
454 |
|
9.4.29 Regeringens möjlighet att meddela föreskrifter........ |
455 |
||
9.5 Biobanker |
................................................................................ |
456 |
|
9.5.1 |
Bakgrund ..................................................................... |
458 |
|
9.5.2 |
Biobankslagen.............................................................. |
458 |
|
9.5.3 |
Bestämmelser ......................................om spårbarhet |
461 |
|
9.5.4 |
Personuppgiftsbehandling.......................................... |
462 |
|
9.5.5 |
Sekretess ...................................................................... |
464 |
|
9.5.6 Nationellt biobanksråd och Svenska |
|
||
|
biobanksregistret......................................................... |
464 |
|
9.5.7 Rapporten ......Gemensam svensk biobanksstruktur |
465 |
||
9.5.8 Problem ....relaterade till personuppgiftsbehandling |
467 |
||
9.5.9 Problem ................................relaterade till sekretess |
467 |
||
9.5.10 Biobanksutredningens förslag avseende |
|
||
|
spårbarhet .................................................................... |
468 |
|
9.5.11 Biobanksutredningens förslag avseende |
|
||
|
personuppgiftsbehandling .......................................... |
469 |
|
9.5.12 Sammanfattning av remissinstansernas |
|
||
|
synpunkter................................................................... |
473 |
|
9.5.12.1 ............................................... |
Lagreglering av SBR |
473 |
|
9.5.12.2 .......Biobankernas behandling av personuppgifter |
476 |
||
9.5.13 Slutsatser...................................................................... |
477 |
||
9.5.14 En särskild ......lag om Nationella biobanksregistret |
478 |
||
9.5.14.1 ................................................... |
Intresseavvägning |
478 |
|
9.5.14.2 ................................... |
Lagens tillämpningsområde |
480 |
|
9.5.14.3 ......... |
Vem ska föra Nationella biobanksregistret? |
481 |
|
9.5.14.4 |
Skyldighet att lämna uppgifter till |
|
|
|
................................. |
Nationella biobanksregistret |
482 |
9.5.14.5 ..................... |
Förhållande till personuppgiftslagen |
483 |
|
9.5.14.6 |
Den registrerades inställning till |
|
|
|
..................................... |
personuppgiftsbehandling |
483 |
9.5.14.7 .............................................................. |
Underåriga |
485 |
|
9.5.14.8 .................................................. |
Beslutsoförmögna |
486 |
|
9.5.14.9 ............................................. |
Personuppgiftsansvar |
486 |
|
9.5.14.10 .............................. |
Behandling av personuppgifter |
487 |
|
9.5.14.11 ................................................................... |
Innehåll |
488 |
|
9.5.14.12 ............................................................. |
Sökbegrepp |
489 |
|
9.5.14.13 ........................................................ |
Direktåtkomst |
489 |
14
SOU 2014:45 Innehåll
|
9.5.14.14 |
Tillgång till personuppgifter .................................. |
489 |
|
9.5.14.15 |
Information............................................................. |
489 |
|
9.5.14.16 Rätt att får uppgifter utplånade.............................. |
490 |
|
|
9.5.14.17 |
Gallring.................................................................... |
490 |
|
9.5.14.18 |
Rättelse och skadestånd.......................................... |
491 |
|
9.5.14.19 |
Övriga bestämmelser .............................................. |
492 |
|
9.5.14.20 |
Sekretess.................................................................. |
492 |
10 |
Ikraftträdande och övergångsbestämmelser ................. |
499 |
|
11 |
Konsekvenser........................................................... |
501 |
|
11.1 |
Inledning................................................................................. |
|
501 |
11.2 Konsekvenser enligt 14 §....................................................... |
501 |
||
11.3 Konsekvenser enligt 15 §....................................................... |
505 |
||
11.4 Konsekvenser enligt 15 a § .................................................... |
505 |
||
|
11.4.1 En beskrivning av problemet och vad man vill |
|
|
|
uppnå ........................................................................... |
506 |
|
|
11.4.2 En beskrivning av alternativa lösningar som finns |
|
|
|
för det man vill uppnå och vilka effekterna blir |
|
|
|
om någon reglering inte kommer till stånd............... |
507 |
|
|
11.4.3 Uppgifter om vilka som berörs av regleringen ......... |
508 |
|
|
11.4.4 Uppgifter om vilka kostnadsmässiga och andra |
|
|
|
konskevenser regleringen medför och en |
|
|
|
jämförelse av konsekvenserna för de övervägda |
|
|
|
regleringsalternativen ................................................. |
509 |
|
|
11.4.5 En bedömning av om regleringen |
|
|
|
överensstämmer med eller går utöver de |
|
|
|
skyldigheter som följer av Sveriges anslutning till |
|
|
|
Europeiska unionen.................................................... |
509 |
|
|
11.4.6 En bedömning av om särskilda hänsyn behöver |
|
|
|
tas när det gäller tidpunkten för ikraftträdande |
|
|
|
och om det finns behov av speciella |
|
|
|
informationsinsatser................................................... |
510 |
|
|
11.4.7 Effekten för företag.................................................... |
511 |
|
11.5 |
Konsekvenser för skyddet för den personliga |
|
|
|
integriteten och forskningen................................................. |
512 |
15
Innehåll |
SOU 2014:45 |
12 |
Författningskommentar ............................................. |
513 |
12.1 |
Förslaget till lag om ändring av lagen (2001:99) om den |
|
|
officiella statistiken ................................................................ |
513 |
12.2 |
Förslaget till lag om ändring av lagen (2003:460) om |
|
|
etikprövning av forskning som avser människor ................. |
515 |
12.3 |
Förslaget till lag om ändring av offentlighets- och |
|
|
sekretesslagen (2009:400)...................................................... |
517 |
12.4 |
Förslaget till lag om ändring av patientsäkerhetslagen |
|
|
(2010:659)............................................................................... |
520 |
12.5 |
Förslaget till lag om forskningsdatabaser ............................. |
521 |
12.6 |
Förslaget till lag om Nationella biobanksregistret............... |
533 |
Bilaga |
|
|
Kommittédirektiv 2013:8................................................................ |
545 |
16
Sammanfattning
I 2012 års forskningsproposition (prop. 2012/12:30) konstaterade regeringen att de svenska registren i många avseenden är unika. Att kombinera uppgifter från dem ger stora möjligheter för forskningen. Det finns ett antal viktiga frågeställningar som kan besvaras med hjälp av olika register och datamaterial.
Mot den bakgrunden har regeringen uppdragit åt Vetenskapsrådet att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forsknings- ändamål.
Uttalanden i propositionen är också bakgrunden till denna utred- ning. I utredningsdirektiven framhålls att det kan finnas rättsliga hinder för registerbaserad forskning. Mitt uppdrag har varit att analy- sera dessa och att lämna författningsförslag och andra förslag i syfte att
•registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
•sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
•göra det möjligt att på ett integritetssäkert sätt samla in person- uppgifter till register som förs för särskilda och uttryckligt an- givna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.
På den sistnämnda punkten specificeras uppdraget ytterligare i direk- tiven. Det talas där om ett behov av att kunna skapa ”nya databas- infrastrukturer för bestämda, men relativt allmänt hållna, forsk- ningsändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och
17
Sammanfattning |
SOU 2014:45 |
som kan uppdateras och tillföras nya uppgifter vid till exempel longitudinella studier.
Jag har även haft till uppgift att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är till- räckligt för att skydda den enskildes integritet vid forskning.
Till min hjälp i utredningsarbetet har jag haft en sekreterare, Magdalena Petersson, som är hovrättsassessor, samt en grupp av experter och sakkunniga med företrädare för departement, myndig- heter och forskarsamhället. Jag har under arbetets gång haft ett stort antal kontakter med forskare med omfattande erfarenheter av registerbaserad forskning och med flertalet berörda myndigheter.
Vad menas med register?
Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. Som exempel kan nämnas register hos statliga myndigheter som har tillkommit för administra- tiva eller statistiska ändamål och register hos regioner och landsting som har skapats för utvärdering och kvalitetssäkring av hälso- och sjukvården. Även biobanker, som är samlingar av biologiska prover från individer tagna huvudsakligen i samband med vård och behand- ling, är i sammanhanget av stort intresse.
Med register avses i utredningsdirektiven dock även vissa upp- giftssamlingar som primärt är skapade för forskningsändamål. Upp- gifterna i dessa kan hämtas direkt från individer eller från de nämnda registren. Oftast skapas sådana forskningsregister för ett specifikt forskningsprojekt, men det förekommer också att register byggs för att kunna ge underlag för flera framtida, från början inte definie- rade, forskningsprojekt. I den här utredningen kallar jag sådana forskningsregister för forskningsdatabaser. De utgör en sådan infra- struktur som omnämns i utredningsdirektiven.
Varför är registeruppgifter bra för forskning?
Det är i många sammanhang en stor fördel för forskningen att få tillgång till omfattande datamaterial. Myndighetsregister som i regel innehåller uppgifter om alla invånare i landet, eller i vart fall alla som är i något avseende berörda, är ovärderliga när man önskar be-
18
SOU 2014:45 |
Sammanfattning |
skriva tillståndet i befolkningen. Genom att alla finns med kan även minoriteter och ovanliga företeelser fångas in. Ett exempel på det sistnämnda kan vara ovanliga sjukdomar.
Alternativet till att använda uppgifter från register är i regel att samla in uppgifter direkt från ett urval av individer. Sådana urvals- undersökningar är ibland nödvändiga eftersom alla uppgifter som forskarna är intresserade av inte finns i register. Men urvalsunder- sökningar kan innebära vissa problem. Ofta är de forskningspersoner som väljs ut inte särskilt representativa. Även när urvalen är repre- sentativa måste de om inte annat av ekonomiska skäl ofta begränsas och man måste dessutom alltid räkna med ett bortfall, det vill säga att några av dem som tillfrågas av olika skäl inte vill medverka. Både representativiteten, urvalets storlek och bortfallet ökar osäkerheten i forskningsresultaten. Det finns flera exempel på att slutsatser som har dragits på grundval av mindre urvalsstudier har visat sig fel- aktiga när de testats på hela den berörda populationen.
Även i andra sammanhang än när det gäller att studera ovanliga företeelser är forskare beroende av omfattande datamaterial. När de vill studera hur en viss åtgärd påverkar olika individer kan en urvals- studie vara tillräcklig, men om de vill finna olika orsaker till ett komplext samhällsfenomen krävs ett mer omfattande datamaterial. Vid longitudinella studier, då man följer individer eller studerar en och samma företeelse över tid, är register en särskild tillgång. Om individerna gång på gång ska kontaktas finns en stor risk att urvalet krymper ganska snabbt, till exempel därför att de tröttnar på att delta.
Ofta är det en fördel att kunna kombinera uppgifter som forskar- na själva har samlat in vid urvalsstudier med uppgifter från register. Om vissa uppgifter kan hämtas ur register kan antalet frågor som forskaren behöver ställa till sina intervjupersoner begränsas. För att få fram historiska uppgifter om en individ som ingår i ett urval kan register ofta innehålla mer pålitlig information än den individen kan ge ur minnet. För att följa upp hur det går för individer som del- tagit i en urvalsstudie kan registeruppgifter användas för att slippa besvära individerna med upprepade frågor. Uppgifter om alla de olika individer som finns med i olika urvalsundersökningar kan bara åter- finnas i heltäckande register.
Uppgifter om individer, också känsliga uppgifter, är ofta nöd- vändiga för forskningen. Det gäller inte minst inom medicinsk forsk- ning där syftet är att förstå sjukdomars uppkomst och utveckling och att finna botemedel. Samtidigt innebär all behandling av person-
19
Sammanfattning |
SOU 2014:45 |
uppgifter vissa risker för individers personliga integritet. Den största risken är att någon blir utsatt för andra missaktning om hans eller hennes personliga förhållanden blir kända. Det är bakgrunden till att det finns en omfattande lagstiftning som syftar till att skydda in- dividers personliga integritet och att hantera den avvägning mellan olika intressen som kan behöva göras.
Rättsliga förutsättningar för registerbaserad forskning
Flera internationella organisationer, Förenta nationerna (FN), Europarådet, Organisationen för ekonomiskt samarbete och utveck- ling (OECD) och Europeiska Unionen (EU), har utarbetat rikt- linjer för hur personuppgifter får hanteras. Av särskild betydelse för svensk del är Europakonventionen om mänskliga rättigheter, som sedan 1995 är inkorporerad i svensk lag, och EU:s dataskydds- direktiv, som i Sverige har implementerats genom personuppgifts- lagen (PUL). Inom EU pågår för närvarande en diskussion om en ny dataskyddsförordning, som, om den beslutas, blir direkt tillämp- lig i alla medlemsländer och således för svensk del ersätter PUL. Det är oklart när ett sådant beslut kan komma att fattas och denna utredning utgår därför från gällande rätt.
I regeringsformen (RF) anges att var och en gentemot det allmän- na är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kart- läggning av den enskildes personliga förhållanden. Bestämmelsen får begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.
PUL reglerar behandlingen av personuppgifter. Sådana får bara samlas in bara om det är lagligt och bara för särskilda, uttryckligt an- givna och berättigade ändamål. De får inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in. För myndigheterna finns oftast det lagliga stödet för personuppgifts- behandlingen i särskilda registerförfattningar, som bland annat anger ändamålet och vilka uppgifter som får behandlas. Behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska enligt PUL inte anses vara oförenligt med de ändamål för vilka uppgifterna samlades in. Det sistnämnda innebär att det är möjligt att i till exempel forskning sekundäranvända uppgifter som har samlats in för andra ändamål.
20
SOU 2014:45 |
Sammanfattning |
För att få behandla uppgifterna krävs antingen att de berörda individerna har samtyckt till behandlingen eller att den är nöd- vändig för att till exempel en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan vara ett exempel på en sådan arbets- uppgift.
Vissa personuppgifter klassificeras i PUL som känsliga, och är förbjudna att behandla. Det gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa och sexualliv. Sådana uppgifter, liksom uppgifter som rör lagöverträdelser av vissa slag och biologiska prover, kan emellertid efter etikgodkännande behandlas i forskning. Etikgodkännande ges enligt lagen om etikprövning av forskning som avser människor (etikprövningslagen) av en etikpröv- ningsnämnd, med av regeringen utsedda representanter för forsk- ning och allmänhet. Etikprövningsnämnden ska också bedöma om samtycke ska inhämtas eller om uppgifterna kan behandlas utan sam- tycke. När det är fråga om omfattande uttag från myndighetsregister är praxis att inte kräva samtycke eftersom det skulle förutsätta en oproportionerlig resursinsats.
Myndigheters insamling och övriga behandling av personupp- gifter motiveras ofta med att de behöver uppgifterna för att kunna fullgöra sina administrativa uppgifter. Det kan handla om att hålla reda på landets invånare, att upprätta vallängder inför allmänna val, att bedöma hur mycket skatt medborgarna ska betala och vilka bidrag de har rätt till, och så vidare. I många fall används uppgifterna för beslut som avser enskilda personer. I de fall myndigheterna har fått i uppdrag att behandla personuppgifter har fördelen med denna behandling bedömts överväga riskerna för den personliga integri- teten.
Ett annat syfte med myndigheters behandling av personuppgifter är att upprätta statistik eller att utvärdera och kvalitetssäkra verk- samheter. Statistikproduktion baseras ofta på uppgifter ur admini- strativa register, men i vissa fall samlas uppgifter in särskilt för statistiska ändamål.
Allmänna handlingar hos svenska myndigheter är i princip offent- liga, men allmänhetens rätt att ta del av sådana handlingar kan be- gränsas om det är påkallat av hänsyn till exempelvis den enskildas personliga och ekonomiska förhållanden. I sådana fall råder ofta varierande grad av sekretess. Den starkaste sekretessen gäller för upp- gifter som har samlats in för statistiska ändamål. Då är sekretessen absolut, vilket innebär att uppgifterna i princip inte lämnas ut.
21
Sammanfattning |
SOU 2014:45 |
Det finns emellertid även för dessa uppgifter vissa sekretessbry- tande regler. Uppgifterna kan till exempel lämnas ut för forsknings- ändamål om det kan ske utan risk för skada eller men för den som uppgifterna avser eller dennas anhöriga. Om sekretessbelagda upp- gifter lämnas ut till en annan myndighet, till exempel ett universitet eller en högskola, för forskningsändamål följer sekretessen auto- matiskt med. Om utlämnande sker till annan sker det i regel med särskilda förbehåll som syftar till att ge motsvarande skydd.
Det är den registerhållande myndigheten som har att pröva om personuppgifter kan lämnas ut. Vid utlämnande till forskning är det vanliga att uppgifterna lämnas ut i anonymiserad form. Det innebär att forskare inte vet vilka individer uppgifterna avser. Anonymise- rade uppgifter kan vara kodade eller avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut uppgifter med en icke iden- titetsbärande beteckning, till exempel ett löpnummer, medan myn- digheten behåller en kodnyckel som kopplar löpnummer till person- nummer och som gör det möjligt att senare komplettera uppgifterna. Att en sådan möjlighet finns är viktigt vid till exempel longitudinella studier. När uppgifterna är avidentifierade finns inte denna möjlig- het.
Även om uppgifterna är anonymiserade kan det finnas en risk för så kallad bakvägsidentifiering, det vill säga att man genom att sammanställa en rad uppgifter om en individ kan identifiera denna. Det är förbjudet och har så vitt känt aldrig förekommit inom forskningen, men det är likväl en potentiell risk som rent av kan öka med utvecklingen av datatekniken. Därför är det viktigt att det finns ett tydligt regelverk och säkerhetsmässiga arrangemang kring personuppgifterna även i forskningsmiljöer.
I vissa fall, särskilt i medicinsk forskning, förekommer att iden- tifierbara uppgifter lämnas ut. Syftet är ofta att forskare ska kunna kontakta individerna i fråga eller att de ska kunna kontrollera register- uppgifter med uppgifter från patientjournaler.
Integritet och registerbaserad forskning
Ansvaret för den personuppgiftsbehandling som sker inom forsk- ningen åvilar forskningshuvudmännen, det vill säga i regel univer- sitet och högskolor. Ansvaret är ytterst styrelsernas. Det har inte förekommit att uppgifter läckt ut från forskningsmiljöer. De regler för sekretess och säkerhetsmässig hantering som gäller är en viktig
22
SOU 2014:45 |
Sammanfattning |
förklaring till det. Men universitet och högskolor liksom forskare har också andra starka incitament att se till att reglerna följs, näm- ligen för att de ska kunna få del av uppgifter och bedriva forskning. Till det kommer att forskare inte i första hand är intresserade av individer utan av mönster i populationer.
Gällande regel i regeringsformen om den enskildes skydd gent- emot det allmänna mot betydande intrång i den personliga integri- teten om det sker utan samtycke och innebär övervakning eller kart- läggning av den enskildes personliga förhållanden tillkom år 2011. Frågan har väckts om sekundäranvändning av personuppgifter i myndighetsregister som sker utan samtycke skulle kunna stå i strid med denna grundlagsbestämmelse. Effekten av insamlingen av upp- gifter för forskning skulle, oavsett avsikten, kunna anses vara åtminstone kartläggning av enskildas personliga förhållanden.
Regeringen har i propositionen om grundlagsändringen konsta- terat att man vid bedömningen av vad som är betydande intrång måste se till bland annat ändamålet med behandlingen av uppgifter. Syftet med forskning är inte att kartlägga enskilda individer utan att finna mönster i en population. Behandlingen av uppgifterna ur myndighetsregister har sin rättsliga grund i de särskilda register- författningar som finns för myndighetsregistren och i PUL:s bestäm- melse att behandling för vetenskapliga ändamål inte är oförenligt med de ursprungliga ändamålen för behandlingen av uppgifterna.
Lagstiftarens avsikt torde inte ha varit att förhindra en sådan be- handling av personuppgifter i forskningen. Regeringen har också i propositionen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) kon- staterat att den så kallade
Min slutsats är att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär betydande intrång i enskildas personliga integritet, men att det är angeläget att det finns ett tydligt lagligt stöd för denna verksamhet.
Enligt proportionalitetsprincipen ska staten inte införa restrik- tioner eller skyldigheter utöver vad som är nödvändigt för att uppnå målet med en åtgärd. Målet med registerbaserad forskning är att vinna kunskap om hur samhället fungerar och den åtgärd som prövas i sammanhanget alltså användningen av bland annat register- uppgifter som har samlats in för andra ändamål.
23
Sammanfattning |
SOU 2014:45 |
Att kunna använda registeruppgifter i forskningen har stora för- delar. Det finns kunskaper som kan uppnås genom sådan forskning, som är svårt att uppnå med andra metoder. Risken för läckor och åtföljande men för uppgiftslämnarna är liten. Det gäller särskilt när uppgifter lämnas ut i anonymiserad form, men även annars. När fördelarna vägs mot riskerna framstår registerbaserad forskning en i hög grad proportionell åtgärd.
Erfarenheter från de nordiska länderna
Förutsättningarna för registerbaserad forskning är mycket likartade i de övriga nordiska länderna. Även de har att utgå från gällande internationella regelverk. Deras motsvarigheter till svenska PUL är, liksom PUL, baserade på EU:s dataskyddsdirektiv och därmed mycket likartade. I vissa avseenden har de valt andra lösningar än Sverige för att underlätta registerbaserad forskning. Som exempel kan nämnas att man i Danmark har skapat ett väl utvecklat system för fjärråtkomst av hälsodata och att man i Norge en fristående orga- nisation för deponering och arkivering av forskarmaterial. Sådana exempel kan tjäna som inspirationskällor när systemen ska utvecklas i Sverige.
Bakgrund, nuläge och utmaningar
Det finns fyra viktiga datakällor för registerbaserad forskning: myn- dighetsregister, hälso- och sjukvårdens kvalitetsregister, biobanker och forskningsregister av olika slag.
Myndighetsregistren är skapade för primärt andra ändamål än forskning. Kvalitet och dokumentation kan inte alltid möta forsk- ningens behov. Ofta krävs bearbetning av data innan de kan användas i forskningen. Här finns en potential för utveckling.
Kvalitetsregistren inom hälso- och sjukvården är uppbyggda utifrån interventioner, sjukdomsepisoder eller kroniska sjukdomar. De är av varierande kvalitet, men en stor satsning sker nu från rege- ringens och huvudmännens sida att öka kvalitet och tillgänglighet. För närvarande finns ett
24
SOU 2014:45 |
Sammanfattning |
Biobanker innehåller biologiska prover. Det finns cirka 600 bio- banker i Sverige varav hälften hos hälso- och sjukvårdshuvudmännen och ett
Forskningsregister finns av många olika slag. Flertalet har tillkom- mit för konkreta forskningsprojekt. Svensk Nationell Datatjänst (SND) är en nationell resurs för samordning av existerande och nya forskningsregister inom samhällsvetenskap, humaniora och medicin. SND är för närvarande ett samarbetsprojekt mellan Vetenskapsrådet och Göteborgs universitet. Ett syfte är att data som har samlats in för viss forskning ska göras tillgängliga och kunna återanvändas i nya forskningsprojekt. Datainspektionen har emellertid beslutat att SND inte har rätt att bevara register med personuppgifter, varmed avses uppgifter som på något sätt kan identifieras (till exempel där en kodnyckel finns bevarad). Det innebär en allvarlig begränsning av SND:s verksamhet.
Vid användning i forskning av känsliga personuppgifter eller bio- logiska prover krävs etiktillstånd. När uppgifterna ska tillhandahållas i anonymiserad form bedömer etikprövningsnämnderna riskerna som små och tillstånd beviljas rutinmässigt. Denna bedömning står väl i överensstämmelse med den som har gjorts i vissa mål och ären- den som har behandlats i domstol eller av regeringen. I Danmark och Finland har man valt att vid utlämnande av sådana data arbeta med generella etiktillstånd för vissa auktoriserade organisationer. I Sverige borde det vara möjligt att pröva en förenklad process. Många av de berörda uppfattar också att de blanketter som forskarna har att fylla i vid etikansökan är mer detaljerade än nödvändigt. Det kan finnas skäl se över dessa blanketter, till exempel inom ramen för det av Vetenskapsrådet nyligen tillsatta registerdatarådet.
Inom Statistiska centralbyrån (SCB) har under de senaste tio åren ett system för fjärråtkomst av uppgifter utvecklats. Det kallas MONA, Micro
25
Sammanfattning |
SOU 2014:45 |
inte, men möjligheten att skapa ett sådant kommer att prövas inom ramen för utvärderingen av MONA.
Det synes inte finnas några rättsliga hinder för att tillhandahålla uppgifter för forskning. De problem som kan finnas ligger snarare på det administrativa planet. För SCB, och även andra myndig- heter, är inte forskning en prioriterad uppgift. Statistikutredningen föreslog i december 2012 att det i SCB:s instruktion skulle skrivas in att det ska vara en prioriterad uppgift att bistå forskningen med data. Finansdepartementet har meddelat att man har för avsikt att föreslå en sådan ändring, men något beslut har ännu inte fattats. Det är angeläget att det sker snarast. Det kan också finnas skäl att göra motsvarande justering i instruktioner till andra myndigheter.
Inom Socialstyrelsen har en registerserviceenhet numera skapats. För närvarande pågår inom SCB en intern utredning som syftar till något liknande. Det är angeläget att det även inom SCB skapas en central forskningsserviceenhet.
Mycket av dagens forskning sker i internationellt samarbete. Utlämnande av data över nationsgränser är en utmaning. Det är dock komplicerade frågor som inte kunnat analyseras inom ramen för denna utredning. Diskussioner mellan de statistiska centralbyråerna i Norden har dock nyligen initierats av Nordiska Rådet och dess forskningsråd, Nordforsk, och pågår för närvarande.
Sambearbetning av data från olika register är ofta nödvändigt inom forskning. Sambearbetningen synes, även när flera myndigheter är inblandade, fungera relativt väl. Den rättsliga grunden för att lämna känsliga personuppgifter mellan statistikansvariga myndigheter för att möjliggöra sambearbetning för forskningshuvudmans räkning har i något fall ifrågasatts. Det har vidare ifrågasatts om det finns stöd i sekretesslagstiftningen för statistikansvariga myndigheterna att skicka sekretessbelagda uppgifter till en annan myndighet i syfte att möjliggöra sambearbetning av uppgifter för en tredje myndig- hets räkning. Min bedömning är dock att detta förfarande har stöd i nuvarande lagstiftning.
Sambearbetning skulle kunna underlättas genom utveckling av ett så kallat federerat system. Det innebär att uppgifter hämtas från olika datakällor till en federationsserver (trusted location), en insti- tution som alla dataägare litar på och vilken de kan ge tillgång till uppgifter utan oro för spridning. Forskaren arbetar mot en sådan federationsserver på samma sätt som mot dagens MONA. Till denna federationsserver hämtas uppgifter på elektronisk väg direkt från källorna utan att någon överföring av uppgifter mellan myndig-
26
SOU 2014:45 |
Sammanfattning |
heterna sker. Regeringen har i forskningspropositionen uttryckt sig positivt om en sådan lösning och uttalat att den ska utredas i särskild ordning. Något sådant initiativ har emellertid inte tagits. En federerad lösning kräver en omfattande teknisk utveckling. Om en sådan ska komma till stånd krävs sannolikt ett initiativ från regeringen, even- tuellt i samarbete med Umeå universitet som nyligen har inlett ett utvecklingsarbete inom området.
SND är en viktig infrastruktur för svensk forskning. Det är ange- läget att SND blir en permanent verksamhet och att den får rimliga förutsättningar att sköta sina uppgifter. I dag deponerar forskare kopior på sina data hos SND. Det skulle vara en fördel om SND kunde bli en arkivmyndighet där originaldata kunde deponeras. Som arkivmyndighet skulle SND också bli personuppgiftsansvarig för de uppgifter som finns där, vilket innebär att Datainspektionens in- vändningar mot rådande ordning skulle kunna hanteras. I Norge och Danmark har man organiserat motsvarande verksamhet på ett annat sätt: i Norge i en självständig organisation under Utdannings- og Forskningsdepartementet och i Danmark som en del hos Statens Arkiver. Den norska lösningen förefaller vara den mest attraktiva för verksamhetens självständighet och utveckling. Regeringen bör tillsätta en utredning för att utarbeta en långsiktig lösning för SND.
Bedömningar och förslag
Etikprövningen
För att förenkla handläggningen av ärenden där syftet är att i forsk- ningen endast använda anonymiserade uppgifter från myndighets- register föreslås att nämnderna ska kunna delegera sådana ärenden till ordföranden.
Det föreslås vidare att forskare ska få rätt att få ett yttrande från etikprövningsnämnden över forskningsprojekt som inte faller under etikprövningslagen. Det finns i dag en möjlighet att begära ett sådant yttrande, men nämnden avgör själv om den vill avge ett yttrande eller inte.
Det föreslås också att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga person- uppgifter eller inte.
27
Sammanfattning |
SOU 2014:45 |
Kodnyckelförfarande
När uppgifter lämnas ut i anonymiserad form kan utlämnande myn- dighet bevara en kodnyckel som gör det möjligt att senare kom- plettera uppgifterna. Denna möjlighet har tillkommit främst för att möjliggöra longitudinella studier, där samma individer eller före- teelser följs under lång tid, och liknande studier.
Vid longitudinella studier kommer utlämnande myndighet och forskarna överens om hur länge kodnyckeln ska bevaras. Normalt bevaras den i tre år med möjlighet till förlängning. Utlämnande myndighet kan dock vara obenägen att behålla kodnyckeln om den upplever att forskningsfrågorna förändras.
Även i andra forskningsprojekt kan en kodnyckel upprättas och bevaras, men normalt under betydligt kortare tid, vanligen tre måna- der. Syftet är kunna komplettera utlämnande uppgifter om något har blivit fel eller om forskaren har missat något i sin ansökan.
Det finns flera skäl för att regelmässigt bevara kodnycklar under längre tid. Att koppla bevarandet till att det är samma forsknings- frågor som ställs synes inte vara rimligt. Det är naturligt att forsk- ningsfrågorna i en longitudinell studie successivt modifieras. Forskare kan under ett pågående projekt finna att data skulle behöva kom- pletteras även om detta inte förutsågs när uppgifterna begärdes ut. I all forskning är det dessutom angeläget att ge möjligheter till repli- kation eller till förnyad analys av samma uppgifter eller efter viss komplettering.
Det föreslås mot denna bakgrund att kodnycklar ska bevaras hos den utlämnande myndigheten under tjugo år från dagen för utläm- nande av uppgifterna och med möjlighet till förlängning därefter.
En ny sekretessbestämmelse
För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritets- skydd. Det finns i dag flera olika bestämmelser som innebär sekre- tess för personuppgifter som behandlas i forskningen. Regelverket är emellertid inte lätt att överblicka, vilket kan skapa oklarhet.
I offentlighets- och sekretesslagen finns en särskild bestämmelse avseende statistiksekretess. Uppgifter som samlas in för statistiska ändamål skyddas av absolut sekretess. De skäl som i förarbetena till lagstiftningen åberopats för statistiksekretessen är tre. Offentlighets-
28
SOU 2014:45 |
Sammanfattning |
intresset för sådana uppgifter anses väga lätt. En sammanställning av i och för sig harmlösa uppgifter kan ibland vara integritetskänslig. Och uppgiftslämnaren ska känna sig säker på hans eller hennes upp- gifter inte kommer ut. Dessa skäl talar också för ett motsvarande sekretesskydd för uppgifter som samlas in för forskning.
Mot den bakgrunden föreslås en motsvarande forskningssekre- tess. Det innebär att personuppgifter som samlas in för forskning alltid är skyddade av absolut sekretess. Liksom när det gäller upp- gifter som samlats in för statistiska ändamål ska för dessa uppgifter insamlade för forskningsändamål finnas en sekretessbrytande be- stämmelse som innebär att de, om vissa villkor är uppfyllda, kan användas för annan forskning.
Med sekretessen följer också tystnadsplikt för dem har att han- tera uppgifterna.
Det är angeläget inte bara att personuppgifter skyddas av sekretess utan också att de behandlas enligt gällande regler och i tekniskt säkra system. På alla stora universitet och på flertalet högskolor finns så kallade personuppgiftsombud, som har till uppgift att se till att den personuppgiftsansvarige, det vill säga universitetet eller högskolan, följer gällande regler. I många fall synes personuppgiftsombuden inte ha de resurser och den ställning som krävs för att på ett tillfredsstäl- lande sätt fullgöra uppgiften. Det är universitetens och högskolornas styrelser som har det yttersta ansvaret för att verksamheten fungerar tillfredsställande. Regeringen föreslås i regleringsbrev till statliga universitet och högskolor uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandlingen av personuppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.
Forskningsdatabaser
I utredningsdirektiven framhålls svårigheterna att inom ramen för gällande rätt skapa forskningsdatabaser för bestämda men relativt allmänt hållna forskningsändamål. Datainspektionen har ställt sig tveksam till forskningsdatabaser med allmänt hållna ändamål. Den har också ifrågasatt lagligheten i det samtycke som enskilda ger när de lämnar uppgifter till sådana databaser. Etikprövningslagen med- ger bara att etikgodkännande ges till konkreta forskningsprojekt. Utlämnande myndigheter ser sig förhindrade att lämna ut uppgifter till databaser där de konkreta forskningsfrågorna är okända. Det
29
Sammanfattning |
SOU 2014:45 |
saknas alltså i dag rättsliga förutsättningar för sådana forsknings- databaser.
Regering och riksdag har i några fall stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Ett exempel är den lag som reg- lerar den så kallade
Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige. De kan till exempel ha tillkommit långt tillbaka i tiden innan nuvarande regelverk fanns på plats, ha byggts upp kring ett konkret forsknings- projekt eller godkänts genom en generös tolkning av etikprövnings- lagen.
Det föreslås att det införs en särskild lag om forskningsdatabaser. Tanken är att i den ska anges vissa generella regler för forsknings- databaser, men att varje databas ska kompletteras med en regerings- förordning som reglerar vad som närmare ska gälla, till exempel ändamål och innehåll. Forskningsdatabasernas ändamål är att skapa underlag för forskning och att lämna ut uppgifter till forsknings- projekt. För utlämnande ska alltid krävas etikgodkännande.
Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. Vilka pro- jekten är vet man inte när databasen skapas.
Forskningsdatabaser ska kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det bör uppdras åt Vetenskapsrådet att föreslå regeringen vilka forskningsdatabaser som ska finnas. Vetenskaps- rådet bör också träffa avtal med värduniversiteten om finansiering, organisation och tillgänglighet. Finansieringen bör vara säkerställd för åtta år framåt. Forskningsdatabaserna ska utvärderas vart åttonde år, företrädesvis av en internationell utvärderingsgrupp.
Den personuppgiftsansvarige, alltså myndigheten, ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen. Forskningsdatabasen ska admi- nistreras i en särskild avgränsad enhet.
De uppgifter som samlas i forskningsdatabasen ska kunna hämtas ur olika källor. Vissa uppgifter kan samlas in direkt från individer, andra hämtas ur befintliga register. För att säkerställa att myndig-
30
SOU 2014:45 |
Sammanfattning |
heterna kan lämna uppgifter till forskningsdatabaserna behövs be- stämmelser om uppgiftsskyldighet för dessa. Det bör regleras i de särskilda förordningar som ska gälla för respektive forskningsdata- bas vilka myndigheter som ska vara skyldiga att lämna ut uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.
Enskilda ska kunna lämna uppgifter och ge ett informerat sam- tycke till att dessa behandlas för de ändamål som anges i förordningen för forskningsdatabasen.
Uppgifterna i en forskningsdatabas ska skyddas av absolut sekre- tess, men med vissa undantag. Enskilda ska ha rätt att på begäran få registerutdrag för identifierbara uppgifter som har registrerats i databasen.
Nationellt biobanksregister
Svenska biobanksregistret är i dag ett regionalt system. Registret finns hos sex regionala biobankscentra, som bedrivs av regioner och landsting. Det skulle i olika sammanhang underlätta spårbarheten av biobanksprover om det fanns ett nationellt biobanksregister. Ett sådant föreslogs för några år sedan av den statliga Biobanksutred- ningen. Dess förslag har av olika skäl inte lett till lagstiftning.
Utredningen föreslår mot den bakgrunden att Svenskt biobanks- register görs om till ett nationellt system för registrering av biobanks- prover, Nationella biobanksregistret. Det föreslås att Socialstyrelsen blir personuppgiftsansvarig för registret.
Uppgifterna i registret ska få behandlas för att underlätta spår- barhet vid vård och behandling av den registrerade, vid forskning, kvalitetssäkring och framställning av statistik och vid förstörande eller avidentifiering av vävnadsprover när den registrerade har åter- kallat sitt samtycke.
De uppgifter som får registreras avser i första hand provgivarens identitet, provgivarens ställningstagande till hanteringen av proverna (samtycke), vävnadsprovernas karaktär, i vilken biobank de finns och uppgifter om diagnos och analysresultat.
Absolut sekretess ska gälla för de uppgifter som finns i registret, men med sekretessbrytande regler för till exempel forskning. Upp- gifter ska också kunna lämnas ut när det handlar om den enskildes vård och behandling.
Registreringen bygger på samtycke, det vill säga att den enskilde när det biologiska provet sparas i en bank tar ställning till hur upp-
31
Sammanfattning |
SOU 2014:45 |
gifterna om provet får behandlas. Uppgifter om de prover som redan finns i biobanker får dock registreras utan särskilt samtycke. Det ska understrykas att de berörda har samtyckt till att proverna sparas i biobanken och hur de får användas. Avsaknaden av samtycke gäller endast själva registreringen i det nationella registret. Möjligheten att återkalla samtycke finns alltid och underlättas med den ökade spårbarhet som följer med det centrala registret.
32
Summary
The 2012 Research and Innovation Bill (Government Bill 2012/13:30) notes that Swedish registers are unique in many respects. Combining data from them yields great opportunities for research. There are a number of important questions that can be answered by means of various registers and bodies of data.
Against this background, the Government has commissioned the Swedish Research Council to institute a function with the task of improving access to register data and facilitating their use for re- search purposes.
Statements made in the bill also constitute the background to this committee of inquiry. The committee's terms of reference give pro- minence to the potential existence of legal impediments to register- based research. My task has been to analyse these impediments and to submit legislative and other proposals in order to
•increase the extent to which agencies responsible for registers may disclose data for research purposes with regard paid to the pro- tection of the individual's privacy,
•facilitate joint processing of register data for research purposes and
•make possible the
With regard to the last point, this task is further specified in the terms of reference. The terms speak of the need for being able to create “new database infrastructures for definite, but relatively general, research purposes”. I have been asked to make proposals for the building of these infrastructures that can be used by researchers in
33
Summary |
SOU 2014:45 |
various research projects and that can be updated and augmented with new data when performing, e.g. longitudinal studies.
I have also had the task of investigating whether the existing secrecy protection regarding data handled within research is ade- quate to protect the individual's privacy in research.
In the work on this inquiry, I have been assisted by Associate Judge Magdalena Petersson, in the capacity of secretary, and by an expert group with representatives from ministries, government agencies and the research community. During the work, I have had numerous contacts with researchers possessing extensive experience of
What is meant by a register?
In the present context, registers principally refer to structured collec- tions of personal data that have been created at government agencies primarily for purposes other than research. Examples may be given of registers at central government agencies that have been created for administrative or statistical purposes and registers at regions and county councils that have been created for evaluation and quality assurance in health care. Also of great interest in this context are biobanks, which are collections of biological specimens from individuals taken mainly in connection with care and treatment.
However, in the committee's terms of reference, registers also denote certain collections of data that have been primarily created for research purposes. The data in these can be collected from indi- viduals directly or from theagency registers in question. Research registers of this kind are usually created for a specific research pro- ject, but there are also instances of registers being constructed to provide a basis for a number of future research projects that have not initially been defined. In this inquiry, these research registers are called research databases. They are an example of the infra- structure mentioned in the terms of reference.
Why is register data good for research?
It is a great advantage in many contexts for research to have access to extensive bodies of data. Agency registers, which generally contain data on all Swedish residents, or at least all those relevant in some
34
SOU 2014:45 |
Summary |
respect, are invaluable when seeking to describe the state of the popu- lation. The inclusion of all residents means that minorities and un- usual phenomena can also be captured. An example of the latter might be rare diseases.
As a rule, the alternative to using data from registers is the collec- tion of data directly from a sample of individuals. Such sample surveys are sometimes necessary because registers do not contain all the data in which researchers are interested. However, sample surveys may entail certain problems. Often, the research subjects selected are not especially representative. Even when the samples are representative, they often have to be limited, if nothing else, for economic reasons, and a certain loss also has to be accommodated, i.e. that some of those approached do not wish to participate for various reasons. Representativeness, sample size and loss all increase the uncertainty of research results. There are numerous examples of conclusions that have been drawn on the basis of smaller sample studies and proven to be incorrect when tested on the entire population in question.
Researchers are also dependent on extensive bodies of data in contexts other than the study of unusual phenomena. When they want to study how a particular intervention affects different indi- viduals, a sample study might be adequate, but if they want to identify the various causes of a complex social phenomenon, a more exten- sive body of data is required. In longitudinal studies, which follow individuals or study one and the same phenomenon over time, re- gisters are a particular asset. If these involve repeated contact with the individuals, there is a great risk that the sample will dwindle fairly quickly, e.g. because they get tired of participating.
It is often advantageous to be able to combine data that researchers themselves have collected during sample studies with data from registers. If certain data can be retrieved from registers, researchers will be able to limit the number of questions that they need to ask their interviewees. To obtain historical data on an individual parti- cipating in a sample, registers can frequently contain more reliable information than the individual is able to provide from memory. To follow up on the progress of individuals who have participated in a sample study, register data can be used to avoid inconvenien- cing these individuals with repeated questions. Data on all the different individuals involved in various sample surveys can only be found in comprehensive registers.
Data on individuals, also sensitive data, is often necessary for research. This is especially true of medical research, whose aim is to
35
Summary |
SOU 2014:45 |
understand the origin and development of diseases and to find cures. At the same time, all processing of personal data entails certain risks to the personal privacy of individuals. The greatest risk is of someone being exposed to the contempt of others if his or her per- sonal circumstances become known. This is the background to the extensive legislation that is designed to protect the personal privacy of individuals and to manage the weighing of various interests that may be required.
Legal prerequisites for
Several international organisations, the United Nations (UN), the Council of Europe, the Organisation for Economic
The Instrument of Government states that everyone shall be protected against significant invasions of their personal privacy, if these occur without their consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. This provision may be restricted by law, but only to satisfy a pur- pose that is acceptable in a democratic society.
PUL governs the processing of personal data. Such data may be collected only if this is legal and only for specific, explicitly stated and justified purposes. It may not be processed for any purpose that is incompatible with that for which the information is collected. Government agencies usually have legal support for the processing of personal data in special register statutes, which, i.a. specify the purpose and the data that may be processed. Under PUL, the pro- cessing of data for historical, statistical or scientific purposes shall not be regarded as incompatible with the purposes for which the information was collected. The aforementioned means that it is
36
SOU 2014:45 |
Summary |
possible, e.g. in research, to make secondary use of data that has been collected for other purposes.
The processing of data for purposes other than the original requires either the consent of the persons concerned to this pro- cessing or its necessity for, e.g. being able to perform a task of public interest. Research might be an example of such a task.
PUL classifies certain personal data as sensitive and prohibited to process. This applies to data disclosing race or ethnic origin, political opinions, religious or philosophical beliefs, membership of a trade union or pertaining to health and sex life. However, following ethics approval, such data, as well as data pertaining to certain kinds of legal offence and biological specimens, may be processed in re- search. Ethics approval is granted pursuant to the Act concerning the Ethical Review of Research Involving Humans (Ethical Review Act) by an ethical review board consisting of
The collection and other processing of personal data by govern- ment agencies is often justified by their need of that data in being able to fulfil their administrative tasks. This may relate to keeping track of the country's residents, to producing electoral registers for general elections, to assessing how much tax citizens should pay and the grants they are entitled to, and so on. In many cases, the data is used for decisions concerning individuals. In cases where agencies have been instructed to process personal data, the benefits from this processing have been assessed to outweigh the risks to personal privacy.
Another aim involved in the processing of personal data by government agencies is the production of statistics or the evaluation and quality assurance of activities. The production of statistics is often based on data from administrative registers, but in some cases, data is collected specifically for statistical purposes.
Official documents held by Swedish agencies are in principle public, but the right of the general public to view such documents may be restricted if called for out of consideration to, e.g. the indi- vidual's personal and financial circumstances. In such cases, there are often varying degrees of secrecy. The strongest secrecy applies
37
Summary |
SOU 2014:45 |
to data that has been collected for statistical purposes. Here, secrecy is absolute, which means that the data is in principle not to be dis- closed.
However, also for this data, there exist certain provisions that override secrecy. For example, the data may be disclosed for research purposes if this can be achieved without risk of damage or harm to the person – or relatives of the person – whom the data concerns. If secret data is disclosed to another agency, such as a university or a university college, for research purposes, secrecy automatically attaches to that data. Where the disclosure is made to another party, it is usually with special reservations designed to provide equivalent protection.
It is the duty of the agency holding the register to consider whether personal data may be disclosed. Where the disclosure is made for research, it is common for the data to be disclosed in anonymised form. This means that researchers do not know which individuals the data concerns. Anonymised data can be coded or
Even if data is anonymised, there may be a risk of ‘reverse identi- fication’, i.e. identifying an individual by compiling a series of data about that person. This is prohibited and, as far as is known, has never occurred in research. It is nevertheless a potential risk that might even increase with advances in computer technology. For this reason, it is important to have a clear set of regulations and security arrangements regarding personal data in research environments as well.
In some cases, particularly in medical research, there are instances of the disclosure of identifiable data. Often, the purpose is to allow researchers to contact the individuals in question or to check register data with data from patient records.
38
SOU 2014:45 |
Summary |
Privacy and
Responsibility for the processing of personal data in research lies with the responsible research bodies; as a rule, universities and uni- versity colleges. This responsibility ultimately belongs to their boards. There have been no instances of data leaking from research environ- ments. An important explanation for this is the rules for secrecy and secure management that are in force. But like researchers, uni- versities and university colleges also have other strong incentives for ensuring compliance; namely, to allow them to obtain data and conduct research. In addition, researchers are not primarily interested in individuals, but in population patterns.
It was in 2011 that the current provision of the Instrument of Government was introduced regarding the individual's protection against significant invasions of personal privacy, where these occur without consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. The question has been raised of whether the secondary use of personal data in agency re- gisters without consent could be in conflict with this constitutional provision. The effect of collecting data for research could, regard- less of intention, be considered to at least constitute the mapping of personal circumstances.
The Government Bill on a reformed Constitution noted that any assessment of significant invasions must attend, inter alia, to the purpose of processing data. The aim of research is not to map individual persons, but to identify patterns in a population. The processing of data from agency registers has its legal basis in the special register statutes that exist for agency registers and in PUL's provision stating that processing for scientific purposes is not in- compatible with the original purposes for the processing of that data.
The legislator's intention is not likely to have been to prevent this processing of personal data in research. Also in the bill concer- ning the processing of personal data at the Institute for Evaluation of Labour Market and Education Policy (IFAU), the Government noted that the ‘IFAU database’ is not in conflict with the Con- stitution. However, it was the Government's assessment that con- sidering this case involves the retention of a lot of data for a long period, it is plausible that there is a legal basis for the database.
My conclusion is that
39
Summary |
SOU 2014:45 |
personal privacy of individuals, but that it is important that there be clear legal support for this activity.
According to the proportionality principle, central government should not impose restrictions or obligations beyond what is neces- sary to achieve the goal of a measure. The goal of
There are great advantages to being able to use register data in research. There is knowledge to be gained through such research that is difficult to gain with other methods. The risk of leaks and attendant harm to respondents is small. This is particularly true when data is disclosed in anonymised form, but even otherwise. When the benefits are weighed against the risks,
Experience from the Nordic countries
The prerequisites for
Background, present situation and challenges
There are four important sources of data for
Agency registers have been created primarily for purposes other than research. It is not possible for quality and documentation to always meet the needs of research. Data often needs to be processed
40
SOU 2014:45 |
Summary |
before they can be used in research. There is potential for develop- ment in this respect.
Quality registers in health care are constructed on the basis of interventions, disease episodes or chronic illnesses. They are of varying quality, but a major investment is now being undertaken by the Government and health care providers to increase quality and accessibility. At present, there are around 80 certified quality registers. Certification means that they meet certain quality standards. The current development programme covers the period
Biobanks contain biological specimens. There are about 600 bio- banks in Sweden, of which half are with health care providers and around 50 at universities that conduct medical research. One challenge is to increase the traceability of biobank specimens to make them more available to research.
There are many different kinds of research register. Most have been created for specific research projects. The Swedish National Data Service (SND) is a national resource for the coordination of existing and new research registers in the social sciences, humanities and medicine. SND is currently a joint project between the Swedish Research Council and the University of Gothenburg. One of its aims is for data collected for specific research to be made available and to be reusable in new research projects. However, the Data Inspection Board has determined that SND does not have the right to maintain registers containing personal data, by which is meant data that can in some way be identified (e.g. where a code key is still held). This represents a serious limitation of SND's activities.
The use of sensitive personal data or biological specimens in research requires ethical permission. When data is to be provided in anonymised form, the ethical review boards assess the risks as minor and grant permission as a matter of routine. This assessment is well in line with that made in some appeal matters considered by a court or by the Government. For the disclosure of such data in Denmark and Finland, these countries have chosen to work with general ethical permissions for certain authorised organisations. In Sweden, it should be possible to test a simplified process. Many of those concerned also perceive the forms that researchers have to fill in for ethics applications to be more detailed than necessary. There may be reason to review these forms, e.g. under the Register Data Council recently created by the Swedish Research Council.
41
Summary |
SOU 2014:45 |
Over the past ten years, Statistics Sweden (SCB) has developed a system for remote access to data. It is called MONA, Microdata Online Access. The system is used to make data available, not only from SCB but from most central government agencies responsible for official statistics. Researchers use a terminal in their work environment to connect to MONA and can process data without this leaving SCB. Processed data, in the form of, e.g. tables, may then be sent to researchers by
There appear to be no legal impediments to providing data for research. The problems that may exist are instead found at the administrative level. For SCB, and also other agencies, research is not a priority task. In December 2012, the Statistics Inquiry pro- posed that SCB be instructed to make it a priority to supply data for research. The Ministry of Finance has announced that it intends to propose such an amendment, but no decision has yet been made. It is urgent that this be done as soon as possible. There may also be reason to make corresponding adjustments to the instructions of other agencies.
A register service unit has now been created at the National Board of Health and Welfare. At present, SCB is conducting an internal investigation with a somewhat similar aim in view. It is urgent that SCB also should create a central research service unit.
Much of today's research takes place in international collabora- tion. The disclosure of data across national borders is a challenge. These are complicated issues that have not been possible to analyse within the scope of this inquiry. However, discussions between the central agencies for statistics in the Nordic countries have recently been initiated by the Nordic Council and its research council, NordForsk, and are in progress.
Joint processing of data from various registers is often necessary in research. Even when multiple agencies are involved, this joint processing appears to be functioning relatively well. Where statistical agencies disclose sensitive data among themselves to facilitate joint processing, the legal basis for doing so has been questioned on occasion. It has also been questioned if there is a legal basis with regard paid to secrecy to disclose secret data to another agency to faciliate joint processing of data on behalf of a third agency. My
42
SOU 2014:45 |
Summary |
conclusion is that this processing can be carried out according to existing law.
Joint processing could be facilitated through the development of a ‘federated system’. This involves the retrieval of data from various sources to a trusted location, an institution that all the data owners trust and to which they can provide access to data without concern for its being spread. Connected to a trusted location of this kind, researchers work in the same way as in the current MONA system. Data is retrieved electronically to this trusted location directly from the sources without any transfer of data among the agencies taking place. In its Research and Innovation Bill, the Government was positive towards such a solution and stated that this would be investigated separately. However, no such initiative has been taken. A federated solution requires extensive technological development. Achieving a solution of this kind is likely to require a government initiative, possibly in coopeartion with the University of Umeå which has recently initiated av development program in this field.
SND is an important infrastructure for Swedish research. It is important that SND should become a permanent activity and be given reasonable conditions to fulfil its tasks. Today, researchers deposit copies of their data with SND. It would be advantageous if SND could become an archiving agency where original data could be deposited. As an archiving agency, SND would also become the controller of personal data for the information held, which would tackle the Data Inspection Board's objections to the current order. Norway and Denmark have organised corresponding activities in another way: in Norway as an independent organisation under the Ministry of Education and Research, and in Denmark as part of the State Archives. The Norwegian solution appears to be the most attractive with respect to the independence and development of the activity. The Government should appoint a committee of inquiry to draft a
Assessments and proposals
Ethical Review
To simplify the management of matters where the research aim is to use only anonymised data from agency registers, it is proposed that the boards be able to delegate such matters to the chair.
43
Summary |
SOU 2014:45 |
It is further proposed that researchers should have the right to receive an opinion from the ethical review board on research projects that do not fall under the Ethical Review Act. The opportunity to request such an opinion exists today, but the board itself deter- mines whether or not it wants to give an opinion.
It is also proposed that disclosure from research databases should always require ethical permission, regardless of whether this involves sensitive personal data.
Code key procedure
When data is disclosed in anonymised form, the disclosing agency may retain a code key that makes it possible to supplement the data later on. This possibility has primarily arisen to enable longitudinal studies, where the same individuals or phenomena are followed for a long period, and similar studies.
In longitudinal studies, the disclosing agency and researchers agree on how long the code key is to be retained. Normally, it is retained for three years with the possibility of extension. The dis- closing agency may, however, be reluctant to retain the code key if it feels that the research questions have changed.
A code key might also be created and retained for other research projects, but normally for a considerably shorter period, usually three months. The aim is to be able to supplement disclosed data if some- thing has gone wrong or if the researcher has overlooked something in the application.
There are several reasons for the standard retention of code keys for a longer period. Linking retention to the posing of the same research questions does not seem to be reasonable. It is natural for the research questions in a longitudinal study to be successively modified. During an ongoing project, a researcher might find that data needs supplementing even if this was not anticipated when the data was requested. Besides this, it is important in all research to provide opportunities for replication or for
In light of this, it is proposed that code keys be retained at the disclosing agency for twenty years from the date of disclosure with the possibility of prolongation.
44
SOU 2014:45 |
Summary |
A new secrecy provision
To maintain public confidence in research, it is important for the regulatory framework to provide for the protection of the indi- vidual's privacy. Today, there are several different provisions that entail the secrecy of personal data processed in research. However, the regulations are not easy to survey, which can create uncertainty.
The Public Access to Information and Secrecy Act contains a specific provision on statistical secrecy. Data collected for statistical purposes is protected by absolute secrecy. The preparatory works to the legislation invoke three reasons for statistical secrecy. The interest of public access to such data is considered to carry little weight. A compilation of data which is, in itself, innocuous can sometimes be sensitive with respect to privacy. And a respondent must feel confident that his or her information is not revealed. These reasons also speak in favour of a corresponding secrecy protection for data collected for research.
Against this background, a corresponding research secrecy is proposed. This entails that personal data collected for research is always protected by absolute secrecy. As is the case for data collected for statistical purposes, there should be a provision that overrides secrecy for this data collected for research purposes to the effect that it can be used for other research if certain conditions are met.
This secrecy also carries a duty of confidentiality for those handling the data.
It is not only important for personal data to be protected by secrecy, but also for it to be processed in accordance with existing rules and in technically secure systems. All major universities and most university colleges have personal data representatives, whose task is to ensure that the controller of personal data, i.e. the higher education institution, complies with existing rules. In many cases, personal data representatives do not appear to have the resources and status necessary to perform this task satisfactorily. It is the boards of the higher education institutions that have the ultimate responsibility for ensuring that this activity functions satisfactorily. I propose that the Government in its annual instructions to univer- sities and university colleges should request them to give even more inportance to the protection and security of processing personal data, e.g. by strengthening the position of the personal data repre- sentatives, and report taken measures back to the Government.
45
Summary |
SOU 2014:45 |
Research databases
The committee's terms of reference give prominence to the difficulties under current law in creating research databases for definite, but relatively general, research purposes. The Data Inspection Board has taken a hesitant view towards research databases for general pur- poses. It has also questioned the legality of the consent given by individuals when supplying data to such databases. The Ethical Review Act only allows the granting of ethics approval to specific research projects. Disclosing agencies find themselves prevented from disclosing data to databases where the specific research questions are unknown. In other words, there are currently no legal prere- quisites for such research databases.
The Government and the Riksdag have in some cases passed special enactments to make research databases possible. One example is the act governing the ‘IFAU database’ and another the act gover- ning certain registers for research on the significance of heredity and environment for human health (the “LifeGene Act”). Statistics Sweden also has a couple of such databases that are partly used for research.
According to an inventory commissioned by the Swedish Research Council, there are about an additional fifty research databases in Sweden. These may, for example, have been created a long time ago, before the current regulations were in place, have been built around a specific research project or approved through a generous inter- pretation of the Ethical Review Act.
The introduction of a special act on research databases is pro- posed. The idea is that this will state some general rules for research databases, but that each database will be supplemented with a government ordinance to regulate what further details should apply, e.g. purpose and content. The purpose of the research databases is to create a basis for research and to disclose data for research projects. Disclosure will always require ethics approval.
A ‘research database’ is an infrastructure that will be capable of use in future research projects by several different researchers from different higher education institutions and within different disciplines. The projects are not known when the database is created.
It should be possible to create research databases at state universi- ties, university colleges and other public agencies commissioned to do reserach. The Swedish Research Council should be commissioned to propose to the Government which research databases should
46
SOU 2014:45 |
Summary |
exist. The Swedish Research Council should also enter agreements with the host universities regarding funding, organisation and accessi- bility. Funding should be secured for eight years ahead. Research databases are to be evaluated every eight years, preferably by an international evaluation group.
The controller of personal data, i.e. the higher education insti- tution or other agency concernded, shall restrict its employees' electronic access to personal data to what each one needs to carry out tasks relating to the database. Administration of the research database shall be performed by a special and distinct unit.
The data collected in the research database will be retrievable from various sources. Certain data can be collected directly from individuals; other data can be retrieved from existing registers. En- suring that the agencies are able to submit data to the research data- bases requires provisions on the obligation to provide information with respect to these. The special ordinances that will be in force for each research database should govern which agencies will be obligated to disclose data and which data this obligation will cover.
Individuals will be able to submit data and give informed consent to its being processed for the purposes specified in the ordinance for the research database.
The data in a research database will be protected by absolute secrecy, but with certain exceptions. Individuals will have the right to obtain, upon request, an extract of identifiable data registered in the database.
National biobank register
The Swedish biobank register is today a regional system. The register is held at six regional biobank centres operated by regions and county councils. The existence of a national biobank register would facilitate the traceability of biobank specimens in a variety of con- texts. A register of this kind was proposed a few years ago by the state Biobank Inquiry. Its proposals have, for various reasons, not resulted in legislation.
In light of this, the present inquiry proposes that the Swedish biobank register be remodelled into a national system for the re- gistration of biobank specimens, the National biobank register. It is proposed that the National Board of Health and Welfare become the register's controller of personal data.
47
Summary |
SOU 2014:45 |
Processing of data in the register will be allowed in order to facilitate traceability in the care and treatment of the registered per- son, in research, quality assurement and the production of statistics and in the destruction or
The data that may be registered relates primarily to the donor's identity, the donor's position on the handling of the specimens (consent), the nature of the tissue specimens, the biobank in which they are held and data on diagnosis and analysis results.
Absolute secrecy applies to the data contained in the register, but with provisions that override secrecy for, e.g. research. It will also be possible to disclose data in matters concerning the individual's care and treatment.
Registration is based on consent, i.e., when the biological specimen is stored in a bank, the individual takes a position on how it may be processed. However, the specimens already held in biobanks may be registered without specific consent. It should be emphasised that the persons concerned have consented to the specimens being stored in the biobank and how they may be used. The absence of consent applies only to the actual registration in the national register. The opportunity to withdraw consent always exists and is facilitated by the increased traceability that comes with the central register.
48
1 Författningsförslag
1.1Förslag till
lag om ändring av lagen (2001:99) om den officiella statistiken
Härigenom föreskrivs att 16, 17 och 18 §§ lagen (2001:99) om den officiella statistiken ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
16 §
När en statistikansvarig myn- dighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i sam- band med utlämnandet förse upp- gifterna med en beteckning som hos den statistikansvariga myn- digheten kan kopplas till per- sonnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En så- dan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.
Författningsförslag |
SOU 2014:45 |
Om en uppgift rättats, blocke- rats eller utplånats hos den sta- tistikansvariga myndigheten skall myndigheten vidta de åtgärder som behövs för att uppgifterna skall kunna ändras hos den som uppgifterna lämnats ut till.
randet av kodnyckeln kan där- efter förlängas av den myndighet som bevarar den eller på ansökan av forskningshuvudman som an- vänder uppgifter som kodnyckeln är kopplad till.
Om en uppgift rättats, blocke- rats eller utplånats hos den sta- tistikansvariga myndigheten ska myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.
17 §
Uppgifter som lämnats ut i fall som avses i 16 § första stycket får av den som uppgifterna lämnas ut till behandlas endast för forskning eller statistik.
50
SOU 2014:45 |
Författningsförslag |
18 §
Den som har fått personupp- gifter som avses i 16 § första stycket behöver inte lämna infor- mation till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna upp- gifter.
Denna lag träder i kraft den 1 januari 2016.
51
Författningsförslag |
SOU 2014:45 |
1.2Förslag till
lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor
Härigenom föreskrivs i fråga om lagen (2003:460) om etikpröv- ning av forskning som avser människor
dels att 3 och 27 §§ ska ha följande lydelse
dels att det i lagen ska införas en ny paragraf, 5 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §1
Denna lag ska tillämpas på forskning som innefattar behandling
av |
|
|
|
|
|
|
|
|
|
1. känsliga |
personuppgifter |
1. känsliga |
|
personuppgifter |
|||||
enligt 13 § personuppgiftslagen |
enligt |
13 § personuppgiftslagen |
|||||||
(1998:204), eller |
|
|
(1998:204), |
|
|
|
|
||
2. personuppgifter |
om |
lag- |
2. personuppgifter |
om |
lag- |
||||
överträdelser |
som |
innefattar |
överträdelser |
som |
innefattar |
||||
brott, domar i brottmål, straff- |
brott, domar i brottmål, straff- |
||||||||
processuella |
tvångsmedel |
eller |
processuella |
tvångsmedel |
eller |
||||
administrativa frihetsberövanden |
administrativa frihetsberövanden |
||||||||
enligt 21 § personuppgiftslagen. |
enligt 21 § personuppgiftslagen, |
||||||||
|
|
|
|
eller |
|
|
|
|
|
|
|
|
|
3. personuppgifter i en forsk- |
|||||
|
|
|
|
ningsdatabas som förs med stöd |
|||||
|
|
|
|
av lagen (0000:00) om forsknings- |
|||||
|
|
|
|
databaser. |
|
|
|
|
|
|
|
|
|
5 a § |
|
|
|
|
|
|
|
|
|
En |
regional |
etikprövnings- |
|||
|
|
|
|
nämnd ska på begäran lämna |
|||||
|
|
|
|
rådgivande yttranden över forsk- |
|||||
|
|
|
|
ning som avser |
människor |
i de |
fall forskningen inte omfattas av denna lag. Nämnden får även lämna rådgivande yttranden över
1 Senaste lydelse SFS 2008:192
52
SOU 2014:45 Författningsförslag
arbeten som utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå.
27 §
En avdelning är beslutför med ordföranden ensam vid
– förberedande åtgärd, |
1. förberedande åtgärd, |
– rättelse av skrivfel och lik- |
2. rättelse av skrivfel och lik- |
nande, |
nande, |
– annat beslut som inte inne- |
3. annat beslut som inte inne- |
bär något slutligt avgörande av |
bär något slutligt avgörande av |
ett ärende, och |
ett ärende, |
– prövning av fråga om avvis- |
4. prövning av fråga om avvis- |
ning eller avskrivning av ärende. |
ning eller avskrivning av ärende, |
|
och |
|
5. prövning av ärende som av- |
|
ser forskning som endast innefattar |
|
behandling av personuppgifter som |
|
hämtats från myndighetsregister |
|
med uppgifter som primärt samlats |
|
in för andra ändamål än forskning |
|
och som inte genom namn, annan |
|
identitetsbeteckning eller liknan- |
|
de förhållande är direkt hänförlig |
|
till den enskilde. |
Ordföranden får lämna över |
Ordföranden får lämna över |
sådana uppgifter som avses i |
sådana uppgifter som avses i |
första stycket till en föredragande |
första stycket |
vid nämnden. |
gande vid nämnden. |
En avdelning får lämna över till ordföranden eller någon annan ledamot att efter prövning i sak avgöra ett visst ärende eller ären- den som är sådana att tidigare vägledande avgöranden kan tillämpas eller som annars är av sådant slag att de inte behöver avgöras av avdelningen.
1.Denna lag träder i kraft den 1 januari 2016.
2.Bestämmelsen i 27 § gäller i sin äldre lydelse beträffande ärenden som inkommit till etikprövningsnämnden före ikraft- trädandet.
53
Författningsförslag |
SOU 2014:45 |
1.3Förslag till
lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretess- lagen (2009:400)
dels att 10 kap. 23 och 27 §§, 11 kap. 3 §, 24 kap. 1 och 9 §§ samt 25 kap. 11 och 18 §§ ska ha följande lydelse,
dels att 24 kap. 4 § ska upphöra att gälla,
dels att rubriken till 24 kap. 1 § ska ha följande lydelse,
dels att det i 24 kap. ska införas en ny paragraf, 15 a §, av följande lydelse.
Nuvarande lydelse |
|
Föreslagen lydelse |
|||
|
|
|
10 kap. |
|
|
|
|
|
23 §2 |
|
|
Om inte annat följer av 19– |
Om inte annat följer av 19– |
||||
22 §§ får en uppgift som angår |
22 §§ får en uppgift som angår |
||||
misstanke om ett begånget brott |
misstanke om ett begånget brott |
||||
och som är sekretessbelagd en- |
och som är sekretessbelagd en- |
||||
ligt 24 kap. 2 a eller 8 §, 25 kap. |
ligt 24 kap. 1, 2 a eller 8 §, |
||||
1 §, 2 § andra |
stycket eller 3– |
25 kap. 1 §, 2 § andra stycket, 3– |
|||
8 §§, |
26 kap. |
29 kap. |
8 eller |
15 a §§, 26 kap. |
|
1 §, 31 kap. 1 § första stycket, 2 |
29 kap. |
1 §, 31 kap. 1 § första |
|||
eller |
12 §, 33 kap. 2 §, |
36 kap. |
stycket, 2 eller 12 §, 33 kap. 2 §, |
||
3 § eller 40 kap. 2 eller 5 § lämnas |
36 kap. |
3 § eller 40 kap. 2 eller |
|||
till en åklagarmyndighet, polis- |
5 § lämnas till en åklagarmyndig- |
||||
myndighet eller någon |
annan |
het, polismyndighet eller någon |
|||
myndighet som har till uppgift |
annan myndighet som har till |
||||
att ingripa mot brottet endast |
uppgift att ingripa mot brottet |
||||
om misstanken angår |
|
endast om misstanken angår |
1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse
iett år,
2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till över-
2 Senaste lydelse SFS 2013:795.
54
SOU 2014:45 |
Författningsförslag |
föring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smitt- skyddslagen (2004:168).
27 §3
Utöver vad som följer av 2, 3, 5 och
som sekretessen ska skydda. |
|
||
Första stycket gäller inte i |
Första stycket gäller inte i |
||
fråga om sekretess enligt 24 kap. |
fråga om sekretess enligt 24 kap. |
||
2 a och 8 §, |
25 kap. |
1, 2 a och 8 §§, 25 kap. |
|
26 kap. |
29 kap. |
1 och |
15 a §§, 26 kap. |
2 §§, 31 kap. 1 § första stycket, |
och 2 §§, 31 kap. 1 § första |
||
2 och 12 §§, 33 kap. 2 §, 36 kap. |
stycket, 2 och 12 §§, 33 kap. 2 §, |
||
3 § samt 40 kap. 2 och 5 §§. |
36 kap. 3 § samt 40 kap. 2 och |
||
|
|
|
5 §§. |
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av per- sonuppgiftslagen (1998:204).
11 kap.
3 §
Får en myndighet i sin forsk- |
Får en myndighet en uppgift |
ningsverksamhet från en annan |
som är belagd med sekretess enligt |
myndighet en sekretessreglerad |
24 kap. 1 § från en annan myn- |
uppgift, blir sekretessbestämmel- |
dighet, blir sekretessbestämmel- |
sen tillämplig på uppgiften även |
sen tillämplig på uppgiften även |
hos den mottagande myndig- |
hos den mottagande myndig- |
heten. |
heten. |
Första stycket tillämpas inte på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
|
24 kap. |
|
1 § |
Psykologisk undersökning |
Forskning |
Sekretess gäller för uppgift som hänför sig till psykologisk under- sökning som utförs för forsknings-
Sekretess gäller i forsknings- verksamhet för uppgift som avser en enskilds personliga eller ekono-
3 Senaste lydelse SFS 2013:795.
55
Författningsförslag |
SOU 2014:45 |
ändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon när- stående till denne lider men.
För uppgift i en allmän hand- ling gäller sekretessen i högst sjuttio år.
miska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forskningsända- mål eller uppgift som behövs i en utredning av oredlighet i forskning eller för att yttrande ska kunna lämnas i samband med sådan ut- redning får dock lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
Sekretess enligt första stycket gäller också i verksamhet som av- ser förande av eller uttag ur data- baser enligt lagen (0000:00) om forskningsdatabaser.
För uppgift i en allmän hand- ling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
Med forskning avses i denna paragraf detsamma som enligt lag (2003:460) om etikprövning av forskning som avser människor.
9 §4
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnads- plikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten en- ligt 1 kap. 1 § tryckfrihetsför- ordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra upp- gifter.
4 Senaste lydelse SFS 2013:795.
56
SOU 2014:45 |
Författningsförslag |
Den tystnadsplikt som följer av 2 § inskränker rätten att med- dela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
25 kap.
11 §5
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1.från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2.från en myndighet som bedriver verksamhet som avses i 1 § i ett landsting till en annan sådan myndighet i samma landsting,
3.till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt vad som föreskrivs om sam- manhållen journalföring i patientdatalagen (2008:355),
4.till ett nationellt eller regionalt kvalitetsregister enligt patient- datalagen,
5.till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret,
5. från en myndighet som be- |
6. från en myndighet som be- |
driver verksamhet som avses i |
driver verksamhet som avses i |
1 § inom en kommun eller ett |
1 § inom en kommun eller ett |
landsting till annan sådan myn- |
landsting till annan sådan myn- |
dighet för forskning eller fram- |
dighet för forskning eller fram- |
ställning av statistik eller för |
ställning av statistik eller för |
administration på verksamhets- |
administration på verksamhets- |
området, om det inte kan antas |
området, om det inte kan antas |
att den enskilde eller någon när- |
att den enskilde eller någon när- |
stående till den enskilde lider men |
stående till den enskilde lider men |
om uppgiften röjs, eller |
om uppgiften röjs, eller |
6. till en enskild enligt vad som |
7. till en enskild enligt vad |
föreskrivs i |
som föreskrivs i |
–lagen (1988:1473) om undersökning beträffande vissa smitt- samma sjukdomar i brottmål,
–lagen (1991:1129) om rättspsykiatrisk vård,
–smittskyddslagen (2004:168),
–6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
5 Senaste lydelse SFS 2010: 214
57
Författningsförslag |
SOU 2014:45 |
–lagen (2006:496) om blodsäkerhet, eller
–lagen (2008:286) om kvalitets- och säkerhetsnormer vid han- tering av mänskliga vävnader och celler.
15 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur det register som förs enligt lagen (0000:00) om Nationella bio- banksregistret vad gäller uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträck- ning som framgår av den lag som avses i första stycket, om det står klart att uppgiften kan röjas utan att den enskilde eller någon när-
|
|
stående till denne lider men. |
|
|
För uppgift i en allmän hand- |
|
|
ling gäller sekretessen i högst sjuttio |
|
|
år. |
|
18 § 6 |
|
Den tystnadsplikt som följer |
Den tystnadsplikt som följer |
|
av 7, 9, 16, 17 och 17 a §§ in- |
av 7, 9, 15 a, 16, 17 och 17 a §§ |
|
skränker rätten enligt 1 kap. 1 § |
inskränker rätten enligt 1 kap. |
|
tryckfrihetsförordningen |
och |
1 § tryckfrihetsförordningen och |
1 kap. 1 och 2 §§ yttrandefri- |
1 kap. 1 och 2 §§ yttrandefri- |
|
hetsgrundlagen att meddela och |
hetsgrundlagen att meddela och |
|
offentliggöra uppgifter. |
|
offentliggöra uppgifter. |
Den tystnadsplikt som följer av
Den tystnadsplikt som följer av 8 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift i anmälan till Inspektionen för vård och omsorg eller Hälso- och sjukvårdens ansvarsnämnd.
6 Senaste lydelse SFS 2013:626.
58
SOU 2014:45 |
Författningsförslag |
Denna lag träder i kraft den 1 januari 2016.
59
Författningsförslag |
SOU 2014:45 |
1.4Förslag till
lag om ändring i patientsäkerhetslagen (2010:659)
Härigenom föreskrivs att 6 kap. 12 § patientsäkerhetslagen (2010:659) att ska ha följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
12 §
Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Tystnadsplikt som gäller för en uppgift om en patients hälso- tillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.
Tystnadsplikt enligt första stycket hindrar inte att uppgift lämnas till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret.
För det allmännas verksamhet gäller offentlighets- och sekretess- lagen (2009:400).
Denna lag träder i kraft den 1 januari 2016.
60
SOU 2014:45 |
Författningsförslag |
1.5Förslag till
lag (20xx:xx) om forskningsdatabaser
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Statliga universitet eller högskolor som omfattas av högskole- lagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning får utföra behandling av personuppgifter för de ändamål som anges i 5 §.
Lagen gäller bara om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Om personuppgifter samlas in direkt från den enskilde får person- uppgifterna behandlas endast om han eller hon har fått den informa- tion som anges i 17 § och lämnat sitt uttryckliga samtycke till be- handlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204).
Definitioner
2 § I denna lag avses med
forskningsdatabas: en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.
forskning: detsamma som enligt lag (2003:460) om etikprövning av forskning som avser människor.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
61
Författningsförslag |
SOU 2014:45 |
Personuppgiftsansvar
4 § De statliga myndigheter som utför behandlingen av person- uppgifter är personuppgiftsansvariga.
Ändamål
5 § Personuppgifter i en forskningsdatabas får behandlas för ända- målen att
1.skapa underlag för olika forskningsprojekt och
2.lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv, dock inte i fråga om personupp- gifter som inte direkt kan hänföras till en person.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6§, lämnas ut om det finns en skyldig- het enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Behandlingen av personuppgifter i forskningsdatabasen
8 § Uppgifter som hämtats från andra myndighetsregister för de ändamål som anges i 5 § får behandlas under förutsättning att upp- gifterna inte direkt kan hänföras till en person, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att behandling av identifierbara uppgifter får ske.
62
SOU 2014:45 |
Författningsförslag |
Kodnyckelförfarande
9 § Om de personuppgifter som lämnas ut från forskningsdata- basen inte direkt kan hänföras till en enskild ska den personupp- giftsansvarige i samband med utlämnandet förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning. En förteckning över beteck- ning och personnummer (kodnyckel) ska bevaras hos den person- uppgiftsansvarige i tjugo år från utlämnandet av de uppgifter som kodnyckeln avser. Tiden för bevarandet av kodnyckeln kan därefter förlängas av den myndighet som bevarar den eller på ansökan av den forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.
Om en uppgift rättats, blockerats eller utplånats i forsknings- databasen ska den personuppgiftsansvariga myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.
Den som har fått personuppgifter enligt första stycket behöver inte lämna information till den registrerade om att uppgifter behand- las, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registre- rade rätta, blockera eller utplåna uppgifter.
Innehåll
10 § En forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas en- ligt 5 §.
Sökbegrepp
11 § Som sökbegrepp i en forskningsdatabas får användas upp- gifter som enligt 10 § får ingå i en forskningsdatabas.
Utlämnande genom direktåtkomst
12 § Utlämnande genom direktåtkomst till personuppgifter i databasen får inte förekomma.
63
Författningsförslag |
SOU 2014:45 |
Förbud mot bakvägsidentifiering
13 § Personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av denna lag får inte behandlas i syfte att röja en persons identitet.
Intern elektronisk åtkomst
14 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.
Gallring
15 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Information
16 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om in- formation efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person.
17 § Innan en person lämnar sitt samtycke enligt 1 § tredje stycket ska han eller hon ha informerats om
1.att det är frivilligt att lämna uppgifter,
2.för vilka ändamål behandling kan ske enligt 5, 6 och 7 §§ och vilka uppgifter som får registreras enligt 10 §,
3.de sekretess- och säkerhetsbestämmelser som gäller för data- basen,
4.vem som är personuppgiftsansvarig,
5.hur länge uppgifterna kan komma att sparas,
6.rätten till rättelse av uppgifterna,
64
SOU 2014:45 |
Författningsförslag |
7.rätten till information enligt 26 § personuppgiftslagen (1998:204),
8.rätten till skadestånd, och
9.rätten att få uppgifter utplånade.
Rättelse och skadestånd
18 § Bestämmelserna om rättelse och skadestånd i 28 och 48 §§ personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
Ansvar
19 § Den som bryter mot 13 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken eller personuppgiftslagen. I ringa fall döms inte till ansvar.
Ytterligare föreskrifter
20 § Regeringen meddelar ytterligare föreskrifter om
1.vilka statliga myndigheter som får föra forskningsdatabaser enligt denna lag och vilka forskningsdatabaser enligt lagen som får föras,
2.begränsning av de i 5 § angivna ändamålen,
3.begränsningar av de uppgifter som en forskningsdatabas enligt 10 § får innehålla,
4.begränsningar av behandling av uppgifter i en forskningsdatabas,
5.begränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas
6.uppgiftsskyldighet och
7.begränsningar i rätten till intern elektronisk åtkomst.
Denna lag träder i kraft den 1 januari 2016.
65
Författningsförslag |
SOU 2014:45 |
1.6Förslag till
lag (20xx:xx) om Nationella biobanksregistret
Lagens tillämpningsområde
1 § Socialstyrelsen får utföra helt eller delvis automatiserad behand- ling av uppgifter i Nationella biobanksregistret.
Personuppgiftsansvar
2 § Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i Nationella biobanksregistret.
Förhållande till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.
Den registrerades inställning till personuppgiftsbehandling
4 § Uppgifter om vävnadsprover i en biobank enligt lag (2002:297) om biobanker i hälso- och sjukvården m.m. som behandlas när denna lag träder i kraft får inte behandlas i Nationella biobanks- registret om den registrerade motsätter sig det.
Uppgifter om vävnadsprover i en biobank som avses i första stycket som börjar behandlas efter ikraftträdandet av denna lag får inte registreras i Nationella biobanksregistret utan att den som uppgifterna avser har samtyckt till att personuppgifter behandlas enligt denna lag.
Underåriga
5 § Personuppgifter som avses i 4 § första stycket och som avser en underårig får inte behandlas i Nationella biobanksregistret om den underåriges vårdnadshavare motsätter sig det.
Personuppgifter som avses i 4 § andra stycket och som avser en underårig får inte registreras i Nationella biobanksregistret utan att
66
SOU 2014:45 |
Författningsförslag |
den underåriges vårdnadshavare fått sådan information som anges i 12 § och därefter lämnat sitt samtycke.
Har den underårige uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan gäller vad som sagts den under- årige själv.
Ändamål
6 § Uppgifter i Nationella biobanksregistret får behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjuk- vården m.m. i syfte att möjliggöra
1.vård och behandling av den registrerade,
2.forskning, kvalitetssäkring och framställning av statistik, och
3.förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke.
7 § Uppgifter som behandlas enligt 6 § får också lämnas ut om det finns en skyldighet enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Innehåll
8 § Nationella biobanksregistret får endast innehålla uppgifter som avser
1.provgivares identitet,
2.vilka andra personer som har att ta ställning till bevarande av vävnadsprover,
3.ställningstaganden till bevarande av vävnadsprover,
4.vävnadsprovers identitet, karaktär och hantering,
5.vem som behandlar uppgifter eller vävnadsprover,
6.till vem vävnadsprover utlämnas eller överlåts och
7.uppgift om diagnos och analysresultat.
Sökbegrepp
9 § Som sökbegrepp i Nationella biobanksregistret får användas uppgifter som enligt 8 § får ingå i registret.
67
Författningsförslag |
SOU 2014:45 |
Intern elektronisk åtkomst
10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
Direktåtkomst
11 § Utlämnande genom direktåtkomst till uppgifter i registret får inte förekomma.
Information
12 § Innan en person lämnar sitt samtycke enligt 4 § andra stycket ska han eller hon ha informerats om
1.att det är frivilligt att lämna uppgifter,
2.för vilka ändamål behandling kan ske enligt 6 och 7 §§ och vilka uppgifter som får registreras enligt 8 §,
3.de sekretess- och säkerhetsbestämmelser som gäller för registret,
4.vem som är personuppgiftsansvarig,
5.hur länge uppgifterna kan komma att sparas,
6.rätten till rättelse av uppgifterna,
7.rätten till information enligt 26 § personuppgiftslagen (1998:204),
8.rätten till skadestånd, och
9.rätten att få uppgifter utplånade.
Utplåning av uppgifter
13 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara under- tecknad av den registrerade själv. Uppgifterna ska utplånas så snart som möjligt.
68
SOU 2014:45 |
Författningsförslag |
Rättelse och skadestånd
14 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid be- handling av personuppgifter i strid med denna lag.
Denna lag träder i kraft den 1 januari 2016.
69
2Direktiv, arbetssätt och disposition
Vetenskapsrådet (VR) initierade i mitten av
Regeringen har uppdragit åt VR att inrätta en särskild funktion för att underlätta registerbaserad forskning. Som ett led i det arbetet har rådet under våren 2014 inrättat ett registerdataråd med representanter från berörda myndigheter och forskningen.
2.1Direktiven
I januari 2013 beslutade regeringen om direktiv för den utredning som härmed presenterar sitt betänkande. I utredningsdirektiven fram- hålls att det kan finnas rättsliga hinder för registerbaserad forskning. Jag har därför fått i uppdrag att analysera dessa och att lämna för- fattningsförslag och andra förslag i syfte att
•registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
•sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
•göra det möjligt att på ett integritetssäkert sätt samla in person- uppgifter till register som förs för särskilda och uttryckligt an-
71
Direktiv, arbetssätt och disposition |
SOU 2014:45 |
givna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.
På den sistnämnda punkten specificeras uppdraget ytterligare i direk- tiven. Det talas där om ett behov av att kunna skapa ”nya databas- infrastrukturer för bestämda, men relativt allmänt hållna, forsknings- ändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och som kan uppdateras och tillföras nya uppgifter vid till exempel longitudi- nella studier.
Jag har även haft till uppgift att undersöka om det befintliga sek- retesskyddet för uppgifter som hanteras inom forskning är tillräck- ligt för att skydda den enskildes integritet vid forskning. Direktiven återfinns i bilaga 1.
2.2Expertgruppen
Till min hjälp i utredningsarbetet har jag haft en expertgrupp med representanter från myndigheter och forskningen. I gruppen har ingått:
Björn Halleröd, professor i sociologi vid Göteborgs universitet. Har forskat om levnadsförhållanden, fördelning av ekonomiska re- surser och ekonomisk utsatthet. Leder i dag projekt om barns levnads- förhållanden i utvecklingsländer och forskning om äldres levnads- förhållanden, det senare inom ramen för forskningscentret AgeCap (Centrum för åldrande och hälsa vid Göteborgs universitet). Har under en följd av år haft uppdrag för VR och är nu vice ordförande i Rådet för infrastruktur.
Mats G Hansson, professor i biomedicinsk etik och föreståndare för Centrum för forskningsetik & bioetik vid Uppsala universitet. Är sedan 1998 aktiv inom forskning kring etiska aspekter av register- och biobanksbaserad forskning. Leder ett flertal arbetspaket kring sådana frågor i europeiska forskningsprojekt och inom BBMRI.se. (Biobanking and Molecular Resource Infrastructure of Sweden).
Cecilia Magnusson Sjöberg, professor vid juridiska fakulteten vid Stockholms universitet. Har lång erfarenhet av juridiken kring infor- mationsteknologin. Är en internationellt etablerad forskare och har varit verksam vid bland annat King’s College i London. Var tidigare innehavare av Kungliga Vetenskapsakademiens forskartjänst i rätts- vetenskap. Är ämnesföreträdare för rättsinformatik på bland annat
72
SOU 2014:45 |
Direktiv, arbetssätt och disposition |
juristprogrammet på Stockholms universitet och medverkar i flera statliga utredningar.
Eva Nilsson, chefsjurist vid Statistiska centralbyrån (SCB). Har mångårig erfarenhet från olika myndigheter av register- och annan integritetslagstiftning. Har medverkat i ett flertal lagstiftnings- arbeten inom området. Leder SCB:s Dataskyddsråd och representerar Sverige i internationella sammanhang rörande konfidentialitets- och tillgängliggörandefrågor inom det statistiska och vetenskapliga om- rådet.
Peter Nilsson, professor i klinisk kardiovaskulär forskning vid Lunds universitet och överläkare vid Skånes universitetssjukhus i Malmö. Har mångårig erfarenhet av epidemiologisk forskning med fokus på kardiovaskulär sjukdom, fetma och diabetes. Leder det strategiska forskningsområdet Epidemiologi för Hälsa (EpiHealth) vid Lunds och Uppsala universitet. Representerar Lunds universitet i BBMRI.se och har publicerat cirka 300 originalartiklar inom olika forskningsområden.
Karin Nylén, chefsjurist vid Myndigheten för vårdanalys. Har på VR:s uppdrag skrivit rapporten Rättsliga förutsättningar för en databasinfrastruktur för forskning. Var tidigare enhetschef vid Social- styrelsen och dessförinnan rättssakkunnig i frågor om bland annat etikprövning, personuppgiftsbehandling och sekretess. Har även arbetat vid Brottsförebyggande rådet (BRÅ) med den typen av inte- gritetslagstiftning.
Petter Odmark, departementsråd och analyschef vid Social- departementet. Har en bakgrund som enhetschef på Socialdeparte- mentet och mångårig erfarenhet från kommittéväsendet i olika utredningar på socialförsäkringsområdet. Leder som analyschef en verksamhet med fokus på kvantitativa analyser inom välfärds- politiken och med en särskild tyngdpunkt på mikrosimulering.
Petra Otterblad Olausson, avdelningschef vid Socialstyrelsen. Har mångårig erfarenhet av utveckling och förvaltning av nationella register, registerbaserad forskning och statistikfrågor liksom av egen registerbaserad forskning. Är ansvarig för Socialstyrelsens verksam- het som rör service till forskare och utlämnande av data för forsk- ningsändamål. Är ledamot av beslutgruppen för nationella kvalitets- register och VR:s registerdataråd.
Magnus Stenbeck, docent i sociologi vid Stockholms universitet. Har mångårig erfarenhet av forskning inom samhällsvetenskap och epidemiologi. Var tidigare ansvarig för analysverksamheten vid Epidemiologiskt centrum på Socialstyrelsen. Är sedan 2007 ansvarig
73
Direktiv, arbetssätt och disposition |
SOU 2014:45 |
för Vetenskapsrådets infrastruktursatsning gällande registerdata. Var sekreterare i statistikutredningen för delbetänkandet om register- forskning och har författat ett femtiotal publikationer inom sam- hällsvetenskap och epidemiologi.
Victoria Söderqvist, jurist vid SCB. Har tidigare arbetat som jurist vid Datainspektionen och vid Karolinska institutet (KI). Har lång efterenhet av att hantera juridiska frågeställningar som upp- kommer vid utförande av forskning, särskilt när det gäller behand- ling av personuppgifter, sekretessfrågor och upprättande av avtal för forskningsfinansiering.
I expertgruppens arbete har också tre sakkunniga från Utbild- ningsdepartementet medverkat:
Per Eriksson, jur.kand. och kansliråd.
Maria Wästfelt, med.dr. och departementssekreterare på forsk- ningspolitiska enheten.
Expertgruppen har sammanträtt fem gånger: vid ett första till- fälle våren 2013 för brain storming kring utredningsuppdraget, där- efter vid tre tillfällen för att diskutera olika underlag som har tagits fram inom och för utredningen. Vid dessa tillfällen har också externa experter medverkat. Till sist har gruppen träffats en gång för att diskutera ett utkast till betänkande.
2.3Kontakter
Jag har under utredningsarbetets gång haft omfattande kontakter med forskare, berörda myndigheter och också företrädare för register- baserad forskning i våra nordiska grannländer.
Jag har gjort dryga tiotalet besök vid olika universitet och träffat ett åttiotal forskare, de flesta med omfattande erfarenheter av re- gisterbaserad forskning. Jag har haft en överläggning med styrelsen för Svensk Nationell Datatjänst (SND). Jag har vidare träffat företrädare för (i bokstavsordning) BBMRI.se, BRÅ, Centrala etik- prövningsnämnden (CEPN), Datainspektionen, Forskningsrådet för hälsa, arbetsliv och välfärd (FORTE), Nationellt Biobanksråd (NBR), regionala etikprövningsnämnder, Riksarkivet, VR, Rätts- medicinalverket, Socialstyrelsen, Statens
74
SOU 2014:45 |
Direktiv, arbetssätt och disposition |
I ett par hearings har såväl forskare som myndighetsföreträdare deltagit.
Jag har besökt våra nordiska grannländer och träffat företrädare för Ministeriet for Forskning, Innovation og Videregående Ud- dannelser, Köpenhamns universitet, Statens Serum Institut och Danmarks statistik i Danmark, Folkehelseinstituttet i Norge och Institutet för hälsa och välfärd (Terveyden ja hyvinvoinnin laitos, THL) i Finland.
Jag har därtill deltagit i en ett antal konferenser och seminarier om registerbaserad forskning i regi av Umeå och Lunds universitet, de regionala etikprövningsnämnderna, Nordforsk, Vetenskapsrådet, SCB, Studieförbundet Näringsliv och Samhälle (SNS) och bokför- laget Borea.
På mitt uppdrag har tre underlagsrapporter skrivits för utred- ningen. Professorerna Robert Erikson och Måns Rosén har skrivit rapporten Stora registermaterial bidrar till bättre forskning, Anders Ekholm med flera rapporten Vad är mikrosimulering? och Joanna Stjernschantz Forsberg rapporten Om registerforskning och inte- gritet.
2.4Disposition
Betänkandet är disponerat på följande sätt.
I kapitel 1 redovisas författningsförslagen.
I kapitel 3 ges en kort introduktion om vad som i detta samman- hang ska förstås med register. Jag beskriver också, likaledes kort, varför myndigheter skapar register med personuppgifter.
I kapitel 4 redovisar jag varför uppgifter ur register kan vara värdefulla för forskningen. Vilka alternativa metoder finns att få fram uppgifter och vilka fördelar och nackdalar finns med olika meto- der?
Kapitel 5 är en omfattande genomgång av de rättsliga förutsätt- ningarna för registerbaserad forskning.
I kapitel 6 diskuterar jag förhållandet mellan personlig integritet och registerbaserad forskning. Vilka är riskerna? Vilka värden står på spel? Hur ska man se på intresseavvägningen mellan värdet av registerbaserad forskning och riskerna för den personliga integriteten?
I kapitel 7 redovisas situationen i våra nordiska grannländer. Mycket är ganska likt i dessa, men i några avseenden finns skillna- der av intresse.
75
Direktiv, arbetssätt och disposition |
SOU 2014:45 |
Kapitel 8 är en genomgång av bakgrunden, nuläget och utma- ningarna för registerbaserad forskning. Hur stora är de problem som pekas ut i utredningsdirektiven? Vilka andra problem finns? Och vilka lösningar står till buds?
I kapitel 9 återfinns mina konkreta förslag.
I kapitel 10 behandlas ikraftträdande och övergångsbestämmelser. I kapitel 11 redovisas ekonomiska och andra konsekvenser av
förslagen och i kapitel 12 finns författningskommentarerna.
2.5Terminologifrågor
Låt mig också redan inledningsvis beröra ett par terminologiska frågor. Det finns en lång rad begrepp som återkommer i diskus- sionen om registerbaserad forskning och som inte är helt entydiga. Låt mig därför redovisa hur jag i två avseenden har valt att använda begreppen.
Anonymiserade, kodade och avidentifierade uppgifter
Uppgifter som lämnas ut från ett myndighetsregister till en forskare kan vara identifierbara, till exempel innehålla personnummer, eller vara anonyma för forskaren. För anonyma uppgifter finns olika be- grepp. Jag väljer att använda begreppet anonymiserade uppgifter för alla uppgifter som forskaren inte har möjlighet att koppla till specifika individer. Uppgifterna kan vara helt avidentifierade. Då har ingen möjlighet att göra en sådan koppling. Men de kan också vara kodade. Forskaren får då ut uppgifterna med till exempel icke- identitetsbärande löpnummer och utlämnande myndighet behåller en kodnyckel som gör det möjligt att hos myndigheten koppla löp- numren till personnummer. Då kan utlämnade uppgifter vid behov kompletteras eller uppdateras. Definitionerna sammanfattas i Figur 1.
I den internationella diskussionen används ibland begreppet pseudonymiserade i stället för kodade. I Sverige avses ibland med avidentifierade uppgifter kodade uppgifter. Det kan också förekom- ma att begreppet anonymiserade används i stället för avidentifiera- de, det vill säga för uppgifter som inte kan identifieras. Det finns även de som förespråkar att man alltid ska använda begreppen kodade och avidentifierade och inte ska ha något samlande namn för upp- gifter som för forskaren är anonyma.
76
SOU 2014:45 |
Direktiv, arbetssätt och disposition |
Begreppsförvirringen blir inte mindre av att även anonymiserade, eller till och med avidentifierade, uppgifter ibland kan återidenti- fieras. Det kallas bakvägsidentifiering och bygger på att man har tillräckligt många uppgifter om en individ för att identifiera honom eller henne. Alla personuppgifter som kan knytas till en levande person är personuppgifter i personuppgiftslagens mening. Även avidentifierade uppgifter kan med andra ord vara personuppgifter.
Figur 1
Identifierbara |
Anonymiserade |
uppgifter |
uppgifter |
Kodade |
Avidentifierade |
Forskningsregister och forskningsdatabaser
Det andra området där begreppen blir viktiga gäller register som primärt upprättas för vetenskapliga ändamål. Uppgiftskällorna för sådana register är i princip desamma: antingen får forskaren upp- gifterna direkt från enskilda individer (forskningspersoner) eller så hämtas de från register eller biobanker där uppgifterna/proverna primärt samlats in för andra ändamål än forskning.
Vad som kan skilja dessa vetenskapliga register åt är om de har skapats för ett specifikt forskningsprojekt eller om avsikten är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när registret byggs upp. De senare registren utgör med andra ord ett slags infrastruktur för framtida forskning (och de nämns som framgått särskilt i utredningsdirektiven). Register som skapas för specifika forskningsprojekt kallar jag i detta betänkande forskningsregister och register av infrastrukturkaraktär, avsedda för framtida forskning, för forskningsdatabaser. Definitionerna sam- manfattas i Figur 2.
Det ska dock noteras att uppgifter i ett forskningsregister som har skapats för ett specifikt forskningsprojekt kan komma att använ- das i andra forskningsprojekt. I Sverige finns en särskild organisation,
77
Direktiv, arbetssätt och disposition |
SOU 2014:45 |
SND, där forskare kan deponera sina forskningsmaterial för att de ska kunna komma till användning i andra projekt.
Figur 2
Forskningsregister: ett register skapat för ett specifikt forskningsprojekt
Forskningsdatabas: ett register av infrastrukturkaraktär, avsett att ge underlag för flera olika framtida forskningsprojekt
2.6Förkortningar
Till sist något om förekommande förkortningar.
De flesta namn på myndigheter, institutioner och författningar kommer i det följande att skrivas ut, men vissa förkortningar före- kommer, i huvudsak följande:
AKU |
Arbetskraftsundersökningarna |
BBMRI.se |
Biobanking and Molecular Resource Infrastructure |
|
of Sweden |
CEPN |
Centrala etikprövningsnämnden |
DISC |
Data Infrastructure Committee |
ERIC |
European Research Infrastructure Consortium |
EU |
Europeiska Unionen |
FASIT |
Fördelnings Analytiskt Statistiksystem för |
|
Inkomster och Transfereringar |
FN |
Förenta Nationerna |
IFAU |
Institutet för arbetsmarknads- och |
|
utbildningspolitisk utvärdering |
IVO |
Inspektionen för vård och omsorg |
KI |
Karolinska Institutet |
78
SOU 2014:45 Direktiv, arbetssätt och disposition
LIS |
Luxemburg Income Study |
LISA |
Longitudinell Integrationsdatabas för |
|
Sjukförsäkrings- och Arbetsmarknadsstudier |
MONA |
Microdata Online Access |
NBR |
Nationellt biobanksråd |
NSD |
Norsk samfunnsvitenskapelig datatjeneste |
OECD |
The Organisation for Economic |
|
and Development |
OSF |
Offentlighets- och sekretessförordningen |
OSL |
Offentlighets- och sekretesslagen |
PKU |
Fenylketonuri (Phenylketonuria) |
PUL |
Personuppgiftslagen |
RBC |
Regionalt biobankscentrum |
RF |
Regeringsformen |
RMV |
Rättsmedicinalverket |
SBR |
Svenska Biobanksregistret |
SESIM |
Swedish Simulation Model |
SCB |
Statistiska centralbyrån |
SHARE |
Survey of Health, Ageing and Retirement in Europe |
SIMSAM |
Swedish Initiative for Research on Microdata |
|
in the Social and Medical Sciences |
SKL |
Sveriges Kommuner och Landsting |
SND |
Svensk Nationell Datatjänst |
SSB |
Statistisk Sentralbyrå (Norge) |
SSI |
Statens Serum Institut (Danmark) |
TF |
Tryckfrihetsförordningen |
THL |
Terrveyden ja hyvinvoinnin laitos, Institutet för |
|
hälsa och välfärd (Finland) |
UGU |
Utvärdering Genom Uppföljning |
79
Direktiv, arbetssätt och disposition |
SOU 2014:45 |
ULF |
Undersökningarna om levnadsförhållanden |
VR |
Vetenskapsrådet |
YGL |
Yttrandefrihetsgrundlagen |
80
3 Vad menas med register?
Vilka faktorer påverkar uppkomsten av sjukdomar? Varför är vissa människor mer förskonade från sjukdomar än andra? Vilken bety- delse har i sammanhanget ärftliga och miljömässiga faktorer? Hur kan sjukdomar förhindras? Eller om de ändå uppkommer, lindras eller i bästa fall botas? På vilket sätt bör insatserna ta hänsyn till individers olika förutsättningar? Hur kan elever med en besvärlig socioekonomisk bakgrund på bästa sätt stödjas i skolan för att få bättre utsikter till ett gott liv? Hur ska välfärdsprogram utformas för att nå bästa möjliga resultat för utsatta individer? Hur påverkar olika skatte- och bidragssystem inkomstfördelningen?
För att kunna svara på sådana frågor måste forskare i allmänhet ha tillgång till uppgifter om individer. De uppgifterna kan de få på i princip två sätt: antingen genom att samla in dem direkt från enskilda eller genom att återanvända uppgifter som redan har samlats in för andra ändamål och som återfinns i myndighetsregister av olika slag.
I det här kapitlet kommer jag att kortfattat beskriva först vad det finns för typer av register med personuppgifter, som har skapats för andra ändamål än forskning, men som kan vara till nytta i forskningen. I kapitel 3 kommer jag att gå närmare in på varför det i många sam- manhang är värdefullt för forskningen att kunna använda uppgifter från sådana register. I slutet av det här kapitlet ska jag också i all kort- het beskriva några olika typer av register som har skapats för forskning.
3.1Vad är registerbaserad forskning?
Ett syfte med den här utredningen är att undersöka hur registerbase- rad forskning ska kunna underlättas i Sverige. Vad som avses med registerbaserad forskning är inte helt entydigt, men i utrednings- direktiven framhålls:
81
Vad menas med register? |
SOU 2014:45 |
I dataskyddssammanhang används ofta begreppen register och data- baser samt andra begrepp som avser avgränsade uppgiftssamlingar. I det följande avses med register även databaser, elektroniska ärende- hanteringssystem eller motsvarande samlingar av uppgifter och med registerbaserad forskning den forskning som innefattar behandling av uppgifter som forskare dels hämtat från uppgiftssamlingar hos myndig- heter, dels själva samlat in genom olika mätningar eller direkt från en- skilda.
Med registerbaserad forskning avses i utredningsdirektiven således såväl forskning som använder uppgiftssamlingar av olika slag hos myndigheter som forskning baserad på uppgifter som forskare själva har samlat in.
3.2Vad är ett register?
Ett register är en förteckning med uppgifter.1 Uppgifterna kan avse individer, men naturligtvis också mycket annat, såsom företag, fordon, läkemedel, fastigheter, trossamfund, genetiskt modifierade mikro- organismer, patent, inteckningar eller fiskevårdsområden. I den här utredningen är fokus på register med personuppgifter, men det hind- rar inte att även andra register kan vara av intresse för andra typer av forskning än den som här behandlas.
Som framgår av citatet från utredningsdirektiven finns det andra begrepp som används i det närmaste synonymt med register, exem- pelvis databas.2 Även begreppet datalager förekommer, i synnerhet när det gäller uppgiftssamlingar för statistikändamål. Personuppgifts- lagen (PUL) talar om strukturerade samlingar av personuppgifter, som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier (5 § PUL). Detta kan ses som en beskrivning av vad ett register, eller en databas eller ett datalager, med personuppgifter är. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en person som är i livet (3 § PUL).
1Med register avses ofta en total förteckning av objekt i en viss mängd eller population. På grund av brister i kvalitet och insamlingsmetod kan uppgifter saknas eller vara för många. Detta brukar kallas under- respektive övertäckning i ett register.
2I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I flera s.k. registerförfattningar används uttrycket data- bas som en benämning på en samling uppgifter som med hjälp av automatiserad behandling används gemensamt. Uttrycket databas har dock ifrågasatts. Skälen är att uttrycket kan leda tanken till ett visst, i tekniskt avseende avgränsat, informationssystem där informationen har strukturerats på ett visst sätt. (En databas för övervakning av och tillsyn över finansmarkna- derna, SOU 2012:79)
82
SOU 2014:45 |
Vad menas med register? |
3.3Varför skapar myndigheter register?
Register kan upprättas av olika huvudmän, såväl offentliga som pri- vata, ha olika syften och innehålla uppgifter av olika slag. De register som i första hand är intressanta för den här utredningen är sådana som finns hos myndigheter.
Det finns en rad skäl för myndigheter att upprätta register med personuppgifter.
•Administration. Myndigheter måste ofta för att kunna fullgöra sina uppgifter hålla reda på vilka som är medborgare i Sverige och vilka som i övrigt har rätt att uppehålla sig i landet. Det är viktigt till exempel för att veta vilka som har rätt att rösta i allmänna val, vilka som är skattskyldiga och hur mycket de ska betala i skatt och vilka som har rätt till ersättningar och förmåner av olika slag.
•Statistik. Vissa myndigheter har till uppgift att sammanställa sta- tistik som speglar tillståndet och utvecklingen inom olika samhälls- områden. Statistik är ett viktigt underlag för allmän information och för politiska bedömningar och beslut. Ofta hämtas de upp- gifter som behövs för statistik ur register som har upprättats för administrativa ändamål, men ibland måste uppgifter samlas in direkt från enskilda.
•Utvärdering, uppföljning och kvalitetssäkring. Myndigheter, såväl statliga som kommunala och landstingskommunala, till- handahåller tjänster av olika slag till invånarna. För att kunna be- döma tjänsternas kvalitet, om de når sitt syfte och hur de kan utvecklas, måste ofta uppgifter från individer användas. Det sker i betydande omfattning inom exempelvis hälso- och sjukvården. Såväl Socialstyrelsen som kommunala huvudmän sammanställer uppgifter för att möjliggöra utvärdering, uppföljning och kva- litetssäkring.
•Effektbedömningar. Regeringen, riksdagen och olika myndig- heter använder ofta registeruppgifter och statistiska metoder för att försöka bedöma effekterna av planerade och gjorda insatser, till exempel med hjälp av så kallade mikrosimuleringsmodeller som förutsätter tillgång till uppgifter om individer.
Uppgifter om individer, och sammanställningar av sådana uppgifter, är således nödvändiga för att kunna styra riket, bedöma samhälls- utvecklingen och kvalitetssäkra verksamheter.
83
Vad menas med register? |
SOU 2014:45 |
Det finns ett omfattande regelverk för behandlingen av person- uppgifter. Vem har rätt att samla in uppgifter? Vilket rättsligt stöd krävs för att få göra det? Hur får personuppgifterna behandlas? Vem har rätt att få tillgång till uppgifterna? I vissa fall kan det vara käns- ligt om personuppgifter kommer i orätta händer, till exempel sådana uppgifter som samlas in inom hälso- och sjukvården. Därför finns särskilda regler för att skydda den personliga integriteten. I kapitel 5 kommer jag att närmare redovisa gällande regelverk.
Medverkan i register kan vara obligatorisk eller frivillig. Att finnas med i register som används för administrativa ändamål är i regel obli- gatoriskt. Det är också obligatoriskt att medverka med vissa upp- gifter som samlas in inom vården i så kallade hälsodataregister. I andra register är medverkan frivillig, till exempel i de nationella och regionala kvalitetsregister, som upprättas inom hälso- och sjukvården, och där uppgifter om olika sjukdomar och behandlingar samlas. Det gäller också så kallade biobanker där vävnadsprover från patienter i sjukvården bevaras. Det är också frivilligt att medverka i vissa under- sökningar där uppgifter samlas in för statistiska ändamål, till exem- pel de arbetskraftsundersökningar (AKU) som görs av Statistiska centralbyrån (SCB).
3.4Hur ser ett register ut?
Ett personregister består typiskt sett av poster och uppgifter om dessa. Ett register med individer kan se ut så här:
|
Uppgifter |
|
|
|
|
Poster |
A |
B |
C |
D |
E |
|
|
|
|
|
|
1 |
a1 |
b1 |
c1 |
d1 |
e1 |
2 |
a2 |
b2 |
c2 |
d2 |
e2 |
3 |
a3 |
b3 |
c3 |
d3 |
e3 |
4 |
a4 |
b4 |
c4 |
d4 |
e4 |
5 |
a5 |
b5 |
c5 |
d5 |
e5 |
|
|
|
|
|
|
Posterna (1, 2, 3, 4, 5) är i de register som här diskuteras i första hand individer. Uppgifterna, eller variablerna, (A, B, C, D, E) kan i register med individer avse till exempel kön, ålder, födelseort, bostads- ort, yrke, utbildning, inkomst eller olika hälsokriterier. Den viktiga
84
SOU 2014:45 |
Vad menas med register? |
informationen i registret är i regel de värden a1, b3, c2, d5, e4 etc., som anges i tabellens ”celler”.
När posterna är individer är de vanligen försedda med unika identitetsbeteckningar i form av personnummer för att säkert kunna identifieras. På motsvarande sätt har företag, organisationer och fastigheter specifika identitetsbeteckningar i andra register. Det är tämligen unikt för de nordiska länderna att samma identitetsbeteck- ningar används i snart sagt alla register. Det innebär en rad fördelar. Framförallt underlättar det spårbarheten. Det gör det exempelvis enklare för en enskild att ta reda på vilka uppgifter om honom eller henne som finns i olika register. Det gör det också förhållandevis enkelt att för en och samma individ hämta och sammanställa upp- gifter från olika register.
Värdet i vissa celler är givet en gång för alla, till exempel födelse- ort, medan andra, såsom inkomst och hälsotillstånd, kan variera över tid. Förändringarna kan registreras löpande eller vid återkommande insamlingstillfällen. Det kan vara väsentligt att spara de historiska värdena och att registrera tidpunkterna för förändringar för att till exempel kunna följa utvecklingen över tid.
Värdena kan delvis vara ett resultat av gällande regelsystem och således ändras om reglerna ändras. När till exempel regeringen över- väger att ändra skatte- eller bidragsregler är den intresserad av hur detta påverkar värdena. För att undersöka det används som nämnts ofta så kallade mikrosimuleringsmodeller som kräver en omfattande tillgång till individuppgifter.
3.5Olika typer av myndighetsregister
3.5.1Register för administrativa ändamål
I Sverige torde det finnas över hundra administrativa register med personuppgifter av olika slag. Ett tjugotal av dessa omfattar en stor del av befolkningen, ofta i princip alla eller alla som är berörda. Ett exempel är Skatteverkets folkbokföringsdatabas som i princip om- fattar alla. Skatteverket för också skatteregistret med bland annat taxerade och pensionsgrundande inkomster. Andra exempel på admi- nistrativa register är Rikspolisstyrelsens register över nationella iden- titetskort och pass, Totalförsvarets pliktverks över totalförsvars- pliktiga och Centrala studiestödsnämndens över personer som får studiestöd eller har studieskulder. Äktenskap och partnerskap finns
85
Vad menas med register? |
SOU 2014:45 |
i särskilda register. I socialförsäkringsdatabasen finns flera social- försäkringsregister samlade. Uppgifterna där används för att kunna administrera olika förmåner och bidrag.
Utöver dessa register finns ett stort antal register med andra upp- gifter än sådana som är knutna till personer, till exempel företag, anläggningar och kemikalier. Även dessa regleras i författningar. Totalt finns det drygt 200 registerförfattningar.
3.5.2Uppgiftssamlingar för statistiska ändamål
För forskningen är ofta de uppgifter som utgör underlag för den officiella statistiken av särskilt intresse. Det är SCB och 26 andra sta- tistikansvariga myndigheter som har i uppdrag att producera offici- ell statistik. En stor del, enligt vissa uppskattningar så mycket som 95 procent, av uppgifterna är sådana som ursprungligen har samlats in för administrativa ändamål. Resten samlas in direkt för statistiska ändamål. Regeringen beslutar vilka myndigheter som ska producera officiell statistik och inom vilka ämnesområden. Sammantaget ska det finnas officiell statistik inom 22 ämnesområden som här exem- plifieras med tio områden där statistiken till stor del baseras på per- sonuppgifter.3 Inom parentes ges exempel på statistikområden inom respektive ämnesområde.4
•Arbetsmarknad (sysselsättning, förvärvsarbete och arbetstider, vakanser och arbetslöshet, arbetsmiljö, arbetsskador, löner och arbetskostnader)
•Befolkning (befolkningens storlek och förändringar, befolkning- ens sammansättning)
•Demokrati (allmänna val, partisympatier)
•Hushållens ekonomi (inkomster och inkomstfördelning, hus- hållens utgifter)
•Hälso- och sjukvård (hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker)
•Levnadsförhållanden (jämställdhet, levnadsförhållanden)
3År 2011 fanns det inom de 22 ämnesområdena för officiell statistik 112 statistikområden och 356 statistikprodukter (i regel tabeller), SOU 2012:83.
4www.scb.se.
86
SOU 2014:45 |
Vad menas med register? |
•Rättsväsende (brott, för brott lagförda, kriminalvård, återfall i brott)
•Socialförsäkring med mera (stöd till barnfamiljer, stöd vid sjuk- dom och handikapp, stöd vid ålderdom)
•Socialtjänst med mera (individ- och familjeomsorg, stöd och ser- vice till personer med funktionsnedsättning, äldre- och handi- kappomsorg)
•Utbildning och forskning (skolväsende och barnomsorg, hög- skoleväsende, studiestöd, forskning, befolkning och utbildning)
I Statistikutredningens delbetänkande Registerdata för forskning redovisas ett femtiotal befolkningsbaserade register hos myndigheter, vilka bedömdes vara av särskilt intresse för forskningen.5 Det är huvudsakligen register som är underlag för statistik. Merparten av registren nedan finns hos SCB eller Socialstyrelsen. Vissa av dem hanteras av SCB på uppdrag av andra myndigheter, såsom Skolverket, Universitetskanslersämbetet och Arbetsmiljöverket. Här ges exem- pel på sådana befolkningsbaserade register. Alla är totalregister över befolkningen eller den del av befolkningen som är berörd utom de tre sistnämnda, som är baserade på ett mindre urval av befolk- ningen.
•Registret över totalbefolkningen (RTB)
•Flergenerationsregistret
•Registret över inkomster och taxeringar
•Registret över befolkningens utbildning
•Skolverkets elevregister
•Registret över betyg i årskurs 9
•Registerbaserad arbetsmarknadsstatistik (RAMS)
•Patientregistret
•Cancerregistret
•Läkemedelsregistret
•Registret över socialtjänstinsatser till äldre och personer med funktionsnedsättning
5 SOU 2012:36.
87
Vad menas med register? |
SOU 2014:45 |
•Registret över anmälda och uppklarade brott, misstänkta personer
•Registret med mikrodata för analys av socialförsäkringen (MiDAS)
•Arbetskraftsundersökningarna (AKU)
•Undersökningarna av levnadsförhållanden (ULF/SILC6)
•Valundersökningarna
Ett register som ofta kommer till användning i forskning är det först nämnda i denna uppräkning, det vill säga Registret över totalbefolk- ningen (RTB), som finns hos SCB. Som exempel på vad ett register kan innehålla redovisas här de uppgifter om individer som finns i RTB7.
•Personnummer, kön, ålder
•Namn, Adress
•Folkbokföringsförhållanden (län, kommun, församling och fas- tighet)
•Civilstånd
•Medborgarskap
•Födelseland
•Utländsk/svensk bakgrund
•Födda
•Döda
•Civilståndsändring
•Inrikes flyttning
•Invandring
•Utvandring
•Relationer (maka/make, registrerad partner, biologiska föräldrar, adoptivföräldrar, vårdnadshavare)
•Föräldrarnas födelseland
6Statistics on Income and Living Conditions, SILC, är en undersökning som görs i EU:s medlemsländer av levnadsförhållanden.
7SCB:s data för forskning 2013.
88
SOU 2014:45 |
Vad menas med register? |
•Grund för bosättning (för personer som beviljats uppehållstill- stånd eller fått uppehållsrätt i Sverige)
Det finns också register som skapas med hjälp av uppgifter från flera andra register. Syftet kan vara att kunna följa utvecklingen inom ett visst område. Ett sådant är SCB:s Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA). I databasen finns uppgifter om samtliga personer som är 15 år och äldre som varit folkbokförda i Sverige den 31 december det aktuella året. Genom att databasen uppdateras varje år kan utvecklingen för enskilda indi- vider följas, till exempel perioder med förvärvsarbete, arbetslöshet och sjukdom kopplade till ett stort antal bakgrundsvariabler. Uppgifterna i LISA hämtas ur ett tiotal olika register.8
•Registret över totalbefolkningen (RTB)
•Folk- och bostadsräkningen 1990
•Registerbaserad arbetsmarknadsstatistik (RAMS)
•Registret över befolkningens utbildning
•Registret över personer i utbildning
•Inkomst- och Taxeringsregistret (IoT)
•Arbetsförmedlingens sökanderegister
•Försäkringskassans datalager
•Registret över företagens ekonomi
•Registret med ekonomiska data för kommuner
•Registret med ekonomiska data för landsting
3.5.3Kvalitetsregister och biobanker
Utöver dessa befolkningsbaserade register hos centrala myndigheter finns ett stort antal kvalitetsregister inom hälso- och sjukvården för vilka sjukvårdshuvudmännen – landstingen – är ansvariga. Det finns ett
8SCB:s data för forskning 2013.
9Se vidare avsnitt 8.2.2.
89
Vad menas med register? |
SOU 2014:45 |
Det finns också en annan form av uppgiftssamlingar som jag kom- mer att beröra i utredningen, nämligen biobanker. I biobanker samlas och bevaras vävnadsprover, som framförallt har tagits på patienter i hälso- och sjukvården, men i vissa fall också på individer inom ramen för forskning. Sammantaget finns i Sverige cirka 600 biobanker. En biobank är inte i sig ett register, men det finns i anslutning till bio- bankerna register med uppgifter om provgivarna, var i kroppen pro- verna är tagna, hur de förvaras med mera. I Svenska Biobanksregistret (SBR), som är under uppbyggnad, samlas uppgifter om vilka vävnads- prover på individnivå som finns i de olika biobankerna. SBR är än så länge ett regionalt och lokalt system. Det finns alltså inget centralt register med dessa uppgifter. Däremot finns det hos Inspektionen för vård och omsorg (IVO) ett register över vilka biobanker som finns i Sverige. Det registret innehåller dock inga personuppgifter.10
3.6Register för forskningsändamål
Som jag har konstaterat behöver forskare ofta uppgifter om indi- vider för att kunna belysa och skaffa nya kunskaper om olika sam- hällsfenomen. Uppgifterna kan samlas in av forskarna direkt från individerna (forskningspersonerna) eller hämtas ur uppgiftssam- lingar av det slag som jag här har gett exempel på och som primärt har skapats för andra ändamål än forskning. Uppgifter från sådana källor kan sammanföras i särskilda register för forskningsändamål. När forskare samlar in uppgifter direkt från individer är uppgifts- lämnarens medverkan alltid frivillig.
De flesta register som skapas för forskning är knutna till ett spe- cifikt forskningsprojekt. Uppgifterna samlas in för att besvara vissa konkreta forskningsfrågor och förstörs eller arkiveras när projektet är slutfört. Sådana register kallar jag forskningsregister. Det finns också register som snarare kan betecknas som ett slags infrastruktur. Syftet är de ska kunna tjäna flera olika forskningsprojekt, ibland till och med inom olika vetenskapliga discipliner, som inte är kända när registret börjar byggas upp. Ett par exempel på sådana register av infrastrukturkaraktär som är i bruk är Utvärdering Genom Uppföl- jning (UGU), en av Sveriges äldsta forskningsdatabaser som avser utbildningsområdet och som finns vid Göteborgs universitet, och Svenska Tvillingregistret, som finns vid Karolinska Institutet. Några
10 Se vidare avsnitt 8.2.3.
90
SOU 2014:45 |
Vad menas med register? |
sådana forskningsdatabaser har skapats efter beslut i riksdagen, till exempel
3.6.1Kodade och avidentifierade uppgifter
När forskare får ut uppgifter från myndighetsregister är dessa i regel anonymiserade. Anonymiserade uppgifter kan vara kodade eller helt avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut dem anonymiserade, det vill säga utan att individerna direkt kan identifieras, men att den utlämnande myndigheten behåller en kod- nyckel som gör det möjligt att senare komplettera uppgifterna. För avidentifierade uppgifter finns inte denna möjlighet. Myndigheter- na kan i undantagsfall också lämna ut uppgifter med identitet till forskare. Det kan handla exempelvis om att forskarna behöver kon- takta de personer uppgifterna avser eller om att uppgifter ur ett register måste kontrolleras mot eller kompletteras med uppgifter från patienters sjukjournaler.
För behandlingen av personuppgifter finns särskilda regler i PUL. Med personuppgifter avses i PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att alla kodade uppgifter är personuppgifter, men att även avidentifierade uppgifter kan vara personuppgifter om det är möjligt att med utgångspunkt i dessa återidentifiera individerna. Man måste alltså skilja mellan i vilka former uppgifter kan lämnas ut till forskare och vad som är personuppgifter.
Forskare som använder uppgifter från SCB och flera andra sta- tistikansvariga myndigheter kan använda SCB:s så kallade MONA- system. MONA står för Microdata Online Access. Genom MONA får användaren tillgång till uppgifter som finns i SCB:s och andra myndigheters datalager. Ett forskningsregister, med de uppgifter forskaren behöver, skapas hos SCB. Forskaren kan via Internet göra bearbetningar och har också möjlighet att bevara tabeller för vidare bearbetning, men fysiskt återfinns forskningsregistren hos
91
Vad menas med register? |
SOU 2014:45 |
SCB. Resultaten av bearbetningarna kan dock i aggregerad form skickas via
MONA är ett system som möjliggör fjärråtkomst till uppgifter på ett smidigt och säkert sätt. I vissa fall kan systemet dock inte tillgodose forskarens behov. Viss bearbetning av data låter sig inte göras utan att forskaren får fullständig tillgång till uppgifterna. För närvarande ges inte heller åtkomst inom ramen för
11 www.scb.se.
92
4Varför är registeruppgifter bra för forskning?
Regeringen har i de senaste forskningspropositionerna framhållit den roll som ett utnyttjande av svenska befolkningsbaserade register kan spela för kunskapsutvecklingen och forskningen. I 2008 års forsk- ningsproposition konstaterades att ”registerhållningen över hela be- folkningen och systemet med personnummer ger unika förutsättning- ar för att studera angelägna, tvärvetenskapliga frågor kring samban- det mellan samhällsförhållanden, ekonomi och hälsa”.1 I den senaste forskningspropositionen 2012 framhölls att ”det finns ett antal vik- tiga frågeställningar som kan besvaras genom forskning om man kan kombinera olika register och datamaterial”.2 Regeringen noterade också att man med hjälp av så kallade mikrosimuleringsmodeller, som använder uppgifter från olika register, kan beräkna effekten av olika insatser och policyförändringar.
I det följande ska jag ge exempel på när stora datamaterial som återfinns i register av olika slag kan vara särskilt värdefulla för forsk- ningen och också på forskning som har utnyttjat sådana material. Dessa exempel är endast tänkta som illustrationer och är inte nöd- vändigtvis de bästa som kan ges.
Det är viktigt framhålla att registerbaserad forskning är en sedan länge etablerad metod i Sverige. Exemplen i detta kapitel är ett uttryck för det. En omfattande forskning har kunnat bedrivas och bedrivs inom ramen för gällande regelverk. Uppgiften för denna utredning är således inte att bryta ny mark utan att undersöka vilka möjligheter som finns att underlätta för registerbaserad forskning och därmed skapa förutsättningar för en expansion av den.
Tack vare registren kan forskare i Sverige, liksom i de övriga nordiska länderna, till måttliga kostnader genomföra många studier som i andra länder kräver utomordentligt stora satsningar, om de
1Prop. 2008/09:50.
2Prop. 2012/13:30.
93
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
överhuvudtaget kan genomföras. Myndighetsregistren omfattar som regel hela befolkningen eller i vilket fall den del av befolkningen, som berörs av det förhållande som registret avser. I den mån forskar- na kan utnyttja registren får de därför tillgång till uppgifter om hela (den aktuella) befolkningen.
Stora datamaterial förbättrar ofta möjligheterna att påvisa och finna orsaker till varför ekonomiska och sociala förhållanden varierar i samhället och gör det möjligt att påvisa effekter av olika åtgärder, vare sig de rör hälso- och sjukvård, socialtjänst eller ekonomiska och andra sociala interventioner. Register har även ett stort användnings- område när det gäller att kartlägga hur hälsa och sociala förhållan- den utvecklas över tid och att identifiera problem som kan behöva åtgärdas.
Inledningsvis (avsnitt
4.1Att följa samhällsförändringar över tid och i olika grupper
Av en rad olika skäl är det viktigt att kunna följa hur samhället för- ändras. Vilka positiva och negativa trender finns för hälsa och sociala förhållanden? Finns det grupper som erfar en utveckling som påtag- ligt avviker från den för majoriteten? Varierar hälsa och sociala för- hållanden mellan olika delar av Sverige? Ges vård eller omsorg till alla på lika villkor? Har kvinnor och män samma möjligheter? Hur går det för invandrare och för barn med ensamstående föräldrar?
För att få svar på frågor som dessa behövs stora datamaterial som täcker hela landet och i vilka man kan följa utvecklingen för de en- skilda individerna. För att kunna avgöra om det är 10 personer som har behandlats en gång eller en person som har behandlats 10 gånger behöver man veta vilka som har fått behandlingen. För att kunna avgöra om den del av befolkningen som har lägst inkomster består av samma individer från år till år eller om de successivt byts ut måste man kunna följa individer över tid. För att kunna beskriva förhållan- dena för personer med olika utbildning, födelseland och familjeför-
3 Kapitlet bygger huvudsakligen på en underlagsrapport till utredningen författad av Robert Erikson och Måns Rosén, Stora registermaterial bidrar till bättre forskning.
94
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
hållanden måste ofta uppgifter från olika register kopplas samman. I praktiken finns det inget annat sätt att få fram sådana uppgifter.
Utvecklingen av öppna jämförelser i hälso- och sjukvården är ett bra exempel på värdet av att kunna följa upp behandlingar i kliniska register. Genom att följa och mäta skilda kvalitetsindikatorer och jäm- föra resultaten mellan olika landsting, sjukhus och andra vårdinrätt- ningar har man skapat incitament att höja kvaliteten. Flera exempel visar att detta arbetssätt har räddat liv och förbättrat livskvaliteten för många patienter.
Kliniska kvalitetsregister och öppna jämförelser har till exempel bidragit till stora förbättringar i hjärtinfarktvården4 och visat att vissa höftproteser är betydligt hållbarare än andra och därmed minskat behovet av reoperationer.5 Öppna jämförelser har också visat att långtidsöverlevnad och patienttillfredsställelse är bättre för patienter som vårdats på särskilda strokeenheter.6 Antalet infektioner efter kataraktoperationer har halverats och uppvisar nu en internationellt sett särklassigt låg frekvens.7
För att följa utvecklingen över tid och mellan olika grupper i samhället och för att mäta kvaliteten i vården behövs många gånger heltäckande individregister. När det gäller forskning om orsaker till sjukdomar eller effekter av åtgärder är detta ofta nödvändigt.
4.2Beskrivning och förklaring
Innan man försöker finna en förklaring till ett samhällsfenomen måste detta beskrivas. Beskrivningen syftar till att visa att det faktiskt existerar. Innan man försöker förklara varför det finns skillnader mellan män och kvinnor måste man visa i vilka avseenden det fak- tiskt finns sådana skillnader. En god beskrivning är således en första förutsättning för att det ska vara meningsfullt att försöka förklara ett fenomen.
4Stenestrand, U. et al. Hjärtinfarktvården kraftigt förbättrad
5Haller, N. P. et al. Uncemented and cemented primary total hip arthroplasty in the Swedish Hip Arthroplasty Register. Acta Ortohop
6Terent, A. et al. Stroke unit care revisted: who benefits the most? A cohort study of 105 043 patients in
7Lundström, M. et al. Endophthalmitis after cataract surgery: a nationwide prospective study evaluating incidence in relation to incision type and location. Ophtomology
95
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
Figur 4.1 |
Dödsrisk |
||||||
|
för män |
|
|
|
|||
0,16 |
|
|
|
|
|
|
|
0,14 |
|
|
|
|
|
|
|
0,12 |
|
|
|
|
|
|
Elementär |
0,1 |
|
|
|
|
|
|
Yrkesutb |
0,08 |
|
|
|
|
|
|
treårig teor |
0,06 |
|
|
|
|
|
|
Kort högsk |
0,04 |
|
|
|
|
|
|
Högskola |
|
|
|
|
|
|
|
|
0,02 |
|
|
|
|
|
|
forskarutb |
|
|
|
|
|
|
|
|
0 |
|
|
|
|
|
|
|
26 |
31 |
36 |
41 |
46 |
51 |
56 |
61 |
En studie av sambandet mellan utbildning och dödsrisk kan ses som ett illustrativt exempel på värdet av en beskrivning. Den är baserad på uppgifter för hela befolkningen i de aktuella åldersgrupperna.8
Att det föreligger skillnader i dödsrisk mellan grupper med lägre respektive högre utbildning går att visa med hjälp av många data- material, men att visa att sådana skillnader föreligger också mellan dem med olika lång högskoleutbildning kräver ett mycket stort material. Av Figur 4.1 framgår att dödsrisken för män med forskar- examen är påfallande låg liksom att skillnaderna i dödsrisker mellan utbildningsgrupperna systematiskt återkommer i alla åldersgrupper. Detta torde kunna visas bara om materialet innehåller uppgifter för hela befolkningen. I detta fall har uppgifter om utbildning hämtats från folk- och bostadsräkningen 1990 och om dödlighet från döds- orsaksregistret. Även så var, när studien gjordes, antalet kvinnor med forskarutbildning alltför litet för att dödsriskerna bland dem på ett tillförlitligt sätt skulle kunna jämföras med andra gruppers.
En så pass detaljerad jämförelse av dödsrisker mellan olika utbild- ningsgrupper ökar möjligheterna att i nästa steg förstå bakgrunden till skillnaderna. Ett vanligt antagande är att hälsoskillnader samman- hänger med skillnader i ekonomiska resurser. Att män med doktors- examen hade lägre dödsrisk än dem med en lång högskoleutbildning
8 Ojämlikhet i hälsa. Ett nationellt forskningsprogram. Socialvetenskapliga forskningsrådet 1998.
96
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
är därför av särskilt intresse, eftersom den senare gruppen faktiskt i genomsnitt hade högre inkomster än doktorerna. Tack vare det stora materialet blir det uppenbart att en förklaring till skillnader i dödsrisk delvis måste sökas i andra förhållanden än ekonomiska resurser.
4.3Observationsstudier och randomiserade experiment
För att få insikt om vilka konsekvenser som en viss åtgärd får har studier där försökspersoner slumpmässigt placeras i experiment- och kontrollgrupper (på engelska RCT = Randomised Controlled Trials) på goda grunder ofta ansetts vara den bästa metoden. Man ger del- tagarna i experimentgruppen en viss behandling och kan därefter, genom att jämföra utfallet med motsvarande för kontrollgruppen, bedöma vad behandlingen hade för effekt. Den slumpmässiga för- delningen av personer till försöks- och kontrollgrupper, randomi- seringen, gör att man på det hela taget kan utesluta att eventuella effekter beror på andra orsaker än den man önskar studera.
Ett antal omständigheter gör dock att sådana randomiserade studier inte alltid är tillräckliga eller möjliga att genomföra. Den viktigaste har att göra med vad som kallas extern validitet. Med det avses med vilken säkerhet man kan generalisera resultaten från undersökningsgruppen till hela befolkningen. I vilken utsträckning det kan ske beror vanligen på hur representativ den studerade grup- pen är för befolkningen.
Några exempel på vad som kan bidra till osäkerhet på denna punkt: Även om de undersökta grupperna sinsemellan är lika har de i många fall en från befolkningen avvikande sammansättning. Del- tagandet i experiment är i regel frivilligt. Det kan till exempel inne- bära att viktiga patientgrupper exkluderas vid klinisk forskning. Ex- periment inom psykologisk forskning genomförs i många fall med universitetsstuderande som försökspersoner eftersom de är lätta att rekrytera till studier. Dessa skiljer sig rimligtvis i många avseenden från den övriga befolkningen. Studier av läkemedelsverkningar görs, åtminstone inledningsvis, i regel på begränsade patientgrupper. Det kan också vara svårt att följa försökspersonerna under tillräckligt lång tid för att se de långsiktiga effekterna.
Till det kommer att kostnaden för en omfattande, randomiserad studie i många fall kan uppgå till så höga belopp att bara ett fåtal
97
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
tillförlitliga studier kan genomföras. Det finns således starka skäl att komplettera randomiserade studier, och i många fall att helt ersätta dem, med studier som utgår från uppgifter i myndighets- register, vilka primärt har insamlats för andra ändamål än forskning.
Ett särskilt problem vid alla undersökningar baserade på urval är att alla tillfrågade inte deltar. Detta bortfallsproblem i samband med exempelvis intervju- och enkätundersökningar tenderar att växa. Även i vissa centrala undersökningar som görs av Statistiska Central- byrån (SCB) är bortfallet förhållandevis stort vilket ökar osäker- heten i utfallet (i Arbetskraftsundersökningarna, AKU, ligger svars- frekvensen kring 70 procent, i Undersökningarna om levnadsför- hållanden, ULF, under 60 procent). En fördel med många register är att de är fullständiga vilket innebär att alla aktuella individer finns med. Det talar för att använda registeruppgifter när sådana finns att tillgå. Registeruppgifter kan emellertid också användas för att analysera bortfallet i urvalsundersökningar. Genom att jämföra ett antal uppgifter, till exempel kön, ålder, typ av bostadsort, utbildning, födelseland, civilstånd och sysselsättning, mellan dem som har svarat och dem som inte har gjort det finns en möjlighet att bedöma hur representativ svarandegruppen är.9
I många fall uppfattas det dessutom som otillräckligt att känna till vilka effekter en viss åtgärd får. En djupgående förståelse för ett samhällsfenomen kräver ofta en uppfattning om vad som kan tänkas påverka detta och det rör sig då oftast om flera faktorer. Snarare än att söka efter effekter av en åtgärd är man ute efter att förstå vilka olika faktorer som ligger bakom ett visst samhällsfenomen.
Ett exempel på hur man kan söka orsaker bakom ett fenomen är ett pågående forskningsprojekt på Karolinska Institutet (KI). Forskar- na är på jakt efter olika faktorer som kan påverka uppkomsten och utbredningen av psykiska sjukdomar. De konstaterar att orsakerna till psykisk ohälsa/psykiatrisk sjuklighet är multifaktoriell med varie- rande inslag av genetisk sårbarhet och påverkan av omgivnings- faktorer under såväl fostertiden som senare i livet. Exempel på om- givningsfaktorer som har visat sig vara associerade med ökad risk för psykiatrisk sjukdom är svår stress och infektioner under gravi- diteten, tillväxthämning under fostertiden, för tidig födelse, infek- tioner i hjärnan under uppväxten, uppväxt i socialt utsatt miljö, cannabisbruk, hög pappaålder och immigration. Det är viktigt att
9 Se vidare avsnitt 8.3.2.
98
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
förstå mer om mekanismerna bakom dessa iakttagelser för att på sikt kunna lägga grunden för förebyggande program.10
Utbildning anses vara en viktig mekanism genom vilken ung- domar från mindre gynnade klasser kan förbättra sin sociala position. Trots stora förändringar av utbildningsfördelningen har dock den sociala rörligheten endast ökat obetydligt. Det gör det angeläget att söka efter andra och uppenbarligen mer grundläggande orsaker till social rörlighet. För att kunna göra det krävs observationer av material på befolkningsnivå.
Observationsstudier kan också vara den enda framkomliga vägen till fördjupad kunskap när det inte är möjligt eller etiskt acceptabelt att bestämma vilka som ska utsättas för en viss behandling och vilka som inte ska få den. Ofta uppfattas det som stötande att slumpmässigt lotta personer till försöks- och kontrollgrupper. Samtidigt pågår i samhället hela tiden olika ”behandlingar” vars effekter kan studeras. Behandlingarna har inte lottats fram slumpmässigt, men med tillräck- ligt stort underlag finns metoder att eliminera effekterna av andra omständigheter som kan påverka utfallet.
Heltäckande register utgör således viktiga baser för observations- studier, men de kan också vara bas för randomiserade experiment.11 Om man till exempel inte vet vilken av två behandlingar som är bäst utan bedömer dem som likvärdiga, kan läkaren med patientens samtycke slumpmässigt avgöra vilka som ska få behandling A respek- tive B. En sådan studie har gjorts i Sverige med hjälp av kvalitets- registret för angiografi och dödsorsaksregistret. När patienter kom in för angiografi och registrerades i angiografiregistret slumpades de till att endast få ballongvidgning (PCI = Percutan Coronar Interven- tion) eller att få ballongvidgning som föregicks av blodproppsutdrag- ning vid akuta hjärtbesvär. Man fann att blodproppsutdragning inte reducerar risken att dö inom 30 dagar jämfört med endast ballong- vidgning. Studien publicerades i den högt rankade tidskriften New England Journal of Medicine och följdes av en kommentar om att denna metod innebar ett paradigmskifte i forskningen.12 Studien kunde med detta upplägg genomföras betydligt snabbare och för en bråkdel av vad den annars skulle ha kostat.
10Institutionen för folkhälsovetenskap, Karolinska institutet, Ansökan om etikprövning samt intervju med Christina Dalman
11Fröbert O. et al. Thrombus aspiration during
12Lauer M. S., D'Agostino R. B. The randomized registry trial – The next disruptive techno- logy in clinical research? NEJM 2013;DOI:10.1056/NEJMp1310102.
99
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
4.4När behöver man stora och kanske heltäckande datamaterial?
Ett enda myndighetsregister är sällan av större intresse i forsknings- sammanhang. Det är möjligheten att koppla individuppgifter i olika register, och kanske än mer möjligheten att koppla uppgifter som forskare själva samlat in till uppgifter i myndighetsregister, som ger dessa register deras stora potential. Jag ska här redovisa ett antal för- hållanden som gör att tillgång till stora registermaterial är ett önsk- värt, och i många fall nödvändigt, villkor för tillförlitliga forsk- ningsresultat. Det illustreras också med ett antal exempel på sådana forskningsresultat.
4.4.1Ovanliga företeelser
Det mest uppenbara fallet då mycket stora datamaterial krävs för tillförlitliga resultat är när det endast är få personer som karakteri- seras av det tillstånd man vill studera.
I ett forskningsprojekt inom ramen för en statlig utredning från början av
En sådan beskrivning ger förutsättningar för en fördjupad analys. De låga andelarna med universitetsutbildning bland barn till in- vandrare från vissa länder förefaller inte bero på invandrarbakgrun- den i sig, utan kan kanske snarare förklaras av dessa gruppers socio- ekonomiska position.
Exemplet visar att även med fullständiga material kan grupperna ibland bli små. De fanns så få individer från länderna i Latinamerika, Afrika och Asien att dessa fick klumpas ihop på världsdelsnivå i stället för landsnivå.13
13 SOU 1993:85.
100
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
Tabell 4.1 Utbildning över den obligatoriska, tre/fyraårig teoretisk gymnasie- utbildning och universitetsutbildning bland barn till invandrare från olika länder i förhållande till motsvarande utbildning bland barn till infödda svenskar (referens = 1.0). Relativa chanser (A) utan kontroll för bakgrundsfaktorer och (B) med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klass- tillhörighet och utbildning. Endast personer födda i Sverige åren
|
Mer än obl. utbildning |
Universitet |
||||
Faders |
|
|
|
|
|
|
ursprungsland |
A |
B |
A |
B |
A |
B |
Polen |
1.09 |
1.07 |
1.81 |
1.53 |
2.27 |
1.91 |
Baltikum |
1.31 |
1.18 |
1.94 |
1.53 |
2.03 |
1.49 |
Latinamerika |
0.85 |
0.74 |
1.30 |
1.19 |
1.91 |
1.49 |
Grekland |
0.62 |
0.78 |
0.88 |
1.71 |
0.75 |
1.47 |
Turkiet |
0.55 |
0.64 |
0.59 |
1.16 |
0.60 |
1.26 |
Öv. Östeuropa |
1.16 |
1.05 |
1.57 |
1.28 |
1.49 |
1.16 |
Afrika |
1.07 |
0.70 |
1.67 |
1.12 |
1.96 |
1.13 |
Öv. Sydeuropa |
0.97 |
0.89 |
1.27 |
1.40 |
0.90 |
1.06 |
Sverige |
1.00 |
1.00 |
1.00 |
1.00 |
1.00 |
1.00 |
Västeuropa |
|
|
|
|
|
|
(inkl USA) |
1.24 |
0.91 |
1.70 |
1.15 |
1.51 |
0.99 |
Norge |
0.90 |
0.84 |
1.12 |
0.96 |
1.18 |
0.98 |
Asien + |
|
|
|
|
|
|
Oceanien |
1.17 |
0.75 |
1.73 |
1.11 |
2.01 |
0.94 |
Jugoslavien |
1.06 |
1.12 |
1.08 |
1.64 |
0.59 |
0.88 |
Finland |
0.82 |
0.95 |
0.69 |
1.02 |
0.53 |
0.87 |
Danmark + |
|
|
|
|
|
|
Island |
0.61 |
0.64 |
0.60 |
0.69 |
0.62 |
0.71 |
Not: Länderna är rangordnade efter universitetsparametern från modell B med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klasstillhörighet och utbildning.
Detta exempel visar hur det tack vare stora datamaterial är möjligt att studera utfall även för små grupper. Ett annat visar på möjligheten att undersöka sällsynta utfall. Robert Erikson och Jenny Torssander kunde visa att skillnaderna mellan samhällsklasserna bland kvinnor var obefintliga för cancer i huden, äggstockarna och brösten medan det förelåg betydande skillnader i fråga om cancer i munhålan och svalget. I de sistnämnda fallen var risken för icke yrkesutbildade arbetare mer än en och en halv gång så hög som för högre tjänste-
101
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
män.14 Att hela befolkningen utgjorde underlaget i studien gav möj- lighet att skilja mellan cancer i olika organ (och även andra döds- orsaker) och att visa i vilka avseenden skillnaderna mellan samhälls- klasserna var påtagliga. Därmed förbättrades också möjligheterna att förstå bakgrunden till dessa skillnader.
En dansk studie, som omfattade alla barn födda i Danmark under åren
Ytterligare ett exempel är när man inom den medicinska forsk- ningen önskar studera samsjuklighet. Fang Fang med flera under- sökte risken för självmord och död i hjärtkärlsjukdom direkt efter en cancerdiagnos. Studien använde de svenska hälso- och sjukvårds- registren och inkluderade alla personer som drabbades av cancer mellan 1991 och 2006. Det var bara en liten andel av cancerpatienter- na som begick självmord direkt efter att de hade fått diagnosen, men jämfört med personer utan cancer hade de en klart förhöjd risk för såväl självmord som att dö i hjärtkärlsjukdom. En viktig slutsats var att nydiagnostiserade cancerpatienter behöver ett förbättrat om- händertagande.16
14Erikson, R., Torssander, J. Social class and cause of death. The European Journal of Public Health, 2008 Vol. 18:
15Madsen, M. et al. A
16Fang Fang et al. Suicide and Cardiovascular Death after Cancer Diagnosis. New Engl J Med 2012:366; 14.
102
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
4.4.2Kopplingar mellan urvalsundersökningar och registermaterial
Alla uppgifter som forskare är intresserade av finns inte i myndig- hetsregister. Ofta måste de därför själva samla in uppgifter direkt från individer, till exempel om livsstil eller familjehistoria för sjuk- dom. Men de insamlade uppgifterna kan i många fall kompletteras med uppgifter ur myndighetsregister. Det kan innebära en rad för- delar.
Forskaren kan begränsa antalet frågor till forskningspersonerna genom att hämta vissa uppgifter ur register. När det gäller uppgifter om förhållanden långt tillbaka i tiden är register ofta mer pålitliga än individernas minnesbild. Man kan också genom myndighetsregister följa utvecklingen framåt i tiden efter det att uppgifterna samlats in och på det sättet få en uppfattning om hur det går för individerna. Användningen av registeruppgifter är vid sådana longitudinella ansatser av särskilt värde (se vidare avsnitt 4.4.7).
För att kunna komplettera de uppgifter som kommer fram från olika urval av individer med uppgifter från befolkningsregister krävs att registren är fullständiga och att individerna från urvalet kan iden- tifieras. Det är dessutom en fördel om förändringar i registret sparas så att man kan få kännedom om exempelvis när ett sjukfall har in- träffat.
Genom personnummersystemet är det också lättare att via re- gister följa individer som flyttar runt i landet. I en studie som görs i samarbete mellan SCB och pedagogiska institutionen vid Göteborgs universitet, Utvärdering Genom Uppföljning (UGU), görs ett urval av elever, vanligen i årskurs 3. Eleverna har i ett par av dessa urval hämtats från ett
Bengt Haglund med flera kopplade samman information om att röka och använda snus från SCB:s
17Berggren, I. SCB:s elevpaneler för longitudinella studier, s. 58, i Svensson, A. (red) Ut- värdering Genom Uppföljning, Göteborgs universitet 2011
18Haglund, B., Eliasson, M., Stenbeck, M., Rosén, M. Is moist snuff use associated with excess risk of IHD and stroke? A longitudinal
103
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
dem som rökte, kunde forskarna inte finna några överrisker bland snusare. Även om man från studien inte kan dra slutsatsen att ingen sådan överrisk finns, måste den vara mycket liten. Studien visar att om en rökare förmår att sluta röka genom att övergå till att snusa så sänker hon eller han risken för infarkt i hjärta och hjärna.
Figur 4.2 Genomsnittsbetyg
1,0 |
|
0,9 |
|
0,8 |
|
0,7 |
|
0,6 |
|
0,5 |
|
0,4 |
|
0,3 |
|
0,2 |
|
0,1 |
|
0,0 |
|
1,0 1,3 1,5 1,8 2,0 2,3 2,5 2,8 3,0 3,3 3,5 3,8 4,0 4,3 4,5 4,8 5,0 |
|
Betyg högre tjm |
Betyg arbetare |
P (högre tjm) |
P (arbetare) |
Robert Erikson och Frida Rudolphi kopplade uppgifter om elever från
19 Erikson, R., Rudolphi, F. Change in social selection to upper secondary school – primary and secondary effects in Sweden. Eur Sociolo Rev, 2010, 26:
104
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
snitt bättre betyg i grundskolan än barn från arbetarklassen, men de
4.4.3Biobanksrelaterad medicinsk forskning
Den traditionella svenska registerforskningen kan belysa ohälsans utbredning och utveckling över tid, men också dess sociala strati- fiering, dess beroende av individegenskaper, hur patienter svarar på behandling och samband som kan finnas mellan sjukdomar.20 Men denna forskning behöver i många sammanhang kompletteras med uppgifter från analys av biologiska prover.
Möjligheterna att koppla ihop genetiskt material med uppgifter från register är, och kommer i framtiden än mer att vara, viktiga för att förstå hur arv och miljö interagerar. Sådana kopplingar kan till exempel göras för att hitta undergrupper som svarar, respektive inte svarar, på en viss behandling. Exempelvis visades med hjälp av Svensk Reumatologis kvalitetsregister att rökare inte svarade lika bra på be- handling med biologiska läkemedel
Medicinens utveckling har under senare decennier varit språng- artad och ny kunskap har vunnits som gör det möjligt att utveckla diagnostik, behandling och uppföljning av viktiga sjukdomsgrupper. Detta har bidragit till en bättre överlevnad och högre livskvalitet för stora patientgrupper. Men fortfarande återstår en rad vetenskapliga och kliniska problem att lösa. Man känner fortfarande inte meka- nismerna i detalj bakom viktiga folksjukdomar.
Dagens framgångsrika medicinska behandling kan visserligen ofta behandla dessa sjukdomars yttringar, symptom och skadeverkningar, men det blir allt viktigare att också skapa en grundläggande förstå- else för de biologiska mekanismerna bakom utvecklingen av till exem-
20Rosén, M. Översyn av de nationella kvalitetsregistren. Guldgruvan i hälso- och sjukvården. Förslag till gemensam satsning
21Klareskog L. et al. Smoking as a trigger for inflammatory rheumatic diseases. Curr Opin Rheumatolol
105
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
pel hjärtkärlsjukdomar. Även om risken att insjukna och dö i sådana sjukdomar har minskat i relation till åldern utgör de alltjämt den största kategorin av dödsorsaker i befolkningen. Problematiken är likartad när det gäller andra viktiga diagnosgrupper, såsom demens- sjukdomar, cancersjukdomar och åldersdiabetes.
Den viktigaste metoden för att öka förståelsen om dessa meka- nismer är genom så kallade befolkningsstudier, det vill säga genom att följa stora befolkningsgrupper över tid. Vid en inledande under- sökning samlar man information om kroppsfunktioner, molekylär- biologiska karakteristika (blodprov), livsstil, social bakgrund, tidigare sjukdomar och familjehistoria. Sedan följer man individerna i olika register för sjukdomar och beräknar riskerna för sjukdomsutveck- ling i relation till de olika bakgrundsfaktorerna. Genom genetiska analysmetoder kan man fastställa hur kausala samband kan se ut, från genetisk markör, via epigenetisk påverkan, till olika mätbara bio- markörer och till sist manifesta sjukdomsyttringar.22 Om en sådan kausalitet kan identifieras avslöjas viktiga mekanismer i sjukdoms- processen, vilka sedan kan bli föremål för åtgärder. Med en grund- läggande förståelse för biologiska sjukdomsprocesser, vilka i sig kan vara en konsekvens också av livsstil och psykosocial påverkan, kan man utveckla nya, mer effektiva, läkemedel och behandlingar, som kan sättas in tidigt, till exempel riktade vacciner.
Motsvarande studier av patienter som redan har sjukdomen ger inte ett tillräckligt underlag för att finna sjukdomsorsaker. Biologin hos dessa har ofta redan förändrats av sjukdomen och även av den behandling de har fått.
Ytterligare ett område som kommer att få växande betydelse och där samspelet mellan register och biobanker spelar en viktig roll är epigenetiken. Den utgår ifrån att
22Burgess, S., Butterworth, A., Malarstig, A., Thompson, S.G. Use of Mendelian randomisa- tion to assess potential benefit of clinical intervention. BMJ. 2012;345:e7325.
23Hult, M., Tornhammar, P., Ueda, P., Cima, C., Bonamy, A.K., Ozumba, B., Norman, M. Hypertension, diabetes and overweight: looming legacies of the Biafran famine. PloS One. 2010; 5:e13582. doi: 10.1371/journal.pone.0013582.
106
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
öppnar vägar för att förstå och förbättra den sociala miljön men också för att utveckla farmakologiska behandlingar.24
4.4.4Att följa upp konsekvenserna av tidigare händelser
Att följa upp konsekvenserna av en genomförd åtgärd är viktigt och borde göras oftare än vad som i dag är fallet. Vad en åtgärd får för konsekvenser kan dock i många fall inte avgöras förrän efter lång tid, ibland decennier. Om emellertid effekten för personer, som i någon form tidigare har utsatts för åtgärden, eller liknande åtgär- der, kan bedömas med hjälp av register, kan det vara möjligt att få en indikation på vilka konsekvenserna kan bli av den aktuella åtgär- den utan att man behöver vänta flera år. För att kunna göra det är det väsentligt att de register där tidigare åtgärder och konsekvenser registrerats är fullständiga.
I en studie av konsekvenserna av den svenska grundskolere- formen kopplade Costas Meghir och Mårten Palme uppgifter från
I en amerikansk studie hävdades att gallstensoperationer ökade risken för cancer i tjocktarmen26, men Anders Ekbom med flera kunde, tack vare möjligheten att sammanställa slutenvårdsregistret med cancerregistret (fullständiga register som bägge förs av Social- styrelsen), visa att denna oro var obefogad.27 På motsvarande sätt kunde Hans Ekelund med flera visa att farhågan, enligt en brittisk
24Hansson, M.G., opublicerad PM
25Meghir, C., Palme, M. Educational Reform, Ability, and Family Background. The American Economic Review, 2005. 95(1):
26Linos, D., Beard, C.M., O'Fallon, W.M., Dockerty, M.D., Beart, R.W., Kurland, L.T. Cholecystectomi and carcinoma of the colon, Lancet, 1981 2:
27Ekbom, A., Yuen, J., Adami,
107
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
födda ökade risken för cancer i barndomen var obefogad.28 Genom att koppla samman uppgifter från samtliga förlossningskliniker med uppgifter i cancerregistret kunde de visa att något sådant samband inte fanns.
Dessa studier visar att forskning som görs med hjälp av register- uppgifter kan ha en direkt praktisk betydelse för hälso- och sjuk- vårdens verksamhet.
Genom att koppla ihop olika typer av registeruppgifter har man också kunnat visa hur det går för barn i familjehems- och institutions- vård. Dels har man på detta sätt kunnat identifiera vilka bakgrunds- faktorer som påverkar risken för att barnen ska placeras i familjehems- och institutionsvård, dels har man försökt bedöma vilka effekterna blir av familjehems- och institutionsvård. Slutsatsen i Socialstyrelsens Social rapport 2006 var att utvecklingen för de barn som hamnar i social dygnsvård är så dyster att man måste ställa frågan om sådana interventioner över huvud taget har någon positiv påverkan på bar- nens utveckling.29
4.4.5Den sociala omgivningens betydelse för individuella handlingar
Vilka vi omges av, umgås med och arbetar tillsammans med har stor betydelse för våra handlingar. För att kunna studera omgivningens påverkan på det egna beteendet behöver vi uppgifter om flera och helst alla individer i sociala nätverk. I många studier har man kun- nat ta in uppgifter om exempelvis andra familjemedlemmar, men att kunna bedöma betydelsen av ett mer fullständigt socialt nätverk har sällan varit möjligt. Om emellertid registermaterial innehåller information om samtliga individer i olika sociala kontexter blir det möjligt att bättre förstå hur vi påverkas av vår sociala omgivning. På grund av svårigheterna att samla in sådana material är dock relativt få studier av detta slag genomförda.
Peter Hedström med flera kunde emellertid, med hjälp av ett material som sammanställts om alla som levde i Stockholm under
28Ekelund H, Finnström O, Gunnarskog J, Källén B., Larsson Y. Administration of vitamin K to newborn infants and childhood cancer, BMJ 1993;
29Vinnerljung, B. et al. Utsatthet bland barn och unga. Social rapport 2006. Socialstyrelsen 2006.
108
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
platsen påverkar risken för att individen själv ska begå självmord.30 De fann att framför allt självmord inom familjekretsen ökar risken, men att även när arbetskamrater begått självmord ökar den egna risken. Studien hade inte varit möjlig att genomföra om inte alla individer i populationen ingått i registermaterialet.
4.4.6Policyskillnader mellan administrativa enheter
Som jag tidigare konstaterat är det ovanligt att åtgärder för enskilda som genomförs av till exempel myndigheter eller kommuner sätts in i statistisk mening helt slumpmässigt. Det förekommer dock att praxis varierar från enhet till enhet, till exempel från kommun till kommun, vilket, i en annan mening, kan sägas innebära att det för den enskilde i viss mån är slumpen som avgör vilken insats han eller hon får. Man kan hävda att det hela tiden pågår ett slags sociala experiment även om de inte utformas på ett sätt som gör att det är enkelt att mäta effekterna. Eventuella skillnader i utfall kan emeller- tid studeras genom jämförelser mellan exempelvis kommuner. De öppna jämförelser som tidigare har nämnts är ett bidrag till sådana jämförelser, men för att förstå innebörden av variationerna krävs givetvis djupare analyser.
Det finns en potential att analysera sådana här ”naturliga experi- ment” i långt större utsträckning än vad som hittills har skett. Till exempel kan den diskussion som sedan ett drygt årtionde pågår om evidensbaserad socialtjänst tänkas stimulera sådana studier.
30Hedstrom, P., Liu,
31Stenberg,
109
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
4.4.7Longitudinella studier
Vid tvärsnittsstudier kan man fånga en ögonblicksbild. Det hindrar naturligtvis inte att den kan innehålla frågor till intervjupersonerna om vad som har varit och om deras tro om framtiden. Men svaren speglar vad de just nu minns eller tror om framtiden. Både minnes- bilder och framtidsförhoppningar kan förändras över tid. Vid longi- tudinella studier följer man samma individer över en längre tid för att fånga förändringar i deras liv eller av ett samhälle där befolkningens sammansättning förändras. Det kan handla om förändringar i allt från social status och hälsa till åsikter och värderingar. Den tid de följs kan variera från ett par år till ett helt återstående liv. Flera av de forskningsexempel som ges i detta kapitel bygger på en longitu- dinell design. Likväl finns det skäl att särskilt uppmärksamma registrens betydelse för longitudinell forskning.
En form av longitudinella studier är befolkningsstudier eller, som man ofta säger inom medicinsk och epidemiologisk forskning, kohortstudier. Dessa studier är prospektiva till sin karaktär, det vill säga man väljer ut en grupp individer och följer dem ett antal år framåt för att till exempel lära mer om uppkomsten av sjukdomar. I projekten LifeGene och EpiHealth är man på väg att samla in upp- gifter och prover från flera tiotusentals individer och familjer för att på sikt kunna undersöka hur arv och miljö påverkar hälsan.32 De uppgifter som samlas in direkt från individer kan i forsknings- projekt kompletteras med uppgifter från register.
I andra fall kan ett forskningsregister ha skapats för ett mer kortsiktigt projekt, men många år senare visa sig vara användbart för helt nya forskningsfrågor. Det kanske äldsta forskningsregistret i Sverige, och ett av de äldsta i världen, är den så kallade Malmö- studien. Den gjordes 1938 då en forskare gjorde intelligenstester på alla tioåringar i staden. Från början användes registret för att studera bland annat ”kvarsittningsfrågan” som var aktuell på
32Se vidare avsnitt 8.4.2.
33Broady, D. Longitudinella studier. PM april 1983; Lager, A. The Role of Education and Cognitive Skills in Understanding Moratlity Inequalities, Karolinska Institutet 2011.
110
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
En alternativ design för longitudinell forskning är att med hjälp av register få fram uppgifter om personers förflutna. Om man vill finna förklaringar till en sjukdom som manifesteras i dag, men som kan ha orsakats av händelser långt tillbaka i tiden, kan uppgifter från vårdregister eller gamla prover från biobanker ge viktig information. På det sättet kunde forskare finna ett samband mellan livmoderhals- cancer och så kallade
Ett liknande exempel avser patienter som nyligen fått diagnosen reumatoid artrit (RA). I Umeå finns sedan många år en biobank som ursprungligen startades med utgångspunkt i frågeställningar rörande hjärtkärlsjukdomar. Forskarna kunde i denna hitta prover från de aktuella patienterna som var tagna för
En tredje kategori av longitudinell forskning är där man helt använder redan insamlade uppgifter. Peter Fredriksson, Björn Öckert och Hessel Oosterbeek matchade
När longitudinella studier görs på ett begränsat urval av personer förvärras ofta det problem med bortfall som finns vid tvärsnitts-
34Lehtinen, M., J. Dillner, P. Knekt, et al. Serologically diagnosed infection with human papillomavirus type 16 and risk for subsequent development of cervical carcinoma: Nested
35Eriksson C. et al. Arthritis Res Ther.
36Fredriksson, P., Oosterbeek, H., Öckert, B. Långsiktiga effekter av mindre klasser, IFAU rapport 2012:5
111
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
studier och som jag tidigare har berört. Bortfallet tenderar av olika skäl att öka över tid. Därmed ökar också osäkerheten i resultaten. Detta talar för att man där det är möjligt bör göra longitudinella studier med hjälp av registeruppgifter.
4.4.8Mikrosimulering
I utredningsdirektiven nämns att registeruppgifter kan användas för mikrosimulering.37 De exempel på forskning som hittills har redo- visats syftar i regel till att förstå de mekanismer som påverkar hälsa och välfärd. Vid mikrosimulering driver man förståelsen ett steg längre och försöker förutsäga möjliga eller sannolika effekter av en planerad åtgärd, exempelvis en förändring av skatter eller bidrag. Med hjälp av mikrosimuleringsmodeller kan man beräkna åtgärdens effekter både för olika typer av hushåll och för hela befolkningen.38 Med mikro avses att dataunderlaget utgörs av uppgifter om individer (eller till exempel hushåll, arbetsplatser eller bostäder). Med simule- ring avses att man undersöker hur individernas situation påverkas av ändrade regelsystem, till exempel ändrade skatter eller bidrag.
Mikrosimuleringsmodeller har utvecklats bland annat för att kunna göra mer tillförlitliga beräkningar än vad som är möjligt när man utgår från genomsnittliga förhållanden. Ett exempel kan belysa problemet.
För några år sedan fördes en diskussion om möjligheten att genom skattesänkningar minska kostnaderna för socialbidrag. Diskussionen utgick från ett genomsnittligt hushåll som betalar inkomstskatt och också får socialbidrag. En sänkning av skatten för detta tänkta hus- håll skulle således sänka behovet av socialbidrag med lika mycket. Förutsatt att skattesänkningen inte överstiger det genomsnittliga socialbidraget blir med en sådan beräkning en hundraprocentig verk- ningsgrad på socialbidraget av skattesänkningen. Inom ramen för en utredning om socialtjänstlagen vid slutet av
37Anders Ekholm m fl har bidragit till utredningen med en underlagsrapport, Vad är mikro- simulering?
38Se http://www.scb.se/Pages/Standard__195232.aspx eller http://www.stat.fi/tup/mikrosimulointi/esittely_sv.html.
112
SOU 2014:45 |
Varför är registeruppgifter bra för forskning? |
något som mikrosimuleringsmodellen beaktade men inte kalkylen baserad på genomsnitt. 39
Mikrosimuleringsmodeller har ofta tagits fram inom regerings- administrationer för att beräkna effekter av planerade politiska åt- gärder, men har också utvecklats och använts i forskningen. Sedan slutet av
FASIT är en så kallad statisk tvärsnittsmodell. Det innebär att man inte antar några förändringar i beteenden över tid. För att komma åt detta problem har andra modeller av dynamisk karaktär utveck- lats. I en översiktsartikel från 2013 redovisar Jinjing Li och Cathal O’Donoghue ett sextiotal så kallade dynamiska mikrosimulerings- modeller med inriktning på ekonomi och välfärd som för närvaran- de används i olika delar av världen.40 Några av dessa har tagits fram i Sverige, bland andra Swedish Simulation Model (SESIM). SESIM utvecklades ursprungligen inom finansdepartementet för att analysera studiemedelssystemets långsiktiga effekter, men den har senare kommit att användas för andra analyser, också av forskare. Anders Klevmarken med flera har använt den för att analysera effekter av en åldrande befolkning.41
De har till exempel i sina analyser pekat på risken för att antalet fattiga äldre (med inkomster under 50 procent av medianinkomsten) kommer att öka kraftigt fram till år 2020 för att sedan fortsätta uppåt till år 2040. De har också visat att kostnaderna för äldreomsorgen som andel av summan av de direkta skatter som hushållen betalar kan komma att öka från strax över 20 procent i dag till 25 procent år 2020 och drygt 36 procent år 2040.
Detta slags beräkningar säger naturligtvis inte hur det kommer att bli. Men de utgör ett viktigt underlag när politiken ska utformas.
Ett annat exempel på användning av mikrosimuleringsmodeller är de beräkningar som Smittskyddsinstitutet har gjort av effekterna av vaccinationskampanjen mot influensa 2009. Man sökte där med
39SOU 1999:46.
40Li, J. & O’Donoghue. A survey of dynamic mivrosumulation models: uses, model structure and methodology, International Journal of Microsimulation 2013:6(2)
41Klevmarken, A., Lindgren, B. (ed). Simulating an Ageing Population. A microsimulation approach applied to Sweden. Contribution to Economic Analysis No 285, Emerald Group Publishing Lmtd, Bingley, United Kingdom 2008; ISBN
113
Varför är registeruppgifter bra för forskning? |
SOU 2014:45 |
hjälp av en annan modell, Mikrosim, beräkna vad som skulle ha hänt utan vaccinering. Slutsatsen blev att vaccinationen hade sparat hundratalet liv och drygt 1 700 inläggningar i slutenvård, men också att den hade lett till cirka 150 fall av narkolepsi.42
Mikrosimuleringsmodeller kräver stora datamängder för att fun- gera väl. I själva verket är det just datas omfattning som bestämmer hur väl variationsanalysen kan göras. I en rapport till Finanspolitiska rådet skriver professor Daniel Waldenström: ”Om man exempelvis är intresserad av analyser av invandrare uppdelade på födelseland och ålder blir grupperna snart så små att den statistiska osäkerheten gör det svårt att dra meningsfulla slutsatser. Om undersökningen därutöver har ovanligt höga bortfall, vilket särskilt är fallet med gruppen unga invandrare, omöjliggörs praktiskt all form av statistisk analys.”43
4.5Sammanfattning
Som har framgått av detta kapitel innebär det ofta en förutsättning, och än oftare en fördel, för forskare att ha tillgång till stora data- material, till exempel i form av befolkningsregister. Det ger möjlig- heter att få kunskaper som kan vara svåra eller omöjliga att vinna med andra forskningsmetoder.
Att använda personuppgifter av det slag som forskarna behöver kan emellertid i vissa situationer uppfattas som ett hot mot indivi- ders personliga integritet. Hur man ska se på dessa risker och den avvägning mellan intressen som måste göras ska jag återvända till i kapitel 6. Dessförinnan ska jag emellertid, i kapitel 5, redovisa de rättsliga förutsättningarna för registerbaserad forskning.
42 Vaccinationskampanjen mot influensa A(H1N1) 2009, Utvärdering av hälsoeffekter säsongerna 2009/2010 och 2010/2011. Smittskyddsinstitutet 2013; Brouwers, L., Cakici, B., Camitz, M., Tegnell, A., Boman, M. Economic consequences to society of pandemic H1N1 influenza 2009 – premininary results for Sweden. Euro Surveill. 2009:43(37):pii=19333. www.eurosurveillance.org/ViewArticle.aspx?ArticleId=19333.
43 Waldenström, D. Regeringen och ojämlikheten, En granskning av budgetens fördelnings- politiska redogörelser
114
5Rättsliga förutsättningar för registerbaserad forskning
5.1Inledning
I detta kapitel ska jag redovisa de bestämmelser som är av betydelse för förutsättningarna för registerbaserad forskning och som därmed är relevanta för utredningen. De bestämmelser som behandlas mot- svarar i stort de som finns upptagna i kommittédirektiven (Dir. 2013:8, se bilaga 1). Målet är att ge en översiktlig beskrivning av det rättsliga regelverk som reglerar registerforskningen i dag.
Jag har i föregående kapitel visat på vinsterna för forskningen med att använda registeruppgifter. Användningen av personuppgifter för forskningsändamål kan emellertid vara känsligt för individerna. Det finns en omfattande lagstiftning som har till syfte att skydda den personliga interiteten. Samtidigt ger lagstiftningen stöd för forska- re att behandla personuppgifter för forskningsändamål.
Kapitlet inleds med en genomgång av de regelverk som styr be- handlingen av personuppgifter och skyddet för den personliga inte- griteten. Här finns reglering på både internationell och nationell nivå. Därefter beskrivs några av de internationella instrument som införts till skydd för enskilda inom hälso- och sjukvård samt forsk- ning. För att möta Sveriges internationella åtaganden på detta om- råde infördes 2004 en särskild lag om etikprövning av forskning som avser människor. Forskares möjlighet att få tillgång till personupp- gifter och skyddet för personuppgifterna hos forskningshuvudman som är en statlig myndighet regleras av bestämmelserna om offent- lighet och sekretess och av personuppgiftslagen (1998:204) (PUL). Sättet för utlämnande av personuppgifter regleras bland annat i en särskild bestämmelse i lagen (2001:99) om den officiella statistiken som beskrivs översiktligt i kapitlet. I det avslutande avsnittet redo- görs närmare för de bestämmelser som bland annat rör bevarandet av allmänna handlingar, däribland forskningsunderlag.
115
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.2Internationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter
5.2.1FN:s allmänna förklaring om de mänskliga rättigheterna m.m.
Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och med- borgerliga rättigheter men även sociala, ekonomiska och kulturella. Den allmänna förklaringen är inte bindande för medlemsstaterna men ses numera som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fast- ställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
FN har också antagit den internationella konventionen om med- borgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen. I artikel 17 i konventionen upp- repas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kon- troller införts, band annat rapporteringsskyldighet för medlemsstater- na. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.
I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files). Riktlinjer- na anger tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med person- uppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med registret ska vara spe- cificerat, berättigat och på något sätt uttryckligt angivet för den
116
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med det angivna ända- målet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet. Enligt riktlinjerna ska var och en ha rätt att få reda på om information om henne eller honom är registre- rad och i så fall vilken. Var och en ska vidare ha rätt till rättelse eller utplåning av onödiga eller felaktiga uppgifter. Uppgifter som kan ge upphov till diskriminering, till exempel information om ras eller etniskt ursprung, sexualliv, politiska åsikter eller religiös eller filoso- fisk övertygelse bör inte registreras. Den som för registret ansvarar för att tillbörliga åtgärder vidtas för att skydda uppgifterna från obehörig åtkomst, missbruk och smitta av datavirus. Det ska i varje land finnas en myndighet med ansvar att övervaka att lagstiftningen på området efterlevs. Överträdelse av bestämmelserna ska leda till sanktioner.
5.2.2Europakonventionen
Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige. Av 2 kap. 19 § rege- ringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av andra punkten följer att en offentlig myndighet inte får inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förbyggande av oordning eller brott eller till skydd för hälsa och moral eller för andra personers fri och rättigheter.
Behandling av personuppgifter kan falla inom tillämpningsom- rådet för artikel 8 i Europakonventionen, dock endast i de fall be- handlingen avser uppgifter om privatliv, familjeliv, hem eller korre- spondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att
117
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
vidta åtgärder för att skydda den enskildes privata sfär.1 Bestäm- melsen innebär således en skyldighet att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldig- het för myndigheter att agera i enskilda fall.
För att vara förenligt med artikel 8 måste ett ingrepp i den kon- ventionsskyddade rättigheten ha stöd i inhemsk lag. Lagen ska vara tillgänglig för allmänheten och utformad med sådan precision att inskränkningarna är förutsebara.2 Ingreppet ska vidare vara nödvän- digt. Det krävs således att det finns ett ”angeläget samhälleligt behov”. Slutligen ska inskränkningen i den grundläggande rättigheten stå i rimlig proportion till det syfte som ska tillgodoses genom inskränk- ningen. Varje konventionsstat har viss frihet att avgöra om en in- skränkning är nödvändig, men Europadomstolen förbehåller sig rätten att övervaka om friheten utnyttjas på ett rimligt sätt.
5.2.3Europarådets Dataskyddskonvention
Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter, den så kallade dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommenda- tioner om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10 till skydd för person- uppgifter som används för vetenskaplig forskning och statistik. Rekommendationerna är inte direkt bindande.
Konventionen har enligt artikel 1 till syfte att säkerställa respek- ten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personupp- gifter.3 Konventionens tillämpningsområde är enligt artikel 2 automa- tiserade personregister och automatisk databehandling av person- uppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet. Den centrala delen av konventionen är kapi- tel II (artikel
1Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.
2Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012 s. 351.
3Begreppet ”automatisk databehandling” behandlas i avsnitt 5.3.4.4.
118
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
som undergår automatisk databehandling ska erhållas och behand- las på ett korrekt och lagligt sätt, vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt (artikel 5). Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd (artikel 6). Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel.
Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår.
5.2.4OECD:s riktlinjer
Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integri- tetsskyddet och flödet av personuppgifter över gränserna: Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna. Syftet med dessa är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behand- las, deras natur eller det sammanhang i vilket de används.4 Rikt- linjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras auto- matiskt och uppgifter som förs manuellt. Riktlinjerna är att uppfatta som minimiregler. Det är således inget som hindar att det nationella skyddet görs mer omfattande än riktlinjerna anger. Riktlinjerna inne- håller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas och vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ända- mål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.
4 SOU 1997:39 s. 170 f.
119
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.2.5Europeiska unionens stadga om de grundläggande rättigheterna
Vid Europeiska rådets möte i Nice år 2000 antog medlemsstaterna Europeiska unionens stadga om de grundläggande rättigheterna (EU- stadgan).5 Stadgans syfte är att kodifiera de grundläggande
När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (arti- kel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för person- uppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få till- gång till insamlade uppgifter och att få rättelse av dem. I artikeln stadgas också att en oberoende myndighet ska kontrollera att regler- na efterlevs.
Enligt artikel 35 har var och en rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i natio- nell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.
Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna numera är rättligt bindande när
5SOU 2010:4 s. 104.
6Prop. 2007/08:168 s. 58.
120
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.2.6Sammanfattning
Av redogörelsen framgår att Sverige förbundit sig att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. När det gäller hur skyddet för den personliga integriteten i samband med databehandling ska utformas är det vissa principer som återkommer i de olika dokumenten och riktlinjerna. Av central betydelse är kravet att personuppgifter endast får samlas in för ett eller flera angivna ändamål. Uppgifterna ska erhållas och behandlas på ett korrekt och lagligt sätt, vara ändamålsenliga, rele- vanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt. Uppgifter av särskilt känslig natur, vanligtvis sådana som avslöjar ras eller etnicitet, politiska åsikter, facklig tillhörighet, hälsa och sexualliv eller att någon har dömts för brott, får endast behandlas under särskilda omständigheter som regleras i lag. Vanligtvis finns också krav på bestämmelser om bland annat säkerhetsåtgärder, information till den registrerade samt sank- tioner och rättsmedel. I sammanhanget bör påpekas att det i vissa av de angivna dokumenten också finns rättigheter som delvis måste tillgodoses genom forskning, till exempel rätten till förebyggande hälsovård och till medicinsk vård i
De principer som redovisas ovan återkommer i dataskyddsdirek- tivet som redovisas i avsnitt 5.3.2.
5.3Nationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter
5.3.1Regeringsformen
Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstad- gandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt band annat för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Målsättningsstadgandet anger några av de viktigaste målen för samhällets verksamhet men har inte någon bindande verkan för det allmänna.7 Bestämmelsen kan således inte ligga till grund för några individuella rättigheter. I 2 kap. 4 och 5 §§
7 Prop. 1975/76:209 s. 128, prop. 2009/10:80 s. 173.
121
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
finns bestämmelser om förbud mot allvarliga fysiska integritets- intrång såsom döds- och kroppsstraff och enligt 2 kap. 6 § är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga in- grepp.
För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokra- tiskt samhälle. Begränsningen får inte gå utöver vad som är nödvän- digt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts- bildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskåd- ning.
I förarbetena till grundlagsändringen anförs att resultatet av Integritetsskyddskommitténs kartläggning och analys av lagstiftning som rör den personliga integriteten ger belägg för slutsatsen att lag- stiftning som innefattar intrång i den enskildes personliga integritet i viss utsträckning uppvisar brister, bland annat i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstift- ningsärenden i vissa fall är bristfälligt redovisade. 8 Det anförs vidare att kommittén konstaterar att grundlagarna starkt betonar vikten av yttrande- och informationsfrihet och att den fria åsiktsbildningen intar en privilegierad ställning. När det gäller grundlagsbestämmelser som har betydelse för integritetsskyddet finns endast förbud mot politisk åsiktsregistrering och ett förbud mot husrannsakan, hemlig avlyssning med mera utan stöd i lag, bestämmelser vars främsta syfte är att skydda den fria åsiktsbildningen. Kommittén konstaterar att lagstiftaren inte lägger tillräcklig vikt vid integritetsskydds- aspekterna när ny lagstiftning arbetas fram.
I propositionen anförs att respekten för individens självbestäm- mande är grundläggande för en demokrati. Vidare anges att vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till sådan information som rör hans eller hennes privata förhållanden kommer att betonas på ett tydligare sätt om skyddet för den personliga integriteten i 2 kap. RF stärks. En
8 Prop. 2009/10:80 s. 176.
122
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
sådan förstärkning kan även förväntas främja intresset av en fri åsiktsbildning och antas öka Sveriges trovärdighet som fördrags- slutande part till Europakonventionen. Målet med regleringen är enligt propositionen att tvinga lagstiftaren att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen och att öka förutsättningarna för att avvägningarna i fråga om identitets- intrånget blir mer ingående belysta.9
Bestämmelserna i 2 kap. 6 § andra stycket RF medför att behand- lingar av information om enskildas personliga förhållanden som sker utan den enskildes samtycke som innebär övervakning eller kart- läggning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag. Med enskildas personliga förhållanden avses enligt förarbetena vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familje- förhållanden, hälsa och vandel.10 Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.
När det gäller frågan om samtycke anförs i motiven att integri- tetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande.11 Om åtgärderna däremot förutsätter den enskildes godkännande kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åt- gärden eller behandlingen avser. PUL bör enligt förarbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke.
Avseende begreppen övervakning och kartläggning anförs i för- arbetena att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om beskattning eller liknande, i många fall kan anses innebära kartlägg- ning av enskildas förhållanden även om avsikten inte är att kartlägga enskilda.12 Så torde fallet vara i fråga om ett stort antal uppgifts-
9Prop. 2009/10:80 s. 177.
10Ibid.
11Prop. 2009/10:80 s. 178 f.
12Prop. 2009/10:80 s. 180.
123
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
samlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska central- byrån (SCB) och andra statistikansvariga myndigheter lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhål- landen i sina databaser.13 Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighets- specifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshante- ringen finns för till exempel socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behand- lingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade person- register. Som exempel nämns polisens belastningsregister. Vidare kon- stateras att en rad åtgärder som innefattar insamling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, tele- avlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.
Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten.14 Vid bedöm- ningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även
13Se kapitel 3.
14Prop. 2009/10:80 s. 183.
124
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med be- handlingen. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i sammanhanget. I detta sam- manhang anförs det att konstitutionsutskottet i flera lagstiftnings- ärenden som rört myndigheters personuppgiftsbehandling framfört att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedöm- ning.15 Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i en inte obetydlig om- fattning.16
Vid bedömningen av vad som kan anses utgöra ett betydande in- trång bör flera omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av upp- gifter till andra som sker utan omedelbart stöd av offentlighetsprin- cipen kan vara av betydelse vid bedömningen. Däremot bör den närmare avgränsningen av grundlagsbestämmelsens tillämpnings- område inte påverkas av sekretesslagstiftningens utformning. Den omständigheten att sekretesslagstiftningen innehåller en presumtion för offentlighet, det vill säga ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utan- för det utvidgade grundlagsskyddet. Även om intresset av insyn är så stort att det inte är motiverat att införa långtgående begränsningar i allmänhetens rätt att få tillgång till handlingar, kan uppgifterna och hanteringen av dem således vara så integritetskänslig att den bör omfattas av grundlagsskyddet. Det förhållandet att de uppgifter som behandlas av en myndighet omfattas av sekretess med ett om- vänt skaderekvisit bör inte heller utgöra en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av den nya grundlagsbestämmelsens tillämpningsom-
15 Prop. 1990/91:60 s. 58, bet. 1990/91:KU 11 s. 11, bet. 1997/98:KU 18 s.43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. Se även till exempel prop. 1990/91:60 s. 58, prop. 1997/98:108 s. 39 och prop. 2011/12:176 s.20.
16 Prop. 1990/91:60 s. 58.
125
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
råde. Även andra omständigheter måste beaktas vid bedömningen av hur långtgående intrång uppgiftsskyldigheten innebär när ställning tas till om föreskrifterna omfattas av den nya bestämmelsen. En sådan omständighet kan vara på vilket sätt och för vilka syften mottaga- ren av uppgifterna hanterar utlämnade uppgifter.
I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten.17 I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag.
5.3.2Dataskyddsdirektivet
5.3.2.1Syfte
Inom EU regleras behandling av personuppgifter i Europaparlamen- tets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter, det så kallade dataskyddsdirek- tivet. Syftet med direktivet är enligt artikel 1.1 att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privat- liv, i samband med behandling av personuppgifter. Det anges i arti- kel 1.2 att medlemsstaterna inte får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna på grund av detta skydd. Målet med direktivet är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsländerna.18 Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när be- handling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
5.3.2.2Huvuddragen i direktivet
Huvuddragen i direktivet är sammanfattningsvis följande.19 Direk- tivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automa- tisk behandling av personuppgifter om de ingår eller är avsedda att
17Prop. 2009/10:80 s. 185.
18Prop. 1997/98:44 s. 34.
19Prop. 1997/98:44 s. 35
126
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
ingå i ett register. Med register avses i sammanhanget varje struk- turerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.20 Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straff- rättens område och inte heller på register för privat bruk. Även be- handling av personuppgifter för uteslutande journalistiska, konstnär- liga och litterära ändamål undantas.
Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare an- vändas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.
Personuppgifter får behandlas när den enskilde lämnat sitt sam- tycke. Därutöver får personuppgifter behandlas endast när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, när det är nödvändigt för att skydda den en- skildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller om det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter ska få ske.
Medlemsstaterna ska förbjuda behandling av känsliga personupp- gifter, det vill säga uppgift som avslöjar ras21, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskil- des uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration. Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndig- heten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.
20I punkt 27 i ingressen till direktivet anges att innehållet i ett register måste vara struktu- rerat enligt särskilda kriterier som avser den enskilda personen, för att lätt ge tillgång till personuppgifterna. Akter eller grupper av akter eller deras omslag som inte är strukturerade efter särskilda kriterier faller inte inom direktivets tillämpningsområde.
21Användningen av begreppet ”ras” kommenteras i avsnitt 5.3.4.8.
127
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon in- formation, om den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den re- gistrerade har också rätt att få sådana uppgifter som inte har behand- lats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller vidare regler om säkerhet vid behandlingen.
All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att till- synsmyndigheten först gett tillstånd till detta.
Den registrerade ska ha rätt att få sina rättigheter enligt den natio- nella lagen prövad av tillsynsmyndigheten och av domstol. Tillsyns- myndigheten ska vara ett oberoende organ. Den ska ha undersök- ningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter.
Överföring av personuppgifter till ett tredje land, som i detta sammanhang innebär ett land utanför EU, får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå.
5.3.2.3Kompletterande rättsakter
Inom EU finns också vissa kompletterande rättsakter till data- skyddsdirektivet, bland annat rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) med särskilda regler om skydd för personupp- gifter i frågor som rör polisiärt och straffrättsligt samarbete.
128
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.3.2.4Reformarbete
Europeiska kommissionen presenterade i november 2010 meddelan- det Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (KOM/2010/0609) som innehöll en strategi för att stärka EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I januari 2012 lade kommis- sionen fram ett förslag till reform av EU:s regler om skydd för per- sonuppgifter. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även PUL.
I Europaparlamentet behandlades förslaget i
5.3.3Kommissionens förordning om tillgång till konfidentiella uppgifter för vetenskapliga syften
22 Kommissionens förordning (EU) nr 557/2013 av den 17 juni 2013 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften och om upphävande av kommis- sionens förordning (EG) nr 831/2002.
129
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
aktualiteten hos de detaljerade uppgifter som är tillgängliga för forsk- ning har därför blivit ett viktigt inslag i en vetenskapligt underbyggd förståelse och styrning av samhället. Vidare anges att forskar- världen därför bör få bättre möjligheter att ta del av konfidentiella uppgifter som används för utveckling, framställning och spridning av europeisk statistik, för analys i den vetenskapliga utvecklingens intresse, utan att det äventyrar den höga skyddsnivå som krävs för konfidentiella statistikuppgifter. I förordningen fastställs villkoren för när tillgång till konfidentiella uppgifter som översänts till EU:s statistikmyndighet Eurostat får beviljas för att möjliggöra statistiska analyser för vetenskapliga syften. I förordningen anges också reglerna för samarbetet mellan Eurostat och de nationella statistikansvariga myndigheterna för att underlätta sådan tillgång.
Enligt artikel 3 ska vissa krav vara uppfyllda för att Eurostat ska få lämna ut uppgifter för forskningsändamål. Den som begär tillgång till uppgifterna ska vara en erkänd forskningsenhet och ett lämpligt forskningsförslag ska lämnas in. I ansökan ska anges vilken typ av konfidentiella uppgifter för vetenskapliga syften som begärs. Till- gången ska ges antingen genom kommissionen (Eurostat) eller genom en annan åtkomstplats som kommissionen (Eurostat) godkänt. Den nationella statistikansvariga myndighet som lämnat uppgifterna ska också ge sitt medgivande till utlämnande. I artikel 4 anges vilka kriterier en forskningsenhet ska uppfylla för att bli en erkänd forsk- ningsenhet. Förordningen innehåller också definitioner av vissa be- grepp samt bestämmelser om vad forskningsförslag ska innehålla, de nationella statistikansvariga myndigheternas ståndpunkt, lämpliga skyddsåtgärder, tillgången till konfidentiella uppgifter genom åt- komstplatser och organisatoriska frågor. Till förordningen hör särskil- da riktlinjer23 med närmare bestämmelser om den praktiska tillämp- ningen av förordningen när det gäller bland annat bedömning av forskningsenheter, upprättande av forskningsförslag och godkän- nande av åtkomstplatser och lämpliga säkerhetsåtgärder.
23 Guidelines for the assessment of research entities, reserach proposals and access facilities.
130
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.3.4Personuppgiftslagen
5.3.4.1Personuppgiftslagens syfte och förhållande till annan lagstiftning
Dataskyddsdirektivet har genomförts i svensk rätt genom PUL och personuppgiftsförordningen (1998:1191), PUF. PUL följer i stort sett dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personupp- giftsansvar, information till den registrerade, skadestånd och straff. Syftet med PUL är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som avviker från PUL, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i så kallade re- gisterförfattningar som reglerar inrättandet och förfarandet av vikti- gare register på det offentliga området. Även bestämmelser som föreskriver att myndigheter eller enskilda får eller ska lämna ut upp- gifter avses i paragrafen. Bestämmelser om så kallad uppgiftsskyl- dighet går således före bestämmelserna i PUL.
5.3.4.2Några viktiga begrepp
3 § PUL innehåller definitioner av vissa grundläggande begrepp. Avsikten är att definitionerna i PUL ska ha samma innebörd som enligt dataskyddsdirektivet.24
Behandling (av personuppgifter) avser varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i be- stämmelsen insamling, registrering, organisering, lagring, bearbet- ning eller ändring, återvinning, inhämtande, användning, utlämnan- de genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller sambearbetning, blockering, utplå- ning eller förstöring. Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom PUL:s tillämpningsområde, om behandlingen är automatisk eller avser ett manuellt personregister.25 Avsikten är att alla former av hante- ring ska omfattas.
24SOU 1997:39 s. 327.
25SOU 1997:39 s. 332.
131
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Mottagare definieras som den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Defini- tionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer efter- som denna uppgift i kombination med andra uppgifter kan ge upp- lysning om den personens föräldrar och avkomma.26
Enligt förarbetena omfattas även kodade personuppgifter av PUL, så länge någon kan göra uppgifterna läsbara och därmed identifiera individer.27 Även sådana uppgifter som i sig är anonyma men som möjliggör identifikation genom så kallad bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av upp- gifterna, inte att den personuppgiftsansvarige själv förfogar över samt- liga uppgifter som gör identifieringen möjlig. I förarbetena anges som exempel ett trafikföretag som kan registrera när ett personligt och numrerat så kallat månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, till exempel hos den skola eller socialförvaltning som delat ut kortet.
Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon, kundnummer och lägenhetsnum- mer.
Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av person- uppgifter i lagens mening finns det en eller flera personuppgifts- ansvariga för den behandlingen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av person- uppgifter sker i enlighet med bestämmelserna i PUL. Som huvud- regel kan därför bara fysiska personer, juridiska personer, utländska
26SOU 1997:39 s. 338.
27Ibid. I förarbetena används begreppet krypterade i stället för kodade.
132
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra ”organ” som saknar rättskapacitet och således inte kan ådömas skadestånd.28
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträde. Den personuppgiftsan- svarige har skadeståndsansvar gentemot de registrerade för person- uppgiftsbiträdets behandling av personuppgifter. Personuppgifts- biträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.
Ett personuppgiftsombud är en fysisk person som, efter förord- nande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
Den registrerade är den som en personuppgift avser. Av defini- tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.
Med samtycke avses enligt definitionen varje slag av frivillig, sär- skild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte att samtycket är skriftligt.29 Vid en tvist torde dock den personuppgiftsansvarige ha bevisbördan för att den registrerade har lämnat sitt samtycke. Ett skriftligt sam- tycke kan därför ändå vara lämpligt.
Enligt definitionen ska det vara den registrerade som blir infor- merad och godtar behandlingen av sina personuppgifter. Det är så- ledes den registrerade själv som ska lämna sitt samtycke. Att till exem- pel en organisation som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar är inte tillräckligt. Samtycket måste vara individuellt.30
Frågan om samtycket i alla lägen måste avges personligen, det vill säga av den registrerade själv, har diskuterats i förarbetena.31 Datalagskommittén konstaterade att det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den personupp- giftsansvarige (eller dennes ombud), och enligt kommittén bör ett
28SOU 1997:39 s. 336.
29SOU 1997:39 s. 341.
30Ibid.
31Ibid.
133
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
ombud eller en ställföreträdare kunna lämna samtycke på den re- gistrerades vägnar.
Det har inte ställts upp några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade och att den som faktiskt kan tillgodogöra sig information om vad en behand- ling innebär och som faktiskt kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rätts- ligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.32 Frågan om när någon har sådan mognad att han eller hon förstår vad sam- tycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.
Datalagskommittén tar vidare upp frågan om vad kravet på fri- villighet innebär. I förarbetena nämns som exempel den situation att samtycke till viss uppgiftsbehandling uppställs som en förutsätt- ning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en livsnödvändig sjukvårdsbehandling eller en anställning. Det konstateras att om situ- ationen är sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Det anförs dock att undantag får göras om det kan visas att den registrerade skulle ha lämnat sam- tycket även utan ”tvånget”. Även omständigheten att en registrerad kan ha en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt.
Kravet på att samtycket ska vara särskilt medför att ett generellt samtycke till uppgiftsbehandling inte accepteras. Den registrerade ska informeras om vilken eller vilka behandlingar som ska göras och de är dessa, och inga andra, som det särskilda samtycket avser.33 Definitionen av begreppet samtycke innebär också att ett så kallat hypotetiskt samtycke inte kan godtas. Med hypotetiskt samtycke avses att man på olika grunder antar att individen i fråga skulle ha samtyckt om han eller hon hade ställts inför frågan.
32Ibid.
33SOU 1997:39 s. 342.
134
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Tillsynsmyndigheten är den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyn- dighet.
5.3.4.3Det territoriella tillämpningsområdet
Det följer av 4 § PUL att lagen gäller för sådana personuppgifts- ansvariga som är etablerade i Sverige. Det framgår vidare av bestäm- melsen att lagen som huvudregel också tillämpas när den person- uppgiftsansvarige är etablerad i en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbets- området men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.
5.3.4.4Behandling av uppgifter som omfattas av lagen
Det framgår av 5 § PUL vilka personuppgifter som omfattas av lagen. Bestämmelsen har följande lydelse.
5 §
Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I bestämmelsens första stycke slås det fast att lagen gäller för all behandling av personuppgifter som är helt eller delvis automatise- rad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binär form), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som auto- matiserad behandling.34 Så snart en personuppgift har kommit in i en dator eller motsvarande maskin skulle det alltså vara fråga om sådan automatiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bilduppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller
34 SOU 1997:39 s. 344.
135
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
avses att ingå i ett register. Däremot är det enligt förarbetena mera osäkert om och i vilken utsträckning reglerna om automatiserad behandling ska tillämpas på behandling av personuppgifter som inte finns i datorformat, till exempel bilder och ljud avseende individer som tas upp och lagras i något analogt format, såsom på ett negativ eller ett ljud- eller videoband.
Även delvis automatiserad behandling av personuppgifter om- fattas av lagen. Det innebär bland annat att lagen tillämpas redan när någon samlar in personuppgifter manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat. Det inne- bär vidare att muntligt utlämnande eller utlämnande på papper av personuppgifter som finns i datorformat omfattas av lagen. Det gör även manuell, intern användning av sådana personuppgifter.35
Av 5 § andra stycket PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automati- serad. Den behandling som avses är manuellt behandlade person- uppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett re- gister, det vill säga en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Ett register är enligt förarbetena en samling av personuppgifter.36 Samlingen ska, för att utgöra ett register, innehålla uppgifter om fler än en person. En omfattande samling uppgifter om en enda person är således inte något register. För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. En hög med lösa papper på ett skrivbord omfattas således inte, även om papperen tillfälligt- vis råkar vara sorterade i bokstavsordning efter efternamn. Däremot krävs det inte att alla handlingar i ett register finns på ett och samma ställe. Om personuppgifter i pappershandlingar som är utspridda, till exempel på olika håll i landet eller inom ett företag, är tillgäng- liga med hjälp av ett centralt index, kan det ändå vara fråga om ett enda register. Ett annat exempel är att ett företag kan ha ett kort- register som innehåller kundernas namn och en hänvisning till det ställe, till exempel en filial, där kundens akt med ytterligare per- sonuppgifter finns.
35Öman, S. och Lindblom,
f.
36SOU 1997:39 s. 339.
136
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Uppgiftssamlingen måste också vara strukturerad.37 Det innebär att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkt 15 och 27 i ingressen till dataskyddsdirektivet fram- går att kriterierna ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer et cetera) om- fattas således inte. Det kan till exempel vara fråga om akter som har ordnats efter löpnummer utan möjlighet att söka fram uppgifter om enskilda personer.
I dataskyddsdirektivet och PUL talas det om kriterier i pluralis. Enligt förarbetena skulle det innebära att registret måste vara sök- bart på mer än ett kriterium. En förteckning i bokstavsordning över personer skulle således inte vara ett register, om namnet är den enda sökingången. Om alla kriterier eller bara ett kriterium måste avse personuppgifter är dock mera oklart.38
5.3.4.5Undantag från personuppgiftslagen
Undantag för behandling av personuppgifter i ostrukturerat material
Enligt 5 a § PUL behöver vissa i bestämmelsen angivna hanterings- regler i PUL inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, så kallat ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behand- ling emellertid inte får utföras om den innebär en kränkning av den registrerades personliga integritet.
Bestämmelsen infördes den 1 januari 2007 som ett resultat av en översyn av PUL. Personuppgiftslagsutredningens uppdrag var att analysera förutsättningarna för en reglering med inriktning på miss- bruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet var att underlätta vardaglig hantering av person-
37SOU 1997:39 s. 339.
38SOU 1997:39 s. 340.
137
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
uppgifter samtidigt som den enskilde skulle ges ett effektivt skydd mot missbruk av uppgifterna.39
Bestämmelsen innebär en förenklad reglering för behandling av personuppgifter i ostrukturerat material såsom löpande text samt ljud och bild. Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.
Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller samman- ställning av just personuppgifter. I det undantagna området ingår till exempel produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med
Enligt bestämmelsens andra stycke får en sådan behandling av personuppgifter i ostrukturerat material som avses i första stycket inte utföras om den innebär en kränkning av den registrerades per- sonliga integritet. Det har inte ansetts möjligt eller lämpligt att i lagen införa en uttömmande uppräkning av alla de fall av behandling av personuppgifter som kan utgöra missbruk av personuppgifter och därmed en kränkning av en enskilds personliga integritet. Det kon- staterades i förarbetena att det är bäst att ha en allmänt hållen be- stämmelse om vad som utgör missbruk, som mot bakgrund av för- arbetena får uttolkas i rättspraxis och vägledning från till exempel Datainspektionen.41 Det har således lämnats åt rättstillämpningen att i varje enskilt fall, med beaktande av samtliga omständigheter, väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen. I förarbetena lämnas ändå vissa riktlinjer för behandling av personuppgifter i ostrukturerat material. Av dessa framgår bland annat att personuppgifter inte ska behandlas för otillbörliga syften, så som förföljelse eller skandalisering, eller att man inte utan godtagbara skäl ska samla en stor mängd uppgifter om en person.42
39SOU 2004:6 s. 33.
40SOU 2004:6 s. 12, prop. 2005/06:173 s. 21.
41SOU 2004:6 s. 144.
42SOU 2004:6 s. 148, prop. 2005/06:173 s. 29.
138
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Det bör i sammanhanget noteras att undantagsbestämmelsen i 5 a § PUL i princip aldrig torde bli tillämplig vid behandling av personuppgifter för registerforskning.
Undantag för privat behandling av personuppgifter
Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verk- samhet av rent privat natur.
Förhållandet till tryck- och yttrandefriheten
Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträck- ning det skulle strida mot bestämmelserna om tryck- och yttrande- frihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrund- lagen (YGL).
Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av person- uppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel en tryckt skrift eller ett radioprogram. Behandling som syftar till att uppgifter samlas in av till exempel en journalist för att göra ett
Den behandling av personuppgifter som sker inom statistisk och vetenskaplig verksamhet har ofta som mål att utmynna i en publika- tion av resultaten. Regeringen har dock gjort den bedömningen att även om forskningsresultat ofta offentliggörs i olika publikationer, så kan inte forskningen sägas syfta till ett offentliggörande i grund- lagens mening utan i stället till att nå ett visst resultat. Den bedrivna forskningen kan därför enligt regeringen inte anses åtnjuta grund- lagsskydd under åberopande av att forskningsresultaten ska publi- ceras.44
43SOU 1997:39 s. 258 ff.
44Prop. 2002/03:50 s. 119, jämför Ds 2001:62 s. 54 och 128.
139
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Bestämmelsen innebär vidare undantag för den grundlagsskyddade rätten att sprida yttranden, meddelarfriheten och anskaffarfriheten.
Enligt bestämmelsens andra stycke ska vissa bestämmelser i PUL inte tillämpas på sådan behandling av personuppgifter som sker ute- slutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behandling. I förarbetena be- tonas att det är viktigt att det även vid behandling för journalistiska ändamål eller konstnärligt eller litterärt skapande finns en lämplig säkerhetsnivå så att personuppgifter inte till exempel läcker ut eller annars sprids på ett icke avsett vis.45
Förhållandet till offentlighetsprincipen
Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmel- serna om offentlighetsprincipen i 2 kap. TF att lämna ut person- uppgifter.
Offentlighetsprincipen beskrivs närmare i avsnitt 5.6.2. Den inne- bär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar med personuppgifter i den utsträck- ning handlingarna inte innehåller uppgifter som är sekretessbelagda. Av betydelse för principen är också myndigheternas skyldighet en- ligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym. Offentlighetsprincipen innebär således att myndigheterna i vissa fall är skyldiga att ge ut personuppgifter till en obestämd krets av mottagare som kan utnyttja uppgifterna för okända ändamål.46
Förhållandet mellan dataskyddsdirektivet och offentlighetsprin- cipen diskuterades i förarbetena till PUL.47 Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är enligt propositionen i och för sig att anse som en sådan behandling av personuppgifter som omfattas av direktivet. En myndighets ut- lämnande av personuppgifter med stöd av offentlighetsprincipen kan dock inte anses vara oförenligt med de ändamål för vilka uppgifter- na ursprungligen samlades in. Offentlighetsprincipen framgår av
45Prop. 1997/98:44 s. 52.
46Öman, S. och Lindblom
47Prop. 1997/98:44 s. 43 ff.
140
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
grundlagen och får anses utgöra en integrerad del av all förvalt- ningsverksamhet som myndigheterna ägnar sig åt. I propositionen anfördes ett antal ytterligare skäl för tolkningen att offentlighets- principen inte var oförenlig med dataskyddsdirektivet. Lagrådet invände mot att direktivet gick att förena med offentlighetsprin- cipen och anförde bland annat att det mot bakgrund av syftet med direktivet (skapandet av en gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av uppgifter mellan länderna) inte är sannolikt att
Regeringen delade inte Lagrådets farhågor rörande
48I punkt 72 anges att direktivet gör det möjligt att vid genomförandet av dessa bestämmel- ser ta hänsyn till principen om allmänhetens rätt till tillgång av allmänna handlingar.
491997/98:KU 18 s. 26 f.
141
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Förhållandet till arkivlagstiftningen
Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Utgångspunkten i arkivlagstiftningen är att bevara uppgifter och att inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Myndigheternas skyldighet att spara allmänna handlingar i arkiv innebär att en stor mängd personuppgifter bevaras för evigt. Frågan är hur arkivlagens krav på bevarande kan förenas med PUL:s krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras och att uppgifter ska vara riktiga och aktuella.
I förarbetena till PUL anfördes att de ändamål som bevarandet av myndighetsarkiven ska tillgodose kan hänföras till vad som i EG- direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”.50 Det är således inte nödvändigt att myndigheterna redan när person- uppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära han- tering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring. Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således enligt propositionen tillåten enligt dataskyddsdirektivet. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4. I propositionen anförs att de svenska myndigheternas bevarande även av känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda.
Lagrådet uttalade att undantagen i fråga om bevarande och arkive- ring av allmänna handlingar endast var motiverade med hänsyn till undantagens betydelse för offentlighetsprincipen och drog slutsatsen att undantagen stred mot det övergripande syftet med direktivet. Regeringen ansåg dock att offentlighetsprincipen var förenlig med direktivet och att undantagen var av väsentlig betydelse för offent-
50 Prop. 1997/98:44 s. 47 f.
142
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
lighetsprincipen. Det ansågs dessutom att det var ett viktigt allmänt intresse i sig att de syften som ligger till grund för arkiven, och som redovisats ovan, kan tillgodoses.
Lagrådet har även i senare lagstiftningsärenden haft invändningar i fråga om bevarande av allmänna handlingar enligt arkivlagstift- ningen.51
Regeringens möjlighet att meddela föreskrifter om undantag
8 a § PUL bemyndigar regeringen att meddela föreskrifter om undan- tag från en rad bestämmelser i PUL om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.
5.3.4.6Krav på behandlingen av personuppgifter
9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Bestämmelsen har följande lydelse.
9 §
Den personuppgiftsansvarige skall se till att
a.personuppgifter behandlas bara om det är lagligt,
b.personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,
c.personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
d.personuppgifter inte behandlas för något ändamål som är oför- enligt med det för vilket uppgifterna samlades in,
e.de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
f.inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
g.de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella,
h.alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och
i.personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
I fråga om första stycket d gäller dock att en behandling av per- sonuppgifter för historiska, statistiska eller vetenskapliga ändamål inte
51 Prop. 1997/98:108 s. 126 f. och 59 f.
143
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
skall anses som oförenlig med de ändamål för vilka uppgifterna sam- lades in.
Personuppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Det är den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda, även om den personuppgiftsansvarige anlitat ett person- uppgiftsbiträde eller utsett ett personuppgiftsombud. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen. Den registrerades samtycke befriar alltså inte den personuppgiftsansvarige från att se till att kraven i bestäm- melsen är uppfyllda.
Enligt 9 § punkt a och b har den personuppgiftsansvarige ansvar för att personuppgifter endast behandlas om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed. När det är lagligt att behandla personuppgifter framgår av PUL, till exempel 10 och
En av de centrala bestämmelserna i PUL är 9 § punkt c, enligt vilken personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Bestämmelsen innebär att ända- målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in.54 Ändamålen måste då anges uttryckligen.
52SOU 1997:39 s. 350.
53Prop. 1997/98:44 s. 143
54SOU 1997:39 s. 350, prop. 1997/98:44 s. 120 f.
144
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Det finns inte något krav på att ändamålsangivelsen ska nedtecknas. Bestämmelserna i
Ändamålen ska vidare vara särskilda. Det innebär enligt förarbetena att en alltför allmänt hållen ändamålsangivelse inte godtas.55 Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild får emellertid avgöras i praxis. Enligt för- arbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten kan man när det gäller tolkningen av begreppet sär- skilda få viss ledning av kraven i artikel 6 i Dataskyddsdirektivet och 9 § punkten e och f i PUL att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler uppgifter får behandlas än som är nöd- vändigt med hänsyn till ändamålet med behandlingen.56 Om inte ändamålet har en viss grad av precision kan det vara svårt att avgöra om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Kan man inte avgöra vilka personupp- gifter som behövs för att ändamålet ska kunna uppfyllas är ända- målet inte särskilt utan allmänt. Det är möjligt att ange flera ända-
55Ibid.
56SOU 1999:109 s. 156.
145
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
mål när uppgifterna samlas in, även om de olika ändamålen inte är förenliga med varandra.
De ändamål som personuppgifterna ska samlas in för ska också vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av PUL och anknytande lagstiftning. Det anförs i förarbetena att det är osäkert om bestämmelsen om berät- tigade ändamål har någon självständig betydelse.57 Den har dock tagits med i den svenska lagen för säkerhets och fullständighets skull.
Enligt 9 § punkt d får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna så kallade finalitetsprincip är av central betydelse vid be- handling av personuppgifter. Den innebär att det, när behandling för nya ändamål ska ske, måste göras en prövning av om dessa ända- mål är oförenliga med de ursprungligen angivna. Bestämmelsen gör det extra viktigt att tänka efter före och vid insamlingen av upp- gifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna.58 Vad som är oförenligt med de ursprung- liga ändamålen får enligt förarbetena bestämmas genom praxis och kompletterande föreskrifter.59 Det bör dock finnas ett visst spelrum vid tolkningen av begreppet oförenligt.60 Senare behandling behöver alltså inte direkt motsvaras av ett från början angivet ändamål.
Det anges inte i förarbetena till PUL vad som ska beaktas vid prövningen av om de nya ändamålen är oförenliga med ursprung- ligen bestämda. I förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten uttalades följande.
Enligt utredningens uppfattning bör man vid denna ”oförenlighets- prövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom
57SOU 1997:39 s. 350.
58Öman, S. och Lindblom,
59SOU 1997:39 s. 351.
60SOU 1999:105 s. 253.
146
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
handla redan insamlade personuppgifter för andra ändamål blir följakt- ligen litet.61
Behandlingen av personuppgifterna för de nya ändamålen måste, liksom behandlingen för de ursprungliga, vara tillåten enligt 10 § och, om det rör sig om känsliga personuppgifter, dessutom enligt
Även ett utlämnande av personuppgifter till någon annan är en typ av behandling och måste vara förenligt med de ursprungliga ända- målen. Den som utlämnar personuppgifterna måste beakta vad den som vill ha ut uppgifterna ska använda dem till och jämföra den till- tänkta användningen med de ursprungliga ändamålen. Det är därför inte möjligt att kringgå finalitetsprincipen genom att en personupp- giftsansvarig lämnar ut uppgifterna till någon annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprung- liga.63 Det bör dock noteras att den som fått ut uppgifterna inte är bunden av de ändamål som den utlämnande personuppgiftsansva- rige bestämt utan bara av de ändamål som han eller hon själv har bestämt för sin behandling innan de begärdes ut.
Finalitetsprincipen har också betydelse för möjligheten att sam- bearbeta uppgifter. Med sambearbetning av uppgifter avses maskinell bearbetning av uppgifter i ett personregister tillsammans med upp- gifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig.64 PUL innehåller inte något uttryckligt förbud mot sambearbetning av uppgifter. Däremot begränsar bestämmelsen i praktiken möjligheten till sambearbetning, eftersom en uppgift inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Ändamålsbestämmelsen anger således inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifter får ske.65
Artikel
61SOU 1999:109 s. 160.
62SOU 1997:39 s. 351.
63Ibid.
64Prop. 2002/03:135 s. 58 f.
65Prop. 2000/01:126 s. 33 f. och 59 f, prop. 2001/02:144 s. 41, prop. 2004/05:70 s. 75.
66Artikel
147
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
säga artikel 6 b i dataskyddsdirektivet som motsvarar 9 § punkt c och d i PUL.67 Rapporten innehåller en utförlig analys av principen och syftar till att förtydliga dess betydelse och erbjuda riktlinjer för hur den ska tillämpas i praktiken. I rapporten konstateras att prin- cipen förbjuder behandling som är oförenlig med det ursprungliga syftet i stället för att kräva att det senare syftet ska vara förenligt med det ursprungliga. Denna formulering är avsedd att skänka viss flexibilitet till systemet. Senare behandling för ett annat ändamål behöver inte nödvändigtvis vara oförenligt med det första ändamålet. Detta får avgöras från fall till fall. Vid denna ändamålsprövning ska främst förhållandet mellan det ursprungliga ändamålet och det senare ändamålet beaktas. Vidare ska det sammanhang som uppgifternas samlades in i och de rimliga förväntningarna från dem som upp- gifterna rör beaktas. Hänsyn måste också tas till vilken typ av upp- gifter det rör sig om och vilken effekt vidare behandling kan få för dem som uppgifterna rör. Vilka säkerhetsåtgärder den personupp- giftsansvarige vidtagit för att garantera korrekt behandling och förhindra oriktig behandling är också av betydelse.
Det följer av 9 § punkt e att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Det innebär enligt förarbetena att uppgifternas be- skaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.68 Enligt punkt f får inte fler personuppgifter behand- las än som är nödvändigt med hänsyn till ändamålen med behand- lingen. Det är i första hand den personuppgiftsansvarige som har att bedöma vilka uppgifter som är adekvata och relevanta i för- hållande till de ändamål han eller hon har bestämt för behandlingen samt hur många personuppgifter som krävs för att uppnå ändamålet med behandlingen.69 Det ligger dock på den personuppgiftsansvarige att förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.
Det är vidare den personuppgiftsansvarige som har ansvar för att de behandlade personuppgifterna enligt 9 § punkt g är riktiga och, om det är nödvändigt, aktuella.
Gruppen är rådgivande och oberoende och förutom att verka för en enhetlig rättstillämpning ska gruppen bland annat yttra sig till
67Opinion 03/2013 on purpose limitation (00569/13 EN WP 203).
68SOU 1997:39 s. 126.
69Öman, S. och Lindblom,
148
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Den personuppgiftsansvarige ska, enligt 9 § punkt h, självmant vidta rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I förarbetena betonas i detta sam- manhang vikten av att de behandlade uppgifterna håller en hög kva- litet eftersom användningen av felaktiga, missvisande eller ofullstän- diga uppgifter kan förorsaka registrerade och andra stora skador och stor förtret i övrigt.70 Sådana problem kan enligt förarbetena förebyggas genom en sund källkritik och noggrannhet samt genom att det dokumenteras varifrån olika uppgifter har hämtats.
Enligt 9 § punkt i får personuppgifter inte bevaras länge än nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras.71 Det är det ursprungliga ändamålet som bestämdes vid insamlingen som avgör hur länge personuppgifterna får bevaras i identifierbart skick.72 Enligt 8 § andra stycket ska bestämmelserna i PUL inte hindra att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
I 9 §
Behandling för historiska ändamål syftar i första hand på beva- randet av personuppgifter i arkiv.73 Det följer av 8 § andra stycket PUL att bestämmelserna i lagen inte hindrar att en myndighet arki- verar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Undantaget för behandling av person- uppgifter för historiska ändamål har således störst betydelse för enskilda arkiv, till exempel arkiv som förs av föreningar och företag.74 För att undantagsbestämmelsen ska vara tillämplig på enskilda arkiv krävs enligt förarbetena en nedtecknad plan för bevarande av viss kvalitet med syfte att bevara uppgifterna för överskådlig framtid.75
Med behandling för statistiska ändamål avses enligt förarbetena i första hand framställning av numeriska sammanställningar av elemen-
70SOU 1997:39 s. 351.
71SOU 1997:39 s. 351.
72Öman, S. och Lindblom,
73SOU 1997:39 s. 353 ff.
74Öman, S., och Lindblom
75SOU 1997:39 s. 354 f.
149
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
tära observationer som kan hänföras till händelser, flöden eller till- stånd och verksamhet för att göra sådana sammanställningar.76
Med behandling för vetenskapliga ändamål menas enligt förarbe- tena sådan behandling som har koppling till den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut.77 Även vetenskapligt utförda epidemiologiska undersökningar omfattas. Släktforskning faller däremot utanför, liksom annan forskning eller utredningsverk- samhet av mera privat natur. Utgångspunkterna är att det måste finnas ett samhällsintresse av att forskningen bedrivs och att den måste vara vetenskaplig i någon mening.
Enligt andra stycket ska en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses som oför- enlig med de ändamål för vilka uppgifterna samlades in. Det innebär att personuppgifter kan användas för vetenskaplig forskning och sta- tistik oavsett för vilka ändamål uppgifterna ursprungligen samlades in. Personuppgifter som samlats in för ett visst forsknings- och statistikprojekt kan således senare också användas i ett annat sådant projekt.78
Det följer av tredje stycket att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som följer av första stycket i. Personuppgifterna får emellertid inte bevaras under en längre tid än vad som behövs för dessa ändamål.79 Personuppgifter som inte längre behövs för de ursprungligen bestäm- da ändamålen får således bevaras för att användas för historiska, statistiska eller vetenskapliga ändamål. När uppgifterna har använts färdigt för dessa ändamål måste de emellertid avidentifieras eller utplånas. Vid vetenskaplig forskning finns dock särskilda krav på dokumentation och reproducerbarhet. Det innebär att personupp- gifter som använts i ett forskningsprojekt kan behöva bevaras under lång tid efter det att projektet avslutats. Personuppgifter som använts färdigt för statistiska eller vetenskapliga ändamål får bevaras i arkiv för historiska ändamål.
Enligt fjärde stycket får personuppgifter som behandlas för histo- riska, statistiska eller vetenskapliga ändamål användas för att vidta åtgärder i fråga om den registrerade endast om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till
76Prop. 1997/98:44 s. 127.
77SOU 1993:10 s.198, SOU 1997:39 s. 302, prop. 1997/98:44 s. 127.
78SOU 1997:39 s. 309 f.
79Öman, S. och Lindblom,
f.
150
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
den registrerades vitala intressen. Det följer av 8 § andra stycket PUL att bestämmelsen inte gäller för en myndighets användning av personuppgifter i allmänna handlingar. Huvudregeln är således att den personuppgiftsansvariga ska kunna visa att den enskilde har lämnat sitt samtycke för att personuppgifterna ska få användas för att vidta åtgärder. Personuppgifterna får emellertid alltid användas för att vidta åtgärder om det finns synnerliga skäl med hänsyn till den enskildes vitala intressen. Ett exempel på ett sådant tillfälle är enligt förarbetena att en forskare som undersöker ett misstänkt sam- band mellan intag av en medicin och någon allvarlig sjukdom upp- täcker att det faktiskt finns ett sådant samband och därför varnar de registrerade som har fått medicinen så att de kan låta undersöka sig och få behandling.80
5.3.4.7När behandling av personuppgifter är tillåten
9 § PUL anger de krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. För att behandling av personupp- gifter ska vara tillåten måste dessutom något av de förhållanden som anges i 10 § PUL vara för handen. Bestämmelsen har följande lydelse.
10 §
Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att
a.ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
b.den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
c.vitala intressen för den registrerade skall kunna skyddas,
d.en arbetsuppgift av allmänt intresse skall kunna utföras,
e.den personuppgiftsansvarige eller en tredje man till vilken per- sonuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
f.ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
80 Prop. 1997/98:44 s. 121.
151
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Bestämmelsen anger uttömmande i vilka fall personuppgifter över huvud taget får behandlas. Personuppgifter får således inte behandlas i några andra fall än dem som anges i bestämmelsen. Vid behandling av känsliga personuppgifter, uppgifter om lagöverträdelser med mera, personnummer eller samordningsnummer krävs det dessutom att behandlingen är tillåten enligt de bestämmelser som gäller för behand- ling av sådana uppgifter
Samtycke
Uppgifter får för det första behandlas om den enskilde lämnat sitt samtycke till behandlingen. Vad som krävs för ett godkänt samtycke diskuteras i avsnitt 5.3.4.2 som behandlar 3 § PUL.
Utöver de fall där den enskilde lämnat sitt samtycke får person- uppgifter behandlas i de sex fall som räknas upp i punkterna
Nödvändighetskravet
I de fall den registrerade lämnat sitt samtycke till en behandling krävs det inte att behandlingen är nödvändig. I övriga fall måste behand- lingen vara nödvändig för olika syften. Den närmare innebörden av nödvändighetskravet är inte helt klar.81 Som anförs i förarbetena kan de flesta arbetsuppgifter rent faktiskt utföras manuellt utan sådan behandling som omfattas av lagen även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna auto- matiskt.82 Enligt Datalagskommittén kan nödvändighetskravet inte rimligen innebära att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av lagen. Kan en arbetsuppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna. Det kanske går nästan lika bra att använda avidentifierade83 uppgifter. Det räcker sannolikt
81Frågan diskuteras vidare i avsnitt 8.3.2.1.
82SOU 1997:39 s. 359.
83I betänkandet används begreppet ”anonyma”, men här torde uppgifter där det inte längre är möjligt att identifiera personen avses. Sådana uppgifter utgör inte längre personuppgifter i PUL:s bemärkelse.
152
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
att det innebär en påtaglig förenkling för den personuppgiftsansva- rige att personuppgifter behandlas på automatiserad väg.84
Behandling för att utföra en arbetsuppgift av allmänt intresse
Den bestämmelse i 10 § PUL som är av särskilt intresse när det gäller registerbaserad forskning är bestämmelsen i punkt d som reglerar möjligheten att behandla personuppgifter utan den enskildes samtycke om det är nödvändigt för att en arbetsuppgift av allmänt intresse ska kunna utföras. I förarbetena anges arkivering, forskning och fram- ställning av statistik som exempel på sådana uppgifter av allmänt intresse.85 Arbetsuppgiften kan utföras av en myndighet eller ett enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte enligt Datalagskommittén att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte. Bedömningen av om arbetsuppgiften är av allmänt intresse måste göras mot bakgrund av verksamhetens syfte.86
Behandling av personuppgifter efter en intresseavvägning
En annan bestämmelse som kan ha betydelse i sammanhanget är bestämmelsen om en intresseavvägning i punkt f. Enligt denna bestämmelse får personuppgifter behandlas om behandlingen är nödvändig för att ett ändamål ska kunna tillgodoses som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut. Det krävs dock att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Bestämmelsen är ett slags generalklausul som möjliggör befogad behandling när ingen av de andra bestämmelserna i paragrafen är tillämplig.
I förarbetena anges att det ligger i sakens natur att behandlingen bara får avse uppgifter om sådana registrerade vars intresse inte väger lika tungt som den personuppgiftsansvariges.87 Om en registrerad meddelar den personuppgiftsansvarige att han eller hon inte vill att behandlingen fortsätter, får den registrerades intresse av att slippa
84SOU 2001:32 s. 95, SOU 2001:100 s. 90.
85SOU 1997:39 s. 361.
86Prop. 2000/01:105 s. 36.
87SOU 1997:39 s. 362.
153
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
fortsatt behandling som regel anses väga över den personuppgifts- ansvariges intresse av fortsatt behandling; bara i synnerliga undan- tagsfall bör den personuppgiftsansvariges intresse av behandlingen anses väga över intresset hos en registrerad som uttryckligen motsatt sig behandlingen. Finns inte längre förutsättningar för att behandla personuppgifterna enligt någon annan bestämmelse måste de be- handlade uppgifterna förstöras eller avidentifieras; även lagring av personuppgifter anses nämligen som en form av behandling.
5.3.4.8Förbud mot behandling av känsliga personuppgifter
Enligt 13 § PUL råder ett principiellt förbud mot att behandla käns- liga personuppgifter. Vilka personuppgifter som definieras som käns- liga anges uttömmande i bestämmelsen. Bestämmelsen har följande lydelse.
13 §
Det är förbjudet att behandla personuppgifter som avslöjar
a.ras eller etniskt ursprung,
b.politiska åsikter,
c.religiös eller filosofisk övertygelse, eller
d.medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Uppgifter av den art som anges i första och andra styckena be- tecknas i denna lag som känsliga personuppgifter.
Utgångspunkten är således att det är förbjudet att behandla uppgifter av den art som anges i bestämmelsen. I
Ras eller etniskt ursprung
Det är för det första förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung. Enligt kommissionens förklaring till förslaget till dataskyddsdirektiv inkluderar uppgift om ras eller
154
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
etniskt ursprung även uppgift om hudfärg.88 Uppgifter om namn och språkkunskaper tillsammans har ansetts utgöra indirekta upplysningar om en persons etniska ursprung.89 I propositionen avseende genomförande av tredje penningtvättsdirektivet konstaterades att bilden i en passhandling i förening med namn och uppgift om medborgarskap kan avslöja såväl ras som etniskt ursprung.90 Datainspektionen anger i sin rapport 2002:2 angående behandling av elevers uppgifter i grundskolan att en uppgift om en persons modersmål i vissa fall kan vara en uppgift som indirekt avslöjar etniskt ursprung.91 Datainspektionen anger vidare i rapport 2002:3 angående behandling av personuppgifter hos rekryteringsföretag att en uppgift om medborgarskap i vissa fall kan avslöja ras eller etniskt ursprung.92 Regeringen har dock bedömt att en isolerad uppgift om medborgarskap inte avslöjar vare sig ras eller etniskt ursprung.93
I sammanhanget bör noteras att riksdagen har uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor.94 Användningen av ordet ras i författningstexter riskerar enligt riksdagen att underblåsa för- domar. Riksdagen har dock konstaterat att den inte har möjlighet att besluta att ordet ska utmönstras ur all lagstiftning, eftersom det så gott som uteslutande används i författningar som grundas på internationella överenskommelser eller författningar som genomför
88SOU 1993:10 Bilaga s. 177, SOU 1997:39 s. 131.
89SOU 2001:32 s. 124, SOU 2001:100 s. 93 f. och SOU 2003:40 s. 180.
90Prop. 2008/09:70 s. 142.
91Datainspektionens rapport 2002:2 s. 8.
92Datainspektionens rapport 2002:3 s. 8.
93Prop. 2001/02:144 s. 41.
94Bet. 1997/98:KU 29 s. 7.
95Prop. 2009/10:85 s. 123 och prop. 2011/12:45 s. 94.
155
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Politiska åsikter samt religiös eller filosofisk övertygelse
Förbudet gäller vidare behandling av personuppgifter som avslöjar en persons politiska åsikter samt religiösa eller filosofiska övertygelse. Enligt kommentaren till PUL bör man kunna tolka begreppet poli- tiska åsikter restriktivt så att det inte innefattar åsikter om alla sam- hälleliga eller andra mänskliga förhållanden.96 Som exempel på en uppgift som avslöjar en persons politiska åsikter anges uppgift om att någon är medlem i ett politiskt parti. En uppgift om medlem- skap i en partipolitiskt obunden intresseorganisation är emellertid, enligt kommentaren, inte att betrakta som en känslig personupp- gift.
När det gäller religiös eller filosofisk övertygelse anges i förarbete- na att en uppgift om att någon inte har någon religiös tro, liksom information om aktiviteter som hör samman med sådan övertygelse, ska anses utgöra en känslig personuppgift i lagens bemärkelse.97
Medlemskap i fackförening
Med fackförening avses sådana sammanslutningar av arbetstagare som avses i 6 § lagen (1976:580) om medbestämmande i arbetslivet, det vill säga sådan sammanslutning av arbetstagare som enligt sina stadgar ska tillvarata arbetstagarnas intressen i förhållandet till arbets- givaren. Uppgift om medlemskap i arbetsgivarorganisation eller arbetslöshetskassa omfattas inte av definitionen i PUL.98
Uppgifter som rör hälsa och sexualliv
När det gäller uppgifter om hälsa omfattas alla uppgifter som rör en persons tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger eller alkohol.99 Enligt kommissionens förklaring till förslaget till dataskyddsdirektiv skulle uppgifter om varje indikation på drog- eller alkoholmissbruk anses röra hälsa.100
96Öman, S. och Lindblom,
97SOU 1997:39 s. 131 f.
98Öman, S. och Lindblom,
99SOU 1997:39 s. 132.
100SOU 1993:10 Bilaga s. 177.
156
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
gift om hälsa.101 Vidare har Högsta domstolen ansett att en uppgift om att en anställd har samarbetssvårigheter sammantagen med en uppgift om att personen är sjukskriven är att bedöma som uppgifter som rör hälsa enligt 13 § PUL.102
Uppgifter om läkemedel och andra varor som förskrivits en en- skild har ansetts röra dennes hälsa och därför utgöra känsliga person- uppgifter103. Datainspektionen har gjort bedömningen att redan en uppgift om att någon är eller har varit på läkarbesök är en känslig personuppgift.104 Datainspektionen har vidare ansett att en uppgift om att någon är handikappad105 är en uppgift som rör hälsa.106 I sam- ma beslut kom Datainspektionen även fram till att redan en uppgift om att någon är registrerad som medlem i De Handikappades Riks- förbund107, där inspektionen antog att det stora flertalet medlem- mar är handikappade, måste behandlas som en känslig personuppgift.
När det gäller uppgifter som rör sexualliv anför Datalagskom- mittén att en isolerad uppgift om vilket kön en person har inte kan anses utgöra en uppgift som rör dennes sexualliv.108 Inte heller en uppgift om civilstånd kan i sig anses vara en sådan uppgift som rör den registrerades sexualliv. Kommittén bedömer däremot att en upp- gift om att någon har bytt kön är en uppgift som kan anses röra den personens hälsa eller sexualliv.
Datalagskommittén tar också upp frågan om hur man ska be- döma om avbildningar av personer, till exempel fotografier, utgör känsliga personuppgifter i bestämmelsens bemärkelse.109 Det får en- ligt kommittén anses osäkert om en bild på den som är fysiskt handi- kappad eller ser sjuk ut innefattar uppgifter som rör personens hälsa. Kommittén ansåg det dock rimligt att bilder på människor i mera ”normala” sammanhang inte avslöjar några känsliga person- uppgifter.
101Dom den 6 november 2003 i mål
102NJA 2005 s. 361.
103Prop. 2008/09:145 s. 305.
104Datainspektionens beslut
105I Datainspektionens beslut används ordet ”handikappad”. Ordet har i dag ersatts med begreppet ”person med funktionsnedsättning”.
106Datainspektionens beslut
107Förbundet heter i dag Delaktighet Handlingskraft Rörelsefrihet.
108SOU 1997:39 s. 368.
109SOU 1997:39 s. 368.
157
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.3.4.9Undantag från förbudet mot behandling av känsliga personuppgifter
Det följer av 14 § PUL att det trots förbudet i 13 § PUL är tillåtet att behandla känsliga personuppgifter i de fall som anges i
18 §
Känsliga personuppgifter får behandlas för hälso- och sjukvårds- ändamål, om behandlingen är nödvändig för
a)förebyggande hälso- och sjukvård,
b)medicinska diagnoser,
c)vård eller behandling, eller
d)administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsom- rådet och har tystnadsplikt får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är under- kastad en liknande tystnadsplikt och som har fått känsliga person- uppgifter från verksamhet inom hälso- och sjukvårdsområdet.
Känsliga personuppgifter får enligt första stycket behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för vissa i bestämmelsen uppräknade syften. Behandlingen av de känsliga per- sonuppgifterna ska vara nödvändig för något eller några av de upp- räknade syftena. Innebörden av nödvändighetskravet har redovisats ovan.
Uppräkningen av syften i första stycket täcker i praktiken nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvården. Undantagets räckvidd preciseras inte närmare i förarbetena till lagen.111 Det har dock i senare lagstiftningsärenden ansetts rimligt att inte ge bestämmelsen en alltför snäv räckvidd och
110Öman, S. och Lindblom,
111Prop. 1997/97:44 s. 68 f och 126 f.
158
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
att även aktiviteter inom hälso- och sjukvård utanför det primära vårdområdet måste kunna inbegripas.112
För att möjliggöra behandlingen av personuppgifter i register med det övergripande syftet att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård finns i dag en särskild reglering av nationella och regionala kvalitetsregister inom hälso- och sjukvården i patientdatalagen (2008:355) (se avsnitt 5.3.6.3).
Det följer av andra stycket att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid får behandla sådana känsliga personuppgifter som omfattas av tystnads- plikten. Bestämmelsen ger således möjlighet för personer som har sådan sträng tystnadsplikt som normalt gäller inom hälso- och sjuk- vårdsverksamhet att behandla känsliga personuppgifter. Enligt andra stycket får vidare den som inte är yrkesmässigt verksam inom hälso- och sjukvårdsområdet men som ändå har fått känsliga personupp- gifter från verksamhet inom hälso- och sjukvårdsområdet alltid behandla dessa uppgifter om en liknande tystnadsplikt gäller för honom eller henne i fråga om uppgifterna. Bestämmelsen kan bli aktuell till exempel när känsliga personuppgifter från en myndighet inom hälso- och sjukvården lämnas till forskningsverksamhet.113
Det undantag från förbudet mot behandling av känsliga person- uppgifter som är av störst betydelse i registerforskningssamman- hang finns i 19 § PUL och rör forskning och statistik. Bestämmel- sen har följande lydelse.
19 §
Känsliga personuppgifter får behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
Känsliga personuppgifter får behandlas för statistikändamål, om behandlingen är nödvändig på sätt som sägs i 10 § och om samhälls- intresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Har behandlingen godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt andra stycket anses uppfyllda. Med forsk- ningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finan- sierar forskning.
112Prop. 2005/06:70 s. 144.
113Prop. 1997/98:44 s. 126.
159
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i andra stycket, om inte något annat följer av regler om sekretess och tystnadsplikt.
Av bestämmelsens första, andra och tredje stycke framgår när käns- liga personuppgifter får behandlas för forsknings- och statistik- ändamål utan uttryckligt samtycke. Av fjärde stycket framgår att personuppgifter får lämnas ut till vissa statistikprojekt.
Tidigare gällde samma regler för användande av känsliga person- uppgifter vid forskning som vid statistik. I samband med införan- det av lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) den 1 januari 2004 infördes en sär- skild reglering för forskning i bestämmelsens första stycke. Enligt bestämmelsen får känsliga personuppgifter behandlas för forsknings- ändamål endast om behandlingen godkänts enligt etikprövnings- lagen.
Enligt 6 § första stycket etikprövningslagen får forskning som innefattar behandling av känsliga personuppgifter eller personupp- gifter om lagöverträdelser med mera som avses i 21 § PUL genom- föras bara om behandlingen har godkänts vid en etikprövning enligt etikprövningslagen. Etikprövningslagen tillämpades ursprungligen bara om forskningspersonen inte hade lämnat sitt uttryckliga sam- tycke till behandlingen av personuppgifterna. Efter en lagändring som trädde i kraft den 1 juni 2008 tillämpas lagen emellertid numera även när det finns samtycke. Det framgår av bestämmelsens orda- lydelse att det är själva behandlingen av personuppgifter som ska godkännas. Det är således inte tillräckligt att forskningen i sig har godkänts vid etikprövningen.
Bestämmelserna i etikprövningslagen behandlas närmare i av- snitt 5.5.
I bestämmelsens andra stycke finns det en allmän avvägnings- norm som anger när känsliga personuppgifter får behandlas för statistikändamål. Enligt bestämmelsen krävs det för det första att behandlingen av känsliga personuppgifter är nödvändig på det sätt som sägs i 10 § PUL. Det krävs vidare att samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behand- lingen kan innebära.
För att göra en avvägning enligt normen måste det ske en hel- hetsbedömning av samtliga omständigheter.114 Vid bedömningen bör
114 Prop. 1997/98:44 s. 127.
160
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
man enligt förarbetena beakta bland annat statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vilken utsträckning den enskilde skulle kunna skadas om man be- gärde samtycke och om en kontakt med den enskilde skulle kunna snedvrida undersökningsresultatet. Vid intresseavvägningen bör också beaktas om de berörda fått information av något slag, till exempel via anslag eller annonser. Andra faktorer som bör vägas in är i vilken utsträckning den som begär det ska ha rätt att bli struken och hur pass svårt det är att på grund av de behandlade uppgifterna identifiera enskilda personer.
Det är i första hand den personuppgiftsansvarige som ska tilläm- pa avvägningsnormen på eget ansvar. Det har överlämnats åt rätts- tillämpningen att med användande av den allmänna normen och efter rådande värderingar i samhället avgöra vilka behandlingar som kan tillåtas. Det har i dessa bedömningar betonats att normen ger uttryck för en restriktiv tillämpning.115
Enligt tredje stycket ska förutsättningarna i andra stycket anses uppfyllda om behandlingen har godkänts av en forskningsetisk kom- mitté. Bestämmelsen gällde tidigare behandling för både forsknings- ändamål och för statistikändamål. När etikprövningslagen infördes ändrades bestämmelsen i 19 § PUL så att behandling av känsliga personuppgifter endast får behandlas för forskningsändamål om behandlingen godkänts enligt etikprövningslagen. I förarbetena till etikprovningslagen anfördes att reglerna i 19 § andra och tredje stycket PUL för statistikprojekt borde kvarstå oförändrade.116 Skälet till detta var att Riksförsäkringsverket, Folkhälsoinstitutet, Statens institutionsstyrelse och Socialstyrelsen tillsammans hade startat en forskningsetisk kommitté som har möjlighet att bedöma statistik- projekt. Någon sådan kommitté finns emellertid inte i dag och det saknas således möjlighet till etikgodkännande av statistikprojekt.
Enligt fjärde stycket får personuppgifter lämnas ut för att an- vändas för statistikändamål om inte något annat följer av regler om sekretess och tystnadsplikt. Bestämmelsen ska läsas mot bakgrund av 24 § första och andra styckena PUL.117 Där anges att om per- sonuppgifter samlats in från någon annan källa än den registrerade ska den personuppgiftsansvarige självmant lämna den registrerade
115Öman, S. och Lindblom,
116Prop. 2002/03:50 s. 174.
117Prop. 2002/03:50 s. 197.
161
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
information om behandlingen av uppgifterna när de registreras. Så- dan information behöver dock inte lämnas om det finns bestäm- melser om registrerandet eller utlämnandet av personuppgifterna i lag eller annan författning. Bestämmelsen i 19 § fjärde stycket PUL är just en sådan bestämmelse om utlämnande av personuppgifter till statistikprojekt. Bestämmelsen medför att den som samlar in personuppgifter från något annat håll än den registrerade för att använda i ett statistikprojekt inte behöver följa bestämmelserna om information om behandlingen till den registrerade enligt 24 § PUL.
Det bör betonas att bestämmelsen inte medför någon skyldighet att lämna ut personuppgifter. Den innebär endast att det är tillåtet enligt PUL för den som innehar uppgifterna att lämna ut dem.118 Om något annat följer av regler om sekretess och tystnadsplikt får uppgifterna dock inte lämnas ut.
5.3.4.10Behandling av personuppgifter om lagöverträdelser m.m.
Behandling av personuppgifter som rör lagöverträdelser med mera finns i 21 § PUL. Bestämmelsen har följande lydelse.
21 §
Det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Personuppgifter som avses i första stycket får dock behandlas för forskningsändamål av andra än myndigheter, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från förbudet i första stycket.
Regeringen får i enskilda fall besluta om undantag från förbudet i första stycket. Regeringen får överlåta åt tillsynsmyndigheten att fatta sådana beslut.
Vid behandling av personuppgifter om lagöverträdelser med mera är det inte tillräckligt att kraven i 21 § PUL är uppfyllda. Även de grundläggande kraven på behandling av personuppgifter i 9 § PUL måste beaktas och behandlingen måste vara tillåten enligt 10 § PUL. Innefattar behandlingen sådana känsliga personuppgifter som avses i 13 § PUL måste även bestämmelserna i
118 Prop. 1997/98:44 s. 128.
162
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Enligt huvudregeln i första stycket får endast myndigheter be- handla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden. Detta gäller även om den enskilde har lämnat sitt samtycke till annan behandling.
Bestämmelsen är för det första tillämplig vid personuppgifter om lagöverträdelser som innefattar brott, det vill säga i de fall ett straff är föreskrivet för överträdelsen.119 En uppgift om att någon har eller kan ha begått ett visst brott utgör en uppgift om en lagöverträdelse, även om det inte finns någon dom. Bestämmelsen är vidare tillämp- lig på uppgifter om domar i brottmål. Här avses bland annat uppgift om att någon är dömd för brott även om det inte framgår vilket, samt uppgift om att någon frikänts. Med straffprocessuella tvångsmedel avses till exempel häktning, beslag och kvarstad i brottmål. Att någon varit föremål för tvångsingripande enligt lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1991:1128) om psykiatrisk tvångsvård är exempel på uppgifter om administrativa frihetsberö- vanden.
I andra stycket finns ett undantag från huvudregeln att person- uppgifter om lagöverträdelser med mera endast får behandlas av myndigheter. Enligt bestämmelsen får enskilda behandla sådana uppgifter för forskningsändamål, under förutsättning att behand- lingen har godkänts enligt etikprövningslagen.
Regeringen eller den myndighet som regeringen bestämmer har i tredje stycket bemyndigats att meddela föreskrifter om undantag från förbudet i första stycket. I bestämmelsen avses generella undan- tag, inte undantag i enskilda fall. Regeringen har enligt 9 § PUF bemyndigat Datainspektionen att meddela sådana föreskrifter. Data- inspektionen har meddelat föreskrifter om undantag genom DIFS 1998:3, som ändrats genom DIFS 2010:1. Datainspektionen får också i enskilda fall besluta om undantag från förbudet.
Av fjärde stycket framgår att regeringen eller, om regeringen så bestämmer, tillsynsmyndigheten kan besluta om undantag från första stycket även i enskilda fall. Regeringen har enligt 9 § PUF bemyn- digat Datainspektionen att meddela sådana beslut.
119 SOU 1997:39 s. 380, prop. 1997/98:44 s. 129.
163
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.3.4.11 Behandling av uppgifter om personnummer
Behandling av personnummer och samordningsnummer utan den enskildes samtycke regleras i en särskild bestämmelse. Bestämmel- sen har följande lydelse.
22 §
Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till
a.ändamålet med behandlingen,
b.vikten av en säker identifiering, eller
c.något annat beaktansvärt skäl.
Dataskyddsdirektivet ställer krav på att medlemsländerna ska reglera användningen av personnummer i lag. Medlemsländerna får där- emot fritt besluta hur de materiella reglerna ska utformas.
Paragrafen innebär att uppgifter om personnummer eller sam- ordningsnummer120 utan samtycke bara får behandlas när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. För att en behandling av en uppgift om personnummer eller samordnings- nummer ska få genomföras krävs dessutom att de grundläggande kraven i 9 § är uppfyllda och att behandlingen är tillåten enligt 10 §.
Det anfördes i förarbetena till motsvarande bestämmelse i data- lagen att användningen av personnummer i registersammanhang alltid bör prövas från integritetssynpunkt, och att ”onödig” användning ska betraktas som ett integritetsintrång.121 Registreringen ska vara påkallad av ett godtagbart skäl och det ska vara ett skäl som objek- tivt framstår som befogat. Den registeransvarige har bevisbördan för att personnummer ska få finnas i ett personregister. Fall då det kan finnas sådana objektiva skäl är bland annat vissa forsknings- register och andra register där det är särskilt viktigt med en säker identifiering, till exempel för att tillgodose framtida forsknings- behov.
Datainspektionen har i ett flertal fall intagit en restriktiv inställ- ning till användandet av personnummer i personregister.122 I vissa sammanhang, som till exempel inom sjukvården, skatteförvaltningen och polis- och rättsväsende har registrering av personnummer god- känts på grund av förväxlingsrisken. Däremot har det inte ansetts
120Den som obegränsat skattskyldig men inte folkbokförd i Sverige får från Skatteverket ett samordningsnummer.
121Prop. 1990/91:60 s. 69.
122Öman, S. och Lindblom
164
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
motiverat att registrera personnummer i medlemsregister som syftar till att den enskilde ska få erbjudanden och förmåner.
5.3.4.12 Skyldigheter enligt personuppgiftslagen
PUL medför vissa skyldigheter för den personuppgiftsansvarige. Den personuppgiftsansvarige ska, om personuppgiften samlas in från per- sonen själv, självmant lämna den registrerade information om be- handlingen av uppgifterna (23 § PUL). Om uppgifterna har samlats in från någon annan källa ska sådan information lämnas till den registrerade när uppgifterna registreras (24 § PUL). Med begreppet ”när uppgifterna registreras” avses enligt kommentaren när de matas in i en dator eller sorteras in i ett sådant manuellt register som om- fattas av lagen.123 Enligt Datainspektionens allmänna råd bör infor- mation lämnas snarast och senast fyra veckor efter det att uppgifterna har registrerats, om inte uppgifterna dessförinnan behandlas på annat sätt än genom att lagras.124
Den information som lämnas till den registrerade ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålet med behandlingen och all övrig information som kan behövas för att den registrerade ska kunna ta tillvara sina rättigheter under behandlingen (25 § PUL). Den personuppgiftsansvarige är också skyldig att till den som ansöker om det en gång per år gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (26 §). Behandlas sådana uppgifter ska information lämnas om vilka uppgifter som behandlas, varifrån de har hämtats, ändamålen med behandlingen och vem som tagit emot dem. På begäran av den re- gistrerade är den personuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behand- lats i enlighet med PUL eller föreskrifter som meddelats med stöd av PUL (28 § PUL). Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personupp- gifter som behandlas (31 § PUL). Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgifts- ansvarige ska vidta (32 § PUL). Datainspektionen har möjlighet att förena ett sådant beslut med vite.
123Öman, S. och Lindblom,
124Information till registrerade enligt personuppgiftslagen – Datainspektionens allmänna råd, s. 7.
165
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Den personuppgiftsansvarige ska göra en skriftlig anmälan till Datainspektionen innan en behandling av personuppgifter som är helt eller delvis automatiserad påbörjas (36 § PUL). Om den person- uppgiftsansvarige har utsett ett personuppgiftsombud och anmält detta till inspektionen behöver sådan anmälan emellertid inte göras (37 § PUL). Personuppgiftsombudet ska dock föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits.
5.3.4.13 Rättelse, skadestånd och straff
Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande får myndigheten vid vite förbjuda den personuppgifts- ansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem (45 § PUL). Datainspektionen får an- söka hos förvaltningsrätten om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas (47 § PUL).
Enligt 48 § PUL är den personuppgiftsansvarige skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med PUL har orsakat.
I 49 § PUL finns bestämmelser om straff vid överträdelse av vissa bestämmelser i PUL. Den som uppsåtligen eller av grov oaktsam- het till exempel behandlar personuppgifter i strid med
5.3.5Övriga registerförfattningar
5.3.5.1Inledning
PUL innehåller generella regler om behandling av personuppgifter. Som framgår av 2 § PUL är lagen subsidiär i förhållande till andra författningar, vilket innebär att om det i en annan lag eller i en för- ordning finns bestämmelser som avviker från PUL:s bestämmelser ska de bestämmelserna gälla. Det finns över 100 olika författningar
166
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
som innehåller bestämmelser om behandling av personuppgifter som kompletterar PUL.125 Dessa brukar kallas särskilda registerförfatt- ningar. De särskilda registerförfattningarnas huvudsakliga syfte är att reglera inrättandet och användningen av viktiga register eller andra personuppgiftssamlingar inom den offentliga sektorn.126 För- fattningarna är avsedda att ge ett anpassat integritetsskydd vid myn- dighetens hantering av personuppgifter då det finns behov av att avvika från eller komplettera det integritetsskydd som PUL ger. Utgångspunkten är att myndighetsregister med ett stort antal regi- strerade och med ett känsligt innehåll ska regleras särskilt i lag.127 Vid införandet av PUL anfördes i propositionen att det traditio- nella svenska systemet med särreglering i särskilda författningar var att föredra framför generella undantag från PUL.128 Vidare anfördes att det i stort sett bara var verksamhet inom den offentliga sektorn som skulle kunna undantas från PUL, och eftersom det inom den sektorn ofta förekommer stora mängder känsliga personuppgifter som har hämtats in med straffsanktionerad uppgiftsplikt bedömdes det särskild viktigt med ett starkt integritetsskydd. Genom att det krävs en särskild författning för att avvika från det integritetsskydd som PUL ger garanteras att behovet av särregler alltid övervägs noga i den ordning som krävs för författningsgivning. Vidare anfördes att målsättningen är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen fann ingen anledning att ändra på det målet.
När föreligger skäl att införa en särskild registerförfattning? En omständighet som talar för att det bör införas en särreglering i form av en särskild registerlag är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utformningen av integritetsskyddet.129 Ett annat skäl för en särskild registerlag kan vara att en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt PUL. Vidare kan en särskild registerlag vara motiverad när det finns anledning att avvika från eller precisera regleringen i PUL eller när PUL:s bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser. Det kan också bli aktuellt när det finns anledning att begränsa
125Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 686.
126SOU 2012:90 s. 51.
127Prop. 1990/91:60 s. 58, KU 1990/91:11 s. 11 och 1997/98:44 s. 41.
128Prop. 1997/98:44 s. 41.
129SOU 2012:90 s. 52.
167
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
möjligheten till behandling av uppgifter av integritetsskäl eller när det finns anledning att vara särskilt tydlig gentemot allmänheten.
5.3.5.2Något om registerförfattningarnas struktur
Det finns i dag ingen klar uppfattning om hur många olika särskilda registerförfattningar det finns.130 Författningarna är uppbyggda på olika sätt och saknar en gemensam begreppsstruktur. Sören Öman har dock i artikeln Särskilda registerförfattningar försökt att göra en sammanställning av några vanliga typer av bestämmelser i de särskil- da registerförfattningarna. Som underlag för genomgången har bland annat 18 angivna särskilda registerförfattningar använts. Öman kon- staterar att de särskilda registerförfattningarna för myndigheters behandling av personuppgifter normalt brukar innehålla vissa typer av bestämmelser, men att utformningen av bestämmelserna varierar och att inte alla registerförfattningar innehåller alla typer av bestäm- melser.131
Tillämpningsområde
Varje författning har ett visst tillämpningsområde, som vanligtvis brukar anges i en inledande bestämmelse.132 Det normala är att det i bestämmelsen anges att författningen gäller vid behandling av personuppgifter i en viss myndighets eller vissa myndigheters verk- samhet av visst slag. Det vanligaste är att författningen gäller för samma slags behandling som PUL, det vill säga behandling som är helt eller delvis automatiserad eller annan (manuell) behandling som avser personuppgifter som ingår i eller är avsedda att ingå i register. Ibland anges det att vissa bestämmelser i författningen bara gäller automatiserad behandling.
Författningarna gäller vanligtvis för behandling av personupp- gifter i enlighet med PUL:s definition. I vissa fall har tillämpnings- området utsträckts till att även gälla avlidna eller juridiska personer. Ibland finns det detaljerade regler om vilka uppgifter som får be- handlas om en viss kategori av personer.
När det gäller hur verksamheten anges kan det ske på olika sätt. Det kan hända att författningen hänvisar till verksamhet som myn-
130Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 686.
131Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 690.
132Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 691 f.
168
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
digheten ska bedriva enligt andra författningar, till exempel verksam- het enligt lagstiftningen om socialtjänsten. Det förekommer ibland också mer allmänna beskrivningar av verksamheten, till exempel be- skattningsverksamheten, men då brukar verksamheten konkretiseras i förarbetena. Utanför tillämpningsområdet faller regelmässigt verk- samhet som avser myndigheternas interna administrativa verksamhet.
Författningarnas förhållande till PUL och dataskyddsdirektivet
De särskilda registerförfattningarna gäller före PUL:s bestämmel- ser, men får inte stå i strid med dataskyddsdirektivet. Direktivet gäller inte för sådan verksamhet som inte omfattas av
Personuppgiftsansvaret och ändamålen med behandlingen
De särskilda registerförfattningarna innehåller vanligtvis bestäm- melser om ändamålen med behandlingen. Ibland delas ändamålen in i primära och sekundära.134 De primära ändamålen avser myndig- hetens eget behov av att behandla personuppgifter, till exempel för att kunna handlägga myndighetens ärenden. De sekundära ändamålen avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov. Huvudregeln är att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse personuppgifter som myndigheten samlat in och behandlat för sina primära ändamål. Myndigheten får således inte samla in personuppgifter som den inte behöver för sin egen verksamhet.
När det gäller frågan hur preciserad en ändamålsbestämmelse i en registerförfattning ska vara har regeringen i prop. 1997/98:97 om polisens register anfört att syftet med en ändamålsbestämmelse är att ange en yttersta ram inom vilken uppgifterna får behandlas och
133Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 694 f.
134Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 699 f.
169
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt.135
Enligt definitionen i PUL är den personuppgiftsansvarige ensam eller tillsammans med andra ansvarig för att bestämma ändamålen med och medlen för behandlingen av personuppgifter. I de sär- skilda registerförfattningarna anger man regelmässigt de tillåtna ända- målen med behandlingen. På inrådan av Lagrådet började man där- för införa uttryckliga bestämmelser i de särskilda registerförfatt- ningarna om vilken myndighet som är personuppgiftsansvarig.136
Vilka personuppgifter som får behandlas
De särskilda registerförfattningarna innehåller i regel någon form av bestämmelse om vilka personuppgifter som får behandlas.137 Av författningarna, ibland kompletterade av PUL, framgår att person- uppgifter får behandlas bara om det är nödvändigt för de angivna ändamålen. Ibland finns det särskilda bestämmelser om en databas med uppgifter som används i verksamheten. Ibland finns det dess- utom en förordning med detaljerade bestämmelser om vilka upp- gifter som får finnas i registret eller databasen.
För behandling av känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser med mera enligt 21 § PUL finns det vanligtvis vissa begränsningar. Det anges till exempel att uppgifter- na bara får behandlas om det är nödvändigt med hänsyn till ända- målet med behandlingen och att de inte får användas som sökbegrepp, det vill säga för att få fram listor på personer med de egenskaper som avspeglas i uppgifterna.138
Direktåtkomst
Registerförfattningar innehåller inte sällan särskida bestämmelser om direktåtkomst. Begreppet direktåtkomst är ett av de begrepp som kan ha olika innebörd i olika registerförfattningar. Med direkt- åtkomst avses vanligtvis att någon (här kallad mottagarmyndighet) har direkt tillgång till någon annans (här kallad värdmyndighet) register eller databaser och på egen hand kan söka efter information,
135Prop. 1997/98:97 s. 121.
136Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 697.
137Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 702.
138Öman, S., Särskilda registerförfattningar i Festskrift till Peter Siepel, 2006, s. 704.
170
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att värdmyndigheten inte har någon kontroll över vilka uppgifter som mottagarmyndigheten vid ett visst tillfälle tar del av.139 Direktåtkomst kan till exempel ske genom att mottagarmyndigheten ges elektronisk tillgång till hela eller delar av värdmyndighetens elektroniska informationssamlingar.140 Det finns också myndigheter som har gemensamma register och där de deltagande myndigheterna behandlar sina egna uppgifter men också har möjlighet att ta del av uppgifter som andra myndigheter har registrerat i registret.
Direktåtkomst anses innebära särskilda risker för otillbörliga integritetsintrång. Det beror på bestämmelserna om elektroniska upp- tagningar i TF. När det gäller elektroniska upptagningar är huvud- regeln att en sådan anses förvarad hos en myndighet om upptag- ningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra och tredje stycket TF). Det saknar betydelse var den begärda elektroniska handlingen rent fysiskt befinner sig. Frågan om en elektronisk hand- ling ska anses förvarad hos en myndighet ska i stället avgöras utifrån myndighetens möjligheter att förfoga över upptagningen. Det finns två undantag från huvudregeln, som avser sammanställningar av uppgifter ur en eller flera upptagningar för automatiserad behand- ling, så kallat potentiella handlingar.141 Dels anses en potentiell hand- ling förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder (2 kap. 3 § andra stycket andra meningen TF). Dels anses en potentiell handling inte förvarad hos en myndighet om sammanställningen inne- håller personuppgifter som myndigheten enligt lag eller förordning saknar befogenhet att tillgängliggöra. Denna regel brukar kallas begränsningsregeln.
En handling ska, för att vara allmän i TF:s bemärkelse, vara antingen inkommen eller upprättad hos myndigheten. En upptag- ning anses inkommen till en myndighet när någon har gjort den tillgänglig för myndigheten med hjälp av tekniskt hjälpmedel som
139Se till exempel prop. 2004/05:164 s. 83, 2009/10:85 s. 168 och 2011/12:45 s. 133.
140SOU 2012:90 s. 82.
141En potentiell handling anses utgöra en handling hos myndigheten oavsett om samman- ställningen gjorts tidigare eller om myndigheten själv har behov av att göra en sådan sam- manställning eller inte. Bestämmelsen ger uttryck för likställighetsprincipen, som innebär att allmänheten ska ha tillgång till datalagrad information i samma utsträckning som myndig- heten.
171
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Bestämmelsen innebär att en upptagning för automatiserad behandling som av en myndig- het tillförts ett informationssystem som är gemensamt för flera myndigheter ska anses som inkommen hos alla myndigheter som har tillgång till systemet. I TF görs det ingen skillnad mellan den elektroniska information som en myndighet själv har samlat in och den information från en annan myndighet som den har direktåt- komst till. Sammanställningar av uppgifter ur en värdmyndighets upp- tagningar för automatiserad behandling som genom direktåtkomst görs tekniskt tillgängliga för en mottagarmyndighet utgör således som huvudregel allmänna handlingar hos mottagarmyndigheten. Det saknar betydelse om mottagarmyndigheten rent faktisk använder sig av möjligheten. Det räcker att den finns för att uppgiften ska anses utgöra allmän handling hos mottagarmyndigheten. Det med- för att om någon begär att få ut en allmän handling som är en så kallad potentiell handling från mottagarmyndigheten är denna skyl- dig att göra de sökningar i och bearbetningar av värdmyndighetens information som kan ske med rutinbetonade åtgärder. Det är oklart vilken betydelse så kallade absoluta sökförbud kan ha, det vill säga förbud i en värdmyndighets registerförfattning mot användning av vissa sökbegrepp, för att begränsa mottagarmyndighetens skyldig- het.142 Men det är klart att en motttagarmyndighet är skyldig att göra en sökning och ta fram och lämna ut en potentiell handling, även om den i sin egen verksamhet är förhindrad på grund av sök- eller ändamålsbegränsningar i författningen att utnyttja direktåtkomst.
Andra typer av bestämmelser
Många särskilda registerförfattningar innehåller bestämmelser om tillåtna sökbegrepp, som begränsar myndighetens möjlighet och skyl- dighet att ställa samman personuppgifter. De kan också innehålla bestämmelser om information, samtycke och sambearbetning. Alla dessa typer av bestämmelser påverkar möjligheten för forskare att få tillgång till uppgifter och på vilket sätt det kan ske.
142 SOU 2012:90 s. 115 f.
172
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.3.5.3En översyn av registerlagstiftningen
Flera statliga utredningar, bland annat Integritetsskyddskommittén och
5.3.6Exempel på register som kan användas vid forskning
5.3.6.1Inledning
Vissa av de särskilda registerförfattningarna reglerar register som kan användas i forskning. Nedan följer en översiktlig genomgång av några av dessa.
5.3.6.2Hälsodataregister
En central förvaltningsmyndighet inom hälso- och sjukvården får enligt 1 § lagen (1998:543) om hälsodataregister utföra automatise- rad behandling av personuppgifter i hälsodataregister. Personupp- gifter i ett hälsodataregister får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar. Enligt 6 §
143Kommittédirektiv Integritet, effektivitet och öppenhet i en modern
144Dir. 2014:31.
173
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
samma lag är den som bedriver verksamhet inom hälso- och sjuk- vård skyldig att lämna uppgifter till ett hälsodataregister för dessa ändamål. Uppgifterna samlas in utan den enskildes samtycke.
Regeringen får bland annat meddela föreskrifter om vilka myn- digheter som får föra hälsodataregister, begränsning av ändamålen och begränsningar av de uppgifter ett hälsodataregister får inne- hålla. Regeringen har med stöd av denna bestämmelse utfärdat flera förordningar om hälsodataregister. Exempel på sådana register där personuppgifterna bland annat får behandlas för forskningsändamål och för epidemiologiska undersökningar är cancerregistret och patientregistret.145 Båda dessa register förs av Socialstyrelsen. Även personuppgifter i läkemedelsregistret, register över insatser inom den kommunala hälso- och sjukvården och tandhälsoregistret hos Socialstyrelsen får användas för forskningsändamål.146
5.3.6.3Kvalitetsregister
Med kvalitetsregister avses enligt 7 kap. 1 § patientdatalagen en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska vidare möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå.
Bestämmelser om hanteringen av personuppgifter i nationella och regionala kvalitetsregister finns i 7 kap. patientdatalagen. Patient- datalagen innehåller en samlad reglering av informationshanteringen inom hälso- och sjukvård som ska tillämpas av alla vårdgivare, både i offentlig och privat verksamhet. Om inte annat följer av patient- datalagen eller föreskrifter som meddelats med stöd av lagen gäller bestämmelserna i PUL. Till exempel är definitionerna i 3 § PUL, rätten till registerutdrag enligt 26 § PUL och bestämmelserna om säkerhetsåtgärder i PUL tillämpliga även inom vård och omsorg.
Inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras alltifrån lokalt inom en offentlig eller privat
145Förordning (2001:709) om cancerregister hos Socialstyrelsen och förordning (2001:707) om patientregister hos Socialstyrelsen.
146Förordning (2005:363) om läkemedelsregister hos Socialstyrelsen, förordning (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården och förordning (2008:194) om tandhälsoregister hos Socialstyrelsen.
174
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
vårdgivares verksamhet till nationellt med hela landet som upptag- ningsområde.147
5.3.6.4Lokala kvalitetsregister
Ett lokalt kvalitetsregister innebär att personuppgifter från en eller flera vårdenheter hos samma vårdgivare samlas in till ett gemensamt register i syfte att utveckla och säkra kvaliteten i verksamheten. Samma juridiska person är således ansvarig för hanteringen av upp- gifterna. Lokala kvalitetsregister regleras av patientdatalagens allmänna bestämmelser.
Samtycke
Behandling av personuppgifter i ett lokalt kvalitetsregister får utföras även om den enskilde motsätter sig behandlingen (2 kap. 2 § patient- datalagen).
Ändamål
Av 2 kap. 4 § patientdatalagen framgår för vilka ändamål vårdgivare får behandla personuppgifter inom hälso- och sjukvården. Enligt fjärde punkten får personuppgifter behandlas för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten.
Personuppgiftsansvar
Vårdgivaren är personuppgiftsansvarig för behandlingen av person- uppgifter (2 kap. 6 § patientdatalagen).
Personuppgifter som får behandlas
En vårdgivare får endast behandla sådana personuppgifter som be- hövs för de ändamål som anges i 2 kap. 4 § patientdatalagen. Upp- gifter om lagöverträdelser med mera enligt 21 § PUL får endast
147 Prop. 2007/08:126 s. 177, se även avsnitt 8.2.2.
175
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
behandlas om det är absolut nödvändigt för ett sådant ändamål (2 kap. 7 § patientdatalagen).
Rätt till information
Den som är personuppgiftsansvarig ska se till att den registrerade får information om personuppgiftsbehandlingen (8 kap. 6 § patient- datalagen). Informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kate- gorier av uppgifter som behandlas, den uppgiftsskyldighet som kan följa av lag eller förordning och de sekretess- och säkerhetsbestäm- melser som gäller. Den personuppgiftsansvarige ska vidare informera om rätten enligt 4 kap. 4 § patientdatalagen att i vissa fall begära att uppgifter spärras, rätten enligt 4 kap. 5 § patientdatalagen att få information om direktåtkomst och elektroniska åtkomst, rätten att ta del av uppgifter enligt 26 § PUL samt rätten till rättelse och underrättelse av tredje man enligt 28 § PUL. Den registrerade ska slutligen få information om rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, vad som gäller i fråga om bevarande och gallring samt huruvida personuppgiftsbehandlingen är frivillig eller inte.
Bevarande och gallring
Personuppgifter i kvalitetsregister är allmänna handlingar. När det gäller bevarande och gallring av uppgifter i lokala kvalitetsregister gäller arkivlagens bestämmelser (se avsnitt 5.8).
Sekretess
Kvalitetsregisteruppgifter hämtas vanligtvis från patientjournaler eller annan dokumentation som förs i samband med den individ- inriktade hälso- och sjukvården. Uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden hos hälso- och sjukvård i offent- lig regi skyddas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400) (OSL). Uppgifter i ett kvalitetsregister används inte i den direkta vården av patient. I för-
176
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
arbetena till vårdregisterlagen anges att sekretessen enligt 7 kap. 1 c § sekretesslagen, nuvarande 25 kap. 1 § OSL gäller inom den offent- ligt bedrivna hälso- och sjukvården oavsett om uppgifterna finns i ett vårdregister eller behandlas för bland annat kvalitetssäkring.148 Det innebär att 25 kap. 1 § OSL är tillämplig även för uppgifter i ett kvalitetsregister.
5.3.6.5Regionala och nationella kvalitetsregister
I de regionala och nationella kvalitetsregistren samlas personupp- gifter och annan information som rapporterats till registret från flera vårdgivare inom ett landsting, inom en eller flera av landets sjukvårdsregioner eller hela landet.149 I de regionala och nationella kvalitetsregistren är det således olika juridiska personer som är per- sonuppgiftsansvariga för hantering av personuppgifterna. Dessa re- gister regleras av särbestämmelserna i kap. 7 patientdatalagen.
Samtycke
Det följer av 7 kap. 2 § patientdatalagen att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det. Det krävs således inget uttryckligt sam- tycke från den enskilde för registrering.150 I praktiken innebär det att så kallat ”optout” oftast är tillräckligt för personuppgiftsbehand- ling i ett kvalitetsregister. Den enskildes integritet skyddas genom möjligheten att motsätta sig behandling efter att den enskilde fått information om behandlingen. Om den enskilde motsätter sig person- uppgiftsbehandlingen sedan den påbörjats ska uppgifterna utplånas ur registret så snart som möjligt.
Kvalitetsregisters ändamål
Det primära ändamålet med behandling av personuppgifter i natio- nella och regionala kvalitetsregister ska vara att systematiskt och fortlöpande utveckla vårdens kvalitet (7 kap. 4 § patientdatalagen), det vill säga att följa upp medicinsk och annan kvalitet på själva
148Prop. 1997/98:108 s. 78.
149Prop. 2007/08:126 s. 177.
150Prop. 2007/08:126 s. 186 f.
177
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
vårdinsatserna. Med vård avses i detta sammanhang individinriktad patientverksamhet, det vill säga vård, undersökning och behandling inom hälso- och sjukvården.151
Av 7 kap. 5 § framgår att personuppgifter som behandlas för kvalitetssäkring också får behandlas för vissa sekundära ändamål. Uppgifterna får enligt bestämmelsen behandlas för framställning av statistik och för forskning inom hälso- och sjukvårdsområdet. Upp- gifterna får även lämnas ut till tredje man som avser att använda uppgifterna för kvalitetssäkring, framställning av statistik eller forsk- ning inom hälso- och sjukvård. Personuppgifter får vidare be- handlas för att fullgöra en uppgiftsskyldighet som följer av lag och förordning. Undantag gäller dock för sådan uppgiftsskyldighet som följer av 6 kap 5 § OSL, se avsnitt 5.6.3.8.
Några andra ändamål än de ovan angivna är inte tillåtna. Det är således inte tillåtet att behandla personuppgifter för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket upp- gifterna samlades in, det vill säga kvalitetssäkring. Den finalitets- princip som gäller vid behandling av personuppgifter enligt PUL gäller således inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.
Som framgår ovan medger bestämmelsen att personuppgifter som samlats in för kvalitetssäkringsändamål även används för forsk- ning inom hälso- och sjukvård. Med forskning avses även epide- miologiska studier.152
Personuppgiftsansvar
Kvalitetsregistren bygger på att vårdgivare, både privata och offent- liga, rapporterar in vissa uppgifter till dessa. Den inrapporterande vårdgivaren har så kallat lokalt personuppgiftsansvar och ansvarar för att insamling och inrapportering av personuppgifter sker på ett korrekt sätt. Vårdgivaren ska också hålla reda på vilka personupp- gifter som behandlas var och ansvara för informationen till patienten.
Det följer av 7 kap. 7 § patientdatalagen att det endast är myn- digheter inom hälso- och sjukvården som får vara centralt person- uppgiftsansvariga, det vill säga personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvali- tetsregister. Regeringen eller den myndighet som regeringen bestäm-
151Prop. 2007/08:126 s. 179.
152Prop. 2007/08:126 s. 180.
178
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
mer får emellertid besluta att även annan får vara personuppgifts- ansvarig. Skälet till bestämmelsen är enligt förarbetena att det framstår som mindre lämpligt att stora samlingar av integritetskänsliga person- uppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs eller anges.153 Sedan personuppgifterna kommit in till den centrala myndighet, i regel ett landsting, som an- svarar för kvalitetsregistret som helhet ansvarar den myndigheten för den fortsatta behandlingen, till exempel för säkerhetsfrågor och för att felaktiga uppgifter rättas.
Personuppgifter som får behandlas
Enligt 7 kap. 8 § patientdatalagen får endast sådana personuppgifter som behövs för det primära ändamålet, kvalitetssäkring av vård, tas in i ett nationellt eller regionalt kvalitetsregister. Av propositionen framgår att tolkningen av vad som behövs för ändamålet kvalitets- säkring kan ske inom ganska vida ramar.154 Det betonas att person- uppgifter som inte direkt behövs för kvalitetssäkringsändamål utan endast skulle vara bra att ha i framtida forskningsprojekt inte får samlas in. Inskränknigen torde dock sakna praktik betydelse.
Den registrerades personnummer eller namn får behandlas endast om det inte är tillräckligt att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. Känsliga personuppgifter enligt 13 § PUL och som inte rör hälsa samt personuppgifter om lagöverträdelser medmera som avses i 21 § PUL får behandlas endast om regeringen i det enskilda fallet medger det. Enligt 6 § patientdataförordningen (2008:360) får även Datainspektionen pröva frågor om medgivande till behandling efter att ha hört Socialstyrelsen. Av bestämmelsen i 2 kap. 3 § patient- datalagen följer att andra känsliga personuppgifter än sådana som rör hälsa ändå kan behandlas i ett kvalitetsregister om den enskilde lämnat ett uttryckligt samtycke till behandlingen. I förarbetena be- tonas att det i information till den enskilde klart bör framgå att ett uttryckligt samtycke omfattar just dessa slags personuppgifter.155
153Prop. 2007/08:126 s. 183.
154Prop. 2007/08:126 s. 185.
155Ibid.
179
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Rätt till information
Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den enskilde enligt de allmänna bestämmel- serna om information i 8 kap. 6 § patientdatalagen få information om bland annat vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka kategorier av uppgifter som behandlas, rätten till registerutdrag enligt 26 § PUL och de sekretess- och säkerhets- bestämmelser som gäller för uppgifterna och behandlingen. Därut- över ska den enskilde enligt särbestämmelsen i 7 kap. 3 § patient- datalagen också upplysas om rätten att när som helst få uppgifter om sig själv utplånade ur registret. Patienten ska vidare få reda på i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, till exem- pel om uppgifter inhämtas genom sambearbetning med andra re- gister.156 Slutligen ska patienten informeras om vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till, till exempel om uppgifterna kan komma att lämnas ut för forsknings- ändamål. Om det inte är möjligt att lämna informationen innan be- handlingen påbörjas ska den lämnas så snart som möjligt därefter.
Det har överlåtits till den personuppgiftsansvarige att själv be- stämma hur informationen ska ges. I propositionen anges det dock att det åligger den personuppgiftsansvarige att se till att informa- tionen är utformad på ett sätt som kan förstås av patienten.157
Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller sambearbetas utan att de registrerade blivit informerade om detta vid registreringen är det enligt propositionen tillräckligt att tydlig information om det nya ändamålet eller sam- bearbetningen lämnas, exempelvis på en webbplats eller i en tidnings- annons.158 Det bör noteras att det nya ändamålet måste ligga inom ramen för det ursprungliga ändamålet med behandlingen.
Bevarande och gallring
Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska enligt 7 kap. 10 § patientdatalagen gallras när de inte längre behövs för ändamålet kvalitetssäkring. En stor del av värdet med ett kva- litetsregister är emellertid att det ger möjlighet till uppföljning vid
156Prop. 2007/08:126 s. 191.
157Ibid.
158Ibid.
180
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
ett senare tillfälle. Arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvarige hör har därför fått möjlighet att föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister ska bevaras under längre tid för histo- riska, statistiska eller vetenskapliga ändamål.
Sekretess
Som anförs ovan hämtas uppgifter till kvalitetsregister från patient- journaler eller annan dokumentation som förs i samband med den individinriktade hälso- och sjukvården. Uppgifterna hos den inrappor- terande vårdenheten skyddas således av hälso- och sjukvårdssekre- tess enligt 25 kap. 1 § OSL. I förarbetena till patientdatalagen disku- terades om uppgifter i regionala och nationella kvalitetsregister skyd- das av hälso- och sjukvårdssekretessen, eftersom det i dessa fall inte är samma myndighet som är vårdgivare och som för registret. I propositionen konstateras att vårdgivarna enligt 31 § hälso- och sjukvårdslagen och 16 § tandvårdslagen (1985:125) är skyldiga att genomföra systematisk och fortlöpande säkring av kvaliteten i hälso- och sjukvårdsverksamheten.159 Därför bör kvalitetssäkring i form av kvalitetsregister ses som en integrerad del av sådan hälso- och sjukvårdsverksamhet som avses i 25 kap. 1 § OSL, oavsett om ett kvalitetsregister är nationellt, regionalt eller lokalt. Visserligen lämnas patientuppgifter ut till annan offentlig vårdgivare när de inrapporteras till ett kvalitetsregister som förs centralt utanför den egna myndighetsorganisationen. Uppgifterna härrör emellertid från en individinriktad verksamhet av samma slag som bedrivs av den mottagande myndigheten. Trots att det inte finns någon direkt vård- relation mellan den mottagande registerföraren och patienten lämnar uppgifterna inte den sektor av faktisk hälso- och sjukvårdsverk- samhet som omfattas av tillämpningsområdet för 25 kap. 1 § OSL. Slutsatsen är att sekretessbestämmelsen är tillämplig beträffande samt- liga uppgifter i ett kvalitetsregister vari flera vårdgivare deltar och inte bara beträffande de uppgifter som härrör från samma myndig- hetsorganisation som ansvarar för den centrala registerföringen.
Det följer av 25 kap. 11 § 4 OSL att sekretessen inte hindrar att uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
159 Prop. 2007/08:126 s. 195.
181
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.3.6.6Biobankslagen
Lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (bio- bankslagen) reglerar hur humanbiologiskt material ska få samlas in, förvaras och användas för vissa ändamål. Med biobank avses enligt 1 kap. 2 § biobankslagen biologisk material från en eller flera män- niskor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör.
Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen är också tillämplig på vävnadsprover som lämnats ut från sådana biobanker för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och vilka även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen ska också gälla i tillämpliga delar för vävnadsprover som tas och samlas in för trans- plantationsändamål enligt lagen (1995:831) om transplantation m.m. Lagen är inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid.
En biobank får enligt 2 kap. 2 § biobankslagen användas för vård och behandling och andra medicinska ändamål i en vårdgivares verksamhet. Därutöver får en biobank endast användas för ändamål som avser kvalitetssäkring, utbildning, forskning, klinisk prövning, utvecklingsarbete eller annan därmed jämförlig verksamhet. Om en biobank inrättas för ändamål som avser forskning eller klinisk prövning får det ske först efter prövning och godkännande av en nämnd för forskningsetik (etikprövningsnämnd). Biobanken får i sådana fall inte användas för annat ändamål än det för vilket det inrättats utan att nämnden godkänt detta.
I 3 kap. biobankslagen finns bestämmelser om samtycke och information vid insamling och bevarande i en biobank och i 4 kap. regleras utlämnande av vävnadsprover. I biobankslagen finns också bestämmelser om en särskild biobank,
160 Fenylketonuri (Phenylketonuria, PKU) är en ärftlig, medfödd ämnesomsättningssjukdom som utan behandling leder till allvarlig hjärnskada. Alla barn erbjuds provtagning i samband med födelsen. Med behandling utvecklas barnet normalt (Socialstyrelsen).
182
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Bestämmelserna i biobankslagen beskrivs närmare i avsnitt 9.5.
5.3.6.7Rättspsykiatriskt forskningsregister
Rättsmedicinalverket (RMV) är central förvaltningsmyndighet för rättspsykiatrisk undersökningsverksamhet, rättsmedicin, rättskemi och rättsgenetik. Enligt 2 § förordning (2007:976) med instruktion för Rättsmedicinalverket ska RMV bland annat svara för rättspsy- kiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. RMV ska enligt samma bestämmelse utföra rättsmedicinska obduktioner och andra rättsmedicinska undersökningar och svara för rättsmedi- cinsk medverkan i övrigt på begäran av domstol, länsstyrelse, allmän åklagare eller polismyndighet. Ytterligare en uppgift som myndig- heten särskilt ska svara för är utvecklingsarbete och stöd åt forsk- ning av betydelse för verksamheten. För att tillgodose behovet av information för forskning och utvecklingsarbete inom rättspsykiatrin har med stöd av en särskild lag det rättspsykiatriska forsknings- registret inrättats. Enligt 1 § lagen (1999:353) om rättspsykiatriskt forskningsregister är RMV personuppgiftsansvarig för registret. Registret får användas endast för behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt lagen om etikprövning av forskning som avser människor (se avsnitt 5.4). Registret får även användas för RMV:s uppföljning, utvärdering eller kvalitetssäkring av sin verksamhet inom rättspsykiatrin (utvecklingsarbete) (3 §).
Enligt uppgift från RMV har insamlandet av uppgifter med stöd av lagen om rättspsykiatriskt forskningsregister upphört. Det beror delvis på tekniska problem vid överföring av uppgifter från Social- styrelsen och Kriminalvården. Vidare har det framkommit att re- gistret inte är ändamålsenligt för forskning inom rättspsykiatri. De uppgifter som lagras i databasen bedöms inte vara de som behövs för forskning och analys inom området. Eftersom uppgifter inte får överföras förrän det finns en lagakraftvunnen dom kan det ta lång tid innan alla uppgifter hamnar i registret. Det uppfattas också som en brist att inga uppgifter från de mål där åtalet ogillats får föras in i registret.
183
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.4Internationella dokument till skydd för den enskilde inom hälso- och sjukvård samt forskning
5.4.1Europarådets konvention om mänskliga rättigheter och biomedicin
5.4.1.1Inledning
Europarådets ministerkommitté antog den 19 november 1996 en ny konvention om mänskliga rättigheter och biomedicin (Konvention angående skydd av de mänskliga rättigheterna och människans vär- dighet med avseende på tillämpningen av biologi och medicin). Sverige undertecknade konventionen 1997 men den har inte ratifi- cerats. Ett hinder mot ratificering av biomedicinkonventionen är de krav som ställs avseende den rättsliga reglering som rör besluts- oförmögna.161 Konventionens syfte är att skydda människor i sam- band med hälso- och sjukvård samt forskning.162 Den innehåller bland annat principer om information och samtycke, ställföreträdare för inte beslutskompetenta personer, gendiagnostik och genterapi, forskning och försök på människor samt tagande och användning av biologiskt material från människor.
5.4.1.2Syfte
Enligt artikel 1 första stycket ska konventionsstaterna skydda alla människors värdighet och identitet och utan diskriminering garan- tera varje människa respekt för hennes integritet och andra grund- läggande fri- och rättigheter i samband med tillämpning av biologi och medicin. I inledningen till konventionen hänvisas till ett flertal olika internationella dokument där individuella och sociala mänsk- liga rättigheter redan erbjuds skydd, såsom FN:s allmänna för- klaring om de mänskliga rättigheterna och Europakonventionen. I inledningen betonas också den snabba utvecklingen inom det bio-
161Regeringen tillsatte i juni 2012 en utredning som ska lämna förslag till en enkel och ända- målsenlig reglering avseende personer som på grund av att de är beslutsoförmögna helt eller delvis saknar möjlighet att fullt ut vara delaktiga eller på annat sätt utöva sitt självbestäm- mande i situationer då detta förutsätts inom hälso- och sjukvård, tandvård eller forskning som avser människor och biologiskt material från människor (Dir 2012:72). Utredningen har antagit namnet Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, tandvård, socialtjänst och forskning och ska redovisa sitt resultat senast den 1 januari 2015.
162Prop. 2002/03:50 s. 68.
184
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
medicinska området, den fara som kan uppkomma genom missbruk av vetenskapen och samhällets ansvar för att biomedicinska framsteg utnyttjas till förmån för hela mänskligheten, både nuvarande och kommande generationer. Behovet av internationellt samarbete och en allmän debatt förs också fram.
5.4.1.3Människans företräde
I konventionens inledning betonas att framstegen inom biologi och medicin bör användas till gagn för mänskligheten. Detta får dock inte ske på bekostnad av den enskilda människans intresse. Artikel 2 slår fast den viktiga principen att (den enskilda) människans intressen och välfärd ska ha företräde framför samhällets eller vetenskapens egna intressen.
5.4.1.4Yrkesåliggande och etiska regler
Enligt artikel 4 ska alla åtgärder inom hälso- och sjukvård, inklusive forskning, genomföras i enlighet med tillämpliga yrkesåligganden och professionell standard. Bestämmelsen motsvarar i stort sett den svenska lagstiftningens krav på att hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och be- prövad erfarenhet, vilket kommer till uttryck i 2 kap. 1 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.163
5.4.1.5Bestämmelser som rör forskning
Det följer av artikel 15 att vetenskaplig biologisk och medicinsk forskning ska bedrivas fritt men samtidigt på ett sådant sätt att den inte kommer i konflikt med konventionens bestämmelser eller med andra regler till skydd för människan. Det finns inte någon defini- tion av begreppet forskning. Det anförs i förarbetena till etikpröv- ningslagen att gränsdragningen mellan etablerade behandlings- metoder och forskning ibland är svår att göra.164
I artikel 16
163Prop. 2002/03:50 s. 69 f.
164Prop. 2002/03:50 s. 70.
185
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
niskor. Det innebär dels att forskningen inte får genomföras om liknande resultat kan erhållas på annat sätt, dels att en mera ingri- pande metod inte får tillåtas om en mindre ingripande åtgärd kan användas för att få fram motsvarande kunskap.165 De eventuella risker försökspersonen utsätts för får inte stå i bristande proportion till den potentiella nyttan med forskningen. Forskningen måste ha godkänts av ett behörigt organ efter en oberoende prövning av dess vetenskapliga värde. Vid prövningen ska bedömas hur viktigt syftet med forskningen är. Vidare ska en tvärvetenskaplig granskning av projektets etiska försvarlighet göras. Försökspersonerna måste vara informerade om sina rättigheter och det skydd de åtnjuter. Det krävs vidare att försökspersonen har lämnat ett uttryckligt och specificerat samtycke till att medverka i en specificerad åtgärd och att samtycket har dokumenterats. Underförstått (hypotetiskt) samtycke är således otillräckligt i samband med forskning på människor. Vad gäller doku- mentation rekommenderas skriftlighet, men i undantagsfall kan munt- ligt samtycke godtas. Ett samtycke får återkallas när som helst.
5.4.1.6Skydd för personer som inte kan lämna samtycke
Artikel 6 innehåller bestämmelser till skydd för personer som inte själva har förmåga att lämna samtycke. Huvudregeln är att forsk- ning på dessa personer endast får genomföras om forskningen är till direkt fördel för den åtgärden avser. När forskningen avser underårig som inte anses beslutskompetent måste tillstånd till åt- gärden lämnas av den underåriges ställföreträdare (vårdnadshavaren) eller av en myndighet, person eller annat organ, i enlighet med vad som är föreskrivet i lag. I takt med stigande ålder och mognad ska allt större hänsyn tas till barnets egna synpunkter och önskemål.
I de fall forskning ska utföras på vuxna personer som på grund av sjukdom, psykisk störning eller liknande saknar förmåga att ge sitt samtycke till ett ingrepp krävs det att samtycke lämnas av patien- tens ställföreträdare eller av föreskriven myndighet, person eller organ. Den berörda personen ska så långt möjligt delta i samtyckes- förfarandet.
Eftersom skyddet för personer som inte kan lämna sitt samtycke vid forskning är särskilt påkallat, finns i artikel 17 vissa komplet- terande förutsättningar som måste vara uppfyllda. Enligt huvudregeln i artikel 17 punkten 1 krävs att forskningsresultatet kan förväntas
165 Prop. 2002/03:50 s. 70.
186
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
bli till konkret och direkt nytta för försökspersonens hälsa. Be- stämmelsen anses innehålla ett krav på proportionalitet mellan denna förväntade nytta och eventuella risker för försökspersonen.166 Vidare krävs det att jämförbara resultat inte kan nås genom forskning på människor som har förmåga att lämna samtycke. Från huvudregeln i artikel 17 punkt 1 om krav på direkt nytta för försökspersonen medges dock i punkt 2 vissa undantag under följande förutsättningar. Den aktuella forskningens mål måste vara att genom en markant förbättring av den vetenskapliga förståelsen av den enskildes till- stånd, sjukdom eller störning bidra till att uppnå resultat som kan medföra nytta, antingen för den berörda försökspersonen eller för andra personer som kan hänföras till samma grupp i fråga om ålder, sjukdom eller tillstånd. Detta innebär bland annat att ett friskt barn kan medverka i forskning som förväntas vara till nytta för andra barn, eller att forskning på åldersdementa kan tillåtas i syfte att få fram bättre metoder att behandla andra personer med åldersdemens. Forskningen får inte medföra mer än minimal risk och minimalt obehag för den berörda individen.167
5.4.1.7Konventionens krav
Konventionen avses omfatta alla medicinska och biologiska åtgärder med människor, bland annat forskningsrelaterade åtgärder. I artikel 1 andra stycket förpliktas konventionsstaterna att vidta nödvändiga åtgärder avseende nationell rätt för att genomföra bestämmelserna i konventionen. Konventionsstaterna ska se till att det finns ett lämp- ligt skydd för att med kort varsel kunna förhindra eller stoppa ett brott mot rättigheterna och principerna i konventionen (artikel 23). Enligt artikel 24 ska parterna också sörja för att lämpliga sanktioner tillämpas i händelse av brott mot bestämmelserna i konventionen. Vissa materiella rättigheter som skyddas i konventionen får inskränkas i nationell lag, under förutsättning att inskränkningen är nödvändig i ett demokratiskt samhälle med hänsyn till den allmänna säker- heten, förebyggandet av brott, folkhälsan eller skyddandet av annans fri- och rättigheter (artikel 26). Vissa av konventionens rättigheter är emellertid undantagna från möjligheten till inskränkningar. Ett sådant undantag gäller de särskilda skyddsreglerna för personer som medverkar i forskning.
166Prop. 2002/03:50 s. 71.
167Ibid.
187
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Artikel 27 tillåter konventionsstaterna att införa ett mer långt- gående skydd än som fastställs i konventionen.
5.4.1.8Tolkning av konventionen
Det är inte möjligt att med stöd av konventionen föra talan vid Europadomstolen i ett enskilt fall. Europadomstolen kan emellertid enligt artikel 29 ge vägledning i rättsfrågor som rör tolkning av kon- ventionen. Sådana uttalanden kan ske på begäran av konventions- staternas regeringar och Europarådets styrkommitté för bioetikfrågor.
5.4.1.9Rapporter om konventionens tillämpning
Det följer av artikel 30 att Europarådets generalsekreterare har möjlighet att ålägga en konventionsstat att avge en rapport om hur konventionens bestämmelser implementerats i nationell rätt. Några egentliga sanktioner mot en stat som inte följer sina åtaganden enligt konventionen finns dock inte.
5.4.2Helsingforsdeklarationen
Vid sidan av de internationella överenskommelserna på detta område finns en mängd forskningsetiska principer som påverkar förutsätt- ningarna att bedriva forskning. De viktigaste internationella forsk- ningsetiska riktlinjerna för medicinsk forskning på människor är Helsingforsdeklarationen. Deklarationen antogs av World Medical Association 1964 som en reaktion på de oacceptabla medicinska försök som utfördes i Nazityskland under andra världskriget. Dekla- rationen innehåller grundläggande etiska principer i syfte att väg- leda läkare och andra som medverkar i medicinsk forskning som omfattar människor. Sådan forskning innefattar forskning på identi- fierbart mänskligt material eller uppgifter som kan hänföras till identifierbara personer.
En av de grundläggande principerna i deklarationen är att om- sorgen om dem som är föremål för undersökningen alltid måste gå före vetenskapens och samhällets intressen vid medicinsk forskning på människor (artikel 8). Enligt artikel 9 är den läkare som är in- blandad i forskning ansvarig för att skydda forskningspersonens liv, hälsa, värdighet, integritet, rätt till självbestämmande, privatliv
188
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
och skydd för privata uppgifter. Ansvaret för forskningspersonerna ligger alltid på läkarna, aldrig på den enskilde även om denne lämnat sitt samtycke. Artikel 24 stadgar att alla tänkbara försiktig- hetsåtgärder måste vidtas för att respektera deltagarnas privatliv och behandla patientinformation konfidentiellt. När det gäller per- soner som kan lämna samtycke är huvudregeln att deltagande i medicinsk forskning alltid ska vara frivilligt (artikel 25). Enligt artikel 32 ska samtycke normalt inhämtas från den enskilde vid in- samling, analys, lagring eller återanvändning av identifierbara prover och data. I de fall det är omöjligt eller opraktiskt att få ett samtycke eller det skulle hota studien att begära ett sådant får forskningen utföras utan samtycke från den enskilde. Då krävs i stället ett god- kännande från en forskningsetisk kommitté.
5.5Etikprövningslagen
5.5.1Syfte
För att Sverige skulle kunna ratificera Europarådets konvention om mänskliga rättigheter och biomedicin krävdes en rättslig reglering av den forskningsetiska granskningen. I syfte att uppfylla de krav som bland annat ställdes i konventionen infördes den 1 januari 2004 lagen om etikprövning av forskning som avser människor, etikprövnings- lagen. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är enligt 1 § etikprövningslagen att skydda den en- skilda människan och respekten för människovärdet vid forskning.
5.5.2Vissa definitioner
I 2 § etikprövningslagen definieras vissa centrala begrepp. Forskning definieras som vetenskapligt experimentellt eller teore-
tiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund. Sådant arbete som utförs inom ramen för hög- skoleutbildning på grundnivå eller på avancerad nivå omfattas inte. Enligt förarbetena avses ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer, både när det sker utan någon bestämd tillämpning i sikte (grundforskning) och när det sker med en be-
189
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
stämd tillämpning i sikte (tillämpad forskning).168 Lagens forsknings- begrepp inbegriper också utvecklingsarbete på vetenskaplig grund. Enligt förarbetena avses därmed ett idérikt och systematiskt ut- nyttjande av vetenskaplig och annan kunskap för att åstadkomma nya produkter, nya processer, nya system eller väsentliga förbättringar av existerande system.
Enligt 31 § hälso- och sjukvårdslagen (1982:763) ska kvaliteten inom hälso- och sjukvårdsverksamheten systematiskt och fortlöpan- de utvecklas och säkras. Sådan verksamhet anses inte utgöra forsk- ning i lagens mening.169 Ibland ingår vetenskapligt utvecklingsarbete i myndigheternas arbete med uppföljning. I dessa fall får man se till syftet med det vetenskapliga utvecklingsarbetet. Om syftet är myn- dighetsinternt utvärderingsarbete blir etikprövningslagens bestäm- melser inte tillämpliga. Avsikten är att forskningsbegreppet ska omfatta allt det som omfattas av motsvarande begrepp enligt 19 § PUL.
En forskningshuvudman är den statliga myndighet eller fysiska eller juridiska person inom vars verksamhet forskningens utförs. Inom staten utförs forskning främst vid universitet och högskolor, men även vissa andra myndigheter som till exempel Brottsförebyg- gande rådet (BRÅ) bedriver forskning.170
Med forskningsperson avses den levande människa som forsk- ningen avser.
Med behandling av personuppgifter avses sådan behandling som anges i 3 § PUL.
5.5.3Tillämpningsområde
I 3 och 4 §§ etikprövningslagen anges vilken forskning som omfattas av lagen. Den bestämmelse som har störst betydelse vid register- forskning är 3 §. Bestämmelsen har följande lydelse.
168Prop. 2002/03:50 s. 91 och 192.
169Ibid.
170Prop. 2002/03:50 s. 192.
190
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
3 §
Denna lag ska tillämpas på forskning som innefattar behandling av
1.känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), eller
2.personuppgifter om lagöverträdelser som innefattar brott, domar
ibrottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden enligt 21 § personuppgiftslagen.
Bestämmelsen är tillämplig på forskning som avser uppgifter om levande människor inom alla vetenskapliga områden. Av första punk- ten framgår att lagen gäller för forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL, det vill säga personupp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa och sexualliv. I andra punkten anges att även forsk- ning som innefattar behandling av personuppgifter om lagöverträdel- ser som innefattar brott med mera enligt 21 § PUL omfattas av lagens tillämpningsområde.
När lagen infördes krävdes ingen etikprövning vid forskning som innefattade behandling av känsliga personuppgifter eller lagöverträ- delser med mera om försökspersonen hade gett sitt uttryckliga sam- tycke till behandlingen. Bestämmelsen har emellertid ändrats och sedan den 1 juni 2008 krävs en godkänd etikprövning vid all forsk- ning som innebär behandling av de i paragrafen angivna kategori- erna av personuppgifter, oavsett om samtycke har lämnats eller inte. Skälet till ändringen var enligt förarbetena att det är fråga om personuppgifter som är potentiellt integritetskränkande och rege- ringen ansåg att en etikprövning bör göras för att säkerställa skyddet för medverkande personer.171 Det faktum att personerna själva har haft möjlighet att ta ställning till behandlingen av personuppgifterna vid inhämtandet av godkännande ansågs inte utgöra tillräcklig grund för att undandra dessa ärenden från den kontroll som en etikpröv- ning innebär.
Enligt 4 § gäller lagen även för forskning som innebär ett fysiskt ingrepp på en levande eller avliden person, utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk för sådan skada. Lagen gäller vidare studier på biologiskt material från en levande eller avliden person, vilket innebär att det behövs etikgodkännande för att an- vända material från en biobank i ett forskningsprojekt. Vid forskning
171 Prop. 2007/08:44 s. 25.
191
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
på levande personer enligt denna bestämmelse krävs det att forsk- ningspersonen fått information om forskningsprojektet och att personen lämnat sitt samtycke till att delta i projektet
Det kan i sammanhanget nämnas att Sverige har ovanligt hög detaljeringsgrad när det gäller omfattningen av etikprövningslagens tillämpningsområde.172 I många andra länders lagstiftning beskrivs tillämpningsområdet på ett mer övergripande sätt, till exempel att etikprövning ska göras vid ”medicinsk forskning” eller ”biome- dicinsk forskning på människor”. I annan lagstiftning, såsom i den danska och finska, omfattar etikprövningen endast forskning som innefattar försök på levande och döda människor, inte behandling av personuppgifter. Den svenska etikprövningslagen är inriktad på att skydda de människor som medverkar i forskningen oavsett forsk- ningsområde.
Det följer av 5 § etikprövningslagen att lagen ska tillämpas på forskning som ska utföras i Sverige.
Enligt 4 a § förordning (2003:615) om etikprövning av forsk- ning som avser människor får en regional etikprövningsnämnd lämna rådgivande yttranden över forskning som avser människor i de fall forskningen inte omfattas av etikprövningslagen. Nämnden får också lämna rådgivande yttranden över arbeten som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
5.5.4Godkännande
I 6 § etikprövningslagen finns den centrala bestämmelsen om att den forskning som lagen omfattar inte får utföras utan ett etikgod- kännande. Forskning som innefattar behandling av känsliga person- uppgifter eller personuppgifter om lagöverträdelser med mera enligt 13 och 21 §§ PUL får dessutom utföras bara om behandlingen av personuppgifter har godkänts vid en etikprövning. Bestämmelsen har följande lydelse.
172 Prop. 2007/08:44 s. 32 f.
192
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
6 §
Forskning som avses i
Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.
Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.
Enligt förarbetena avses med begreppet att utföra forskning själva genomförandefasen, det vill säga att forskningen påbörjas genom att forskningspersoner rekryteras och material samlas in, att konkreta försök utförs och att den kunskap som kommer fram analyseras och bearbetas.173 Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller på annat sätt avgränsad forskning. Ett projekt är ofta avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner, finansiering eller på något annat sätt. Det framgår av förarbetena att den forskning som ska etikprövas måste vara avgränsad i någon mening för att kunna godkännas vid etikprövningen.174 Några generella, principiella godkännanden till att under oöverskådlig framtid få utföra forskning på ett visst mate- rial, inom ett visst område eller liknande godkännande kan inte läm- nas. En prövning från etiska utgångspunkter anses inte kunna isoleras till enstaka moment i forskningen utan måste bygga på en helhets- bedömning av just den forskning som en viss ansökan avser. Vid prövningen beaktas den aktuella forskningens frågeställningar, syfte, vetenskapliga värde, utförande, risker för forskningspersoner eller för synen på människovärdet, tilltänkta kontakter med forsknings- personer samt forskningsledningens och de deltagande forskarnas kompetens.
I första stycket anges vidare att forskning bara får innefatta be- handling av sådana personuppgifter som avses i 3 § om behand- lingen har godkänts vid etikprövningen. Innan etikprövningslagen infördes fick känsliga personuppgifter enligt en avvägningsnorm i 19 § första stycket PUL behandlas för forskningsändamål, om be- handlingen var nödvändig på det sätt som anges i 10 § PUL och om samhällsintresset av det forsknings- och statistikprojekt där behand-
173Prop. 2002/03:50 s.195.
174Ibid.
193
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
lingen ingick klart vägde över den risk för otillbörligt intrång i den enskildes personliga integritet som behandlingen kunde innebära. Etikprövningslagen medförde att etikprövning av forskning där känsliga personuppgifter ingår blev obligatorisk och möjligheten för forskningshuvudmannen att själv tillämpa avvägningsnormen i 19 § PUL försvann. Följden blev att nämnderna vid etikprövning av forskning som innehåller känsliga personuppgifter också har att ta ställning till behandlingen av känsliga personuppgifter. Vid denna prövning ska nämnden tillämpa i princip samma avvägningsnorm som tidigare fanns i 19 § första stycket PUL.175
Ett beslut vid etikprövning av forskning kan innebära att an- sökan avslås, godkänns eller godkänns under vissa villkor. Vid etik- prövning av forskning som avser att behandla känsliga personupp- gifter eller som berör lagöverträdelser med mera ska det enligt förarbetena ingå att bedöma förutsättningarna för behandlingen av personuppgifterna utan samtycke.176 Om nämnden kan konstatera att samtycke bör inhämtas trots att den sökande anser att det inte är nödvändigt eller att formerna för information till forskningsper- sonerna bedöms bristfälliga har nämnden möjlighet att avslå ansökan. Nämnden kan också besluta om villkor för ett godkännande. För att tillgodose integritetsaspekterna kan nämnden förena beslutet med särskilda villkor, exempelvis krav på samtycke. Även andra villkor, till exempel rätt för forskningspersonen att få uppgifter strukna eller formerna för rekrytering av forskningspersonerna, kan ställas upp som förutsättningar för godkännande.
Av bestämmelsens andra stycke framgår att ett etikgodkännande är begränsat i tid. Genomförandefasen ska ha påbörjats senast två år efter det att beslutet om godkännande vann laga kraft. Plane- ringsarbete och ordnande av finansiering räknas inte till genom- förandefasen.177
I tredje stycket finns en erinran om att etikprövningen inte inne- bär en prövning av några andra bestämmelser som kan påverka om och hur forskning får genomföras.
175Prop. 2002/03:50 s. 173
176Prop. 2007/08:44 s. 26.
177Prop. 2002/03:50 s. 195.
194
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.5.5Utgångspunkter för etikprövningen
I
Enligt 7 § etikprövningslagen får forskning godkännas bara om den kan utföras med respekt för människovärdet. Mänskliga rättig- heter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 § etikprövnings- lagen). Bestämmelserna innebär att välfärden för de människor som deltar i eller på annat sätt ingår i forskning ska gå före samhällets och vetenskapens intressen.179 De medför också enligt förarbetena att man vid etikprövningen bör se längre än till de direkta riskerna för de medverkande. Som exempel på fall där det kan bli aktuellt anges i propositionen forskning som kan innebära genetisk påverkan på kommande generationer.180 I propositionen påpekas att dessa krav kan tala både för och emot forskningen, eftersom människans välfärd i stort ofta gynnas av att forskningen kommer till stånd. Det framhålls också att det från samhällelig synpunkt är mycket viktigt att det skapas möjlighet att genom forskning utveckla ny kunskap.
Av avvägningsregeln i 9 § etikprövningslagen följer att forsk- ning får godkännas endast om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Det anförs i förarbetena till bestäm- melsen att det ligger i sakens natur att riskerna i normalfallet måste vara begränsade och att sökanden måste visa att värdet av forsk- ningen verkligen är så högt att det väger tyngre än intresset av att forskningspersonerna skyddas mot risker.181 Enligt propositionen ska avvägningen ske i två steg.182 Först ska en bedömning av forsk- ningens vetenskapliga bärkraft göras. Forskningen ska kunna generera kunskap som är väl underbyggd. Prövningen avser även till exempel om de metoder som används ger tillförlitliga svar på forskningens
178Prop. 2002/03:50 s. 196.
179Prop. 2002/03:50 s. 98.
180Ibid.
181Prop. 2002/03:50 s. 196.
182Prop. 2002/03:50 s. 98 f.
195
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
frågeställningar eller det problem eller förhållande som forskaren vill belysa. Det anges vidare att som allmänt krav på forskning där människor ska ingå bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort. Efter bedömningen av forskningens vetenskapliga bärkraft ska en avvägning göras mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge. Vid denna så kallade
Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forsknings- personers hälsa, säkerhet och personliga integritet (10 § etikpröv- ningslagen). Forskningen bör således bara få genomföras om det inte finns några alternativa likvärdiga metoder som inte innefattar försök på människor eller om det kan utföras annan forskning som visser- ligen innefattar risker för människor men som innebär mindre risker än i det projekt som ansökan avser.183 Behandling av känsliga person- uppgifter eller personuppgifter som rör lagöverträdelser med mera får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10§ etikprövningslagen andra stycket). Nödvän- dighetskravet i bestämmelsen motsvarar det som gäller enligt PUL, till exempel enligt 10 § PUL, se avsnitt 5.3.4.7.184
Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (11 § etikprövningslagen).
5.5.6Utlämnande av personuppgifter
Enligt 12 § etikprövningslagen får personuppgifter lämnas ut för att användas i forskning, om inte något annat följer av regler om sekre- tess och tystnadsplikt. Bestämmelsen har koppling till 24 § PUL. Av bestämmelsen följer att den personuppgiftsansvarige självmant ska informera den registrerade om att uppgifter om honom eller henne behandlas, om uppgifterna samlats in från någon annan källa
183Prop. 2002/03:50 s. 100.
184Prop. 2002/03:50 s. 196.
196
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
än den registrerade själv. Det skulle i praktiken innebära att en forskare vid behandling av registeruppgifter som hämtats från myn- dighetsregister alltid skulle behöva informera de registrerade om behandlingen. Information behöver dock inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personupp- gifterna i en lag eller någon annan författning. Bestämmelsen i 12 § etikprövningslagen är en sådan bestämmelse som medför att en forskare inte automatiskt behöver informera den registrerade om sin behandling.185 Däremot kan etikprövningsnämnden ställa villkor om att information ändå ska lämnas till den registrerade.
5.5.7De regionala etikprövningsnämnderna
Det är forskningshuvudmannens ansvar att ansöka om etikprövning (23 § etikprövningslagen). Etikprövning ska enligt 24 § etikprövnings- lagen ske vid en regional nämnd. Etikprövningsnämnden prövar även inrättande av biobanker enligt lagen om biobanker i hälso- och sjukvården m.m. i de fall biobanken ska användas för ändamål som avser forskning eller klinisk prövning (2 kap. 3 § biobankslagen)(se avsnitt 5.3.6.6).
Etikprövningen sker i dag vid sex regionala nämnder, som är indelade i två eller flera avdelningar. Minst en avdelning på varje ort prövar ärenden inom det medicinska vetenskapsområdet medan en avdelning prövar ärenden som rör övrig forskning. Varje avdelning består av en ordförande, som är eller har varit ordinarie domare, och femton ledamöter, av vilka tio ska ha vetenskaplig kompetens och fem ska företräda allmänna intressen. De regionala nämndernas kanslier ligger vid universiteten i Göteborg, Linköping, Lund, Umeå och Uppsala och vid Karolinska Institutet (KI) i Stockholm.
Om en nämnd finner att forskningen ger upphov till etiska frågor av ny eller principiell karaktär bör nämnden enligt 28 § etikpröv- ningslagen inhämta yttrande från Vetenskapsrådet (VR) eller andra behöriga myndigheter. Om nämnden är oenig finns en möjlighet att i vissa fall lämna över ärendet för avgörande till Centrala etikpröv- ningsnämnden (29 § etikprövningslagen).
185 Prop. 2002/03:50 s. 197.
197
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.5.8Centrala etikprövningsnämnden
Om en regional nämnd har avgjort ett ärende och beslutet har gått forskningshuvudmannen emot kan huvudmannen överklaga beslutet hos Centrala etikprövningsnämnden. Centrala etikprövningsnämn- den prövar som ovan nämnts även ärenden som en regional nämnd överlämnat på grund av oenighet.
Enligt etikprövningslagen får forskning som faller inom lagens tillämpningsområde inte påbörjas innan den har godkänts av en nämnd. För att detta krav ska upprätthållas krävs en fungerande tillsyn.186 Centrala etikprövningsnämnden har uppgiften att utöva tillsyn över efterlevnaden av etikprövningslagen och de föreskrifter som meddelats med stöd av lagen. Tillsynsansvaret omfattar den forskning som inte täcks av det tillsynsansvar som Inspektionen för vård och omsorg (IVO), Läkemedelsverket och Datainspektionen har, bland annat medicinsk grundforskning som bedrivs av annan huvudman än vårdgivare inom hälso- och sjukvården, till exempel i anslutning till lärosätenas medicinska institutioner. Tillsyn kan bli aktuellt vid misstanke att forskning som omfattas av lagen bedrivs utan godkännande eller att forskning bedrivs i strid med villkor som meddelats i samband med ett godkännande.
Centrala etikprövningsnämnden har sitt kansli vid VR i Stockholm. Nämnden består av en ordförande, som är eller har varit ordinarie domare, och sex övriga ledamöter varav fyra ska ha vetenskaplig kompetens och två ska företräda allmänna intressen.
5.5.9Straff
Den som uppsåtligen byter mot kravet på godkännande enligt 6 § första stycket etikprövningslagen kan enligt 38 § dömas till böter eller fängelse i högst sex månader. I ringa fall döms dock inte till ansvar. Till ansvar döms inte heller om gärningen är straffbelagd en- ligt någon annan författning.
186 Prop. 2002/03:50 s. 163 f.
198
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
5.6Offentlighet och sekretess
5.6.1Inledning
Vilka möjligheter har forskare att ta del av uppgifter från myndig- heter? I Sverige gäller offentlighetsprincipen, som bland annat med- för en grundläggande rätt för envar att ta del av allmänna hand- lingar hos en myndighet. Utgångspunkten är således att den som så önskar, däribland forskare, ska kunna ta del av samtliga allmänna handlingar som förvaras på en myndighet.187 I sekretesslagstiftningen finns emellertid undantag från huvudregeln om handlingsoffentlighet som medför att allmänhetens, och däribland forskarnas, möjlighet att ta del av allmänna handlingar begränsas. Bestämmelserna om offentlighet och sekretess är således av avgörande betydelse för forskarnas möjlighet att få ta del av myndigheternas uppgifter. De reglerar också skyddet för de uppgifter forskningshuvudmannen förvarar hos sig.
5.6.2Offentlighetsprincipen
5.6.2.1Rätten att ta del av allmänna handlingar
Enligt 2 kap. 1 § TF har varje svensk medborgare, till främjande av ett fritt meningsutbyte och en allsidig upplysning, rätt att ta del av allmänna handlingar.188 Med handling avses enligt 2 kap. 3 § TF framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälp- medel. Ordet handling betyder således inte enbart ett papper med skrift eller en bild på utan också till exempel en bandinspelning eller en upptagning för automatiserad behandling. En handling inne- håller information av något slag.
En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten (2 kap. 3 § första stycket TF). Det är vanligtvis inte svårt att avgöra om en vanlig pappershandling är att anse som förvarad hos en myndighet. När det gäller information som är lagrad på en hårddisk kan det emellertid vara besvärligare att bedöma. Själva hårddisken med upp- tagningen för automatiserad behandling kan finnas hos en myndig-
187Principen medför dock inte någon skyldighet för myndigheten att lämna ut allmän hand- ling i elektronisk form.
188Rätten avser enligt lagtexten svenska medborgare men ska tillämpas även för andra.
199
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
het samtidigt som en annan myndighet har möjligheter att se infor- mationen på bildskärmar eller få utskrifter av upptagningen direkt på egna skrivare. För denna typ av handlingar finns en särskild regel i 2 kap. 3 § andra stycket första meningen TF. Enligt bestämmelsen ska en upptagning anses förvarad hos en myndighet om upptagning- en är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. Bestämmelsen innebär att en upptagning för automatiserad behandling som huvudregel anses förvarad både hos den myndighet där upptagningen rent fysiskt finns och hos den myndighet som har åtkomst till upptagningen. Dessutom anses en upptagning för automatiserad behandling förvarad hos en myndighet, om myndigheten kan få utskrifter av upptagningen från någon annan som har hand om upptagningen för myndighetens räk- ning, till exempel en annan myndighet som ansvarar för databehand- ling som är gemensam för ett antal myndigheter. Myndigheten be- höver alltså inte ha direktåtkomst till upptagningen. Denna regel innebär också att information som rent fysiskt befinner sig utanför Sverige eller för vilken det överhuvudtaget inte går att avgöra var den finns kan vara förvarad hos en eller flera svenska myndig- heter.189
Som redovisats ovan finns det två undantag från huvudregeln. Det första finns i 2 kap. 3 § andra stycket andra meningen TF. Enligt denna bestämmelse ska en sammanställning av uppgifter ur en upptagning för automatiserad behandling, en så kallad potentiell handling, anses förvarad hos myndigheten bara om myndigheten kan göra sammanställningen med rutinbetonade åtgärder.190 Krävs en mera kvalificerad, konstruktiv insats, till exempel i form av ny- skrivning av datorprogram, är upptagningen inte att betrakta som förvarad på myndigheten.191 Enligt förarbetena avses med rutin- betonade åtgärder en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader.192 Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den allmänna tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen hos myndigheten i fråga.
Det bör i sammanhanget förtydligas att för så kallade färdiga elektroniska handlingar gäller huvudregeln i 2 kap. 3 § andra stycket
189Lenberg, E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo) kommentaren till 2 kap. 3 § tryckfrihetsförordningen.
190Prop. 2001/02:70 s. 20.
191Prop. 1975/76:160 s. 90.
192Prop. 2001/02:70 s. 22 och 37.
200
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
första meningen TF. Med uttrycket färdig elektronisk handling avses handlingar i elektronisk form med ett bestämt, fixerat inne- håll som går att återskapa gång på gång.193 Exempel på sådana hand- lingar är
Det andra undantaget från huvudregeln finns i 2 kap. 3 § tredje stycket TF. I bestämmelsen anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Denna så kallade begränsnings- regel gäller även om sammanställningen kan tas fram med rutin- betonade åtgärder.
Regeln innebär att sammanställningar av uppgifter ur upptag- ningar som en myndighet av hänsyn till skyddet för enskildas inte- gritet inte har rätt att ta fram i sin egen verksamhet inte heller är till- gängliga för allmänheten. En förutsättning för att undantaget ska vara tillämpligt är att det gäller personuppgifter. Med begreppet personuppgifter avses här detsamma som i PUL, dock med den skillnaden att begreppet i TF också omfattar avlidna personer.195
5.6.2.2I vilken form ska uppgifterna ges ut?
Den som önskar ta del av en allmän handling har rätt att göra det på två olika sätt. Sökanden kan ta del av handlingen genom att myn- digheten tillhandahåller den på stället (2 kap. 12 § första stycket TF). Sökanden kan också ta del av handlingen genom att mot en avgift få den utlämnad i avskrift eller kopia (2 kap. 13 § första stycket TF).
Bestämmelserna i TF medför således ingen generell skyldighet för en myndighet att lämna ut en uppgift i elektronisk form. I vissa registerförfattningar finns bestämmelser som reglerar om och i vilka fall personuppgifter får utlämnas i elektronisk form. En myn- dighet kan också välja att lämna ut allmänna handlingar i elektronisk form i enlighet med förvaltningslagens bestämmelser om service- skyldighet.196 En förutsättning för detta är att inga hinder för ut-
193Prop. 2001/2002:70 s. 20 f.
194Prop. 2001/02:70 s. 38.
195Ibid.
196SOU 2010:4 s. 77.
201
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
lämnande finns i den registerförfattning som gäller för myndigheten. Regeringen har i olika sammanhang uppmanat myndigheterna att lämna ut handlingar på elektronisk väg, även om ingen sådan legal skyldighet föreligger.197
5.6.2.3Begränsning av rätten att ta del av allmänna handlingar
Som anges ovan medför offentlighetsprincipen att envar har rätt att ta del av allmänna handlingar hos en myndighet. Huvudregeln är således att registeruppgifter som ingår i allmänna handlingar omfattas av offentlighetsprincipen och ska lämnas ut av myndigheten när någon, till exempel en forskare, önskar ta del av dem.
Rätten att ta del av allmänna handlingar får begränsas på de sätt som framgår av 2 kap. 2 § TF. Bestämmelsen har följande lydelse.
2 kap. 2 § TF
Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till
1.rikets säkerhet eller dess förhållande till annan stat eller mellan- folklig organisation,
2.rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3.myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4.intresset att förebygga eller beivra brott,
5.det allmännas ekonomiska intresse,
6.skyddet för enskilds personliga eller ekonomiska förhållanden,
7.intresset att bevara djur- eller växtart.
Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, om så i visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar. Efter bemyndigande i sådan bestämmelse får dock regeringen genom för- ordning meddela närmare föreskrifter om bestämmelsens tillämplighet.
Utan hinder av andra stycket får i bestämmelse som där avses riks- dagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.
Sekretessregleringen är en undantagsreglering i förhållande till offent- lighetsprincipen. Sekretess ska därför gälla för uppgifter endast om det finns ett särskilt skyddsvärt intresse. I bestämmelsens första stycke finns en uttömmande uppräkning av vilka intressen som får skyddas genom att allmänna handlingar hålls hemliga, de så kallade
197 Se bland annat prop. 2001/02:70 s. 34.
202
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
sekretessgrunderna. Allmänna handlingar får således inte hållas hem- liga för att skydda några andra intressen än dem som räknas upp.
Den sekretess som kan bli aktuell vid uttag ur myndigheternas register för forskning är främst sådan sekretess som har sin grund i punkten 6, det vill säga sekretess till skydd för enskilds personliga och ekonomiska förhållanden.
Vilka handlingar som är hemliga ska enligt andra stycket anges i en särskild lag. Den lag som avses är offentlighets- och sekretess- lagen, OSL. OSL innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar, gemensamt betecknat som sekretess (1 kap. 1 § andra stycket OSL). Utgångspunkten är att det av OSL ska framgå alla de fall då all- männa handlingar är hemliga.198 Punkterna
Regeringen ges i andra stycket rätt att besluta om komplette- rande föreskrifter. Sådana regeringsföreskrifter finns samlade i offentlighets- och sekretessförordningen (2009:641), OSF.
I det tredje stycket har regeringen och riksdagen fått befogenhet att genom särskilda föreskrifter i sekretessbestämmelserna ge dispens från sekretessen.
5.6.3Offentlighets- och sekretesslagen
5.6.3.1Sekretessbestämmelsernas uppbyggnad
OSL innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hante- ring av allmänna handlingar (1 kap. 1 § OSL). Som anges ovan inne- håller lagen också bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar.
OSL utgör ett undantag från offentlighetsprincipen och sekretess ska därför gälla endast om det finns ett särskilt skyddsvärt intresse. Utgångspunkten är att sekretess endast ska gälla i den omfattning som är nödvändig för att skydda det intresse som föranlett bestäm- melsen.199 För att så tydligt som möjligt klargöra sekretessens om-
198Lenberg, E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo), kommentaren till 2 kap. 2 § tryckfrihetsförordningen.
199SOU 2003:99 s. 79.
203
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
fattning är sekretessbestämmelserna som regel utformade med hjälp av tre olika slags rekvisit. Dessa anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.200 Med föremålet för sekretessen avses vilket slags uppgift som sekretessregleringen avser, till exempel personliga och ekonomiska förhållanden. Sekretessen räckvidd anger inom vilken verksamhet eller i vilken typ av ärenden sekretessbestämmelsen gäller. I undantagsfall hänvisas också till en viss bestämd myndighet. Om inget annat anges är bestämmelsen tillämplig inom hela den offentliga förvaltningen. Sekretessens styrka anges genom ett skaderekvisit.
Skaderekvisit
Som anförts ovan medför offentlighetsprincipen att sekretess ska gälla endast i den omfattning som är nödvändig för att skydda det intresse som ligger till grund för bestämmelsen.201 Ett sätt att åstadkomma detta är att använda så kallade skaderekvisit, det vill säga särskilda rekvisit som anger vilken styrka sekretessen har. Det finns i huvudsak två olika typer av skaderekvisit, det raka och det omvända. Vid ett rakt skaderekvisit är utgångspunkten offentlighet. Det uttrycks i lagtexten genom att sekretess gäller om det kan antas att en viss skada inträffar om uppgiften röjs. Vid ett omvänt skaderekvisit föreligger en presumtion för att uppgifterna omfattas av sekretess. Sekretessen uttrycks i dessa fall genom att sekretess gäller om det inte står klart att uppgiften kan röjas utan skada och men. I vissa fall kan sekretessen vara absolut. Det innebär att någon skade- och menprövning inte ska göras och att uppgiften inte kan lämnas ut.
Förbehåll
En myndighet ska också alltid ta ställning till om uppgifter som är sekretessbelagda ändå kan lämnas ut med förbehåll. Av 10 kap. 14 § OSL följer att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en sekretessbestämmelse hindrar att en uppgift lämnas ut kan undanröjas genom ett förbehåll som inskränker rätten att lämna uppgiften vidare eller utnyttja den ska
200SOU 2003:99 s. 78.
201SOU 2003:99 s. 131.
204
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Bestämmelsen ska bara tillämpas vid utlämnande till enskilda.
Skada och men
Vad avses med uttrycket ”skada och men” i OSL? Enligt för- arbetena till den tidigare sekretesslagen (1980:100) avser begreppet ”skada” ekonomisk skada.202 Begreppet ”men” ansågs lämpligt att använda avseende integritetskränkningar. Uttrycket ”men” har, enligt förarbetena, en mycket vid innebörd. I första hand åsyftas sådana skador som att någon blir utsatt för andras missaktning om dennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan anses vara tillräckligt för att medföra men. Den berörda personens egen upplevelse ska vara utgångspunkten vid en bedömning av om men föreligger. Vid bedömningen bör dock viss hänsyn kunna tas till gängse värderingar i samhället.
Enskilds personliga eller ekonomiska förhållanden
Begreppet ”enskilds personliga och ekonomiska förhållanden” är hämtat från 2 kap. 2 § första stycket 6 TF. I förarbetena till sekretess- lagen anfördes att det inte var nödvändigt att göra någon analys av begreppets innebörd.203 Innebörden av begreppet personliga förhål- landen får i stället bestämmas med ledning av vanligt språkbruk. I propositionen anges som exempel på personliga förhållanden en persons adress eller yttringar av ett psykiskt sjukdomstillstånd. Upp- gifter om en persons ekonomi faller också under begreppet personliga förhållanden. Personliga och ekonomiska förhållanden bör emeller- tid enligt förarbetena hållas isär, bland annat för att sekretessregle- ringen också avser juridiska personer, som ju inte kan säga ha några ”personliga förhållanden”.
För att en enskild ska lida skada eller men krävs det att uppgifter- na är hänförliga till en viss individ.204 Det innebär enligt förarbetena att man i allmänhet bör kunna lämna ut så kallade avidentifierade
202Prop. 1979/80:2 Del A s. 83, SOU 2003:99 s. 138 ff.
203Prop. 1979/80:2 Del A s. 84.
204Prop. 1979/80:2 Del A s. 84.
205
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
uppgifter utan risk för att skada eller men uppkommer.205 Sekre- tessen gäller nämligen endast när det finns ett samband mellan en individ och uppgiften. I propositionen anförs det vidare att det i enstaka fall kan tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Huruvida en sådan risk föreligger får bedömas efter omständigheterna i del enskilda fallet.
Överföring av sekretess och primär och sekundär sekretess
Det är en grundläggande princip i sekretessregleringen att sekretess inte överförs automatiskt mellan myndigheter.206 En sekretessbe- stämmelse som gäller för en uppgift hos en myndighet blir inte utan särskild reglering tillämplig hos en annan myndighet när uppgiften lämnas dit. Detta beror bland annat på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretess- intresset.207 Detta måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Denna avvägning kan resultera i en annan bedömning utanför det område där en sekretessregel gäller. Kravet på offentlighet kan således innebära att de uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda.
För att uppgiften hos den mottagande myndigheten ska omfattas av sekretess krävs det att det finns en sekretessbestämmelse som är tillämplig för den mottagande myndigheten, så kallad primär sek- retess. Med en primär sekretessbestämmelse avses enligt 3 kap. 1 § OSL en sekretessbestämmelse som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar viss verksamhetstyp eller ärendetyp som hanteras hos myn- digheten eller omfattar vissa uppgifter hos myndigheten. Ett alter- nativ är att det finns en särskild överföringsbestämmelse som medför att sekretessen sprids utanför sitt ursprungliga tillämpningsområde, en sekundär sekretess. Enligt definitionen i 3 kap. 1 § OSL är en sekundär sekretessbestämmelse en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.
205Avidentifierade uppgifter får här förstås som vad som i denna utredning benämns anony- miserade uppgifter, det vill säga även kodade uppgifter.
206Prop. 2008/09:150 s. 315.
207Prop. 1979/80:2 Del A s. 75 f.
206
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Om det finns flera primära sekretessbestämmelser till skydd för samma uppgift hos en myndighet ska myndigheten tillämpa den bestämmelse som ger det starkaste sekretesskyddet.208 I de fall en uppgift överförs från en myndighet till en annan och det finns en primär sekretessbestämmelse som är tillämplig på uppgiften hos den mottagande myndigheten gäller den bestämmelsen före en sekundär sekretessbestämmelse. Detta gäller oavsett den primära sekretessens styrka, det vill säga även om det skulle innebära ett svagare skydd än den sekundära bestämmelsen skulle ha gjort.209
5.6.3.2Myndigheternas sekretessprövning
Enligt 2 kap. 14 § TF är det alltid den myndighet som förvarar en handling som ska pröva om den kan lämnas ut. En allmän handling som får lämnas ut ska tillhandahållas genast eller så snart som möjligt (2 kap. 12 § TF), vilket innebär att en begäran att ta del av hand- lingen ska prövas skyndsamt av myndigheten.210
När någon, till exempel en forskare, begär ut en uppgift ur en myndighets register ska myndigheten inledningsvis ta ställning till om uppgiften finns i en allmän handling. Om så är fallet medför offentlighetsprincipen som framgått ovan att handlingen som huvud- regel är offentlig och ska lämnas ut. Uppgiften kan emellertid om- fattas av sekretess. Myndigheten ska då bedöma om uppgiften kan hänföras till en enskild och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut, en så kallad skade- och menprövning eller utlämnandeprövning. Om en skade- och menprövning resulterar i slutsatsen att de uppgifter som begärs ut omfattas av sekretess får uppgifterna inte lämnas ut. Det kan emellertid finnas sekretessbrytande bestämmelser som är tillämpliga och som bryter igenom sekretesskyddet och medger att uppgifter- na ändå får lämnas ut.
I vissa fall är sekretessen absolut. Någon skade- och menpröv- ning ska då inte göras. Uppgifterna kan dock eventuellt ändå lämnas ut med stöd av en sekretessbrytande bestämmelse.
Det bör noteras att det endast är specifika uppgifter som kan skyddas av sekretess, inte de handlingar i vilka uppgifterna förekom- mer. I de fall vissa uppgifter i en handling får lämnas ut och andra
208Prop. 1979/80:2 Del A s. 70, prop. 2008/09:150 s. 316.
209Ibid.
210SOU 2010:4 s. 63.
207
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
inte ska de uppgifter som inte kan lämnas ut strykas över eller ute- slutas på annat sätt, så att handlingen i övrigt kan lämnas ut (2 kap.
12§ första stycket TF).
Om myndigheten kommer fram till att de begärda uppgifterna
inte går att lämna ut ska myndigheten meddela den som har begärt uppgifterna sin bedömning och skälen till att handlingen eller delar av den inte lämnas ut. Den enskilde har rätt till ett skriftligt av- slagsbeslut. En myndighets beslut att inte lämna ut en handling till den enskilde, att lämna ut en handling med förbehåll eller att avslå den enskildes begäran att själv använda tekniska hjälpmedel för att ta del av upptagningar för automatiserad behandling överklagas enligt huvudregeln till kammarrätten (6 kap. 8 § första stycket OSL). Även i de fall klaganden är en juridisk person eller kommunal myn- dighet ska beslutet överklagas till kammarrätten. Av tredje stycket följer att beslut av en tingsrätt och som gäller handling i domstolens rättsskipande eller rättsvårdande verksamhet dock överklagas till hovrätten. Ett avslagsbeslut som meddelats av en statlig myndighet som lyder under regeringen överklagas av en annan sådan myndig- het till regeringen (6 kap. 8 § fjärde stycket OSL).
5.6.3.3Utlämnandeprövningen
Vad ska myndigheterna beakta vid utlämnandeprövning vid rakt respektive omvänt skaderekvisit? Vid rakt skaderekvisit finns det som ovan anförts en presumtion för offentlighet. Den som ska tillämpa det raka skaderekvisitet kan göra sin bedömning inom ganska vida ramar.211 Prövningen ska göras utifrån själva uppgiften och någon bedömning av det enskilda fallet behöver inte alltid göras. Det är i stället uppgiften i sig som är avgörande för om ett utläm- nande kan vara ägnat att skada det intresse som ska skyddas av sekretessen. Om uppgiften är sådan att den typiskt sett skulle be- traktas som harmlös ska den normalt falla utanför sekretessen. Om uppgiften i stället är sådan att den lätt kan komma att missbrukas ska den i de flesta fall omfattas av sekretess. Det är således arten av den uppgift som efterfrågas som är av avgörande betydelse.
En grundsats som hör samman med offentlighetsprincipen är att den som begär en uppgift hos en myndighet inte ska behöva legiti- mera sig och tala om varför han eller hon vill ta del av en viss upp-
211 Prop. 1979/80:2 Del A s. 80, SOU 2003:99 s. 131.
208
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
gift.212 Enligt 2 kap. 14 § tredje stycket TF får en myndighet inte på grund av att någon begär att få ta del av en handling efterforska vem han eller hon är eller i vilket syfte handlingen begärs i större utsträckning än som behövs för att myndigheten ska kunna pröva om det föreligger hinder att lämna ut handlingen. Ett rakt skade- rekvisit innebär vanligtvis att den som gör skadebedömningen inte behöver frångå denna princip. Vem som begär uppgiften och vad den ska användas till ska som huvudregel inte inverka på bedöm- ningen. Frågan om vem som begär en uppgift eller ändamålet med begäran kan emellertid ändå få betydelse när sekretessfrågan ska avgöras. Om det i ett särskilt fall framgår att den som begär att få ut en uppgift för vilken det gäller sekretess enligt ett rakt skaderekvisit kommer att använda uppgiften till skada eller men för den upp- giften rör gäller sekretess just för den uppgiften. Utgångspunkten är dock inte att tjänstemannen själv ska försöka utröna om omstän- digheterna är sådana som beskrivits i ett visst utlämnandefall. En sådan åtgärd bör enligt förarbetena endast förekomma om det finns särskild anledning till det.
Vid ett omvänt skaderekvisit är, som framgått ovan, sekretess huvudregel. I sådana fall har tillämparen i praktiken ett begränsat utrymme för sin bedömning.213 För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut. Upp- lysningar om sökandens identitet och avsikter kan dock medföra att det framstår som oskadligt att lämna ut uppgifterna.
5.6.3.4Massuttag
Det omvända skaderekvisitet kan medföra problem vid så kallade massuttag, det vill säga uttag av en stor mängd uppgifter. Möjligheten till massuttag är en förutsättning för registerforskning och sådana uttag sker i dag ofta av uppgifter som skyddas av statistiksekretess. Vid massuttag är det vanligtvis omöjligt att avgöra vilken risk för skada eller men som föreligger för varje enskild person. I förarbetena till sekretesslagstiftningen finns vissa uttalanden som rör massuttag. Det anförs att situationen i sådana fall är sådan att tjänstemannen
212Prop. 1979/80:2 Del A s. 81, SOU 2003:99 s. 132.
213Prop. 1979/80:2 Del A s. 82, SOU 2003:99 s. 132.
209
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
av naturliga skäl inte kan bilda sig en uppfattning om den särskilda skaderisk som kan vara förbunden med en enskild uppgift.214 Kun- skaper om beställarens identitet och avsikt med uppgifterna i för- ening med den skaderisk som typiskt sett är förbunden med uppgifter som avses med beställningen bör enligt förarbetena vara ett fullt tillräckligt underlag för en sekretessbedömning. Dessa förarbets- uttalanden talar för att det är möjligt med en sekretessprövning vid massuttag. Uttalandena i förarbetena följer emellertid i anslutning till uttalanden om det raka skaderekvisitet.215 Det har lett till en diskussion inom den juridiska doktrinen om förarbetsuttalandena gäller även vid omvänt skaderekvisit. I diskussionen har framförts att det inte kan tas för givet att uttalanden om massuttag ska anses gälla även uppgifter som är skyddade av den starkare sekretessen.216 Andra menar däremot att det är möjligt att efter en objektiv pröv- ning lämna ut uppgifter även genom massuttag vid ett omvänt skade- rekvisit.217 Förekomsten av bestämmelsen om statistiksekretess visar detta, eftersom sådana uttag i regel sker genom massuttag. Det har anförts att lagstiftarens tanke inte kan ha varit att den utlämnande myndigheten ska göra en individuell prövning i dessa fall. Ett om- vänt skaderekvisit betyder inte, har det anförts, att den enskildes inställning måste efterforskas i varje enskilt fall, utan avgörande är vem som begär ut uppgifterna, för vilket syfte och vilket sekre- tesskydd uppgifterna har hos mottagaren. En annan tolkning av för- arbetena är inte möjlig. Uppgifter som regleras med omvänt skade- rekvisit skulle annars inte kunna lämnas ut eftersom en skadeprövning inte kan genomföras av resursskäl.
5.6.3.5Sekretess som kan gälla hos de myndigheter från vilka forskare begär uppgifter
Det är i huvudsak OSL och OSF som styr i vilka fall en myndighet får lämna ut uppgifter för forskning och andra ändamål. Här följer en översiktlig genomgång av några av de bestämmelser som reglerar möjligheten för forskare att få del av uppgifter.
214Prop. 1979/80:2 Del A s. 81.
215Ibid.
216Rynning, E.,Förvaltningsrättslig tidskrift 2003, s. 107.
217von Essen, U.,Förvaltningsrättslig tidskrift 2003, s. 206 f, Ekroth,J., Förvaltningsrättslig tidskrift, 2005, s. 418.
210
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
Statistiksekretess
Den sekretess som oftast är aktuell när en forskare begär ut upp- gifter från en myndighet är den så kallade statistiksekretessen, som regleras i 24 kap. 8 § OSL. Bestämmelsen har följande lydelse.
24 kap 8 §
Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds per- sonliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.
Enligt bestämmelsens första mening gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Statistik kan framställas för att användas som underlag för ett beslut i ett ärende hos en myndighet. Det är emellertid inte sådan verk- samhet som avses. I stället är det fråga om en mera allmänt utre- dande verksamhet utan anknytning till något särskilt ärende.218 Be- stämmelsen reglerar sekretessen hos många av de myndigheter som ansvarar för register som är intressanta för registerbaserad forskning. Som exempel kan nämnas den statistikproduktion som sker vid statistikansvariga myndigheter, såsom SCB, Socialstyrelsen, BRÅ och Försäkringskassan.219
Enligt bestämmelsen andra mening gäller sekretess även för med statistik jämförbar undersökning inom Riksrevisionen eller riksdags- förvaltningen. Även myndigheter under regeringen har möjlighet att sekretessbelägga uppgifter i andra med statistik jämförbara under- sökningar, förutsatt att regeringen föreskrivit det. Regeringen har
218Prop. 1979/80:2 Del A s. 263.
219SOU 2012:83 s. 138 f.
211
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
med stöd av bestämmelsen meddelat föreskrifter om sekretess i 7 § OSF.
I 7 § OSF regleras sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden i en mängd myndigheter avseende vissa särskilda undersökningar. För dessa uppgifter gäller föreskrifterna i 24 kap. 8 § första stycket tredje meningen och andra stycket OSL, om inte en längre gående begränsning i sekretessen anges i bestämmelsen. Till exempel gäller sekretess för uppgifter om enskildas personliga förhållanden i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier som utförs av sjukvårds- inrättningar, utbildningsanstalter och forskningsinrättningar.
I prop. 2013/14:162 föreslås vissa ändringar i statistiksekretessen. Bland annat föreslås att så kallade andra jämförbara undersökningar som utförs inom det statliga kommittéväsendet och av Statskontoret ska omfattas av statistiksekretess utan att regeringen meddelar före- skrifter om det. Den andra ändringen innebär att paragrafen delas upp i fler stycken, i syfte att göra bestämmelserna mer överskådliga och lättare att tillämpa. Lagändringarna föreslås träda i kraft den 1 augusti 2014.
Statistiksekretessen gäller oavsett varifrån uppgiften härrör eller hur den kommit till myndigheten.220 Det är alltså inte ändamålet med uppgiften utan verksamheten vari den förekommer som är avgörande. Det kan leda till att en uppgift hos en myndighet är offentlig inom en handläggande avdelning men sekretessbelagd inom en avdelning som framställer statistik. En uppgift som är offentlig hos en myndighet som samlat in den av administrativa skäl blir sekretessbelagd hos en annan myndighet som hämtar in uppgiften för att upprätta statistik.
Sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den en- skilde. Härigenom skyddas inte bara sådana uppgifter som inne- håller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som på något sätt kan hänföras till en viss enskild.221
Bestämmelsen innehåller inte något skaderekvisit. Statistiksekre- tessen är således absolut och det är som huvudregel förbjudet att lämna ut några som helst uppgifter. Skälen till den starka statistik- sekretessen diskuteras i förarbetena till den tidigare sekretesslagen. I propositionen konstateras att det i fråga om statistikuppgifter finns
220Prop. 1979/80:2 Del A s. 263.
221Ibid.
212
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial och hänsynen till den enskildes integritet.222 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset på denna punkt ter sig förhållandevis svagt. Integritetsintresset är däremot på- tagligt. Det anges vidare i propositionen att registeruppgifter från exempelvis SCB visserligen var för sig är tämligen harmlösa, men att en sammanställning av sådana uppgifter ofta är integritetskänslig. Behovet av ett starkt sekretesskydd beträffande statistiken beror också, enligt propositionen, på att statistikkvaliteten blir dålig om inte den enskilde uppgiftslämnaren är säker på att hans uppgifter inte kommer ut.
Det finns fyra undantag från regeln om absolut sekretess. Det undantag som är mest relevant i forskningssammanhang är det som anges i bestämmelsens tredje mening. Där anges att uppgifter som behövs för forsknings- eller statistikändamål får lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. I dessa fall gäller således ett omvänt skaderekvisit. Möjligheten till utlämnande för forsk- ningsändamål är avsedd att tillämpas mycket restriktivt.223
Det andra undantaget som kan bli aktuellt vid uttag av uppgifter för forskningsändamål framgår av samma mening i bestämmelsen. Där anges att uppgift som inte genom namn, annan identitetsbeteck- ning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock endast ske under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Undantaget infördes för att tillgodose behovet av detaljerad statistik.224 Bestämmelsen avser inte endast utlämnande till forsknings- och statistikändamål, utan är generellt tillämplig. Med ”därmed jämförbart förhållande” åsyftas enligt förarbetena bilnummer, telefonnummer, anställningsnummer, fastighetsbeteckning och så vidare. Begreppet enskild omfattar också avliden.
222Prop. 1979/80:2 Del A s. 262.
223Prop. 1994/95:200 s. 38.
224Prop. 1979/80:2 Del A s. 264.
213
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Hälso- och sjukvårdssekretess
En viktig källa till information för forskare, främst på det medi- cinska området, är personuppgifter som hämtas från journaler eller från ett nationellt, regionalt eller lokalt kvalitetsregister. Sådana uppgifter skyddas av sekretess enligt 25 kap. 1 § OSL. Bestämmel- sen har följande lydelse.
25 kap. 1 §
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider men. Detsamma gäller i annan medicinsk verk- samhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstill- hörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar.
Första stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Med uttrycket hälso- och sjukvård avses för det första den öppna och slutna sjukvård för vilken grundläggande bestämmelser finns i hälso- och sjukvårdslagen (1982:763).225 Hit hör också förebyggan- de medicinska hälsovård, till exempel verksamhet på mödra- och barnavårdscentralerna och inom psykiatrisk barn- och ungdomsvård. Också tandvården hör till hälso- och sjukvården. Bestämmelsen omfattar vidare verksamhet som utgör en del i annan typ av förvalt- ning, till exempel elevhälsan inom skolväsendet, eller sjukvård inom socialtjänsten, kriminalvården eller försvarsmakten. Vidare omfattas företagshälsovården i det allmännas verksamhet.
Bestämmelsen är endast tillämplig på sådan hälso- och sjukvård och annan medicinsk verksamhet som är individuellt inriktad. Miljö- och samhällsmedicin och annan förebyggande hälsovård av mera generell karaktär faller således utanför tillämpningsområdet.
Sekretessen enligt 25 kap 1 § OSL tar sikte på den hälso- och sjukvård som bedrivs av det allmänna i sjukhus och andra vård- inrättningar samt verksamheten vid inrättningar för öppen vård till exempel distriktsläkarmottagningar och folktandvårdskliniker. Utan- för bestämmelsens tillämpningsområde faller däremot verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda.
225Lenberg E. m.fl., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo) kommentaren till 25 kap. 1 §.
214
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
För sådan verksamhet gäller i stället föreskrifterna om tystnads- plikt i patientsäkerhetslagen (2010:659).
Sekretessregleringen gäller också ”i annan medicinsk verksam- het”. Med detta uttryck avses verksamhet som inte primärt har vård- eller behandlingssyfte, till exempel verksamhet som bedrivs hos Rättsmedicinalverket. I lagtexten exemplifieras sådan verksam- het med rättsmedicinsk och rättspsykiatrisk undersökning, insemi- nation, befruktning utanför kroppen, fastställande av könstillhörig- het, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar.
Sekretessen i 25 kap. 1 § OSL ska iakttas av all den personal som är verksam inom det allmännas hälso- och sjukvård, oavsett om verksamheten avser det egentliga vårdarbetet eller administrativt, ekonomiskt eller tekniskt arbete. Bestämmelsen är således tillämplig för exempelvis läkare, sjuksköterskor och barnmorskor men även för apotekare, arbetsterapeuter, logopeder, läkarsekreterare, psyko- loger, kuratorer, psykoterapeuter, sjukgymnaster, sjukhusfysiker, sjukvårdsbiträden, skriv- och ambulanspersonal, telefonister och vaktmästare.
Sekretessen omfattar uppgift om enskildas hälsotillstånd eller andra personliga förhållanden. Bestämmelsen avser uppgifter om den vård- behövande eller därmed jämställda personer samt uppgifter som en vårdbehövande lämnar om andra personer, exempelvis närstående, grannar eller arbetskamrater.226
Enligt 25 kap. 1 § gäller sekretess om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det föreligger således en presumtion för att upp- gifter om en enskilds hälsotillstånd eller andra personliga förhållan- den i hälso- och sjukvården, till exempel uppgifter i kvalitetsregister (se avsnitt 5.3.6.3) inte ska lämnas ut. Frågan om uppgifter kan läm- nas ut måste avgöras efter en skadeprövning från fall till fall, med beaktande av samtliga omständigheter. Om uppgifter lämnas ut från den allmänna hälso- och sjukvården till forskningsändamål följer det av 11 kap. 3 § OSL att hälso- och sjukvårdssekretessen blir tillämplig på uppgiften även hos den mottagande myndigheten. Om det finns en primär sekretessbestämmelse hos den mottagande myndigheten ska dock den gälla i första hand.
226 Lenberg E. m.f., Offentlighets- och sekretesslagen En kommentar (1 januari 2013, Zeteo), kommentaren till 25 kap. 1 §.
215
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Sekretess på grund av behandling i strid med personuppgiftslagen
En annan sekretessbestämmelse som aktualiseras oavsett från vilken myndighet forskare begär ut data är 21 kap. 7 § OSL. Bestämmel- sen har följande lydelse.
21 kap. 7 §
Sekretess gäller för personuppgift, om det kan antas att ett utläm- nande skulle medföra att uppgiften behandlas i strid med personupp- giftslagen.
Uttrycken personuppgift och behandling i bestämmelsen har samma innebörd som i PUL. Med personuppgifter avses således all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till skillnad från sekretessbestämmelser som gäller till skydd för ”uppgift om enskilds personliga förhållanden” kan sekretessen enligt denna paragraf således inte gälla till skydd för avlidna. Uttrycket ”behandling” definieras i 3 § PUL (se av- snitt 5.3.4.2).
Bestämmelsen är tillämplig hos sådana myndigheter som är person- uppgiftsansvariga eller som annars har tillgång till personuppgifter. Paragrafen innehåller ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i PUL. Om det är fråga om känsliga personuppgifter hänvisar PUL till etikprövningslagen. Det krävs således även att bestämmelserna i etikprövningslagen är uppfyllda för att sekretess inte ska gälla. Bestämmelsen innebär att den utläm- nande myndigheten måste undersöka hur uppgifterna kommer att behandlas hos den som har begärt ut dem, till exempel hos den forskningshuvudman som uppgifterna ska lämnas ut till.
Bestämmelsen har utsatts för kritik. Problemen med bestämmel- sen diskuteras bland annat i
227 SOU 2010:4 s. 320 ff. Se också JO:s yttranden dnr
216
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
ska behöva ta reda på vem som begär ut en uppgift eller ändamålet med begäran. Beträffande sekretessen i 21 kap. 7 § OSL har emeller- tid inte arten av den uppgift som begärs utlämnad direkt betydelse för prövningen av skaderekvisitet och därmed för frågan om när myndigheten får efterforska vad sökanden ska använda uppgifterna till. I stället är det avgörande för om en efterforskning bör göras om det på grund av någon omständighet kring sökandens begäran kan antas att sökande kommer att hantera uppgifterna på ett sätt som strider mot PUL. Kommittén konstaterar att sekretessbestäm- melsen i 21 kap. 7 § OSL inskränker den enskildes möjligheter att åberopa sin rätt enligt 2 kap. 14 § tredje stycket TF att inte behöva uppge sitt namn eller sitt syfte med att önska studera en viss hand- ling. För att offentlighetsprincipen ska kunna upprätthållas effektivt är det av vikt att den enskilde kan förbli anonym.
Kommittén framför vidare att bestämmelsen i 21 kap. 7 § OSL bryter mot systematiken i OSL genom att skaderekvisitet tar sikte på skada eller men som kan tänkas uppkomma på grund av att den som fått del av uppgiften kan komma att bryta mot bestämmelserna i PUL. Utgångspunkten är annars att skaderekvisiten tar sikte på skada eller men som kan uppkomma genom själva utlämnandet av upp- gifterna. Vidare har det framförts att den praktiska tillämpningen av bestämmelsen är problematisk. Den som ska tillämpa bestäm- melsen måste göra mer eller mindre väl underbyggda antaganden om avsikt och syfte hos den som begär att få ut uppgifter för vilka ingen sekretess råder i övrigt. En utlämnande myndighet tvingas göra antaganden om en ännu inte påbörjad behandling av person- uppgifter omfattas av PUL och om den i så fall kan tänkas strida mot lagens bestämmelser. Kommittén anför att detta inte bara öppnar för skönsmässiga bedömningar utan också strider mot huvudprin- cipen att offentlighetsprincipen förutsätter att myndigheten inte ska efterforska vem sökanden är eller hur han eller hon tänker använda uppgifter ur en allmän handling efter utlämnandet. Enligt kommittén har det från myndighetshåll påpekats att bestämmelsen är svår att tillämpa. Det är svårt att bedöma om PUL över huvud taget kommer bli tillämplig på den behandling som sökanden kan antas företa och bedöma hur en tillämpning av PUL skulle kunna tänkas utfalla i det enskilda fallet. Det anförs att många myndig- heter uppfattar denna prövning som komplicerad och att den ger utrymme för subjektiva bedömningar.
Trots att kommittén kunde instämma i den kritik som framförts mot bestämmelsen ansåg den inte att det var lämpligt att upphäva
217
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
bestämmelsen utan lämnade i stället förslag till förtydligande av sek- retessbestämmelsen i 21 kap. 7 § OSL.228
Räckvidden av bestämmelsen i 21 kap. 7 § OSL diskuteras även i VR:s rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning.229 Det anförs att en behandling av personuppgifter är i strid med PUL inte bara om den saknar laglig grund utan även om exempelvis informationskrav och säkerhetskrav inte uppfylls. Det kan därför diskuteras hur långt den utlämnande myndigheten ska orientera sig i forskarens verksamhet och dessa omfattande frågor, särskilt med tanke på att bestämmelsen innehåller ett rakt skaderekvisit. Det anförs att det finns olika uppfattningar bland de statistikansvariga myndigheterna i denna fråga.
5.6.3.6Sekretessbrytande bestämmelser
Som huvudregel gäller sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall där intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Ett antal sekretessbrytande bestäm- melser och undantag från sekretessen har därför införts i lagen. De flesta av dem är samlade i 10 kap. OSL. Även om sekretess gäller för en viss uppgift enligt någon annan bestämmelse i lagen får hand- lingen ändå lämnas ut om någon av bestämmelserna i 10 kap. OSL är tillämplig. Till exempel hindrar inte sekretess att en uppgift lämnas till en annan enskild eller till en myndighet om den enskilde sam- tycker till det (10 kap. 1 § OSL) eller om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § OSL).
Sekretessbrytande bestämmelser och undantag för forskningsändamål
Det finns inte någon allmän bestämmelse i OSL som medger undan- tag från sekretess för forskningsändamål. I förarbetena till den tidigare sekretesslagen diskuterades möjligheten att införa en särskild dispens- befogenhet för forskningsändamål.230 En sådan reglering ansågs
228SOU 2010:4 s. 333 f.
229Rättsliga förutsättningar för en databasinfrastruktur för forskning 11:2010 Vetenskaps- rådet s. 90.
230Prop.1979/80:2 Del A s. 347.
218
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
emellertid inte nödvändig. Det motiverades med att om den efter- frågade uppgiften är hemlig enligt en sekretessbestämmelse som inne- håller ett skaderekvisit torde skadeprövningen ofta kunna resultera i ett utlämnande av uppgiften. Är mottagaren en offentlig institution eller tjänsteman överförs sekretessen till institutionen (nuvarande 11 kap. 3 § OSL) och en enskild forskare kan åläggas tystnadsplikt (med stöd av nuvarande 10 kap. 14 § OSL). Vidare anfördes att forskningens behov kan tillgodoses genom särskilda föreskrifter och att forskningen i vissa fall får tillgång till uppgifter med stöd av den så kallade generalklausulen (nuvarande 10 kap. 27 § OSL). Det konstaterades också att forskningen i vissa fall kan få tillgång till uppgifter efter dispens från regeringen (enligt nuvarande 10 kap. 6 § OSL). Någon särskild dispensbefogenhet för forskningsända- mål ansågs därför inte behövas.
Här följer en genomgång av de sekretessbrytande bestämmelser och undantag som kan bli tillämpliga vid utlämnande av uppgifter för forskningsändamål.
Generalklausulen
Som anfört ovan gäller som huvudregel sekretess mellan myndig- heter (8 kap. 1 § OSL). För att inte oförutsedda hinder ska upp- komma i myndigheternas verksamhet har emellertid en generalklausul med följande lydelse införts.
10 kap. 27 §
Utöver vad som följer av 2, 3, 5 och
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 8 §, 25 kap.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av per- sonuppgiftslagen (1998:204).
Bestämmelsen medger att sekretessbelagda uppgifter lämnas till en annan myndighet om intresset av att uppgifterna lämnas har före- träde framför det intresse som sekretessen ska skydda. Det krävs dock att det är uppenbart att intresset av att en uppgift lämnas ut har företräde framför det intresse som sekretessen ska skydda för
219
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
att generalklausulen ska bli tillämplig. Bestämmelsen kan inte tilläm- pas vid alla typer av sekretess. Vissa områden, såsom hälso- och sjuk- vård och socialtjänst, är helt undantagna från bestämmelsens tillämp- ningsområde. Den kan inte heller tillämpas vid statistiksekretess en- ligt 24 kap. 8 § PUL. Enligt tredje stycket gäller bestämmelsen inte heller om utlämnandet strider mot lag eller förordning eller före- skrift som har meddelats med stöd av PUL.
Av förarbetena framgår att generalklausulen särskilt ger utrymme för informationsutbyte när det är fråga om myndigheter med samma sakliga behörighet men med skilda lokala kompetensområden eller myndigheter som har närbesläktade funktioner och som båda har rättslig befogenhet att direkt begära in de utväxlade uppgifterna.231 Av särskilt intresse för denna framställning är att det i förarbetena också anges att bestämmelsen är möjlig att tillämpa vid utlämnande av uppgifter till forskning.232
När det gäller bland annat generalklausulen anfördes det i för- arbetena att möjligheterna att utväxla uppgifter mellan myndig- heter får utnyttjas mer sparsamt och med större försiktighet om informationen inte är sekretesskyddad hos den mottagande myndig- heten. Detta gäller särskilt i fråga om uppgifter som är hemliga med hänsyn till enskilds intressen.233 Om en uppgift inte skyddas av sekretess hos den mottagande myndigheten kan risken för skada ska uppkomma vara så stor att uppgiften inte bör lämnas ut.234 Uppgifter som en enskild person har lämnat i förtroende kan det finnas särskild anledning att inte lämna ut.
Förbehåll
I 10 kap. 14 § OSL finns en regel som medger att uppgifter som omfattas av sekretess kan lämnas ut med så kallat förbehåll. Bestäm- melsen har följande lydelse.
10 kap. 14 §
Om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja
231Prop. 1979/80:2 Del A s. 326 f.
232Prop. 1979/80:2 Del A s. 347.
233Prop. 1979/80: 2 Del A s. 77.
234Prop. 1979/80: 2 Del A s. 91.
220
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde.
Att den tystnadsplikt som uppkommer genom ett sådant förbehåll som anges i första stycket inskränker den rätt att meddela och offent- liggöra uppgifter som följer av 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen följer av 13 kap. 5 § andra stycket.
Bestämmelsen ger myndigheten möjlighet att lämna ut uppgifter som är sekretessbelagda till en enskild, under förutsättning att den risk för skada, men eller annan olägenhet som hindar att uppgifter- na lämnas ut kan undanröjas genom att ett förbehåll uppställs vid utlämnandet. Ett förbehåll kan också ställas upp om den som upp- giften rör samtycker till att en sekretessbelagd uppgift lämnas ut under förutsättning av sådant förbehåll. Ett förbehåll får ställas upp endast om förbehållet behövs för att undanröja den skaderisk som annars skulle utgöra ett hinder mot utlämnande och om förbehållet, sammanvägt med andra omständigheter, är tillräckligt för att undan- röja risken. Förbehållet bör vara så preciserat att den enskilde kan bedöma hur han eller hon kan utnyttja de uppgifter som lämnas ut. Ett förbehåll kan till exempel gälla förbud mot vidarespridning av handlingens innehåll eller mot publicering av namn eller hemliga uppgifter ur handlingen.
Förbehållet innebär att den som tar emot uppgifterna har tyst- nadsplikt. Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikten bli aktuellt (20 kap. 3 § brottsbalken).
Bestämmelsen om förbehåll är endast tillämplig vid utlämnandet till enskild, inte till en annan myndighet. Förbehållet kan därmed inte rikta sig till en person som vill ta del av uppgifterna i egenskap av offentlig funktionär eller anställd vid en myndighet. Handlingar eller uppgifter som utlämnas till en myndighet omfattas i sådana fall i stället av den sekretess som gäller hos den myndigheten och i vissa fall av sekundär sekretess. I forskningssammanhang kan så- ledes förbehåll endast användas vid forskning som bedrivs av enskild huvudman.
221
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Dispensmöjligheter
I förarbetena till sekretesslagen anförs att det finns behov av undantag från sekretess i särskilda fall.235 De enskilda sekretess- bestämmelserna kan inte utformas så att varje tänkbart behov av utlämnande beaktas. Därför infördes en regel enligt vilken rege- ringen har möjlighet att i ett enskilt fall medge dispens från sekretess enligt vilken sekretessbestämmelse som helst. Bestämmelsen har följande lydelse.
10 kap. 6 §
Regeringen får för ett särskilt fall besluta att en sekretessbelagd uppgift i ett regeringsärende får lämnas ut. Regeringen får även i övrigt för ett särskilt fall besluta om undantag från sekretess, om det är motiverat av synnerliga skäl.
Om ingen annan sekretessbrytande bestämmelse är tillämplig kan det således bli aktuellt för den som begär ut uppgifter för forsknings- ändamål att ansöka om dispens hos regeringen. För att regeringen ska kunna medge dispens krävs det dock att det är påkallat av syn- nerliga skäl. Det framgår av förarbetena att det är fråga om en undan- tagsbestämmelse som ska användas med stor restriktivitet, åtminstone när enskilda intressen berörs.236 I förarbetena anges dock särskilt att bestämmelsen kan bli tillämplig vid utlämnande för särskilt angelägna forskningsändamål.237
Regeringen har enligt 10 kap. 7 § OSL möjlighet att förena ett beslut om dispens med förbehåll som inskränker mottagarens rätt att förfoga över uppgiften.
5.6.3.7Bestämmelser om skydd för enskild inom forskning och statistik
Enligt kommittédirektiven är det, för att bibehålla allmänhetens för- troende för forskningen, av stor vikt att regelverket tillgodoser den enskilda individens integritetsskydd. Det är i detta sammanhang av central betydelse att de uppgifter forskaren förfogar över omfattas av ett fungerande sekretesskydd. Här följer exempel på ett antal
235Prop. 1979/80:2 Del A s. 346.
236Ibid.
237Prop. 1979/80:2 Del A s. 347.
222
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
sekretessbestämmelser som kan bli aktuella vid olika sorters forsk- ning.
Uppgifter som rör enskildas hälsa eller sexualliv
Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en en- skilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs.
Som exempel på uppgifter som kan omfattas av bestämmelsen anges i förarbetena uppgifter om könsbyten, transsexualitet, HIV eller psykiska sjukdomar i vissa fall.238 Efter beaktande av omstän- digheterna i det enskilda fallet kan även mindre känsliga uppgifter än de som nämnts sekretessbeläggas med stöd av bestämmelsen. Be- dömningen påverkas av olika faktorer, såsom om den enskilde är underårig eller vuxen, i vilken verksamhet uppgiften finns och av vem eller under vilka förhållanden uppgiften begärs utlämnad. Prövning- en är vidare beroende av den enskildes egen inställning, till exempel om den enskilde själv har berättat i media att han eller hon har bytt kön.
Bestämmelsen är en primär sekretessbestämmelse och dess räck- vidd har inte begränsats till någon särskild verksamhet eller myndig- het. Den ska således tillämpas av alla myndigheter och andra organ som ska tillämpa OSL och medför ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn.239 I bestämmelsens andra stycke görs vissa undantag från sekretessen, till exempel vid en förhandling om tvångsmedel och i vissa typer av mål vid domstol.
Sekretess till skydd för enskild inom forskning och statistik
I 24 kap. OSL finns vissa sekretessbestämmelser särskilt till skydd för enskild inom forskning och statistik.
Enligt 24 kap. 1 § gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften
238Prop. 2005/06:161 s. 97.
239Prop. 2005/06:161 s. 31.
223
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
rör eller någon närstående till denne lider men. Alla slags uppgifter som hänför sig till sådana undersökningar kan vara föremål för sek- retess. Ett omvänt skaderekvisit gäller, det vill säga det råder en presumtion för sekretess.
I samband med att lagen (2013:794) om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa infördes i december 2013 infördes även en sekretessbestämmelse i 24 kap. 2 a § OSL. Enligt bestämmelsen gäller sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde. Sekretessen är således som huvud- regel absolut. Sekretessen hindrar dock inte att uppgift lämnas ut i den utsträckning som framgår av lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
I 24 kap. 4 § finns en bestämmelser om sekretess i den verksam- het som bedrivs av Institutet för språk och folkminnen (tidigare Språk- och folkminnesinstitutet; SOFI). Enligt bestämmelsen gäller sekretess för uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för veten- skapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs.
Sekretess gäller enligt 24 kap. 5 § OSL hos universitet och hög- skolor för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat som har lämnats eller kommit fram vid sådan forskning som efter överenskommelse bedrivs i sam- verkan med en enskild, om det måste antas att den enskilde har deltagit i samverkan under förutsättning att uppgiften inte röjs.
En viktig bestämmelse i forskningssammanhang är den så kallade statistiksekretessen i 24 kap. 8 § OSL. Bestämmelsen har behand- lats i avsnitt 5.6.3.5. Statistiksekretessen tar i första hand sikte på uppgifter som avser en enskilds personliga eller ekonomiska förhål- landen i sådan verksamhet som avser framställning av statistik. Enligt bestämmelsen har emellertid även myndigheter under regeringen möjlighet att sekretessbelägga uppgifter i andra jämförbara under- sökningar, om regeringen har föreskrivit det. Regeringen har med stöd av bestämmelsen meddelat föreskrifter om sekretess i 7 § OSF
224
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
avseende enskildas personliga eller ekonomiskas förhållanden hos vissa angivna myndigheter och utredningar. Bland annat föreskrivs sekretess för sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier på utbild- ningsanstalter och forskningsinrättningar.
Överföring av sekretess
I de fall det inte finns någon primär sekretessbestämmelse som är tillämplig på uppgifterna som behandlas i ett visst forskningsprojekt kan det finnas en sekretess som genom bestämmelsen om överföring av sekretess har förts över från den myndighet från vilken upp- gifterna är hämtad. Bestämmelser om överföring av sekretess finns i 11 kap. OSL. Överföring av sekretess i forskningsverksamhet reg- leras särskilt i 11 kap. 3 § OSL. Bestämmelsen har följande lydelse:
11 kap. 3 §
Får en myndighet i sin forskningsverksamhet från en annan myn- dighet en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämp- lig på uppgiften även hos den mottagande myndigheten.
Första stycket tillämpas inte på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Denna bestämmelse är central för sekretesskyddet för personupp- gifter i forskningssammanhang. Den innebär att en myndighet som i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet ska tillämpa samma sekretessbestämmelse på upp- giften som den utlämnande myndigheten. I de fall uppgifter har överlämnats från till exempel hälso- och sjukvården till en annan myndighet för dess forskningsverksamhet gäller således den starka hälso- och sjukvårdssekretessen även hos den mottagande myndig- heten. Det innebär också att den absoluta sekretess som gäller en- ligt 24 kap. 8 § OSL, statistiksekretessen, överförs till en motta- gande myndighet.
I de fall en uppgift för vilken överförd sekretess gäller begärs ut från den mottagande myndigheten, till exempel forskningshuvud- mannen som använder uppgiften i sin forskningsverksamhet, ska den mottagande myndigheten göra en självständig bedömning av om uppgiften omfattas av sekretess eller inte (2 kap. 14 § första stycket TF).
225
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
Paragrafens andra stycke innebär att den överförda sekretessen inte blir tillämplig på en uppgift som ingår i ett beslut hos den mot- tagande myndigheten.
Överföring av sekretess från register som förs med stöd av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa
I 24 kap. 2 b § OSL finns en särskild bestämmelse om överföring av sekretess när en myndighet får en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Sekretessen blir då tillämplig även hos den mottagande myn- digheten.
5.6.3.8Uppgiftsskyldighet mellan myndigheter
I 6 kap. 5 § OSL finns en bestämmelse om informationsskyldighet mellan myndigheter. Bestämmelsen har följande lydelse.
6 kap. 5 §
En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Den skyldighet som följer av bestämmelsen är mera vidsträckt än skyldigheten gentemot allmänheten som följer av TF. Skyldigheten gäller varje uppgift som myndigheten förfogar över, alltså inte bara uppgifter ur allmänna handlingar.
I de fall en myndighet begär ut en uppgift som är sekretess- belagd och en sekretessbrytande bestämmelse är tillämplig innebär den sekretessbrytande bestämmelsen i kombination med 6 kap. 5 § OSL att den myndighet som förfogar över uppgiften är skyldig att lämna ut den. I vilken form uppgifterna kan lämnas avgörs, om det är fråga om personuppgifter, av bestämmelserna i PUL.
Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheterna enligt 6 § förvalt- ningslagen (1986:223). Det har ifrågasatts om denna skyldighet står i strid med den så kallade finalitetsprincipen i dataskyddsdirektivet. Som nämns tidigare innebär denna princip att en personuppgift inte
226
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in. Offentlighets- och sekretesskom- mittén anförde emellertid i sitt huvudbetänkande att regering och riksdag redan vid PUL:s tillkomst tagit ställning till att bestämmel- sen i nuvarande 6 kap. 5 § OSL inte strider mot dataskyddsdirek- tivet.240 Enligt kommittén ska således ett utlämnande av uppgifter till en annan myndighet anses vara förenligt med finalitetsprincipen om utlämnandet är tillåtet enligt sekretesslagen. Kommittén ansåg dock att det skulle kunna uppstå en normkollision mellan 6 kap. 5 § OSL och en registerförfattning, om ändamålsregleringen i den senare författningen är utformad så att den utesluter en tillämpning av finalitetsprincipen. I en sådan situation får enligt kommittén ända- målsregleringen i registerförfattningen anses utgöra lex specialis i förhållande till 6 kap. 5 § och ett utlämnande av uppgifter i strid med ändamålsregleringen skulle därmed utgöra en otillåten behand- ling av uppgifterna. Enligt utredningen var det dock oklart om det fanns några registerförfattningar som på detta sätt uteslöt en tillämp- ning av finalitetsprincipen.
5.7Lagen om den officiella statistiken
5.7.1Inledning
Den officiella statistiken regleras genom lagen om den officiella statistiken, statistiklagen. Lagen kompletteras av förordningen (2001:100) om den officiella statistiken. Regeringen beslutar inom vilka områden det ska finnas officiell statistik och vilka myndigheter som ska ansvara för denna, så kallade statistikansvariga myndigheter (1 § andra stycket). Ansvaret för den officiella statistiken är fördelat på ett större antal statliga myndigheter. Vilka de statistikansvariga myndigheterna är och vilka ansvarsområden respektive myndighet har regleras i en bilaga till förordningen om den officiella statistiken. SCB är den dominerande statistikproducenten och svarar för en stor del av den officiella statistiken. Exempel på andra statistikansvariga myndigheter är Försäkringskassan, Socialstyrelsen och BRÅ.
240 SOU 2003:99 s. 231 ff.
227
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.7.2Utlämnande av uppgifter i vissa fall
I 16 § statistiklagen finns en bestämmelse som möjliggör för en statistikansvarig myndighet att i samband med ett utlämnande förse ett anonymiserat material med ett icke informationsbärande löp- nummer. Bestämmelsen har följande lydelse.
16 §
När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den sta- tistikansvariga myndigheten kan kopplas till personnummer eller mot- svarande för att göra det möjligt att senare komplettera uppgifterna. En sådan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.
Om en uppgift rättats, blockerats eller utplånats hos den statistik- ansvariga myndigheten skall myndigheten vidta de åtgärder som be- hövs för att uppgifterna skall kunna ändras hos den som uppgifterna lämnats ut till.
Bestämmelsen är avsedd att tillämpas vid longitudinella studier, det vill säga mätning av utvecklingen över tiden av en och samma förete- else, och sådana likartade studier.241 När en statistikansvarig myn- dighet lämnar ut anonymiserat material till sådana studier kan materialet förses med ett löpnummer. För att materialet ska kunna uppdateras vid ett senare tillfälle bevarar myndigheten en nyckel i form av en företeckning för att översätta löpnummer till personnum- mer. Förteckningen ska bevaras hos den utlämnande myndigheten och endast kunna användas för ett och samma material. Ett löp- nummerförfarande får endast tillämpas om uppgifterna ska användas för forskning eller statistik och det finns ett behov av att senare komplettera uppgifterna. De uppgifter som lämnas ut enligt 16 § första stycket får av den som uppgifterna lämnas ut till behandlas endast för forskning eller statistik (17 § statsitiklagen).
I förarbetena till bestämmelsen framhålls att myndigheten i varje enskilt fall ingående ska pröva om löpnummerförfarandet ska tillåtas med hänsyn till samtliga relevanta faktorer.242 Regeringen anför vidare att metoden ska kunna användas vid longitudinella och liknande studier så länge samhällets behov av studien är väl doku- menterat. Den ska endast tillåtas under förutsättning att sekretess-
241Prop. 2000/01:27 s. 52 f.
242Prop. 2000/01:27 s. 53 f.
228
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
och integritetsskyddet vidmakthålls på samma nivå som hos den ut- lämnande myndigheten. Om det kan ske utan påvisbara nackdelar ur kvalitetssynvinkel bör det utlämnade materialet bestå av ett urval av personer.
Den som har fått personuppgifter som avses i 16 § första stycket behöver inte lämna information till den registrerade om att upp- gifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter (18 § statistik- lagen).
Utformningen av bestämmelserna i
De uppgifter som lämnas ut enligt bestämmelsen får som angetts ovan endast användas för specifika statistik- och forskningsändamål. Avsikten med denna utformning är att säkerställa att uppgifterna blir omfattade av statistiksekretessen hos den mottagande myndig- heten.244 Det ankommer på den utlämnande myndigheten att bevaka att statistiksekretessen blir tillämplig hos mottagaren.
5.8Arkivlagen
5.8.1Inledning
Forskning som bedrivs i allmän regi styrs, liksom all annan offent- lig verksamhet, av offentlighetsprincipen. Principen medför, som beskrivits ovan, bland annat en rätt för allmänheten att ta del av allmänna handlingar. En förutsättning för att offentlighetsprincipen ska kunna utnyttjas är att handlingarna bevaras hos myndigheterna och en god offentlighetsstruktur. Redan bestämmelserna i TF kan sägas medföra en skyldighet att allmänna handlingar i princip ska bevaras, ordnas så att det går att hitta bland dem och vårdas så att
243Prop. 2000/01:27 s. 72 f.
244Prop. 2000/01:27 s. 73.
229
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
de inte skingras och förstörs.245 Enligt 2 kap. 18 § TF ska bestäm- melser om hur allmänna handlingar ska bevaras och om gallring av sådana handlingar meddelas i lag. Bestämmelser om myndigheter- nas skyldighet att bevara allmänna handlingar och på vilket sätt det ska ske finns i arkivlagen (1990:782), arkivförordningen (1991:446) och Riksarkivets föreskrifter
En förutsättning för registerbaserad forskning är att de person- uppgifter som samlats in dokumenteras och bevaras så att de kan återanvändas av andra. Som anges ovan är utgångspunkten att all- männa handlingar ska bevaras. Bevarandet av handlingar kan emel- lertid också, för dem vars uppgifter ska bevaras, ses som ett hot mot den personliga integriteten.
5.8.2Arkivens syfte
En myndighets arkiv bildas av allmänna handlingar från myndig- hetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF (minnesanteckningar) som myndigheten beslutar ska tas om hand för arkivering. Enligt 3 § arkivlagen ska myndigheternas arkiv som huvudregel bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov.
5.8.3Gallring
Enligt 10 § arkivlagen får allmänna handlingar gallras. Med gallring avses att en handling förstörs på ett eller annat sätt. Vid gallringen ska det dock beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Det följer av 14 § arkiv- förordningen att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Detta medför till exempel att universitet och högskolor i allmän regi som
245 Prop. 2001/02:70 s. 35.
230
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
bedriver forsking inte självständigt kan bestämma vilka handlingar som ska arkiveras utan måste följa det regelverk som gäller för arkivering och gallring.
Allmänna bestämmelser om gallring finns i Riksarkivets före- skrifter och allmänna råd om arkiv hos statliga myndigheter (RA- FS 1991:1, ändr.
En av de viktigaste föreskrifterna är
231
Rättsliga förutsättningar för registerbaserad forskning |
SOU 2014:45 |
5.8.4Riksarkivets föreskrifter för forskningsverksamhet
Riksarkivet har utfärdat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet.246 Före- skrifterna gäller oberoende av vid vilken myndighet forskningens bedrivs och oberoende av på vilka media handlingarna upprättats.
Av 6 § i föreskrifterna framgår att handlingar som innehåller grundläggande syfte, metod och resultat ska undantas från gallring. Vidare ska enligt 7 § handlingar som har ett fortsatt inomveten- skapligt värde eller värde för annat forskningsområde som bedöms vara av stort vetenskapshistoriskt, kulturhistoriskt eller person- historiskt värde eller som bedöms vara av stort allmänt intresse bevaras. Som exempel på sådana handlingar anges i bilagan till före- skrifterna handlingar som utgör särskilt omfattande primärmaterial, insamlat genom försök, mätningar, enkäter, intervjuer och så vidare, som är unikt eller som endast med stor möda kan återskapas. Här anges även register och databaser avseende data med särskilt hög täckningsgrad och kontrollerbarhet.
Enligt 8 § i föreskrifterna får ingen gallring verkställas förrän myndigheten prövat om handlingar ska undantas från gallring en- ligt 7 §.
5.8.5Arkivering av digitala handlingar
Långtidslagring av elektroniska handlingar ställer andra krav på myndigheterna än traditionella arkivmaterial. För att läsbarheten hos handlingarna ska bestå krävs att de framställs i material som tillåter överföring till nya databärare under bevarandetiden. Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar
All förstöring av allmänna handlingar och uppgifter i allmänna handlingar utgör gallring. Så är även fallet om data dessförinnan har förts över till en ny databärare om överföringen medför förlust av information eller sökmöjligheter. För gallring krävs stöd i lag, för- ordning eller myndighetsföreskrifter. Enligt 4 kap. 6 §
246 Riksarkivets föreskrifter (1999:1) och allmänna råd om gallring av handlingar i statliga myn- digheters forskningsverksamhet och föreskrifter om ändring av dessa föreskrifter (2002:1).
232
SOU 2014:45 |
Rättsliga förutsättningar för registerbaserad forskning |
får elektroniska handlingar inte gallras om det medför risk för in- formationsförlust i de handlingar som ska sparas.
5.8.6Förhållande till personuppgiftslagen
Det följer av 9 § PUL att en personuppgift inte får bevaras längre än nödvändigt med hänsyn till ändamålet för vilket personuppgifter- na samlades in. TF:s och arkivlagens bestämmelser har dock före- träde framför PUL:s bestämmelser. Enligt 8 § första stycket PUL ska bestämmelserna i PUL inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Det anges vidare i 8 § andra stycket PUL att be- stämmelserna i lagen inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Myndigheterna ska således i första hand tillämpa bestämmelserna om bevarande av allmänna handlingar enligt arkiv- lagen.
5.8.7Sekretess
I 11 kap. 6 § finns en särskild bestämmelse om överföring av sekretess när uppgifter överlämnas från en myndighet till en arkivmyndighet. Får en arkivmyndighet för arkivering från en annan myndighet en uppgift som är sekretessreglerad där blir sekretessbestämmelsen tillämplig på uppgiften även hos arkivmyndigheten.
233
6Integritet och registerbaserad forskning
I direktiven till utredningen anges att jag ska undersöka om det be- fintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet. Syftet med detta kapitel är att föra en principiell diskussion om enskilda indi- viders personliga integritet1 och hur den kan tänkas påverkas i sam- band med registerbaserad forskning.2 I kapitlen 8 och 9 ska jag åter- komma till några mer konkreta överväganden om vad som kan göras för att stärka skyddet av den personliga integriteten i forskningen.
Den statliga Integritetsskyddskommittén pekade i ett delbetän- kande från 2007 på en rad frågor som kan ställas för att belysa hur olika förslag påverkar integriteten:
Vilken art av integritetsförluster kan uppkomma, dvs. vilka slags för- luster rör det sig om; hur stor är risken för olika kategorier av medborga- re att råka ut för integritetsförluster; vilken omfattning kan skadorna väntas medföra; kan alla medborgare drabbas eller bara de som tillhör en viss grupp; vad kan de tillämpande myndigheterna respektive med- borgarna själva göra för att begränsa integritetsförlusterna; hur för- håller sig de beräknade förlusterna till andra integritetsförluster? 3
Integritetsskyddskommittén framhåller att det har ett ”betydande egenvärde att lagstiftaren noggrant, uppriktigt och med pedagogisk klarhet redovisar sina skäl och värderingar. I vårt land bjuder tradi- tionen att dessa överväganden redovisas i förarbetena till lagstift- ningen, i första hand i propositioner och utskottsbetänkanden men
1Här diskuteras personlig integritet, men i andra sammanhang kan man också tala om inte- gritet för t.ex. mindre företag. Begreppet integritet kan också användas i andra betydelser än det som åsyftas i detta kapitel.
2Ett viktigt underlag för kapitel har Joanna Stjernschantz Forsberg bistått med genom en rapport till utredningen, Om registerforskning och integritet. Jag vill också tacka Kjell Asplund, Göran Collste, Sven Ove Hansson, Erik Lempert, Elisabeth Rynning och
3SOU 2007:22 Del I s.451.
235
Integritet och registerbaserad forskning |
SOU 2014:45 |
också i det utredningsmaterial som föregår departementsbehand- lingen”.
Denna utredning är förhoppningsvis första steget i en sådan kedja som ska leda till proposition, utskottsbetänkande och så småningom riksdagsbeslut. Jag ska här redovisa en rad principiella övervägan- den om integritet vid registerbaserad forskning och hoppas därmed kunna bidra till den klarhet som Integritetsskyddskommittén efter- lyser. De frågor kommittén reser är en viktig utgångspunkt.
6.1Vad är integritet?
Den första frågan som finns skäl att ställa är vad som ska förstås med integritet.
Integritetsskyddskommittén, som arbetade
Ett skäl härtill är att det … är svårt för att inte säga omöjligt att komma fram till en entydig och allmänt accepterad definition av begreppet personlig integritet. Ett annat skäl är att man inte genom att bestämma innebörden av detta begrepp ens teoretiskt kan få svar också på frågan om vad det är som skall skyddas. Den sistnämnda frågan kan nämligen inte besvaras utan att man samtidigt bedömer omfattningen och tyng- den av de motstående legitima intressen som kan finnas, såsom intresset av offentlighet och brottsbekämpning.
Utformandet av ett integritetsskydd, i Sverige såväl som på andra håll, synes heller inte i praktiken har tagit sin utgångspunkt i en viss definition av begreppet integritet, utan arbetet har varit inriktat på att från fall till fall förbjuda sådana företeelser som inte ansetts försvarbara med hänsyn till dels den skada de skulle innebära för den personliga integriteten, dels den skada som ett upprätthållande av integriteten skulle åsamka andra beaktansvärda intressen. I rättsordningen har med andra ord den faktiska omfattningen av den skyddade personliga inte- griteten kommit att bestämmas inte genom sofistikerade definitioner utan genom summan av ett stort antal skyddsregler av mycket varie- rande slag. 4
4 SOU 2007:22 Del I s. 52.
236
SOU 2014:45 |
Integritet och registerbaserad forskning |
Några år tidigare skrev en annan utredning inom området, Integri- tetsutredningen, efter att ha gått igenom åtskillig svensk och utländsk litteratur på området följande:
… som en klar gemensam nämnare framstår i vart fall uppfattningen att begreppet personlig integritet innebär att alla människor har rätt till en personlig sfär där ett oönskat intrång, såväl fysiskt som psykiskt kan avvisas. De flesta människor har också en bestämd uppfattning om vad personlig integritet innebär för deras egen del och de uttrycker detta mestadels på motsvarande sätt som nyss nämnts. Men uppfattningen om storleken på den privata sfären kan variera kraftigt mellan olika människor beroende framför allt på deras kulturella, etniska, religiösa och sociala bakgrund. Omfånget av den personliga sfären uppfattas inte heller som statiskt, inte ens för den egna individen, utan kan för- ändras med hänsyn till bl.a. vunna erfarenheter och den aktuella situa- tionen. 5
Integritetsskyddskommittén redovisar också visst material som togs fram vid en nordisk konferens år 1967 i Internationella juristkom- missionens regi.6 Resultatet vid konferensen blev en resolution som vunnit internationell uppmärksamhet. Enligt den innebär rätten till privatliv i allmänhet en rätt för individen att leva sitt eget liv med ett minimum av inblandning från myndigheter, allmänhet och andra individer. Kommittén refererar en underlagsrapport till konferensen som hade författats av professor Stig Strömholm. Strömholm konsta- terar att jurister ofta har resignerat inför uppgiften att ge en positiv bestämning av integritetsbegreppet. I stället har man valt att göra för- teckningar över de handlingar som kan anses utgöra integritetskränk- ningar. Enligt Strömholm kan kränkningarna indelas i tre huvud- grupper: 1) intrång i en persons privata förhållanden, 2) insamlande av uppgifter om en persons privata förhållanden och 3) offentlig- görande eller annat utnyttjande av material om en persons privata för- hållanden. Mer konkret kräver, enligt Strömholm, följande grupper av handlingar beaktande:
1.tillträde till och genomsökande av privata lokaler eller annan egen- dom,
2.kroppsundersökning,
3.medicinska undersökningar, psykologiska tester osv.,
5SOU 2002:18 s. 53.
6SOU 2007:22 Del I s.
237
Integritet och registerbaserad forskning |
SOU 2014:45 |
4.intrång i en persons privata sfär genom skuggning, spionerande, telefonterror o.d.,
5.ofredande genom företrädare för massmedierna, till exempel i form av ”snokreportage”, men även påträngande och brutala inter- vjuer av olycksoffer, dessas anhöriga eller eljest personer, som har svårt att värja sig,
6.olovlig ljudupptagning, fotografering eller filmupptagning,
7.brytande av brevhemlighet,
8.telefonavlyssning,
9.utnyttjande av elektronisk avlyssningsapparatur,
10.spridande av förtroliga uppgifter (till exempel genom advokater, läkare, själasörjare),
11.avslöjande inför offentligheten av annans privata förhållanden,
12.olika former av utnyttjande av annans namn, bild eller liknande identifieringsmedel,
13.missbruk av annans ord eller meddelanden (exempelvis genom förvrängda eller helt uppdiktade intervjuer),
14.angrepp på annans heder och ära.
Ytterligare en aspekt på integritetsbegreppet lyfts fram av Integri- tetsskyddskommittén med referens till fil. dr. Ludvig Beckman.7 Han har pekat på ”den personliga integritetens paradox”.8 Personlig integritet kan enligt Beckman syfta inte bara på skyddet för privatlivet, utan handlar också om respekten för individen som en individ med förmåga att fatta egna och självständiga beslut. I vilka fall kan det vara acceptabelt att individen tillåts fatta självständiga beslut som kan tänkas kränka privatlivet? Beckman nämner ett par typfall där sådana frågor måste ställas: den som frivilligt går upp i en boxningsring eller prostituerar sig. Jag avstår i detta sammanhang från synpunkter på den fria viljan i olika
7Beckman är numera professor vid statsvetenskapliga institutionen vid Stockholms univer- sitet.
8SOU 2007:22 Del I s.62.
238
SOU 2014:45 |
Integritet och registerbaserad forskning |
beslutssituationer. Men denna integritetens paradox är inte ointressant när jag senare kommer in på forskning och integritet.9
Som framgår av Strömholms ”kränkningsförteckning” spänner integritetsfrågorna över vitt skilda områden. I den allmänna debatten aktualiseras integritetsaspekter i diskussioner om alltifrån kropps- undersökningar till kameraövervakning och telefonavlyssning, alltifrån registrering i samband med att man använder betalkort och internet- vanor till direktreklam – och, som är i fokus i detta kapitel, forsk- ning. Visserligen kan det sägas finnas en gemensam kärna, intresset av att skydda individers privata sfär, men det finns också många olik- heter. När samma begrepp återkommer i de olika kontexterna innebär det en risk för att dessa olikheter inte tillräckligt beaktas.
Jämför exempelvis telefonavlyssning med rapportering av upp- gifter till cancerregistret. Då det gäller telefonavlyssning vet indivi- den inte om att den sker, syftet är att få fram information som ska kunna användas mot personen i fråga. Att uppgifter om cancerpatien- ter rapporteras till cancerregistret hålls inte hemligt för patienterna, öppen information finns tillgänglig om vad som rapporteras och uppgifterna ska snarast användas för att hjälpa den enskilde och andra som drabbas av samma sjukdom.
Integritetsskyddskommittén valde att avgränsa sin behandling av integriteten till vad den kallar den personliga integriteten i ideell mening, alltså inte fysiska kränkningar av olika slag. Den avgräns- ningen ter sig naturlig också vid en granskning av integritetsfrågor- na i anslutning till registerforskning. Det är alltså information om den enskilde som är i blickpunkten för diskussionen. Kommittén ställde sig följande frågor:10
•Hur skyddas enskilda personer mot olovlig insamling av upp- gifter om deras privata förhållanden och hur avgränsas ”lovligt” uppgiftsinsamlande …?
•Hur skyddas enskilda personer mot olovligt offentliggörande eller annan negativ användning av uppgifter om deras privata för- hållanden och hur avgränsas vad som i detta sammanhang är ”lovligt” …?
9Beckman, L., Staten måste agera på etikens slagfält, Axess juni 2005, refererad i Skyddet för den personliga integriteten. Kartläggning och analys. SOU 2007:22 I:62; en liknande diskus- sion förs i Hansson, MG, Integritet, Carlssons 2006.
10SOU 2007:22 Del I s. 64.
239
Integritet och registerbaserad forskning |
SOU 2014:45 |
•Hur regleras skyddet mot intrång i någon enskilds privata sfär … där syftet är att inhämta information om den enskilde, och hur avgränsas sådana ”lovliga” intrång?
•Hur skyddas identifieringsdata som namn, bild och liknande?
Jag kommer i det följande att utgå från den pragmatiska syn på inte- gritet som Integritetsskyddskommittén intog och de frågor som den belyste i sitt delbetänkande.
6.2Rättsligt skydd för personlig integritet
Jag har i kapitel 5 redovisat de rättsliga förutsättningarna för att behandla personuppgifter i allmänhet och inom forskning i synner- het. Det framgår att det finns en rad bestämmelser som syftar till att skydda enskilda individers integritet.
Regeringsformen (RF) fick den 1 januari 2011 en ny bestämmelse i 2 kap. 6 § som innebär att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet måste enligt 2 kap. 20 § första stycket RF göras genom lag.11 Det har bedömts att grundlagsändringen kan komma att med- föra att viss personuppgiftsbehandling som för närvarande regleras i förordningar i framtiden kan behöva regleras i lag.
I personuppgiftslagen (PUL) preciseras villkoren för att få samla in och använda personuppgifter. PUL, som är subsidiär, komplette- ras av lagar och förordningar som reglerar personuppgiftsbehandling inom särskilda områden, till exempel patientdatalagen och polisdata- lagen. Ytterst styrs möjligheterna att behandla personuppgifter av EU:s dataskyddsdirektiv. Personuppgifter får bara behandlas om det finns lagligt stöd för behandlingen, får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandlas för något ändamål som är oförenligt med detta. Fler uppgifter får inte behandlas än vad som är nödvändigt med hänsyn tilländamålet med behandlingen. Personuppgifter får behandlas bara om den re- gistrerade har lämnat sitt samtycke till behandlingen eller om be-
11 Se avsnitt 5.3.1.
240
SOU 2014:45 |
Integritet och registerbaserad forskning |
handlingen är nödvändig för vissa angivna syften, till exempel för att en arbetsuppgift av allmänt intresse ska kunna utföras.12
För känsliga personuppgifter gäller dessutom att behandling är förbjuden om den inte omfattas av undantagen i PUL som tillåter behandling eller är tillåten enligt annan lag eller förordning.13
Enligt tryckfrihetsförordningen (TF) har varje svensk medbor- gare, i praktiken alla Sveriges invånare, till främjande av ett fritt meningsutbyte och allsidig upplysning rätt att ta del av allmänna handlingar. Det är den så kallade offentlighetsprincipen. Men av TF framgår också att denna rätt får begränsas om det är påkallat med hänsyn till bland annat skyddet för enskilds personliga och ekono- miska förhållanden. Uppgifter om enskilda kan omfattas av olika grader av sekretess vilket regleras närmare i offentlighets- och sekre- tesslagen (OSL).14
Naturligtvis kan en enskild person uppfatta det som en integritets- kränkning redan att någon har tillgång till dennas känsliga person- uppgifter, men att så är fallet är en ofrånkomlig följd av att myn- digheter ofta behöver sådana uppgifter för att kunna fullgöra sina uppgifter. Jag har redovisat en rad skäl för varför myndigheter be- handlar personuppgifter, till exempel för administrativa ändamål, för att få underlag för officiell statistik och för utvärdering, uppföljning och kvalitetssäkring inom till exempel hälso- och sjukvården.15 Eftersom behandling av personuppgifter, även känsliga sådana, är nödvändig för vissa ändamål blir regler om sekretess och andra skyddsåtgärder särskilt viktiga när det handlar om att skydda den enskildes integritet.
6.3Rättslig grund för myndighetsregister
Regeringen har i propositionen om PUL uttalat att målet är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.16 Myndigheters person- uppgiftshantering regleras således i allmänhet i särskilda register- författningar, beslutade av riksdagen eller regeringen. Som tidigare
12Se avsnitt 5.3.4.7.
13Se avsnitt 5.3.4.8.
14Se avsnitt 5.6.3.1.
15Se avsnitt 3.3.
16Prop. 1997/98:44 s. 41.
241
Integritet och registerbaserad forskning |
SOU 2014:45 |
framgått finns det över hundra register med personuppgifter som regleras i sådana författningar.17
Låt mig exemplifiera med en sådan registerförfattning, som ger grund för behandling av personuppgifter med ett tydligt admini- strativt syfte, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Personuppgifter får enligt 1 kap. 4 § behandlas för tillhandahållande av information som be- hövs för
1.samordnad behandling, kontroll och analys av identifieringsupp- gifter för fysiska personer och av andra folkbokföringsuppgifter,
2.handläggning av folkbokföringsärenden,
3.fullgörande av underrättelseskyldighet enligt lag eller förordning,
4.framställning av personbevis och andra registerutdrag,
5.aktualisering, komplettering och kontroll av personuppgifter,
6.uttag av urval av personuppgifter, och
7.tillsyn, kontroll, uppföljning och planering av folkbokförings- verksamheten.
För dessa ändamål får ett antal uppgifter samlas i ett register som kallas personuppgiftsdatabasen:
1.person- eller samordningsnummer,
2.namn,
3.födelsetid,
4.födelsehemort,
5.födelseort,
6.adress,
7.folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, distrikt och folkbokföring under särskild rubrik,
8.medborgarskap,
9.civilstånd,
10.make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen,
17 Se avsnitt 3.5.1.
242
SOU 2014:45 |
Integritet och registerbaserad forskning |
11.samband enligt 10 som är grundat på adoption, 12.inflyttning från utlandet,
13.avregistrering enligt
16.personnummer som personen har tilldelats i ett annat nordiskt land, och
17.uppehållsrätt för en person som är folkbokförd.
Det är uppenbart att dessa uppgifter behövs hos Skatteverket för att hålla reda på vilka som bor i Sverige och vilka som är svenska med- borgare. Vissa av dessa uppgifter kan av enskilda upplevas som käns- liga, men riksdagen har likväl funnit att det är viktigt att de finns registrerade. En avvägning har alltså skett mellan olika intressen. Motsvarande förhållanden gäller för andra administrativa register.
Ett annat ändamål med myndighetsregister är att tillhandahålla uppgifter som kan utgöra underlag för statistik. Statistik är en mycket viktig informationskälla i en demokrati och tillgången till statistik kan ses som en rättighet för alla medborgare. Den officiella statisti- ken ger en övergripande bild av samhället och ökar medborgarnas möjlighet till insyn. Statistiken används också som grund för politiska beslut, för den allmänna debatten, för forskning, för utvärdering med mera.18 Den officiella statistiken har en särställning bland den statistik som tas fram av myndigheter. Den regleras i en särskild lag, lagen om den officiella statistiken.19 Den officiella statistiken är till- gänglig för allmänheten, till exempel på nätet.20 Det har uppdragits åt 27 statistikansvariga myndigheter, av vilka Statistiska centralbyrån (SCB) har de mest omfattande uppgifterna, att ansvara för denna. Vilka myndigheter som ska vara ansvariga för officiell statistik, och inom vilka ämnesområden det ska finnas officiell statistik, beslutas av regeringen.21
Den absoluta merparten av underlaget för den officiella statisti- ken hämtas ur administrativa register, såsom Skatteverkets folkbok- föringsdatabas, men i vissa fall samlas uppgifterna för statistiska
18SOU 2012:83 s. 102.
19Se avsnitt 5.7.
20www.scb.se.
21Några av den officiella statistikens ämnesområden redovisas i avsnitt 3.5.2.
243
Integritet och registerbaserad forskning |
SOU 2014:45 |
ändamål in direkt från enskilda och företag.22 För den ekonomiska statistiken samlas en hel del uppgifter in från företag och kommu- ner. Dessa är enligt lagen om officiell statistik skyldiga att lämna uppgifter (uppgiftsskyldighet). Från enskilda samlas uppgifter in till bland annat SCB:s arbetskraftsundersökningar (AKU) och undersök- ningar om levnadsförhållanden (ULF). De vänder sig till ett urval av den svenska befolkningen och deltagandet är frivilligt.23
För att statistiken ska bli pålitlig och verkligen ge en sann bild av förhållandena i samhället är det angeläget att den bygger på upp- gifter om hela befolkningen eller på representativa urval. Genom att i hög grad använda uppgifterna från administrativa register kan det målet säkrare nås. Dessa omfattar i regel hela, eller hela den berörda delen, av befolkningen. När det gäller statistik som baseras på urvalsundersökningar finns ett problem med bortfall.24
Åter andra register skapas för att fullgöra uppgifter som anges i hälso- och sjukvårdslagen. Av den framgår att kvaliteten i verk- samheten systematiskt och fortlöpande ska utvecklas och säkras. Landstingen och kommunerna ska också medverka vid finansiering, planering och genomförande av klinisk och folkhälsovetenskaplig forskning.25 För att understödja detta arbete förs olika register med uppgifter om patienter.
I de så kallade hälsodataregistren, som förs av Socialstyrelsen, är deltagandet obligatoriskt, men uppgifterna till registren tillhanda- hålls av vårdgivarna och inte av de enskilda patienterna. Hälsodata- registren skapas med stöd av hälsodatalagen samt av regeringen utfärdade förordningar för varje register.26 Det har, med hänsyn till att uppgiftslämnandet är obligatoriskt, ifrågasatts om denna lagkon- struktion är förenlig med den nya lydelsen i RF. Frågan övervägs för närvarande inom Regeringskansliet.
I nationella och regionala kvalitetsregister är deltagandet däremot frivilligt. I dessa fall samlas uppgifter normalt in vid patientbesök i hälso- och sjukvården. Uppgifterna registreras utan den enskildes uttryckliga samtycke, men den enskilde har rätt att motsätta sig re- gistrering med följd att uppgifter om honom eller henne inte får
22SOU 2012:83 s. 151.
23Tidigare förelåg i ett sammanhang uppgiftsskyldighet för enskilda hushåll i Sverige, nämligen vid folk- och bostadsräkningarna (FoB). Varje FoB grundade sig på en lag. Den sista FoB:en genomfördes 1990. Numera hämtas motsvarande uppgifter från register. Det kan nämnas att Statistisk Sentralbyrå i Norge har möjlighet att föreskriva om uppgiftsskyldighet också för enskilda. Det har man gjort i ett fall, när det gäller arbetskraftsundersökningarna.
24Se avsnitt 4.3, även avsnitt 8.3.2.
25Hälso- och sjukvårdslag (1982:763), 26 §
26Se avsnitt 5.3.6.2.
244
SOU 2014:45 |
Integritet och registerbaserad forskning |
registreras, eller, om så redan har skett, ska utplånas (så kallad optout- modell).27 När det gäller biobanker ska patienterna informeras om att de kan samtycka till att prover sparas för deras framtida vård, för kvalitetssäkring inom hälso- och sjukvården och för forskning, eller att proverna kan sparas med restriktioner vad gäller använd- ningen, eller att de ska förstöras. De bör också informeras om att de vid ett samtycke nu har möjligheter när som helst dra tillbaka detta.28 Erfarenhetsmässigt är det bara en liten minoritet som har några erinringar mot att uppgifter/prover sparas och används.29
6.4Alla har rätt att få ut uppgifter som gäller dem själva
Den enskilde har rätt att från registerhållare begära ett så kallat re- gisterutdrag. I det ska den personuppgiftsansvarige ge information om vilka uppgifter som finns registrerade, varifrån uppgifterna har hämtats, ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnats ut. En begäran om registerutdrag måste göras skriftligen. På begäran av den registre- rade är den personuppgiftsansvarige skyldig att snarast rätta, blocke- ra eller utplåna sådana personuppgifter som inte har behandlats i enlighet med PUL. Enligt PUL är den personuppgiftsansvarige också skyldig att ersätta den registrerade för skada eller kränkning av den personliga integriteten som en behandling av personupp- gifter i strid med PUL har orsakat.30
6.5Integritetskränkningar genom spridning av uppgifter m.m.
En av de frågor Integritetsskyddskommittén menar att man bör ställa är hur de eventuella integritetsförlusterna i en verksamhet för- håller sig till andra integritetsförluster. Innan jag går närmare in på
27Prop. 2012/13:163, s 13.
28Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2002:11) om biobanker i hälso- och sjukvården m.m. 4 kap. 3 §.
29Hansson, MG., Where should we draw the line between quality of care and other ethical concerns related to medical registries and biobanks?, Theor Med Biotech (2012)
30Se avsnitt
245
Integritet och registerbaserad forskning |
SOU 2014:45 |
frågorna kring integritet och registerforskning kan det därför finnas skäl att kort påminna om vissa andra företeelser i samhället.
Som framgått innebär sekretessreglerna en begränsning av offent- lighetsprincipen. Men det finns uppgifter om enskilda som inte skyd- das av sekretess. Det gäller till exempel uppgifter om tilltalade i domar från våra domstolar. Våren 2014 fick företaget Lexbase stor medial uppmärksamhet.31 Företaget hade begärt ut ett stort antal domar och gjorde dem lätt tillgängliga på nätet. Många reagerade mot det sätt på vilket Lexbase spred uppgifter på nätet och inom en dryg vecka hade närmare 250 anmälningar inkommit till Justitie- kanslern.32 Justitiekanslern har emellertid inte funnit skäl att väcka åtal. Datainspektionens generaldirektör konstaterade i en tidnings- artikel att inspektionen inte hade möjligheter att ingripa eftersom Lexbase hade grundlagsskydd genom ett så kallat frivilligt utgivnings- bevis.33 På webbsidan annonseras att ”med Lexbase sökverktyg undersöker du huruvida en person eller ett företag förekommer i databasen, det vill säga om personen eller företaget varit inblandat i brottsmål eller tvistemål”.34 Och Lexbase är inte unikt. Det finns andra databaser som tillhandahåller en liknande service (Infotorg Juridik, Lex Press, Norstedts Juridik, JP Infonet).35
Det finns en lång rad företeelser i samhället som på olika sätt kan hota den personliga integriteten. Aktiviteter på Internet –
31Skriverierna började i Dagens Nyheter
32”Svårt för JK att väcka åtal mot Lexbase”, DN
33Svahn Starrsjö, K. Grundlagen missbrukas och måste ändras snarast, Dagens Nyheter
34Lexbase.se
35Kindbom, M.
246
SOU 2014:45 |
Integritet och registerbaserad forskning |
givare, försäkringsbolag och statliga organ. Med utvecklad teknik är det möjligt att i detalj registrera fordons förflyttningar, förarens körstil och varjehanda händelser. Alla dessa data ger möjligheter till detaljerade kartläggningar av individernas kommunikation och för- flyttningar, eventuellt också av vanor och personligheter. Det finns också en ökad efterfrågan på tjänster som på olika sätt tillåter använ- dare av nättjänster att uppträda under falsk identitet eller anonymt.36 Under anonymitetens täckmantel kan till exempel uppgifter om andra spridas. Många av de uppgifter om oss som samlas in förutsätter for- mellt samtycke, men de flesta torde vara omedvetna om att de har gett ett sådant, till exempel när ett abonnemang tecknas med en leve- rantör.
Vi riskerar ständigt att hamna på bild och få uppleva att bilderna sprids på nätet. Visserligen finns det många människor som alldeles frivilligt berättar på Facebook om varje steg de tar, men självfallet kan spridning av uppgifter av detta slag av många andra upplevas som integritetskränkande. I en opinionsundersökning som SCB 2006 gjorde på uppdrag av Integritetsskyddskommittén menade en stor majoritet att företag och privatpersoner kränkte andra människors integritet genom kartläggning av köpvanor, påträngande marknads- föring och smygfotografering.37
Att den tekniska utvecklingen rymmer stora risker för den per- sonliga integriteten är naturligtvis inget argument för minskat inte- gritetsskydd vid forskning. Men för att rätt kunna värdera de risker som kan vara förknippade med forskning är det viktigt att se dem i relation till utvecklingen i andra avseenden.
6.6Registerbaserad forskning
Som framgår av utredningsdirektiven avses med registerbaserad forsk- ning i detta sammanhang såväl sekundäranvändning av uppgifter som primärt samlats in för andra ändamål som användning av upp- gifter och prover i en forskningsdatabas som har skapats för forsk- ningsändamål. Uppgifter i myndighetsregister som har samlats in med primärt andra ändamål än forskning kan som jag tidigare har redovisat vara till stor nytta även i forskningen. Många forsknings- frågor kan genom användning av registeruppgifter belysas och analy-
36SOU 2007:22 Del I s.
37SOU 2007:22, Del II bilaga.
247
Integritet och registerbaserad forskning |
SOU 2014:45 |
seras med betydligt större säkerhet och till lägre kostnader än om andra metoder hade använts.38
Denna insikt kommer på olika sätt till uttryck också i lagstift- ningen. I PUL konstateras visserligen att personuppgifter som sam- lats in för ett ändamål inte får användas för något ändamål som är oförenligt med detta, men samtidigt slås fast att behandling av upp- gifterna för vetenskapliga ändamål inte anses som oförenligt med det ursprungliga ändamålet.39 I OSL sägs att även uppgifter som omfattas av statistiksekretess (absolut sekretess) får lämnas ut för forskningsändamål om det står klart att det kan ske utan skada eller men för den enskilde.40 I hälsodatalagen, som reglerar hälsodata- registren, i patientdatalagen, som reglerar kvalitetsregistren, och i bio- bankslagen, som reglerar biobankerna hos sjukvårdshuvudmännen, nämns också forskning som ett av de tänkta ändamålen med upp- gifts- och provsamlingarna.
Alla uppgifter som en forskare kan behöva finns dock inte i register eller biobanker. Då tvingas de själva samla in de nödvändiga uppgifterna eller proverna. I regel måste det då ske från ett urval av den aktuella populationen. Deltagandet är i dessa fall alltid frivilligt. Ingen tvingas svara på frågor från eller lämna prover till en forskare.
De uppgifter som forskare samlar in, såväl från myndighets- register som direkt från uppgiftslämnare, är delvis av känslig natur. I PUL pekas vissa kategorier av uppgifter ut som är känsliga. Men det är självklart att den enskilde kan uppleva även många andra uppgifter som lika känsliga, till exempel om vilka resultat de har upp- nått i skolan.41 Samtidigt låter sig många samhälls- och individuella processer, till exempel utvecklingen av hälsa, endast förstås om det är möjligt att observera och analysera uppgifter på individnivå. För att kunna förstå hur förhållanden vid en tidpunkt påverkar villkoren senare i livet är det nödvändigt att kunna koppla samman uppgifter om enskilda individer från olika tidsperioder i deras liv.42
38Se kap 4.
39Se avsnitt 5.3.4.6.
40Se avsnitt 5.6.3.5.
41Hälsodata anses också av människor i allmänhet som känsliga enligt den opinionsunder- sökning som SCB gjorde på uppdrag av Integritetsskyddskommittén. Nästan 60 procent av de svarande instämde i detta. Enligt PUL är också fackföreningstillhörighet en känslig upp- gift. Här har dock de svarande en helt annan värdering. Endast 11 procent ansåg att det var en mycket känslig uppgift medan 70 procent ansåg att den inte var särskilt känslig eller inte alls känslig. En uppgift som enligt PUL inte är känslig är betygen i skolan. Det ansåg dock nästan 40 procent av de svarande vara en känslig uppgift. Majoriteten tyckte dock inte att det var särskilt känsligt. SOU 2007:22 Del II bilaga.
42Erikson, R. och
248
SOU 2014:45 |
Integritet och registerbaserad forskning |
Ibland ställs forskares intresse av data mot individernas intresse av att skydda sin integritet. Men forskarnas och individernas intressen kan också i hög grad sammanfalla. Att förstå mer om sjukdomars uppkomst och utveckling, och att kunna hitta medel som kan lindra eller bota, ligger självfallet inte främst i forskarnas intresse, utan i hela samhällets och de enskilda människornas. Det gäller dem som redan har drabbats av sjukdomar – det är ingen tillfällighet att patient- organisationer ofta är varma anhängare av forskning och också av användningen av känsliga hälsodata43 – men också alla andra efter- som ingen av oss vet vem som i framtiden kan komma att drabbas av olika sjukdomar och behöva hjälp. Att forskningen ska kunna bidra till att utveckla hälso- och sjukvården är dessutom inte bara en framtidsdröm, det har i mycket hög grad redan skett och sker varje dag.
De flesta vill, den dag behovet finns, kunna få del av medicinska framsteg. Man kan således konstatera att det här möjligen kan råda en konflikt, eller i varje fall en spänning, mellan individers olika önskningar, att få del av medicinska framsteg och att skydda inte- gritetskänsliga uppgifter. Jag menar att det ligger i allas intresse att forskningen underlättas och det kan till och med ses som en moralisk förpliktelse att bidra till det, i synnerhet om bidraget är förenat med en mycket ringa personlig uppoffring eller risk, till exempel när det endast handlar om återanvändning av uppgifter eller prover som redan har samlats in. Sambandet är tydligt på det medicinska området, men samma sak gäller för forskning som syftar till ökad förståelse för samhällsutvecklingen i stort och vilka interventioner som eventuellt kan bidra till människors ökade välfärd.
6.7Risker med myndighetsregister
Integritetsskyddskommittén menade att man i en utredning bör ställa sig frågor om vilken art av integritetsförluster som kan uppkomma, hur stor risken är att medborgare kan råka ut för integritetsförluster och vilken omfattning eventuella skador kan väntas medföra. Jag ska i detta och nästa avsnitt diskutera detta, i detta när det gäller behandling av personuppgifter hos myndigheter och i nästa när det gäller behandling av personuppgifter vid registerbaserad forskning.
43 Det tar sig konkret uttryck i att många patientorganisationer har egna forskningsfonder för att finansiera främst medicinsk forskning.
249
Integritet och registerbaserad forskning |
SOU 2014:45 |
De personuppgifter som myndigheter samlar in syftar ofta till att få en tydlig bild av befolkningen, till exempel genom den person- uppgiftsdatabas som jag tidigare har redovisat, men i många fall an- vänds de också som underlag för myndighetsutövning, det vill säga som grund för beslut som berör enskilda. Exempelvis kan Skatte- verket avgöra vilka yrkanden i självdeklarationen från enskilda som ska godkännas och inte, vilken den beskattningsbara inkomsten och den pensionsgrundande inkomsten är och hur mycket skatt som ska betalas. Försäkringskassan kan besluta om rätten till förmåner och hur stora de ska vara. Mycket i myndighetsutövningen följer naturligtvis entydiga regler, men i vissa fall blir det också fråga om bedömningar. Exempelvis måste Försäkringskassan bedöma vilka individer med allvarliga funktionsnedsättningar som har respektive inte har rätt till personlig assistans. För att kunna besluta om det måste de ha tillgång en rad känsliga personuppgifter om enskilda.44
Av den allmänna debatten framgår att det finns många som känner obehag inför myndigheters potentiella användning av känsliga personuppgifter för att i ett eller annat avseende ”komma åt” en- skilda. ”Storebror ser dig” och ”övervakningssamhället” är metaforer som har använts.45 Integritetsskyddskommitténs ordförande Olle Abrahamsson gav i en rapport till utredningen en rad exempel på detta från de senaste decenniernas samhällsdebatt.46 I den tidigare nämnda opinionsundersökningen som gjordes på uppdrag av Inte- gritetsskyddskommittén ansåg närmare 60 procent att det kan vara kränkande redan att insamlande myndigheters personal kan ta del av uppgifterna. Men samtidigt upplever den stora majoriteten att svenska myndigheter uppträder korrekt. 85 procent uppgav att de aldrig upplevt att deras eller deras familjers integritet har blivit kränkt av något beslut som en myndighet har fattat. Nio procent uppgav dock att det har hänt en gång och sex procent att det har hänt flera gånger. Vari kränkningarna bestod framgår inte av undersökningen.47
Den största risken som människor upplever är dock att informa- tion om den enskilde ska komma ut från myndigheten och hamna i ”orätta händer”, hos individer som kan utsätta den enskilde för miss-
44Försäkringskassans formulär som ska fyllas i vid ansökan om assistansersättning är ungefär
40sidor där en rad personliga uppgifter ska lämnas. Det handlar om en mycket detaljerad kartläggning av den enskilde.
45Uttrycket ”Storebror ser dig” har sitt ursprung i George Orwells välkända roman 1984. Övervakningssamhället finns med i till exempel Kristoffer Gunnartz bok ”Välkommen till övervakningssamhället” från 2007 och Pär Ströms ”Vadå privatliv? – Om det framväxande övervakningssamhället” från 2013.
46Abrahamsson, O., Integritetsskyddet i samhällsdebatten, Appendix till SOU 2007:22.
47SOU 2007:22 Del II bilaga.
250
SOU 2014:45 |
Integritet och registerbaserad forskning |
aktning på grund av hennes personliga förhållanden. I opinionsunder- sökningen var det inte mer än 10 procent som ansåg att myndig- heterna samlar in för mycket uppgifter. (Det var faktiskt något fler som ansåg att de samlar in för lite uppgifter!) Majoriteten ansåg inte att insamlingen av uppgifter i sig var något problem, men tre av fyra upplevde att risken för läckage var det. Den risken motiverar starkt fokus på sekretess och tekniska åtgärder för att skydda uppgifterna.
Vilka de ”orätta händerna” är kan naturligtvis variera. En risk som ibland nämns i debatten är att en främmande ockupationsmakt skulle kunna komma över uppgifter och använda dem mot enskilda. Den risken kan naturligtvis inte uteslutas och får beaktas i strategin för hanteringen av personregister på myndigheter, till exempel under vilka förhållanden registren ska förstöras.
Vad som kan hända under mer normala omständigheter är till exempel att uppgifter om sjukdomshistoria eller genetiska anlag kom- mer i händerna på en arbetsgivare eller ett försäkringsbolag. Det skulle kunna leda till missgynnande beslut för den enskilde vid en anställning eller när en försäkring ska tecknas.48 Det kan också tänkas att illasinnade personer bara vill sprida en ofördelaktig bild av någon och därför lägger ut känsliga uppgifter på nätet. Att det finns indi- vider som gör sådant har vi i dag omfattande erfarenheter av. Det sker i betydande omfattning och utan tillgång till sådana känsliga uppgifter som kan finnas i myndighetsregister. Uppgifter om enskilda som är tillgängliga på andra sätt sprids varje dag över nätet. Att det där naturligtvis också sprids uppgifter som är rena falsarier kan vi i detta sammanhang bortse från.
6.8Risker vid registerbaserad forskning
Vilka risker för integriteten kan det då innebära att forskare får tillgång till personuppgifter från myndighetsregister?
Först kan slås fast att forskare naturligtvis inte har några som helst möjligheter till myndighetsutövning mot enskilda. Forskare kan inte rikta några krav mot enskilda. Mot hänsyn till det är det från integritetssynpunkt färre typer av risker som blir aktuella vid behandling av personuppgifter i forskning. Den risk som främst finns
48 Enligt lagen (2006:351) om genetisk integritet m.m. är det visserligen förbjudet för ett försäkringsbolag att i normalfall använda genetisk information, men det går inte att förneka att risken ändå finns att det skulle kunna beaktas.
251
Integritet och registerbaserad forskning |
SOU 2014:45 |
är att någon obehörig, av misstag eller slarv kommer över uppgifter och missbrukar dessa, eller att forskaren själv gör det.
De uppgifter som forskaren kan vara intresserad av är ofta käns- liga och hos myndigheterna ofta skyddade av sekretess, i många fall absolut sekretess.
Absolut sekretess gäller, som tidigare har redovisats, för uppgifter som samlats in för statistiska ändamål. Skälen för absolut sekretess för uppgifter som samlats in för statistiska ändamål är tre. Det första är att offentlighetsintresset för sådana uppgifter anses väga lätt. Det andra är att man bedömer att en sammanställning av i och för sig harmlösa uppgifter ibland kan vara integritetskänslig. Och det tredje, och kanske viktigaste, är att den enskilde uppgiftslämnaren ska vara säker på att hans uppgifter inte kommer ut. Detta skäl väger särskilt tungt när det gäller uppgifter som samlas in för statistiska ändamål direkt från enskilda. I dessa fall är man beroende av höga svars- frekvenser för att resultaten ska bli tillförlitliga och det är därför viktigt att de tillfrågade inte tvekar att svara av rädsla för att upp- gifterna ska komma ut.49
Som tidigare har framgått kan emellertid personuppgifter som har insamlats för statistiska ändamål under vissa villkor lämnas ut till forskare. När så sker från registerhållande myndigheter till ett statligt universitet eller en statlig högskola följer sekretessen automatiskt med.50 Det har inte heller, så vitt jag har kunnat utröna, förekom- mit att känsliga uppgifter läckt ut från forskningsmiljöer. Man kan fråga sig vad det kan bero på. Det finns flera tänkbara skäl, som dessutom mycket väl kan samverka.
Det viktigaste är kanske just att uppgifterna även i forsknings- miljön är sekretessbelagda och att det är straffbart att sprida dem.
Till det kommer att forskare inte primärt är intresserade av indi- vider utan av mönster i populationer. De vet dessutom att om något skulle läcka ut så bränner de sina skepp som forskare. Incitamenten talar alltså emot att forskare avsiktligt skulle läcka uppgifter och för att de anstränger sig för att de och dem de omger sig med ska leva upp till sekretessbestämmelserna.
Eventuella läckor skulle naturligtvis drabba den enskilda forskare som är ansvarig, men riskerar också att missgynna dennes kollegor och det lärosäte där vederbörande är anställd. Det är ytterst läro- sätena, forskningshuvudmännen, som är ansvariga för behandlingen
49Se avsnitt 5.6.3.5.
50Sekretessen följer med om det inte hos den mottagande myndigheten finns en primär sek- retess som tar över. Vid utlämnande till enskilda gäller särskilda förbehåll. Se avsnitt 5.6.3.6.
252
SOU 2014:45 |
Integritet och registerbaserad forskning |
av personuppgifter. Universiteten och högskolorna lägger därför i regel stor vikt vid att hantera personuppgifter på ett säkert sätt. Det kan dock i vissa fall finnas brister i hanteringen som motiverar ytterligare åtgärder för att stärka datasäkerheten vid universitet och högskolor.
Forskare får dessutom i flertalet fall endast ut anonymiserade uppgifter från myndigheter. Den risk som återstår när anonymiserade uppgifter lämnas ut, oavsett om uppgifterna är avidentifierade eller kodade, är bakvägsidentifiering. Det innebär att man med hjälp av ett antal uppgifter om en individ kan lista ut vem det är. Även med tillgång till ganska få variabler, om det är ”rätt” variabler, till exem- pel kön, födelseland och yrkestillhörighet, är det inte alltför kom- plicerat att identifiera åtminstone några individer i en population. I vissa ”celler”, där alltså sådana variabler har kombinerats, kan det finnas bara en eller ett fåtal individer, till exempel en cell som består av kvinnliga advokater födda i Somalia. För det stora flertalet obser- vationer är det naturligtvis mer komplicerat än så, men man kan likväl inte blunda för denna risk. Möjligheterna till bakvägsidenti- fiering tycks dessutom öka med den tekniska utvecklingen. Det finns exempel på hur man genom så kallad data mining har kunnat sambearbeta anonyma uppgifter från olika publika register, upprät- tade och tillgängliggjorda av privata aktörer, och återidentifiera individerna.51
Det kan också finnas en risk att i ett totalregister med hjälp av några harmlösa variabler identifiera en person som är känd. Om det i registret också finns känsliga uppgifter kan de knytas till denna person, till exempel uppgifter om sjukdomar.
Riskerna vid utlämnande av uppgifter till forskning har i olika sammanhang överhuvudtaget bedömts som små. I propositionen om den tidigare sekretesslagen konstaterades att man i allmänhet bör kunna lämna ut uppgifter till forskning utan risk för att skada eller men uppkommer.52 Frågan har också varit föremål för rättslig pröv- ning varvid risken bedömts som mycket liten.53 Detsamma gäller i vissa ärenden som har överprövats av regeringen.54 Etikprövnings-
51Porter, C.C.,
52Prop. 1979/80:2 Del A s. 84.
53SOU 2007:22 Del 1 s. 360; RÅ 1988 ref. 103, RÅ 1994 not. 732, RÅ 1996 not. 124.
54Regeringsbeslut
253
Integritet och registerbaserad forskning |
SOU 2014:45 |
nämnderna värderar i sina överväganden normalt risken som mycket låg, särskilt vid utlämnande av anonymiserade uppgifter.55
Det kan också konstateras att den som vill komma åt uppgifter om någon specifik individ betydligt enklare kan hitta sådana i andra, mer lättillgängliga informationskällor, än forskningsregister, särskilt om det dessutom kräver bakvägsidentifiering i ett stort datamaterial.
Sammantaget är det min bedömning att riskerna för den person- liga integriteten är mindre vid behandling av personuppgifter i forsk- ning än hos registerförande myndigheter. Ett skäl är att forskare för det mesta behandlar anonymiserade uppgifter och ett annat att de inte har någon möjlighet till myndighetsutövning mot enskilda. Samtidigt kan sägas att all spridning av uppgifter utanför myndig- heterna innebär att den samlade risken ökar något.
Allt detta innebär att forskare, liksom statistikansvariga myndig- heter, alltid måste vara vaksamma när de presenterar sina resultat så att individers integritet skyddas. Det finns olika regler som måste följas för att minimera sådana röjanderisker.56
Det finns i detta sammanhang skäl att kommentera den så kallade Metropolitundersökningen som i mitten av
Tanken var att med jämna mellanrum samla in uppgifter direkt från de berörda personerna och deras anhöriga, men också att kom- plettera med uppgifter från register. Syftet var att undersöka hur social och socioekonomisk bakgrund påverkade människors väl- stånd över tid. Naturligtvis var man i förlängningen intresserad av vilka interventioner som kunde göras för att stärka individer med ett svagt utgångsläge. Undersökningen var förankrad hos myndig- heter och organisationer, till exempel Hem och Skola, som ansågs
55Samtal med CEPN:s vetenskaplige sekreterare Peter Höglund
56Se t.ex. SCB, Handbok i statistisk röjandekontroll av tabeller,
57Integritet i fokus, nr
254
SOU 2014:45 |
Integritet och registerbaserad forskning |
representera även de föräldrar vars barn skulle följas. När Data- inspektionen inrättades 1973 fick forskarna medgivande från myn- digheten att bedriva sin forskning.58
I den kritik som riktades mot projektet hävdades således att det hade försiggått i hemlighet och berört de inblandade mycket illa. Med perspektiv på debatten anser jag att man kan konstatera att reaktionerna var starkt överdrivna och till stor del frampiskade av medierna. Projektet var ingalunda hemligt utan väl förankrat hos myndigheter och intresseföreträdare. Något läckage av uppgifter hade inte förekommit. Däremot var beredskapen hos universitetet att i enlighet med datalagen lämna ut registerutdrag till de berörda indi- viderna otillräcklig.
Det är inte svårt att se goda skäl för att göra det slag av longitu- dinella studier som Metropolit representerade, där individer följs över tid för att man ska kunna bedöma vad olika uppväxtförhållan- den, utbildningar et cetera betyder. Vetenskapsrådet (VR) har be- dömt att projektet och dess data än i dag är av stort värde för hälso- och välfärdsforskningen. Det kan också noteras att man i ett syster- projekt i Köpenhamn har kunnat behålla individkopplingen och därmed följa individerna under längre tid. I en uppföljande enkät för några år sedan fick man en svarsfrekvens på cirka 70 procent vilket i sammanhanget är mycket högt.
En lärdom från Metropolitprojektet är dock att det är viktigt att ta de värderingar och den oro som finns hos allmänheten på allvar. Risken är annars att en viktig forskningsmetod stigmatiseras. Förut- sättningarna för att driva ett projekt av detta slag är i dag också helt annorlunda än på
Registerbaserad forskning karaktäriseras av att forskarna använ- der stora mängder uppgifter för att söka samband. Det är ovanligt att de har kontakt ansikte mot ansikte med uppgiftslämnarna. Det kan emellertid förekomma att en del uppgifter samlas in av forskar- na i direkt från forskningspersonerna. Inom kvalitativ forskning, som bygger på insamling av uppgifterna från få personer, är sådana kontakter det normala. Direktkontakter av detta slag kan kräva
58Ibid.
59Stenberg,
255
Integritet och registerbaserad forskning |
SOU 2014:45 |
särskilda etiska överväganden för att forskaren ska kunna hantera oväntade situationer, till exempel om individen som approcheras reagerar negativt på de frågor som ställs eller om en intervju leder in på helt andra spår än forskaren har tänkt sig.60
6.9Etisk prövning
Forskares användning av känsliga personuppgifter, liksom av bio- logiska prover, måste således numera alltid föregås av en etisk pröv- ning enligt etikprövningslagen. Etikprövningsnämndens uppgift är enligt lagen att skydda den enskilda människan och respekten för människovärdet vid forskning.61
Att det finns sådana krav på etisk prövning för ett handlande är tämligen unikt för forskningen. I många andra sammanhang kan mer ingripande åtgärder vidtas utan i varje fall någon explicit etisk pröv- ning. En forskare som vill ställa känsliga frågor till individer måste ha etiktillstånd, även om frågorna ställs efter informerat samtycke, medan journalister eller ett kommersiellt företag som samlar in liknan- de uppgifter inte behöver det. Forskaren måste ofta avidentifiera sina data, vilket ett kommersiellt företaget inte behöver göra. Vid medicinsk forskning krävs alltid etiktillstånd medan samma aktivi- teter i klinisk verksamhet kan ske utan särskilt tillstånd. Vid militär- tjänst kan personer utsättas för risker som inte skulle accepteras i forskningssammanhang. Ett forskningsprojekt som önskade mäta effekterna av minskad belysning på ett vägavsnitt skulle knappast få etiskt tillstånd, medan belysningen utan något tillstånd kan reduce- ras av till exempel budgetskäl.62
Jag har tidigare nämnt hur företaget Lexbase samlat in ett stort antal domar och gjort dem tillgängliga på nätet. Professor Elisabeth Rynning har i en artikel konstaterat att om en rättsvetenskaplig forskare vill utnyttja samma material i sin forskning krävs etiktill- stånd för detta.63
Kraven på forskning är från etisk utgångspunkt alltså mycket strikta jämfört med praktiskt taget all annan verksamhet. Forsk-
60Guillemin, M., Gillam, L. Ethics, Reflexivity, and ”Ethically Important Moments” in Re- search. Qualitative Inquiry 2004 10:261, http://qix.sagepub.com/content/10/2/261
61Se avsnitt 5.5.1.
62Hansson,
63Rynning, E. Privatlivet och forskningen – en dyster lägesbeskrivning, SvJT 2009; Rynning, numera justitieråd i Högsta förvaltningsdomstolen, är i artikeln kritisk mot det krav som finns på etiktillstånd för rättsvetenskaplig forskning i sådana fall.
256
SOU 2014:45 |
Integritet och registerbaserad forskning |
ningen har behov av en stark ställning hos och ett starkt förtroende från allmänheten. Därför är det rimligt att de etiska kraven är sär- skilt starka när det gäller forskningsverksamhet. Men det kan också finnas skäl att påminna om dessa långtgående krav när riskerna med forskning ska bedömas.
Effekterna av de krav som ställs bidrar sannolikt till det förtro- ende hos allmänheten som forskare och forskning åtnjuter. I en europeisk undersökning svarade 77 procent ja på frågan om man anser att inflytandet från forskning och teknisk utveckling är positivt för samhället. I Sverige var det hela 94 procent. I EU ansåg 82 procent att forskare vid universitet uppträder ansvarsfullt i meningen att de tar hänsyn till vilka effekter deras forskning har på samhället. I Sverige var siffran 91 procent. 66 procent i EU ansåg att forskning och teknisk utveckling bidrar till att göra våra liv enklare, bekvä- mare och mer hälsosamma. 77 procent av de tillfrågade svenskarna instämde.64 En liknande undersökning utförd år 2014 på uppdrag av föreningen Vetenskap & Allmänhet gav liknande resultat.65 Inte- gritetsskyddskommittén framhåller att det är angeläget att lagstift- ning, och man kan tillägga verksamheter i samhället, så långt möjligt bör återspegla medborgarnas uppfattning om vad som är rätt och fel. Dessa opinionssiffror visar, i varje på ett generellt plan, att med- borgarna tycker det är rätt att satsa på forskning.
Det ska dock konstateras att de lagliga kraven på etisk prövning inte gäller all forskning utan endast sådan som innefattar vissa fysiska ingrepp på levande eller döda personer och behandling av känsliga personuppgifter (såsom de definieras i PUL), personuppgifter om lagöverträdelser som innefattar brott med mera och biologiska prover. De etikkommittéer som tidigare fanns vid universitetens medicinska fakulteter och vid
64Special Eurobarometer 401, Responsible Research and Innovation (RRI), Science and Technology, november 2013, ec.europa.eu/public_opinion/index_en.htm.
65
257
Integritet och registerbaserad forskning |
SOU 2014:45 |
bakgrunden föreslagits att det skulle införas en lagstadgad skyldighet för etikprövningsnämnderna att ge yttranden till dem som så önskar.66 Jag ska senare återkomma till den frågan.67
6.10Informerat samtycke
När uppgifter samlas in direkt från individer av forskare är delta- gandet alltid frivilligt. Om det handlar om känsliga personuppgifter eller personuppgifter om lagöverträdelser sin innefattar brott med mera krävs dessutom etiktillstånd. Forskaren måste i etikansökan ange vilket ändamålet är med forskningen, men forskaren har också en skyldighet att informera uppgiftslämnarna (forskningspersoner- na) om det är så att deras deltagande grundar sig på kunskaper om vad de medverkar i (informerat samtycke). När de frivilligt svarar på frågor eller lämnar prover är det närmast självklart att det sker med samtycke, och samtycket ska också vara informerat, det vill säga forskningspersonen ska veta hur uppgifter och prover ska användas för att kunna ta ställning till vad deltagandet innebär. Samtycket kan också inkludera att forskningspersonerna går med på att de uppgifter och prover de lämnar får kompletteras med uppgifter ur myndig- hetsregister.
Kravet på samtycke kan härledas ur principen om individers rätt till autonomi. Med det menas i detta sammanhang att hon så länge det inte inkräktar på någon annans rätt till självbestämmande bör ha rätt att bestämma över sitt liv. Man tänker sig att den autonoma individen agerar fritt i enlighet med sin egen livsplan. Respekten för hennes autonomi kräver att hon får möjlighet att själv fatta menings- fulla beslut. Tillgång till korrekt och begriplig information och avsaknad av påtryckningar är viktiga förutsättningar för det. Att inhämta ett informerat samtycke från blivande forskningspersoner kan ses som ett uttryck för respekt för deras autonomi.
Principen har i den så kallade Helsingforsdeklarationen68 med etiska riktlinjer för medicinsk forskning kommit till uttryck på föl- jande sätt.
66Vetenskapsrådet, God forskningssed Vetenskapsrådet rapportserie 1:2011 s. 50 och 60.
67Se avsnitt 8.3.1 och avsnitt 9.1.2.
68Se avsnitt 5.4.2.
258
SOU 2014:45 |
Integritet och registerbaserad forskning |
Artikel 26
In medical research involving human subjects capable of giving infor- med consent, each potential subject must be adequately informed of the aims, methods, sources of funding, any possible conflicts of interest, institutional affiliations of the researcher, the anticipated benefits and potential risks of the study and the discomfort it may entail, post- study provisions and any other relevant aspects of the study. The potential subject must be informed of the right to refuse to participate in the study or to withdraw consent to participate at any time without reprisal. Special attention should be given to the specific information needs of individual potential subjects as well as to the methods used to deliver the information.
After ensuring that the potential subject has understood the infor- mation, the physician or another appropriately qualified individual must then seek the potential subject’s
All medical research subjects should be given the option of being informed about the general outcome and results of the study.
Artikel 32
For medical research using identifiable human material or data, such as research on material or data contained in biobanks or similar reposi- tories, physicians must seek informed consent for its collection, storage and/or use. There may be exceptional situations where consent would be impossible or impracticable to obtain for such research. In such situations the research may be done only after consideration and approval of a research ethics committee.
En diskussion pågår sedan länge om vilken information som behövs för att ett samtycke ska vara informerat. Datainspektionen skriver på sin hemsida att ett samtycke måste vara särskilt och att ett gene- rellt samtycke till behandling av personuppgifter inte kan godtas. Samtycket ska gälla behandling av personuppgifter för ett eller flera preciserade ändamål. Det är till exempel inte acceptabelt att sam- tycka till att hälsouppgifter får behandlas för ”allehanda framtida forskning”. För att samtycket ska var giltigt ska den registrerade ha fått ”tillräcklig information” om behandlingen av uppgifterna. Frågan är hur snävt forskningsändamålet måste definieras och hur mycket information som är tillräcklig.
Från en del håll menar man att ett brett samtycke till olika slags forskning inte kan vara informerat, eftersom individen inte får specifik information om all forskning som dennes uppgifter/prover kan kom- ma att användas i. Ju bredare samtycket är, desto mindre informerat
259
Integritet och registerbaserad forskning |
SOU 2014:45 |
blir det enligt detta synsätt.69 Andra menar att ett samtycke kan vara informerat trots att informationen som ges är generell, om den täcker allt det som är tillräckligt för individens ställningstagande.70 Från ett sådant perspektiv är mer information inte nödvändigtvis bättre. Denna fråga är central, eftersom användbarheten av sparade uppgifter/prover i hög grad påverkas av bredden på samtycket.
Det kan vid första anblicken tyckas självklart att människor alltid bör tillfrågas om exakt vad deras prover och data får användas till. Problemet med att be om förnyat samtycke varje gång en ny forskningsfråga dyker upp är att det kräver resurser i form av både tid och pengar. Även för individerna, som måste samtycka många gånger, kan ett sådant system vara krävande. Det kan till och med leda till att de avstår från att delta trots att de gärna skulle vilja medverka till den aktuella forskningen.
Någon opinionsundersökning som ställer precis de frågor som det förda resonemanget reser har jag inte funnit. SCB gjorde dock på uppdrag av Patientdatautredningen år 2005 en undersökning där vissa frågor ställdes. De handlade huvudsakligen om användning av uppgifter i patientjournaler, alltså identifierbara uppgifter. Ungefär två tredjedelar av de tillfrågade ansåg att uppgifterna skulle få an- vändas för att förbättra kvaliteten i hälso- och sjukvården och till forskning. Var åttonde delade inte den uppfattningen. Men nästan hälften ansåg att patienter skulle ha möjlighet att förhindra att upp- gifterna användes för sådana ändamål och drygt var fjärde att patien- terna själva skulle få bestämma vilka uppgifter som skulle kunna användas.71
De regler som finns om informerat samtycke har sitt ursprung i reaktionen mot hur man i Nazityskland experimenterade på män- niskor. Det motiverade krav på samtycke i medicinsk forskning.72 Reglerna riktade ursprungligen in sig på vad som brukar kallas invasiv forskning. Det gäller till exempel den artikel 26 i Helsingfors- deklarationen som citerats ovan. Det är i sådana fall självklart att projektet och riskerna måste beskrivas noga för de potentiella för- sökspersonerna så att de är välinformerade även om detaljer när de tar ställning till sin medverkan. I artikel 32 understryks att insam-
69Amason, V., Coding and consent: moral challenges of the database project in Iceland. Bioethics 2004: 18(1):
70Hansson, MG., Dillner, J., Bartram CR. Et al, Should donors be allowed to give broad consent to future biobank research? Lancet Oncol 2006; 7(3):
71Din patientjournal Enkätundersökning 2005. Uppdragsgivare: Patientdatautredningen. SCB.
72Beauchamp, T.L., Childress, J.F., Principles of Biomedical Ethics. Oxford 2013. Sid 120.
260
SOU 2014:45 |
Integritet och registerbaserad forskning |
ling av uppgifter/prover också förutsätter samtycke. För användning av redan insamlade uppgifter/prover måste det emellertid finnas en större öppenhet för att avstå från samtycke i varje enskilt fall och i stället luta sig mot godkännande i en etisk kommitté. Det förefaller inte orimligt att man i dessa fall redan vid insamlingen av uppgifter- na/proverna ska kunna inhämta ett bredare samtycke från indivi- derna, till exempel att de medger att deras uppgifter eller prover efter etikprövning får användas i framtida forskning inom ett ganska brett fält. Den så kallade Artikel
Att acceptera att den enskilde ska kunna ge ett sådant brett sam- tycke kan också, för att knyta an till diskussionen om integritetens paradoxer, vara att visa respekt för dennes integritet och autonomi. Det kan som antytts inte uteslutas att enskilda kan uppleva det som krävande och rent av integritetskränkande att vid upprepade tillfällen behöva samtycka till att deras uppgifter/prover får användas för olika forskningsprojekt. Som har framgått måste varje enskilt forsk- ningsprojekt som vill använda känsliga personuppgifter eller prover ha etiktillstånd från etikprövningsnämnden. Man kan således se det så att den enskilde som ger ett brett samtycke väljer att delegera den etiska prövningen i varje enskilt forskningsprojekt till etikprövnings- nämnden.
Det bör också framhållas att samtycke i vissa situationer är ogör- ligt. Det kan handla om uttag av uppgifter om ett mycket stort antal individer där det inte är rimligt att begära att alla personer ska kontaktas. I de fall det är fråga om anonymiserade personuppgifter är det inte heller möjligt för forskare att kontakta personerna. I Helsingforsdeklarationen artikel 32 öppnas för sådana situationer och också i svensk lagstiftning har de beaktats. Enligt 10 § PUL får uppgifter behandlas om den enskilde har lämnat sitt samtycke eller om behandlingen är nödvändig för att exempelvis en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan vara ett exem- pel på en sådan arbetsuppgift. Om det handlar om känsliga person-
73Se avsnitt 5.3.4.6.
74Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent, Adopted on 13 July 2011,
75Biobankslagen, 3 kap 1 §
261
Integritet och registerbaserad forskning |
SOU 2014:45 |
uppgifter i PUL:s mening (§ 13) krävs enligt 19 § PUL etikgodkän- nande. Etikprövningsnämnden har i sitt beslut att bedöma huruvida samtycke krävs eller inte. Vid uttag av omfattande registeruppgifter, särskilt i anonymiserad form, är praxis att inte begära att samtycke inhämtas.76
Lagstiftaren har således beaktat situationer där inhämtande av ett aktivt samtycke för ett konkret forskningsprojekt i praktiken är ogörligt. Utgångspunkten är då att uppgifterna redan är insamlade och finns i ett myndighetsregister eller en biobank. Det är inte lika tydligt hur lagstiftaren ställer sig vid insamling av uppgifter för forsk- ningsändamål och där syftet är att uppgifterna ska kunna användas till flera olika, i dag okända forskningsprojekt. En av Datainspek- tionens invändningar mot det så kallade
Även om forskare således inte alltid kan inhämta samtycke för varje forskningsprojekt finns goda möjligheter att informera om dessa på annat sätt. En metod är att annonsera om planerade projekt och därvid upplysa individer om att de har möjlighet att anmäla att de inte vill att deras uppgifter ska användas i projektet. Sådana krav ställs ibland i samband med att etiktillstånd ges. Sådana annonser blir dock lätt en form av skeninformation. Det är tillfälligheter som avgör om de berörda individerna läser annonsen. Det är inte heller alltid helt enkelt att avgöra hur det praktiskt ska gå till om någon önskar dra sig ur, särskilt inte om det sker när uppgifterna överläm- nats till forskaren i anonymiserad form. Forskaren vet då inte om den person som anmäler att han eller hon inte vill ha sina uppgifter med i forskningen överhuvudtaget finns med i det urval som forskaren har fått tillgång till. Utlämnande myndighet kan bedöma att det är
76 Se avsnitt 8.3.1.
262
SOU 2014:45 |
Integritet och registerbaserad forskning |
olämpligt att efter att ha lämnat ut anonymiserade uppgifter ta till- baka vissa uppgifter. Forskaren får då kännedom om vilka uppgifter som är kopplade till just den individ som inte vill vara med. Min bedömning är att det finns vägande invändningar mot detta slags annonsförfarande.
Däremot finns det starka skäl att forskare ska visa öppenhet med sin forskning. I vissa fall har etikprövningsnämnden bedömt att det bästa sättet att informera är att på nätet öppet berätta om forskningen och de uppgiftssamlingar den baseras på. På det sättet kan den som är intresserad skaffa sig djupare kunskaper om vad som pågår och eventuellt själv kontakta forskare för fördjupad information.
6.11Rätten att dra tillbaka ett samtycke
I dag gäller att i de fall uppgiftslämnandet är frivilligt kan den en- skilde också dra sig ur om han eller hon omvärderar sin medverkan. Den praktiska erfarenheten är att få gör det. Av allt att döma hand- lar det, när det gäller kvalitetsregister och biobanker, om delar av promillen.77 I förtroendeskapande syfte är det ändå rimligt att en sådan möjlighet finns. Under normala förhållanden är priset som sagt lågt. Men det har i diskussionen kring denna möjlighet ändå rests ett varningens finger. Vad händer om ett stort antal personer efter spekulativa skandalskriverier väljer att dra sig ur till exempel en biobank? En bank som har byggts upp under åratal och som är viktig för forskningen och därmed för hälso- och sjukvårdens ut- veckling kan på kort tid ruineras. Är det acceptabelt? En tanke som mot denna bakgrund har väckts är att man skulle kombinera rätten att dra sig ur med en obligatorisk betänketid. Det är naturligtvis inget absolut hinder mot att detta skulle kunna inträffa men det skulle hindra att det sker i panik.78
Det bör också uppmärksammas att ett tillbakadragande kan ha olika innebörd. Det kan innebära att individen i fråga inte vill bli kontaktad mer men att uppgifter som finns tillgängliga får användas i forskning, att uppgifterna får användas i forskning men bara i anonymiserad eller till och med avidentifierad form, att uppgifterna
77Johansson, I., Hansson, MG., Eriksson, S., Helgesson, G., Patient’s refusal to censent to storage and use of samples in Swedish biobanks:
78Hug, K., Hermerén, G. och Johansson, M., Withdrawal from Biobank research: Consi- derations and the Way Forward, Stem Cell Rev and Rep (2012)
263
Integritet och registerbaserad forskning |
SOU 2014:45 |
får användas för vissa forskningsändamål men inte för andra, eller att de över huvud taget inte får användas i forskning.79
6.12RF och sekundäranvändning av uppgifter/prover
Som redovisats trädde nya regler i RF i kraft den 1 januari 2011. Var och en är enligt 2 kap. 6 § gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskil- des personliga förhållanden. Mot bakgrund av den nya lydelsen pågår nu en översyn av vilka registerförfattningar som för närvaran- de är beslutade av regeringen och som kan behöva regleras genom lag. Övergångsbestämmelser gäller fram till den 31 december 2015. Frågan är vilken betydelse den nya bestämmelsen har för använd- ning av uppgifter/prover i forskningen.
Integritetsskyddet i RF tar sikte på sådana åtgärder som sker utan samtycke. I de fall forskare samlar in uppgifterna/proverna direkt från enskilda sker det med samtycke och dessa uppgifter berörs där- för i princip inte av grundlagsändringen. Om det handlar om att använda uppgifter som samlats in av forskare för andra ändamål än dem som ursprungligen angetts kan frågeställningen dock bli likartad den som diskuteras i det följande.
Grundlagsändringen utgick ifrån Integritetsskyddskommitténs förslag. Kommittén hade pekat på att man i olika lagstiftningsären- den bristfälligt hade redovisat vilka avvägningar som hade gjorts mellan motstående intressen och att särskilt de negativa effekterna av olika integritetsbegränsande åtgärder hade blivit knapphändigt belysta. En följd av grundlagsändringen är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid en sådan propor- tionalitetsbedömning. En fråga är vad som ska förstås med bety- dande intrång. Regeringen diskuterar i propositionen om grund- lagsändringen hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring, bearbetning eller utlämnande av uppgifter. Man framhåller att ju känsligare uppgifter- na är och ju fler uppgifter som samlas, desto mer ingripande måste hanteringen anses vara. Samtidigt framhålls det att stor vikt också måste läggas vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan således normalt anses var mer känslig än till exempel en hantering som uteslutande sker för att ge en myn-
79 Ibid.
264
SOU 2014:45 |
Integritet och registerbaserad forskning |
dighet underlag för förbättringar av kvaliteten i handläggningen. Vid utlämnande av uppgifter är en viktig omständighet dessutom på vilket sätt och för vilka syften mottagaren hanterar uppgifterna.
Regeringen erinrar i sammanhanget om att konstitutionsutskottet i flera lagstiftningsärenden om myndigheters personuppgiftsbehand- ling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt. Regeringen konstaterar att det är förenat med svårigheter att peka ut vilka spe- cifika företeelser som är av sådant slag att de innebär betydande intrång i integriteten. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de kan genom- föras bara med stöd av lag.80
Frågan är nu hur man ska se på sekundäranvändning av person- uppgifter i forskning, främst uppgifter som skyddas av sekretess och som är känsliga enligt PUL:s definition. Användningen av känsliga personuppgifter föregås, som framgått, av ett särskilt förfarande. Den kräver etiktillstånd. Beslut om utlämnande av personuppgifter föregås av prövning enligt OSL. Etikprövningsnämnden godkänner årligen hundratals forskningsprojekt som innebär återanvändning av känsliga personuppgifter och myndigheterna lämnar ut uppgifter till forskare avseende än fler forskningsprojekt. Detta förfarande infördes emellertid innan den här diskuterade grundlagsändringen gjordes. Det finns därför skäl att överväga om utlämnande till forsk- ning av personuppgifter som skyddas av sekretess är förenligt med den nya grundlagsbestämmelsen.
När uppgifterna, särskilt känsliga uppgifter, samlas in och behand- las hos myndigheter kan det uppfattas som ett betydande intrång i den personliga integriteten och oavsett syftet kan effekten bedömas vara övervakning och framförallt kartläggning. Det är därför sådan behandling av personuppgifter hos myndigheter alltid kräver lagstöd. I särskilda registerförfattningar anges för vilket ändamål uppgifter får samlas in och i övrigt behandlas. De får sedan inte behandlas för andra ändamål som är oförenliga med detta. Vetenskapliga, statistiska och historiska ändamål är dock, som vi har sett, inte oförenliga med det ursprungliga ändamålet. Jag menar därför att behandlingen av uppgifterna i forskning ytterst har rättsligt stöd i de registerför- fattningar som ger grund för behandlingen av uppgifterna hos myn-
80 Prop. 2009/10:80 s.
265
Integritet och registerbaserad forskning |
SOU 2014:45 |
digheten. Forskningens utnyttjande av personuppgifterna syftar i än lägre grad än myndigheternas till någon övervakning eller kart- läggning av den enskildes personliga förhållanden. Som framhållits tidigare är syftet med särskilt registerbaserad forskning inte kart- läggning av individer utan av mönster i en population. Det är således rimligt att generellt betrakta sekundäranvändning av uppgifter som har samlats in med stöd av lag som fullt grundlagsenlig.
Det förhållandet att bland annat forskning allmänt sett inte anses vara oförenlig med de ändamål för vilka uppgifterna i myndighets- register samlats in innebär dock inte att det gäller vilken forskning som helst. Det måste naturligtvis ställas krav på forskningen i fråga. Behandlingen av uppgifter inom forskningen måste följa lagen. När det gäller behandling av känsliga personuppgifter måste forskningen, som har framgått, föregås av etikprövning. Forskningen kan etik- godkännas bara om det inte finns andra metoder att svara på forsk- ningsfrågorna som är mindre ingripande för individen.
Nästa fråga blir om det finns skäl att se annorlunda på uppgifts- samlingar där forskning är det primära ändamålet och som är av- sedda att vara en infrastruktur för olika forskningsprojekt, det vill säga vad jag i denna utredning kallar forskningsdatabaser. Sådana uppgiftssamlingar kan, med undantag för biobanker, enligt gällande lagstiftning inte godkännas av etikprövningsnämnden. Det som skiljer dessa från uppgiftssamlingar, som kan godkännas, är inte i första hand uppgiftssamlingarnas karaktär – uppgiftskällorna är desamma, det vill säga myndighetsregister eller forskningspersonerna själva – utan just att uppgifterna ska kunna användas i flera framtida forsk- ningsprojekt, vars exakta innehåll i dag är okänt.
Det är naturligt att varje sådan forskningsdatabas har ett ändamål som är beskrivet i mer allmänna termer än ett konkret forsknings- projekt – den ska ju tillhandahålla underlag för flera olika projekt – till exempel att uppgifterna ska användas för att studera effekter av arbetsmarknads- och utbildningspolitiken, sambandet mellan arv, miljö och sjukdomar eller utbildningens effekter på individers fram- tida välfärd. Inom dessa vida ramar kan det bli aktuellt med en rad olika vetenskapliga frågeställningar, även inom olika discipliner.
Datainspektionen har ställt sig tveksam till om sådana uppgifts- samlingar överhuvudtaget ska få skapas, främst på grund av svårig- heterna för forskningspersonerna att ge ett informerat samtycke när de konkreta forskningprojekten inte är kända. Riksdag och regering har emellertid i några fall beslutat om uppbyggnad av sådana forsk- ningsdatabaser eller att det ska vara tillåtet att skapa sådana. De torde
266
SOU 2014:45 |
Integritet och registerbaserad forskning |
härvidlag ha gjort en mer allmän bedömning av värdet av forskning inom de aktuella områdena och menat att riskerna för integritets- kränkningar på grund av uppgiftssamlingarna är små. Det bör än en gång understrykas att varje enskilt forskningsprojekt som vill behand- la känsliga uppgifter som hämtas från sådana forskningsdatabaser måste ha etiktillstånd. Jag ska senare återkomma till förutsättningar- na för att bygga denna typ av forskningsdatabaser och kommer då att föreslå att allt utlämnande av uppgifter från databaserna ska före- gås av etikprövning.81 Här ska dock endast diskuteras hur skapan- det av sådana databaser kan tänkas förhålla sig till bestämmelserna i 2 kap. 6 § RF.
Som har framgått bedöms i regel de risker som är förenade med sekundäranvändning av registeruppgifter i forskningen som små. Frågan är om det kan innebära någon förhöjd risk för den person- liga integriteten när uppgifter samlas i en forskningsdatabas för fram- tida forskning. För sådana uppgiftssamlingar gäller ofta att uppgifter om fler individer och fler uppgifter om varje individ samlas än för ett enskilt forskningsprojekt och dessutom att de bevaras under längre tid. Det måste dock framhållas att det finns enskilda forsk- ningsprojekt som har bägge dessa kännetecken, det vill säga både många uppgifter och att uppgifterna bevaras under lång tid.
Forskningsdatabaser kan vanligen antas innehålla ett stort antal uppgifter om enskilda, i många fall också känsliga personuppgifter. Det har i förarbetena till lagen om den officiella statistiken konsta- terats att en sammanställning även av var för sig harmlösa uppgifter kan innebära en ökad risk för integritetsintrång. Detta gäller till exempel när uppgifter samlas in för officiell statistik. Den slutsats som lagstiftaren har dragit är emellertid inte att man av det skälet ska avstå från att använda sådana uppgifter som underlag för sta- tistik utan att uppgifterna ska omfattas av absolut sekretess. Denna så kallade statistiksekretess regleras generellt i OSL. Samma argu- ment för absolut sekretess kan sägas gälla för uppgiftssamlingar för forskningsändamål, oavsett om det är fråga om konkreta forsknings- projekt eller forskningsdatabaser. I den mån det handlar om upp- gifter som hämtas från myndighetsregister där sekretess gäller följer denna i regel automatiskt med om forskningsdatabasen byggs upp vid en statlig högskola. Jag menar dock att det kan finnas skäl att ytterligare förstärka sekretesskyddet i forskningen. Jag ska åter- komma med förslag härom.82
81Se avsnitt 9.4.13.
82Se avsnitt 8.3.4 och avsnitt 9.3.
267
Integritet och registerbaserad forskning |
SOU 2014:45 |
Ett annat kännetecken för forskningsdatabaser, liksom för alla longitudinella forskningsprojekt, är att de vanligen kommer att be- varas under längre tid än de uppgiftssamlingar som skapas för tids- begränsade forskningsprojekt. Syftet med många forskningsdatabaser är just att kunna möjliggöra longitudinell forskning där individer följs över tid. Det är en bedömning i lagstiftningen, till exempel i PUL, att risken för integritetsintrång i viss mån ökar med den tid en uppgiftssamling består. Det är grunden till kraven i 9 § PUL att uppgifter ska förstöras när de inte längre behövs för ändamålet. Mot detta krav står arkivlagens regler om att uppgifter ska bevaras.83 När det gäller forskningsdatabaser kan man möjligen tala om en något förhöjd risk på grund av deras varaktighet, men den måste ändå bedömas som begränsad. Om igen gäller att det naturliga sättet att möta risken är genom långtgående åtgärder för skydd och säkerhet.
I den så kallade
Den rättsliga ordning som för närvarande gäller innebär således att personuppgifter som har samlats in för andra ändamål och som skyddas av sekretess, även känsliga uppgifter, kan behandlas i forsk- ning om det står klart att det kan ske utan att det finns risk för skada eller men för den enskilde eller närstående till denne. Riks- dagen beslutar i lag om det primära ändamålet för behandling av per- sonuppgifter hos en myndighet, men har också beslutat att sekundär- behandling för statistiska, vetenskapliga och historiska ändamål inte är oförenlig med det i lagen fastställda primära ändamålet. För att bedöma vilken sekundäranvändning, till exempel vilken forskning, som ska vara tillåten har ett särskilt förfarande reglerats i lag (PUL,
83Se avsnitt 5.8.
84Prop. 2011/12:176 s.
268
SOU 2014:45 |
Integritet och registerbaserad forskning |
etikprövningslagen, OSL). Tyngdpunkten i skyddet för den enskil- des integritet har dock lagts på att genom sekretessregler, tystnads- plikt och säkerhetsåtgärder, bland annat behörighetsregler, förhindra att uppgifter kommer ut till obehöriga.
Under utredningsarbetet har jag även övervägt vilka konsekven- serna skulle bli av en mer restriktiv tolkning av den nya grund- lagsbestämmelsen. Varje behandling av personuppgifter innebär potentiellt ett betydande intrång i den personliga integriteten och kräver därför som framgått stöd i lag. Med en mer restriktiv tolkning av lagen skulle kunna hävdas att sekundäranvändning av uppgifter- na, oavsett om det är för statistiska, vetenskapliga eller historiska ändamål, i sig innebär ett sådant betydande intrång som kräver lagstöd i varje enskilt fall. Med en sådan tolkning skulle således den möjlighet som PUL i dag ger att sekundäranvända uppgifter för statistiska, vetenskapliga och historiska ändamål betraktas som grund- lagsstridig. En sådan tolkning utgår ifrån att det är behandlingen som sådan av uppgifterna som innebär ett betydande intrång i den personliga integriteten, inte att de skulle kunna missbrukas till men för den enskilde.
Konsekvensen av en sådan restriktiv tolkning skulle bli att riks- dagen i varje enskilt fall som avser behandling av personuppgifter utan samtycke i forskningen skulle behöva stifta en lag. Eftersom det i dag handlar om många hundra forskningsprojekt varje år fram- står det som en i praktiken omöjlig lösning. I realiteten skulle en sådan tolkning innebära att all behandling av personuppgifter utan samtycke för vetenskapliga och sannolikt statistiska ändamål skulle få upphöra. Jag tror inte att det har varit lagstiftarens avsikt och utgår därför ifrån att denna tolkning avfärdas av regering och riksdag.
Låt mig sammanfatta detta avsnitt om hur regeln i 2 kap. 6 § RF kan tänkas påverka sekundäranvändning av personuppgifter i forsk- ning. Två alternativa tolkningar har redovisats.
Den ena innebär att riksdagen fastställer att personuppgifter som primärt har insamlats för andra ändamål än forskning kan an- vändas också i forskning utan att det innebär ett betydande intrång i den personliga integriteten. Riksdagen beslutar också om genom vilket förfarande det ska bestämmas för vilken forskning uppgifter får användas. Regler finns för processer och vilka instanser under riksdagen som fattar besluten. I det sistnämnda fallet avses rege- ringen, etikprövningsnämnderna, datainspektionen och registerhål- lande myndigheter.
269
Integritet och registerbaserad forskning |
SOU 2014:45 |
Den andra innebär att all behandling av personuppgifter innebär ett betydande intrång i den personliga integriteten och att riks- dagen därför alltid måste fastställa de ändamål för vilka personupp- gifter får behandlas. Även sekundäranvändning av uppgifter i forsk- ning måste då beslutas av riksdagen.
Min bedömning är att regering och riksdag med grundlagsändring- en knappast kan ha haft denna andra tolkning med dess konsekven- ser för forskningen i åtanke. Slutsatsen är således att sekundär- användning av personuppgifter i forskning är grundlagsenlig också utan riksdagsbeslut i varje enskilt fall. Uppbyggnaden av en forsk- ningsdatabas av det slag som finns hos IFAU betraktas inte som ett betydande intrång i den personliga integriteten och kräver därför inte av det skälet stöd i en särskild lag. Däremot är det, som jag ska återkomma till svårt att hantera sådana forskningsdatabaser inom det gällande rättsliga förfarandet. Det krävs därför en särskild rättslig reglering av forskningsdatabaser som är avsedda att tillhandahålla uppgifter till flera olika framtida forskningsprojekt. Jag ska i kapit- len 8 och 9 återkomma till denna fråga.
6.13Sammanfattande analys
6.13.1Integritetsskyddskommitténs frågor
Låt mig börja med att besvara de fyra frågor som Integritetsskydds- kommittén menade bör ställas av varje utredning.
Hur skyddas enskilda personer mot olovlig insamling av uppgifter om deras privata förhållanden och hur avgränsas ”lovligt” uppgiftsinsam- lande?
Insamling av uppgifter till myndighetsregister kräver lagstöd. I många sammanhang, till exempel i hälso- och sjukvården, kan också sam- tycke från uppgiftslämnare inhämtas om hur uppgifter och prover ska få användas. Enskilda har alltid möjlighet, när det inte bara handlar om vård och behandling, att anmäla att deras uppgifter eller prover ska förstöras. Sekundäranvändning i forskning av uppgifter som har insamlats för andra ändamål har stöd i PUL. När forskare själva samlar in uppgifter om individer bygger det på informerat sam- tycke från uppgiftslämnarnas sida.
270
SOU 2014:45 |
Integritet och registerbaserad forskning |
Hur skyddas enskilda personer mot olovligt offentliggörande eller annan negativ användning av uppgifter om deras privata förhållanden och hur avgränsas vad som i detta sammanhang är ”lovligt”?
Sekretessregler och datasäkerhet är de viktigaste skyddsåtgärderna, såväl hos myndigheter som samlar in och i övrigt behandlar person- uppgifter som på universitet och högskolor. Med sekretess följer tystnadsplikt och brott mot tystnadsplikten är straffbart. När upp- gifter används i forskning finns starka incitament för forsknings- huvudmän och forskare att skydda uppgifterna. Vilken behandling av uppgifterna i forskning som är tillåten bestäms av lagstiftning, utlämnande myndigheter och utformningen av etikgodkännanden. Särskilt regler gäller för att förhindra röjande.
Hur regleras skyddet mot intrång i någon enskilds privata sfär där syftet är att inhämta information om den enskilde, och hur avgränsas sådana ”lovliga” intrång?
Syftet med forskning är inte att kartlägga individer för att kunna vidta åtgärder mot dessa, utan att kartlägga mönster i en population. När forskare får tillgång till identifierbara uppgifter görs en särskilt noggrann prövning av behoven och ändamålet.
Hur skyddas identifieringsdata som namn, bild och liknande?
Framförallt genom att forskare i första hand får tillgång till anony- miserade (kodade eller avidentifierade) uppgifter. Det är förbjudet för den som får sådana uppgifter att försöka bakvägsidentifiera objekt. Uppgifterna som behandlas i forskningen är i regel sekretesskydda- de. Jag kommer senare att föreslå att detta sekretesskydd ska ytter- ligare stärkas.
6.13.2Proportionalitetsbedömning
Som framgick ovan är en följd av grundlagsändringen i 2 kap. 6 § RF att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Jag ska här redovisa vilka avvägningar jag med denna utgångspunkt gör.
Enligt proportionalitetsprincipen ska staten inte införa restrik- tioner eller skyldigheter som går utöver vad som är nödvändigt för
271
Integritet och registerbaserad forskning |
SOU 2014:45 |
att uppnå målet med åtgärden i fråga.85 Målet med den forsknings- verksamhet som här ska bedömas är att vinna kunskaper om hur samhället i olika avseenden fungerar och vad som påverkar män- niskors hälsa, medlet i första hand utnyttjande av registeruppgifter och biologiska prover som har samlats in för andra ändamål. Som tidigare framgått förekommer också uppgifter och prover som sam- las in med samtycke från individerna. Det är inte ifrågasatt i grund- lagen och kräver därmed inte samma proportionalitetsbedömning.
Proportionalitetsprincipen innehåller tre olika underprinciper eller kriterier som måste vara uppfyllda för att en åtgärd ska vara proportionell. En åtgärd ska vara lämplig för att uppnå det efter- strävade målet (lämplighetskriteriet). En åtgärd ska användas för att nå målet bara om den skapar mindre besvär för individerna än andra (nödvändighetskriteriet). Och i en avvägning mellan fördelar och nackdelar med att åtgärden överhuvudtaget genomförs måste fördelarna överväga (proportionalitet i strikt mening).86
Att använda personuppgifter från myndighetsregister kan vara till stor hjälp i forskningen. De kunskaper som kan komma ut av forskning med användning av registeruppgifter är betydande och ofta svåra att överhuvudtaget vinna med andra forskningsansatser. Vad skulle hända om man av hänsyn till de integritetsrisker, som trots allt finns, skulle försvåra eller förhindra användning i forskning av de personuppgifter som finns i myndighetsregister? Vilka alternativa forskningsmetoder står till buds? Som jag har redovisat i kapitel 4 är alternativen i regel undersökningar baserade på urval. Av kost- nadsskäl blir sådana urval med nödvändighet ganska små, i vart fall i jämförelse med registerstudier, och slutsatserna därmed osäkrare. Jag har gett flera exempel på hur man utifrån sådana mindre studier har dragit slutsatser om till exempel effekten av vaccination av och vitamintillförsel till små barn som vid en kontroll med hjälp av registerdata har visat sig felaktiga. Sanningen är alltså att vi om registerforskningen skulle försvåras i många fall får avstå från viktig kunskap. Att eliminera de små risker som är förenade med re- gisterforskning har ett högt pris i form av utebliven kunskap om sociala och medicinska förhållanden. Registerforskning måste alltså bedömas som en lämplig åtgärd för att vinna viktig kunskap.
Samtidigt ska understrykas att registerforskning naturligtvis inte kan ge svar på alla forskningsfrågor. Alla uppgifter som forskare kan
85Gydal, C., Proportionalitetsprincipen, en europeisk rättsprincip och dess betydelse för svensk rätt, Förvaltningsrättslig tidskrift, Stockholm 1997.
86Ibid.
272
SOU 2014:45 |
Integritet och registerbaserad forskning |
behöva för att svara på frågorna finns inte i register. Användningen av särskilt känsliga personuppgifter i forskningen, oavsett om de hämtas från register eller samlas in direkt av forskare, ska också alltid värderas från etisk utgångspunkt. Forskning får inte god- kännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersonernas hälsa, säker- het eller personliga integritet (10 § etikprövningslagen).
Alternativet till utnyttjande av redan insamlade uppgifter som kan behövas i forskning är att samla in dem på nytt. Som jag har framhållit är det förenat med arbete och kostnader, för forskaren men också för forskningspersonerna. Det sker också på bekostnad av kvaliteten i forskningen, det vill säga gör den i praktiken mer osäker. Att återanvända redan insamlade uppgifter och prover när sådana finns är från kvalitetssynpunkt definitivt bättre för forsk- ningen, men också resursbesparande för individerna. Den enda nack- delen synes vara att individerna inte tillfrågas om sin medverkan i det konkreta forskningsprojektet, men den intresserade individen kan alltid erbjudas insyn i forskningen på annat sätt. Jag vill hävda att användningen av redan insamlade uppgifter och prover är den metod som skapar minst besvär för de individer uppgifterna avser.
Jag har pekat på en rad fördelar med registerforskning. Men det finns naturligtvis också vissa integritetsrisker. Den största är att någon information läcker ut som på något sätt skulle kunna orsaka individen skada eller obehag. För att förhindra att så sker är det viktigt med olika åtgärder som skyddar uppgifterna, både sekretess- bestämmelser och tekniska säkerhetsåtgärder. Det är viktigt att fram- hålla att inga läckage så vitt känt har skett från forskningsmiljöer i Sverige. Det torde till stor del hänga samman med de rättsregler och det säkerhetstänkande som finns kring behandlingen av personupp- gifter, men också med att forskningshuvudmän och forskare har starka incitament att förhindra läckage. Detta till trots menar jag att vissa ytterligare åtgärder för att stärka sekretesskyddet och data- säkerheten bör vidtas. Jag ska senare återkomma till förslag i detta hänseende. Även i detta avseende lever emellertid registerbaserad forskning, enligt min bedömning, upp till de krav som proportiona- litetsprincipen innebär.
Till sist. Integritetsriskerna vid registerforskning måste också ställas mot de ”informationsrisker” som följer av den tekniska ut- vecklingen. De senare kan åsamka den enskilde skada eller obehag av i princip samma slag som ett läckage från ett myndighets- eller forskningsregister skulle kunna göra. De integritetsrisker som är för-
273
Integritet och registerbaserad forskning |
SOU 2014:45 |
enade med den nya tekniken är med alla rimliga mått mätt oerhört mycket större. Den tekniska utvecklingen, med betalkort, mobil- telefoner, datorer, Internet, övervakningskameror med mera, innebär inte bara potentiella risker utan leder kontinuerligt till att enskildas ”privata rum” krymper. Våra köpvanor, rörelsemönster, kontakter och intressen kartläggs nästan i detalj. Att detta integritetsintrång accepteras, mer eller mindre frivilligt, beror naturligtvis på att även detta är förenat med vinster. Men priset för dessa vinster i termer av integritetsintrång är oändligt mycket högre än det vi behöver befara när det gäller registerforskning.
274
7Erfarenheter från de nordiska länderna
7.1Danmark
7.1.1Offentlighet och sekretess
Handlingsoffentlighet i Danmark regleras i lov nr 606 af 12. juni 2013, offentlighedsloven. Lagen innehåller bestämmelser om i vilken utsträckning förvaltningsmyndigheter är skyldiga att ge insyn i doku- ment. I lagen finns också bestämmelser om undantag från rätten till insyn. Offentlighedsloven gäller för all verksamhet inom den statliga och kommunala förvaltningen. Med undantag för vissa bestämmel- ser gäller den också för bland annat vissa privata organ som utövar omfattande offentlig verksamhet och som är underställda offentligt reglering, tillsyn och kontroll och för bolag som till mer än 75 pro- cent ägs av danska myndigheter, dock inte börsnoterade bolag.
Huvudprincipen är att var och en har rätt till insyn i de doku- ment som har inkommit till eller upprättats av en myndighet i ett visst ärende (7 §). Någon begränsning i fråga om vem som har rätt att begära att få se en handling eller i vilket syfte det sker finns inte. Insynsrätten omfattar alla dokument i ärendet. Insynsrätten omfattar också diarier, register och handlingar av annat slag som har upp- rättats i ett ärende. Däremot faller andra typer av register hos en myndighet, som inte förs med anledning av ett visst ärende, utanför lagens tillämpningsområde (10 §). För sådana register gäller bestäm- melserna i persondataloven (se nedan).
En var har rätt att få en sammanställning av uppgifter i en myn- dighets databaser, om sammanställningen kan göras med få och enkla kommandon (11 §). Omfattas uppgifterna av undantagen från insyn enligt
275
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
Från rätten till insyn finns tre typer av undantag. Det första om- fattar vissa typer av ärenden. Det gäller bland annat ärenden rörande straffrätt (19 §), lagstiftningsärenden innan dessa har framlagts för Folketinget (20 §) och ärenden rörande offentlig anställning (21 §). Den andra typen av undantag rör vissa typer av dokument, till exempel interna arbetsdokument (23 §) och interna dokument som utväxlas mellan en minister och ett ämbetsverk (24 § ). Den tredje typen av undantag gäller uppgifter med anknytning till fysiska eller juridiska personers personliga eller ekonomiska förhållanden (30 §) eller när det anses finnas ett allmänt behov av skydd för offentliga intressen, till exempel statens säkerhet, försvar och utrikespolitik
Undantagen från insynsskyldigheten innebär inte att inte insyn får ges. Meroffentlighetsprincipen (14 §) innebär att en myndighet har rätt att medge en vidare insyn än vad myndigheten är skyldig till. Meroffentligheten får dock inte gå utöver vad som gäller enligt annan lag, såsom reglerna om tystnadsplikt och persondataloven. Principen om meroffentlighet har betydelse för myndigheternas möjlighet at lämna ut uppgifter till till exempel vetenskapliga undersökningar.
Bestämmelser om offentlighet och tystnadsplikt för uppgifter inom hälso- och sjukvård finns i avsnitt tre i sundhetsloven (lov nr. 913 af den 13 juli 2010). Som huvudregel gäller tystnadsplikt inom sjukvården och patientens samtycke krävs för att en uppgift ska få lämnas vidare
276
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
7.1.2Personuppgiftsbehandling
I Danmark har dataskyddsdirektivet genomförts genom person- dataloven (lov nr. 429 af 31. maj 2000). Enligt lagens 4 kap. 5 § andra stycket får insamling av personuppgifter endast ske för uttryckligt angivna och berättigade ändamål och senare behandling av upp- gifterna får inte vara oförenlig med dessa ändamål. Behandling som sker för historiska, statistiska eller vetenskapliga ändamål anses dock inte oförenlig med de ändamål för vilket uppgifterna samlades in. Behandling får endast ske under de förutsättningar som framgår av 4 kap. 6 §. Enligt första punkten får behandling ske med stöd av den enskildes samtycke. Av femte punkten framgår att behandling är tillåten om den är nödvändig med hänsyn till att en uppgift av allmänt intresse ska kunna utföras. Behandling av personuppgifter för forskningsändamål har ansetts kunna utföras med stöd av den senare bestämmelsen.
Det är förbjudet att behandla uppgifter om ras eller etnisk bak- grund, politisk, religiös eller filosofisk övertygelse, fackförenings- tillhörighet eller uppgifter om hälsa eller sexuell läggning (4 kap. 7 §.) Sådana känsliga personuppgifter, liksom uppgifter om straff- bara förhållanden, sociala problem eller andra privata förhållanden, får dock behandlas om behandlingens enda ändamål är att genom- föra en statistisk eller vetenskaplig undersökning av väsentligt allmänt intresse och om behandlingen är nödvändig för att utföra under- sökningen (4 kap. 10 §). Uppgifter som behandlats för dessa ända- mål får inte senare användas för annat än statistiska och vetenskap- liga ändamål. Detsamma gäller behandling av andra personuppgifter som utförs för statistiska och vetenskapliga ändamål.
Uppgifter som behandlas för statistiska och vetenskapliga ända- mål får endast lämnas ut till tredje man efter tillstånd från Data- tilsynet. Datatilsynet får ställa upp särskilda villkor för utlämnandet till tredje man.
Undantag från förbudet mot behandling av känsliga personupp- gifter i 4 kap. 7 § kan vidare göras om behandlingen sker på grund av viktiga samhälleliga intressen. För sådan behandling krävs tillstånd av Datatilsynet. Datatilsynet får i samband därmed fastställa särskilda villkor för behandlingen. Om tillstånd meddelas ska Datatilsynet underrätta Europeiska kommissionen (4 kap. 7 § sjunde stycket).
Myndigheter får behandla personnummer om det är motiverat för att möjliggöra säker identifiering eller för identifiering av journaler. Privatpersoner och företag får behandla personnummer utan den
277
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
enskildes samtycke endast om behandlingen sker för vetenskapliga eller statistiska ändamål. Ett personnummer får inte offentliggöras utan den enskildes uttryckliga samtycke (4 kap. 11 §).
7.1.3Etikprövning
Systemet för etikprövning regleras i lov om videnskabsetisk behand- ling af sundhedsvidenskabelige forskningsprojekter (lov nr. 593 af 14. juni 2011). Det vetenskapsetiska kommittésystemet har till syfte att garantera att hälsovetenskapliga forskningsprojekt genomförs på ett vetenskapsetiskt försvarbart sätt (1 §). Kommittésystemet består av elva regionala kommittéer, som utses av regionråden, och den nationella vetenskapsetiska kommittén som är en självständig myn- dighet under Ministeriet for Sundhed og Forebyggelse.
Enligt 14 § ska som huvudregel alla hälsovetenskapliga forsk- ningsprojekt anmälas till den regionala kommittén för det område där den projektansvarige har sin verksamhet. Med hälsovetenskap- liga projekt avses projekt som innebär försök på levande och döda människor, mänskliga könsceller som ska användas för befruktning, mänskliga befruktade ägg, embryon och foster, vävnad, celler och arvsmassa från människor. Även kliniska prövningar med läkemedel på människor innefattas. Enkätundersökningar och hälsovetenskap- liga registerforskningsprojekt omfattas av anmälningsplikten om projektet omfattar mänskligt biologiskt material.
För försök på människor krävs som huvudregel informerat sam- tycke från försökspersonen (3 §). Undantag från samtyckeskravet kan dock göras under vissa förutsättningar (10 §). En kommitté kan efterge kravet på samtycke om ett registerforskningsprojekt inte innebär några hälsomässiga risker för den enskilde och forsknings- projektet inte heller på annat sätt innebär någon belastning för forsk- ningspersonen. Detsamma gäller om det är omöjligt eller opropor- tionerligt svårt att inhämta informerat samtycke.
Kommittén gör en vetenskapsetisk bedömning av projektet mot bakgrund av bestämmelserna i lagen och beslutar om projektet ska få genomföras eller inte. Ett tillstånd kan förenas med villkor. Den regionala kommitténs beslut kan överklagas till den nationella veten- skapsetiska kommittén.
278
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
7.1.4Biobanker
Danmark har inte någon särskild biobankslag. Verksamheten regle- ras i stället i flera andra lagar; persondataloven, sundhetsloven (lov nr. 913 af 13 juli 2010) och loven om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter.
Enligt dansk rätt utgör en biobank ett register med personupp- gifter och för personuppgiftsbehandling i biobanksverksamhet gäller samma regler som för all annan personuppgiftsbehandling enligt persondataloven. Utgångspunkten är således att det krävs samtycke från den enskilde, om det inte finns särskilda regler. All insamling av personuppgifter måste anmälas och godkännas av Datatilsynet.
I Danmark görs en uppdelning mellan fyra olika typer av bio- banker: kliniska biobanker, forskningsbiobanker, donationsbiobanker och biobanker för andra hälsoändamål.1 Med kliniska biobanker avses sådana där insamling sker för diagnostiska och behandlings- ändamål. I forskningsbiobanker sker insamlingen till vetenskapsetiskt godkända forskningsprojekt. I donationsbiobanker är vävnadspro- verna insamlade av frivilliga donatorer med syftet att behandla en viss patient eller en närmare angiven patientgrupp. Biobanker för andra hälsoändamål är sådana som inte tillhör någon av de andra kategorierna, men som ändå har ett hälsoändamål. Alla danska bio- banker inom hälsoområdet omfattas av regleringen, oavsett om de har en offentlig eller privat huvudman.
För själva provtagningen krävs som huvudregel informerat sam- tycke från provgivaren. Reglerna för insamling och bevarande skiljer sig åt beroende på vilken typ av biobank som avses. När det gäller kliniska biobanker kan provgivaren besluta att det lämnade mate- rialet endast får användas för hans eller hennes egen behandling och till ändamål som har direkt anknytning därtill (29 § sundhetsloven). Provgivarens beslut ska anmälas till det så kallade vævsanvendelses- registeret vid Ministeriet for Sundhed og Forebyggelse. Om någon önskar använda biobanksprover till annat än den enskildes vård, till exempel forskning, har den biobanksansvarige ansvar för att via registret ta reda på provgivarens inställning (29 § fjärde stycket sundhetsloven). Provgivaren kan begära att vävnadsprovet förstörs (33 § sundhetsloven). Provgivaren kan begära att ett vävnadsprov som han eller hon har lämnat ska utlämnas till honom eller henne. För detta krävs dock att provgivaren kan visa att han eller hon har ett särskilt intresse av detta.
1 SOU 2010:81 s. 108.
279
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
När det gäller biobanker för forskning gäller persondataloven och loven om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter. Huvudregeln är således samtycke från prov- givaren. Det är inte möjligt att inrätta en biobank generellt för forsk- ning, men väl för ett specifikt forskningsändamål. För att få inrätta en biobank krävs godkännande av Datatilsynet. Vid användande av biobanksprover för specifika forskningsändamål krävs som framgått vanligtvis tillstånd från en etisk kommitté.
Av persondataloven följer att vävnadsproverna som huvudregel inte får användas till andra ändamål än dem som provgivaren har informerats om och uttryckligen samtyckt till. Sundhedsloven inne- håller dock särskilda regler om utlämnande för statistiska ändamål och forskningsändamål. Biologiskt material, som en patient har lämnat i samband med medicinsk behandling, kan lämnas ut till en forskare för ett konkret biomedicinskt forskningsprojekt, om pro- jektet har godkänts av en vetenskapsetisk kommitté och patienten inte har låtit registrera någon begränsning i det ovan nämnda vævs- anvendelsesregisteret (32 § sundhetsloven). I samband med det forsk- ningsetiska godkännandet ska kommittén ta ställning till om det ska krävas ett särskilt informerat samtycke från provgivaren för projek- tet eller inte.
7.1.5Danmarks Statistik
Danmarks Statistik är den centrala myndigheten för dansk statistik. På myndigheten finns en särskild forskningsserviceenhet, som är en del av avdelningen för försäljning och marknadsföring. På enheten arbetar för närvarande 16 akademiker och
Från Danmarks Statistik kan forskare få tillgång till anonymise- rade data om personer, familjer, hushåll, arbetsplatser och företag. Uppgifter lämnas endast ut till auktoriserade institutioner. Efter an- sökan gör Danmarks Statistik en bedömning av forskningsmiljön. För auktorisation krävs att det rör sig om en stabil forsknings- och analysmiljö med en ansvarig chef och flera forskare eller analytiker. Vid bedömningens läggs särskild vikt vid miljöns kompetens när det gäller hantering av registerdata och kännedom om de datasäker- hetsregler som gäller för hantering av data från Danmarks Statistik. Vid auktorisering ingår institutionen eller organisationen ett aukto-
280
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
riseringsavtal med Danmarks Statistik. I avtalet regleras villkoren för åtkomst av data från Danmarks Statistik. Den eller de som utses till ansvariga forskare på en auktoriserad institution ska ha kontroll över organisationen och har ansvar för att informera sina medarbetare om vilka regler som gäller. Om en forskare på en auktoriserad insti- tution bryter mot reglerna kan forskaren stängas av från användande under minst tre år. Det medför också att enheten fråntas sin aukto- risation under en period.
För närvarande finns cirka 360 auktoriserade institutioner i Danmark. Till de offentliga auktoriserade institutionerna hör till exempel institutioner på universitet, kommuner och regioner. Även privata forskningsinstitutioner kan bli auktoriserade av Danmarks Statistik, såsom intresseorganisationer, konsultfirmor, företag och tankesmedjor. Privatpersoner kan inte bli auktoriserade som mot- tagare av uppgifter från Danmarks Statistik. Utländska forskare kan endast få tillgång till uppgifter om de är anslutna till en dansk forskningsmiljö som är auktoriserad, vilket innebär att den danska aktören tar fullt ansvar för den utländska forskaren i förhållande till Danmarks Statistik.
För att få ut uppgifter från Danmarks Statistik krävs en projekt- beskrivning av vilken projektets ändamål, population och period framgår. Av beskrivningen ska det också framgå om uppgifterna ska sambearbetas med uppgifter från andra källor. För utlämnande av mikrodata gäller ändamålsprincipen, det vill säga forskaren kan bara få tillgång till de uppgifter som behövs för att uppfylla ända- målet med forskningen. Det åligger forskaren att i sin ansökan till Danmarks Statistik visa ett rimligt samband mellan de efterfrågade uppgifterna och projektbeskrivningen. När Danmarks Statistik har godkänt projektbeskrivningen beräknas priset och kontrakt upp- rättas.2 Därefter lämnas uppgifterna ut och överförs till ett online- system för utlämnande av mikrodata. Forskningsservern är skild från myndighetens övriga nätverk och innehåller endast kodade uppgifter för forskningsändamål. Sedan forskaren undertecknat ett sekretessavtal får han eller hon tillgång till uppgifterna genom en krypterad och säker kanal på Internet. Forskaren får inte skriva ut eller på något annat sätt överföra data från servern. Alla resultat samlas i en särskild fil och utskrifterna skickas till forskaren per e- post. Alla mail loggas hos Danmarks Statistik och kontrolleras av forskarserviceenheten på myndigheten.
2 Kontrakt upprättas som regel endast om kostnaden överstiger 10 000 DKR.
281
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
När det gäller uttag av uppgifter från Danmarks Statistik krävs det inte något tillstånd från Datatilsynet. Det finns ett generellt till- stånd för de forskningsmiljöer som är auktoriserade av Danmarks Statistik.
Auktoriserade enheter har möjlighet att samla sina register hos Danmarks Statistik i så kallade projektdatabaser. Det ska finnas en koppling mellan de uppgifter som samlas i databasen och databasens ändamål. En eller två projektadministratörer får tillgång till upp- gifterna i databasen. Uppgifter ur en projektdatabas får lämnas ut till den auktoriserade enheten efter en översiktlig prövning av Danmarks Statistik.
Danmarks Statistik kan koppla data från sina egna register med uppgifter från andra källor, till exempel Statens Serum Institut. Vid sambearbetning av uppgifter från Danmarks Statistik med uppgifter från andra källor krävs tillstånd från Datatilsynet.
Kodnycklar för översättning av koder och personnummer sparas som huvudregel i tjugo år.
7.1.6Statens Serum Institut
År 2012 beslutades att alla hälsorelaterade uppgifter under Ministeriet for Sundhed og Forebyggelse skulle samlas hos samma institution. Statens Serum Institut (SSI) är sedan dess ansvarigt för ett stort antal hälsoregister med upplysningar om befolkningens hälsoförhållan- den, till exempel cancerregistret, dödsorsaksregistret och patient- registret. SSI ansvarar också för Danmarks nationella biobank och smittskyddsverksamheten.
Även SSI har en forskarservice som har till uppgift att under- lätta forskningen inom hälsoområdet. För att få tillgång till upp- gifter från SSI krävs som huvudregel tillstånd från Datatilsynet. SSI och cirka tvåhundra institutioner och organisationer har emellertid ingått ett auktorisationsavtal och i sådana fall görs ingen reell pröv- ning av Datatilsynet. Institutionen åtar sig att en gång om året skicka en förteckning över vilka datauppgifter institutionen förfogar över till Datatilsynet.
Om forskningen innebär forskning på människor eller mänsklig vävnad krävs godkännande av en forskningsetisk kommitté.
Forskare som är anslutna till en auktoriserad enhet kan få tillgång till data på en så kallad forskningsmaskin. Forskningsmaskinen består av en databasserver där kopior av alla SSI:s register finns.
282
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
Personnummer är dock krypterade och variabler som möjliggör identifiering av enskilda personer är borttagna. Den enskilde forska- ren registreras som användare och kan därefter få åtkomst till ett urval av de data som ligger på servern. Användaren får också tillgång till personliga mappar på en analysserver där datauttag, egna popu- lationer och egna registerdata kan sparas. Det är inte möjligt att bearbeta data utanför analysservern. Resultat, grafer med mera som inte innehåller identifierbara uppgifter om enskilda kan skickas till forskaren. I särskilda fall är det möjligt att få ta del av direkt identi- fierbara personuppgifter, till exempel vid kontroll av journaler eller enkätundersökningar.
7.2Finland
7.2.1Offentlighet och sekretess
De grundläggande fri- och rättigheterna regleras i andra kapitlet i Finlands grundlag (11.6.1999/731). Kapitlets 12 § innehåller stad- ganden om yttrandefriheten och offentligheten. Av bestämmelsen framgår att handlingar och upptagningar som innehas av myndig- heterna är offentliga, om inte offentligheten av tvingande skäl sär- skilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Närmare bestämmelser om rätten att ta del av allmänna handlingar, tystnadsplikt och handlings- sekretess finns i lagen om offentlighet i myndigheternas verksamhet (21.5.1999/621). Lagen är tillämplig vid all offentlig maktutövning. Förutom för sedvanliga myndigheter inom statlig och kommunal förvaltning gäller offentlighet även för statliga eller kommunala affärs- verk samt för privata organ som med stöd av lag utövar offentlig makt eller utför ett offentligt uppdrag (4 §).
Lagen medför inte endast en rätt att ta del av allmänna hand- lingar eller få kopior av sådana handlingar. Den innebär också en skyldighet för myndigheterna att främja möjligheterna att ta del av en handling och en god informationshantering (5 kap.).
Grundregler om handlingssekretess och tystnadsplikt finns i sjätte kapitlet. Begränsningar i offentligheten får göras med hänvisning till vissa särskilt angivna skyddade intressen. Dessa kan vara både enskilda och allmänna. Utgångspunkten är att det är själva hand- lingen som är sekretessbelagd. En del av en handling kan emellertid
283
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
vara offentlig och den ska lämnas ut om detta kan ske utan att sekretessbelagda uppgifter röjs (10 §).
I 24 § finns en uppräkning av de vanligast förekommande sekre- tessgrunderna. Enligt punkten 16 gäller sekretess för handlingar som överlämnats till statistikmyndigheter för statistikframställning liksom handlingar som frivilligt överlämnats till en myndighet för forskning eller statistikföring. Bestämmelser om sekretess finns även i andra lagar.
Utlämnande av sekretessbelagda uppgifter kan ske i vissa fall, dels om det i lag föreskrivs en rätt att lämna ut eller få uppgifter och dels om den vars intresse sekretessen ska skydda samtycker till ett utlämnande. Vidare kan, om inte något annat föreskrivs i lag, en myndighet i enskilda fall bevilja tillstånd att ta del av sekretess- belagd handling för vetenskaplig forskning eller statistik eller för ett sådant planerings- eller utredningsarbete som en myndighet utför, om det är uppenbart att de intressen som sekretessen är avsedd att skydda inte kränks om uppgifterna lämnas ut (28 §). Prövningen av om tillstånd ska beviljas ska utgå från att den vetenskapliga forsk- ningens frihet ska tryggas. Om uppgifter har lämnats ut till en myn- dighet med samtycke får tillstånd inte beviljas i strid med de villkor för användning och utlämnande som uppställts i samtycket.
Om tillstånd behövs för handlingar som finns hos flera myndig- heter som är underställda samma ministerium, fattar ministeriet beslut om beviljande om tillstånd efter att vid behov ha hört myndigheterna.
Ett tillstånd kan beviljas för viss tid och till tillståndet ska fogas föreskrifter som behövs för att skydda allmänna och enskilda in- tressen. Ett tillstånd kan återkallas om det efter en prövning anses finnas skäl till det.
7.2.2Personuppgiftsbehandling
Behandling av personuppgifter regleras i personuppgiftslagen (22.4.1999/523). Personuppgifter får behandlas endast med den registrerades entydiga samtycke (2 kap. 8 § första punkten). Enligt 4 kap. 14 § får dock personuppgifter behandlas i forskning3 utan den enskildes samtycke, men endast om vissa krav är uppfyllda. En förutsättning är att forskningen inte kan bedrivas utan uppgifter med hjälp av vilka personer kan identifieras4 och det på grund av det
3I lagen anges historisk eller vetenskaplig forskning.
4I lagen anges individualiseras.
284
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
stora antalet uppgifter, uppgifternas ålder eller av någon annan sådan orsak inte är möjligt att inhämta samtycke av de registrerade. Använd- ningen av personregistret ska grundas på en forskningsplan och det ska finnas en ansvarig ledare eller en grupp som ansvarar för forsk- ningen. Uppgifter som behandlas för forskningsändamål får bara lämnas ut till forskning. Verksamheten ska även i övrigt bedrivas så att uppgifter om bestämda personer inte röjs för utomstående. När personuppgifterna inte längre behövs för att bedriva forskningen eller för att säkerställa riktigheten av dess resultat ska det förstöras, arkiveras eller ges en sådan ändrad form att den som uppgifterna hänför sig till inte kan identifieras.
Behandling av känsliga personuppgifter är förbjuden (3 kap. 11 §). Med känsliga uppgifter avses personuppgifter som beskriver eller vilkas syfte är att beskriva ras eller etniskt ursprung, någons sam- hälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund, en brottslig gärning eller ett straff eller någon annan påföljd för ett brott, någons hälsotillstånd, sjuk- dom eller funktionsnedsättning eller vårdåtgärder eller därmed jäm- förbara åtgärder, någons sexuella läggning eller beteende eller någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. Det finns dock undantag från förbudet, till exempel om den enskilde gett sitt ut- tryckliga samtycke till behandlingen. Förbudet utgör inte heller hinder för behandling av uppgifter för historisk eller vetenskaplig forsk- ning eller för statistikföring (3 kap. 12 § 6). Känsliga personupp- gifter ska utplånas så snart det inte längre finns någon grund för behandlingen. Grunden och behovet ska som regel bedömas minst vart femte år.
Personbeteckning får enligt 3 kap. 13 § behandlas med den re- gistrerades entydiga samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas bland annat för historisk eller vetenskaplig forskning. Den registeransvarige ska se till att personbeteckningen inte i onödan antecknas i handlingar.
Den registeransvarige ska göra en registerbeskrivning över ett personregister som ska hållas allmänt tillgänglig. Av beskrivningen ska det bland annat framgå vem som är registeransvarig, ändamålet med behandlingen och en beskrivning av de grupper som är registre- rade (2 kap. 10 § ).
Viss form av personuppgiftsbehandling ska anmälas till Dataom- budsmannen. Vid automatisk behandling av personuppgifter ska den registeransvarige underrätta Dataombudsmannen genom att
285
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
skicka en registerbeskrivning (8 kap.
7.2.3Etikprövning
I lag om medicinsk forskning (9.4.199/488) (forskningslagen) finns bestämmelser om etikprövning av viss forskning. Enligt lagen får medicinsk forskning och klinisk läkemedelsprövning utföras först sedan en etisk kommitté har avgett ett positivt utlåtande om forsk- ningsplanen (3 § andra stycket). Med medicinsk forskning avses sådan forskning som innebär ingrepp i en människa eller ett mänskligt embryo eller foster och vars syfte är att öka kunskapen om hälsa, sjukdomsorsaker, symtom, diagnostik, vård, prevention av sjukdomar eller sjukdomarnas beskaffenhet i allmänhet. Med klinisk läkemedels- prövning menas en interventionsprövning på människor, genom vilken läkemedlets effekter på människan samt absorption, sprid- ning, metabolism eller utsöndring i organismen reds ut. Medicinsk forskning prövas av de regionala etiska kommittéer som ska finnas vid varje sådant sjukvårdsdistrikt som har ett universitet som ger läkarutbildning (16 och 17 §§). Utlåtanden om kliniska läkemedels- prövningar ges av den nationella kommittén för medicinsk forsk- ningsetik, om denna inte överför frågan till en regional kommitté.
286
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
Utöver bestämmelserna i forskningslagen kan forskningsinstitut och registerhållande myndigheter ställa upp egna etiska krav för be- handling av personuppgifter.
7.2.4Biobanker
Den finska biobankslagen (30.11.2012/688) trädde i kraft den 1 september 2013. Lagen har till syfte att stödja forskning som använ- der sig av prover från människa, främja öppenheten i användningen av prover och säkerställa integritetsskyddet och självbestämmande- rätten vid hanteringen av prover (1 §). När det gäller uppgifter som innehas av en myndighet tillämpas lagen om offentlighet i myndig- heternas verksamhet (se ovan) när det gäller offentlighet, hemlig- hållande och utlämnande av uppgifter, och på annan behandling av personuppgifter personuppgiftslagen, om inte annat föreskrivs i bio- bankslagen.
En biobank definieras som en enhet där huvudmannen utövar biobanksverksamhet och där prover och tillhörande uppgifter samlas in och förvaras för kommande biobanksforskning (3 §). En bio- bank kan inrättas av en enskild eller offentlig inrättning eller annan juridisk person som har ekonomiska och verksamhetsmässiga möjlig- heter samt juridiska och forskningsmässiga förutsättningar att för- valta en biobank och hantera prover (6§). Dessutom krävs det ett positivt utlåtande från den nationella kommittén för medicinsk forskningsetik.
Användning, förvaring och annan hantering av prover i en bio- bank ska vara motiverad med beaktande av den forskning som ut- nyttjar proverna. Biobanken äger de prover som den innehar om inte något annat uttryckligen har avtalats om överföring av proverna (7 §). Beslut som gäller biobanken fattas av biobankens ägare, som också svarar för de skyldigheter som ålagts biobanken. Biobankens ägare ska utse en biobanksansvarig för biobanken.
Enligt biobankslagen grundas rätten att hantera prover som huvud- regel på samtycke, om inte annat föreskrivs i lagen eller någon annan lag (11 §). En person kan ge sitt samtycke till att ett prov som tagits eller ska tas från honom eller henne förvaras i en biobank och används i biobanksforskning, till att personuppgifterna lämnas ut, till att registeruppgifter om honom eller henne kan sambearbetas och till att prover och uppgifter som han eller hon gett hanteras och behandlas på annat sätt. Samtycket ska ges skriftligen. Vårdnads-
287
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
havaren ger samtycke för en minderårigs räkning. Den som ska ge ett samtycke ska dessförinnan få tillräcklig information om biobanks- forskningens natur, eventuella olägenheter, syftet med tagandet och förvaringen av prover, provernas ägare och den biobank som för- varar proverna, frivilligheten vid givande av samtycke och möjlig- heten att begränsa eller återkalla samtycket utan negativa följder. Informationen ska vara tydlig och begriplig. Den ska lämnas på ett ändamålsenligt sätt och alltid skriftligt.
En person har när som helst rätt att återkalla eller ändra ett samtycke eller att förbjuda eller begränsa användningen av ett prov i forskning, förutsatt att provet är identifierbart. När ett samtycke återkallas eller användningen begränsas eller förbjuds ska den bio- banksansvarige underrättas om detta. Anmälan från den registre- rade ska vara skriftlig.
När det gäller gamla prover föreskrivs i 13 § att de och tillhörande uppgifter får överföras till en biobank trots sekretessbestämmelser. Överföringen får dock inte äventyra patienternas vård. Även prover tagna av högskolor, forskningsinstitut, verksamhetsenheter inom hälso- och sjukvården och andra enheter, och tillhörande uppgifter får överföras. Ett villkor för överföring är att en regional etisk kom- mitté har gett ett utlåtande om användningen av proverna för bio- banksforskning. Överföringen får inte göras om den som har rätt att ge samtycke förbjuder överföringen eller om det finns skäl att anta att personen under sin livstid skulle ha motsatt sig användningen av proverna för forskning eller om den etiska kommittén anser att överföringen av proverna inte är etiskt godtagbar. Om kommittén inte anser överföringen bör göras kan beslutet överklagas till Till- stånds- och tillsynsverket för social- och hälsovården.
Innan överföringen görs ska de registrerade underrättas om det ändrade användningssyftet. Av meddelandet ska det framgå att pro- verna och uppgifterna kan komma att användas för biobanksforsk- ning. Till meddelandet ska fogas en redogörelse för biobanksforsk- ningens art och en anvisning om givande av samtycke och rätten att förbjuda användning av prover, uppgifter om den biobank som för- varar proverna, uppgifter om behandlingen i den etiska kommittén och om tidpunkten för överföringen samt kontaktinformation till den som vill ha ytterligare uppgifter. Om det på grund av provernas ålder, det stora antalet prover eller av någon annan motsvarande orsak inte med skäliga ansträngningar är möjligt att skaffa de registre- rades kontaktinformation, ska sådant meddelande publiceras i den
288
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
officiella tidnigen5, ett allmänt datanät och vid behov i dagstid- ningar.
När prover samlas in eller överförs till en biobank får, om per- sonen gett sitt samtycke, uppgifter om den registrerade och hans eller hennes hälsotillstånd samt uppgifter som den registrerade gett om faktorer som inverkar på hans eller hennes hälsa fogas till provet, om personen har gett sitt samtycke (14 §).
I biobankslagen finns särskilda krav avseende aktsamhetsplikt, det vill säga skydd för uppgifter som gäller utöver personuppgifts- lagens bestämmelser. En biobank har rätt att föra personregister för biobanksforskning
En biobank får lämna ut, undersöka och på annat sätt hantera och behandla prover och uppgifter som den förvarar, om den till- tänkta användningen motsvarar det forskningsområde som fastställts för biobanken och om grunden och villkoren för hanteringen av provet och de villkor och begränsningar som anges i biobankslagen, annan lag eller som biobanken fastställt iakttas i forskningen och i hanteringen av proverna och behandlingen av uppgifterna (26 §). Vidare ska den som tar emot proverna eller uppgifterna ha yrkes- mässig och vetenskaplig kompetens för hanteringen av proverna och för behandlingen av uppgifterna. Proverna och tillhörande upp- gifter ska kodas innan de lämnas ut för forskning, om det inte finns särskilda skäl att förfara på annat sätt. De koder som används vid utlämnandet skapas för varje enskilt projekt i samband med utläm- nandet. Den kodnyckel som används vid förvaringen av prover och uppgifter får inte lämnas ut från biobanken. Personuppgifter får läm- nas ut endast med samtycke av den registrerade eller någon annan som har rätt att ge samtycke, om det inte finns någon annan i denna lag föreskriven grund för utlämnandet.
En biobank får begränsa utlämnandet av prover endast under vissa förutsättningar, till exempel att säkerställa att prover i prov- samlingar bevaras eller av forskningsetiska skäl (27 §).
5 Officiella tidningen är tvåspråkig, på finska och svenska, och utges genom finska statens försorg. I tidningen införs bland annat de meddelanden, kungörelser och andra handlingar som enligt lag ska tillkännages i officiell tidning. Tidningen regleras i lag om den officiella tid- ningen (2.10.1931/268).
289
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
Enligt 28 § får en biobank lämna ut nödvändiga personuppgifter till Institutet för hälsa och välfärd eller någon annan registeransva- rig, om det för genomförandet av forskningen är motiverat att sam- bearbeta uppgifterna i den registeransvariges personregister med prover eller uppgifter i biobanken och utlämnandet uppfyller vill- koren i 26 §. Institutet för hälsa och välfärd och andra register- ansvariga ska innan uppgifterna lämnas vidare till den som ansvarar för forskningen förse dem med samma projektspecifika kodbeteck- ning som används av biobanken, om inte den registrerade eller någon annan som har rätt att ge samtycke har gett ett uttryckligt samtycke till utlämnande av identifierbara personuppgifter.
Mottagarens skyldigheter framgår av 29 §. Mottagaren får förvara och använda de prover och tillhörande uppgifter som lämnats ut från en biobank under den tid som forskningen varar enligt en forsk- ningsplan, om det inte har avtalats om en längre förvaringstid. Om mottagaren enligt avtalet har rätt att förvara prover för framtida forskning, ska bestämmelserna i biobanklagen om villkoren för han- teringen av proverna iakttas. Mottagaren ska vidare genom avtal åläggas en skyldighet att publicera resultaten av biobanksforsk- ningen (27 §).
7.2.5Statistikcentralen
I Finland har Statistikcentralen det huvudsakliga ansvaret för pro- duktionen av den officiella statistiken. Verksamheten regleras av statistiklagen (23.4.2004/280), som innehåller bestämmelser om de förfaringssätt och principer för insamling av uppgifter och framställ- ning av statistik som ska tillämpas när statliga myndigheter framställer statistik. Bestämmelser om offentlighet och sekretess beträffande uppgifter som lämnats för statistiska ändamål samt om tystnadsplikt och förbud mot utnyttjande finns i lagen om offentlighet i myndig- heternas verksamhet (se ovan). Som huvudregel är handlingar som överlämnats till statistikmyndigheter för statistikframställning sek- retessbelagda (24 § 16 lagen om offentlighet i myndigheternas verk- samhet). En statistikmyndighet får dock lämna ut sekretessbelagda uppgifter för vetenskaplig forskning och statistiska utredningar som gäller samhällsförhållanden (13 § statistiklagen). Enligt huvudregeln i 13 § tredje stycket får en statistikmyndighet endast lämna ut anony- miserade uppgifter för sådana ändamål. Enligt 19 § statistiklagen får Statistikcentralen dock lämna ut identifikationsuppgifter och uppgift
290
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
om en persons ålder, kön, yrke och socioekonomiska ställning om uppgifterna ska användas för vetenskaplig forskning eller för stati- stiska utredningar om samhällsförhållandena och den som får upp- gifterna har rätt att behandla uppgifterna enligt personuppgiftslagen.
Oberoende av sekretessbestämmelsen får en statistikmyndighet producera och för offentligt bruk överlåta sådana avidentifierade filer med uppgifter som samlats in för statistiska ändamål och som har bearbetats på ett sådant sätt att det statistiska objektet inte heller indirekt kan identifieras. (13 a § statistiklagen). Undantagna från sekretessen är offentliga uppgifter i företagsregistret samt de offent- liga uppgifter som beskriver statliga och kommunala myndigheters verksamhet.
En organisation kan ingå avtal med Statistikcentralen om använd- ning av uppgifter på distans. Vid uppkoppling via nätet öppnas en distansanslutning mellan forskarens arbetsstation och Statistik- centralens server. Forskaren får tillgång till Statistikcentralens material via en skyddad uppkoppling. Det är också möjligt att få tillgång till material som inte är skyddat mot indirekt identifiering. Undersök- ningsmaterial eller annat material får överföras från systemet bara när det har genomgått en kontroll av Statistikcentralen.
En forskare kan hyra en forskarplats i Statistikcentralens forsk- ningslaboratorium. I laboratoriet kan forskaren bearbeta skyddade material på en dator som han eller hon har till sitt förfogande. Forskaren kan också få tillgång till skyddade urvalsmaterial på en cd- eller
7.2.6Institutet för hälsa och välfärd
Institutet för hälsa och välfärd (THL) ansvarar för ett antal register som innehåller hälsodata, bland annat födelseregister, abortregister, register över uppgifter om missbildningar, finska cancerregistret och vårdanmälningsregistret för öppen primärvård. Uppgifterna i
291
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
att uppgifterna ska sambearbetas med uppgifter från andra register är det möjligt att få ut identifierbara data.
THL lyder under Social- och hälsovårdsministeriet. Om forska- ren önskar tillgång till uppgifter hos flera av de myndigheter som lyder under Social- och hälsovårdsministeriet till exempel Arbets- hälsoinstitutet, Strålskyddscentralen, sjukvårdsdistrikt och kommu- nernas hälsovårdscentraler, ska tillstånd om utlämnande sökas hos Social- och hälsovårdsministeriet.
7.3Norge
7.3.1Offentlighet och sekretess
I Norge regleras tillgången till insyn i offentlig verksamhet av lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) (lov 19 maj 2006 nr. 16). Lagen innehåller allmänna regler om allmänhetens rätt till insyn i förvaltningsdokument. Enligt huvud- regeln i 3 § är “saksdokument“, journaler och liknande register hos en statlig eller kommunal myndighet offentliga om inte undantag gjorts i offentlighetsloven, föreskrifter meddelande med stöd av denna eller speciallagstiftning. Lagen gäller också i vissa fall för privata rättssubjekt (2 §). Lagen gäller inte för Stortinget, Riksrevisionen, Stortingets ombudsman, andra organ hos Stortinget eller domstolar- na. Med dokument avses en logiskt avgränsad informationsmängd som är lagrad på ett medium för senare läsning, avlyssning med mera, således även olika slags elektroniska upptagningar.
Reglerna om undantag från offentlighetsprincipen har samlats i tredje kapitlet. Upplysningar som är belagda med tystnadsplikt enligt lag eller föreskrift är undantagna från insynsrätten (13 §). Sekre- tessen är absolut, men kan dock brytas efter samtycke från den som sekretessen gäller. Det finns också fakultativa sekretessbestämmel- ser, det vill säga bestämmelser där dokument kan, men inte måste, sekretessbeläggas enligt offentlighetslagen. Detta gäller bland annat interna dokument som en myndighet har utarbetat inom ramen för förberedelser av ärendet och dokument som innehåller uppgift som kan skada rikets säkerhet med mera. Varje myndighet har i dessa fall en skyldighet att självständigt värdera om ett dokument bör offentliggöras eller inte. Enligt principen om ”meroffentlighet” (11 §) ska en myndighet om möjligt helt eller delvis ge insyn. Myndigheten
292
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
ska tillåta insyn om behovet av insyn väger tyngre än behovet av skydd.
De sekretessgrunder som anges i tredje kapitlet utvecklas och preciseras i de föreskrifter som har utfärdats i anslutning till offentlighetsloven och i speciallagstiftningen.
När det gäller en myndighets möjligheter att lämna ut uppgifter finns det i speciallagstiftningen vissa bestämmelser om uppgifts- skyldigheter som bryter tystnadsplikten. I 13 b § 5 och 6 lov om behandlingsmåten i forvaltningssaker (lov 10. februari 1967) (for- valtningsloven) anges också undantag från tystnadsplikten när det gäller uppgiftsutbyte mellan myndigheter. Enligt 13 d § kan, när det anses rimligt och inte bedöms olämpligt i förhållande till andra intressen, departementet bestämma att en myndighet kan eller ska lämna ut uppgifter för forskningsändamål. Bestämmelser om sådant utlämnande kan förenas med villkor, till exempel vem som ska ha ansvar för uppgifterna och vem som ska ha åtkomst till dem, om förvaring och återlämning av material, om förstörande av avskrifter med mera. Tystnadsplikt gäller för forskare för uppgift från en myn- dighet som där är belagd med tystnadsplikt och för uppgift som mottagits från enskild med löfte om sekretess (13 e §). Uppgifter får bara användas om det är nödvändigt för forskningsarbetet och om det är förenligt med villkor som uppställts enligt 13 d §.
7.3.2Personuppgiftsbehandling
Norge har implementerat dataskyddsdirektivet genom lov om be- handling av personopplysninger (personopplysningsloven) (lov 14. april 2000 nr. 31). Enligt 2 kap. 8 § får personuppgifter endast behandlas om den enskilde har samtyckt till behandlingen. Liksom i de övriga nordiska länderna görs dock vissa undantag från denna huvudregel, till exempel om den framgår av lag att behandlingen är tillåten eller att det är nödvändigt för att utföra en uppgift av allmänt intresse. Med sådant allmänt intresse avses bland annat forskning. Känsliga personer definieras i 2 § som upplysningar om rasmässig eller etnisk bakgrund, politisk, filosofisk eller religiös uppfattning, att en person varit misstänkt, anhållen, tilltalad eller dömd för en straffbar handling, hälsoförhållanden, sexuella förhållanden och med- lemskap i fackförening. Känsliga personuppgifter får endast behand- las om ett av villkoren i 2 kap. 8 § är uppfyllda och något av de för- hållanden som anges i 2 kap. 9 § är för handen. Känsliga person-
293
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
uppgifter får behandlas om den enskilde samtycker. De får också behandlas om det är nödvändigt för historiska, statistiska eller veten- skapliga ändamål och om samhällets intresse av behandlingen klart överstiger de olägenheter det kan medföra för den enskilde. Liksom i de andra nordiska länderna gäller vissa grundkrav för att behand- lingen ska vara tillåten (2 kap. 11 §), till exempel att uppgifter bara får behandlas för uttryckligt angivna ändamål som är sakligt berätti- gade med hänsyn till den personuppgiftsansvariges verksamhet och att behandling för andra ändamål som är oförenliga med det ur- sprungliga inte får ske utan den registrerades samtycke. Enligt andra stycket ska senare behandling för historiska, statistiska eller veten- skapliga ändamål inte anses oförenliga med det ursprungliga ändamålet om samhällets intresse av att behandlingen kommer till stånd klart överstiger den olägenhet som behandlingen kan medföra för den enskilde. Enligt 2 kap. 12 § får personnummer bara behandlas om det finns ett behov av säker identifiering och metoden är nödvändig för att uppnå sådan identifiering.
All automatiserad behandling av personuppgifter och upprättan- det av manuella register som innehåller känsliga personuppgifter ska anmälas till Datatilsynet (31 §). Anmälan ska bland annat inne- hålla uppgift om vem som är personuppgiftsansvarig, när behand- lingen börjar, vem som har det dagliga ansvaret för behandlingen, ändamålet med behandlingen och den rättsliga grunden för behand- lingen.
För behandling av känsliga personuppgifter krävs tillstånd (kon- session) från Datatilsynet. Datatilsynet kan bestämma att även be- handling av andra personuppgifter kräver tillstånd, om behandlingen kommer att kränka tungt vägande integritetsintressen. Om det fram- går att tillstånd är uppenbart onödigt kan Datatilsynet bestämma att behandlingen inte kräver tillstånd. Datatilsynet kan förena tillståndet med särskilda villkor för behandlingen om det bedöms nödvändigt för att begränsa olägenhet för den enskilde.
När det gäller behandling av personuppgifter inom medicin- och hälsoområdet finns särskild lagstiftning som ska beaktas. Behand- ling av personuppgifter inom hälso- och sjukvården regleras av lov om helseregistre og behandling av helseopplysninger (lov 18. maj 2001 nr. 24)(helseregisterloven). Syftet med lagen är inte bara att garantera att personuppgiftsbehandlingen inom sjukvårdsverksam- heten sker på ett effektivt sätt utan att kränka den enskildes integritet, utan också att göra det möjligt för forskning och statistik att bidra till information och kunskap om hälsoförhållandena inom befolk-
294
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
ningen (1 §). Med hälsoregister avses en samling av hälsouppgifter som lagras systematiskt så att uppgifterna om en enskild person kan identifieras (2 § 6). Denna definition omfattar allt från elektro- niska patientjournaler till landsomfattande hälsoregister som bara används för statistik och forskning. Lagen gäller enligt 3 § helt eller delvis automatiserad behandling av hälsodata inom vård- och omsorg samt behandling av hälsodata i ett hälsoregister eller Helsearkiv- registeret i Norsk helsearkiv. Lagen gäller både offentlig och privat verksamhet.
Helseregisterlovens huvudregel är att registrering ska baseras på den enskildes samtycke. Kravet på samtycke innebär att den enskilde först ska ges grundlig information vad en registrering innebär och sedan aktivt ska samtycka till registrering.
De centrala hälsoregistren regleras i 2 kap 8 §. De är nationella och det är möjligt införa bestämmelser om att uppgifter till registren ska få samlas in utan enskildas samtycke. I de register som anges i lagen får uppgift om namn, födelsenummer och andra direkt identi- fierbara uppgifter behandlas utan samtycke från den registrerade i den utsträckning det är nödvändigt för att uppnå ändamålet med registret. Dessa register är dödsorsaksregistret, cancerregistret, medicinska födelseregistret, registret över smittsamma sjukdomar, det centrala tuberkulosregistret, systemet för vaccinationskontroll (SYSVAK), försvarets hälsoregister, norska patientregistret, nationella databasen för elektroniska recept och nationella registret över hjärt- och kärl- sjukdomar.
7.3.3Personvärnsombud
I stället för att begära tillstånd från Datatilsynet inför varje forsk- ningsprojekt kan en forskningshuvudman anmäla ett personvärns- ombud (personvernombod). Norsk samfunnsvitenskapelig data- tjeneste AS (NSD) är personvärnsombud for forskning och cirka 150 forskningsinstitutioner har anmält NSD som sitt personvärns- ombud. Till dem hör till exempel alla universitet, högskolor och sjuk- hus. Forskare som ska genomföra ett projekt som innebär behand- ling av personuppgifter ska anmäla det till personvärnsombudet. Anmälningsplikt gäller vid automatiserad behandling av personupp- gifter och vid all behandling av känsliga personuppgifter. Anmäl- ningsplikten gäller även om uppgifterna är kodade. Projektet ska anmälas senast 30 dagar innan datainsamlingen börjar. Personvärn-
295
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
sombudet värderar forskningsprojektet i förhållande till bestämmel- serna i personopplysningsloven och tillhörande föreskrifter, och om projektet inte överensstämmer med regelverket kan ombudet komma med förslag på vilka ändringar som bör göras. Projektet får inte påbörjas innan det har godkänts av personvärnsombudet. I de fall tillstånd från Datatilsynet krävs utformar personvärnsombudet tillsammans med den sökande ansökan. Tillstånd kan till exempel vara nödvändigt för projekt som behandlar känsliga personupp- gifter som rör ett stort antal personer och som kommer pågå under lång tid eller vid behandling av stora datamängder som inte är till- fredställande anonymiserade eller om bortfallsanslyser ska göras.
Personvärnsombudet ska vidare bland annat bistå forskare med information inom personuppgiftshantering och arkivering samt föra en översikt över alla pågående behandlingar.
7.3.4Etikprövning
Forskning inom medicin- och hälsoområdet regleras i lov om medisinsk og helsefaglig forskning (helseforskningsloven)(lov 20. juni 2008 nr. 44). Lagens ändamål är att främja god och etiskt för- svarbar forskning på medicin- och hälsoområdet. Lagen gäller för forskning på människor, biologiskt material från en människa och hälsodata. Även pilotstudier och utprövande av behandling forskning avses. Lagen innehåller krav på hur medicinsk och hälsovetenskap- lig forskning ska vara organiserad (2 kap.
Forskning med hälsouppgifter för andra ändamål än medicinsk- och hälsovetenskaplig forskning, till exempel för samhällsvetenskap- liga ändamål, regleras av personopplysningsloven och är anmälnings- pliktig till personvernombudet/Datatilsynet.
Ett forskningsprojekt ska förhandsgodkännas av en regional kom- mitté för medicinsk och hälsovetenskaplig forskning (3 kap. 9 § ). Den etiska kommittén ska göra en allmän forskningsetisk värdering av projektet och bedöma om det uppfyller kraven i lagen. Kommittén kan uppställa villkor för godkännande. Den regionala kommitténs beslut kan överklagas till den nationella forskningsetiska kommittén för medicin och hälsovetenskap (lov om behandling av etikk og redelighet i forskning (lov 30. juni 2006 nr. 56) (forskningsetikk- loven). Vid väsentliga förändringar av projektets ändamål, metod,
296
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
tidsplan eller organisation krävs nytt godkännande av kommittén. Om förändringarna är så stora att det anses utgöra ett nytt projekt ska en ny ansökan om förhandsgodkännande lämnas in.
Enligt 4 kap. 13 § helseforskningsloven krävs som huvudregel samtycke från deltagare i medicinsk och hälsovetenskaplig forskning. Samtycket ska vara informerat, frivilligt, uttryckligt och dokumenter- bart. Det ska bygga på information om ett specifikt forsknings- projekt. Forskningsdeltagare kan dock samtycka till att biologiskt material och hälsodata används för närmare bestämda, brett defini- erade forskningsändamål, så kallat brett samtycke (4 kap. 14 § ). Den regionala kommittén kan bestämma villkor för användandet av brett samtycke och kan föreskriva att en projektledare ska inhämta nytt samtycke om kommittén anser det nödvändigt. Forskningsper- soner som har avgett ett brett samtycke har rätt att få regelbunden information om projektet. Vid väsentliga ändringar i ett forsknings- projekt ska nytt samtycke inhämtas (4 kap. 15 §). Om det är svårt att inhämta nytt samtycke kan den regionala kommittén godkänna ny eller ändrad användning av tidigare insamlade biologiskt material eller hälsodata utan att samtycke inhämtas. Det kan bara ske om forskningen anses vara av väsentligt intresse för samhället och hänsyn till deltagarnas välfärd och integritet tillvaratas. Kommittén kan fast- ställa villkor för behandlingen. Samtycke behövs inte vid användning av anonymiserat biologisk material och anonymiserade uppgifter.6
I sjunde kapitlet helseforskningsloven finns särskilda bestämmel- ser som rör behandling av hälsouppgifter i medicinsk och hälso- vetenskaplig forskning. Behandlingen ska ha uttryckligt angivna ända- mål (7 kap. 32 §). Hälsouppgifter får inte användas för ändamål som är oförenliga med det ursprungliga ändamålet om inte den en- skilde lämnat sitt samtycke eller det följer av lag.
Den regionala kommittén kan bestämma att hälsouppgifter som samlats in inom vård- och omsorgsverksamhet får användas för forskning, och att det kan ske utan att tystnadsplikten förhindrar det. (7 kap. 35 § ). Det får bara ske om forskningen är av väsentligt intresse för samhället och hänsynen till deltagarnas välfärd och inte- gritet tillvaratas. Kommittén kan fastställa villkor för behandlingen. Reglerna om tysthetsplikt gäller även för den som mottar uppgifterna.
6 Enligt 1 kap. 2 § 3 helseregisterloven avses med anonymiserade uppgifter sådana uppgifter där namn, födelsenummer och andra personliga kännetecken har tagits bort så att uppgifter- na inte längre kan knytas till en enskild person.
297
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
7.3.5Biobanker
Biobanker regleras i Norge genom lov om behandlingsbiobanker (lov 21. februari 2003 nr. 12) (behandlingsbiobankloven) och helse- forskningsloven. Behandlingsbiobankloven reglerar diagnostiska bio- banker och behandlingsbiobanker, det vill säga samlingar av mänsk- ligt biologiskt material som har lämnats för medicinsk undersökning, diagnostik och behandling. Helseforskningsloven gäller för forsk- ningsbiobanker, vilket är samlingar av mänskligt biologiskt material som används i ett forskningsprojekt eller ska användas för forskning.
Enligt behandlingsbiobankloven krävs det i princip samtycke för insamling, bevarande och användning av vävnadsprover i diagnostiska biobanker och behandlingsbiobanker (11 §). Provgivaren måste informeras om att vävnadsprover under vissa förutsättningar kan komma att användas för forskningsändamål och ha fått tillfälle att motsätta sig forskning. Det finns ett register (reservasjonsregisteret) över dem som har motsatt sig att deras vävnadsprover används för forskning. Det är också möjligt för den enskilde att när som helst återkalla samtycket och att kräva att vävnadsprovet förstörs. För övriga kan vävnadsprover som har samlats in i hälso- och sjukvår- den användas för forskningsändamål. Den regionala kommittén för forskningsetik kan besluta att sådana vävnadsprover kan eller ska användas för forskningsändamål utan provgivarnas samtycke i varje enskilt fall (6 kap. 28 § helseforskningsloven). För att ett sådant pro- jekt ska godkännas av kommittén krävs det att forskningen är av väsentligt intresse för samhället och att hänsyn har tagits till prov- givarnas välfärd och integritet.
Enligt behandlingsbiobankloven kan utomstående ges tillgång till vävnadsprover i en diagnostisk biobank eller en behandlings- biobank, om det finns samtycke från provgivaren. Vid bedömningen om annan ska ges tillgång till materialet ska beaktas om tillgången kommer att försvåra myndighetens egen behandling av materialet, givarens intressen och av egen och andras behandling av materialet (3 kap. 15 §). Om givaren har motsatt sig vidarelämning ska det respekteras. En regional etikkommitté kan dock bestämma att väv- nadsprover som samlats in inom hälso- och sjukvård för diagnosti- cering och behandling kan eller ska lämnas ut för forskningsändamål utan inhämtande av den enskildes samtycke (6 kap. 28 § helesforsk- ningsloven). En förutsättning är att forskningen är av väsentligt intresse för samhället och hänsyn till den enskildes välfärd och inte- gritet tillvaratas.
298
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
För forskningsbiobanker gäller enligt helseforskningsloven att samtycket ska vara informerat, uttryckligt och dokumenterat (4 kap. 13 §). Huvudregeln är att samtycket ska bygga på specifik informa- tion om ett konkret forskningsprojekt, men som ovan anges finns det möjlighet att samtycket i stället kan avse närmare bestämda, brett definierade forskningsändamål (4 kap. 14§). Deltagarna har rätt till regelbunden information om projektet. Även för vävnads- prover som hör till forskningsbiobanker är det möjligt för enskilda att när som helst återkalla samtycket och att kräva att vävnadsprovet förstörs.
För upprättande av en forskningsbiobank krävs godkännande av en regional etikkommitté (6 kap. 25 §). För varje forskningsbiobank ska det finnas en ansvarig person med medicinsk eller biologisk utbildning.
Den ansvarige för en forskningsbiobank ska ge andra forskare tillgång till vävnadsprover i biobanken, om inte den forsknings- ansvarige själv har behov av proverna eller det annars finns särskilda skäl mot detta. Det krävs förhandsgodkännande från etikprövnings- nämnd.
7.3.6Statistisk sentralbyrå
Statistisk sentralbyrå (SSB) är den centrala myndigheten för insam- ling, bearbetning och förmedling av officiell statistik i Norge. Verk- samheten regleras av lov om offisiell statistikk og Statistisk sentral- byrå (lov 11. januari 2013 nr. 3) (statistikkloven). Utlämnande av uppgifter för forskningsändamål kan ske till forskare på godkända forskningsinstitutioner och till studenter på masters- och doktorand- nivå som står under handledning av någon vid en sådan institution. Grunden för SSB:s utlämnande av uppgifter för forskningsändamål är Datatilsynets beslut den 16 mars 2006.
SSB lämnar endast ut anonymiserade uppgifter om personer. Den som önskar använda uppgifter från SSB ska anmäla projektet till personvärnombudet NSD, personvärnombudet på den egna insti- tutionen eller till Datatilsynet. Projektet kan också kräva tillstånd av Datatilsynet. Forskningsinstitutionen ansöker själv hos den an- svariga myndigheten om rätt att få ut uppgifter till ett forsknings- projekt.
Om uppgifterna är sekretessbelagda ska forskaren ansöka om tillstånd till dispens från tystnadsplikten så att uppgifterna kan läm-
299
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
nas ut. Tillstånd söks hos den instans som är överordnad den registerhållande myndigheten. Det gäller de flesta uppgifter som är hämtade från förvaltningsregister. Även Datatilsynet ska ta ställning till dispens från tystnadsplikten enligt statistikkloven.
7.3.7Folkehelseinstituttet
Folkehelseinstituttet ansvarar för tio centrala hälsoregister, till exem- pel dödsorsaksregistret, medicinska födelseregistret, abortregistret och hjärtkärlregisteret. Registren används för hälsoövervakning i form av hälsostatistik och beredskap, kvalitetssäkring, forskning, administration och styrning. Folkehelseinstituttet ansvarar också för en del undersökningar inom hälsoområdet, till exempel Den norske mor og
Folkehelseinstituttet kan lämna ut uppgifter ur centrala hälso- register, undersökningar och biobanksprover för forskningsändamål. Uppgifterna kan lämnas ut i kodad form, men också i form av identifierbara uppgifter om det är nödvändigt för att projektet ska kunna genomföras.
7.4Sammanfattning
Samtliga de ovan angivna länderna har lagstiftning som medför långt- gående möjligheter för enskilda att ta del av offentliga handlingar. Huvudprincipen är att var och en har rätt till insyn i handlingar och upptagningar som innehas av en offentlig myndighet, om inte offent- ligheten har begränsats i lag. I Danmark faller dock register hos en myndighet som inte hör till något visst ärende utanför bestämmel- serna om offentlighet och regleras i stället av personuppgiftslagen. I samtliga länder finns bestämmelser som medger utlämnande av annars sekretessbelagda uppgifter för forskningsändamål.
Länderna har implementerat dataskyddsdirektivet genom en nationell personuppgiftslag. För behandling av personuppgifter krävs som huvudregel samtycke. Från huvudregeln görs dock i Sverige, Danmark och Norge undantag bland annat för behandling som är nödvändig med hänsyn till en uppgift av allmänt intresse, varav forskning har ansetts kunna utgöra ett sådant intresse. I den finska lagen anges uttryckligen att personuppgifter får behandlas för forsk-
300
SOU 2014:45 |
Erfarenheter från de nordiska länderna |
ningsändamål utan den enskildes samtycke om vissa villkor är upp- fyllda.
När det gäller definitionen av känsliga personuppgifter görs en vidare tolkning av begreppet i den danska och finska lagstiftningen. I samtliga länder finns undantag från förbudet mot behandling av känsliga personuppgifter för forsknings- och statistikändamål. I Danmark krävs tillstånd från Datatilsynet för behandling av känsliga personuppgifter. För auktoriserade institutioner på Danmarks Statistik och SSI gäller emellertid generella tillstånd för behandling av uppgifter från myndigheterna. I Finland gäller att behandling av känsliga personuppgifter för historisk eller vetenskaplig forskning eller för statistikföring ska anmälas till Dataombudsmannen, om uppgifterna samlats in från andra källor än den registrerade själv och utan den registrerades samtycke. I Norge ska all automatiserad be- handling av personuppgifter anmälas till Datatilsynet och för behand- ling av känsliga personuppgifter krävs tillstånd från samma myndig- het. När det gäller forskning kan forskningshuvudmannen, i stället för att begära tillstånd från Datatilsynet, anmäla ett personvärns- ombud och anmäla behandlingen dit.
När det gäller etikprövning av forskning skiljer sig bestämmel- serna åt i de nordiska länderna. I Finland och Danmark krävs etik- prövning endast vid medicinsk forskning och kliniska prövningar. I den danska lagen anges att enkätundersökningar och hälsoveten- skapliga registerforskningsprojekt är anmälningspliktiga endast om forskningen omfattar mänskligt biologiskt material. I Norge gäller att forskning inom medicin- och hälsoområdet, inklusive forskning på hälsodata, ska godkännas av en etisk kommitté.
I Danmark finns ingen särskild biobankslag, utan verksamheten regeras i annan lagstiftning. Som huvudregel utgör en biobank ett register med personuppgifter och faller därmed under personupp- giftslagens bestämmelser. All insamling och behandling av person- uppgifter måste anmälas och godkännas av Datatilsynet. Vävnads- prover får som huvudregel inte användas för andra ändamål än dem provgivaren uttryckligen samtyckt till. Vävnadsprov som lämnats för behandling kan dock lämnas ut för ett forskningsprojekt om pro- jektet godkänts av en etisk kommitté och patienten inte registerat sig i det så kallade vævsanvendelsesregisteret. I Norge regleras bio- banksverksamheten genom behandlingsbiobankloven och helse- forskningsloven. Även i Norge kan vävnadsprover som insamlats inom hälso- och sjukvård användas för forskningsverksamhet efter prövning av en etikkommitté. Liksom i Danmark finns det möjlig-
301
Erfarenheter från de nordiska länderna |
SOU 2014:45 |
het att genom registrering i ett reservasjonsregister motsätta sig användning av vävnadsprover för forskningsändamål. När det gäller forskningsbiobanker har den enskilde möjlighet att lämna samtycke till brett definierade forskningsändamål. I Finland finns i stället en särskild biobankslag som gäller för all biobanksverksamhet. Även här är huvudregeln för användning av prover och uppgifter som hör till proverna samtycke från den enskilde, men den enskilde kan ge breda samtycken till senare användning av proverna, till exempel för forskning.
302
8Bakgrund, nuläge och utmaningar
8.1Bakgrund
Vetenskapsrådets (VR) styrelse beslöt våren 2004 att utreda förut- sättningarna för att förbättra villkoren för forskning med svenska registerdata. En arbetsgrupp avlämnade sin rapport i september 2005. I den konstaterades att Sverige visserligen hade en framskjuten position internationellt när det gällde såväl epidemiologiska studier som annan forskning baserad på registeruppgifter, men att forskar- samhället ännu inte dragit tillnärmelsevis full nytta av den unika nationella resurs som finns i svenska register. Viktiga skäl bedöm- des vara otillräcklig teknisk och institutionell infrastruktur, brist- ande samordning mellan myndigheter och enskilda forskargrupper samt liten kännedom om de nationella registrens potential. Det fram- hölls också att registerbaserad forskning inte bara är spännande för forskarna utan också i högsta grad samhällsrelevant eftersom den bygger på detaljerade uppgifter om människors faktiska livsförhållan- den. Inte minst därför måste dock frågor om individens integritet och oro för missbruk av känsliga personuppgifter tas på största allvar.1
Rapporten resulterade i att VR hösten 2006 tillsatte en kommitté för att arbeta med frågan och dessutom avsatte resurser för ända- målet. Denna kommitté, Database Infrastructure Committee (DISC), fick bland annat i uppgift att stödja utbyggnaden av en infrastruk- tur för att göra data mer tillgängliga för forskare. Det ledde till en satsning på det så kallade
1 Strategi och infrastruktur för världsledande forskning på svenska register, Vetenskapsrådet
303
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Initiative for Research on Microdata in the Social and Medical Sciences (SIMSAM). Utlysningen innebar att bidrag gavs till ett antal forskargrupper och en forskarskola inom den befolkningsbaserade registerforskningens område. Grupperna fick också i uppdrag att driva registerforskningen framåt genom att sprida kunskaper till andra.2 VR har sedan 2012 även finansierat viss gemensam infra- struktur för
Våren 2012 avlämnade jag inom ramen för ett tidigare utred- ningsuppdrag, Statistikutredningen, ett delbetänkande, Registerdata för forskning (SOU 2012:36). Det resulterade i att regeringen i pro- positionen Forskning och innovation (prop. 2012/13:30) föreslog att VR skulle ges i uppdrag att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av register- uppgifter för forskningsändamål. Anslaget för detta ändamål före- slogs öka med 25 mnkr för 2013 och med ytterligare 25 mnkr per år för de följande tre åren. Riksdagen beslutade i enlighet med för- slaget. Regeringen har därefter i regleringsbrev till VR uppdragit åt myndigheten att genomföra det som regering och riksdag beslutat om. VR ska enligt regleringsbrevet bistå forskare med information om register och om relevant lagstiftning.4
VR har inlett ett arbete för att fullgöra dessa åtaganden. Det har delats in i tre delprojekt:
•att inrätta ett registerdataråd
•att tillhandahålla en
•att förbättra tillgängligheten till register för forskningsändamål genom samordning av data.
Registerdatarådet har inrättats i början av 2014 och har haft sitt första sammanträde under våren. I syfte att förbättra informationen till forskare har en särskild webbportal, registerforskning.se, öppnats i SIMSAM INFRAS:s regi. Avsikten är att den under året ska in- förlivas i VR:s arbete. Portalen ska vara en ingång för forskare som vill ha information om myndigheternas registerdata för forsknings- ändamål. VR har också initierat en utvärdering av
2SOU 2012:36, s 50.
3
4Information från Juni Palmgren och Maria Nilsson, VR,
304
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
och att undersöka möjligheterna till vidareutveckling av systemet liksom av en eventuell introduktion av ett liknande system vid Social- styrelsen. Förhoppningen är att dessa system ska kunna kommuni- cera med varandra.5 Det kan också bli aktuellt att undersöka möjlig- heterna att samordna ansökningar om etikprövning och utlämnande (sekretessprövning) när data begärs ut från flera olika myndigheter.
I december 2012 avlämnade jag Statistikutredningens slutbetänk- ande till regeringen (SOU 2012:83). I detta föreslog jag bland annat att det i SCB:s instruktion skulle skrivas in att en av dess uppgifter ska vara att bistå forskningen med data.6 Finansdepartementet har uppgett att man har för avsikt att föreslå en sådan ändring i instruk- tionen, men att det beräknas ske tidigast efter sommaren 2014.7
Under senare år har en särskild problematik när det gäller re- gisterbaserad forskning uppmärksammats, nämligen svårigheten att skapa forskningsdatabaser av infrastrukturkaraktär som kan utgöra underlag för flera olika framtida forskningsprojekt. Frågan analyse- rades noggrant i en
I utredningsdirektiven utpekas ett antal omständigheter som bedöms försvåra registerbaserad forskning. Dit hör, förutom svårig- heterna att skapa forskningsdatabaser, vissa andra hinder i författ- ningar och regelverk för registeransvariga myndigheter att lämna ut uppgifter för forskningsändamål och sambearbetning av register- data för forskningsändamål. Jag ska mot den bakgrunden analysera problemen och föreslå lösningar. Det framhålls också att alla de för-
5Utvärdering av
6SOU 2012:83 s. 552.
7Information från Bob Pernodd, Finansdepartementet,
8Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapport- serie 11:2010.
305
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
slag jag lägger fram ska beakta skyddet för den enskildes integritet. Den frågan har jag utförligt behandlat i kapitel 6. Här ska jag redo- visa nuläge och utmaningar vad gäller de övriga frågorna och söka identifiera de problem som motiverar förslag om förändringar. De punkter där jag lägger fram konkreta förslag återkommer jag till i kapitel 9.
8.2Datakällorna
Det finns fyra viktiga datakällor för forskare:
•Myndighetsregister
•Kvalitetsregister
•Biobanker
•Forskningsregister
Jag ska här kortfattat redovisa dessa datakällor och de utmaningar med dessa som kan finnas från forskningsperspektiv. I avsnitt 8.4 nedan ska jag återkomma till den fråga om forskningsdatabaser för flera olika framtida forskningsprojekt som har berörts ovan.
8.2.1Myndighetsregister
Uppgifterna i myndighetsregister har, som jag redovisat i kapitel 3, samlats in för administrativa eller statistiska ändamål. Det innebär att dokumentation och kvalitet inte alltid är anpassade till forsk- ningens krav. Registeruppgifter måste därför ofta bearbetas innan de kan användas i forskningen.
I Registerdata för forskning konstaterade jag att forskare ofta har krav på detaljerad information om beståndens sammansättning och om den process som har lett fram till att data finns i registret, till exempel om insamlingsmetoder och klassifikationssystem. I många fall är informationen i register svåröverskådlig och definitioner kan skilja sig mellan olika register. Upplysningar som har betydelse för uppgifternas jämförbarhet över tid kan saknas, till exempel om för- ändringar som har skett i klassifikationer. Den detaljdokumentation som är tillgänglig i myndighetsregister är i regel avsedd för att i första hand tillgodose de administrativa eller statistiska ändamål för
306
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
vilka registren har skapats och inte för den externe användaren.9 Av sådana skäl förutsätts ofta konsultationer mellan forskare och per- sonal hos registerhållaren innan uppgifterna kan behandlas i forsk- ning. Det gäller myndighetsregister men också andra register, såsom hälso- och sjukvårdens kvalitetsregister och olika forsknings- register.
I Statistikutredningens slutbetänkande framhöll jag att det var angeläget att så långt möjligt tillmötesgå de önskemål om förbättrad dokumentation som finns hos forskare. Samtidigt, menade jag, ska man inte ha en övertro på möjligheterna att kunna reglera fram en heltäckande dokumentation. I särskilt komplicerade fall torde det vara ofrånkomligt att dokumentationen måste kompletteras med individuell rådgivning eller information från dataägarnas sida.10 Det måste beaktas att utnyttjandegraden av olika myndighetsregister i forskning varierar kraftigt. Det är därför svårt att ställa upp generella krav på dokumentationen.
Inom Danmarks Statistik har man ett särskilt utvecklingsprojekt för att öka kvaliteten från forskningsperspektiv i sådana register som används särskilt frekvent inom forskning.11 Det ter sig naturligt att sådana initiativ tas också inom till exempel SCB den dag myndig- heten får ett tydligt uppdrag att bistå forskningen med data.
8.2.2Kvalitetsregister
Kvalitetsregister har byggts upp inom hälso- och sjukvården i syfte att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. De ska möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Dessutom får uppgifterna användas för framställning av statistik och i forskning.12 Registren är uppbyggda utifrån interventioner, till exempel höftledsoperationer, sjukdoms- episoder, till exempel hjärtinfarkt, eller kroniska sjukdomar, till exem- pel diabetes.
I en rapport 2010, Guldgruvan inom hälso- och sjukvården, fram- tagen på uppdrag av regeringen och Sveriges Kommuner och Lands- ting (SKL), uppmärksammades den potential som kvalitetsregistren
9SOU 2012:36, s 37.
10SOU 2012:83 s. 308.
11Registerforskning – nye muligheder og nye utfordringer. Rapport fra Registerforskning- utdvalget, Ministeriet for Forskning, Innovation og Videregående Uddandelser november 2013.
12 Se avsnitt 5.3.6.3.
307
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
innebär för forskningen. Regeringen och SKL har därefter träffat en överenskommelse som innebär att 320 mnkr per år under perio- den
I april 2014 finns 81 certifierade nationella kvalitetsregister och 24 registerkandidater. De certifierade registren klassificeras i tre kvalitetsgrupper beroende på bland annat täckningsgrad. Sju register finns på den högsta certifieringsnivån:
•Nationella prostatacancerregistret (NPCR)
•Nationella Diabetesregistret (NDR/SWEDIABKIDS)
•Nationella kvalitetsregistret för stroke
•Svenska Höftprotesregistret
•Kvalitetsregistret InfCareHIV
•Nationellt register hjärtintensivvård, kranskärlsröntgen, PCI, hjärtkirurgi och sekundärprevention (Swedeheart)
•Svensk Reumatologis Kvalitetsregister (SRQ)
Satsningen kommer att avsevärt öka kvalitetsregistrens användbar- het i forskningen. Antalet vetenskapliga artiklar baserade på upp- gifter från kvalitetsregistren har också ökat kraftigt under de senaste fem åren. Även om man tar hänsyn till att uppgiften för antalet artiklar det första året, 2009, är något osäker är det rimligt anta att antalet artiklar kommer att ha tredubblats till år 2016.13
Myndigheten för vårdanalys har av regeringen fått i uppdrag att utvärdera den satsning som görs på de nationella kvalitetsregistren. Utvärderingen ska belysa i vilken utsträckning de uttalade målen med satsningen nås och ska dessutom belysa om organisation och insatser är ändamålsenliga.14
Datainspektionen har under våren 2014 genomfört en tillsyn av kvalitetsregistren och därvid i första hand granskat den information
13Bertil Lindahl, Kvalitetsregisterkansliet, vid besök
14Regeringsbeslut
308
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
som ges till uppgiftslämnarna.15 Inspektionen har påtalat en rad brister och beslutat att informationen i olika avseenden måste kom- pletteras.16
8.2.3Biobanker
Som jag tidigare har framhållit är möjligheterna att koppla samman registeruppgifter av olika slag med biologiska prover av stort veten- skapligt värde.17 I Sverige finns cirka 600 biobanker, varav ungefär hälften hos hälso- och sjukvårdshuvudmännen och ett
Inom biobanksområdet finns ett europeiskt samarbete, BBMRI- ERIC (BBMRI = BioBanking and Molecular Resource Infra- structure), med Sverige som ett av grundarländerna. Den första
BBMRI.se har sedan starten byggt upp en struktur med Karolinska Institutet (KI) som värdinstitution, men med noder vid samtliga svenska universitet med medicinsk fakultet. Samarbetet bygger på ett konsortialavtal från december 2012. Syftet är att främja in- samlandet, förvaringen och nyttiggörandet av biobanksprover från storskaliga svenska epidemiologiska projekt och annan forskning. För att få samla in och använda prover i en biobank för forskning krävs godkännande av etikprövningsnämnd.19
Samtidigt sker sedan länge omfattande insamling och sparande av prover i den svenska hälso- och sjukvården, där landstingen och regionerna är huvudmän för merparten. Över 90 procent av alla prover i svenska biobanker finns i dessa sjukvårdshuvudmännens biobanker. Proverna tas från patienter i första hand för diagnostik eller för att följa behandlingar. De flesta prover som tas för sådana ändamål kastas efter analys, men många sparas i biobanker, exem- pelvis vävnadsprover för diagnostik av cancer. Dessutom finns stora
15Se avsnitt 5.3.6.5.
16Datainspektionen, Beslut
17Se avsnitt 4.4.3.
18Rapport från projektgruppen Gemensam Svensk Biobanksstruktur, NBR och BBMRI.se 2013.
19Se avsnitt 5.5.3.
309
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
provsamlingar från mödrahälsovården, där prover tas för att utesluta olika infektioner under graviditeten, från gynekologisk cellprovs- kontroll och från nyföddhetsperioden. Inom landstingen och regio- nerna hanteras och förvaras också merparten av de prover som tas av forskare för specifika projekt.
Nationellt biobanksråd (NBR) arbetar på uppdrag av regionerna och landstingen för att inom ramen för gällande lagstiftning under- lätta att biobanksprover, med beaktande av de enskilda provgivarnas krav på integritet, kan användas för hälso- och sjukvård, forskning och utveckling. SKL fastställer verksamhetsplan och budget och är ägare till det material som utarbetas inom NBR. Till rådets upp- gifter hör bland annat att underlätta och samordna den hantering som följer av biobankslagens krav, exempelvis vad gäller information och samtycke, och att, genom framtagande av nationella rutiner och avtalsmallar, underlätta nyttiggörandet av biobanker. NBR har också börjat bygga upp ett register över de prover som finns i biobankerna, Svenska Biobanksregistret (SBR).
De biobanker som finns inom hälso- och sjukvården, liksom de prover som har lämnats ut till annan vårdgivare, enhet för forskning eller diagnostik, offentlig forskningsinstitution, läkemedelsföretag eller annan juridisk person, regleras av lagen (2002:297) om biobanker i hälso- och sjukvården m.m.. År 2008 tillsattes en utredning för att se över lagen och föreslå förändringar. I dess betänkande, En ny biobankslag (SOU 2010:81), föreslogs bland annat åtgärder som syftade till att underlätta användningen av biobanker i forskningen, till exempel att spårbarheten skulle förbättras genom ett centralt biobanksregister. Den föreslog vidare en reglering av biobankernas personuppgiftsbehandling och friare former, men tydligare krav, för utlämnande av prover. Hösten 2013 meddelade Socialdeparte- mentet att man inte hade för avsikt att låta förslagen ligga till grund för proposition. Frågan kommer i stället att beredas vidare inom departementet.
I januari 2012 träffade SKL och VR en överenskommelse om att verka för en gemensam utveckling av svensk biobanksstruktur till nytta för såväl forskning som sjukvård. En projektgrupp tillsattes med representanter från NBR och BBMRI.se. I januari 2013 av- lämnade projektgruppen rapporten Gemensam Svensk Biobanks- struktur.20 I den föreslogs bland annat en nationell standard för krav- nivåer vid nyinsamling av prover, standardiserad dokumentation av
20 Rapport från projektgruppen Gemensam Svensk Biobanksstruktur, NBR och BBMRI.se 2013.
310
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
provers kvalitet och en enhetlig informationsstandard för beskriv- ning av prover. Det föreslogs också att BBMRI.se:s och NBR:s uppdrag och verksamheter skulle integreras. Sedan rapporten publi- cerades har samarbetet mellan biobanksfaciliteterna fortgått och ett arbete har påbörjats för att formalisera samarbetet.
En svårighet för forskningen i dag är att hitta prover som är relevanta för att kunna besvara bestämda forskningsfrågor. Forsk- aren kan till exempel vilja finna ett antal prover med vissa önskade egenskaper. För att kunna göra det kan det också behövas informa- tion om var på kroppen provet är taget och vilket slags prov det är. Det kan vara viktigt att veta om provet ingår i en större prov- samling eller studie. Forskaren kan också vilja söka prover från individer med en specifik diagnos vilka har identifierats med hjälp av ett kvalitetsregister och dessutom vilja veta om det finns prover som har tagits innan patienten fick diagnosen.21
En utmaning i fall som dessa är att kunna spåra proverna. Detta skulle väsentligt underlättas om information om proverna, såsom Biobanksutredningen föreslog, fanns samlade i ett nationellt bio- banksregister. För att kunna hitta patienter i undergrupper och med ovanliga diagnoser är det ofta nödvändigt att gå över huvudmanna- skapsgränserna. Inriktningen inom hälso- och sjukvården är också att i ökad utsträckning individualisera behandlingen. För att kunna möta sådana krav krävs mer forskning och en infrastruktur som kan tillgodose forskningens behov.
8.2.4Forskningsregister
Register som har skapats för specifika forskningsprojekt kan komma till användning även för annan forskning. VR uppmuntrar på olika sätt en sådan öppenhet i forskningen.
Sålunda har Svensk Nationell Datatjänst (SND) ett uppdrag av VR att vara en nationell resurs för samordning av existerande och nya forskningsregister inom samhällsvetenskap, humaniora och medi- cin. Ett syfte är just att data som har samlats in för viss forskning ska göras tillgängliga för framtida forskning och således kunna åter- användas i nya projekt. Forskare kan i detta syfte deponera sina data hos SND.
21 Norlin, L., Fransson, M., Eaker, S., Elinder, G. Och Litton,
311
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Organisatoriskt är SND för närvarande en enhet inom Göteborgs universitet. Finansieringen sker enligt ett samarbetsavtal mellan universitetet och VR, vilka i stort sett delar på kostnaderna. Tanken är rimligen att SND:s uppgift ska vara långsiktig, men trots det har bidraget från VR:s sida varit tidsmässigt begränsat. Avtalet mellan VR och SND löpte ut med utgången av 2012 och förhandlingar om ett nytt avtal pågår ännu under våren 2014.
SND utgör således en viktig infrastruktur för svensk forskning. Att behovet av denna typ av infrastrukturer är stort visas av att sådana i dag finns i snart sagt alla jämförbara länder. I Europa ingår de i ett gemensamt nätverk, CESSDA. Inom EU finns ett
I flertalet länder är organisationer av detta slag knutna till univer- sitet. I USA samverkar ett stort antal universitet i
För vissa forskningsregister finns en kodnyckel bevarad (se vidare avsnitt 8.3.2 nedan). Det innebär att registren innehåller person- uppgifter i personuppgiftslagens (1998:204) mening. För flertalet av de register som finns deponerade hos SND är kodnyckeln raderad, men för några finns den bevarad hos en annan myndighet. Under 2012 begärde Datainspektionen att SND skulle upphöra med be- handlingen av forskningsregister som innehåller personuppgifter, det vill säga där kodnyckeln finns kvar. SND överklagade beslutet och hävdade att organisationen i de aktuella fallen endast är person- uppgiftsbiträde för dataägarna, det vill säga att personuppgifts- ansvaret låg kvar hos de universitet och högskolor som hade depo- nerat registren hos SND. Förvaltningsrätten fastställde emellertid Datainspektionens beslut.
SND har i slutet av år 2013 begärt samråd med Datainspektionen. Syftet är få besked om hur inspektionen anser att den uppkomna situationen ska hanteras. Inspektionen hade i maj månad 2014 ännu inte återkommit i ärendet.
312
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Datainspektionens hållning innebär en kraftig begränsning i SND:s möjligheter att fullgöra de uppgifter organisationen har fått från VR. Svårigheterna kommer att accentueras om kodnycklar, som jag senare kommer att föreslå, regelmässigt behålls under längre tid. Det innebär att fler forskningsregister kommer att innehålla personuppgifter i lagens mening och således inte kommer att kunna deponeras hos SND.
Det reser frågan om vilken organisatorisk hemvist och vilket uppdrag SND bör ha i framtiden. En viktig utgångspunkt måste vara att SND är en långsiktigt viktig infrastruktur för svensk forskning. I Registerdata för forskning framhöll jag att det är ”angeläget att verksamheten institutionaliseras och ges en långsiktig finansiering”.
En fråga som det kan finnas anledning att analysera i anslutning till denna frågeställning är ansvaret för arkivering av forsknings- material. SND har i dag inte någon sådan uppgift. De register som finns hos SND är endast kopior på de originalregister som forskare har skapat. Arkivering av värdefulla data ska ske hos Riksarkivet och ansvaret för att detta sker åvilar det universitet hos vilket original- registret finns. Riksarkivet har som tidigare redovisats utfärdat rikt- linjer för sådan arkivering.22 I Danmark och Norge har man valt att slå ihop de funktioner som SND respektive Riksarkivet har. I Danmark har DDA organisatoriskt inordnats i Statens Arkiver och i Norge har nyligen ett avtal träffats mellan NSD och Riksarkivet som innebär att NSD fungerar som arkivmyndighet för forsknings- data.23 Datatilsynet har i bägge länderna uppmuntrat dessa lösningar. Det kan finnas skäl att pröva en sådan lösning också i Sverige.
8.3Tillgänglighet för forskning till register och biobanker
Som framgår av kapitel 5 uppställs i PUL en rad krav för att personuppgifter ska få samlas in och behandlas, bland annat att det bara får ske för särskilda, uttryckligt angivna och berättigade ända- mål. Det får sedan inte behandlas för något ändamål som är oför- enligt med det för vilket uppgifterna samlades in. En behandling för historiska, statistiska eller vetenskapliga ändamål anses dock inte vara oförenlig med det ursprungliga ändamålet, vilket detta än är (9 § PUL).
22Se avsnitt 5.8.4.
23Björn Henrichsen, NSD, mail våren 2014.
313
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Personuppgifterna får behandlas om ett av två villkor är upp- fyllda: antingen om den registrerade har lämnat sitt samtycke eller om behandlingen är nödvändig till exempel för att en uppgift av allmänt intresse ska kunna utföras (10 § PUL). Forskningen är ett exempel på en sådan uppgift, vilket innebär att bägge dessa villkor kan bli aktuella vid behandling av personuppgifter i forskning.24 När det gäller behandling av känsliga personuppgifter (13 § PUL) och vissa personuppgifter om lagöverträdelser (21 § PUL) för forsk- ningsändamål krävs det att forskningen har fått etikgodkännande genom beslut i en etikprövningsnämnd (3 § lagen (2003:460) om etikprövning av forskning som avser människor, etikprövningslagen). Det gäller oavsett om uppgiftslämnaren har samtyckt eller inte.25
Uppgifter som skyddas av statistiksekretess kan lämnas ut av en statistikansvarig myndighet för forskningsändamål om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § OSL).26
Uppgifter om enskilds hälsotillstånd eller andra personliga för- hållanden i ett kvalitetsregister skyddas av hälso- och sjukvårds- sekretess (25 kap. 1 § OSL). Även i detta fall kan uppgifterna lämnas ut om det står klart att det kan ske utan att den enskilde eller någon närstående lider skada eller men.27
Prover i en biobank som finns inom hälso- och sjukvården får, förutom för vård och behandling och andra medicinska ändamål, också användas till bland annat forskning. Användning i forskning förutsätter etikgodkännande och etikprövningsnämnden ska också besluta om vilka krav som ska gälla i fråga om information och sam- tycke.28
Jag ska i det följande diskutera de olika stegen i denna process och vilka problem och utmaningar de kan innebära.
8.3.1Etikprövningen
För behandling av känsliga personuppgifter, vissa personuppgifter om lagöverträdelser och biologiska prover krävs att forskningen har fått etikgodkännande. Sådant ges med stöd av etikprövningslagen av en etikprövningsnämnd. Det finns sex regionala etikprövnings-
24Se avsnitt 5.3.4.7.
25Se avsnitt 5.3.4.9.
26Se avsnitt 5.6.3.5.
27Ibid.
283 kap. 5 § biobankslagen.
314
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
nämnder (Umeå, Uppsala, Stockholm, Linköping, Göteborg och Lund). Inom varje nämnd ska det finnas minst två avdelningar som är specialiserade på olika forskningsområden (25 § etikprövnings- lagen). Etikprövningsnämndens beslut kan överklagas till Centrala etikprövningsnämnden (36 § etikprövningslagen). Etikprövnings- nämnden kan också, om den är oenig, överlämna ärenden till den centrala nämnden för avgörande. De ska ske om minst tre ledamöter så begär (29 § etikprövningslagen).29
Totalt inkom år 2013 cirka 5 700 ärenden till de sex regionala etikprövningsnämnderna (och knappt så många avgjordes under året). Av de inkomna ärendena avsåg drygt 80 procent medicinsk forsk- ning.30
Syftet med etikprövningen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § etikpröv- ningslagen). Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 § etikprövningslagen). Forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §). Av- vägningen förutsätts ske i två steg. Först ska en bedömning av forsk- ningens vetenskapliga bärkraft göras och därefter en avvägning mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge.31
Etikprövning av anonymiserade personuppgifter
Vid de kontakter som jag under utredningen har haft med Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna har framkommit att när det handlar om behandling av anonymise- rade personuppgifter ur myndighetsregister bedöms risken för skada eller obehag för dem uppgifterna avser i regel som mycket liten. Denna bedömning överensstämmer med den som domstolar och regeringen har gjort i ett antal utlämnandeärenden.32 Från etisk ut- gångspunkt bedöms dessa projekt därför kunna godkännas utan att någon egentlig värdering av forskningsprojektets nytta görs. Det ska dock understrykas att det finns andra filter som ett forsknings-
29Se avsnitt
30Etikprövningsnämndernas årsredovisningar 2013, återfinns på epn.se.
31Se avsnitt 5.5.5.
32Se t.ex. Regeringsbeslut
315
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
projekt måste passera för att kunna genomföras och där nyttan och kvaliteten värderas, till exempel vid ansökan om finansiering. Bifalls- frekvensen på ansökningar till exempelvis de statliga forsk- ningsråden torde i genomsnitt ligga under 20 procent vilket innebär att en sträng kvalitetsgranskning sker där.33
En fråga som denna praxis reser är om det är meningsfullt att över- huvudtaget etikpröva forskning som innebär behandling av anony- miserade personuppgifter. Som har framgått av kapitel 7 har man i Danmark och Finland avstått från ett sådant förfarande. Register- forskning kräver där som huvudregel inget etiktillstånd. Det synes inte ha lett till några integritetskränkningar eller andra problem.34
Det förekommer särskilt inom medicinsk forskning att identi- fierbara personuppgifter lämnas ut. Av de utlämnanden som sker från Socialstyrelsen är i cirka 30 procent av fallen personuppgifterna identifierbara. Identifierbara personuppgifter i form av personnum- mer eller samordningsnummer får enligt 22 § PUL behandlas utan samtycke om det är motiverat med hänsyn till ändamålet med behand- lingen, vikten av säker identifiering eller något annat beaktansvärt skäl.35 Exempel på när en forskare kan behöva identifierbara upp- gifter är om dessa behöver kontrolleras mot patientjournaler eller om forskaren behöver kontakta individerna i fråga. I det första fallet är det etikprövningsnämnden som har att bedöma om samtycke ska inhämtas eller ej. I det senare kan forskningspersonerna vid kontakt avstå från att medverka.
I etikansökan ska forskaren översiktligt redogöra för under- sökningsprocedur, datainsamling och datas karaktär. Om forskaren likväl redovisar preciserade uppgifter i ansökan kan det ibland leda till problem när forskaren i nästa steg vänder sig till en utlämnande myndighet. Från det att etikansökan lämnas in och till det att forskaren kontaktar utlämnande myndighet kan det ofta förflyta en relativt lång tid. Under tiden fortgår forskningsprocessen: forsk- aren kanske justerar sina forskningsfrågor eller sina önskemål vad gäller uppgifter. Ofta kräver då utlämnande myndighet ett nytt etik- godkännande. Om det handlar om små justeringar kan ett sådant beviljas på tjänstemannanivå hos etikprövningsnämnden och expe-
33Beviljandegraden inom VR:s olika ämnesråd varierar mellan 8 och 23 procent. Det finns för närvarande en strävan att ge färre men större bidrag vilket tenderar att minska bifallspro- centen.
34Mads Melbye, Statens Serum Institut, vid besök
35Se avsnitt 5.3.4.11.
316
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
dieras ganska snabbt, men denna extra omgång kan likväl utgöra ett irritationsmoment i processen.
Det kan mot denna bakgrund finnas skäl att pröva hur en ansökan till etikprövningsnämnden som avser behandling av anonymiserade registeruppgifter ska utformas för att möjliggöra en etikbedömning och samtidigt inte skapa problem i forskarens kontakter med utläm- nande myndigheter. Det har indikerats från VR att man avser resa denna fråga i registerdatarådet.
Uppgifterna får enligt 10 § PUL behandlas om den enskilde har lämnat samtycke eller om behandlingen är nödvändig för att till exem- pel en arbetsuppgift av allmänt intresse ska kunna utföras. Forsk- ning kan vara en sådan arbetsuppgift. För att få behandla känsliga personuppgifter i forskning krävs alltid etikgodkännande, oavsett om den enskilde har lämnat sitt samtycke till behandlingen eller inte. Om personuppgifterna har samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige enligt 24 § PUL lämna den registrerade information om behandlingen av upp- gifterna när de registreras. Information behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportio- nerligt stor arbetsinsats.
När etikprövningsnämnderna godkänner användningen av käns- liga personuppgifter kan de enligt 6 § etikprövningslagen förenas med villkor, till exempel med avseende på samtycke och information. Nämnderna har alltså att bedöma vad som ska gälla enligt 24 § PUL. Praxis synes vara att inte ställa krav på inhämtande av samtycke när det handlar om användning36 av registeruppgifter, särskilt inte anony- miserade uppgifter. Det har emellertid förekommit att etikpröv- ningsnämnder har ställt krav på att forskare ska annonsera om sina forskningsprojekt för att ge dem som inte önskar delta i projektet37 möjlighet att dra sig ur. Jag har i kapitel 6 diskuterat denna fråga.
Vid behandling av identifierbara uppgifter får etikprövnings- nämnden göra en avvägning i varje enskilt fall. Det ankommer på nämnden att pröva om man för behandlingen ska kräva samtycke från de berörda eller om det kan ske utan samtycke. Även när det gäller studier på biologiskt material som tidigare har tagits från en levande människa ska nämnden vid etikgodkännande av ett forsk- ningsprojekt bestämma vilka krav som ska gälla i fråga om informa- tion och samtycke.
36Peter Höglund, Centrala etikprövningsnämnden, föredrag på Lunds universitet
37Se avsnitt 6.10.
317
Bakgrund, nuläge och utmaningar SOU 2014:45
Forskningsprojekt som inte kan etikprövas
VR har i rapporten God forskningssed konstaterat att forsknings- projekt som inte faller under etikprövningslagen inte kan godkännas av etikprövningsnämnd, men att någon form av etikgranskning i många fall ändå efterfrågas även för sådana projekt. Det kan krävas inför en ansökan om medel från nationella eller internationella forsk- ningsfinansiärer eller för att få publicera resultatet av forskningen i vissa vetenskapliga tidskrifter. I sådana fall kan en etikprövnings- nämnd avge ett så kallat rådgivande yttrande (4 a § förordningen (2003:615) om etikprövning av forskning). Att avge ett sådant yttrande är emellertid endast en möjlighet för nämnden, inte en skyldighet. Enligt rapporten har det i vissa fall lett till allvarliga konsekvenser för forskares möjligheter till finansiering eller publi- cering när en nämnd har nekat att avge yttrande. Det bedöms därför vara önskvärt att det införs en lagstadgad skyldighet för etikpröv- ningsnämnderna att avge yttranden till dem som så önskar – eller att detta åtminstone blir praxis. 38
I Etikprövningslagen – vissa ändringsförslag (SOU 2005:78) före- slogs att denna möjlighet skulle skrivas in i etikprövningslagen och att de aktuella bestämmelserna därmed skulle utgå ur förordningen.39 Någon sådan ändring skedde emellertid inte när etikprövningslagen ändrades 2008.
8.3.2Utlämnande
Uppgifter som skyddas av sekretess med olika styrka kan lämnas ut till forskning. Även uppgifter som skyddas av statistiksekretess och av hälso- och sjukvårdens sekretessregler kan lämnas ut för forsk- ningsändamål om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (24 kap. 8 § respektive 25 kap. 1 § OSL).40 Det är den myndighet som förvarar en allmän handling, i detta sammanhang den register- hållande myndigheten som enligt Tryckfrihetsförordningen (TF) har att självständigt pröva om utlämnandet kan ske (2 kap. 14 § TF).41 I förarbetena till den tidigare sekretesslagen görs bedömningen att utlämnande till forskning ofta kan ske utan skada för den som upp-
38God forskningssed, Vetenskapsrådets rapportserie 1:2011.
39SOU 2005:78 s. 74 f.
40Se avsnitt 5.6.3.5.
41Se avsnitt 5.6.3.2.
318
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
gifterna avser.42 När det gäller biobanker är det den ansvarige för biobanken som prövar ansökningar om utlämnande av vävnads- prover, men denne får lämna över frågan till huvudmannen (i regel landstinget eller regionen) för avgörande.43
De uppgifter som är aktuella att lämna ut från statliga myndig- heter är ofta uppgifter som samlats in för statistiska ändamål. Det gäller uppgifter som finns hos SCB och andra statistikansvariga myn- digheter såsom Socialstyrelsen, Försäkringskassan och Brottsföre- byggande rådet (BRÅ).44
För att kunna lämna ut uppgifter som skyddas av statistik- eller hälso- och sjukvårdssekretess måste den utlämnande myndigheten (som kan vara till exempel en statlig myndighet men också ett lands- ting som är huvudman för ett kvalitetsregister) således förvissa sig om att det står klart att det kan ske utan risk för att den enskilde som uppgifterna avser eller närstående till denna ska lida skada eller men. Det kräver att myndigheten vet för vilket ändamål uppgifter- na lämnas ut och till vem. Den ska inte heller enligt 9 § PUL lämna ut fler uppgifter än vad som är nödvändigt med hänsyn till ända- målet. När det gäller konkreta forskningsprojekt är ändamålet i regel inte något problem, särskilt inte om projektet har fått ett etikgodkännande som bara kan ges till specifika projekt. När uppgifter begärs ut till en forskningsdatabas avsedd för olika framtida forsk- ningsprojekt är saken mer komplicerad. Jag återkommer till den frågan nedan i avsnitt 8.4.
När det gäller till vem uppgifterna lämnas ut är mottagaren i regel det universitet eller den högskola där den forskare, som be- höver uppgifterna, är anställd. Det är universitetet eller högskolan som efter utlämnandet är personuppgiftsansvarig, inte den enskilde forskaren. Den utlämnande myndigheten måste alltså känna sig förvissad om att skydd och säkerhet fungerar hos det mottagande lärosätet.
Det kan i sammanhanget noteras att Danmarks Statistik och Statens Serum Institut i Danmark har auktoriserat ett antal institu- tioner vars forskare ganska enkelt kan få fjärråtkomst till uppgifter. Prövningen sker där alltså inte projektvis, utan av institutioner och gäller för lång tid. Institutionerna i fråga är i regel inte hela läro- säten utan kan vara exempelvis forskningsinstitutioner inom uni-
42Se avsnitt 5.6.3.6.
434 kap. 1 § biobankslagen.
44De statistikansvariga myndigheterna redovisas på SCB:s webbportal, www.scb.se.
319
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
versitet och andra organisationer. Ett par hundra institutioner är på detta sätt auktoriserade.
SCB lämnar numera företrädesvis ut uppgifter genom MONA- systemet. Systemet innebär att forskaren kan koppla upp sig mot MONA och bearbeta uppgifterna från sin lokala arbetsplats men att uppgifterna finns kvar hos SCB. Förebilden till MONA finns på Danmarks Statistik som också sedan länge har goda erfarenheter av ett sådant system för fjärråtkomst. I Sverige kan andra statistikansva- riga myndigheter också tillhandahålla uppgifter genom MONA- systemet (se mer om sambearbetning nedan under 8.3.3). Det gäller dock inte Socialstyrelsen som av olika skäl inte överlämnar data till SCB. Socialstyrelsen deltar dock för närvarande i den utvärdering som VR har initierat beträffande
Bortfallsanalys
En särskild problematik gäller vid så kallade bortfallsanalyser. Vid urvalsundersökningar är det regelmässigt en grupp som inte önskar delta. Vid såväl statistiska undersökningar som forskning är det angeläget att kunna analysera bortfallet, det vill säga att kunna jäm- föra dem som deltagit med dem som inte gjort det, för att få en uppfattning om hur representativ den grupp är som har svarat. Regeringen har i förarbetena till lagen om den officiella statistiken konstaterat att bortfallsanalyser ska kunna göras eftersom det bedöms vara ett allmänintresse att åstadkomma statistiska undersökningar av hög kvalitet. Samma behov finns inom forskningen. Analysen får i dessa fall emellertid inte baseras endast på känsliga uppgifter utan man får ofta nöja sig med att använda de uppgifter som finns i den så kallade urvalsramen, såsom ålder, kön och bostadsort. Datainspek- tionen har bedömt att om en undersökning har gjorts efter sam- tycke, till exempel om forskningspersonerna har svarat på frågor från en forskare, så förutsätter en bortfallsanalys att de som inte velat delta samtycker till den.45 Som jag strax ska återkomma till har
45 Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapport- serie, 11:2010, s 63.
320
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
emellertid regeringen i ett principiellt viktigt avgörande gjort en annan bedömning på denna punkt.
Överklagande
Ett beslut från en statlig myndighet att inte lämna ut en handling till en annan statlig myndighet kan överklagas till regeringen. Om beslutet avser en privat högskola sker överklagandet till Kammar- rätten och ytterst Högsta förvaltningsdomstolen. Ett motsvarande beslut hos ett landsting att inte lämna ut en uppgift överklagas på samma sätt. Ett beslut av den ansvarige för en biobank hos en offentlig vårdgivare att inte lämna ut vävnadsprover ska överlämnas till vårdgivaren för beslut (4 kap. 6 § biobanklagen). Vårdgivarens beslut kan överklagas till IVO (6 kap. 7 § biobankslagen).
Det finns skäl att uppmärksamma tre ärenden om uppgifts- utlämnande från myndigheter som under senare år har varit före- mål för regeringsbeslut respektive dom.46
Det första avsåg en begäran från Uppsala universitet att få ut uppgifter för att kunna göra en bortfallsanalys. Inom ramen för ett forskningsprojekt om en åldrande befolknings hälsa och ekonomi (SHARE47) hade man vänt sig till ett antal personer för att göra intervjuer. Universitetet begärde att från Socialstyrelsen få ut vissa uppgifter ur hälsodataregister om dels de individer som hade del- tagit i intervjuerna, dels dem som hade valt att inte delta. Syftet med de sistnämnda uppgifterna var just att kunna göra en bortfallsanalys, det vill säga att kunna bedöma hur representativ den grupp var som hade valt att delta. Socialstyrelsen hade avvisat begäran att få ut de uppgifter som krävdes för bortfallsanalysen, det vill säga uppgifter- na om de personer som hade valt att inte delta i undersökningen. Myndigheten bedömde ett sådant utlämnande som etiskt tveksamt och ur sekretessynpunkt felaktigt.48
Det andra ärendet avsåg en begäran från Stockholms universitet att få ut vissa registeruppgifter från SCB om resultat, betyg och klas-
46Regeringsbeslut
47SHARE (Survey of Health, Ageing and Retirement in Europe) är ett europeiskt projekt, ett s.k. ERIC (se nedan under 8.3.3.2). Sverige har deltagit från starten men projektet har under åren haft sin hemvist vid olika svenska universitet. När det här beskrivna fallet var aktuellt låg SHARE vid Uppsala universitet. Nu finns det vid Umeå universitet.
48Petra Otterblad Olausson har i mail
321
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
ser för skolelever. Uppgifterna skulle användas i en longitudinell studie för att studera effekter av skoltillhörighet på skolresultat och elevers psykiska hälsa samt skolornas arbete med elever som behöver extrainsatser. Forskarna hade i ett tidigare skede försökt att samla in uppgifter direkt från berörda individer men fick ett otillräckligt gen- svar. De valde då att i stället göra en renodlad registerstudie. Forsk- ningsprojektet hade även med denna nya design godkänts av den regionala etikprövningsnämnden. SCB ansåg emellertid att upp- gifterna inte kunde lämnas ut utan att samtycke hade inhämtats från varje elev.
I bägge fallen biföll regeringen överklagandena och beslöt således att Socialstyrelsen respektive SCB skulle lämna ut de begärda upp- gifterna. I besluten angavs i huvudsak följande skäl:
•En myndighet ska på begäran av en annan myndighet lämna upp- gift som den förfogar över om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen är ett uttryck för den grundläggande principen att myndigheter ska samverka och bistå varandra i den utsträckning som det kan ske.
•För de uppgifter som hade begärts gäller sekretess hos myndig- heterna. Men även sådana uppgifter kan om de behövs för forsk- ningsändamål lämnas ut om det står klart att det kan ske utan att den enskilde eller någon närstående till denne lider skada eller men. Enligt förarbetena till sekretesslagen kan en uppgift mycket ofta lämnas ut till forskare utan beaktansvärd risk för skada. Vid utlämnande överförs sekretessen till universitetet. Uppgifterna kunde därför lämnas till universiteten utan att någon enskild eller närstående till denne lider skada eller men.
•Att berörda personer i fallet med Uppsala universitet hade tackat nej till att delta i personliga intervjuer inom ramen för forsk- ningsprojektet bedömdes inte ha någon omedelbar relevans för bedömningen av huruvida registeruppgifter kunde lämnas till forskningsprojektet, särskilt inte när det gällde uppgifter som samlats in i syfte att användas för bland annat forskning.
•De aktuella forskningsprojekten hade godkänts av regionala etik- prövningsnämnder och det kunde därför inte antas att de på universiteten skulle behandlas i strid med PUL.
322
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Här bör särskilt uppmärksammas att regeringen, mot bakgrund av att sekretessen automatiskt följer med vid utlämnande av uppgifter från en myndighet till en annan myndighets forskningsverksamhet, bedömer att riskerna för att enskilda ska lida skada eller men vid utlämnande av personuppgifter till forskning är mycket små. Rege- ringen har också bedömt att universitetet kan begära ut uppgifter om personer som inte önskat delta i en undersökning för att kunna göra en bortfallsanalys. När forskningen har fått godkännande av etikprövningsnämnd kan man inte heller anta att uppgifterna kom- mer att behandlas i strid med PUL. Det kan också noteras att regeringen åberopar bestämmelsen att myndigheter ska samarbeta och bistå varandra i den utsträckning det kan ske. Detta gäller således även vid samverkan mellan till exempel statistikansvariga myndig- heter och statliga högskolor, som ju också är myndigheter.
Det tredje fallet avser en begäran från KI om utlämnande av uppgifter ur blodcentralens register i Region Skåne. Under 2002– 2004 samlade forskare vid KI in data från landets blodcentraler i syfte att studera korttids- och långtidsutfall efter blodgivning och blodtransfusion. Vid analysen av data upptäckte KI att en förhållande- vis liten grupp blodgivare hade bidragit med blod till ett opropor- tionerligt stort antal blodmottagare som utvecklat allvarliga och ovanliga lungkomplikationer med hög dödlighet som följd. För att kunna identifiera de personer som hade drabbats av komplikationer- na och de aktuella blodgivarna önskade KI göra om datainsamlingen och därvid få tillgång till identifierbara uppgifter. Man ville genom journalgranskning, blodanalyser med mera utreda varför en del av blodmottagarna drabbas av komplikationer och om det var möjligt att identifiera potentiellt ”farliga” blodgivare för att på så sätt hindra onödiga dödsfall i framtiden.
Region Skåne ansåg sig förhindrad att lämna ut uppgifterna, som var av känslig karaktär. Etikprövningsnämnden hade visserligen god- känt forskningen, men Region Skåne ansåg inte att nämnden hade något lagligt stöd för beslutet eftersom det ansågs handla om att samla in uppgifter till ett forskningsregister som ska användas för opreciserad framtida forskning.49 Kammarrätten i Göteborg avvisade emellertid invändningen och åberopade, liksom regeringen i de ovan nämnda ärendena, vad som anförs i förarbetena till 1980 års sekre- tesslag att sekretessbelagda uppgifter mycket ofta torde kunna lämnas ut till forskning utan beaktansvärd risk för skada. Kammarrätten
49 Region Skåne använder således här begreppet forskningsregister för det som i den här utred- ningen kallas forskningsdatabas.
323
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
menade således att bestämmelsen i 25 kap. 1 § OSL inte hindrar att uppgifterna lämnas ut. Det kan noteras att Kammarrätten inte fann Region Skånes invändning att det rörde sig om en forskningsdata- bas vägande. Rätten fann också att det sätt KI avsåg att behandla uppgifterna inte stod i strid med PUL.
Här kan noteras att Kammarrätten fäste stor vikt vid att sekre- tessen följer med när uppgifter överlämnas från Region Skåne till KI och att det förhållandet att etikprövningsnämnden godkänt forsk- ningen innebar att uppgiftsbehandlingen inte stod i strid med PUL.
Skydd och säkerhet
Såväl regeringen som Kammarrätten tar således etikprövningsnämn- dens godkännande till intäkt för att personuppgiftsbehandlingen på universiteten inte kommer att stå i strid med PUL. Enligt 31 § PUL ska den personuppgiftsansvariga vidta lämpliga tekniska och organi- satoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av bland annat de särskilda risker som finns vid behand- lingen av personuppgifterna. I etikansökan ska universitetet eller högskolan redogöra för vilken tillgänglighet datamaterialet har och hur det förvaras samt hur erforderligt sekretesskydd erhålls. Någon närmare prövning härav torde normalt inte göras av etikprövnings- nämnderna utan de godtar i regel universitetens och högskolornas försäkringar om att de kan hantera uppgifterna enligt lagens krav. När regeringen och Kammarrätten åberopar etikprövningen i sam- manhanget faller den således ytterst tillbaka på dessa försäkringar från de personuppgiftsansvariga universiteten och högskolorna.50
Datainspektionen genomförde under 2012 tillsyn av ett antal projekt hos universitet och högskolor. Tillsynen avsåg dock inte i första hand säkerhetsarrangemangen utan vilken information som hade lämnats till forskningspersoner från vilka forskarna hade in- hämtat uppgifter.51
50Se vidare avsnitt 8.3.4 nedan.
51Datainspektionen Beslut
324
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Kodnyckelförfarande
Enligt lagen om officiell statistik har statistikansvariga myndigheter möjlighet att använda en så kallad kodnyckel vid utlämnande av upp- gifter. Uppgifterna utlämnas i detta fall anonymiserade, där person- numren ersatts med löpnummer, medan myndigheten behåller en kodnyckel som kan koppla ihop löpnumren och personnumren. På det sättet är det möjligt att senare komplettera de utlämnade upp- gifterna. Möjligheten har tillkommit framförallt för att möjliggöra longitudinella studier av det slag som beskrivs i kapitel 4.52
Om det särskilt överenskoms mellan forskaren och utlämnande myndighet kan kodnyckeln behållas under lång tid, men finns inte någon sådan överenskommelse förstörs den rutinmässigt efter cirka tre månader. Det innebär att om forskaren först efter denna tid kom- mer fram till att uppgifterna behöver kompletteras eller om andra forskare vill replikera studien, kanske med tillägg av vissa uppgifter, låter det sig inte göras.
Det skäl för att förstöra kodnyckeln som åberopas av utläm- nande myndigheter, i första hand SCB, är att ett bibehållande skulle öka riskerna för integritetsintrång. Argumentet är dock, enligt min mening, inte särskilt starkt. Kodnyckeln bevaras hos myndigheten med samma säkerhetsskydd som de personuppgifter som finns där. Att kodnyckeln finns kvar innebär inte någon skyldighet för myn- digheten att lämna ut fler uppgifter. Varje utlämnande måste prövas enligt OSL. Det kan noteras att vid Danmarks Statistik behålls kodnyckeln rutinmässigt i 20 år.
Forskarservice
I Danmark gjorde man vid millennieskiftet en stor satsning på re- gisterforskning. En särskild rådgivande grupp inrättades hos forsk- ningsministern. Ett avtal ingicks med Danmarks Statistik om att förbättra servicen till forskare, dels genom teknisk utveckling, dels genom utbyggnad av en servicefunktion på myndigheten. En motsva- rande utveckling har under senare år skett på Statens Serum Institut. Den danska satsningen har varit framgångsrik. Trots att Danmark befolkningsmässigt är betydligt mindre än Sverige överstiger antalet användare av Danmarks Statistiks
52 Se avsnitt 4.4.7 och avsnitt 5.7.2.
325
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
publicering och andra mått på forskningsframgång, men det är svårt bedöma i vilken grad dessa kan tillskrivas registerforskningen.53
I Sverige har sedan början på
Att bistå forskare med data är enligt SCB:s instruktion inte någon prioriterad uppgift för myndigheten. Service till forskare ges i mån av resurser sedan huvuduppgifterna, att producera statistik och att bistå andra statistikansvariga myndigheter, har fullgjorts. Den låga prioriteten för forskningen kan ta sig uttryck i långa väntetider, om- ständliga processer och höga kostnader. Som ovan nämnts över- väger regeringen att skriva in i SCB:s instruktion att det ska vara en prioriterad uppgift för myndigheten att bistå forskningen med data. SCB:s generaldirektör har nyligen initierat en intern översyn av SCB:s process för att tillgängliggöra mikrodata för forskning och utredning. Översynen ska göra en kartläggning och beskrivning av nuläget, analysera förbättringspotentialen i processen och överväga och lämna förslag till förbättringar.54 Det kan ses som ett ytterligare steg mot en förbättrad forskarservice från SCB:s sida. Erfaren- heterna från andra håll indikerar att en bättre service kan bidra till att stimulera forskningen.
Vid Danmarks Statistik etablerades i början av
Socialstyrelsen har på uppdrag av regeringen, som ett led i rege- ringens och SKL:s gemensamma satsning på utvecklingen av hälso- och sjukvårdens kvalitetsregister, sedan ett par år tillbaka etablerat en enhet för registerservice. Den har tre uppdrag: forskarbeställ- ningar, statistikbeställningar och tjänster till kvalitetsregister. Enheten har våren 2014 16 medarbetare och hanterar cirka 350 forskar- beställningar per år. Antalet beställningar har varit tämligen konstant
53Vetenskapsrådet, The Swedish Production of Highly Cited Papers, statistik t.o.m. 2011; Danmark tillhör en toppkvintett när det gäller citat, Sverige ligger på sjunde plats.
54SCB Beslut
326
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
under senare år medan komplexiteten i beställningarna har ökat. Exempelvis handlar det i fler fall om sambearbetningar med andra register, bland annat kvalitetsregister och register som finns hos SCB. Enligt en enkätundersökning som gjordes 2013 är 83 procent av de forskare som beställde uppgifter nöjda med den service som ges.55
En fråga som återkommer vid de kontakter med forskare som jag har haft under utredningen är att kostnaderna för uttag från särskilt SCB uppfattas som höga. De upplever ofta också att det är svårt att få information om vad det är de betalar för.
Inom ramen för Statistikutredningen behandlade jag SCB:s pris- sättning från olika aspekter. Den grundläggande princip som tilläm- pas är ett slags marginalkostnadsprissättning där SCB eftersträvar att ta ut ett pris för leveranser till externa beställare, till exempel forskare, som ger full kostnadstäckning. Jag såg inga skäl att frångå denna princip, men konstaterade också att om statsmakterna vill stimulera exempelvis forskares tillgång till data bör det hellre ske genom anslag till den som köper data än till dem som tillhanda- håller sådana. Jag noterade också att användare har framfört kritik inte bara mot att SCB:s priser är höga utan också, och kanske fram- förallt, mot att SCB brister i transparens när det gäller vad man tar betalt för. En sådan kritik har framförts också av många forskare. Jag menade i Statistikutredningens slutbetänkande att det här finns utrymme för förbättringar från SCB:s sida. Mycket skulle vara vunnet om SCB sökte utveckla en mer aktiv kunddialog, inklude- rande tydligare information om hur priserna sätts.56 Inom SCB bedrivs för närvarande ett projekt som syftar till ökad transparens och enhetlighet i tillämpning och kommunikation av SCB:s prissätt- ning. Ett av syftena är att SCB ska ge en tydligare beskrivning och mer enhetligt kommunicera vad priset innehåller och hur det beräk- nas. Det finns dock en principiell skillnad mellan SCB och andra statistikansvariga myndigheter som påverkar prissättningen. För SCB är statistikverksamheten en huvudsyssla där en stor del bedrivs genom uppdrag och där full kostnadstäckning är ett mål. Det inne- bär att en skälig andel av de indirekta kostnaderna ska inkluderas i de avgifter som tas ut. För övriga statistikansvariga myndigheter är statistiken en bisyssla, varför indirekta kostnader inte behöver beaktas
55Uppgifter från Petra Otterblad Olausson, Socialstyrelsen,
56SOU 2012:83 s. 334.
327
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
i avgiftsunderlaget.57 Även om man principiellt tillämpar en marginal- kostnadsprincip vid prissättning kan det leda till att priserna blir olika på olika myndigheter. Vilken prissättningsprincip SCB ska tillämpa vid tjänster för forskare torde kunna bli föremål för diskus- sion och avtal mellan VR och SCB.
Vid utlämnande ska myndigheterna enligt 9 § PUL inte lämna ut fler uppgifter än som är nödvändigt.58 Frågan om vilka uppgifter som är nödvändiga i olika forskningsprojekt är emellertid inte helt enkel att besvara.
8.3.2.1Forskningsprocessen och vilka uppgifter som är nödvändiga
En återkommande fråga i diskussionen mellan forskare och myn- digheter är omfattningen av det material som forskarna önskar få ut. Forskarna upplever att myndigheterna nästan rutinmässigt vill minska omfattningen i förhållande till vad de begär att få ut, myn- digheterna att forskarna inte sällan begär ut mer material än vad de behöver för det aktuella forskningsprojektet. Det har förvisso före- kommit att forskare har begärt ut fler uppgifter än vad de behöver, till exempel alla uppgifter i ett register trots att de för sitt forsknings- projekt bara behöver en del av dem. Men gapet mellan forskarnas önskemål och myndigheternas inställning kan också bero på en skill- nad i de processer som parterna representerar, forskningsprocessen respektive den administrativa processen.
Den administrativa processen utgår naturligtvis från gällande lagstiftning, det vill säga att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Det kan leda till en benägenhet hos myndighetsföreträdare att vilja begränsa uttagen. Men bedömningen av vilka uppgifter som är nöd- vändiga måste göras mot bakgrund av hur forskningsprocesser ser ut.
Att i generella termer fånga in alla typer av forskningsprocesser är naturligtvis inte möjligt. De varierar från projekt till projekt. Det finns forskningsprojekt med på förhand väl avgränsade frågor och bestämda metoder. I sådana fall kan det vara ganska enkelt att ange vilka uppgifter som är nödvändiga för att genomföra projektet.
57Ökad transparens och enhetlighet i tillämpning och kommunikation av SCB:s prissättning, intern remiss inom SCB
58Se avsnitt 5.3.4.6.
328
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Men forskare kan av olika skäl också behöva pröva sig fram, vilket kan kräva tillgång till fler uppgifter än dem som kommer att ut- nyttjas i den slutliga resultatredovisningen. Behovet av detta kan bero på hur väl tidigare forskning har kunnat avgränsa frågeställningarna så att tydliga hypoteser har kunnat formuleras. I regeringens pro- position om behandling av personuppgifter vid IFAU framhålls att det inte alltid är möjligt att i förväg förutsäga alla frågor som man kan vilja besvara inom ramen för ett visst projekt. Variabler måste kunna läggas till och tas bort under arbetets gång och hypoteser om möjliga ansatser när man ska effektutvärdera måste kunna prövas och förkastas. Även osäkerhet om kvaliteten i de uppgifter forskaren får ut från myndigheten kan vara ett skäl för att forskaren behöver pröva sig fram. 59
Teoretiskt kan man naturligtvis tänka sig att forskaren i ett första steg ber att få ut vissa uppgifter för att i ett senare skede komplet- tera dessa. Detta låter sig i vissa sammanhang göras, men det riskerar ofta att fördröja arbetet och öka kostnaderna. Det försvårar också den prövande process som forskningen ofta innebär. Den egenskap forskaren är intresserad av kan många gånger mätas på flera olika sätt och det kan vara svårt att i förväg bestämma vilket sätt som är mest adekvat. Det kan gälla variabler som till exempel arbetslöshets- erfarenhet och socioekonomisk status. Ibland kan forskare också behöva kombinera flera uppgifter i myndighetsregister för att kon- struera nya variabler som behövs i projektet. Även i sådana fall kan det vara nödvändigt för forskaren att pröva sig fram, det vill säga att kombinera olika uppgifter ur myndighetsregistren för att se vilken kombination som bäst svarar mot ändamålet.
Den administrativa processen kan sägas utgå från att forskningen huvudsakligen är deduktiv, ibland experimentell, till sin karaktär, det vill säga att forskaren utgår från en tydligt avgränsad teori, till exempel om samband mellan oberoende och beroende variabler, och sedan med hjälp av data prövar om teorin får stöd eller kan för- kastas. I en sådan situation kan det te sig relativt enkelt att bestämma behovet av uppgifter.
I forskningen finns emellertid också ett tydligt inslag av induk- tion, delvis genom observationella studier, där forskaren i sitt material försöker upptäcka samband som kanske ännu inte har formulerats i någon teori eller där ett antal konkurrerande teorier existerar. Det behöver inte handla om att forskaren ger sig ut i helt okänd terräng,
59 Prop. 2011/12:176.
329
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
men hypoteserna kan i ett tidigt skede vara ganska vaga. Sådana ”upptäcktsresor” kan leda till att en teori modifieras eller till och med till att en ny teori formuleras, vilken i nästa steg får prövas genom
Det är med andra ord angeläget att myndigheterna i sin bedöm- ning av vilka uppgifter som är nödvändiga med hänsyn till ända- målen beaktar hur forskningsprocesser kan te sig och att detta skiljer sig mellan olika projekt och forskningsområden. För att möjliggöra den prövande process som forskningen ofta innebär krävs många gånger tillgång till fler uppgifter än dem som kommer till använd- ning i den slutliga redovisningen. Nödvändighetskriteriet kan således inte inrikta sig enbart på den sistnämnda utan måste ta fasta på forskningsprocessen i dess helhet.
Jag vill inte hävda att det hos utlämnande myndigheter helt saknas förståelse för de frågor som jag här har belyst. Jag bedömer dock att förståelsen skulle kunna öka väsentligt om man inom till exem- pel SCB fick en forskarserviceenhet som, såsom vid Socialstyrelsen och Danmarks Statistik, delvis bemannas av personer med egen forskarerfarenhet.
8.3.2.2.Internationellt samarbete
Forskningen blir alltmer internationell och det är i dag ofta inte längre möjligt att tala om helt svensk forskning. Många forsknings- projekt drivs i samarbete över nationsgränser. När forskning avser ovanliga företeelser, till exempel vissa sjukdomar, kan det dessutom var nödvändigt för att få ihop ett tillräckligt underlag. Ett exempel
60 Merton, R.K., Barber, E. The Travels and Adventures of Serendipity, Princeton University Press 2004; se även Sylwan, P. Att upptäcka det oväntade. 2013, s. 172.
330
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
på det sistnämnda är en studie som gällde behandling av den mycket ovanliga sjukdomen juvenil dermatomyosit, en reumatisk sjukdom hos barn. För att få ett tillräckligt underlag för studien samlades data in från 103 kliniska centra i 30 olika länder vilket krävdes för att få ihop 130 patienter.61
Utlämnande av data över gränserna innebär en rad problem som det har inte har funnits utrymme att närmare inventera och analysera i denna utredning. Här ska endast en kort redovisning av rättsläget och några aktuella initiativ ges.
Enligt huvudregeln i 33 § PUL är det förbjudet att föra över personuppgifter till tredje land om inte landet har en adekvat nivå för skyddet av uppgifterna. I 3 § anges att med tredje land avses en stat som inte ingår i EU eller är ansluten till Ekonomiska europeiska samarbetsområdet (EES). Vad som är adekvat nivå definieras inte i lagen. Det anges dock i 33 § andra stycket att det ska bedömas med hänsyn till samtliga omständigheter som har samband med över- föringen. Överföring till tredje land för forskning kan ske under vissa förutsättningar, till exempel om den registrerade har samtyckt till överföringen, om mottagande stat har anslutit sig till Europa- rådets konvention om skydd för enskilda vid automatisk databe- handling av personuppgifter eller om särskilda standardklausuler används som
Enligt 8 kap. 3 § OSL får uppgifter för vilka sekretess gäller inte röjas för utländsk myndighet eller mellanfolklig organisation. Ett utlämnande får dock ske i enlighet med särskild föreskrift därom i lag eller förordning eller om uppgifterna i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgifterna lämnas ut.62
När utländska forskare vänder sig till svenska myndigheter med önskan att få ta del av svenska data förekommer det att de rekom- menderas ta kontakt men en svensk forskningsinstitution för sam- arbete. Denna institution kan då ha möjlighet att begära ut upp- gifterna och göra bearbetade resultat tillgängliga för den utländske
61Hansson, MG., Gaatorno, M., Stjernschantz Forsberg, J. et al. Ethics bureaucarcy: a signi- ficant hurdle for collaborative
62Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådet rapport- serie 11:2010 s. 62 f och 104 f; SCB Sekretesspolicy
331
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
forskaren. Användning av känsliga personuppgifter kräver alltid etikgodkännande i Sverige och ett svenskt etikgodkännande gäller endast forskning i Sverige.
Utlämning av uppgifter till forskare förekommer, särskilt inom EU, och avser då i regel, om inte samtycke föreligger från de registrerade, anonymiserade data. Ett problem vid utlämnande av mikrodata till tredje land är att det inte torde vara möjligt att förena utlämnandet med bindande förbehåll om sekretess.
Inom OECD har en arbetsgrupp under våren 2014 presenterat en rapport om ökat samarbete kring mikrodata. Arbetsgruppen kon- staterar att det inte finns någon universallösning. Förändringar i syfte att förbättra det gränsöverskridande samarbetet måste ske stegvis. Det finns risker men de kan hanteras. Det är viktigt att skapa för- troende mellan berörda parter i olika länder.63 Arbetsgruppens ord- förande Paul Jackson har också i en presentation av rapporten i Paris i början av april 2014 lyft fram de möjligheter som finns att utveckla och skapa modeller för samarbete på regional nivå och särskilt pekat på Norden.64
Vid en nordisk konferens i Stockholm den
•Ett närmare samarbete mellan nordiska statistikbyråer, hälso- registerinstitut och andra registerhållande myndigheter är ange- läget för att förenkla nordisk gränsöverskridande forskning.
•Procedurer bör skapas för etikgodkännanden som gäller i alla de nordiska länderna.
•Lagstiftningen i de nordiska länderna när det gäller användning av individdata vid gränsöverskridande forskning bör så långt möjligt harmoniseras.
63Expert Group for International Collaboration om Microdata Access. Final report
64Paul Jackson, Report from the OECD Expert Group for International Collaboration on Microdata Access, Paris
332
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
•Tekniska lösningar som underlättar överföring och lagring av och tillgänglighet till forskningsdata över gränserna.
•Program bör skapas för att uppmuntra gränsöverskridande registerbaserad forskning i Norden.65
Inom NordForsk pågår nu i enlighet med dessa handlingspunkter ett arbete med att stärka nordisk forskning och forskningsinfra- struktur inom
En arbetsgrupp med representanter för de nordiska centrala statistikmyndigheterna, SCB i Sverige, har fått i uppdrag att gå igenom de legala förutsättningarna i de nordiska länderna och att ge förslag på bland annat en gemensam process eller infrastruktur. Arbetsgruppen ska lämna sin rapport i slutet av juni 2014.66
I en rapport till Nordiska rådet om samarbete inom hälso- och sjukvårdsområdet har förra statsrådet och landshövdingen Bo Könberg föreslagit ett fördjupat samarbete mellan de nordiska län- derna. Han framhåller att med de nordiska ländernas 26 miljoner invånare finns underlag som möjliggör studier av ovanliga sjuk- domar. Norden skulle genom ett ökat samarbete också kunna stärka sitt varumärke som en attraktiv region för toppforskning. Han före- slår att regeringarna ska satsa på att undanröja de hinder som finns och sedan inrätta ett virtuellt center för registerbaserad forskning.67
Inom EU uppmuntras i hög grad gränsöverskridande samarbete, bland annat i så kallade European Research Infrastructure Consor- tiums, ERIC. Det är en organisationsform som inrättades av EU 2009 för att främja byggande av en
65Conference Report, Joint Nordic Focus on Research Infrastructures – Looking to the Future, Stockholm
66Information från Stina Andersson, SCB:s representant i arbetsgruppen,
67Könberg, B. Det framtida nordiska hälsosamarbetet, rapport till Nordiska rådet i juni 2014.
333
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
i ett
Mycket av det europeiska samarbetet sker genom tillskapandet av gemensamma databaser som kan användas för olika forsknings- projekt. Det är olyckligt att SCB numera har intagit en mycket re- striktiv hållning när det gäller att tillhandahålla uppgifter till sådana. Det är angeläget att frågan diskuteras i VR:s registerdataråd så att man kan komma fram till en positiv handlingslinje från svensk sida.
Ett annat exempel på europeiskt samarbete handlar om kli- niska prövningar. Europaparlamentets och Rådets förordning om kliniska prövningar av humanläkemedel kommer att ersätta direktiv 2001/20/EG om tillnärmning av medlemsstaternas lagar och andra författningar rörande tillämpning av god klinisk sed vid kliniska pröv- ningar av humanläkemedel. Förordningen kommer att gälla direkt i alla medlemsstater och därmed ersätta/påverka viss reglering som för närvarande i Sverige sker genom läkemedelslagen och etikpröv- ningslagen.
Syftet är att ytterligare harmonisera de administrativa bestäm- melserna om kliniska prövningar. Den nya förordningen ska för- enkla förfarandena för inlämnande av en ansökan om tillstånd för klinisk prövning, bland annat genom att olika ansökningar med i stort sett samma information som i dag måste göras ersätts med en enda ansökan via en europeisk webbportal.
Förordningen förväntas bli beslutad under 2014. Bestämmelser i läkemedelslagen och etikprövningslagen måste sedan anpassas inom två år efter det att förordningen publicerats. Läkemedelsverket har inlett arbetet med att anpassa regelverk, procedurer och rutiner till förordningen.
8.3.3Sambearbetning
Som jag tidigare har redovisat är uppgifter ur ett enda myndighets- register sällan av intresse för forskningen.68 För att kunna spåra eller pröva intressanta samband krävs ofta att uppgifter ur olika register sambearbetas. De olika registren kan finnas hos en huvudman eller hos flera. När sambearbetningen avser uppgifter ur olika register
68 Se avsnitt 4.4.
334
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
som finns hos en huvudman är det relativt enkelt. När uppgifterna finns hos flera myndigheter måste forskaren begära ut uppgifter från var och en av dessa.
Det normala förfarandet vid utlämnande av anonymiserade upp- gifter från flera myndigheter är att en av myndigheterna upprättar en kodnyckel som sedan används av alla myndigheterna. Alla myn- digheter utom Socialstyrelsen kan tillhandahålla uppgifterna genom SCB:s
Under utredningsarbetet har frågan uppkommit om det rättsliga stödet för de statistikansvariga myndigheterna att bistå forsknings- huvudmännen med sambearbetning av uppgifter.
I särskild verksamhet hos en myndighet som avser framställning av statistik gäller enligt 24 kap. 8 § OSL som huvudregel absolut sekretess för uppgift som avser en enskilds personliga eller ekono- miska förhållanden och som kan hänföras till den enskilde. Undan- tag från den absoluta sekretessen görs dock för uppgift som behövs för forsknings- eller statistikändamål och för uppgift som inte genom namn, annan identitetsbeteckning eller liknande är direkt hänförlig till den enskilde. Undantagen gäller endast om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
När en statistikansvarig myndighet lämnar ut dessa uppgifter till en annan statistikansvarig myndighet i syfte att möjliggöra sam- bearbetning för tredje parts räkning är emellertid inget av de ovan nämnda undantagen från statistiksekretessen tillämpliga. Den mot- tagande myndigheten ska inte använda uppgifterna för statistik- eller forskningsändamål och uppgifterna är direkt hänförliga till den enskilde. Det har därför ifrågasatts om förfarandet att i detta
335
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
syfte skicka kodnycklar eller filer med känsliga personuppgifter mellan myndigheter har stöd i lagen. Jag menar dock att ett sådant förfarande är att se som ett led i forskningsverksamheten och att den sekretessbrytande bestämmelsen för forskningsändamål således är tillämplig.
För statistikansvariga myndigheter gäller vidare särskilda regler för personuppgiftsbehandling. Enligt 14 § lagen om den officiella statistiken får en statistikansvarig myndighet behandla personupp- gifter för framställning av statistik. Behandling av personuppgifter får enligt andra stycket i samma bestämmelse omfatta uppgift om personnummer. Behandling av känsliga personuppgifter enligt 13 § PUL och om lagöverträdelser m.m. enligt 21 § PUL får behandlas om det följer av föreskrifter som regeringen meddelar.
Bestämmelserna om behandling av känsliga personuppgifter gäller endast vid framställning av statistik. Den behandling som myndig- heterna utför för att sambearbeta uppgifter ur sina register med uppgifter från andra myndigheters register för att bistå forskare är emellertid inte en del av myndighetens statistikverksamhet. Även på den punkten har mot den bakgrunden lagligheten ifrågasatts.
Utlämnanden och behandlingar för att möjliggöra sambearbet- ning sker i dag rutinmässigt och är ofta en förutsättning för register- baserad forskning. Det är därför av största vikt att det inte råder någon tveksamhet om att de har lagligt stöd. Enligt min mening är det också fallet. Det är rimligt att se den behandling som sker när en myndighet överlämnar uppgifterna till en annan myndighet för sambearbetning för en forskningshuvudmans räkning som ett led i den forskningsverksamhet som enligt 9 § och 10 § PUL är tillåten. När det gäller behandling av känsliga personuppgifter gäller enligt PUL som huvudregel att behandlingen ska vara godkänd av en etik- prövningsnämnd. Av forskningshuvudmannens ansökan till nämn- den framgår det vanligtvis om och i så fall vilka registeruppgifter som ska sambearbetas med uppgifter från olika myndigheter. Etikprövningsnämndernas godkännande av personuppgiftsbehand- lingen måste anses gälla även de utlämnande myndigheternas be- handling av personuppgifterna. De utlämnande myndigheterna har således stöd för sin personuppgiftsbehandling genom etikpröv- ningsnämndens beslut.
Stöd för behandlingen av personuppgifter för att möjliggöra sam- bearbetning av personuppgifter från olika myndigheter kan också hämtas från den allmänna principen om att myndigheter är skyldiga att bistå varandra i att fullgöra sina uppgifter. Denna princip om
336
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
myndigheters allmänna samverkansskyldighet kommer till uttryck i 6 § förvaltningslagen (1986:223). Där anges att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksam- heten.
I regeringens senaste forskningsproposition (prop. 2012/13:30) konstateras att sambearbetning av data i princip skulle kunna ske genom en teknologi som möjliggör att uppgifter hanteras i befint- liga register och att bearbetningen av dem sker när analysen genom- förs.69 I det delbetänkande jag som utredare av den officiella statisti- ken våren 2012 avlämnade om Registerdata för forskning diskuterade jag frågan om tillgängliggörande av data som lagras distribuerat. Jag konstaterade att heterogeniteten i de många datakällorna utesluter en centraliserad uppgiftshantering där alla data flyttas till en och samma fysiska miljö. Den komplexa bild som framtidens register- bestånd uppvisar kräver en distribuerad lösning, det vill säga en struk- tur som liksom i dag innebär att uppgifterna finns hos många olika huvudmän. Frågan är då om man kan tänka sig en teknisk lösning av det slag som antyds i regeringens forskningsproposition.
8.3.3.1Federerat system
SCB:s
Socialstyrelsen, och sannolikt även de ansvariga för hälso- och sjukvårdens kvalitetsregister, anser sig, som framgått, av juridiska och andra skäl förhindrade att överföra fullständiga kopior av sina personregister till SCB. Ett alternativ är att hos Socialstyrelsen skapa ett liknande system och att undersöka möjligheterna att dessa system ska kunna kommunicera med varandra. Vad det kan komma att betyda för sambearbetning av uppgifter från Socialstyrelsen och övriga myndigheter är för tidigt att säga något om.
69 Prop. 2012/13:30 s.
337
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Som alternativ till en centraliserad datalagerlösning av MONA- typ har diskuterats system där datalager hos flera dataförvaltare kan kopplas samman utan att data behöver flyttas eller kopior utväxlas mellan myndigheterna. Inom VR:s DISC utvecklades och testades under åren
Ett system liknande MONA för myndighetsövergripande in- formationsutbyte och fjärråtkomst till data har byggts vid Umeå universitet. Hittills har det testats för forskning på hälso- och sjuk- vårdens kvalitetsregister för prostatacancer. Uppgifter från Nationella prostatacancerregistret (NPCR) har kombinerats med data från Socialstyrelsen och SCB i den så kallade PC BASe. Efter prövning av den grupp som ansvarar för registret kan forskaren få tillgång till data via fjärråtkomst.
Inom ramen för ett internationellt samarbete om autismforsk- ning har ett sådant federerat system, som är särskilt anpassat för forskningsområdet, utvecklats och prövats. Förutom Sverige deltar i samarbetet Danmark, Norge, Finland, Israel och Australien. Den programvara som har skapats inom ramen för projektet kallas Virtual Pooling and Analysis of Research data, ViPAR. Systemet fungerar på det sätt som ovan beskrivits. För att möjliggöra sambearbetning måste uppgifterna i de nationella databaserna harmoniseras enligt en överenskommen mall.70 Denna harmonisering utförs lokalt av respektive medlem och kan vara en tidsödande process.
70 Carter, KW, Francis, RW and iCARE, ViPAR: a software platform for the Virtual Pooling and Analysis of Research Data, opubl.
338
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
ViPAR har utvecklats i Australien, som sedan tidigare har ett federerat system i bruk, BioGrid Australia. 71 Systemet har för när- varande 26 medlemsorganisationer och data kan hämtas från 18 sjuk- hus och hälsocentraler. I systemet används fjärråtkomst till med- lemmarnas databaser för att hämta hem uppgifter till ett lokalt förvarat forskningsregister där uppgifter har sambearbetats för ett specifikt forskningsändamål.
Umeå universitet har under i maj 2014 beslutat avsätta 5 mnkr till en forskargrupp för att bygga ett system med federerade data- baser. Tyngdpunkten i arbetet kommer att ligga inom fältet säker- hetslösningar i federationsservern.72
I ett system där heterogena data ska sambearbetas krävs att det förberedande harmoniseringsarbetet också ska kunna utföras på distans. Man skulle hos federationsservern behöva kunna skapa sär- skilda forskningsregister för specifika forskningsprojekt eller forsk- ningsdatabaser för flera framtida projekt. Hur lagringen och det övriga handhavandet av sådana ”förädlade databaser” ska ske är en fråga som förutsätter såväl tekniska som juridiska och organisatoriska överväganden.
Många har på ett principiellt plan anslutit sig till tanken på ett federerat system. Förhoppningen är att ett eller flera sådana system skulle kunna öka skyddet för personuppgifterna genom organisa- torisk samordning av regeltillämpning och en minskning av antalet kopior med personuppgifter. Det skulle dessutom för många forskare kunna öka tillgängligheten till och sänka priset på bra forsknings- data.
Utmaningen för svensk del är att finna en samordnande aktör som kan specificera uppgiftsleverantörernas och uppgiftsanvändar- nas, det vill säga forskarnas, behov och formulera de kravspecifika- tioner i övrigt som krävs för ett sådant system. Även sedan en sådan aktör pekats ut återstår en lång process av teknisk utveckling och anpassning. Kraven på dokumentation och samordning av begrepp och uppgifter kommer att skärpas.
Det måste också bedömas i vilken utsträckning ett federerat system kan ersätta forskningsdatabaser för till exempel longitudi- nella studier. Direkt kontakt med grunddata kan förbättra möjlig- heterna till snabb uppdatering av uppgifter, men systemet måste också erbjuda möjligheter att spara sådana uppgifter som är resultatet av
71www.biogrid.org.au.
72Information från Anders Brändström
339
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
forskarens dataförädlande arbete och som går utöver sammankopp- lingen av de originaldata från olika källor.
I Registerdata för forskning föreslog jag en ny myndighet för re- gisterforskning med detta som ett av sina uppdrag. Regeringen valde emellertid att inte föreslå en sådan myndighet utan har i stället, som jag redovisat ovan, lagt vissa uppgifter på VR. Till dem hör dock inte uppdraget att utveckla ny teknik för sambearbetning. Regeringen har i forskningspropositionen antytt att den avser att återkomma till denna fråga i särskild ordning.73 Något initiativ i det avseendet har dock ännu inte tagits.
8.3.4Skydd och säkerhet vid högskolorna och universiteten
För att skydda personuppgifter, och särskilt känsliga personupp- gifter, ställs en rad krav på den som är personuppgiftsansvarig. När det gäller uppgifter som lämnas ut till forskning på universitet och högskolor är det forskningshuvudmännen, det vill säga universitetet eller högskolan, som är personuppgiftsansvarig och som har att leva upp till dessa krav. Det yttersta ansvaret för skydd och säkerhet åvilar därmed universitetens och högskolornas styrelser och kon- sistorier. 74
I PUL finns bestämmelser om anmälningsskyldighet av behand- ling av personuppgifter som är helt eller delvis automatiserad. En sådan anmälan behöver emellertid inte göras om den personupp- giftsansvariga har utsett ett personuppgiftsombud. Ombudet ska då i stället föra en förteckning över de behandlingar som genomförs.
Om personuppgiftsombud utses ska det anmälas till Data- inspektionen. Ett personuppgiftsombud är en person som har till uppgift att självständigt se till att den personuppgiftsansvarige behand- lar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Personuppgiftsombudet ska påpeka fel och brister i verksamheten till den personuppgiftsansvarige (3 och 38 §§ PUL).75
Personuppgiftsombud finns i dag vid alla universitet och vid fler- talet mindre högskolor.76 Vid de kontakter jag under utredningen har haft med universitet och högskolor har det emellertid fram- kommit att uppgiften som personuppgiftsombud ofta ska rymmas
73Prop. 2012/13:30 s. 150.
74Konsistoriet är benämningen på styrelserna vid Uppsala universitet och Karolinska Institutet.
75Se avsnitt 5.3.4.12.
76Information från Lilliann Edlund, Datainspektionen
340
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
inom ramen för annan tjänstgöring och att den tid som avsatts för uppgiften är otillräcklig för att på ett tillfredsställande sätt kunna klara uppgiften.77 Situationen varierar från lärosäte till lärosäte, vilket är naturligt med hänsyn till att förutsättningarna varierar kraftigt. Det finns dock skäl att understryka det ansvar som styrelserna och konsistorierna har för skydd och säkerhet och för att funktionen som personuppgiftsombud kan klaras av på ett tillfredsställande sätt. Styrelserna för statliga myndigheter, det gäller också universiteten och högskolorna, ska i årsredovisningen avge en försäkran om att de bedömer att den interna styrningen och kontrollen vid myndig- heten är betryggande (eller, om så är fallet, redovisa på vilka punkter det finns brister).78 För att kunna avge en sådan försäkran bör styrel- serna ha försäkrat sig om att personuppgiftsombudet har tillräckliga resurser för att klara sin uppgift och också få en lägesrapport från ombudet.
När den statliga Integritetsskyddskommittén år 2007 redovisade sin genomgång av integritetsskyddet inom olika samhällssektorer var forskning och statistik ett av de områden som analyserades. I sin huvudsakliga bedömning konstaterade kommittén att sekretessregler- na på forskningsområdet är svåröverskådliga och fragmentariska. De konkreta frågor som uppmärksammades gällde främst att etik- prövningen av forskning endast avser vissa uppgifter och att sekre- tesskyddet är oklart när forskning bedrivs av enskilda institutioner. Kommittén framhöll också att det inte finns några bestämmelser som generellt reglerar förutsättningarna för att lämna ut uppgifter från den forskningsrelaterade verksamheten.79 Etikprövningslagen har sedan analysen gjordes förändrats på några punkter, bland annat så att forskningsprojekt som använder känsliga personuppgifter ska ha etikgodkännande oavsett om forskningspersonerna lämnat sam- tycke eller inte.
Som huvudregel gäller att när uppgifter som är skyddade av sek- retess, till exempel statistiksekretess, överlämnas från en myndighet till ett statligt universitet eller en statlig högskola, så följer sekretessen automatiskt med.80 Det kan möjligen råda viss osäkerhet om vad som gäller när forskaren använder andra källor för sina uppgifter.
77Bland annat arrangerades inom utredningens ram ett seminarium på Utbildningsdeparte- mentet med deltagande av ett antal företrädare för universitet, Myndigheten för samhälls- skydd och beredskap, Datainspektionen m.fl.
78Förordning (2000:605) om årsredovisning och budgetunderlag. Ekonomistyrningsverkets föreskrifter och allmänna råd.
79SOU 2007:22 I s.
80Se avsnitt 5.6.3.1.
341
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Det ska än en gång framhållas att inga läckor av uppgifter från forskningsmiljöer så vitt jag känner till har förekommit. Jag har tidigare redovisat att det finns en rad skäl som tillsammans kan för- klara varför så är fallet. Dit hör såväl de sekretessregler som gäller som de starka incitament som både universitet och högskolor och de enskilda forskarna har att förhindra att något ska läcka ut.81 Men det hindrar inte att ytterligare försiktighetsmått kan vara motiverade.
Vissa uppgifter samlas in av forskare direkt från uppgiftsläm- narna (forskningspersonerna). Till universitetens och högskolornas skyldighet hör att informera uppgiftslämnare om vilka rättigheter de har. Datainspektionen har som nämnts nyligen genomfört en tillsyn av ett antal universitet och högskolor i detta avseende och kunnat konstatera ett antal brister. I många fall har universiteten och högskolorna inte tillräckligt tydligt, eller inte alls, informerat om vem som är personuppgiftsansvarig och om rätten att ansöka om information och att få rättelse.82
8.4Forskningsdatabaser
I regeringens senaste forskningsproposition83 konstaterades att det är angeläget att det kan skapas databasinfrastrukturer för bestämda, men relativt allmänt hållna, forskningsändamål. Sådana uppgifts- samlingar ska inom ramen för det allmänna ändamålet kunna använ- das av forskare i flera olika forskningsprojekt. Särskilt longitudi- nella studier, som kan belysa utvecklingen över tid av hälsa, sjukdomar och andra viktiga samhällsförhållanden, skulle vara betjänta av sådana register. Dock råder enligt regeringen vissa oklarheter när det gäller författningsregleringen av sådana databaser. Det är bakgrunden till att frågan tagits upp i direktiven till denna utredning. Där konsta- teras att det för närvarande är problematiskt för forskare att skapa register med personuppgifter som underlag för framtida forskning.
Jag ska i detta avsnitt belysa de oklarheter som råder när det gäller den lagliga regleringen av infrastrukturregister. Därefter redo- visas skäl för att det ska kunna skapas infrastrukturer för forskning i form av forskningsdatabaser och varför sådana också kan behöva tillföras data från myndighetsregister. Jag kommer också att diskutera vad som ska förstås med särskilt ändamål enligt PUL.
81Se avsnitt 6.8.
82Datainspektionens beslut
83Prop. 2012/13:30 s. 149.
342
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
8.4.1Det rättsliga läget är oklart
I kapitel 5 har jag utförligt redovisat de rättsliga förutsättningarna för registerforskning i allmänhet. Här ska vissa regler som är rele- vanta i diskussionen om forskningsdatabaser lyftas fram.
Enligt 9 § PUL får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål, de får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in och inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt förarbetena kan en alltför allmänt hållen ändamålsangivelse inte god- tas, men hur pass detaljerad den ska vara för att uppfylla lagens krav är inte angivet. Det förutsätts avgöras av praxis. Personuppgifter får inte heller bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Samtidigt framhålls att behandling av personuppgifter för his- toriska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Upp- gifterna kan också bevaras under längre tid för sådana ändamål, men inte längre än vad som behövs för de ändamålen.
Datainspektionen har mot denna bakgrund i olika sammanhang kritiserat ändamålsangivelser som den har bedömt vara alltför all- männa, det vill säga inte så särskilda som PUL anger. ”Framtida forskning” har ansetts vara ett sådant alltför allmänt ändamål.84
För forskning som använder sig av känsliga personuppgifter eller biologiskt material från människor krävs etikgodkännande. Ett sådant godkännande ska enligt 6 § etikprövningslagen ”avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning”. Det framgår av förarbetena att den forskning som ska etikprövas måste vara avgränsad i någon mening. Några generella, principiella godkännanden till att under överskådlig fram- tid få utföra forskning på ett visst material, inom ett visst område eller liknande kan inte lämnas. Forskning får dessutom bara god- kännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskap- liga värde.
Centrala etikprövningsnämnden har med hänsyn till vad etik- prövningslagen säger konstaterat att det inte är möjligt att med stöd
84 Datainspektionens beslut
343
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
av etikprövningslagen behandla och godkänna forskningsdatabaser för framtida forskning.85
Ett etikgodkännande är emellertid inte nog för att forskning ska få utföras. Forskningen får heller inte strida mot någon annan för- fattning. När det blir fråga om utlämnande till forskningen av upp- gifter från olika register måste utlämnandet också prövas enligt OSL. Uppgifter om enskilds personliga och ekonomiska förhållanden skyddas som huvudregel av absolut sekretess hos en myndighets verksamhet för framställning av statistik. Även sådana uppgifter får emellertid utlämnas för forskningsändamål om det står klart att de kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
SCB avgjorde år 2011 ett ärende som rör utlämnande av vissa inkomstuppgifter till Luxemburg Income Study (LIS). LIS är en organisation som grundades 1983 och i vilken Sverige har varit med från starten. Den samlar in och harmoniserar inkomstuppgifter från ett stort antal länder, främst europeiska, för att möjliggöra inter- nationella jämförelser av inkomstförhållanden och effekter av olika skatte- och transfereringssystem. Den kan härvidlag betraktas som en forskningsdatabas. Uppgifterna om Sverige har levererats av SCB och hämtats från dess undersökning om hushållens ekonomi. De senaste uppgifterna som levererades avser år 2004. I mars 2011 av- slog SCB en ansökan om att lämna ut uppgifter avseende åren 2007 och 2010. I sitt avslag slår SCB fast att man inte anser sig kunna lämna ut uppgifter till något som är en databas snarare än ett specifikt forskningsprojekt. Beslutet hade inget att göra med att databasen i fråga finns utomlands. SCB framhåller att samma beslut skulle ha fattats om det hade gällt ett svenskt projekt.86 Eftersom uppgifter tidigare har lämnats ut måste ställningstagandet ses som en om- prövning i mer restriktiv riktning från SCB:s sida.
SCB har tidigare själv medverkat och medverkar alltjämt till att bygga upp forskningsdatabaser, exempelvis Utvärdering Genom Upp- följning, UGU, som numera finns vid pedagogiska institutionen vid Göteborgs universitet. Även inom SCB finns databaser av detta slag, till exempel de tidigare nämnda LISA och FASIT. Det är osäkert vilka följder SCB:s nya ställningstagande kommer att få.
85CEPN beslut
86Brev
344
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Det är uppenbart, som regeringen har framhållit i utrednings- direktiven, att olika regler skapar en rad tolkningsproblem, inte minst vid byggandet av forskningsdatabaser.
Jag kan dock konstatera att etikprövningsnämnderna, trots etik- prövningslagens begränsningar, i vissa fall har ansett sig oförhind- rade att godkänna projekt även med ganska breda ändamålsbeskriv- ningar, till exempel att analysera uppkomsten och utbredningen av en viss kategori av sjukdomar. Gränsdragningen är minst sagt oklar mellan vad som anses vara projekt eller på något liknande sätt be- stämd forskning och som därmed kan ges etikgodkännande respek- tive forskningsdatabaser som inte kan prövas enligt lagen. Det kan belysas med ett projekt som särskilt nämns i utredningsdirektiven och som har varit föremål för mycket debatt, nämligen LifeGene.
8.4.2LifeGene och EpiHealth
Projektet LifeGene är ett samarbete mellan flera universitet som leds av KI. Liksom i systerprojektet EpiHealth, lett av Uppsala och Lunds universitet, är syftet att samla in data från individer och följa dem under flera år för att få underlag att analysera sambanden mellan arv, miljö och hälsa. LifeGene avser att följa personer som i dag är upp till 45 år och EpiHealth personer som är 45 år och äldre. De bägge projekten kompletterar således varandra. Projekten som sådana innebär inte någon forskning utan syftet är att skapa forsk- ningsdatabaser som kan användas i framtida forskningsprojekt. För de konkreta projekt till vilka forskare önskar få ut uppgifter från LifeGene och/eller EpiHealth krävs etiktillstånd, precis som för all annan forskning som använder sig av känsliga personuppgifter.
Två olika etikprövningsnämnder, i Stockholm och Uppsala, ansåg sig, trots syftet att skapa forskningsdatabaser, oförhindrade att ge projekten etikgodkännanden. I LifeGenes fall fattades beslutet dock med ett förbehåll: att barn under sex år skulle exkluderas från prov- tagning. Detta beslut överklagades av KI till Centrala etikpröv- ningsnämnden, som i sin behandling av ärendet konstaterade att projektet inte kunde prövas enligt etikprövningslagen eftersom det handlade om en forskningsdatabas och inte om ett konkret projekt. Centrala etikprövningsnämnden ansåg sig därför förhindrad att pröva ansökan. Nämnden konstaterade samtidigt att ”projektet i sin nuvarande utformning inte behöver godkännande av etikpröv- ningsnämnd för att få genomföras och att godkännande av etik-
345
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
prövningsnämnd aktualiseras bara med avseende på sådan konkret forskning som kan komma att planeras i framtiden”.87 Centrala etikprövningsnämndens beslut innebar således inte i sig något hinder för KI att fortsätta den insamling av uppgifter som man (med stöd av ett tidigare beslut i etikprövningsnämnden om en pilotverksam- het) redan hade påbörjat.
I det läget beslutade emellertid Datainspektionen, med stöd av PUL, att KI skulle upphöra med uppgiftssamlingen. Inspektionen menade att ändamålet ”framtida forskning” var alltför brett och att det i sin tur gjorde det omöjligt för forskningspersonerna, det vill säga de som frivilligt lämnade uppgifter och prover till LifeGene, att ge ett informerat samtycke.88 KI överklagade beslutet till förvaltnings- rätten. Regeringen valde emellertid efter Datainspektionens beslut att gå fram till riksdagen med förslag om en särskild lag för att säker- ställa en fortsättning för
Hur Centrala etikprövningsnämnden skulle ha ställt sig om den hade haft anledning att pröva
87CEPN beslut
88I själva verket var ändamålet i KI:s ansökan i inte ”framtida forskning” i allmänhet. Dels fanns den precisering som redovisas i rutan nedan, dels angavs i den sammanfattande beskrivningen av projektet att huvudsyftet var ”att bygga en storskalig nationell resurs i form av en pro- spektiv kokort för framtida forskning med avseende på orsaker och förekomst av vanliga sjukdomar”. Man pekar därefter på det komplexa sambandet mellan arv och miljö och kon- staterar att man vill studera sambandet mellan sjukdomar som uppträder tidigt i livet och senare uppkomst av kroniska sjukdomar. Etikansökan
89Prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för män- niskors hälsa.
90Förvaltningsrätten i Stockholm meddelade
346
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Man ansåg sig därför inte ha någon anledning att pröva behand- lingens laglighet.91
LifeGene och EpiHealth kan alltså beskrivas som komplemen- tära projekt. De har bägge tillkommit i samverkan mellan flera universitet för att just skapa en infrastruktur för framtida forskning. Finns det då någon skillnad mellan etikansökningarna som skulle kunna motivera olika bedömningar? Jag har svårt att se någon sådan. Den lilla skillnad som finns är att Uppsala och Lunds universitet i sin ansökan var något mer utförliga när det gäller ändamålsbeskriv- ningen än vad KI var i sin. De förra valde att räkna upp huvuddelen av de sjukdomar som drabbar personer över 45 år, medan KI ut- tryckte sig mer översiktligt. Svaren på frågan ”Vilken primär veten- skaplig frågeställning ligger till grund för projektens utformning?” i etikansökan för de bägge projekten återfinns i rutan nedan.92
Karolinska Institutet (LifeGene)
Projektet är inte primärt hypotesprövning utan observationell forskning som kan ge svar på en rad vetenskapliga frågeställningar. Två huvudlinjer är
1.Vad är den aktuella prevalensen av sjukdomar och symtom samt distribution av exponeringar i befolkningen. Av särskilt intresse är prevalensen av psykiatriska symtom (såsom depressiva symtom, ångest, sömnstörningar
etc.) hos barn och tonåringar.
2.Vilka påfrestningar finns i omgivningen som leder till uttalad sjudom hos somliga? Finns det sårbarhetsgener som gör somliga mer känsliga för dessa påfrestningar? Vilka interaktioner finns mellan sårbarhetsgener och omgivningsmässiga exponeringar för uppkomsten av vanliga sjukdomar?
Uppsala och Lunds universitet (EpiHealth)
Det övergripande målet är att studera samband mellan miljö/livsstilsfaktorer och gener avseende vanliga folksjukdomar hos medelålders och äldre.
De vetenskapliga frågeställningarna utgår från de sjukdomsområden som definierats i forsknings- protokollet …
Existerar samband mellan miljö/livsstilsfaktorer och gener avseende framtida uppkomst av
1.
2.cancer?
3.lungsjukdomar, som kronisk obstruktiv lung- sjukdom/astma och sömnapnesyndrom?
4.benskörhet och frakturer?
5.demens?
6.depression?
7.smärttillstånd från leder och skelett?
8.fetma och diabetes?
9.funktionsnedsättningar som leder till beroende av andra för att klara livsföringen?
91Datainspektionen
92Karolinska Institutet, Institutionen för Medicinsk Epidemiologi och Biostatistik, Ansökan om etikprövning
347
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
Existerar samband mellan miljö/livsstilsfaktorer och gener avseende
10. framtida livskvalitet?
11. framtida mortalitet av olika orsaker?
Förutom dessa huvudfrågeställningar avser vi att undersöka
12. Prevalenser av de ovan nämnda sjukdoms- grupperna i olika köns- och åldergrupper.
13. Att studera hur livsstilsmönster (som fås ur enkät och fysiologiska prover) varierar i olika köns- och åldergrupper.
14. Att undersöka graden av nedärvning, och påverkan av gemensam miljöpåverkan inom en familj, på de ovan nämnda sjukdoms- grupperna. Denna frågeställning förutsätter ett framtida samarbete med LifeGene- kohorten då vi gemensamt bjuder in hela familjer till undersökningen. Denna fråge- ställning är förknippad med speciella etiska övervägningar och kommer om den blir aktuell i framtiden att föregås av en SEPARAT etikansökan.
15. Att utvärdera biomarkörer i blod/plasma samt de fysiska testerna dom utförts på testcentret som riskfaktorer för de ovan nämnda sjuk- domsgrupperna. I en nära framtid kan man förutsätta att man kan i ett blodprov analysera alla människans proteiner (proteomics), alla intermediärmetaboliter och andra mindre molekyler (metabolomics) och en fullständig fettprofil (lipidomics).
Handläggningen av ärendena avseende LifeGene och EpiHealth visar på svårigheterna att tolka gällande lagstiftning.
Jag har med detta exempel velat illustrera den oklarhet i författ- ningsregleringen när det gäller forskningsdatabaser, som har påpekats av regeringen.
Samtidigt kan jag konstatera att det trots allt finns flera data- baser av infrastrukturkaraktär i Sverige. Ett antal av dessa har san- nolikt byggts upp i anslutning till etikgodkända forskningsprojekt. Etikgodkännandet torde då ha avsett forskningsprojektet och inte den forskningsdatabas som byggts upp i anslutning till detta. I några
348
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
fall synes etikprövningsnämnderna dock i praktiken ha godkänt forskningsdatabaser, där EpiHealth (och LifeGene) är tydliga exem- pel. Den nuvarande etikprövningslagen trädde i kraft år 2004. Vissa register är av äldre datum än så och kan ha prövats enligt de etiska regler som föregick lagen. De etikkommittéer som tidigare fanns vid de medicinska fakulteterna vid universiteten och vid Huma-
Professor Robert Erikson har våren 2014 på uppdrag av VR läm- nat en rapport om befintliga forskningsdatabaser inom samhälls- vetenskap och medicin i Sverige. Hans inventering indikerar att det finns minst 50 sådana databaser.93
Det finns också några forskningsdatabaser som har skapats eller fått stöd genom beslut i riksdag, regering eller myndigheter. Det rättspsykiatriska forskningsregistret,
Demografiska Databasen vid Umeå universitet regleras av en särskild förordning, ursprungligen utfärdad av Universitets- och högskoleämbetet 1978. Den nu gällande förordningen är från 1990.94 Arrangemanget med en myndighetsförordning som stöd för ett register torde vara tämligen unikt, åtminstone i dag.
Låt mig till sist nämna att jag under utredningsarbetet har mött flera exempel på forskare som hade önskat skapa forskningsdata- baser för flera olika forskningsprojekt, men som har fått nej av etik- prövningsnämnderna. De har då i regel valt att i stället begränsa sin forskning eller dela upp den i en rad delprojekt.
8.4.3Varför behövs forskningsdatabaser?
Forskningsdatabaser kan vara av utomordentligt stort värde genom att möjliggöra olika forskningsinsatser inom breda fält. En före- gångare och förebild inom samhällsvetenskaplig forskning är den
93Erikson, R.,
94Förordning om demografiska databasen vid universitetet i Umeå,
349
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
vid University of Michigan, USA, baserade Panel Study of Income Dynamics (PSID), inom vilken medlemmarna i ett stort antal familjer har följts från den första datainsamlingen 1968. Databasen tillkom ursprungligen för att följa utvecklingen av president Lyndons Johnsons krig mot fattigdomen i USA. Den används fortfarande, men ämnesområdet har vidgats betydligt under resans gång.95 Mot- svarigheter i Europa är bland andra The German SocioEconomic Panel (GSOEP) vid forskningsinstitutet DIW i Berlin och The British Household Panel Study (BHPS) vid University of Essex. Den senare är en stor brittisk satsning för att bygga upp en longitudinell forskningsdatabas. Det finns i Storbritannien också ett antal kohort- studier, där den första bygger på uppgifter om alla barn som föddes en bestämd vecka år 1946. En annan amerikansk databas som också tjänat som modell till motsvarigheter i andra länder är The Health and Retirement Study (HRS), också vid University of Michigan, som har sin europeiska motsvarighet i The Survey of Health and Retirement in Europe (SHARE). Den senare samlar forskare från ett flertal europeiska länder, inklusive Sverige, och administreras från universitetet i München. Det finns många andra longitudinella forsk- ningsdatabaser världen över.96
I VR:s utredning från 2005 Om forskningens infrastrukturer inom humaniora och samhällsvetenskap i Sverige anges att med
infrastruktur avses här huvudsakligen material som insamlats eller sam- manställts av forskare för forskning och som redan nu eller i framtiden kommer att stå till förfogande för andra forskare nationellt eller internationellt. Det handlar om material som kräver långsiktighet i planering, finansiering och användande och är för dyr och/eller kräver sådana tekniska och personella resurser att det inte kan finansieras lokalt eller inom ramen för ett enskilt forskningsprojekt.
I VR:s guide till infrastrukturen 2012 nämns som exempel på forsk- ningsinfrastrukturer ”centrala eller distribuerade forskningsanlägg- ningar, databaser eller storskaliga
95Enligt PSIDs hemsida bygger över 3000 ’peer reviewed articles’ på uppgifter i databasen. Centre for Longitudinal Studies vid University of London listar över 1800 artiklar som bygger på the National Child Development Study, baserad på barn födda under en vecka 1958. Det faktiska antalet vetenskapliga artiklar som baseras på dessa kohortstudier torde vara betydligt högre eftersom forskare långt ifrån alltid återrapporterar om utnyttjandet av ett datamaterial. (Källa: Erikson och
96Klevmarken, A., brev till utredningen
350
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
bör särskilt nämnas att en sådan ska kunna utnyttjas av ett flertal forskargrupper eller användare och ha en långsiktig planering för vetenskapliga mål, finansiering och utnyttjande. 97
Även i den internationella litteraturen inom området avses med research infrastructure för samhällsvetenskaplig forskning relativt en- tydigt stora databaser, omfattande datainsamlingar och dataarkiv.98 Infrastruktur inom samhällsvetenskap handlar således i hög grad om stora datamaterial. Databaserna måste kunna användas av flera
forskare, vilket ställer krav på tillgänglighet och dokumentation. Erikson listar i sin rapport till VR ett antal kriterier för en tänkt
nationell infrastruktur för samhällsvetenskaplig och samhällsmedi- cinsk forskning:
1Enheterna i studierna ska vara individer eller hushåll.
2Materialen ska kunna bilda underlag för forskning av hög kva- litet om processer och samband på individ- och samhällsnivå.
3Materialen bör ha en viss minsta storlek. Det går emellertid inte att fastställa en bestämd gräns för hur små material som kan inkluderas, eftersom det delvis beror på vilka frågor som man hoppas kunna besvara med hjälp av materialet.
4Även om materialen är och bör vara avidentifierade i den form som används för analys, bör det vara möjligt att för de i mate- rialen ingående individerna hämta uppgifter från nationella re- gister och att i uppföljningssyfte kunna återkomma till dem.
5För att en tvärsnittsstudie ska kunna ingå i en nationell infra- struktur, bör den bygga på en plan för periodiskt återkomman- de datainsamlingar. Samtidigt är det inte ovanligt att vad som vid en tidpunkt är en tvärsnittsstudie, genom uppföljningar via intervjuer eller i register senare kan ha utvecklats till ett longi- tudinellt material.
97Se t.ex. http://www.vr.se/forskningsfinansiering/sokabidrag/vetenskapsradetsutlysningar/ aktuellautlysningar/infrastrukturplaneringsbidrag.5.4b1cd22413cb479b8051be9.html
98EU anger att man inom ramen för ESFRI (European Strategy Forum on Research Infra- structures) med infrastruktur avser “facilities, resources or services of a unique nature that have been identified by
351
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
6Materialen ska vara väl dokumenterade och tillgängliga för forskare utan andra restriktioner än de som följer av gängse forskaretik och etikregler.
Erikson konstaterar att forskningsdatabaser schematiskt kan vara uppbyggda på flera olika sätt. För det första skiljer han mellan så- dana data som har samlats in av forskare (eller på uppdrag av forskare) och sådana som har hämtats ur register. För det andra skiljer han mellan olika alternativ för uppföljning av dessa material. Det kan handla om en engångsinsamling eller ett engångsuttag som inte vidare följs upp. När vi talar om infrastrukturer kännetecknas de emeller- tid av att sådana uppföljningar sker. Forskare kan samla in nytt material eller hämta nya uppgifter från myndighetsregister för att kunna jämföra över tid. Det kan också handla om att följa samma individer över tid. Erikson redovisar följande typmodeller:
Uppföljning
|
|
Ny insamling |
Register- |
Insamling + |
Grunddata källa |
Ingen |
av forskare |
uppgifter |
register |
Insamlade av forskare |
A |
B |
C |
D |
Från register |
E |
F |
G |
H |
Kategori A är tvärsnittsundersökningar som forskare gjort vid ett enstaka tillfälle. Sådana görs ofta inom forskningen men är i sig sällan kandidater till en forskningsdatabas, även om de kan vara av intresse för forskare i framtida projekt. Ett syfte med SND är, som jag har redovisat, att göra forskningsregister tillgängliga för flera forskare.
Kategori B är när forskare samlar in uppgifter vid flera tillfällen för att kunna bedöma utvecklingen. Det kan handla både om studier där man följer samma individer över tid (longitudinella studier) och om upprepade tvärsnittsstudier. I det senare faller sker olika urval från gång till gång. Valundersökningarna, som görs av Göteborgs universitet, och European Social Survey, som i Sverige görs av Umeå universitet, bygger på nya urval vid varje tillfälle. Levnadsnivå- undersökningarna som görs vid Stockholms universitet är en kom- bination av dessa ansatser. De följer en panel över tid men urvalet förnyas successivt för att vid varje tidpunkt vara representativt för befolkningen.
352
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Kategori C är när forskargenererat material kompletteras med uppgifter från myndighetsregister. Kopplingen kan både avse register- uppgifter från samma tidsperiod som det insamlade materialet och från andra tidpunkter – både före och efter datainsamlingstillfället.
Kategori D är när ett forskargenererat material både följs upp av forskare och kompletteras med registeruppgifter. Det finns ganska många material som är av denna karaktär, till exempel den tidigare nämnda EpiHealth. Även den svenska delen av det internationella
Kategori E är när forskare tar ut material från myndighetsregister som endast avser en tidpunkt eller period. Det är ganska vanligt inom forskningen, men utgör sällan grund för infrastrukturer.
Kategori F är när materialet primärt hämtas ur ett myndighets- register och sedan kompletteras av forskare genom till exempel en- käter till de berörda. Svenska Tvillingregistret kan ses som ett exempel på det.
Kategori G är när uppgifter hämtas ur myndighetsregister och successivt uppdateras ur samma källa. Den kan exemplifieras med den så kallade
Kategori H slutligen får kanske ses som en logisk möjlighet utan faktisk motsvarighet.
I huvudsak bör de forskningsdatabaser som är av intresse när man diskuterar forskningsdatabaser tillhöra kategorierna B, C, D och G, i något fall också F, det vill säga forskardrivna studier med information från flera tidpunkter, med eller utan registerkopplingar, samt registerdata sammanställda i forskningssyfte.
8.4.4Behöver myndighetsuppgifter finnas med i forskningsdatabaser?
Forskare kan således samla in uppgifter om individer som kan vara underlag i olika forskningsprojekt. De internationella exemplen visar detta tydligt. Men även i Sverige finns sådana forskningsdatabaser
353
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
som har kunnat användas för olika forskningsprojekt, i många fall även inom olika discipliner.
Ett belysande exempel är den tidigare nämnda
Ett annat exempel är Svenska Tvillingregistret som finns på KI. Även detta register började byggas upp på
99 Svensson, A. (red), Utvärdering Genom Uppföljning, Longitudinell individforskning under ett halvsekel. Göteborgs Universitet 2011.
354
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
tillgång till personuppgifter, inklusive kontaktuppgifter. När upp- gifter från registret lämnas ut till konkreta forskningsprojekt lämnas de ut i anonymiserad form. Tvillingregistret har huvudsakligen an- vänts för forskning inom hälsoområdet, men i vissa fall även inom andra discipliner, till exempel när det gäller utbildning.100
En forskningsdatabas innebär således att många uppgifter som kan vara intressanta inom ett ganska brett forskningsfält samlas på ett ställe. För konkreta projekt kan forskare sedan få ut de upp- gifter ur registret som behövs för just detta projekt. I den mån det handlar om känsliga personuppgifter krävs som alltid etikgodkän- nande av forskningsprojektet. Det är också angeläget att de uppgifter som finns i registret successivt kan kompletteras. Det kan handla exempelvis om att lägga till nya uppgifter eller individer, uppdatera befintliga uppgifter eller följa samma individer över tid.
Uppgifterna i databasen kan, som har framgått ovan, ha två huvudsakliga källor. Antingen har de samlats in av forskare (eller på uppdrag av forskare) direkt från individer eller så har de hämtats från myndighetsregister eller biobanker. Om man önskar att flera forskare ska kunna få tillgång till vissa forskargenererade uppgifter finns inget annat alternativ än att samla dem i en databas. VR, och tidigare Forskningsrådsnämnden, har under många år uppmuntrat tillkomsten av den typen av forskningsdatabaser för bred använd- ning. Det avgörande här är att de forskare som samlar in uppgifter- na inhämtar samtycke från uppgiftslämnarna om en någorlunda bred användning av uppgifterna.
När det gäller uppgifter från myndighetsregister är det inte lika självklart att de ska kunna kopieras i en forskningsdatabas. Det finns de som menar att uppgifterna bara bör finnas i myndighetsregistren och efter sekretessprövning utlämnas till forskare för konkreta projekt. SCB:s tidigare refererade ställningstagande till forsknings- databasen LIS är ett exempel på ett sådant förhållningssätt.
Frågan är då vilka skäl som kan finnas att bygga forsknings- databaser som också innehåller personuppgifter från myndighets- register. Regeringen har i propositionen om IFAU redovisat vissa skäl för varför det kan vara motiverat:
Att bygga upp en samling personuppgifter för ett specifikt uppdrag kan enligt IFAU ta upp till ett år och i vissa fall ännu längre tid. … Det är vidare … svårt att på förhand veta vilka personuppgifter som kom-
100 Magnusson, P.K.E et al, The Swedish Twin Registry: Establishment of a Biobank and Other Recent Developments, http://journals.cambridge.org/abstract
355
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
mer att behövas för ett specifikt utredningsuppdrag. Variabler måste kunna läggas till och tas bort under arbetets gång och hypoteser om möjliga ansatser att effektutvärdera måste kunna prövas och förkastas. Att i efterhand komplettera med ytterligare personuppgifter fördröjer ofta arbetet ytterligare, särskilt i de fall SCB på uppdrag av IFAU måste sätta samman personuppgifter som kommer från olika myndig- heter. … Att skapa projektspecifika samlingar av personuppgifter är vidare kostsamt. Det finns därför risk för att institutet skulle behöva begränsa underlaget av finansiella skäl, vilket i sin tur riskerar att få till följd att underlaget för institutets uppföljningar, studier och utvärde- ringar blir mindre omfattande och att slutresultatet blir kvalitetsmässigt sämre. … För att säkra kvaliteten i institutets utvärderingar krävs att IFAU:s forskare får möjlighet att utveckla användandet av databaser- na. Delar av detta utvecklingsarbete är svårt att utföra utifrån projekt- specifika databaser. Det är också svårare att motivera stora tidsmässiga investeringar i kunskapsuppbyggnad och utveckling av nya arbetssätt om inte forskarna har tillgång till varaktiga samlingar av uppgifter. … Om IFAU kan hålla egna samlingar av personuppgifter, kan institutet redan i dessa samlingar strukturera och anpassa uppgifterna så att de lämpar sig för forskning. … Databaserna är … den enskilt viktigaste förklaringen till att IFAU har kunnat locka till sig så hög vetenskaplig kompetens inom kvantitativ empirisk forskning.101
De skäl som här redovisas gäller IFAU, som inte bara forskar utan också utför utredningsuppdrag åt regeringen. Men de är i princip giltiga för annan forskning och är också de skäl som jag har mött i ett stort antal kontakter med forskare under utredningsarbetets gång:102
•det tar tid och kostar pengar att få ut uppgifter från exempelvis SCB,
•uppgifterna från myndighetsregistren går ofta inte att använda direkt utan kräver bearbetning, vilket tar tid, alltifrån några månader till ett år eller mer,
•mindre fel i underlaget som inte spelar någon roll när myndig- heter som SCB tar fram officiell statistik kan vara viktiga i forsk- ningen och måste korrigeras,
•forskare måste ofta konstruera egna variabler genom att kom- binera uppgifter ur olika register,
101Prop. 2011/2012:176 s. 42 f.
102Bland annat arrangerades inom utredningen ram ett seminarium på Utbildningsdeparte- mentet med deltagande av ett antal ledande forskare
356
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
•det kräver tid och träning att lära sig vilka styrkor och svagheter en databas har, att förstå hur den kan användas. Det är viktigt att några har den kompetensen för att kunna bistå forskare i konkreta forskningsprojekt.
Det kan synas märkligt att uppgifter i myndigheternas databaser kan behöva bearbetas, men det finns en rad exempel på att det är nödvändigt. I vissa projekt önskar forskare studera prevalensen av sjukdomar över tid, men under den tid studien avser kan diagnos- erna ha förändrats. De måste då gå igenom gamla diagnoser och an- passa dem till dagens diagnossystem för att få jämförbarhet. En liknande situation är när forskare vill jämföra effekten av exempel- vis politiska åtgärder mot arbetslöshet vid olika tidpunkter. Insatser som i myndigheternas redovisning har olika beteckningar kan i själva verket vara mycket likartade och insatser med samma beteckning vara olika. Det krävs därför ett omfattande arbete för att uppnå jäm- förbarhet. Och ett tredje exempel kan hämtas från utbildningsom- rådet där man kan vilja undersöka till exempel effekter av gymnasie- skolans programstruktur på social och könsrelaterad snedrekrytering. Då måste utbildningsprogram som under åren haft olika namn och innehåll grupperas på ett enhetligt sätt.
Många forskare som har arbetat mycket med register säger sig aldrig ha kunnat utnyttja registeruppgifter som de är, utan före- gående bearbetning. Det är inte heller självklart att fel som upp- dagas under forskarnas granskning leder till rättelse i myndighets- registren. Felen kanske inte spelar någon roll för registrens primära ändamål, vilket ofta är administrativt eller statistiskt.
Ett viktigt argument för att skapa forskningsdatabaser är att undvika att samma arbete behöver utföras gång på gång. Genom att databaserna kan utnyttjas av flera forskare sparas både tid och pengar, som i stället kan användas för att driva flera viktiga forsknings- projekt.
8.4.5Hur avgränsat ändamål?
Ett problem för en gemensam infrastruktur av forskningsdatabaser är den begränsning av ändamålet som finns i PUL och som indikeras i etikprövningslagen. Regeringen menar att forskningsdatabaser ska kunna ha bestämda men samtidigt relativt allmänt hållna ändamål. Projekt med sådana allmänt formulerade ändamål kläms i dag mellan
357
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
myndigheternas tolkningar av lagarna. De kan inte prövas etiskt, de kan stoppas om Datainspektionen bedömer att ändamålet är för allmänt och de kan hindras att få ut uppgifter från myndigheter.
Vilket är syftet när man i PUL säger att ändamålet för att få skapa uppgiftssamlingar ska vara särskilt?
De personuppgifter som får samlas in ska enligt 9 § PUL vara adekvata och relevanta och man får inte samla in fler uppgifter än vad som behövs för ändamålet. För att kunna bedöma vilka upp- gifter som behöver samlas in krävs naturligtvis en viss precision i ändamålsbeskrivningen. Samtidigt konstateras i förarbetena att lagen inte anger hur pass detaljerat ändamålet ska vara för att uppfylla lagens krav, det får avgöras av praxis, och det sägs också att man kan ha flera olika ändamål som i sig inte behöver vara förenliga. Det synes öppna för de ”bestämda men relativt allmänt hållna forsk- ningsändamål” som regeringen talar om.
När etikprövningsnämnderna ska pröva ett forskningsprojekt förutsätts det enligt förarbetena ske i två steg. Först görs en bedöm- ning av forskningens vetenskapliga bärkraft. Den ska kunna generera kunskap och vara väl underbyggd. Efter den bedömningen görs en avvägning mellan riskerna för skada eller obehag för forsknings- personerna och värdet av den väntade kunskap som forskningen sannolikt ger. För att kunna göra en sådan avvägning är det nöd- vändigt att ändamålet med forskningen är någorlunda precist.
När det handlar om att forskare ska samla in uppgifter direkt från forskningspersonerna förutsätts att dessa ger ett informerat sam- tycke. För att de ska kunna lämna ett sådant måste han eller hon ha fått en uppfattning om vilket ändamålet är med att samla in upp- gifterna.
Utlämnande myndigheter ska bedöma om uppgifter kan lämnas ut utan risk för skada eller men för den enskilde eller någon när- stående. De ska enligt 9 § PUL bara lämna ut de uppgifter som är relevanta och adekvata för det aktuella forskningsprojektet och inte fler uppgifter än vad som är nödvändigt. För att kunna bedöma dessa frågor behöver de ha kunskap om ändamålet med behandlingen.
Motiven för en viss precision i beskrivningen av ändamålet med forskningen synes således vara fyra:
•För att Datainspektionen som har att övervaka tillämpningen av PUL ska kunna bedöma om behandlingen av personuppgifterna är i enlighet med lagen.
358
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
•För att etikprövningsnämnderna ska kunna värdera nyttan av forskningen och därmed väga den mot riskerna för de enskilda.
•För att den enskilde ska ha möjligheter att ge ett informerat sam- tycke till att uppgifterna om honom eller henne används i den aktuella forskningen.
•För att utlämnande myndigheter ska kunna bedöma vilka upp- gifter som är nödvändiga för forskningen ifråga och göra sin sekretessprövning.
Det är uppenbart att ändamålen med en forskningsdatabas visser- ligen måste vara bestämda men samtidigt, som regeringen fram- håller, ganska allmänt hållna. De ska kunna inrymma en rad olika forskningsprojekt med olika inriktning. Hur ska sådana ändamål kunna formuleras och hur ska man i det sammanhanget se på de krav som motiverar en viss precision i ändamålsbeskrivningarna?
Låt mig börja med tänkbara ändamålsbeskrivningar. Här finns skäl att se hur regering och riksdag i olika sammanhang har sett på utformningen av ändamålet. Det är viktigt understryka att även när regering och riksdag i särskild ordning beslutat om ändamål med register så måste dessa hålla sig inom ramen för PUL, som ju grun- dar sig på EU:s dataskyddsdirektiv.
I flera registerlagar och regeringsförordningar där forskning är syftet eller ett av syftena är ändamålen ganska allmänt formulerade.
•Enligt lagen (1998:543) om hälsodataregister får personuppgifter
iett hälsodataregister användas för bland annat ”forskning och epidemiologiska undersökningar”. Liknande formuleringar finns
ide förordningar som reglerar de olika hälsodataregistren.
•Enligt patientdatalagen (2008:355) inrättas kvalitetsregister inom hälso- och sjukvården för att systematiskt och fortlöpande ut- veckla och säkra vårdens kvalitet, men får också användas för det sekundära ändamålet att bidra till ”forskning inom hälso- och sjukvårdsområdet”. Av propositionen om patientdatalagen fram- går att tolkningen av vad som behövs för ändamålet kvalitetssäk- ring kan ske inom ganska vida ramar, men däremot att uppgifter som inte behövs för detta ändamål, men som skulle kunna vara bra att ha i framtida forskningsprojekt, inte får samlas in.
•Ändamålet med det rättspsykiatriska forskningsregistret (som i och för sig inte längre uppdateras) är att uppgifterna ska använ- das för ”forskning inom rättspsykiatrin”.
359
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
•Ändamålet med den behandling av personuppgifter som sker vid IFAU är ”att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar”. I myndighetens instruk- tion preciseras ändamålet något. Det handlar om uppföljning och utvärdering av arbetsmarknadspolititiken, studier av arbets- marknadens funktionssätt, utvärdering av reformer och åtgärder inom utbildningsväsendet och av utbildningens och socialförsäk- ringens effekter på arbetsmarknaden, således alltjämt ett brett ändamål.
•I den lag som beslutats med anledning av
•I biobankslagen anges forskning i allmänhet som ett av flera ändamål med de prover som samlas in.
Det kan således konstateras att regering och riksdag i flera samman- hang ansett det förenligt med EU:s dataskyddsdirektiv och PUL att formulera tämligen allmänna ändamål. Ibland har ”forskning” god- tagits som ett sådant ändamål, men i dessa fall kan registrets karaktär sägas begränsa vilken typ av forskning det kan handla om. När det handlar om att skapa forskningsdatabaser måste ändamålet självfallet vara mer precist är ”framtida forskning”. Det är rimligt att ange en allmän inriktning på den forskning som kan bli aktuell, men att formulera den så att man inte i onödan begränsar möjligheterna för forskningsprojekt med många olika infallsvinklar. Här kan ända- målen såsom de angetts för det rättspsykiatriska registret och IFAU och i lagen om register för forskning om vad arv och miljö betyder för människor hälsa tjäna som förebilder.
Denna tolkning synes också väl överensstämma med den som görs av EU:s Artikel
103Prop. 2012/13:163. s. 28.
104Se avsnitt 5.3.4.6.
360
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
detaljer var kända när uppgifterna samlades in. Vid behandling av uppgifter för vetenskapliga ändamål måste särskild vikt läggas vid säkerheten i behandlingen. Man måste ta hänsyn till om uppgifterna är helt avidentifierade, kodade eller möjliga att indirekt identifiera eller identifierbara. Om möjligt bör anonyma uppgifter lämnas ut, men om det krävs att uppgifterna kan identifieras måste säkerhetskraven ställas särskilt högt.105
Vad gäller möjligheterna att väga nyttan av forskningen mot risker och obehag blir dessa med nödvändighet begränsade när man inte vet vilka konkreta forskningsprojekt som kan bli aktuella i fram- tiden. På risksidan torde de bedömningar som kan göras inte skilja sig väsentligt från vad som gäller ett konkret forskningsprojekt. När det handlar om att använda uppgifter från myndighetsregister, särskilt anonymiserade uppgifter, bedömer etikprövningsnämnderna i regel risken som obetydlig. I sådana ansökningar är det inte nöd- vändigt med någon noggrann värdering av nyttosidan i projekten. Samma princip gäller rimligen om det är flera projekt som ska ut- nyttja samma uppgifter. I det fall då forskare till en forsknings- databas samlar in uppgifter direkt från forskningspersonerna krävs alltid informerat samtycke vid insamlingen. Nyckelfrågan blir hur brett det samtycket kan vara från uppgiftslämnarnas sida. Den frågan har jag diskuterat i kapitel 6.106 Min slutsats där var det är rimligt att beslutkapabla personer ska kunna lämna ett ganska brett samtycke, det vill säga att de ska kunna samtycka till att deras uppgifter eller prover efter etikgodkännande får användas till flera olika framtida forskningsprojekt.
Någon etikprövning av själva forskningsdatabasen kan, som har framgått, inte göras enligt etikprövningslagen. Däremot måste varje uttag av känsliga personuppgifter och uppgifter om lagöverträdel- ser med mera från databasen föregås av etikprövning. Etikprövnings- nämnden får därvid också bedöma om det är nödvändigt att inhämta ett nytt informerat samtycke för det aktuella projektet eller om det breda samtycke är tillräckligt, som lämnades när uppgifterna sam- lades in.
Nuvarande lagstiftning ger således inte utrymme för någon etisk prövning av forskningsdatabasen som sådan. Som påpekas i direk- tiven till utredningen har Centrala etikprövningsnämnden i sitt beslut om LifeGene anfört att det kan finnas skäl för att etikpröv-
105Opinion 03/2013 on purpose limitation, adopted on 2 April 2013,
106Se avsnitt 6.10.
361
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
ningslagen utvidgas till att gälla även forskningsdatabaser. Det skulle vara fullt möjligt, men det löser inte problemet med Datainspek- tionens restriktiva inställning till sådana databaser och inte heller till exempel SCB:s restriktiva inställning till att lämna ut uppgifter till sådana.
8.4.6Sammanfattning om forskningsdatabaser
•Forskningsdatabaser kan vara till stor nytta för forskning inom olika discipliner. Det är därför angeläget att det skapas rättsliga förutsättningar för att i ökad omfattning skapa sådana i Sverige.
•Forskningsdatabaser bör, som regeringen har framhållit, ha be- stämda men relativt allmänt hållna forskningsändamål.
•Forskningsdatabaser måste kunna byggas av såväl uppgifter och prover som samlas in av forskare direkt från enskilda som av personuppgifter från myndighetsregister, och en kombination därav.
•Enskilda måste kunna lämna uppgifter och prover till en forsk- ningsdatabas och samtycke till att de får användas i forskning på grundval av information om forskningens allmänna inriktning.
•För att skapa rättsliga förutsättningar för forskningsdatabaser är det inte tillräckligt att utvidga etikprövningslagen så att även så- dana databaser kan ges etikgodkännanden. Det måste också finnas lagstöd för ändamålsbestämningar som går utöver Datainspek- tionens tolkning av särskilt ändamål i PUL och som ger myn- digheter stöd för att lämna ut uppgifter till forskningsdatabaser.
•Behovet av forskningsdatabaser av det slag som här diskuterats kan på sikt successivt minska i takt med utveckling av väl funge- rande federerade system. Det återstår dock omfattande teknisk utveckling och kvalitetsarbete i olika register innan det kan ske i stor skala.
8.5Slutsatser
Mitt uppdrag är att lägga fram förslag som syftar till att register- ansvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter till forskningsändamål, att sambearbetning av register-
362
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
uppgifter ska underlättas, att det ska bli möjligt att samla in person- uppgifter till register som förs för bestämda men relativt allmänt hållna forskningsändamål, till exempel longitudinella studier, samt att skyddet av den enskildes integritet vid forskning vid behov för- stärks.
I kapitel 4 gav jag en rad skäl för varför användning av person- uppgifter från register kan vara värdefull för forskningen. I kapitel 5 redovisade jag det rättsliga ramverk som finns på området och som anger villkoren för att använda personuppgifter i forskning. Reglerna syftar i stor utsträckning till att skydda forskningspersoners per- sonliga integritet och till att hantera den avvägning som kan behöva göras mellan olika intressen. I kapitel 6 diskuterade jag de risker för den personliga integriteten som registerbaserad forskning kan inne- bära.
I det här kapitlet har jag gett en kort bakgrund till de satsningar på registerbaserad forskning som har gjorts i Sverige under de senaste tio åren och översiktligt redovisat nuläget och de utmaningar som finns om man vill underlätta registerbaserad forskning. Jag ska nu redovisa ett antal slutsatser om vad som kan göras och på vilka om- råden jag anser det motiverat att nu komma med konkreta förslag. Mina konkreta förslag återfinns i kapitel 9.
•Viktiga uppgifter för Vetenskapsrådets registerdataråd
VR har under våren 2014 som ett led i regeringens uppdrag att skapa en funktion för registerbaserad forskning inrättat ett registerdataråd med representanter för berörda myndigheter och för forskningen. Rådet bör kunna spela en viktig roll för den dia- log myndigheterna emellan och mellan myndigheter och forskare som är nödvändig för att skapa bättre villkor för registerbaserad forskning. Det är viktigt att rådet får de resurser som krävs för att möjliggöra en fortlöpande dialog mellan berörda intressenter och bereda det underlag som behövs för en konstruktiv diskus- sion i rådet. Några av de utmaningar som jag kan se bör lämpligen kunna hanteras av rådet.
•Utvärdering och utveckling av
VR har inom ramen för sitt nya uppdrag under våren 2014 också initierat en utvärdering och översyn av
363
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
systemet och också till att liknande system kan etableras inom andra myndigheter, inte minst inom Socialstyrelsen.
•Federerade system kräver centralt initiativ och utvecklings- arbete
Som noterats finns från flera håll, inklusive regeringen, ett intresse för ett så kallat federerat system, som skulle kunna underlätta sambearbetning av uppgifter ur register hos olika huvudmän. Det kan ses som en fortsättning på
För att ett federerat system kan vara användbart i stor skala krävs ett omfattande och tekniskt avancerat utvecklingsarbete. Någon institution måste ha ansvar för att driva ett sådant arbete och bland annat ta fram kravspecifikationer. Möjligen kan det arbetet som har inletts vid Umeå universitet härvidlag ses som ett första steg. Det kan finnas skäl för regeringen att överväga att inrätta en särskild delegation för att följa detta arbete och ta de ytterligare initiativ som kan behövas. Regeringen har i den senaste forskningspropositionen aviserat ett initiativ men ännu har inget sådant tagits.
•Att bistå forskningen måste bli prioriterad uppgift för SCB
Min bedömning är att det rättsliga ramverk som finns för den registerbaserade forskningen, med något undantag som jag strax ska återkomma till, fungerar väl och inte på något väsentligt sätt försvårar registerbaserad forskning.
Jag har dock under utredningsarbetet fått många exempel på brister i servicen från framförallt SCB. Ett viktigt skäl till dessa brister är att det enligt SCB:s instruktion inte är en prioriterad uppgift för myndigheten att stödja forskningen. Jag föreslog mot den bakgrunden i Statistikutredningen att det ska skrivas in i SCB:s instruktion att en av dess prioriterade uppgifter ska vara att bistå forskningen med data.107 Från Finansdepartementet har signalerats att man ser positivt på förslaget, men någon ändring av instruktionen har som jag konstaterat ännu inte skett. Det är ytterst angeläget att den snarast kommer till stånd. Det kan finnas
107 SOU 2012:83 s. 552.
364
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
skäl att överväga liknande ändringar i instruktionerna även för andra myndigheter.
Med en förändring av SCB:s instruktion blir det naturligt att ställa krav på att myndigheten skapar en tydlig struktur för forskarservice. Som jag har redovisat har SCB:s generaldirektör nyligen initierat en översyn av SCB:s samarbete med bland andra forskare. Inom Socialstyrelsen finns det numera en register- serviceenhet.
För att säkerställa att en central enhet inom SCB får den kvalitet och storlek som är önskvärd är det rimligt att en del av finansieringen kommer från VR:s anslag för registerbaserad forsk- ning, på samma sätt som Uddannelses- och Forskningsministeriet i Danmark finansierar den forskningsserviceenhet som finns vid Danmarks Statistik.
Med ett tydligt uppdrag för SCB att stödja forskningen blir det också naturligt för myndigheten att överväga hur dess register kan förbättras när det gäller dokumentation och kvalitet för att bättre kunna tillgodose forskningens behov. Även här kan det kvalitetsarbete som sker vid Danmarks Statistik utgöra en före- bild.
•Satsningen på hälso- och sjukvårdens kvalitetsregister positiv
Den satsning som nu sker på att förbättra kvaliteten i och till- gängligheten till hälso- och sjukvårdens kvalitetsregister har på kort tid lett till en kraftig ökning av forskning baserad på registren, mätt till exempel med antalet publicerade artiklar. När den nu- varande planen löper ut med utgången av år 2016 bör vägen mot framtiden stakas ut med utgångspunkt i de erfarenheter som då har gjorts och Myndighetens för vårdanalys utvärdering.
•Angeläget med ökad spårbarhet i biobanker
De många prover som finns i biobanker utgör en stor tillgång för svensk medicinsk forskning. En stor utmaning just nu är att göra informationen om vilka prover som finns mer tillgänglig. I syfte att underlätta spårbarheten av biobanksprover kommer jag i avsnitt 9.5 att föreslå inrättandet av ett nationellt biobanks- register.
365
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
•Svensk Nationell Datatjänst (SND)
SND är en viktig infrastruktur för svensk forskning. Det är angeläget att snarast hitta en långsiktig lösning för SND:s verk- samhet. Samtidigt måste SND få rättsligt stöd för att hantera personuppgifter som kan finnas i forskningsregister och forsk- ningsdatabaser som deponeras hos SND.
Det finns skäl att överväga ett alternativ som innebär att SND blir ansvarig organisation för arkivarisk förvarig av forsknings- data. Det skulle innebära att originaldata, och inte bara kopior av forskningsmaterial, skulle kunna placeras hos SND. Det skulle också kunna lösa det problem med hantering av personuppgifter som Datainspektionen har påtalat. Ett sådant alternativ torde förutsätta en annan organisatorisk lösning än dagens och en sär- skild lagstiftning där SND:s uppgifter tydliggörs.
Vad gäller den organisatoriska lösningen finns det starka skäl som talar för att SND, i likhet med NSD i Norge, görs till en självständig organisation/myndighet. NSD har ett nära samarbete med Riksarkivet i Norge och har nyligen avtalat med Riksarkivet om att ansvara för arkiveringen av forskningsdata i Norge.108 Alter- nativet till en sådan självständig organisation skulle för SND:s del kunna vara att den integreras med Riksarkivet. Det är en lösn- ing som påminner om den danska, men DDA har inom Statens Arkiver under senare år förlorat mycket av sin självständiga ställ- ning. Erfarenheterna från Danmark talar snarast emot en sådan lösning, men skulle man trots allt välja den modellen är det ange- läget att SND ges en tydligt självständig ställning inom Riks- arkivet. SND bör vid en sådan lösning få öronmärkta medel och någon form av rådgivande nämnd med representanter också från forskningen.
Med någon av dessa lösningar, och ett tydligt uppdrag för SND att vara arkivansvarig för forskningsmaterial, skulle original- material kunna arkiveras hos SND. En lag härom skulle också kunna ge SND det erforderliga rättsliga stöd som i dag saknas för att kunna behandla personuppgifter. Detta framstår som sär- skilt angeläget mot bakgrund av att jag senare kommer att föreslå att kodnycklar ska bevaras under en längre tid än vad som i dag är fallet. En följd av detta blir att fler forskningsregister än i dag kommer att innehålla personuppgifter i PUL:s mening.
108 Avtale mellom Riksarkivarien og Norsk samfunnsvitenskapelig datatjeneste (NSD) om bevaring og bruk av forskningsdata,
366
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Jag har inte inom ramen för denna utredning haft uppdraget att föreslå någon lösning på
•Förenklad etikprövning vid uttag av anonymiserade uppgifter
Jag kommer i det följande att föreslå en ny lag om forsknings- databaser. Mitt förslag innebär bland annat att etikprövnings- nämnderna kommer att få en delvis ny uppgift, nämligen att etikgodkänna alla forskningsprojekt som innebär uttag från forskningsdatabaserna, oavsett om de innehåller känsliga person- uppgifter eller inte. Frågan är då om det finns möjligheter att i andra avseenden minska arbetsbördan för nämnderna.
Som har framgått har i etikprövningsnämnderna utvecklats en praxis som innebär att forskningsprojekt som endast avser be- handling av anonymiserade registeruppgifter i princip alltid god- känns. Riskerna för den personliga integriteten bedöms i sådana fall som mycket små. Mot den bakgrunden kan det finnas skäl att överväga om man skulle kunna avstå från krav på etikpröv- ning i sådana ärenden. I Danmark råder en sådan ordning där vissa certifierade institutioner utan etikprövning får tillgång till anonymiserade uppgifter från Danmarks Statistik och Statens Serum Institut.
Jag är emellertid inte beredd att nu föreslå en sådan ändring. Att det krävs etikgodkännande för att hantera känsliga person- uppgifter är sedan lång tid en etablerad ordning i Sverige. Att helt ta bort den skulle riskera att rubba förtroendet för forskningen. Däremot finns det skäl att överväga ett förenklat förfarande i detta slag av ärenden. Man skulle till exempel kunna överväga att delegera beslutsfattandet till etikprövningsnämndens ordförande eller en särskild, mindre avdelning inom nämnden som specia- liserar sig på sådana ärenden. Jag kommer i avsnitt 9.1.1 att föreslå en justering i etikprövningslagen som öppnar för en sådan möjlig- het.
Etikprövningsnämnderna har vid uttag ur register att bedöma om samtycke ska inhämtas från forskningspersonerna eller om uttag kan ske utan samtycke. Vid uttag som avser ett stort antal individer och särskilt när det handlar om anonymiserade upp- gifter innebär den praxis som utvecklats att nämnderna vanligen inte ställer krav på samtycke. Som jag har redovisat i kapitel 6
367
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
förekommer det emellertid att nämnder har begärt att forsknings- huvudmannen ska annonsera om den planerade forskningen för att ge berörda forskningspersoner möjlighet att anmäla att de inte önskar delta. Jag har redovisat vissa principiella betänklig- heter mot ett sådant förfarande. Det rimliga är att den princip som tycks tillämpas i de flesta fall, att samtycke inte krävs vid uttag av anonymiserade uppgifter, blir till en generell rekommen- dation. En sådan bör rimligen kunna ges av Centrala etikpröv- ningsnämnden. Däremot är det angeläget att den forskning som sker redovisas öppet, till exempel på webbsidor, så att en intres- serad allmänhet kan följa den.109
Som jag har redovisat kan en etikprövningsnämnd i dag med stöd av etikprövningsförordningen lämna ett rådgivande yttrande över forskning som avser människor i sådana fall då forskningen inte omfattas av etikprövningslagen. Vetenskapsrådets etiska kom- mitté har i rapporten God forskningssed föreslagit att detta bör bli en lagstadgad skyldighet i etikprövningslagen. Jag delar den uppfattningen och kommer i avsnitt 9.1.2 även att föreslå en sådan ändring.
•Bevara kodnycklar under längre tid
När myndigheter lämnar ut anonymiserade uppgifter kan de behålla en kodnyckel som kopplar samman de beteckningar som de anonymiserade uppgifterna har getts, vanligen löpnummer, med identifierbara personer. På det sättet kan uppgifterna efter utläm- nandet kompletteras och uppdateras. Möjligheten har tillkommit
iförsta hand för longitudinella studier där en och samma förete- else följs under lång tid. Om inte forskaren och myndigheten särskilt kommit överens om att behålla kodnyckeln förstörs den
iregel efter tre månader.
Detta kan i flera fall innebära problem. Forskare kan efter en tid inse att de skulle behöva komplettera de uppgifter de har fått ut även om de inte förutsett det när uppgifterna begärdes ut. En studie som börjat som ett tidsbegränsat projekt kan samtidigt vara ett embryo till en longitudinell studie där man vill följa forskningspersonerna i fråga över tid. Andra forskare kan vilja replikera studien, eventuellt med tillägg av vissa uppgifter. Olika situationer kan alltså tänkas där det är angeläget att kunna kom- plettera de uppgifter som lämnats ut för ett visst forsknings-
109 Se avsnitt 6.10.
368
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
projekt. I förarbetena synes man också ha gjort en väl snäv avgräns- ning av longitudinella studier. En tolkning är att longitudinella studier över tid endast kan avse samma forskningspersoner.110 Det är rimligt att longitudinella studier ska kunna göras också så att den panel som studeras över tid delvis förnyas, till exempel för att vid varje tillfälle vara representativ för befolkningen och så att personer som avlider ersätts med nya svarande.
Jag kommer mot denna bakgrund att i avsnitt 9.2 föreslå att rutinerna för bibehållande av kodnycklar ändras.
•Vad är nödvändiga uppgifter?
Myndigheterna ska enligt PUL inte lämna ut fler uppgifter än vad som är nödvändigt för den forskning som är aktuell. Forskare upplever att de ofta måste kunna motivera mycket konkret varför vissa uppgifter behövs och hur de ska användas. I praktiken måste forskare emellertid ofta pröva sig fram, en process som kan kräva fler uppgifter än de som till sist kommer att användas i redo- visningen av forskningsresultaten. Det är angeläget att det inom myndigheterna finns förståelse för denna forskningsprocess.
Att diskutera forskningsprocesser och möjligen ge ut någon form av riktlinjer för bedömningen av nödvändiga uppgifter fram- står som en lämplig uppgift för VR:s registerdataråd.
•Bortfallsanalys
Vid urvalsundersökningar måste man alltid räkna med ett bort- fall, det vill säga att några individer som ombeds svara på frågor eller lämna prover inte vill vara med. Även i de frågeundersök- ningar som SCB gör uppgår bortfallet i dag till
Enligt vad jag har inhämtat från de registerhållande myndig- heterna är praxis numera att hjälpa till med bortfallsanalyser. Det kan emellertid finnas skäl för forskare att i etikansökan sär-
110 Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapportserie 11:2010 s. 53.
369
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
skilt uppmärksamma problemet och ange om en sådan kommer att behöva göras.
Även denna fråga kan behöva diskuteras i VR:s registerdata- råd.
•Underlätta internationellt samarbete
Forskningen blir i många avseenden alltmer internationell. Forska- re samarbetar över gränserna. Inom OECD har man pekat på de möjligheter till samarbete som diskuteras i Norden. Nordiska forskningsrådet, Nordforsk, har initierat en diskussion mellan de statistiska centralbyråerna i de nordiska länderna. Det är ange- läget att Norden på denna punkt kan visa vägen.
Det är också angeläget att svenska myndigheter inte onödigt- vis försvårar samarbete i europiska forskningsdatabaser. I de fall andra europeiska länder anser det förenligt med gemensam lag- stiftning att lämna ut uppgifter bör det inte finnas några hinder för svenska myndigheter att göra det, till exempel till Luxemburg Income Study.
•Förstärkt sekretess och skydd vid universitet och högskolor
Läckage av uppgifter från universitet och högskolor har inte hittills varit något problem. Erfarenheterna är likartade i våra nordiska grannländer. Däremot har jag under utredningsarbetet fått anekdotiska exempel på att det har förekommit säkerhets- problem och slarv vid olika lärosäten. Det finns därför starka skäl att på olika sätt förstärka sekretess och skydd.
När uppgifter överlämnas från myndigheter till universitet och högskolor blir dessa personuppgiftsansvariga. Det är alltså universiteten och högskolorna och deras styrelser som har det yttersta ansvaret för skydd och säkerhet vid lärosätena. Med detta ansvar följer krav på att säkerställa att de som handhar register på universiteten är väl förtrogna med gällande regler och iakttar dem i den dagliga verksamheten. På många håll synes detta fungera väl. De arrangemang som finns kan till exempel innebära att bara särskilda enheter har tillgång till känsliga uppgifter och att de till forskare bara lämnar ut de uppgifter som dessa behöver för konkreta projekt eller att personuppgifter hanteras i slutna system. Alla universitet och många mindre hög- skolor har personuppgiftsombud som är ansvariga för att över- vaka att regler följs och att slå larm om något inte är som det
370
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
ska. Regelsystemet och de krav som följer av detta är på plats. Det handlar om att säkerställa att de också följs. Det ansvaret är ytterst styrelsernas och konsistoriernas. Det finns skäl för rege- ringen att i regleringsbrev till de statliga universiteten och hög- skolorna uppmärksamma dem på detta ansvar och begära åter- rapportering om hur frågorna hanteras.
När sekretesskyddade uppgifter överlämnas från en statlig myndighet till ett statligt universitet eller en statlig högskola följer sekretessen med. Men för att säkerställa att alla personuppgifter som samlas in från olika källor av forskare åtnjuter ett starkt sekretesskydd finns skäl att införs en forskningssekretess av sam- ma styrka som statistiksekretessen. Jag återkommer i avsnitt 9.3 med förslag om detta.
•Skapa möjligheter för forskningsdatabaser
Ett problem som uppmärksammats under senare år är svårig- heterna att skapa forskningsdatabaser, det vill säga databaser som är en infrastruktur för i dag okända framtida forskningsprojekt. Jag har i detta kapitel utförligt motiverat varför sådana forsk- ningsdatabaser kan vara värdefulla för forskningen och varför det i dag är svårt att skapa dem. Jag har i kapitel 6 också utförligt diskuterat förhållandet mellan gällande lagstiftning, också den nyligen gjorda ändringen i 2 kap. 6 § RF om skydd för den per- sonliga integriteten, och både registerbaserad forskning i allmän- het och forskningsdatabaser i synnerhet. Min slutsats är att det inte finns något grundlagsenligt hinder för det förslag jag senare ska presentera. Jag återkommer i avsnitt 9.4 således med ett konkret förslag till en lag om forskningsdatabaser.
Många forskningsdatabaser kommer att helt eller delvis byggas med uppgifter som samlas in direkt från enskilda. Frågan har diskuterats om det är förenligt med PUL att enskilda lämnar uppgifter eller prover till en sådan forskningsdatabas och sam- tycker till att de får användas till framtida forskning med en viss inriktning. Det handlar ytterst om en tolkning av PUL. Jag anser för min del att det måste vara möjligt för enskilda att lämna uppgifter på sådana villkor.
371
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
8.6Sammanfattning
Den analys som har gjorts i detta kapitel och de slutsatser som redovisats ovan leder fram till vissa konkreta förslag som jag ska återkomma till i nästa kapitel, men därtill är det främst två aktörer som på olika sätt kan bidra att underlätta registerbaserad forskning, nämligen regeringen och VR:s registerdataråd. Rådet kan naturligt- vis inte fatta egna beslut som ger effekt men kan förhoppningsvis vara ett forum för diskussioner som leder till att deltagande parter, såsom VR, SCB, Socialstyrelsen och Datainspektionen, var för sig eller tillsammans, på olika sätt kan fatta beslut som underlättar för den registerbaserade forskningen.
Det är angeläget att regeringen
•Beslutar om en förändring av SCB:s instruktion så att det blir en prioriterad uppgift för SCB att bistå forskningen med data.
•Överväger motsvarande förändring i andra myndigheters instruk- tioner.
•Öronmärker resurser hos SCB, eventuellt från VR:s anslag för registerforskning, för att förstärka servicen till forskare.
•Uppdrar åt SCB att bedriva ett kontinuerligt kvalitetsarbete för att möta forskningens behov.
•Fullföljer den påbörjade satsningen på att förbättra kvaliteten i och tillgängligheten till hälso- och sjukvårdens kvalitetsregister.
•I regleringsbrev till statliga universitet och högskolor uppmanar dessa att lägga större vikt vid skydd och säkerhet vid behandling av personuppgifter, bland annat genom att stärka personuppgifts- ombudens ställning, och begär återrapportering om hur skyddet hanteras.
•Initierar ett arbete i syfte att utveckla ett federerat system för sambearbetning av data och förstärka skyddet för den personliga integriteten, eventuellt i samarbete med Umeå universitet.
•Initierar en utredning om SND:s framtid, ställning och finansi- ering. Ett syfte bör vara att SND ska bli arkivmyndighet för forsk- ningsdatamaterial.
372
SOU 2014:45 |
Bakgrund, nuläge och utmaningar |
Det är angeläget att VR:s registerdataråd
•Fullföljer utvärderingen av
•Tillsammans med Centrala etikprövningsnämnden, de regionala etikprövningsnämnderna, registerhållande myndigheter och före- trädare för forskningen diskuterar utformningen av etikansök- ningarna i syfte att underlätta arbetet för alla parter.
•Diskuterar vad som ska betraktas som nödvändiga uppgifter för att forskningen ska kunna bedrivas på ett effektivt sätt.
•Diskuterar problemet med bortfall vid statistiska undersökningar och vad som göras för att underlätta bortfallsanalyser i forsk- ningen.
•Diskuterar de utmaningar som finns när det gäller internationellt samarbete inom forskningen och utbytet av data över nations- gränserna. Det är särskilt angeläget att underlätta svenskt delta- gande i internationella forskningsdatabaser.
•Diskuterar hur säkerheten på universitet och högskolor kan för- stärkas. Det kan finnas skäl att överväga någon form av allmänna råd från VR och Datainspektionen för att ge universitet och högskolor vägledning.
På följande punkter lägger jag i nästa kapitel fram konkreta förslag
•Ändring i etikprövningslagen i syfte att kunna förenkla pröv- ningen när forskningen bygger på behandling av anonymiserade personuppgifter.
•Ändring i etikprövningslagen som innebär att etikprövnings- nämnder blir skyldiga att pröva forskningsprojekt som hänvisas till dem även om projekten inte enligt lagen kräver etiktillstånd.
•Ändring i lagen (2001:99) om den officiella statistiken i syfte att kodnycklar ska bevaras under en längre tid.
•En bestämmelse om forskningssekretess vilken innebär absolut sekretess för alla personuppgifter som behandlas inom forskning.
373
Bakgrund, nuläge och utmaningar |
SOU 2014:45 |
•Lag om forskningsdatabaser som gör det möjligt att skapa data- baser av infrastrukturkaraktär för att betjäna olika framtida forsk- ningsprojekt.
•Lag om Nationella biobanksregistret för att öka spårbarheten av prover i biobanker.
374
9 Bedömningar och förslag
9.1Etikprövningen
9.1.1Ett enklare förfarande
Förslag: Etikprövningslagen ändras så att ärenden i de regionala etikprövningsnämnderna som avser forskning som endast inne- fattar behandling av personuppgifter som hämtats från myndig- hetsregister med uppgifter som primärt samlats in för andra än- damål än forskning och som inte genom namn, annan identi- tetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde får avgöras av ordföranden ensam.
Som jag tidigare beskrivit har Centrala etikprövningsnämnden utveck- lat en praxis enligt vilken forskningsprojekt som endast innefattar behandling av anonymiserade personuppgifter ur myndighetsregis- ter i regel anses medföra mycket små risker för den personliga in- tegriteten. Sådana projekt bedöms därför kunna godkännas utan att någon egentlig värdering av forskningsprojektets nytta görs. Som jag tidigare anfört finns det skäl att överväga om man skulle kunna införa ett förenklat förfarande i denna typ av ärenden.
Enligt 25 § etikprövningslagen ska en regional nämnd vara in- delad i två eller flera avdelningar. En avdelning ska bestå av ordföran- de och femton övriga ledamöter. Ordföranden ska vara eller ha varit ordinarie domare. Av de övriga ledamöterna ska tio ha vetenskaplig kompetens och fem företräda allmänna intressen. En av de veten- skapliga ledamötena är så kallad vetenskaplig sekreterare. Avdel- ningen kan fatta beslut när ordföranden och minst åtta övriga leda- möter är närvarande. Av de övriga ledamöterna ska minst fem ha vetenskaplig kompetens och minst två företräda allmänna intressen. Ledamöterna med vetenskaplig kompetens ska alltid vara i majoritet. För Centrala etikprövningsnämnden gäller att den ska bestå av ord-
375
Bedömningar och förslag |
SOU 2014:45 |
föranden och sex övriga ledamöter, varav fyra ska ha vetenskaplig kompetens och två företräda allmänna intressen (32 §). Även den centrala nämnden har en vetenskaplig sekreterare. Centrala etikpröv- ningsnämnden är beslutsför när ordföranden och minst tre ledamöter med vetenskaplig kompetens och minst en företrädare för allmänna intressen är närvarande.
I motiven till etikprövningslagen anförs att nämnden inte i onödan bör belastas med handläggningsfrågor eller avgöranden på formell grund.1 Det har därför införts bestämmelser om att ordföranden ensam får fatta beslut om förberedande åtgärder, rättelse av skrivfel och liknande, annat beslut som inte innebär något slutligt avgöran- de av ett ärende och prövning av fråga om avvisning eller avskriv- ning av ärende (27 och 33 §§). Ordföranden får också överlämna dessa uppgifter till en föredragande vid nämnden. I 27 § tredje stycket anges att en avdelning för en regional nämnd får lämna över till ordföranden eller någon annan ledamot att avgöra ett visst ärende eller vissa ärenden som är sådana att tidigare vägledande avgöran- den kan tillämpas eller som annars är av sådant slag att de inte be- höver avgöras av avdelningen. Enligt förarbetena till bestämmelsen ska dessa möjligheter tillämpas med urskiljning eftersom avsikten med lagen är att skapa nämnder som kan pröva ansökningarna med så många ledamöter som möjligt närvarande i syfte att åstadkomma en allsidig prövning.2 Som exempel på fall där överlämnande kan ske anges att avdelningen vid överläggning kommer fram till ett visst ställningstagande under förutsättning att vissa kompletteringar av ansökan görs. Ordföranden eller annan ledamot kan då få i uppdrag att fatta beslut i frågan vid ett senare tillfälle, under förutsättning att kompletteringen kommer in.3 Det kan också röra sig om nya ärenden som på alla avgörande punkter liknar ett ärende som en regional etikprövningsnämnd eller Centrala etikprövningsnämnden redan har tagit ställning till. Enligt förarbetena är det naturliga att överlämnande sker till ordföranden, men när det i huvudsak är fråga om en vetenskaplig bedömning kan överlämnade i stället ske till en ledamot med vetenskaplig kompetens.
Det finns således redan i dag möjlighet för nämnden att över- lämna till ordföranden eller annan ledamot att ensam avgöra vissa ärenden, särskilt när det finns en väl etablerad praxis på området. Jag menar att bestämmelsen öppnar för möjligheten att föreskriva
1Prop. 2002/03:50 s. 155.
2Ibid.
3Prop. 2002/03:50 s. 203.
376
SOU 2014:45 |
Bedömningar och förslag |
att vissa typer av ärenden kan avgöras av ordföranden ensam. När det gäller ärenden som rör behandling av anonymiserade personuppgif- ter som hämtats ur ett myndighetsregister finns i dag en etablerad praxis hos Centrala etikprövningsnämnden. Sådan behandling anses utgöra liten eller obefintlig risk för skada eller obehag för forsk- ningspersonerna. Eftersom risken bedöms som liten eller obefintlig behöver inte någon bedömning av forskningens vetenskapliga bär- kraft göras. Risksidan kommer ju i dessa fall aldrig att väga tyngre än värdesidan. I dessa fall görs således endast en riskbedömning, inte någon avvägning mellan riskerna för skada och obehag för den enskilde och det förväntade värdet av forskningen. Skälet till att forskning som innebär behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen (PUL) eller lagöverträdelser med mera enligt 21 § PUL ska ha etikgodkännande är att det är fråga om potentiellt integritetskränkande forskning och att etikprövning enligt förarbetena bör göras för att säkerställa skyddet för medverkande personer.4 Ordföranden, som ska vara eller ha varit ordinarie domare, bör ha den kompetens som krävs för att ensam fatta beslut i dessa ärenden. En domare är van att sätta sig in i olika rättsområden, göra intresseavvägningar samt beakta de rättsskyddsaspekter som bli aktuella. Eftersom någon bedömning av den vetenskapliga kvaliteten av forskningen inte behöver göras är kravet på vetenskaplig sak- kunskap inte särskilt starkt. Jag menar att ordföranden är väl skickad att bedöma de integritetsrisker som kan finnas vid forskning med anonymiserade data från myndighetsregister. Det bör därför i etik- prövningslagen införas en möjlighet för ordföranden att ensam fatta beslut i ärenden som avser behandling av anonymiserade person- uppgifter från myndighetsregister.
Förfarandet bör vara tillämpligt när uppgifterna som ska be- handlas hämtats från myndighetsregister som primärt samlats in för andra ändamål än forskning, till exempel för administrativa ändamål eller för utvärdering och kvalitetssäkring. Bestämmelsen gäller så- ledes inte vid prövning av behandling av personuppgifter som är hämtade från en forskningsdatabas som förs med stöd av den före- slagna lagen om forskningsdatabaser (se avsnitt 9.4).
Det bör betonas att förfarandet med ordförandebeslut inte endast innebär en formell prövning. En prövning av varje ärende ska utföras efter de principer som gäller enligt etikprövningslagen. I de fall ord-
4 Prop. 2002/03:50 s. 104 ff och 2007/08:44 s. 25.
377
Bedömningar och förslag |
SOU 2014:45 |
föranden anser ärendet är av sådan karaktär att det bör behandlas i nämnden bör ärendet hänvisas dit.
Motsvarande bestämmelse bör inte införas för Centrala etikpröv- ningsnämnden. Om ett ärende överklagas till Centrala etikpröv- ningsnämnden är det vanligtvis av mer komplicerad karaktär och det finns ingen anledning att införa en förenklad handläggning för denna typ av ärenden.
9.1.2Rådgivande yttrande
Förslag: De regionala etikprövningsnämnderna åläggs att lämna rådgivande yttranden över forskning som avser människor, men som inte omfattas av etikprövningslagens tillämpningsområde.
Enligt 4 a § förordning (2003:615) om etikprövning av forskning som avser människor får en regional etikprövningsnämnd lämna råd- givande yttranden över forskning som avser människor i de fall forskningen inte omfattas av etikprövningslagen. Nämnden får även lämna rådgivande yttranden över arbeten som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
Etikprövningsutredningen föreslog att bestämmelsen om råd- givande yttrande skulle flyttas från förordningen till lagen och att det i lagen skulle föreskrivas att forskning som avser människor och som inte omfattas av den obligatoriska prövningen enligt lagen skulle få prövas i tillämpliga delar enligt bestämmelserna i
5 SOU 2005:78 s. 74 ff.
378
SOU 2014:45 |
Bedömningar och förslag |
in under den obligatoriska prövningen och som uppfyller kravet på forskning enligt lagens definition. Som exempel angavs forskning som inte faller in under den obligatoriska prövningen i 4 § 2 p. då den inte syftar till att påverka forskningspersonen fysiskt eller psy- kiskt eller innebär en uppenbar risk för skada, men där det väl finns skäl att tro att påverkan kommer att ske. Ett annat exempel är forskning genom enkäter och intervjuer om känsliga uppgifter som inte faller inom ramen för de känsliga personuppgifter som anges i lagen. Dolda observationer anges som ytterligare ett exempel på forskning som kan underställas den frivilliga prövningen. Vidare konstateras att etikprövningslagen endast omfattar forskning som ska utföras i Sverige. Forskning som bedrivs av svenska forskare eller med svenska medel i andra länder prövas därför enligt de län- dernas regler om etikprövning. Endast i undantagsfall saknas sådana regler. Om forskning bedrivs av svenska forskare eller med svenska medel i ett annat land, exempelvis genom inhämtande av prover som sedan förs in i Sverige, krävs det således inte någon etikpröv- ning här. Om det i ett sådant fall skulle saknas etikprövning i det andra landet ligger det enligt utredningen nära till hands att anse att det svenska forskningsinstitutet eller motsvarande bör låta forsk- ningsprojektet underkastas en frivillig prövning i Sverige. Enligt utredningens förslag ska regelsystemet i etikprövningslagen tilläm- pas på den frivilliga prövningen. Den frivilliga prövningen ska så- ledes ske enligt samma principer som den obligatoriska prövningen och utföras lika samvetsgrant. Den frivilliga prövningen ska dock enligt utredningen inte vara förenad med något straffansvar. Utred- ningen konstaterar att förslaget innebär ett allmänt starkare skydd för forskningspersonen än tidigare och att allmänhetens förtroende för forskningen sannolikt kommer att öka. Vidare ges forskarsam- hället på detta sätt möjlighet att påverka vad som ska etikprövas. Förslaget innebär också att risken för att det skapas en parallell orga- nisation för etiska prövningar undviks och att forskarnas intressen av att få till stånd en etikprövning beaktas.
I Vetenskapsrådets (VR) rapport God forskningssed konstateras att omständigheten att etikprövningsnämnderna inte är skyldiga att avge yttrande kan innebära problem.6 Det finns fall då en regional etikprövningsnämnd har nekat att ge ett sådant yttrande och detta har påverkat forskarnas möjligheter till finansiering och publicering. Det anförs att det är önskvärt att det införs en lagstadgad skyldig-
6 God forskningssed, Vetenskapsrådets rapportserie 1:2011 s. 60 f.
379
Bedömningar och förslag |
SOU 2014:45 |
het för etikprövningsnämnderna att ge yttranden till dem så önskar, eller att detta åtminstone blir praxis.
Jag instämmer i Etikprövningsutredningens och VR:s bedöm- ningar att det bör finnas en möjlighet för forskare vars forsknings- projekt inte faller under etikprövningslagens tillämpningsområde att ändå få sitt projekt prövat av en etikprövningsnämnd. I etikpröv- ningslagen bör därför införas en bestämmelse där de lokala etikpröv- ningsnämnderna åläggs att på begäran lämna rådgivande yttranden över forskning som avser människor men som inte omfattas av etik- prövningslagens tillämpningsområde. Skyldigheten bör endast gälla för forskning som faller under etikprövningslagens definition av forskning. Arbete som utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå utgör inte forskning enligt etik- prövningslagens definition. I sådana fall ska möjligheten att begära yttrande finnas kvar, men nämnden ska inte vara skyldig att avge yttrande.
Bestämmelsen om rådgivande yttrande införs lämpligen i det av- snitt som gäller lagens tillämpningsområde. Ansökningsavgiften bör vara densamma för ett rådgivande yttrande som för en ansökan om etikprövning.
9.1.3Ett utvidgat tillämpningsområde
Förslag: Etikprövningslagen ska tillämpas på forskning som innefattar behandling av personuppgifter i en forskningsdatabas som förs med stöd av lagen (0000:00) om forskningsdatabaser.
Jag kommer i avsnitt 9.4 att förslå en ny lag om forskningsdata- baser, som ska möjliggöra upprättandet av forskningsdatabaser för framtida forskning. Förslaget innebär en möjlighet för statliga uni- versitet och högskolor samt andra statliga myndigheter som har i uppdrag att bedriva forskning att bygga upp forskningsdatabaser med personuppgifter som ska kunna användas i ännu inte definie- rade forskningsprojekt som bedrivs av den egna myndigheten eller av annan forskningshuvudman.
Datainspektionen har i förarbetena till lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ifrågasatt om det är lämpligt att universitet och högskolor får föra
380
SOU 2014:45 |
Bedömningar och förslag |
egna register för befolkningsbaserad forskning.7 Enligt Datainspek- tionen innebär förslaget att man överger den grundläggande princip som hittills har gällt för hur samhället har tillåtit insamling av käns- liga uppgifter för att tillgodose behovet av bland annat statistik och forskning. Enligt inspektionen finns det risk för att integritets- frågorna inte kommer att tas på tillräckligt allvar när den ansvarige får personuppgiftsbehandlingen i registret även är den som har direkt nytta av personuppgiftsbehandlingen, i form av forskningsresultat och anslagsmedel.
Jag håller med Datainspektionen om att en sådan risk föreligger, om än liten. För att garantera att integritetsskyddet upprätthålls bör personuppgifter i en forskningsdatabas endast få lämnas ut till forsk- ningsprojekt som har godkänts enligt etikprövningslagen. Detta ska gälla oavsett vilken typ av personuppgifter som ska behandlas, det vill säga även om behandlingen inte innefattar känsliga personupp- gifter enligt 13 § PUL eller personuppgifter om lagöverträdelser med mera enligt 21 § PUL. Förslaget kommer således att innebära en utvidgning av etikprövningslagens tillämpningsområde.
Att samtliga forskningsprojekt som innefattar personuppgifts- behandling av personuppgifter som hämtas från en forskningsdata- bas ska godkännas av etikprövningsnämnd kan vara lämpligt av andra skäl. I de fall uppgifter i forskningsdatabasen samlats in med den enskildes samtycke kan det till exempel vara lämpligt att etik- prövningsnämnden gör en bedömning av om nytt samtycke bör inhämtas.
9.2Ändring av bestämmelserna om kodnyckelförfarande
Förslag: När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild för forskningsända- mål ska myndigheten i samband med utlämnandet förse upp- gifterna med en beteckning som hos den statistikansvariga myn- digheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna i ett forsk- ningsprojekt eller utföra uppföljning, replikation eller gransk- ning av samma projekt eller att använda uppgifterna i ett delvis förändrat forskningsprojekt. En sådan kodnyckel ska bevaras
7 Prop. 2012/13:163 s. 29.
381
Bedömningar och förslag |
SOU 2014:45 |
hos den utlämnande myndigheten i tjugo år från dagen för utlämnandet av uppgifterna som kodnyckeln avser. Tiden för bevarande av kodnyckeln ska efter tjugo år kunna förlängas efter beslut av den myndighet som upprättat den eller efter ansökan från den som använder kodnyckeln.
Enligt 16 § första stycket lagen om den officiella statistiken får en statistikansvarig myndighet som lämnar ut uppgifter som inte direkt kan hänföras till en enskild i samband med utlämnandet förse upp- gifterna med en beteckning som hos den statistikansvariga myn- digheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna.8 Ett sådant kodnyckelförfarande får tillämpas om den som uppgifterna lämnas ut till ska använda dessa för forskning eller statistik samt har ett sär- skilt behov av att senare kunna komplettera uppgifterna. Bestäm- melsen möjliggör således för en statistikansvarig myndighet, till exempel Statistiska centralbyrån (SCB) eller Socialstyrelsen, att i samband med ett utlämnande förse ett anonymiserat material med ett icke informationsbärande löpnummer. Systemet har införts för att möjliggöra för forskarna att komplettera det ursprungliga mate- rialet, exempelvis vid longitudinella studier.
Bestämmelser om kodnyckelförfarande finns också i 6 och 7 §§ i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Enligt bestämmelserna kan kodnyckel- förfarande tillämpas när en uppgift lämnas ut från sådana register till forskning eller till en utredning om oredlighet i forskning.
Det har under utredningen framkommit att bestämmelserna om kodnyckelförfarande i lagen om den officiella statistiken inte är utformade på ett för forskarna tillfredsställande sätt. Det har från forskarhåll framförts att det är ett problem att de registerhållande myndigheterna inte bevarar kodnyckeln om forskaren inte särskilt begär det. Det har också framkommit exempel på fall där nyckeln har bevarats och forskaren efter den föreskrivna bevarandetiden ansökt om förlängning av bevarandetiden men den registerhållande myndigheten har beslutat att begäran ska avslås. Att kodnyckeln förstörs kan få stora konsekvenser för ett pågående forskningspro- jekt eftersom nya uppgifter inte kan läggas till de gamla.
8 SOU 2012:83 s. 360. Utredningen konstaterar att statistiksekretessen tillämpas av betydligt fler myndigheter än de statistikansvariga myndigheterna. Myndigheterna säger sig då fram- ställa statistik i en sådan särskild verksamhet som avses i 24 kap. 8 § OSL och detta verkar inte ifrågasättas.
382
SOU 2014:45 |
Bedömningar och förslag |
9.2.1Lagen om den officiella statistiken
Som framgår ovan finns bestämmelser om kodnyckelförfarande i lagen om den officiella statistiken (statistiklagen). Lagen och dess förordning (förordning (2001:100) om den officiella statistiken) reg- lerar, som namnet avslöjar, den officiella statistiken och tillämpas när statliga myndigheter under regeringen framställer officiell statistik. Vissa av lagens bestämmelser är också tillämpliga vid framställning av annan statistik hos de statistikansvariga myndigheterna. Lagen reglerar de statistikansvariga myndigheternas behandling av person- uppgifter. I de fall det i lagen finns bestämmelser som skiljer sig från personuppgiftslagens bestämmelser ska bestämmelserna i statistik- lagen ha företräde (2 § PUL).
9.2.2När kan kodnyckelförfarande användas?
Bestämmelserna som rör statistikansvariga myndigheters tillämp- ning av kodnyckelförfarande finns i
För att kodnyckelförfarandet ska kunna tillämpas krävs det enligt bestämmelserna i
9Prop. 2000/01:27 s. 51 f.
10Prop. 2000/01:27 s. 52 f.
383
Bedömningar och förslag |
SOU 2014:45 |
går att möjligheten att använda kodnyckelförfarandet är avgränsat till longitudinella studier och studier som är likartade med longitu- dinella.11 Vidare ska, enligt förarbetena, samhällets behov av studien vara väl dokumenterad. Det innebär att det åligger den forskningshuvudman som önskar att ett kodnyckelförfarande ska tillämpas att visa att uppgifterna ska användas i en longitudinell eller annan likartad studie. Forskningshuvudmannen ska också visa att det finns ett särskilt behov av att kunna komplettera uppgifterna. För att den utlämnande myndigheten ska kunna behålla kodnyckeln krävs det således att den som ska använda uppgifterna i sin forskningsverksamhet särskilt begär det. I det fall det kan ske utan påvisbara nackdelar från kvalitetssynpunkt bör det utlämnade materialet bestå av ett urval av personer.
Enligt 17 § statistiklagen får kodnyckelförfarandet endast tilläm- pas om uppgifterna som lämnas ut ska användas för forskning och statistik. Enligt förarbetena ska bestämmelsen garantera att upp- gifterna bara kan lämnas ut till sådan verksamhet som omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (OSL).12 Det ankommer på den utlämnande myndigheten att bevaka att statistiksekretessen blir tillämplig hos mottagaren. Det kan åstad- kommas på tre sätt. Det första är att mottagande myndighet har en särskilt avgränsad verksamhet för statistikframställning. Då tilläm- pas 24 kap. 8 § OSL som primär sekretessbestämmelse även där. Det andra är att mottagaren är en statlig myndighet som ska använda uppgifterna i sin forskningsverksamhet. I sådant fall följer statistik- sekretessen med materialet på grund av bestämmelsen om överföring av sekretess i 11 kap. 3 § OSL. Slutligen bör enligt förarbetena även forskningsinstitutioner och liknande verksamheter som har privat- rättslig karaktär kunna få tillgång till data genom kodnyckelförfaran- de, eftersom de kan få uppgifterna under rättsligt bindande förbehåll om användningen.13 Bestämmelser om förbehåll finns i 10 kap. 14 § OSL.
Det följer av 18 § att den som har fått personuppgifter som avses i 16 § första stycket inte behöver lämna information till den registre- rade om att uppgifter behandlas, om den som behandlar uppgifter- na inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna rätta, blockera eller utplåna uppgifter på begäran av den registre-
11Prop. 2000/01:27 s. 53 f.
12Prop. 2000/01:27 s. 73.
13Prop. 2000/01:27 s. 52 och 72.
384
SOU 2014:45 |
Bedömningar och förslag |
rade. Däremot följer det av 16 § andra stycket att om en uppgift har rättats, blockerats eller utplånats hos den statistikansvariga myndig- heten ska denna vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.
Utformningen av bestämmelserna i
Enligt bestämmelsen om statistiksekretess i 24 kap. 8 § OSL får en statistikansvarig myndighet lämna ut uppgift som behövs för forsknings- och statistikändamål om det står klart att uppgiften kan röjas utan att den enskilde eller närstående till denne lider men. Enligt bestämmelsens ordalydelse finns således inget hinder mot att en statistikansvarig myndighet lämnar ut identifierbara uppgifter för forsknings och statistikändamål. Myndigheterna har dock av integritetsskäl som policy att så långt möjligt endast lämna ut anony- miserade data för forskningsändamål. Socialstyrelsen kan i undan- tagsfall lämna ut personnummer, om det är enda möjligheten för att forskningen ska kunna genomföras och datasäkerheten hos mot- tagaren är tillfredsställande. Även för Socialstyrelsen är dock utgångs- punkten att endast anonymiserade data lämnas ut. För att det ska vara möjligt för den som har begärt ut uppgifter för forsknings- ändamål att lägga till data vid ett senare tillfälle är det således i de allra flesta fall nödvändigt med ett kodnyckelförfarande. Det har under utredningstiden inte framkommit att forskarna upplever det som svårt att få till stånd ett kodnyckelförfarande. Tvärtom tillämpas ett sådant förfarande regelmässigt vid utlämnande av anonymise- rade uppgifter i de fall den som har begärt ut uppgifterna begärt det och det går att säkerställa att statistiksekretessen blir tillämplig hos mottagaren.
14 Prop. 2000/01:27 s. 72 f.
385
Bedömningar och förslag |
SOU 2014:45 |
9.2.3Hur länge ska kodnyckeln bevaras?
Det framgår inte av bestämmelserna i statistiklagen hur länge en kodnyckel ska bevaras. Frågan diskuteras inte heller i förarbetena till bestämmelserna. Tiden för bevarandet bestäms i stället av de statistikansvariga myndigheternas praxis.
I de fall den som har begärt ut uppgifter från en statistikansvarig myndighet inte har begärt att ett kodnyckelförfarande ska tillämpas bevarar SCB och Socialstyrelsen som huvudregel kodnyckeln i tre månader från leveransdatumet, därefter förstörs den. Att kodnyckeln ska bevaras i tre månader efter utlämnandet är en överenskommelse mellan SCB, Socialstyrelsen och Datainspektionen. Det ansågs vara rimlig att kodnyckeln förvaras en kortare tidsperiod efter leveran- sen för att det ska finnas en möjlighet att rätta eventuella fel i det levererade materialet.
Om den som har begärt ut uppgifterna har begärt att ett kod- nyckelförfarande ska tillämpas bevarar SCB och Socialstyrelsen kodnyckeln under en viss tid. Bevarandetiden bestäms utifrån för- utsättningarna i varje enskilt fall, men normalt som längst i tre år. Efter tre år tar SCB och Socialstyrelsen, efter dialog med den som har begärt ut uppgifter, åter ställning till om kodnyckeln ska bevaras eller inte. Att kodnyckeln som utgångspunkt ska bevaras i tre år har beslutats efter diskussioner mellan SCB, Socialstyrelsen och före- trädare för forskningen. Det ansågs vara ett lämpligt tidsintervall för omprövning av om kodnyckeln ska bevaras eller inte.
9.2.4De utlämnande myndigheternas problem
Det har från de utlämnande myndigheterna framförts att kodnyckel- förfarandet kan ge upphov till vissa problem. Förarbetena föreskri- ver att kodnyckelförfarandet ska tillämpas restriktivt, till exempel anges att samhällets behov av studien ska vara väl dokumenterat. En kodnyckel ska endast bevaras om forskningshuvudmannen uttryckligen begär det. Förteckningen, det vill säga kodnyckeln, ska bara användas för uppdatering av ett och samma material. En kodnyckel skapas således för att kunna komplettera och uppdatera material i ett visst forsknings- eller statistikprojekt. Bevarandet av en kodnyckel möjliggör emellertid att nya variabler läggs till de ursprungliga, vilket i sin tur kan leda till att ett specifikt projekt med tiden utvecklas till en generell databas vars syfte är att utgöra
386
SOU 2014:45 |
Bedömningar och förslag |
underlag för flera forskningsprojekt. Nuvarande reglering ger inte stöd för bevarandet av kodnyckel för uppdatering av sådana generella databaser. När det ursprungliga ändamålet med projektet inte längre finns kvar eller har omformulerats saknas grund för bevarandet av kodnyckeln. Huvudregeln är i stället enligt 19 § statistiklagen att uppgifter som inte längre behövs för sitt ändamål ska gallras.
Myndigheten ska vid utlämnande av uppgifter göra en sekretess- prövning enligt 24 kap. 8 § OSL. Det har framförts att om nya uppgifter har lagts till de ursprungliga är det svårt för den utläm- nande myndigheten att avgöra risken för att någon lider skada eller men om ytterligare uppgifter lämnas ut. Ju mer information som tillkommer om en individ, desto större är risken för bakvägsidenti- fiering. Om uppgifter har adderats efter hand och forsknings- frågorna delvis har omformulerats kan det vara svårt att avgöra om uppgifterna behandlas inom ett specifikt forskningsprojekt eller om det i stället rör sig om en generell databas. Behandling av person- uppgifter utan ett specifikt ändamål och av fler personuppgifter än som är nödvändigt med ett sådant kan bedömas stå strid med 9 § PUL. Det följer vidare av 21 kap. 7 § OSL att sekretess gäller för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med PUL. Finns det inte stöd för be- handlingen av personuppgifterna hos den mottagande myndigheten ska uppgifterna således inte lämnas ut.
9.2.5Forskarnas problem
De problem som tagits upp vid utredningens möten med forskare är relaterade bland annat till frågor om bevarande av kodnyckeln. Det första typexemplet är att forskaren har begärt ut uppgifter från en statistikansvarig myndighet men av olika skäl inte begärt att ett kodnyckelförfarande ska tillämpas. Som anges ovan bevaras kod- nyckeln i sådana fall som huvudregel i tre månader från leverans- datumet, därefter förstörs den. Det har från forskarhåll framförs att det kan finnas behov av att bevara kodnyckeln även i de fall forskaren inte särskilt begärt det. På grund av forskningsprocessens tentativa karaktär är det svårt att alltid förutse hur ett forsknings- projekt kommer att utvecklas. Nya resultat kan leda till nya hypoteser som bör testas genom att till exempel lägga till nya variabler till det ursprungliga materialet. Forskningsfrågorna i en longitudinell studie kan förändras över tiden, även om ändamålet är snävt avgränsat.
387
Bedömningar och förslag |
SOU 2014:45 |
Det är vanligt att en studie som pågår i flera år genomgår en sådan förändring. Behov av att komplettera uppgifterna kan således upp- stå efter hand som ett projekt fortgår och det är inte alltid möjligt för forskaren att förutse det när uppgifterna begärs ut. Forskare kan till exempel vilja lägga till uppgifter inom ramen för den ursprungliga frågeställningen eller vilja använda samma uppgifter kompletterade med andra uppgifter för att besvara en delvis omformulerad forskningsfråga. Det är inte möjligt om kodnyckeln inte är bevarad.
Det andra problemet som beskrivits av forskarna är att den re- gisterhållande myndigheten efter en förutbestämd tid inte förlänger tiden för bevarande av kodnyckeln, även om forskaren har behov av att så sker. Det skäl som i vissa fall har angetts av utlämnande myn- dighet är att forskningsfrågorna har förändrats över tid. Utlämnan- de myndighet har då ansett att det är ett nytt projekt som kräver ett nytt etiktillstånd och nya data. Det är dock mycket naturligt att forskningsfrågorna förändras i ett longitudinellt projekt. Det är alltså inget skäl att kräva att en ny databas skapas. Om det uppfattas att frågorna avviker väsentligt från de ursprungliga kan det krävas ett nytt etikgodkännande, men det forskningsregister som har byggts upp för det ursprungliga projektet bör likväl kunna användas.
9.2.6Ändring av bestämmelserna om kodnyckelförfarande
9.2.6.1Bevarande av kodnyckel
Kodnyckelförfarande får endast tillämpas om den som begär ut upp- gifterna visar att det finns ett särskilt behov av att uppgifterna ska kunna kompletteras. Som framgår ovan kan det finnas situationer där forskaren inte förutsett att de uppgifter som begärts ut kom- mer att behöva kompletteras med ytterligare uppgifter från den utlämnande myndigheten. Det behöver inte bero på förbiseende från forskarens sida utan kan ha sin förklaring i att det inte alltid är möjligt att förutse vilken riktning ett forskningsprojekt kommer att ta. Om kodnyckeln är förstörd kan de ursprungliga uppgifterna inte kompletteras med nya uppgifter. Det kan leda till att värdefull forskning inte kan komma till stånd. Förstörandet av kodnyckeln omöjliggör också för andra forskare att bygga vidare på eller kontrollera tidigare utförd forskning. Jag menar därför att det finns skäl att bevara en kodnyckel även i de fall forskaren inte begärt att kodnyckeln ska bevaras.
388
SOU 2014:45 |
Bedömningar och förslag |
Mot denna ståndpunkt kan anföras att det innebär en integri- tetsrisk att kodnyckeln bevaras, och att detta endast bör ske om den som begärt ut uppgifterna kan anföra starka skäl. I förarbetena förespråkas en restriktiv tillämpning då det anges att kodnyckel- förfarande ska tillämpas endast under förutsättning att samhällets behov av studien är väl dokumenterat.15
Jag menar dock att ett sådant bevarande inte innebär någon större risk ur integritetssynpunkt. Kodnyckeln bevaras hos den sta- tistikansvariga myndigheten och skyddas av den starka sekretess som 24 kap. 8 § OSL medför. Vidare bör den registerhållande myndig- heten upprätthålla en så god datasäkerhet att obehöriga inte kan komma åt kodnyckelfilen. Varje nytt uttag prövas enligt bestäm- melserna i OSL. Om det rör sig om känsliga personuppgifter ska behandlingen godkännas av en etikprövningsnämnd.
Min slutsats är att kodnyckelfilen inte endast ska sparas i de fall forskaren särskilt begärt att så ska ske. I stället bör kodnyckeln be- varas i samtliga de fall där en statistikansvarig myndighet lämnar ut uppgifter i avidentifierad form till forskningsprojekt där det kan bli aktuellt att uppdatera uppgifter i projektet. De statistikansvariga myndigheterna ska således inte endast ha rätt att behandla kod- nyckeln i de fall den som begärt ut uppgifterna särskilt begär det utan även för ändamålet att möjliggöra uppdatering av användarens material inom ramen för det ursprungliga syftet med projektet eller för delvis förändrade projekt.
Ibland används en kodnyckel av flera myndigheter. Kodnyckeln bör bevaras av den statistikansvariga myndighet som har upprättat den.
Ett motsvarande kodnyckelförfarande föreslås när det gäller den nya lagen om forskningsdatabaser, se avsnitt 9.4.18. Jag har inte haft möjlighet att analysera huruvida ett sådant förfarande kan vara användbart vid utlämnande av uppgifter från Riksarkivet eller SND. Denna fråga får utredas närmare i annat sammanhang.
9.2.6.2Ett utvidgat tillämpningsområde
Kodnyckelförfarandet är avgörande för att kunna göra planerade uppföljningar av studier. Förfarandet är i nuvarande lagstiftning utformat så att uppdateringen av uppgifterna ska ske inom samma forskningsprojekt. Att en kodnyckel bevaras möjliggör emellertid
15 Prop. 2000/01:27 s. 54.
389
Bedömningar och förslag |
SOU 2014:45 |
också för forskare att bygga vidare på tidigare utförd forskning. En forskare kan till exempel vilja utföra en uppföljning av en tidigare utförd studie som en annan forskare utfört. Vidare kan en forskare vilja replikera en tidigare utförd studie. Ytterligare möjligheter är att göra om tidigare studier med ytterligare variabler, att konstruera andra variabler med utgångspunkt från de ursprungliga eller att ana- lysera delvis nya forskningsfrågor. Genom att bygga vidare på redan genomförd forskning kan arbete som redan lagts ner utnyttjas på ett effektivare sätt. Dessutom skapas möjligheten att replikera studier vilket är ett sätt att granska tidigare utförd forskning. En kodnyckel bör därför även kunna användas vid replikation eller annan gransk- ning av tidigare utförd forskning. Bestämmelserna om kodnyckelför- farandet bör således utformas så att kodnyckeln kan användas för uppföljning, granskning och replikation av det ursprungliga projektet men också för andra projekt än det kodnyckeln ursprungligen skapades för.
9.2.6.3Hur länge bör kodnyckeln bevaras?
Nästa fråga att ta ställning till är hur länge kodnycken ska bevaras. Utgångspunkten är att kodnyckeln ska bevaras så länge att forsk- ningsprojektet har hunnit pågå en tid och det därmed hunnit fram- komma om det ursprungliga materialet behöver kompletteras på något sätt som forskaren inte förutsett. Även kravet på att kod- nyckeln ska kunna användas för uppföljning, replikering och gransk- ning förutsätter att kodnyckeln bevaras under en längre tid. Varken i statistiklagen eller i förarbetena till denna anges hur länge en kod- nyckel får bevaras. Som framförts ovan är min utgångspunkt att risken för en kränkning av de enskildas personliga integritet inte blir större enbart för att kodnyckeln bevaras under en längre tid. Det borde därför finnas utrymme för att bevara kodnycklarna under längre tid än tre år, vilket redan ibland sker i praktiken. Danmarks Statistik bevarar enligt praxis en kodnyckel i 20 år. Det finns inga skäl mot att samma regel skulle kunna införas i Sverige. Jag menar att en lämplig tid för bevarande av en kodnyckel är 20 år från det att den upprättats.
Det finns emellertid fall där kodnyckeln kan behövas även där- efter. Vissa longitudinella studier pågår längre än 20 år. Vidare kan det finnas intresse att bygga vidare på och granska redan utförd forskning även efter den inledande tjugoårsperioden. Det bör där-
390
SOU 2014:45 |
Bedömningar och förslag |
för finnas en möjlighet för den myndighet som har upprättat kodnyckeln att besluta att den ska behållas under längre tid och för forskningshuvudmannen eller annan som använder sig av de data som kodnyckeln är kopplad till att begära att den ska bevaras. Som jag tidigare anfört menar jag att själva bevarandet av kodnyckeln hos myndigheten inte innebär någon ökad risk för den personliga integriteten. Tiden för förlängning bör därmed kunna bestämmas med hänsyn till de behov som föreligger.
Det kan vidare förekomma att en kodnyckel som används inom ett forskningsprojekt behöver modifieras. För att kunna bygga vida- re på eller granska den forskning som utgått från de tidigare versio- nerna av kodnyckeln är det viktigt att samtliga versioner av kod- nyckeln bevaras.
9.2.6.4Kodnyckelns rättsliga status
När en statistikansvarig myndighet använder sig av ett kodnyckel- förfarande skapas en datafil med en förteckning över vilken beteck- ning (löpnummer) som motsvarar vilket personnummer. Det har under utredningstiden framkommit att det råder osäkerhet kring kodnyckelfilernas rättsliga status. Denna har betydelse för om be- stämmelserna om offentlighet och sekretess i TF och OSL samt arkiv- lagstiftningen är tillämplig eller inte.
Med handling avses enligt 2 kap. 3 § första stycket TF framställ- ning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Ordet handling betyder således inte enbart ett papper med skrift eller en bild på utan också, som är fallet när det gäller kodnyckelfilerna, en upptagning för automatiserad behandling.
En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Enligt andra stycket samma bestämmelse anses en upptagning enligt första stycket förvarad hos en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Även här uppfyller en kodnyckelfil kravet på en allmän handling.
I 2 kap. 7 § TF finns ett flertal regler om när en handling anses upprättad hos en myndighet. Principen är att en handling som kom- mer till hos en myndighet blir allmän när den har fått sin slutliga
391
Bedömningar och förslag |
SOU 2014:45 |
utformning. En handling anses upprättad när myndigheten expe- dierar, det vill säga sänder iväg den. En handling som inte expedieras är upprättad när det ärende den hör till är slutbehandlat hos myn- digheten. Hör handlingen inte till något bestämt ärende, är den upprättad när den har justerats eller färdigställts på annat sätt. För vissa typer av handlingar gäller enligt andra stycket speciella regler om när de är upprättade. Ett diarium, en journal eller en liknande hand- ling som förs fortlöpande anses upprättad när handlingen är färdig för användning. Sådana domar och beslut med tillhörande protokoll som ska avkunnas eller expedieras är upprättade när så sker. Andra protokoll och liknande handlingar är i regel upprättade när myn- digheten har justerat dem eller färdigställt dem på annat sätt.
Mot denna bakgrund gör jag bedömningen att en kodnyckelfil utgör en allmän handling.
9.2.6.5Kodnyckelförfarandet och arkivlagstiftningen
För att allmänheten ska kunna ta del av allmänna handlingar krävs det att handlingarna bevaras. Principen om allmänna handlingars offentlighet medför således krav på att allmänna handlingar i princip bevaras, att de ordnas så att det går att hitta bland dem och att de vårdas så att de inte skingras eller förstörs.16 Enligt 3 § arkivlagen (1990:782) ska myndigheters arkiv bevaras, hållas ordnade och vår- das så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Arkivlagen, arkivförordningen (1991:446) och Riksarkivets föreskrifter reglerar myndigheternas skyldighet att be- vara allmänna handlingar och på vilket sätt det ska ske. I dessa bestämmelser anges bland annat hur en allmän handling ska fram- ställas, förvaras och skyddas samt när gallring och avhändande av allmänna handlingar ska genomföras.
En myndighets arkiv bildas av allmänna handlingar från myn- dighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § TF (minnesanteckningar samt utkast eller koncept till beslut eller skrivelse) som myndigheten beslutar ska tas om hand för arkivering. Handlingarna i ett ärende är att anse som arkivlagda när ärendet har slutbehandlats.17 Register, diarier och andra handlingar som förs fortlöpande är att anse som arkivlagda så snart de är färdigställda
16Prop. 1989/90:72 s. 32.
17Prop. 1989/90:72 s. 33.
392
SOU 2014:45 |
Bedömningar och förslag |
för förande. Det påpekas i förarbetena till arkivlagen att myndig- heternas arkiv därför innehåller åtskilligt material som är förhållan- devis aktuellt. Varje myndighet svarar som regel för sitt eget arkiv.
Även om utgångspunkten är att allmänna handlingar ska bevaras är det en praktisk nödvändighet att vissa delar av materialet gall- ras.18 Allmänna handlingar får således gallras, men det får bara ske om återstående arkivmaterial kan tillgodose rätten att ta del av all- männa handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (10 § första och andra styckena arkivlagen). Att gallra innebär att avgöra vilka handlingar enligt gällande regler som ska gallras efter viss tid samt att när den tiden är inne förstöra de handlingar som ska gallras. Det krävs sär- skilda föreskrifter eller beslut för att gallring ska få ske.
Om det finns avvikande bestämmelser om gallring av vissa all- männa handlingar i annan lag eller i förordning gäller dessa bestäm- melser före arkivlagens bestämmelser (10 § tredje stycket). En sådan särskild bestämmelse om gallring finns i 19 § första stycket stati- stiklagen. Enlig bestämmelsen ska personuppgifter hos de statistik- ansvariga myndigheterna gallras när uppgifterna inte längre behövs för sitt ändamål. Regeringen eller den myndighet som regeringen bestämmer får dock föreskriva om undantag från denna skyldighet om en gallring skulle äventyra arkivens roll som en del av det natio- nella kulturarvet eller strida mot forskningens behov. Därvid ska behovet av skydd för den enskildes personliga integritet särskilt beaktas. Enligt bestämmelsens tredje stycke ska material som inte gallras överlämnas till arkivmyndighet. Enligt 12 § förordningen om den officiella statistiken ska en statistikansvarig myndighet under- rätta Riksarkivet innan gallring sker enligt ovan. I samma bestämmelse bemyndigas Riksarkivet att meddela föreskrifter om undantag från gallring enligt 19 § andra stycket statistiklagen.
I motiven till motsvarande bestämmelser i den tidigare lagen om vissa personregister för officiell statistik (1995:606) framhölls att ut- gångspunkten för integritetskänsliga statistikregister, liksom för många andra likvärdiga register, borde vara att personuppgifterna i registret ska gallras när ändamålet är uppfyllt, det vill säga när upp- gifterna inte längre behövs för framställning av officiell statistik.19 Det anfördes att det i och för sig är svårt för någon annan än den statistikansvariga myndigheten att bedöma när statistiska uppgifter inte längre behövs för sitt ändamål. En bortre gräns borde dock
18Prop. 1989/90:72 s. 39 f.
19Prop. 1994/95:200 s. 33 f, 2000/01:27 s. 60.
393
Bedömningar och förslag |
SOU 2014:45 |
normalt sättas för hur länge en personuppgift som huvudregel ska få finnas i ett statistikregister. En sådan generell längsta tid ansågs svår att fastställa med hänsyn till den mängd register av skiftande beskaffenhet som skulle komma att omfattas av lagen, även om det på goda grunder kunde förutsättas att en personuppgift sällan be- hövdes längre än tio år för att framställa officiell statistik. Det stod emellertid klart att en längre bevarandetid kunde behövas vid bland annat longitudinella uppföljningar. I propositionen framhölls vidare att statistiska uppgifter många gånger är intressanta för andra ända- mål än det primära statistikområdet, i första hand för forskningen och det nationella kulturarvet. Inte minst för att tillgodose olika slags forskning ansågs det vara av stor betydelse att noga pröva om de uppgifter som finns i statistikregistren bör bevaras. En vidlyftig gallring av uppgifter som generellt eller individuellt har påverkat samhällets åtgärder ansågs i vissa fall till och med kunde vara till skada för individen själv. Vid bedömningen av bevarandefrågan lades stor tyngd vid integritetsaspekten. I vilken utsträckning bevarande skulle ske borde därför bli en avvägning mellan å ena sidan den en- skildes intresse av skydd för sin personliga integritet och å andra sidan forsknings- och kulturintressena. Hur denna avvägning skulle göras ansågs svårare att precisera. Det anfördes att det krävs både insikt och kunskap om ämnesområdena och en överblick över arkiv- bildningen i landet för att besluten i de enskilda fallen skulle bli väl avvägda. Försiktighet ansågs påkallad med hänsyn till att en alltför ambitiös gallring kan förorsaka skador som aldrig går att reparera. Det ansågs att förutsättningar av detta slag svårligen kan anges i lag eller förordning och att arbetet krävde sakkunskap och resurser och därför inte utan vidare kunde utföras inom Regeringskansliet. Den lösning som med hänsyn till samtliga föreliggande faktorer framstod som mest rimlig var att dessa ofta svåra avvägningar i stor utsträckning fick avgöras av Riksarkivet. I förarbetena till den nu- varande lagen anförs att det med hänsyn till det ovan anförda sak- nades skäl att ändra bestämmelserna om gallring, varför de tidigare bestämmelserna oförändrade fördes över till den nuvarande lagen.
Vilken betydelse har dessa bestämmelser för bevarandet av kod- nycklar hos statistikansvariga myndigheter? Enligt mitt förslag ska en kodnyckel som huvudregel bevaras i 20 år, i syfte att möjliggöra uppdatering av ett visst projekt men också för uppföljning, replike- ring och granskning av detta projekt och för delvis nya projekt. Bevarandetiden ska därefter kunna förlängas exempelvis på begäran av den som använder kodnyckeln eller på initiativ av den myndighet
394
SOU 2014:45 |
Bedömningar och förslag |
som upprättat kodnyckeln. Som anges ovan ska enligt 19 § första stycket lagen om den officiella statistiken personuppgifter hos de statistikansvariga myndigheterna gallras när uppgifterna inte längre behövs för sitt ändamål. Riksarkivet kan emellertid föreskriva om undantag från denna skyldighet bland annat om en gallring skulle strida mot forskningens behov. För att en kodnyckel inte ska gallras efter att ett ärende har avslutats krävs det således att Riksarkivet meddelar undantag från bestämmelsen om gallring i 19 § lagen om den officiella statistiken.
9.3En ny sekretessbestämmelse
Förslag: Sekretess ska gälla för uppgift avseende enskilds per- sonliga och ekonomiska förhållanden i forskningsverksamhet.
Det ska vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott enligt vissa bestämmelser i OSL. Uppgift som behövs för forskningsändamål eller uppgift som behövs i en utredning av oredlighet i forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Med forskning avses i be- stämmelsen detsamma som i etikprövningslagen.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållan- den, och annars i högst tjugo år.
Om en uppgift som omfattas av den nya sekretessbestämmel- sen överförs till en annan myndighet ska sekretessbestämmelsen vara tillämplig även hos den mottagande myndigheten.
Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentlig- göra uppgifter.
Som anges i kommittédirektiven är det, för att allmänhetens för- troende för forskningen ska upprätthållas, av stor vikt att regelverket tillgodoser den enskilda individens integritetsskydd. Vid utredning- ens möten med forskare har detta betonats inte minst av forskarna själva. Att enskilda ska känna sig trygga med att uppgifterna inte missbrukas eller hamnar i fel händer är en förutsättning för med- verkan från enskilda. I integritetshänseende är det viktigt att män-
395
Bedömningar och förslag |
SOU 2014:45 |
niskor kan förutse vilket skydd de uppgifter de själva lämnar till forskningen, till exempel genom intervjuer och enkäter, har. Detta gäller även för uppgifter som samlats in från någon annan källa än den enskilde.
Vid de statliga universiteten och högskolorna gäller, precis som hos andra myndigheter, bestämmelserna om allmänna handlingars offentlighet enligt 2 kap. tryckfrihetsförordningen (TF). Enligt 2 kap. 2 § andra stycket TF ska begränsningar av rätten att ta del av all- männa handlingar anges noga i bestämmelse i en särskild lag, OSL, eller i annan lag som den särskilda lagen hänvisar till. Utredningen ska analysera om den befintliga sekretessregleringen är tillräcklig för att skydda den enskildes integritet vid forskning och, om det är nödvändigt, lämna författningsförslag.
9.3.1Primära sekretessbestämmelser till skydd för enskild inom forskning
Sekretess till skydd för uppgift om enskildas hälsa och sexualliv
Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en en- skilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Bestämmelsen är avsedd att ge ett slags minimiskydd för särskilt känsliga uppgifter som rör den enskildes hälsa och sexualliv oavsett i vilken verksam- het uppgiften förekommer, således även inom forskningsverksam- het i offentlig regi. Bestämmelsen innehåller ett rakt skaderekvisit, vilket innebär att det föreligger en presumtion för att uppgiften kan lämnas ut. Utlämnande ska endast nekas om det måste antas att den enskilde eller någon närstående kommer att lida betydande men om uppgiften röjs.
Sekretess på grund av behandling i strid med personuppgiftslagen
En annan sekretessbestämmelse som gäller för samtliga myndig- heter är 21 kap. 7 § OSL. Enligt bestämmelsen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Uttrycken personuppgift och behandling i bestämmelsen har samma innebörd
396
SOU 2014:45 |
Bedömningar och förslag |
som i PUL. Med personuppgifter avses således all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till skillnad från sekretessbestämmelser som gäller till skydd för ”uppgift om enskilds personliga förhållanden” kan sekretessen enligt denna paragraf således inte gälla till skydd för avlidna. Ut- trycket ”behandling” definieras i 3 § PUL.
Bestämmelsen är tillämplig hos sådana myndigheter som är per- sonuppgiftsansvariga eller som annars har tillgång till personuppgifter. Paragrafen innehåller ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i PUL. Skaderekvisitet är rakt, vilket innebär att det föreligger en presumtion för att uppgifterna ska läm- nas ut. Om det är fråga om känsliga personuppgifter hänvisar PUL till etikprövningslagen. Det krävs således även att bestämmelserna i etikprövningslagen är uppfyllda för att sekretess inte ska gälla. Be- stämmelsen innebär att den utlämnande myndigheten måste under- söka hur uppgifterna kommer att behandlas hos den som har begärt ut dem, till exempel i den forskningsverksamhet som uppgifterna ska lämnas ut till.
Sekretess till skydd för enskild inom forskning
Det finns ett fåtal bestämmelser som särskilt avser sekretess till skydd för enskild inom forskning. Dessa bestämmelser är samlade i 24 kap. OSL.
Enligt 24 kap. 1 § OSL gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål. Sådana uppgifter får inte röjas om det inte står klart att det kan ske utan att den som uppgiften rör eller någon närstående till denne lider men. Sekretess gäller således med ett omvänt skaderekvisit, det vill säga presumtionen är för sekretess.
En motsvarande bestämmelse finns i 24 kap. 2 § OSL avseende verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister. Sekretess gäller i sådan verksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller även i förhållande till en registrerad person som är vård- eller behandlingsbehövande för uppgift om hans eller hennes hälsotill-
397
Bedömningar och förslag |
SOU 2014:45 |
stånd, om det med hänsyn till ändamålet med vården eller behand- lingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
I 24 kap. 2 a § OSL stadgas att sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut, men sekretess- brytande bestämmelser finns för utlämnande av uppgifter i den ut- sträckning som framgår av lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
I 24 kap. 3 § OSL finns en bestämmelse som rör sekretess vid etikprövning och tillsyn enligt etikprövningslagen. I bestämmelsen stadgas att sekretess gäller i verksamhet som består i etikprövning och tillsyn enligt etikprövningslagen, dels för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men, dels för uppgift om en enskilds ekonomiska förhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. För uppgift om en enskilds personliga förhållanden är presumtionen att sekretess föreligger, men när det gäller uppgift om en enskilds eko- nomiska förhållanden är presumtionen den motsatta. Sekretessen omfattar dock inte beslut i ärenden.
I 24 kap. 4 § OSL stadgas att sekretess gäller för uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål, om det kan antas att den som har lämnat uppgiften eller som uppgiften avser eller någon närstående till denne lider men om uppgiften röjs. Sekretess gäller med ett rakt skaderekvisit, det vill säga med pre- sumtion för offentlighet.
Slutligen finns i 24 kap. 5 § OSL en sekretessbestämmelse som gäller hos universitet och högskolor för uppgift om en enskilds affärs- eller driftförhållanden, uppfinningar eller forskningsresultat som har lämnats eller kommit fram vid sådan forskning som efter överenskommelse bedrivs i samverkan med en enskild, om det måste antas att den enskilde har deltagit i samverkan under förutsättning att uppgiften inte röjs. Sekretessen gäller även hos en annan myn-
398
SOU 2014:45 |
Bedömningar och förslag |
dighet som tillsammans med ett universitet eller en högskola deltar i forskningssamverkan med en enskild.
Statistiksekretess
Bestämmelsen i 24 kap. 8 § OSL som behandlar den så kallade statistiksekretessen är en central bestämmelse även i forsknings- relaterad verksamhet. I bestämmelsen stadgas att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställ- ning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Med särskild verksamhet avses myndigheternas egen produktion av statistik och uppgiftsinsamling till annan myndighets statistikpro- duktion. Statistik som framställs för att användas som underlag för ett beslut i ett ärende omfattas inte, utan det ska i stället vara fråga om en mera allmänt utredande verksamhet utan anknytning till något särskilt ärende.20 I förarbetena anges att bestämmelsen typiskt sett avser den statistikproduktion som till exempel SCB svarar för. Statistiksekretessen gäller emellertid också annan jämförbar utred- ning hos Riksrevisionen eller riksdagsförvaltningen eller av någon annan myndighet i den utsträckning som regeringen meddelar före- skrifter om det. Regeringen har genom 7 § OSF förordnat att statistiksekretessen enligt 24 kap. 8 § OSL ska gälla i undersökning i vissa i bestämmelsen angivna myndigheter med de begränsningar som anges där. Regeringen har på detta sätt föreskrivit att 24 kap. 8 § OSL ska vara tillämplig på uppgift om enskilds personliga för- hållanden hos dels sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykia- triska eller andra medicinska studier, dels utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykolo- giska, pedagogiska eller andra beteendevetenskapliga eller samhälls- vetenskapliga studier.
Bestämmelsen i 24 kap. 8 § OSL innehåller inte något skaderek- visit. Det innebär att statistiksekretessen är absolut och att det som huvudregel är förbjudet att lämna ut uppgifter. Det finns emellertid ett antal undantag från regeln om absolut sekretess. Det undantag som är mest relevant i forskningssammanhang är det som framgår av bestämmelsens tredje mening. Där anges att uppgifter som be- hövs för forsknings- eller statistikändamål får lämnas ut om det
20 Prop.1979/80:2 Del A s. 263.
399
Bedömningar och förslag |
SOU 2014:45 |
står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I dessa fall gäller således ett omvänt skaderekvisit, det vill säga att det föreligger en presumtion för att uppgifterna omfattas av sekretess. Vid utlämnandeprövningen ska samtliga omständigheter i det enskilda fallet beaktas och det ska vid denna bedömning stå klart att den enskilde eller någon närstående till denne inte lider men om uppgiften lämnas ut. Kraven är således högt ställda. Se avsnitt 5.6.3.4 för diskussionen om hur det om- vända skaderekvisitet ska tillämpas vid massuttag.
Det andra undantaget som kan bli aktuellt vid uttag av uppgifter för forskningsändamål framgår också av tredje meningen i 24 kap. 8 § OSL. I bestämmelsen anges att uppgift som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Även i detta fall är sekretess således huvudregel. Bestämmelsen avser inte endast utlämnande till forsknings- och statistikändamål, utan är generellt tillämplig. Med ”därmed jämför- bart förhållande” åsyftas enligt förarbetena till exempel bilnummer, telefonnummer, anställningsnummer och fastighetsbeteckning.21 Be- greppet enskild omfattar också avliden.
9.3.2Pågående lagstiftningsarbete
Bestämmelsen om statistiksekretess var föremål för översyn av 2012 års statistikutredning (Fi 2011:05) i betänkandet Vad är officiell statistik? En översyn av statistiksystemet och SCB (SOU 2012:83).22
Jag konstaterade i betänkandet att det råder osäkerhet om vilken verksamhet som omfattas av statistiksekretessen och att detta leder till tillämpningsproblem. De statistikansvariga myndigheternas fram- ställning av statistik omfattas otvetydigt av statistiksekretessen. Problemet att tillämpa bestämmelsen uppstår i stället när det gäller myndigheter som inte är statistikansvariga.23 Här tycks det avgö- rande vara att uppgiften ska finnas i sådan särskild verksamhet som avser framställning av statistik. Vilken verksamhet det rör sig om är emellertid inte alltid helt klart i praktiken. Viss vägledning kan hämtas från det som framgår av förordningen om den officiella sta-
21Prop. 1979/80:2 Del A s. 264.
22SOU 2012:83 s. 342 ff.
23SOU 2012:83 s. 346.
400
SOU 2014:45 |
Bedömningar och förslag |
tistiken, det vill säga att verksamhet för framställning av statistik ska vara så organiserad att den är avgränsad från myndighetens verksamhet i övrigt. Även förarbetsuttalanden som anger att det inte ska röra sig om ren driftstatistik eller statistik som framställs för att användas som underlag för beslut i ett visst ärende kan vara till hjälp. Statistiksekretessen tillämpas av betydligt fler myndigheter än de statistikansvariga myndigheterna. Myndigheterna säger sig då framställa statistik i en sådan särskild verksamhet som avses i 24 kap. 8 § OSL och detta verkar inte ifrågasättas.24
Det är oklart vad som i bestämmelsen avses med begreppet ”annan jämförbar undersökning”.25 Handlar det om samma typ av undersökningar, men som görs av organ som inte normalt arbetar med framställning av statistik eller är det fråga om en annan typ av undersökning? Eller en kombination av dessa förhållanden? Det faktum att en undersökning som görs av SCB på uppdrag av en statlig utredning kan omfattas av statistiksekretess trots att så inte skulle vara fallet om utredningen i egen regi gjorde undersökningen tyder enligt statistikutredningen på att sekretessen är knuten till var undersökningen görs, inom ramen för en särskilt avgränsad verksamhet. Samtidigt omfattas inte alla de undersökningar som SCB gör på uppdrag av statistiksekretess. Det finns vidare under- sökningar som regeringen gett skydd enligt 7 § OSF trots att det inte rör sig om statistisk framställning i traditionell mening. Det tyder på att de undersökningar som sekretessbeläggs enligt OSF kan vara av olika slag. Min slutsats var att begreppet ”annan jämförbar undersökning” kan inkludera både statistiska undersökningar som framställs utanför en sådan avgränsad verksamhet som avses i första stycket i bestämmelsen om statistiksekretess och undersökningar som inte sker för statistiska ändamål.
Begreppen i dagens reglering av statistiksekretessen är således inte helt lätta att tillämpa. Tillämpligheten skulle kunna underlättas om man utvecklade andra begrepp, men eftersom det inte låg inom uppdraget valde jag att i stället föreslå vissa rent lagtekniska föränd- ringar för att underlätta tillämpningen av bestämmelsen. Jag före- slog att 24 kap. 8 § OSL görs mera lättöverskådlig genom att den delas upp i stycken och att den sekretessbrytande delen av bestäm- melsen lyfts ut och läggs i en egen paragraf. Andra jämförbara under- sökningar som utförs av kommittéväsendet och Statskontoret ska om- fattas av statistiksekretess direkt enligt lag. De sekretessbrytande
24SOU 2012:83 s. 360.
25SOU 2012:83 s. 347 f.
401
Bedömningar och förslag |
SOU 2014:45 |
undantagen ska vara desamma som enligt gällande rätt. Begreppet forskning bör däremot definieras i lagen. Detta bör ske genom en hänvisning till definitionen av forskning i etikprövningslagen.
Förslagen har remissbehandlats och i mars 2014 beslutade rege- ringen om proposition 2013/14:162 Ändringar av statistiksekretessen som behandlar utredningens förslag till ändringar i OSL. I propo- sitionen föreslås två ändringar i 24 kap. 8 § OSL. Den ena ändringen innebär att så kallade andra jämförbara undersökningar som utförs inom kommittéväsendet och av Statskontoret ska omfattas av stati- stiksekretess utan att regeringen meddelar föreskrifter om det.26 Skälet till förslaget är att det inom det statliga kommittéväsendet och hos Statskontoret regelbundet utförs statistiska undersökningar, ofta på direkt uppdrag av regeringen. Den nuvarande regleringen innebär att uppgifter i sådana undersökningar omfattas av statistik- sekretess först sedan regeringen har meddelat föreskrifter om det. Sådana föreskrifter förs in i 7 § OSF. Ändringar i den paragrafen görs vid flera tillfällen varje år. Det inträffar knappast någon gång att regeringen inte tillmötesgår en myndighets begäran om att rege- ringen ska föreskriva om sekretess för en statistisk undersökning som myndigheten önska genomföra. Däremot händer det ofta att arbetet med en undersökning försenas av att myndigheten måste av- vakta regeringens beslut innan undersökningen kan påbörjas. Den andra ändringen innebär att paragrafen delas upp i fler stycken, i syfte att göra bestämmelserna mer överskådliga och lättare att tillämpa. Någon hänvisning till begreppet forskning i etikprövningslagen före- slås inte. Lagändringarna föreslås träda i kraft den 1 augusti 2014.
9.3.3Vilket skydd finns för uppgifter som överlämnas från en myndighet till forskningsverksamhet hos en myndighet?
Som tidigare nämnts är det en grundläggande princip att sekretess inte överförs automatiskt mellan myndigheter.27 Det finns dock vissa undantag från denna huvudregel i form av bestämmelser som medför att sekretessen ”följer med” en uppgift från en överläm- nande myndighet till en mottagande myndighet. I 11 kap. 3 § OSL finns en bestämmelse om sådan sekundär sekretess i myndighets forskningsverksamhet. Bestämmelsen är av central betydelse för
26Prop. 2013/14:162 s.14.
27Prop. 2008/09:150 s. 315.
402
SOU 2014:45 |
Bedömningar och förslag |
skyddet för uppgifter som rör den enskilde i forskningsverksamhet. Den föreskriver att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift blir sekretessbestämmelsen tillämp- lig på uppgiften även hos den mottagande myndigheten. Bestäm- melsen innebär att i de fall en uppgift för vilken överförd sekretess gäller begärs ut hos den mottagande myndigheten ska myndigheten tillämpa den sekretessbestämmelse som gällde för uppgiften hos den överlämnande myndigheten. Om exempelvis uppgifter från en myn- dighets statistikverksamhet överlämnas för att användas i en annan myndighets forskningsverksamhet följer den stränga statistiksekre- tessen med till den mottagande myndigheten, och den mottagande myndigheten ska vid en begäran om utlämnande av uppgifterna tillämpa bestämmelserna om statistiksekretess. På samma sätt över- förs hälso- och sjukvårdssekretessen till forskningsverksamhet hos en myndighet om uppgifterna hämtas från hälso- och sjukvården.
Man kan tycka att de primära bestämmelserna till skydd för en- skild inom forskning kombinerade med den särskilda bestämmelsen om överföring av sekretess till en myndighets forskningsverksam- het skulle utgöra ett fullgott skydd för uppgifter som rör enskilda inom forskningen. I sammanhanget bör dock uppmärksammas att i de fall en uppgift överförs från en myndighet till en annan och det finns en primär sekretessbestämmelse som är tillämplig på upp- giften hos den mottagande myndigheten gäller den bestämmelsen före den sekundära sekretessbestämmelsen (11 kap. 8 § OSL). Detta gäller oavsett den primära sekretessens styrka. Det innebär att om en uppgift för vilken gäller sekretess med ett omvänt skaderekvisit enligt bestämmelserna om hälso- och sjukvårdssekretess överlämnas till en forskningsverksamhet för vilken gäller en primär sekretess med ett rakt skaderekvisit ska den primära, svagare sekretessen tillämpas på uppgifterna. Detta leder till oönskade effekter i form av att uppgifter som lämnas ut till forskning kan få ett svagare skydd hos den mottagande myndigheten.
I de fall uppgifter hämtas från en myndighet som inte är en stati- stikansvarig myndighet kan uppgifterna skyddas av annan sekretess än statistiksekretess. Om uppgifterna överlämnas till en myndighet som ska använda dem för forskningsändamål blir sekretessbestäm- melsen tillämplig för uppgifterna även hos mottagaren, om det inte finns en primär sekretessbestämmelse hos mottagaren. I de fall uppgifterna härrör från en myndighet som inte är statistikansvarig, eller från en verksamhet hos en statistikansvarig myndighet som inte avser framställning av statistik, kan det vara svårt för den mot-
403
Bedömningar och förslag |
SOU 2014:45 |
tagande forskningsmyndigheten att bedöma vilken sekretessbestäm- melse som är tillämplig.
Sammanfattningsvis bedömer jag att regleringen med överföring av sekretess samt den primära sekretessen företräde framför den sekundära kan medföra svårigheter för forskarna att avgöra vilken eller vilka sekretessbestämmelser som är tillämpliga. Det kan också innebära problem för en utlämnande myndighet att bedöma vilken sekretess som kommer gälla för uppgifterna om de lämnas ut, vilket kan ha betydelse för utlämnandeprövningen.
9.3.4Vilket skydd finns för uppgifter som inhämtas direkt från forskningspersonen eller annan enskild?
Som angetts ovan medför bestämmelsen i 11 kap. 3 § OSL att en myndighet som i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet ska tillämpa samma sekretessbe- stämmelse på uppgiften som den utlämnande myndigheten. Det innebär att en forskare som är verksam vid en statlig högskola eller ett statligt universitet och som har inhämtat uppgifter från exem- pelvis SCB:s eller Socialstyrelsens statistikproduktion ska tillämpa de sekretessbestämmelser som gäller för uppgifterna där, det vill säga bestämmelserna om statistiksekretess enligt 24 kap. 8 §. För uppgifter som en forskare inhämtat från forskningspersonen själv eller någon annan enskild finns emellertid inte någon medföljande sekretess att tillämpa. Då beror sekretesskyddet på om det finns någon primär sekretessbestämmelse som är tillämplig.
Som anges ovan finns i 24 kap. OSL vissa primära sekretess- bestämmelser till skydd för uppgift som rör enskild inom forskning och statistik, till exempel sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål (24 kap. 1 § OSL) och sekretess för verksamhet som avser förande av eller uttag ur register som förs enligt lagen (1999:353) om rätts- psykiatriskt forskningsregister (24 kap. 2 § OSL). I 24 kap. 4 § finns en bestämmelse som rör sekretess för uppgift i en upptagning som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål. Vidare har regeringen genom 7 § OSF förordnat att statistiksekretessen enligt 24 kap. 8 § OSL ska gälla för uppgift om enskilds personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrätt- ningar i miljömedicinska, socialmedicinska, psykiatriska eller andra
404
SOU 2014:45 |
Bedömningar och förslag |
medicinska studier och hos utbildningsanstalter och forsknings- inrättningar för undersökningar i sociologiska, psykologiska, pedago- giska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier.
Förutom de nu nämnda bestämmelserna finns i 21 kap. 1 § ett minimiskydd för uppgift som rör en enskilds hälsa eller sexualliv. Sekretess kan också enligt 21 kap. 7 § gälla för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften be- handlas i strid med PUL.
Sammanfattningsvis kan sägas att det finns ett ganska heltäck- ande skydd, men bilden är splittrad eftersom det är utspritt i många olika bestämmelser.
9.3.5Är skyddet för den enskilde inom forskningsverksamhet tillräckligt?
Det finns ingen sekretessbestämmelse som generellt reglerar sekre- tessen till skydd för enskilds personliga och ekonomiska förhållan- den inom forskningsverksamhet. Som beskrivits ovan finns det vissa primära sekretessbestämmelser som avser uppgift om enskild i forskning. Den starka sekretess som regleras i 24 kap. 8 § gäller i första hand uppgift som avser enskilds personliga och ekonomiska förhållanden i en myndighets statistikproduktion. Regeringen har också föreskrivit att statistiksekretessen ska gälla för vissa särskilt angivna undersökningar hos vissa myndigheter. Som anförts ovan är bestämmelsen emellertid oklar och det råder osäkerhet om vilka undersökningar som omfattas av bestämmelsen. Klargörande för- arbeten eller praxis på området saknas.
Som ovan anförs finns i 21 kap. OSL vissa bestämmelser om sekretess till skydd för uppgift om enskilds personliga eller ekono- miska förhållanden oavsett i vilket sammanhang uppgiften före- kommer. Bestämmelsen i 21 kap. 1 § som föreskriver sekretess för uppgift som rör en enskilds hälsa eller sexualliv avgränsas med ett rakt kvalificerat skaderekvisit som innebär att sekretess gäller endast om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgiften röjs. I för- arbetena motiverades formuleringen med att en sekretessbestämmel- se som ska bli subsidiärt tillämplig inom hela den offentliga sektorn måste innehålla ett skaderekvisit med en särskilt stark offentlig-
405
Bedömningar och förslag |
SOU 2014:45 |
hetspresumtion.28 Bestämmelsens syfte är att garantera en minimi- nivå för skyddet för den personliga integriteten som bör gälla hos alla myndigheter. Det anförs i förarbetena att i den mån uppgifter om enskildas personliga eller ekonomiska förhållanden frekvent före- kommer hos en viss myndighet eller i en viss verksamhet bör det primära sekretesskyddet för dessa uppgifter utformas efter en sed- vanlig avvägning mellan intresset av sekretess och intresset av insyn hos den aktuella myndigheten eller i den aktuella verksamheten.29 Inte heller denna bestämmelse ger således ett heltäckande och starkt skydd för uppgifter om enskilda inom forskningsverksamhet.
I 21 kap. OSL finns också bestämmelsen om sekretess för person- uppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Det föreligger således en presumtion för att uppgift på begäran ska lämnas ut. Det är också tydligt att det i praktiken är omöjligt för den utlämnande myndigheten att bedöma alla de delar av den andra myndighetens personuppgiftsbehandling som krävs för att avgöra om den kommer att ske i enlighet med PUL. Även här råder det således osäkerhet om hur bestämmelsen ska tillämpas i praktiken (se avsnitt 5.6.3.5 ).
Sammanfattningsvis kan sägas att det finns många områden inom forskningsverksamheten som inte är reglerad genom någon primär sekretessbestämmelse. En del av de specialbestämmelser som finns har oklara tillämpningsområden och några av dem har raka skade- rekvisit vilket innebär att skyddet inte är så starkt. Vidare är sekre- tesskyddet för uppgifter inom forskningsverksamhet splittrat och svårt att överblicka, vilket i sig gör det svårt att tillämpa.
9.3.6Intresseavvägning
Det nu existerande sekretesskyddet för uppgift som rör enskilds personliga eller ekonomiska förhållanden i forskningsverksamhet är således svåröverskådligt och inte heltäckande. Det kan uppkomma situationer där känsliga uppgifter om enskilda i offentligt bedriven forskningsverksamhet inte skyddas av någon sekretessbestämmelse över huvud taget. Det innebär att uppgifterna är offentliga och ska lämnas ut om någon begär det.
Bristen på ett heltäckande sekretesskydd kan innebära praktiska problem i forskningsverksamheten. Att det finns ett sekretesskydd
28Prop. 2005/06:161 s. 34.
29Prop. 2005/06:161 s. 33 f.
406
SOU 2014:45 |
Bedömningar och förslag |
hos den mottagande myndigheten är en omständighet som beaktas av den utlämnande myndigheten vid sekretessprövningen. SCB och Socialstyrelsen lämnar till exempel endast ut uppgifter om det står klart att uppgifterna kommer att skyddas av statistiksekretess en- ligt 24 kap. 8 § hos den mottagande myndigheten. Det har under utredningstiden också framkommit att det är många forskare som upplever att sekretessbestämmelserna är svåra att förstå och tillämpa. Denna osäkerhet kan leda till att uppgifter som egentligen efter sekretessprövning ska lämnas ut till andra myndigheter eller enskil- da inte lämnas ut och tvärtom. Nuvarande reglering torde också göra det svårt för den enskilde att bedöma vilket skydd uppgifterna har hos myndigheten.
Från forskarsynpunkt är det enklaste att införa en sekretess- bestämmelse som är tillämplig vid all forskningsverksamhet och som ger ett starkt sekretesskydd för de uppgifter om enskilda som förekommer i verksamheten. En sådan generell sekretessbestäm- melse skulle få ett mycket brett tillämpningsområde. Forskning kan vara av mycket olika slag och långt ifrån alla uppgifter i forskningen kräver det starka sekretesskydd som till exempel förskrivs i bestäm- melsen om statistiksekretess i 24 kap. 8 § OSL eller en sekretess- bestämmelse med ett omvänt skaderekvisit som gäller för exempelvis hälso- och sjukvård (25 kap. 1 § OSL) och socialtjänst och därmed jämställd verksamhet (26 kap. 1 § OSL). Denna omständighet kan tala mot införandet av en sådan generell sekretessbestämmelse.
Med hänsyn till att en sekretessbestämmelse är en begränsning av en grundlagsstadgad rätt att ta del av allmänna handlingar bör in- förandet av nya sekretessbestämmelser ske restriktivt och endast om det finns ett behov av det. I den allmänna motiveringen i för- arbetena till sekretesslagen (1980:100) anförs att behovet av och styrkan i en sekretess inte enbart kan bestämmas av sekretess- intresset.30 Detta måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Offentlighetsintresset kan kräva att sådana uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet. Ett eventuellt införande av en ny sekretessbestämmelse måste därför föregås av en avvägning mellan sekretessintresset och insynsintresset.
När det gäller sekretessintresset i forskningsverksamhet kan jämförelser göras med uppgifter som samlas in för statistikändamål. Liksom inom statistiken kan de uppgifter om enskilda som används
30 Prop. 1979/80:2 Del A s. 75 f.
407
Bedömningar och förslag |
SOU 2014:45 |
för forskningsändamål vara av känsligt slag. Det kan också vara så att uppgifterna var för sig inte är så känsliga, men att de tillsammans innebär att känslig information om en person framträder. Liksom vid statistikverksamhet är ett tydligt sekretesskydd för uppgifter av olika slag avgörande för att allmänhetens förtroende för forsk- ningen ska kunna upprätthållas. En generell sekretessbestämmelse som gäller för uppgift om den enskildes personliga och ekonomiska förhållanden i forskningsverksamhet torde också öka möjligheten för den enskilde att avgöra vilken sekretess uppgifterna kommer att omfattas av och i förlängningen också öka viljan att bidra med uppgifter till olika forskningsprojekt.
Vad gäller insynsintresset kan sägas att uppgifter som används för forskningsändamål inte används vid myndighetsutövning av något slag. Därtill tillkommer att uppgifter som inhämtas direkt från den enskilde, till exempel genom enkäter, samlas in med stöd av den en- skildes samtycke. Allmänhetens behov av insyn i verksamheten torde därför i allmänhet vara mycket begränsat.
Sammanfattningsvis menar jag att sekretessbehovet överväger be- hovet av insyn i forskningsverksamhet. En sekretessbestämmelse till skydd för uppgift avseende enskilds personliga och ekonomiska förhållanden i forskningsverksamhet bör således införas.
9.3.7Sekretessens styrka
I förarbetena till sekretesslagen anges att utgångspunkten vid ut- formningen av en ny sekretessbestämmelse är att det inte ska gälla mer sekretess än som är oundgängligen nödvändigt för att skydda det intresse som har föranlett bestämmelsen.31 Sekretessbestämmelser som gäller till skydd för det allmännas verksamhet som avser myn- dighetsutövning är normalt försedda med raka skaderekvisit. Avser sekretesskyddet i stället uppgifter som enskilda inte är skyldiga att lämna in till en myndighet utan som den enskilde lämnar till myndig- heten i förtroende gäller vanligtvis ett omvänt skaderekvisit. I vissa fall är sekretessen absolut, vilket innebär att det inte finns något skaderekvisit och att uppgiften i regel inte ska lämnas ut om det inte finns någon sekretessbrytande bestämmelse.
Den sekretessreglering som diskuteras här har till syfte att skydda uppgifter om den enskilde i forskningsverksamhet, bland annat upp- gifter som den enskilde i förtroende lämnat till den myndighet som
31 Prop. 1979/80:2 Del A s. 78.
408
SOU 2014:45 |
Bedömningar och förslag |
bedriver forskning. Uppgifterna kommer inte att användas som underlag vid myndighetsutövning. Dessa omständigheter talar för att en eventuell sekretessbestämmelse bör förses med ett omvänt skaderekvisit. Sådant skaderekvisit gäller till exempel för uppgifter inom hälso- och sjukvården (25 kap. 1 § OSL), i kvalitetsregister och för uppgifter om enskildas hälsotillstånd och andra personliga förhållanden i
För uppgift om enskild i statistikverksamhet och i sådana under- sökningar som regeringen särskilt föreskrivit enligt 7 § OSF gäller absolut sekretess. Det starka sekretesskyddet motiveras i förarbetena till bestämmelsen med att offentlighetsintresset i detta fall ter sig förhållandevis svagt medan integritetsintresset däremot är påtagligt.32 Det anförs att de uppgifter om enskilda personer som finns i de register som förs av till exempel SCB var för sig kan te sig harmlösa men att en sammanställning av sådana uppgifter däremot kan vara integritetskänslig. Behovet av ett starkt sekretesskydd beträffande statistiken beror också på att statistikkvaliteten kan bli dålig om den enskilde uppgiftslämnaren inte är säker på att hans eller hennes uppgifter inte kommer ut. Enligt propositionen talar även praktiska skäl för en långtgående statistiksekretess. Exempelvis SCB samlar in uppgifter dels direkt från enskilda, dels från myndigheter hos vilka uppgifterna kan vara antingen offentliga eller sekretessbelagda. Att i register där uppgifterna blandas skilja mellan olika källor och sekretessregler är knappast genomförbart.
Det kan konstateras att de argument som i förarbetena till sekre- tesslagen framförs för absolut sekretess för uppgifter i statistikverk- samhet gör sig gällande även när det gäller uppgifter som inhämtats för forskningsverksamhet. Behovet av insyn från allmänhetens sida är förhållandevis litet. Däremot kan de uppgifter som används i ett forskningsprojekt vara av känslig karaktär och uppgifter som var för sig inte framstår som så känsliga kan i kombination med andra uppgifter bli det. Det är också viktigt att den enskilde kan känna förtroende för att uppgifter som används i forskningsverksamhet inte hamnar i orätta händer. Liksom i statistikverksamhet kan en forskare inhämta sina uppgifter från flera olika källor, både från olika myndighetsregister och direkt från enskilda. Det medför svårigheter att i de fall uppgifterna är blandade avgöra vilken sekretess som gäller för en specifik uppgift. Även här talar således praktiska skäl för en absolut sekretess.
32 Prop. 1979/80:2 Del A s. 262.
409
Bedömningar och förslag |
SOU 2014:45 |
De uppgifter som i dag hämtas från de statistikansvariga myn- digheternas register, till exempel de register som förs av SCB eller hälsodataregistren som förs av Socialstyrelsen, omfattas av absolut sekretess enligt 24 kap. 8 §. Genom bestämmelsen i 11 kap. 3 § OSL överförs sekretessen till den forskningsverksamhet i allmän regi som uppgifterna överlämnas till. Jag menar att det är lämpligt att uppgifter som samlats in direkt från forskningspersonen, annan enskild eller myndighet som inte är statistikansvarig myndighet får samma skydd hos den mottagande myndigheten som när uppgiften inhämtats från en särskild verksamhet för framställning av statistik.
Sammanfattningsvis menar jag att uppgifter om den enskildes personliga och ekonomiska förhållanden bör omfattas av absolut sekretess i forskningsverksamhet.
9.3.8Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid hand- lingssekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till sjuttio år. Målet med en sekretesstid på sjuttio år är att skydda uppgift om en- skilds personliga förhållanden under den enskildes eller honom eller henne närstående personers hela livstid.33 Sekretess till skydd för enskildas ekonomiska förhållanden brukar gälla i högst tjugo år. Det är därför lämpligt att bestämma sekretesstiden för uppgift om enskildas personliga förhållanden i forskningsverksamhet till högst sjuttio år, och i övrigt till högst tjugo år.
9.3.9Placering av bestämmelsen och följdändringar
Den nya sekretessbestämmelsen bör lämpligen placeras i kapitel 24 OSL som innehåller bestämmelser till skydd för enskild inom forsk- ning och statistik. Eftersom bestämmelsen ska gälla generellt inom forskningsverksamhet, på samma sätt som statistiksekretessen är generellt tillämplig i verksamhet hos myndighet som avser framställ- ning av statistik, är det lämpligt att bestämmelsen placeras i början av kapitel 24. Eftersom bestämmelsen ska gälla generellt för all forskningsverksamhet behövs inte längre den bestämmelse som rör
33 Prop. 1979/80:2 Del A s. 460 och 493 f.
410
SOU 2014:45 |
Bedömningar och förslag |
sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål (24 kap. 1 § OSL) eller bestäm- melsen om sekretess för uppgift i en upptagning som har dialekto- logiskt eller etnologiskt innehåll och som gjorts eller anskaffats för vetenskapligt ändamål (24 kap. 4§). Uppgifter i dessa undersökning- ar kommer att falla under tillämpningsområdet för den nya sekretess- bestämmelsen. Inte heller behövs särskild reglering i 7 § OSF för vissa undersökningar.
Förslaget innebär att det kommer att finnas en primär sekretess- bestämmelse för uppgift om enskilds personliga och ekonomiska för- hållanden i forskningsverksamhet. Det innebär att den nuvarande regeln om överföring av sekretess när en myndighet lämnar över en sekretessreglerad uppgift till en annan myndighets forskningsverk- samhet i 11 kap. 3 § OSL inte längre behövs. Även denna bestäm- melse bör således utgå.
9.3.10Sekretessbrytande bestämmelser
I 10 kap. 27 § OSL finns en generalklausul enligt vilken uppgift får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Denna sekretessbrytande bestämmelse medger således att en sekretessbelagd uppgift lämnas till en annan myndighet om intresset av att uppgiften lämnas ut bedöms väga tyngre än det in- tresse som sekretessen ska skydda. Bestämmelsen är emellertid inte tillämplig på alla områden. Vissa uppgifter, till exempel uppgifter som skyddas av statistiksekretess enligt 24 kap. 8 § OSL, hälso- och sjukvårdssekretess enligt 25 kap.
Det finns dock situationer då det är möjligt att bryta sådan sek- retess som har undantagits från generalklausulen. Det gäller bland annat vid vissa misstankar om brott. Till exempel hindrar inte hälso- och sjukvårdssekretessen eller socialtjänstsekretessen att uppgift läm- nas till en åklagarmyndighet eller en polismyndighet om uppgiften angår misstanke om vissa brott mot unga som inte fyllt 18 år (10 kap. 21 och 22 §§ OSL). Vidare får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bland annat 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller
411
Bedömningar och förslag |
SOU 2014:45 |
eller annan myndighet som har till uppgift att ingripa mot brottet, men endast om misstanken angår brott för vilket det inte är före- skrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år eller för- sök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168) (10 kap. 23 § OSL).
De uppgifter som används i forskningsverksamhet kan i många fall vara lika känsliga som de som lämnas av enskild inom hälso- och sjukvården eller inom socialtjänsten. Även sådana uppgifter bör därför undantas från generalklausulens tillämpningsområde. Det bör dock finnas möjlighet att göra undantag från sekretessen vid misstanke om sådan allvarlig brottslighet som anges i 10 kap. 23 § OSL. Bestämmelsen i 10 kap. 23 § och generalklausulen i 10 kap. 27 § bör därför ändras i enlighet med detta.
Min utgångspunkt är att absolut sekretess bör gälla för uppgift som rör enskilds personliga och ekonomiska förhållanden som används för forskningsändamål. Det innebär att uppgifterna som huvud- regel inte får lämnas ut. Det finns dock tillfällen där ett utlämnande trots allt kan vara lämpligt. Inom forskningsverksamhet är det grund- läggande att senare forskning ska kunna bygga på tidigare genom- förda undersökningar. Det är också viktigt att det finns en möjlighet för utomstående att granska ett forskningsprojekt. Ett sätt att granska redan genomförd forskning är replikation eller att samma uppgifter används i nya forskningsprojekt. Det bör således finnas möjlighet för en myndighet som bedriver forskningsverksamhet att lämna ut uppgifter till annan myndighet som ska använda uppgifter- na i sin forskning.
Vid misstanke om oredlighet vid forskning kan det bli aktuellt för en högskola eller ett universitet att genomföra en utredning. Sådan verksamhet utgör inte forskning och den förstnämnda sekre- tessbrytande bestämmelsen kan således inte tillämpas i dessa fall. En särskild sekretessbrytande bestämmelse krävs således även för granskning av forskningsverksamhet.
Utlämnande av uppgift som behövs för forskningsändamål eller uppgift som behövs i en utredning av oredlighet i forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning bör endast vara tillåtet om det står klart att uppgiften kan röjas utan att den enskilde eller denna närstående lider men.
412
SOU 2014:45 |
Bedömningar och förslag |
9.3.11Överföring av sekretess
Förslaget innebär att om en uppgift lämnas från en myndighets forskningsverksamhet till en annan myndighets forskningsverksam- het gäller absolut sekretess även hos den mottagande myndigheten. Enligt 24 kap. 3 § OSL gäller vidare sekretess i verksamhet som består av etikprövning och tillsyn enligt etikprövningslagen för upp- gift om enskilds personliga förhållanden med ett omvänt skade- rekvisit och för uppgift om ekonomiska förhållanden med ett rakt skaderekvisit. Om personuppgifter däremot lämnas ut i gransknings- syfte till en annan myndighet är varken den föreslagna bestämmel- sen om forskningssekretess eller bestämmelserna i 24 kap. 3 eller 8 §§ tillämpliga. Det är då inte säkert att det finns någon sekretess- bestämmelse som skyddar uppgifterna hos den mottagande myndig- heten. Det bör därför införas en bestämmelse om överföring av sekretess som gör att den nya sekretessbestämmelsen blir tillämplig även hos den mottagande myndigheten. Denna bestämmelse bör lämpligen införas i stället för bestämmelsen i 11 kap. 3 § OSL som rör överföring av sekretess till forskningsverksamhet.
9.3.12En definition av begreppet forskning
Enligt mitt förslag ska absolut sekretess gälla för uppgift om en- skilds personliga och ekonomiska förhållanden i forskningsverk- samhet. En fråga som bör diskuteras i detta sammanhang är vad som avses med forskningsverksamhet. För att den föreslagna bestäm- melsen ska vara lätt att tillämpa är det viktigt att det tydligt framgår vilka uppgifter som faller under bestämmelsens tillämpningsområde. Det underlättar för en myndighet att i ett enskilt fall avgöra vilken sekretess som gäller för uppgifter hos en mottagande myndighet. Ur rättssäkerhetssynpunkt är det viktigt att myndigheterna tilläm- par bestämmelsen på samma sätt. Möjligheten till det ökar om det finns en entydig definition av begreppet forskning i lagen. En tydlig definition av forskningsbegreppet borde också underlätta för den enskilde att avgöra vilka regler som gäller.
I 24 kap. 8 § OSL görs undantag från den absoluta sekretessen för uppgift som behövs för forskningsändamål. Vad som avses med forskningsändamål i detta sammanhang har inte preciserats i lagtexten. I förarbetena till bestämmelsen sägs rörande detta undantag endast att det kan finnas behov av att genombryta sekretessen i vissa andra
413
Bedömningar och förslag |
SOU 2014:45 |
särskilda fall, till exempel för forskning om yrkessjukdomar.34 Led- ning för fastställande av begreppets innebörd får därför sökas på annat håll. Högsta förvaltningsdomstolen har i RÅ 2004 ref. 9 vid bedömningen av forskningsbegreppet bland annat sökt ledning i definitionen av forskning i etikprövningslagen och dess förarbeten. Enligt 2 § etikprövningslagen avses med forskning vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Vad som anges i förarbetena till bestämmelsen framgår av avsnitt 9.4.16. Jag har i betänkandet Vad är officiell statistik föreslagit att begreppet forskning ska definieras i bestäm- melsen om statistiksekretess genom en hänvisning till definitionen av forskning i etikprövningslagen.35 Jag menar att etikprövnings- lagens definition avgränsar forskningsbegreppet på ett lämpligt sätt. Med hänsyn härtill samt eftersom det är viktigt med en enhetlig tillämpning av forskningsbegreppet i OSL menar jag att en definition av forskningsbegreppet bör införas i den föreslagna sekretessbestäm- melsen genom en hänvisning till definitionen av begreppet i etik- prövningslagen.
9.3.13Rätten att meddela och offentliggöra uppgifter
Enligt 1 kap. 1 § andra stycket TF står det varje svensk medborgare fritt att, med iakttagande av bestämmelserna i TF, i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vilket ämne som helst. Mot- svarande gäller enligt 1 kap. 1 § yttrandefrihetsgrundlagen (YGL) för rätten att uttrycka sig i radio eller TV eller annat medium som omfattas av YGL. Vidare följer det av 1 kap. 1 § tredje stycket TF och 1 kap. 2 § YGL att det står envar fritt att lämna uppgifter i vilket ämne som helst till vissa personkategorier och organ för publicering i de medier som de båda grundlagarna omfattar. Denna så kallade meddelarfrihet ger således en rätt att meddela och offentliggöra upp- gifter genom att lämna uppgifter till någon annan för publicering eller på något annat sätt medverka till någon annans publicering, och rätt att själv offentliggöra uppgifter.
34Prop. 1979/80:2 Del A s. 264.
35SOU 2012:83 s. 364.
414
SOU 2014:45 |
Bedömningar och förslag |
Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja en uppgift muntligen, genom utlämnande av allmän handling eller på annat sätt. Bestämmelsen innebär således en tystnadsplikt avseende sekretessbelagda uppgifter. Den rätt att meddela och offentliggöra uppgifter som följer av TF och YGL har som huvudregel företräde framför denna tystnadsplikt. Rätten att meddela och offentliggöra uppgifter har dock aldrig företräde framför handlingssekretessen (7 kap. 3 § första stycket 2 och 5 § 1 TF samt 5 kap. 1 § första stycket och 3 § första stycket 2 YGL). Det innebär att det kan vara tillåtet att muntligen lämna en sekretessbelagd uppgift till en jour- nalist eller att själv publicera uppgiften, men att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna en allmän handling som innehåller en sekretessbelagd uppgift till en journalist eller att själv publicera en sådan handling.
Det finns dock fall där även bestämmelser om tystnadsplikt gäller före rätten att meddela och offentliggöra uppgifter. Vissa av dessa fall är reglerade direkt i TF och YGL. Där anges vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra upp- gifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag (7 kap. 3 § första stycket 3 och 5 § 2 TF och 5 kap. 1 § första stycket och 3 § första stycket 3 YGL). Den särskilda lag som avses i bestämmelserna är OSL. I 13 kap. OSL finns allmänna bestämmelser om rätten att meddela och offentliggöra uppgifter. Vidare har det i lagens
Vid införandet av en ny sekretessbestämmelse måste ställning tas till om den tystnadsplikt som följer av den föreslagna sekretessbe- stämmelsen bör ha företräde framför rätten att meddela och offent- liggöra uppgifter. Enligt förarbetena till sekretesslagen bör som grund- princip stor återhållsamhet iakttas vid prövningen av om undantag från rätten att meddela och offentliggöra uppgifter bör göras i ett särskilt fall.36 En avvägning mellan intresset av sekretess och intresset av offentlig insyn ska göras. Det ansågs inte möjligt att dra upp fasta
36 Prop. 1979/80:2 Del A s. 111.
415
Bedömningar och förslag |
SOU 2014:45 |
riktlinjer för när begränsning bör få ske, men den enskilda sekretess- bestämmelsens konstruktion ansågs kunna ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall. Detsamma gäller i viss mån sekretessbestämmelser med ett omvänt skaderekvisit. Det bör också beaktas om uppgiften har lämnats av en enskild i en förtroendesitu- ation eller om uppgiften hänför sig till ett ärende om myndighets- utövning. I det förra fallet bör rätten att meddela och offentliggöra uppgifter normalt sett vara utesluten. När det gäller uppgifter som hänför sig till myndighetsutövning bör rätten att meddela och offent- liggöra uppgifter i regel ha företräde.
Den nu föreslagna sekretessbestämmelsen avser uppgifter som används för forskningsändamål, bland annat uppgifter som lämnats direkt av den enskilde i förtroende. De ska inte användas i ärenden som innefattar myndighetsutövning. För sådana uppgifter ska enligt förslaget gälla absolut sekretess. Syftet med sekretessbestämmelsen är att stärka skyddet för de uppgifter som används i forsknings- verksamhet och att i förlängningen öka förtroendet för forskningen. En önskad effekt är också att enskilda ska våga lämna ut uppgifter om sig själva för forskningsändamål. Behovet av insyn för att kunna granska hur myndighetens fullgör sina uppgifter framstår i samman- hanget inte som särskilt starkt. Många av de uppgifter som används i forskningen är av samma känsliga karaktär som de uppgifter som skyddas av statistiksekretess enligt 24 kap. 8 § OSL och sjukvårds- sekretess enligt 25 kap. 1 § OSL. Mot denna bakgrund menar jag att den tystnadsplikt som följer av den föreslagna sekretessbestäm- melsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter.
9.4En ny lag om forskningsdatabaser
Förslag: En ny lag om forskningsdatabaser införs. Lagen ska ge stöd för statliga universitet eller högskolor som omfattas av hög- skolelagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av person- uppgifter i forskningsdatabaser. Lagen ska gälla om behandling- en är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personupp-
416
SOU 2014:45 |
Bedömningar och förslag |
gifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Om personuppgifter samlas in direkt från den enskilde får personuppgifterna behandlas endast om den enskilde har fått den information som anges i lagen och lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat sam- tycke tillämpas bestämmelserna i PUL.
En forskningsdatabas ska enligt lagen definieras som en data- bas (uppgiftssamling) med uppgifter som samlas in från enskilda eller från myndighetsregister och som är en nationell infrastruk- tur för att tillhandahålla uppgifter till flera olika framtida forsk- ningsprojekt. Med forskning ska avses detsamma som enligt lag (2003:460) om etikprövning av forskning som avser människor.
PUL ska gälla vid behandling av personuppgifter, om inte annat följer av lagen.
Den myndighet som utför behandlingen av personuppgifter är personuppgiftsansvarig.
Behandling ska vara tillåten för
-att skapa underlag för olika forskningsprojekt,
-att lämna ut uppgifter till forskningsprojekt, under förutsätt- ning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen om etikprövning av forskning som avser människor,
-lämna ut uppgifter till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i sam- band med en sådan utredning,
-lämna ut uppgifter till den registrerade själv, med undantag för sådana uppgifter som inte direkt kan hänföras till en person, samt
-lämna ut uppgifter om det finns en skyldighet i lag att göra det.
I övrigt ska 9 § första stycket d och andra stycket PUL vara tillämpliga.
Uppgifter som hämtats från andra myndighetsregister för de ändamål som anges i lagen får behandlas under förutsättning att uppgifterna inte direkt kan hänföras till en person, om inte rege- ringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att behandling av identifierbara uppgifter får ske.
417
Bedömningar och förslag |
SOU 2014:45 |
Kodnyckelförfarande ska tillämpas i de fall personuppgifter som lämnas ut från forskningsdatabasen inte direkt kan hänföras till en enskild. Kodnyckeln ska bevaras hos den för forsknings- databasen personuppgiftsansvarige i tjugo år från dagen för ut- lämnandet av uppgifterna. Tiden för bevarandet av kodnyckeln kan därefter förlängas på initiativ av den personuppgiftsansvariga myndigheten eller på begäran av forskningshuvudman som i sin forskning använder de uppgifter kodnyckeln är kopplade till.
En forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas en- ligt lagen. Som sökbegrepp i en forskningsdatabas får användas uppgifter som enligt lagen får ingå i en forskningsdatabas.
Utlämnande genom direktåtkomst till personuppgifter i data- basen ska inte få förekomma.
Personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av denna lag ska inte få behandlas i syfte att röja en persons identitet. Den som bryter mot detta ska kunna dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbal- ken eller PUL. I ringa fall ska inte dömas inte till ansvar.
Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen. Forskningsdatabasen ska administreras i en särskild avgränsad enhet.
Personuppgifter som inte längre behövs för de ändamål som anges i lagen ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Bestämmelserna i 26 § PUL om information efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hän- föras till en person. Bestämmelserna i PUL om rättelse och ska- destånd ska tillämpas på motsvarande sätt vid behandling av per- sonuppgifter i strid med den föreslagna lagen.
Sekretess ska gälla för uppgift som avser en enskilds personliga eller ekonomiska förhållanden i verksamhet som avser förande av eller uttag ur databaser enligt den föreslagna lagen. Uppgift ska dock få lämnas ut i den utsträckning som framgår av lagen.
418
SOU 2014:45 |
Bedömningar och förslag |
Bedömning: Vetenskapsrådet bör bereda frågan om vilka forsk- ningsdatabaser som kan behövas och lämnar förslag till regeringen. Regeringen bör meddela föreskrifter om vilka universitet, hög- skolor och andra myndigheter som får behandla personuppgifter enligt lagen och vilka databaser som dessa får föra. Regeringen bör vidare meddela föreskrifter om vilken behandling som ska omfattas, begränsning av ändamål, innehåll, i vilka fall uppgifts- skyldighet ska föreligga, villkor för utlämnande av uppgifter ur forskningsdatabasen och krav på information.
9.4.1Behov av en reglering
I utredningsdirektiven anges att det för närvarande är problema- tiskt för forskare att skapa register med känsliga personuppgifter som underlag för framtida forskning. Register som inte avser ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning kan normalt inte godkännas av en etikpröv- ningsnämnd. Jag har därför fått i uppdrag att föreslå lösningar för att kunna skapa register, här kallade forskningsdatabaser, som syftar till att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt.
Det är som huvudregel förbjudet att behandla känsliga person- uppgifter enligt 13 § PUL. Från detta förbud finns emellertid vissa undantag. En forskningshuvudman kan få stöd för behandling av känsliga personuppgifter genom ett godkännande av en etikpröv- ningsnämnd (19 § första stycket PUL och 3 § etikprövningslagen). Etikprövningsnämnden ska i sin prövning ta ställning till om samtycke ska inhämtas eller om de känsliga personuppgifterna får behandlas utan den enskildes samtycke.
Jag har i avsnitt 8.4.6 konstaterat att forskningsdatabaser måste kunna byggas av såväl personuppgifter som samlas in av forskare direkt från enskilda som av personuppgifter från myndighetsregister, och en kombination därav. När personuppgifter samlas in direkt från enskilda är det en förutsättning att samtycke finns. I de fall person- uppgifter samlas in från andra myndighetsregister är det emellertid inte alltid praktiskt möjligt, eller lämpligt, att inhämta forsknings- personens samtycke. Det finns således ett behov av att kunna be- handla känsliga personuppgifter i forskningsdatabaser även utan den enskildes samtycke.
419
Bedömningar och förslag |
SOU 2014:45 |
Syftet med sådana databaser som här föreslås är att uppgifter ur databasen ska kunna användas för framtida ännu inte definierade forskningsprojekt. Enligt 6 § etikprövningslagen ska etikprövnings- nämndens godkännande avse ett visst projekt eller en del av ett pro- jekt eller en på något liknande sätt bestämd forskning. Centrala etikprövningsnämnden har därför ansett sig förhindrad att pröva projekt som inte i sig innebär specifika forskningsprojekt utan som syftar till att bygga upp en infrastruktur för framtida forskning som inte för närvarande är preciserad.37 Ett sätt att lösa den problema- tiken skulle kunna vara att utöka etikprövningslagens område till att omfatta även prövning av infrastrukturer för framtida forskning. Jag diskuterar denna lösning i avsnitt 8.4.6. Av skäl som jag där har utvecklat finner jag den lösningen mindre lämplig.
Som framgått av tidigare avsnitt finns det behov av att kunna skapa en databas med uppgifter från andra myndigheter. Register- hållande myndigheter anser sig emellertid med hänvisning till OSL och PUL förhindrade att lämna ut uppgifter till databaser där syftet är att uppgifterna ska användas till olika ännu inte specificerade forsk- ningsprojekt. Det finns således ett behov av ett tydligt stöd för ut- lämnande av uppgifter till en forskningsdatabas för framtida forsk- ning.
Eftersom insamlandet och bevarandet av känsliga personuppgifter i databaser för framtida forskning inte alltid kan få stöd genom ett godkännande av en etikprövningsnämnd och eftersom registerhål- lande myndigheter anser sig förhindrade att lämna ut uppgifter till en forskningsdatabas för framtida forskning krävs en särskild regle- ring av behandlingen av personuppgifter i forskningsdatabaser.
Enligt dataskyddsdirektivet är det möjligt för medlemsstaterna att besluta om andra undantag från förbudet att behandla känsliga personuppgifter än genom samtycke om det sker med hänsyn till ett viktigt allmänt intresse (artikel 8.4). Sådana undantag ska anmälas till Europeiska kommissionen (artikel 8.6). I p. 34 i direktivets in- ledning anges bland annat forskning som ett viktigt allmänt intresse. En förutsättning är emellertid att lämpliga skyddsåtgärder vidtas. Ett grundläggande krav på en reglering som medger behandling av personuppgifter, däribland känsliga personuppgifter, i en forsknings- databas är att uppgifterna omgärdas med ett skydd som från inte- gritetssynpunkt är tillfredsställande. Som framgått tidigare finns både nationell och internationell reglering på området som måste beaktas.
37 Centrala etikprövningsnämndens beslut
420
SOU 2014:45 |
Bedömningar och förslag |
Det är viktigt att ta ställning till vem som ska kunna få uppgiften att hålla en forskningsdatabas för framtida forskning. Den ska bara kunna bli aktuell om ändamålet är att använda uppgifterna i bety- delsefull forskning. Uppgifterna bör omgärdas av stark sekretess. Från integritetssynpunkt är det också viktigt att ta ställning till på vilka villkor och i vilken form uppgifter ska få lämnas ut.
9.4.2Regleringens utformning
Bestämmelsen i 2 kap. 6 § andra stycket RF innebär att behandling av information om enskildas personliga förhållanden som sker utan den enskildes samtycke, som innebär övervakning eller kartlägg- ning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag. Bestämmelsen trädde i kraft den 1 januari 2011.
Skyddet för den personliga integriteten i RF kompletteras av arti- kel 8 i Europakonventionen. Enligt bestämmelsen har var och en rätt till respekt för sitt privat- och familjeliv, hem och korrespon- dens. Denna rätt får inskränkas endast med stöd av lag och i den utsträckning det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets eko- nomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättig- heter. Offentliga myndigheters behandling av personuppgifter kan, beroende på omständigheterna, utgöra ingrepp i respekten för privat- liv enligt artikel 8 andra stycket Europakonventionen.
Så länge en forskningsdatabas endast består av uppgifter som sam- lats in direkt från enskilda, och därmed också med forskningsper- sonens samtycke, faller den utanför grundlagsbestämmelsens tillämp- ningsområde. Jag menar dock att det ska vara möjligt att bygga upp forskningsdatabaser också med uppgifter som hämtats från andra myndighetsregister. I många sådana fall är det praktiskt omöjligt att begära in samtycke från samtliga forskningspersoner. Frågan är om sådana forskningsdatabaser ska anses falla under tillämpnings- området för bestämmelsen i 2 kap. 6 § andra stycket RF och artikel 8 i Europakonventionen. I så fall skulle som huvudregel krävas en reglering i lag. Det skulle i praktiken innebära att det skulle krävas en ny lag för varje enskild forskningsdatabas. Som jag har utvecklat närmare i kapitel 6 anser jag dock att forskningsdatabaser inte rimligen kan anses utgöra ett så betydande intrång i den personliga
421
Bedömningar och förslag |
SOU 2014:45 |
integriteten att det kräver en särskild lag för varje forskningsdatabas. Personuppgifterna i forskningsdatabasen ska inte användas vid myndighetsutövning och syftet med behandlingen av personupp- gifterna är inte att kunna vidta åtgärder mot enskilda individer. Forskarna är vanligtvis ointresserade av de enskilda personerna då syftet är att studera mönster i en viss population. De uppgifter som samlats in ska få lämnas vidare endast för ändamålen att användas i forskningsprojekt eller granskning av forskning. En jämförelse kan här göras med lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). Den behandling av personuppgifter som IFAU har behov av att ut- föra för att fullgöra sitt uppdrag kan, enligt lagens förarbeten, i sig inte anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen reg- leras i lag.38 Detta motiveras med att behandlingen till stor del avser anonymiserade personuppgifter för forskningsändamål.
Eftersom det inte finns något krav på lag skulle föreskrifter om forskningsdatabaser kunna regleras av regeringen genom förordning. Innan bestämmelsen i 2 kap. 6 § andra stycket RF infördes har frågan om hur myndigheters personuppgiftsbehandling ska regleras berörts i flera lagstiftningsärenden. I propositionen om offentlighet, integritet och ADB uttalade regeringen att en målsättning borde vara att i de fall register med ett stort antal registrerade och ett känsligt innehåll inrättas ska bestämmelser meddelas i form av lag.39 Denna målsättning har bekräftats i senare lagstiftningsarbete.40
En forskningsdatabas för framtida forskning kommer att kunna innehålla uppgifter om ett stort antal personer och ett stort antal personuppgifter, även känsliga sådana. Min slutsats är därför att en reglering som möjliggör personuppgiftsbehandling i forsknings- databaser bör ske i lagform.
38Prop. 2011/12:176 s. 19 f.
39Prop. 1990/91:60 s. 58.
40Bet. 1990/91:KU 11 s. 11, bet. 1997/98: KU18 s.43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. Se även t.ex. prop. 1997/98:108 s. 39, prop. 2009/10:80 s. 183 och prop. 2011/12:176 s. 20.
422
SOU 2014:45 |
Bedömningar och förslag |
9.4.3Hur bör en lagreglering avseende forskningsdatabaser utformas?
En lagreglering som har till syfte att möjliggöra behandling av per- sonuppgifter som ska användas i framtida forskningsprojekt kan utformas på olika sätt. Ett sätt som nämnts är att stifta en särskild registerlag för varje forskningsområde. Ett sådant exempel är lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, ett annat lagen (2012:741) om behandling av personuppgifter vid IFAU. Metoden att stifta en särskild lag för varje register har dock betydande nackdelar. Sådana författningar reglerar ofta i detalj vilken information som får behandlas, vilka som får ha tillgång till uppgifterna och hur de får användas, vilket kan få till följd att systemändringar, till exempel på grund av ändringar i verksamheten eller den tekniska utvecklingen, måste föregås av motsvarande ändringar i registerlagen.
Ett system med lagreglering av varje enskild forskningsdatabas kan således lätt bli stelbent och innebära svårigheter att anpassa bestämmelserna efter det verkliga behovet hos dem som ska an- vända uppgifterna för forskning. Detta gäller till exempel lagen om rättspsykiatriskt forskningsregister, vars syfte är att tillgodose behovet av personuppgifter för forsknings- och utvecklingsändamål inom rättspsykiatrin. Enligt uppgift från Rättsmedicinalverket sker inte längre någon registrering av uppgifter, bland annat eftersom de uppgifter som enligt lagen får registreras inte är de som behövs för att besvara de frågeställningar som forskarna i dag har.
En lämplig modell för författningsreglering är i stället en gemen- sam övergripande lag som kombineras med föreskrifter från rege- ringen i form av en särskild förordning för varje enskild forsk- ningsdatabas. Den övergripande lagen, lämpligen kallad lagen om forskningsdatabaser, ska dra upp ramen för vad som kan regleras i form av förordning. Lagen ska också reglera de förhållanden som är gemensamma för samtliga sådana databaser och vars syfte är att skyd- da forskningspersonernas personliga integritet, det vill säga regler för ändamål, innehåll, sökbegrepp, direktåtkomst, intern elektro- nisk tillgång, gallring och villkor för utlämnande av uppgifter från forskningsdatabasen. De förhållanden som tas upp i lagen kan regle- ras mer i detalj i en förordning för respektive forskningsdatabas. I förordningarna kan också förhållanden som är specifika för varje databas regleras.
423
Bedömningar och förslag |
SOU 2014:45 |
9.4.4Vad är en forskningsdatabas?
Lagen bör innehålla en definition av vad en forskningsdatabas är. Med forskningsdatabas avses en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndig- hetsregister och som är en nationell infrastruktur för att tillhanda- hålla uppgifter till flera olika framtida forskningsprojekt.
9.4.5Vilka forskningsdatabaser behövs?
Det är lämpligt att VR ges uppgiften att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige och gör en fram- ställning till regeringen härom. Regeringen får sedan pröva om införandet av de föreslagna databaserna faller inom ramen för vad som är tillåtet enligt 2 kap. 6 § RF, artikel 8 andra stycket i Europa- konventionen och PUL, och om så är fallet och regeringen i övrigt finner förslagen lämpliga, besluta om de förordningar som närmare ska reglera verksamheten. Behov av forskningsdatabaser som ska fungera som underlag i framtida forskning kan uppkomma inom alla forskningsområden och spännvidden av de ändamål som be- handlingen kan komma att utövas för är därför stor. Det kommer således finnas ett behov att anpassa bestämmelserna till varje en- skild forskningsdatabas.
9.4.6Bör etikprövningslagens tillämpningsområde utvidgas?
Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa innebär att universitet och högskolor ges möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjuk- domar och för människors hälsa i övrigt. Personuppgifter som regi- strerats för detta ändamål får lämnas ut till forskningsprojekt under förutsättning att såväl forskningen som behandlingen av personupp- gifter har godkänts enligt etikprövningslagen. Datainspektionen har anfört att lagen innebär en ingripande nyordning på forsknings- området eftersom det innebär att insamling av känsliga personupp- gifter för forskningsändamål i många fall inte längre kommer att behöva etikprövas.41 Etikprövning kommer i stället att göras först
41 Prop. 2012/2013:163 s. 27.
424
SOU 2014:45 |
Bedömningar och förslag |
när uppgifterna ska börja användas i ett visst forskningsprojekt. Rege- ringen anför i propositionen att den inte delar Datainspektionens uppfattning att lagen innebär en genomgripande nyordning. Som exempel på liknande registerförfattningar anges lagen om hälsodata- register, hälsodataregisterförordningarna och lagen om behandling av personuppgifter vid IFAU, som samtliga ger stöd för uppbyg- gande av särskilda register för framtida forskningsändamål. Vidare framförs att uppgifter i
Som framgår av utredningsdirektiven har fråga uppkommit om det vore lämpligt att vidga etikprövningslagens tillämpningsområde så att det inte endast avser ett visst projekt eller del av ett projekt utan också omfattar uppbyggnaden av infrastrukturer. Som jag kon- staterat i kapitel 8 är det dock inte en lämplig lösning. Problemet att registerhållande myndigheter inte anser sig kunna lämna ut upp- gifter till databaser där syftet är att uppgifterna ska användas till olika ännu inte specificerade forskningsprojekt kommer att kvarstå. Den beredning som VR förutsätts göra och den prövning som sedan regeringen gör inför en ny databasförordning kan förutsättas inne- hålla etiska överväganden av det slag som utförs av en etikpröv- ningsnämnd. Regeringen har i denna process möjlighet att inhämta åsikter från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att på detta sätt belysa förslagets etiska aspekter. Jag menar därför att etikprövningsnämndens tillämpningsområde inte bör utvidgas till att omfatta även skapandet av forsknings- databaser.
9.4.7Vilken behandling ska lagen omfatta?
Lagen ska gälla behandling av personuppgifter som sker för ända- målen att skapa underlag för och lämna ut uppgifter till olika forsk- ningsprojekt som har godkänts enligt lagen (2003:460) om etik- prövning av forskning som avser människor. Lagen ska gälla för behandling av personuppgifter som är helt eller delvis automatiserad. Av avsnitt 5.3.4.4 framgår vad som avses med helt eller delvis auto-
425
Bedömningar och förslag |
SOU 2014:45 |
matiserad behandling. Lagen ska också avse även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, det vill säga i ett register enligt PUL:s definition (se avsnitt 5.3.4.4.).
Jag har tidigare konstaterat att forskningsdatabaser ska kunna innehålla både personuppgifter som samlas in direkt från enskilda och uppgifter från myndighetsregister. Om uppgifterna samlas in direkt från enskilda kan det antas att det sker med personens sam- tycke. Den enskilde kan ju välja att inte besvara frågorna i exempel- vis en enkät. För att det inte ska uppstå tveksamhet om den enskilde har lämnat sitt samtycke och vad den enskilde har samtyckt till menar jag att finns skäl att införa krav på uttryckligt samtycke till behandlingen i de fall uppgifterna samlas in direkt från den enskilde. Med samtycke avses här detsamma som enligt PUL, det vill säga varje slag av frivillig, särskild otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Att samtycket ska vara uttryckligt innebär att det ska kommit till uttryck på något sätt som är möjligt för en utomstående att iaktta. Det är viktigt att den en- skilde förstår vad han eller hon samtycker till och vad följden kan bli. Innan den enskilde lämnar sådant samtycke ska han eller hon därför ha fått viss information som framgår av lagen. Den enskilde kan i detta sammanhang samtycka till att kompletterande uppgifter om honom eller henne inhämtas från olika register.
Datainspektionen har i ärendet avseende
42 Datainspektionens beslut
426
SOU 2014:45 |
Bedömningar och förslag |
kunna avse forskning för de ändamål som anges i databasernas förordningar.
Ett samtycke måste alltid kunna återkallas. Enligt 12 § PUL inne- bär ett återkallande av samtycke att ytterligare personuppgifter om den registrerade därefter inte får behandlas. Bestämmelsen i PUL gäller enligt sin ordalydelse endast samtycken som lämnats enligt PUL:s bestämmelser. Det bör därför anges särskilt att 12 § PUL är tillämplig för samtycken som lämnats i enlighet med lagen om forsk- ningsdatabaser.
Att 12 § PUL är tillämplig innebär att ytterligare uppgifter om den registrerade inte får behandlas efter det att samtycket återkallats. Redan insamlade uppgifter får dock behandlas även fortsättnings- vis, enligt det ursprungliga samtycket. Sedan samtycket återkallats får uppgifterna dock inte uppdateras eller kompletteras.
När det gäller uppgifter som inte samlas in direkt från den en- skilde är situationen en annan. I vissa fall finns det möjlighet att inhämta den enskildes samtycke innan registrering i forskningsdata- basen sker. I många fall torde detta inte vara möjligt, till exempel när det rör sig om väldigt många uppgifter eller i de fall de uppgifter som hämtas från ett myndighetsregister lämnas ut i kodad form. Ibland kan det finnas skäl för att behandling enligt lagen ska vara tillåten även om den enskilde motsätter sig det. Så har till exempel skett i 2 § lagen (2012:741) om behandling av personuppgifter vid IFAU. Bestämmelserna om behandling av personuppgifter som in- hämtas från någon annan källa än den enskilde får genom bestäm- melser i förordning anpassas till varje enskild forskningsdatabas.
9.4.8Vilka ska få föra forskningsdatabaser?
9.4.8.1Högskolorna och offentlighetsprincipen
Bestämmelser om statliga universitet och högskolor finns i högskole- lagen (1992:1434) och högskoleförordningen (1993:100). När det gäller offentlighet och sekretess lyder de statliga högskolorna och universiteten under samma regler som andra statliga myndigheter. Således gäller bestämmelserna om rätten att ta del av allmänna hand- lingar enligt 2 kap. 1 § TF och möjligheten att begränsa denna rätt genom OSL även dessa högskolor och universitet.
427
Bedömningar och förslag |
SOU 2014:45 |
9.4.8.2Möjlighet för statliga myndigheter att bygga upp databaser för framtida forskning
Det kan, liksom i förarbetena till lagen om vissa register för forsk- ning om vad arv och miljö betyder för människors hälsa, konstateras att de register som har varit föremål för osäkerhet förs vid statliga högskolor och universitet.43 Behovet av att kunna bygga upp data- baser för olika framtida forskningsprojekt har bekräftats vid mina kontakter med olika statliga universitet och högkolor.
Nästa fråga är om det är lämpligt att statliga högskolor och uni- versitet får möjlighet att bygga upp register för att kunna använda för framtida forskning. Datainspektionen har uttryckt farhågor för att integritetsskyddsfrågorna inte kommer att tas tillräckligt på allvar om den ansvarige för personuppgiftsbehandlingen av databasen även är den som har direkt nytta av personuppgiftsbehandlingen i form av till exempel forskning, anslagsmedel med mera. Såväl de person- uppgiftsansvariga universiteten och högskolorna som de enskilda forskarna har starka incitament att bevaka integritetsfrågorna. Vidare föreslår jag skärpta sekretessregler för data som behandlas för forsk- ningsändamål.
Jag menar också att den föreslagna regleringen med en ramlag med gemensamma bestämmelser till skydd för den enskildes inte- gritet och en specifik reglering för varje register genom förordning innebär att forskarnas behov av tillgång till registerdata noga vägs mot integritetshänsyn. Med ett sådant system kommer regeringen att ges möjlighet att bedöma om det lärosäte som föreslås få etablera en forskningsdatabas uppfyller de krav på säkerhet och kvalitet som kan ställas i detta sammanhang. Regeringen bör också vid ut- formandet av förordningen för varje enskilt register så långt möjligt specificera för vilka ändamål behandling av personuppgifter i data- basen får ske och ange vilka kategorier av personuppgifter som får registreras i databasen. I förordning kan också regleras vilka regler som ska gälla för intern hantering av uppgifter och regler för ut- lämnande av uppgifter ur registret för att på så sätt definiera vilken behandling av uppgifterna som är tillåten. Vidare ska för utläm- nande ur en forskningsdatabas krävas att personuppgiftsbehandling har godkänts vid en prövning enligt etikprövningslagen. Samman- fattningsvis menar jag att den prövning som kommer att föregå in- rättandet av en forskningsdatabas, bestämmelserna i lagen som tar sikte på att skydda den enskildes integritet samt omständigheten
43 Prop. 2012/13 :163 s. 28.
428
SOU 2014:45 |
Bedömningar och förslag |
att uttag ur databasen kommer att kräva ett godkännande av etik- prövningsnämnden medför att integritetsskyddsfrågorna kommer att beaktas. De statliga högskolor och universitet som omfattas av högskolelagen bör således få möjlighet att behandla personupp- gifter i forskningsdatabaser i syfte att uppgifterna ska få användas i framtida forskningsprojekt.
Behov att bygga upp databaser med uppgifter som kan användas för framtida forskning kan uppkomma även hos andra statliga myndigheter som har till uppgift att bedriva forskning. Exempel på sådana myndigheter är BRÅ och IFAU. Även sådana myndigheter bör kunna vara ansvariga för forskningsdatabaser enligt den före- slagna lagen.
9.4.8.3Möjlighet för andra än statliga myndigheter att bygga upp forskningsdatabaser för framtida forskning
TF och OSL gäller för myndigheter. För privata forskningsorgan gäller däremot som huvudregel inte bestämmelserna om offentlig- het och sekretess i TF och OSL. För sådana organ gäller således inte offentlighetsprincipen och de behöver inte heller följa de regler som gäller för utlämnande och sekretess enligt OSL. Skyddet för uppgifter om enskilda i forskning som genomförs i privat regi är beroende av att tystnadsplikt gäller i verksamheten. För uppgifter inom enskilt bedriven forskning finns inte, som till exempel inom privat hälso- och sjukvård, några generellt tillämpliga bestämmelser om tystnadsplikt.
10 kap. 14 § OSL stadgar att om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmel- se om sekretess hindrar att en uppgift lämnas ut till enskild kan undanröjas genom ett förbehåll ska myndigheten göra ett sådant förbehåll när uppgiften lämnas ut till den enskilde. Bestämmelsen innebär att en myndighet kan lämna ut sekretessbelagda uppgifter till enskild, till exempel en forskare som bedriver forskning i privat regi, med ett förbehåll som begränsar den enskildes rätt att lämna uppgiften vidare eller utnyttja den och som innebär att den som tar emot uppgiften har tystnadsplikt. På detta sätt kan således vidare utlämning av personuppgifter som härrör från myndigheter begrän- sas. Någon motsvarande möjlighet finns inte för uppgifter som den enskilde forskaren själv samlat in.
429
Bedömningar och förslag |
SOU 2014:45 |
Privata forskningsorgan väljer själva hur de bygger upp sitt in- tegritetsskydd och när och hur utlämnande av handlingar får ske. I sammanhanget bör dock betonas att PUL gäller både statlig och privat verksamhet. Vidare finns inom de flesta forskningsområden etiska riktlinjer som ska följas för att få finansiering av till exempel forskningsråd. Som framförts tidigare finns det starka incitament för en forskningsorganisation att upprätthålla ett starkt sekretesskydd för uppgifter inom forskningsverksamhet. Det kan konstateras att ett privat forskningsorgan kan ha bestämmelser som är strängare än vad TF och OSL medger, men det behöver inte vara så. För att upp- nå samma sekretesskydd för privata verksamheter som för statliga universitet och högskolor krävs särskild lagstiftning. Innan det kan bli aktuellt för forskningshuvudmän inom enskilt bedriven forsk- ning att bygga upp forskningsdatabaser menar jag att det bör finnas någon form av grundläggande krav på tystnadsplikt inom forskning i privat regi. Så länge inte något sådant grundskydd finns anser jag att de forskningsdatabaser som här föreslås endast ska få byggas upp av statliga universitet och högskolor samt av statliga myndigheter som har till uppgift att bedriva forskning.
9.4.9Finansiering och utvärdering av forskningsdatabaser
Som ovan anförts bör VR ha ansvar för beredningen av vilka stat- liga myndigheter som ska få bygga upp forskningsdatabaser enligt den föreslagna lagen. Det ska finnas ett tydligt behov av en databas inom det aktuella området och det ska ställas höga krav på kvalitet och säkerhet hos den verksamhet som ska hålla databasen. Tanken är att forskningsdatabasen ska bevaras under en längre tid och möjlig- göra longitudinella studier eller jämförande studier över tid. Utgångs- punkten bör vara att det endast ska finnas en forskningsdatabas för varje större forskningsfält i Sverige. Undantag från den huvud- regeln ska särskilt motiveras. Databasen ska utgöra en nationell resurs som ska kunna användas av forskare i hela Sverige. Vad som avses med begreppet ”nationell resurs” redovisas i avsnitt 8.4.3. För att garantera långsiktighet och kvalitet i verksamheten bör finansie- ringen av forskningsdatabasen vara säkerställd för i vart fall åtta år. För att databasen verkligen ska bli en nationell resurs ska den myn- dighet som ska föra databasen ha kompetens och tillräckliga resurser att behandla ansökningar om uttag ur forskningsdatabasen inom rimlig tid och utlämnande till forskningsprojekt ska kunna ske till
430
SOU 2014:45 |
Bedömningar och förslag |
rimliga kostnader. Principerna för avgifter vid uttag ur databasen bör regleras i överenskommelse mellan staten och myndigheten. Ett vetenskapligt råd bör vara knutet till forskningsdatabasen. Rådet bör vara ansvarigt för databasens uppbyggnad och utveckling samt ha möjlighet att behandla frågor av etisk karaktär som kan uppkom- ma i samband med databasen. VR ska ansvara för en regelbunden utvärdering av de databaser som etableras med stöd av den föreslag- na lagen. Utvärderingen bör lämpligen ske exempelvis vart åttonde år och företrädelsevis av internationella utvärderingsgrupper.
9.4.10Förhållande till personuppgiftslagen
Det följer av 2 § PUL att om det i annan lag eller i en förordning finns bestämmelser som avviker från PUL ska de bestämmelserna gälla i stället för PUL:s bestämmelser. PUL är således subsidiär i förhållande till särregleringar i andra författningar. När det gäller särregleringar i förhållande till PUL är det vanligaste att särregle- ringen endast kompletterar eller ersätter PUL i vissa avseenden. Den myndighet som ska behandla personuppgifter måste i dessa fall beakta bestämmelserna i både den särskilda registerförfattningen och i PUL. Denna teknik har bland annat använts i lagen om be- handling av personuppgifter vid IFAU och i lagen om vissa register om vad arv och miljö betyder för människors hälsa. Ett annat sätt att reglera personmuppgiftsbehandlingen är att den särskilda register- författningen innehåller en heltäckande reglering av all personupp- giftsbehandling i en viss verksamhet. Det innebär vanligtvis att lagen innehåller en uppräkning av vilka regler i PUL som ska tillämpas. Lagrådet har kritiserat denna typ av lagstiftningsteknik, eftersom den innebär svårigheter att överblicka om dataskyddsdirektivet blir genomfört till fullo och det medför risk att hänvisningarna till PUL vid blir felaktiga eller ofullständiga.44 Trots det har denna modell har används i senare lagstiftning, exempelvis polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).
Det kan således konstateras att båda lagstiftningsteknikerna har använts i de särskilda registerförfattningarna under senare år. Jag menar att den lämpligaste lagstiftningsmodellen i nu aktuellt fall är att den föreslagna lagens bestämmelser, och de föreskrifter som kan komma att meddelas i anslutning till lagen, endast ersätter eller kom- pletterar PUL i frågor som är specifika för behandling av person-
44 Prop. 2000/01 :33 s. 88.
431
Bedömningar och förslag |
SOU 2014:45 |
uppgifter i forskningsdatabaser. I övrigt ska PUL vara tillämplig. Att i lagen räkna upp alla de bestämmelser som ska gälla utöver lagens särbestämmelser gör lagen otymplig och svåröverskådlig. Den före- slagna lagen ska således endast innehålla de regler som är särskilda för behandlingen av personuppgifter i forskningsdatabaser. För tyd- lighetens skull bör det dock anges i lagen att PUL gäller om inget annat anges i lagen eller förskrifter som meddelats i anslutning till lagen.
9.4.11Personuppgiftsansvar
Enligt 3 § PUL är den personuppgiftsansvarige den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det är brukligt att i särskilda registerförfattningar ange vilken myndighet som är personupp- giftsansvarig. Det bör således framgå av lagen att den statliga myn- dighet som utför behandlingen av personuppgifter är personuppgifts- ansvariga för behandlingen. Regeringen bör i de särskilda förord- ningar som ska införas för varje databas specificera vilken statlig myndighet som är personuppgiftsansvarig.
9.4.12Ändamålet med behandlingen
Ändamålsbestämmelsen i en registerförfattning är av central betydelse för skyddet för den personliga integriteten. Den definierar vilka upp- gifter som får tas in i registret och hur uppgifterna i registret får behandlas. Ändamålet reglerar också hur många personuppgifter som får behandlas och hur länge de får bevaras i registret. Ända- målsbestämmelsen är således den yttre ram som ska garantera att en personuppgift endast behandlas om det är motiverat och nödvän- digt.
9.4.13De primära ändamålen
Det primära ändamålet i en registerförfattning avser myndighetens eget behov av att behandla personuppgifter. I 9 § första stycket c PUL slås fast att den personuppgiftsansvariga ska se till att person- uppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt den så kallade finalitetsprincipen (9 §
432
SOU 2014:45 |
Bedömningar och förslag |
första stycket d PUL) får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling av personuppgifter för historiska, statistiska eller vetenskapliga skäl ska dock inte anses oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PUL).
Enligt det förslag till lag om forskningsdatabaser som jag lämnar ska de primära ändamålen för personuppgiftsbehandlingen vara att skapa underlag för och att lämna ut uppgifter till olika forsknings- projekt som är godkända enligt etikprövningslagen. Frågan är om denna ändamålsbestämmelse är tillräckligt specifik för att tillgodo- se dataskyddsdirektivets och PUL:s krav. Något prejudikat från
Jag är medveten om att det ändamål som anges i lagförslaget är relativt brett och att det kan motivera behandling av ett stort antal kategorier av personuppgifter. Ett sätt att avgränsa ändamålet är att definiera vad som avses med forskning i själva lagen. Definitionen av forskningsbegreppet diskuteras vidare i avsnitt 9.4.16.
Frågan är om första punkten i ändamålsbestämmelsen kan av- gränsas ytterligare. Syftet med den föreslagna lagen är att möjlig- göra för vissa myndigheter att inom olika ämnesområden kunna samla in uppgifter till en forskningsdatabas som ska kunna utgöra grund för framtida forskning. Det är därför inte möjligt att, såsom har skett när det gäller lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa, ange inom vilka ämnes- områden forskningen ska ske. Ändamålet måste vara tillräckligt brett för att inrymma alla de forskningsdatabaser som kan bli aktuella att bygga upp. Däremot bör ändamålet preciseras så långt som möjligt i de särskilda förordningar som ska ligga till grund för behandlingen av personuppgifter i de enskilda forskningsdatabaserna. Regeringen bör här så noggrant och detaljerat som möjligt ange ändamålet med behandlingen för respektive register. Ändamålsbestämmelsen i lagen sätter upp gränser för vad regeringen kan besluta i fråga om omfatt- ningen av de enskilda databasernas ändamål och vilka uppgifter som får samlas in till dessa register.
Syftet med lagen är ju också att möjliggöra att insamlade per- sonuppgifter lämnas ut till olika forskningsprojekt. Det bör därför uttryckligen framgå av ändamålsbestämmelsen. Även här kan rege- ringen i den förordning som reglerar databasen precisera vilken typ
45 Se t.ex. lagen (1998:543) om hälsodataregister och patientdatalagen (2008:355).
433
Bedömningar och förslag |
SOU 2014:45 |
av forskningsprojekt som uppgifterna får lämnas ut till, till exempel genom att specificera ämnesområde, forskning avseende en viss sjuk- domsgrupp etc.
Som framhållits tidigare kommer en sådan forskningsdatabas som föreslås potentiellt att innehålla ett stort antal personuppgifter som bevaras under lång tid. Det är därför av största vikt att upp- gifterna i databasen endast används för sådan forskning som är seriös. För att personuppgifterna ska få användas bör vissa grundläggande krav på integritetsskydd vara uppfyllda. Ett krav för att få använda uppgifterna ur databasen bör därför vara att forskningsprojektet och personuppgiftsbehandlingen godkänts av en etikprövningsnämnd. Detta ska gälla även om uppgifterna inte definieras som känsliga personuppgifter enligt 13 § PUL eller avser lagöverträdelser m.m. enligt 21 § personuppgiftslagen. På detta sätt sker ytterligare en precisering under vilka förutsättningar uppgifter får lämnas ut till ett forskningsprojekt. Etikprövningslagens tillämpningsområde bör således utvidgas för att också omfatta forskning som innefattar be- handling av personuppgifter från en forskningsdatabas enligt den föreslagna lagen om forskningsdatabaser.
9.4.14Inhämtande av uppgifter till en forskningsdatabas
Jag har tidigare konstaterat att forskningsdatabaser ska kunna byggas av såväl personuppgifter som samlas in direkt från enskilda som av personuppgifter från myndighetsregister, och en kombination därav. En del av databasen kan till exempel vara uppgifter som samlats in direkt från enskilda som kompletteras med registeruppgifter och en annan del endast registeruppgifter. Ett annat exempel kan vara en databas med uppgifter om hela befolkningen eller ett stort urval där- av som man följer med registeruppgifter och en mindre grupp som följs upp med intervjuer en eller flera gånger.
När uppgifter inhämtas direkt från den enskilde sker det med den enskildes samtycke. I samband med att uppgifterna inhämtas kan den enskilde också tillfrågas om forskningshuvudmannen får in- hämta uppgifter om honom eller henne från myndighetsregister. På så sätt kan även inhämtandet av registeruppgifter ske med samtycke.
I de fall databasen eller en del av den endast består av uppgifter som hämtas från ett myndighetsregister har den enskilde i regel inte lämnat sitt samtycke. Som tidigare anförts är forskare vanligt- vis inte i behov av att kunna identifiera enskilda individer och be-
434
SOU 2014:45 |
Bedömningar och förslag |
handlingen av personuppgifter för forskningsändamål kan vanligtvis ske med anonymiserade uppgifter. Jag menar att huvudregeln ska vara att forskningsdatabaser eller den del därav som består av upp- gifter som är hämtade från myndighetsregister ska bestå av kodade uppgifter. Kodnyckeln ska bevaras hos den statliga myndighet som står för utlämnandet av uppgifterna, vilket vanligtvis torde vara SCB eller Socialstyrelsen. Det kan dock finnas fall då det är nöd- vändigt för forskaren att ta del av identifierbara personuppgifter, till exempel om forskningspersonerna ska kontaktas eller om person- uppgifter från myndighetsregister ska sambearbetas med uppgifter ur journaler. Det bör dock endast ske om det finns särskilda skäl.
9.4.15Utlämnande av uppgifter från en forskningsdatabas
Som beskrivits ovan ska uppgifter ur forskningsdatabasen endast få lämnas ut under förutsättning att såväl forskningen som behandling- en av uppgifterna har godkänts enligt etikprövningslagen. Uppgifter bör kunna lämnas ut såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs i privat regi.
Utlämnande av uppgifter från en forskningsdatabas ska vanligt- vis avse personuppgifter som inte är direkt hänförliga till den enskil- de. Det kan dock liksom när det gäller uttag ur andra myndighets- register finnas fall då det är nödvändigt för forskaren att kunna identifiera enskilda individer. På vilket sätt uppgifter får lämnas ut från en forskningsdatabas bör regleras mer ingående i den förord- ning som ska finnas för varje forskningsdatabas.
9.4.16Forskning
Enligt mitt förslag till lag om forskningsdatabaser ska personupp- gifter få behandlas för två ändamål, dels för att skapa underlag för olika forskningsprojekt och dels för att lämna ut uppgifter till forskningsprojekt. Eftersom ändamålsbestämmelsen avgränsar vad uppgifterna i databasen får användas till är det viktigt att definiera vad som i lagen avses med begreppet forskning.
Enligt förslaget ska uppgifterna i en forskningsdatabas få användas i forskningsprojekt som godkänts enligt etikprövningslagen. Det är
435
Bedömningar och förslag |
SOU 2014:45 |
därför lämpligt att anknyta till den definition av begreppet forsk- ning som anges i etikprövningslagen.
Av definitionen i 2 § etikprövningslagen framgår att med forsk- ning avses vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund. Sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller avancerad nivå omfattas inte av definitionen. I för- arbetena anförs att utgångspunkten är att studentarbeten under grundutbildningen i normalfallet inte ska omfattas av etikprövnings- lagen, men att handledarna bör ha ett ansvar att se till att student- arbeten under grundutbildning etikprövas i de fall det krävs.46 Forskning som bedrivs av forskarstuderande under forskarutbild- ning ska däremot normalt etikprövas.
Av den proposition som föregick etikprövningslagen framgår att definitionen bland annat bygger på OECD:s definition av forsk- ningsbegreppet (Frascati Manual 1993 [OECD 1994]) enligt vilken forskning är ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer, såväl när det sker utan någon bestämd tillämpning i sikte (grundforskning) som när det sker med en bestämd tillämp- ning i sikte (tillämpad forskning).47 Det anförs att forskningen är avgränsad till sitt innehåll genom bland annat den vetenskapliga frågeställning som ska besvaras, de metoder som ska användas och antalet forskningspersoner som ska ingå. Lagens forskningsbegrepp inbegriper också utvecklingsarbete på vetenskaplig grund. Därmed avses enligt propositionen ett idérikt och systematiskt utnyttjande av vetenskaplig och annan kunskap för att åstadkomma nya pro- dukter, nya processer, nya system eller väsentliga förbättringar av existerande system. Det anförs också att avsikten är att forsknings- begreppet enligt etikprövningslagen bland annat ska omfatta allt det som omfattas av motsvarande begrepp enligt 19 § PUL.
I förarbetena dras också en skiljelinje mot kvalitetsarbete inom en myndighet. I 31 § hälso- och sjukvårdslagen (1982:763) sägs att inom hälso- och sjukvård ska kvaliteten i verksamheten systema- tiskt och fortlöpande utvecklas och säkras. Sådan och liknande verksamhet som utförs inom myndigheter ska enligt propositionen inte anses utgöra forskning i etikprövningslagens mening.
I senare förarbeten avseende vissa ändringar i etikprövningslagen diskuteras åter frågan om gränsdragning mot annan verksamhet.48 I
46Prop. 2002/2003:50 s. 92.
47Prop. 2002/03:50 s. 91 och 192 och prop. 2007/08:44 s. 19.
48Prop. 2007/08:44 s. 19.
436
SOU 2014:45 |
Bedömningar och förslag |
propositionen betonas att definitionen av forskning ska ställa krav på att verksamheten bedrivs utifrån ett vetenskapligt förhållnings- sätt för att särskilja forskning från andra, närliggande, aktiviteter. Med vetenskap avses en kunskapsprocess där kunskap systemati- seras och struktureras genom teoriutveckling och tillämpning av metodiska arbetsredskap. Genom att betona det vetenskapliga för- hållningssättet såväl i inhämtande av ny kunskap som i utvecklings- arbete särskiljs forskning från annan verksamhet som kan ha liknande karaktär, såsom kvalitetssäkring, resultatuppföljning eller journal- istiskt arbete. Med formuleringen "inhämta ny kunskap" avses även forskning som med ett vetenskapligt angreppssätt utförs i syfte att upprepa redan genomförda arbeten för att stärka eller ifrågasätta redan vunna resultat och påståenden.
Jag menar att den definition av begreppet forskning som finns i etikprövningslagen är väl avvägd och lämplig att tillämpa även i den här föreslagna lagen. En bestämmelse med en hänvisning till defini- tionen i etikprövningslagen bör därför införas i den föreslagna lagen om forskningsregister.
9.4.17De sekundära ändamålen
Sekundära ändamål med en personuppgiftsbehandling avser myn- dighetens utlämnande av personuppgifter för att tillgodose andras behov. Det är viktigt att forskning som utgår från uppgifter som hämtats från en forskningsdatabas som förs med stöd av lagen om forskningsdatabaser ska kunna granskas. I likhet med vad som gäller enligt lagen om vissa register för forskning om vad arv och miljö be- tyder för människors hälsa anser jag att ett sekundärt ändamål i den här föreslagna lagen bör vara granskning av forskning.49 Granskning av forskning kan genomföras genom att uppgifter i en forsknings- databas används i nya forskningsprojekt. Om syftet är att replikera eller granska ett tidigare forskningsprojekt faller forskningen under det primära ändamålet. Granskning kan emellertid också ske genom att en högskola genomför en utredning om misstanke om oredlig- het i forskning. Universitetet eller högskolan får under pågående utredning inhämta ett yttrande från expertgruppen för oredlighet i forskning hos Centrala etikprövningsnämnden (1 kap. 16 § hög- skoleförordningen (1993:100). Personuppgifter i en forskningsdata- bas bör därför få lämnas ut till en sådan utredning som gäller forsk-
49 Prop. 2012/13:163 s. 36.
437
Bedömningar och förslag |
SOU 2014:45 |
ning som har skett med stöd av den föreslagna lagen och för att ett yttrande i samband med en sådan utredning ska kunna lämnas.
Som framgått ovan ska huvudregeln vara att uppgifter ur en forsk- ningsdatabas endast ska lämnas ut till forskningsprojekt som är god- kända enligt etikprövningslagen. Skyldighet att lämna ut uppgifter kan emellertid uppkomma genom bestämmelser i annan lagstiftning. Ett utlämnande av personuppgifter ur allmänna handlingar med stöd av tryckfrihetsförordningen kan till exempel ske utan att utläm- nandet behöver anges som ett särskilt ändamål för vilken person- uppgiftsbehandling är tillåten (8 § första stycket PUL). I 10 kap. OSL finns sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess som medför att sekretessbelagda uppgifter får lämnas ut i vissa situationer. Till exempel hindar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). För att det inte ska uppstå konflikt mellan bestämmelsen i den föreslagna lagen och bestämmelser i annan lag som gäller så kallad uppgiftsskyldighet bör det uttryckligen anges i lagen om forskningsdatabaser att upp- gifter får lämnas ut om det finns en skyldighet i lag att göra det. Det bör också uttryckligen framgå att personuppgifter som är regi- strerade enligt lagen alltid får lämnas ut till den registrerade själv. Det kan dock endast ske under förutsättning att den som är ansvarig för databasen har tillgång till identifierabara uppgifter.
Det följer av finalitetsprincipen att personuppgifter inte får läm- nas ut för något ändamål som är oförenligt med det för vilket upp- gifterna samlades in. I de fall någon vill genomföra en behandling som inte omfattas av de ursprungliga ändamålen måste det således ske en prövning om det tänkta ändamålet inte är oförenligt med det ursprungliga ändamålet för behandling. Behandling av personupp- gifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PUL). I lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa föreskrivs att be- handling av personuppgifter som förs enligt lagen bara får behandlas får sådana ändamål som uttryckligen anges i lagen (8 § andra stycket). Behandling av personuppgifter med stöd av finalitetsprincipen och 9 § andra stycket PUL är således inte möjlig. Detta motiveras med att lagen avser behandling av särskilt känsliga uppgifter, bland annat uppgifter om resultat av genetiska undersökningar, och det endast
438
SOU 2014:45 |
Bedömningar och förslag |
är fråga om en tillfällig lag.50 Jag menar att finalitetsprincipen och 9 § andra stycket PUL bör vara tillämplig när det gäller utlämnande av uppgifter från forskningsdatabaser som förs med stöd av den föreslagna lagen. Även om detta väsentligen utvidgar de ändamål som en uppgift i en forskningsdatabas kan lämnas ut till menar jag att integritetsskyddet för den enskilde ändå kan upprätthållas. En- ligt mitt förslag om forskningssekretess kommer uppgifter från en forskningsdatabas endast att få lämnas ut för forskningsändamål och för granskning av forskning. Vid överlämnande till en annan myndighet kommer samma sekretess att gälla hos den mottagande myndigheten och lämnas uppgifterna till enskild kan utlämnande ske med förbehåll enligt 10 kap. 14 § OSL. Vidare kommer upp- gifter ur en forskningsdatabas endast att få behandlas efter god- kännande av en etikprövningsnämnd. Jag menar att det därför ändå kommer att finnas ett tillfredsställande skydd för de uppgifter som lämnas ut från databasen med stöd av finalitetsprincipen.
Som framgår av avsnitt 9.4.24 föreslår jag att uppgifter som inte längre behövs för de primära ändamålen ska gallras. Det ska dock vara möjligt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Det följer av 11 kap. 6 § OSL att om en arkivmyndighet får en uppgift från en annan myndighet som är sekretessbelagd hos den överlämnande myn- digheten blir sekretessbestämmelsen tillämplig på uppgiften även hos arkivmyndigheten. Den föreslagna forskningssekretessen kommer således att vara tillämplig även efter det att uppgifterna överlämnats till en arkivmyndighet. Det är omöjligt att i dag förutse vilka upp- gifter som samlas in till forskningsdatabaser som kommer att vara värdefulla för framtida forskning. Jag menar att en viktig funktion med en forskningsdatabas går förlorad om uppgifter som arkiverats inte kan användas för andra forskningsändamål än dem som upp- gifterna ursprungligen samlades in för.
9.4.18Sambearbetning och kodnyckelförfarande
Med sambearbetning mellan två personregister menas en maskinell bearbetning av uppgifter i ett register tillsammans med uppgifter i ett annat register hos den registeransvarige eller hos annan register-
50 Prop. 2012/13:163 s. 38.
439
Bedömningar och förslag |
SOU 2014:45 |
ansvarig.51 Även annan direkt överföring av uppgifter från ett per- sonregister till ett annat räknas som sambearbetning.
Sambearbetning ger möjlighet att lägga samman uppgifter från olika register för att nå ny kunskap. Genom sambearbetning kan forskarna hitta samband och förklara uppkomsten av olika problem, till exempel orsaken till olika sjukdomar. Möjligheten att sambe- arbeta uppgifter från olika register är vanligtvis en förutsättning för framgångsrik registerforskning.
Den lag om forskningsdatabaser som jag föreslår kommer att möjliggöra många typer av databaser. Det kan röra sig om databaser som helt baseras på uppgifter som samlats in direkt från enskilda personer, på uppgifter som hämtas från andra register eller, vilket torde bli vanligast, på en kombination av registeruppgifter och upp- gifter som samlats in direkt från enskilda. Ett viktigt syfte med forskningsdatabaser skulle gå förlorad om det inte också fanns möj- lighet att kombinera uppgifterna i databasen med andra uppgifter. Enligt förslaget ska uppgifterna ur en forskningsdatabas endast få lämnas ut till projekt där forskningen och personuppgiftsbehand- lingen godkänts enligt etikprövningslagen. Jag menar att skyddet för den enskildes integritet därmed kommer att upprätthållas. Sam- bearbetning med uppgifter från en forskningsdatabas med andra uppgifter bör således vara tillåtet så länge bearbetningen håller sig inom ramen för det ändamål som anges i lagen och den förordning som ska gälla för varje forskningsdatabas. Någon generell bestäm- melse om sambearbetning av personuppgifter från forskningsdata- baser bör därför inte införas.
I de flesta fall kommer uppgifter från forskningsdatabasen att lämnas ut till forskningsprojekt i kodad form. För att möjliggöra senare uppdatering av uppgifterna bör den som är ansvarig för forsk- ningsdatabasen vid utlämnande av kodade uppgifter förse uppgifter- na med en beteckning som hos myndigheten kan kopplas till per- sonnummer eller motsvarande identitetsbeteckning. Det har under utredningen framkommit att det inte alltid är möjligt för en forskare att förutse när behov av senare uppdatering kan uppkomma. Det bör således vara obligatoriskt för den som är ansvarig för forsknings- databasen att bevara en förteckning över beteckning och person- nummer eller annan identitetsbeteckning, en så kallad kodnyckel, i 20 år. Tiden för kodnyckelns bevarande ska därefter kunna förlängas på begäran av den forskningshuvudman som den upprättades för
51 Prop. 1981/82:189 s. 53, prop. 2002/03 :135 s. 58.
440
SOU 2014:45 |
Bedömningar och förslag |
eller av annan forskningshuvudman som använder uppgifter som kodnyckeln avser i sin forskning. Den myndighet som ansvarar för registret ska också på eget initiativ, och behov finns, besluta att tiden för bevarande av kodnyckeln ska förlängas.
9.4.19Innehåll
Bestämmelsen om databasens innehåll har liksom ändamålsbestäm- melsen stor betydelse för skyddet för den personliga integriteten. Bestämmelsen definierar vilka personuppgifter som ska få samlas i databasen. Det är därför viktigt att innehållet anges tydligt och så avgränsat som möjligt. För att begränsa vilka uppgifter som får be- handlas är det lämpligt att koppla innehållet i en forskningsdatabas till ändamålsbestämmelsen. På detta sätt blir det tydligt att det endast är de uppgifter som är relevanta för ändamålet som får behandlas i databasen. Nya uppgifter får endast tillföras databasen om de är nödvändigt för att tillgodose de ändamål för vilka databasen finns.
Det är inte möjligt att i den föreslagna lagen om forskningsdata- baser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Det bör ankomma på rege- ringen att i respektive registerförordning närmare bestämma vad som får föras in i databasen och om det ska krävas samtycke från den person som uppgifterna avser. Regeringen har då möjlighet att noggrant överväga behovet av varje enskild uppgift i databasen. Vid dessa överväganden bör beaktas att samtliga registeruppgifter i data- basen kan komma att användas som sökbegrepp.
9.4.20Sökbegrepp
Information ur ett personregister tas fram genom att en uppgift som ingår i registret, till exempel personnummer, används som sökbegrepp vid bearbetning av registret.52 Möjligheten att använda vissa sök- begrepp kan emellertid ibland vara problematisk i integritetshänse- ende. Uppgifter som var för sig är harmlösa kan i en sammanställning framstå som integritetsstörande. Ett stort antal sökbegrepp kan ur detta perspektiv sägas öka risken för integritetsintrång. Därför inne- håller en del särskilda registerförfattningar förbud mot att använda vissa sökbegrepp, till exempel känsliga personuppgifter. Det innebär
52 SOU 1995:95 s. 120.
441
Bedömningar och förslag |
SOU 2014:45 |
att varken myndigheten själv eller enskild kan ta fram information den vägen. På detta sätt stärks skyddet för den enskildes integritet, men följden blir också att registrets användbarhet begränsas.
Frågan är om det bör införas något sådant sökförbud i den före- slagna lagen om forskningsdatabaser. En omständighet som talar för en sådan begränsning är att de databaser som kan inrättas med stöd av den föreslagna lagen kommer att kunna innehålla en stor mängd känsliga personuppgifter.
Enligt mitt förslag ska regeringen inför inrättandet av en forsk- ningsdatabas noggrant pröva för vilka ändamål uppgifterna i data- basen ska få behandlas. Regeringen kan också i förordning specificera vilka uppgifter eller kategorier av uppgifter som får ingå i databasen. Endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna. Det innebär att innehållet i databasen och där- med också möjliga sökbegrepp är noga avvägt och begränsat. För att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas. Jag menar därför att användningen av uppgifter i forskningsdatabaserna inte ska begränsas genom förbud av vissa sökbegrepp i lagen.
9.4.21Direktåtkomst
Sättet för elektroniskt informationsutbyte mellan myndigheter kan se olika ut. Ett sätt är att en eller flera myndigheter har elektronisk åtkomst, så kallad direktåtkomst, till varandras register, databaser eller informationssamlingar. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåt- komst ligger också att den som är ansvarig för registret eller data- basen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av.53
Syftet med den föreslagna lagen om forskningsdatabaser är att den ska möjliggöra databaser som ska ligga till grund för forskning och att dess uppgifter ska vara tillgängliga för många olika forsk- ningsprojekt. Effektivitetsskäl skulle kunna tala för en direktåtkomst av uppgifter mellan den myndighet som för databasen och den myn- dighet som ska använda uppgifterna för specifika forskningsprojekt. I de fall de myndigheter som ska få behandla uppgifterna i forsk-
53 Se t.ex. prop. 2004/05:164 s. 83, 2009/10 :85 s. 168 och 2011/12 :45 s. 133.
442
SOU 2014:45 |
Bedömningar och förslag |
ningsprojekt också är statliga myndigheter kommer den sekretess som gäller för uppgifterna hos den registerhållande myndigheten att överföras till den mottagande myndigheten, om det inte finns en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten. I de fall mottagaren är ett privat forskningsinstitut kan användandet av uppgifterna förenas med förbehåll enligt 10 kap. 14 § OSL. Det finns emellertid integritetsskäl som med styrka talar mot en sådan reglering. En forskningsdatabas kommer att innehålla personuppgifter, även känsliga personuppgifter, om en stor mängd personer. Dessa kommer genom direktåtkomst att kunna göras tillgängliga för en annan myndighet utan att den mottagande myn- digheten kommer ha ett egentligt behov av samtliga uppgifter. Att ett större antal personer har möjlighet att ta del av uppgifter ökar risken för obehörig vidarespridning även om de personer hos den andra myndigheten som får del av informationen har tystnads- plikt.54 Bestämmelser om direktåtkomst medför vidare att en mot- tagande myndighet vid en begäran om utlämnande måste överföra och ta del av information för att kunna göra en sekretessprövning, även sådan information som den mottagande myndigheten egentligen inte är behov av i sin egen verksamhet (se avsnitt 5.3.5.2). Att flera myndigheter ska göra sekretessprövning avseende samma material ökar också risken för att de olika myndigheterna tillämpar den gällan- de sekretessbestämmelsen på olika sätt. Sammanfattningsvis menar jag att integritetsskäl talar mot att de mottagande myndigheterna ska ha direktåtkomst till personuppgifter i en forskningsdatabas. Lagen bör därför innehålla en bestämmelse av vilken det framgår att utlämnande av personuppgifter i databasen genom direktåtkomst inte får förekomma.
9.4.22Förbud mot bakvägsidentifiering
Enligt 6 § statistiklagen får uppgifter i den officiella statistiken inte sammanföras med andra uppgifter i syfte att utröna enskilds identitet. I förarbetena till bestämmelsen anförs att det är mycket väsentligt att uppgifter som används inom den officiella statistiken har ett högt skydd.55 Det konstateras vidare att bestämmelserna i dåvarande sekretesslagen (1980:100) och datalagen (1973:289) inte gäller för de statistiska resultaten i form av tabeller och andra
54Prop. 1979/80:2 Del A s. 90.
55Prop. 1991:92:118 s. 17.
443
Bedömningar och förslag |
SOU 2014:45 |
redovisningar. Med tillgång till flera tabeller och annan bakgrunds- information finns det risk att någon uppsåtligen försöker avslöja enskild fysisk eller juridisk person. Det ansågs därför finnas skäl att införa en bestämmelse om förbud mot olovlig bakvägsidentifiering. Förbudet är straffsanktionerat.
Den föreslagna lagen om forskningsdatabaser kommer möjlig- göra uppbyggandet av databaser med uppgifter som hämtas direkt från den enskilde, med uppgifter som hämtas från myndighetsregister samt en kombination av sådana uppgifter. När personuppgifter i en forskningsdatabas eller en del därav hämtas från ett myndighets- register bör, som ovan anförts, utgångspunkten vara att de uppgifter som lämnas ut till databasen är kodade. Kodnyckeln bevaras hos den utlämnande myndigheten och är inte tillgänglig för den som är ansvarig för forskningsdatabasen. Detta utesluter emellertid inte möjligheten att identifiera en enskild person i det kodade materialet. Möjligheten att sammanföra ett antal variabler om en person med- för alltid en risk för att personens identitet röjs. Det är viktigt att uppgifter som behandlas i forskningsdatabaserna har ett högt skydd och att risken för sådan så kallad bakvägsidentifiering minimeras. Det bör därför i lagen införas ett förbud mot behandling av kodade personuppgifter i syfte att röja en persons identitet. Förbudet ska gälla vid all behandling av kodade uppgifter, det vill säga både för dem som hanterar kodade uppgifter i forskningsdatabasen och för dem som tar emot kodade uppgifter från en forskningsdatabas. Överträdelse av förbudet ska kunna leda till böter eller fängelse i högst ett år.
9.4.23Intern elektronisk åtkomst
Ett sätt att stärka integritetsskyddet för dem vars personuppgifter behandlas i forskningsdatabasen är att begränsa antalet personer som har rätt att ha åtkomst till uppgifterna samt att begränsa deras hantering av uppgifterna till det som är nödvändigt för att uppfylla ändamålet med databasen. Det bör därför uttryckligen framgå av lagtexten att det åligger den personuppgiftsansvarige att begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
444
SOU 2014:45 |
Bedömningar och förslag |
9.4.24Gallring
9.4.24.1 Om arkivering och gallring
Enligt 9 § första stycket PUL får personuppgifter inte bevaras under en längre tid än som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter som bevaras för historiska, statistiska eller vetenskapliga ändamål får dock bevaras under längre tid (9 § tredje stycket). Det följer av 8 § andra stycket första meningen PUL att bestämmelserna i lagen inte hindrar att en myn- dighet arkiverar personuppgifter som utgör allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Huvud- regeln enligt arkivlagens bestämmelser är att allmänna handlingar ska bevaras. När det gäller gallring är arkivlagens bestämmelser dock subsidiära i förhållande till annan lagstiftning. Om det finns avvikan- de bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning har de bestämmelserna företräde (10 § tredje stycket arkivlagen).
Bevarande är således utgångspunkten i arkivlagen. I de särskilda registerförfattningarna finns ofta särskilda bestämmelser om beva- rande och gallring. Där är principen regelmässigt den motsatta i förhållande till arkivlagen, det vill säga att materialet ska förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevaran- de i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. Denna omvända princip har i förarbetena till arkivlagen ansetts motiverad av integritetsskäl. 56
9.4.24.2 Tidigare lagstiftning
I lagen om hälsodataregister och de förordningar som meddelats med stöd av den lagen finns ingen särskild reglering av bevarande och gallring. Uppgifter i ett hälsodataregister ska således bevaras och gallras enligt reglerna i personuppgiftslagen och arkivlagstift- ningen. Något behov av särreglering i fråga om bevarande och gall- ring ansågs inte finnas.57 Det angavs i förarbetena att en författ- ningsreglering av möjligheten att gallra de uppgifter som finns i hälsodataregistren är viktig från både den enskildes och samhällets synpunkt. En alltför begränsad gallring kan medföra att känsliga uppgifter om den enskilde onödigtvis sparas, vilket kan upplevas
56Prop. 1989/90:72 s. 50 f.
57Prop. 1997/98:108 s. 59 f.
445
Bedömningar och förslag |
SOU 2014:45 |
som ett intrång i den personliga integriteten. Som skäl för att inte införa särskilda bestämmelser om bevarande och gallring anfördes att utvärdering av nya behandlingsmetoder och epidemiologisk verk- samhet kräver tillgång till material som är insamlat under lång tid. Det ansågs också viktigt att kunna följa utvecklingen inom hälso- och sjukvården under längre tidsperioder. Möjligheten att upptäcka förändringar av mindre omfattning, exempelvis när det gäller miss- bildningar, ansågs innebära att det är svårt att på förhand bestämma i vilken omfattning och hur länge uppgifter i hälsodataregister kan behöva bevaras innan det kan anses att uppgifterna förlorat sitt in- formationsvärde. Även möjligheten att använda uppgifterna i annan forskning ansågs medföra svårigheter att fastställa en tidpunkt när uppgifterna inte längre behövs i registret.
I patientdatalagen finns särskilda bestämmelser om bevarande och gallring. När det gäller nationella och regionala kvalitetsregister ska personuppgifter i ett sådant gallras när uppgifterna inte längre behövs för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 10 § första stycket). Enligt sam- ma bestämmelse andra och tredje styckena får en arkivmyndighet inom ett landsting eller en kommun dock meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål. I de fall ett kvalitetsregister, efter föreskrift av regeringen, förs av någon annan personuppgiftsansvarig än en myn- dighet i kommun eller landsting, får även regeringen, eller den myndighet som regeringen bestämt, föreskriva längre bevarandetid för historiska, statistiska eller vetenskapliga syften. I förarbetena till patientdatalagen anfördes att arkivlagens princip om bevarande av allmänna handlingar inte ansågs vara en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister.58 En motsatt princip enligt vilken personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet skulle bättre balansera önskemålet om att skydda den enskildes integritet gentemot behovet av att kunna genomföra långsiktig uppföljning.
Även i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering finns en särskild bestämmelse om gallring. Enligt 14 § ska person- uppgifter gallras så snart de inte behövs för de ändamål de behand- las för. Regeringen eller den myndighet som regeringen bestämmer har dock möjlighet att meddela föreskrifter om eller besluta att
58 Prop. 2007/08:126 s. 193 f.
446
SOU 2014:45 |
Bedömningar och förslag |
personuppgifter som inte längre behövs för de primära ändamålen och som därför ska gallras, ändå ska kunna bevaras för historiska, statistiska eller vetenskapliga ändamål. Det anförs i förarbetena till bestämmelsen att IFAU genom lagen kommer att ges möjlighet att även fortsättningsvis bygga upp och administrera varaktiga och för- hållandevis omfattande samlingar av personuppgifter, som även kan innehålla vissa så kallade känsliga personuppgifter.59 Merparten av de uppgifter som behandlas är inhämtade från andra myndigheter och IFAU kommer således att få bygga upp samlingar av person- uppgifter som redan behandlas hos andra myndigheter. Detta talar enligt förarbetena för att IFAU bör åläggas en skyldighet att gallra personuppgifter som institutet inte längre behöver för sin verksam- het. Det anförs vidare att IFAU huvudsakligen ägnar sig åt register- baserad forskningsverksamhet. De skäl för bevarande av allmänna handlingar som Riksarkivet åberopat för bevarande, nämligen rätt- säkerhet och medborgerlig rätt till insyn och demokrati, gör sig därmed inte lika starkt gällande i institutets verksamhet som hos en myndighet vars verksamhet huvudsakligen innebär ärendehandlägg- ning eller annan form av myndighetsutövning gentemot enskilda. Eftersom merparten av de uppgifter som IFAU behandlar ursprung- ligen har inhämtats från andra myndigheter, får vidare intresset av att uppgifterna bevaras anses tillgodosett genom att de myndig- heter uppgifterna kommer ifrån i stor utsträckning bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser. Vid en samlad bedömning ansågs integritetsskyddsintresset väga över intresset av att allmänna handlingar bevaras. Huvudregeln enligt lagen är således att personuppgifter som IFAU inte längre behöver för sin verksamhet ska gallras.
I lagen om vissa register för forskning om vad arv och miljö bety- der för människors hälsa finns en bestämmelse om gallring. Enligt 12 § ska personuppgifter som inte längre behövs för ändamålen att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till sådan forskning gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I propositionen konstateras att register som kommer att föras med stöd av lagen kommer att innehålla sär- skilt känsliga personuppgifter, bland annat uppgifter om genetiska undersökningsresultat.60 Behandling av personuppgifter i sådana
59Prop. 2011/12:176 s. 54 f.
60Prop. 2012/13:163 s. 49.
447
Bedömningar och förslag |
SOU 2014:45 |
register ska ske med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. De primära ändamålen för behandlingen är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt samt att lämna ut uppgifter till sådan forskning under de närmare förutsätt- ningar och i den form som anges i den föreslagna lagen. Avsikten är således att personuppgifter ska kunna sparas i registret under lång tid för att göra det möjligt att efter ett utlämnande genomföra longi- tudinella studier eller undersöka till exempel vad olika förhållanden i ungdomen har för betydelse för uppkomsten av sjukdom senare i livet. Det anförs att det därför är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid. Det kan dock inte uteslutas att det kan komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras. Slut- satsen är att lagen bör innehålla en särskild gallringsbestämmelse.
9.4.24.3En särskild bestämmelse om gallring i lagen om forskningsdatabaser
Frågan är vilka regler för arkivering och gallring som ska gälla för den föreslagna lagen om forskningsdatabaser. Ska arkivlagens prin- cip om bevarande vara gällande eller bör utgångspunkten vara den om- vända? Vid denna bedömning ställs olika intressen mot varandra. Sådana databaser som möjliggörs genom den föreslagna lagen kom- mer kunna innehålla ett stort antal uppgifter, även känsliga uppgifter, som är hänförliga till särskilda individer. Detta är en omständighet som talar för en specialreglering med gallring som utgångspunkt. Uppgifterna i en forskningsdatabas ska inte användas vid myndig- hetsutövning mot enskilda individer och kravet på medborgerlig rätt till insyn och kontroll av myndighetens verksamhet är därför inte lika stark.
Andra omständigheter kan tala i motsatt riktning. Forskning krä- ver ofta tillgång till material insamlat under lång tid. Många projekt förutsätter att man har tillgång till uppgifter som ligger lång tillbaka i tiden. Syftet med lagen är att möjliggöra insamlandet av person- uppgifter som ska kunna användas i olika ännu inte specificerade forskningsprojekt. Detta gör att det kommer att vara svårt att fast- ställa en tidpunkt när uppgifterna inte längre behövs i databasen. Vidare är möjligheten att granska tidigare utförd forskning viktig.
448
SOU 2014:45 |
Bedömningar och förslag |
De nu redovisade omständigheterna talar för att arkivlagens prin- ciper om bevarande bör vara rådande.
I en registerförfattning som reglerar register med integritets- känsliga personuppgifter är det vanligt att det föreskrivs att person- uppgifter ska gallras när uppgiften inte längre behövs för sitt ända- mål. De primära ändamålen med behandlingen enligt den föreslagna lagen ska vara att skapa underlag för olika forskningsprojekt och att lämna ut uppgifter till olika forskningsprojekt. Detta är ändamål som kräver att uppgifterna bevaras under lång tid. Det är en förut- sättning för att uppgifterna ska kunna användas i forskningen för exempelvis longitudinella studier. Dessa ändamål ger således i sig stöd för att bevara uppgifter för en lång tid framöver. Samtidigt är det viktigt att uppgifter som inte lägre behövs för ändamålet gallras. Det bör därför finnas en särskild bestämmelse om gallring som före- skriver att uppgifter som inte längre behövs för de primära ändamålen ska gallras.
I de bestämmelser om gallring som finns i de särskilda register- författningarna är det vanligt att regeringen eller den myndighet som regeringen bestämmer ges möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga ändamål. Det kan finnas situationer där det finns anledning att bevara uppgifter i ett forsk- ningsregister som inte behövs för det primära ändamålet för histo- riska, statistiska och vetenskapliga ändamål. En sådan reglering bör därför införas i bestämmelsen om gallring.
9.4.24.4 Avveckling av forskningsdatabaser
Som ovan anförs ska huvudregeln vara att uppgifter som inte längre behövs för de primära ändamålen ska gallras. Om en forsknings- databas inte längre behövs för sitt ändamål ska den avvecklas. Upp- gifterna i en sådan databas ska i enighet med principen ovan gallras. Det kan dock finnas skäl att arkivera uppgifter från en avvecklad databas. Regeringen eller den myndighet som regeringen bestäm- mer ges därför möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga ändamål.
449
Bedömningar och förslag |
SOU 2014:45 |
9.4.25Information vid insamling
Av 23 § PUL följer att i de fall uppgifter samlas in direkt från den enskilde ska den personuppgiftsansvarige självmant lämna den en- skilde information om behandlingen av personuppgifter. Av 25 § PUL framgår vilka uppgifter sådan information ska omfatta, till exempel uppgift om den personuppgiftsansvariges identitet och ändamålet med behandlingen. För att den enskilde ska få tillräckligt med information för att kunna avgöra om han eller hon vill god- känna behandlingen av uppgifterna kan det vara aktuellt att ställa ytterligare krav på vilken information som ska lämnas innan sam- tycke ges. Så har till exempel skett i 14 § lagen om vissa register om vad arv och miljö betyder för människors hälsa. Det är lämpligt att den enskilde är garanterad viss information innan samtycke lämnas. I lagen om forskningsdatabaser bör därför föreskrivas att den enskilde innan samtycke lämnas ska ha informerats om att det är frivilligt att lämna uppgifter, för vilka ändamål behandling kan ske och vilka uppgifter som får registreras. Information bör vidare ges om vilka sekretess- och säkerhetsbestämmelser som gäller för databasen, vem som är personuppgiftsansvarig och hur länge uppgifterna kan kom- ma att sparas. Med hänsyn till svårigheten att bedöma hur länge en uppgift i en forskningsdatabas kan komma att behövas för sitt ändamål bör det vara tillräckligt att i detta sammanhang ange vilka gallringsbestämmelser som gäller. Rätten till rättelse av uppgifterna, till information enligt 26 § PUL, till skadestånd och att få uppgifter utplånade bör också framgå.
I bestämmelsen anges den information den enskilde i vart fall har rätt att få del av. Om det i något fall framkommer att det är lämp- ligt att annan information än den som anges i bestämmelsen bör ges kan det anges i den särskilda förordning som ska gälla för varje forskningsdatabas.
När det gäller uppgifter som inte samlas in direkt från den en- skilde utan hämtas från någon annan källa gäller andra bestämmel- ser. Enligt 24 § PUL ska den personuppgiftsansvarige lämna den registrerade information om behandlingen av uppgifterna när de re- gistreras. Från denna huvudregel finns dock undantag. Information behöver enligt andra stycket inte lämnas om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Med uttrycket ”lag eller någon annan författning” avses av riksdagen beslutad lag, förordningar beslutade av regeringen och föreskrifter som meddelats av myndighet. Sär-
450
SOU 2014:45 |
Bedömningar och förslag |
skilda registerförfattningar som innehåller bestämmelser om att en viss myndighet ska föra ett visst register för vissa ändamål med vissa uppgifter som hämtas in på visst sätt faller således vanligtvis under undantagsbestämmelsen. Det krävs dock att författnings- bestämmelserna om registrerandet av personuppgifter innehåller i stort sett den information som annars skulle ha lämnats enligt 25 § PUL.61 Jag menar att den föreslagna ramlagen i förening med de särskilda förordningar som ska gälla för varje forskningsdatabas kom- mer att innehålla tillräckligt med information om vad en registre- ring innebär och vilka personer som kan bli registrerade för att motsvara den information som ska ges enligt 25 § PUL. Undantaget från informationsplikten enligt 24 § PUL kommer således att bli tillämpligt vid tillämpning av den föreslagna lagen om forsknings- databaser.
9.4.26Registerutdrag
Det följer av 26 § PUL att en enskild person har rätt att utan kost- nad en gång om året få ut ett registerutdrag där det framgår om personuppgifter om henne eller honom behandlas och i så fall vilka uppgifter. Skyldighet att lämna ut information föreligger emellertid inte om det är särskilt föreskrivet i lag eller annan författning. För- fattningsgrundade bestämmelser om sekretess eller tystnadsplikt går således före skyldigheten att lämna registerutdrag.
I de fall uppgifter till en forskningsdatabas inhämtas direkt från den enskilde innebär kravet på registerutdrag vanligtvis inte något problem. När det gäller uppgifter i en forskningsdatabas som hämtas från andra myndighetsregister ska som ovan angetts utgångspunkten vara att uppgifterna överlämnas till forskningsdatabasen i kodad form. En skyldighet att lämna registerutdrag enligt 26 § PUL skulle innebära att den som är personuppgiftsansvarig för forskningsdata- basen vid begäran om registerutdrag skulle vara tvungen att identi- fiera uppgifterna, vilket i sig kan innebära ett integritetsintrång. Jag menar därför att den personuppgiftsansvarige endast bör ha en skyl- dighet att lämna information enligt 26 § PUL i de fall uppgifterna som behandlas i forskningsdatabasen är direkt hänförliga till en person.
61 Öman, S. och Lindblom,
451
Bedömningar och förslag |
SOU 2014:45 |
9.4.27Rättelse och skadestånd
Reglerna om rättelse och skadestånd i 28 och 48 §§ PUL gäller endast vid behandling av personuppgifter i strid med PUL. I den före- slagna lagen bör det därför särskilt anges att bestämmelserna om rättelse och skadestånd tillämpas på motsvarande sätt vid behand- ling av personuppgifter i strid med den föreslagna lagen.
9.4.28Sekretess
9.4.28.1 Sekretess till skydd för uppgifter i forskningsdatabaser
Det är viktigt att de uppgifter som behandlas i forskningsdatabaser har ett fullgott sekretesskydd. I avsnitt 9.3.3 och 9.3.4 finns en redogörelse för vilka sekretessbestämmelser som gäller till skydd för enskild inom forskning. För att stärka skyddet för uppgifter om den enskildes personliga och ekonomiska förhållanden föreslår jag i avsnitt 9.3 att sådana uppgifter bör omfattas av absolut sekretess i forskningsverksamhet. Utgångspunkten ska vara att sådana uppgifter inte får lämnas ut. Undantag ska få göras om uppgifterna ska använ- das för forskningsändamål eller för granskning av forskning. Samma starka sekretess bör gälla för uppgifter i en forskningsdatabas som förs med stöd av den föreslagna lagen. Den verksamhet som kom- mer att bedrivas med stöd av den föreslagna lagen är insamlande och utlämnande av uppgifter för forskningsändamål. Det är tveksamt om denna verksamhet kan sägas falla under begreppet forsknings- verksamhet. För att det ska bli tydligt att sekretessbestämmelsen är tillämplig för uppgifter i en forskningsdatabas bör det anges särskilt i bestämmelsen.
9.4.28.2 Utlämnande av uppgifter till forskningsdatabaser
Jag har i avsnitt 8.4.6 argumenterat för att det ska var möjligt att bygga forskningsdatabaser för framtida forskning som innehåller personuppgifter från myndighetsregister. Jag menar således att det ska vara möjligt att bygga upp forskningsdatabaser med person- uppgifter från olika statliga myndigheters register. Personuppgifter- na kommer att omfattas av olika sekretessbestämmelser beroende på från vilken verksamhet de hämtas. De registerhållande myndig- heterna ska vid begäran om uttag ur sina register göra en sekretess-
452
SOU 2014:45 |
Bedömningar och förslag |
prövning för att bedöma om uppgifterna kan lämnas ut till den myn- dighet som är ansvarig för forskningsdatabasen. Om uppgifterna till exempel finns hos en statistikansvarig myndighet i en verksam- het som avser framställning av statistik är uppgifterna skyddade av statistiksekretess enligt 24 kap. 8 § OSL. Uppgifterna får då lämnas ut för forskningsändamål, om det står klart att uppgiften kan röjas utan att den enskilde eller någon annan närstående till denne lider skada eller men. För att den utlämnande myndigheten ska kunna bedöma vad utlämnandet kan leda till måste myndigheten ha infor- mation om vad uppgifterna kommer att användas till när de lämnats ut och vem som kommer att behandla uppgifterna. När det gäller ett avgränsat forskningsprojekt är detta ofta definierat. När det gäller sådana forskningsdatabaser som jag föreslår kommer det emellertid inte vara möjligt att ange de forskningsprojekt som uppgifterna i data- basen kommer att användas till eller vem som kommer att behandla uppgifterna. Sannolikheten är därmed stor att den utlämnande myn- digheten gör bedömningen att uppgifterna inte kan lämnas ut.
I 10 kap. offentlighets- och sekretesslagen finns vissa sekretess- brytande bestämmelser och undantag från sekretess. Enligt 10 kap. 28 § hindrar inte sekretess att en uppgift lämnas till en annan myn- dighet om uppgiftsskyldighet följer av lag och förordning. En sådan uppgift om uppgiftsskyldighet i en lag eller förordning ska således gälla före en sekretessbestämmelse för samma uppgift. På detta sätt kan man reglera skyldighet för myndigheter att lämna ut uppgifter av ett visst slag, en viss myndighets rätt att ta del av uppgifter i all- mänhet eller reglera en myndighets skyldighet att lämna ut uppgifter till andra myndigheter. Det följer till exempel av 6 § förordningen om den officiella statistiken att statliga myndigheter har skyldighet att till statistikansvariga myndigheter lämna de uppgifter som behövs för framställning av officiell statistik.
Som tidigare anförts finns det starka skäl för att forskningsdata- baser ska kunna byggas av såväl uppgifter och prover som samlas in av forskare direkt från enskilda som av personuppgifter från myn- dighetsregister, och en kombination därav. Ett sätt att tillförsäkra den myndighet som för forskningsdatabasen tillgång till uppgifter ur andra myndigheters register är att ålägga andra myndigheter en skyldighet att lämna uppgifter till forskningsmyndigheten. Rege- ringen bör i de fall det anses nödvändigt att en databas innehåller uppgifter från andra myndigheter genom bestämmelser i den särskilda förordning som ska gälla för varje forskningsdatabas fastställa vilka
453
Bedömningar och förslag |
SOU 2014:45 |
myndigheter som ska vara skyldiga att lämna uppgifter och vilka uppgifter som uppgiftsskyldigheten ska omfatta.
9.4.28.3 Särskild verksamhet
Den så kallade statistiksekretessen enligt 24 kap. 8 § offentlighets- och sekretesslagen gäller i sådan särskild verksamhet hos en myn- dighet som avser framställning av statistik. I bestämmelsen används således begreppet särskild verksamhet för att avgöra när uppgifter om enskilds personliga och ekonomiska förhållanden, som kan hänföras till den enskilde, är skyddade av statistiksekretess. I 10 § förord- ningen om den officiella statistiken anges att verksamhet för fram- ställning av statistik ska vara organiserad så att den är avgränsad från myndighetens verksamhet i övrigt. På detta sätt säkerställs att statistiksekretessen blir tillämplig på de uppgifter som används för framställning av officiell statistik.62 Enligt förarbetena till sekretess- lagen åsyftas med begreppet särskild verksamhet myndigheternas egen produktion av statistik samt uppgiftsinsamling till annan myn- dighets statistikproduktion.63 Däremot omfattas inte statistik som framställs för att användas som underlag för ett beslut i ett ärende hos en myndighet, utan enligt förarbetena ska det vara fråga om en mera allmänt utredande verksamhet utan anknytning till något sär- skilt ärende. Framtagandet av officiell statistik hos de statistik- ansvariga myndigheterna är en typisk sådan verksamhet. Motsva- rande framställning av statistik kan förekomma också hos andra myndigheter. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande. Det är sådan verksamhet som avses med uttrycket ”myndigheters särskilda verksamhet för att fram- ställa statistik”.
Syftet med bestämmelsen i 10 § förordningen om den officiella statistiken är således att garantera ett starkt uppgiftsskydd för upp- gifter inom statistikproduktionen. Jag menar att samma starka skydd bör säkerställas för uppgifter i forskningsdatabaser.
Sekretess gäller som huvudregel mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet (8 kap. 1 och 2 §§ OSL). För att det ska uppstå en sekretessgräns mellan olika verksamhets-
62Statistikutredningen 2012 konstaterade vidare att statistiksekretessen tillämpas av betydligt fler myndigheter än de statistikansvariga myndigheterna. Myndigheterna själva säger sig då framställa statistik i en sådan särskild verksamhet som avses i 24 kap. 8 § offentlighets- och sekretesslagen och detta verkar inte ifrågasättas (SOU 2012:83 s. 360).
63Prop. 1979/80:2 Del A s. 263.
454
SOU 2014:45 |
Bedömningar och förslag |
grenar inom en myndighet är det emellertid inte tillräckligt att det finns olika verksamhetsgrenar. Verksamheterna måste också organi- seras på ett sådant sätt att de förhåller sig självständiga i förhållande till varandra.
De statliga myndigheter som ska ha rätt att bygga databaser enligt den föreslagna lagen ska se till att forskningsdatabasen administreras i en särskilt avgränsad enhet så att det inte ska råda någon tvekan om att den stränga forskningssekretessen är tillämplig för denna. En bestämmelse om detta bör införas i de särskilda förordningar som ska gälla för varje forskningsdatabas.
Det bör noteras att principen att sekretess gäller mellan olika verksamheter inom en myndighet medför att utlämnande till ett forskningsprojekt inom samma myndighet som för forskningsdata- basen ska ske under samma förutsättningar som om det hade varit ett projekt utanför myndigheten.
9.4.29Regeringens möjlighet att meddela föreskrifter
Som framgått ovan kommer det vid sidan av den föreslagna lagen om databaser att behövas föreskrifter som meddelas av regeringen i förordning. Frågan är på vilken konstitutionell grund detta ska ske.
Normgivningsmakten är enligt 8 kap. RF fördelad mellan riks- dagen och regeringen. Utgångspunkten är att de centrala delarna av normgivningen ska ligga hos riksdagen. I 8 kap. 2 § RF anges vilka föreskrifter som ska meddelas av riksdagen genom lag, det så kallade obligatoriska lagområdet. Det gäller framför allt föreskrifter som avser enskildas personliga ställning och om det personliga och eko- nomiska förhållandet mellan enskilda, det som brukar kallas civil- rätten. Även föreskrifter som avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldig- heter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden ska föreskrivas i lag.
Riksdagen kan i lag bemyndiga regeringen eller i vissa fall en kommun att meddela föreskrifter (8 kap. 3 och 9 §§ RF). Riksdagen får på så sätt delegera till regeringen att meddela föreskrifter som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden.
Det finns också direkt stöd i RF för regeringen att meddela före- skrifter på vissa områden. Regeringen får således utan bemyndigan- de meddela föreskrifter om verkställighet av lag (8 kap. 7 § första
455
Bedömningar och förslag |
SOU 2014:45 |
stycket 1 RF). Sådana bestämmelser kan fylla ut eller precisera lag- bestämmelser. Därutöver får regeringen enligt 8 kap. 7 § första stycket 2 RF genom förordning meddela föreskrifter som inte enligt grundlag ska beslutas av riksdagen. Denna föreskriftsrätt brukar benämnas regeringens restkompetens.
Registerförfattningar faller under regeringens restkompetens. Det innebär att föreskrifter om ett register kan meddelas av regeringen genom förordning. Som anges i framställningen ovan har riksdagen och regeringen slagit fast att målsättningen dock bör vara att myn- dighetsregister med ett stort antal registrerade och ett särskilt käns- ligt innehåll ska regleras i form av lag.64 Enligt 8 kap. 8 § RF hindrar inte den omständigheten att regeringen får meddela föreskrifter i ett visst ämne att riksdagen meddelar föreskrifter i samma ämne. Det finns således inget som hindrar att, som jag har föreslagit, reglera föreskrifter om forskningsdatabaser i lagform. Om riksdagen har lagstiftat på området för regeringens restkompetens kan regeringen som huvudregel inte meddela föreskrifter på samma område. Detta följer enligt den så kallade formella lagkraftens princip, som anges i 8 kap. 18 § RF första stycket. I bestämmelsen anges att en lag inte får ändras eller upphävas på annat sätt än genom lag. Det finns inte heller något stöd i RF att bemyndiga regeringen att meddela före- skrifter i ett sådant fall. Om riksdagen vill att regeringen fortfaran- de ska ha möjlighet att meddela föreskrifter på området kan den genom en upplysningsbestämmelse markera var gränserna går för det område som riksdagen ”tagit tillbaka” och på så vis tydliggöra vilka föreskrifter regeringen kan meddela. För att regeringen ska kunna meddela närmare föreskrifter om förhållanden som regleras i lagen krävs således en upplysningsbestämmelse om det i lagen.
9.5Biobanker
Förslag: Svenska biobanksregistret görs om till ett nationellt system för registrering av biobanksprover som regleras i lag, Nationella biobanksregistret. Socialstyrelsen ska vara person- uppgiftsansvarig för registret. PUL ska gälla vid behandling av personuppgifter, om inte annat följer av lagen.
64 Bet. 1990/91:KU 11 s. 11, bet. 1997/98:KU18 s.43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. Se även till exempel. prop. 1997/98:108 s. 39, prop. 2009/10:80 s. 183 och prop. 2011/12:176 s.20.
456
SOU 2014:45 |
Bedömningar och förslag |
Det bör under ett inledningsskede vara frivilligt för vårdgivare att lämna uppgifter till Nationella biobanksregistret. Registre- ring i registret ska vara frivilligt för den enskilde, efter att denne fått ta del av viss information. Undantag gäller för uppgifter om vävnadsprover som redan behandlas av vårdgivare före lagens ikraftträdande. Sådana uppgifter får behandlas utan den enskildes samtycke. Den enskilde ska däremot ha rätt att på begäran få sina uppgifter strukna ur registret. Socialstyrelsen ska ha ansvar för att på lämpligt sätt informera allmänheten om registret.
Uppgifter får bara behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. i syfte att möjliggöra vård och behandling av den registrerade, forskning, kvalitetssäkring och framställning av statistik samt förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke. Uppgifter får också lämnas ut om det finns en skyldighet enligt lag att göra det. I övrigt ska 9 § första stycket d och andra stycket PUL vara tillämpliga.
Nationella biobanksregistret får endast innehålla uppgifter som avser
-provgivares identitet,
-vilka andra personer som har att ta ställning till bevarande av vävnadsprover,
-ställningstaganden till bevarande av vävnadsprover,
-vävnadsprovers identitet, karaktär och hantering,
-vem som behandlar uppgifter eller vävnadsprover,
-till vem vävnadsprover utlämnas eller överlåts och
-uppgift om diagnos och analysresultat.
De uppgifter som ingår i registret ska få användas som sökbe- grepp. Direktåtkomst till uppgifter i registret ska inte vara tillåtet. Socialstyrelsen ska begränsa sina anställdas och uppdragtagares elektroniska åtkomst till vad var och en behöver för att fullgöra sina arbetsuppgifter. Gallring av uppgifter i registret ska ske i enlighet med PUL:s bestämmelser.
Bestämmelserna i PUL om rättelse och skadestånd ska tilläm- pas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med den föreslagna lagen.
457
Bedömningar och förslag |
SOU 2014:45 |
Sekretess ska gälla i Nationella biobanksregistret för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Uppgift ska dock få lämnas ut i den utsträckning som framgår av lagen om det står klart att uppgiften kan röjas utan att den en- skilde eller någon närstående till denne lider men. För uppgift i allmän handling ska sekretessen gälla i högst sjuttio år.
Sekretessen ska kunna brytas vid misstanke om allvarligare brottslighet. Den tystnadsplikt som följer av sekretessbestäm- melsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
9.5.1Bakgrund
Som jag tidigare har redovisat överlämnande Biobanksutredningen i november 2010 betänkandet En ny biobankslag (SOU 2010:81) till regeringen. Sedan betänkandet remissbehandlats beslutade Social- departementet att inte gå vidare med utredningens förslag utan att fortsätta att arbeta med förslaget inom departementet. Fråga har uppkommit om jag inom ramen för denna utredning skulle kunna gå vidare med några av Biobanksutredningens förslag som är avsedda att underlätta för forskningen. Jag har i detta arbete haft Biobanks- utredningens förslag avseende spårbarhet av vävnadsprover och biobankernas behandling av personuppgifter som utgångspunkter.
9.5.2Biobankslagen
I biobankslagen regleras hur humanbiologiskt material får samlas in, förvaras och användas för vissa ändamål, med respekt för den enskilda människans integritet (1 kap. 1 § biobankslagen). Lagen kompletteras av förordningen (2002:746) om biobanker i hälso- och sjukvården. Med biobank avses enligt definitionen i 1 kap. 2 § biobankslagen biologiskt material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ur- sprung kan härledas till den eller de människor från vilka materialet härrör. Biobankslagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen är också tillämplig på väv- nadsprover från en biobank i en vårdgivares hälso- och sjukvårds- verksamhet som lämnats ut för att förvaras och användas hos en
458
SOU 2014:45 |
Bedömningar och förslag |
annan vårdgivare, en enhet för forskning eller diagnostik, en offent- lig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och som även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Humanbiologiskt material som samlas in utanför hälso- och sjukvården omfattas inte av den nuva- rande lagstiftningen. Enligt 1 kap. 3 § tredje stycket biobankslagen är lagen inte heller tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid.
Enligt biobankslagen finns det alltid en huvudman för en bio- bank. Med huvudman avses vårdgivare, forskningsinstitution eller annan som innehar en biobank (1 kap. 2 § biobankslagen). Det är huvudmannen som fattar beslut om att inrätta en biobank, bestäm- mer för vilka ändamål biobanken ska användas och vem som ska vara ansvarig för den (2 kap. 1 § biobankslagen). Huvudmannen är skyldig att anmäla detta till Inspektionen för vård och omsorg (IVO).
En biobank får, förutom för vård och behandling och andra medi- cinska ändamål i en vårdgivares verksamhet, bara användas för ända- mål som avser kvalitetssäkring, utbildning, forskning, klinisk pröv- ning, utvecklingsarbete eller annan därmed jämförlig verksamhet (2 kap. 2 § biobankslagen). Ändamålen med biobanken ska bestäm- mas i samband med beslutet om att inrätta den (2 kap. 1 § biobank- slagen). När vävnadsproverna och övriga uppgifter om provgivaren samlas in ska det vara bestämt för vilket ändamål de ska användas. Det gäller både vävnadsproverna i biobanken och uppgifterna om provgivaren som finns i anslutning till biobanken. I 2 kap. 3 § bio- bankslagen föreskrivs att i de fall avsikten är att en biobank ska användas för ändamål som avser forskning eller klinisk prövning får ett beslut att inrätta biobanken fattas först efter prövning och god- kännande av en nämnd för forskningsetik. I praktiken är det emel- lertid inte så att en ny biobank inrättas när prover ska användas för forskning eller klinisk prövning, utan proverna hämtas vanligtvis i sådana fall från redan existerande biobanker. Användning av prover i en biobank för forskningsändamål och klinisk prövning ska god- kännas av en etikprövningsnämnd.
Enligt 3 kap. 1 § biobankslagen ska provgivaren lämna sitt sam- tycke för att ett vävnadsprov ska få samlas in och bevaras i en bio- bank. Innan samtycket lämnas ska provgivaren få information om det eller de ändamål för vilka prov i biobanken får användas. Enligt
459
Bedömningar och förslag |
SOU 2014:45 |
3 kap. 5 § biobankslagen får vävnadsprover som bevaras i en bio- bank inte användas för annat ändamål än som omfattas av tidigare information och samtycke utan att den som lämnat samtycket infor- merats om och samtyckt till det nya ändamålet. Avser det nya ända- målet forskning ska dock den etikprövningsnämnd som godkänner det nya ändamålet i samband därmed besluta om vilka krav som ska gälla i fråga om information och samtycke för att vävnadsproverna i banken ska få användas för detta.
I 4 kap. biobankslagen finns bestämmelser om utlämnande av väv- nadsprover i en biobank. Av reglerna framgår att det är den ansva- rige för biobanken som i första hand prövar frågan om utlämnande. Den som är ansvarig får dock överlämna frågan till huvudmannen för avgörande. Om den som ansvarar för en biobank hos en offentlig vårdgivare vägrar lämna ut prover i enlighet med en ansökan ska frågan på begäran av den sökande lämnas över till vårdgivaren för beslut (4 kap. 6 § biobankslagen). Vårdgivarens beslut får överklagas till IVO (6 kap. 7 § biobankslagen). Om en enskild vårdgivare och den som ansvarar för biobanken hos vårdgivaren anser att prover ur banken inte ska lämnas ut ska frågan överlämnas till IVO för pröv- ning.
Utgångspunkten är att de vävnadsprover som lämnas ut ska vara avidentifierade eller kodade (4 kap. 4 § biobankslagen). Prover som avidentifierats omfattas inte längre av biobankslagen. Om person- uppgifter lämnas ut samtidigt som ett kodat vävnadsprov ska de lämnas ut på ett sådant sätt att de inte kan kopplas samman med vävnadsprovet (4 kap. 10 § biobankslagen). Syftet med bestämmel- sen är att slå fast att den som är ansvarig för en biobank ska se till att kodade eller avidentifierade vävnadsprover ur en biobank lämnas ut på ett sådant sätt de inte kan kopplas samman med uppgifter om den enskilde provgivaren, så att denne kan identifieras. I praktiken är bestämmelsen emellertid inte alltid möjlig att följa i forsknings- sammanhang. När prover lämnas ut i kliniska läkemedelsprövningar är de kodade och en kodnyckel med en förteckning av person- nummer och kod finns kvar hos prövaren. Även i forskningsstudier är proverna ofta kodade när de lämnas till forskaren. Kodnyckeln bevaras då hos biobanken. I vissa studier är det dock nödvändigt att forskaren har tillgång till provgivarens identitet. Ett vanligt exem- pel är när information ska hämtas från flera källor, till exempel biobanker och kvalitetsregister. Om en forskare i dag behöver hitta prover från en viss patientgrupp, till exempel de som finns registre- rade i ett visst kvalitetsregister, får forskaren efter etikgodkännande
460
SOU 2014:45 |
Bedömningar och förslag |
begära ut uppgifter om personnummer för patienterna från aktuellt kvalitetsregister. Om kvalitetsregistret lämnar ut personnumren får forskaren därefter vända sig till biobanken och med utgångspunkt i personnumren fråga om det finns några prover för de aktuella patien- terna. Biobanken kan i en sådan situation inte lämna ut kodade prover om forskaren ska ha möjlighet att länka uppgifterna från kvalitets- registret till biobanksproverna. En diskussion förs nu att på lands-
I lagen finns vidare vissa begränsningar när det gäller utläm- nande av vävnadsprover till ett annat land.
Sammanfattningsvis reglerar biobankslagen i huvudsak hantering- en av själva vävnadsproverna i biobanker. När det gäller de register eller andra uppgiftssamlingar om provgivarna som kan finnas i anslut- ning till biobanken gäller främst patientdatalagen och PUL.
9.5.3Bestämmelser om spårbarhet
I hälso- och sjukvården finns det ofta anledning att samla in väv- nadsprover, till exempel blodprov eller cellprov, från patienter i samband med vård och behandling. För att proverna ska kunna an- vändas för en patients vård eller behandling vid ett senare tillfälle eller för forskningsändamål krävs det att proverna som sparas i biobanker är spårbara. Detsamma gäller om det ska vara möjligt att hitta och förstöra en viss provgivares vävnadsprover om denne åter- kallar sitt samtycke. Biobankslagen innehåller inte något uttryckligt krav på spårbarhet för insamlade vävnadsprover. I 3 kap. 6 § bio- bankslagen anges att vävnadsprover för vilka samtycket har åter- kallats omedelbart ska förstöras eller avidentifieras. För att detta ska vara möjligt i praktiken krävs det att proverna kan spåras. I 3 kap. 7 § biobankslagen anges att uppgifter om information och samtycke m.m. enligt 3 kap.
461
Bedömningar och förslag |
SOU 2014:45 |
dem. Av 4 kap. 4 § biobankslagen följer att kodnycklar ska förvaras på ett betryggande sätt.
Biobankslagens regler kompletteras av bestämmelser i Social- styrelsens föreskrifter och allmänna råd (SOSFS 2002:11) om bio- banker i hälso- och sjukvården m.m. I 5 kap. finns bestämmelser om hantering av vävnadsprover. Enligt 5 kap. 1 § ska ett vävnads- prov som har tagits inom hälso- och sjukvården för att bevaras i en biobank ställas i ordning och märkas på ett sådant sätt att provet kan kopplas samman med de personuppgifter som finns i register eller i patientjournalen i anslutning till biobanken. Vidare gäller att vävnadsprovet ska märkas med ett identifieringsnummer, till exem- pel med en kod enligt det kodsystem som vårdgivaren har fastställt för utlämnande av prover.65 Ett vävnadsprov som samlas in för vård och behandling får dock märkas med provgivarens personuppgifter, om det är nödvändigt med hänsyn till patientsäkerheten. Enligt 5 kap. 2 § ska kodnycklarna förvaras på ett sådant sätt att de inte riskerar att förstöras och så att obehöriga inte får tillgång till dem. I den lokala instruktionen ska behöriga användare anges. Enligt all- männa råd till 5 kap. 2 § bör kodnycklarna inte förvaras tillsam- mans när flera koder används. När det gäller förvaring av vävnads- prover anges i 5 kap. 3 § att vävnadsproverna ska förvaras på ett sådant sätt att kvaliteten, spårbarheten och säkerheten i biobanken tillgodoses. Vidare anges det att vävnadsproverna och provgivarnas personuppgifter ska förvaras på ett sådant sätt att obehöriga inte får tillgång till uppgifterna och kan koppla samman dessa med väv- nadsproverna.
9.5.4Personuppgiftsbehandling
Biobankslagen innehåller ett fåtal bestämmelser om behandling av personuppgifter. Enligt 2 kap. 6 § biobankslagen ska IVO föra ett automatiserat register över biobanker, vilket ska användas för till- syn, i forskningen och för framställning av statistik. Det får inte inne- hålla uppgifter om enskilda individer från vilka prover har tagits. I 5 kap. 4 § biobankslagen och 2 § förordningen om biobanker i hälso- och sjukvården m.m. anges att Stockholms läns landsting får föra ett särskilt register för screening av vävnadsprover från nyfödda barn
65 Med kod avses här ett löpnummer som ersatt provgivarens personuppgifter så att denne inte ska kunna identifieras. Förteckningen över vilka personuppgifter som motsvaras av vilka löpnummer, kodnyckeln, ska förvaras hos den vårdgivare som beslutat att samla in och för- vara vävnadsprover (4 kap. 4 § biobankslagen).
462
SOU 2014:45 |
Bedömningar och förslag |
för vissa ämnesomsättningsrubbningar
Verksamheten vid biobankerna består av insamling och bevaran- de av vävnadsprover samt behandling av de personuppgifter som hör till proverna.66 För biobankernas egen behandling av personuppgifter finns ingen särskild registerförfattning, utan behandlingen regleras av PUL. I anslutning till biobankerna bedrivs annan verksamhet i form av till exempel vård och behandling eller forskning, verksam- heter som använder personuppgifter som hämtas från biobankernas verksamhet. Inom hälso- och sjukvården regleras behandling av personuppgifter av patientdatalagen. I de fall patientdatalagen inte innehåller några specialbestämmelser är PUL tillämplig på behand- lingen av personuppgifter inom hälso- och sjukvården. PUL reglerar även personuppgiftsbehandling inom forskningsverksamhet.
Enligt PUL finns det alltid en personuppgiftsansvarig när per- sonuppgifter behandlas. Personuppgiftsansvaret uppkommer auto- matiskt. Det är den personuppgiftsansvarige som ansvarar för att behandlingen av personuppgifter sker i överensstämmelse med be- stämmelserna i PUL. Den personuppgiftsansvarige ska bland annat se till att behandlingen uppfyller de krav som anges i 9 § PUL, till exempel att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att inte fler uppgifter behand- las än vad som är nödvändigt med hänsyn till ändamålet med be- handlingen. Den personuppgiftsansvarige är enligt 26 § PUL skyldig att en gång per år till den som begär det lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte. Den per- sonuppgiftsansvarige är vidare skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behand- ling av personuppgifter i strid med PUL har orsakat. Inom hälso- och sjukvården är den nämnd inom landstinget som ansvarar för vården eller annan myndighet eller det bolag som annars bedriver vården personuppgiftsansvarig.
I sammanhanget bör nämnas att det finns särskilda register- bestämmelser för den som har tillstånd att bedriva blodverksamhet i lagen (2006:496) om blodsäkerhet och för den som har tillstånd
66 SOU 2010:81 s. 368.
463
Bedömningar och förslag |
SOU 2014:45 |
att bedriva en vävnadsinrättning finns motsvarande bestämmelser i lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler.
9.5.5Sekretess
Uppgifter i en biobank i en offentlig vårdgivares hälso- och sjuk- vårdsverksamhet skyddas av sekretess enligt OSL. I 25 kap. 1 § OSL anges att sekretess gäller inom hälso- och sjukvården för upp- gifter om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller i högst sjuttio år för uppgifter i allmänna handlingar.
Privata vårdgivare är inga myndigheter och varken rätten för allmänheten att ta del av handlingar eller uppgifter enligt TF eller offentlighets- och sekretesslagens regler gäller för dem. För den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården finns i stället bestämmelser om tystnadsplikt 6 kap.
För
9.5.6Nationellt biobanksråd och Svenska biobanksregistret
Landstingen har som tidigare redovisats infört ett gemensamt infor- mationssystem för spårbarhet av biobanksprover tagna inom svensk hälso- och sjukvård. Systemet, som har fått namnet Svenskt biobanks- register (SBR), finansieras av landstingen och samordnas via Inera AB. SBR är inte ett nationellt register, utan ett samarbete mellan Sveriges landsting och regioner. Hanteringen sker regionvis i regionala bio- bankscentra (RBC). RBC kan också ge också stöd i införandet av registret. Det finns sex RBC, ett för varje sjukvårdsregion. I varje region finns ett regionlandsting och ett antal övriga landsting. Ett RBC är inte en egen myndighet utan en organisation under region- landstinget. Varje landsting är huvudman och personuppgiftsan- svarig för sin del av registret. Genom personuppgiftsbiträdesavtal
464
SOU 2014:45 |
Bedömningar och förslag |
mellan de personuppgiftsansvariga landstingen och regionlandstinget kan respektive RBC administrera SBR för sin region. Landsting- en/regionerna uppdrar åt RBC att bistå med att på begäran av uni- versitet, högskolor och andra intressenter söka efter prov i SBR samt lämna ut kodade uppgifter till behöriga mottagare om vilka prover som finns och vilken biobank/provsamling de tillhör.
Syftet med SBR är att göra det möjligt att spåra biobanksprover. Tanken är att systemet ska underlätta vården av enskilda patienter eftersom registret gör det möjligt att hitta tidigare prover som tagits på patienten. Systemet ska samtidigt vara ett redskap för forskning och verksamhetsutveckling genom att man på ett enkelt sätt ska kunna hitta prover som kan och får användas för forskning. Det ska också vara möjligt att hitta ett prov om den person som lämnat provet återkallar eller begränsar sitt samtycke.
SBR innehåller uppgifter om personnummer och namn på den som provet är taget från, provtagningsdatum, samtycke, typ av prov som tagits (till exempel om det är ett blodprov eller ett vävnads- prov) var på kroppen provet är taget (anatomisk lokalisation) samt i vilken biobank och provsamling provet är förvarat. Vårduppgifter, till exempel provsvar eller diagnoser, registreras inte.
Den planerade rutinen när en forskare vill få information om huruvida prover finns och så fall i vilken biobank de finns lagrade är att han eller hon ska kunna skicka in ansökan om datauttag till SBR. Om det inte finns några uppgifter om de efterfrågade bio- banksproverna i SBR får forskaren besked om detta. Om uppgifter om efterfrågade biobanksprover finns i SBR, gör SBR en samman- ställning av uppgifterna. SBR konstruerar en kodnyckel och upp- gifterna om biobanksproverna kodas. Listan med kodade uppgifter skickas till sökanden med kontaktuppgifter till respektive biobank där proverna finns. SBR utlämnar därefter relevant kodnyckel till respektive biobank. Respektive biobank prövar frågan om utläm- nande av registeruppgifter och utlämnande av biobanksprover.
9.5.7Rapporten Gemensam svensk biobanksstruktur
NBR och BBMRI.se har i rapporten Gemensam svensk biobanks- struktur 2013 lämnat förslag på åtgärder för enhetlig provhantering, enhetlig datahantering, förvaltning, finansiering och kunskapsöver- föring på biobanksområdet.
465
Bedömningar och förslag |
SOU 2014:45 |
När det gäller datahantering anförs att en förutsättning för att öka användningen av biobanksprover är att biobanksanvändarna (forskare och personal inom vård och behandling) kan avgöra vilka insamlade prover som finns lagrade, vad de kan användas till och vilka prover som är jämförbara med varandra i analyshänseende.67 Det konstateras att i nuläget utgör avsaknaden av ett gemensamt språk som beskriver biobanksprover en starkt begränsande faktor för utnyttjandet av svenska biobanker. Den arbetsgrupp som arbetat med rapporten har tagit fram ett förslag till en informationsstandard för beskrivning av blodbaserade biobanksprov. Standarden ska ut- göra underlag vid utbyte av relevant provinformation mellan bio- banker och biobanksanvändare och för anpassning av de informa- tionssystem som används för inläsning, lagring och rapportering av provinformation. I rapporten konstateras vidare att det från bio- banksanvändarnas synpunkt vore fördelaktigt med en gemensam hantering av beställningar för provinsamling och provuttag. I rap- porten beskrivs genom två fall hur informationshanteringen vid en nationell provinsamling kan ske via en gemensam tjänsteplattform. Det anges att fortsatt arbete krävs för att utreda behoven av en nationell remisstandard för provinsamling, och för att i detalj definiera utformningen av tjänsteplattformen för beställningar av provinsam- ling och provuttag. Det betonas att elektronisk samtyckeshantering är central i sammanhanget för att säkerställa att insamling och uttag av prover sker i enlighet med provgivarnas beslutanderätt om ända- målen för provernas användning. I rapporten anförs att klinisk information, i synnerhet medicinsk diagnos hos provgivaren, är helt avgörande för att enskilda forskare ska kunna använda lagrade bio- banksprover för framtida forskning. För att kunna utnyttja bioban- kerna till fullo krävs därför att biobanksprover kan tillgängliggöras i ett sammanhang där provinformation vid behov kan länkas till redan insamlade data i exempelvis kvalitetsregister eller medicinska journaler. Vidare anförs att en gemensam söktjänst för biobanks- prover bör inrättas, exempelvis genom anpassning av SBR, och att tjänsten även bör omfatta möjligheten till länkning av information om biobanksprover till klinisk information i kvalitetsregister eller andra datakällor. Denna tjänst skulle enligt rapporten kunna för- stärka integritetsskyddet hos provgivarna eftersom forskarna kan förses med kodade eller avidentifierade kliniska data länkade till information om biobanksprover. Det ger i sin tur möjlighet att göra
67 Rapport från projektgruppen Gemensam Svensk Biobanksstruktur 2013 s. 15.
466
SOU 2014:45 |
Bedömningar och förslag |
beställningar av provuttag och efterföljande analys av de prover som bedömts vara värdefulla utan att röja identiteten hos individuella provgivare.
9.5.8Problem relaterade till personuppgiftsbehandling
Som anges ovan regleras personuppgiftsbehandlingen i SBR av PUL. Varje landsting är personuppgiftsansvarig för sina personuppgifter i SBR. Personuppgiftsbiträdesavtal har upprättats mellan de person- uppgiftsansvariga landstingen och det regionlandsting som RBC är kopplat till.
Ett personuppgiftsbiträde är enligt 3 § PUL den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Person- uppgiftsbiträdet får bara behandla personuppgifterna enligt givna in- struktioner och riktlinjer från den personuppgiftsansvarige. Biträdet råder inte över för vilka ändamål personuppgifterna ska behandlas. All den personuppgiftsbehandling som utförs av SBR måste således ha stöd i personuppgiftsbiträdesavtalet mellan det personuppgifts- ansvariga landstinget och regionlandstinget. Genom personuppgifts- biträdesavtalen har det regionlandsting som SBR är kopplat till bland annat fått fullmakt att lämna ut registerutdrag enligt 26 § PUL samt vidta åtgärder vid provgivarens begäran om rättelse eller utträde ur registret. Systemet med personuppgiftsbiträdesavtal är emellertid tungt att administrera och blir alltmer svårhanterligt i takt med att antalet vårdgivare ökar.
9.5.9Problem relaterade till sekretess
Som ovan anförts skyddas uppgifterna i en biobank i den offentliga vården av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. Om någon, till exempel en forskare, begär att få ta del av en handling som innehåller uppgifter om ett biobanksprov ska en sekretessprövning göras. Denna prövning ska göras av den som är huvudman för bio- banken, det vill säga respektive landsting eller region. Uppgiften att utföra sekretessprövningen kan inte överlämnas till det regionlands- ting som SBR är kopplat till (jfr 2 kap. 14 § andra stycket TF). Att utlämnandeprövningen måste göras av det landsting eller den region som är huvudman för biobanken och inte av SBR innebär att utläm- nandeprocessen blir omständlig och tar lång tid. Dessutom optime-
467
Bedömningar och förslag |
SOU 2014:45 |
rar man inte insatserna från alla inblandade huvudmän om flera måste utföra sekretessprövning för samma studie.
9.5.10Biobanksutredningens förslag avseende spårbarhet
I Biobanksutredningens uppdrag ingick bland annat att lämna förslag på ökad spårbarhet av biobanksprover och förslag på register- bestämmelser.68 Som åtgärd för att förbättra spårbarheten av bio- banksprover föreslår utredningen att SBR ska lagregleras.69 Förslaget innebär att SBR övergår från att vara ett system av register till att bli ett enda register för hela landet. Registret ska innehålla uppgifter som är tillräckliga för att varje vävnadsprov som hör till eller har hört till de ingående biobankerna ska kunna återfinnas. Uppgifter om provgivarnas aktiva ställningstaganden med mera ska registreras. Den landsomfattande registreringen ska vara frivillig för provgivarna. De ska ha rätt att motsätta sig att uppgifterna om ett vävnadsprov registreras i SBR och därmed görs tillgängligt för andra än den vårdgivare eller verksamhet i övrigt där provet togs. Utredningen föreslår vidare att det ska vara en skyldighet för alla vårdgivare, men inte för andra, att lämna dessa uppgifter till SBR. Skyldigheten bör enligt utredningen gälla även när vårdgivaren samlar in prover för en biobank i en annan verksamhet, till exempel vid klinisk läkemedels- prövning.
Utredningen föreslår att en av de stora offentliga vårdgivarna bör utses att föra registret.70 Denna vårdgivare ska ha personuppgifts- ansvar för registret. Regeringen ska bemyndigas att bestämma vilken vårdgivare som ska föra SBR. Under förutsättning att en offentlig vårdgivare utses att föra SBR kommer OSL att vara tillämplig för verksamheten i registret.71 Registret kommer att ta emot uppgifter från andra vårdgivare och lämna ut uppgifter till vårdgivare och till forskare. Uppgifterna som registret tar emot kommer i stor utsträck- ning att omfattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. Den skyldighet att lämna ut uppgifterna till SBR som utred- ningen föreslår kommer att innebära att uppgifter som omfattas av skyldigheten ska lämnas ut trots sekretessen, med stöd av 10 kap. 28 § OSL. Där anges att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller
68Dir. 2008:71
69SOU 2010:81 s. 346 f.
70SOU 2010:81 s. 351.
71SOU 2010:81 s. 352.
468
SOU 2014:45 |
Bedömningar och förslag |
förordning. Eftersom uppgifterna som lämnas ut till SBR normalt omfattas av hälso- och sjukvårdssekretess är det viktigt att en mot- svarande sekretess gäller för uppgifterna i registrets verksamhet. SBR:s verksamhet skulle enligt utredningen kunna sägas i allt väsent- ligt avse individinriktad hälso- och sjukvård och omfattas av hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL på den grunden. Till viss del kommer verksamheten att avse annat än hälso- och sjukvård. Det är dock i vart fall fråga om sådan annan medicinsk verksamhet som avses i andra meningen i den nämnda bestämmelsen. För att säkerställa att SBR omfattas av hälso- och sjukvårdssekre- tessen ska, enligt utredningens mening, verksamheten anges bland exemplen på annan medicinsk verksamhet i 25 kap. 1 § OSL. Upp- gifterna får därmed samma sekretesskydd i registret som uppgifterna hade hos den vårdgivare som lämnade ut uppgifterna till registret.
Enligt utredningens förslag ska även de som inte är skyldiga att registrera prover i SBR ha möjlighet att göra det om de så önskar. De biobanker som samlar in eller bevarar vävnadsprover utan att registrera dem i SBR ska vara skyldiga att föra register med mot- svarande uppgifter som anges i SBR. Flera biobanker ska ha rätt att föra ett gemensamt biobanksregister.
9.5.11Biobanksutredningens förslag avseende personuppgiftsbehandling
Utredningen föreslår att biobankslagen ska innehålla ett integritets- skydd för den enskilde som ska gälla vid personuppgiftsbehandling. Dessa bestämmelser ska gälla för all behandling av personuppgifter som sker i biobankens verksamhet. Bestämmelserna i biobankslagen ska dock inte gälla för den behandling av personuppgifter som sker inom den vård och behandling, forskning eller annan sådan verk- samhet som bedrivs i anslutning till biobanken. De bestämmelser som föreslås i betänkandet gäller alltså enbart för den behandling av personuppgifter som sker vid biobanken, för att kunna hantera och spåra biobankens vävnadsprover.
Enligt utredningens förslag ska en biobank få behandla person- uppgifter för
1.att säkerställa spårbarhet för vävnadsprover i den verksamhet som bedrivs enligt biobankslagen,
469
Bedömningar och förslag |
SOU 2014:45 |
2.uppgiftslämnande och utlämnande av vävnadsprover som sker i överensstämmelse med lag eller förordning, samt
3.tillsyn, forskning och framställning av statistik.72
Enligt utredningen ska ändamålet med behandlingen av personupp- gifter vara att säkerställa spårbarheten för vävnadsprover i den verk- samhet som bedrivs enligt biobankslagen. Dessutom får vävnads- proverna enbart användas för de syften som är tillåtna enligt bio- bankslagen och som biobanken är registrerad för men inte för några andra syften. Den allmänna ändamålsbestämmelsen för biobanks- lagen sätter alltså en ytterligare gräns för användningen. Det saknas enligt utredningen anledning att i denna bestämmelse återupprepa den allmänna bestämmelse som reglerar biobankernas ändamål.
Det anförs att det med hänsyn till de registrerades integritet är väsentligt att inte andra personuppgifter behandlas i biobankernas verksamhet än vad som är befogat utifrån verksamhetens ändamål.73 För att kunna uppnå spårbarhet behöver dock vissa personuppgifter behandlas. Utredningen föreslår att en biobank endast ska få behandla personuppgifter som avser
1.provgivares identitet,
2.vilka andra personer som tar ställning till vävnadsprovers bevarande,
3.ställningstaganden till bevarande av vävnadsprover,
4.vävnadsprovers identitet, karaktär och hantering,
5.vem som behandlar uppgifter eller vävnadsprover, och
6.till vem vävnadsprover utlämnas, överlåts eller upplåts.74
Med identitet avses enligt utredningen namn, personnummer eller motsvarande samt koder som ersätter dessa uppgifter. Enligt utred- ningen kan det i vissa fall finnas behov av att registrera kontakt- uppgifter, som adress eller telefonnummer. Detta bör anses ingå i begreppet identitet.
Utredningen anför att motsvarande uppgifter om andra personer än provgivarna kan komma att behöva registreras. Det gäller då per- soner som tar ställning till bevarandet av vävnadsprover, till exempel
72SOU 2010:81 s. 371 f.
73SOU 2010:81 s. 374.
74SOU 2010:81 s. 374 f.
470
SOU 2014:45 |
Bedömningar och förslag |
vårdnadshavare till barn som inte har förmåga att själva avgöra frågan. Även för den nu aktuella gruppen är det identitetsuppgifter som ska kunna registreras. För sådana personer måste även uppgifter om i vilket förhållande de står till provgivarna anses ingå i den iden- titet som kan registreras, till exempel att det är en underårig prov- givares mor som har motsatt sig att ett prov används för forskning.
Vidare anför utredningen att registret måste kunna ange uppgifter om de ställningstaganden till bevarande av vävnadsprover som görs. Det kan gälla att en provgivare har samtyckt till bevarande, har motsatt sig bevarande eller har inskränkt sitt samtycke till att avse endast ett visst angivet ändamål. Det kan gälla tidpunkter från vilka eller till vilka ett visst ställningstagande gäller.
Registret måste enligt utredningen också kunna ange uppgifter om vävnadsprovernas identitet, karaktär och hantering. Med identi- tet menas i detta sammanhang uppgifter om vilken eller vilka koder eller andra beteckningar som har getts till de enskilda proverna, till andra prover som proverna härstammar från (när ett prov har delats till flera prover) eller till provsamlingar som proverna hör till eller har hört till med mera. Till denna grupp av uppgifter räknas också ordernummer eller koder i samband med utlämnande av prover.
Uppgift om vävnadsprovernas karaktär avser vilken del av krop- pen som proverna kommer ifrån eller vilket biologiskt material som ingår i proverna, vilka provtagningsmetoder som har använts samt vilken form som proverna är lagrade i eller vilket sätt som proverna förvaras på eller har förvarats på, till exempel uppgifter om tempe- ratur.
Med vävnadsprovernas karaktär menas inte sådan information om provgivarna som kan härledas ur studier av vävnadsproverna, så- som analysresultat, diagnoser eller liknande. Det anförs att uppgifter om diagnos visserligen kan vara värdefulla för forskningen, när väv- nadsprover ska eftersökas för ett forskningsprojekt. Om bioban- kerna får behandla sådana uppgifter kan de prover som projektet behöver eftersökas direkt hos biobanken, eller i SBR, i stället för att uppgifter om vilka personer som har diagnosen ska behöva sökas i andra register och att därefter biobanksregister ska användas för att ta reda på om dessa personer har lämnat något vävnadsprov som kan användas för projektet. När flera sökningar ska göras på det beskrivna sättet är risken för att överflödig information behandlas större än om sökningen sker direkt i biobanksverksamheten. Fors- karen behöver då inte känna till namn eller personnummer på prov- givarna och kan således hållas ovetande om vem proverna härrör
471
Bedömningar och förslag |
SOU 2014:45 |
från.75 Enligt utredningen är uppgifter om diagnoser emellertid sär- skilt känsliga, eftersom de anger något centralt om den registrerade personens hälsa. Dessa uppgifter behövs heller inte för att kunna söka reda på vävnadsprover när provgivare motsätter sig fortsatt be- varande och inte heller för att kunna finna prover för provgivarens vård och behandling. Behandlingen av dessa uppgifter står alltså inte i provgivarens eget omedelbara intresse, även om forskning ibland kan leda till kliniska tillämpningar som i sin tur kan komma till användning även för provgivaren. Uppgifter om analysresultat, diagnoser eller liknande ska därför, enligt utredningens mening, inte få behandlas inom ramen för biobankernas verksamhet, utan endast i den verksamhet som bedrivs i anslutning till biobanken, till exem- pel medicinsk vård och behandling eller forskning. Uppgifterna ska då behandlas endast i den utsträckning det är tillåtet enligt de regler som gäller för den aktuella verksamheten.
Med uppgift om provets hantering avses tidpunkter för prov- tagning och registreringar, var proverna har tagits, var de förvaras, vart eller varifrån de ska sändas eller har sänts eller annan sådan in- formation, såsom uppgifter om utlämnande, överlåtelse, upplåtelse, förstörelse, avidentifiering eller andra skäl till att prover saknas i en provsamling. När vävnadsprover har lämnats ut för forskningsända- mål bör forskningsstudien anges, till exempel genom en identitets- beteckning.
Utredningen anför vidare att alla de angivna typerna av uppgifter inte kommer att behöva registreras för varje vävnadsprov, men att alla sådana uppgifter måste vara möjliga att registrera för att bio- bankerna ska kunna spåra varje enskilt prov för de olika tillåtna ända- målen enligt biobankslagen och kunna hålla tillräcklig ordning i provsamlingarna. Det konstateras till exempel att för att det ska vara möjligt att söka efter vävnadsprover som är av betydelse för viss forskning måste det kunna finnas ganska detaljerade uppgifter om proverna. För ett visst forskningsprojekt kanske det inte är möjligt att använda prover som har förvarats i rumstemperatur, utan enbart prover som har frysförvarats vid
Utredningen anser att registret bör innehålla uppgifter om vem som behandlar uppgifter eller vävnadsprover, för att vävnadsprover- na ska kunna hanteras på ett säkert sätt och inte förkomma. Det
75 SOU 2010:81 s. 376 f.
472
SOU 2014:45 |
Bedömningar och förslag |
kan vara fråga om den som har tagit ett prov, den som har beställt en analys av ett prov, den som utför analysen av provet, den som hanterar provet i samband med preparering eller för förvaring eller den som är ansvarig för biobanken och i denna egenskap kommer i kontakt med information om proverna. Sådana personuppgifter bör kunna anges eftersom de har betydelse för spårbarheten.
Av det föregående framgår att det i registren måste anges till vem vävnadsprover har utlämnats, överlåtits eller upplåtits, för att spårbarhetskravet ska kunna vara uppfyllt. Normalt är mottagaren ett landsting, en forskningsinstitution, ett aktiebolag eller någon annan juridisk person. Ibland är mottagaren i stället en fysisk person, som till exempel en enskild forskare. Det är då fråga om en person- uppgift om denne, men inte om en känslig personuppgift enligt 13 § personuppgiftslagen. Uppgifter om mottagarens identitet måste kunna registreras.
Utredningen föreslår vidare att huvudmannen för biobanken ska vara personuppgiftsansvarig för behandlingen av personuppgifter i biobankens verksamhet.76 Den vårdgivare som för SBR ska vara personuppgiftsansvarig för behandlingen av personuppgifter i SBR. Den personuppgiftsbehandling som vårdgivarna utför när de samlar in och lämnar ut uppgifter till registret faller inom vårdgivarens ansvar enligt patientdatalagen. Överföringen av uppgifter från dessa vårdgivare till SBR ingår dock i personuppgiftsansvaret för SBR. Motsvarande gäller för utlämnande av personuppgifter från registret.
Enligt utredningens förslag ska den enskilde ha rätt att motsätta sig att uppgifter om ett vävnadsprov som han eller hon har lämnat registreras i SBR, om bevarandet av det tillhörande vävnadsprovet är beroende av den enskildes inställning. Utredningen ger också för- slag på bestämmelser om sökbegrepp, tilldelning av behörigheter och kontroll av åtkomst, rättelse, skadestånd och överklagande vid be- handling av personuppgifter i biobanksregister.
9.5.12Sammanfattning av remissinstansernas synpunkter
9.5.12.1 Lagreglering av SBR
Flera universitet och landsting är positiva till att SBR lagstadgas. Flera landsting och bland andra Astra Zeneca anser vidare att det är bra att det är obligatoriskt för vårdgivare att registrera sparade prov
76 SOU 2010:81 s. 381.
473
Bedömningar och förslag |
SOU 2014:45 |
i SBR. Landstinget i Östergötland och Linköpings universitet mot- sätter sig utredningens förslag att enbart vårdgivare ska vara skyldiga att lämna in rapporter till registret. Smittskyddsinstitutet77 anser att det föreslagna registret även borde omfatta de prover som ingår i institutets biobank. Stockholms läns landsting, Landstinget Dalarna och Landstinget i Sörmland påpekar att det finns några fall där registerföring i SBR inte fyller någon funktion och till och med kan vara olämpligt, exempelvis prover som tagits med stöd av tvångs- lagstiftning, vävnader för transplantations- och transfusionsändamål samt
VR och KI anser att Socialstyrelsen ska hantera SBR. KI anser vidare att för att SBR ska kunna vara användbart för att underlätta forskning krävs att registret genom koppling till andra hälsodata-
77 Smittskyddsinstitutet har den 1 januari 2014 gått upp i Folkhälsomyndigheten.
474
SOU 2014:45 |
Bedömningar och förslag |
register kan få inhämta och bevara information om sjukdoms- diagnoser på aggregerad nivå. Landstinget Dalarna anser att infor- mationsskyldigheten till provgivare bör utvidgas till att omfatta även information om registrering i SBR. Regionala etikprövningsnämn- den i Linköping vill betona vikten av att olika tillämpningsbestäm- melser utformas så strikt att risken för missbruk minimeras. Lands- tinget i Östergötland föreslår att huvudregeln blir att alla biobanker ska lämna elektronisk information om samtliga sina prover till svenska biobanksregistret, senast
Gentekniknämnden anser att det inte är rimligt att göra ett re- gister obligatoriskt när det ännu inte är färdigutvecklat och prövat i praktiken. Centrala etikprövningsnämnden ifrågasätter om inte tanken på lagstiftning är alltför tidigt väckt då det nya registret medför behov av en stor administrativ insats från vårdpersonalens sida som inte ska underskattas. Landstinget i Kalmar län föreslår en omprövning av förslaget som innebär att det ska vara en skyldighet för alla vårdgivare – men inte för andra – att lämna uppgifter till SBR och i stället öppna möjligheten för biobankerna att ansluta sig till SBR utan att ställa något krav på detta. Jämtlands läns landsting bedömer att förslaget om att genom lagstiftning kräva att biobanker- nas vävnadsprover ska registreras i SBR medför en påtaglig risk att låsa fast utvecklingen vid en lösning som kanske inte är hållbar på sikt eller som inte smidigt kan anpassas till skilda slag av verksam- heter eller till förändringar i dessa. Regionala etikprövningsnämnden i Umeå framhåller att ett gemensamt register över samtliga vävnads- prover i biobanker kommer att innebära onödig registrering av prov som har tagits inom vården och ett betydande mått av dubbelregi- strering. Uppsala universitet ifrågasätter om det är rimligt att i lagen specificera vilken lösning som ska användas för spårbarhet. Region Skåne anser att förslaget förefaller illa genomtänkt med tanke på möjligheten att använda biobanksprover från olika huvudmän för forskning. Landstinget Västmanland anser att förslaget som innebär att SBR:s användare utvidgas till alla vårdgivare ställer orimliga krav på till exempel primärvården. Regionala etikprövningsnämnden i Umeå anser att etik- och konsekvensanalysen av ett nationellt svenskt biobanksregister är bristfällig. Biomedicinsk analytikerförening har svårt att bedöma hur förslaget kommer att påverka den administra- tiva bördan ute hos huvudmännen. Landstinget i Värmland menar att förslaget kommer att innebära en kostnadskrävande verksamhets- förändring.
475
Bedömningar och förslag |
SOU 2014:45 |
Datainspektionen anser att det är svårt att överblicka konsekven- serna för integritetsskyddet som helhet beträffande både spårbar- hetsregistrering och framtida forskning. Regionala etikprövnings- nämnden i Lund konstaterar att en viktig fråga som lämnats därhän i betänkandet är hur spårbarheten ska fungera i praktiken. Landstinget i Uppsala län påpekar att de i lagförslaget är oklart hur spårbarhets- kravet ska tillgodoses i fallet med överlämnande av prover mellan två huvudmän utan formell överlämning.
9.5.12.2 Biobankernas behandling av personuppgifter
Flera remissinstanser, bland andra Lunds universitet och Landstinget i Kalmar län är positiva till utredningens förslag gällande behandling av personuppgifter. SKL, Göteborgs universitet och en majoritet av remissinstanserna anser dock, till skillnad från utredningen, att upp- gifter om analysresultat och diagnos bör vara tillåtna att behandla i biobankens eget register. Smittskyddsinstitutet, SKL, Unilabs samt flera landsting med flera påpekar att det inte är praktiskt möjligt att skilja på den verksamhet som bedrivs i biobanken och den som bedrivs i anslutning till biobanken då information för att bedriva vård finns i samma
476
SOU 2014:45 |
Bedömningar och förslag |
Cancerfonden anser att det vore av godo om det i en den nya biobankslagen framgick att det ska vara vägledande för utlämning av personuppgifter från andra register huruvida etikprövningsnämnd efter mensprövning godkänt förfarandet eller ej. Uppsala universitet föreslår att en särskild paragraf införs i den nya biobankslagen med innebörden att etikprövningsnämnderna ska göra en mensprövning av den behandling av personuppgifter som ingår i ett forsknings- projekt samt att denna mensprövning ska vara vägledande vid myn- dighetens utlämning av personuppgifter. KI anser att Socialstyrelsen bör ges ett bemyndigande att ta fram statistik om de medicinska diagnoser på biobanksnivå som behövs för att Sverige skall kunna delta i internationella biobankssamarbeten. Landstinget i Jönköpings län menar att man bör undersöka vilka möjligheter till selektering av information vid överföring som finns i dag.
Datainspektionen frågar sig om inte den enskildes integritets- skydd kan komma att försvagas inom hälso- och sjukvårdsområdet som helhet som en följd av förslagen. Regionala etikprövningsnämn- den i Lund anser att det bör analyseras närmare vilka eventuella regel- konflikter som kan finnas hos huvudmän som är vårdgivare med regler om personuppgiftsbehandling i patientdatalagen, blodsäker- hetslagen eller vävnadslagen. Regionala etikprövningsnämnden i Umeå anser att frågan om utlämnande av journalhandlingar för forsknings- ändamål är otillräckligt analyserad och att patientens rättigheter inte tillgodoses i tillräcklig omfattning. Rättsmedicinalverket anser att det är oklart i vilken utsträckning biobankslagen bestämmelser om behandling av personuppgifter avses omfatta uppgift om avliden. Datainspektionen anser att det är en brist att det inte framgår vad som ska gälla för åtkomsten till personuppgifterna.
9.5.13Slutsatser
Enligt Biobanksutredningens förslag ska SBR lagregleras och göras till ett nationellt system för registrering av biobankprover. Lösning- en skulle innebära att det finns en huvudman som också är person- uppgiftsansvarig för behandlingen av personuppgifter i SBR. Det skulle också innebära att det finns en central part som kan göra sekretessprövningen när någon begär uttag ur registret.
Många remissinstanser är positiva till idén om lagreglering av SBR och tillskapandet av ett nationellt register. En del menar att målsätt- ningen är god men att det är för tidigt att göra systemet obliga-
477
Bedömningar och förslag |
SOU 2014:45 |
toriskt. För att en centralisering av SBR ska förbättra spårbarheten krävs det att registret har en god täckning. Enligt utredningens förslag ska det vara en skyldighet för alla vårdgivare, men inte för andra, att lämna uppgifter till SBR. Bland remissinstanserna finns det vissa som vill att den skyldigheten ska utökas utöver prover som tas utanför hälso- och sjukvården, andra menar att skyldigheten inte bör gälla alla prover som tas inom hälso- och sjukvården, till exempel prover som tas för kliniska prövningar.
Biobanksutredningens förslag angående behandling av person- uppgifter är avsett att tillämpas på såväl SBR som biobanker. I för- slaget anges att bestämmelserna inte ska gälla den personuppgifts- behandling som avser vård och behandling, forskning eller annan sådan verksamhet som bedrivs i anslutning till biobanken. Utred- ningen utgår således från att det är möjligt att skilja mellan den behandling av personuppgifter som sker i själva biobankens verksam- het och den behandling som sker i hälso- och sjukvård eller forsk- ning som bedrivs i anslutning till denna. Förslaget har på denna punkt kritiserats av många remissinstanser. Att göra en sådan åtskill- nad bedöms i praktiken vara svårt. Utredningens förslag på lag- reglering av biobankernas behandling av personuppgifter kan emeller- tid användas som en utgångspunkt vid utformningen av ett förslag på lagreglering av personuppgiftsbehandling i SBR. Med hänsyn till de synpunkter som framkommit under remissbehandlingen finns dock skäl att göra vissa modifieringar.
9.5.14En särskild lag om Nationella biobanksregistret
9.5.14.1 Intresseavvägning
Det är tydligt att det finns ett behov av ett nationellt register för bio- banksprover för att förbättra spårbarheten av prover. Frågan är vilka konsekvenser ett sådant register kan medföra från integritetssyn- punkt. Registret kommer att innehålla en stor mängd uppgifter om ett stort antal personer och kommer att bevaras under lång tid. En- ligt mitt förslag ska registret bland annat innehålla uppgift om diagnos och analysresultat, som utgör känsliga personuppgifter enligt PUL:s definition. Att uppgifter förvaras på detta sätt kan innebära ökad risk för att informationen sprids till en större krets än nödvändigt eller missbrukas på något sätt.
478
SOU 2014:45 |
Bedömningar och förslag |
Ett rikstäckande register för biobanksprover kan leda till för- bättring av vården för den enskilda patienten. Registret medför att det blir lättare att undersöka om det finns tidigare prover tagna på patienten, även om prover lämnats i olika delar av landet. Med ett nationellt register blir det lättare att hitta till exempel referensprov med en sällsynt blodgrupp eller ovanlig antikropp eller alla gyne- kologiska cellprov från en patient som har utvecklat cancer. Registret gör det vidare möjligt att vid misstanke om ärftliga sjukdomar hitta släktingars prover.
Ett skäl att införa ett nationellt register är också att det förbättrar den enskildes möjlighet att utöva sin rätt att återkalla sitt samtycke till användningen av vävnadsprover. Det är inte alltid lätt för den enskilde att komma ihåg var vävnadsprover har lämnats och vilken biobank de tillhör. Systemet med ett nationellt biobanksregister gör det lättare för den enskilde att få överblick över vilka vävnads- prover som finns och var de bevaras.
Ett nationellt register för vävnadsprover skulle vidare vara en stor tillgång för forskningen som kan leda till värdefull ny kunskap. Ett sådant register gör det lättare att koppla samman uppgifter från olika källor, till exempel biobanker och kvalitetsregister eller hälso- dataregister. De resultat som kan uppnås med forskningen kan i förlängningen leda till utveckling av vård och behandling och därmed en förbättrad situation för enskilda patienter.
Enligt förslaget ska uppgifter om vävnadsprover som huvud- regel endast få registreras i det nationella registret om den enskilde lämnat sitt samtycke till registreringen. När det gäller uppgifter om vävnadsprover som redan behandlas inom vården när registret införs bedöms det vara praktiskt omöjligt att införa ett krav på samtycke för registrering. I stället ska den enskilde alltid ha möjlighet att be- gära att uppgifter om honom eller henne i registret utplånas. Det bör i detta sammanhang framföras att den enskilde enligt biobank- slagen alltid lämnar samtycke till bevarandet av ett prov och för vilka ändamål det får användas. Det är endast registreringen av uppgifterna i det nationella registret som den enskilde inte har lämnat sitt sam- tycke till.
För att minska risken för att uppgifter i ett spårbarhetsregister missbrukas ska behandlingen av uppgifterna i registret regleras på lämpligt sätt. Endast uppgifter som behövs för ändamålet att spåra prover ska få registreras. De enskildes rätt till självbestämmande ska garanteras genom god information. Den interna hanteringen av uppgifterna i registret och utlämnande av uppgifter från registret
479
Bedömningar och förslag |
SOU 2014:45 |
ska regleras. Vidare ska uppgifterna skyddas av stark sekretess. Upp- gifterna bör även vara omgärdade av god teknisk säkerhet. Samman- fattningsvis menar jag att de integritetsrisker som finns kan minimeras genom ett lämpligt regelverk och att de fördelar som ett nationellt spårbarhetsregister medför uppväger riskerna för integriteten.
9.5.14.2 Lagens tillämpningsområde
Liksom Biobanksutredningen anser jag att SBR bör utvecklas till ett nationellt system för registrering av biobanksprover, lämpligen kallat Nationella biobanksregistret.
Enligt 2 kap. 6 § andra stycket RF är var och en skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den en- skildes personliga förhållanden (se vidare 5.3.2). Behandling som sker med den enskildes samtycke faller utanför grundlagsbestämmel- sens tillämpningsområde. Registrering i Nationella biobanksregistret ska som huvudregel vara frivilligt för den enskilde. Behandling av historiska data ska dock få ske utan att den enskilde lämnat sitt ut- tryckliga samtycke. Eftersom behandling av personuppgifter i ett sådant register som här föreslås kan anses utgöra en sådan begräns- ning av integritetsskyddet som avses i 2 kap. 6 § andra stycket RF bör reglering ske i lag.
I biobankslagen regleras hur humanbiologiskt material ska få sam- las in, förvaras och användas för vissa ändamål. En biobank definieras enligt lagen som material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör. Med människa avses levande eller avliden person eller foster (1 kap. 2 § biobankslagen). Med personuppgifter avses enligt PUL:s definit- ion endast personer som är i livet (3 § PUL). Uppgifter om avlidna och foster utgör således inte personuppgifter enligt PUL:s definition. Registret bör dock få innehålla uppgifter om vävnadsprover från avlidna och foster. För tydlighets skull bör det därför i lagen anges att Socialstyrelsen får behandla uppgifter i Nationella biobanks- registret. Lagen ska avse behandling av uppgifter som är helt eller delvis automatiserad.
480
SOU 2014:45 |
Bedömningar och förslag |
9.5.14.3 Vem ska föra Nationella biobanksregistret?
Enligt Biobanksutredningens förslag bör en av de stora offentliga vårdgivarna utses att föra det nationella biobanksregistret. Utred- ningen föreslår att regeringen bemyndigas att bestämma vilken vård- givare som ska föra registret. Utredningen redogör emellertid inte för skälen till varför en vårdgivare bör föra registret.
Jag menar att ett nationellt register över biobanksprover bör föras av Socialstyrelsen. Socialstyrelsen för i dag ett flertal hälsodataregi- ster enligt lagen om hälsodataregister och har kompetens och rutin att föra omfattande register med känsliga personuppgifter. Det skulle också innebära en fördel ut ett forskningsperspektiv då det på myndigheten redan finns en organisation till stöd för forsk- ningsverksamhet. Socialstyrelsen har i dag i uppgift att ge stöd vid sambearbetning av uppgifter från kvalitetsregister och andra register. Sambearbetning av uppgifter från kvalitetsregister och biobanks- register torde bli vanligt. Om uppgiften att föra ett nationellt bio- banksregister läggs på Socialstyrelsen kan myndigheten vara behjälp- lig vid sambearbetning av till exempel uppgifter från hälsodataregister och uppgifter ur biobanksregistret. Forskare kan då få ut kodade uppgifter och efter prövning hos en biobank också biologiska prover från samma personer, samtidigt som Socialstyrelsen behåller kod- nyckeln.
Uppgifter i det nationella biobanksregistret ska även kunna använ- das för är att kunna spåra prover som kan använda i den enskildes vård och behandling samt när den enskilde återkallat sitt samtycke. Socialstyrelsen har i dag inte uppgiften att bistå vården gällande vårdbehov. Det har därför ifrågasatts om myndigheten har möjlighet att tillräckligt snabbt bistå vården med den information som behövs för den enskildes vård. Det har också framförts att ett nationellt bio- banksregister skiljer sig väsentligt från de register Socialstyrelsen redan för. Uppgifter till hälsodataregistren lämnas till Socialstyrelsen genom uppgiftsskyldighet som regleras i lag och registrering av upp- gifter sker utan den enskildes samtycke. Enligt förslaget ska det vara frivilligt för vårdgivare att lämna uppgifter till Nationella biobanks- registret och den enskilde ska som huvudregel ha lämnat samtycke till registrering. Nya rutiner kommer att behövas för att hantera sam- tycket från enskilda. Är det den vårdgivare som samlat in provet eller Socialstyrelsen som ska ta ansvaret för att uppgiften om sam- tycket är aktuell? Hur ofta ska registret uppdateras? Ska Social- styrelsen ha ansvar för att återkoppla till den som bevarar provet
481
Bedömningar och förslag |
SOU 2014:45 |
om den enskilde återkallar sitt samtycke? Jag menar att det får ankom- ma på Socialstyrelsen att organisera registret så att det är möjligt att lämna den service till vårdgivare som krävs i vårdsammanhang. Det bör också ankomma på myndigheten att utveckla rutiner för regi- strering av den enskildes samtycke och bistå den som återkallat sitt samtycke så att proverna förstörs eller avidentifierats. Trots den nya organisation som kommer att krävas bedömer jag ändå att Social- styrelsen är den myndighet som bör ha ansvar för Nationella bio- banksregistret.
9.5.14.4Skyldighet att lämna uppgifter till Nationella biobanksregistret
Biobankslagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen är också tillämplig på vävnadsprover från en biobank i en vårdgivares hälso- och sjukvårdsverksamhet som lämnats ut för att förvaras och användas hos en annan vård- givare, en enhet för forskning eller diagnostik, en offentlig forsknings- institution, ett läkemedelsbolag eller en annan juridisk person och som även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. För att Nationella biobanksregistret ska kunna uppfylla det önskade syftet på god spårbarhet för vävnadsprover är det viktigt med hög täckningsgrad. De allra flesta vävnadsprover tas inom hälso- och sjukvården. Det finns visserligen många biobanker utanför hälso- och sjukvåden men de består framför allt av prover som hämtats från hälso- och sjukvården. Det nationella registret torde därmed få en god täckning om vårdgivarna lämnar uppgifter till Nationella biobanksregistret.
För att registret ska bli användbart är det viktigt att vårdgivarna lämnar uppgifter om prover till registret. Ett sätt att uppnå det är att som Biobanksutredningen föreslå att uppgiftslämnande till registret ska vara obligatoriskt. Till skillnad från utredningen anser jag emeller- tid att det i ett inledningsskede bör vara frivilligt för vårdgivare att lämna uppgifter till Nationella biobanksregistret. På sikt bör dock ett krav på uppgiftslämnande för vårdgivare införas. Hur detta krav ska utformas bör utredas vidare. I samband därmed bör även utredas närmare vilket behov det finns av registrering av vävnadsprover för kliniska prövningar som tas inom vården.
482
SOU 2014:45 |
Bedömningar och förslag |
Landstingen har infört och finansierar RBC, bland annat för att bistå sin region med att hantera och införa SBR. Det är lämpligt att denna funktion finns kvar. RBC har kontakt med biobankerna och biobankssamordnarna i respektive region och bör därför kunna bistå landstingen och Socialstyrelsen att få in uppgifter till Nationella biobanksregistret.
Det finns också samlingar med prover som tagits utanför hälso- och sjukvåden. Dessa omfattas inte av biobankslagens bestämmelser. Sådana biobanker kan finnas hos universitet, högskolor, företag eller hos en myndighet, till exempel Livsmedelsverket. Proverna används vanligen för forskningsstudier och kliniska prövningar. Det bör finnas en möjlighet även för sådana biobanker att registrera uppgifter om prover i ett nationellt register. Det har dock inte varat möjligt att inom ramen för denna utredning bedöma de närmare förutsättningar- na för att detta ska kunna ske. Även denna fråga bör utredas vidare.
9.5.14.5 Förhållande till personuppgiftslagen
Av 2 § PUL följer att i de fall det i annan lag eller förordning finns bestämmelser som avviker från PUL ska de bestämmelserna gälla. Lagen om Svenskt biobanksregister bör innehålla de särbestämmel- ser som ska gälla för behandlingen av personuppgifter i registret. I övrigt ska PUL:s bestämmelser vara tillämpliga.
9.5.14.6Den registrerades inställning till personuppgiftsbehandling
Uppgifterna i Nationella biobanksregistret ska hämtas från vårdgivare som faller under biobankslagens tillämpningsområde. Registrering i Nationella biobanksregistret ska vara frivilligt för den enskilde. Om den enskilde inte lämnar sitt samtycke till registrering i det nationella registret kommer uppgifterna såldes endast att registreras lokalt, hos den vårdgivare där provet togs. Innan den enskilde tar ställning ska han eller hon få utförlig information om vad registreringen inne- bär. Av informationen bör framgå att det är frivilligt att lämna upp- gifter, för vilka ändamål behandling kan ske och vilka uppgifter som får registreras. För att den enskilde ska ha möjlighet att bilda sig en uppfattning om vad registreringen innebär bör informationen även omfatta en rad andra omständigheter, till exempel de sekretess- och
483
Bedömningar och förslag |
SOU 2014:45 |
säkerhetsbestämmelser som gäller för registret med mera. Den regi- strerade ska också ha rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas.
Sådant samtyckes- och informationskrav som beskrivs ovan är möjligt att föreskriva för de uppgifter om vävnadsprover som börjar behandlas hos vårdgivare som omfattas av biobankslagen efter det att den föreslagna lagen trätt i kraft. Lämpliga rutiner för information och inhämtande av samtycke får utarbetas. För uppgifter som redan behandlas av en vårdgivare när lagen träder i kraft är situationen en annan. När det gäller dessa prover är det inte alltid möjligt att lämna den information som anges i första stycket eller inhämta den enskil- des samtycke för registrering i Nationella biobanksregistret. Vävnads- proverna och tillhörande uppgifter har samlats in under en lång tid och det rör sig om ett mycket stort material. Att kontakta samtliga registrerade är knappast möjligt, dels för att det är alltför tidskrävan- de och kostsamt, dels för att det i vissa fall inte kommer vara möjligt eftersom den registrerade avlidit eller av annan anledning inte kan nås. För att kunna användas för spårbarhet av biobanksprover krävs det dock att registret innehåller ett stort och så långt som möjligt heltäckande material. Här måste således en avvägning mellan olika intressen göras.
Ur ett integritetsperspektiv är det viktigt att den enskilde har rätt att själv bestämma hur hans eller hennas personuppgifter ska användas. Ett krav på samtycke för registrering av gamla uppgifter skulle i praktiken innebära att sådana data i många fall inte skulle kunna registreras i Nationella biobanksregistret. Ett nationellt system för spårbarhet av biobanksprover ökar emellertid möjligheten att förbättra vården för den enskilde, till exempel genom att patologer och mikrobiologer om ett referensprov behövs på ett enkelt sätt kan hitta prover som tidigare tagits på patienten. Ett heltäckande nationellt system är också användbart om den enskilde vill återkalla sitt samtycke. Vidare finns det ett stort samhälleligt intresse av att den resurs som biobankerna utgör kan utnyttjas bättre än vad som i dag är fallet. Ett nationellt register för biobanker medför att förut- sättningarna för forskning förbättras, eftersom det blir lättare att hitta prover som kan användas för forskningsändamål. Det kan i sin tur leda till forskningsresultat som kan vara till nytta för många. För att utgöra en reell resurs som kan användas för forskning krävs det ofta stora material. Stora material kan ge kunskap som inte kan nås på annat sätt. Om gamla uppgifter inte skulle få behandlas i
484
SOU 2014:45 |
Bedömningar och förslag |
Nationella biobanksregistret kommer det dröja upp till tio år innan registret utgör en reell resurs för forskningen.
Mot bakgrund av det anförda anser jag att uppgifter om bio- banksprover som redan nu finns hos vårdgivare ska få registreras i Nationella biobanksregistret även om den enskilde inte har fått den information som anges i den föreslagna lagen och gett sitt uttryckliga samtycke. Den enskilde ska däremot ha rätt att på begäran få sina upp- gifter strukna ur registret. En sådan reglering hindrar naturligtvis inte att en vårdgivare inhämtar samtycke i enlighet med föreslagna lagen om det är möjligt.
För att de registrerade ska ha möjlighet att utnyttja sin möjlighet att utträda ur registret är det viktigt att allmänheten på ett lämpligt sätt informeras om Nationella biobanksregistrets existens, dess ändamål och innehåll. Det bör åligga Socialstyrelsen att på lämpligt sätt informera allmänheten om registret.
9.5.14.7 Underåriga
Enligt föräldrabalken har ett barns föräldrar rätt och skyldighet att bestämma om barnets personliga angelägenheter (6 kap. 11 § föräldra- balken). Barnets vårdnadshavare ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål. Står barnet under vårdnad av två vårdnadshavare utövas vårdnaden av dem tillsammans (6 kap. 13 § föräldrabalken).
PUL innehåller inte någon särskild reglering när det gäller under- åriga. I 10 § PUL föreskrivs att personuppgiftsbehandling endast är tillåten under vissa förutsättningar. En sådan är att den registrerade har lämnat sitt samtycke till behandlingen. Den som faktiskt kan tillgodogöra sig information och som faktiskt kan avge en frivillig viljeyttring kan lämna ett rättsligt giltigt samtycke. Frågan om när någon har uppnått sådan ålder och mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständig- heterna i varje särskilt fall. Föräldrar och andra ställföreträdare har antagits kunna lämna samtycke för den som inte kan bli informerad eller avge en viljeyttring.78 Enligt Datainspektionen kan den som är underårig lämna giltigt samtycke till en tilltänkt behandling om han eller hon är kapabel att förstå innebörden av samtycket. Huruvida även den underåriges vårdnadshavare måste lämna sitt samtycke
78 SOU 1997:39 s. 342, jfr Öman S. och Lindblom,
485
Bedömningar och förslag |
SOU 2014:45 |
varierar från fall till fall och beror på faktorer som ålder, uppgifternas art och ändamålet med behandlingen. Datainspektionen har ansett att den som fyllt 15 år normalt är kapabel att själv ta ställning till samtyckesfrågan.79
Uppgifter om ett vävnadsprov som redan behandlas hos en vård- givare när lagen om Nationella biobanksregistret träder i kraft ska enligt huvudregeln inte få behandlas i Nationella biobanksregistret om den enskilde motsätter sig det. I de fall den registrerade är under- årig är det i stället den underåriges vårdnadshavare som har möjlighet att motsätta sig behandlingen. När det gäller uppgifter som registre- ras i sådan verksamhet som avses i biobankslagen efter ikraftträdan- det av denna lag och som avser minderåriga bör huvudregeln vara att en underårig inte får registreras i Nationella biobanksregistret utan att den underåriges vårdnadshavare fått sådan information som anges avsnitt 9.5.19. och därefter lämnat sitt samtycke.
I de fall den underårige uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan ska dock reglerna om sam- tycke gälla den underårige själv.
9.5.14.8 Beslutsoförmögna
I juni 2012 tillsattes en särskild utredare med uppdrag att lämna förslag till en reglering för personer som på grund av att de är besluts- oförmögna helt eller delvis saknar möjlighet att fullt ut vara delaktiga eller på annat sätt utöva sitt självbestämmande i situationer då detta förutsätts inom hälso- och sjukvård, tandvård eller forskning. Utred- ningen80 ska efter tilläggsdirektiv redovisa sina slutsatser senast den 1 januari 2015. Bestämmelserna om beslutsoförmögna i nu aktuell lag bör följa övrig reglering på området, varför utredningens slut- satser bör avvaktas.
9.5.14.9 Personuppgiftsansvar
Socialstyrelsen ska vara personuppgiftsansvarig för behandling av personuppgifter i registret.
79Datainspektionen informerar – Samtycke enligt personuppgiftslagen s. 10.
80Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, tandvård, social- tjänst och forskning (S 2012:06).
486
SOU 2014:45 |
Bedömningar och förslag |
9.5.14.10 Behandling av personuppgifter
Det följer av 9 § PUL att uppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Som tidigare diskute- rats är ändamålsbestämmelsen i en registerförfattning av central be- tydelse, särskilt när det gäller känsliga personuppgifter enligt 13 § PUL. Ändamålsbestämmelsen anger ramen för registrets innehåll och på vilket sätt uppgifterna i registret får tillämpas. Hur ändamålet avgränsas är således av betydelse för skyddet för den personliga integriteten.
Syftet med det nationella biobanksregistret ska vara att möjlig- göra spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § biobankslagen. Det ska således anges som det primära ändamålet med behandlingen. Behandling av personuppgifter i re- gistret bör dock endast vara tillåten för vissa syften; att möjliggöra vård och behandling av den registrerade, forskning, kvalitetssäkring och framställning av statistik eller förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke. På detta sätt sker ytterligare en specificering av ändamålet.
Exakt hur detaljerad en ändamålsbeskrivning ska vara får avgöras från fall till fall. Riksdag och regering har dock tidigare gjort be- dömningen att forskning är ett tillräckligt preciserat ändamål enligt dataskyddsdirektivet.81 Sammanfattningsvis bedömer jag att den ovan angivna ändamålsbeskrivningen är tillräckligt preciserad för att upp- fylla direktivets och PUL:s krav.
Reglerna om allmänna handlingar och offentlighetsprincipen har företräde framför bestämmelserna i PUL. Utlämnande av uppgifter med stöd av TF kan således ske utan hinder av bestämmelserna i PUL (8 § första stycket PUL). I 10 kap. OSL finns sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess som medför att sekretessbelagda uppgifter får lämnas ut i vissa situatio- ner. Till exempel hindar inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förord- ning (10 kap. 28 § OSL). För att det inte ska råda någon oklarhet om förhållandet mellan den föreslagna lagen och annan lagstiftning som innebär en uppgiftsskyldighet bör uppgifter också få lämnas ut från registret om det finns en skyldighet enligt lag att göra det.
Ett grundläggande krav för att uppgifter ska få lämnas ut från Nationella biobanksregistret är att behandlingen inte är oförenlig med det ändamål för vilket uppgifterna samlades in. Det följer av
81 Se t.ex. lag om hälsodataregister med tillhörande förordningar samt patientdatalagen.
487
Bedömningar och förslag |
SOU 2014:45 |
den så kallade finalitetsprincipen (9 § d PUL). Enligt andra stycket samma bestämmelse ska behandling för historiska, statistiska och vetenskapliga ändamål inte anses oförenliga med det ändamål för vilka uppgifterna samlades in. För att tydliggöra att principen är tillämp- lig vid behandling av personuppgifter i Nationella biobanksregistret bör lagen innehålla en uttrycklig hänvisning till bestämmelserna i 9 § PUL.
9.5.14.11 Innehåll
Med hänsyn till den registrerades integritet är det viktigt att endast sådana uppgifter som är nödvändiga för ändamålet behandlas i Nationella biobanksregistret. Ändamålet är att möjliggöra spårbarhet av vävnadsprover. Det bör således för det första vara tillåtet att be- handla uppgift om provgivarens identitet. Jag instämmer i Biobanks- utredningens definition av vad som ska anses ingå i begreppet identi- tet (se avsnitt 9.5.11).
När det gäller vävnadsprover från en underårig får, i de fall den underårige inte uppnått sådan ålder och mognad att hon eller han själv kan lämna samtycke, sådana inte samlas in och bevaras utan att den underåriges vårdnadshavare informerats om avsikten och om det eller de ändamål för vilka biobanken får användas och därefter lämnat sitt samtycke (3 kap. 2 § biobankslagen). Det kan således finnas skäl att registrera identitetsuppgifter även för de personer som har att ta ställning till bevarandet av ett vävnadsprov, det vill säga vanligtvis vårdnadshavare.
Ett av syftena med Nationella biobanksregistret är att möjlig- göra för den registrerade att återkalla sitt samtycke. I registret bör det därför finnas uppgifter om de ställningstaganden som den enskilde gjort till bevarande av prover. Den enskilde kan till exempel in- skränka sitt samtycke till ett visst eller vissa ändamål.
När det gäller uppgift om vävnadsprovers identitet, karaktär och hantering gör jag samma bedömning som Biobanksutredningen (se avsnitt 9.5.11) utom vad gäller uppgift om diagnos och analysresul- tat. Enligt Biobanksutredningens förslag ska sådana uppgifter inte få registreras.82 Detta har kritiserats av många remissinstanser. Det skulle underlätta för forskare om uppgift om diagnos och analys- resultat fanns i ett nationellt biobanksregister. Jag delar den upp-
82 SOU 2010:81 s. 375.
488
SOU 2014:45 |
Bedömningar och förslag |
fattningen. Bestämmelserna bör därför vara utformade så att även diagnos och analysresultat kan registreras i det nationella registret.
När det gäller uppgift om vem som behandlar uppgifter eller väv- nadsprover, och till vem vävnadsprover utlämnas eller överlåts in- stämmer jag i Biobanksutredningens bedömning. Angående uppgift om till vem vävnadsprover har utlämnats eller överlåtits anför utred- ningen att mottagaren ibland kan vara en fysisk person, till exempel en enskild forskare. Det bör noteras att utlämnande av vävnads- prover i dag endast sker till juridiska personer.
9.5.14.12 Sökbegrepp
De uppgifter som enligt lagförslaget ska ingå i Nationella biobanks- registret bör få användas som sökbegrepp.
9.5.14.13 Direktåtkomst
Som anges i avsnitt 5.3.5.2 kan direktåtkomst innebära särskilda risker ur ett integritetsperspektiv. Utlämnande genom direktåtkomst av personuppgifter i Nationella biobanksregistret bör därför inte vara tillåtet.
9.5.14.14 Tillgång till personuppgifter
Socialstyrelsen ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
9.5.14.15 Information
Huvudregeln ska vara att registrering av en personuppgift i Nationella biobanksregistret endast får ske om den enskilde lämnat sitt samtycke. För att den enskilde ska kunna bedöma vad ett sam- tycke innebär bör han eller hon innan samtycket lämnas få detaljerad information om vissa förhållanden som är av betydelse. Av infor- mationen bör det framgå att det är frivilligt att lämna uppgifter, för vilka ändamål behandling kan ske och vilka uppgifter som får registreras. Det bör också framgå vilka sekretess- och säkerhets-
489
Bedömningar och förslag |
SOU 2014:45 |
bestämmelser som gäller för registret, vem som är personuppgifts- ansvarig, hur länge uppgifterna kan komma att sparas, rätten till rättelse av uppgifterna, rätten till information enligt 26 § PUL och rätten till skadestånd. Rätten att få uppgifter utplånade bör också framgå.
9.5.14.16 Rätt att får uppgifter utplånade
Den registrerade ska ha rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska vara skriftlig och undertecknas av den registrerade. Begäran ska läm- nas till den personuppgiftsansvarige, det vill säga till Socialstyrelsen. För registrerad som är underårig gäller att begäran ska underteck- nas av den registrerades vårdnadshavare, om inte denna själv har nått sådan ålder och mognad att han eller hon kan ta ställning i frågan. Det är den registrerade som har bevisbördan för att en begäran om utplåning har lämnats och när så skett.
Socialstyrelsen är skyldig att så snart som möjligt efter begäran inkommit utplåna uppgifterna. Uppgifterna ska förstöras så att de inte går att återskapa. Socialstyrelsen har bevisbördan för att ut- plåning av uppgifterna har skett. Om den registrerades begäran inne- bär att också prover eller uppgifter som finns hos en biobank ska förstöras eller innebörden i ett givet samtycke ska ändras bör Social- styrelsen vara behjälplig att föra denna begäran vidare till berörda huvudmän för biobankerna.
9.5.14.17 Gallring
Det följer av 9 § första stycket PUL att personuppgifter inte får bevaras under en längre tid än som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter som bevaras för historiska, statistiska eller vetenskapliga ändamål får dock bevaras under längre tid (9 § tredje stycket PUL). Enligt 8 § andra stycket första meningen PUL har arkivlagens bestämmelser företräde. Där föreskrivs att bestämmelserna i PUL inte hindrar att en myndighet arkiverar personuppgifter som utgör allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I arkivlagen är be- varande utgångspunkten. Allmänna handlingar får gallras, men det krävs särskilda föreskrifter eller beslut för att gallring ska få ske.
490
SOU 2014:45 |
Bedömningar och förslag |
Om det finns avvikande bestämmelser om gallring i annan lag eller i förordning har de bestämmelserna företräde. När det gäller de särskilda registerförfattningarna är principen vanligtvis den motsatta i förhållande till arkivlagen, det vill säga att materialet ska förstöras efter en viss tid, om det inte finns direkta föreskrifter om bevarande i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna.
Frågan är vilken princip som ska vara gällande för uppgifter i Nationella biobanksregistret. Frågan om gallring har diskuterats bland annat i förarbetena till hälsodatalagen.83 Där angavs att gall- ring av uppgifter i hälsodataregistren är viktig både ur den enskildes och ur samhällets synpunkt, men att utvärdering av nya behand- lingsmetoder och epidemiologisk verksamhet kräver tillgång till material som är insamlat under lång tid. Det ansågs också viktigt att kunna följa utvecklingen inom hälso- och sjukvården under längre tidsperioder. Möjligheten att upptäcka förändringar av mindre om- fattning, exempelvis när det gäller missbildningar, ansågs innebära att det är svårt att på förhand bestämma i vilken omfattning och hur länge uppgifter i hälsodataregister kan behöva bevaras innan det kan anses att uppgifterna förlorat sitt informationsvärde. Även möjlig- heten att använda uppgifterna i annan forskning ansågs medföra svårighet att fastställa en tidpunkt när uppgifterna inte längre behövs i registret. Jag menar att samma argument gör sig gällande i detta sammanhang. För att uppfylla det huvudsakliga syftet, spårbarhet av vävnadsprover, är det lämpligt att bevarande är huvudregel. Någon särskild bestämmelse om gallring krävs därför inte.
9.5.14.18 Rättelse och skadestånd
Bestämmelserna om rättelse i 28 § PUL och 48 § PUL om skade- stånd gäller enligt sina ordalydelser endast vid behandling av person- uppgifter i strid med PUL. I den föreslagna lagen om Nationella biobanksregistret bör det därför särskilt anges att bestämmelserna om rättelse och skadestånd tillämpas på motsvarande sätt vid behand- ling av personuppgifter i strid med den föreslagna lagen.
83 Prop. 1997/98:108 s. 59 f.
491
Bedömningar och förslag |
SOU 2014:45 |
9.5.14.19 Övriga bestämmelser
Regeringen bör i förordning föreskriva att Socialstyrelsen får med- dela de ytterligare föreskrifter som behövs för verkställighet av lagen om Nationella biobanksregistret.
9.5.14.20 Sekretess
Utlämnande av uppgifter från vårdgivare
Uppgifter i Nationella biobanksregistret kommer i huvudsak att hämtas från sjukvården. Enligt 25 kap. 1 § offentlighets- och sekre- tesslagen gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Sekretess gäller även mellan myndig- heter, således även mellan offentliga vårdgivare och Socialstyrelsen. Enligt mitt förslag ska det under den inledande tiden vara frivilligt för vårdgivare att lämna uppgifter till det nationella biobanks- registret. När det gäller uppgifter om vävnadsprover som samlas in av vårdgivare efter det att lagen om Nationella biobanksregistret trätt i kraft ska registrering i registret endast vara tillåtet om den enskilde lämnat sitt samtycke. Av 10 kap. 1 § OSL följer att sekretess för enskild inte hindrar att en uppgift lämnas till en annan myndighet om den enskilde samtycker till det. Det är således möjligt att i samband med att samtycke om registrering i registret inhämtas även inhämta samtycke till utlämnande av uppgift från vårdgivaren till Socialstyrelsen.
När det gäller uppgifter om ett vävnadsprov som samlats in före ikraftträdandet av den här föreslagna lagen är det inte möjligt att inhämta ett sådant samtycke för samtliga uppgifter. För att utläm- nande av uppgifter från vårdgivare till Nationella biobanksregistret ska vara möjligt krävs det en sekretessbrytande bestämmelse som tillåter att uppgifter lämnas från vårdgivaren till Socialstyrelsen för att behandlas i svenskt biobanksregister. En sådan sekretessbrytande bestämmelse bör införas i 25 kap. OSL.
Biobankslagen gäller även för biobanksprover hos privata vård- givare. När det gäller uppgifter inom privat hälsovård finns bestäm- melser om tystnadsplikt i 6 kap.
492
SOU 2014:45 |
Bedömningar och förslag |
(2010:659). Enligt bestämmelserna får den som tillhör eller har till- hört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga för- hållanden. Som obehörigt röjande anses dock inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. För att uppgifter om biobanksprover ska kunna överlämnas från den privata hälsovården till Nationella biobanksregistret krävs en bestämmelse som klargör att uppgift får lämnas från sjukvåden till Nationella biobanksregistret.
Sekretess för uppgifter i Nationella biobanksregistret
I det register som kommer att föras enligt den lag som föreslås kom- mer det att finnas uppgifter som vanligtvis skyddas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. Många av uppgifterna kom- mer att vara sådana som utgör känsliga personuppgifter enligt 13 § PUL. Det rör sig således om uppgifter som typiskt sett är av mycket känslig natur. Eftersom registret kommer att föras av en myndighet, Socialstyrelsen, kommer bestämmelserna om handlingsoffentlighet i 2 kap. TF att bli tillämpliga. Offentlighetsprincipen och regelverket kring offentlighet- och sekretess beskrivs närmare i avsnitt 5.6.2. Rätten att ta del av allmänna handlingar får endast begränsas om det är påkallat med hänsyn till visa i bestämmelsen angivna intressen samt om begränsningen anges noga i en särskild lag, OSL.
I kapitel 5 finns en redogörelse för de sekretessbestämmelser som gäller till skydd för enskilda. Det kan konstateras att den enda bestämmelse som kommer att bli direkt tillämplig i fråga om Nationella biobanksregistret är bestämmelsen i 21 kap. 1 § OSL. Enligt bestämmelsen gäller sekretess med ett rakt skaderekvisit vilket innebär en presumtion för offentlighet.
Jag har tidigare gjort bedömningen att uppgifter i Nationella biobanksregistret endast ska få behandlas för att säkerställa spår- barhet för vävnadsprover i syfte att möjliggöra vård och behandling av den registrerade, forskning, kvalitetssäkring och framställning av statistik samt förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke. Därutöver ska utläm- nande ur registret endast vara tillåtet om det finns en skyldighet i lag att göra det. Dessa bestämmelser om begränsning av behandlingen av personuppgifter innebär dock inte att uppgifterna inte kan lämnas
493
Bedömningar och förslag |
SOU 2014:45 |
ut med stöd av offentlighetsprincipen. För att begränsa möjligheten att lämna ut uppgifter med stöd av offentlighetsprincipen krävs en särskild bestämmelse i OSL. Frågan om en sekretessbestämmelse ska införas och i så fall vilken styrka sekretessen ska ha ska avgöras efter en avvägning mellan sekretessintresset och intresset av insyn i verksamheten.
Som anges ovan kommer de uppgifter som kan komma att be- handlas i Nationella biobanksregistret i stor utsträckning att vara av integritetskänslig natur, bland annat analysresultat och diagnoser. För att uppgifterna ska skyddas av sekretess talar också den om- ständigheten att uppgifterna inte endast ska behandlas i syfte att möjliggöra vård och behandling av den enskilde samt möjliggöra återkallelse av samtycke. Registret kommer också möjliggöra sök- ning av vävnadsprover för forskningsändamål, kvalitetssäkring och statistik. Uppgifterna i registret kommer inte att användas vid myn- dighetsutövning mot enskilda. Allmänhetens intresse av insyn i registret kan därför inte bedömas som särskilt starkt. Jag menar att sekretessintresset i det här fallet väger tyngre än behovet av insyn och att en särskild sekretessbestämmelse bör införas för uppgifter i Nationella biobanksregistret.
Nästa fråga är med vilken styrka sekretessen bör gälla. Uppgifter- na i det föreslagna registret kommer att hämtas från hälso- och sjuk- vården. Inom hälso- och sjukvård gäller sekretess för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider skada eller men (25 kap. 1 § OSL). Sekretess gäller således med ett omvänt skaderekvisit, det vill säga det råder en pre- sumtion för att uppgifterna inte ska lämnas ut. Detsamma gäller för uppgift om enskilda i det så kallade
494
SOU 2014:45 |
Bedömningar och förslag |
som överförts till Nationella biobanksregistret skyddas av stark sekretess. Jag menar att det är motiverat att de uppgifter som be- handlas i registret ska skyddas av absolut sekretess, motsvarande den som gäller enligt 24 kap. 8 § OSL. En sådan bestämmelse bör därför införas i 25 kap. OSL. Sekretess bör gälla i verksamhet som avser förande av eller uttag ur Nationella biobanksregistret för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Utlämnande av uppgifter från Nationella biobanksregistret
Som konstaterats ovan ska uppgifter i Nationella biobanksregistret få behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § biobankslagen i syfte att möjlig- göra vård och behandling av den registrerade, forskning, kvalitets- säkring och framställning av statistik samt förstörande eller aviden- tifiering av vävnadsprover när den registrerade har återkallat sitt samtycke. Med behandling avses också utlämnande av uppgifter ur registret. Därutöver ska personuppgifter som behandlas i registret också få lämnas ut om det finns en skyldighet enligt lag att göra det. För att uppgifterna ska kunna lämnas ut krävs en sekretessbrytande bestämmelse. Sekretessen bör inte hindra att uppgifter lämnas ut en- ligt vad som framgår av den föreslagna lagen. Jag menar dock att det är rimligt att uppgifterna i Nationella biobanksregistret har samma skydd som till exempel uppgifter i hälsodataregister. Uppgifter ska således endast få lämnas ut för ovan angivna ändamål, om det står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider skada eller men.
När det gäller uppgift som behövs för den enskildes vård och behandling bör noteras att sekretess till skydd för enskild inte hind- rar att en uppgift lämnas till en myndighet om den enskilde sam- tycker till det (10 kap. 1 § OSL). En uppgift torde således vanligtvis kunna lämnas från Nationella biobanksregistret till vårdgivande myndighet med stöd av den enskildes samtycke. I de fall samtycke inte kan inhämtas eller uppgiften inte rör den enskilde själv utan till exempel en släkting borde en sekretessprövning vanligtvis leda till att en uppgift kan lämnas ut, eftersom uppgiften hos mottagaren kommer att skyddas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. I de fall mottagaren är en privat vårdgivare gäller i stället tystnadsplikt enligt 6 kap.
495
Bedömningar och förslag |
SOU 2014:45 |
när det gäller behandling av personuppgifter i syfte att förstöra eller avidentifiera personuppgifter när samtycke har återkallats bör det kunna ske med den enskildes samtycke.
Sekretesstiden
Sekretesskydd för enskildas personliga förhållanden brukar i regel gälla i mellan femtio och sjuttio år. Det saknas skäl att här frångå denna praxis. Det register som föreslås kommer att kunna innehålla personuppgifter om både barn och vuxna. Sekretess för uppgifterna bör därför gälla i sjuttio år.
Generalklausulen
Enligt generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgift lämnas har företräde framför det intresse som sekre- tessen ska skydda. Bestämmelsen gäller dock inte när det rör sig om sekretess enligt bland annat 24 kap. 8 § (statistiksekretess), 25 kap.
Rätten att meddela och offentliggöra uppgifter
När det är fråga om att införa en ny sekretessbestämmelse måste också ställning tas till om den föreslagna sekretessbestämmelsen ska ha företräde framför rätten att meddela och offentliggöra uppgifter enligt 1 kap. 1 § TF och 1 kap. 1 och 2 §§ YGL. Uppgifterna i Nationella biobanksregistret kommer enligt förslaget att skyddas av absolut sekretess. Uppgifterna kommer att registreras i registret efter samtycke från den registrerade och de kommer inte att användas för myndighetsutövning. De uppgifter som kommer att registreras
496
SOU 2014:45 |
Bedömningar och förslag |
i Nationella biobanksregistret är sådana som vanligtvis förekommer inom hälso- och sjukvård. Den tystnadsplikt som gäller inom hälso- och sjukvård inskränker som huvudregel rätten att meddela och offentliggöra uppgifter.84 Skyddet för uppgifterna bör inte vara sämre om de behandlas i Nationella biobanksregistret än om de behandlas inom hälso- och sjukvården. Den tystnadsplikt som följer med den föreslagna sekretessbestämmelsen bör därför inskränka rätten att meddela och offentliggöra uppgifter.
84 Undantag gäller för uppgift om verkställighet av beslut om omhändertagande eller beslut om vård utan samtycke, 25 kap. 18 § OSL.
497
10Ikraftträdande och övergångsbestämmelser
Förslag: Lagen om forskningsdatabaser, lagen om Nationella biobanksregistret samt ändringarna i lagen om den officiella stati- stiken, lagen om etikprövning av forskning som avser människor, offentlighets- och sekretesslagen och patientsäkerhetslagen ska träda i kraft den 1 januari 2016.
Bedömning: Bestämmelsen i 27 § lagen om etikprövning av forskning som avser människor bör gälla i sin äldre lydelse beträffande ärenden som inkommit till etikprövningsnämnden före ikraftträdandet. I övrigt behövs inte några övergångsbestäm- melser.
Lagen om forskningsdatabaser är avsedd att efterträda den tillfälliga lagen (2013:794)om vissa register för forskning om vad arv och miljö betyder för människors hälsa som gäller till och med den 31 december 2015 och lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som gäller till samma tidpunkt. Lagen om forskningsdatabaser och de ändringar som krävs till följd av denna bör därför träda i kraft den 1 januari 2016.
Med lagen införs en ny straffbestämmelse i 13 § som rör förbud mot bakvägsidentifiering. I 5 § lagen (1964:163) om införande av brottsbalken finns det allmänna bestämmelser om vilken lag som ska tillämpas i fråga om straffansvar när det skett lagändringar efter det att en gärning begicks. Av bestämmelsen framgår bland annat att ingen får dömas för gärning för vilken det inte var stadgat straff när den begicks. Denna princip gäller utan att det behöver anges särskilt. Några särskilda övergångsbestämmelser bedöms inte heller i övrigt vara nödvändiga.
499
Ikraftträdande och övergångsbestämmelser |
SOU 2014:45 |
Lagen om Nationella biobanksregistret och följdändringar i offentlighets- och sekretesslagen (2009:400) och patientsäkerhets- lagen (2010:659) bör träda i kraft så snart som möjligt, lämpligen den 1 januari 2016. Inte heller här krävs några särskilda övergångs- bestämmelser.
När det gäller förslaget om ändring av lagen (2001:99) om den officiella statistiken bör ändringen träda i kraft så snart som möjligt. Det bör dock ges tilläckligt med tid för de statistikansvariga myn- digheterna att bygga upp ett system för bevarande av kodnycklar. Ändringen bör därför träda i kraft den 1 januari 2016. Inga sär- skilda övergångsbestämmelser behövs.
Även när det gäller förslagen till ändring av lagen (2003:460) om etikprövning av forskning som avser människor som avser obliga- toriskt rådgivande yttrande och ett förenklat förfarande i de regionala etikprövningsnämnderna bör genomförande ske så fort som möjligt, lämpligen den 1 januari 2016. När det gäller bestämmelserna om ett förenklat förfarande i 27 § bör äldre föreskrifter gälla för ärenden som inkommit till etikprövningsnämnden före ikraftträdandet.
Ändringarna i OSL i anledning av förslaget om forskningssekre- tess bör även det ske så snart som möjligt och lämpligen senast vid samma tid som den nya lagen om forskningsdatabaser införs, den 1 januari 2016. Några särskilda övergångsbestämmelser behövs inte. Utlämnande av uppgifter och allmänna handlingar som sker efter ikraftträdandet ska följa de nya föreskrifterna, oavsett när begäran om att få ta del av uppgifterna eller handlingarna gjordes.
500
11 Konsekvenser
11.1Inledning
I detta kapitel redovisas konsekvenserna av mina förslag i enlighet med
Enligt utredningsdirektiven ska jag vidare noga avväga mina för- slag till lösningar för att förbättra förutsättningarna för registerbase- rad forskning mot behovet av skydd för den enskilda individens personliga integritet. Jag ska redovisa dessa avvägningar och försla- gens konsekvenser såväl för skyddet för enskilda människors inte- gritet som för forskningens förutsättningar. Jag ska vidare redovisa konsekvenserna av mina förslag för registerhållande myndigheter och andra berörda myndigheter, universitet och högskolor eller andra organisationer där forskningen utförs.
11.2Konsekvenser enligt 14 §
Enligt 14 § kommittéförordningen ska, om förslagen i ett betän- kande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, en beräkning av dessa kon- sekvenser redovisas i betänkandet. Om förslagen innebär samhälls- ekonomiska konsekvenser i övrigt ska dessa redovisas och när det gäller kostnadsökningar och intäktsminskningar för staten, kom- muner eller landsting, ska utredningen föreslå en finansiering.
Av de förslag som redovisas i betänkander bedömer jag att föl- jande kan komma att påverka kostnaderna eller intäkterna för staten och landstingen:
•I avsnitt 9.1 finns förslag om vissa ändringar som avser etikpröv- ningen. Jag föreslår att ärenden i regionala etikprövningsnämn- den som avser forskning som endast innefattar behandling av per-
501
Konsekvenser |
SOU 2014:45 |
sonuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållan- de är direkt hänförliga till den enskilde ska få avgöras av ordföran- den ensam. Jag föreslår också att de regionala etikprövningsnämn- derna ska åläggas att lämna rådgivande yttrande över forskning som avser människor men som inte omfattas av etikprövnings- lagens tillämpningsområde. Vidare förslår jag att etikprövnings- lagen ska tillämpas på samtliga forskningsprojekt som innefattar behandling av personuppgifter som behandlas med stöd den före- slagna lagen om forskningsdatabaser, oavsett om behandlingen avser känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) (PUL) eller lagöverträdelser med mera enligt 21 § PUL eller inte.
Det är svårt att bedöma hur dessa förslag sammantaget kom- mer att påverka etikprövningsnämndernas arbetsbelastning. Det har inte varit möjligt att få fram uppgifter om hur stor andel av de ärenden som i dag behandlas som avser behandling av anony- miserade uppgifter. Det är också svårt att bedöma i vilken utsträck- ning lagen om forskningsdatabaser kommer att leda till fler an- sökningar om etiktillstånd för forskningsprojekt. I vart fall kommer effekten att märkas först efter ett antal år. Att etikpröv- ningsnämnderna blir skyldiga att avge rådgivande yttranden kan innebära en viss ökning av arbetsbelastningen.
Etikprövningsnämnderna är anslagsfinansierade men kostna- derna ska enligt gällande regelverk täckas av avgifter som betalas av sökande, så förslagen innebär inte behov av särskild statlig finansiering.
•I avsnitt 9.2 föreslår jag att de statistikasvariga myndigheterna vid utlämnande av uppgifter som inte direkt kan hänföras till en enskild alltid ska förse uppgifterna med en kod och vara skyldiga att bevara kodnyckeln för uppgiftena i 20 år. Förslaget kan i ett initialskede innebära ökade kostnader för de statistikansvariga myndigheterna i form av utvecklande av lämpliga system för be- varande av kodnycklar. Man ska dock komma ihåg att de statistik- ansvariga myndigheterna redan i dag bevarar kodnycklar i stor utsträckning och att ett enhetligt system kan leda till förenk- lingar eftersom myndigheten och forskningshuvudmannen inte behöver reglera frågan om kodnyckelns bevarande särskilt. Min bedömning är att eventuella kostnadsökningar kommer att vara tillfälliga och rymmas inom befintliga ramar. Vidare kommer för-
502
SOU 2014:45 |
Konsekvenser |
slaget att innebära minskade kostnader för forskningshuvud- männen, såväl statliga som privata. Förslaget kommer att innebära förbättrade möjligheter att komplettera de uppgifter som redan begärts ut inom ett forskningsprojekt i stället för att tvingas begära ut helt nya uppgifter, med ökade kostnader som följd. Förslaget kommer även medföra effektivitetsvinster i form av möjligheter att bygga vidare på redan utförd forskning som ut- förts av en annan forskningshuvudman.
•I avsnitt 9.4 föreslår jag en lag om forskningsdatabaser som ska göra det möjligt för statliga universitet och högskolor och stat- liga myndigheter som har i uppdrag att bedriva forskning att bygga upp databaser med personuppgifter som ska utgöra underlag för framtida ännu inte definierade forskningsprojekt. Förslaget inne- bär att Vetenskapsrådet (VR) ska bereda frågan om vilka forsk- ningsdatabaser som behövs och lämna förslag till regeringen samt ha ansvar för regelbunden utvärdering av forskningsdatabaserna. Jag bedömer att den beredning som under de närmaste åren kan bli aktuell inför introduktionen av en sådan lag ryms inom de ökade anslag VR redan har fått för att främja registerbaserad forskning. Huruvida förslaget kommer att leda till fler forsk- ningsdatabaser i framtiden än vad som nu finns går inte att i dag bedöma. I första hand kommer lagen att ge ett rättsligt stöd för flera av de forskningsdatabaser som redan är etablerade. Det får ankomma på VR att inför nästa forskningspolitiska proposition, som kan beräknas presenteras år 2016, överväga hur denna satsning ska prioriteras. Handhavandet av forskningsdatabaser såsom nationella infrastrukturer kan innebära ökade kostnader, men samtidigt innebär de en rationalisering när det gäller att tillhandahålla underlag till framtida forskning.
•I avsnitt 9.5 föreslår jag att ett nationellt register för biobanks- prover, Nationella biobanksregistret, ska inrättas. Förslaget inne- bär att Socialstyrelsen ska föra ett register över de biobanksprover som faller inom biobankslagens tillämpningsområde för att möjlig- göra spårbarhet av vävnadsprover för vissa angivna syften. För- slaget kommer att innebära ökade kostnader för Socialstyrelsen för att bygga upp registret och en organisation för administration av registret. För att registret ska bli användbart krävs det att det innehåller både de uppgifter om vävnadsprover som redan i dag finns registrerade hos olika vårdgivare och uppgifter som kom- mer samlas in framöver, vilket kommer kräva ett omfattande
503
Konsekvenser |
SOU 2014:45 |
arbete. Det Nationella biobanksregistret kommer att skilja sig från de register som redan i dag finns hos Socialstyrelsen, dels eftersom det är frivilligt för vårdgivaren att lämna uppgifter, dels för att den enskilde ska lämna sitt samtycke till behandling av uppgifter i registret. Det krävs därför delvis en annan typ av orga- nisation än den som finns på myndigheten i dag. Myndigheten måste på ett effektivt sätt kunna hantera begäran om uppgifter från vårdgivare för den enskildes vård och behandling. En ny organisation krävs också för att hantera uppgiftslämning till re- gistret från vårdgivare, hantering av samtycken och regelbunden uppdatering av uppgifter i registret och ett system för att bistå den enskilde vid återkallelse av samtycke. Det krävs också en orga- nisation som kan sköta utlämnande av uppgifter ur registret för forskning, kvalitetssäkring och statistikändamål. Socialstyrelsen bör vidare ha det huvudsakliga ansvaret för att informera allmän- heten om det nya registret så att den som inte önskar medverka har möjlighet att stryka sina uppgifter i registret. Det är svårt att bedöma hur mycket uppbyggandet och administrationen av ett nationellt biobanksregister kommer att kosta, men det är realistiskt att anta att det skulle innebära en kostnad på några tiotal miljoner kronor. Svenska biobanksregistret finansieras i dag av landstingen. Att ansvaret att föra Nationella biobanksregistret läggs på Social- styrelsen kommer således leda till besparingar för landstingen. När det gäller de enskilda vårdgivarna innebär förslaget ingen utökad skyldighet att lämna uppgifter till registret. Utlämnande av uppgifter till det av landstingen finansierade Svenska biobanks- registret sker redan i dag, så förslaget torde inte leda till ökade kostnader i detta avseende. Förslaget innehåller dock ett nytt krav på att viss information ska lämnas till patienten och inhämtande av samtycke för att registrering av uppgifter i Nationella biobanks- registret ska få ske. Denna information bör lämpligen inhämtas i samband med information och inhämtande av samtycke för be- varande av själva vävnadsprovet. De nya reglerna kan emellertid ändå förväntas kräva utbildning av personalen och utarbetande av nya rutiner med mera som tar resurser i anspråk i form av personalens arbetstid. I det system som finns i dag är varje lands- ting huvudman och personuppgiftsansvarig för sin del av Svenska biobanksregistret. Systemet kräver omfattande administration eftersom det inte finns någon central enhet som kan vara person- uppgiftsansvarig eller på central nivå pröva frågor om utlämnan- de av uppgifter från registret enligt offentlighets- och sekretess-
504
SOU 2014:45 |
Konsekvenser |
lagen (2009:400) (OSL). Förslaget innebär att uppgifter om vävnadsprover kommer att finnas i ett centralt register och att utlämnande av uppgifter från registret kommer att kunna prövas av Socialstyrelsen. Systemet kommer göra det lättare att lokalisera prover som behövs för vård, forskning, statistik och när den enskilde återkallat sitt samtycke. Min bedömning är att de inledan- de kostnaderna för uppbyggnad av registret hos Socialstyrelsen och för utbildning och utveckling av lämpliga rutiner hos vård- givaren uppvägs av de förenklingar som registret innebär och att förslaget ur ett samhällsekonomiskt perspektiv, i vart fall på några års sikt, torde medföra vinster.
11.3Konsekvenser enligt 15 §
I 15 § kommittéförordningen anges att om förslagen i ett betänkan- de har betydelse för den kommunala självstyrelsen ska konsekven- serna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller vill- kor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspoli- tiska målen. Jag bedömer inte att de förslag som jag lämnar i be- tänkandet har någon direkt effekt i dessa avseenden.
11.4Konsekvenser enligt 15 a §
Av 15 a § kommittéförordningen följer att om ett betänkande inne- håller förslag till nya eller ändrade regler, ska förslagens kostnads- mässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i kon- sekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning. I de nämnda paragraferna innehåller ett antal bestämmelser om vad en konsekvensutredning ska innehålla. Jag kommer nedan att redogöra för dessa bestäm- melser och hur förslagen i betänkandet förhåller sig till dem.
505
Konsekvenser |
SOU 2014:45 |
11.4.1En beskrivning av problemet och vad man vill uppnå
De svenska registren utgör en unik resurs för forskningen men utnyttjas av olika skäl inte till fullo. Jag har i kapitel 8 utförligt redo- gjort för bakgrunden till dagens situation och vilka hinder som finns för registerbaserad forskning.
Det övergripande syftet med förslagen i betänkandet är att, med hänsyn taget till skyddet för den enskildes integritet, lämna författ- ningsförslag och andra förslag i syfte förbättra möjligheterna för registerbaserad forskning. I utredningsdirektiven specificeras vilka frågor uppdraget avser. För det första ska jag lämna förslag som innebär att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål. När det gäller den frågan har jag kunnat konstatera att problemen ofta bottnar i admi- nistrativa hinder. Jag menar att många av de problem med utläm- nandeprocessen som forskarna upplever kan lösas om uppgiften att bistå forskarna blir en prioriterad uppgift för de statistikansvariga myndigheterna, särskilt för Statistiska centralbyrån (SCB). Många av problemen kan också hanteras i det av VR inrättade registerdata- rådet. På det tekniska planet kan utlämnade underlättas genom ut- veckling av
I uppdraget ingår också att underlätta sambearbetning av register- uppgifter för forskningsändamål. Jag har konstaterat att sambearbet- ning av registeruppgifter fungerar förhållandevis väl redan i dag. På sikt kan sambearbetning underlättas genom utveckling av ett så kallat federerat system.
Vidare ska jag föreslå hur man på ett integritetssäkert sätt kan samla in personuppgifter till register som förs för särskilda och ut- tryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Det är för närvaran- de inte möjligt för forskare att skapa register med personuppgifter som underlag för framtida forskning. Orsakerna till detta beskrivs utförligt i avsnitt 8.4.1. Mitt förslag är att införa en lag om forsk- ningsdatabaser som kompletteras med särskilda förordningar om de specifika forskningsdatabaserna. Lagen ska stärka skyddet för den enskildes integritet genom att till exempel reglera för vilka ändamål uppgifter i forskningsdatabaser får behandlas och vilka uppgifter som får behandlas. Lagen innehåller också andra integritetsskyd- dande bestämmelser, såsom förbud mot direktåtkomst, reglering av intern åtkomst till personuppgifter och förbud mot bakvägsidenti- fiering.
506
SOU 2014:45 |
Konsekvenser |
Slutligen ska jag också undersöka om det befintliga sekretesskyd- det för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning. Jag konstaterar att den nuvarande sekretessregleringen är oklar och till vissa delar ofull- ständig. Detta leder till osäkerhet hos forskarna om vilka sekretess- bestämmelser som är tillämpliga, vilket kan leda till problem exempel- vis om någon begär ut uppgifter från forskningsverksamheten. Det kan också leda till ovilja hos allmänheten att medverka i forsk- ningsprojekt om det är oklart om de uppgifter de lämnar kommer att skyddas av sekretess. Jag föreslår därför en ny sekretessbestäm- melse som innebär absolut sekretess för uppgifter inom forsk- ningsverksamhet, med möjlighet att lämna ut uppgifter till annan forskningsverksamhet och för granskning av forskning.
Vissa förslag är avsedda att på ett mer generellt plan förenkla för registerbaserad forskning. Dit hör förslaget om ett förenklat för- farande i regionala etikprövningsnämnden för forskningsprojekt som enbart ska behandla anonymiserade uppgifter från myndighets- register. Vidare föreslår jag ett system för bevarande av kodnycklar för att underlätta uppdatering och vidareutveckling av redan utförd forskning. Även förslaget till ett nationellt biobanksregister har bland annat till syfte att underlätta för forskningen.
11.4.2En beskrivning av alternativa lösningar som finns för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd
Som anges ovan är det övergripande syftet med förslagen att för- bättra förutsättningarna för registerbaserad forskning, samtidigt som skyddet för den enskildes integritet ska upprätthållas och förstärkas. Målet är att de förslag till nya eller ändrade regler jag lämnar ska medföra att myndighetsregister och andra datakällor ska kunna ut- nyttjas mer effektivt för forskningsändamål. Detta gäller till exem- pel förslaget om ett förenklat förfarande i etikprövningsnämnden i vissa fall, förslaget om ändring av bestämmelserna om kodnycke- lförfarande och förslaget till lag om Nationella biobanksregistret. Alternativet till att inte genomföra dessa ändringar och förslag är att bevara nuvarande lagstiftning, vilket enligt min bedömning inte gynnar registerbaserad forskning på samma sätt.
När det gäller uppdraget att göra det möjligt att skapa register som syftar till att insamlade personuppgifter ska kunna användas av
507
Konsekvenser |
SOU 2014:45 |
forskare i flera olika forskningsprojekt som håller sig inom ramen för det för registret angivna forskningsändamålet föreslår jag att en särskild lag om forskningsdatabaser ska införas. Lagen ska kom- bineras med föreskrifter från regeringen i form av en särskild för- ordning för varje enskild forskningsdatabas. Min bedömning är, som framgår av avsnitt 9.4.2, att en reglering som möjliggör personupp- giftsbehandling i forskningsdatabaser bör ske i lagform. Ett alternativ till den föreslagna regleringen hade varit att föreslå att det stiftas en särskild lag för varje forskningsdatabas, vilket definitivt skulle innebära högre kostnader för den lagstiftande processen. Detta alter- nativ bedömer jag som alldeles för tungrott. Som konstateras i av- snitt 9.4.6 är det inte heller tillräckligt att utöka tillämpningsområdet för lagen (2003:460) om etikprövning av forskning som avser män- niskor, etikprövningslagen, till att avse även forskningsdatabaser. En sådan modell löser inte problemet med möjligheten för register- hållande myndigheter att lämna ut uppgifter till en sådan databas eller de invändningar Datainspektionen har mot behandling av per- sonuppgifter för breda ändamål.
Etikprövning av forskning som innefattar behandling av känsliga personuppgifter och lagöverträdelser med mera infördes i samband med etikprövningslagen år 2004. Innan dess var det möjligt att be- handla sådana uppgifter om behandlingen var nödvändig och samhälls- intresset av den forskning där behandlingen ingick övervägde den risk för otillbörligt intrång i enskildas personliga integritet som be- handlingen kunde innebära. Ett alternativ hade varit att åter ta bort kravet på etikprövning av forskning som innefattar känsliga person- uppgifter och lagöverträdelser. Min bedömning är dock att systemet med etikprövning utgör ett lämpligt skydd för den enskildes inte- gritet och bör kvarstå. Att forskningen prövas av en oberoende nämnd kan enligt min bedömning bidra till att upprätthålla förtroendet för forskningen. Jag föreslår dock att detta förfarande i vissa fall kan förenklas något (se avsnitt 9.1.1).
11.4.3Uppgifter om vilka som berörs av regleringen
Förslagen avseende etikprövningen (avsnitt
508
SOU 2014:45 |
Konsekvenser |
Förslaget om ändring av bestämmelserna om kodnyckelförfaran- det (avsnitt 9.2) berör de statistikansvariga myndigheterna. För- slaget om en ny sekretessbestämmelse för uppgifter i forsknings- verksamhet berör alla myndigheter som utför forskning, det vill säga främst universitet och högskolor men även andra såsom IFAU, BRÅ, Rikspolisstyrelsen och Rättsmedicinalverket.
Förslaget till ny lag om forskningsdatabaser (avsnitt 9.4) medför att de statliga universiteten och högskolorna samt statliga myndig- heter som har i uppdrag att utföra forskning ges möjlighet att bygga upp forskningsdatabaser med uppgifter som kan ligga till grund för olika ännu inte definierade forskningsprojekt. Myndigheten blir då personuppgiftsansvarig och ansvarig för behandlingen av person- uppgiftsbehandlingen sker i enlighet med lagen och PUL. Förslaget rör också dem vars uppgifter lagen är avsedd att skydda och de myndigheter som kommer att lämna ut uppgifter för behandling i en forskningsdatabas. Förslaget rör också etikprövningsnämnderna eftersom alla forskningsprojekt som innefattar behandling av person- uppgifter som härrör från en forskningsdatabas ska godkännas enligt etikprövningslagen.
Förslaget om lagen om Nationella biobanksregistret rör Social- styrelsen som enligt förslaget ska vara personuppgiftsansvarig för registret. Förslaget berör också dem vars uppgifter kommer att be- handlas i registret, det vill säga provgivarna och i vissa fall prov- givarnas vårdnadshavare. Berörda är även de vårdgivare och andra aktörer varifrån uppgifter om vävnadsprover hämtas.
11.4.4Uppgifter om vilka kostnadsmässiga och andra konskevenser regleringen medför och en jämförelse av konsekvenserna för de övervägda regleringsalternativen
Dessa konsekvenser redovisas i avsnitt 11.2.
11.4.5En bedömning av om regleringen överensstämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen
Jag bedömer att förslagen är förenliga med de skyldigheter som följer av Sveriges anslutning till EU. Inom EU pågår arbetet mot en ny dataskyddsförordning. Arbetet har emellertid inte kommit så långt
509
Konsekvenser |
SOU 2014:45 |
att det är möjligt att förutse hur regleringen kommer att se ut och vilka effekter den kommer att få. Jag har därför utformat förslagen så de står i överensstämmelse med hur regelverket ser ut i dag. Det är således möjligt att justeringar kan behöva göras om och i så fall när en sådan dataskyddsförordning träder i kraft.
11.4.6En bedömning av om särskilda hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser
Lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa innebar att det infördes ett rätts- ligt stöd för statliga universitet och högskolor att behandla person- uppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagen är tidbegränsad till och med den 31 december 2015 och i mitt förslag till en särskild lag om forskningsdatabaser är avsedd att efterträda denna lag. Lagen om forskningsdatabaser och de följdändringar som görs i OSL och etikprövningslagen som görs som en följd av den, bör därför träda i kraft den 1 januari 2016. Samma tidsbegräns- ning gäller för lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärde- ring. De förslag och överväganden som redovisas i denna utredning kan ha betydelse även för vad som framöver ska hända med den.
När det gäller behovet av speciella informationsinsatser bedömer jag att det kan vara lämpligt när det gäller förslaget till lag om Nationella biobanksregistret. Enligt förslaget ska uppgifter om vävnadsprover som samlas in efter lagens ikraftträdande endast få registreras i Nationella biobanksregistret om den enskilde eller, i de fall uppgifterna rör en underårig, den enskildes vårdnadshavare efter information lämnat sitt samtycke till att uppgifterna behandlas. I de fall uppgifterna redan behandlas hos en vårdgivare vid tidpunkten för ikraftträdandet har jag gjort bedömningen att det skulle inne- bära en oproportionerligt stor arbetsinsats att begära samtycke från provgivaren. Enligt förslaget ska sådana uppgifter få registreras i Nationella biobanksregistret utan den enskildes samtycke, men med möjlighet för honom eller henne att motsätta sig behandling när den påbörjats. Denna så kallade
510
SOU 2014:45 |
Konsekvenser |
möjligheter för den som inte vill vara registrerad att begära utträde. Införandet av ett nationellt biobanksregister i enlighet med mitt förslag kan därför komma att kräva särskilda informationsinsatser.
11.4.7Effekten för företag
Av 7 § förordningen om konsekvensutredning vid regelgivning följer att i de fall regleringen kan få effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt ska konsekvensutredningen, utöver vad som följer av 6 § och i den om- fattning som är möjlig, innehålla en beskrivning antalet företag som berörs, vilka branscher företagen är verksamma i samt storleken på företagen, vilken tidsåtgång regleringen kan föra med sig för före- tagen och vad regleringen innebär för företagens administrativa kost- nader, vilka andra kostnader den föreslagna regleringen medför för företagen och vilka förändringar i verksamheten som företagen kan behöva vidta till följd av den föreslagna regleringen, vilken utsträck- ning regleringen kan komma att påverka konkurrensförhållandena för företagen, hur regleringen i andra avseenden kan komma att på- verka företagen och om särskilda hänsyn behöver tas till små företag vid reglernas utformning.
Som tidigare anförts är det huvudsakliga syftet med förslagen att förbättra möjligheterna för registerbaserad forskning. Den forskning som behandlas i detta betänkande är till större delen sådan som utförs av statliga myndigheter. Det bör dock påpekas att det även finns privata företag, till exempel läkemedelsföretag, som bedriver registerbaserad forskning och att även dessa kommer att gynnas av förslagen. De nya bestämmelserna om kodnyckelförfarandet ska tillämpas både vid utlämnande till myndigheter och till forskning i privat regi. Uppgifter i forskningsdatabaser enligt den föreslagna lagen om forskningsdatabaser och uppgifter i Nationella biobanks- registret ska kunna användas av såväl myndigheter som privata forsk- ningsenheter.
511
Konsekvenser |
SOU 2014:45 |
11.5Konsekvenser för skyddet för den personliga integriteten och forskningen
Konsekvenserna av förslagen med avseende på skyddet för enskilda människors integritet och för forskningens förutsättningar diskuteras utförligt i samband med presentation av förslagen, se kapitel 9. En mer principiell diskussion om relationen mellan registerbaserad forskning och personlig integritet förs också i kapitel 6.
512
12 Författningskommentar
12.1Förslaget till lag om ändring av lagen (2001:99) om den officiella statistiken
16 §
Första stycket har ändrats på så sätt att bestämmelsen endast avser utlämnande av uppgifter från en statistikansvarig myndighet för forskningsändamål. Reglerna som avser utlämnande för statistik- ändamål har flyttats till 17 §. Liksom tidigare avser bestämmelsen en statistikansvarig myndighets utlämnande av uppgifter som inte direkt kan hänföras till den enskilde. Bestämmelsen innebär att myn- digheten vid sådant utlämnande alltid ska förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande. Denna beteckning, vanligtvis ett löpnummer, är unikt och motsvarar en individ i det utlämnade materialet.
Av andra stycket framgår att en förteckning över vilken beteck- ning som motsvarar ett visst personnummer, en så kallad kodnyckel, ska bevaras hos den myndighet som upprättat den i 20 år efter ut- lämnandet av uppgifterna som kodnyckeln avser. I de fall uppgifter från flera myndigheter ska sambearbetas och kodnyckeln därför används av flera myndigheter ska kodnyckeln bevaras hos den sta- tistikansvariga myndighet som har upprättat den. Efter 20 år kan tiden för bevarandet av kodnyckeln förlängas av den myndighet som bevarar den eller på begäran av någon av de forskningshuvudmän som använder kodnyckeln i sin forskning.
Syftet med bestämmelsen är liksom tidigare att möjliggöra longi- tudinella studier och studier som är likartade med longitudinella. Bestämmelsen medför att kodnyckeln inte endast ska sparas i de fall forskningshuvudmannen uttryckligen begärt det, utan i samtliga fall en statistikansvarig myndighet lämnar ut anonymiserade upp- gifter. Det är vanligt att forskningsprojekt utvecklas och förändras
513
Författningskommentar |
SOU 2014:45 |
efter hand, och det är inte alltid möjligt att förutse i vilka fall upp- datering av forskningsmaterialet kan komma att behövas. Kodnyckeln ska bevaras för att göra det möjligt att senare komplettera uppgifter- na i ett visst forskningsprojekt. Ett annat viktigt syfte med bestäm- melsen är att göra det möjligt för en annan forskningshuvudman än den som utförde det ursprungliga projektet att göra en uppföljning, replikation eller granskning av samma projekt.
Huvudregeln är att kodnycklen ska bevaras i 20 år. Det kan dock finnas longitudinella studier där det kan finnas behov av att kunna uppdatera uppgifter även därefter. Det kan även finnas forsknings- studier som bygger på den ursprungliga som behöver kunna upp- dateras även därefter eller uppkomma behov av granskning av ett utfört projekt. Bestämmelsen medför en möjlighet för den statistik- ansvariga myndigheten att besluta att kodnycklen ska bevaras om det finns ett behov av det. Tiden för bevarande ska även på begäran av en forskningshuvudman som använder kodnyckeln i sin forsk- ning kunna förlängas.
Det händer att en kodnyckel ändras efter hand som ett forsk- ningsprojekt utvecklas. För att möjliggöra uppföljning och gransk- ning av projektet är det viktigt att samtliga versioner av kodnyckeln bevaras.
Det bör noteras att bestämmelsen endast avser att reglera de sta- tistikansvariga myndigheternas upprättande och bevarande av kod- nummer och kodnycklar. Bestämmelsen påverkar inte reglerna som rör forskningshuvudmännens behandling av personuppgifter. I de fall användning av en bevarad kodnyckel kommer att medföra be- handling av känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) eller lagöverträdelser m.m. enligt 21 § personuppgifts- lagen krävs således att den planerade behandlingen har godkänts av en etikprövningsnämnd.
Bestämmelsen behandlas i avsnitt 9.2.6.
Tredje stycket motsvarar andra stycket i den tidigare lydelsen. Stycket har justerats språkligt.
17 §
Bestämmelsen reglerar en statistikansvarig myndighets utlämnande av uppgifter som inte direkt kan hänföras till en enskild för be- handling för statistikändamål. Bestämmelsen motsvarar 16 § i den tidigare lydelsen avseende utlämnande till behandling för statistik.
514
SOU 2014:45 |
Författningskommentar |
18 §
I paragrafen anges att den som har fått personuppgifter som avses i 16 § första stycket och 17 § första stycket inte behöver lämna infor- mation till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som be- handlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter. Bestämmelsen har ändrats till följd av att utlämnande för forskningsändamål och statistikändamål har delats upp på två olika paragrafer.
12.2Förslaget till lag om ändring av lagen (2003:460) om etikprövning av forskning som avser människor
3 §
Bestämmelsen har ändrats på så sätt att lagen (2003:460) om etik- prövning av forskning som avser människor också ska tillämpas på forskning som innefattar behandling av personuppgifter i en forsk- ningsdatabas som förs med stöd av lagen (0000:00) om forsknings- databaser. Det innebär att forskning som innefattar behandling av personuppgifter som hämtats från en sådan forskningsdatabas endast får utföras om den godkänts vid en etikprövning. Det gäller oavsett vilken typ av personuppgifter det rör sig om, det vill säga även om det inte är känsliga personuppgifter som avses 13 § personuppgifts- lagen (1998:204) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgifts- lagen.
Ändringen behandlas i avsnitt 9.1.3.
5 a §
Paragrafen är ny. Bestämmelsen om rådgivande yttrande har flyttats från förordningen (2003:615) om etikprövning av forskning som avser människor. Paragrafen medför att en regional etikprövnings- nämnd på begäran är skyldig att ge ett rådgivande yttrande avseende forskning som inte anges i 3 eller 4 §§ lagen (2003:460) om etik- prövning av forskning som avser människor och därmed faller utanför
515
Författningskommentar |
SOU 2014:45 |
lagens tillämpningsområde. Bestämmelsen är bara tillämplig på sådan verksamhet som utgör forskning enligt etikprövningslagens defini- tion. Rådgivande yttrande kan till exempel bli aktuellt för forsknings- projekt som inte faller under etikprövningslagen tillämpningsområde men där en institution eller forskningsfinansiär kräver en etikpröv- ning eller när det krävs etikprövning för publicering av forsknings- resultat. Det kan röra sig om behandling av personuppgifter som inte är känsliga enligt 13 § personuppgiftslagen (1998:204) eller tillhör kategorin lagöverträdelser med mera enligt 21 § samma lag, men ändå är av sådan känslig karaktär att etikprövning bör ske. Ett annat exempel är forskning som bedrivs av svenska forskare och finansieras med svenska medel i ett land där det inte krävs någon etikprövning för att utföra sådan forskning som kräver etikprövning i Sverige.
Arbeten som utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå utgör inte forskning enligt etikpröv- ningslagens definition. För sådana arbeten ska det fortfarande vara frivilligt för de regionala etikprövningsnämnderna att avge yttrande.
Bestämmelsen behandlas i avsnitt 9.1.2.
27 §
Paragrafen har ändrats på så sätt att en avdelning i en regional etik- prövningsnämnd är beslutsför med ordföranden ensam även vid prövning av ärenden som avser forskning som endast innefattar be- handling av personuppgifter som hämtats från myndighetsregister med uppgifter som primärt samlats in för andra ändamål än forsk- ning och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde.
Av Centrala etikprövningsnämndens praxis följer att forsknings- projekt som endast innefattar behandling av anonymiserade person- uppgifter ur myndighetsregister i regel anses medföra mycket små risker för den personliga integriteten. I sådana ärenden krävs ingen värdering av projektets nytta, eftersom nyttan då alltid kan sägas överväga risken. Bestämmelsen gäller vid behandling av person- uppgifter från myndighetsregister som primärt samlats in för andra ändamål, för till exempel administration eller statistik. Bestämmel- sen utgör en möjlighet för nämnden att överlämna sådana ärenden att avgöras av ordföranden ensam. Bestämmelsen är fakultativ och finner ordföranden att ett ärende är av sådan karaktär att det bör behandlas i nämnden kan ett ärenden åter hänvisas dit.
Bestämmelsen behandlas i avsnitt 9.1.1.
516
SOU 2014:45 |
Författningskommentar |
12.3Förslaget till lag om ändring av offentlighets- och sekretesslagen (2009:400)
10 kap.
23 §
Paragrafen innehåller en sekretessbrytande bestämmelse som avser uppgiftslämnande vid misstankar om vissa begångna brott. Bestäm- melsen har ändrats så att inte sekretessen enligt bestämmelsen om forskningssekretess i 24 kap. 1 § eller sekretess i verksamhet som avser förande eller uttag ur register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret enligt 25 kap. 15 a § hindrar uppgiftslämnande under de förutsättningar som anges i be- stämmelsen.
Ändringen behandlas i avsnitten 9.3.10 och 9.5.14.20.
27 §
Enligt den så kallade generalklausulen i paragrafens första stycke hindrar sekretess inte att en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Andra stycket har ändrats så att även bestämmelsen om forsknings- sekretess i 24 kap. 1 § och sekretess i verksamhet som avser förande och uttag ur det register som förs enligt lagen (0000:00) om Natio- nella biobanksregistret i 25 kap. 15 a § ska undantas från general- klausulens tillämpningsområde.
Ändringen behandlas i avsnitten 9.3.10 och 9.5.14.20.
11 kap.
3 §
Paragrafen innehåller en bestämmelse om överföring av sekretess vid forskningsverksamhet. Paragrafens första stycke har ändrats med innebörden att i de fall en myndighet får en uppgift som är belagd med sekretess enligt den nya bestämmelsen om forskningssekretess i 24 kap. 1 § från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten.
Ändringen behandlas i avsnitt 9.3.11.
517
Författningskommentar |
SOU 2014:45 |
24 kap.
1 §
Första stycket har ändrats så att absolut sekretess ska gälla i forsk- ningsverksamhet för uppgift som avser enskildas personliga eller ekonomiska förhållande och som kan hänföras till den enskilde. Bestämmelsen är tillämplig i all typ av forskningsverksamhet, således även psykologisk undersökning som utförs för forskningsändamål som tidigare reglerades i bestämmelsen.
Sekretessen är absolut, vilket innebär att uppgifter som huvud- regel inte ska lämnas ut. I bestämmelsen anges dock vissa undantag från sekretessen. Uppgift som behövs för forskningsändamål eller uppgift som behövs i en utredning av oredlighet i forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning får lämnas ut om det står klart att uppgiften kan röjas utan att den en- skilde eller någon närstående till denne lider skada eller men.
Andra stycket är nytt. Bestämmelsen innebär att sekretess enligt första stycket ska gälla även i verksamhet som avser förande av eller uttag ur databaser enligt lagen (0000:00) om forskningsdatabaser. Verksamheten i en databas enligt lagen om forskningsdatabaser är inte att betrakta som forskningsverksamhet i sig eftersom syftet med databasen endast är att skapa underlag för och lämna ut uppgifter till forskningsprojekt. För att sekretessen i första stycket ska bli tillämplig på uppgifter i verksamheten krävs således särskild hän- visning i bestämmelsen.
Tredje stycket motsvarar det tidigare andra stycket och anger hur länge sekretessen ska gälla. Bestämmelsen har ändrats på så sätt att sekretessen ska gälla i sjuttio år om uppgiften avser enskilds per- sonliga förhållande, annars i tjugo år.
Fjärde stycket är nytt och definierar vad som avses med forsk- ning i paragrafen. Forskning definieras i bestämmelsen på samma sätt som i etikprövningslagen. Enligt 2 § etikprövningslagen avses med forskning vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskole- utbildning på grundnivå eller på avancerad nivå.
Bestämmelsen behandlas i avsnitt 9.3.
518
SOU 2014:45 |
Författningskommentar |
9 §
Paragrafen anger i vilka fall den tystnadsplikt som följer av sekre- tessbestämmelser i kapitlet inskränker rätten att meddela och offent- liggöra uppgifter som följer av bestämmelser i tryckfrihetsförord- ningen och yttrandefrihetsgrundlagen.
Paragrafen har ändrats så att även den tystnadsplikt som följer av 1 § inskränker rätten att meddela och offentliggöra uppgifter.
Ändringen behandlas i avsnitt 9.3.13.
25 kap.
11 §
Paragrafen innehåller ett antal sekretessbrytande bestämmelser som medger utlämnande av uppgifter för vilka gäller hälso- och sjuk- vårdssekretess enligt 1 §.
Bestämmelsen har ändrats så att sekretess enligt 1 § inte heller hindrar att uppgift lämnas till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret.
Ändringen behandlas i avsnitt 9.5.14.20.
15 a §
Paragrafen, som är ny, innehåller i första stycket en bestämmelse om så kallad absolut sekretess i verksamhet som avser förande av eller uttag ur register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret. Sekretessen gäller för uppgift om enskilds hälso- tillstånd eller andra personliga förhållanden.
Andra stycket innehåller undantag från sekretessen. Uppgifter får lämnas ut i den utsträckning som framgår av lagen. Det innebär att uppgifter får lämnas ut för att säkerställa spårbarhet för vävnads- prover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. i syfte att möjliggöra vård och behandling av den registrerade, forskning, kvalitetssäkring och framställning av statistik samt förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke. Utlämnande får dock endast ske om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Personuppgifter får också lämnas ut om det finns en skyldig- het enligt lag att göra det. I tredje stycket anges att sekretessen gäller i högst sjuttio år.
Bestämmelsen behandlas i avsnitt 9.5.14.20.
519
Författningskommentar |
SOU 2014:45 |
18 §
Paragrafen anger i vilka fall den tystnadsplikt som följer av sekre- tessbestämmelser i kapitlet inskränker rätten att meddela och offent- liggöra uppgifter som följer av bestämmelser i tryckfrihetsförord- ningen och yttrandefrihetsgrundlagen.
Första stycket har ändrats så att även den tystnadsplikt som följer av 15 a § inskränker den grundlagsskyddade rätten att meddela och offentligöra uppgifter.
Ändringen behandlas i avsnitt 9.5.14.20.
12.4Förslaget till lag om ändring av patientsäkerhetslagen (2010:659)
6 kap.
12 §
Paragrafen innehåller bestämmelser om tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonal inom den en- skilda hälso- och sjukvården.
Andra stycket är nytt och innehåller en bestämmelse som innebär att tystnadsplikt enligt första stycket inte hindrar att uppgift lämnas till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret. Lagen (2002:297) om biobanker i hälso- och sjukvården är tillämplig på vårdgivare i såväl allmän som privat regi. För personal inom den enskilda sjukvåden gäller genom bestämmel- ser i patientsäkerhetslagen samma tystnadsplikt som för personal inom den allmänna sjukvåden. För att det ska vara möjligt att över- lämna uppgifter om enskildas hälsotillstånd och andra personliga förhållanden från den enskilda sjukvåden till Nationella biobanks- registret krävs en bestämmelse med undantag från den lagstadgade tystnadsplikten. Syftet med bestämmelsen är således att möjliggöra utlämnande av uppgifter från enskilda vårdgivare till Nationella biobanksregistret.
Ändringen behandlas i avsnitt 9.5.14.20.
520
SOU 2014:45 |
Författningskommentar |
12.5Förslaget till lag om forskningsdatabaser
1 §
Paragrafen anger lagens tillämpningsområde.
Av första stycket framgår att lagen gäller sådan behandling av per- sonuppgifter som utförs av statliga universitet och högskolor som omfattas av högskolelagen (1992:1434)samt andra statliga myndig- heter som har i uppdrag att bedriva forskning och som behandlas för de ändamål som anges i lagen. Lagen är vidare endast tillämplig vid de angivna myndigheternas behandling av personuppgifter för ändamålet att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forsk- ningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser män- niskor. Syftet med lagen är att möjliggöra för statliga universitet och högskolor samt andra statliga myndigheter som har i uppdrag att bedriva forskning att skapa databaser med personuppgifter som ska kunna användas i olika ännu inte definierade forskningsprojekt. Utanför lagens tillämpningsområde faller således behandling som utförs av sådana universitet och högskolor som anges i första stycket, men som ingår i ett visst forskningsprojekt som har godkänts enligt lagen om etikprövning av forskning som avser människor.
Enligt andra stycket gäller lagen om behandlingen är helt eller delvis automatiserad. Lagen gäller vidare vid viss manuell behand- ling av personuppgifter, nämligen om uppgifterna ingår eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Manuell behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier, så kallat ostrukturerat material enligt 5 a § personuppgiftslagen (1998:204), faller utanför lagens tillämpningsområde.
Av tredje stycket följer att i de fall personuppgifter samlas in direkt från den enskilde får personuppgifter behandlas endast om han eller hon har fått viss information och därefter lämnat sitt uttryckliga samtycke till behandlingen. I de fall personuppgifter inhämtas direkt från den enskilde, till exempel genom enkäter eller andra frågefor- mulär, kan det vanligtvis antas att uppgiftslämnandet sker med den enskildes samtycke. Genom att merverka lämnar ju personen ett i vart fall underförstått samtycke. Det bör i dessa sammanhang dock
521
Författningskommentar |
SOU 2014:45 |
vara tydligt om den enskilde har lämnat samtycke och vad sam- tycket omfattar. I de fall uppgifter samlas in direkt från den enskilde föreskrivs därför krav på uttryckligt samtycke. Med samtycke avses i detta sammanhang detsamma som i personuppgiftslagen (1998:204), det vill säga varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Att sam- tycket ska vara uttryckligt innebär att viljeyttringen ska lämnas på ett tydligt iakttagbart sätt. Samtycket behöver inte avges skriftligt, men ur bevishänseende kan det vara lämpligt att dokumentera att samtycke lämnats och vad det omfattar.
Bestämmelsen behandlas i avsnitt 9.4.7.
2 §
Paragrafen innehåller definitioner av vissa begrepp.
Med forskningsdatabas avses i lagen en databas (uppgiftssam- ling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att till- handahålla uppgifter till flera olika framtida forskningsprojekt. En forskningsdatabas ska enligt lagens definition kunna innehålla både personuppgifter som samlats in direkt från enskilda till genom till exempel undersökningar, och uppgifter som hämtats från andra myndigheters register, till exempel Socialstyrelsens hälsodataregister eller Statistiska centralyråns (SCB) befolkningsregister. En forsk- ningsdatabas ska också kunna innehålla båda dessa typer av upp- gifter. Att en databas är en nationell infrastruktur innebär att den är avsedd att utgöra en nationell resurs för forskning och vara utformad så ett den kan utgöra en tillgång för forskare i hela landet. En forskningsdatabas ska också ha till syfte att utgöra underlag för olika framtida ännu inte definierade forskningsprojekt. Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller en på liknande sätt bestämd forskning som enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor kan godkännas av en etikpröv- ningsnämnd.
Med forskning avses i lagen detsamma som enligt lagen om etikprövning av forsning, det vill säga vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklings- arbete på vetenskaplig grund, dock inte sådant arbete som utförs
522
SOU 2014:45 |
Författningskommentar |
inom ramen för högskoleutbildning på grundnivå eller avancerad nivå.
Bestämmelsen behandlas i avsnitten 9.4.4 och 9.4.16.
3 §
I bestämmelsen regleras lagens förhållande till personuppgiftslagen (1998:204). I paragrafen anges att personuppgiftslagen ska gälla vid behandling av personuppgifter enligt lagen, om inte annat följer av lagen. Definitionerna i 3 § personuppgiftslagen gäller således även vid tillämpning av lagen om inte annat anges.
Bestämmelsen behandlas i avsnitt 9.4.10.
4 §
I paragrafen anges att de statliga myndigheter som utför behand- lingen av personuppgifter är personuppgiftsansvariga. De myndig- heter som kan bli aktuella som personuppgiftsanvariga är enligt 1 § statliga universitet och högskolor samt andra statliga myndigheter som har i uppdrag att utföra forskning. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen för och medlen för behandlingen av personuppgifter. Den person- uppgiftsansvariga har vidare ansvar för att bestämmelserna i lagen och tillämpliga bestämmelser i personuppgiftslagen följs.
Bestämmelsen behandlas i avsnitt 9.4.11.
5 §
I paragrafen anges de primära ändamål för vilka personuppgifter får behandlas enligt lagen.
Det första ändamålet är att skapa underlag för olika forsknings- projekt. Syftet med behandlingen ska således inte vara att skapa underlag för ett visst, redan definierat projekt utan att samla in upp- gifter som kan utgöra underlag för olika framtida forskningsprojekt. Med begreppet ”skapa underlag” avses olika former av behandlingar som krävs för att föra en välfungerande databas, såsom insamling, registrering, bevarande och uppdatering av personuppgifter.
Det andra primära ändamålet är att lämna ut uppgifter till forsk- ningsprojekt. Utlämnande får bara ske under förutsättning att pro- jektet godkänts enligt 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Godkännande krävs oavsett vilken typ av personuppgifter som ska behandlas, det vill säga även om
523
Författningskommentar |
SOU 2014:45 |
behandlingen inte omfattar känsliga personuppgifter enligt 13 § eller uppgift om lagöverträdelser med mera enligt 21 § personupp- giftslagen (1998:204). Bestämmelsen utvidgar således etikprövnings- lagens tillämpningsområde.
Uppgifter i en forskningsdatabas får lämnas ut både till forsk- ningsprojekt som drivs av en statlig myndighet och till forsknings- projekt i enskild regi.
Bestämmelsen behandlas i avsnitt 9.4.13.
6 §
I paragrafen anges de sekundära ändamålen med behandlingen.
I första stycket anges att uppgifter som behandlas för de ändamål som anges i 5 § också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Det huvudsakliga syftet med en forskningsdata- bas enligt lagen ska vara att göra det möjligt att bygga upp databaser som kan utgöra underlag för forskningsprojekt och att lämna ut uppgifter till sådana projekt. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forskningsdatabas krävs att utlämnande får ske även till en högskola eller ett univer- sitet som genomför en utredning om misstanke om oredlighet i forskning. Bestämmelsen möjliggör också lämnande av uppgifter till Centrala etikprövningsnämnden för att nämnden enligt 1 kap. 16 § högskoleförordningen (1993:100) ska kunna avge yttrande i samband med en sådan utredning. I de fall granskningen sker genom annan forskning, exempelvis replikation av tidigare utförd forskning, gäller bestämmelserna i 5 §.
I andra stycket anges att personuppgifter som har registrerats med stöd av lagen alltid får lämnas ut till den registrerade själv. Detta följer redan av bestämmelserna i personuppgiftslagen (1998:204) men anges för tydlighets skull uttryckligen i lagen. Bestämmelsen är dock inte tillämplig när det gäller personuppgifter som inte direkt kan hänföras till en person. I sådana fall är det inte möjligt för den registerhållande myndigheten att identifiera vilka uppgifter som hör till en viss person.
Bestämmelserna behandlas i avsnitt 9.4.17.
524
SOU 2014:45 |
Författningskommentar |
7 §
I första meningen anges att personuppgifter som behandlas för de ändamål som anges i 5 § utöver vad som anges i 6 § får lämnas ut om det finns en skyldighet i lag att göra det. Skyldighet att lämna ut uppgifter kan uppkomma genom bestämmelser i annan lagstiftning. Reglerna om allmänna handlingar och offentlighetsprincipen har till exempel företräde framför bestämmelserna i personuppgiftslagen (1998:204). Utlämnande av uppgifter med stöd av bestämmelserna i tryckfrihetsförordningen kan alltså ske utan hinder av personupp- giftslagen (8 § personuppgiftslagen). Ett annat exempel är skyldighet att enligt 43 § personuppgiftslagen lämna uppgifter i samband med Datainspektionens tillsyn av personuppgiftsbehandlingen. Även vissa särskilda registerförfattningar innehåller bestämmelser om uppgifts- skyldighet. För att inte tveksamhet ska uppkomma anges i lagen att uppgifter får lämnas ut från en forskningsdatabas om det finns en skyldighet i lag att göra det. Bestämmelsen gäller alla typer av uppgifter, även känsliga personuppgifter enligt 13 § och uppgift om lagöverträdelser med mera enligt 21 § personuppgiftslagen.
Av andra meningen framgår genom en hänvisning till personupp- giftslagen att den så kallade finalitetsprincipen gäller vid person- uppgiftsbehandling enligt lagen. Enligt principen, som framgår av 9 § första stycket d personuppgiftslagen, får personuppgifter inte lämnas ut för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Av andra stycket samma bestämmelse följer att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in. Bestämmelsen medför att uppgifter i en forskningsdatabas alltid får behandlas för historiska, statistiska och vetenskapliga ändamål, oavsett för vilket ändamål uppgifterna ursprungligen samlades in. Dock gäller de krav på personuppgifts- behandlingen som i övrigt följer av personuppgiftslagen och lagen (2003:460) om etikprövning av forskning som avser människor.
Bestämmelsen behandlas i 9.4.17.
8 §
I paragrafen anges att uppgifter som hämtats från andra myndig- hetsregister för de ändamål som anges i 5 § får behandlas under förutsättning att uppgifterna inte direkt kan hänföras till en person. Undantag gäller om regeringen eller den myndighet regeringen be-
525
Författningskommentar |
SOU 2014:45 |
stämmer har meddelat föreskrifter om att behandling av identifier- bara uppgifter får ske.
Enligt bestämmelsen ska uppgifter som inhämtats från myndig- hetsregister i syfte att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt enligt 5 § som huvudregel vara anonymiserade. Forskare har i de flesta fall inget behov av att kunna identifiera enskilda individer. Av integritetsskäl bör därför utgångspunkten vara uppgifterna inte direkt ska gå att hänföra till enskilda individer. Det kan dock finnas situationer där identifiering av enskilda individer är nödvändig för forskningen. Det kan till exempel handla om forskning där forskaren behöver kunna jämföra uppgifter i journaler med registeruppgifter eller där enskilda ska kontaktas. Regeringen, eller den myndighet som regeringen bestäm- mer, kan meddela föreskrifter om i vilka fall det ska vara möjligt att behandla identifierbara personuppgifter som härrör från ett myndig- hetsregister.
Bestämmelsen behandlas i 9.4.14.
9 §
I första stycket anges att i de fall de personuppgifter som lämnas ut från en forskningsdatabas inte direkt kan hänföras till en enskild ska den personuppgiftsansvarige i samband med utlämnandet förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning. En för- teckning över vilken beteckning som hör samman med vilken person ska sedan sparas hos den utlämnande myndigheten i 20 år efter det att den upprättats. Den myndighet som är ansvarig för forsknings- databasen är således skyldig att vid utlämnande av anonymiserade uppgifter förse uppgifterna med en särskild beteckning, ett löpnum- mer. Förteckningen över vilken beteckning som motsvarar vilken individ, en så kallad kodnyckel, ska sparas för att möjliggöra upp- datering av materialet i ett forskningsprojekt. Kodnyckelförfarandet ska också möjliggöra för en annan forskningshuvudman att bygga vidare på eller granska det forskningsprojekt som kodnyckeln ursprungligen skapades för. Det kan förekomma longitudinella studier som pågår längre än 20 år. När kodnyckeln bevarats i 20 år kan tiden för bevarandet därför förlängas av den myndighet som bevarar den eller på ansökan av forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.
526
SOU 2014:45 |
Författningskommentar |
Enligt andra stycket ska i de fall en uppgift rättats, blockerats eller utplånats i forskningsdatabasen den personuppgiftsansvariga myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till. I de fall kodade personuppgifter har lämnats ut till ett forskningsprojekt har forsk- ningshuvudmannen inte själv möjlighet att på begäran av den registre- rade rätta, blockera eller utplåna uppgifter om den registrerade. Bestämmelsen medför en skyldighet för den myndighet som är an- svarig för forskningsdatabasen att vidta de åtgärder som krävs för att uppgifterna ska kunna ändras hos forskningshuvudmannen.
Enligt tredje stycket behöver den som har fått personuppgifter enligt första stycket inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registre- rade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna uppgifter. Enligt 24 § personuppgiftslagen (1998:204) ska den personuppgiftsansva- riga självmant lämna den registrerade information om behandlingen, om personuppgifterna samlas in från någon annan källa än den re- gistrerade själv. Det följer vidare av 28 § personuppgiftslagen att den personuppgiftsansvarige är skyldig att på begäran av den re- gistrerade snarast rätta, blockera eller utplåna sådana personupp- gifter som inte har behandlats med stöd av personuppgiftslagen eller föreskrifter som har utfärdats med stöd av personuppgiftslagen. Bestämmelsen i tredje stycket fastställer att undantag från dessa bestämmelser ska göras i de fall forskningshuvudmannen inte själv kan identifiera den registrerade.
Bestämmelserna behandlas i avsnitt 9.4.18.
10 §
I paragrafen anges att en forskningsdatabas endast får innehålla de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt 5 §. Uppgifter som inte kan hänföras till databasens ändamål är inte tillåtna.
Det är inte möjligt att förutse vilka typer av uppgifter som kom- mer att behöva registreras i de forskningsdatabaser som kan bli aktu- ella att skapa med stöd av lagen. Innehållet i forskningsdatabasen har därför knutits till det ändamål som forskningsdatabasen upp- rättas för. I den förordning som kommer att finnas för varje forsk- ningsdatabas bör databasens ändamål och innehåll specificeras. En
527
Författningskommentar |
SOU 2014:45 |
forskningsdatabas får således innehålla endast uppgifter som behövs för den forskning som anges närmare i databasens förordning.
Bestämmelsen behandlas i avsnitt 9.4.19.
11 §
I paragrafen anges att endast de uppgifter som anges i 10 § får användas som sökbegrepp i ett forskningsregister.
I vissa särskilda registerförfattningar finns begränsningar i vilka begrepp som får användas som sökbegrepp. Dessa begränsningar har oftast införts av integritetsskäl. För att en forskningsdatabas ska vara ändamålsenlig bör dock sökning kunna göras på alla de begrepp som enligt 10 § får registreras i databasen. Skyddet av den enskildes integritet ska i stället beaktas vid valet av vilka uppgifter som ska få registreras och de övriga säkerhetsåtgärder som ska vidtas i sam- band med behandlingen av personuppgifter.
Bestämmelsen behandlas i avsnitt 9.4.20.
12 §
Paragrafen reglerar utlämnande genom direktåtkomst.
Med direktåtkomst avses att någon har elektronisk åtkomst till någon annans databas och kan genomföra sökning efter information i databasen utan att den som är ansvarig för databasen har kontroll över vilka uppgifter som mottagaren tar del av. Direktåtkomst inne- bär dock inte att mottagaren har möjlighet att påverka innehållet i databasen. Paragrafen innebär ett förbud mot att genom sådan direkt- åtkomst lämna ut personuppgifter från forskningsdatabaser som förs med stöd av lagen. Förbudet gäller både utlämnande till andra myndigheter och till en annan självständig verksamhetsgren inom den registerförande myndigheten.
Bestämmelsen behandlas i avsnitt 9.4.21.
13 §
Paragrafen innehåller ett förbud mot att behandla uppgifter som inte direkt kan hänföras till en person i syfte att röja en persons identitet.
Uppgifter i en databas som förs med stöd av denna lag ska som huvudregel lämnas ut i anonymiserad form. Även om uppgifterna är anonymiserade kan det genom så kallad bakvägsidentifiering ändå vara möjligt att identifiera enskilda personer i ett material. Så är till exempel fallet om en forskare har tillgång till ett flertal variabler,
528
SOU 2014:45 |
Författningskommentar |
till exempel ålder, kön och yrke, och att det genom att lägga sam- man dessa variabler går att utröna vilken individ som ligger bekom de anonymiserade uppgifterna. Bestämmelsen innehåller ett förbud mot behandling av personuppgifter som syftar till att röja en persons identitet. Sådant avslöjande som sker oavsiktligt är således inte straffbart. Bestämmeseln gäller endast vid utlämnande av uppgifter som inte direkt kan hänföras till den enskilde.
Bestämmelsen behandlas i avsnitt 9.4.22.
14 §
Paragrafen innehåller en bestämmelse om intern elektronisk åtkomst. Bestämmelsen innebär att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna utföra sina arbets- uppgifter när det gäller forskningsdatabasen. Det kan till exempel avse uppgiften att inhämta nya uppgifter till forskningsdatabasen, lämna ut uppgifter från forskningsdatabasen eller sköta uppgifter som rör gallring och arkivering.
Bestämmelsen har sin utgångspunkt i resonemanget att integritets- risken blir större ju fler personer inom en organisation som har till- gång till en personuppgift. Syftet med bestämmelsen är att definiera vem som får behandla uppgifter i databasen och för vilka ändamål för att på så sätt förhindra att uppgifterna behandlas av ett större antal personer än nödvändigt.
I
Bestämmelsen behandlas i avsnitt 9.4.23.
529
Författningskommentar |
SOU 2014:45 |
15 §
Paragrafen gäller gallring av personuppgifter i en forskningsdatabas. Personuppgifter som inte längre behövs för ändamålen att utgöra
underlag för olika forskningsprojekt och för att lämnas ut till forsk- ningsprojekt som godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor ska gallras om inte regeringen eller den myndighet som regeringen bestämmer har meddelat före- skrifter om eller i ett särskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelsen innebär att uppgifterna ska utplånas eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Uppgifterna får med andra ord inte längre utgöra personuppgifter i personuppgiftslagens (1998:204) bemärkelse. Paragrafen utgör en sådan bestämmelse om gallring i annan författning som enligt 10 § tredje stycket arkivlagen (1990:782) ska gälla före arkivlagens bestämmelser om bevarande av allmänna handlingar.
Bestämmelsen innebär att personuppgifter i en forskningsdatabas ska förstöras när den inte längre behövs för de primära ändamålen. Eftersom ändamålet är att utgöra underlag för framtida forskning medger det i sig att uppgifterna vanligtvis kan bevaras under en lång tid. Det kan dock uppstå att situationer där det framgår att uppgifter- na inte kommer att vara användbara för framtida forskning. De ska då som huvudregel gallras.
Bestämmelserna om gallring blir också aktuella vid avvecklingen av en databas. Personuppgifterna i databasen ska då som huvud- regel gallras, om inte särskilda föreskrifter eller ett särskilt beslut om bevarande finns.
Paragrafen gäller även för sådana kodnycklar som behandlas i 9 §. När den föreskrivna
Bestämmelsen behandlas i avsnitt 9.4.24.
530
SOU 2014:45 |
Författningskommentar |
16 §
I paragrafen anges att 26 § personuppgiftslagen (1998:204) om in- formation efter ansökan inte gäller i fråga om personuppgifter som inte direkt kan hänföras till en person.
Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande be- handlas eller inte. För att stärka integritetsskyddet ska som huvud- regel uppgifter i en forskningsdatabas som hämtats från myndig- hetsregister behandlas i anonymiserad form. Ett informationskrav enligt 26 § personuppgiftslagen skulle dock innebära att den person- uppgiftsansvarige skulle vara tvungen att identifiera enskilda personer i materialet. Bestämmelsen slår fast att informationskravet i 26 § personuppgiftslagen inte gäller i de fall den personuppgiftsansvarige inte själv har möjlighet att identifiera enskilda individer i materialet.
Bestämmelsen behandlas i 9.4.26.
17 §
I bestämmelsen anges vilken information den enskilde har rätt till när uppgifter samlas in direkt från den enskilde. Informationen ska lämnas innan samtycke ges.
I personuppgiftslagen (1998:204) finns inga särskilda regler om vem som kan lämna ett giltigt samtycke. Den som faktiskt kan till- godogöra sig informationen och som faktiskt kan avge en frivillig viljeyttring anses kunna lämna samtycke. För underåriga gäller som huvudregel föräldrabalkens bestämmelser. Av 6 kap. 11 § föräldra- balken följer att den som är underårig och inte själv kan tillgodogöra sig information och ta ställning till frågan företräds av sin vårdnads- havare. Om det finns två vårdnadshavare ska båda få information och lämna samtycke. Är en av vårdnadshavarna till följd av frånvaro, sjukdom eller annan orsak förhindrad att ta del av beslutet sam- tycke och kan detta inte utan olägenhet uppskjutas kan samtycket lämnas av den andre ensam (6 kap. 13 § föräldrabalken).
I avsnitt 9.4.25. anges närmare vilken information som ska lämnas. Bestämmelsen är inte uttömmande. Om det i något fall framkom- mer att det är lämpligt att någon ytterligare information än den som anges i bestämmelsen bör ges kan det anges i den särskilda förordning som ska gälla för respektive forskningsdatabas.
531
Författningskommentar |
SOU 2014:45 |
18 §
I paragrafen finns en bestämmelse om rättelse och skadestånd. Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid överträdelser av den lagen. Genom denna bestämmelse görs personuppgiftslagen bestämmelser tillämpliga på motsvarande sätt i fråga om personuppgifter som har behandlats i strid med denna lag.
Bestämmelsen behandlas i 9.4.27.
19 §
I paragrafen anges att den som bryter mot förbudet mot olovlig identifiering i 13 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken eller personuppgiftslagen (1998:204). Om uppgifterna som framkommit om den enskilde till exempel har använts för att utsätta någon för ärekränkning ska således bestämmelserna i 5 kap. brottsbalken tillämpas. Vidare finns bestämmelser om straff i 49 § personuppgiftslagen.
Enligt bestämmelsen ska det i ringa fall inte dömas till ansvar. Vad som avses med ringa får bedömas med hänsyn till samtliga om- ständigheter i det enskilda fallet. Vid bedömningen kan till exempel vägas in uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som bakvägsidentifieringen inneburit.
Bestämmelsen behandlas i 9.4.22.
20 §
Bestämmelsen innehåller upplysning om vilka föreskrifter regeringen kan meddela när det gäller forskningsdatabaser. Regeringen får för det första meddela ytterligare föreskrifter om vilka statliga univer- sitet och högskolor eller andra statliga myndigheter som får föra forskningsdatabaser enligt denna lag och vilka forskningsdatabaser enligt lagen som får föras. Regeringen får vidare meddela begräns- ning av ändamål för vilka personuppgifter får behandlas och vilka uppgifter som en forskningsdatabas enligt 9 § får innehålla. Rege- ringen får vidare meddela begränsningar av behandling av uppgifter i en forskningsdatabas. Detta innefattar bland annat vilka källor uppgifterna i databasen ska hämtas från och vilken information den personuppgiftsansvarige ska vara skyldig att lämna till den som registreras i forskningsdatabasen. Regeringen får också meddela be-
532
SOU 2014:45 |
Författningskommentar |
gränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas, till exempel att endast anonymiserade uppgifter får lämnas ut till ett enskilt forskningsprojekt. Regeringen får också meddela bestämmelser om uppgiftsskyldighet för myndigheter avseende uppgifter till en forskningsdatabas och begränsningar i rätten till intern elektronisk åtkomst.
Bestämmelsen regleras i avsnitt 9.4.29.
12.6Förslaget till lag om Nationella biobanksregistret
1 §
I paragrafen anges att Socialstyrelsen får utföra helt eller delvis automatiserad behandling av uppgifter i Nationella biobanks- registret.
Med behandling avses enligt 3 § personuppgiftslagen (1998:204) varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller änd- ring, återvinning, inhämtande, användning, utlämnande genom över- sändande, spridning eller annat tillhandahållande av uppgifter, sam- manställning eller samkörning, blockering, utplåning eller förstöring.
Personuppgift definieras i 3 § personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Ett vävnadsprov enligt lagen (2002:297) om biobanker i hälso- och sjukvåden m.m. kan emellertid vara hämtat både från levande och avlida personer samt foster. Även uppgifter om prover från avlidna och ännu inte födda personer får behandlas av Socialstyrelsen i Nationella biobanksregistret.
Lagen ska avse behandling av uppgifter som är helt eller delvis automatiserad.
Av bestämmelsen framgår att registret ska heta Nationella bio- banksregistret.
Bestämmelsen behandlas i avsnitt 9.5.14.2.
2 §
I paragrafen framgår att Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i Nationella biobanksregistret. Personuppgiftsansvarig är enligt 3 § personuppgiftslagen (1998:204) den som ensam eller tillsammans med andra bestämmer ändamålen
533
Författningskommentar |
SOU 2014:45 |
med och medlen för behandlingen av personuppgifter. Den person- uppgiftsansvarige ansvarar också för att behandlingen i övrigt är förenlig med denna lag och personuppgiftslagens bestämmelser.
Bestämmelsen behandlas i avsnitt 9.5.14.3
3 §
Paragrafen reglerar hur lagen förhåller sig till personuppgiftslagen (1998:204). Enligt 2 § personuppgiftslagen gäller bestämmelser i annan lag eller i en förordning som avviker från denna lag framför bestämmelserna i personuppgiftslagen. Av förevarande bestämmelse följer att personuppgiftslagens bestämmelser gäller vid behandling av personuppgifter, om inte annat följer av lagen eller föreskrifter som meddelats med stöd av lagen.
Bestämmelsen behandlas i avsnitt 9.5.14.5.
4 §
Paragrafen innehåller bestämmelser om den enskildes inställning till registrering av personuppgifter i Nationella biobanksregistret. Be- stämmelsen avser uppgift om vävnadsprover i biobanker enligt 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m., det vill säga en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet eller vävnadsprover från en sådan bio- bank, vilka lämnats ut för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och vilka även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Bestämmelsen är inte tillämplig på prover som rutinmässigt tas i vården för analys och som ute- slutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid. I bestämmelsen görs skillnad mellan uppgifter om vävnadsprover i en biobank som redan har samlats in och behandlas vid lagens ikraft- trädande och sådana som samlas in och behandlas först efter lagens ikraftträdande.
Enligt första stycket får uppgifter om vävnadsprover i en biobank som behandlas när lagen träder i kraft inte behandlas i Nationella biobanksregistret om den registrerade motsätter sig det. Det innebär att uppgifterna om proverna får föras över till Nationella biobanks- registret utan den enskildes samtycke. Om den registrerade motsätter sig behandling ska hans eller hennes uppgifter omedelbart strykas
534
SOU 2014:45 |
Författningskommentar |
ur registret. Detta så kallade
Enligt andra stycket får uppgifter om vävnadsprover från en biobank som börjar behandlas efter det att lagen trätt i kraft inte registreras i Nationella biobanksregistret utan att den som uppgifter- na avser uttryckligen har samtyckt till det. Med samtycke avses här detsamma som i personuppgiftslagen (1998:204) det vill säga varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det finns inget krav på att samtycket ska vara skriftligt. I kravet att det ska vara en otve- tydig viljeyttring ligger att dock att samtycket ska ha kommit till uttryck på något sätt som en utomstående kan iaktta. För att det inte ska råda något tvivel om vad den enskilde har samtyckt till kan det vara lämpligt att samtycket avges skriftligen. Vilken informa- tion den enskilde ska ha fått del av innan han eller hon avger sitt samtycke anges i 12 §. Särskilda bestämmelser gäller enligt 5 § för underåriga.
Bestämmelsen behandlas i avsnitt 9.5.14.6.
5 §
I paragrafen regleras registrering av uppgifter som rör underåriga i Nationella biobanksregistret.
I bestämmelsens första stycke slås fast att uppgifter om vävnads- prover i en biobank enligt lag (2002:297) om biobanker i hälso- och sjukvården m.m. som avser en underårig som behandlas när denna lag träder i kraft inte får behandlas i Nationella biobanksregistret om den underåriges vårdnadshavare motsätter sig det.
När det gäller uppgifter om vävnadsprover i en biobank enligt biobankslagen som avser en underårig och som börjar behandlas efter ikraftträdandet av denna lag gäller enligt andra stycket att registre- ring inte får ske utan att den underåriges vårdnadshavare har fått sådan information som anges i 12 § och därefter lämnat sitt samtycke.
Av tredje stycket framgår att om den underårige uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan gäller vad som sagt den underårige själv. Personuppgiftslagen (1998:204) innehåller inte någon särskild reglering när det gäller underåriga. I
535
Författningskommentar |
SOU 2014:45 |
10 § personuppgiftslagen föreskrivs att personuppgiftsbehandling endast är tillåten under vissa förutsättningar, bland annat att den registrerade har lämnat sitt samtycke till behandlingen. Den som faktiskt kan tillgodogöra sig information och som faktiskt kan avge en frivillig viljeyttring anses kunna lämna ett rättsligt giltigt sam- tycke. Frågan om när någon har uppnått sådan ålder och mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställ- företrädare har antagits kunna lämna samtycke för den som inte kan bli informerad eller avge en viljeyttring. Enligt Datainspektionen kan den som är underårig lämna giltigt samtycke till en tilltänkt be- handling om han eller hon är kapabel att förstå innebörden av sam- tycket. Huruvida även den underåriges vårdnadshavare måste lämna sitt samtycke varierar från fall till fall och beror på faktorer som ålder, uppgifternas art och ändamålet med behandlingen. Data- inspektionen har ansett att den som fyllt 15 år normalt är kapabel att själv ta ställning till samtyckesfrågan.
Bestämmelsen behandlas i avsnitt 9.5.14.7.
6 §
I paragrafen anges för vilka primära ändamål uppgifter i Nationella biobanksregistret får behandlas.
Ändamålsbestämmelsen är av central betydelse, eftersom den anger den allmänna ramen för registrets innehåll och vad det får användas till. Det är den personuppgiftsansvarige som har ansvar för att upp- gifterna i registret behandlas i enlighet med registrets ändamål.
Bestämmelsen gäller den personuppgiftsbehandling som ska ut- föras i Nationella biobanksregistret. För behandling av personupp- gifter avseende vävnadsprover inom hälso- och sjukvåden eller i forskningsverksamhet gäller patientdatalagen (2008:355) och person- uppgiftslagen (1998:204).
Personuppgifter i Nationella biobanksregistret får behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjuk- vården m.m. för vissa i bestämmelsen angivna syften. Det huvud- sakliga ändamålet med Nationella biobanksregistret är således att göra det möjligt att lokalisera var ett specifikt vävnadsprov förvaras. Med vävnadsprov avses detsamma som i 1 kap. 2 § lagen om bio- banker i hälso- och sjukvården m.m., det vill säga biologiskt material
536
SOU 2014:45 |
Författningskommentar |
från människa. Bestämmelsen omfattar både uppgifter som i person- uppgiftslagen betecknas som känsliga och andra personuppgifter.
Enligt första punkten får uppgifter behandlas för att säkerställa spårbarhet för vävnadsprover i syfte att möjliggöra vård och behand- ling av den registrerade. Exempel på när prov kan behöva sökas för vårdändamål är om en patient har vårdats på olika håll i landet eller vid misstanke om ärftliga sjukdomar som fordrar utredning av släk- tingars prover. Att hitta prover för kvalitetssäkringsändamål är också viktigt i vårdsammanhang, exempelvis för att hitta referensprover med en sällsynt blodgrupp eller en ovanlig antikropp eller för att hitta alla gynekologiska cellprover på en patient som senare utvecklat cancer.
Av andra punkten framgår att uppgifter i registret får behandlas i syfte att göra det möjligt att hitta prover som behövs för forskning, kvalitetssäkring och framställning av statistik. När det gäller forsk- ning gör registret det till exempel möjligt att hitta prover för en grupp personer med en viss sjukdom eller prover från samma person som tagits vid olika tillfällen. Registret gör det också möjligt att ta reda på vilka som motsatt sig att deras vävnadsprover används för forskning. För forskning som innefattar behandling av känsliga per- sonuppgifter gäller krav på etikgodkännande enligt 13 och 19 §§ i personuppgiftslagen och lagen (2003:460) om etikprövning av forsk- ning som avser människor. Enligt 31 § hälso- och sjukvårdslagen (1982:763) ska kvaliteten inom hälso- och sjukvåden systematiskt och fortlöpande utvecklas och säkras. Uppgifterna i registret ska kunna användas för sådant ändamål. Bestämmelsen gör det också möjligt att behandla personuppgifter för statistikändamål, till exem- pel för Socialstyrelsens statistikproduktion.
I tredje punkten anges att uppgifter i registret får behandlas i syfte att möjliggöra förstörande eller avidentifiering av vävnadsprover när den registrerade återkallat sitt samtycke. Av 3 kap. 1 § lagen om biobanker i hälso- och sjukvården m.m. följer att vävnadsprover endast får samlas in och bevaras i en biobank om provgivaren lämnat sitt samtycke. Samtycket kan när som helst återkallas och avser åter- kallelsen all användning ska provet ska förstöras eller avidentifieras. Nationella biobanksregistret ska göra det möjligt att samla de registre- rades samtycken centralt för att enklare kunna hitta vävnadsprover oavsett var i landet provet förvaras i de fall den enskilde återkallar sitt samtycke. Med avidentifiering menas i detta sammanhang att kopplingen mellan person och vävnadsprov tas bort så att det inte längre går att härleda vem provet är taget från.
Bestämmelsen behandlas i avsnitt 9.5.14.10.
537
Författningskommentar |
SOU 2014:45 |
7 §
I första meningen anges att anges att uppgifter, utöver vad som anges i 6 §, får lämnas ut om det finns en skyldighet i lag att göra det. Sådan skyldighet kan till exempel uppkomma enligt reglerna om allmänna handlingar och offentlighetsprincipen i tryckfrihetsför- ordningen. Utlämnande av uppgifter med stöd av bestämmelserna i tryckfrihetsförordningen kan ske utan hinder av bestämmelserna i personuppgiftslagen (1998:204). Det följer av 8 § första stycket personuppgiftslagen. Ett annat exempel är skyldighet att enligt 43 § personuppgiftslagen lämna uppgifter i samband med Datainspek- tionens tillsyn av personuppgiftsbehandlingen.
Av andra meningen framgår genom en hänvisning till person- uppgiftslagen att den så kallade finalitetsprincipen gäller vid person- uppgiftsbehandling enligt lagen. Enligt principen, som framgår av 9 § första stycket d personuppgiftslagen, får personuppgifter inte lämnas ut för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Av andra stycket samma bestämmelse fram- går att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses oförenlig med de ändamål för vilka uppgifterna samlades in. Bestämmelsen medför att uppgifter i Nationella biobanksregistret alltid får behandlas för historiska, statsistiska och vetenskapliga ändamål, oavsett för vilket ändamål uppgifterna ursprungligen samlades in.
Bestämmelsen behandlas i avsnitt 9.5.14.10.
8 §
Paragrafen anger vilka uppgifter Nationella biobanksregistret får innehålla.
Enligt första punkten får uppgift om provgivarens identitet re- gistreras. Med identitet avses namn, personnummer eller samord- ningsnummer eller koder som ersätter dessa uppgifter. Till identitets- uppgifter hör också kontaktuppgifter till den registrerade, såsom adress, telefonnummer och mailadress.
Av andra punkten framgår att uppgift om vilka andra personer som har att ta ställning till bevarande av vävnadsprover får registreras. Det gäller främst identitetsuppgift för vårdnadshavare till en person som inte själv kan lämna ett giltigt samtycke. Med identitetsuppgift avses detsamma som i första punkten.
I tredje punkten anges att uppgift om ställningstagande till beva- rande av vävnadsprover får registreras. Det handlar om alla typer av
538
SOU 2014:45 |
Författningskommentar |
ställningstagande avseende vävnadsprover, såsom att provgivaren lämnat sitt samtycke till att vävnadsprovet bevaras och används för samtliga de ändamål för vilka en biobank får användas enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. eller att vävnadsprover endast får bevaras och användas för vissa ändamål. Det kan också avse uppgift om att provgivaren motsatt sig bevarande av vävnadsprover eller att det saknas uppgift om provgivarens ställ- ningstagande, vilket kan vara aktuellt om patienten var oförmögen att lämna samtycke vid provtagningstillfället.
Enligt fjärde punkten får uppgift om provets identitet, karaktär och hantering registreras. Med provets identitet avses uppgift om provernas koder eller andra identitetsbeteckningar. Uppgift om pro- vets karaktär avser till exempel information om var på kroppen provet är taget och vilket material som proverna består av. Med begreppet avses också vilken provtagningsmetod som använts och hur proverna är lagrade, till exempel uppgift om i vilken temperatur provet förvaras. Bestämmelsen tillåter även att uppgifter om provets hantering registreras. I begreppet innefattas uppgift om när provet togs, var det förvaras, till vem det har överlämnats och övriga upp- gifter om utlämnande, överlåtelse, förstörande eller avidentifiering. När vävnadsprover har lämnats ut för forskningsändamål bör forsk- ningsstudien anges.
För att möjliggöra spårbarhet av vävnadsprover får även enligt femte punkten uppgift om vem som behandlar vävnadsprover eller uppgifter om vävnadsprover registreras. Det kan gälla uppgift om vem som har tagit ett prov, vem som har beställt en analys av ett prov, vem som utfört analysen av provet eller vem som hanterar provet i samband med preparering eller förvaring av provet.
Uppgift om till vem vävnadsprov utlämnats eller överlåtits får enligt sjätte punkten registreras i Nationella biobanksregistret.
Av sjunde punkten följer att uppgift om diagnos och analys- resultat får registreras i registret. Med diagnos avses en bestämning och benämning av sjukdom, skada, störning eller förändring i kropps- funktion. Diagnosen anges vanligen i form av en diagnoskod, en statistisk kod för klassificering av sjukdomar och relaterade hälso- problem. Denna klassifikation kan även innehålla symtom, onormala fynd och besvär.
Bestämmelsen behandlas i avsnitt 9.5.14.11.
539
Författningskommentar |
SOU 2014:45 |
9 §
Paragrafen reglerar vilka sökbegrepp som får användas vid sökning i Nationella biobanksregistret. Av bestämmelsen följer att det inte finns någon begränsning av att använda uppgifter i registret som sök- begrepp.
Bestämmelsen behandlas i avsnitt 9.5.14.12.
10 §
Av paragrafen följer att Socialstyrelsen har ansvar för att begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om Nationella biobanksregistret. Med upp- dragstagare avses bland annat personuppgiftsbiträde enligt 3 § person- uppgiftslagen (1998:204). Syftet med begränsningen är att stärka skyddet för den personliga integriteten genom att se till att upp- gifterna i registret sprids till så få personer som möjligt. Utöver denna bestämmelse gäller personuppgiftslagens regler om lämpliga säker- hetsåtgärder vid personuppgiftsbehandling
Bestämmelsen behandlas i avsnitt 9.5.14.14.
11 §
Paragrafen reglerar utlämnande av direktåtkomst till uppgifter i Nationella biobanksregistret. Med direktåtkomst avses att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. I bestämmelsen slås fast att utlämnande till
540
SOU 2014:45 |
Författningskommentar |
annan från Nationella biobanksregistret genom direktåtkomst inte får förekomma. Bestämmelsen utgör inte hinder för utlämnande av uppgifter på medium för automatiserad behandling, till exempel genom
Bestämmelsen behandlas i avsnitt 9.5.14.13.
12 §
I paragrafen anges vilken information den enskilde ska ha fått ta del av innan han eller hon lämnar samtycke att registreras i Nationella biobanksregistret.
Enligt 4 § andra stycket får uppgifter om vävnadsprover i en biobank som börjar behandlas efter ikraftträdandet av denna lag inte registreras i Nationella biobanksregistret utan att den som uppgifterna rör har samtyckt till registreringen. För att den som lämnar ett vävnadsprovprov ska kunna avgöra om och i så fall vilka integritetsrisker registreringen i biobanksregistret innebär och om han eller hon är villig att medverka är det viktigt att provgivaren garanteras tillräcklig information. I det fall den som lämnar provet är minderårig ska informationen ges till vårdnadshavarna.
I 25 § personuppgiftslagen (1998:204) anges vilken information den personuppgiftsansvarige självmant ska lämna den registrerade vid insamling av personuppgifter. Enligt punkten c i nämnda para- graf ska informationen omfatta ”all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen”. Nu aktuell bestämmelse utgör en precisering av denna punkt. I bestämmelsen anges att informationen ska inne- hålla uppgift om att det är frivilligt att lämna uppgifter, för vilka ändamål behandling kan ske enligt 6 och 7 §§ och vilka uppgifter som får registreras enligt 8 §. Av informationen ska också framgå de sekretess- och säkerhetsbestämmelser som gäller för registret och vem som är personuppgiftsansvarig för registret. När det gäller upp- gift om hur länge uppgifterna sparas är det tillräckligt att informera om vilka regler som gäller för gallring och arkivering av uppgifter i registret. Den enskilde bör vidare upplysas om rätten till rättelse av uppgifterna, rätten till information enligt 26 § personuppgiftslagen, rätten till skadestånd, och rätten att få uppgifter utplånade. Upp- räkningen är inte uttömmande utan anger endast vilken informa-
541
Författningskommentar |
SOU 2014:45 |
tion som den enskilde i vart fall ska få del av. Informationen bör lämpligen lämnas vid insamlandet av uppgifterna, det vill säga vanligt- vis i samband med att proverna tas inom hälso- och sjukvården.
Bestämmelsen behandlas i avsnitt 9.5.14.15.
13 §
Paragrafen innehåller bestämmelser om den registrerades rätt att få uppgifter utplånande.
Av bestämmelsen följer att den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska ut- plånas. Begäran om utplåning ska göras skriftligen hos Socialstyrel- sen, eller till den Socialstyrelsen har hänvisat till, till exempel ett personuppgiftsbiträde. Begäran ska vara undertecknad av den re- gistrerade personligen. Det är således inte tillräckligt att begäran är undertecknad av ett ombud. Är den registrerade underårig ska be- gäran vara undertecknad av den registrerades vårdnadshavare. Det är den registrerade som har bevisbördan för att en begäran om har gjorts och vid vilken tidpunkt det har skett.
Uppgifterna ska utplånas så snart som möjligt efter en begäran inkommit. Bestämmelsen innebär att de registrerade personuppgif- terna ska förstöras så att de inte går att återskapa. Det räcker således inte att anonymisera uppgifterna eller att överföra den elektroniska informationen till pappershandlingar.
All form av förstörande eller ändring av uppgifter utgör gallring i arkivlagens bemärkelse. Bestämmelsen om rätten till utplåning utgör en sådan bestämmelse om gallring som enligt 10 § tredje stycket arkivlagen tar över skyldigheten enligt den lagen att bevara allmänna handlingar.
Om begäran om utplåning inte endast avser uppgifter i Nationella biobanksregistret utan även innebär en begäran om att själva väv- nadsproverna ska förstöras bör det vara Socialstyrelsens ansvar att vidarebefordra denna begäran till huvudmännen för biobankerna.
Bestämmelsen behandlas i avsnitt 9.5.14.16.
14 §
I paragrafen finns en bestämmelse om rättelse och skadestånd. Bestämmelserna om rättelse och skadestånd i personuppgifts-
lagen (1998:204) gäller enligt sin lydelse endast vid överträdelse av den lagen. Genom denna paragraf görs personuppgiftslagens bestäm-
542
SOU 2014:45 |
Författningskommentar |
melser tillämpliga även när personuppgifter behandlas i strid med denna lag.
Bestämmelsen behandlas i avsnitt 9.5.14.18.
543
Bilaga
Kommittédirektiv 2013:8
Förutsättningar för registerbaserad forskning
Beslut vid regeringssammanträde den 17 januari 2013.
Sammanfattning
Inom forskning som förutsätter tillgång till personanknutna register- uppgifter kan två samhälleliga intressen stå i konflikt med varandra, å ena sidan intresset av att bedriva forskning som ger upphov till ny viktig kunskap och å andra sidan intresset av att skydda den enskil- da individens integritet. Det är av stor vikt att regelverket tillgodo- ser den enskilda individens integritetsskydd för att bibehålla allmän- hetens förtroende för forskningen. Med detta som bakgrund ska en särskild utredare få i uppdrag att undersöka förutsättningarna för att bedriva s.k. registerbaserad forskning.
Utredaren ska lämna författningsförslag och andra förslag i syfte
att
•registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
•sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
•göra det möjligt att på ett integritetssäkert sätt samla in person- uppgifter till register som förs för särskilda och uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.
545
Bilaga |
SOU 2014:45 |
Utredaren ska även
•undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskil- des integritet vid forskning.
Vid utformningen av samtliga förslag ska utredaren göra en avväg- ning mellan forskningens behov av tillgång till uppgifter och den enskildes rätt till personlig integritet.
Uppdraget ska redovisas senast den 30 juni 2014.
Bakgrund
Registerbaserad forskning
De svenska registren med personuppgifter utgör en potential för världsledande forskning. I propositionen Ett lyft för forskning och innovation (prop. 2008/09:50) framhölls att dessa registeruppgifter skulle kunna utnyttjas effektivare och mera samordnat och ge Sverige unika förutsättningar för att utföra angelägen tvärvetenskaplig forsk- ning.
I dataskyddssammanhang används ofta begreppen register och databaser samt andra begrepp som avser avgränsade uppgiftssam- lingar. I det följande avses med register även databaser, elektroniska ärendehanteringssystem eller motsvarande samlingar av uppgifter och med registerbaserad forskning den forskning som innefattar behand- ling av uppgifter som forskare dels hämtat från uppgiftssamlingar hos myndigheter, dels själva samlat in genom olika mätningar eller direkt från enskilda.
Författningsreglering av personuppgiftsbehandling för registerbaserad forskning
Forskare som behandlar personuppgifter måste följa den lagstiftning som finns för sådan behandling.
På unionsrättslig nivå regleras behandling av personuppgifter i Europaparlamentets och rådets direktiv 95/46/EG om skydd för en- skilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirekti- vet. I meddelandet Ett samlat grepp på skyddet av personuppgifter
546
SOU 2014:45 |
Bilaga |
i Europeiska unionen (KOM/2010/0609) aviserade
De dataskyddsregler som antagits inom ramen för Europarådet finns främst i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konven- tionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 har Europa- rådet inlett en översyn av denna konvention. Denna översyn pågår.
På nationell nivå är de i detta sammanhang mest relevanta lagar- na personuppgiftslagen (1998:204, PUL), genom vilken dataskydds- direktivet har genomförts i svensk rätt, de s.k. registerförfattning- arna, offentlighets- och sekretesslagen (2009:400, OSL) och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).
PUL innehåller grundläggande bestämmelser om bl.a. behandling av personuppgifter, personuppgiftsansvar, information till den regi- strerade, skadestånd och straff.
Behandling av personuppgifter regleras också i ett stort antal re- gisterförfattningar som innehåller särregleringar på olika områden i förhållande till PUL, t.ex. patientdatalagen (2008:355). Sådana för- fattningar kan reglera behandling av personuppgifter i regelrätta re- gister, men de kan också reglera behandling av personuppgifter inom en viss verksamhet, i en databas, i ett eller flera ärendehanterings- system eller i löpande texter. Registerförfattningarna saknar en sinsemellan enhetlig struktur och begreppsbildning. En särskild ut- redare har därför fått i uppdrag att bl.a. utarbeta en generell modell för reglering av registerfrågor (dir. 2011:86). Registerförfattningar- na innehåller ofta bestämmelser om direktåtkomst och annat elek- troniskt utlämnande av uppgifter som påverkar hur eller om forskare kan få tillgång till uppgifter. De kan också innehålla bestämmelser om personuppgiftsansvar, information, samtycke och sambearbet- ning, som kan påverka möjligheten för forskare att få tillgång till uppgifter i syfte att göra t.ex. bortfallsanalyser.
547
Bilaga |
SOU 2014:45 |
OSL innehåller sekretessbestämmelser och bestämmelser om bl.a. myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.
I etikprövningslagen finns det bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män- niskor. Den tillämpas på forskning som innefattar behandling av dels sådana uppgifter som i PUL betecknas som känsliga personupp- gifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv (13 § PUL), dels uppgifter om lagöverträdelser m.m. (21 § PUL). Förutom bestäm- melser om godkännande av sådan forskning innehåller lagen bl.a. bestämmelser om utlämnande av personuppgifter, information och samtycke.
Bland övriga lagar som i vissa sammanhang kan vara relevanta för registerbaserad forskning kan nämnas lagen (2001:99) om den officiella statistiken även om den inte i huvudsak reglerar använd- ningen av registeruppgifter för forskningsändamål. Den innehåller bl.a. bestämmelser om officiell statistik och viss annan statistik som tas fram hos en statistikansvarig myndighet.
Ändamålsbestämmelser för behandling av personuppgifter
Av 3 § PUL följer att såväl insamling som utlämnande av person- uppgifter utgör behandling av personuppgifter. Enligt artikel 6.1b i dataskyddsdirektivet och 9 § första stycket c PUL får personupp- gifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I 9 § d PUL föreskrivs att personuppgifter inte får be- handlas för något ändamål som är oförenligt med det för vilket upp- gifterna samlades in (den s.k. finalitetsprincipen). En behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (artikel 6.1b i dataskyddsdirektivet och 9 § andra stycket PUL).
När det gäller hur ändamålen i en registerförfattning ska formule- ras har regeringen uttalat att syftet med ändamålen i en register- författning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestäm- melser ofta måste formuleras tämligen generellt (prop. 1997/98:97 s. 121).
548
SOU 2014:45 |
Bilaga |
Den närmare regleringen i PUL och etikprövningslagen
Känsliga personuppgifter får enligt 19 § PUL behandlas för forsk- ningsändamål om behandlingen har godkänts enligt etikprövnings- lagen. Sådana personuppgifter får även behandlas för statistikända- mål om behandlingen är nödvändig av något av de skäl som anges i 10 § samma lag och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om behandlingen har godkänts av en forskningsetisk kommitté ska de angivna förutsättningarna anses uppfyllda.
Det är vidare förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihets- berövanden (21 § PUL). Även sådana uppgifter om lagöverträdelser m.m. får dock behandlas för forskningsändamål av andra än myn- digheter om behandlingen har godkänts enligt etikprövningslagen.
Enligt 3 och 6 §§ etikprövningslagen får forskning som inne- fattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. bara utföras om forskningen har godkänts vid en etikprövning. I forskningen får dessutom behandling av de känsliga personuppgifterna bara ske om även själva behandlingen av personuppgifterna har godkänts vid etikprövningen. Ett godkännan- de av en etikprövningsansökan ska avse ett visst projekt, en del av projekt eller en på något liknande sätt bestämd forskning. Om det inte finns något sådant godkännande har forskaren alltså inte rätt att behandla sådana personuppgifter som avses i 13 eller 21 §§ PUL. I sådana fall är den myndighet som förfogar över uppgiften också förhindrad att lämna ut uppgifterna enligt 21 kap. 7 § OSL. Enligt sistnämnda bestämmelse gäller sekretess för en personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften efter ett utlämnande kommer att behandlas i strid med PUL.
Utlämnande av uppgifter för forskningsändamål
Registeruppgifter som ingår i allmänna handlingar omfattas av offentlighetsprincipen. Bestämmelser om allmänna handlingar finns i 2 kap. tryckfrihetsförordningen (TF). Skyldigheten att lämna ut en allmän handling omfattar inte bara s.k. konventionella handlingar, t.ex. pappershandlingar, och s.k. färdiga elektroniska handlingar utan
549
Bilaga SOU 2014:45
även s.k. potentiella allmänna handlingar, dvs. sammanställningar av uppgifter ur en upptagning för automatiserad behandling. En sådan sammanställning utgör en allmän handling under förutsättning att den kan tas fram med rutinbetonade åtgärder (2 kap. 3 § andra stycket TF).
En sammanställning av uppgifter ur en upptagning för automa- tiserad behandling som innehåller personuppgifter utgör inte en allmän handling om myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig (2 kap. 3 § tredje stycket TF). Så kallade ändamålsbegränsningar och villkorade sök- förbud i registerförfattningar anses dock normalt inte begränsa hand- lingsbegreppet (prop. 2007/08:160 s. 69 och prop. 2009/10:85 s. 154 f.). Det gör däremot s.k. absoluta sökförbud, dvs. en bestämmelse som innebär att en myndighet under inga omständigheter får söka på en viss typ av uppgift.
När en uppgift i en myndighets register begärs utlämnad av en annan enskild än den registrerade, ska myndigheten alltså först ta ställning till om uppgiften finns i en allmän handling. Om det kon- stateras att uppgiften finns i en allmän handling, ska myndigheten därefter pröva om uppgiften omfattas av sekretess. Om så är fallet kan uppgifterna eventuellt lämnas ut med stöd av någon sekretess- brytande bestämmelse (se t.ex. 10 kap. OSL).
Någon allmän bestämmelse i OSL om utlämnande av uppgifter för forskningsändamål finns inte. I förarbetena till den tidigare sekretesslagen (1980:100), SekrL, diskuterades bl.a. utlämnande av uppgifter för forskningsändamål (prop. 1979/80:2 Del A s. 346). Det konstaterades då att om den efterfrågade uppgiften är hemlig enligt en sekretessbestämmelse som innehåller ett s.k. skaderekvisit torde skadeprövningen ofta kunna resultera i ett utlämnande av uppgiften. Det erinrades i detta sammanhang om att om mottagaren är en offentlig institution överförs sekretessen till institutionen (nu- varande 11 kap. 3 § OSL) samt att en enskild forskare kan åläggas tystnadsplikt med stöd av 14 kap. 9 § SekrL (nuvarande 10 kap. 14 § OSL). Vidare anfördes att forskningens behov kan tillgodoses enligt särskilda föreskrifter och att forskningen i vissa fall får till- gång till uppgifter med stöd av den s.k. generalklausulen (nuvaran- de 10 kap. 27 § OSL) eller efter dispens från regeringen enligt 14 kap. 8 § SekrL (nuvarande 10 kap. 6 § OSL).
En myndighet är inte skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behand- ling i annan form än utskrift (2 kap. 13 § TF). Om uppgifterna ska
550
SOU 2014:45 |
Bilaga |
lämnas ut, finns det alltså normalt ingen skyldighet för myndig- heten att göra det elektroniskt. Om det föreligger hinder mot att lämna ut uppgifterna elektroniskt enligt en registerförfattning, får uppgifterna således endast lämnas ut på papper.
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Denna skyldighet är mer långtgående än skyldigheten att lämna ut allmänna handlingar till allmänheten enligt tryckfrihetsförordningen, eftersom skyldigheten enligt 6 kap. 5 § OSL omfattar varje uppgift en myndighet förfogar över, alltså inte bara uppgifter ur allmänna handlingar. Om det är fråga om en sekretessbelagd uppgift och en s.k. sekretessbrytande bestämmelse (3 kap. 1 § OSL) är tillämplig innebär den sekretessbrytande bestämmelsen i kombination med 6 kap. 5 § OSL att en myndighet är skyldig att lämna ut uppgiften till en myndighet som begär det. I vilken form uppgifterna kan läm- nas avgörs, om det är fråga om personuppgifter, av personuppgifts- regleringen. Det kan vidare vara så att registerförfattningen hos den myndighet som förfogar över uppgifterna är försedd med en uttömmande ändamålsreglering som inte möjliggör utlämnande för forskningsändamål. I sådana fall uppstår en normkonflikt mellan ändamålregleringen i registerförfattningen och uppgiftsskyldigheten enligt 6 kap. 5 § OSL (jfr SOU 2003:99 s. 231 f. och dir. 2011:86 s. 22).
I 24 kap. OSL finns det bestämmelser om sekretess till skydd för enskild inom forskning och statistik. I s.k. longitudinella forsknings- projekt, dvs. mätningar av utvecklingen över tid av en och samma företeelse, används ofta den officiella statistikens datamaterial. Som huvudregel gäller enligt 24 kap. 8 § OSL sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider skada eller men. Det kan i sammanhanget nämnas att regeringen i ett beslut efter sekretessprövning enligt 24 kap. 8 § OSL funnit att uppgifter om enskilda i ett myndighets- register som förs utan samtycke med stöd av bl.a. lagen om hälso- dataregister kan lämnas ut för genomförande av bortfallsanalys inom
551
Bilaga |
SOU 2014:45 |
ramen för ett forskningsprojekt som godkänts vid etikprövning (dnr S2009/10484/FS).
Om särskilt behov föreligger får en statistikansvarig myndighet lämna ut uppgifter som inte direkt kan hänföras till en enskild en- ligt 16 § lagen (2001:99) om den officiella statistiken. I samband med utlämnandet får myndigheten förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till person- nummer eller motsvarande för att göra det möjligt att senare kom- plettera uppgifterna (s.k. löpnummer). På så sätt kan en forskare återkommande under ett forskningsprojekt få uppdateringar av de registeruppgifter som tidigare har lämnats ut från en myndighet när nya uppgifter tillkommer i registren, utan att enskildas identitet röjs. Enligt Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning (11:2010) finns otydligheter i nuvarande regelverk då de två regelverken OSL och lagen om den officiella statistiken ska tillämpas tillsammans.
Sambearbetning av uppgifter från myndigheters register
För att kunna utnyttja den fulla potentialen i registeruppgifter vid forskning uppkommer ofta behov av sambearbetning av data från olika register. Vid sambearbetning måste uppgifter om samma per- son som hämtats från olika register kunna sammankopplas. I de fall samtliga registeruppgifter finns hos en och samma myndighet, t.ex. hos SCB, kan sambearbetningen ske redan på denna myndighet. Forskarna får då tillgång endast till oidentifierbara uppgifter. I andra fall kan registeruppgifterna finnas hos olika myndigheter. Dessa upp- gifter kan då inte vara helt oidentifierbara, eftersom sammankopp- lingen då omöjliggörs. Det uppstår därmed särskilda frågor om lagstiftningen kring individens integritetsskydd.
Sambearbetning av registeruppgifter kan underlättas genom att det skapas nya databasinfrastrukturer för bestämda, men relativt all- mänt hållna, forskningsändamål. Sambearbetning av data kan också ske genom teknologi som möjliggör att data hanteras i befintliga register och att bearbetning av data enbart sker i samband med det aktuella analystillfället. Sambearbetning av data kan då genomföras utan att nya databasinfrastrukturer behöver skapas eller att data som redan finns i ett register behöver lagras även i andra register. Att ytterligare utveckla sådana tekniska möjligheter för att på ett resurseffektivt och praktiskt genomförbart sätt genomföra sam-
552
SOU 2014:45 |
Bilaga |
bearbetning av data skulle innebära att den enskilde forskaren enbart skulle få tillgång till redan bearbetade och avkodade data. Stora sambearbetade register som lagras permanent borde därmed på sikt i många fall kunna avvecklas och skyddet för den enskildes inte- gritet kunna stärkas.
I ett tilläggsdirektiv (dir. 2012:15) till Statistikutredningen 2012 (Fi 2011:05) gav regeringen utredaren i uppdrag att föreslå organi- satoriska och tekniska åtgärder som kan underlätta registerbaserad forskning och samtidigt skydda och stärka individens integritet. Utredaren föreslog i ett delbetänkande, Registerdata för forskning (SOU 2012:36) bl.a. att en ny myndighet bör inrättas med uppgift att stödja och utveckla registerbaserad forskning. Den nya myndig- heten bör enligt utredaren bl.a. få ansvar för att upprätta ett register över befintliga register och att underlätta datahantering och fjärr- åtkomst till datauppgifter. I propositionen Forskning och innovation (2012/13:30) gjorde regeringen bedömningen att Vetenskapsrådet bör få i uppdrag att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registerupp- gifter för forskningsändamål och i budgetpropositionen för 2013 (prop. 2012/13:1) anslås medel till myndigheten för inrättandet av en informations- och rådgivningsfunktion för registerbaserad forsk- ning.
Behandling av personuppgifter som samlas in för framtida forskningsändamål
Det är för närvarande problematiskt för forskare att skapa register med känsliga personuppgifter som underlag för framtida forskning. Det kan t.ex. röra sig om longitudinella forskningsprojekt där många uppgifter om ett stort antal individer samlas in för att användas i olika forskningsprojekt. Sådana register som inte avser ett visst pro- jekt, en del av ett projekt eller en på något liknande sätt bestämd forskning kan normalt inte godkännas av en etikprövningsnämnd. Centrala etikprövningsnämnden har avvisat ansökningar om etikpröv- ning för sådana forskningsprojekt med hänvisning till att projektet är alltför ospecificerat och det inte går att bedöma ur forsknings- etisk synpunkt eller att projektet syftar till att bygga upp en infra- struktur för forskning och inte i sig innefattar någon forskning. Nämnden anser sig i sådana fall inte ha någon rättslig möjlighet att
553
Bilaga |
SOU 2014:45 |
pröva ansökan och göra sin bedömning (se t.ex. projekten med nämn- dens dnr Ö
Nämnden anför i en av avslagsmotiveringarna att det kan anföras skäl för att etikprövningslagen borde utvidgas till att gälla även pro- jekt för behandling av personuppgifter för att bygga upp resurser som är avsedda att utgöra underlag för framtida forskning.
Utlämnande av känsliga personuppgifter från myndigheter kan möjliggöras om en särskild registerförfattning finns för det aktuella registret. Ett exempel på en sådan särskild reglering är lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
Frågan vilken reglering som krävs för att ett register med känsliga uppgifter ska kunna skapas i syfte att ligga till grund för framtida forskning har särskilt uppmärksammats i ett beslut från Datainspek- tionen om projektet LifeGene (dnr
Sekretess för uppgifter som behandlas inom ramen för forskning
När en forskare har fått tillgång till uppgifter som ska behandlas inom ramen för forskning är nästa fråga vilken sekretess som gäller för uppgifterna hos myndigheten. Flera bestämmelser i OSL kan bli aktuella, t.ex. sekretessbestämmelserna till skydd för enskilda dels i vissa forskningssammanhang (24 kap.
554
SOU 2014:45 |
Bilaga |
Uppdraget
Inom forskning som förutsätter tillgång till personanknutna register- uppgifter kan två samhälleliga intressen stå i konflikt med varandra, å ena sidan intresset av att bedriva forskning som ger upphov till ny viktig kunskap och å andra sidan intresset av att skydda den en- skilde individens integritet. Det är av stor vikt att regelverket till- godoser den enskildes integritetsskydd för att bibehålla allmänhetens förtroende för forskningen.
Utlämnande av personuppgifter för forskningsändamål
Systematiska sammanställningar över hela eller delar av befolkningen i Sverige och systemet med personnummer har resulterat i att det i dag finns en stor mängd register med personuppgifter. Register- uppgifterna är unika och i vissa fall spårbara under lång tid. Det gör dem till en viktig källa för att studera angelägna frågor kring sam- bandet mellan samhällsförhållanden, ekonomi, arbetsmarknad, sjuk- dom och hälsa. Trots detta utnyttjas inte registren på ett sådant sätt att deras fulla potential att ta fram ny kunskap tas tillvara. För detta behövs bättre samordning och tydligare reglering.
Som nämnts tidigare anses det enligt dataskyddsdirektivet och PUL inte vara oförenligt med det ändamål för vilket en uppgift ursprungligen samlats in att behandla uppgiften för historiska, statistiska eller vetenskapliga ändamål. Den komplicerade regle- ringen kring användandet av personuppgifter i register, hur de olika författningarna ska tillämpas tillsammans och när undantag för forskning är tillämpligt försvårar dock i vissa fall utlämnande av personuppgifter för forskningsändamål.
Utredaren ska därför
•analysera vilka hinder som finns i författningar och regelverk som försvårar för registeransvariga myndigheter att lämna ut upp- gifter för forskningsändamål,
•med beaktande av integritetsaspekter föreslå lösningar för att underlätta för registeransvariga myndigheter att lämna ut upp- gifter för forskningsändamål, och
•lämna nödvändiga författningsförslag.
555
Bilaga |
SOU 2014:45 |
Att sambearbeta uppgifter från olika register och att skapa register för forskningsändamål
För att kunna realisera den potential som de svenska registren utgör för att ta fram ny kunskap skulle registren behöva utnyttjas effek- tivare. Det behövs samordning mellan statistikansvariga myndigheter för att skapa en tydlig ansvarsfördelning och undvika överlappning. Registerregleringen behöver förändras för att förbättra forskares möjligheter att sambearbeta personuppgifter från olika myndigheters register under förutsättning att projektet godkänts av en etikpröv- ningsnämnd. Det finns vidare, trots nya tekniska lösningar för sam- bearbetning av data, ibland behov av att skapa register med bestämda men relativt allmänt hållna forskningsändamål, dvs. register som är uppbyggda i syfte att insamlade personuppgifter ska kunna använ- das av forskare i flera olika forskningsprojekt som håller sig inom ramen för det angivna ändamålet. Detta är bl.a. viktigt inom sam- hällsvetenskaplig, beteendevetenskaplig, ekonomisk och medicinsk forskning. Likaså är det väsentligt att studera samband mellan t.ex. arv och miljö och uppkomster av olika sjukdomar inom den medi- cinska och epidemiologiska forskningen där data samlas in från patienter eller friska frivilliga som deltar i större forskningsprojekt, t.ex. longitudinella studier.
Utredaren ska därför
•med beaktande av integritetsaspekter föreslå lösningar för att underlätta sambearbetning av registerdata för forskningsändamål,
•föreslå lösningar för att kunna skapa register som syftar till att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt som håller sig inom ramen för det för registret angivna forskningsändamålet, bl.a. i syfte att genomföra s.k. mikrosimulering,
•föreslå lösningar för att kunna uppdatera och tillföra nya upp- gifter till register eller databaser t.ex. för longitudinella studier, och
•lämna nödvändiga författningsförslag.
556
SOU 2014:45 |
Bilaga |
Sekretess vid behandling av personuppgifter för forskningsändamål
Som nämnts tidigare finns det en bestämmelse om överföring av sekretess som blir tillämplig när myndigheter lämnar uppgifter till forskningsverksamhet. Det finns vidare flera s.k. primära, sekretess- bestämmelser till skydd för enskilda som gäller i olika forsknings- sammanhang. Det står dock inte alltid klart vilka bestämmelser det är som är tillämpliga eller om det överhuvudtaget finns några tillämp- liga sekretessbestämmelser.
Utredaren ska därför
•analysera om den befintliga sekretessregleringen är tillräcklig för att skydda enskildas integritet vid forskning, och
•lämna nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska noga avväga sina förslag till lösningar för att förbätt- ra förutsättningarna för registerbaserad forskning mot behovet av skydd för den enskilda individens personliga integritet. Utredaren ska redovisa dessa avvägningar och förslagens konsekvenser såväl för skyddet för enskilda människors integritet som för forskningens förutsättningar. Utredaren ska vidare redovisa konsekvenserna av sina förslag för registerhållande myndigheter och andra berörda myndigheter, universitet och högskolor eller andra organisationer där forskningen utförs.
Samråd och redovisning av uppdraget
Utredaren ska samråda med forskningsutförare, etikprövningsorga- nisationen samt Statistiska centralbyrån (SCB) och andra relevanta registerhållande myndigheter för att ta del av deras erfarenhet av frågor som rör personuppgifter och register. Utredaren ska vidare samråda med Vetenskapsrådet och andra relevanta forskningsfinan- siärer för att ta del av deras erfarenhet av frågor som rör register- baserad forskning.
Utredaren ska följa arbetet i Informationshanteringsutredningen (Ju 2011:11) och Utredningen om rätt information i vård och om- sorg (S 2011:13).
557
Bilaga |
SOU 2014:45 |
Utredaren ska också följa arbetet inom EU med kommissionens förslag till ny dataskyddsförordning och arbetet med översynen av Europarådets dataskyddskonvention.
Utredaren ska hålla sig informerad om arbetet med utvecklingen av de nationella kvalitetsregistren.
Uppdraget ska redovisas senast den 30 juni 2014.
(Utbildningsdepartementet)
558
Statens offentliga utredningar 2014
Kronologisk förteckning
1.Vissa bostadsbeskattningsfrågor. Fi.
2.Framtidens valfrihetssystem
–inom socialtjänsten. S.
3.Boende utanför det egna hemmet
–placeringsformer för barn och unga. S.
4.Det måste gå att lita på konsument- skyddet. Ju.
5.Staten får inte abdikera
–om kommunaliseringen av den svenska skolan. U.
6.Män och jämställdhet. U.
7.Skärpta straff för vapenbrott. Ju.
8.Översyn av statsskuldspolitiken. Fi.
9.Förändrad assistansersättning
–en översyn av ersättningssystemet. S.
10.Ett steg vidare – nya regler och åtgärder för att främja vidareutnyttjande av handlingar. S.
11.Kunskapsläget på kärnavfallsområdet 2014. Forskningsdebatt, alternativ och beslutsfattande. M.
12.Utvärdera för utveckling – om utvärde- ring av skolpolitiska reformer. U.
13.En digital agenda i människans tjänst
–en ljusnande framtid kan bli vår. N.
14.Effektiv och rättssäker
15.Investeringsplanering för försvars materiel
En ny
16.Det ska vara lätt att göra rätt Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten. A.
17.Genomförande av Seveso III- direktivet. Fö.
18.Straffskalorna för allvarliga våldsbrott. Ju.
19.Yrkeskvalifikationsdirektivet – ett samlat genomförande. U.
20.Läkemedel för särskilda behov. S.
21. Bredband för Sverige in i framtiden. N.
22. Genomförande av EU:s nya redovis- ningsdirektiv. Ju.
23.Rätt information på rätt plats i rätt tid. Del 1, 2 och 3. S.
24.Olycksregister och djupstudier på transportområdet. N.
25.Internationella rättsförhållanden rörande arv. Ju.
26.Tillträde till COTIF 1999. Ju.
27.Svensk veteranpolitik. Ett ansvar för hela samhället. + Bilagor. Fö.
28.Lönsamt arbete – familjeansvarets fördelning och konsekvenser. A.
29.Assisterad befruktning för ensam stående kvinnor. Ju.
30.Jämställt arbete? Organisatoriska ramar och villkor i arbetslivet. A.
31.Visselblåsare
Stärkt skydd för arbetstagare som slår larm om allvarliga missförhållanden. A.
32.Jordbruks- och bostadsarrende
–några frågor om arrendeavgift och besittningsskydd. Ju.
33.Från hyresrätt till äganderätt. Ju.
34.Inte bara jämställdhet Intersektionella perspektiv på hinder och möjligheter i arbetslivet. A.
35.I vått och torrt – förslag till ändrade vattenrättsliga regler. M.
36.Frågor om följerätt och om museernas kopiering. Ju.
37.De svenska energimarknaderna
–en samhällsekonomisk analys. Fi.
38.Tillväxt och värdeskapande Konkurrenskraft i svenskt jordbruk och trädgårdsnäring. L.
39.Så enkelt som möjligt för så många som möjligt
Bättre juridiska förutsättningar för samverkan och service. N.
40.Neutral bolagsskatt – för ökad effektivitet och stabilitet. Fi.
41.Nya regler om aktiva åtgärder mot diskriminering. A.
42.Kärnavfallsrådets yttrande över SKB:s
43.Synnerligen grova narkotikabrott. Ju.
44.
45.Unik kunskap genom registerforskning. U.
Statens offentliga utredningar 2014
Systematisk förteckning
Arbetsmarknadsdepartementet
Det ska vara lätt att göra rätt
Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten. [16]
Lönsamt arbete
– familjeansvarets fördelning och konsekvenser. [28]
Jämställt arbete? Organisatoriska ramar och villkor i arbetslivet. [30]
Visselblåsare
Stärkt skydd för arbetstagare som slår larm om allvarliga missförhållanden. [31]
Inte bara jämställdhet
Intersektionella perspektiv på hinder och möjligheter i arbetslivet. [34]
Nya regler om aktiva åtgärder mot diskriminering. [41]
Finansdepartementet
Vissa bostadsbeskattningsfrågor. [1] Översyn av statsskuldspolitiken. [8]
De svenska energimarknaderna
– en samhällsekonomisk analys. [37]
Neutral bolagsskatt – för ökad effektivitet och stabilitet. [40]
Försvarsdepartementet
Investeringsplanering för försvarsmateriel En ny
Genomförande av Seveso
Svensk veteranpolitik. Ett ansvar för hela samhället. + Bilagor. [27]
Justitiedepartementet
Det måste gå att lita på konsumentskyddet. [4]
Skärpta straff för vapenbrott. [7] Straffskalorna för allvarliga våldsbrott. [18]
Genomförande av EU:s nya redovisnings- direktiv. [22]
Internationella rättsförhållanden rörande arv. [25]
Tillträde till COTIF 1999. [26]
Assisterad befruktning för ensamstående kvinnor. [29]
Jordbruks- och bostadsarrende
– några frågor om arrendeavgift och besittningsskydd. [32]
Från hyresrätt till äganderätt. [33]
Frågor om följerätt och om museernas kopiering. [36]
Synnerligen grova narkotikabrott. [43]
Landsbygdsdepartementet
Tillväxt och värdeskapande Konkurrenskraft i svenskt jordbruk och trädgårdsnäring. [38]
Miljödepartementet
Kunskapsläget på kärnavfallsområdet 2014. Forskningsdebatt, alternativ och beslutsfattande. [11]
I vått och torrt – förslag till ändrade vattenrättsliga regler. [35]
Kärnavfallsrådets yttrande över SKB:s
Näringsdepartementet
En digital agenda i människans tjänst
– en ljusnande framtid kan bli vår. [13] Bredband för Sverige in i framtiden. [21]
Olycksregister och djupstudier på trans- portområdet. [24]
Så enkelt som möjligt för så många som möjligt
Bättre juridiska förutsättningar för samverkan och service. [39]
Socialdepartementet
Framtidens valfrihetssystem
– inom socialtjänsten. [2]
Boende utanför det egna hemmet
– placeringsformer för barn och unga. [3]
Förändrad assistansersättning
– en översyn av ersättningssystemet. [9]
Ett steg vidare – nya regler och åtgärder för att främja vidareutnyttjande av hand- lingar. [10]
Effektiv och rättssäker
Läkemedel för särskilda behov. [20]
Rätt information på rätt plats i rätt tid. Del 1, 2 och 3. [23]
Utbildningsdepartementet
Staten får inte abdikera
– om kommunaliseringen av den svenska skolan. [5]
Män och jämställdhet. [6]
Utvärdera för utveckling – om utvärdering av skolpolitiska reformer. [12]
Yrkeskvalifikationsdirektivet – ett samlat genomförande. [19]
Unik kunskap genom registerforskning. [45]