Artikkel

Bruk av helseopplysninger til forskningsformål

Deloitte Advokatfirma

Planlegger du bruk av helseopplysninger til forsknings- eller innovasjonsformål? Det europeiske personvernrådet har utarbeidet en veiledning.

Publisert: 4. mai 2020

I april 2020 vedtok det europeiske Personvernrådet (EDPB) en ny veileder om behandling av helseopplysninger til forskningsformål. Veilederen er ment å kaste lys over de mest presserende spørsmålene ved bruk av helseopplysninger til forsknings- og innovasjonsformål.

Bakgrunnen for veilederen var at koronautbruddet i 2020 førte til oppstart av en rekke forskningsprosjekter for blant annet å utvikle en vaksine og andre tiltak i kampen mot viruset. Det var ønskelig å presentere forskningsresultater raskest mulig for å kunne bekjempe og begrense utbruddet. Samtidig pågår det flere innovasjonsprosjekter utover tradisjonell forskning med lignende formål, som også krever behandling av helseopplysninger.

Selv om EDPB sin veileder først og fremst tar sikte på de mest presserende juridiske problemstillingene ved behandling av helseopplysninger for vitenskapelig formål, vil veiledningen også ha overføringsverdi for bruk av helseopplysninger til innovasjonsformål. Felles for begge tilfellene er viktigheten av rettslig grunnlag for behandlingen av helseopplysninger, implementering av tilstrekkelige sikkerhetstiltak samt utøvelsen av de registrertes rettigheter. Videre adresserer veilederen spørsmål knyttet til overføring av helseopplysninger til tredjeparter og internasjonalt.

Vi vil i det følgende oppsummere hovedpunktene fra veilederen:

Personvernforordningens regler og prinsipper er gjeldende. Dette inkluderer særbestemmelsene i personopplysningsloven §§ 8 og 9, samt personvernforordningen artikkel 89 for behandling av helseopplysninger til vitenskapelig formål.
Definisjonen av helseopplysninger gjelder fremdeles. Med «helseopplysninger» menes personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand (GDPR artikkel 4 nr. 15). Det betyr at også opplysninger som indirekte kan si noe en persons helse er omfattet.
Behandlingsgrunnlag. Veilederen trekker særlig frem bruk av samtykke og lovregulert rett som aktuelle behandlingsgrunnlag for forskningsformål. For innovasjonsformål, vil særlig samtykke være det relevante behandlingsgrunnlaget.
Helseopplysninger til primær- og sekundærbruk. EDPB skiller mellom innhenting av helseopplysninger for forskningsformål (primærbruk), og bruk av opplysningene til andre formål, for eksempel videre forskning eller innovasjon (sekundærbruk). Denne distinksjonen vil være særlig viktig når det gjelder behandlingsgrunnlag, informasjon og formålsbegrensning.
Prinsippene i GDPR artikkel 5 om åpenhet, informasjon, formålsbegrensning, dataminimering og lagringsbegrensning, integritet og konfidensialitet må overholdes. Dette innebærer at man må gi tilstrekkelig og åpen informasjon til de registrerte, ha definerte og klare formål for behandlingen, dataminimering i form av pseudonymiserte og anonymiserte data må vurderes, lagringsperioder må være definerte og proporsjonale, samt prinsippene om integritet og konfidensialitet må overholdes i form av egnede organisatoriske og tekniske sikkerhetstiltak. Prinsippenes gjennomføring må vurderes i forhold til prosjektets omfang, lengde og formål.
Egnede og organisatoriske sikkerhetstiltak må være på plass. EDPB fremhever at tiltakene bør som minimum innebære pseudonymisering, kryptering, avtaler om taushetsplikt og strengere styring av rollefordeling, i tillegg til loggføring.
Det må vurderes om DPIA skal gjennomføres. GDPR artikkel 35 oppstiller krav til når en DPIA må gjennomføres og EDPB oppfordrer særlig til vurdering av dette ved forskningsprosjekter.
Overføring av helseopplysninger til tredjeland. Forskningsdata kan overføres til land utenfor EU/EØS (tredjeland) i den grad slik overføring er forenlig med kapittel V i GDPR. EDPB uttalte at i mangel av tilstrekkelig beslutningsnivå etter artikkel 45 nr. 3 eller nødvendige garantier etter artikkel 46, kan unntakene i de «særlige situasjonene» listet opp i artikkel 49 komme til anvendelse.

Les veiledningene i sin helhet:

Veiledning for bruk av helseopplysninger til forskningsformål

Veiledning ved bruk av lokasjonsdata og sporingsverktøy

Tjenester: Personvern, IT-rett og IPR

Kontakt oss

Bjørn Ofstad

Partner | Advokat

bofstad@deloitte.no

+47 928 00 216

Bjørn er partner og advokat og leder Deloitte Advokatfirmas Technology Law team som levere tjenester innenfor fagområdene personvern, IP, IT og AI. Bjørn har jobbet med personvern siden 2005 og bistår... Mer

Hanne Pernille Gulbrandsen

Partner | Advokat

hgulbrandsen@deloitte.no

+47 402 81 558

Hanne er partner i Deloitte Advokatfirma og leder våre tjenester rettet mot offentlig sektor. Hun er advokat med en LLM i European law og arbeider primært med rådgivning innen personvern og informasjo... Mer

Robin Welhaven Føyen

Senior Manager | Advokatfullmektig

rfoyen@deloitte.no

+47 991 25 244

Robin er senior manager og advokatfullmektig i Deloitte Advokatfirma og jobber primært med rådgiving innen IT-, teknologi-, immaterial- og personvernrett.... Mer

Audit & Assurance

Consulting

Financial Advisory

Risk Advisory

Deloitte Advokatfirma

Klima og bærekraft

Teknologi og transformasjon

CFO Services

Consumer

Energi, ressurser og industri

Financial Services

Offentlig sektor

Helse

Teknologi, media og telekom

Privateide selskaper

Eiendom

Jobb i Deloitte

Ledige stillinger

Fagartikler

Seminar og events

Bruk av helseopplysninger til forskningsformål

Deloitte Advokatfirma

Kontakt oss

Bjørn Ofstad

Partner | Advokat

Hanne Pernille Gulbrandsen

Partner | Advokat

Robin Welhaven Føyen

Senior Manager | Advokatfullmektig

Forslag