Inger Hjørdis Bleskestad og Geir Sverre Braut (1) synes å mene at arbeidet til Næs, Halsteinli og Seternes om behandling av åreknuter (2) mangler behandlingsgrunnlag. Det er flere sider ved Bleskestad og Brauts redegjørelse som kan være tvilsomme.
Jeg finner ikke begrunnelsen for å hevde at Helseforskningsloven ikke kommer til anvendelse for de studier som REK/NEM mener faller utenfor deres mandat. Bleskestad og Braut må kunne vise til lovverket for å begrunne sin påstand.
Mange lover kommer til anvendelse for å vurdere lovligheten av å anvende persondata i forsking. De viktigst er Personvernloven, Helseforskningsloven og Helseregisterloven samt EU-direktivet, benevnt «General Data Protection Regulation» (GDPR), som defineres som norsk lov. Bleskestad og Braut viser til Datatilsynets orientering om Personvernloven og GDPR (3), denne er neppe tilfredsstillende for vårt bruk. Vi må basere oss på lovene og GDPR, ikke på forskjellige orienteringer og fortolkninger som foreligger. De kan være mangelfulle.
Det er en uoverensstemmelse mellom GDPR og Personvernloven når det gjelder plikt til å rådføre seg med personvernet ved bruk av «særlige kategorier av personopplysninger». GDPR anbefaler at forskeren selv vurderer behovet for å innhente slike råd. Dessuten, både loven og GDPR påpeker at hvis personvern er ivaretatt på andre måter, er rådføring med personvernet unødvendig. Sannsynligvis gir taushetsplikt og ivaretagelse av konfidensialitet et nødvendig personvern.
«Helse» tilhører altså en «særlig kategori personopplysning». Verken loven eller GDPR gir en begrunnelse for denne kategorien, det gis bare en oppramsing av datatyper. «Særlige personopplysninger» synes imidlertid å bestå av opplysninger som kan påvirke rettigheter, friheter og muligheter i det sivile samfunnet; for eksempel opplysninger om kompetanse, politiske og religiøse oppfatninger samt seksuell legning; og det påpekes spesielt aktpågivenhet hvis slike opplysninger bearbeides av banker, forsikringsselskaper og arbeidsgivere. Helse er altså med på denne oppramsingen, men hva begrepet innebærer er uklart. Helseopplysninger kan være av typen «god eller dårlig helse» eller «kronisk sykdom» eller en diagnose; altså data som personer selv kan, og noen ganger må, opplyse om, for eksempel til forsikringsselskaper. Medisinske faglige data kan imidlertid tilhøre en helt annen kategori og vil oftest kun si noe om «helse» når de håndteres av en medisinsk fagperson.
GDPR åpner for unntak, eller rettere sagt lettelser fra de generelle personvernregler når data benyttes i forskning. Et forarbeide til EU-forordningen påpeker spesielt viktigheten av å kunne utføre registerforskning (4). Kravet for å anvende nevnte lettelser er at forskningen kan forventes å ha en nytteverdi som overstiger eventuelle personlige ulemper (risiko for brudd på konfidensialitet). Dette krever en avveining som både lovene og GDPR forutsetter blir utført av NEM/REK. Dette krever komiteer som, ikke vurderer etikk, men forskningens nytteverdi og kvalitet. At slik vurdering overlates til personverninstitusjonen, som oftest verken har spesiell medisinsk, forskningsteknisk eller juridisk kompetanse, er neppe verken lovens eller GDPRs intensjon.
Litteratur:
1 Bleskestad IH, Braut GS. Informasjon om behandlingsgrunnlaget etterlyses. Tidsskr Nor Legeforen 2019, doi: 10.4045/tidsskr.19.0274
2 Næs AKL, Halsteinli V, Seternes A. Vanndampbehandling versus stripping av vena saphena magna ved åreknuter. Tidsskr Nor Legeforen 2019, doi: 10.4045/tidsskr.18.0525
3: Datatilsynet. Behandlingsgrunnlag. https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/veileder-om-b...
4: Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske pesoner i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF. Tilgjengelig fra https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*