Bleskestad og Brauts kommentarer (1) kan forankre feilaktige oppfatninger.
Loven om persondata og EU-forordningen (GDPR) setter strenge krav til bearbeiding av persondata, men inneholder også regler om lemping på de generelle kravene når data bearbeides i forskning, forutsatt at prosjektet er være forhåndsgodkjent. Problemet oppstår ved den praksis som REK/NEM følger. For å løse den floken, som har eksitert før GDPR, har ”The International Epidemiological Association” forelsått at "some epidemiologic research to be removed from ethics committees and instead be approved by people versed in data protection" (2).
S. Simonsen (3), støtter ikke Bleskestad og Brauts oppfatning, derimot påpekes at skillet mellom forskning og kvalitetssikring er uklar og at «ved tvil om et prosjekt skal behandles av REK eller ikke bør dessuten virksomheten anses som helseforskning som faller inn under helseforskningsloven og som skal behandles av REK.»
Videre påpekes at REK ikke fritt kan tolke helseforskningsloven som de vil. Lovfortolkningen bør derfor overlates til kompetente organer, som er domstolene. I alt for liten grad blir slike spørsmål avgjort rettslig adekvat, noe ikke minst Befring (4) synes å påpeke.
Hensiktene med helseforskningsloven var å unngå et fragmentert og komplisert regelverk: «Vi utarbeidet derfor et utkast til én lov som ville dekke hele feltet medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale og helseopplysninger: helseforskningsloven.» (3). En sak, omtalt i Tidsskiftet, (5) viser at den praksis REK/NEM følger kan være i strid med helseforskningslovens intensjoner.
Boken (3) er ikke oppdatert på den nye loven om behandling av persondata eller på GDPR, en derfor se hen til loven og GDPR. Bleskestad og Braut (REF) viser til paragraf 10 i loven om bearbeiding av personopplysninger når de hever at det er en eksplisitt rådføringsplikt med personverninstitusjonen. Paragraf 10 baseres på den foregående paragrafen, paragraf 9 som sier: «Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.»
Vern av personopplysninger i forskning må ivaretas av institusjoner med høy juridisk, medisinsk, forskningsteknisk og datateknisk kompetanse. Personvernet har i dag ikke denne kompetansen, heller ikke Datatilsynet, kanskje heller ikke etikkomiteer.
Referanser:
1 Bleskestad IH, Braut GS. Rådføringsplikt kan ikke fortolkes bort! https://tidsskriftet.no/2019/06/kommentar/radforingsplikten-kan-ikke-for...
2 IEA. Good epidemiological practice (GEP) conduct in epidemiologic research. [Online].2007 January 9 [cited 2007 July 10]. Available from: http://www.dundee.ac.uk/iea/GEP07.htm.
3 Simonsen S. Helseforskningsloven med kommentarer. Oslo: Gyldendal Juridisk, 2014.
4 Befring AK. Misforståelser om GDPR og risikoen for vridningseffekter. Dagens Medisin blogg14.12.2018. https://www.dagensmedisin.no/blogger/anne-kjersti-befring/2018/12/14/mis... (27.1.2019).
5 Nielssen BE. Melding fra en amatørartikkelforfatter. Tidsskr Nor Legeforen 2018; 138. doi: 10.4045/tidsskr.18.0762.