EUs nye lovverk for databeskyttelse

EU-kommisjonen foreslo i januar en ny forordning for bruk av data som inneholder informasjon om den enkelte innbygger – General Data Protection Regulation. I motsetning til et EU direktiv, er en forordning direkte anvendelig i medlemslandene og gjelder på lik linje med landets egne lover.

I forslaget fra EU-kommisjonen var det spesielt tatt hensyn til forskning. Europeiske forskere innen felt som samfunnsvitenskap, humaniora og medisin er avhengige av datasett som inneholder informasjon om enkeltindivider. Derfor finnes det i dag strenge regler og godkjenningsordninger for å ivareta at dataene oppbevares og brukes på en måte som sikrer personvernet.

Det har kommet mange forslag om å endre forordningen og konsekvensen av noen av forslagene kan bli at det blir dramatisk vanskeligere å drive forskning som er avhengig av personidentifiserbare data. Science Europe kom derfor med en uttalelse 8.mai med anbefalinger for å sikre at vi ikke får en lovgivning i Europa som hindrer mulighetene til ny kunnskap som blant annet fremmer helse og velferd.  Jeg synes det er viktig at norske forskere blir klar over problemstillingene og disse anbefalingene. Jeg har derfor oversatt de sju anbefalingene fra Science Europe, men les gjerne det originale dokumentet:

Anbefaling 1.
Science Europe oppfordrer EU-institusjonene til å strukturere det juridiske rammeverket for databeskyttelse slik at det både sikrer rettighetene og personvernet til den enkelte, og fremmer europeisk forskning med stor samfunnsmessig nytte.

Anbefaling 2.
Science Europe støtter artikkel 83 i forslaget med tilhørende bestemmelser og innskrenkinger, og oppfordrer EU-institusjonene om å opprettholde bestemmelsene i artikkel 83 som foreslått av EU-kommisjonen.

Anbefaling 3.
Science Europe ber EU-institusjonene om å erkjenne at forskningen opererer innenfor et robust etisk rammeverk som gjør det mulig å balansere risiko og nytte i forskningsprosjekter, og at dette sikrer personvernet. De ulike gradene som karakteriserer personidentifiserbarhet i forskningsdata (identifiserbare, pseudonyme, anonyme) vil ha betydning for hvordan dataene må håndteres og dette må defineres og tydeligghjøres i lovverket.

Anbefaling 4.
Science Europe mener at anonyme data ikke skal omfattes av forordningen. Det er viktig å klargjøre hvordan «personlige» data i forordningen relateres til «pseudonymiserte» data. Science Europe anbefaler en risiko-basert tilnærming til pseudonymiserte data i en erkjennelse av at det er en forskjell i krav til beskyttelse mellom identifiserbare og anonyme data.

Anbefaling 5.
Hvis det er nødvendig å reidentifisere pseudonymiserte data, anbefaler Science Europe en tilnærming med bruk av pseudonymforvalter, klare prosedyrer og kontroller og bruk av dekrypteringsnøkler. Disse prosedyrene bør bygge på eksisterende veletablerte systemer som brukes ved mange fremragende europeiske sentre for datahåndtering.

Anbefaling 6.
Science Europe oppfordrer EU-institusjonene til å erkjenne særpreget i kravene til samtykke i forskning, og opprettholde unntakene i artikkel 83 som åpner for bruk av forsvarlig håndterte personidentifiserbare data til forskning uten samtykke eller bruk av «bredt samtykke» der det er praktisk.

Anbefaling 7.
Science Europe understreker viktigheten av at den nye forordningen ikke øker den administrative byrden for forskere og forskningsinstitusjoner. Spesielt bør ikke den nye forordningen kreve regelmessige gjennomganger av forskningsdata som er lagret i forskningsinstitusjoner, uforholdsmessige krav til forskere om å gi informasjon, krav om korrigering av data bør være balansert for å unngå unødvendig administrative rutiner, og oppfølging av nasjonale tilsynsmyndigheter bør være tilstrekkelig.

Forskerne i Europa var stort sett fornøyd med forslaget til ny forordning da den ble kjent. Fordelen med en forordning er også at vi slipper usikkerheten rundt hvordan et direktiv blir implementert i de ulike landene. I forslaget til paragraf 83 som Science Europe også referer til, var det lagt inn den nødvendige teksten for å sikre forskningen. Her står det i  punkt 1 og 2:

Processing for historical, statistical and scientific research purposes
1. Within the limits of this Regulation, personal data may be processed for historical, statistical or scientific research purposes only if:
(a) these purposes cannot be otherwise fulfilled by processing data which does not permit or not any longer permit the identification of the data subject;
(b) data enabling the attribution of information to an identified or identifiable data subject is kept separately from the other information as long as these purposes can be fulfilled in this manner.
2. Bodies conducting historical, statistical or scientific research may publish or otherwise publicly disclose personal data only if:
(a) the data subject has given consent, subject to the conditions laid down in Article 7;
(b) the publication of personal data is necessary to present research findings or to facilitate research insofar as the interests or the fundamental rights or freedoms of the data subject do not override these interests; or
(c) the data subject has made the data public.”

Nå får vi håpe at en felles innsats blant forskere i Europa kan hindre at vi får en forordning som gjør det vanskeligere eller umulig å gjennomføre viktig forskning til beste for befolkningen i Europa og verden for øvrig (se også leder i Nature 16.mai). Jeg skal holde deg informert om den videre utviklingen i saken.