Yttrande Diarienr 2015-02-06 2469-2014 Ert diarienr U2014/4224/F Utbildningsdepartementet 103 33 Stockholm Unik kunskap genom registerforskning (SOU 2014:45) Sammanfattning Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen avstyrker förslaget till lag om forskningsdatabaser i sin nuvarande utformning eftersom förslaget inte är förenligt med 2 kap. 6 § andra stycket regeringsformen. Förslaget riskerar att leda till betydande integritetsintrång genom att tillåta omfattande insamling av personuppgifter utan att ändamålen är tillräckligt specificerade och utan att kräva integritetsskyddande åtgärder som uppväger integritetsintrånget. Datainspektionen avstyrker förslaget till lag om ändring av 16 § lagen (2001:99) om den officiella statistiken. Datainspektionen anser att det saknas grund för att regelmässigt bevara kodnycklar i 20 år. Datainspektionen anser att konsekvenserna av förslaget till ändring av 5 a § lagen (2003:460) om etikprövning av forskning som avser människor behöver utredas och analyseras vidare. Datainspektionen avstyrker 4 § första stycket, 5 § första och tredje styckena samt 8 § punkten 7 i förslaget till lag om Nationella biobanksregistret. Datainspektionen anser vidare att lagförslaget i sin helhet är i behov av fortsatt utredning för att säkerställa enskildas rätt till grundläggande behov av skydd för den personliga integriteten. Postadress: Box 8114, 104 20 Stockholm Webbplats: www.datainspektionen.se E-post: datainspektionen@datainspektionen.se Telefon: 08-657 61 00 1 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Datainspektionen ifrågasätter utredningens uppfattning att uppgifter som lämnas ut med förbehåll till privata aktörer åtnjuter samma skyddsnivå som uppgifter som lämnats ut till en aktör som omfattas av bestämmelserna i lagen (2009:400) om offentlighet och sekretess. Det behövs därför i det fortsatta lagstiftningsarbetet en djupare en analys av hur uppgifterna ska bibehålla motsvarande skydd hos de privata aktörerna. Datainspektionens granskning av förslaget Med anledning av betänkandets omfång och antalet frågor som behandlas har Datainspektionen valt att begränsa sitt yttrande till de frågor som är av väsentlig betydelse för den enskildes personliga integritet. Efter det inledande avsnittet i yttrandet följer kommentarer på förslaget till lag om forskningsdatabaser i de för inspektionen relevanta bestämmelserna. Därefter kommenteras övriga ändringsförslag i förhållande till respektive lag samt de för inspektionen relevanta bestämmelserna i förslaget till lag om Nationella biobanksregistret. Inledande synpunkter Allmänt om förslagen Gemensamt för förslagen om forskningsdatabaser och Nationella biobanksregistret är att det kommer att påverka en stor del av Sveriges befolkning. Förslaget om lagreglering av forskningsdatabaser innebär att alla typer av personuppgifter kommer att kunna samlas in för forskningsändamål som inte är tydligt avgränsade eller specificerade. Det möjliggör en närgången kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria, arbetsliv, brottsuppgifter m.m. Även det tänkta Nationella biobanksregistret öppnar upp för en närgången kartläggning av enskildas hälsoprofiler genom insamling av uppgifter av mycket känslig karaktär. Båda förslagen innehåller bestämmelser som möjliggör insamling av en omfattande mängd personuppgifter utan att den enskilde har rätt att lämna sitt samtycke eller att ens få information om behandlingen. De uppgifter som samlas in kommer dessutom att kunna bevaras under en mycket lång tid. I förslaget till lag om forskningsdatabaser saknas integritetsskyddande bestämmelser som står i proportion till det integritetsintrång den enskilde utsätts för. För att tillgodose enskildas grundläggande behov av integritetsskydd vid behandling av uppgifter i en forskningsdatabas måste 2 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 enskilda i vart fall tillförsäkras en rätt att få generell information om forskningsdatabasernas existens och den personuppgiftsbehandling som utförs. Enskilda bör också ha en självklar rätt att motsätta sig att hans eller hennes personuppgifter lagras och behandlas för forskningsändamål i forskningsdatabaser. Datainspektionen har i tidigare yttranden ifrågasatt lämpligheten i att universitet och högskolor ska få föra egna register för befolkningsbaserad forskning.1 Ett av argumenten är att det finns en risk för att integritetsskyddsfrågorna inte kommer att tas på tillräckligt allvar när den ansvarige för personuppgiftsbehandlingen också är den som kan ha direkt nytta av personuppgiftsbehandlingen i form av forskningsresultat, anslagsmedel m.m. Datainspektionen vidhåller att dessa uppgiftssamlingar är av så pass känslig karaktär att de bör förvaltas av någon eller några myndigheter som inte själva direkt nyttjar uppgifterna. Enligt förslaget till lag om Nationella biobanksregistret ska registret innehålla uppgifter om vävnadsprover som provgivare har lämnat under förutsättning att proverna inte kommer att behandlas för andra ändamål än de som provgivaren har samtyckt till. Registrering av provgivarens personuppgifter i det Nationella biobanksregistret omfattas inte av provgivarens samtycke men kommer trots detta att ske med stöd av lagförslaget. En provgivare som inte informeras om personuppgiftsbehandlingen kan inte heller utnyttja sin möjlighet att motsätta sig behandlingen genom s.k. opt-out. Datainspektionen har tidigare uttalat att det är centralt att det finns tydliga anvisningar kring informationskravet när lagstiftaren finner skäl att välja en möjlighet till opt-out istället för att inhämta den enskildes uttryckliga samtycke.2 Datainspektionen vidhåller denna uppfattning. Krav vid inskränkningar i det grundläggande skyddet för rätten till privatliv Skyddet för den enskildes personliga integritet och respekten för privatlivet är viktiga grundläggande rättigheter som i svensk lag kommer till uttryck i både 2 kap. 6 § regeringsformen och art. 8 Europakonventionen. Bestämmelsen i Europakonventionen innefattar en skyldighet för det offentliga att avhålla sig från ingrepp i den enskildes privat– och familjeliv och en offentlig myndighets 1 Se bl.a. Datainspektionens yttrande över Promemoria med utkast till lagrådsremiss Register för viss forskning, (dnr 156-2013) och inspektionens yttrande över Förslag till förordning om register för viss befolkningsbaserad forskning (dnr 956-2012) 2 Se Datainspektionens yttrande över En ny biobankslag (SOU 2010:81) (dnr 1939-2010) 3 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 inskränkning av den enskildes rätt får endast ske med stöd av lag. När det gäller automatiserad behandling av personuppgifter har dessa grundläggande rättigheter preciserats i det så kallade dataskyddsdirektivet 95/46/EG. Att integritetsskyddet har sin grund även i dataskyddsdirektivet innebär att de bestämmelser om behandling av personuppgifter som införs i vår nationella lagstiftning inte får ge en lägre skyddsnivå än vad direktivet föreskriver. Slutligen ska även Europeiska unionens stadga om de grundläggande rättigheterna beaktas. Myndighetsregister med ett stort antal registrerade och ett integritetskänsligt innehåll ska regleras särskilt i lag. Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. En begränsning av rättigheterna i 2 kap. 6 § andra stycket regeringsformen ska, för att vara tillåten, stadgas i lag och får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, se 2 kap. 20 och 21 §§ regeringsformen. En förutsättning att för att få behandla personuppgifter automatiserat är därför att det integritetsintrång som behandlingen innebär för den enskilde har stöd i lag och dessutom är avvägt mot behovet av behandlingen. I ett konkret lagstiftningsärende innebär det nyss sagda att det intrång som sker i den enskildes privata sfär måste vara befogat och inte större än nödvändigt. Intrånget ska mötas av integritetshöjande bestämmelser till förmån för den enskilde vars uppgifter behandlas. För att avgöra om integritetsskyddet är väl avvägt i förhållande till den planerade personuppgiftsbehandlingen måste man bland annat ställa nödvändigheten av behandlingen i proportion till ändamålet med behandlingen samt omfattningen och känsligheten av de uppgifter som ska behandlas. När det gäller förslaget om Nationella biobanksregistret är utredarens uppfattning att den behandling av personuppgifter som sker utan stöd av samtycke i registret omfattas av integritetsskyddet i 2 kap. 6 § regeringsformen.3 När det däremot gäller insamling och lagring av personuppgifter, utan samtycke, i forskningsdatabaser är utredarens uppfattning att det inte utgör ett sådant intrång i den personliga integriteten 3 Se betänkandet s. 480 4 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 att det kräver en särskild lag för varje forskningsdatabas.4 Datainspektionen delar inte utredarens bedömning avseende forskningsdatabaser utan vill tvärtom understryka att effekten av att samla in och lagra ett stort antal personuppgifter om ett stort antal individer blir att dessa individer utsätts för en närgången kartläggning. Denna effekt inträder direkt vid insamlingen och är helt oberoende av syftet med insamlingen och eventuellt efterföljande behandling. Innebörden av 2 kap. 6 § regeringsformen framgår tydligt av förarbetena. 5 Eftersom personuppgiftsbehandlingen sker utan samtycke och utgör ett betydande intrång i den personliga integriteten omfattas den av integritetsskyddet i 2 kap. 6 § regeringsformen. Bestämmelsen i 2 kap. 6 § andra stycket regeringsformen innebär alltså att åtgärder som får sådana effekter som anges i paragrafen får vidtas bara om det finns föreskrifter i lag som medger det. Det innebär i sin tur att frågor som är centrala för avvägningen av integritetsintrånget och skyddet för den enskildes personliga integritet måste regleras i lag. Däremot kan ytterligare precisering av regleringen ske i förordning. I betänkandet hänvisas till att den största integritetsrisken för enskilda vid behandling av personuppgifter i forskningsdatabaser är att uppgifter kan läcka ut och att enskilda kan bli utsatta för andras missaktning om hans eller hennes personliga förhållanden blir kända.6 Datainspektionen vill poängtera att enskildas rätt till integritetsskydd ska betraktas i ett vidare perspektiv än enbart i förhållande till andra enskilda. Artikel 8 i Europakonventionen tillerkänner envar en rätt till skydd för privatliv och familjeliv och föreskriver uttryckligen att en offentlig myndighet inte får inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I enlighet med 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång. För att ett betydande intrång ska anses föreligga krävs inte att uppgifter sprids till obehöriga eller på annat sätt missbrukas. Ett betydande intrång i den personliga integriteten kan exempelvis uppstå redan i samband med en omfattande insamling av personuppgifter. 4 5 6 Se betänkandet s. 421-422 Se prop. 2009/10:80 s. 180 ff Se betänkandet s. 19-20 och 252 ff 5 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Definitionen av anonyma, kodade och avidentifierade uppgifter I betänkandet används begreppen anonyma, kodade och avidentifierade uppgifter. Dessa begrepp har olika betydelse. Med avidentifierade uppgifter avses uppgifter som har avidentifierats på ett sådant sätt att det inte längre är möjligt, med eller utan hjälpmedel, att återkoppla uppgifterna till en enskild individ som är i livet. 7 Avidentifierade uppgifter, i den mening detta begrepp används i integritetsskyddshänseende, omfattas inte av personuppgiftslagen. När det gäller anonyma eller kodade uppgifter är dessa personuppgifter om de kan hänföras till en enskild individ som är i livet exempelvis genom att det finns en kodnyckel bevarad. Datainspektionen vill understryka att både anonyma och kodade uppgifter är att betrakta som personuppgifter och därför gäller integritetsskyddslagstiftningen även för dessa uppgifter. Förslag till lag om forskningsdatabaser Samtycke och ändamålen med behandling av personuppgifter (1 och 5 §§) Ändamålen med behandlingen framgår av 5 § förslaget till lag om forskningsdatabaser. Enligt förslaget ska 5 § kompletteras med begränsningar i förordning som meddelas med stöd av 20 § punkten 2 samma lag. Enligt dataskyddsdirektivet art. 6.1. b) ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Art. 6.1. b) har införlivats i 9 § c) personuppgiftslagen (1998:204). Artikel 29-arbetsgruppen8 har i ett yttrande anfört följande rörande begränsning av ändamål.9 The purpose of the collection must be clearly and specifically identified: it must be detailed enough to determine what kind of processing is and is not included within the specified purpose, and to allow that compliance with the law can be assessed and data protection safeguards applied. 7 Se Artikel 29-arbetsgruppen, Yttrande 05/2014 om avidentifieringsmetoder, antaget den 10 april 2014, 0829/14/EN, WP216, s. 5-6. (Artikel 29-arbetsgruppen är inrättad enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor som rör dataskydd och integritet). 8 Se fotnot 7 angående artikel 29-arbetsgruppen. 9 Artikel 29-arbetsgruppen Opinion 03/2013 on purpose limitation, adopted on 2 April 2013, 00569/13/EN, WP203, s.15-16 6 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 For these reason a purpose that is vague or general, such as for instance “improving users’ experience”, “marketing purposes”, “IT-security purposes” or “future research” will – without more detail – usually not meet the criteria of being “specific”. Ändamålsbestämmelsen i dataskyddsdirektivet är central för all personuppgiftsbehandling. Det är i förhållande till särskilda, uttryckligt angivna och berättigade ändamål som det går att avgöra vilka personuppgifter som är adekvata, relevanta och nödvändiga att behandla och vilken information som ska lämnas till de registrerade. Det är också i förhållande till ändamålen som det går att avgöra om den registrerade kan lämna ett rättsligt giltigt samtycke och hur länge den personuppgiftsansvarige kan anses ha behov av att bevara uppgifterna ifråga. Datainspektionen har tidigare uttalat att framtida forskning är ett alltför oprecist ändamål för att uppfylla kraven i 9 § personuppgiftslagen.10 Artikel 29-arbetsgruppen har uttalat följande rörande samtycke.11 För att vara giltigt måste samtycket vara särskilt. Ett generellt samtycke utan att man anger det exakta syftet med behandlingen är med andra ord inte acceptabelt. För att vara särskilt måste samtycket vara begripligt: det måste tydligt och precist avse uppgiftsbehandlingens syfte och konsekvenser. Det kan inte avse en allmän uppsättning behandlingsaktiviteter. Det betyder med andra ord att den kontext inom vilken samtycket är giltigt är begränsad. Enligt Datainspektionens mening uppfyller inte ändamålsbestämmelsen i 5 § förslaget till lag om forskningsdatabaser kraven på tillräckligt särskilda, uttryckligt angivna och berättigade ändamål i dataskyddsdirektivet. En förutsättning för att den behandling av personuppgifter, som förväntas utföras med stöd av förslaget till lag om forskningsdatabaser, ska vara förenlig med dataskyddsdirektivet är att ändamålsbestämmelserna är tillräckligt begränsade för att uppfylla kravet på att vara särskilda. Om 10 Datainspektionens beslut den 16 december 2011, dnr 766-2011 Artikel 29-arbetsgruppens Yttrande 15/2011 om definitionen av begreppet ”samtycke”, antaget den 13 juli 2011, 01197/2011/SV, WP187, s. 17-18 11 7 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 ändamålsbestämmelsens utformning inte är förenlig med kraven i dataskyddsdirektivet kan den enskilde inte heller lämna ett rättsligt giltigt samtycke till behandlingen av personuppgifter. Avgränsningen av ändamålen med behandlingen är en central fråga ur integritetsperspektiv. För att 5 § förslag till lag om forskningsdatabaser ska vara förenlig med integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket regeringsformen och 6.1. b) i dataskyddsdirektivet måste, enligt Datainspektionens uppfattning, ändamålen förtydligas och begränsas i den föreslagna lagen. Utformningen av ändamålsbestämmelsen är avgörande för att bedöma om ändamålen i sig är godtagbara och behandlingen nödvändig och vilket integritetsintrång som är proportionerligt i förhållande till de givna ändamålen. Mot denna bakgrund är det inte tillräckligt att frågan om begränsning av ändamålen regleras i förordning. Återkallelse av samtycke och rätten att få uppgifter utplånade (1 § och 17 § punkten 9) En enskild kan inte motsätta sig den behandling av personuppgifter som sker med stöd av förslaget till lag om forskningsdatabaser. Den enskilde kan dock, med stöd av 12 § personuppgiftslagen, återkalla ett tidigare lämnat samtycke. Återkallelsen avser emellertid bara personuppgifter som samlats in direkt från den enskilde och där denne initialt har lämnat sitt samtycke till personuppgiftsbehandlingen. Enligt 12 § personuppgiftslagen innebär en återkallelse av samtycke att ytterligare personuppgifter om den enskilde inte får samlas in eller behandlas. Behandlingen av redan insamlade uppgifter får, trots återkallelsen, fortsätta i enlighet med det ursprungligen lämnade samtycket.12 Ett återkallande av samtycke är således framåtsyftande och får ingen effekt på de uppgifter som redan har samlats in från den enskilde. Rätten att återkalla ett samtycke i enlighet med förslaget är med andra ord en verkningslös rättighet för den enskilde. Enligt 17 § punkten 9 i förslag till lag om forskningsdatabaser ska den enskilde få information om rätten att få uppgifter utplånade. Rätten att få uppgifter utplånade finns inte närmare preciserad i lagförslaget men 12 Personuppgiftslagen, En kommentar, fjärde upplagan, Sören Öman och Hans-Olof Lindblom s. 280 8 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Datainspektionen förutsätter att den grundar sig på 9 § h) personuppgiftslagen. För att den personuppgiftsansvarige ska vara skyldig att utplåna uppgifter enligt 9 § h) personuppgiftslagen ska de uppgifter som begärs utplånade vara felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Även denna integritetsskyddande bestämmelse får därför antas vara tämligen verkningslös för den enskilde eftersom den bara är tillämplig när en uppgift är felaktig eller ofullständig med hänsyn till ändamålen med behandlingen. För att uppnå en miniminivå av effektivt integritetsskydd anser Datainspektionen att den enskilde ska ha rätt att motsätta sig att hans eller hennes personuppgifter behandlas i en forskningsdatabas. Den enskilde ska med andra ord ha rätt att kräva att få samtliga uppgifter som har registrerats om honom eller henne utplånade eller i vart fall fullständigt avidentifierade. Mot bakgrund av integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket regeringsformen bör denna rättighet regleras i förslaget till lag om forskningsdatabaser. Liknande bestämmelser om utplåning finns bland annat i 3 kap. 6 § lag om biobanker i hälso- och sjukvården m.m. och i 16 § lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Kodnyckelförfarande (9 §) Enligt 9 § i förslaget till lag om forskningsdatabaser ska, när uppgifter lämnas ut som inte direkt kan hänföras till en enskild, en kodnyckel sparas i 20 år. När dessa 20 år har förlöpt kan tiden förlängas på ansökan av forskningshuvudmannen eller på den ansvariga myndighetens eget initiativ. Av dataskyddsdirektivet art. 6.1. e) framgår att personuppgifter ska förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Art. 6.1. e) har införlivats i 9 § i) personuppgiftslagen. Datainspektionen saknar en analys av vilka skäl som talar för att införa ett krav på att bevara en kodnyckel under 20 år. För det första anser Datainspektionen att kodnycklar ska bevaras endast när forskningshuvudmannen begär det och presenterar godtagbara skäl för sin begäran. För det andra anser inspektionen att det är orimligt att i lag ställa ett undantagslöst krav på bevarande av kodnyckel under en så pass lång 9 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 tidsperiod. Det kan antas uppkomma situationer, exempelvis när en forskningsstudie avslutas eller upphör för att inte återupptas, då det helt saknas grund för att bevara en kodnyckel. För det tredje anser Datainspektionen att 20 år är en alltför lång tidsperiod att som huvudregel bevara kodnycklar. Tiden för bevarande av personuppgifter är en central fråga ur integritetsperspektiv. För att 9 § förslaget till lag om forskningsdatabaser ska vara förenlig med integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket regeringsformen och 6.1. e) i dataskyddsdirektivet måste, enligt Datainspektionens uppfattning, bevarandetiden för kodnycklar begränsas med hänsyn till vad som kan antas vara proportionerligt i förhållande till ändamålen med behandlingen. Datainspektionen anser att utformningen av 9 § medför att kodnycklar, med stöd av bestämmelsen, kan komma att sparas under en oöverskådlig tid. Begränsning av uppgifter (10 §) Enligt 10 § i förslaget till lag om forskningsdatabaser får en forskningsdatabas endast innehålla de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt 5 § samma lag. Enligt dataskyddsdirektivet art. 6.1. c) ska personuppgifter som behandlas vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. Art. 6.1. c) har införlivats i 9 § e) och f) personuppgiftslagen. Avgörande för vilka uppgifter som får samlas in är att de är nödvändiga, adekvata, relevanta och inte fler än nödvändigt för att uppfylla de ändamål som stipuleras för personuppgiftsbehandlingen. Datainspektionen vill därför än en gång poängtera vikten av att ändamålsbestämmelsen utformas på ett sätt som inte leder till en obegränsad insamling av personuppgifter. Vilka personuppgifter som får samlas in är en central fråga ur integritetsperspektiv. För att 10 § förslaget till lag om forskningsdatabaser ska vara förenlig med 6.1. c) i dataskyddsdirektivet måste, enligt Datainspektionens uppfattning, insamlingen av personuppgifter begränsas med hänsyn till ändamålen med behandlingen. För att begränsningen ska få effekt är det nödvändigt att ändamålen är särskilda och tydligt avgränsade. 1 0 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Alltför generöst utformade ändamål medför att den personuppgiftsansvarige kan samla in en obegränsad mängd uppgifter av olika art och känslighetsgrad. Mot bakgrund av integritetsskyddsbestämmelserna i 2 kap. 6 § andra stycket regeringsformen kan det inte anses tillräckligt att frågan om vilka personuppgifter som får samlas in regleras i förordning. Direktåtkomst (12 §) Datainspektionen har inga synpunkter på förbudet mot direktåtkomst i 12 § förslaget till lag om forskningsdatabaser. Datainspektionen vill dock uppmärksamma lagstiftaren på att utformningen av den aktuella bestämmelsen också medför ett förbud mot att medge en enskild individ direktåtkomst till uppgifter om sig själv.13 Intern elektronisk åtkomst (14 §) Enligt 14 § i förslaget till lag om forskningsdatabaser ska den personuppgiftsansvarige begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen. Styrning av åtkomst till personuppgifter är en teknisk åtgärd som vidtas för att skydda uppgifter från exempelvis otillåten tillgång och spridning, se art. 17.1 i dataskyddsdirektivet. Art. 17.1 är införlivad i 31 § personuppgiftslagen. Av betänkandet framgår att behovet av åtkomst främst tar sikte på utförande av åtgärder av rent administrativ karaktär.14 Datainspektionen antar att sådana åtgärder exempelvis kan vara administration vid begäran om utlämnande av uppgifter, upprättande av kodnycklar och teknisk support. Eftersom behovet av intern åtkomst är begränsat och eftersom en stor mängd integritetskänsliga personuppgifter kommer att lagras i en forskningsdatabas anser Datainspektionen att bestämmelsen måste förtydligas i syfte att förhindra obehörig åtkomst för andra ändamål såsom exempelvis pre-screening. Mot bakgrund av omfattningen och känsligheten hos de personuppgifter som kan komma att lagras i en forskningsdatabas anser Datainspektionen att begränsning av den interna elektroniska åtkomsten är central ur integritetsperspektiv. För att skydda personuppgifterna som behandlas, i 13 Se Datainspektionens beslut den 6 februari 2015, dnr 708-2014 angående enskildas direktåtkomst i registret Life Gene. 14 Se betänkandet s. 529 1 1 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 enlighet med art. 17.1 i dataskyddsdirektivet är det viktigt att ytterligare steg vidtas för att begränsa den interna elektroniska åtkomsten. Gallring av personuppgifter (15 §) Enligt 15 § i förslaget till lag om forskningsdatabaser ska personuppgifter gallras som inte längre behövs för de ändamål som avses i 5 § samma lag. Dataskyddsdirektivets bestämmelser om bevarande av personuppgifter har refererats ovan i avsnittet om kodnyckelförfarande.15 Mot bakgrund av de vidsträckta ändamålen i 5 § ”skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor” blir kravet på gallring i det närmaste illusorisk. Effekten blir sammantaget att den personuppgiftsansvarige ges möjlighet att bevara personuppgifter under en oöverskådlig tid. Datainspektionen anser att det som huvudregel måste finnas en bortre gräns för hur länge personuppgifter får bevaras i identifierbar form. När denna gräns är uppnådd ska personuppgifterna raderas eller avidentifieras på ett sådant sätt att de inte längre kan återskapas. Tiden för bevarande av personuppgifter är en central fråga ur integritetsperspektiv. För att 15 § förslag till lag om forskningsdatabaser ska vara förenlig med 6.1. e) i dataskyddsdirektivet måste bevarandetiden begränsas med hänsyn till ändamålen med behandlingen. En förutsättning för att bestämmelsen om gallring ska få en integritetsskyddande effekt är att ändamålen förtydligas och begränsas i den föreslagna lagen. Information om personuppgiftsbehandlingen (17 §) Av 17 § i förslaget till lag om forskningsdatabaser framgår vilken informationsskyldighet som åligger den personuppgiftsansvarige vid insamling av uppgifter direkt från den registrerade. Enligt Datainspektionens uppfattning kommer emellertid en övervägande del av personuppgifterna i en forskningsdatabas att samlas in från olika myndighetsregister utan den enskildes vetskap. Enligt förslaget ska enskilda individer, vid insamling av 15 Se s. 9 1 2 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 uppgifter från andra myndigheter inte lämna sitt samtycke till personuppgiftsbehandlingen och inte heller informeras om behandlingen. Den personuppgiftsansvariges skyldighet att informera den registrerade om behandlingen av personuppgifter framgår av art. 10 och 11 i dataskyddsdirektivet. Dessa bestämmelser har införlivats i 23 -25 §§ personuppgiftslagen. Av betänkandet framgår att utredaren utgår ifrån att undantaget från informationskravet i 24 § andra stycket personuppgiftslagen är tillämpligt vid insamling av uppgifter från andra myndigheter. 16 Datainspektionen ifrågasätter inte den bedömningen men anser att det, som en integritetshöjande åtgärd, behöver införas ett informationskrav i lagen. Generell information som överensstämmer med 25 § personuppgiftslagen kan exempelvis lämnas på den personuppgiftsansvariges webbplats. Jämför kravet på Socialstyrelsen att på lämpligt sätt informera allmänheten om sina olika hälsodataregister.17 Den registrerades rätt till information om personuppgiftsbehandlingen är en central fråga ur integritetsperspektiv. Av denna anledning anser Datainspektionen att förslaget till lag om forskningsdatabaser måste innehålla bestämmelser som garanterar den registrerade rätt till tillräcklig information om behandlingen av personuppgifter som utförs i forskningsdatabaser. Datainspektionens övriga synpunkter Bestämmelserna i förslaget till lag om forskningsdatabaser öppnar en möjlighet att för framtida forskningsändamål lagra en omfattande mängd personuppgifter i databaser som kommer hanteras av olika personuppgiftsansvariga. Det kan förutsättas att de personuppgifter som samlas in kan vara känsliga enligt definitionen i 13 § personuppgiftslagen eller på annat sätt av integritetskänslig karaktär. Vid behandling av känsliga och integritetskänsliga personuppgifter krävs att nödvändiga tekniska och organisatoriska säkerhetsåtgärder vidtas i enlighet med 31 § personuppgiftslagen. Datainspektionen saknar både utredning och 16 Se betänkandet s. 450-451 Se t.ex. 7 § förordning (2001:707) om patientregister hos Socialstyrelsen och 7 § förordning (2001:709) om cancerregister hos Socialstyrelsen 17 1 3 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 analys av behovet av reglering rörande vilka säkerhetsåtgärder som är nödvändiga för att skydda uppgifterna som behandlas i en forskningsdatabas. Enligt Datainspektionens mening bör, i det fortsatta lagstiftningsarbetet, behovet av bestämmelser om behörighetsstyrning, exempelvis krav på individuella inloggningskonton, åtkomstkontroll genom exempelvis regelbunden logguppföljning, stark autentisering och sökbegränsningar utredas och analyseras. Förslag till ändringar i lagen (2003:460) om etikprövning av forskning som avser människor Rådgivande yttrande (5 a §) Datainspektionen anser att om en lagändring ska ske behöver det klargöras att ett rådgivande yttrande inte kan likställas med ett godkännande enligt 6 § lagen om etikprövning av forskning som avser människor. Datainspektionen uppfattar att det huvudsakliga syftet med rådgivande yttranden är att forskare ska få möjlighet att finansiera sin forskning och publicera sina resultat i vetenskapliga tidskrifter. Det synes emellertid vara oklart vilken rättslig ställning ett rådgivande yttrande har och frågan berörs inte närmare i betänkandet. Mot bakgrund av dessa oklarheter måste det på ett tydligt sätt framgå att ett rådgivande yttrande exempelvis inte kan läggas till grund för att lämna ut uppgifter ur en forskningsdatabas i enlighet med 5 § punkten 2 förslag till lag om forskningsdatabaser. Förslag till lag om ändring av lagen (2001:99) om den officiella statistiken Utlämnande av uppgifter i vissa fall (16 §) Av betänkandet framgår att det kodnyckelförfarande som tillämpas idag är väl fungerande och att de forskare som begär att få en kodnyckel bevarad regelmässigt får sin begäran beviljad.18 Datainspektionen anser att det är en god ordning att de forskare som anser att det finns skäl att bevara en kodnyckel hos den utlämnande myndigheten måste begära att så sker. Att tillämpa ett omvänt förfarande får konsekvensen att en kodnyckel alltid måste bevaras även vid engångsuttag av registerdata där forskaren på förhand vet att det saknas behov att spara kodnyckeln annat än under en kort tidsperiod för att till exempel kunna korrigera felaktig data. 18 Se betänkandet s. 385. 1 4 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 När det gäller den angivna tidsperioden på 20 år och möjligheten till förlängning av denna tid hänvisas till vad som ovan angetts under rubriken ”Kodnyckelförfarande (9 §)”.19 Datainspektionen avstyrker förslaget till ändring av 16 § lagen om den officiella statistiken. Förslag till lag om Nationella biobanksregistret Den registrerades inställning till personuppgiftsbehandling (4 och 5 §§) Enligt 4 § första stycket och 5 § första stycket i förslaget till lag om Nationella biobanksregistret, får uppgifter om vävnadsprover som redan samlats in vid tidpunkten för lagens ikraftträdande, inte behandlas i Nationella biobanksregistret om den registrerade eller dennes vårdnadshavare motsätter sig det, s.k. opt-out. Av betänkandet framgår att det är viktigt att allmänheten på ett lämpligt sätt informeras om Nationella biobanksregistrets existens, dess ändamål och innehåll för att de registrerade ska ha möjlighet att utträda ur registret.20 Detta uttalande motsvaras emellertid inte av någon reglering i lagförslaget. Enligt Datainspektionens uppfattning bör det röra sig om ett mycket stort antal prover och provgivare vars uppgifter kommer att registreras i det Nationella biobanksregistret utan att provgivarna garanteras information om registreringen eller ges möjlighet att lämna sitt samtycke. En förutsättning för att den enskilde ska kunna utnyttja sin rätt att motsätta sig behandlingen av uppgifter i Nationella biobanksregistret är att han eller hon har kännedom om den. När det gäller vävnadsprover som samlats in före tidpunkten för lagförslagets ikraftträdande får det antas att majoriteten av provgivare har lämnat sitt samtycke till behandlingen i enlighet med 3 kap. lag om biobanker i hälsooch sjukvården m.m. Av 3 kap. 5 § samma lag framgår att vävnadsprover som bevaras i en biobank inte får användas för annat ändamål än som omfattas av tidigare information och samtycke utan att den som lämnat samtycket informerats om och samtyckt till det nya ändamålet. 19 20 Se s. 9-10 Se betänkandet s. 485 1 5 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Av förarbetena till lag om biobanker inom hälso- och sjukvården m.m. framgår följande avseende 3 kap. 5 §.21 I paragrafen finns bestämmelser om vad som gäller i fråga om information och samtycke när prover i en biobank skall användas för ett annat ändamål än det ursprungligen fastställda. Bestämmelsen är detaljerad för att markera betydelsen av att provgivaren eller dennes företrädare verkligen får adekvat information och ges tillfälle att ta ställning till att prover ställs till förfogande för ett annat ändamål än det ursprungligen fastställda. När det gäller fall med underåriga kan beslutanderätten ha gått över från vårdnadshavaren till barnet. I dessa fall skall det vara barnet som samtycker till det nya ändamålet. Enligt förslaget till lag om Nationella biobanksregistret kommer uppgifter att registreras som initialt har samlats in till biobanker med stöd av samtycke och en försäkran om att uppgifterna inte kommer att användas för andra ändamål, med mindre än att den registrerade samtycker till det. Insamlingen av dessa uppgifter till det Nationella biobanksregistret kommer, enligt förslaget, trots detta ske utan att det säkerställs att den registrerade informeras om behandlingen och än mindre ger sitt samtycke till densamma. Förutom att lagstiftningstekniken kan ifrågasättas anser Datainspektionen att det ursprungliga samtycket och dess villkor ska respekteras. Det är inte acceptabelt ur integritetsskyddssynpunkt att uppgifterna överförs till det Nationella biobanksregistret utan att den registrerade informeras om detta och lämnar sitt samtycke till behandlingen. I sammanhanget ska beaktas att den behandling av personuppgifter som kommer att utföras i det Nationella biobanksregistret utgör en ny behandling för andra ändamål. Mot denna bakgrund avstyrker Datainspektionen 4 § första stycket och 5 § första stycket i förslaget till lag om Nationella biobanksregistret. Underåriga (5 §) Enligt 5 § tredje stycket i förslaget till lag om Nationella biobanksregistret får en underårig, som uppnått en sådan ålder och mognad att han eller hon själv kan ta ställning i frågan lämna samtycke till behandlingen av personuppgifter. 21 Prop. 2001/02:44 Biobanker inom hälso- och sjukvården m.m. s. 74 1 6 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 Behandlingen av uppgifter om vävnadsprover i Nationella biobanksregistret avser personuppgifter av mycket känslig karaktär. Det kan vara svårt för en underårig att inse vidden av ett lämnat samtycke liksom det torde vara svårt för en vårdgivare att bedöma om och när en underårig har uppnått en sådan ålder och mognad att han eller hon själv kan ta ställning till frågan om samtycke. Det finns inga generella regler i integritetsskyddslagstiftningen som anger när ett barn kan antas ha uppnått en sådan ålder och mognad att han eller hon själv kan lämna ett rättsligt giltigt samtycke. Datainspektionens inställning är emellertid att vid behandling av personuppgifter i forskning är det lämpligt att inhämta samtycke från både äldre tonåringar och deras vårdnadshavare.22 Mot bakgrund av uppgifternas känsliga karaktär och de ändamål för vilka de kommer att behandlas avstyrker Datainspektionen 5 § tredje stycket förslag till lag om nationella forskningsdatabaser. Innehåll (8 §) Av 8 § i förslaget till lag om Nationella biobanksregistret framgår vilka uppgifter registret får innehålla. Enligt 8 § punkten 3 får Nationella biobanksregistret innehålla uppgift som avser ställningstaganden till bevarande av vävnadsprover. Av betänkandet framgår att det handlar om alla typer av ställningstaganden exempelvis att provgivaren endast samtyckt till att vävnadsprover får bevaras och behandlas för vissa ändamål.23 Enligt Datainspektionens uppfattning måste, för att bestämmelsen ska få avsedd effekt, provgivaren också informeras om att han eller hon har rätt att avgränsa sitt samtycke för vissa bestämda ändamål. Detta bör lämpligen regleras genom ett tillägg i 12 § förslaget till lag om Nationella biobanksregistret. Enligt 8 § punkten 7 får Nationella biobanksregistret innehålla uppgift om diagnos och analysresultat. Uppgifter om diagnos och analysresultat är särskilt känsliga ur ett integritetsskyddsperspektiv eftersom uppgifterna ger direkt information om den enskildes hälsostatus. Datainspektionen ser en risk med att tillåta registrering av diagnos och analysresultat i det Nationella biobanksregistret. För det första tenderar 22 23 Samtycke enligt personuppgiftslagen, Datainspektionen informerar, s. 10-11 Se betänkandet s. 488 och 538-539 1 7 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 registerinnehållet att närmast bli en hälso- och sjukvårdsjournal utan att den personuppgiftsansvarige behöver beakta bestämmelserna om exempelvis sammanhållen journalföring i 6 kap. patientdatalagen (2008:355). För det andra saknas gallringsbestämmelser i förslaget till lag om Nationella biobanksregistret vilket medför att uppgifterna kan komma att bevaras en lång tid efter det att hälso- och sjukvårdens journaler har gallrats. För det tredje kan uppgifterna i det Nationella biobanksregistret kombineras och samköras med exempelvis kvalitetsregister vilket ökar möjligheterna till en detaljerad kartläggning av enskilda. Mot bakgrund av det ovan angivna avstyrker Datainspektionen 8 § punkten 7 förslag till lag om Nationella biobanksregistret. Information (12 §) Datainspektionen ser positivt på informationskravet i 12 § förslaget till lag om Nationella biobanksregistret. Datainspektionen anser dock att bestämmelsen behöver förtydligas mot bakgrund av vad som angetts ovan rubriken ”Innehåll (8 §)”.24 Datainspektionens övriga synpunkter Datainspektionen hänvisar till vad som ovan angetts i andra stycket under rubriken ”Datainspektionens övriga synpunkter”.25 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Utlämnande av uppgift med förbehåll Datainspektionen välkomnar ett ökat sekretesskydd för personuppgifter som behandlas för forskningsändamål. Datainspektionen delar dock inte utredarens slutsats att uppgifter som lämnas ut till aktörer som inte omfattas av offentlighets- och sekretesslagstiftningen kommer att åtnjuta samma skydd genom en tillämpning av bestämmelsen om förbehåll i 10 kap. 14 § offentlighets- och sekretesslagen.26 För det första måste det avgöras i varje enskilt fall om det är möjligt att lämna ut en uppgift med förbehåll. För det andra ska ett beslut om förbehåll innehålla tydliga anvisningar och kan bara ges till en fysisk person. För det 24 25 26 Se s. 17 Se s. 13-14 Se betänkandet s. 384 1 8 (19) Datainspektionen 2015-02-06 Diarienr 2469-2014 tredje anser Datainspektionen att det är oklart vilken rättslig ställning ett förbehåll har för mottagare som befinner sig utanför Sveriges gränser, om ett sådant utlämnande skulle bli aktuellt. Sammantaget anser Datainspektionen att ett utlämnande av uppgifter med beslut om förbehåll aldrig kan ersätta en bestämmelse om absolut sekretess hos mottagaren. Bestämmelsen om förbehåll är dessutom förhållandevis komplicerad att tillämpa och det torde medföra svårigheter att följa upp att mottagaren i praktiken efterlever ett beslut om förbehåll. Mot denna bakgrund anser Datainspektionen att frågan om hur uppgifterna ska få ett skydd som motsvarar absolut sekretess hos mottagare som inte omfattas av regleringen i offentlighets- och sekretesslagen bör utredas och analyseras vidare. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Ingela Alverfors. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Ingela Alverfors 1 9 (19)
© Copyright 2024