Dir. 2013:8

Förutsättningar för registerbaserad forskning

Kommittédirektiv

Förutsättningar för registerbaserad forskning

Beslut vid regeringssammanträde den 17 januari 2013.

Sammanfattning

Inom forskning som förutsätter tillgång till personanknutna registeruppgifter kan två samhälleliga intressen stå i konflikt med varandra, å ena sidan intresset av att bedriva forskning som ger upphov till ny viktig kunskap och å andra sidan intresset av att skydda den enskilda individens integritet. Det är av stor vikt att regelverket tillgodoser den enskilda individens integritetsskydd för att bibehålla allmänhetens förtroende för forskningen. Med detta som bakgrund ska en särskild utredare få i uppdrag att undersöka förutsättningarna för att bedriva s.k. registerbaserad forskning.

Utredaren ska lämna författningsförslag och andra förslag i syfte att

  • registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,
  • sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och
  • göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för särskilda och uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Utredaren ska även
  • undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning.

Vid utformningen av samtliga förslag ska utredaren göra en avvägning mellan forskningens behov av tillgång till uppgifter och den enskildes rätt till personlig integritet.

Uppdraget ska redovisas senast den 30 juni 2014.

Bakgrund

Registerbaserad forskning

De svenska registren med personuppgifter utgör en potential för världsledande forskning. I propositionen Ett lyft för forskning och innovation (prop. 2008/09:50) framhölls att dessa registeruppgifter skulle kunna utnyttjas effektivare och mera samordnat och ge Sverige unika förutsättningar för att utföra angelägen tvärvetenskaplig forskning.

I dataskyddssammanhang används ofta begreppen register och databaser samt andra begrepp som avser avgränsade uppgiftssamlingar. I det följande avses med register även databaser, elektroniska ärendehanteringssystem eller motsvarande samlingar av uppgifter och med registerbaserad forskning den forskning som innefattar behandling av uppgifter som forskare dels hämtat från uppgiftssamlingar hos myndigheter, dels själva samlat in genom olika mätningar eller direkt från enskilda.

Författningsreglering av personuppgiftsbehandling för registerbaserad forskning

Forskare som behandlar personuppgifter måste följa den lagstiftning som finns för sådan behandling.

På unionsrättslig nivå regleras behandling av personuppgifter i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. I meddelandet Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (KOM/2010/0609) aviserade EU-kommissionen en strategi för en översyn av EU:s dataskyddsreglering. Inom EU bereds för närvarande ett förslag till Europaparlamentets och rådets

förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

De dataskyddsregler som antagits inom ramen för Europarådet finns främst i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 har Europarådet inlett en översyn av denna konvention. Denna översyn pågår.

På nationell nivå är de i detta sammanhang mest relevanta lagarna personuppgiftslagen (1998:204, PUL), genom vilken dataskyddsdirektivet har genomförts i svensk rätt, de s.k. registerförfattningarna, offentlighets- och sekretesslagen (2009:400, OSL) och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

PUL innehåller grundläggande bestämmelser om bl.a. behandling av personuppgifter, personuppgiftsansvar, information till den registrerade, skadestånd och straff.

Behandling av personuppgifter regleras också i ett stort antal registerförfattningar som innehåller särregleringar på olika områden i förhållande till PUL, t.ex. patientdatalagen (2008:355). Sådana författningar kan reglera behandling av personuppgifter i regelrätta register, men de kan också reglera behandling av personuppgifter inom en viss verksamhet, i en databas, i ett eller flera ärendehanteringssystem eller i löpande texter. Registerförfattningarna saknar en sinsemellan enhetlig struktur och begreppsbildning. En särskild utredare har därför fått i uppdrag att bl.a. utarbeta en generell modell för reglering av registerfrågor (dir. 2011:86). Registerförfattningarna innehåller ofta bestämmelser om direktåtkomst och annat elektroniskt utlämnande av uppgifter som påverkar hur eller om forskare kan få tillgång till uppgifter. De kan också innehålla bestämmelser om personuppgiftsansvar, information, samtycke

och sambearbetning, som kan påverka möjligheten för forskare att få tillgång till uppgifter i syfte att göra t.ex. bortfallsanalyser.

OSL innehåller sekretessbestämmelser och bestämmelser om bl.a. myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.

I etikprövningslagen finns det bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den tillämpas på forskning som innefattar behandling av dels sådana uppgifter som i PUL betecknas som känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv (13 § PUL), dels uppgifter om lagöverträdelser m.m. (21 § PUL). Förutom bestämmelser om godkännande av sådan forskning innehåller lagen bl.a. bestämmelser om utlämnande av personuppgifter, information och samtycke.

Bland övriga lagar som i vissa sammanhang kan vara relevanta för registerbaserad forskning kan nämnas lagen (2001:99) om den officiella statistiken även om den inte i huvudsak reglerar användningen av registeruppgifter för forskningsändamål. Den innehåller bl.a. bestämmelser om officiell statistik och viss annan statistik som tas fram hos en statistikansvarig myndighet.

Ändamålsbestämmelser för behandling av personuppgifter

Av 3 § PUL följer att såväl insamling som utlämnande av personuppgifter utgör behandling av personuppgifter. Enligt artikel 6.1b i dataskyddsdirektivet och 9 § första stycket c PUL får personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I 9 § d PUL föreskrivs att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). En behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses oförenlig med de ändamål för vilka uppgifterna ursprungligen

samlades in (artikel 6.1b i dataskyddsdirektivet och 9 § andra stycket PUL).

När det gäller hur ändamålen i en registerförfattning ska formuleras har regeringen uttalat att syftet med ändamålen i en registerförfattning är att ange en yttersta ram inom vilken personuppgifter får behandlas och att det ligger i sakens natur att ändamålsbestämmelser ofta måste formuleras tämligen generellt (prop. 1997/98:97 s. 121).

Den närmare regleringen i PUL och etikprövningslagen

Känsliga personuppgifter får enligt 19 § PUL behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen. Sådana personuppgifter får även behandlas för statistikändamål om behandlingen är nödvändig av något av de skäl som anges i 10 § samma lag och om samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om behandlingen har godkänts av en forskningsetisk kommitté ska de angivna förutsättningarna anses uppfyllda.

Det är vidare förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 § PUL). Även sådana uppgifter om lagöverträdelser m.m. får dock behandlas för forskningsändamål av andra än myndigheter om behandlingen har godkänts enligt etikprövningslagen.

Enligt 3 och 6 §§ etikprövningslagen får forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. bara utföras om forskningen har godkänts vid en etikprövning. I forskningen får dessutom behandling av de känsliga personuppgifterna bara ske om även själva behandlingen av personuppgifterna har godkänts vid etikprövningen. Ett godkännande av en etikprövningsansökan ska avse ett visst projekt, en del av projekt eller en på något liknande sätt bestämd forskning. Om det inte finns något sådant godkännande har forskaren alltså inte rätt att behandla sådana

personuppgifter som avses i 13 eller 21 §§ PUL. I sådana fall är den myndighet som förfogar över uppgiften också förhindrad att lämna ut uppgifterna enligt 21 kap. 7 § OSL. Enligt sistnämnda bestämmelse gäller sekretess för en personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften efter ett utlämnande kommer att behandlas i strid med PUL.

Utlämnande av uppgifter för forskningsändamål

Registeruppgifter som ingår i allmänna handlingar omfattas av offentlighetsprincipen. Bestämmelser om allmänna handlingar finns i 2 kap. tryckfrihetsförordningen (TF). Skyldigheten att lämna ut en allmän handling omfattar inte bara s.k. konventionella handlingar, t.ex. pappershandlingar, och s.k. färdiga elektroniska handlingar utan även s.k. potentiella allmänna handlingar, dvs. sammanställningar av uppgifter ur en upptagning för automatiserad behandling. En sådan sammanställning utgör en allmän handling under förutsättning att den kan tas fram med rutinbetonade åtgärder (2 kap. 3 § andra stycket TF). En sammanställning av uppgifter ur en upptagning för automatiserad behandling som innehåller personuppgifter utgör inte en allmän handling om myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig (2 kap. 3 § tredje stycket TF). Så kallade ändamålsbegränsningar och villkorade sökförbud i registerförfattningar anses dock normalt inte begränsa handlingsbegreppet (prop. 2007/08:160 s. 69 och prop. 2009/10:85 s. 154 f.). Det gör däremot s.k. absoluta sökförbud, dvs. en bestämmelse som innebär att en myndighet under inga omständigheter får söka på en viss typ av uppgift.

När en uppgift i en myndighets register begärs utlämnad av en annan enskild än den registrerade, ska myndigheten alltså först ta ställning till om uppgiften finns i en allmän handling. Om det konstateras att uppgiften finns i en allmän handling, ska myndigheten därefter pröva om uppgiften omfattas av sekretess. Om så är fallet kan uppgifterna eventuellt lämnas ut med stöd av någon sekretessbrytande bestämmelse (se t.ex. 10 kap. OSL).

Någon allmän bestämmelse i OSL om utlämnande av uppgifter för forskningsändamål finns inte. I förarbetena till den tidigare sekretesslagen (1980:100), SekrL, diskuterades bl.a. utlämnande av uppgifter för forskningsändamål (prop. 1979/80:2 Del A s. 346). Det konstaterades då att om den efterfrågade uppgiften är hemlig enligt en sekretessbestämmelse som innehåller ett s.k. skaderekvisit torde skadeprövningen ofta kunna resultera i ett utlämnande av uppgiften. Det erinrades i detta sammanhang om att om mottagaren är en offentlig institution överförs sekretessen till institutionen (nuvarande 11 kap. 3 § OSL) samt att en enskild forskare kan åläggas tystnadsplikt med stöd av 14 kap. 9 § SekrL (nuvarande 10 kap. 14 § OSL). Vidare anfördes att forskningens behov kan tillgodoses enligt särskilda föreskrifter och att forskningen i vissa fall får tillgång till uppgifter med stöd av den s.k. generalklausulen (nuvarande 10 kap. 27 § OSL) eller efter dispens från regeringen enligt 14 kap. 8 § SekrL (nuvarande 10 kap. 6 § OSL).

En myndighet är inte skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (2 kap. 13 § TF). Om uppgifterna ska lämnas ut, finns det alltså normalt ingen skyldighet för myndigheten att göra det elektroniskt. Om det föreligger hinder mot att lämna ut uppgifterna elektroniskt enligt en registerförfattning, får uppgifterna således endast lämnas ut på papper.

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Denna skyldighet är mer långtgående än skyldigheten att lämna ut allmänna handlingar till allmänheten enligt tryckfrihetsförordningen, eftersom skyldigheten enligt 6 kap. 5 § OSL omfattar varje uppgift en myndighet förfogar över, alltså inte bara uppgifter ur allmänna handlingar. Om det är fråga om en sekretessbelagd uppgift och en s.k. sekretessbrytande bestämmelse (3 kap. 1 § OSL) är tillämplig innebär den sekretessbrytande bestämmelsen i kombination med 6 kap. 5 § OSL att en myndighet är skyldig att lämna ut uppgiften till

en myndighet som begär det. I vilken form uppgifterna kan lämnas avgörs, om det är fråga om personuppgifter, av personuppgiftsregleringen. Det kan vidare vara så att registerförfattningen hos den myndighet som förfogar över uppgifterna är försedd med en uttömmande ändamålsreglering som inte möjliggör utlämnande för forskningsändamål. I sådana fall uppstår en normkonflikt mellan ändamålregleringen i registerförfattningen och uppgiftsskyldigheten enligt 6 kap. 5 § OSL (jfr SOU 2003:99 s. 231 f. och dir. 2011:86 s. 22).

I 24 kap. OSL finns det bestämmelser om sekretess till skydd för enskild inom forskning och statistik. I s.k. longitudinella forskningsprojekt, dvs. mätningar av utvecklingen över tid av en och samma företeelse, används ofta den officiella statistikens datamaterial. Som huvudregel gäller enligt 24 kap. 8 § OSL sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Det kan i sammanhanget nämnas att regeringen i ett beslut efter sekretessprövning enligt 24 kap. 8 § OSL funnit att uppgifter om enskilda i ett myndighetsregister som förs utan samtycke med stöd av bl.a. lagen om hälsodataregister kan lämnas ut för genomförande av bortfallsanalys inom ramen för ett forskningsprojekt som godkänts vid etikprövning (dnr S2009/10484/FS). Om särskilt behov föreligger får en statistikansvarig myndighet lämna ut uppgifter som inte direkt kan hänföras till en enskild enligt 16 § lagen (2001:99) om den officiella statistiken. I samband med utlämnandet får myndigheten förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna (s.k. löpnummer). På så sätt kan en forskare återkommande under ett forskningsprojekt få uppdateringar av de registeruppgifter som

tidigare har lämnats ut från en myndighet när nya uppgifter tillkommer i registren, utan att enskildas identitet röjs. Enligt Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning (11:2010) finns otydligheter i nuvarande regelverk då de två regelverken OSL och lagen om den officiella statistiken ska tillämpas tillsammans.

Sambearbetning av uppgifter från myndigheters register

För att kunna utnyttja den fulla potentialen i registeruppgifter vid forskning uppkommer ofta behov av sambearbetning av data från olika register. Vid sambearbetning måste uppgifter om samma person som hämtats från olika register kunna sammankopplas. I de fall samtliga registeruppgifter finns hos en och samma myndighet, t.ex. hos SCB, kan sambearbetningen ske redan på denna myndighet. Forskarna får då tillgång endast till oidentifierbara uppgifter. I andra fall kan registeruppgifterna finnas hos olika myndigheter. Dessa uppgifter kan då inte vara helt oidentifierbara, eftersom sammankopplingen då omöjliggörs. Det uppstår därmed särskilda frågor om lagstiftningen kring individens integritetsskydd. Sambearbetning av registeruppgifter kan underlättas genom att det skapas nya databasinfrastrukturer för bestämda, men relativt allmänt hållna, forskningsändamål. Sambearbetning av data kan också ske genom teknologi som möjliggör att data hanteras i befintliga register och att bearbetning av data enbart sker i samband med det aktuella analystillfället. Sambearbetning av data kan då genomföras utan att nya databasinfrastrukturer behöver skapas eller att data som redan finns i ett register behöver lagras även i andra register. Att ytterligare utveckla sådana tekniska möjligheter för att på ett resurseffektivt och praktiskt genomförbart sätt genomföra sambearbetning av data skulle innebära att den enskilde forskaren enbart skulle få tillgång till redan bearbetade och avkodade data. Stora sambearbetade register som lagras permanent borde därmed på sikt i många fall kunna avvecklas och skyddet för den enskildes integritet kunna stärkas.

I ett tilläggsdirektiv (dir. 2012:15) till Statistikutredningen 2012 (Fi 2011:05) gav regeringen utredaren i uppdrag att föreslå organisatoriska och tekniska åtgärder som kan underlätta registerbaserad forskning och samtidigt skydda och stärka individens integritet. Utredaren föreslog i ett delbetänkande, Registerdata för forskning (SOU 2012:36) bl.a. att en ny myndighet bör inrättas med uppgift att stödja och utveckla registerbaserad forskning. Den nya myndigheten bör enligt utredaren bl.a. få ansvar för att upprätta ett register över befintliga register och att underlätta datahantering och fjärråtkomst till datauppgifter. I propositionen Forskning och innovation (2012/13:30) gjorde regeringen bedömningen att Vetenskapsrådet bör få i uppdrag att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och i budgetpropositionen för 2013 (prop. 2012/13:1) anslås medel till myndigheten för inrättandet av en informations- och rådgivningsfunktion för registerbaserad forskning.

Behandling av personuppgifter som samlas in för framtida forskningsändamål

Det är för närvarande problematiskt för forskare att skapa register med känsliga personuppgifter som underlag för framtida forskning. Det kan t.ex. röra sig om longitudinella forskningsprojekt där många uppgifter om ett stort antal individer samlas in för att användas i olika forskningsprojekt. Sådana register som inte avser ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning kan normalt inte godkännas av en etikprövningsnämnd. Centrala etikprövningsnämnden har avvisat ansökningar om etikprövning för sådana forskningsprojekt med hänvisning till att projektet är alltför ospecificerat och det inte går att bedöma ur forskningsetisk synpunkt eller att projektet syftar till att bygga upp en infrastruktur för forskning och inte i sig innefattar någon forskning. Nämnden anser sig i sådana fall inte ha någon rättslig möjlighet att pröva ansökan och göra sin bedömning (se t.ex. projekten med nämndens dnr Ö 11-2009 och dnr Ö 28-2010).

Nämnden anför i en av avslagsmotiveringarna att det kan anföras skäl för att etikprövningslagen borde utvidgas till att gälla även projekt för behandling av personuppgifter för att bygga upp resurser som är avsedda att utgöra underlag för framtida forskning.

Utlämnande av känsliga personuppgifter från myndigheter kan möjliggöras om en särskild registerförfattning finns för det aktuella registret. Ett exempel på en sådan särskild reglering är lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Frågan vilken reglering som krävs för att ett register med känsliga uppgifter ska kunna skapas i syfte att ligga till grund för framtida forskning har särskilt uppmärksammats i ett beslut från Datainspektionen om projektet LifeGene (dnr 766-2011).

Sekretess för uppgifter som behandlas inom ramen för forskning

När en forskare har fått tillgång till uppgifter som ska behandlas inom ramen för forskning är nästa fråga vilken sekretess som gäller för uppgifterna hos myndigheten. Flera bestämmelser i OSL kan bli aktuella, t.ex. sekretessbestämmelserna till skydd för enskilda dels i vissa forskningssammanhang (24 kap. 1–6 §§ OSL), dels i särskild verksamhet som avser framställning av statistik och andra jämförbara undersökningar (24 kap. 8 § OSL och 7 § offentlighets- och sekretessförordningen [2009:641]). Sekretessbestämmelserna till skydd för uppgift om en enskilds personliga förhållanden oavsett i vilket sammanhang uppgifterna förekommer kan också aktualiseras (21 kap. OSL). Vidare kan andra sekretessbestämmelser bli aktuella till följd av bestämmelsen om överföring av sekretess till forskningsverksamhet (11 kap. 3 § OSL). Det står dock inte alltid klart vilka bestämmelser det är som är tillämpliga eller om det överhuvudtaget finns några tillämpliga sekretessbestämmelser. Detta gäller inte minst när det är fråga om uppgifter som lämnats av en enskild direkt till den myndighet som bedriver forskningen.

Uppdraget

Inom forskning som förutsätter tillgång till personanknutna registeruppgifter kan två samhälleliga intressen stå i konflikt med varandra, å ena sidan intresset av att bedriva forskning som ger upphov till ny viktig kunskap och å andra sidan intresset av att skydda den enskilde individens integritet. Det är av stor vikt att regelverket tillgodoser den enskildes integritetsskydd för att bibehålla allmänhetens förtroende för forskningen.

Utlämnande av personuppgifter för forskningsändamål

Systematiska sammanställningar över hela eller delar av befolkningen i Sverige och systemet med personnummer har resulterat i att det i dag finns en stor mängd register med personuppgifter. Registeruppgifterna är unika och i vissa fall spårbara under lång tid. Det gör dem till en viktig källa för att studera angelägna frågor kring sambandet mellan samhällsförhållanden, ekonomi, arbetsmarknad, sjukdom och hälsa. Trots detta utnyttjas inte registren på ett sådant sätt att deras fulla potential att ta fram ny kunskap tas tillvara. För detta behövs bättre samordning och tydligare reglering.

Som nämnts tidigare anses det enligt dataskyddsdirektivet och PUL inte vara oförenligt med det ändamål för vilket en uppgift ursprungligen samlats in att behandla uppgiften för historiska, statistiska eller vetenskapliga ändamål. Den komplicerade regleringen kring användandet av personuppgifter i register, hur de olika författningarna ska tillämpas tillsammans och när undantag för forskning är tillämpligt försvårar dock i vissa fall utlämnande av personuppgifter för forskningsändamål.

Utredaren ska därför

  • analysera vilka hinder som finns i författningar och regelverk som försvårar för registeransvariga myndigheter att lämna ut uppgifter för forskningsändamål,
  • med beaktande av integritetsaspekter föreslå lösningar för att underlätta för registeransvariga myndigheter att lämna ut uppgifter för forskningsändamål, och
  • lämna nödvändiga författningsförslag.

Att sambearbeta uppgifter från olika register och att skapa register för forskningsändamål

För att kunna realisera den potential som de svenska registren utgör för att ta fram ny kunskap skulle registren behöva utnyttjas effektivare. Det behövs samordning mellan statistikansvariga myndigheter för att skapa en tydlig ansvarsfördelning och undvika överlappning. Registerregleringen behöver förändras för att förbättra forskares möjligheter att sambearbeta personuppgifter från olika myndigheters register under förutsättning att projektet godkänts av en etikprövningsnämnd. Det finns vidare, trots nya tekniska lösningar för sambearbetning av data, ibland behov av att skapa register med bestämda men relativt allmänt hållna forskningsändamål, dvs. register som är uppbyggda i syfte att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt som håller sig inom ramen för det angivna ändamålet. Detta är bl.a. viktigt inom samhällsvetenskaplig, beteendevetenskaplig, ekonomisk och medicinsk forskning. Likaså är det väsentligt att studera samband mellan t.ex. arv och miljö och uppkomster av olika sjukdomar inom den medicinska och epidemiologiska forskningen där data samlas in från patienter eller friska frivilliga som deltar i större forskningsprojekt, t.ex. longitudinella studier.

Utredaren ska därför

  • med beaktande av integritetsaspekter föreslå lösningar för att underlätta sambearbetning av registerdata för forskningsändamål,
  • föreslå lösningar för att kunna skapa register som syftar till att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt som håller sig inom ramen för det för registret angivna forskningsändamålet, bl.a. i syfte att genomföra s.k. mikrosimulering,
  • föreslå lösningar för att kunna uppdatera och tillföra nya uppgifter till register eller databaser t.ex. för longitudinella studier, och
  • lämna nödvändiga författningsförslag.

Sekretess vid behandling av personuppgifter för forskningsändamål

Som nämnts tidigare finns det en bestämmelse om överföring av sekretess som blir tillämplig när myndigheter lämnar uppgifter till forskningsverksamhet. Det finns vidare flera s.k. primära, sekretessbestämmelser till skydd för enskilda som gäller i olika forskningssammanhang. Det står dock inte alltid klart vilka bestämmelser det är som är tillämpliga eller om det överhuvudtaget finns några tillämpliga sekretessbestämmelser.

Utredaren ska därför

  • analysera om den befintliga sekretessregleringen är tillräcklig för att skydda enskildas integritet vid forskning, och
  • lämna nödvändiga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska noga avväga sina förslag till lösningar för att förbättra förutsättningarna för registerbaserad forskning mot behovet av skydd för den enskilda individens personliga integritet. Utredaren ska redovisa dessa avvägningar och förslagens konsekvenser såväl för skyddet för enskilda människors integritet som för forskningens förutsättningar. Utredaren ska vidare redovisa konsekvenserna av sina förslag för registerhållande myndigheter och andra berörda myndigheter, universitet och högskolor eller andra organisationer där forskningen utförs.

Samråd och redovisning av uppdraget

Utredaren ska samråda med forskningsutförare, etikprövningsorganisationen samt Statistiska centralbyrån (SCB) och andra relevanta registerhållande myndigheter för att ta del av deras erfarenhet av frågor som rör personuppgifter och register. Utredaren ska vidare samråda med Vetenskapsrådet och andra relevanta forskningsfinansiärer för att ta del av deras erfarenhet av frågor som rör registerbaserad forskning.

Utredaren ska följa arbetet i Informationshanteringsutredningen (Ju 2011:11) och Utredningen om rätt information i vård och omsorg (S 2011:13).

Utredaren ska också följa arbetet inom EU med kommissionens förslag till ny dataskyddsförordning och arbetet med översynen av Europarådets dataskyddskonvention.

Utredaren ska hålla sig informerad om arbetet med utvecklingen av de nationella kvalitetsregistren.

Uppdraget ska redovisas senast den 30 juni 2014.

(Utbildningsdepartementet)