Ny veileder om forskning og personvern i kjølvannet av koronautbruddet

| Innsikt

Personvernrådet i EU (European Data Protection Board, EDPB) har nylig utgitt en veileder som belyser noen viktige problemstillinger knyttet til bruk av helseopplysninger ved vitenskapelig forskning i forbindelse med koronautbruddet.

Koronautbruddet har ledet til en rekke viktige forskningsinitiativer, blant annet for å finne effektive måter å behandle COVID-19 og for å utvikle en vaksine. Personvernregelverket anerkjenner viktigheten av vitenskapelig forskning, men setter samtidig rammer for behandlingen av personopplysninger. Den nye veilederen fra Personvernrådet tar for seg noen viktige temaer og problemstillinger rundt dette. Veilederen fokuserer på vitenskapelig forskning i forbindelse med koronautbruddet, men vil også være relevant for forskning på andre områder.

Veilederen omhandler blant annet:

  • Hva som skal regnes som «helseopplysninger» etter GDPR. Ifølge veilederen kan opplysninger også regnes som helseopplysninger ut fra konteksten de brukes i, f.eks. hvis helsepersonell bruker opplysninger om at en person har vært i et område rammet av COVID-19 til å diagnostisere vedkommende.
  • Bruk av helseopplysninger i vitenskapelig forskning der opplysningene opprinnelig ble samlet inn for et annet formål, og hvilke forpliktelser man bør være oppmerksomme på i den forbindelse.
  • Hvilke rettslige grunnlag som kan være aktuelle for behandling av helseopplysninger til vitenskapelig forskning. Veilederen trekker særlig frem (eksplisitt) samtykke og forskning og forskningsformål som er regulert i nasjonal rett.
  • Hvordan de registrerte skal få tilstrekkelig informasjon, og eventuelle unntak fra plikten til å gi informasjon.
  • Krav til dataminimering og lagringstid. Veilederen forutsetter blant annet at opplysningene må anonymiseres dersom det er mulig å gjennomføre forskningen med anonymiserte opplysninger. Veilederen forutsetter også at det fastsettes en frist for hvor lenge opplysningene kan lagres.
  • Tiltak for å sikre opplysningenes integritet og konfidensialitet. Veilederen forutsetter at slike tiltak i det minste bør omfatte pseudonymisering, kryptering, avtaler om taushetsplikt og streng styring, begrensning og logging av tilganger til opplysningene. Det kan også gjelde ytterligere krav etter nasjonal rett, f.eks. etter helseforskningsloven.
  • Utøvelse av og begrensninger i de registrertes rettigheter, f.eks. i retten til sletting.
  • Forhold å ta i betraktning dersom forskningen forutsetter at personopplysninger overføres til en aktør utenfor EU/EØS.

Veilederen fra Personvernrådet er tilgjengelig her. Personvernrådet har også utgitt en veileder om bruk av geolokasjon og andre sporingsverktøy i forbindelse med koronautbruddet, som er tilgjengelig her.