Artikkel

Bruk av helseopplysninger til forskningsformål

Deloitte Advokatfirma

Planlegger du bruk av helseopplysninger til forsknings- eller innovasjonsformål under COVID-19? Det europeiske personvernrådet har utarbeidet en ny veileder om bruk av helseopplysninger til forskningsformål i forbindelse med COVID-19.

Tirsdag 21. april vedtok det europeiske Personvernrådet (EDPB) en ny veileder om behandling av helseopplysninger til forskningsformål i forbindelse med COVID-19-pandemien. Veilederen er ment å kaste lys over de mest presserende spørsmålene ved bruk av helseopplysninger til forskningsformål under pandemien, men vil også være relevant for bruk av helseopplysninger til innovasjonsformål.

Bakgrunnen for veilederen er at koronautbruddet har ført til oppstart av en rekke forskningsprosjekter for blant annet å utvikle en vaksine og andre tiltak i kampen mot COVID-19. Det er ønskelig å presentere forskningsresultater raskest mulig for å kunne bekjempe og begrense utbruddet. Samtidig pågår det flere innovasjonsprosjekter utover tradisjonell forskning med lignende formål, som også krever behandling av helseopplysninger. I Deloitte Advokatfirma er vår erfaring at flere aktører ønsker vår bistand og veiledning i forbindelse med utvikling av apper og digitale verktøy som på ulike måter skal bidra til å bekjempe og begrense smitte.

Selv om EDPBs veileder først og fremst tar sikte på de mest presserende juridiske problemstillingene ved behandling av helseopplysninger for vitenskapelig formål, vil veiledningen også ha overføringsverdi for bruk av helseopplysninger til innovasjonsformål. Felles for begge tilfellene er viktigheten av rettslig grunnlag for behandlingen av helseopplysninger, implementering av tilstrekkelige sikkerhetstiltak samt utøvelsen av de registrertes rettigheter. Videre adresserer veilederen spørsmål knyttet til overføring av helseopplysninger til tredjeparter og internasjonalt.

Vi vil i det følgende oppsummere hovedpunktene fra veilederen:

  • Personvernforordningens regler og prinsipper gjelder også for bruk av helseopplysninger for å kunne bekjempe COVID-19. Dette inkluderer særbestemmelsene i personopplysningsloven §§ 8 og 9, samt personvernforordningen artikkel 89 for behandling av helseopplysninger til vitenskapelig formål.
  • Definisjonen av helseopplysninger gjelder fremdeles. Med «helseopplysninger» menes personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand (GDPR artikkel 4 nr. 15). Det betyr at også opplysninger som indirekte kan si noe en persons helse er omfattet.
  • Behandlingsgrunnlag. Veilederen trekker særlig frem bruk av samtykke og lovregulert rett som aktuelle behandlingsgrunnlag for forskningsformål. For innovasjonsformål, vil særlig samtykke være det relevante behandlingsgrunnlaget. 
  • Helseopplysninger til primær- og sekundærbruk. EDPB skiller mellom innhenting av helseopplysninger for forskningsformål (primærbruk), og bruk av opplysningene til andre formål, for eksempel videre forskning eller innovasjon (sekundærbruk). Denne distinksjonen vil være særlig viktig når det gjelder behandlingsgrunnlag, informasjon og formålsbegrensning. 
  • Prinsippene i GDPR artikkel 5 om åpenhet, informasjon, formålsbegrensning, dataminimering og lagringsbegrensning, integritet og konfidensialitet må overholdes. Dette innebærer at man må gi tilstrekkelig og åpen informasjon til de registrerte, ha definerte og klare formål for behandlingen, dataminimering i form av pseudonymiserte og anonymiserte data må vurderes, lagringsperioder må være definerte og proporsjonale, samt prinsippene om integritet og konfidensialitet må overholdes i form av egnede organisatoriske og tekniske sikkerhetstiltak. Prinsippenes gjennomføring må vurderes i forhold til prosjektets omfang, lengde og formål. 
  • Egnede og organisatoriske sikkerhetstiltak må være på plass. EDPB fremhever at tiltakene bør som minimum innebære pseudonymisering, kryptering, avtaler om taushetsplikt og strengere styring av rollefordeling, i tillegg til loggføring. 
  • Det må vurderes om DPIA skal gjennomføres. GDPR artikkel 35 oppstiller krav til når en DPIA må gjennomføres og EDPB oppfordrer særlig til vurdering av dette ved forskningsprosjekter. 
  • Overføring av helseopplysninger til tredjeland. Forskningsdata kan overføres til land utenfor EU/EØS (tredjeland) i den grad slik overføring er forenlig med kapittel V i GDPR. EDPB uttalte at i mangel av tilstrekkelig beslutningsnivå etter artikkel 45 nr. 3 eller nødvendige garantier etter artikkel 46, kan unntakene i de «særlige situasjonene» listet opp i artikkel 49 komme til anvendelse.

I tillegg til veilederen om bruk av helseopplysninger har EDPB vedtatt en veileder om bruk av lokasjonsdata og sporingsverktøy i forbindelse med å begrense COVID-19. Et eksempel på slik bruk er den mye omtalte appen til FHI («Smittestopp») som gjennom innsamling av lokasjonsdata, har til formål å hjelpe helsemyndighetene å begrense spredningen av COVID-19. Datatilsynet har opplyst at de har fått mange spørsmål om denne appen, bl.a. dens formål og nytte, og varsler at de vil føre kontroll med «Smittestopp».

Veiledningene kan i sin helhet leses her for bruk av helseopplysninger til forskningsformål og her for bruk av lokasjonsdata og sporingsverktøy .
 

Samleside: Koronavirus (COVID-19)

På denne siden vil du finne informasjon som omhandler koronaviruset COVID-19, og påvirkningen det har på bedrifter. Vi oppdaterer siden med nye artikler etter hvert som de blir publisert.

Les mer her
Var denne siden nyttig?