Debatt

Forskningen vil lide under nytt EU-lovverk | Anne Johanne Søgaard

  • Anne Johanne Søgaard
    Tidligere professor Universitetet i Oslo og Universitetet i Tromsø

Nye datasikkerhetsregler i EU gjøres til norsk lov. Det vil føre til mer byråkrati og problemer for forskningen, mener innleggsforfatteren. Foto: Shutterstock / NTB scanpix

Den nye Personopplysningsloven vil bygge opp et meningsløst byråkrati og medføre store problemer for viktig vitenskapelig forskning.

Debatt
Dette er et debattinnlegg. Meninger i teksten står for skribentens regning.

Økt offentlig effektivitet og mindre byråkrati har vært en av Regjeringens kjernesaker de siste årene. Begrunnelsen er, ifølge finansministeren, at Regjeringen ønsker å «forvalte skattebetalernes penger med respekt og motarbeide sløsing med offentlige midler» (Dagsavisen, 24. november 2017).

På denne bakgrunn er det oppsiktsvekkende at Norge er i ferd med å gjennomføre en ny EU-forordning som vil virke i stikk motsatt retning – den vil føre til mer byråkrati og flere saksbehandlere.

I sitt forslag til ny Personopplysningslov som ble lagt frem like før påske, foreslår Justis- og beredskapsdepartementet at forordningen gjøres gjeldende som norsk lov uten omskrivninger. Mange av høringsinstansene har pekt på manglende konsekvensutredning – og advart mot store økte utgifter. Er Regjeringen virkelig klar over følgene av dette lovforslaget?

  • Les hva Datatilsynet skriver om de nye personvernreglene.

Forhåndsgodkjenning faller bort

EU’s forordning (General Data Protection Regulations – GDPR) går ut på å styrke den enkeltes personvern og samtidig overlate alt ansvar for å håndheve personvernlovgivningen til den enkelte virksomhet. All forhåndsgodkjenning fra Datatilsynet (DT) faller bort. Alle institusjoner som behandler persondata, må derfor «stabe opp» med juridisk kompetanse for å møte GDPR, og større virksomheter må ha et eget personvernombud. Overtredelse vil kunne få store konsekvenser – f.eks. med bøter på opptil 20 millioner euro.

Konkret betyr dette at institusjoner som for eksempel forvalter helseregistre, må bygge opp egen ekspertise for å vurdere søknader om utlevering av person- og helsedata. Hver institusjon må selv tolke lover og forskrifter, og selv vurdere søkeres kompetanse og sikkerhetsregime. For å være på den sikre siden, vil institusjonene som forvalter helsedata, gjennomgå alle tenkelige og utenkelige konsekvenser for å unngå å gjøre en eller annen feil.

Må vurderes av egen virksomhet

Når det gjelder helseforskning er det i dag ett organ som vurderer opprettelsen av helseregistre (Datatilsynet – DT) og et annet som godkjenner forskningsprosjekter (Regionale etiske komiteer – REK).

I fremtiden skal all forhåndsgodkjenning fra DT falle bort, og REK skal bare vurdere etiske forhold ved forskningen. I praksis vil det si at enhver søknad om et forskningsprosjekt må vurderes inngående av egen virksomhet og av REK. Men dersom forskeren ønsker å sette sammen opplysninger fra flere kilder, må hver av dataeierne gjøre denne lovgjennomgangen som DT gjør i dag. Datatilsynet skal bare gi råd og føre kontroll i ettertid.

Et tenkt eksempel: En forskergruppe ønsker å finne årsaken(e) til multippel sklerose (MS) – en fryktet sykdom uten kjent årsak og med få behandlingsmuligheter. De søker for eksempel om å få sette sammen opplysninger fra Norsk pasientregister, Statistisk sentralbyrå, Reseptregisteret og data fra store befolkningsundersøkelser. I dag søker forskerne Datatilsynet og/eller REK, og benytter en tillatelse herfra som «rettslig grunnlag» når de ber om å få låne data fra det enkelte register.

Fare for forskjellsbehandling

I fremtiden må forskerne først søke REK, og senere søke hver enkelt dataeier om å få tilgang til data, men fortolkningen av lovverket – som før ble gjort av Datatilsynet, skal nå gjøres av hver enkelt registereier. Hver av disse må gjøre sine egne juridiske vurderinger og konsekvensutredninger, og selv være garantister for «riktig» lovtolkning for alt som leveres ut av data.

Dette vil ta tid og faren for forskjellsbehandling er meget stor. Så vidt vi kan se, er det ikke noen klageinstans. Hvis én institusjon sier nei, stopper prosjektet opp – og det blir ingen forskning på årsakene til MS.

Meningsløst byråkrati

EU’s forordning åpner for at medlemslandene kan gjøre visse nasjonale tilpasninger. I eksempelet over, ville man for eksempel kunnet beholde ordningen med forhåndsgodkjenning fra DT, men dette er ikke foreslått.

Den nye Personopplysningsloven vil, i tillegg til å bygge opp et meningsløst byråkrati, også medføre store problemer for viktig vitenskapelig forskning. Med større kreativitet ville det vært mulig å gjennomføre GDPR, styrke personvernet og samtidig gitt viktig forskningen en sjanse.

Følg og delta i debattene hos Aftenposten meninger på Facebook og Twitter.

Les mer om

  1. Personvern
  2. Datatilsynet
  3. Data
  4. Forskning og vitenskap

Relevante artikler

  1. KULTUR
    Publisert:

    E-postkassen fylles opp av personvernmail. Dette bør du gjøre.

  2. DEBATT
    Publisert:

    Sykehuset ivaretar både pasientsikkerhet og personvern

  3. DEBATT
    Publisert:

    Den vanskelige rollen som personvernombud

  4. KULTUR
    Publisert:

    Norske brukere stenges ute fra flere amerikanske nettsider

  5. NORGE
    Publisert:

    – Det flommer over av eposter med tilbud

  6. DEBATT
    Publisert:

    Europa innfører nye personvernregler. Vi må hindre at viktige deler av nasjonens hukommelse går tapt | Inga Bolstad