Svar til UFM vedr. persondataloven

Uddannelses- og Forskningsministeriet har bedt KOR om at rådgive ministeriet om, hvilke udfordringer registerforskerne ser i den nuværende persondatalovgivning.

Overordnet er KOR tilfredse med teksten i den gældende persondatalov. De reelle problemer for forskere relaterer sig i hovedsagen til, hvordan teksten fortolkes af de dataansvarlige myndigheder, der indsamler og udleverer data. På den baggrund ønsker KOR, at de brede formuleringer i lovgivningen fastholdes, så den praktiske udmøntning af adgangen til data foregår i dialog med relevante dataansvarlige myndigheder, og imødekommer forskningens behov.

  • 10 Oplysninger som nævnt i § 7, stk. 1, eller § 8 må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.

KOR har ingen ønsker om ændringer af den gældende formulering.

  • 5 Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Paragraffen går under begrebet ”need-to-know-princippet” i forskermiljøerne, og den fortolkes i praksis således, at en forsker skal kunne redegøre for formålet med at behandle hver af de enkelte variable i forhold til beskrivelsen af forskningsprojektets formål. Det er i praksis den dataansvarlige myndighed, der vurderer, om en forsker kan få lov at anvende en given variabel i sit forskningsprojekt, under iagttagelse af at need-to-know-princippet overholdes.

De dataansvarlige myndigheders løse afvejning mellem ”tilstrækkeligt og relevant” over for ”ikke mere end der kræves” giver ofte anledning til diskussioner mellem den dataansvarlige myndighed og den databehandlende forsker i forhold til hvilke data, der må udleveres, og i mange tilfælde oplever forskerne, at myndigheden ikke har den nødvendige indsigt i forskningsspørgsmålene til at kunne træffe en fagligt funderet afgørelse.

I Danmarks Statistik oplever KOR fx en forholdsvis fleksibel administration af de nuværende bestemmelser i persondataloven. Men der har også været perioder tilbage i tid, hvor sagsbehandlerne er gået meget i detaljen med, om en given variabel var nødvendigt for et forskningsprojekt eller ej. Fra KORs side problematiserede vi over for DST, at sagsbehandlere gik unødvendigt meget i detaljen i forhold til, hvad der var nødvendige variabler i forhold til gennemførelsen af et forskningsprojekt, og med tiden blev praksis ændret, så der nu opleves en tilfredsstillende balance.

Omvendt oplever KOR, at Sundhedsdatastyrelsen er blevet meget for restriktive i deres fortolkning af need-to-know-princippet på det sidste. Mange forskere skal argumentere for nødvendigheden af snart sagt hver eneste variabel i forhold til formålet med forskningsprojektet. Det er kilde til forsinkelse, stort tidsforbrug og frustration. Desuden påvirker enhver forsinkelse forskningsinstitutionernes økonomi og muligheden for at opfylde aftalte tidsfrister, hvilket er helt centralt, når registeranalyser også skal anvendes i praksis fx som input til lovgivning.

Principielt set ville det være godt, hvis lovgivningen kunne forhindre, at de dataansvarlige myndigheders administration af need-to-know-princippet blev for stram i forhold til hensigten med lovgivningen. KOR vurderer dog ikke, at det vil være muligt juridisk set at definere, hvordan need-to-know-princippet skal praktiseres. KOR anbefaler derfor, at der fortsat, som i den gældende persondatalov er en forholdsvis løs formulering af need-to-know princippet.

Der kan dog være et potentielt problem i, at det er uklart, hvordan uoverensstemmelser mellem databehandler og dataansvarlig myndighed skal håndteres. Det kunne være en mulighed at etablere en klagemulighed for de afgørelser, der træffes af dataansvarlige myndigheder vedr. administrering af need-to-know-princippet.

Need-to-know-princippets begrænsninger

Need-to-know-princippet forudsætter at forskeren kender alle potentielt relevante variabler allerede inden forskningsprojektet påbegyndes og dokumenteres i formålsbeskrivelsen. Men i praksis vil der ofte opstå nye erkendelser i forskningsprocessen, der medfører behov for inddragelse af yderligere variabler. Dette karakteriserer forskning på internationalt niveau.

Need to know-princippet passer bedst til deduktive (hypotesedrevne) forskningsmetoder, hvor forskeren på forhånd kan beskrive, hvilke variabler vedkommende skal bruge til at teste sin hypotese (formålet i forskningsprojektet). Det vil sige at forskeren udelukkende kan få adgang til de variable, forskeren på forhånd har en klar forventning om effekt af, men ikke får mulighed for at kontrollere for yderligere faktorer. Dette gør sig også gældende i den del af forskningsprojektet, der knytter sig til en eventuel peer-review proces. Hvis forskeren udelukkende har adgang til de variable, der på forhånd forventes at have effekt på undersøgelsen, vil forskeren ikke have mulighed for at foretage supplerende undersøgelser på baggrund af reviewerens kommentarer. Herved mistes dels de indsigter, som reviewernes højtkvalificerede rådgivning fører til, og dels kan forskningen ikke gøre sig gældende på samme måde i den internationale forskningslitteratur, fordi fleksibiliteten til at reagere på den videnskabelige dialog i reviewprocessen ikke er til stede.

Et andet aspekt er, at i takt med at datamængderne stiger, og der skabes nye analysemetoder, er der en voksende interesse for at anvende induktive forskningsmetoder, hvor forskere leder efter ukendte sammenhænge mellem mange variabler. Dette gælder fx for datamining, som får en større og større plads i international forskning bl.a. gennem internationale forskningsprogrammer (fx i EU) indenfor big data.

En forsker kan fx ønske at undersøge eventuelle årsager eller markører til sygdomsmønstre, uden at have en distinkt forventning om hvilke variable, der påvirker sygdomsmønstret. Dette kan fx gøres ved at undersøge sammenhænge mellem variabler fra mange registre, biobanker etc. Her kan det synes vanskeligt at dokumentere, at behandlingen af oplysningerne holder sig indenfor need-to-know-princippet, da ønsket om behandling af meget brede oplysninger, uden forudindtaget forventning om hvilke oplysninger, der har betydning for sygdomsmønstret, let kan opfattes som om, forskeren ønsker at behandle oplysninger, der ikke er relevante i forhold til formålet. Her vil KOR gøre opmærksom på, at det ikke er i forskernes interesse at få adgang til flere oplysninger end nødvendigt eller at se oplysninger om specifikke personer. Endelig vil KOR påpege, at der ikke findes eksempler på, at forskere har lækket oplysninger eller udnyttet deres adgang til oplysninger om individer til noget ulovligt. De ulovligheder og datalæk, der er forekommet, er alle foregået i driften, ikke i forskningen.

Muligheden for at kontrollere, at også induktive forskningsprojekter tilfredsstiller need-to-know-princippet, kunne løses med en tilføjelse til lovgivningen om, at der skal være nøjere kontrol med, at projekterne holdes inden for rammerne af det genstadsfelt, der skitseret i formålsbeskrivelsen, hvis der er tale om meget brede formålsbeskrivelser og behandling af mange oplysninger. Det kan givetvis også klares med en særskilt anmeldelsesprocedure ved Datatilsynet, der tager hensyn til dette.

Persondataloven vs. sundhedsloven

I relation til problematikken om persondataloven, vil KOR gøre opmærksom på, at forskerne har vanskeligt ved at få adgang til data fra patientjournalerne, der reguleres af sundhedsloven, mens adgangen til registrene reguleres af persondataloven. Forskerne har ofte behov for adgang til oplysninger fra både patientjournaler og registre i de konkrete forskningsprojekter.

Problemet er, at hvis en forsker har fået tilladelse fra den videnskabsetiske komite til at anvende data fra patientjournaler, så er det ifølge sundhedsloven stadig kun den ansvarlige hospitalsafdeling, der kan videregive data fra patientjournalerne. Men i praksis har de færreste hospitalsafdelinger tid eller kompetence til at videregive oplysninger på baggrund af journalgennemgang, og det kan være et meget stort arbejde, at indhente oplysninger fra flere forskellige afdelinger.

Der er talrige eksempler på meget væsentlige forskningsprojekter, der ikke bliver til noget, fordi forskere ikke kan få udleveret data fra patientjournalerne.