Artikkel

Bruk av helseopplysninger til forskningsformål

Deloitte Advokatfirma

Planlegger du bruk av helseopplysninger til forsknings- eller innovasjonsformål? Det europeiske personvernrådet har utarbeidet en veiledning.

I april 2020 vedtok det europeiske Personvernrådet (EDPB) en ny veileder om behandling av helseopplysninger til forskningsformål. Veilederen er ment å kaste lys over de mest presserende spørsmålene ved bruk av helseopplysninger til forsknings- og innovasjonsformål.

Bakgrunnen for veilederen var at koronautbruddet i 2020 førte til oppstart av en rekke forskningsprosjekter for blant annet å utvikle en vaksine og andre tiltak i kampen mot viruset. Det var ønskelig å presentere forskningsresultater raskest mulig for å kunne bekjempe og begrense utbruddet. Samtidig pågår det flere innovasjonsprosjekter utover tradisjonell forskning med lignende formål, som også krever behandling av helseopplysninger.

Selv om EDPB sin veileder først og fremst tar sikte på de mest presserende juridiske problemstillingene ved behandling av helseopplysninger for vitenskapelig formål, vil veiledningen også ha overføringsverdi for bruk av helseopplysninger til innovasjonsformål. Felles for begge tilfellene er viktigheten av rettslig grunnlag for behandlingen av helseopplysninger, implementering av tilstrekkelige sikkerhetstiltak samt utøvelsen av de registrertes rettigheter. Videre adresserer veilederen spørsmål knyttet til overføring av helseopplysninger til tredjeparter og internasjonalt.

Vi vil i det følgende oppsummere hovedpunktene fra veilederen:

  • Personvernforordningens regler og prinsipper er gjeldende. Dette inkluderer særbestemmelsene i personopplysningsloven §§ 8 og 9, samt personvernforordningen artikkel 89 for behandling av helseopplysninger til vitenskapelig formål.     
  • Definisjonen av helseopplysninger gjelder fremdeles. Med «helseopplysninger» menes personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand (GDPR artikkel 4 nr. 15). Det betyr at også opplysninger som indirekte kan si noe en persons helse er omfattet.
  • Behandlingsgrunnlag. Veilederen trekker særlig frem bruk av samtykke og lovregulert rett som aktuelle behandlingsgrunnlag for forskningsformål. For innovasjonsformål, vil særlig samtykke være det relevante behandlingsgrunnlaget. 
  • Helseopplysninger til primær- og sekundærbruk. EDPB skiller mellom innhenting av helseopplysninger for forskningsformål (primærbruk), og bruk av opplysningene til andre formål, for eksempel videre forskning eller innovasjon (sekundærbruk). Denne distinksjonen vil være særlig viktig når det gjelder behandlingsgrunnlag, informasjon og formålsbegrensning. 
  • Prinsippene i GDPR artikkel 5 om åpenhet, informasjon, formålsbegrensning, dataminimering og lagringsbegrensning, integritet og konfidensialitet må overholdes. Dette innebærer at man må gi tilstrekkelig og åpen informasjon til de registrerte, ha definerte og klare formål for behandlingen, dataminimering i form av pseudonymiserte og anonymiserte data må vurderes, lagringsperioder må være definerte og proporsjonale, samt prinsippene om integritet og konfidensialitet må overholdes i form av egnede organisatoriske og tekniske sikkerhetstiltak. Prinsippenes gjennomføring må vurderes i forhold til prosjektets omfang, lengde og formål. 
  • Egnede og organisatoriske sikkerhetstiltak må være på plass. EDPB fremhever at tiltakene bør som minimum innebære pseudonymisering, kryptering, avtaler om taushetsplikt og strengere styring av rollefordeling, i tillegg til loggføring. 
  • Det må vurderes om DPIA skal gjennomføres. GDPR artikkel 35 oppstiller krav til når en DPIA må gjennomføres og EDPB oppfordrer særlig til vurdering av dette ved forskningsprosjekter. 
  • Overføring av helseopplysninger til tredjeland. Forskningsdata kan overføres til land utenfor EU/EØS (tredjeland) i den grad slik overføring er forenlig med kapittel V i GDPR. EDPB uttalte at i mangel av tilstrekkelig beslutningsnivå etter artikkel 45 nr. 3 eller nødvendige garantier etter artikkel 46, kan unntakene i de «særlige situasjonene» listet opp i artikkel 49 komme til anvendelse.

Veiledningene kan i sin helhet leses her for bruk av helseopplysninger til forskningsformål og her for bruk av lokasjonsdata og sporingsverktøy .

Deloitte Advokatfirma

Les flere fagartikler fra Deloitte Advokatfirma.

Les mer her
Var denne siden nyttig?