6.3.7Ändamålen med behandlingen av

6.3.8Regeringen ska besluta om vilka forskningsdatabaser som får föras enligt

6.4Vad kommer att gälla för uppgiftssamlingar som inte

7.2Personuppgifter som ska få behandlas i en

8.2Uppgifter som lämnas ut från en forskningsdatabas

8.2.2Utlämnande av kodnycklar eller annan

Prop. 2024/25:19

3

Prop. 2024/25:19

8

Förhållandet till annan dataskyddsreglering

5 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), här benämnd EU:s dataskyddsförordning.

Termer och uttryck i denna lag har samma betydelse som i EU:s data- skyddsförordning.

6 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsför- ordning, här benämnd dataskyddslagen, och föreskrifter som har medde- lats i anslutning till den lagen, om inte annat följer av denna lag eller före- skrifter som har meddelats i anslutning till lagen.

2 kap. Behandling av personuppgifter

Personuppgiftsansvar

1 § Det lärosäte som för en forskningsdatabas är personuppgiftsansva- rigt för den behandling av personuppgifter som utförs i verksamheten med forskningsdatabasen.

Ändamål

2 § Personuppgifter får samlas in och i övrigt behandlas i verksamhet med en forskningsdatabas för de övergripande ändamålen att

1.skapa underlag för flera framtida forskningsprojekt inom de forsk- ningsområden som är angivna för forskningsdatabasen,

2.lämna ut uppgifter till sådana forskningsprojekt som anges i 1, och

3.lämna ut uppgifter till forskningsprojekt inom de forskningsområden som är angivna för forskningsdatabasen även om projekten redan påbörjats innan forskningsdatabasen inrättats.

Regeringen får meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.

3 § Personuppgifter som samlats in och behandlas enligt 2 § får där- utöver bara behandlas för

1.utlämnande som anges i 3 kap. 2, 3 och 5 §§, och

2.arkivändamål av allmänt intresse, vetenskapliga eller historiska forsk- ningsändamål eller statistiska ändamål när de inte längre behövs för ända- mål som avses i 2 § första stycket.

Villkor för behandling av personuppgifter i forskningsdatabaser

4 § Personuppgifter får bara behandlas i en forskningsdatabas om den registrerade har samtyckt till det, om inte annat följer av denna lag.

5 § I verksamheten med en forskningsdatabas får det utan samtycke sam- las in och behandlas sådana personuppgifter som är nödvändiga för att

kunna identifiera och kontakta en person i en urvalsgrupp med förfrågan om medverkan i forskningsdatabasen. Sådan behandling får inte pågå un- der längre tid än vad som är nödvändigt.

6 § Kompletterande insamling av uppgifter från andra källor än de som angavs redan i samband med att samtycke till behandling i forsknings- databasen lämnades får göras utan samtycke bara om den registrerade informerats om insamlingen och inte uttryckligen motsätter sig denna.

7 § Personuppgifter som samlats in med samtycke från den registrerades vårdnadshavare får bara fortsätta behandlas efter att den registrerade blivit myndig om den registrerade informerats om behandlingen och inte uttryckligen motsätter sig den.

Sådan information om uppgifter som samlats in med samtycke från den registrerades vårdnadshavare och om möjligheten att motsätta sig den ska vara direkt riktad till den registrerade och lämnas senast den 1 mars året efter det att den registrerade fyllt 18 år.

Informationen behöver inte lämnas om den personuppgiftsansvarige inte med rimliga ansträngningar kan nå den registrerade.

8 § Den registrerade har rätt att när som helst återta sitt samtycke till att hans eller hennes personuppgifter behandlas i en forskningsdatabas.

Om den registrerade återtar sitt samtycke får uppgifter om den registre- rade därefter inte behandlas för att lämnas ut till forskningsprojekt.

Om den registrerade begär det ska den personuppgiftsansvarige under- rätta de personuppgiftsansvariga för de forskningsprojekt som uppgifterna om den registrerade har lämnats ut till om att den registrerade har återtagit sitt samtycke till behandling av personuppgifter i forskningsdatabasen.

9 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskydds- förordning ska en person, innan han eller hon lämnar samtycke enligt 4 § eller i samband med att han eller hon får sådan information som avses i 7 §, även informeras om

1.att all registrering och medverkan i verksamheten vid forsknings- databasen är frivillig och att en registrerad när som helst kan avbryta sin medverkan helt eller delvis, och återta sitt samtycke samt om effekten av att samtycket återtas enligt 8 §,

2.vilka slags uppgifter som får registreras i forskningsdatabasen,

3.att en registrerad kommer att informeras om kompletterande insam- ling av uppgifter enligt 6 § blir aktuell och på vilket sätt sådan information kommer att lämnas,

4.de sekretess- och säkerhetsbestämmelser som gäller för forsknings- databasen,

5.sin rätt att begära att få information om vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut till,

6.vilken myndighet som har tillsyn över att behandlingen av person- uppgifter sker på ett lagenligt sätt, och

7.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § dataskyddslagen till skadestånd vid behandling av personuppgifter i strid med denna lag.

Prop. 2024/25:19

9

Prop. 2024/25:19

10

Tillåtet innehåll

10 § I en forskningsdatabas får det i fråga om personuppgifter bara fin- nas

1.uppgifter som den registrerade har lämnat i syfte att de ska ingå i forskningsdatabasen,

2.uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i forskningsdatabasen,

3.uppgifter om, och resultatet från, undersökningar som den registre- rade har genomgått i syfte att resultatet ska ingå i forskningsdatabasen,

4.kontaktinformation till den registrerade,

5.kompletterande uppgifter om den registrerade som har inhämtats från andra källor,

6.kategoriseringar av sådana uppgifter som avses i 1–5,

7.identitetsbeteckningar för de registrerade (kodnycklar eller motsva- rande information för identifiering), och

8.uppgifter om utlämnande som har skett till forskning.

11 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförord- ning (känsliga personuppgifter) får med stöd av artikel 9.2 g och j i EU:s dataskyddsförordning behandlas i verksamheten med en forskningsdata- bas om det är nödvändigt för de ändamål som anges i 2, 3 och 5 §§.

Genetiska uppgifter och personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får dock bara behandlas i en forskningsdatabas om regeringen har meddelat föreskrifter om det.

Integritetsskydd inom verksamheten

12 § Den som arbetar vid ett lärosäte där det finns en verksamhet med en forskningsdatabas får ta del av personuppgifter i den verksamheten endast om han eller hon arbetar i verksamheten och behöver uppgifterna för att kunna fullgöra sina arbetsuppgifter med forskningsdatabasen.

13 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter om registrerade i verksamheten med en forskningsdatabas. Sådan åtkomst ska begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter i verksamheten med forskningsdatabasen.

14 § Den personuppgiftsansvarige ska se till att elektronisk åtkomst till personuppgifter dokumenteras och kan kontrolleras.

Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av den i första stycket upprättade dokumentationen i syfte att kontrollera om någon obehörigen kommit åt personuppgifter i forsknings- databasen.

Sekretess

15 § I offentlighets- och sekretesslagen (2009:400) finns bestämmelser om sekretess för huvudmän för en forskningsdatabas och för anställda och uppdragstagare hos en sådan huvudman i verksamhet med forsknings- databasen.

3 kap. Utlämnande av uppgifter från en forskningsdatabas

Villkor för utlämnande

1 § Utlämnande av personuppgifter till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 och utlämnande av uppgifter om avlidna till ett sådant projekt får bara ske till fysiska eller juridiska personer som ska tillämpa offentlighets- och sekretesslagen (2009:400) eller fysiska per- soner som omfattas av tystnadsplikt enligt 3 kap. 7 § denna lag.

Ytterligare en förutsättning för att personuppgifter ska få lämnas ut från en forskningsdatabas till forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 är att både forskningen och behandlingen av personuppgifter i forskningen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, om forskningen omfattas av den lagens krav på etikprövning.

2 § Personuppgifter och uppgifter om avlidna får också lämnas ut till en forskningshuvudman som fått uppgifter från en forskningsdatabas, om det behövs för att utreda oredlighet i forskning eller annan avvikelse från god forskningssed.

3 § Personuppgifter och uppgifter om avlidna får, utöver vad som följer av 2 och 5 §§ samt 2 kap. 2 § första stycket 2 eller 3, bara lämnas ut om det finns en skyldighet att göra det enligt lag eller förordning.

Formen för utlämnande

4 § Utlämnande enligt 2 § och 2 kap. 2 § första stycket 2 eller 3 får bara avse personuppgifter som är pseudonymiserade eller skyddade på likvär- digt sätt.

Personuppgifter får dock vara direkt identifierbara vid utlämnandet om det är nödvändigt för att uppfylla ändamålet med den forskning eller den utredning som uppgifterna ska lämnas ut till.

5 § Om personuppgifter som har lämnats ut till ett forskningsprojekt enligt 2 kap. 2 § första stycket 2 eller 3 eller uppgifter om avlidna som har lämnats ut till ett sådant projekt är pseudonymiserade eller skyddade på likvärdigt sätt, får kompletterande uppgifter för att identifiera en registrerad, inbegripet de registrerades personnummer eller motsvarande identitetsbeteckning, lämnas ut till en myndighet, om det är nödvändigt för att myndigheten ska kunna lämna ut uppgifter om samma personer till det forskningsprojekt som uppgifter har lämnats ut till.

6 § Den personuppgiftsansvarige ska bevara en förteckning över de kompletterande uppgifter som behövs för att identifiera en registrerad så länge som det är nödvändigt.

Tystnadsplikt för uppgifter som mottagits från en forskningsdatabas

7 § En enskild forskningshuvudman som är en fysisk person eller den som är eller har varit verksam hos en enskild forskningshuvudman som är en juridisk person som inte anges i bilagan till offentlighets- och sekretess-

Prop. 2024/25:19

11

Prop. 2024/25:19

14

2 b §2

8 §3

Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.

Motsvarande sekretess gäller i annan jämförbar undersökning som ut- förs av Riksrevisionen, av riksdagsförvaltningen, av Statskontoret eller inom det statliga kommittéväsendet. Detsamma gäller annan jämförbar undersökning som utförs av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år, om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år.

9 §4

Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och

2Senaste lydelse 2013:795.

3Senaste lydelse 2014:415.

4Senaste lydelse 2018:1919. Ändringen innebär att andra stycket tas bort.

Prop. 2024/25:19

16

2.3Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forsk- ningsregister ska upphöra att gälla vid utgången av 2024.

Prop. 2024/25:19

18

3Ärendet och dess beredning

Regeringen beslutade den 17 januari 2013 att ge en särskild utredare i upp- drag att göra en generell översyn av förutsättningarna för registerbaserad forskning (dir. 2013:8). Utredningen tog sig namnet Registerforsknings- utredningen. Vid Karolinska institutet fanns vid denna tid, och finns fort- farande, projektet LifeGene, som syftar till att skapa underlag för att kunna studera hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa. Eftersom det hade uppstått en osäkerhet om det fanns rättsliga för- utsättningar för att skapa sådana register som LifeGene utarbetades det inom Regeringskansliet (Utbildningsdepartementet) bl.a. en promemoria med utkast till lagrådsremiss Register för viss forskning (U2013/527/F). Promemorian remitterades i början av 2013. I avvaktan på Registerforsk- ningsutredningens förslag beslutades i maj 2013 propositionen Vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop. 2012/13:63). I propositionen föreslogs en tidsbegränsad lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Riksdagen beslutade i enlighet med förslaget (bet. 2013/14:UbU4, rskr. 2013/14:20) och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa trädde i kraft den 1 decem- ber 2013 och gällde enligt beslutet till och med den 31 december 2015.

Registerforskningsutredningen redovisade sina förslag den 24 juni 2014 i betänkandet Unik kunskap genom registerforskning (SOU 2014:45). I betänkandet föreslogs bl.a. att det skulle införas en särskild lag om forsk- ningsdatabaser. Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förlängdes till och med den 31 december 2017 (prop. 2014/15:121, bet. 2015/16:UbU3, rskr. 2015/16:9) i avvaktan på beredningen av Registerforskningsutredningens förslag.

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa innehöll flera hänvisningar till den numera upphävda personuppgiftslagen (1998:204). Med anledning av införandet av Europa- parlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personupp- gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd data- skyddsförordningen, som trädde i kraft 2016 och började tillämpas 2018, beslutade regeringen den 7 juli 2016 att ge en särskild utredare i uppdrag att i ett första skede analysera vilka anpassningar som behövde göras av bl.a. lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa inför att dataskyddsförordningen skulle börja tilläm- pas, och att i ett andra skede föreslå långsiktiga regleringar av forsknings- databaser med beaktande av det nya dataskyddsregelverket och remiss- instansernas synpunkter på Registerforskningsutredningens förslag (dir. 2016:65). Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa förlängdes till och med den 31 december 2020 i avvaktan på utredningens förslag (prop. 2016/17:204, bet. 2017/18:UbU4, rskr. 2017/18:32). Utredningen, som antog namnet Forskningsdatautredningen, redovisade sitt deluppdrag i maj 2017 i betän- kandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

och lämnade en slutredovisning den 5 juni 2018 i betänkandet Rätt att forska – långsiktig reglering av forskningsdatabaser (SOU 2018:36). I be- tänkandet föreslogs en reglering av forskningsdatabaser med en annan ut- formning än Registerforskningsutredningens förslag. Efter förslag från regeringen i propositionen Behandling av personuppgifter för forsknings- ändamål (prop. 2017/18:298) beslutade riksdagen ändringar i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa i syfte att anpassa den till dataskyddsförordningen (bet. 2018/19:UbU5, rskr. 2018/19:44). Dessa ändringar trädde i kraft den 1januari 2019.

Både Registerforskningsutredningens och Forskningsdatautredningens förslag till långsiktig reglering av forskningsdatabaser fick viss remisskri- tik. Regeringskansliet beslutade den 27 mars 2020 att uppdra åt en utredare att biträda Utbildningsdepartementet med att analysera utredningarnas för- slag och remissutfallen och lämna ett förslag på en långsiktig reglering för forskningsdatabaser (U2020/01944). I avvaktan på ett sådant förslag för- längdes giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa till och med den 31 december 2023 (prop. 2019/20:182, bet. 2020/21:UbU5, rskr. 2020/21:52). Utbild- ningsdepartementet remitterade den 23 december 2022 promemorian Långsiktig reglering av forskningsdatabaser (U2022/04089). I promemo- rian redovisas bl.a. utredarens förslag och bedömningar. En sammanfatt- ning av promemorian finns i bilaga 1 och promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats och en förteckning över remissinstanserna finns i bilaga 3. En sammanställning av remissyttran- dena finns tillgänglig i Utbildningsdepartementet (U2022/04089).

Giltighetstiden för lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa har därefter förlängts till utgången av 2024 i avvaktan på den lagstiftning som föreslås i denna proposition (prop. 2022/23:145, bet. 2023/24:UbU4, rskr. 2023/24:28).

I denna proposition behandlas de förslag som har lämnats i promemorian Långsiktig reglering av forskningsdatabaser. Under beredningen av ären- det har Integritetsskyddsmyndigheten, Karolinska institutet, Nämnden för prövning av oredlighet i forskning och Vetenskapsrådet fått tillfälle att yttra sig över ett utkast till lagrådsremiss. Nämnden för prövning av ored- lighet i forskning har meddelat att de inte har några synpunkter. Integri- tetsskyddsmyndigheten, Karolinska institutet och Vetenskapsrådet har inkommit med synpunkter. Synpunkterna behandlas i avsnitt 6.3.8, 7.1.3 och 7.2.1. Inkomna yttranden finns tillgängliga i Utbildningsdepartemen- tet (U2022/04089).

I den ovan nämnda propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298) behandlades även övergripande frågor om anpassning av nationell lagstiftning till dataskyddsförordningen när det gäller behandling av personuppgifter för forskningsändamål. I pro- positionen gjorde regeringen bedömningen att myndigheter och enskilda forskare inte fullt ut kan åberopa samma rättsliga grunder i dataskydds- förordningen för behandling av personuppgifter för sådana ändamål. I samband med behandlingen av propositionen tillkännagav riksdagen för regeringen det som utskottet anför om att regeringen bör se över möjlig- heterna att återkomma med förslag på en lagstiftning som likställer villko- ren för offentliga och privata forskningsutförare att bedriva forskning som

Prop. 2024/25:19

19

Prop. 2024/25:19

22

När blir en projektdatabas en forskningsdatabas och behovet av reglering

Forskningens natur är att förutsättningslöst undersöka och försöka finna evidens för vissa hypoteser som uppställs om hur olika variabler förhåller sig till varandra och vilka beroendeförhållanden som kan finnas. Till exempel kan en forskare i en studie variera en oberoende variabel, som behandling med ett prövningsläkemedel eller placebo, för att kunna stu- dera hur det påverkar en beroende variabel, som blodtryck eller smärta. Som uttrycks i skäl 33 i EU:s dataskyddsförordning är det ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av upp- gifter. Detta beror på att forskningens resultat ofta leder till nya slutsatser och hypoteser som kan behöva besvaras i ett delvis nytt upplägg av forsk- ningen och som ibland kräver att även ny information samlas in. Många gånger har forskningsprojekt som behandlar personuppgifter om ett urval av individer (en så kallad kohort) behövt utökas och utsträckas i tiden, då det visat sig värdefullt att kunna följa människor och populationer över längre tid. Detta har i sin tur medfört att intresset för en ursprungligen pro- jektspecifik databas ökat bland forskare också utanför det specifika forsk- ningsprojektet och den forskargrupp som byggt upp en viss projektdata- bas. En sådan databas kan således bli en värdefull resurs för andra angrän- sande forskningsprojekt. Ibland ryms de nya forskningsfrågeställningarna inom det ursprungliga forskningsprojektet som har ett giltigt etikpröv- ningstillstånd. I andra fall kan det nya forskningsprojektet behöva ett nytt etikprövningstillstånd och därefter begära att få tillgång till uppgifter från projektdatabasen av forskningshuvudmannen för det ursprungliga forsk- ningsprojektet. Det nya forskningsprojektet kan även det behöva komplet- tera uppgifterna i projektdatabasen med nya uppgifter, antingen direkt från forskningspersonerna eller från andra källor.

När en serie sådana forskningsprojekt genomförts kan de samlade upp- gifterna i projektdatabaserna med tiden utgöra en mycket värdefull resurs för forskningsfältet och borde kunna utnyttjas av fler forskare för att forsk- ningsfältet ska kunna utvecklas vidare. Uppgifterna kan då komma att be- traktas som ett slags infrastrukturliknande forskningsdatabas och inte som en serie av sammanhängande projektdatabaser. Resultatet av denna pro- cess kan bli att verksamhetens karaktär gradvis förskjuts från att vara ett begränsat forskningsprojekt som behandlar uppgifter om individer i en projektdatabas till att bli en forskningsdatabas som kan förse olika forsk- ningsprojekt med uppgifter. Ett sådant exempel är Svenska tvilling- registret (Tvillingregistret) som är en populationsbaserad individdatabas med uppgifter om tvillingar som förs av Karolinska institutet (KI) sedan 1960-talet. Registret förs med stöd av ett etikprövningstillstånd. I ett ärende där KI har överklagat ett beslut av Socialstyrelsen till regeringen att inte lämna ut uppgifter till Tvillingregistret framgår att uppgifterna enbart begärts ut för att lämnas ut till andra forskningsprojekt. Social- styrelsen avslog begäran under åberopande av att sekretessregleringen i offentlighets- och sekretesslagen (2009:400), förkortad OSL, lägger hinder i vägen för ett utlämnande av uppgifter från de av Socialstyrelsen förda och i ärendet aktuella registren till en forskningsdatabas. KI överklagade ärendet till regeringen, som avslog överklagandet utom i en

26

Den rättsliga grunden samtycke

Om en behandling grundar sig på samtycke ska den personuppgiftsansva- rige kunna visa att den registrerade har samtyckt till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål (artiklarna 6.1 a och 7.1). Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den person- uppgiftsansvariges identitet och syftet med den behandling personuppgif- terna är avsedda för. Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av person- uppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personupp- giftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

Europeiska dataskyddsstyrelsen har framhållit att det anges tydligt i skäl 43 att det är osannolikt att offentliga myndigheter kan hänvisa till sam- tycke till behandling, eftersom det ofta finns en tydlig maktobalans mellan den personuppgiftsansvarige och den registrerade när den person- uppgiftsansvarige är en offentlig myndighet. Styrelsen anser också att det är tydligt i de flesta fall att den registrerade faktiskt inte kommer att ha något annat val än att godta den personuppgiftsansvariges behandling (be-

handlingsvillkor). Styrelsen anser att det finns andra lagliga grunder som i princip är mer lämpliga för offentliga myndigheters verksamhet (Riktlin- jer 05/2020 om samtycke enligt förordning [EU] 2016/679).

Det ska dock i detta sammanhang uppmärksammas att det internationellt är ovanligt att universitet har myndighetsstatus. I propositionen Behand- ling av personuppgifter för forskningsändamål (prop. 2017/18:298) har regeringen gjort bedömningen att när det gäller offentliga forsknings- utförare kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgifts- ansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning. En myndighet kan således inte anses utöva påtryckning gentemot en individ enbart därför att det är fråga om en myndighet, om den inte har några verktyg för att direkt eller indirekt utöva påtryckningar. En undersökning där ett representativt urval av personer ur totalbefolkningen tillfrågas om de vill delta som en del av ett forskningsprojekt bör t.ex. kunna utföras med samtycke som rättslig grund även av ett universitet eller högskola med statlig huvudman. En sådan situation som avses i skäl 43 kan dock finnas exempelvis om lärosätet avser att forska med hjälp av personuppgifter som gäller studenter eller anställda vid universitetet. I en sådan situation kan det ifrågasättas om ett giltigt, frivilligt, samtycke kan inhämtas och om forsknings- utföraren kan använda sig av denna rättsliga grund (prop. 2017/18:298 s. 41.)

Formuleringen i skäl 43 bör vidare normalt inte innebära hinder för privaträttsliga forskningsutförare, såsom enskilda utbildningsanordnare som har rätt att utfärda examina enligt lagen (1993:729) om tillstånd att utfärda vissa examina, att använda samtycke för personuppgiftsbehandling för forskningsändamål. Även privaträttsliga forskningsutförare behöver emellertid beakta om det kan finnas en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt och det därmed inte är möjligt att använda samtycke som rättslig grund för personuppgiftsbe- handlingen i ett forskningsprojekt. Det ankommer på den personuppgifts- ansvarige att för varje forskningsprojekt göra denna prövning som en del av bedömningen av om ett giltigt samtycke kan inhämtas (prop. 2017/18:298 s. 42).

För forskningens del är också vad som anges i skäl 33 i dataskyddsför- ordningen av betydelse. Där konstateras att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forsknings- ändamål i samband med insamlingen av uppgifter. Därför bör den registre- rade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Regi- strerade bör ha möjlighet att endast lämna sitt samtycke till vissa forsk- ningsområden eller delar av forskningsprojekt i den utsträckning det av- sedda syftet medger detta.

Frågan om hur dataskyddsförordningen bör tillämpas vid personupp- giftsbehandling i hälso- och sjukvårdsforskning har behandlats av Euro- peiska dataskyddsstyrelsen i ett yttrande den 2 februari 2021. Styrelsen påtalar att skäl 33 öppnar för en möjlighet att under vissa omständigheter sänka kraven på specifikation vid samtycke som rättslig grund. Det noteras att det finns viss flexibilitet i situationer där ändamålet för personuppgifts-

Prop. 2024/25:19

27

utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).

Ovanstående ligger till grund för 2 kap. 2 § 1 dataskyddslagen, där det anges att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en upp- gift av allmänt intresse som följer av lag eller annan författning, av kollek- tivavtal eller av beslut som har meddelats med stöd av lag eller annan för- fattning.

I propositionen Behandling av personuppgifter för forskningsändamål konstaterar regeringen att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening (prop. 2017/18:298 s. 33). Regeringen gör också i fråga om den rättsliga grunden uppgift av allmänt intresse bedömningen att för universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen (1992:1434), prop. 2017/18:298 s. 43–56.

För privata forskningsutförare är uppgiften att forska inte fastställd i na- tionell rätt på motsvarande sätt som för offentligrättsliga forskningsut- förare. Här kan nämnas Chalmers Tekniska Högskola Aktiebolag och Stiftelsen Högskolan i Jönköping som tidigare var statliga högskolor men som numera drivs i form av stiftelser där uppgiften att forska är fastställd genom avtal. Dessa högskolor har tecknat långsiktiga ramavtal med staten. I en underbilaga till ramavtalen preciseras statens utbildnings- och forskningsuppdrag till respektive högskola. I underavtalet anges också den ersättning staten ska betala högskolan för den utbildning och forskning som högskolan ska bedriva. De två stiftelsehögskolorna ska vidare genom en reglering i OSL tillämpa vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet och stiftelserna ska också vid tillämpningen av OSL jämställas med myndigheter (2 kap. 4 § OSL och bilagan till lagen). I propositionen Behandling av personuppgifter för forskningsändamål har regeringen konstaterat att de beslut om god- kännande av avtalen, varigenom statens utbildnings- och forsknings- uppdrag till Chalmers tekniska högskola och Högskolan i Jönköping preciseras, har fattats av regeringen efter bemyndigande av riksdagen med stöd i regeringsformen och anfört att enligt regeringens uppfattning utgör därmed Chalmers tekniska högskolas och Högskolans i Jönköping forskningsverksamhet en uppgift av allmänt intresse som är fastställd i enlighet med nationell rätt (prop. 2017/18:298 s. 56).

I övrigt har regeringen gjort bedömningen att en privaträttslig forsk- ningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt bl.a. om det krävs tillstånd för forskningsprojektet enligt t.ex. etikpröv- ningslagen och forskningsutföraren har fått de tillstånd som krävs (prop. 2017/18:298 s. 43).

I förarbetena till etikprövningslagen har regeringen bl.a. angivit att som utgångspunkt vid etikprövning av forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort (prop. 2002/03:50 s. 98). I etikprövningslagen anges att mänskliga rättigheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Forskning får

Prop. 2024/25:19

29

Prop. 2024/25:19

30

godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (8–9 §§). Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövnings- lagen får därmed anses vara en uppgift av allmänt intresse.

Den rättsliga grunden intresseavvägning

Ytterligare en grund, som regeringen har bedömt relevant när det gäller behandling av personuppgifter för forskningsändamål, är den som be- nämns som intresseavvägning, och som i artikel 6.1 f i EU:s dataskydds- förordning anges innebära att behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och fri- heter väger tyngre och kräver skydd, särskilt när den registrerade är ett barn (prop. 2017/18:298 s. 29 och 30).

I artikel 6.1 andra stycket klargörs att den aktuella grunden inte gäller för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Det motiveras i skäl 47 till EU:s dataskyddsförordning med att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. Intresseavvägning som rättslig grund inom forskningen kan således bara åberopas när forskningshuvudmannen inte är ett statligt lärosäte eller annan myndighet.

Vissa grundläggande principer för behandling av personuppgifter måste följas

Det finns ett antal principer som ska tillämpas vid all behandling av per- sonuppgifter. Principerna framgår av artikel 5 i EU:s dataskyddsförord- ning. Det är principerna om laglighet, korrekthet och öppenhet (5.1 a), ändamålsbegränsning (5.1 b), uppgiftsminimering (5.1 c), riktighet (5.1 d) lagringsminimering (5.1 e) och integritet och konfidentialitet (5.1 f).

Principen om ändamålsbegränsning i artikel 5.1 b innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Principen att personuppgifter inte får behandlas för ändamål som är oför- enliga med det ursprungliga ändamål som uppgifterna samlats in för be- nämns finalitetsprincipen.

I skäl 50 i EU:s dataskyddsförordning anges att behandling av person- uppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna samlades in från början. I skälen klargörs att i dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Det framgår också att om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas na-

32

Det finns också möjligheter att i nationell rätt göra vissa undantag. Om personuppgifter behandlas för vetenskapliga eller historiska forsknings- ändamål eller statistiska ändamål får det enligt artikel 89.2 i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från rätten till tillgång, rätten till rättelse, rätten till begränsning av behandling och rätten att göra invändning (artiklarna15, 16, 18 och 21) med förbehåll för de villkor och skyddsåtgärder som avses i punkt 1 i artikeln i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen med behandlingen, och sådana undantag krävs för att uppnå dessa ändamål.

I 4 kap. 3 § dataskyddslagen finns en skyddsåtgärd i form av en särskild bestämmelse om användningsbegränsning. Den bestämmelsen begränsar på visst sätt hur personuppgifter som behandlas enbart för forskningsändamål får användas. Enligt bestämmelsen får sådana uppgifter användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intresse. Bestämmelsen har sin grund i artiklarna 6.2, 9.2 j och 89.1 i data- skyddsförordningen. Det kan förekomma t.ex. när en forskare, som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom, upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling.

Behandling av vissa kategorier av uppgifter (känsliga personuppgifter)

Med särskilda kategorier av uppgifter i dataskyddssammanhang avses så- dana personuppgifter som anges i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identi- fiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk per- sons sexualliv eller sexuella läggning. Sådana uppgifter benämns känsliga personuppgifter i dataskyddslagen (3 kap. 1 §).

Enligt artikel 9.1 är det som huvudregel förbjudet att behandla sådana uppgifter. Det finns dock undantag från förbudet i artikel 9.2 a–j. Relevanta är här undantagen i artikel 9.2 a, g och j.

Känsliga personuppgifter får, enligt artikel 9.2 a, behandlas om den re- gistrerade har lämnat sitt uttryckliga samtycke till behandling för ett eller flera specifika ändamål. Även utan sådant samtycke ges också en explicit möjlighet till behandling av känsliga personuppgifter om behandlingen är nödvändig för bl.a. forskningsändamål och för behandling av personupp- gifter som är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 j och g). Det är en förutsättning att behandlingen står i proportion till

varas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (12 §).

I artikel 89.1 i dataskyddsförordningen ställs det krav på att behandling för bl.a. arkivändamål av allmänt intresse ska omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organi- satoriska åtgärder har införts för att se till att särskilt principen om upp- giftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När än- damålet kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ända- målet uppfyllas på det sättet. Om personuppgifter behandlas för arkiv- ändamål av allmänt intresse får det vidare i unionsrätten eller medlemssta- ternas nationella rätt föreskrivas om undantag från rätten till tillgång, rätten till rättelse, rätten till begränsning av behandling, rätten till dataportabilitet och rätten att göra invändningar i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå dessa ändamål. Några generella undantag från registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse har inte införts i svensk rätt.

Enligt artikel 9.2 j dataskyddsförordningen får känsliga personuppgifter behandlas om behandlingen är nödvändig för bl.a. arkivändamål av all- mänt intresse i enlighet med artikel 89.1. Behandlingen ska ske på grund- val av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

I artikel 10 föreskrivs om behandling av personuppgifter om lagöverträ- delser och även enligt denna bestämmelse ställs krav på skyddsåtgärder.

I förarbetena till dataskyddslagen anges att de lämpliga och särskilda åtgärder som krävs enligt artikel 9.2. j motsvarar det krav på skyddsåtgär- der som ställs enligt dataskyddsdirektivet och att det därmed inte innebär någon ny begränsning av möjligheten att behandla känsliga personuppgif- ter för arkivändamål av allmänt intresse. I förarbetena konstateras också att den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och an- slutande föreskrifter samt att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hantering av allmänna hand- lingar, i synnerhet i form av sekretess eftersom dessa har utformats nog- grant efter en avvägning mellan behovet av skydd och intresset av insyn, men även genom rätt till partsinsyn och föreskrifter om informationssäker- het och gallring (prop. 2017/18:105 s. 116).

I 3 kap. 6 § första stycket dataskyddslagen preciseras att känsliga per- sonuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Under samma förutsättning får enligt 3 kap. 8 § samma lag personuppgif- ter om lagöverträdelser behandlas.

Prop. 2024/25:19

35

Prop. 2024/25:19

36

Etikprövningslagen

I etikprövningslagen finns bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Lagen om- fattar bland annat forskning som innefattar behandling av känsliga person- uppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden (3 §). Med begreppet forskning avses i lagen vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom ob- servation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller så- dana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå (2 §).

Forskning som omfattas av lagen får utföras bara om den godkänts vid etikprövning (6 § första stycket). Med att forskning utförs avses enligt för- arbetena själva genomförandefasen, dvs. att forskningspersoner rekryteras och inhämtande av underlag påbörjas, försök genomförs samt att inhämtat underlag analyseras och bearbetas. Rent inledande planeringsarbete eller ordnande av finansiering exkluderas alltså. Det sagda har motiverats av att det är först i samband med forskningens utförande i angiven bemärkelse som risker för skada på forskningspersonens hälsa, säkerhet och person- liga integritet anses kunna uppkomma (prop. 2002/03:50 s. 114).

Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning (6 § första stycket). Ett projekt är oftast avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner som ska delta, forskningsledningen, antalet forskare och annan personal som ska ingå i projektet, finansiering och bud- getering osv. Den forskning som ska etikprövas måste följaktligen vara avgränsad i någon mening för att kunna godkännas vid etikprövningen (prop. 2002/03:50 s. 195). Som utgångspunkt vid etikprövningen gäller bl.a. att forskningen bara får godkännas om de risker den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 §).

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa gäller för behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen och som sker med den enskildes uttryckliga samtycke. Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 och 2 §§).

Personuppgifter får enligt lagen bara behandlas för ändamålen att

1.skapa underlag för olika forskningsprojekt om vad arv och miljö be- tyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt,

2.lämna ut uppgifter till sådan forskning under förutsättning dels att så- väl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen, dels att forskningen bedrivs vid en myndighet,

3.lämna ut uppgifter till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning,

4.lämna ut uppgifter till den registrerade själv,

5.lämna ut uppgifter om det finns en skyldighet enligt lag att göra det, och

6.bevaras för arkivändamål av allmänt intresse, vetenskapliga eller hi- storiska forskningsändamål eller statistiska ändamål om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat det.

När det är fråga om utlämnande av uppgifter till sådan forskning som avses ovan eller till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning får endast personuppgifter som inte är direkt hänförliga till den enskilde lämnas ut. Uppgifterna får dock vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till personnummer eller motsvarande identitetsbeteckning (s.k. löpnummer). Löpnummer och personnummer (s.k. kodnyckel) får lämnas ut till en annan myndighet om det är nödvän- digt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till ett forskningsprojekt som godkänts enligt etikpröv- ningslagen (5–8 §§).

Lagen är sedan den 1 januari 2019 anpassad till dataskyddsförordningen (prop. 2017/18:298, bet. 2018/19:UbU5, rskr. 2018/19:44) och det framgår av lagen att den kompletterar dataskyddsförordningen. Vid behandling av personuppgifter enligt lagen gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa eller föreskrifter som har meddelats i anslutning till lagen (3 och 3 a §§). I anslutning till lagen har regeringen meddelat föreskrifter i förordningen (2013:833) om vissa register för forskning om vad arv och miljö betyder för människors hälsa med stöd av den s.k. restkompetensen (8 kap. 7 § 2 RF). Förordningen reglerar vilka register som får föras, vilka som får behandla personuppgifter och i vilken utsträckning uppgifter som gäller genetiska undersökningar får registreras. I en bilaga till förord- ningen anges att Karolinska institutet får föra registret LifeGene i enlighet med lagen. Registret omfattar drygt 50 000 registrerade. Då LifeGene- registret är det enda register som anges i förordningen benämns lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa i denna proposition LifeGene-lagen.

Ändamålet med lagen anges vara att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och skydda den enskildes personliga integritet i sådan verksamhet (1 §). I propositionen Behandling av personuppgifter för forskningsändamål har det bedömts att utformningen av ändamålsbestämmelserna i lagen är förenlig med dataskyddsförordningens princip om ändamålsbegränsning (prop. 2017/18:298 s. 172 och 173). Samma bedömning har gjorts i propositionen Fortsatt giltighet av lagen om vissa register för forskning om vad arv och

Prop. 2024/25:19

37

38

6En ny lag om vissa forskningsdatabaser ska införas

6.1Den tidsbegränsade LifeGene-lagen behöver ersättas av en mer generell lag

Regeringens bedömning: Det behövs en ny lag som ersätter den tidsbegränsade lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Även den nya lagen bör utgå från enskildas frivilliga medverkan, men ha ett mer generellt tillämpnings- område.

Promemorians bedömning överensstämmer delvis med regeringens. I promemorian görs bedömningen att det behövs en långsiktig och generell reglering som kan omfatta både befintliga och framtida forskningsdata- baser samt att en sådan långsiktig reglering endast bör vara inriktad på sådana centrala uppgiftssamlingar som, i likhet med LifeGene, bygger på de registrerades frivilliga medverkan och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.

Remissinstanserna: Samtliga remissinstanser, däribland Integritets- skyddsmyndigheten, Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU), Karolinska institutet (KI), Mittuniversitetet, Mälardalens universitet, Socialstyrelsen, Umeå universitet, Uppsala universitet och Vetenskapsrådet, ställer sig generellt positiva till eller har inga synpunkter på promemorians bedömning om behovet av en reglering för forskningsdatabaser.

Samtliga remissinstanser som uttalar sig särskilt delar promemorians bedömning att det finns behov av en långsiktig och generell reglering för forskningsdatabaser. Göteborgs universitet framhåller att det finns ett angeläget behov av att möjliggöra insamling av personuppgifter för fram- tida forskningsändamål. Uppsala universitet delar promemorians bedöm- ning om allmänna motiv till att föreslå en ny reglering. Region Halland anser att det är fördelaktigt om lagstiftningen tydliggör förutsättningarna för att behandla personuppgifter i forskningsdatabaser och framhåller att det är angeläget att det skapas möjligheter att långsiktigt bygga upp och förvalta forskningsdatabaser med personuppgifter som kan utgöra under- lag för flera olika framtida forskningsprojekt. Region Kalmar län bedömer att en reglering av nuvarande och nya forskningsdatabaser bedöms ha potential för att förbättra förutsättningarna för registerforskning. Region Västmanland och Region Örebro län anför att det är av stor vikt att det tydligt regleras vad som kan utgöra en forskningsdatabas, vilka uppgifter som får samlas in till databasen och hur uppgifterna därefter får lämnas ut från databasen, då dessa kommer att innehålla en stor mängd person- uppgifter samt känsliga personuppgifter.

Vetenskapsrådet instämmer i promemorians bedömning. Rådet bedömer att behovet av ett tydligare rättsligt stöd för den behandling av personupp- gifter som utförs i forskningsdatabaser är stort för att kunna behålla, vidareutveckla och inrätta nya databaser där uppgifter om enskilda samlats in med samtycke och kombinerats med redan insamlade uppgifter i register. Rådet bedömer dock även att det finns ett stort behov av mot- svarande stöd för individdatabaser bestående av uppgifter som samlats in även på annat sätt och utan samtycke. Rådet anser att även om dessa databaser fortsatt kan bedrivas med stöd av etiska tillstånd är det en osäker grund att stå på och att en tydlig reglering skulle ge såväl ett tydligare integritetsskydd och klarare rättsligt stöd än vad som nu är fallet. Riksarkivet konstaterar att rättsläget vid personuppgiftsbehandling för forskningsändamål trots det mångåriga utredningsarbetet i många delar är oklart och i andra mycket komplicerat. En sådan situation är enligt Riks- arkivet otillfredsställande och riskerar att hindra och begränsa angelägen forskning utan att detta är motiverat av integritetsskäl. Riksarkivet betonar att det är angeläget att arbetet med en mer heltäckande och ändamålsenlig reglering av personuppgiftsbehandlingen för forskningsändamål slutförs.

Skälen för regeringens bedömning: Forskningsdatabaser kan som angivits i avsnitt 4 vara av mycket stort värde genom att möjliggöra olika forskningsstudier inom olika fält, vilka kan bidra till ny kunskap inom olika discipliner. Inom många vetenskapsområden finns det ett behov av att samla in uppgifter om och från individer för att kunna besvara olika typer av forskningsfrågor. Databaser med personuppgifter kan rätt utnytt- jade under kontrollerade former, utgöra källor till ny kunskap om samhälle, hälsa och välfärd. Särskilda forskningsdatabaser kan underlätta hanteringen och göra den mer förutsägbar och tydlig och stärka integritets- skyddet för de registrerade. Regeringen anser, i likhet med bl.a. Göteborgs universitet och Region Halland att det är angeläget att det skapas möjlig- heter att långsiktigt bygga upp och förvalta forskningsdatabaser med personuppgifter som kan utgöra underlag för flera olika framtida forsk- ningsprojekt. Med undantag för den tidsbegränsade LifeGene-lagen med tillhörande förordning (se avsnitt 5.4) finns det i dagsläget ingen särskild nationell reglering av behandling av personuppgifter i forskningsdatabaser i den mening som avses i avsnitt 4, dvs. en databas som endast förs i syfte att lämna ut personuppgifter till forskningsprojekt. För behandling av personuppgifter inom forskningsområdet är EU:s dataskyddsförordning och dataskyddslagen den primära reglering som gäller och ska följas. Dessutom är regleringen i etikprövningslagen av central betydelse. All behandling av personuppgifter som utförs i verksamheter inom forsk- ningsområdet, däribland den som sker i verksamhet med olika typer av databaser, regleras alltså av bestämmelserna i dataskyddsförordningen liksom kompletterande nationell lagstiftning av betydelse för verksam- heten. Den personuppgiftsbehandling som sker i andra register än LifeGene är alltså inte oreglerad utan sker inom ett rättsligt ramverk.

Syftet med LifeGene-lagen är att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som sker med den enskildes uttryckliga

Prop. 2024/25:19

39

uppenbart att det behövs en ny reglering för LifeGene-registret från och med den 1 januari 2025.

Det görs här bedömningen att det även behövs en reglering för det av KI förda Tvillingregistret. Det registret förs visserligen med stöd av ett etikgodkännande enligt etikprövningslagen. KI har dock i ett ärende där KI begärt att få uppgifter från vissa register som förs av Socialstyrelsen, i syfte att uppdatera Tvillingregistret, uppgett att det numera inte finns något annat syfte med Tvillingregistret än att skapa underlag för att lämna ut uppgifter till olika etikgodkända forskningsprojekt och att Tvillingregistret inte har för avsikt att bedriva egen forskning på de i ärendet begärda uppgifterna. Socialstyrelsen angav i sitt beslut att det då är fråga om en forskningsdatabas och avslog begäran under åberopande av att sekretess- regleringen i offentlighets- och sekretesslagen (2009:400), förkortad OSL, lägger hinder i vägen för ett utlämnande av uppgifter från de av Socialstyrelsen förda och i ärendet aktuella registren till en forskningsdata- bas. Socialstyrelsens beslut har överklagats till regeringen. Vid pröv- ningen av överklagandet har även regeringen gjort bedömningen att den verksamhet som KI skulle ägna sig åt med de begärda uppgifterna närmast får vara att anse som en verksamhet med en forskningsdatabas. Regeringen har avslagit överklagandet utom i en mindre del som avser uppgifter om avlidna. I den delen lämnade regeringen tillbaka ärendet till Social- styrelsen för en ny prövning (regeringsbeslut den 29 augusti 2024, S2021/05208).

Som regeringen närmare utvecklar i avsnitt 6.3.8 gör regeringen, i likhet med vad som föreslås i promemorian, bedömningen att både LifeGene- registret och Tvillingregistret bör omfattas av den nya lagen. Regeringen lämnar vidare förslag till ändringar i sekretessregleringen i OSL i avsnitt

10.Regeringen utesluter inte att det kan finnas andra forskningshuvudmän som är ansvariga för databaser som behandlas med stöd av etikprövnings- tillstånd som skulle vilja strukturera om verksamheten och göra om databaserna till forskningsdatabaser. Av detta skäl är det centralt, som regeringen återkommer till i avsnitt 13, att en ny lag förses med övergångs- bestämmelser så att även äldre databaser, som t.ex. Tvillingregistret, kan omfattas av den nya regleringen.

Regeringen gör således bedömningen att det behöver införas en ny lag som ersätter den tidsbegränsade LifeGene-lagen och att även den nya lagen bör utgå från enskildas frivilliga medverkan, men att den bör ha ett mer generellt tillämpningsområde. Det behöver dock först göras en bedömning av vilket utrymme det finns för en nationell reglering av forsk- ningsdatabaser enligt EU:s dataskyddsförordning.

Prop. 2024/25:19

41

ning och privatfinansierad forskning. Vetenskapliga forskningsändamål bör vidare enligt skäl 159 omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i fördraget om Europeiska unionens funktionssätt angående åstadkommandet av ett europeiskt forskningsområde. I denna artikel anges bland annat att unionen ska ha som mål att stärka unionens vetenskapliga och tekniska grund genom att åstadkomma ett europeiskt forskningsområde med fri rörlighet för fors- kare, vetenskapliga rön och teknik samt underlätta alla forskningsinsatser som anses nödvändiga enligt andra kapitel i fördragen.

I skäl 157 i dataskyddsförordningen betonas att forskare kan få ny kunskap av stort värde genom att koppla samman information från olika register och att forskningsresultat som fåtts på grundval av register är en stabil, högkvalitativ kunskap som bl.a. kan läggas till grund för utform- ningen och genomförandet av kunskapsbaserad politik. Det anges också att personuppgifter får behandlas för vetenskapliga forskningsändamål för att underlätta vetenskaplig forskning, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt.

Vidare anges det i skäl 33 att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forsknings- ändamål i samband med insamlingen av uppgifter. Registrerade bör därför kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Samtycke till personuppgiftsbehandling för forskningsändamål kan alltså omfatta avgränsade forskningsområden av bredare karaktär än enskilda projekt.

I skäl 159 anförs alltså att forskningsändamål bör ges en vid tolkning där teknisk utveckling omfattas och nödvändiga forskningsinsatser under- lättas. Forskning med hjälp av register betonas som särskilt värdefullt.

Det framstår mot den bakgrunden som en rimlig slutsats att den person- uppgiftsbehandling som sker i en forskningsdatabas, vilken endast syftar till att samla in uppgifter för att tillhandahålla dessa till olika framtida forskningsprojekt, får anses ske för forskningsändamål i den mening som avses med begreppet i dataskyddsförordningen.

I Europeiska dataskyddsstyrelsens riktlinjer 05/2020 om samtycke enligt förordning (EU) 2016/679 anges att styrelsen anser att begreppet forskningsändamål inte får utökas till att omfatta mer än dess allmänna betydelse och att styrelsen är medveten om att ”vetenskaplig forskning” i detta sammanhang innebär ett forskningsprojekt som inrättats i överens- stämmelse med relevanta metodologiska och etiska standarder inom sektorn, i enlighet med god praxis. Dataskyddsstyrelsen uttalar sig dock inte om forskningsdatabaser och det enda mer preciserade uttalandet i yttrandet avser ”vetenskaplig forskning”. Sådana forskningsdatabaser som avses i denna proposition har till ändamål att samla in och lämna ut uppgifter till vetenskaplig forskning. Som regeringen närmare utvecklar i avsnitt 8.1.2 föreslås att ett krav för utlämnande av uppgifter från sådana forskningsdatabaser som omfattas av propositionens lagförslag ska vara att det forskningsprojekt som uppgifter lämnas ut till har ett godkännande enligt etikprövningslagen om forskningen omfattas av den lagens krav på etikprövning.

Vid införandet av den sekretessbrytande bestämmelsen i 24 kap. 8 b § OSL, enligt vilken statistiksekretessen inte hindrar att uppgifter lämnas till

Prop. 2024/25:19

43

44

Sammantaget gör regeringen, i likhet med promemorian och Uppsala universitet, bedömningen att personuppgiftsbehandling som utförs i verk- samhet med att bygga upp och föra forskningsdatabaser omfattas av begreppet vetenskapliga eller historiska forskningsändamål i dataskydds- förordningens mening. Utgångspunkten är därför att de särskilda bestäm- melser som gäller enligt dataskyddsförordningen när personuppgifts- behandling sker för detta ändamål eller som tillåter undantag vid behandling för detta ändamål är tillämpliga på den behandling som utförs i sådana forskningsdatabaser som lagförslaget i denna proposition avser (se vidare avsnitt 6.3.3).

6.2.2En ny lag är en tillåten komplettering till EU:s dataskyddsförordning

Regeringens bedömning: En särreglering för vissa forskningsdata- baser är en tillåten kompletterande nationell reglering till dataskydds- förordningen.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Remissinstanserna tillstyrker eller har inga invänd-

ningar mot bedömningen. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen.

Uppsala universitet framhåller att utan ett tillägg i etikprövningslagen med en specifik skrivning om att forskningsdatabaser godkända av rege- ringen får samla in biologiskt material utifrån ett brett vetenskapligt syfte kommer det inte att vara möjligt att bygga upp nya forskningsdatabaser med biologiskt material som inte faller under biobankslagens bestäm- melser.

Skälen för regeringens bedömning: EU:s dataskyddsförordning är direkt tillämplig i medlemsstaterna. Kompletterande nationell reglering av personuppgiftsbehandling kan endast införas i den mån dataskyddsförord- ningen medger det och då inom de ramar förordningen sätter. Enligt artikel 6.2 får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som utförs med stöd av någon av de rättsliga grunderna rättslig förpliktelse (6.1 c) eller uppgift av allmänt intresse eller myndig- hetsutövning (6.1 e) genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling, inbegripet för andra specifika situationer då uppgifter behandlas enligt kapitel IX i förordningen, där bl.a. behandling för vetenskapliga eller historiska forskningsändamål nämns. Den rättsliga grunden som avses i artikel 6.1 c och 6.1 e ska enligt artikel 6.3 fastställas i unionsrätten eller medlemsstaternas nationella rätt. Den rättsliga grunden

har samlats in med stöd av ett godkännande enligt etikprövningslagen, så gör regeringen följande överväganden. Det finns register där uppgifter har samlats in sedan 1960-talet, dvs. innan Sverige antog världens första nationella datalag, datalagen (1973:289). Detta gäller bl.a. Tvilling- registret. 1981 antogs Europarådets dataskyddskonvention (konvention

108)och Sverige ratificerade konventionen 1982. Dataskyddsdirektivet (95/46/EG) antogs inom EG 1995 och genomfördes i Sverige genom personuppgiftslagen (1998:2014), förkortad PUL. Etikprövningslagen infördes 2004. Genom den lagen infördes ett krav på etikgodkännande om forskningen skulle innefatta behandling av känsliga personuppgifter enligt 13 § PUL eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § PUL och forskningspersonen inte hade lämnat sitt uttryckliga samtycke till behandlingen. Detta ändrades senare och numera krävs ett beslut om etikgodkännande med stöd av etik- prövningslagen vid behandling av sådana uppgifter oavsett om samtycke lämnats eller inte. Därefter har dataskyddsdirektivet och PUL ersatts av bl.a. EU:s dataskyddsförordning och dataskyddslagen och bl.a. etikpröv- ningslagen har uppdaterats. Det kan således konstateras att personupp- gifter i vissa fall har samlats in under mycket lång tid samtidigt som personuppgiftsreglering har tillkommit och ändrats över tid. I denna proposition lämnas t.ex. förslag med krav på frivillig medverkan som i vissa delar skiljer sig från LifeGene-lagen som beslutades 2013. De insamlade personuppgifterna kan ha mycket stort värde från forsknings- synpunkt samtidigt som det inte går att i efterhand ställa krav på att personuppgifterna borde ha samlats in på ett visst sätt. Det kan i vissa fall vara så att sådana personuppgifter som samlats in med samtycke till- sammans med uppgifter som samlats in utan samtycke kan innebära en sådan kartläggning av den enskildes personliga förhållanden som enligt 2 kap. 6 § andra stycket, 20 och 21 §§ RF kräver lagstöd. Regeringen anser därför, i likhet med promemorian, att sådant lagstöd bör ges i form av en övergångsbestämmelse. Av övergångsbestämmelsen bör det framgå att de föreslagna bestämmelserna kring samtycke, information och tillåtet innehåll inte ska gälla för sådana uppgifter som samlats in och behandlats i tiden före att regeringen med stöd av lagen meddelat föreskrifter om att forskningsdatabasen får föras enligt lagen. Då det är fråga om uppgifter som redan har samlats in kan det inte uteslutas att vissa personer som uppgifterna avser har avlidit. I sådana fall är det dock enligt EU:s dataskyddsförordning inte längre fråga om personuppgifter eftersom data- skyddsförordningen inte gäller behandling av personuppgifter om avlidna personer (skäl 27).

När det gäller frågan om insamling av nya personuppgifter med stöd av lagen kan konstateras att grundlagsskyddet i 2 kap. 6 § andra stycket RF endast omfattar sådana åtgärder som innebär betydande intrång i den personliga integriteten. Den behandling av eventuella kompletterande uppgifter från i huvudsak myndighetsregister som kan komma att ske i reglerade forskningsdatabaser utan inhämtat uttryckligt samtycke – men där de registrerade är medvetna om att sådan behandling pågår eller kan pågå och har möjlighet att motsätta sig den (opt-out) – medför enligt regeringens bedömning inte att behandlingen i forskningsdatabaser sammantaget kan anses utgöra ett så betydande intrång i registrerades

Prop. 2024/25:19

51

förslaget till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM[2022]197) och utredningen om sekundäranvänd- ning av hälsodata (S 2022:04).

Syftet med EU:s dataförvaltningsförordning är att främja tillgänglig- heten och användbarheten för data från den offentliga sektorn genom att öka förtroendet mellan aktörer som hanterar data samt att stärka meka- nismer för datadelning inom EU. Centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (skäl 5). Data- förvaltningsförordningen ska också främja tillgången till data och skapa en tillförlitlig miljö för att underlätta användningen av data för forsknings- ändamål samt för skapandet av nya innovativa tjänster och produkter (jmf. skäl 16). Dataförvaltningsförordningen omfattar villkor för vidare- utnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmed- lartjänster, ett ramverk för frivillig registrering av och tillsyn över enheter som samlar in och behandlar data som tillhandahållits för altruistiska ändamål (dataaltruismorganisationer) samt ett inrättande av en europeisk datainnovationsstyrelse (artikel 1). Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi. Dataförvaltningsförordningen skapar inte några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och dataförvaltningsförordningen är tillämplig på den aktuella situationen. I kapitel II i dataförvaltningsförordningen regleras vidare- utnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället innehåller kapitlet villkor för hur ett sådant tillgäng- liggörande får se ut i de fall sådana data kan tillgängliggöras för vidare- utnyttjande enligt befintliga regler. Dataförvaltningsförordningen påver- kar inte heller nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen.

Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna data-direktivet (Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn). Öppna data- direktivet har primärt införlivats i svensk rätt genom inrättandet av lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, som trädde i kraft den 1 augusti 2022.

Riksdagen har, efter förslag i propositionen Kompletterande bestäm- melser till EU:s dataförvaltningsförordning (prop. 2023/24:73) beslutat en ny lag med kompletterande bestämmelser till EU:s dataförvaltningsförord- ning (bet.2023/24:TU16, rskr. 2023/24:239). Lagen innehåller bl.a. bestämmelser om tillsyn av företag som förmedlar data och av fysiska och juridiska personer som vidareutnyttjar skyddade data enligt EU:s data- förvaltningsförordning. Även i lagen om den offentliga sektorns tillgäng- liggörande av data har det införts kompletterande bestämmelser om tillgängliggörande av skyddade data för vidareutnyttjande i enlighet med

Prop. 2024/25:19

53

register över erkända dataaltruismorganisationer. Som Läkemedelsverket anför kommer det vid sådan dataaltruism också att vara fråga om frivillig delning av data på grundval av de registrerades samtycke till behandling av personuppgifter som rör dem (artikel 2.16). Förordningen och lagen om den offentliga sektorns tillgängliggörande av data påverkar dock som angetts inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt och inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter. Regelverket ger inte sådana organisationer någon ny rätt till tillgång till uppgifter. Uppgifter från en forskningsdatabas som omfattas av den i denna proposition föreslagna lagen om vissa forskningsdatabaser ska kunna lämnas ut för att användas i etikprövade forskningsprojekt och inte till en dataaltruism- organisation, som tillgängliggör data och inte själva bedriver forskning. Sammantaget bedömer regeringen att förslagen i denna proposition inte påverkas av EU:s dataförvaltningsförordning och lagen om den offentliga sektorns tillgängliggörande av data.

När det gäller förslaget till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde är syftet dels att ge enskilda inom EU en ökad kontroll över sina hälsodata, dels att göra det lättare att dela och få tillgång till olika typer av hälsodata. Detta gäller både inom vården (primäranvändning) och för bland annat forskning, innovation och besluts- fattande (sekundäranvändning). Förslaget syftar däremot inte till att möjliggöra uppbyggnad av forskningsdatabaser för att kunna skapa under- lag för flera olika forskningsprojekt inom ett eller flera forskningsom- råden. I kapitel IV i förordningen, som innehåller bestämmelser som syftar till att underlätta sekundäranvändning av hälsodata för vissa ändamål, däribland forskning, anges en uppsättning datatyper som ska tillgänglig- göras för sekundäranvändning, både nationellt och genom gränsöverskri- dande datadelning. I kapitlet anges vidare att medlemsstaterna ska inrätta organ (health data access bodies) som ska ansvara för att hälsodata görs tillgängliga för sekundäranvändning, antingen genom att utse en eller flera nya myndigheter eller inom ramen för en eller flera befintliga myndigheter. Organet ska bland annat ansvara för att besluta om ansök- ningar om sekundäranvändning av hälsodata, bearbeta sådan data inför sekundäranvändning i säkra miljöer och underlätta gränsöverskridande datadelning inom EU för sekundäranvändning. Kapitlet innehåller även regleringar om skyldigheter och krav för datadelningsorganet, för data- innehavare och för dataanvändare. Datainnehavare kommer exempelvis att behöva samarbeta med datadelningsorganet för att försäkra tillgång till elektroniska hälsodata för dataanvändare. Förordningen om ett europeiskt hälsodataområde väntas bli antagen under hösten 2024. Den träder i kraft 20 dagar efter att den publicerats i Europeiska unionens officiella tidning. Förordningen ska börja tillämpas två år efter att den trätt i kraft och i vissa delar fyra, sex eller tio år efter att den trätt i kraft. Medlemsstaterna ska inom två år från ikraftträdande anta nationell lagstiftning som krävs enligt förordningen. Förordningen har således ännu inte trätt i kraft eller börjat tillämpas och det förutsätts nationell lagstiftning för att implementera förordningen. Regeringen bedömer att det inte i detta skede är möjligt att mer konkret bedöma hur den föreslagna lagen om vissa forsknings-

Prop. 2024/25:19

55

Prop. 2024/25:19

58

2.vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och

3.som är av särskilt vetenskapligt värde för forskningen i ett lång- siktigt perspektiv.

Det ska anges i paragrafen om lagens tillämpningsområde att vissa av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna.

Promemorians förslag överensstämmer delvis med regeringens förslag. I promemorian föreslås inte att det ska anges i paragrafen om lagens tillämpningsområde att vissa av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna. I promemorian föreslås också en delvis annorlunda språklig och redaktionell utformning av bestämmelsen.

Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller inte haft några invändningar mot förslaget. Det gäller bl.a. Integritets- skyddsmyndigheten (IMY), Socialstyrelsen, Statistiska centralbyrån (SCB), Statens medicinsk-etiska råd (Smer), Uppsala universitet, Cancer- fonden och Läkemedelsindustriföreningen.

Läkemedelsindustriföreningen anför att den föreslagna avgränsningen gör att lagen är tydligt avgränsad mot regleringen för hälsodataregister och kvalitetsregister.

Smer tillstyrker förslaget, men förordar att det i den fortsatta bered- ningen övervägs om det under vissa förutsättningar ska kunna gå att samla in uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga på grund av sjukdom, psykisk störning eller liknande. När det gäller att regleringen ska gälla databaser som är av vetenskapligt värde för forskningen i ett långsiktigt perspektiv anser Smer att det är önskvärt med ytterligare vägledning kring hur dessa kriterier ska bedömas. Även Karolinska institutet (KI) framhåller att någon definition av vad särskilt vetenskapligt värde inbegriper inte finns angiven.

Uppsala universitet tillstyrker, med viss reservation, promemorians förslag. Universitetet framhåller att utan ett tillägg även i etikprövnings- lagen om att forskningsdatabaser godkända av regeringen får samla in biologiskt material utifrån ett brett vetenskapligt syfte kommer det inte att vara möjligt att få ett etiskt godkännande för att bygga upp nya forsk- ningsdatabaser som inkluderar provtagning eftersom etikprövningslagen reglerar insamling av biologiskt material.

Region Östergötland anser att kravet att de registrerade ska ha känne- dom om och gett sitt samtycke till registreringen är förståeligt men kan bli problematiskt för många forskningsprojekt där en stor mängd data behövs, med följden att angelägna projekt inte går att genomföra. Regionen anser att det är viktigt att ramlagen inte får en tolkning som omöjliggör retro- spektiva analyser av patientgenererade data och att nuvarande formulering riskerar att försvåra denna typ av analyser avsevärt.

KI anser att det är olyckligt att möjligheten att skapa forskningsdatabaser föreslås begränsas till sådana databaser som i huvudsak är tänkta att innehålla data som de registrerade själva har lämnat eller bidragit till i syfte att de samlas in till och behandlas i en forskningsdatabas. KI framhåller att det skulle innebära en möjlighet till ökad användning av registerdata att i större omfattning få behandla data från andra källor i forskningsdata- baserna, då dessa efter bearbetning kan lämnas ut till enskilda forsknings-

projekt i aggregerat, lättolkat och framför allt kvalitetssäkrat format, vilket även bidrar till att minska risken för integritetsintrång. Forte anför att det är av stor vikt att forskningsdatabaser också kan utgöras av länkade myn- dighetsdata och att de forskningsregister baserade på länkade myndighets- register som finns idag har ett påtagligt mervärde för såväl forskning som samhälle. Forte, Svenska läkaresällskapet, KI och Vetenskapsrådet fram- håller att det inte är korrekt att databaser som kombinerar data från olika myndigheters register enbart reproducerar dessa data och att det ofta krävs omfattande bearbetningar av informationen särskilt när det gäller an- vändning av data från flera olika myndigheter. Vetenskapsrådet anför att sådana forskningsdatabaser som innehåller uppgifter från både den registrerade själv och från andra datakällor består av förfinade informa- tionssamlingar som antingen genom kvalitetssäkring av informationen, sammanförande av olika delinformationsmängder, förseende med till- kommande meta-data och/eller genomtänkt struktur utgör viktiga och unika datakällor som inte kan replikeras genom att begära ut data från dess ursprungskälla.

Lunds universitet anser att en bredare uppsättning av forskningsdata- baser ska kunna prövas och regleras om de finnes vara av särskilt veten- skapligt värde för forskningen ur ett långsiktigt perspektiv, framför allt forskningsdatabaser som baseras på insamlade personuppgifter från register som inte finns digitaliserade hos någon myndighet, forsknings- databaser med direkt insamlade uppgifter endast för ett urval av forsk- ningspersoner samt sådana databaser som bygger på personuppgifter som huvudsakligen inhämtas från andra myndigheters register. Även Forte lyfter att det finns forskningsregister som baseras på insamlade person- uppgifter som inte finns digitaliserade hos någon myndighet, t.ex. histo- riska befolkningsregister och inkomst- och taxeringsregister, framför allt för perioden före 1968. Denna typ av forskningsmaterial saknar samtycke från forskningspersonerna och bygger i stället på nödvändiga tillstånd i enlighet med rådande lagstiftning. Även Stockholms universitet, Göte- borgs universitet och Region Kronoberg framhåller att det finns fler forskningsdatabaser än de som nämns i promemorian som skulle behöva omfattas av särregleringen men som inte inkluderas då de endast har data som bygger på information inhämtad från andra register.

Enligt Kammarrätten i Stockholm är personuppgiftsbehandling som om- fattas av EU:s dataskyddsförordning tillåten om den utförs i enlighet med förordningen och domstolen anför att förordningen saknar bestämmelser om att personuppgiftsbehandling av nu aktuellt slag förutsätter en regle- ring i nationell rätt. Enligt kammarrätten torde den föreslagna lagen därför i praktiken inte begränsa möjligheten att behandla personuppgifter i en andra forskningsdatabaser som är tillåtna enligt dataskyddsförordningen. Vidare bör enligt kammarrätten en bestämmelse om lagens tillämp- ningsområde renodlas så att bestämmelsen inte innefattar syftet med och förutsättningarna för behandlingen.

Flera remissinstanser framhåller behovet av en definition av begreppet ”forskningsdatabas” som används i lagen. Malmö universitet anser att lagen bör tydliggöra vad som avses dels med uttrycket ”forsknings- databas”, dels ”vissa forskningsdatabaser”. Region Dalarna önskar att det klargörs vad som menas med databas respektive register, särskilt eftersom uttrycken förekommer synonymt. Svenska läkaresällskapet noterar att

Prop. 2024/25:19

59

Prop. 2024/25:19

60

uttrycken ”forskningsdatabas” och ”forskningsregister” används på ett annat sätt än det som är praxis i Sverige eller inom den internationella litteraturen och anser att detta riskerar att leda till förvirring. Läkare- sällskapet föreslår att det som i promemorian kallas för ”forsknings- databaser” definieras i lagtexten och föreslår att dessa kallas för ”särskilda forskningsregister utsedda av regeringen”. För tydlighetens skull borde det också enligt Läkaresällskapet förtydligas i bestämmelsen att lagen inte är tillämpbar på forskningsdatabaser/forskningsregister med en avgränsad vetenskaplig frågeställning, då nästan alla databaser/register kan vara ”underlag till flera framtida forskningsprojekt” och vara av ”särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv”. Kungl. Vetenskapsakademien anser att valet av termen ”forskningsdatabas” försvårar förståelsen av innebörden och kanske därmed införandet av lagen och att man kan fundera över om det hade varit bättre att införa ett mer specifikt, nytt uttryck för att undvika sammanblandning med andra typer av databaser för forskning som faller under andra regelverk och lagar. För att specificera vilka databaser som ska regleras vore det enligt Vetenskapsakademien av värde att ännu tydligare lista vilka databaser som lagen inte avser, såsom definierade forskningsprojekt med etikgod- kännande, kvalitetsregister, vårdregister, myndighetsregister, elektroniska journaldata, etc. Region Kronoberg anser att termen forskningsdatabas inte är inte tillräckligt specifik och framför att alternativa termer hade kunnat vara forskningsdatabaser med personuppgifter eller forsknings- register med personuppgifter.

Skälen för regeringens förslag

Uttrycket forskningsdatabas är lämpligt att använda i lagen

Utredningen har föreslagit att det i en bestämmelse om lagens tillämp- ningsområde ska anges att lagen gäller behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registre- ring av personuppgifter görs i register eller annan samling med person- uppgifter genom registrerades frivilliga medverkan och där forsknings- databasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspek- tiv. Flera remissinstanser har framhållit behovet av ett förtydligande av vad som avses med uttrycket forskningsdatabas och att uttrycket används på ett annat sätt än det som är praxis i Sverige eller inom den interna- tionella litteraturen. Svenska läkaresällskapet och Kungl. Vetenskaps- akademien anser att det vore bättre att använda ett annat uttryck än forskningsdatabaser. Regeringen anser att för att kunna bestämma vilka ”register”, ”infrastrukturer” eller ”resurser” för framtida forskning som ska bli föremål för en reglering behöver en avgränsning ske. Det är därvid av vikt att skilja sådana uppgiftssamlingar som skapats för ett specifikt forskningsprojekt från sådana där det primära ändamålet är att de ska kunna användas för flera framtida forskningsprojekt som inte är definie- rade när uppgifter samlas in och registret byggs upp. Termen databas är väl etablerad i både juridiskt och allmänt språkbruk. Exempelvis definieras databas i yttrandefrihetsgrundlagen som en samling av information lagrad för automatiserad behandling (1 kap. 2 §). Som framgår av avsnitt 4 och 6.1 använder regeringen i denna proposition uttrycket forskningsdatabas

för databaser där det primära ändamålet är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när uppgifter samlas in och registret byggs upp. Utanför lagens tillämpningsområde ska således falla uppgiftssamlingar som skapats eller avses skapas för ett visst projekt, del av ett projekt eller en på liknande sätt bestämd forskning som har fått eller kan bli föremål för ett etikgodkännande. Som framgår av avsnitt 4 och avsnitt 6.1 benämns sådana uppgiftssamlingar i denna proposition projektdatabaser. Andra uppgiftssamlingar som också ska falla utanför den föreslagna lagen är t.ex. nationella och regionala kvali- tetsregister enligt patientdatalagen som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, elektro- niska journaldata, etc.

Regeringen anser därför till skillnad från Svenska läkaresällskapet, Kungl. Vetenskapsakademien och Region Kronoberg att uttrycket forsk- ningsdatabas ska användas i den föreslagna lagen och bedömer inte att något annat uttryck är lämpligare att använda.

Ett problem kan dock, som Svenska Läkaresällskapet och Kungl. Vetenskapsakademien framhåller, vara att användningen av uttrycket forskningsdatabas i denna bemärkelse kan skapa oklarhet genom att det finns flera typer av databaser som anses utgöra forskningsdatabaser enligt en i forskarvärlden utbredd användning av uttrycket, men som inte avses omfattas av den föreslagna lagen. För att undvika missförstånd om lagens tillämpningsområde måste det i lagen finnas en tydlig distinktion mellan de forskningsdatabaser som omfattas av lagen och andra uppgiftssam- lingar som används i forskningssammanhang och som avses falla utanför regleringen. I den bestämmelse som reglerar lagens tillämpningsområde bör därför benämningen forskningsdatabas kombineras med en beskriv- ning som tydliggör vilken typ av forskningsdatabas som ska kunna om- fattas av regleringen. I linje med den synpunkt som framförts av Region Dalarna anser regeringen att det bör undvikas att i den beskrivningen använda både orden forskningsdatabas och register. Som Svenska läkare- sällskapet framför kan vidare nästan alla databaser/register vara underlag till flera framtida forskningsprojekt. Regeringen anser därför att det är av vikt att betona att det huvudsakliga syftet med de forskningsdatabaser som lagen föreslås omfatta ska vara att skapa underlag för flera framtida forsk- ningsprojekt. Att ordet huvudsakligen har valts beror på, som regeringen närmare utvecklar i avsnitt 6.3.7, att regeringen anser att uppgifter från sådana forskningsdatabaser även ska kunna lämnas ut till forsk- ningsprojekt som har inletts före det att en forskningsdatabas har inrättats så länge forskningsprojektet faller inom de forskningsområden som forskningsdatabasen omfattar. Lagen avses dock inte omfatta sådana forskningsdatabaser där syftet med insamlingen av uppgifter är ett visst forskningsprojekt som omfattas av ett etikgodkännande, men där uppgifter också lämnas ut till andra forskningsprojekt. Sammantaget anser reger- ingen att det i lagen bör anges att lagen ska gälla vid behandling av personuppgifter i verksamheter med sådana forskningsdatabaser där insamlingen och registreringen av personuppgifter görs genom de registre- rades frivilliga medverkan, vars huvudsakliga syfte är att skapa underlag för flera framtida forskningsprojekt, och som är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Skälen för den första och sista punkten utvecklas nedan.

Prop. 2024/25:19

61

Även andra bestämmelser i lagen kommer att ha betydelse för vilka forskningsdatabaser som kommer att kunna omfattas av lagen. Som KI framhåller skulle det innebära en möjlighet till ökad användning av registerdata att i större omfattning få behandla data från andra källor än den enskilde själv i forskningsdatabaserna. Sådana forskningsdatabaser som kombinerar uppgifter från den registrerade själv och uppgifter från olika andra datakällor som t.ex. myndighetsregister är viktiga och unika datakällor som har stor betydelse för forskningen. Enligt regeringens uppfattning finns det därför skäl att, utöver insamling direkt från enskilda individer, också tillåta kompletterande insamling från andra källor i forskningsdatabaser som omfattas av lagen, och då i första hand från myndighetsregister. Den frågan behandlas vidare i avsnitt 7.2.1.

Till frågan om tillåtet innehåll i en forskningsdatabas hör också frågorna om insamling av uppgifter till forskningsdatabaser från personer som saknar tillräcklig beslutsförmåga och biologiskt material, som väckts av Smer och Uppsala universitet. Även dessa frågor behandlas i avsnitt 7.2.1.

Lagen ska tillämpas på sådana forskningsdatabaser som är av särskilt vetenskapligt värde ur ett långsiktigt perspektiv

Enligt regeringens uppfattning bör utgångspunkten för en långsiktig reglering av forskningsdatabaser vara att en till den generella dataskydds- regleringen kompletterande särreglering ska omfatta forskningsdatabaser av en viss dignitet. De forskningsdatabaser som åsyftas är ett antal för forskningen centrala uppgiftssamlingar, vars uppgift att skapa underlag för flera olika forskningsprojekt bedöms vara av särskilt vetenskapligt värde för ett eller flera forskningsområden i ett långsiktigt perspektiv. I detta ligger bland annat att databasen inte ska vara inriktad på att endast tillgodose en eller ett fåtal forskningshuvudmäns behov. Detta bör framgå som en del i bestämningen av lagens tillämpningsområde. Avsikten är således att uppgifter i en forskningsdatabas ska ha potential att komma till användning i många olika forskningsprojekt.

Det finns vidare enligt regeringens bedömning inte skäl att låsa sig fast vid en lösning som innebär att antalet reglerade forskningsdatabaser begränsas till en per forskningsfält. Det kan dels vara svårt att tydligt definiera och avgränsa ett visst forskningsfält och vissa forskningsdata- baser kan dessutom vara tvärvetenskapliga, dels kan det inom ett forsk- ningsfält finnas flera forskningsdatabaser inom ett forskningsområde som är så pass centrala att samtliga bör omfattas av regleringen.

Som angetts är forskningsdatabas en lämplig benämning på uppgifts- samlingar där insamling av personuppgifter görs för att skapa underlag som kan tillhandahållas för flera olika forskningsprojekt som inte är definierade när databasen byggs upp eller när insamling annars görs. Inriktningen på en forskningsdatabas är alltså att vara en resurs som framtida forskningsprojekt kan komma att använda sig av. I en databas kan det möjligen ha funnits ett annat syfte med att samla in uppgifter än att enbart utgöra en sådan resurs, men där det huvudsakliga syftet med tiden har kommit att vara att tillhandahålla uppgifterna för flera olika forskningsprojekt. Det kan exempelvis ha varit så att den ursprungliga insamlingen har skett inom ramen för ett visst redan definierat forsknings- projekt. För att en sådan verksamhet senare ska kunna falla in under defini-

Prop. 2024/25:19

63

6.3.4Vilka ska kunna vara aktuella att få föra forskningsdatabaser enligt lagen?

Regeringens förslag: Behandling av personuppgifter i en forsknings- databas ska få utföras i verksamhet som bedrivs vid ett lärosäte som är

1.ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller

2.en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen om tillstånd att utfärda vissa examina och som enligt offentlighets- och sekretesslagen och

bilagan till den lagen ska jämställas med myndigheter i sin verksamhet med forskningsdatabasen.

Det lärosäte som för en forskningsdatabas ska vara personuppgifts- ansvarigt för den behandling av personuppgifter som utförs i verk- samheten med forskningsdatabasen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har tillstyrkt eller

inte haft några invändningar mot förslaget att behandling av person- uppgifter i en forskningsdatabas ska få utföras i verksamhet som bedrivs av ett lärosäte som är ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildnings- anordnare som har tillstånd att utfärda examen på forskarnivå. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY), Socialstyrelsen, Statens medi- cinsk-etiska råd (Smer), Region Värmland och Region Västernorrland.

Chalmers tekniska högskola AB välkomnar att enskilda utbildnings- anordnare som bedriver forskningsverksamhet och har rätt att utfärda examen på forskarnivå ges möjlighet att ansvara för forskningsdatabaser. Högskolan framhåller att det måste beaktas på vilket sätt reglering ska ske för stiftelsehögskolorna då de inte omfattas av regeringens normgivnings- makt.

Etikprövningsmyndigheten och Läkemedelsindustriföreningen anser att en kompletterande utredning bör göras för att undersöka om även regioner ska kunna vara huvudmän för forskningsdatabaser som omfattas av lagen. Läkemedelsindustriföreningen anser att en sådan utredning också bör utreda möjligheterna i hur en breddning av regleringen av forskningsdata- baser skulle kunna fungera som ytterligare ett verktyg vid prioritering och inrättande av hälso- och sjukvårdsnära infrastrukturer av nationellt intresse.

Flertalet regioner (Blekinge, Dalarna, Halland, Jönköping, Kronoberg, Stockholm, Sörmland, Västmanland, Västernorrland, Västra Götaland, Örebro, Östergötland), Biobank Sverige, Cancerfonden, Hjärt-Lung- fonden, Lunds, Umeå och Örebro universitet och Svenska Läkare- sällskapet anser att även regioner ska kunna ansvara för forsknings- databaser enligt lagen. Region Västerbotten, liksom Region Örebro län och Region Blekinge, anser att klinisk forskning är en del av regionernas kärnverksamhet och framhåller att regionerna är högst aktiva som forsk- ningshuvudmän och har såväl kompetens som kapacitet att agera som huvudmän för forskningsdatabaser. Biobank Sverige anför att vårdgivare har en omfattande infrastruktur där man hanterar en stor mängd känsliga data och anser också att regioner har den kapacitet som krävs för att inrätta

Prop. 2024/25:19

65

Skälen för regeringens bedömning

Behandlingen av personuppgifter ska bygga på frivillig medverkan men samtycke bör inte vara den rättsliga grunden för behandlingen

För att en behandling av personuppgifter ska vara laglig måste behand- lingen ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 i EU:s dataskyddsförordning (se avsnitt 5.3). De rättsliga grunder som är rele- vanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke enligt artikel 6.1 a, uppgift av allmänt intresse enligt artikel 6.1 e och intresseavvägning enligt artikel 6.1 f (prop. 2017/18:298 s. 29–30).

I och med att den föreslagna lagen ska baseras på de registrerades medverkan (se avsnitt 6.1 och 6.3.3) skulle en möjlig rättslig grund för behandlingen kunna vara samtycke enligt artikel 6.1 a.

Samtycke definieras i artikel 4.11 i EU:s dataskyddsförordning som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Enligt skäl 32 bör samtycke lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, infor- merat och otvetydigt medgivande från den registrerade om att denne godkänner den aktuella personuppgiftsbehandlingen, tex. genom en skrift- lig eller muntlig förklaring. Det ska vara fråga om en förklaring eller annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda personuppgiftsbehandlingen. Tystnad eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör, enligt samma skäl, gälla all behand- ling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke därför ges för samtliga av dessa.

En redogörelse för när den rättliga grunden samtycke kan användas finns i avsnitt 5.3. Där framgår bl.a. att det i skäl 33 till dataskyddsförordningen anges att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter och att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning när vedertagna etiska standarder för sådan forskning iakttas. Frågan om tolkningen av skäl 33 har behandlats av Europeiska dataskyddsstyrelsen i ett yttrande, som har lämnats på begäran av EU-kommissionen och som omfattar förtydliganden av hur dataskyddsförordningen bör tillämpas vid personuppgiftsbehandling i hälso- och sjukvårdsforskning (EDPB Doku- ment den 2 februari 2021 som svar på Europeiska kommissionens begäran om förtydligande av hur den allmänna dataskyddsförordningen tillämpas konsekvent, med fokus på hälsoforskning). Europeiska dataskydds- styrelsen anger i yttrandet att styrelsen för närvarande utarbetar riktlinjer för tillämpningen av dataskyddsförordningen vid personuppgiftsbehand- ling för forskningsändamål. Det påtalas att skäl 33 öppnar upp för en möjlighet att under vissa omständigheter sänka kraven på specifikation vid samtycke som rättslig grund. Det noteras att viss flexibilitet föreligger i situationer där ändamålet för personuppgiftsbehandling i ett forsknings- projekt inte kan specificeras vid tidpunkten för insamling, utan då enbart kan beskrivas som kopplat till vissa frågeställningar eller ett visst forskningsområde. Det är, enligt styrelsen, nödvändigt att forskningsområ-

Prop. 2024/25:19

73

som krävs för att komma i kontakt med personer som ska erbjudas att ingå i forskningsdatabasen, att behandlingen inte sker utan de registrerades kännedom och frivilliga medverkan. Detta är viktigt dels för att säkerställa ett skydd för de registrerades integritet, dels för att stärka allmänhetens förtroende för verksamheten med forskningsdatabaser och därmed viljan att medverka. De bestämmelser som föreslås i lagen till skydd för de registrerades integritet, bl.a. bestämmelser om information, samtycke och opt-out, ska därför i stället anses vara sådana lämpliga skyddsåtgärder som krävs vid behandling av personuppgifter för forskningsändamål enligt artikel 89 i EU:s dataskyddsförordning. Att samtycke kan vara en skyddsåtgärd framgår av Europeiska dataskyddsstyrelsens riktlinjer 5/2020 om samtycke enligt förordning (EU) 2016/679. Där har Europeiska dataskyddsstyrelsen uttalat att när samtycke utgör den rättsliga grunden för att bedriva forskning enligt allmänna dataskyddsförordningen bör sådant samtycke till användning av personuppgifter särskiljas från andra samtyckeskrav som fungerar som en etisk standard eller processuell skyldighet. Styrelsen nämner som ett exempel på en sådan processuell skyldighet, där behandlingen inte baseras på samtycke utan på någon annan rättslig grund, det krav på att försökspersonen lämnar ett informerat samtycke som anges i Europaparlamentets och rådets förordning (EU) nr 536/2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Styrelsen anför att inom ramen för data- skyddslagstiftningen skulle den sistnämnda formen av samtycke kunna betraktas som en ytterligare skyddsåtgärd. Regeringen anser såldes till skillnad från bl.a. Karlstads universitet, Uppsala universitet, Kammar- rätten i Stockholm och Mälardalens universitet, inte att det blir otydligt att betrakta bl.a. kraven på de registrerades frivilliga medverkan genom såväl uttryckliga samtycken som information och opt-out som integritetshöjande skyddsåtgärder. Som regeringen närmare utvecklar i avsnitt 7.1.1 föreslår regeringen att samtyckets och opt-out-möjlighetens karaktär av skydds- åtgärder ska tydliggöras genom rubriksättningen i den föreslagna lagen.

Behandlingen av personuppgifter i forskningsdatabaserna kan ske med stöd av den rättsliga grunden uppgift av allmänt intresse

En rättslig grund som bedöms vara aktuell att kunna tillämpa som stöd för behandling av personuppgifter i en forskningsdatabas är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen. Denna rättsliga grund ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3).

I propositionen Ny dataskyddslag (prop. 2017/18:105) framför rege- ringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Att den rättsliga grunden ska vara fastställd innebär att uppgiften av all- mänt intresse måste ha stöd i rättsordningen. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt uttalanden i förarbetena av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Detta måste även gälla i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse (prop. 2017/18:105 s. 56 och 57). Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentlig-

Prop. 2024/25:19

75

allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Uppräkningen i lagen av ändamålen ska vara uttömmande. Regeringen ska få meddela föreskrifter som avgränsar vilket eller

vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till.

Regeringens bedömning: Den föreslagna modellen, där övergri- pande ändamål med personuppgiftsbehandlingen i forskningsdatabaser anges i ramlagen i förening med att det närmare ändamålet för varje forskningsdatabas anges i förordning för respektive forskningsdatabas, uppfyller kravet på ändamålsbegränsning i EU:s dataskyddsförordning.

Promemorians förslag överensstämmer huvudsakligen med regeringens. I promorian föreslås inte att ytterligare ett övergripande ändamål ska vara att lämna ut uppgifter till forskningsprojekt inom för forskningsdatabasen angivna forskningsområden även om projekten redan påbörjats innan forskningsdatabasen inrättats. I promemorian anges att personuppgifter som samlats in och behandlas för de övergripande ändamålen därefter får behandlas bara för utlämnande som anges i ramlagen samt bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I promemorian föreslås inte ett bemyndigande för regeringen att meddela föreskrifter som avgränsar vilket eller vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till utan i stället föreslås en upplysningsbestämmelse om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela sådana föreskrifter.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: En stor majoritet av remissinstanserna tillstyrker

eller har inga invändningar mot förslaget om en reglering som möjliggör att uppgifter samlas in i forskningsdatabaser för att skapa underlag för framtida forskningsprojekt inom för forskningsdatabasen angivna forsk- ningsområden och lämna ut uppgifter till sådana projekt. Detta gäller bl.a. Integritetsskyddsmyndigheten (IMY) och Socialstyrelsen. Endast ett fåtal av remissinstanserna uttalar sig särskilt när det gäller förslaget till ändamål med behandlingen av personuppgifter i forskningsdatabaser som förs med stöd av lagen.

Uppsala universitet delar promemorians bedömning om ändamåls- bestämning. Statens medicinsk-etiska råd (Smer) tillstyrker förslaget. Enligt rådets bedömning är det positivt för de registrerades integritet och självbestämmande att ändamålen förtydligas och begränsas på det före- slagna sättet. Hjärt- och lungfonden välkomnar förslaget och anser att det ger en tydlig grund för att bygga upp forskningsdatabaser för framtida forskning och att ändamålsbeskrivningen hålls på en rimlig nivå. Stock- holms universitet instämmer i att forskningsdatabasernas övergripande ändamål ska vara att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden. Universitetet ifrågasätter avgränsningen som innebär att tvärvetenskapliga forsknings- projekt och forskningsprojekt från andra forskningsområden inte kommer att kunna få data utlämnad från forskningsdatabaser och anser att detta synsätt inte är förenligt med målsättningarna med ”öppen vetenskap”. Universitetet ser positivt på att personuppgifter i en forskningsdatabas

Prop. 2024/25:19

81

Prop. 2024/25:19

82

även ska kunna bevaras för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål även efter det att de av någon anledning inte längre behövs som underlag för framtida forskningsprojekt.

Region Västerbotten anser att promemorians förslag till bestämmelse om att regeringen kan meddela föreskrifter om vilka forskningsområden som en forskningsdatabas ska skapa underlag för och lämna ut uppgifter till är otydlig eftersom regeringen inte kan veta i förhand vem uppgifterna ska utlämnas till då man inte vet vilken forskare som kommer att göra uttag från forskningsdatabasen.

IMY delar bedömningen i promemorian att regeringen med stöd av den s.k. restkompetensen bör meddela förskrifter om vilka forskningsdatabaser som ska få föras samt vilka lärosäten som ska få behandla personuppgifter i sådana databaser. IMY delar också bedömningen att regeringen i dessa föreskrifter även bör precisera ändamålen med behandlingen till ett eller flera forskningsområden. Enligt IMY kommer sådana föreskrifter att vara nödvändiga för att, tillsammans med de föreslagna skyddsåtgärderna, skapa en rättslig grund som är tydlig, precis och proportionerlig i enlighet med kraven i artikel 6.3 och skäl 41 i dataskyddsförordningen.

Luleå tekniska universitet framhåller att det i promemorian angivits att ett aktuellt forskningsområde för en forskningsdatabas ingalunda behöver vara ämnesmässigt avgränsat utan också kan beskrivas tvärvetenskapligt och understryker att forskningsdatabaserna måste kunna användas av forskare verksamma vid lärosäten utan medicinsk fakultet.

Linnéuniversitetet ställer sig tveksamt till om de framtida möjliga forsk- ningsområden som databaserna eventuellt kan bli relevanta för måste specificeras på förhand. Universitetet anser att om en sådan specificering måste ske bör det göras på ett sådant sätt att det i så hög utsträckning som möjligt håller dörren öppen också för forskningsfrågor som ännu inte formulerats, eller forskningsområden som ännu inte etablerats.

Skälen för regeringens förslag och bedömning

Primära ändamål med behandlingen av personuppgifter i forskningsdatabaser som omfattas av lagen

Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ur- sprungliga ändamålen (ändamålsbegränsning). Att en ändamålsbestäm- ning är tillräckligt särskilt och uttryckligt angiven har en avgörande betydelse för att det ska kunna gå att bedöma om en senare behandling för nya ändamål är förenlig eller oförenlig med ett ursprungligt ändamål. Ett tydligt angivet ändamål är som regel också en förutsättning för att man ska kunna bedöma om en viss behandling är laglig, dvs. om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b-f (prop. 2017/18:105 s. 47 f). Ändamålsbestämmelser har vidare betydelse för tillämpningen av de övriga grundläggande principerna för personuppgifts- behandling i artikel 5. Otillräckligt specifika ändamålsbeskrivningar kan

exempelvis leda till att principen om uppgiftsminimering i artikel 5.1 c inte kan iakttas. Ändamålsbestämningen har även betydelse för statistik- ansvariga myndigheters bedömningar i samband med begäran om utlämnande av uppgifter.

Som framgår av avsnitt 6.3.5 åberopas i denna proposition inte samtycke som rättslig grund för den nya lagen utan den rättsliga grund som åberopas är uppgift av allmänt intresse. När det gäller frågan om ändamålsbegräns- ning kan man ändå till viss del ta ledning av vad som gäller för ändamåls- begränsningar i förhållande till samtycken. I skäl 33 till dataskydds- förordningen anges att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsända- mål i samband med insamlingen av uppgifter och att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Euro- peiska dataskyddsstyrelsen har i ett dokument från den 2 februari 2021 som svar på Europeiska kommissionens begäran om förtydligande av hur den allmänna dataskyddsförordningen tillämpas konsekvent, med fokus på hälsoforskning, framhållit att även om skäl 33 möjliggör att ändamålet kan beskrivas på en mer allmän nivå så måste de allmänna principerna för behandling av personuppgifter i artikel 5 följas. Europeiska dataskydds- styrelsen anförde att när forskningsändamålet inte fullt kan preciseras måste den personuppgiftsansvarige på andra sätt tillgodose principen om att det ändamål med personuppgiftsbehandlingen som samtycke begärs för ska vara specificerat, som t.ex. att forskningspersoner lämnar samtycke till ett visst forskningsområde eller vissa specifika frågeställningar. Det sistnämnda ligger i linje med hur ändamålet har preciserats i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen). Där har ändamålen med per- sonuppgiftsbehandlingen i register enligt lagen angetts vara

1.att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt, och

2.att lämna ut uppgifter för sådan forskning.

Som nämnts i avsnitt 6.3.5 uppställs i LifeGene-lagen krav på uttryckliga samtycken för behandling av personuppgifter. När det gäller den föreslagna nya lagen är den rättsliga grund som åberopas för behandling av personuppgifter uppgift av allmänt intresse. Visserligen föreslås huvud- regeln vara krav på uttryckliga samtycken som en skyddsåtgärd, men uppgifter föreslås också i viss utsträckning kunna behandlas utan samtycke och med rätt till opt-out för den registrerade.

Isamband med tillkomsten och förlängningar av LifeGene-lagen ifråga- sattes om ändamålsbestämmelsen i lagen var förenlig med det tidigare dataskyddsdirektivets och den nu gällande dataskyddsförordningens krav på att ändamål ska vara särskilda och uttryckligt angivna. I lagstiftnings- projekten såväl vid den ursprungliga propositionen med förslag till lagen som vid förlängningarna av lagen har dock ändamålsbestämmelsen i LifeGene-lagen ansetts vara förenlig med kraven på att ändamålen ska vara särskilda och uttryckligt angivna (prop. 2012/13:163 s. 26–27, prop. 2014/15:121 s. 11–12, prop. 2016/17:204 s. 10–13 och prop. 2019/20:182 s. 10–11). En bestämning av ändamålet med personuppgiftsbehandlingen

Prop. 2024/25:19

83

det då saknas möjlighet att överklaga beslutet, en möjlighet som annars finns för att säkerställa rättssäkerheten. Ett bättre alternativ till att låta regeringen avgöra skulle enligt Stockholms universitet vara att lägga uppgiften på Etikprövningsmyndigheten, med möjlighet att överklaga till Överklagandenämnden för etikprövning (ÖNEP), eller möjligen på ÖNEP med möjlighet att överklaga till regeringen. Institutet för framtidsstudier anser att regeringen bör hållas på armlängds avstånd från att besluta om praktiska detaljer i frågor om forskningsdatabaser och anger Veten- skapsrådet och Etikprövningsmyndigheten som alternativ till regeringen. Även Mälardalens universitet bedömer det som olämpligt att en ansökan om att få inrätta en forskningsdatabas ska ges in till regeringen som också ska fatta beslut. En annan första instans skulle medföra att ett beslut om inrättande skulle kunna överklagas till regeringen. Alternativt föreslår universitetet att en myndighet ges i uppdrag att bereda ärendet och lämna en rekommendation till regeringen som beslutar om inrättandet av en forskningsdatabas. SKR föreslår att en myndighetsnämnd enligt myndig- hetsförordningen med kansli vid Etikprövningsmyndigheten ska fatta beslut om forskningsdatabaser och inte Regeringskansliet. Västra Göta- landsregionen påpekar att det rimliga är att Regeringskansliet som en del i sin beredning samråder eller på annat sätt inhämtar synpunkter från berörda myndigheter och andra aktörer eftersom det i beredningen ingår den centrala frågan om forskningsdatabasen är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. Om regeringen ensam fattar dessa beslut anser regionen att man inte kan undgå en risk för politisering. Regionen bedömer vidare att Socialstyrelsen bör inkluderas i beredningsprocessen när det gäller medicinsk forskning eller hälso- och sjukvård.

Som framgår av avsnitt 3 har vissa myndigheter, bl.a. IMY och Veten- skapsrådet, fått tillfälle att under hand yttra sig över ett utkast till lagråds- remiss, som bl.a. innefattade en bedömning som överensstämmer med den i rutan med den skillnaden att det i utkastet även gjordes bedömningen att Vetenskapsrådet under beredningen skulle vara skyldigt att inhämta syn- punkter från IMY. IMY ifrågasätter om det är en lämplig ordning att IMY involveras i beredningsprocessen bl.a. med hänsyn till IMY:s roll som tillsynsmyndighet. Vetenskapsrådet har inget att invända mot att vara bere- dande myndighet, men anför bl.a. följande. Myndigheten instämmer i att det bör vara det ansökande lärosätets ansvar att se till att underlaget är komplett men ser också att det kan vara svårt för lärosätet att ta ställning till vad som behövs, särskilt initialt. Vetenskapsrådet föreslår därför att det tydliggörs genom föreskrifter eller på annat sätt vilket underlag som ska lämnas in, i likhet med exempelvis den blankett som ska fyllas i inför ansökan till Etikprövningsmyndigheten. Vetenskapsrådet ser också att det är viktigt att beredningsprocessen och myndighetens uppdrag regleras på ett tydligt sätt. Vetenskapsrådet påpekar vidare att man bör se över om det behövs tillkommande sekretessbestämmelser för att rådet ska kunna skydda uppgifter som kommer in till myndigheten inom ramen för upp- draget, till exempel uppgifter som rör hur ett ansökande lärosäte arbetar inom ramen för sitt informationssäkerhetsarbete. Myndigheten föreslår att bedömningen av om informationssäkerheten vid ett ansökande lärosäte är tillräcklig bör göras av MSB som är den myndighet som har expertkunskap inom detta område. Slutligen anger rådet att det inte delar regeringens upp-

Prop. 2024/25:19

89

Prop. 2024/25:19

90

fattning att kostnaderna för beredningsuppgiften ryms inom befintliga pro- gnostiserade ekonomiska ramar för myndigheten (se avsnitt 14.1.2).

Skälen för regeringens förslag och bedömning

Vem ska besluta om vilka forskningsdatabaser som får föras?

I promemorian föreslås att lärosäten direkt hos regeringen, via Regerings- kansliet, ska väcka frågan om en reglering och att frågan därefter ska bli föremål för beredning i Regeringskansliet. Initiativet till att reglera en viss forskningsdatabas bör enligt promemorian komma från lärosätena. Rege- ringskansliet har i den mån det bedöms finnas behov därav, enligt prome- morian, möjlighet att samråda med eller på annat sätt inhämta synpunkter från berörda myndigheter, såsom exempelvis Vetenskapsrådet, men också från andra aktörer med värdefull insikt i och information om exempelvis ett aktuellt forskningsområde.

Regeringen delar uppfattningen att initiativet till att det ska göras ett ställningstagande till om en viss forskningsdatabas ska få föras ska komma från lärosätena. Därefter ska det ske en prövning av om de grundläggande förutsättningarna för förandet av en viss forskningsdatabas är uppfyllda. Det handlar då om att pröva huruvida den aktuella databasen är en sådan forskningsdatabas som avses i lagens beskrivning av vad en forsknings- databas är. Däri ingår den centrala frågan om forskningsdatabasen kan sägas vara av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv.

I bedömningen av om en forskningsdatabas bör inrättas ligger att väga nyttan av att en viss forskningsdatabas tillhandahåller uppgifter till forsk- ningsprojekt inom ett specificerat forskningsområde, dvs. forskningsdata- basens vetenskapliga värde, mot de integritetsrisker som personuppgifts- behandlingen i en sådan forskningsdatabas kan komma att innebära för de registrerade. Integritetsrisken måste vara proportionerlig i förhållande till databasens nyttopotential. I avvägningen ligger också frågan om det an- svariga lärosätet uppfyller kraven på kvalitet och säkerhet i integritets- skyddet. Det bör, i linje med vad Etikprövningsmyndigheten har anfört, vara fråga om ett lärosäte med tillräckliga finansiella och organisatoriska förutsättningar för att kunna tillgodose ett kvalitativt och långsiktigt integritetsskydd för den personuppgiftsbehandling som kommer att äga rum i verksamheten med en viss forskningsdatabas. Bedömningen ska då fokusera på lärosätets förutsättningar för att kunna utföra personupp- giftsbehandlingen på ett sätt som är förenligt med dataskyddsförord- ningens och den kompletterande nationella lagstiftningens bestämmelser inklusive den föreslagna lagen om vissa forskningsdatabaser.

Det framförs av vissa av remissinstanserna synpunkter om att om regeringen ska besluta om inrättandet av forskningsdatabaser så hotas forskningens frihet och att det finns en risk för ökad politisk styrning. Detta gäller Chalmers tekniska högskola AB, Linköpings universitet, Linnéuniversitetet, Lunds universitet, Region Halland, Stockholms univer- sitet, Svenska Läkaresällskapet och SKR. Flera remissinstanser, bl.a. Smer, Stiftelsen Institutet för framtidsstudier och SKR, föreslår att någon annan myndighet ska pröva frågan, exempelvis Etikprövningsmyndigheten eller Vetenskapsrådet. Vidare framför flera remissinstanser, bl.a. Göteborgs universitet, Stockholms universitet och Mälardalens universitet, syn-

punkter om att det bör vara en myndighet som prövar frågan som första instans och att den myndighetens beslut bör kunna överklagas.

Med anledning av dessa synpunkter har regeringen övervägt att låta en myndighet fatta beslut i det enskilda fallet om vilka forskningsdatabaser som får föras enligt den föreslagna lagen och om vilka lärosäten som får behandla personuppgifter enligt lagen. I bedömningen av om en forsk- ningsdatabas bör inrättas ligger att väga nyttan av forskningsdatabasens vetenskapliga värde mot de integritetsrisker som personuppgiftsbehand- lingen i en sådan forskningsdatabas kan komma att innebära för de registrerade. Enligt regeringens bedömning finns det inte någon myndighet som i dag har all den specifika kunskap som behövs för att fullt ut svara mot de krav på sakkunskap som en sådan bedömning kräver. Regeringen vill vidare betona att, såsom anges i promemorian, initiativet till att reglera en viss forskningsdatabas ska komma från lärosätena och inte från regeringen. Vidare kommer regleringen av vissa forskningsdata- baser att utgöra endast en kompletterande särreglering av en form av infrastruktur för forskning. Den kommer inte att påverka möjligheten att initiera forskningsstudier. Den föreslagna regleringen utgör heller inte något hinder mot att bygga upp ett register för forskningsändamål, så länge detta görs i enlighet med annan befintlig dataskyddsreglering. Med hänsyn tagen till detta bör regeringen, i likhet med vad som sägs i promemorian, besluta om vilka forskningsdatabaser som får föras enligt den föreslagna lagen. Om regeringen finner att en forskningsdatabas som ett lärosäte för eller avser att föra uppfyller kriterierna för att få omfattas av lagen och föras med stöd av den kommer det att resultera i att regeringen meddelar föreskrifter i förordning där det anges att lärosätet får föra forsknings- databasen. Till skillnad från den bedömning som görs i promemorian anser dock regeringen, av skäl som har redovisats i avsnitt 6.3.4, inte att sådana föreskrifter kan meddelas i förordning med stöd av regeringens s.k. restkompetens enligt 8 kap. 7 § första stycket 2 RF, utan att regeringen i den nya lagen bör bemyndigas att meddela sådana föreskrifter. Rege- ringens beslut bör vidare inte kunna överklagas eftersom beslutet enligt regeringens bedömning inte rör enskildas civila rättigheter eller skyldig- heter i den mening som avses i artikel 6.1 i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (jfr lagen [2006:304] om rättsprövning av vissa regeringsbeslut). Regeringen delar dock den uppfattning som framförts av flera remissinstanser, bl.a. Uppsala universitet, Läkemedelsverket och Kungl. Vetenskapsakademien, nämligen att en myndighet bör ges i uppdrag att bereda ett ärende om en forskningsdatabas ska få föras med stöd av den nya lagen. Regeringen bedömer att det lärosäte som önskar inrätta en forskningsdatabas visserligen bör göra en framställning om detta till regeringen, men att regeringen därefter bör skicka framställningen till en myndighet som bereder framställningen, bl.a. genom att inhämta yttranden från andra berörda myndigheter och organ. Därefter bör myndigheten lämna ett yttrande till regeringen i ärendet, varefter rege- ringen fattar beslut.

Därmed inställer sig frågan vilken myndighet som lämpligast kan ha hand om beredningsprocessen. Kungl. Vetenskapsakademien föreslår att Vetenskapsrådet ges i uppdrag att bistå regeringen i bedömningen av det förväntade vetenskapliga värdet av forskningsdatabasen och att IMY ges i

Prop. 2024/25:19

91