Forskningen vil lide under nytt EU-lovverk
Den nye personopplysningsloven vil bygge opp et meningsløst byråkrati og medføre store problemer for viktig vitenskapelig forskning.
Økt offentlig effektivitet og mindre byråkrati har vaert en av Regjeringens kjernesaker de siste årene. Begrunnelsen er, ifølge finansministeren, at Regjeringen ønsker å «forvalte skattebetalernes penger med respekt og motarbeide sløsing med offentlige midler» (Dagsavisen, 24. november 2017).
På denne bakgrunn er det oppsiktsvekkende at Norge er i ferd med å gjennomføre en ny EU-forordning som vil virke i stikk motsatt retning – den vil føre til mer byråkrati og flere saksbehandlere. I sitt forslag til ny personopplysningslov som ble lagt frem like før påske, foreslår Justis- og beredskapsdepartementet at forordningen gjøres gjeldende som norsk lov uten omskrivninger. Mange av høringsinstansene har pekt på manglende konsekvensutredning – og advart mot store økte utgifter. Er Regjeringen virkelig klar over følgene av dette lovforslaget?
Forhåndsgodkjenning faller bort
EU’s forordning (General Data Protection Regulations – GDPR) går ut på å styrke den enkeltes personvern og samtidig overlate alt ansvar for å håndheve personvernlovgivningen til den enkelte virksomhet. All forhåndsgodkjenning fra Datatilsynet (DT) faller bort. Alle institusjoner som behandler persondata, må derfor «stabe opp» med juridisk kompetanse for å møte GDPR, og større virksomheter må ha et eget personvernombud. Overtredelse vil kunne få store konsekvenser – f.eks. med bøter på opptil 20 millioner euro.
Konkret betyr dette at institusjoner som for eksempel forvalter helseregistre, må bygge opp egen ekspertise for å vurdere søknader om utlevering av person- og helsedata. Hver institusjon må selv tolke lover og forskrifter, og selv vurdere søkeres kompetanse og sikkerhetsregime. For å vaere på den sikre siden, vil institusjonene som forvalter helsedata, gjennomgå alle tenkelige og utenkelige konsekvenser for å unngå å gjøre en eller annen feil.
Må vurderes av egen virksomhet
Når det gjelder helseforskning er det i dag ett organ som vurderer opprettelsen av helseregistre (Datatilsynet – DT) og et annet som godkjenner forskningsprosjekter (Regionale etiske komiteer – REK). I fremtiden skal all forhåndsgodkjenning fra DT falle bort, og REK skal bare vurdere etiske forhold ved forskningen. I praksis vil det si at enhver søknad om et forskningsprosjekt må vurderes inngående av egen virksomhet og av REK. Men dersom forskeren ønsker å sette sammen opplysninger fra flere kilder, må hver av dataeierne gjøre denne lovgjennomgangen som DT gjør i dag. Datatilsynet skal bare gi råd og føre kontroll i ettertid.
Et tenkt eksempel: En forskergruppe ønsker å finne årsaken(e) til multippel sklerose (MS) – en fryktet sykdom uten kjent årsak og med få behandlingsmuligheter. De søker for eksempel om å få sette sammen opplysninger fra Norsk pasientregister, Statistisk sentralbyrå, Reseptregisteret og data fra store befolkningsundersøkelser. I dag søker forskerne Datatilsynet og/eller REK, og benytter en tillatelse herfra som «rettslig grunnlag» når de ber om å få låne data fra det enkelte register.
Fare for forskjellsbehandling
I fremtiden må forskerne først søke REK, og senere søke hver enkelt dataeier om å få tilgang til data, men fortolkningen av lovverket – som før ble gjort av Datatilsynet, skal nå gjøres av hver enkelt registereier. Hver av disse må gjøre sine egne juridiske vurderinger og konsekvensutredninger, og selv vaere garantister for «riktig» lovtolkning for alt som leveres ut av data. Dette vil ta tid og faren for forskjellsbehandling er meget stor. Så vidt vi kan se, er det ikke noen klageinstans. Hvis én institusjon sier nei, stopper prosjektet opp – og det blir ingen forskning på årsakene til MS.
EU’s forordning åpner for at medlemslandene kan gjøre visse nasjonale tilpasninger. I eksempelet over, ville man for eksempel kunnet beholde ordningen med forhåndsgodkjenning fra DT, men dette er ikke foreslått. Den nye personopplysningsloven vil, i tillegg til å bygge opp et meningsløst byråkrati, også medføre store problemer for viktig vitenskapelig forskning. Med større kreativitet ville det vaert mulig å gjennomføre GDPR, styrke personvernet og samtidig gitt viktig forskningen en sjanse.