Unik kunskap genom registerforskning (SOU

Yttrande
Diarienr
2015-02-06
2469-2014
Ert diarienr
U2014/4224/F
Utbildningsdepartementet
103 33 Stockholm
Unik kunskap genom registerforskning
(SOU 2014:45)
Sammanfattning
Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift
att verka för att människor skyddas mot att deras personliga integritet kränks
genom behandling av personuppgifter.
Datainspektionen avstyrker förslaget till lag om forskningsdatabaser i sin
nuvarande utformning eftersom förslaget inte är förenligt med 2 kap. 6 §
andra stycket regeringsformen. Förslaget riskerar att leda till betydande
integritetsintrång genom att tillåta omfattande insamling av personuppgifter
utan att ändamålen är tillräckligt specificerade och utan att kräva
integritetsskyddande åtgärder som uppväger integritetsintrånget.
Datainspektionen avstyrker förslaget till lag om ändring av 16 § lagen
(2001:99) om den officiella statistiken. Datainspektionen anser att det saknas
grund för att regelmässigt bevara kodnycklar i 20 år.
Datainspektionen anser att konsekvenserna av förslaget till ändring av 5 a §
lagen (2003:460) om etikprövning av forskning som avser människor behöver
utredas och analyseras vidare.
Datainspektionen avstyrker 4 § första stycket, 5 § första och tredje styckena
samt 8 § punkten 7 i förslaget till lag om Nationella biobanksregistret.
Datainspektionen anser vidare att lagförslaget i sin helhet är i behov av
fortsatt utredning för att säkerställa enskildas rätt till grundläggande behov av
skydd för den personliga integriteten.
Postadress: Box 8114, 104 20 Stockholm
Webbplats: www.datainspektionen.se
E-post: datainspektionen@datainspektionen.se
Telefon: 08-657 61 00
1 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Datainspektionen ifrågasätter utredningens uppfattning att uppgifter som
lämnas ut med förbehåll till privata aktörer åtnjuter samma skyddsnivå som
uppgifter som lämnats ut till en aktör som omfattas av bestämmelserna i
lagen (2009:400) om offentlighet och sekretess. Det behövs därför i det
fortsatta lagstiftningsarbetet en djupare en analys av hur uppgifterna ska
bibehålla motsvarande skydd hos de privata aktörerna.
Datainspektionens granskning av förslaget
Med anledning av betänkandets omfång och antalet frågor som behandlas har
Datainspektionen valt att begränsa sitt yttrande till de frågor som är av
väsentlig betydelse för den enskildes personliga integritet.
Efter det inledande avsnittet i yttrandet följer kommentarer på förslaget till
lag om forskningsdatabaser i de för inspektionen relevanta bestämmelserna.
Därefter kommenteras övriga ändringsförslag i förhållande till respektive lag
samt de för inspektionen relevanta bestämmelserna i förslaget till lag om
Nationella biobanksregistret.
Inledande synpunkter
Allmänt om förslagen
Gemensamt för förslagen om forskningsdatabaser och Nationella
biobanksregistret är att det kommer att påverka en stor del av Sveriges
befolkning. Förslaget om lagreglering av forskningsdatabaser innebär att alla
typer av personuppgifter kommer att kunna samlas in för forskningsändamål
som inte är tydligt avgränsade eller specificerade. Det möjliggör en närgången
kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria,
arbetsliv, brottsuppgifter m.m. Även det tänkta Nationella biobanksregistret
öppnar upp för en närgången kartläggning av enskildas hälsoprofiler genom
insamling av uppgifter av mycket känslig karaktär. Båda förslagen innehåller
bestämmelser som möjliggör insamling av en omfattande mängd
personuppgifter utan att den enskilde har rätt att lämna sitt samtycke eller att
ens få information om behandlingen. De uppgifter som samlas in kommer
dessutom att kunna bevaras under en mycket lång tid.
I förslaget till lag om forskningsdatabaser saknas integritetsskyddande
bestämmelser som står i proportion till det integritetsintrång den enskilde
utsätts för. För att tillgodose enskildas grundläggande behov av
integritetsskydd vid behandling av uppgifter i en forskningsdatabas måste
2 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
enskilda i vart fall tillförsäkras en rätt att få generell information om
forskningsdatabasernas existens och den personuppgiftsbehandling som
utförs. Enskilda bör också ha en självklar rätt att motsätta sig att hans eller
hennes personuppgifter lagras och behandlas för forskningsändamål i
forskningsdatabaser.
Datainspektionen har i tidigare yttranden ifrågasatt lämpligheten i att
universitet och högskolor ska få föra egna register för befolkningsbaserad
forskning.1 Ett av argumenten är att det finns en risk för att
integritetsskyddsfrågorna inte kommer att tas på tillräckligt allvar när den
ansvarige för personuppgiftsbehandlingen också är den som kan ha direkt
nytta av personuppgiftsbehandlingen i form av forskningsresultat,
anslagsmedel m.m. Datainspektionen vidhåller att dessa uppgiftssamlingar är
av så pass känslig karaktär att de bör förvaltas av någon eller några
myndigheter som inte själva direkt nyttjar uppgifterna.
Enligt förslaget till lag om Nationella biobanksregistret ska registret innehålla
uppgifter om vävnadsprover som provgivare har lämnat under förutsättning
att proverna inte kommer att behandlas för andra ändamål än de som
provgivaren har samtyckt till. Registrering av provgivarens personuppgifter i
det Nationella biobanksregistret omfattas inte av provgivarens samtycke men
kommer trots detta att ske med stöd av lagförslaget. En provgivare som inte
informeras om personuppgiftsbehandlingen kan inte heller utnyttja sin
möjlighet att motsätta sig behandlingen genom s.k. opt-out.
Datainspektionen har tidigare uttalat att det är centralt att det finns tydliga
anvisningar kring informationskravet när lagstiftaren finner skäl att välja en
möjlighet till opt-out istället för att inhämta den enskildes uttryckliga
samtycke.2 Datainspektionen vidhåller denna uppfattning.
Krav vid inskränkningar i det grundläggande skyddet för rätten till privatliv
Skyddet för den enskildes personliga integritet och respekten för privatlivet är
viktiga grundläggande rättigheter som i svensk lag kommer till uttryck i både
2 kap. 6 § regeringsformen och art. 8 Europakonventionen. Bestämmelsen i
Europakonventionen innefattar en skyldighet för det offentliga att avhålla sig
från ingrepp i den enskildes privat– och familjeliv och en offentlig myndighets
1
Se bl.a. Datainspektionens yttrande över Promemoria med utkast till lagrådsremiss
Register för viss forskning, (dnr 156-2013) och inspektionens yttrande över Förslag till
förordning om register för viss befolkningsbaserad forskning (dnr 956-2012)
2
Se Datainspektionens yttrande över En ny biobankslag (SOU 2010:81) (dnr 1939-2010)
3 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
inskränkning av den enskildes rätt får endast ske med stöd av lag. När det
gäller automatiserad behandling av personuppgifter har dessa grundläggande
rättigheter preciserats i det så kallade dataskyddsdirektivet 95/46/EG. Att
integritetsskyddet har sin grund även i dataskyddsdirektivet innebär att de
bestämmelser om behandling av personuppgifter som införs i vår nationella
lagstiftning inte får ge en lägre skyddsnivå än vad direktivet föreskriver.
Slutligen ska även Europeiska unionens stadga om de grundläggande
rättigheterna beaktas.
Myndighetsregister med ett stort antal registrerade och ett integritetskänsligt
innehåll ska regleras särskilt i lag. Enligt 2 kap. 6 § andra stycket
regeringsformen är var och en gentemot det allmänna skyddad mot betydande
intrång i den personliga integriteten, om det sker utan samtycke och innebär
övervakning eller kartläggning av den enskildes personliga förhållanden. En
begränsning av rättigheterna i 2 kap. 6 § andra stycket regeringsformen ska,
för att vara tillåten, stadgas i lag och får inte gå utöver vad som är nödvändigt
med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 §§
regeringsformen. En förutsättning att för att få behandla personuppgifter
automatiserat är därför att det integritetsintrång som behandlingen innebär
för den enskilde har stöd i lag och dessutom är avvägt mot behovet av
behandlingen.
I ett konkret lagstiftningsärende innebär det nyss sagda att det intrång som
sker i den enskildes privata sfär måste vara befogat och inte större än
nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till
förmån för den enskilde vars uppgifter behandlas. För att avgöra om
integritetsskyddet är väl avvägt i förhållande till den planerade
personuppgiftsbehandlingen måste man bland annat ställa nödvändigheten
av behandlingen i proportion till ändamålet med behandlingen samt
omfattningen och känsligheten av de uppgifter som ska behandlas.
När det gäller förslaget om Nationella biobanksregistret är utredarens
uppfattning att den behandling av personuppgifter som sker utan stöd av
samtycke i registret omfattas av integritetsskyddet i 2 kap. 6 §
regeringsformen.3 När det däremot gäller insamling och lagring av
personuppgifter, utan samtycke, i forskningsdatabaser är utredarens
uppfattning att det inte utgör ett sådant intrång i den personliga integriteten
3
Se betänkandet s. 480
4 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
att det kräver en särskild lag för varje forskningsdatabas.4 Datainspektionen
delar inte utredarens bedömning avseende forskningsdatabaser utan vill
tvärtom understryka att effekten av att samla in och lagra ett stort antal
personuppgifter om ett stort antal individer blir att dessa individer utsätts för
en närgången kartläggning. Denna effekt inträder direkt vid insamlingen och
är helt oberoende av syftet med insamlingen och eventuellt efterföljande
behandling. Innebörden av 2 kap. 6 § regeringsformen framgår tydligt av
förarbetena. 5 Eftersom personuppgiftsbehandlingen sker utan samtycke och
utgör ett betydande intrång i den personliga integriteten omfattas den av
integritetsskyddet i 2 kap. 6 § regeringsformen.
Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen innebär alltså att
åtgärder som får sådana effekter som anges i paragrafen får vidtas bara om det
finns föreskrifter i lag som medger det. Det innebär i sin tur att frågor som är
centrala för avvägningen av integritetsintrånget och skyddet för den enskildes
personliga integritet måste regleras i lag. Däremot kan ytterligare precisering
av regleringen ske i förordning.
I betänkandet hänvisas till att den största integritetsrisken för enskilda vid
behandling av personuppgifter i forskningsdatabaser är att uppgifter kan
läcka ut och att enskilda kan bli utsatta för andras missaktning om hans eller
hennes personliga förhållanden blir kända.6 Datainspektionen vill poängtera
att enskildas rätt till integritetsskydd ska betraktas i ett vidare perspektiv än
enbart i förhållande till andra enskilda. Artikel 8 i Europakonventionen
tillerkänner envar en rätt till skydd för privatliv och familjeliv och föreskriver
uttryckligen att en offentlig myndighet inte får inskränka åtnjutande av denna
rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är
nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten,
landets ekonomiska välstånd eller till förebyggande av oordning eller brott
eller till skydd för hälsa eller moral eller för andra personers fri- och
rättigheter. I enlighet med 2 kap. 6 § andra stycket regeringsformen ska var
och en gentemot det allmänna vara skyddad mot betydande intrång. För att
ett betydande intrång ska anses föreligga krävs inte att uppgifter sprids till
obehöriga eller på annat sätt missbrukas. Ett betydande intrång i den
personliga integriteten kan exempelvis uppstå redan i samband med en
omfattande insamling av personuppgifter.
4
5
6
Se betänkandet s. 421-422
Se prop. 2009/10:80 s. 180 ff
Se betänkandet s. 19-20 och 252 ff
5 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Definitionen av anonyma, kodade och avidentifierade uppgifter
I betänkandet används begreppen anonyma, kodade och avidentifierade
uppgifter. Dessa begrepp har olika betydelse. Med avidentifierade uppgifter
avses uppgifter som har avidentifierats på ett sådant sätt att det inte längre är
möjligt, med eller utan hjälpmedel, att återkoppla uppgifterna till en enskild
individ som är i livet. 7 Avidentifierade uppgifter, i den mening detta begrepp
används i integritetsskyddshänseende, omfattas inte av personuppgiftslagen.
När det gäller anonyma eller kodade uppgifter är dessa personuppgifter om de
kan hänföras till en enskild individ som är i livet exempelvis genom att det
finns en kodnyckel bevarad. Datainspektionen vill understryka att både
anonyma och kodade uppgifter är att betrakta som personuppgifter och därför
gäller integritetsskyddslagstiftningen även för dessa uppgifter.
Förslag till lag om forskningsdatabaser
Samtycke och ändamålen med behandling av personuppgifter (1 och 5 §§)
Ändamålen med behandlingen framgår av 5 § förslaget till lag om
forskningsdatabaser. Enligt förslaget ska 5 § kompletteras med begränsningar
i förordning som meddelas med stöd av 20 § punkten 2 samma lag.
Enligt dataskyddsdirektivet art. 6.1. b) ska personuppgifter samlas in för
särskilda, uttryckligt angivna och berättigade ändamål. Art. 6.1. b) har
införlivats i 9 § c) personuppgiftslagen (1998:204).
Artikel 29-arbetsgruppen8 har i ett yttrande anfört följande rörande
begränsning av ändamål.9
The purpose of the collection must be clearly and specifically identified:
it must be detailed enough to determine what kind of processing is and is
not included within the specified purpose, and to allow that compliance
with the law can be assessed and data protection safeguards applied.
7
Se Artikel 29-arbetsgruppen, Yttrande 05/2014 om avidentifieringsmetoder, antaget den
10 april 2014, 0829/14/EN, WP216, s. 5-6. (Artikel 29-arbetsgruppen är inrättad enligt
artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor som rör
dataskydd och integritet).
8
Se fotnot 7 angående artikel 29-arbetsgruppen.
9
Artikel 29-arbetsgruppen Opinion 03/2013 on purpose limitation, adopted on 2 April 2013,
00569/13/EN, WP203, s.15-16
6 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
For these reason a purpose that is vague or general, such as for instance
“improving users’ experience”, “marketing purposes”, “IT-security
purposes” or “future research” will – without more detail – usually not
meet the criteria of being “specific”.
Ändamålsbestämmelsen i dataskyddsdirektivet är central för all
personuppgiftsbehandling. Det är i förhållande till särskilda, uttryckligt
angivna och berättigade ändamål som det går att avgöra vilka personuppgifter
som är adekvata, relevanta och nödvändiga att behandla och vilken
information som ska lämnas till de registrerade. Det är också i förhållande till
ändamålen som det går att avgöra om den registrerade kan lämna ett rättsligt
giltigt samtycke och hur länge den personuppgiftsansvarige kan anses ha
behov av att bevara uppgifterna ifråga. Datainspektionen har tidigare uttalat
att framtida forskning är ett alltför oprecist ändamål för att uppfylla kraven i
9 § personuppgiftslagen.10
Artikel 29-arbetsgruppen har uttalat följande rörande samtycke.11
För att vara giltigt måste samtycket vara särskilt. Ett generellt samtycke
utan att man anger det exakta syftet med behandlingen är med andra
ord inte acceptabelt.
För att vara särskilt måste samtycket vara begripligt: det måste tydligt
och precist avse uppgiftsbehandlingens syfte och konsekvenser. Det kan
inte avse en allmän uppsättning behandlingsaktiviteter. Det betyder med
andra ord att den kontext inom vilken samtycket är giltigt är begränsad.
Enligt Datainspektionens mening uppfyller inte ändamålsbestämmelsen i
5 § förslaget till lag om forskningsdatabaser kraven på tillräckligt särskilda,
uttryckligt angivna och berättigade ändamål i dataskyddsdirektivet. En
förutsättning för att den behandling av personuppgifter, som förväntas
utföras med stöd av förslaget till lag om forskningsdatabaser, ska vara förenlig
med dataskyddsdirektivet är att ändamålsbestämmelserna är tillräckligt
begränsade för att uppfylla kravet på att vara särskilda. Om
10
Datainspektionens beslut den 16 december 2011, dnr 766-2011
Artikel 29-arbetsgruppens Yttrande 15/2011 om definitionen av begreppet ”samtycke”,
antaget den 13 juli 2011, 01197/2011/SV, WP187, s. 17-18
11
7 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
ändamålsbestämmelsens utformning inte är förenlig med kraven i
dataskyddsdirektivet kan den enskilde inte heller lämna ett rättsligt giltigt
samtycke till behandlingen av personuppgifter.
Avgränsningen av ändamålen med behandlingen är en central fråga ur
integritetsperspektiv. För att 5 § förslag till lag om forskningsdatabaser ska
vara förenlig med integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket
regeringsformen och 6.1. b) i dataskyddsdirektivet måste, enligt
Datainspektionens uppfattning, ändamålen förtydligas och begränsas i den
föreslagna lagen. Utformningen av ändamålsbestämmelsen är avgörande för
att bedöma om ändamålen i sig är godtagbara och behandlingen nödvändig
och vilket integritetsintrång som är proportionerligt i förhållande till de givna
ändamålen. Mot denna bakgrund är det inte tillräckligt att frågan om
begränsning av ändamålen regleras i förordning.
Återkallelse av samtycke och rätten att få uppgifter utplånade (1 § och 17 §
punkten 9)
En enskild kan inte motsätta sig den behandling av personuppgifter som sker
med stöd av förslaget till lag om forskningsdatabaser. Den enskilde kan dock,
med stöd av 12 § personuppgiftslagen, återkalla ett tidigare lämnat samtycke.
Återkallelsen avser emellertid bara personuppgifter som samlats in direkt från
den enskilde och där denne initialt har lämnat sitt samtycke till
personuppgiftsbehandlingen.
Enligt 12 § personuppgiftslagen innebär en återkallelse av samtycke att
ytterligare personuppgifter om den enskilde inte får samlas in eller behandlas.
Behandlingen av redan insamlade uppgifter får, trots återkallelsen, fortsätta i
enlighet med det ursprungligen lämnade samtycket.12 Ett återkallande av
samtycke är således framåtsyftande och får ingen effekt på de uppgifter som
redan har samlats in från den enskilde. Rätten att återkalla ett samtycke i
enlighet med förslaget är med andra ord en verkningslös rättighet för den
enskilde.
Enligt 17 § punkten 9 i förslag till lag om forskningsdatabaser ska den
enskilde få information om rätten att få uppgifter utplånade. Rätten att få
uppgifter utplånade finns inte närmare preciserad i lagförslaget men
12
Personuppgiftslagen, En kommentar, fjärde upplagan, Sören Öman och Hans-Olof
Lindblom s. 280
8 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Datainspektionen förutsätter att den grundar sig på 9 § h)
personuppgiftslagen. För att den personuppgiftsansvarige ska vara skyldig att
utplåna uppgifter enligt 9 § h) personuppgiftslagen ska de uppgifter som
begärs utplånade vara felaktiga eller ofullständiga med hänsyn till ändamålen
med behandlingen. Även denna integritetsskyddande bestämmelse får därför
antas vara tämligen verkningslös för den enskilde eftersom den bara är
tillämplig när en uppgift är felaktig eller ofullständig med hänsyn till
ändamålen med behandlingen.
För att uppnå en miniminivå av effektivt integritetsskydd anser
Datainspektionen att den enskilde ska ha rätt att motsätta sig att hans eller
hennes personuppgifter behandlas i en forskningsdatabas. Den enskilde ska
med andra ord ha rätt att kräva att få samtliga uppgifter som har registrerats
om honom eller henne utplånade eller i vart fall fullständigt avidentifierade.
Mot bakgrund av integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket
regeringsformen bör denna rättighet regleras i förslaget till lag om
forskningsdatabaser. Liknande bestämmelser om utplåning finns bland annat
i 3 kap. 6 § lag om biobanker i hälso- och sjukvården m.m. och i 16 § lag
(2013:794) om vissa register för forskning om vad arv och miljö betyder för
människors hälsa.
Kodnyckelförfarande (9 §)
Enligt 9 § i förslaget till lag om forskningsdatabaser ska, när uppgifter lämnas
ut som inte direkt kan hänföras till en enskild, en kodnyckel sparas i 20 år. När
dessa 20 år har förlöpt kan tiden förlängas på ansökan av
forskningshuvudmannen eller på den ansvariga myndighetens eget initiativ.
Av dataskyddsdirektivet art. 6.1. e) framgår att personuppgifter ska förvaras på
ett sätt som förhindrar identifiering av den registrerade under en längre tid än
vad som är nödvändigt för ändamål för vilka uppgifterna samlades in eller för
vilka de senare behandlades. Art. 6.1. e) har införlivats i 9 § i)
personuppgiftslagen.
Datainspektionen saknar en analys av vilka skäl som talar för att införa ett
krav på att bevara en kodnyckel under 20 år. För det första anser
Datainspektionen att kodnycklar ska bevaras endast när
forskningshuvudmannen begär det och presenterar godtagbara skäl för sin
begäran. För det andra anser inspektionen att det är orimligt att i lag ställa ett
undantagslöst krav på bevarande av kodnyckel under en så pass lång
9 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
tidsperiod. Det kan antas uppkomma situationer, exempelvis när en
forskningsstudie avslutas eller upphör för att inte återupptas, då det helt
saknas grund för att bevara en kodnyckel. För det tredje anser
Datainspektionen att 20 år är en alltför lång tidsperiod att som huvudregel
bevara kodnycklar.
Tiden för bevarande av personuppgifter är en central fråga ur
integritetsperspektiv. För att 9 § förslaget till lag om forskningsdatabaser ska
vara förenlig med integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket
regeringsformen och 6.1. e) i dataskyddsdirektivet måste, enligt
Datainspektionens uppfattning, bevarandetiden för kodnycklar begränsas
med hänsyn till vad som kan antas vara proportionerligt i förhållande till
ändamålen med behandlingen. Datainspektionen anser att utformningen av
9 § medför att kodnycklar, med stöd av bestämmelsen, kan komma att sparas
under en oöverskådlig tid.
Begränsning av uppgifter (10 §)
Enligt 10 § i förslaget till lag om forskningsdatabaser får en forskningsdatabas
endast innehålla de uppgifter som behövs för de ändamål för vilka
personuppgifter får behandlas enligt 5 § samma lag.
Enligt dataskyddsdirektivet art. 6.1. c) ska personuppgifter som behandlas
vara adekvata och relevanta och får inte omfatta mer än vad som är
nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för
vilka de senare behandlas. Art. 6.1. c) har införlivats i 9 § e) och f)
personuppgiftslagen.
Avgörande för vilka uppgifter som får samlas in är att de är nödvändiga,
adekvata, relevanta och inte fler än nödvändigt för att uppfylla de ändamål
som stipuleras för personuppgiftsbehandlingen. Datainspektionen vill därför
än en gång poängtera vikten av att ändamålsbestämmelsen utformas på ett
sätt som inte leder till en obegränsad insamling av personuppgifter.
Vilka personuppgifter som får samlas in är en central fråga ur
integritetsperspektiv. För att 10 § förslaget till lag om forskningsdatabaser ska
vara förenlig med 6.1. c) i dataskyddsdirektivet måste, enligt
Datainspektionens uppfattning, insamlingen av personuppgifter begränsas
med hänsyn till ändamålen med behandlingen. För att begränsningen ska få
effekt är det nödvändigt att ändamålen är särskilda och tydligt avgränsade.
1 0 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Alltför generöst utformade ändamål medför att den personuppgiftsansvarige
kan samla in en obegränsad mängd uppgifter av olika art och känslighetsgrad.
Mot bakgrund av integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket
regeringsformen kan det inte anses tillräckligt att frågan om vilka
personuppgifter som får samlas in regleras i förordning.
Direktåtkomst (12 §)
Datainspektionen har inga synpunkter på förbudet mot direktåtkomst i 12 §
förslaget till lag om forskningsdatabaser. Datainspektionen vill dock
uppmärksamma lagstiftaren på att utformningen av den aktuella
bestämmelsen också medför ett förbud mot att medge en enskild individ
direktåtkomst till uppgifter om sig själv.13
Intern elektronisk åtkomst (14 §)
Enligt 14 § i förslaget till lag om forskningsdatabaser ska den
personuppgiftsansvarige begränsa sina anställdas och uppdragstagares
elektroniska åtkomst till personuppgifter till vad var och en behöver för att
kunna fullgöra sina arbetsuppgifter i fråga om databasen.
Styrning av åtkomst till personuppgifter är en teknisk åtgärd som vidtas för att
skydda uppgifter från exempelvis otillåten tillgång och spridning, se art. 17.1 i
dataskyddsdirektivet. Art. 17.1 är införlivad i 31 § personuppgiftslagen.
Av betänkandet framgår att behovet av åtkomst främst tar sikte på utförande
av åtgärder av rent administrativ karaktär.14 Datainspektionen antar att sådana
åtgärder exempelvis kan vara administration vid begäran om utlämnande av
uppgifter, upprättande av kodnycklar och teknisk support. Eftersom behovet
av intern åtkomst är begränsat och eftersom en stor mängd integritetskänsliga
personuppgifter kommer att lagras i en forskningsdatabas anser
Datainspektionen att bestämmelsen måste förtydligas i syfte att förhindra
obehörig åtkomst för andra ändamål såsom exempelvis pre-screening.
Mot bakgrund av omfattningen och känsligheten hos de personuppgifter som
kan komma att lagras i en forskningsdatabas anser Datainspektionen att
begränsning av den interna elektroniska åtkomsten är central ur
integritetsperspektiv. För att skydda personuppgifterna som behandlas, i
13
Se Datainspektionens beslut den 6 februari 2015, dnr 708-2014 angående enskildas
direktåtkomst i registret Life Gene.
14
Se betänkandet s. 529
1 1 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
enlighet med art. 17.1 i dataskyddsdirektivet är det viktigt att ytterligare steg
vidtas för att begränsa den interna elektroniska åtkomsten.
Gallring av personuppgifter (15 §)
Enligt 15 § i förslaget till lag om forskningsdatabaser ska personuppgifter
gallras som inte längre behövs för de ändamål som avses i 5 § samma lag.
Dataskyddsdirektivets bestämmelser om bevarande av personuppgifter har
refererats ovan i avsnittet om kodnyckelförfarande.15
Mot bakgrund av de vidsträckta ändamålen i 5 § ”skapa underlag för olika
forskningsprojekt och lämna ut uppgifter till forskningsprojekt, under
förutsättning att såväl forskningen som behandlingen av uppgifterna i
projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning
som avser människor” blir kravet på gallring i det närmaste illusorisk.
Effekten blir sammantaget att den personuppgiftsansvarige ges möjlighet att
bevara personuppgifter under en oöverskådlig tid.
Datainspektionen anser att det som huvudregel måste finnas en bortre gräns
för hur länge personuppgifter får bevaras i identifierbar form. När denna
gräns är uppnådd ska personuppgifterna raderas eller avidentifieras på ett
sådant sätt att de inte längre kan återskapas.
Tiden för bevarande av personuppgifter är en central fråga ur
integritetsperspektiv. För att 15 § förslag till lag om forskningsdatabaser ska
vara förenlig med 6.1. e) i dataskyddsdirektivet måste bevarandetiden
begränsas med hänsyn till ändamålen med behandlingen. En förutsättning
för att bestämmelsen om gallring ska få en integritetsskyddande effekt är att
ändamålen förtydligas och begränsas i den föreslagna lagen.
Information om personuppgiftsbehandlingen (17 §)
Av 17 § i förslaget till lag om forskningsdatabaser framgår vilken
informationsskyldighet som åligger den personuppgiftsansvarige vid
insamling av uppgifter direkt från den registrerade. Enligt Datainspektionens
uppfattning kommer emellertid en övervägande del av personuppgifterna i en
forskningsdatabas att samlas in från olika myndighetsregister utan den
enskildes vetskap. Enligt förslaget ska enskilda individer, vid insamling av
15
Se s. 9
1 2 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
uppgifter från andra myndigheter inte lämna sitt samtycke till
personuppgiftsbehandlingen och inte heller informeras om behandlingen.
Den personuppgiftsansvariges skyldighet att informera den registrerade om
behandlingen av personuppgifter framgår av art. 10 och 11 i
dataskyddsdirektivet. Dessa bestämmelser har införlivats i 23 -25 §§
personuppgiftslagen.
Av betänkandet framgår att utredaren utgår ifrån att undantaget från
informationskravet i 24 § andra stycket personuppgiftslagen är tillämpligt vid
insamling av uppgifter från andra myndigheter. 16 Datainspektionen
ifrågasätter inte den bedömningen men anser att det, som en
integritetshöjande åtgärd, behöver införas ett informationskrav i lagen.
Generell information som överensstämmer med 25 § personuppgiftslagen kan
exempelvis lämnas på den personuppgiftsansvariges webbplats. Jämför kravet
på Socialstyrelsen att på lämpligt sätt informera allmänheten om sina olika
hälsodataregister.17
Den registrerades rätt till information om personuppgiftsbehandlingen är en
central fråga ur integritetsperspektiv. Av denna anledning anser
Datainspektionen att förslaget till lag om forskningsdatabaser måste
innehålla bestämmelser som garanterar den registrerade rätt till tillräcklig
information om behandlingen av personuppgifter som utförs i
forskningsdatabaser.
Datainspektionens övriga synpunkter
Bestämmelserna i förslaget till lag om forskningsdatabaser öppnar en
möjlighet att för framtida forskningsändamål lagra en omfattande mängd
personuppgifter i databaser som kommer hanteras av olika
personuppgiftsansvariga. Det kan förutsättas att de personuppgifter som
samlas in kan vara känsliga enligt definitionen i 13 § personuppgiftslagen eller
på annat sätt av integritetskänslig karaktär.
Vid behandling av känsliga och integritetskänsliga personuppgifter krävs att
nödvändiga tekniska och organisatoriska säkerhetsåtgärder vidtas i enlighet
med 31 § personuppgiftslagen. Datainspektionen saknar både utredning och
16
Se betänkandet s. 450-451
Se t.ex. 7 § förordning (2001:707) om patientregister hos Socialstyrelsen och 7 §
förordning (2001:709) om cancerregister hos Socialstyrelsen
17
1 3 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
analys av behovet av reglering rörande vilka säkerhetsåtgärder som är
nödvändiga för att skydda uppgifterna som behandlas i en forskningsdatabas.
Enligt Datainspektionens mening bör, i det fortsatta lagstiftningsarbetet,
behovet av bestämmelser om behörighetsstyrning, exempelvis krav på
individuella inloggningskonton, åtkomstkontroll genom exempelvis
regelbunden logguppföljning, stark autentisering och sökbegränsningar
utredas och analyseras.
Förslag till ändringar i lagen (2003:460) om etikprövning av forskning
som avser människor
Rådgivande yttrande (5 a §)
Datainspektionen anser att om en lagändring ska ske behöver det klargöras att
ett rådgivande yttrande inte kan likställas med ett godkännande enligt 6 §
lagen om etikprövning av forskning som avser människor. Datainspektionen
uppfattar att det huvudsakliga syftet med rådgivande yttranden är att forskare
ska få möjlighet att finansiera sin forskning och publicera sina resultat i
vetenskapliga tidskrifter. Det synes emellertid vara oklart vilken rättslig
ställning ett rådgivande yttrande har och frågan berörs inte närmare i
betänkandet. Mot bakgrund av dessa oklarheter måste det på ett tydligt sätt
framgå att ett rådgivande yttrande exempelvis inte kan läggas till grund för att
lämna ut uppgifter ur en forskningsdatabas i enlighet med 5 § punkten 2
förslag till lag om forskningsdatabaser.
Förslag till lag om ändring av lagen (2001:99) om den officiella
statistiken
Utlämnande av uppgifter i vissa fall (16 §)
Av betänkandet framgår att det kodnyckelförfarande som tillämpas idag är väl
fungerande och att de forskare som begär att få en kodnyckel bevarad
regelmässigt får sin begäran beviljad.18 Datainspektionen anser att det är en
god ordning att de forskare som anser att det finns skäl att bevara en
kodnyckel hos den utlämnande myndigheten måste begära att så sker. Att
tillämpa ett omvänt förfarande får konsekvensen att en kodnyckel alltid måste
bevaras även vid engångsuttag av registerdata där forskaren på förhand vet att
det saknas behov att spara kodnyckeln annat än under en kort tidsperiod för
att till exempel kunna korrigera felaktig data.
18
Se betänkandet s. 385.
1 4 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
När det gäller den angivna tidsperioden på 20 år och möjligheten till
förlängning av denna tid hänvisas till vad som ovan angetts under rubriken
”Kodnyckelförfarande (9 §)”.19
Datainspektionen avstyrker förslaget till ändring av 16 § lagen om den
officiella statistiken.
Förslag till lag om Nationella biobanksregistret
Den registrerades inställning till personuppgiftsbehandling (4 och 5 §§)
Enligt 4 § första stycket och 5 § första stycket i förslaget till lag om Nationella
biobanksregistret, får uppgifter om vävnadsprover som redan samlats in vid
tidpunkten för lagens ikraftträdande, inte behandlas i Nationella
biobanksregistret om den registrerade eller dennes vårdnadshavare motsätter
sig det, s.k. opt-out.
Av betänkandet framgår att det är viktigt att allmänheten på ett lämpligt sätt
informeras om Nationella biobanksregistrets existens, dess ändamål och
innehåll för att de registrerade ska ha möjlighet att utträda ur registret.20
Detta uttalande motsvaras emellertid inte av någon reglering i lagförslaget.
Enligt Datainspektionens uppfattning bör det röra sig om ett mycket stort
antal prover och provgivare vars uppgifter kommer att registreras i det
Nationella biobanksregistret utan att provgivarna garanteras information om
registreringen eller ges möjlighet att lämna sitt samtycke. En förutsättning för
att den enskilde ska kunna utnyttja sin rätt att motsätta sig behandlingen av
uppgifter i Nationella biobanksregistret är att han eller hon har kännedom om
den.
När det gäller vävnadsprover som samlats in före tidpunkten för lagförslagets
ikraftträdande får det antas att majoriteten av provgivare har lämnat sitt
samtycke till behandlingen i enlighet med 3 kap. lag om biobanker i hälsooch sjukvården m.m. Av 3 kap. 5 § samma lag framgår att vävnadsprover som
bevaras i en biobank inte får användas för annat ändamål än som omfattas av
tidigare information och samtycke utan att den som lämnat samtycket
informerats om och samtyckt till det nya ändamålet.
19
20
Se s. 9-10
Se betänkandet s. 485
1 5 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Av förarbetena till lag om biobanker inom hälso- och sjukvården m.m.
framgår följande avseende 3 kap. 5 §.21
I paragrafen finns bestämmelser om vad som gäller i fråga om
information och samtycke när prover i en biobank skall användas för ett
annat ändamål än det ursprungligen fastställda. Bestämmelsen är
detaljerad för att markera betydelsen av att provgivaren eller dennes
företrädare verkligen får adekvat information och ges tillfälle att ta
ställning till att prover ställs till förfogande för ett annat ändamål än det
ursprungligen fastställda. När det gäller fall med underåriga kan
beslutanderätten ha gått över från vårdnadshavaren till barnet. I dessa
fall skall det vara barnet som samtycker till det nya ändamålet.
Enligt förslaget till lag om Nationella biobanksregistret kommer uppgifter att
registreras som initialt har samlats in till biobanker med stöd av samtycke och
en försäkran om att uppgifterna inte kommer att användas för andra ändamål,
med mindre än att den registrerade samtycker till det. Insamlingen av dessa
uppgifter till det Nationella biobanksregistret kommer, enligt förslaget, trots
detta ske utan att det säkerställs att den registrerade informeras om
behandlingen och än mindre ger sitt samtycke till densamma.
Förutom att lagstiftningstekniken kan ifrågasättas anser Datainspektionen att
det ursprungliga samtycket och dess villkor ska respekteras. Det är inte
acceptabelt ur integritetsskyddssynpunkt att uppgifterna överförs till det
Nationella biobanksregistret utan att den registrerade informeras om detta
och lämnar sitt samtycke till behandlingen. I sammanhanget ska beaktas att
den behandling av personuppgifter som kommer att utföras i det Nationella
biobanksregistret utgör en ny behandling för andra ändamål. Mot denna
bakgrund avstyrker Datainspektionen 4 § första stycket och 5 § första stycket
i förslaget till lag om Nationella biobanksregistret.
Underåriga (5 §)
Enligt 5 § tredje stycket i förslaget till lag om Nationella biobanksregistret får
en underårig, som uppnått en sådan ålder och mognad att han eller hon själv
kan ta ställning i frågan lämna samtycke till behandlingen av personuppgifter.
21
Prop. 2001/02:44 Biobanker inom hälso- och sjukvården m.m. s. 74
1 6 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
Behandlingen av uppgifter om vävnadsprover i Nationella biobanksregistret
avser personuppgifter av mycket känslig karaktär. Det kan vara svårt för en
underårig att inse vidden av ett lämnat samtycke liksom det torde vara svårt
för en vårdgivare att bedöma om och när en underårig har uppnått en sådan
ålder och mognad att han eller hon själv kan ta ställning till frågan om
samtycke. Det finns inga generella regler i integritetsskyddslagstiftningen
som anger när ett barn kan antas ha uppnått en sådan ålder och mognad att
han eller hon själv kan lämna ett rättsligt giltigt samtycke. Datainspektionens
inställning är emellertid att vid behandling av personuppgifter i forskning är
det lämpligt att inhämta samtycke från både äldre tonåringar och deras
vårdnadshavare.22 Mot bakgrund av uppgifternas känsliga karaktär och de
ändamål för vilka de kommer att behandlas avstyrker Datainspektionen
5 § tredje stycket förslag till lag om nationella forskningsdatabaser.
Innehåll (8 §)
Av 8 § i förslaget till lag om Nationella biobanksregistret framgår vilka
uppgifter registret får innehålla.
Enligt 8 § punkten 3 får Nationella biobanksregistret innehålla uppgift som
avser ställningstaganden till bevarande av vävnadsprover. Av betänkandet
framgår att det handlar om alla typer av ställningstaganden exempelvis att
provgivaren endast samtyckt till att vävnadsprover får bevaras och behandlas
för vissa ändamål.23 Enligt Datainspektionens uppfattning måste, för att
bestämmelsen ska få avsedd effekt, provgivaren också informeras om att han
eller hon har rätt att avgränsa sitt samtycke för vissa bestämda ändamål. Detta
bör lämpligen regleras genom ett tillägg i 12 § förslaget till lag om Nationella
biobanksregistret.
Enligt 8 § punkten 7 får Nationella biobanksregistret innehålla uppgift om
diagnos och analysresultat. Uppgifter om diagnos och analysresultat är
särskilt känsliga ur ett integritetsskyddsperspektiv eftersom uppgifterna ger
direkt information om den enskildes hälsostatus.
Datainspektionen ser en risk med att tillåta registrering av diagnos och
analysresultat i det Nationella biobanksregistret. För det första tenderar
22
23
Samtycke enligt personuppgiftslagen, Datainspektionen informerar, s. 10-11
Se betänkandet s. 488 och 538-539
1 7 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
registerinnehållet att närmast bli en hälso- och sjukvårdsjournal utan att den
personuppgiftsansvarige behöver beakta bestämmelserna om exempelvis
sammanhållen journalföring i 6 kap. patientdatalagen (2008:355). För det
andra saknas gallringsbestämmelser i förslaget till lag om Nationella
biobanksregistret vilket medför att uppgifterna kan komma att bevaras en
lång tid efter det att hälso- och sjukvårdens journaler har gallrats. För det
tredje kan uppgifterna i det Nationella biobanksregistret kombineras och
samköras med exempelvis kvalitetsregister vilket ökar möjligheterna till en
detaljerad kartläggning av enskilda. Mot bakgrund av det ovan angivna
avstyrker Datainspektionen 8 § punkten 7 förslag till lag om Nationella
biobanksregistret.
Information (12 §)
Datainspektionen ser positivt på informationskravet i 12 § förslaget till lag om
Nationella biobanksregistret. Datainspektionen anser dock att bestämmelsen
behöver förtydligas mot bakgrund av vad som angetts ovan rubriken ”Innehåll
(8 §)”.24
Datainspektionens övriga synpunkter
Datainspektionen hänvisar till vad som ovan angetts i andra stycket under
rubriken ”Datainspektionens övriga synpunkter”.25
Förslag till lag om ändring i offentlighets- och sekretesslagen
(2009:400)
Utlämnande av uppgift med förbehåll
Datainspektionen välkomnar ett ökat sekretesskydd för personuppgifter som
behandlas för forskningsändamål. Datainspektionen delar dock inte
utredarens slutsats att uppgifter som lämnas ut till aktörer som inte omfattas
av offentlighets- och sekretesslagstiftningen kommer att åtnjuta samma skydd
genom en tillämpning av bestämmelsen om förbehåll i 10 kap. 14 §
offentlighets- och sekretesslagen.26
För det första måste det avgöras i varje enskilt fall om det är möjligt att lämna
ut en uppgift med förbehåll. För det andra ska ett beslut om förbehåll
innehålla tydliga anvisningar och kan bara ges till en fysisk person. För det
24
25
26
Se s. 17
Se s. 13-14
Se betänkandet s. 384
1 8 (19)
Datainspektionen
2015-02-06
Diarienr 2469-2014
tredje anser Datainspektionen att det är oklart vilken rättslig ställning ett
förbehåll har för mottagare som befinner sig utanför Sveriges gränser, om ett
sådant utlämnande skulle bli aktuellt. Sammantaget anser Datainspektionen
att ett utlämnande av uppgifter med beslut om förbehåll aldrig kan ersätta en
bestämmelse om absolut sekretess hos mottagaren. Bestämmelsen om
förbehåll är dessutom förhållandevis komplicerad att tillämpa och det torde
medföra svårigheter att följa upp att mottagaren i praktiken efterlever ett
beslut om förbehåll. Mot denna bakgrund anser Datainspektionen att frågan
om hur uppgifterna ska få ett skydd som motsvarar absolut sekretess hos
mottagare som inte omfattas av regleringen i offentlighets- och sekretesslagen
bör utredas och analyseras vidare.
Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter
föredragning av juristen Ingela Alverfors. Vid den slutliga handläggningen har
även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt
deltagit.
Kristina Svahn Starrsjö
Ingela Alverfors
1 9 (19)