Forskning og statistik

Særligt om sundhedsområdet

Udover de databeskyttelsesretlige regler gælder der særlige regler i anden lovgivning, når der behandles personoplysninger i forbindelse med f.eks. sundhedsvidenskabelige forskningsprojekter.

Videnskabelige og statistiske undersøgelser skal ikke længere anmeldes til Datatilsynet. Dog kan der være særlovgivning, der stiller krav om f.eks. anmeldelse og indhentelse af tilladelse hos andre myndigheder. Det gælder blandt andet de områder, der er nævnt nedenfor.

 

Efter komitéloven er der således krav om, at visse sundhedsvidenskabelige forskningsprojekter skal anmeldes til det videnskabsetiske komitésystem. Læs mere herom på National Videnskabsetisk Komités hjemmeside.

 

Som andre eksempler på særregler kan nævnes behandling af personoplysninger til brug ved kliniske forsøg med lægemidler omfattet af lægemiddelloven, afprøvninger af medicinsk udstyr omfattet af lov om medicinsk udstyr eller i forbindelse med pligtmæssig sikkerhedsovervågning (bivirkningsrapportering) af lægemidler og medicinsk udstyr i medfør af de nævnte to love.

 

Selv om en behandling af personoplysninger er omfattet af særregler i forbindelse med udførelse af forskningsprojekter, skal de databeskyttelsesretlige regler stadig overholdes.

 

Behandling af personoplysninger omfattet af bl.a. de ovennævnte eksempler på særlovgivning – på nær komitéloven – sker som udgangspunkt ikke i medfør af databeskyttelseslovens § 10, bl.a. fordi særlovgivningen indeholder regler om indberetninger om bivirkninger og alvorlige uønskede hændelser. Det indebærer bl.a., at der ikke kan ske videregivelse af personoplysninger til et andet forskningsprojekt med hjemmel i reglerne i databeskyttelseslovens § 10.

 

Der er i sundhedsloven særlige regler om f.eks. videregivelse af oplysninger om enkeltpersoners helbredsforhold, øvrige private forhold og andre fortrolige oplysninger fra patientjournaler mv.

Forskning og statistik

Der må under visse betingelser behandles personoplysninger i forbindelse med udførelse af statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.

Det følger af databeskyttelsesforordningen, at medlemsstaterne har mulighed for at fastsætte nationale særregler, som opstiller betingelser, der skal sikre fornødne garantier for de registreredes rettigheder og frihedsrettigheder ved behandling af følsomme oplysninger til historiske eller videnskabelige forskningsformål eller statistiske formål.

Vi har i Danmark benyttet os af dette nationale råderum ved fastsættelse af reglerne i databeskyttelseslovens § 10, der tillader behandling af følsomme personoplysninger uden den registreredes samtykke, hvis behandlingen udelukkende sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning. Det samme gør sig gældende for almindelige personoplysninger, der kan behandles efter databeskyttelsesforordningens artikel 6, stk. 1, litra e (opgave i samfundets interesse).

Disse regler kan også anvendes, når der indsamles oplysninger direkte hos den registrerede.

Behandlingen må kun ske med henblik på forskning og statistik og skal være nødvendig for udførelsen af undersøgelserne. Oplysningerne kan derfor for eksempel ikke anvendes i journalistisk øjemed, til administrativ sagsbehandling eller patientbehandling. Denne begrænsning gælder under hele behandlingen og kan ikke senere fraviges ved at indhente samtykke fra de registrerede.

Selve resultaterne af undersøgelserne kan anvendes til andre formål end forskning og statistik, hvis det af resultaterne ikke er muligt at identificere enkeltpersoner. Der må med andre ord ikke være tale om personoplysninger, hvis oplysninger fra projektet skal anvendes til andre formål end forskning og statistik.

Undersøgelsernes ”rå-data” kan også anvendes til andre formål end forskning og statistik, hvis oplysningerne er fuldstændigt anonymiserede. Du kan læse mere om anonymisering under Hvad er personoplysninger?

Undersøgelser, der sker på baggrund af de registreredes udtrykkelige samtykke – f.eks. en spørgeskemaundersøgelse – omfattes ikke af reglerne i databeskyttelseslovens § 10. Det betyder, at de særlige krav i denne bestemmelse ikke finder anvendelse. Forskeren skal dog fortsat overholde de øvrige databeskyttelsesretlige regler og være særligt opmærksom på, at et samtykke til enhver tid kan trækkes tilbage. Du kan læse mere om samtykke under vejledning om samtykke.

Den dataansvarlige for et forskningsprojekt skal som hovedregel overholde de almindelige databeskyttelsesregler og er ansvarlig for at påvise, at personoplysningerne behandles i overensstemmelse med disse. Du kan læse mere om disse her.

Det indebærer blandt andet, at:

  • Alle, der arbejder med forskningsprojektet, skal være oplyst om databeskyttelsesreglerne og den dataansvarliges retningslinjer herefter.

  • Personoplysninger i både manuel og elektronisk form skal opbevares på en måde, der sikrer at uvedkommende ikke får adgang til personoplysningerne. Det omfatter interne netværk, udtagelige lagringsmedier, sikkerhedskopier af data, udskrifter, fejl- og kontrollister, biologisk materiale m.v.

  • Personoplysninger skal opbevares på en måde, der sikrer mod hændeligt tab, tilintetgørelse eller beskadigelse af personoplysningerne.

  • Den dataansvarlige må ikke behandle flere oplysninger, end hvad der nødvendigt af hensyn til undersøgelsen.

  • Den dataansvarlige skal i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3, indgå en skriftlig aftale med en eller flere eventuelle databehandlere.

  • Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab, eventuelt ved kryptering

Den dataansvarlige skal desuden foretage en kortlægning over risikoen for de registreredes rettigheder afvejet med de forholdsregler, der bliver truffet for at sikre denne beskyttelse. Du kan læse mere herom under i vejledning om behandlingssikkerhed.

Skal forskningsprojekter anmeldes til Datatilsynet?

Nej. Der stilles ikke længere krav om forudgående tilladelse fra Datatilsynet.

Videregivelse i forbindelse med forskningsprojekter

Personoplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, må alene videregives – f.eks. til et andet forskningsinstitut – med henblik på modtagerens udførelse af en undersøgelse i statistisk eller videnskabeligt øjemed af væsentlig samfundsmæssig betydning. 

Datatilsynet har fastsat en bekendtgørelse om, hvornår og hvordan en sådan videregivelse må finde sted. Du kan læse bekendtgørelsen her og den tilhørende vejledning til bekendtgørelsen her.

Bekendtgørelsen om videregivelse finder ikke anvendelse, hvis Datatilsynet har fastsat vilkår i forbindelse med en tilladelse til videregivelse.

Der skal som udgangspunkt ikke indhentes tilladelse til videregivelse af personoplysninger hos Datatilsynet. Dog skal Datatilsynets forudgående tilladelse til videregivelse indhentes i følgende tre tilfælde: 

  • Når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde – eksempelvis til USA.

  • Når videregivelsen vedrører biologisk materiale – eksempelvis blod- eller vævsprøver.

  • Når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende.

I de tilfælde, hvor Datatilsynets forudgående tilladelse skal indhentes, vil de bekendtgørelsen om videregivelse suppleres med de særlige vilkår Datatilsynet fastsætter i tilladelsen.

Under Blanketter finder du den blanket, du skal bruge for at anmode om tilladelse fra Datatilsynet til videregivelse.

Registreredes rettigheder 

Oplysningspligten efter de databeskyttelsesretlige regler gælder som udgangspunkt ved videnskabelige eller statistiske projekter. Dog vil undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b – om umulighed eller uforholdsmæssighed – ofte finde anvendelse ved behandling af personoplysninger, der sker til videnskabelige eller historiske eller til statistiske formål. 

Følgende rettigheder finder ikke anvendelse for undersøgelser, hvor oplysningerne udelukkende behandles i videnskabeligt eller statistisk øjemed: 

  • Den registreredes indsigtsret.

  • Retten til berigtigelse.

  • Retten til begrænsning af behandling.

  • Retten til indsigelse.

Ved forskningsprojektets afslutning

Når formålet med behandling af oplysninger til statistiske eller videnskabelige undersøgelser er ophørt, skal alle personoplysninger slettes eller anonymiseres. Fuldstændigt anonymiserede oplysninger er ikke omfattet af de databeskyttelsesretlige regler, og oplysningerne må derfor fortsat opbevares og anvendes. Med fuldstændigt anonymiserede oplysninger menes oplysninger, som ikke af nogen kan tilbageføres til enkelte personer.

Hvis projektet også omfatter blod- og vævsprøver, videooptagelser el.lign., skal også dette materiale destrueres, slettes eller anonymiseres.

Datatilsynet skal bemærke, at formålet med en statistisk eller videnskabelig undersøgelse kan være mere end blot gennemførelsen heraf. Formålet kan også omfatte opbevaring af personoplysningerne i en periode efter, at undersøgelsen har nået sin ende, med henblik på f.eks. peer review eller imødegåelse af anklager om videnskabelig uredelighed.

Ofte stillede spørgsmål om forskning

Ved afgørelsen af hvem der er dataansvarlig for personoplysninger i et forskningsprojekt, kan der bl.a. lægges vægt på:

  • Hvem har taget initiativ til projektet?
  • Hvem finansierer projektet?
  • Aflønnes forskeren af f.eks. den offentlige myndighed?
  • På hvilket it-udstyr vil der ske behandling af forskningsoplysningerne?
  • Hvem har instruktionsbeføjelser i projektet?
  • Hvad vil der ske, hvis forskeren finder et nyt job – vil den pågældende fortsætte projektet efterfølgende?
  • Hvem kan tage skridt til sletning?
  • Hvem deltager i projektet?
  • Hvor længe skal forskningsprojektet forløbe?

Læs meget mere i vejledningen om databeskyttelsesretlig rollefordeling i forskningsprojekter.

Nej. Oplysninger, der behandles med henblik på at udføre en undersøgelse af væsentlig samfundsmæssig betydning (forskningsdata), må ikke senere behandles i andet end statistisk eller videnskabeligt øjemed.

Det betyder, at oplysningerne ikke kan anvendes til fx markedsføring, sagsbehandling eller patientbehandling.

Sundhedsministeren har dog mulighed for – efter forhandling med justitsministeren – at fastsætte regler om viderebehandling af oplysninger fra forskningsprojekter, hvis behandlingen er nødvendig af hensyn til varetagelse af den registreredes vitale interesser.

Oftest ja. Videregivelse af personoplysninger forudsætter dog, at databeskyttelsesreglerne overholdes, herunder at der er hjemmel til videregivelsen, og at de grundlæggende behandlingsregler om saglighed, nødvendighed og proportionalitet er overholdt.

Nej, databeskyttelsesreglerne fastlægger kun, hvornår offentlige myndigheder, private virksomheder mv. kan og må behandle personoplysninger.

Reglerne siger ikke noget om, hvornår en offentlig myndighed, privat virksomhed mv. er forpligtet til at udlevere personoplysninger til andre.

Der findes særlige regler om videregivelse af oplysninger fra patientjournaler mv. til en forsker til brug for et konkret sundhedsvidenskabeligt forskningsprojekt i sundhedsloven.

Regionsrådene skal under visse omstændigheder godkende en videregivelse fra patientjournaler mv.

Du bedes kontakte regionsrådene, hvis du har spørgsmål herom.

Databeskyttelsesreglerne skal overholdes i forbindelse med gennemførelse af multinationale forskningsprojekter.

Oftest er det afgørende at få afklaret, hvor dataansvaret er placeret, samt hvorvidt der anvendes databehandlere.

Oplysningerne i et projekt skal slettes, når formålet med behandlingen af personoplysningerne er ophørt.

Det betyder, at oplysningerne skal slettes, når en undersøgelse er afsluttet, når en statistik er udarbejdet, eller når der ikke længere er et andet konkret og sagligt formål med den fortsatte behandling af oplysningerne i personhenførbar form. Sidstnævnte kan f.eks. være, hvis den dataansvarlige er nødsaget til at opbevare oplysningerne i en periode efter undersøgelsens afslutning for at kunne muliggøre peer review eller for imødegå anklager om videnskabelig uredelighed.

Som alternativ til sletning af oplysningerne kan den dataansvarlige vælge at anonymisere oplysningerne, så det ikke længere er muligt at identificere de registrerede personer, eller overføre oplysningerne til arkiv efter arkivlovens regler.