SOU 2018:36

Rätt att forska - Långsiktig reglering av forskningsdatabaser

Till statsrådet Helene Hellmark Knutsson

Regeringen beslutade den 7 juli 2016 att tillkalla en särskild utredare med uppdrag att bl.a. föreslå kompletterande reglering av behandling av personuppgifter för forskningsändamål med anledning av EU:s nya dataskyddsförordning (dir. 2016:65).

Som särskild utredare förordnades den 7 juli 2016 professor Cecilia Magnusson Sjöberg. Sist i detta missiv finns en förteckning över utredningens sekreterare, experter och sakkunniga.

Regeringen har beslutat tre tilläggsdirektiv till utredningen (dir. 2017:29, 2017:61 och 2017:87) med ytterligare uppdrag. Utredningstiden för uppdraget har förlängts till den 25 maj 2018.

Utredningen har antagit namnet Forskningsdatautredningen. Utredningen redovisade delar av sitt uppdrag i delbetänkandet

Personuppgiftsbehandling för forskningsändamål (SOU 2017:50) till

regeringen i maj 2017. De uppdrag som lämnades i tilläggsdirektiv 2017:29 och 2017:87 redovisades separat den 9 november 2017 i promemorian Personuppgiftsbehandling i forskningsbibliotekens verk-

samhet (Komm2017/01529/U 2016:04, bilaga 5).

Utredningen överlämnar nu slutbetänkandet Rätt att forska –

Långsiktig reglering av forskningsdatabaser (SOU 2018:36). Utred-

ningens uppdrag är härmed slutfört.

Stockholm i juni 2018

Cecilia Magnusson Sjöberg

/Maria Jacobsson Staffan Malmgren Margareta Sandén Magnus Stenbeck

Utredningens experter, sakkunniga och sekreterare

Experter

Johan Askling, professor 2016-10-10 Anna Bennet Bark, enhetschef 2016-10-10 Robert Erikson, professor 2016-10-15 Ulrika Harnesk, jurist 2016-10-10 Peter Höglund, professor 2016-10-10 Anna Hörnlund, chefsjurist 2016-10-10 Jonas Jeppson, verksjurist 2016-10-10 Petra Otterblad, avdelningschef 2016-10-10 Jerker Rydén, verksjurist 2017-05-15 Maria Wästfelt, enhetschef 2017-03-01

Sakkunniga

Thomas Neidenmark, departementssekreterare

2017-03-23

Linda Stridsberg, ämnesråd 2017-08-01 Olle Sundberg, kansliråd 2016-10-10 Maria Wästfelt, kansliråd 2016-10-10 – 2017-02-28 Tyri Öhman, kansliråd 2016-10-10

Sekreterare

Cecilia Arrgård, numera chefsjurist

2017-09-01 – 2018-04-30

Tommy Fraenkel, kammarrättsassessor

2017-06-03 – 2017-08-08

Staffan Malmgren, jurist 2016-09-01 Maria Jacobsson, jurist (huvudsekreterare)

2017-08-01

Margareta Sandén, hovrättsassessor

2017-08-17

Magnus Stenbeck, docent 2016-09-26 Linda Stridsberg, numera ämnesråd (huvudsekreterare)

2016-09-01 – 2017-07-31

Sammanfattning

Inledning

För att vårt samhälle ska utvecklas och för att vi ska kunna lösa olika problem behöver vi forskning. Vi behöver forskare och forskningshuvudmän inom olika ämnesområden som tar fram resultat som går att använda till vårt gemensamma bästa.

Sverige har en världsledande ställning vad gäller statistik om levnadsförhållanden och hälsa. På grund av våra individbaserade register finns det goda möjligheter till framgångsrik forskning baserad på dessa. Detta gör vårt land attraktivt även för forskare i andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs ett mer effektivt utnyttjande av befintliga register och databaser.

Regeringen har i våra direktiv1 anfört att det behövs bättre förutsättningar för registerbaserad forskning och givit oss i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser.

Utöver detta uppdrag har vi i denna del av utredningens arbete också haft i uppdrag att analysera

  • om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister,
  • vilken rättslig reglering av ett nationellt biobanksregister som behövs,
  • vilken rättslig reglering som behövs för att Statistiska centralbyrån

(SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden till Luxembourg Income Study (LIS),

  • om det behövs ett förstärkt skydd för uppgifter om avlidna i forensisk forskning, och

1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål, dir. 2016:65.

  • vilka rättsliga förutsättningar som finns i EU:s dataskyddsförordning2 för behandling av personuppgifter hos Kungliga biblioteket och andra forskningsbibliotek.

Det sistnämnda uppdraget redovisade vi i en promemoria till Utbildningsdepartementet hösten 2017 (bilaga 5).

Vårt delbetänkande

I delbetänkandet Personuppgiftsbehandling för forskningsändamål

3

analyserade vi vilken reglering av behandling av personuppgifter för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.

Vi identifierade i samband med det arbetet ett behov av att införa en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. I delbetänkandet föreslog vi därför en forskningsdatalag som skulle vara tillämplig för all personuppgiftsbehandling för forskningsändamål oavsett rättslig grund.

Vi kom även till slutsatsen att prövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) utgör en sådan lämplig och särskild skyddsåtgärd som krävs för att personuppgiftsbehandling för forskningsändamål av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. ska vara tillåten.

Vi konstaterade vidare att det finns anledning att närmare utreda behovet av förändringar i etikprövningsförfarandet. Den fullständiga etikprövningen bör enligt vår mening begränsas till de personuppgiftsbehandlingar som formellt sett kräver ett dylikt omfattande skydd. Dagens krav på etikprövning omfattar även sådan personuppgiftsbehandling som generellt sett kan betraktas som mindre riskfylld för den enskilde, men som ändå är i behov av lämplig skyddsåtgärd. Att tillämpa samma etikprövningsförfarande på all slags personuppgiftsbehandling som etikprövningslagen omfattar är mot

2 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. 3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017: 50).

denna bakgrund inte rimligt och proportionerligt. Om förfarandet inte kan anpassas utifrån skyddsbehovet, riskerar det dessutom att urholka förtroendet för etikprövning som skyddsåtgärd. Mot bakgrund av begränsningarna i vårt uppdrag och våra ramar i övrigt föreslog vi att ett differentierat etikprövningsförfarande borde utredas vidare i särskild form.

Vår ansats

En forskningsdatabas är en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Den tid under vilken en forskningsdatabas finns i en forskningshuvudmans verksamhet – databasens livscykel – kan delas in i olika stadier. Vissa aktiviteter i forskningsdatabasen pågår löpande, medan andra är starkare knutna till en viss period. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behandling av personuppgifter i databasen. Vi beskriver forskningsdatabasens livscykel i följande fem steg.

1. Skapandet av en forskningsdatabas.

2. Insamlingen av personuppgifter.

3. Förvaltningen av forskningsdatabasen.

4. Användningen av forskningsdatabasen.

5. Avvecklingen av en forskningsdatabas.

En reglering som bara omfattar ett fåtal centralt utpekade forskningsfält och ett mindre antal forskningshuvudmän skulle enligt vår bedömning inte vara tillräcklig för att tillgodose en säker hantering av personuppgifter i forskningsdatabaser. Vi föreslår därför en generell reglering som omfattar så många databaser som möjligt. I praktiken existerar dessutom redan en hel mängd olika sorters forskningsdatabaser hos flera olika typer av forskningshuvudmän.

Vi finner att principen om forskningens frihet innebär att initiativet till att skapa en forskningsdatabas bör komma från forsknings-

huvudmännen och inte från regeringen. Vi menar att det är i forskningsverksamheten som behoven av uppgiftssamlingar bäst kan identifieras och formuleras. Vårt förslag till en långsiktig reglering utgår således ifrån att det är forskningshuvudmännen som ska bedöma vilka forskningsdatabaser som behövs.

I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Vi menar att det föreligger ett gott integritetsskydd när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen. Vi föreslår därför en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regleringen uppfyller både forskningens behov och innefattar ett gott skydd för den personliga integriteten.

En långsiktig reglering av forskningsdatabaser

Vi föreslår att behandlingen av personuppgifter i en forskningsdatabas ska regleras i en särskild lag, lagen om forskningsdatabaser (forskningsdatabaslagen). Lagen reglerar bl.a. vilka forskningshuvudmän som ska få ansvara för forskningsdatabaser och vilka skyddsåtgärder som krävs för att en forskningsdatabas ska vara rättsenlig.

Såväl de statliga högskolorna och universiteten som de privata lärosätena som omfattas av offentlighetsprincipen samt har examensrätt, ska enligt vårt förslag få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag. Det ska gälla både statliga och kommunala myndigheter.

En grundläggande skyddsåtgärd som vi föreslår är att en forskningsdatabas måste godkännas enligt etikprövningslagen. Vid etikprövningen ska t.ex. forskningsdatabasens vetenskapliga värde vägas mot de risker den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet. Dessutom föreslår vi att all forskning som ska använda uppgifter i en forskningsdatabas ska vara etikgodkänd. Vi föreslår ändringar i etikprövningslagen som möjliggör dessa skyddsåtgärder.

En annan viktig skyddsåtgärd som vi föreslår är en ny bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400) och en motsvarande bestämmelse om tystnadsplikt hos privata forskningshuvudmän i forskningsdatabaslagen. Uppgifterna i en forskningsdatabas liksom i de forskningsprojekt som använder dessa uppgifter kommer därför att omfattas av antingen forskningssekretess eller tystnadsplikt.

Dessutom ställer forskningsdatabaslagen krav på organisatoriska skyddsåtgärder. Sådana krav följer också direkt av dataskyddsförordningen. Vi specificerar dessa ytterligare genom att kräva att forskningshuvudmannen ska ha en verksamhetschef som ska ha det verkställande ansvaret för en forskningsdatabas. Det ska därtill finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Vidare ska verksamheten hos forskningshuvudmannen omfattas av ett riskbaserat informationssäkerhetsarbete.

I forskningsdatabaslagen finns det krav på tekniska skyddsåtgärder. Forskningshuvudmannen ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Forskningshuvudmannen ska även kontrollera att åtkomsten används på rätt sätt.

Behandlingen av personuppgifter i en forskningsdatabas kommer på samma sätt som annan personuppgiftsbehandling att omfattas av Datainspektionens4 tillsyn. Utöver att en forskningsdatabas kommer att vara föremål för tillsyn, föreslår vi att Vetenskapsrådet ska få i uppgift att följa upp forskningsdatabaser som skapas med stöd av den nya lagen. Vi anser att regeringen måste hållas informerad om vilken effekt lagen får för hantering av personuppgifter i forskningsdatabaser. Därtill föreslår vi att Vetenskapsrådet ska få i uppgift att initiera och stödja arbetet med att upprätta en uppförandekod för behandling av personuppgifter i forskningsdatabaser.

Ytterligare en viktig skyddsåtgärd som vi föreslår är att ge forskningspersonerna möjlighet till insyn i hur de egna uppgifterna hanteras i forskningsdatabasen. En forskningshuvudman ska få medge den

4 I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare.

enskilde att få direktåtkomst till sina egna direkt identifierbara uppgifter.

De förslag som vi lämnar kommer sammantaget att omfatta ett paket av skyddsåtgärder för den personliga integriteten. Utöver de krav som gäller enligt dataskyddsregleringen5 kommer personuppgifterna i en forskningsdatabas att skyddas av bl.a.:

  • begränsning av vilka forskningshuvudmän som får ansvara för en forskningsdatabas,
  • forskningshuvudmannens personuppgiftsansvar,
  • villkor för skapandet av en forskningsdatabas,
  • krav på etikprövning av forskningsdatabasen,
  • krav på etikprövning av de forskningsprojekt som ska använda personuppgifterna,
  • sekretess och tystnadsplikt,
  • inre sekretess,
  • organisatoriska åtgärder,
  • tekniska åtgärder,
  • uppförandekoder
  • krav på finansiering av forskningsdatabasen, samt
  • uppföljning.

Rättspsykiatriska forskningsregistret

I några fall finns redan särskilda lagar för att möjliggöra forskningsdatabaser. En sådan är lagen (1999:353) om rättspsykiatriskt forskningsregister (nedan kallad registerlagen).

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för det rättspsykiatriska forskningsregistret. Registret får användas för två ändamål, dels behandling av personuppgifter för forskning inom rättspsykiatrin, om forskningen och behandlingen har godkänts enligt

5 Dataskyddsförordningen och lag (2018:218

) med

kompletterande bestämmelser till EU:s

dataskyddsförordning.

etikprövningslagen, dels för RMV:s uppföljning, utvärdering och kvalitetssäkring inom rättspsykiatrin.

I en rapport6 till regeringen har RMV framhållit att registerlagen inte ger ett adekvat stöd för den rättspsykiatriska forskningen. Anledningen till det är att rättspsykiatrins nuvarande frågeställningar inte låter sig besvaras med stöd av de begränsade uppgifter som får registreras i registret. Enligt vad vi har inhämtat har registret inte underhållits sedan 2005.

Vi bedömer att det inte finns något långsiktigt behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och föreslår därför att registerlagen ska upphävas.

Ett nationellt biobanksregister

Vårt uppdrag har varit att göra en vidare beredning av det förslag till ett centralt register för spårbarhet till vävnadsprover i landets biobanker som Registerforskningsutredningen7 lämnade.

Registerforskningsutredningen föreslog att Svenska biobanksregistret skulle göras om till ett nationellt system för registrering av biobanksprover (Nationella biobanksregistret) med Socialstyrelsen som huvudman och personuppgiftsansvarig.

Utredningen om reglering av biobanker8 har parallellt med vår utredning haft i uppgift att utreda vissa aspekter av ett nationellt register för spårbarhet av vävnadsprover. Denna utredning föreslog att ett nationellt biobanksregister ska inrättas för forskningens behov, samtidigt som det Svenska biobanksregistret ska finnas kvar. Det senare registret ska tillgodose hälso- och sjukvårdens behov av spårbarhet av prover som tagits i samband med vård och behandling. Uppgifterna ska göras tillgängliga för vårdgivare och nås genom direktåtkomst i system för sammanhållen journalföring enligt 6 kap. patientdatalagen (2008:355).9 Socialstyrelsen föreslås vara huvudman och personuppgiftsansvarig för ett nationellt biobanksregister över prover tagna för forskningsändamål.

6Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju 2013/08833/Å). 7 Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45). 8 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4). 9 Med ”direktåtkomst” avses här samma begrepp som i 6 kap. patientdatalagen.

Vi ansluter oss i huvudsak till Utredningens om regleringen av biobanker förslag om ett nationellt register för spårbarhet av prover i biobanker, som ska få användas för forskning, kvalitetssäkring och framställning av statistik.

Utredningen om regleringen av biobanker gjorde bedömningen att uppgifterna i det nationella biobanksregistret kommer att omfattas av statistiksekretess. För att tillförsäkra uppgifterna i registret ett godtagbart skydd föreslår vi i stället en särskild sekretessbestämmelse som avser uppgifter om enskild i ett nationellt biobanksregister. Sekretessen ska gälla såvida det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit). Sekretess kommer alltså att vara huvudregeln för dessa uppgifter. Det är samma nivå på sekretesskyddet som gäller för dessa uppgifter när de hanteras i hälso- och sjukvården.

Forskningsdatabaser i Europa

Vi har i uppdrag att analysera vilken rättslig reglering som behövs för att Statistiska centralbyrån (SCB) ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till europeiska databasen Luxemburg Income Study (LIS) samt att lämna nödvändiga författningsförslag.

Det är dock inte enbart LIS som är av intresse för vårt uppdrag att möjliggöra behandling av personuppgifter i forskningsdatabaser. Inom EU finns fler exempel på forskningssamarbeten där Sverige deltar tillsammans med andra länder.

Vi föreslår en sekretessbrytande bestämmelse som inte enbart ska vara tillämplig på LIS, utan på alla forskningsdatabaser som drivs av forskningshuvudmän som omfattas av dataskyddsförordningen. Under vissa förutsättningar ska en uppgift för vilken sekretess gäller få röjas för en forskningshuvudman utanför Sverige, som omfattas av dataskyddsförordningen. Om uppgiften i motsvarande fall skulle få lämnas ut till en svensk forskningsdatabas, och om forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt offentlighets- och sekretesslagen samt lagen om forskningsdatabaser, får utlämnande myndighet pröva om uppgifterna kan lämnas ut.

Vi anser att en sådan bestämmelse möjliggör önskvärda forskningssamarbeten inom EU och innefattar ett gott skydd för den

personliga integriteten. Skyddet av uppgifterna måste uppfylla de krav på säkerhet vid behandling av personuppgifter som ställs i dataskyddsförordningen. Under dessa förutsättningar kan även syftet med förordningen uppfyllas, nämligen att skydda fysiska personer med avseende på behandling av personuppgifter samtidigt som det fria flödet av uppgifter inom unionen inte begränsas.

Det kommer inte att vara en helt lätt uppgift för en svensk myndighet att avgöra om en forskningsdatabas inom EU uppfyller de villkor som krävs för att uppgifterna ska få röjas. Myndigheterna kommer att behöva information om hur den mottagande forskningsdatabasen behandlar personuppgifter och om vilka skyddsregler som tillämpas. Vi finner att det är lämpligt att en myndighet, t.ex. Vetenskapsrådet, får i uppdrag av regeringen att bistå myndigheterna med sådan information. Den myndighet som får detta uppdrag bör samråda med Datainspektionen.

Behandling av uppgifter om avlidna i forskning

Vi har undersökt vilket skydd för uppgifter om avlidna i forskningens som det finns i dag och om det finns något behov av att öka det.

Vi bedömer att befintlig lagstiftning tillsammans med vårt förslag om forskningssekretess och tystnadsplikt utgör ett tillräckligt skydd för uppgifter om avlidna. Vid denna bedömning har vi även beaktat att skyddet för efterlevande indirekt skyddar även den avlidne. Vi anser att det inte ska införas något ytterligare skydd för uppgifter om avlidna.

Summary

Introduction

If our society is to develop and if we are to be able to solve various problems, we need research. We need research and research organisations in various disciplinary areas that produce results that can be used for our common good.

Sweden has a world-leading position in terms of statistics about living conditions and health. Our individual-based registers provide good possibilities of successful research based on them. This means our country is also attractive for researchers in other countries. More effective use of existing registers and databases is needed to be able to benefit fully from our unique situation.

The Government stated in our terms of reference1 that better conditions are needed for register-based research and tasked us with proposing long-term regulation of research databases.

In addition to this remit, we have also had, in this part of the inquiry, the remit of analysing:

  • whether there is a long-term need for special regulation of a forensic psychiatry research register;
  • what regulation is needed of a national biobank register;
  • what legal regulation is needed to enable Statistics Sweden (SCB) to release information about the income situation of individuals to the Luxembourg Income Study (LIS);
  • whether stronger protection is needed for data about deceased persons in forensic research; and

1Processing of personal data for research purposes, terms of reference 2016:65.

  • what legal possibilities the EU’s General Data Protection Regulation2provides for the processing of personal data by the National Library of Sweden and other research libraries.

The final part of our remit was reported to the Ministry of Education and Research in a memorandum in autumn 2017 (annex 5).

Our interim report

In our interim report Processing of personal data for research purposes 3 we analysed what regulation of the processing of personal data for research purposes is possible and may be required on account of that the Data Protection Regulation will be applicable as from 25 May 2018.

In connection with that work we defined a need to pass a research data act with the purpose of enabling the processing of personal data for research purposes while protecting the rights and freedoms of the individual. In our interim report we therefore proposed a research data act that would be applicable to all processing of personal data for research purposes irrespective of the legal basis.

We also reached the conclusion that an examination under the Act (2003:460) concerning the Ethical Review of Research Involving Humans (the Ethical Review Act) constitutes such a suitable and specific safeguard that is required for personal data processing for research purposes of sensitive personal data or personal data concerning criminal offences, etc. to be permitted.

In addition, we found that there is reason to further investigate the need for changes to the ethical review procedure. In our view, the full ethical review should be limited to processing of personal data that formally requires extensive protection of that kind. Current ethical review requirements also cover processing of personal data that can generally be regarded as less of a risk for the individual, but that still requires a suitable safeguard. Against this background it is not reasonable and proportionate to apply the same ethical review procedure to all kinds of processing of personal data covered by the Ethical

2 Regulation of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), called the Data Protection Regulation in the following. 3 Interim report of the Research Data Inquiry, Personuppgiftsbehandling för forskningsändamål (Processing of personal data for research purposes) (SOU 2017: 50).

Review Act. If the procedure cannot be geared to the need for protection, this also risks eroding confidence in ethical review as a safeguard. In the light of the restrictions on our mandate and the rest of the framework for our work, we proposed that a differentiated ethical review procedure should be investigated further in a separate form.

Our approach

A research database is a collection of personal data that has been collected from individuals or from other sources and which is a national resource that supplies data for several different research projects.

The time during which a research database is in existence in the activities of a research organisation – the lifecycle of the database – can be divided into different stages. Some activities in the research database run continuously, while others have a stronger link to a certain period. The lifecycle perspective can be used to analyse what activities need to be regulated in order to achieve secure processing of personal data in the database. We describe the lifecycle of a research database in the following five stages:

1. Creation of a research database

2. Collection of personal data

3. Administration of the research database

4. Use of the research database

5. Closure of the research database

In our assessment, regulation that only covers a few fields of research, identified centrally, and a small number of research organisations would not be sufficient to provide for safe handling of personal data in research databases. We therefore propose general regulation covering as many databases as possible. In practice there are also already a large quantity of different kinds of research databases in several different types of research organisations.

We conclude that the principle of the freedom of research means that the initiative to create a research database should come from research organisations and not from the Government. In our view, the

needs for collections of data can best be identified and formulated in research activities. Our proposal for long-term regulation therefore assumes that it is research organisations that will assess what research databases are needed.

According to our remit, the regulation we propose also has to include good protection for personal privacy – in addition to meeting the needs of research. In our view, there is good protection of privacy when this right is in balance with other fundamental rights and legitimate public interests. We therefore propose suitable and secure regulation of research databases that both meets the needs of research and includes good protection of personal privacy.

Long-term regulation of research databases

We propose regulating the processing of personal data in a research database in a separate act, the act on research databases. This act regulates what research organisations will be allowed to be responsible for research databases and what safeguards are required for a research database to be compliant with the law.

Under our proposal, both state higher education institutions and universities and the private higher education institutions that are covered by the principle of public access to information and have a right to award qualifications will be allowed to process personal data in research databases. Public authorities other than those that conduct education will be allowed to be responsible for research databases if their mission includes research. This applies to both central and local government authorities.

One fundamental safeguard that we propose is that a research database must be approved under the Ethical Review Act. In this process, the scientific value of the research database must be assessed and weighed in relation to its potential risks with respect to the health, security and privacy of the included research subjects. In addition, we propose that all research that will use data in a research database will have to have ethical approval. We propose amendments to the Ethical Review Act that make these safeguards possible.

Another important safeguard that we propose is a new provision on research secrecy in the Public Access to Information and Secrecy Act (2009:400) and a corresponding provision on an obligation to

observe professional secrecy at private research organisations in the research databases act. The data in a research database as well as the research projects that use these data will therefore be covered by either research secrecy or an obligation to observe secrecy.

In addition, the research databases act makes requirements concerning organisational safeguards. Such requirements also follow directly from the Data Protection Regulation. We specify them in more detail by requiring principal research organisations to have a head of operations with operational responsibility for a research database. There also has to be an organisational unit that is responsible for the security and privacy protection in the research database. In addition, the activities of the principal research organisation have to include risk-based information security work.

The research databases act contains requirements concerning technical safeguards. The research organisation has to determine conditions for the allocation of authorisation for electronic access to personal data in a research database. The research organisation also has to check that access is used in the right way.

The processing of personal data in a research database will come under the supervision of the Swedish Data Protection Authority in the same way as other processing of personal data. In addition to a research database being subject to supervision, we propose giving the Swedish Research Council the task of monitoring databases created under the new act. We consider that legislators must be kept informed about the effect of the act on the handling of personal data in research databases. Moreover, we propose giving the Swedish Research Council the task of initiating and supporting work to draft a code of conduct for the processing of personal data in research databases.

A further important safeguard we propose is to give research subjects the possibility of insight into how their own data are handled in the research database. A research organisation will be able to grant the individual direct access to their own directly identifiable data.

Taken together, the proposals we present will make up a package of safeguards for personal privacy. In addition to the requirements that apply under the regulation of data protection4, personal data in a research database will be protected by, for example:

4 The Data Protection Regulation and the Data Protection Act proposed by the Government in Govt Bill Ny dataskyddslag (New Data Protection Act), Govt Bill 2017/18:105.

  • limitation of which research organisations are allowed to be responsible for a research database;
  • the research organisation’s responsibility for personal data;
  • conditions for the creation of a research database;
  • requirement of ethical review of the research database;
  • requirement of ethical review of the research projects that are to use the personal data;
  • secrecy and obligation to observe secrecy;
  • internal secrecy;
  • organisational measures;
  • technical measures;
  • codes of conduct;
  • requirements concerning financing of the research database; and
  • monitoring.

Forensic psychiatry research register

In certain cases special laws already make research databases possible. One such law is the Act on Forensic Psychiatry Research Register (1999:353) (called the Register Act below).

The National Board of Forensic Medicine is the controller of personal data for the forensic psychiatry research register. The register may be used for two purposes: first, processing of personal data for research in forensic psychiatry, if the research and processing has been approved under the Ethical Review Act and, second, for monitoring, evaluation and quality assurance in forensic psychiatry by the Board.

In a report5 to the Government the Board has pointed out that the Register Act does not provide adequate support for research in forensic psychiatry. This is because current issues in forensic

5 New statutory support for the National Board of Forensic Medicine’s personal data etc. (Ju 2013/08833/Å).

psychiatry cannot be resolved with the aid of the limited information that is allowed to be registered in the register. According to information we have obtained the register has not been maintained since 2005.

Our assessment is that there is no long-term need for special regulation of a forensic psychiatry research register and we therefore propose the repeal of the Register Act.

A national biobank register

Our remit has been to continue the preparation of the proposal for a central register for traceability of tissue samples in Sweden’s biobanks presented by the Register-based Research Inquiry6.

The Register-based Research Inquiry proposed converting the Swedish Biobank Register into a national system for registration of biobank samples (the National Biobank Register) with the National Board of Health and Welfare as the body responsible and controller of personal data.

In parallel with this Inquiry, the Inquiry on the Regulation of Biobanks7 has been tasked with investigating certain aspects of a national register for traceability of tissue samples. That Inquiry proposed establishing a national biobank register for research needs, while retaining the Swedish Biobank Register. That register would meet healthcare needs of traceability of samples taken in connection with care and treatment. The data would be made available to healthcare providers and be reached by direct access in systems for keeping integrated medical records under Chapter 6 of the Patient Data Act (2008:355).8 The National Board of Health and Welfare is proposed as the body responsible for, and controller of personal data of, a national biobank register of samples taken for research purposes.

We mainly concur with the proposals of the Inquiry on the Regulation of Biobanks for a national register for traceability of samples in biobanks to be used for research, quality assurance and the production of statistics.

6 Final report of the Register-based Research Inquiry, Unik kunskap genom registerforskning

(Unique knowledge through register-based research) (SOU 2014:45).

7 Final report of the Inquiry on the Regulation of Biobanks, Framtidens biobanker (Biobanks

of the future) (SOU 2018:4).

8 Here “direct access” means the same term as in Chapter 6 of the Patient Data Act.

The Inquiry on the Regulation of Biobanks made the assessment that the data in the national biobank register will be covered by statistics secrecy. To guarantee acceptable protection for the data in the register, we instead propose a special secrecy provision referring to data about an individual in a national biobank register. This secrecy would apply unless it is clear that the data can be disclosed without damage to the individual or someone close to them (reverse requirement of damage). So secrecy will be the general rule for these data. This is the same secrecy protection as applies to these data when they are handled in healthcare.

Research databases in Europe

We have the remit of analysing what legal regulation is needed to enable Statistics Sweden (SCB) to release information on the income situation of individuals from its registers to the European database called the Luxemburg Income Study (LIS) and to present the necessary legislative proposals.

However, it is not only the LIS that is of interest for our remit of making it possible to process personal data in research databases. In the EU there are several examples of research cooperation in which Sweden is participating along with other countries.

We propose a secrecy override applicable not only to the LIS but also to all research databases operated by research organisations covered by the Data Protection Regulation. This override would mean that, under certain conditions, data that is subject to secrecy may be disclosed to a research organisation outside Sweden that is covered by the Data Protection Regulation. If it would be possible to release the data to Swedish research database in corresponding cases, and if the research organisation is subject to secrecy rules corresponding to those that apply under the Public Access to Information and Secrecy Act and the research databases act, the releasing authority may examine whether the data can be released.

We consider that such a provision enables desirable research cooperation in the EU and includes good protection for personal privacy. The protection for the data would have to meet the requirements concerning security in the processing of personal data set in the Data Protection Regulation. Under these conditions the

purpose of the Regulation can also be met: i.e. protection of natural persons with regard to the processing of personal data at the same time as the free movement of data in the Union is not restricted.

It will be a demanding task for a Swedish authority to determine whether a research database in the EU meets the conditions set for the disclosure of the data. Authorities will need information about how the receiving research database processes personal data and what safeguards are applied. The Inquiry finds that it is appropriate for a government agency, for example the Swedish Research Council, to be commissioned by the Government to assist authorities with information of that kind. The agency that is given this commission should consult with the Swedish Data Protection Authority.

Processing of data about deceased persons in research

We have examined the current protection of data about deceased persons in research and whether there is a need to increase it.

Our assessment is that the existing legislation along with our proposal for research secrecy and an obligation to observe secrecy provides sufficient protection for data about deceased persons. In making this assessment we have also taken account of the fact that the protection for survivors also protects the deceased person indirectly. We consider that no further protection should be introduced for data about deceased persons.

DEL I

Inledning

1. Författningsförslag

1.1. Förslag till lag om forskningsdatabaser

1 kap. Lagens tillämpningsområde m.m.

Innehåll och syfte

1 § Denna lag innehåller bestämmelser om behandling av personuppgifter i en forskningsdatabas.

I 4 kap. 5 § finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

2 § Syftet med denna lag är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.

Förhållandet till annan lagstiftning

3 § Denna lag kompletterar Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen.

4 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter i en forskningsdatabas som avviker från denna lag ska de bestämmelserna gälla.

Definitioner

5 § Med forskningshuvudman avses i denna lag detsamma som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor.

6 § Med forskningsdatabas avses i denna lag en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Lagens tillämpningsområde

7 § Denna lag tillämpas vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

2 kap. Grundläggande villkor för skapandet av en forskningsdatabas

1 § En forskningshuvudman får vara personuppgiftsansvarig för behandling av personuppgifter i en forskningsdatabas under förutsättning att forskningshuvudmannen är en

1. statlig myndighet,

2. kommunal myndighet, eller

3. juridisk person eller enskild näringsidkare som bedriver högre utbildning och har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet.

2 § Personuppgifter får behandlas i en forskningsdatabas för att

1. skapa underlag för olika forskningsprojekt, och

2. lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.

3 § Personuppgifter får behandlas i en forskningsdatabas under förutsättning att

1. den har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor, och

2. forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.

4 § En forskningshuvudman ska i ett beslut om att skapa en forskningsdatabas fastställa

1. vilka uppgifter som ska behandlas i forskningsdatabasen, och

2. för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

3 kap. Organisatoriska åtgärder

1 § Forskningshuvudmannen ska utse en verksamhetschef för forskningsdatabasen.

Verksamhetschefen ska minst en gång per år sammanställa och lämna skriftlig information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.

2 § Det ska hos forskningshuvudmannen finnas en organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Den ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i forskningsdatabasen.

3 § En forskningshuvudman som behandlar personuppgifter i en forskningsdatabas ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.

Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför för detta arbete ska hålla forskningshuvudmannen informerad.

4 kap. En säker och ändamålsenlig behandling av personuppgifter

Uppgifterna i forskningsdatabasen

1 § Personuppgifter i en forskningsdatabas får vara direkt identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.

Forskningshuvudmannen ska besluta om en forskningsdatabas ska bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.

Intern elektronisk åtkomst

2 § Den som arbetar hos en forskningshuvudman får ta del av personuppgifter i en forskningsdatabas endast om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.

3 § Forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.

4 § Forskningshuvudmannen ska se till att elektronisk åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.

Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.

Tystnadsplikt hos enskild forskningshuvudman

5 § Den som arbetar hos en enskild (privat) forskningshuvudman får inte obehörigen röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande.

I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen (2009:400) tillämpas.

5 kap. Utlämnande av personuppgifter från en forskningsdatabas

Villkor för utlämnande

1 § Personuppgifter i en forskningsdatabas får lämnas ut till ett forskningsprojekt under förutsättning att

1. tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) eller denna lag inte hindrar det, och

2. forskningsprojektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

2 § Personuppgifter som lämnas ut från en forskningsdatabas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.

3 § Personuppgifter som behandlas för de ändamål som anges i 2 kap. 2 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Direktåtkomst

4 § Personuppgifter i en forskningsdatabas får inte lämnas ut genom direktåtkomst annat än till den registrerade själv enligt 5 §.

5 § En forskningshuvudman får medge den registrerade direktåtkomst till direkt identifierbara uppgifter om den enskilde själv.

Innan uppgifterna lämnas ut på detta sätt ska forskningshuvudmannen pröva om uppgifterna får lämnas ut. Den registrerade får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 4 §.

6 kap. Uppföljning och utvärdering

1 § Forskningshuvudmannen ska regelbundet ta ställning till om behandlingen av personuppgifter i en forskningsdatabas ska fortsätta.

2 § Vetenskapsrådet ska regelbundet följa upp och utvärdera verksamheten vid forskningsdatabaser. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabaserna avseende säkerhet och ändamålsenlighet.

Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.

7 kap. Ytterligare föreskrifter

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om

1. finansieringen av en forskningsdatabas,

2. begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas,

3. begränsningar av de uppgifter som en forskningsdatabas får innehålla,

4. begränsningar av behandling av uppgifter i en forskningsdatabas,

5. det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva enligt 3 kap. 3 §,

6. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst för den registrerade som avses i 5 kap. 5 §, och

7. på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering enligt 6 kap. 2 § ska utföras.

1. Denna lag träder i kraft den 1 juli 2019.

2. Genom lagen upphävs lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

3. Den upphävda lagen gäller dock fram till den 31 december 2019 för register som har upprättats med stöd av den lagen.

1.2. Förslag till lag om upphävande av lagen (1999:353) om rättspsykiatriskt forskningsregister

Härigenom föreskrivs att lagen (1999:353) om rättspsykiatriskt forskningsregister ska upphöra att gälla den 1 juli 2019.

1.3. Förslag till lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs att 2, 3, 5, 6, 8, 10 och 11 §§ lagen om etikprövning av forskning som avser människor (2003:460) ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

I denna lag avses med forskning: vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå,

forskningsdatabas: detsamma som avses i 1 kap. 6 § lagen ( 2019:000 ) om forskningsdatabaser,

forskningshuvudman: en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs,

forskningsperson: en levande människa som forskningen avser, och behandling av personuppgifter: sådan behandling som anges i 3 §

personuppgiftslagen (1998:204).

behandling av personuppgifter: sådan behandling som anges i

artikel 4.2 i Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

1 Senaste lydelse 2008:192.

3 §2

Denna lag ska tillämpas på forskning som innefattar behandling av

1. känsliga personuppgifter

enligt 13 § personuppgiftslagen (1998:204),

2. personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden

enligt 21 § personuppgiftslagen .

1. sådana särskilda kategorier

av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter),

2. sådana personuppgifter om

lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden,

3. personuppgifter i en forsk-

ningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser, eller

4. personuppgifter som samlas in från en forskningsdatabas enligt lagen ( 2019:000 ) om forskningsdatabaser.

5 §

Denna lag skall tillämpas på forskning som skall utföras i Sverige.

Denna lag ska tillämpas på forskning som avses i 3 §, och som ska utföras inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

Denna lag ska även tillämpas på forskning som enbart omfattas av 4 § och som ska utföras i Sverige.

6 §

Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande skall

Forskning som avses i 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor.

2 Senaste lydelse 2008:192.

avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning.

Ett godkännande ska avse ett visst projekt, en del av ett projekt eller en på något liknande sätt bestämd forskning eller en

forskningsdatabas.

Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

Ett godkännande upphör att gälla, om inte forskningen har börjat utföras senast två år efter det att beslutet om godkännande vann laga kraft.

Ett godkännande enligt denna lag medför inte att forskningen får utföras, om den strider mot någon annan författning.

8 §

Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd skall ges företräde framför samhällets och vetenskapens behov.

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.

10 §

Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.

Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen skall kunna utföras.

Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

11 §

Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som

Forskning får godkännas bara om den ska utföras av eller under överinseende av en forskare som

har den vetenskapliga kompetens som behövs.

har den vetenskapliga kompetens som behövs.

En forskningsdatabas får bara godkännas om de grundläggande villkoren för skapandet av en forskningsdatabas och de krav på organisatoriska åtgärder som ställs i 2 och 3 kap. lagen ( 2019:000 ) om forskningsdatabaser är uppfyllda.

Denna lag träder i kraft den 1 juli 2019.

1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 24 kap. 2 a och 2 b §§ ska upphöra att gälla,

dels att 10 kap. 23 och 27 §§, 24 kap. 1, 2 och 9 §§ och rubrikerna

närmast före 8 kap., 24 kap. 1 och 2 §§ ska ha följande lydelser, och

dels att det ska införas en ny paragraf, 8 kap. 4 §, och närmast före

8 kap. 4 § en ny rubrik av följande lydelse.

Sekretess mot forskningshuvudman utanför Sverige som omfattas av EU:s dataskyddsförordning

8 kap.

4 §

En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för en forskningshuvudman med verksamhetsställe utanför Sverige som ansvarar för en forskningsdatabas och som omfattas av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, om inte

1. uppgiften i motsvarande fall skulle få lämnas ut till en forskningshuvudman med verksamhetsställe i Sverige, och

2. forskningshuvudmannen omfattas av motsvarande skyddsregler som gäller enligt denna lag och enligt lagen (2019:000) om forskningsdatabaser.

Nuvarande lydelse Föreslagen lydelse

10 kap.

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott

23 § 3

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott

3 Senaste lydelse 2014:663.

och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3– 8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

och som är sekretessbelagd enligt 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första

27 § 4

Utöver vad som följer av 2, 3, 5 och 15–26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.

Första stycket gäller inte i fråga om sekretess enligt 24 kap.

1

och 8 §§, 25 kap. 1–8 §§, 26 kap. 1–6 §§, 29 kap. 1 och

4 Senaste lydelse 2018:220.

stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.

Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning

24 kap.

Psykologisk undersökning Forskningssekretess

1 §

Sekretess gäller för uppgift som

hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart

att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men.

Sekretess gäller hos en forsk-

ningshuvudman för uppgift om enskilds personliga och ekonomiska förhållanden, om det inte

står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Rättspsykiatriskt forskningsregister Nationellt biobanksregister

2 §

Sekretess gäller i verksamhet som avser förande av eller uttag ur register som förs enligt lagen ( 1999:353 ) om rättspsykiatriskt forskningsregister för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

Sekretessen gäller även i förhållande till en registrerad person som är vård- eller behandlingsbehövande för uppgift om hans eller hennes hälsotillstånd, om det

Sekretess gäller i verksamhet som avser uppgifter i ett nationellt biobanksregister enligt biobankslagen (2018:000) för uppgift om en enskild som har tillförts registret, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

9 § 5

Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

Den tystnadsplikt som följer av 1 och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap.1 och 2 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

Denna lag träder i kraft den 1 juli 2019.

5 Senaste lydelse 2013:795.

1.5. Förslag till förordning om ändring av förordning (2009:975) med instruktion för Vetenskapsrådet

Härigenom föreskrivs att 2 § förordningen (2009:975) med instruktion för Vetenskapsrådet ska ha följande lydelse.

2 §6

Vetenskapsrådet ska också

1. genomföra forskningspolitiska analyser och ge regeringen råd i forskningspolitiska frågor,

2. initiera och stödja strategiska satsningar inom forskning och forskningsinfrastruktur,

3. planera tillgången till forskningsinfrastruktur långsiktigt i samverkan med andra forskningsfinansiärer och forskningsutförare,

4. fördela medel till nationell forskningsinfrastruktur och internationella åtaganden,

5. följa upp Sveriges medlemskap i svenska, europeiska och internationella organisationer och infrastrukturer när det gäller kostnader i förhållande till deltagande,

6. i samverkan med universitet och högskolor medverka till att skapa goda forskningsmiljöer, främja utbildning på forskarnivå av hög kvalitet, stödja forskare i början av sin karriär och främja forskares rörlighet,

7. medverka i och främja det svenska deltagandet i Europeiska unionens verksamhet inom forskning och teknisk utveckling,

8. företräda Sverige i de EU-organisationer och internationella organisationer som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

9. ansvara övergripande för samordning av kommunikation om forskning och forskningsresultat,

10. ansvara för kommunikation om forskning och forskningsresultat inom sina områden,

11. utveckla samarbeten med de länder som Sverige har ingått avtal med inom forskningsområdet i de fall som Regeringskansliet (Utbildningsdepartementet) informerar rådet om,

6 Senaste lydelse 2018:17.

12. integrera ett jämställdhetsperspektiv i myndighetens verksamhet och främja jämställdhet vid fördelning av forskningsmedel,

13. verka för att ett köns- och genusperspektiv inkluderas i den forskning som myndigheten finansierar, när det är tillämpligt,

14. ta initiativ till att etiska frågor uppmärksammas vid forskning och förmedla information om forskningsetiska frågor,

15. stödja och ge råd till Svenska Unescorådet inom ramen för Unescos vetenskapliga arbete,

16. initiera och stödja satsningar på konstnärlig forskning, 17. stödja och utveckla förutsättningarna för kliniska studier i Sverige, 18. förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register,

18 a. utvärdera och följa upp forskningsdatabaser enligt lagen ( 2019:000 ) om forskningsdatabaser avseende kvalitet, säkerhet och ändamålsenlighet.

19. ansvara för kommunikationssystemet Swedish University Computer Network (SUNET),

20. bistå styrgruppen för avtalet mellan svenska staten och vissa landsting om samarbete om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården (ALF-avtalet) med administrativt stöd, och

21. svara för utbildning av ledamöter och ersättare i Centrala etikprövningsnämnden och de regionala etikprövningsnämnderna.

22. initiera och stödja forskningshuvudmännen i utarbetandet av gemensamma uppförandekoder enligt art. 40 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning).

Denna förordning träder i kraft den 1 juli 2019.

1.6. Förslag till förordning om ändring i förordningen (2003:615) om etikprövning av forskning som avser människor

Härigenom föreskrivs att 8 § samt bilaga 2 till förordningen (2003:615) om etikprövning av forskning som avser människor ska ha följande lydelse.

8 §

Nuvarande lydelse Föreslagen lydelse

En regional etikprövningsnämnd bör vid etikprövning av

annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar. Vid ändring enligt 4 § bör nämnden besluta inom 35 dagar.

Etikprövningsmyndigheten

bör vid etikprövning av annan forskning än klinisk läkemedelsprövning besluta inom 60 dagar.

Vid etikprövning av en forskningsdatabas bör myndigheten besluta inom 120 dagar. Vid änd-

ring enligt 4 § bör myndigheten besluta inom 35 dagar.

Bilaga 2

I denna bilaga anges avgifter för prövning av ansökan om etikprövning.

Ansökan som Avgift – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – avser ändring enligt 4 § 2 000 kr

avser en forskningsdatabas 15 000 kr

Denna förordning träder i kraft den 1 juli 2019.

2. Vårt uppdrag och arbete

2.1. Utredningsuppdraget

Forskningsdatautredningens övergripande uppdrag1 har varit att dels analysera vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas med anledning av att dataskyddsförordningen2 börjar tillämpas, dels lämna nödvändiga författningsförslag. Förslagen ska resultera i en reglering utöver de generella bestämmelser som Dataskyddsutredningen har föreslagit i sitt betänkande3 och som under våren 2018 föranlett en proposition4och en ny dataskyddslag (2018:218). I juni 2017 redovisades vårt delbetänkande5 med förslag till reglering av personuppgiftsbehandling för forskningsändamål samt förslag till anpassningar av vissa registerförfattningar som var direkt påkallade av att dataskyddsförordningen börjar tillämpas den 25 maj 2018.

I ett andra skede har utredningen haft i uppdrag att föreslå långsiktiga regleringar av forskningsdatabaser med utgångspunkt i de förslag som lämnades av Registerforskningsutredningen.6 I detta uppdrag har ingått att föreslå en lösning som ersätter behovet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”), samt att analysera det långsiktiga behovet av en särskild reglering av ett rättspsykiatriskt forskningsregister. Utöver detta ska vi lämna

1 Direktiv Personuppgiftsbehandling för forskningsändamål (dir 2016:65). 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Dataskyddsutredningens betänkande Ny dataskyddslag (SOU 2017:39). 4 Regeringens proposition Ny dataskyddslag m.m. (prop. 2017/18:105). 5 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 6 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

förslag till en reglering av ett nationellt biobanksregister, samt kartlägga och vid behov föreslå författningsändringar för att stärka skyddet för uppgifter om avlidna inom forensisk forskning.

Vi har fått flera tilläggsdirektiv. Vi har fått uppdrag att analysera behovet och föreslå kompletterande reglering till dataskyddsförordningen och dataskyddslagen för behandling av personuppgifter i Kungliga bibliotekets verksamhet, och genom ytterligare tilläggsdirektiv utvidgades uppdraget till att omfatta personuppgiftsbehandling vid alla forskningsbibliotek.7

Dessutom har vi i tilläggsdirektiv uppdragits att analysera behovet av och föreslå reglering för att möjliggöra Statistiska centralbyråns (SCB) utlämnande av uppgifter om individers inkomstförhållanden till Luxembourg Income Study.8

2.1.1. Uppdraget att föreslå långsiktiga regleringar av forskningsdatabaser

Regeringen har konstaterat att någon långsiktig reglering av forskningsdatabaser inte kommer att vara på plats när dataskyddsförordningen börjar tillämpas den 25 maj 2018. Den första delen av vårt uppdrag, som avrapporterades i delbetänkandet,9 var därför att föreslå kompletterande reglering till de anpassningar av svensk lagstiftning som Dataskyddsutredningen har föreslagit ska träda i kraft vid detta datum.10

Regeringen har därutöver efterfrågat långsiktiga lösningar på behovet att förbättra förutsättningarna för registerbaserad forskning. Förslag har tidigare lämnats av Registerforskningsutredningen.11 I vårt uppdrag har därmed också ingått att ta ställning till om en långsiktig reglering av LifeGene-projektet, som nu bedrivs med stöd av en tidsbegränsad lag,12 och andra liknande initiativ med syftet att bygga gemensamma forskningsdatabaser innehållande personuppgifter för forskningsändamål kan åstadkommas utan att varje sådan databas regleras var för sig. Vårt uppdrag är således att

7 Tilläggsdirektiv till Forskningsdatautredningen (U 2016:04), dir. 2017:29 och 2017:87. 8 Dir 2017:61. 9SOU 2017:50. 10 Regeringen har därefter föreslagit en ny dataskyddslag i prop. 2017/18:105. 11SOU 2014:45. 12 Lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa.

föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser.

Vi tolkar att uppdraget i denna del är att föreslå kompletterande reglering så att den lagstiftning som gäller efter den 25 maj 2018 möjliggör en ändamålsenlig behandling av personuppgifter för forskningsändamål i forskningsdatabaser, samtidigt som skyddet för den enskildes fri- och rättigheter upprätthålls. Vi uppfattar detta som vårt huvuduppdrag för utredningens andra fas.

2.1.2. Reglering av rättspsykiatriskt forskningsregister

Rättsmedicinalverket (RMV) är personuppgiftsansvarigt för ett rättspsykiatriskt forskningsregister. Registret får användas för behandling av personuppgifter för forskning inom rättspsykiatrin och för RMV:s uppföljning, utvärdering och kvalitetssäkring av sin verksamhet inom rättspsykiatrin. Registret regleras i lagen (1999:353) om rättspsykiatriskt forskningsregister.

RMV har analyserat behovet av rättsligt stöd och anser att de begränsningar som finns i den befintliga regleringen gör att registret inte utgör ett ändamålsenligt stöd för den rättspsykiatriska forskningen vid myndigheten. RMV föreslår att lagen upphävs och ersätts av annan lagstiftning.13

Vi har i vårt delbetänkande tills vidare föreslagit vissa anpassningar av lagen om rättspsykiatriskt forskningsregister inför att dataskyddsförordningen ska börja tillämpas den 25 maj 2018.14I utredningens andra fas har vi haft i uppgift att

  • undersöka hur lagen om rättspsykiatriskt forskningsregister används i dag,
  • analysera om det långsiktigt finns ett behov av en särskild reglering av ett rättspsykiatriskt forskningsregister och hur en sådan reglering i så fall bör utformas, och
  • lämna behövliga författningsförslag.

13 Ett nytt författningsstöd för Rättsmedicinalverkets behandling av personuppgifter, m.m. (Ju2013/8833/Å). 14SOU 2017:50.

2.1.3. Reglering av ett nationellt biobanksregister

Utredningen om regleringen av biobanker hade bl.a. i uppdrag att se över lagen (2002:297) om biobanker i hälso- och sjukvården och andra angränsande författningar. Syftet med utredningen var att anpassa lagstiftningen så att den underlättar utvecklingen och förbättrar förutsättningarna för användning av prover och uppgifter i svenska biobanker för patientens, hälso- och sjukvårdens och forskningens behov. Utredningen överlämnade den 29 januari 2018 sitt slutbetänkande.15 Där ingår ett förslag till reglering av ett nationellt biobanksregister med syfte att kunna spåra prover, bland annat för forskningsändamål.

Våra respektive direktiv är närliggande i denna del och utformades mot bakgrund av att Registerforskningsutredningen föreslog att Socialstyrelsen skulle vara personuppgiftsansvarig för det samordnande Svenska biobanksregistret, att registret skulle innehålla personuppgifter (inklusive provsvar), och att registret skulle regleras i en särskild lag, lagen om Nationella biobanksregistret. Regeringen ansåg att en vidare beredning av Registerforskningsutredningens förslag måste göras med beaktande av remissinstansernas synpunkter och med anledning av att dataskyddsförordningen och kompletterande nationell lagstiftning blir tillämpliga i Sverige.

Vi har därför i uppdrag att lämna förslag till en reglering av ett nationellt biobanksregister.

2.1.4. Utlämnande av personuppgifter till Luxembourg Income Study

Svenska forskare har sedan länge bidragit till den internationella forskningen om inkomstskillnader, fattigdom och om hur socialpolitikens transfereringar påverkar befolkningens disponibla inkomster. Denna forskning har underlättats genom ett internationellt samarbete och en internationell forskningsdatabas benämnd Luxembourg Income Study (LIS) med säte i Luxemburg och med jämförande uppgifter från 47 länder. SCB levererade uppgifter till databasen från dess tillkomst år 1983 fram till år 2007, men har därefter bedömt att det saknas rättsliga förutsättningar för myndigheten att leverera uppgifter. Sverige är därmed ett av få länder som

15 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4).

inte kan bidra till LIS inkomstdatabas. Riksrevisionen (RRV) har granskat SCB:s förutsättningar att lämna ut personuppgifter från inkomststatistiken till LIS. RRV har konstaterat att de uppgifter som behövs omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), och att det därför skulle krävas en författningsreglerad skyldighet för att SCB ska kunna lämna ut uppgifterna. Regeringen anser att denna forskning och LIS-databasen är av stor betydelse, men att vissa frågor återstår att analysera.

Vi har därför fått i uppdrag att

  • analysera vilken rättslig reglering som behövs och är lämplig för att SCB ska ha möjlighet att lämna ut uppgifter om individers inkomstförhållanden ur sina register till den organisation som administrerar LIS för att uppgifterna ska ingå i databasen, och
  • lämna nödvändiga författningsförslag.

2.1.5. Skydd för uppgifter om avlidna i forensisk forskning

Dataskyddsförordningen gäller inte behandling av uppgifter om avlidna personer. Medlemsstaterna får enligt förordningen fastställa bestämmelser för behandlingen av uppgifter om avlidna personer. I vissa registerförfattningar finns det ett uttryckligt skydd för uppgifter om avlidna. RMV anser dock att integritetsskyddet för uppgifter om avlidna personer i forskning bör ses över. Med anledning av detta har vi i uppgift att

  • kartlägga vilket skydd som finns för sådana uppgifter om avlidna som hanteras inom forensisk forskning,
  • analysera och ta ställning till om det finns behov av att stärka skyddet för uppgifter om avlidna inom forensisk forskning, och
  • vid behov föreslå de författningsändringar som behövs.

2.1.6. Reglering av forskningsbibliotekens personuppgiftsbehandling

I tilläggsdirektiv har utredningen fått i uppdrag att analysera vilken reglering som, utöver dataskyddsförordningen, kan behövas för att personuppgifter ska kunna behandlas på ett ändamålsenligt sätt i

Kungliga bibliotekets verksamhet.16 Vi fick därefter i ytterligare tilläggsuppdrag att analysera i vilken utsträckning dataskyddsförordningen kommer att vara tillämplig när personuppgifter behandlas i verksamheten hos forskningsbiblioteken och för vilken behandling av personuppgifter som forskningsbiblioteken har ett personuppgiftsansvar, samt vilka rättsliga förutsättningar som i sådana fall finns i dataskyddsförordningen för behandling av personuppgifter i den verksamhet som bedrivs av forskningsbiblioteken.17Vi skulle även analysera vilken reglering som är möjlig och kan behövas utöver dataskyddsförordningen, med beaktande av det förslag till kompletterande dataskyddslag som lagts fram av Dataskyddsutredningen18 samt lämna de författningsförslag som behövs.

Dessa två uppdrag har redovisats tillsammans i en särskild promemoria den 9 november 2017. Den ingår som bilaga till detta slutbetänkande.19

2.2. Utredningsarbetet

Arbetet har bedrivits i utredningens sekretariat som, utöver den särskilda utredaren, har bestått av en huvudsekreterare och fyra ytterligare sekreterare. Till utredningen har förordnats nio experter och fyra sakkunniga. Jonas Jeppson, verksjurist vid RMV, har ingått i expertgruppen och har bidragit med underlag till den del av våra uppdrag som gäller Rättspsykiatriska forskningsregistret och uppgifter om avlidna i forskningen. Jerker Rydén, verksjurist vid Kungliga biblioteket, har varit expert i utredningen och har bidragit med underlag till biblioteksuppdragen.20 Docent Marjut Salokannel har anlitats för ett kortare uppdrag och har lämnat underlag med avseende på forskningsdatabaser, etikprövning m.m. i andra länder.

16 Dir. 2017:29. 17 Dir. 2017:89. 18 Förslaget har lett till att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (nedan kallad dataskyddslagen) utfärdades den 19 april 2018. Lagen trädde i kraft den 25 maj 2018. 19Personuppgiftsbehandling i forskningsbibliotekens verksamhet, bilaga 5. 20 Bilaga 5.

2.2.1. Expertgruppsmöten

Vår expertgrupp (inbegripet de sakkunniga) har sammanträtt sammanlagt tio gånger, varav fyra efter det att vi lämnade vårt delbetänkande. I samband med dessa möten har några promemorior och utkast till betänkandetext presenterats och diskuterats, vilka senare bildat stommen i förvarande betänkande. Enskilda experter och sakkunniga har även bistått utredningen i dialog om specifika frågor.

2.2.2. Besök vid lärosäten och myndigheter

Vi har under hösten 2017 och våren 2018 gjort ett antal besök vid lärosäten och myndigheter som vad gäller forskning berörs av dataskyddsförordningen och de kompletterande regleringar som föreslås eller förväntas föreslås. Vi har besökt universitetsledningar och berörda forskare vid universiteten i Göteborg, Lund, Stockholm, Uppsala och Umeå samt vid Chalmers tekniska högskola, Karolinska Institutet och Kungliga Tekniska Högskolan. Vi har också besökt Socialstyrelsen, Statistiska centralbyrån och Vetenskapsrådet. Vi har därutöver tillsammans med en representant för Utredningen om regleringen av biobanker medverkat vid Vetenskapsrådets Registerdataråd.

2.2.3. Övriga kontakter och framträdanden

Vi har medverkat i flera konferenser och informerat om dataskyddsförordningen ur ett forskningsperspektiv i en rad olika sammanhang. Detta har innefattat föredrag vid sammanslutningar av forskare och dataförvaltare inom olika områden, exempelvis flera nationella konferenser med hälso- och sjukvårdens kvalitetsregister, sjukvårdens forskningsdagar, konferens om personlig medicin vid Stockholms universitet, Statistiska centralbyråns forskardagar, nationell konferens med etikprövningsnämnderna, nationellt möte med FoU-chefer21 vid landstingen, samt nordisk epidemiologi-

21 Chefer för forskning och utveckling.

kongress i Lund. Öppna föredrag om den allmänna dataskyddsförordningen har hållits vid universiteten i Göteborg, Karlstad, Linköping, Lund och vid Karolinska Institutet.

Vi har utöver detta tillsammans med Utbildningsdepartementets representanter medverkat i nordiskt samarbete mellan företrädare för regeringar och myndigheter kring förberedelser inför dataskyddsförordningens införande.

2.2.4. Annat underlag i utredningsarbetet

Forskningsdatautredningen har under arbetets andra fas tagit del av och beaktat förslag lämnade av Integritetskommittén, Dataskyddsutredningen, Socialdataskyddsutredningen, Utredningen om tillsynen över den personliga integriteten och Utredningen om översyn av etikprövningen. Vissa möten med representanter för dessa utredningar har också förekommit. Med anledning av att uppdragen till Utredningen om regleringen av biobanker har legat särskilt nära våra direktiv i den del som berör reglering av ett nationellt biobanksregister har kontakter upprätthållits med den utredningen under arbetets gång.

Vi har tagit del av och beaktat dataskyddslagen jämte propositionen med förslag till denna lag22 samt propositionen om dataskydd inom socialdepartementets verksamhetsområde.23 Vi har också tagit del av det slutbetänkande som överlämnats av Utredningen om regleringen av biobanker.24 Utöver detta har vi tagit del av och beaktat det utkast till lagrådsremiss som i april 2018 lämnats med avseende på utredningens eget delbetänkande rörande personuppgiftsbehandling för forskningsändamål.25

22Prop. 2017/18:105. 23Prop. 2017/18:171. 24SOU 2018:4. 25 Remiss 2018-04-04 U2018/01639/F.

2.3. Disposition m.m.

Betänkandet inleds i kapitel 3 med en redogörelse för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.26 Vi redogör också för de begrepp som vi använder i detta slutbetänkande.

Kapitel 4 behandlar behovet av forskningsdatabaser mot bakgrund av digitaliseringens utveckling och med utgångspunkt i Registerforskningsutredningens bedömningar.27

Kapitel 5 innehåller en genomgång av de rättsliga förutsättningarna för forskningsdatabaser.

Kapitel 6 behandlar Registerforskningsutredningens uppdrag och förslag med särskilt fokus på förslaget om reglering av forskningsdatabaser.

I kapitel 7 redogör vi för vår ansats, det vill säga de principiella utgångspunkter som ligger till grund för våra bedömningar och förslag. Här introduceras utgångspunkten att forskningsdatabaser kan beskrivas ur ett livscykelperspektiv, samt redogörs för några exempel på forskningsdatabaser.

I kapitel 8 redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. De innefattar ett förslag till en ny lag om forskningsdatabaser samt förslag till ändringar av vissa andra lagar och förordningar som berör etikprövning och sekretess, samt av Vetenskapsrådets instruktion.

Kapitlen 9–12 behandlar övriga uppdrag vid sidan om huvuduppdraget. I kapitel 9 föreslås att lagen om rättspsykiatriskt forskningsregister ska upphävas. I kapitel 10 bereds Registerforskningsutredningens förslag till reglering av ett nationellt biobanksregister. Kapitel 11 behandlar utlämnande av uppgifter till europeiska forskningsdatabaser med särskilt fokus på Luxembourg Income Study. I kapitel 12 undersöks om det behövs ett förstärkt skydd för avlidna i forskning. Vi har här vidgat perspektiven till att omfatta utlämnande av uppgifter till europeiska forskningsdatabaser i allmänhet och till bedömningar om det behövs skydd för avlidna även i sådan forskning som inte tillhör den forensiska forskningen. Kapitel 13 innehåller en konsekvensanalys och kapitel 14 innehåller kommentarer till författningsförslagen.

26SOU 2017:50. 27SOU 2014:45.

Bilagorna 1, 2, 3 och 4 består av utredningens olika direktiv. Bilaga 5 utgörs av det tidigare lämnade förslaget till reglering av personuppgiftsbehandling i forskningsbibliotekens verksamheter.

Till sist kan noteras att betänkandetexten är utformad med användning av ”vi-form” omfattande utredningen i sin helhet. Arbetet har bedrivits med aktivt deltagande av och i samverkan med experter och sakkunniga. Det har förts särskilda mer ämnesinriktade diskussioner samt bilaterala dialoger med experter inom olika specialområden. Mot denna bakgrund redogör utredningen för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

DEL II

Huvuduppdraget

3. Bakgrund, utgångspunkter och begrepp

3.1. Bakgrund

I detta kapitel redogör vi kortfattat för bakgrunden till vårt uppdrag och vilka utgångspunkter som vi tagit med oss från arbetet med delbetänkandet.1 Vi redogör också för de begrepp som vi kommer att använda i detta slutbetänkande.

Utredningen har i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser. Därutöver har utredningen även uppdrag som avser personuppgiftsbehandling i rättspsykiatriskt forskningsregister, hantering av uppgifter om avlidna och om utlämnande av uppgifter till Luxembourg Income Study (LIS). Vi har även i uppgift att lämna förslag till en reglering av ett nationellt biobanksregister.2

Vårt uppdrag i sin helhet handlar således om att utreda och förbättra förutsättningarna för att behandla personuppgifter för forskning i olika bemärkelser. Direktiven utgår från att registerbaserad forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. De lösningar som vi föreslår ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättigheter.

Frågan om hur registerbaserad forskning bör vara reglerad har tidigare utretts av framför allt Statistikutredningen3 och Registerforskningsutredningen.4

Registerforskningsutredningen lämnade ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller

1 Delbetänkande av Forskningsdatautrednigen Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 2 En mer noggrann redogörelse för alla delar i vårt uppdrag finns i kapitel 2. 3 Delbetänkande av Statistikutredningen Registerdata för forskning (SOU 2012:36). 4 Betänkande av Registerforskningsutredningen Unik kunskap genom registerforskning (SOU 2014:45).

högskolor som omfattas av högskolelagen (1992:1434) och andra statliga myndigheter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser. I den föreslagna lagen finns det vissa generella regler för forskningsdatabaser som för varje databas ska kompletteras med en särskild förordning som reglerar t.ex. ändamål och innehåll. I kapitel 6 behandlas Registerforskningsutredningens förslag utförligare.

3.2. Utgångpunkter

Enligt vårt uppdrag ska Registerforskningsutredningens förslag beredas ytterligare med beaktande av remissinstansernas synpunkter (se kapitel 6). Det behövs enligt direktiven en analys av om förslaget är förenligt med dataskyddsförordningen5 och i annat fall vilka anpassningar av förslaget som kan krävas utifrån förordningen och den generella reglering som Dataskyddsutredningen har föreslagit.6

Det finns förstås också annat arbete som redan pågår för att förbättra förutsättningarna för registerbaserad forskning. Vetenskapsrådet har t.ex. i uppdrag av regeringen7 att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till registeruppgifter i Sverige för forskningsändamål. I uppdraget ingår även att bistå forskare med information om register och om relevant lagstiftning. Ett led i att uppfylla detta uppdrag är Vetenskapsrådets arbete med webbplatsen registerforskning.se.

Redan i delbetänkandet formulerade vi några utgångspunkter som också har haft bäring på det fortsatta arbetet med att hitta lösningar för en ändamålsenlig reglering av forskningsdatabaser:

  • Det är enligt utredningens bedömning en integrerad del av forskningsprocessen att skapa forskningsinfrastrukturer som har bredare formulerade forskningsändamål än de som förekommer i enskilda forskningsprojekt.

5 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 6 Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till

EU:s dataskyddsförordning (SOU 2017:39). Se även Regeringens proposition Ny dataskyddslag

(prop. 2017/18:105) samt den beslutade lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 7 Regeringsbeslut den 24 oktober 2013, U2013/6296/F, U2013/1927/F och U2013/2506/F.

  • Det är enligt utredningens bedömning rimligt att uppbyggnaden av en forskningsdatabas kan bedömas som personuppgiftsbehandling för forskningsändamål och därmed utgöra en del av själva forskningen.

En viktig utgångspunkt för vårt fortsatta arbete är därtill att

  • det är möjligt att ta fram en ändamålsenlig och säker reglering av forskningsdatabaser, som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten.

Dessa utgångspunkter hade vi med oss in i arbetet med att redovisa vårt uppdrag i detta slutbetänkande. I kapitel 7 har vi utvecklat våra utgångspunkter och vår ansats ytterligare.

3.3. Centrala begrepp för slutbetänkandet

Delbetänkandet8 innehåller en genomgång av de termer och begrepp som används i dataskyddsdirektivet9, personuppgiftslagen (1998:204) och dataskyddsförordningen för att beskriva forskning. I bilaga 3 till delbetänkandet finns dessutom en strukturerad begreppsgenomgång av dataskyddsförordningen.

Även i Registerforskningsutredningens10 och Statistikutredningens11 betänkanden finns termer och begrepp beskrivna för det område som är relevant för vår utredning. Vi hänvisar därför till deras betänkande, för ytterligare fördjupning vad avser begreppen inom detta område.

Här ska vi gå igenom några termer och begrepp som är särskilt viktiga för vår slutredovisning.12

8SOU 2017:50, s. 87 ff. 9 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 10SOU 2014:45. 11SOU 2012:36. 12 Med begrepp avses en avgränsad mental föreställning av någon viss företeelse. Med term avses ett namn på ett begrepp.

3.3.1. Forskning och forskningsändamål

Vår bedömning: Behandling av personuppgifter i en forsknings-

databas omfattas av begreppet ”vetenskapliga eller historiska forskningsändamål” i dataskyddsförordningen.

Vi diskuterade i delbetänkandet hur en avgränsning av begreppet forskning kan göras och särskilt hur begreppet kan avgränsas i förhållande till begreppet forskningsändamål. När det gäller den mer utvecklade analysen och diskussionen hänvisar vi till delbetänkandet.13

Uttrycket ”vetenskapliga eller historiska forskningsändamål” som används upprepade gånger i dataskyddsförordningen innefattar enligt vår bedömning forskningsändamål utan att någon särskild åtskillnad i betydelse bör göras mellan dessa två delar med avseende på personuppgiftsbehandling. Vilka delar av forskningsprocessen som kan räknas in under begreppet forskning är viktigt för frågan om tillåten behandling av personuppgifter i forskningsdatabaser.

En utgångspunkt för vår bedömning är att begreppet forskningsändamål har gemenskapsrättslig betydelse utifrån dataskyddsförordningen. Legaldefinitioner i nationell rätt kan inte påverka en bedömning av om en viss behandling kan anses utföras för forskningsändamål eller inte. De möjliga rättsliga grunderna för personuppgiftsbehandling i artikel 6 är inte avhängiga av om en viss behandling anses utföras för forskningsändamål eller inte. Däremot är behandling som utförs för forskningsändamål i vissa fall särskilt gynnad när det gäller de grundläggande principerna för behandling av personuppgifter i artikel 5.

För att det centrala undantaget från förbudet att behandla känsliga personuppgifter som återfinns i artikel 9.2 j ska bli tillämpligt krävs att en viss behandling är nödvändig för forskningsändamål. Avgränsningar eller preciseringar av forskningsbegreppet i de legaldefinitioner som finns i 2 § lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) har alltså ingen betydelse för om detta undantag kan tillämpas.

Begreppet forskningsändamål definieras dock inte i dataskyddsförordningen. Viss vägledning kan hämtas i skäl 159, som anger att behandling av personuppgifter för vetenskapliga forskningsändamål

13SOU 2017:50 s. 97.

bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Det finns alltså stöd i förordningen för en vidsträckt tolkning av begreppet.

Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Artikel 179.1 i EUF-fördraget anger att:

Unionen ska ha som mål att stärka unionens vetenskapliga och tekniska grund genom att åstadkomma ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik, att främja utvecklingen av unionens konkurrensförmåga, inbegripet inom unionens industri, och att underlätta alla forskningsinsatser som anses nödvändiga enligt andra kapitel i fördragen.

Skäl 159 breddar även begreppet genom att ange att vetenskapliga

forskningsändamål också bör omfatta studier som utförs i allmän-

hetens intresse inom folkhälsoområdet. Slutligen, och av betydelse för hantering av forskningsdata i replikeringsstudier, utredningar om oegentlighet i forskning m.m., anger skäl 159 att för att tillgodose forskningens särskilda krav bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Av betydelse för registerbaserad forskning är att förordningen i skäl 157 lyfter fram att forskare kan erhålla ny kunskap av stort värde genom att koppla samman information från olika register. För att underlätta vetenskaplig forskning får personuppgifter behandlas för vetenskapliga forskningsändamål, med förbehåll för lämpliga villkor och skyddsåtgärder i unionsrätten eller i medlemsstaternas nationella rätt. Enligt vår bedömning talar detta skäl även för att i nationell rätt införa villkor och skyddsåtgärder för särskilda databaser för forskningsändamål.

Ytterligare underlag för tolkning av begreppet forskningsändamål finns i Artikel 29-gruppens riktlinjer om samtycke enligt dataskyddsförordningen.14 I samband med dataskyddsförordningens skäl 33, som behandlar situationer där det inte är möjligt att på ett tidigt

14 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation

2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för

skydd av personuppgifter och privatlivet. I samband med att dataskyddsförordningen börjat tillämpas har den ersatts av Europeiska Dataskyddsstyrelsen.

stadium fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål, uttalar man följande om begreppet forskningsändamål (scientific research purposes):

[T]he WP29 considers the notion may not be stretched beyond its common meaning and understands that ‘scientific research’ in this context means a research project set up in accordance with relevant sector-related methodological and ethical standards.”

Dataskyddsförordningen ger i artikel 9.2 j en möjlighet för medlemsstaterna att införa nationell lagstiftning som tillåter behandling av känsliga personuppgifter för forskningsändamål. Det är därför av betydelse för utredningens uppdrag hur forskningsändamål i förordningens mening ska uttolkas när det gäller om personuppgiftsbehandling i en forskningsdatabas som ska stödja avgränsade forskningsprojekt utan att själv producera sådana resultat kan anses falla inom definitionen för forskningsändamål.

Vi har i detta slutbetänkande utgått från att personuppgiftsbehandling hos en sådan verksamhet ryms inom förordningens begrepp ”forskningsändamål”. Detta i huvudsak med stöd från skäl 159, men också utifrån skäl 157 som belyser databasers betydelse för forskning. Med beaktande av Artikel 29-gruppens tolkning av forskningsbegreppet anser vi att det är viktigt och nödvändigt att även personuppgiftsbehandling som görs i en forskningsdatabas ska följa relevanta metodologiska och etiska standarder.

3.3.2. Register och databas

Vår bedömning: Termen register har i dataskyddsförordningen en

specifik betydelse som är snävare än den som har använts i svensk lagstiftning. Termen har även i svensk lagstiftning kommit att utmönstras i ett flertal sammanhang. För att undvika osäkerhet i vad som avses undviker vi därför att använda denna term.

Termen databas saknar legaldefinition i dataskyddsförordningen. Vi anser att vi inte behöver definiera begreppet databas för att kunna använda begreppet forskningsdatabas.

Termerna register och databas används ofta synonymt för att beskriva en logisk sammanställning av uppgifter. Enligt Rikstermbanken15 är

databas en mängd data med en gemensam struktur, lagrade på ett sätt

som möjliggör sökning och presentation enligt olika kriterier. Man brukar skilja på begreppen databas och databashanterare, där det senare är den tekniska lösning (programvara) som används för att åstadkomma själva sökningen och presentationen.16

Termen ”databas” används inte alls i dataskyddsförordningen. I stället anges i regleringen av dess tillämpningsområde (artikel 2.1) att den är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Det finns alltså inte något krav på att informationen ska vara strukturerad på något särskilt sätt för att dataskyddsförordningen ska vara tillämplig, utan det är tillräckligt att informationen behandlas, helt eller delvis, på automatisk väg. Det räcker i princip med att informationen finns digitalt lagrad. Även personuppgifter som förekommer i material som helt saknar struktur som möjliggör sökning och presentation, exempelvis uppgifter som framgår av digital video eller av inskannade dokument som inte OCRbehandlats, omfattas av dataskyddsförordningen.

Utöver digitalt lagrat material omfattar dataskyddsförordningen, likt tidigare dataskyddsdirektivet och personuppgiftslagen, även ”annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”. Begreppet register definieras i artikel 4.6 som ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier”. Motsvarande definition finns i dataskyddsdirektivet (artikel 2 c) och personuppgiftslagen (5 § andra stycket). För att en strukturerad samling ska anses vara tillgänglig för sökning eller sammanställning enligt särskilda kriterier har Regeringsrätten17ansett att det krävs något särskilt arrangemang för sökning bland uppgifterna, t.ex. i form av kortregister, sökmarkörer eller liknande, och att det därigenom ska finnas möjlighet till sökning av olika personuppgifter på ett betydligt effektivare sätt än i form av en genomgång och granskning dokument för dokument.

15 Rikstermbanken är Sveriges nationella termbank, www.tnc.se 16 I vardagligt tal används ibland ”databas” för att avse även den funktionalitet som åstadkommer sökning och presentation. I denna framställning försöker vi dock skilja på själva samlingen av uppgifter som sådan och den infrastruktur, inklusive programvara som, krävs för att tillgängliggöra information från denna samling. 17RÅ 2001 ref 35 (KTH).

Ytterligare vägledning till begreppet kan fås från förordningens engelska översättning, där termen register har översatts med ”filing system”. Distinktionen är dock av begränsad betydelse för dagens forskningsdatabaser som uteslutande rör behandling av uppgifter på automatisk väg.

Begreppet databas används även i andra delar av den svenska lagstiftningen, ibland med olika definitioner. Enligt 1 kap. 1 § 5 stycket yttrandefrihetsgrundlagen avses med databas en samling av information lagrad för automatiserad behandling. Begreppet infördes i yttrandefrihetsgrundlagen år 2003 och ersatte då det registerbegrepp som tidigare använts.

På samma sätt utmönstrades i oktober 2001 termen ”register” ur ett antal författningar på skatte-, exekutions- och tullväsendets område för att i stället ersättas med termen ”databas”. Som skäl för en sådan begreppsmässig ändring anfördes att begreppet register även har en teknisk anknytning och därför kan ha olika innebörd för olika yrkesgrupper. Vidare för begreppet tankarna till ett på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv.18

Inom upphovsrättens område reglerar 49 § lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk en form av till upphovsrätten närstående ensamrätt som tidigare kallats katalogskydd, men som nu, efter genomförandet av EU:s databasdirektiv19 oftare benämns databasskydd. Skyddsobjektet omfattar sådana arbeten i vilket ett stort antal uppgifter har sammanställts eller vilka är resultatet av en väsentlig investering. För att arbetet ska omfattas av det aktuella skyddet finns ett visst krav på att uppgifterna ska vara systematiskt och metodiskt sammanställda, dvs. ett visst krav på en struktur i databasen.20

Även om begreppet databas saknar en brett tillämplig legaldefinition i nationell rätt eller unionsrätten är det ett användbart begrepp som är väl etablerat i både juridiskt och allmänt språkbruk. Vi finner inte att vi behöver definiera begreppet databas närmare, men

18 Regeringens proposition Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 88 ff.). 19 Direktiv 96/9/EG av den 11 mars 1996 om rättsligt skydd för databaser. 20 Se allmänt Johan Axhamn, Databasskydd, Stockholms universitet (2016).

avser nedan att föreslå en definition för det mer avgränsade begreppet forskningsdatabas.

3.3.3. Forskningsdatabas m.m.

Vårt förslag: Vi föreslår i avsnitt 8.7 att forskningsdatabas ska

definieras som en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Det finns flera begrepp som beskriver de samlingar av uppgifter som forskare använder; t.ex. forskningsregister och forskningsdatabaser. För att beskriva forskningsdatabaser som samlar in uppgifter för flera tänkbara forskningsprojekt används ibland också begreppet databas-

infrastruktur eller infrastruktur för forskning.

Registerforskningsutredningen använde i sitt förslag till lag om forskningsdatabaser följande definition av ordet forskningsregister:

Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. […] Med register avses i utredningsdirektiven dock även vissa uppgiftssamlingar som primärt är skapade för forskningsändamål.21

Registerforskningsutredningen definierade vidare begreppet forsk-

ningsdatabas på följande sätt:

en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.

Vår bedömning är att begreppet forskningsdatabas i den definition som registerforskningsutredningen använt fortsatt är ett värdefullt begrepp. Vi har därför valt att använda begreppet ifråga för sådana databaser som samlar in uppgifter för flera tänkbara forskningsprojekt. Vi har också valt i stort sett samma definition av begreppet som Registerforskningsutredningen. Vi föreslår dock en mindre förenkling av begreppets definition, som inte är avsedd att innebära

21SOU 2014:45 s. 18.

någon förändring av betydelsen i sak. Hänvisningen till nationell infrastruktur tillför inte något för förståelsen av begreppet och riskerar en sammanblandning med det bredare begreppet forskningsinfrastruktur, se avsnitt 3.3.4 nedan. Den ersätts därför med begreppet nationell resurs. Forskningsdatabasen ska vara en nationellt tillgänglig resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör inte en forskningsdatabas enligt vår definition.

Vi definierar således forskningsdatabas som en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt (avsnitt 8.7.1). Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning

Vi ser däremot inte någon anledning att närmare definiera och använda begreppet forskningsregister. Med tanke på dataskyddsförordningens definition av register som något som i första hand rör icke-automatiserad behandling av personuppgifter riskerar begreppet med Registerforskningsutredningens definition att vilseleda.

3.3.4. Forskningsinfrastruktur eller databasinfrastruktur för forskning

Vår bedömning: Vi skiljer på de uppgiftssamlingar som våra för-

slag syftar till att möjliggöra (forskningsdatabaser) och de tjänster som tillgängliggör uppgifterna från dessa uppgiftssamlingar. De senare kallar vi med ett gemensamt begrepp databasinfrastruktur för

forskning. Sådan databasinfrastruktur för forskning är en form av

forskningsinfrastruktur, men eftersom det senare begreppet även omfattar basutrustning, forskningsmaterial, IKT-infrastrukturer m.m. är det för brett för att användas i denna framställning.

Registerforskningsutredningen har i sin definition av forskningsdatabas angett att en sådan utgör en nationell infrastruktur. Det föranleder oss att närmare definiera vad vi menar med sådan infrastruktur och vilken eller vilka termer som är lämpliga att använda för begrepp på området.

Med forskningsinfrastruktur avses vanligen olika medel som är nödvändiga för att utföra forskning, jfr definitionen i artikel 2 i ERICförordningen:22

anläggningar, resurser och därmed sammanhängande tjänster som forskarsamhället använder för att genomföra spetsforskning på alla områden; denna definition omfattar vetenskaplig basutrustning och forskningsmaterial, kunskapsbaserade resurser som samlingar, arkiv och strukturerad vetenskaplig information, IKT-infrastrukturer som nät, datorutrustning, programvara och kommunikationsverktyg samt alla andra unika medel som är nödvändiga för att uppnå vetenskaplig excellens. Sådana forskningsinfrastrukturer kan vara lokaliserade på en enda plats eller organiserade i ett nät (”spridda”).

Det är alltså fråga om ett brett begrepp som visserligen kan innefatta databaser (eftersom dessa får anses vara kunskapsbaserade resurser i form av strukturerad vetenskaplig information), men som även innefattar fysiska resurser som utrustning och material som inte kan sägas omfatta forskningsdatabaser.

Ett mer avgränsat begrepp som använts är databasinfrastruktur för

forskning.23 Vi avser med denna term alla former av tjänster som till-

gängliggör information från en forskningsdatabas, och som forskare kan använda för att hämta dessa uppgifter. I begreppet innefattas även den nödvändiga förvaltningen av den uppgiftssamling som utgör forskningsdatabasen, samt dokumentation i form av variabeldefinitioner, datakvalitet uppdateringsfrekvenser, täckningsgrad m.m.

3.3.5. Registerforskning eller registerbaserad forskning

Vår bedömning: Med begreppet registerbaserad forskning avser vi

den vetenskapliga metodik eller vetenskapliga metodinslag som utredningens förslag syftar till att underlätta, dvs. sådan forskning som använder sig av uppgifter från forskningsdatabaser.

Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi har att avhandla i detta betänkande.

22 Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium). 23 Jfr Vetenskapsrådets rapport Rättsliga förutsättningar för en databasinfrastruktur för forskning (11:2010).

Det finns även flera begrepp än ovan nämnda som beskriver den forskning som bedrivs med hjälp av personuppgifter i olika register eller databaser; registerforskning, registerbaserad forskning, databaserad forskning, datadriven forskning och användning av registerdata i forskning m.m.

Enligt vad som framgår på webbplatsen registerforskning.se24 är

registerforskning, eller mer korrekt registerbaserad forskning, forsk-

ning som använder sig av uppgifter från ett eller flera register som förs av myndigheter eller andra organisationer.

Med registerbaserad forskning avsågs i Statistikutredningens delbetänkande25 sådan forskning som använder sig av uppgifter som kan knytas till fysiska personer, härrör från myndigheter eller andra organisationer och som i första hand inte primärt är insamlade för forskningsändamål. Det kan enligt Statistikutredningen också röra sig om forskning med personuppgifter som samlats in för forskningsändamål där personidentifikationen behålls under längre tid och där personerna följs upp med ny datainsamling vid ett eller flera tillfällen.

Termen registerforskning är enligt utredningen för allmän för att på ett rättvisande sätt beskriva den typ av forskning med hjälp av olika samlingar av personuppgifter som vi ska avhandla i detta betänkande. Registerbaserad forskning är en något mer adekvat beteckning, eftersom den bättre beskriver att forskningen görs med hjälp av uppgifter ur register. Vi avser i denna framställning sådan forskning som görs såväl med hjälp av uppgifter ur forskningsdatabaser som sådana uppgifter som inte primärt är insamlade eller sammanställda för forskningsändamål.

3.3.6. Forskningshuvudman

Vårt förslag: Vi föreslår i avsnitt 8.7 att med forskningshuvudman

ska avses detsamma som i etikprövningslagen.

24 Vetenskapsrådet har i uppdrag av regeringen att inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till registeruppgifter i Sverige för forskningsändamål och underlätta användningen av dessa. Webbplatsen är ett led i detta arbete. 25SOU 2012:36, s. 19.

Vi ser ett behov av att reglera vilka forskningshuvudmän som får behandla personuppgifter i forskningsdatabaser och som ska ansvara för att det görs på ett ändamålsenligt och säkert sätt. Enligt 2 § etikprövningslagen är en forskningshuvudman en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs.

I vårt författningsförslag ska vissa forskningshuvudmän få ansvara för forskningsdatabaser under angivna förutsättningar (se avsnitt 8.7.2 och 8.8.2). Vi utgår i våra förslag från samma definition av forskningshuvudman som används i etikprövningslagen.

3.3.7. Program och projekt

Vår bedömning: Det finns inget behov av att närmare definiera

forskningsprogram i regleringen av forskningsdatabaser.

Med forskningsprojekt avses detsamma som i etikprövningslagen.

Vanliga beskrivningar av den empiriskt inriktade forskningsprocessen innefattar bl.a. bakgrundsstudier, litteraturgenomgång, idégenerering, planering, författande av forskningsansökan, eventuell etikprövning, datainsamling, konstruktion av databas, lagring av data (t.ex. personuppgifter), analys av data, manusförfattande, publicering, dokumentation (bl.a. av data), samt arkivering av data. I vissa sammanhang kan denna process vara utsträckt i tiden över många år. Detta är särskilt vanligt förekommande om forskningen följer ett forskningsprogram med flera enskilda separata forskningsprojekt som ingående delar.

Vi avser att i vårt huvuduppdrag föreslå reglering för forskningsdatabaser som hanteras utanför ramen för ett enskilt forskningsprojekt. Med forskningsprojekt menar vi detsamma som avses med motsvarande begrepp i 6 § etikprövningslagen.26

Inom ramen för ett större forskningsprogram kan initiativ till nya forskningsdatabaser uppstå. Eftersom begreppet forskningsprogram, till skillnad från forskningsprojekt, inte har någon rättslig betydelse vad gäller personuppgiftsbehandling ser vi dock inte ett behov av att närmare definiera detta begrepp. De avgörande kriterierna för att en forskningsdatabas ska kunna skapas är inte avhängiga om verksamheten är organiserad som ett forskningsprogram eller på något annat sätt.

26 Angående detta begrepps avgränsning, se regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 195.

3.3.8. Forskningsperson

Vår bedömning: Med forskningsperson avses i denna framställ-

ning en registrerad vars uppgifter används för forskning.

Med forskningsperson avses en levande människa som någon viss forskning avser (jfr 2 § etikprövningslagen). Begreppet kan omfatta såväl en person som undersöks fysiskt, som en person vars personuppgifter ingår i ett forskningsunderlag.

Med registrerad avses enligt artikel 4.1 i dataskyddsförordningen en identifierad eller identifierbar fysisk person vars personuppgifter behandlas.

När en forskningspersons personuppgifter ingår i ett forskningsunderlag på ett sådant sätt att det är fråga om behandling av dennes personuppgifter är samma fysiska person såväl en forskningsperson som en registrerad.

3.3.9. Fjärråtkomst, direktåtkomst till och annat utlämnande från forskningsdatabaser

Vår bedömning: Med direktåtkomst avser vi sådan åtkomst där

upptagningar som kan innehålla personuppgifter är tillgängliga för en mottagande myndighet med ett tekniskt hjälpmedel som myndigheten själv utnyttjar.27

Vi använder begreppet även i sammanhanget direktåtkomst för den registrerade till sina egna uppgifter, och avser då samma form av åtkomst som patientdatalagen (2008:355) möjliggör. Även begreppet elektronisk åtkomst används på samma sätt som i patientdatalagen.

Med automatiserat utlämnande avser vi sådan automatiserad åtkomst till forskningsdatabaser som erbjuds forskare och enskilda forskningspersoner, och som är utformad på så sätt att den ansvariga för forskningsdatabasen har kontroll över om och i så fall vilka uppgifter som ska lämnas ut i varje enskilt fall.

27 Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.

Begreppet direktåtkomst förekommer i ett antal författningar och har under lång tid diskuterats, särskilt i samband med informationsutbyte mellan myndigheter.28 Med direktåtkomst mellan myndigheter avses sådan tillgång till uppgifter i ett datorsystem där den myndighet som förfogar över systemet i vilket uppgifterna lagras (den utlämnande myndigheten) inte i det enskilda faller har kontroll över vilka uppgifter som förs över till annan myndighet (den mottagande myndigheten). Annan typ av informationsutbyte mellan myndigheter och även mellan myndigheter och enskilda betecknas vanligen (annat)

elektroniskt utlämnande (eller i äldre sammanhang utlämnande av personuppgifter på medium för automatiserad behandling).

Innebörden av begreppet direktåtkomst i socialförsäkringsbalken har varit föremål för bedömning i en dom från Högsta förvaltningsdomstolen.29 Den avgörande skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande knöts i domen till om uppgifterna kunde anses vara förvarade hos den mottagande myndigheten utifrån definitionen i 2 kap. 3 § andra stycket tryckfrihetsförordningen. Uppgiftsutlämnandet förutsatte i det fallet att den utlämnande myndigheten reagerade på en begäran från den mottagande myndigheten. Den mottagande myndigheten ansågs därför inte ha tillgång till uppgifterna på så sätt som krävs enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen.

I Högsta förvaltningsdomstolens avgörande behandlades begreppet så som det används i socialförsäkringsbalken vad gäller socialförsäkringsdatabasen och i sammanhanget där en myndighet är mottagande part (114 kap.1822 §§socialförsäkringsbalken). Den registrerade har inte möjlighet att få tillgång till sina uppgifter i socialförsäkringsdatabasen genom direktåtkomst.

I patientdatalagen används begreppet även för att beskriva direkt-

åtkomst för den registrerade (patienten). Lagen tillåter att privat-

personer kan medges direktåtkomst till sina uppgifter (5 kap. 5 § patientdatalagen). När vi i avsnitt 8.11.6 diskuterar direktåtkomst för den registrerade själv använder vi begreppet på samma sätt som i patientdatalagen.

28 Se särskilt E-delegationens rapport Direktåtkomst och utlämnande på medium för automatiserad

behandling (2012), Informationshanteringsutredningens slutbetänkande Myndighetsdatalag

(SOU 2015:39) och eSam Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk

form.

29 Detta är samma definition som Högsta förvaltningsdomstolen använt i HFD 2015 ref. 61.

Gemensamt för de båda formerna av direktåtkomst är att det är fråga om en viss form av elektroniskt utlämnande där den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av.30

Det vanliga förfarandet för att få ut uppgifter lagrade i en forskningsdatabas torde vara att den forskare som behöver uppgifterna, med stöd av ett automatiserat system, formulerar en begäran omfattande vissa uppgifter, och att forskningsdatabasen, likaledes automatiserat, svarar på denna begäran med de uppgifter som enligt databasens konfigurerade regler kan lämnas ut. Det torde därför vara fråga om annat elektroniskt utlämnande. För att understryka dels att detta förfarande är huvudregeln, dels att det är fråga om automatiserad kommunikation mellan två digitala system, använder vi termen

automatiserat utlämnande för sådan åtkomst.

Begreppet är skiljt från begreppet fjärråtkomst, med vilket i registerbaserade forskningssammanhang avses åtkomst till en it-miljö i vilken man kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system (se vidare i avsnitt 8.11.5 om begreppet och dess potential att uppnå uppgiftsminimering, samt avsnitt 4.2.3 om just forskningens behov av fjärråtkomst).

Samtliga ovanstående begrepp rör situationer där uppgifter lämnas ut till eller tillgängliggörs för en part utanför den organisation som har uppgifterna. Även internt inom en sådan organisation förekommer förstås att en anställd behöver tillgång till uppgifterna för att kunna fullgöra sina arbetsuppgifter. Vi använder termen elektronisk åtkomst för denna form av tillgång till uppgifter inom organisationen, vilket motsvarar det begrepp som används i 4 kap.24 §§patientdatalagen.

3.3.10. Centraliserad och decentraliserad

Begreppsparet centraliserad/decentraliserad används i det följande för att beskriva både beslutsfattandet avseende forskningsdatabaser och för drift och övrigt förvaltande av själva databaserna, inklusive var uppgifterna fysiskt lagras.

Med centraliserat beslutsfattande avser vi en sådan process där en central part (myndighet) har ansvaret för och kompetensen att fatta

30 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 87.

de aktuella besluten, även om beslutet rör andra parters verksamhet. Med decentraliserat beslutsfattande avser vi situationen att parten själv ansvarar för beslut rörande sin egen verksamhet.

Med en centraliserad databas avses i stället en lösning där den faktiska lagringen av uppgifter, såväl som förvaltandet av itsystemet, utförs hos en och endast en part. Uppgifterna i en sådan databas kan i och för sig härstamma från olika källor (insamlade direkt från forskningspersonerna, hämtade från myndighetsregister, eller från andra källor), men det avgörande är att en part lagrar uppgifterna på ett ställe och ansvarar självständigt för den behandling som denna lagring (och utlämnande) utgör.

En decentraliserad databas har i stället delat upp förvaltning och lagring av data i flera separata, samverkande system. En sådan lösning benämns ofta distribuerad databas. Ett specialfall av detta är s.k. federerade databaser, där de ingående systemen har en hög grad av självständighet och heterogenitet.31 Det kan exempelvis vara fråga om register hos flera olika myndigheter som med automatiserat utlämnande momentant tillgängliggör uppgifter på ett sådant sätt så att det för användaren framstår som en sammanhållen databas.

31SOU 2017:50 s. 261 f.

4. Behov av forskningsdatabaser

4.1. Inledning

I direktiven till denna utredning anges att utredaren ska föreslå en långsiktig reglering av forskningsdatabaser och lämna de författningsförslag som behövs.1 Förslag till anpassning av viss befintlig reglering till den allmänna dataskyddsförordning2 som ska tillämpas fr.o.m. 25 maj 2018 har utredningen tillsammans med andra förslag lämnat i tidigare delbetänkande.3

Vad gäller lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den s.k. LifeGene-lagen) är den tidsbegränsad, men har i avvaktan på en långsiktig lösning i flera omgångar fått förlängd giltighetstid.4 Regeringen och riksdagen har även i vissa andra fall sett ett behov av att inrätta långsiktiga forskningsdatabaser med breda ändamål. Det råder en rättslig osäkerhet inom detta område som har resulterat i speciallagstiftning i vissa fall. I kapitel 5 redogör vi för de rättsliga förutsättningarna för forskningsdatabaser.

Förslag till reglering av forskningsdatabaser har tidigare lämnats av Registerforskningsutredningen,5 men detta har ännu inte lett till några författningsförslag. Mot bakgrund av att rättsläget nu genom reformer på europeisk nivå blivit tydligare har regeringen efterfrågat en långsiktig generell lösning för forskningsdatabaser. En lösning behövs som tar hänsyn till bland annat den utredningens och Utredningens

1 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65). 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50). 4 Riksdagen har beslutat att förlänga denna lags giltighet till och med den 31 december 2020 (Prot. 2017/18:27 8 november § 15). 5 Registerforskningsutredningens slutbetänkande Unik kunskap genom registerforskning (SOU 2014:45).

om regleringen av biobanker6 slutbetänkanden, samt de möjligheter och begränsningar som kan finnas med anledning av dataskyddsförordningen och dess kompletterande svenska lagstiftning.7

I Registerforskningsutredningens betänkande görs noggranna genomgångar av fördelarna med såväl registerbaserad forskning i allmänhet som forskningsdatabaser i synnerhet. Vi gör bedömningen att de slutsatser beträffande behovet av forskningsdatabaser som Registerforskningsutredningen redovisade alltjämt i stort sett är relevanta. Vi hänvisar därför till det betänkandet när det gäller utredningen av behovet av forskningsdatabaser. Vi kommer i betänkandet endast att komplettera den utredning som redan gjorts, bl.a. med hänsyn till utvecklingen i samhället efter det att Registerforskningsutredningen lämnade sitt betänkande i juni 2014.

Detta kapitel tar därför sin utgångspunkt i Registerforskningsutredningens bedömningar. Vi har i uppdrag att komma med förslag som reducerar eller eliminerar den rättsliga osäkerheten. Vi ska föreslå en generell reglering som underlättar personuppgiftsbehandling i forskningsdatabaser samtidigt som den tillvaratar de krav på skydd av den personliga integriteten som den nya dataskyddsförordningen tillsammans med kompletterande och redan existerande bestämmelser ställer upp.

4.2. Behövs det särskilda forskningsdatabaser?

I Registerforskningsutredningens betänkande diskuteras varför registeruppgifter är bra för forskning och vilka fördelar det finns med forskningsdatabaser.8 I korthet argumenteras där för att man med heltäckande stora befolkningsregister kan

  • studera ovanliga företeelser som förekommer alltför sparsamt i exempelvis urvalsundersökningar,
  • genom personnummer göra kopplingar mellan undersökningar av mindre grupper (t.ex. genom urval) och heltäckande register där alla individer kan återfinnas,

6 Utredningens om regleringen av biobanker slutbetänkande Framtidens biobanker (SOU 2018:4). 7 Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 8SOU 2014:45, s. 93114.

  • koppla uppgifter från biologiska prover i biobanker med uppgifter om personer i hälsodataregister, kvalitetsregister eller andra register från exempelvis Statistiska Centralbyrån (SCB),
  • på lång sikt följa upp konsekvenser av tidigare händelser,
  • kartlägga den sociala omgivningens betydelse för individuella handlingar,
  • studera skillnader i sociala insatser och socialpolitiskt relevanta åtgärder mellan kommuner och regioner,
  • genomföra longitudinella studier där personer kan följas över långa tidsperioder utan att andra spårningsinsatser än personnummer och heltäckande registeruppgifter finns, och
  • simulera effekterna av ekonomiska och socialpolitiska reformer i skilda befolkningsgrupper.

Det har sammantaget ofta framhållits att tillgången till registeruppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning som bör utnyttjas bättre.9 Denna värdering återspeglas också i utredningens direktiv. Vi betraktar detta som utgångspunkt för den fortsatta analysen.

Uppgiften är att föreslå en långsiktig lösning på de behov som hittills enbart resulterat i lagstiftning om inrättande av vissa specificerade forskningsdatabaser. Frågan om det utöver myndighetsregistren och hälso- och sjukvårdens biobanker behövs särskilda databaser eller biobanker avsedda huvudsakligen eller enbart för forskning, ägnas uppmärksamhet i Registerforskningsutredningen.10 I det följande redogör vi kortfattat för deras slutsatser.

4.2.1. Registerforskningsutredningens bedömning

Ett första preliminärt svar på om det behövs särskilda databaser för forskning går att få fram genom att undersöka den faktiska förekomsten av befintliga databaser som fungerar som underlag för ett

9 Se exempelvis regeringens proposition Kunskap i samverkan för samhällets utmaningar och

stärkt konkurrenskraft, (prop 2016/17:50) s. 97–98.

10SOU 2014:45, s. 342362.

flertal forskningsprojekt.11 En undersökning av detta slag inom samhällsvetenskap och medicin resulterade i en uppskattning av att det år 2014 förekom minst 50 sådana databaser.12 Uppskattningen var troligen en underskattning av det verkliga antalet. Inventeringen innehåller exempelvis inte många av de forskningsbiobanker13 som används av flera projekt.14 Ingen förnyad uppskattning av antalet har gjorts efter detta.

Av detta kan man dra slutsatsen att forskningsdatabaser redan används i betydande omfattning inom ett antal centrala forskningsområden. Registerforskningsutredningen hänvisar också till att det utöver svenska forskningsdatabaser finns utländska initiativ för att bygga upp databaser i Europa och USA. Man pekar på den satsning på forskningsinfrastruktur som gjorts av Vetenskapsrådet och som är en del av det europeiska programmet för utveckling av forskningsinfrastrukturer, ESFRI.15 I den satsningen utgör databaser en viktig komponent. Detta behov framhålls även i den uppdaterade nationella guide till infrastrukturen som Vetenskapsrådet har publicerat efter Registerforskningsutredningens betänkande.16 Det har ofta framhållits att tillgången till registeruppgifter med personnummer har inneburit en stor potential för framgångsrik svensk forskning och att denna resurs bör utnyttjas bättre.

Varför är det då inte tillräckligt att bygga upp fokuserade datamängder som inriktas på enskilda projekt? Registerforskningsutredningen anger att forskningsdatabaser kan möjliggöra olika forskningsinsatser inom breda fält17 och citerar Vetenskapsrådet som anger att forskningsdatabaser som infrastruktur handlar om ”material som kräver långsiktighet i planering, finansiering och användande och är för dyr och/eller kräver sådana tekniska och personella resurser att det

11 Den nuvarande rättsliga grunden för att använda dessa personuppgifter för fler än ett ändamålsavgränsat projekt berörs inte här, men kan i allmänhet hänföras till det undantag från finalitetsprincipen som finns i 9 § personuppgiftslagen och som gäller vidareutnyttjande av uppgifter för bland annat forskningsändamål. 12 Erikson R., Andersson-Rydell L., Nationell samordning av frågeundersökningar och längd-

snittsstudier, Vetenskapsrådet 2014.

13 En förteckning över drygt 100 sådana provsamlingar återfinns på BBMRI.SE. 14 Några studier som kombinerar lagring av prover med andra uppgifter, LifeGene och EpiHealth, finns däremot med. 15 European Strategy Forum on Research Infrastructures, http://www.esfri.eu/roadmap-2016 16Vetenskapsrådets guide till infrastrukturen 2014, Vetenskapsrådet 2015, s. 10. 17SOU 2014:45, s. 349.

inte kan finansieras lokalt eller inom ramen för ett enskilt forskningsprojekt”.18 Det huvudsakliga generella skäl som anförs för gemensamma databasresurser synes således vara att de medel som satsas på forskning ska användas på ett rationellt och resursbesparande sätt.

Det finns ytterligare skäl för forskningsdatabaser när det existerar behov av att i forskningen använda uppgifter från befolkningsregister, som har samlats in av centrala och regionala myndigheter för andra ändamål än forskning. Registerforskningsutredningen hade vid kontakter med omkring femtiotalet forskare19 fått del av följande motiv till varför forskningsdatabaser med uppgifter från myndighetsregister behövs:

  • Det tar tid och kostar pengar att få ut uppgifter från exempelvis

SCB.

  • Uppgifterna från myndighetsregistren går ofta inte att använda direkt utan kräver bearbetning, vilket tar tid, alltifrån några månader till ett år eller mer.
  • Mindre fel i underlaget som inte spelar någon roll när myndigheter som SCB tar fram officiell statistik kan vara viktiga i forskningen och måste korrigeras.
  • Forskare måste ofta konstruera egna variabler genom att kombinera uppgifter ur olika register.
  • Det kräver tid och träning att lära sig vilka styrkor och svagheter en databas har, för att förstå hur den kan användas. Det är viktigt att några har den kompetensen för att kunna bistå forskare i konkreta forskningsprojekt.20

Registerforskningsutredningen tog också ställning till om det skulle vara tillåtet och praktiskt möjligt att i stället för lokalt lagrade forskningsdatabaser bestående av uppgifter som satts samman från olika källor (i det följande kallat sambearbetade forskningsdatabaser) använda sig av fjärranslutning till de datakällor som behövs.

18 Vetenskapsrådet utredning 2005 Om forskningens infrastrukturer inom humaniora och

samhällsvetenskap, citerad i SOU2014:45 s. 350.

19 Registerforskningsutredningen samtalade under tre månaders tid våren 2013 med femtiotalet forskare vid sju särskilda forskarmöten, deltog utöver detta i flera forskarkonferenser och arrangerade våren 2014 ett särskilt seminarium med ledande forskare. 20SOU 2014:45 s. 356357.

Vid SCB finns ett system för fjärråtkomst, Microdata Online Access (MONA). Det gör det möjligt att hos SCB lagra och använda forskningsregister med uppgifter som genererats såväl genom insamling i forskningsprojekt som insamling och bearbetning av uppgifter från myndighetsregister.21 Denna resurs fungerar väl när de forskargenererade uppgifterna är av begränsad omfattning och myndighetsuppgifterna tas från register som förs av eller lagras vid SCB och används inom den officiella statistiken vid myndigheten. MONA-systemet kan i viss utsträckning tillhandahålla åtkomst till uppgifter även från andra myndigheter än SCB. Den möjligheten har dock inte kunnat användas i så stor utsträckning. Socialstyrelsen har t.ex. ansett att det finns legala hinder för att lägga fullständiga kopior av hälsodataregistren i MONA. Man har också, i den utvärdering som gjordes av MONA strax efter Registerforskningsutredningens betänkande, angivit att en rad rättsliga och finansieringsfrågor behöver genomlysas innan myndigheten är beredd att införa ett eget system för fjärråtkomst.22 Registerforskningsutredningens rekommendation att liknande system skulle etableras inom andra myndigheter, inte minst Socialstyrelsen, har således inte efterlevts.23

Det förekommer fall där många databaskällor varit aktuella och där omfattningen av de data som behöver kombineras är för stor för MONA. Det gäller exempelvis när uppgifter från biobanker ska sambearbetas med hälsodataregister och med uppgifter från SCB. Data kan också förändras i en alltför snabb takt för att ett MONAliknande system ska vara lämpligt. Man har då undersökt möjligheten till s.k. federerade databaser, som innebär att data från olika källor sammankopplas vid analystillfället utan att uppgifterna behöver förflyttas fysiskt till en gemensam databas som lagras vid ett och samma ställe.24 Vid tiden för Registerforskningsutredningens betänkande fanns ännu inte federerade system av den storleksordning och med den generella inriktning som skulle kunna utgjort ett realistiskt alternativ till fysiskt sambearbetade och lokalt hanterade databaser av det slag som utredningen föreslog. Utredningen konstaterade:

21 Microdata Online Access, https://www.scb.se/sv_/Vara-tjanster/Bestalla-mikrodata/MONA/# 22Evaluation of the MONA system (Microdata Online Access). Vetenskapsrådets rapporter 2014, s. 19–20. 23SOU 2014:45, s. 363364. 24SOU 2014:45, s. 364.

För att ett federerat system kan vara användbart i stor skala krävs ett omfattande och tekniskt avancerat utvecklingsarbete. (……) Det kan finnas skäl för regeringen att överväga att inrätta en särskild delegation för att följa detta arbete och ta de ytterligare initiativ som kan behövas. Regeringen har i den senaste forskningspropositionen25 aviserat ett initiativ men ännu har inget sådant tagits.26

4.2.2. Har förutsättningarna ändrats sedan 2014?

Vår bedömning är att de ovan angivna motiven för forskningsdatabaser i stora drag alltjämt gäller. Det är dock inte tydligt vilka förutsättningar det finns för att på ett rättsenligt sätt behandla personuppgifter i en forskningsdatabas. Forskningsdatautredningen har till uppgift att föreslå en långsiktig lösning på detta problem. I detta avsnitt redogörs för den utveckling som skett på området sedan 2014. När det gäller utbyggnad av de registerresurser som är potentiellt intressanta i samhället har utveckling främst skett inom dessa områden:

  • Digitaliseringen har utvecklats allt mer, framför allt med avseende på möjligheterna till distansarbete och på den teknik som medger att användare på ett säkert sätt kan fjärransluta sig till gemensamt tillgängliga resurser.
  • Antalet nationella kvalitetsregister inom hälso- och sjukvården har ökat och en gemensam organisation för hantering av uttag för forskningsändamål m.m. har byggts upp.27
  • Befintliga resurser inom biobanksområdet har samordnats, samarbetet mellan det nationella biobanksrådet och BBMRI28 har förstärkts, och ytterligare en offentlig utredning har rekom-menderat inrättandet av ett nationellt biobanksregister.29
  • Den registerbaserade folkbokföring som baseras på lägenhetsregistret och Skatteverkets uppgifter ger en mer komplett och

25 Regeringens proposition Forskning och innovation (prop. 2012/13:30). 26SOU 2014:45 s 364. Se även s. 337–340. 27 Enligt patientdatalagen (2008:355) är kvalitetsregister en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. 28 Biobank and Molecular Resource Infrastructure, en europeisk infrastruktur för forskning med användning av biologiska prover. 29SOU 2018:4.

rättvisande bild av befolkning, boende och familjebildning i Sverige.

  • Viss utveckling av forskaranpassade databaser och registerservice har genomförts vid några myndigheter, exempelvis SCB, Socialstyrelsen och Försäkringskassan.
  • Särskilt stöd till registerbaserad forskning i Vetenskapsrådets regi har inletts och myndighetens satsning på stöd till infrastrukturer som innehåller forskningsdatabaser har förstärkts.

I följande avsnitt skisseras digitaliseringens utveckling med avseende på hur forskare utvecklat sina arbetssätt när det gäller användning av personuppgifter. Därefter följer en redogörelse för den utveckling vid statliga och kommunala myndigheter som är relevant för personuppgiftsbehandling för forskningsändamål och som skisserats punktvis ovan. Slutligen görs en bedömning av om fysiskt sammanhållna centraliserade forskningsdatabaser fortfarande är ett önskvärt tillvägagångssätt för att tillgodose behovet av forskning med personuppgifter.

4.2.3. Digitaliseringens inverkan på utveckling av forskningsdatabaser

Traditionella personuppgiftssamlingar för forskningsändamål

Användning i större skala av datorer i forskning inleddes på 1950talet. Den innebar en stegvis genomgripande förändring av forskningens villkor och möjligheter, både vad gäller beräkningsmöjligheter och möjligheten att använda stora datamängder. Inom den forskning som har personer som forskningsobjekt innebar datoriseringen till att börja med att registrerades uppgifter överfördes från insamlingskällan (exempelvis ett frågeformulär, ett provtagningsprotokoll eller en ljudinspelning) till hålkort. Vid analystillfället lästes dessa in för datorbearbetning tillsammans med de styrkort som användes för beräkningarna. Sedermera kunde man spara uppgifterna i datafiler i minnet på en dator eller på disketter, som också innehöll de datorprogram som användes för att analysera uppgifterna. Insamling, förvaltning och användning av data sköttes av enskilda forskare, forskargrupper eller programmerare vid lokala lärosäten och

med användning av terminaler uppkopplade till en eller flera vid lärosätet centralt placerade datorer.

För att få tillgång till uppgifter hos myndigheter krävdes vanligen att forskaren gjorde sina analyser på den fysiska plats där uppgifterna förvarades. Dessa principer tillämpades exempelvis av SCB på 1970talet. Då kunde man som forskare besöka myndigheten för att ta del av uppgifter som ursprungligen hade samlats in för statistikändamål. Utvecklingen ledde efter hand till att det blev möjligt att erhålla kopior av originaluppgifter. De förflyttades då fysiskt till forskarens egna datormiljö. Uppgifter av detta slag levererades ofta i anonymiserad form.

Efter hand uppstod behov av att analysera uppgifter om samma forskningspersoner från olika källor. Detta krävde tillgång till personuppgifter med identifierare. Det svenska personnummersystemet, som är gemensamt för alla samhällssektorer och omfattar alla bosatta i landet, erbjöd här unika möjligheter jämfört med andra länder. Det gjorde det möjligt att komplettera egeninsamlade uppgifter med utdrag från administrativa uppgiftssamlingar och andra källor som använder personnumret. Utvecklingen ledde till att unika forskningsmaterial skapades i varje enskild forskningsmiljö. De bestod ofta av såväl egeninsamlade uppgifter som uppgifter från andra källor.

Överföringen av uppgifter från originalkällan gjordes genom direkta kontakter mellan registerhållaren och användaren. De uppgiftssamlingar som skapades blev därmed avgränsade till de specifika behov som förelåg för det enskilda forskningsprojektet. Sambearbetning av register innehållande uppgifter som härrörde från statistikmyndigheterna med andra uppgifter sköttes ofta av myndigheten. Det var anonymiserade eller pseudonymiserade uppgifter som skickades till forskargruppen.

I Sverige uppstod under 1980-talet en debatt om de integritetsrisker bevarandet av personuppgifter för forskningsändamål innebar. Det uppmärksammades särskilt i samband med att intervjusvar från föräldrar i det s.k. ”Metropolitprojektet” insamlade på 1960-talet senare, i enlighet med den lagstiftning som då gällde, kombinerades med registeruppgifter från myndigheter utan de registrerades vetskap eller godkännande.30 Debatten kring Metropolit bidrog sannolikt till att integritetsfrågorna uppmärksammades särskilt under 1980-talets

30 Se Stenberg S-Å, (2013) Född 1953: Folkhemsbarn i forskarfokus. Borea.

senare hälft.31 Genomgripande förändringar av lagstiftningen kom dock först efter det europeiska dataskyddsdirektivets tillkomst 1995, som 1998 implementerades i Sverige genom personuppgiftslagen (1998:204). De regler som tillkom motsvarade dåtidens behov av koncentrerade uppgiftssamlingar med specifika ändamål.

Utveckling av databibliotek

Under 1960-talet uppstod på olika håll tanken att forskare borde dela med sig av uppgifter till andra forskargrupper. I USA bildades år 1962 ett konsortium för statsvetenskaplig forskning (ICPSR)32 med syftet att utveckla gemensamma dataresurser för forskning. Organisationen omfattar i dag omkring 750 medlemsuniversitet över hela världen och omkring 750 000 uppgiftssamlingar inom ett brett område av akademiska discipliner. En stor majoritet av samlingarna är anonymiserade och öppet tillgängliga, men cirka 2 procent kräver godkännande och är skyddade, bland annat av integritetsskyddande regler. Stora delar av den samhällsvetenskapliga forskningen har, särskilt i USA, grundats på sekundäranalys av data hämtade från konsortiet. Ett flertal svenska universitet är medlemmar och Svensk Nationell Datatjänst (SND) är nationell nod.33 På europeisk nivå finns samarbetsorganisationen Consortium of European Social Science Data Archives (CESSDA-ERIC) med säte i Bergen, Norge.

Utveckling av gemensamma forskningsdatabaser inom samhällsvetenskap och välfärdsforskning

Under 1960- och 70-talen uppstod parallellt insamling av surveydata, dvs. uppgifter insamlade från de registrerade själva med hjälp av intervjuer eller postenkäter, avsedda för fler forskargrupper. Uppgiftssamlingar av detta slag är fortfarande i dag viktiga källor för den svenska och internationella välfärdsforskningen.

31 Integritetsskyddskommitténs delbetänkande Skyddet för den personliga integriteten (SOU 2007:22), s. 510. 32 Miller, W E. (1963), The Inter-University Consortium for Political Research, American Behavioral Scientist 7:3, s. 11–12. 33 SND är således det nationella databibliotek som ingår som Sveriges del av det internationella samarbetet inom ICPSR och CESSDA-ERIC.

I Sverige gav 1968 års Låginkomstutredning upphov till Levnadsnivåundersökningen (LNU), som sedan 1974 har skötts av Stockholms universitet.34 LNU innehåller personuppgifter, men den identifierande nyckelfilen förvaras vid SCB. Uppgifterna identifieras i samband med att de i undersökningen ingående personerna ska återintervjuas, vilket görs med jämna mellanrum. LNU används av flera forskningsprojekt och har kommit att utgöra ett viktigt bidrag till såväl den svenska som internationella socialvetenskapen. Urvalsramen utgörs av vuxna personer bosatta i Sverige i yrkesaktiv ålder. Uppgifterna har i begränsad omfattning kompletterats med uppgifter från myndigheter, exempelvis med avseende på inkomster från självdeklarationer och dödsfall i urvalet, och har utökats med uppgifter om samboende, barn och äldre.

I USA finns en motsvarande frågeundersökning, General Social Survey (GSS).35 Den initierades år 1972 och genomförs av National Opinion Research Center (NORC) vid University of Chicago inom ramen för ”The National Data Program for the Social Sciences”. Programmet syftar såväl till att genomföra social forskning som att tillhandahålla anonymiserade data till samhällsvetare och andra intresserade.36 På hemsidan finns möjlighet att söka data och analysera uppgifter online.

Inom SCB skapades år 1975, delvis också med bakgrund i Låginkomstutredningen, parallellt med LNU årsvisa undersökningar av levnadsförhållanden (ULF). Intervjuer genomförs som återkommande tvärsnittsundersökningar, men en mindre del av urvalet har behållits och återintervjuats med jämna mellanrum. Undersökningen syftar till att ”belysa välfärdens fördelning mellan olika grupper i befolkningen”. Den kan anses ingå i myndighetens statistikuppgift, men har använts mycket flitigt av välfärdsforskare sedan 1970-talet. 37

Från och med 2008 samordnades ULF med den europeiska undersökningen Survey of Income and Living Conditions (SILC) genomförd av de nationella statistikmyndigheterna inom EU på uppdrag av Eurostat. SILC:s ”mikrodata” är tillgängliga för forskare

34 http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu 35 http://gss.norc.org/ 36 gss.norc.org/About-The-GSS 37Undersökningarna av levnadsförhållanden (ULF/SILC) 2012, SCB DOK .32 s. 3.

och direkt identifierade personuppgifter kan analyseras på plats hos Eurostat i Luxemburg.38

Inom ramen för de europeiska forskningsinfrastrukturerna (ESFRI)39 genomförs en undersökning av åldrande, hälsa och pensionering (Survey of Health, Ageing and Retirement, SHARE-ERIC) där personer följs över tid för forskningsändamål. Tillgång till anonymiserade data från SHARE erbjuds fritt till forskare över hela världen.40

En parallell undersökning till den nordamerikanska GSS är European Social Survey (ESS-ERIC) som genomförs vartannat år sedan 2002. I 2016 års datainsamling deltog 18 länder. Den utgör en europeisk forskningsinfrastruktur med samma policy för forskartillgång som SHARE (fri tillgång till anonymiserade uppgifter).41

ESFRI-programmet har medfört utveckling av en europeisk organisationsform reglerad i EU-rätten, så kallade konsortier för europeisk forskningsinfrastruktur (ERIC-konsortier).42 Varje ERIC har en värdmedlemsstat i vilken organisationen erkänns status som internationell organisation. Medlemsländer kan välja att delta och förbinder sig då att stödja och lämna resurser till verksamheten i enlighet med ett avtal. Vetenskapsrådet bereder ärenden för Sveriges del och riksdagen beslutar om svenskt deltagande. I de ovan beskrivna fallen (SHARE-ERIC och ESS-ERIC) innebär stödet att medlemslandet samlar in och tillhandahåller uppgifter i enlighet med ett överenskommet protokoll. För CESSDA-ERIC innebär samarbetet att man förbinder sig att finansiera och stödja datautbyte genom det europeiska databiblioteket i Bergen (se Utveckling av databibliotek ovan).

De ovanstående exemplen illustrerar att datainsamling avsedd för breda forskningsområden och fler forskargrupper har pågått under lång tid. Behoven ökar alltjämt, har internationaliserats, och har givits en fastare gemensam reglering genom tillkomsten av ERIC-systemet. De beskrivna datamängderna samlas in för brett definierade ändamål och uppdateras för samma eller nya intervjupersoner över tid. De kompletteras dock i regel inte, eller i mycket begränsad omfattning, med uppgifter om samma personer från andra undersökningar med olika innehåll, från hälsodataregister eller administrativa register.

38 Regulation (EC) No 223/2009, art. 26. 39Strategy Report on Research Infrastructures. Roadmap 2016, European Strategy Forum for Research Infrastructure, s. 85. 40 http://www.share-project.org/data-access.html 41 http://www.europeansocialsurvey.org 42 Rådets förordning (EG) nr 723/2009 av den 25 juni 2009 om gemenskapens rättsliga ram för ett konsortium för europeisk forskningsinfrastruktur (Eric-konsortium).

Tillgång till informationsdatabaser

Utveckling av samarbete mellan forskargrupper kräver gemensam information.43 Till att börja med dokumenterades gemensamma forskningsdatabaser av den typ som beskrivs i föregående avsnitt i s.k. ”kodböcker” tillsammans med tekniska rapporter som beskrev hur datainsamlingen gått till. Kodböcker innehöll metainformation med vars hjälp detaljerade beställningar av uppgiftssamlingar kunde göras.44 Förteckningar över innehållet i databibliotek publicerades periodiskt i böcker eller rapporter.45 Såväl dokumentation som data överfördes från gemensamma databibliotek, s.k. datarepositorier, till forskare med traditionell postgång.

Den tekniska utvecklingen ökade snabbt möjligheterna till informationsutbyte mellan datorer. Kontakt mellan fysiskt åtskilda datorer utvecklades under 1970-talet genom tillkomsten av kommunikationsverktyg som TCP/IP, NNTP och Bitnet.46 Från och med 1980-talets början kunde de då nyligen utvecklade persondatorerna sammankopplas i lokala nätverk, s.k. ”Local Area Networks” (LAN). I mitten på 1980-talet utvecklade det amerikanska vetenskapsrådet (National Science Foundation) ett akademiskt kontrollerat internetsystem, det s.k. NSFNET, som sedermera kommersialiserades och blev World Wide Web (”www”). Utvecklingen av stationära och sedermera portabla persondatorer innebar således en snabb decentralisering av forskares digitaliserade verktyg samtidigt som möjligheten att nå gemensamma informationskällor på distans utvecklades. Detta har lett till att forskare kan nå gemensamma resurser utan att behöva befinna sig på samma fysiska plats. Den fortsatta utvecklingen av datorer och nätverksteknik har medfört att dokumentation av data i dag huvudsakligen erbjuds genom fjärråtkomst.

De tekniska möjligheterna har inneburit ökade möjligheter att utveckla dokumentation enligt gemensamma standarder och på plattformar som är tillgängliga för många forskare. Dokumentation såsom ”kodböcker” kan göras tillgänglig på nätet via PDF eller andra digitala

43 Den information som här avses innefattar beskrivningar av uppgiftssamlingarna och inte själva uppgifterna. 44 Se t.ex. The 1972-73 Quality of Employment Survey, Survey Research Center, Institute for Social Research, University of Michigan, Ann Arbor, USA. 45 Katalogen Guide to Resources and Service gavs till en början ut årsvis i bokform, men har nu ersatts av online-dokumentation. 46 Transmission Control Protocol/Internet Protocol (TCP/IP), Network News Transfer Protocol (NNTP) och ”Because It’s Time”-Net (BITNET).

format. Dokumentationen kan också samordnas i digitaliserade informationsdatabaser för forskning som använder gemensam semantik och är sökbara. En metadokumentation kan innefatta uppgifter om insamlingskontext, insamlingsmetoder, klassifikationer, årgångar, variabler och värdemängder. Informationsdatabaser som är tillgängliga online omfattar dock vanligen inte personuppgifter. De kan därför skapas utan att begränsas av de regler som har till syfte att skydda personers integritet.

Utvecklingen av gemensam information för fysiskt utspridda användare via centraliserade informationsdatabaser har blivit ett allt viktigare instrument i forskningen. Vid Vetenskapsrådets enhet för registerforskning47 pågår för närvarande uppbyggnad av ett gemensamt dokumentationsverktyg, Register Utility Tool (RUT) som är avsett att med gemensam semantik dokumentera databaser vid myndigheter och hos forskargrupper. RUT innehåller detaljerad information om variabler och värdemängder i databaserna och myndigheten rekommenderar att dokumentationsverktyget används av de databasinfrastrukturer som får stöd av Vetenskapsrådet. Tillsammans med detta utvecklas stöd för att utforma ansökningar om etikprövning och utlämnande av uppgifter från registerhållare. Allt detta underlättar planering av forskning med utnyttjande av befintliga gemensamma databaser.

Mot bakgrund av ovanstående är det utredningens uppfattning att det under senare år har gjorts viktiga framsteg på dokumentationsområdet. Därmed har möjligheterna till samordning av forskning mellan forskargrupper stärkts. Möjligheterna till uppbyggnad av forskningsdatabaser har också ökat. Det är vår bedömning att önskemålen om att bygga upp sådana strukturer har ökat inom flertalet vetenskapsområden som använder personuppgifter. Detta har vi också erfarit i samband med en rad besök på olika lärosäten.

Forskningsdatabaser

Begreppet forskningsdatabas används i denna utredning såsom det definierats i Registerforskningsutredningen, men med viss modifiering (se avsnitt 3.3.3). Forskningsdatabasen är en samordnad uppgiftssamling, som tillhandahåller uppgifter för flera forskningsprojekt

47 Se https://registerforskning.se

och/eller forskargrupper. Forskningsdatabasen innehåller såväl metadata som personuppgifter. I praktiken utvecklas enhetlig semantik och dokumentation ofta parallellt med att behandling av personuppgifter från olika källor samordnas i en forskningsdatabas.

En forskningsdatabas kan utgöras av en enskild insamling av uppgifter som från början är samordnad inom ett projekt, men som är avsedd att betjäna flera forskargrupper under en viss tidsperiod. Uppgifterna uppdateras och kompletteras med ny insamling under forskningsdatabasens livscykel. Beskrivningen i föregående avsnitt av de nationella välfärdsundersökningarna LNU och ULF är exempel på detta.

Forskningsdatabaser kan också bestå av en sammanläggning av observationer som samlats in i flera olika projekt i enlighet med samma eller i stort sett liknande undersökningsprotokoll.

En internationellt samordnad surveyundersökning utförd enligt samma protokoll i flera länder kan utgöra en forskningsdatabas. Den i kapitel 11 behandlade Luxembourg Income Study innebär insamling av inkomstuppgifter från deklarationer för gemensam jämförande analys i en europeisk forskningsdatabas.

Så kallad ”pooling” innebär att man samlar uppgifter från många olika källor i en forskningsdatabas. Detta genomförs ofta för att uppnå tillräckligt antal observationer för forskning. Den forskning som rör sällsynta sjukdomar hos barn baseras på uppgifter från många olika länder som läggs samman i en databas.48

Ett tredje exempel är genomdatabanker där hela eller delar av individers genetiska kod samlas och görs tillgängliga för olika forskningsprojekt.49

Forskningsdatabaser kan således skapas genom att observationer av samma karaktär samlas från olika håll för att åstadkomma en storskalig dataresurs för forskningssamarbete. I detta fall sammanförs likadana uppgifter om olika personer i en större uppgiftssamling.

Forskningsdatabaser kan också bestå av sammanläggning av uppgifter som samlats in från olika håll och som rör olika personer. Forskningsdatabasen kommer då att innehålla kopior av uppgifter från olika originalkällor. Källorna kan vara statistikmyndigheter,

48 Se t.ex. Adler A. et. al., PhenoDis: a comprehensive database for phenotypic characterization of

rare cardiac diseases, Orphanet J Rare Dis 2018 Jan 25:13(1), s. 22.

49 Fusi F et. al., Building Global Genomics Initiatives and Enabling Data Sharing: Insights from

Multiple Case Studies, OMICS 2018 Mar. doi:10 1089/omi.2017.02.14, (E-publikation innan

tryckning).

andra myndigheter eller organisationer som inte är forskningsorganisationer, eller forskningsmaterial som återanvänds och kombineras med andra uppgifter. Resultat av analyser av prover från hälso- och sjukvårdens regionala biobanker sambearbetade med hälsodataregister och/eller uppgifter om de registrerades exponering för risker, upprättade för samarbete kring ett forskningsområde, kan utgöra exempel på en sådan forskningsdatabas.

Biobanksutredningen föreslår att ett nationellt spårbarhetsregister för forskningsändamål upprättas vid Socialstyrelsen som kan användas på detta sätt.50 Enligt en debattartikel författad av tre ministrar i samband med presentationen av regeringens Life Science-kontor i februari 201851 är det först när dessa (biobanker och register) samutnyttjas som industrin och den akademiska forskningen kan utnyttja sina fulla potentialer.

De forskningsdatabaser som beskrevs av Registerforskningsutredningen bestod huvudsakligen av sambearbetningar av myndighetsuppgifter som i begränsad omfattning är föremål för förändringar. Innehållet behöver dock med jämna mellanrum uppdateras och kompletteras, exempelvis i samband med att nya årgångar av registermaterial från SCB och Socialstyrelsen blir tillgängliga.

Under 1990- och 2000-talet skapades allt fler uppgiftssamlingar med uppgifter från SCB och Socialstyrelsen som huvudsaklig bas, men där uppgifter från andra registerförande myndigheter också kan ha ingått. Sedan dess har utvecklingen främst inom det medicinska området lett till behov av att samordna alltmer omfattande och snabbt föränderliga dynamiska uppgiftssamlingar från olika håll. Tillgången till biologiskt material kan innebära att forskningsdatabaser löpande behöver tillföras data från förnyade analyser av vävnadsprover. Även uppgifter från vårdregister och läkemedelsregister behöver uppdateras med korta mellanrum. Regeringens satsningar på livsvetenskaperna innebär att det behövs ett ökat samarbete mellan hälso- och sjukvården, industrin och forskningen. Uppgiftssamlingarna behöver kunna kombineras med personuppgifter från Socialstyrelsen, SCB och andra myndigheter.

50SOU 2018:4, s. 59. 51 Damberg M, Hellmark-Knutsson H, Strandhäll A, Regeringen tar ett helhetsgrepp om life

science, Dagens Medicin 5 februari 2018.

Den tekniska utvecklingen har inneburit att det är möjligt att samköra stora datamängder i centraliserade forskningsdatabaser. De kan med dagens teknik nås med fjärråtkomst av många användare. Säkra tunneluppkopplingar med krypterad information och system för säker behörighetskontroll har utvecklats.52 Den decentralisering av datafiler och programvara som kännetecknade den inledande utvecklingen av persondatorer på 1980- och 90-talen har därmed under 2000-talet kompletterats av tjänster som radikalt har förbättrat möjligheten att utnyttja centraliserade resurser med hjälp av fjärråtkomst. Vissa resurser har därmed decentraliserats medan andra har centraliserats. Behoven av samordning har därmed medfört ökad centralisering som inbegriper såväl programvara som fjärråtkomst till data.

Det kan konstateras att

  • behovet av att samordna och anpassa uppgifter från statliga myndigheter för forskningsändamål kvarstår,
  • antalet potentiella användare ökar,
  • behovet att använda generellt syftande surveyundersökningar kvarstår,
  • forskargrupper verksamma inom samma fält har i ökande utsträckning uttryckt behov av att samverka kring gemensamma databaser,
  • forskningen använder i högre grad uppgifter från hälso- och sjukvård för forskningsändamål, och
  • nationell samordning av biobanker möjliggör uppbyggnad av forskningsdatabaser där biologiska uppgifter kan användas tillsammans med undersökningar om levnadsvanor och de statliga myndigheternas uppgifter om hälsa och välfärd.

De tekniska möjligheterna att med fjärråtkomst använda centraliserade tjänster som betjänar många har förbättrats. Detta gäller såväl informationstjänster som uppgiftssamlingar. Det är utredningens bedömning att behovet av att skapa säkra centraliserade forskningsdatabaser som verktyg för samarbete mellan forskningsprojekt har ökat.

52 Point-to-point tunneling (PPTP) och IPSec är två säkra system för skydd av de uppgifter som skickas.

Distribuerade databaser

Det traditionella systemet med mindre uppgiftssamlingar avsedda för enskilda projekt har inneburit att ett stort antal kopior på uppgifter från den ursprungliga källan har lämnats ut till olika forskningsprojekt. Varje sådan uppgiftssamling har dock haft begränsad spridning. Detta återspeglas i den tolkning av ändamålsbegränsningen som råder. Ett system med centraliserade53 forskningsdatabaser av det slag som vi föreslår och som kan nås med fjärråtkomst medför att antalet kopior på uppgiftssamlingarna kan reduceras. Detta är i sig en säkerhetshöjande åtgärd. Eftersom uppgifterna kommer att användas för flera ändamål under en längre tidsperiod uppstår dock ett behov av att uppdatera och revidera forskningsdatabaserna med jämna mellanrum som inte förelåg i samma utsträckning i det traditionella systemet där uppgiftssamlingar var fokuserade på mer begränsade användningsområden.

Ett alternativ till centraliserade databaser är ett system med distribuerade databaser.54 Som användare kan man i ett distribuerat system nå uppgifter genom samtidig fjärråtkomst till fler källor. Distribuerade databaser kan vara fysiskt utspridda men organiseras så att deltagandet i systemet kontinuerligt kontrolleras av varje registerhållare. Detta utgör i så fall en s.k. federerad databas55 där fler huvudmän och/eller registerhållare är involverade i ett ömsesidigt samarbete. De olika registerhållarna behåller kontrollen över de egna uppgifterna och deras tillgänglighet eftersom alla uppgifter ligger kvar hos den ursprungliga registerhållaren. En viss vidareutveckling har skett av federerade system för ”pooling” (se föregående avsnitt), dvs. sambearbetning av likadana uppgifter för olika personer från olika datakällor.56

Forskningsdatautredningen känner däremot inte till något fungerande federerat system för den tekniskt mer komplicerade utmaningen att i realtid samtidigt analysera stora mängder av uppgifter från olika källor för samma personer. I ett sådant system förekommer

53 I avsnitt 3.3.10 finns en genomgång av hur begreppen centraliserad och decentraliserad används i detta betänkande. 54 Begreppet används här i motsats till centraliserade databaser och avser den fysiska hanteringen av uppgifter. Se vidare avsnitt 3.3.10 för begreppsdefinitioner. 55 En federerad databas har således en utspridd fysisk hantering av uppgifter samtidigt med att också ha en decentraliserad kontroll över hur uppgifterna behandlas. 56 Carter KW et al. (2016), ViPAR: a software platform for the Vitual Pooling and Analysis of

Research Data, Int J Epidemiolog, 45:2, s. 408–416.

med nödvändighet kopiering av samma uppgifter från originalkällan till forskningsdatabasen. I en federerad databas existerar dock dessa kopior endast under korta sekvenser när uppgifterna analyseras tillsammans. Utöver det ökade integritetsskydd detta kan innebära har systemet fördelen att de uppgifter som analyseras vid varje tillfälle kommer att vara identiska med originaldata. Det finns således inget behov av uppdatering av uppgifter i den distribuerade databasen utöver de som görs i originalregistren.

Det kan synas tveksamt att personuppgifter från olika källor ska kopieras till centraliserade forskningsdatabaser som fortlever under längre tid och görs tillgängliga för många forskare. SCB anser i sitt remissvar på Registerforskningsutredningens betänkande att det inte finns behov av att bygga upp forskningsdatabaser för befintliga register eftersom uppgifterna redan är tillgängliga för forskning enligt dagens regelverk.57

Det skulle av integritetsskäl kunna vara en fördel om de centraliserade databaserna kunde ersättas med distribuerade databaser där uppgifterna kan nås direkt från källan. Om källorna är av varandra oberoende huvudmän som ansvarar för sina egna beslut om utlämnande av uppgifter till forskning så krävs att databaserna är federerade. Visst försöksarbete med federerade databaser har bedrivits och bedrivs med finansiering av Vetenskapsrådet, bland annat genom ett pågående försöksprojekt vid Umeå universitet58 och ett tidigare projekt vid Karolinska Institutet.59

Registerforskningsutredningen konstaterar i sitt slutbetänkande att omfattande och tekniskt avancerat utvecklingsarbete krävs för att ett federerat system ska kunna bli användbart i stor skala.60 Den tekniska utvecklingen har gått snabbt framåt. Regeringen har ambitioner att satsa på denna utveckling inom ramen för digitaliseringspolitiken (se avsnitt 7.2.3). Forskningsdatautredningens bedömning är att det trots detta inte har tagits några initiativ som möjliggör federerade system av den storleksordning och komplexitet som skulle krävas för att ersätta behovet av att sambearbeta uppgifter och spara dem på samma ställe i centraliserade forskningsdatabaser

57 Statistiska Centralbyråns remissvar på betänkandet Unik kunskap genom registerforskning (SOU 2014:45), dnr 2014/1519, s. 6. 58 https://infotechumea.se/nyheter/federerade-databaser-ska-ge-sakrare-personuppgifter. 59 Fomkin R, Stenbeck M, Litton J. (2009) Federated databases as a basis for infrastructure

supporting epidemiological research, Conference Proceedings 20th International Workshop on

Database and Expert Systems Application. 60SOU 2014:45 s. 364.

som innehåller kopior på originaldata. Situationen vad avser möjligheter att använda distribuerade databaslösningar som en integritetshöjande åtgärd har således inte förändrats sedan Registerforskningsutredningens slutbetänkande.

4.3. Utveckling av gemensamma resurser vid myndigheter

I de följande fyra avsnitten redogörs för sådan utveckling vid statliga och kommunala myndigheter som har inneburit uppbyggnad av databaser för analysändamål, och som har betydelse för forskningens användning av gemensamma forskningsdatabaser, eller på annat sätt kan underlätta arbetet för forskare som använder personuppgifter.

4.3.1. Satsningen på hälso- och sjukvårdens kvalitetsregister

Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355) en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna, används i dag omkring 100 nationella kvalitetsregister. Med ett nationellt eller regionalt kvalitetsregister avses ett register i vilket personuppgifter samlas in från flera olika vårdgivare. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Kvalitetsregistren används både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.

Uppgifter som behövs och som behandlas för kvalitetssäkring i ett nationellt eller regionalt kvalitetsregister får även behandlas för statistikframställning och forskning. All forskning som har för avsikt

att utföras med hjälp av känsliga personuppgifter i nationella kvalitetsregister måste underställas etikprövningsnämndens bedömning. Utlämnandet av uppgifter måste också alltid föregås av en prövning om uppgifterna får lämnas ut med hänsyn till hälso- och sjukvårdssekretessen.61 Sekretessprövningen görs av den huvudman som förvaltar uppgifterna.

Varje vårdgivare med ansvar för ett nationellt register har en registerstyrgrupp. Den agerar, utöver det personuppgiftsansvar som ligger på varje vårdgivare, som centralt personuppgiftsansvarig för alla uppgifter i det nationella registret oavsett var uppgifterna förvaras. Det finns en nationell styrgrupp för satsningen som har stöd av ett kansli placerat vid Sveriges kommuner och landsting (SKL). Satsningen har också lett till uppbyggnad av ett s.k. registercentrum i var och en av de sex sjukvårdsregionerna. Socialstyrelsen har dessutom byggt upp en enhet för registerservice som har till uppgift att stödja kvalitetsregisterhållare med förbättring av datakvaliteten och forskare med information och dokumentation.

Myndighetens för vårdanalys utvärdering och förslag till fortsatt verksamhet

Myndigheten för vård och omsorgsanalys (Vårdanalys) utvärderade satsningen på kvalitetsregister genom en delrapport och en PM år 201462 och en slutrapport år 201763. Den slutliga utvärderingen är kritisk och anger att satsningen trots att den inneburit förbättringar inte uppnått något av dess effektmål. Utvärderingen visar också att såväl vårdens professioner som forskare, patienter, företag och myndigheter upplever att de inte har tillräcklig tillgång till information om vårdens kvalitet. En stor mängd data samlas in men informationen är inte tillgänglig för den som behöver den. Myndigheten rekommenderar därför att man överger de separata nationella kvalitetsregistren till förmån för en mer samlad informationsstruktur, men anser att tills dess dessa förändringar genomförts bör de befintliga registren behållas ”på nuvarande nivå”.64

6125 kap. 1 § offentlighets- och sekretesslagen (2009:400). 62 Rapport 2014:38. 63 Rapport 2017:39. 64 Det vill säga 2017 års i förhållande till 2012–2016 reducerade finansieringsnivå.

Efter publiceringen av Vårdanalys slutrapport levererade en projektgrupp som tillsatts av den nationella styrgruppen för registren ett förslag till framtida organisation och finansiering av systemet.65Gruppen föreslår en rad åtgärder i syfte att konsolidera den nuvarande organisationen med kvalitetsregister och regionala kompetenscentra och dess styrning. Den huvudsakliga rollen att stödja kvalitetsregisterbaserad forskning bör enligt gruppen ges till staten, medan sjukvårdshuvudmännens ansvar inriktas på utveckling av vårdens kvalitet. En funktion som samordnar forskning och samarbete med livsvetenskapssektorn föreslås inrättas på nationell nivå, men dess närmare organisation beskrivs inte.

Ett långsiktigt beslut om fortsatt finansiering och organisation saknas alltjämt. Den klinikspecifika uppdelning av kvalitetsregistren som motiveras av deras uppföljnings- och kvalitetssäkringsmål behöver inte alltid vara optimal för forskningen, där det ibland finns anledning att inhämta information från olika kliniska register. Den tydligare fördelningen av ansvar mellan staten och huvudmännen som föreslås kan leda till att särskilda statliga satsningar på kliniska forskningsdatabaser kommer att behövas utöver de kvalitetsregister hälso- och sjukvården förvaltar. Det kan mot denna bakgrund ifrågasättas om den organisation som skisseras av styrgruppens projektgrupp kommer att göra kvalitetsregistren till en långsiktig resurs som kan ersätta behovet av särskilda databaser för klinisk och annan forskning som använder uppgifter från hälso- och sjukvården.

Den utveckling av kvalitetsregister som skett under de senaste åren kan inte enligt vår mening ersätta behovet av forskningsdatabaser på den prekliniska och kliniska forskningens områden.

4.3.2. Utveckling av ett nationellt biobanksregister och BBMRI

Utvecklingen inom den epigenetiska forskningen har visat på behovet av att kunna koppla samman personers molekylärbiologiska karakteristika med uppgifter om levnadsvanor och livsvillkor. Det står alltmer klart att de uttryck medfödda biologiska förutsättningar tar sig inte enbart påverkar, utan också påverkas av, individens livsvillkor.

65Förslag: Framtidens kvalitetsregister, Förslag från projektgrupp tillsatt av Styrgruppen för Nationella Kvalitetsregister, maj 2017.

Denna insikt har lett till utveckling av långsiktiga forskningsprogram som LifeGene66 och EpiHealth67. I allmänhet står det klart att den framtida kunskapsutvecklingen kräver att genetiska uppgifter på ett effektivt sätt kan kombineras med uppgifter om hälsa och sjukdom och med sociala och ekonomiska uppgifter.

Detta kräver till att börja med samordning och tillgänggörande av den stora mängd provsamlingar som finns i svenska biobanker. Registerforskningsutredningen redogjorde för det samordningsarbete som intill dess gjorts i det Nationella biobanksrådet (NBR), planer på att utveckla ett nationellt provregister (Svenska Biobanksregistret, SBR), och inrättandet av den europeiska forskningsinfrastrukturen Biobanking and Biomolecular Resources Research Infrastructure (BBMRI)68. Denna utveckling har fortsatt och förstärkts. I Sverige har dessa parallella satsningar på infrastruktur, forskning och hälso- och sjukvård nu slagits samman till den gemensamma resursen Biobank Sverige.69

Registerforskningsutredningen lämnade förslag till reglering av ett nationellt biobanksregister.70 Uppgifterna i registret skulle möjliggöra spårning av prover. Dessutom föreslogs att registret skulle innehålla provsvar. Socialstyrelsen skulle ansvara för registret. Utredningen om regleringen av biobanker har överlämnat sitt slutbetänkande.71 Utredningen föreslår att Socialstyrelsen ska föra ett nationellt biobanksregister som ska kunna användas för att spåra prover för bland annat forskningsändamål. Registret föreslås inte innehålla några provsvar.

Vår utredning har också fått i uppdrag att utreda vissa frågor som har med spårbarhet till prover i biobanker att göra. Kapitel 10 innehåller våra ställningstaganden i denna del.

66 https://www.lifegene.se/ 67 https://www.epihealth.se/vad-ar-epihealth/ 68SOU 2017:50, s. 309-11. 69 http://biobanksverige.se/ 70SOU 2014:45 s. 6669. 71SOU 2018:4.

4.3.3. Utveckling av stöd till forskning vid statliga myndigheter

Nytt register hos SCB

Ett viktigt tillskott för medicinsk och samhällsvetenskaplig forskning är den registerbaserade folkbokföringen. Det lägenhetsregister som sedan 2006 förs vid Lantmäteriet72 har sedan 2012 kombinerats med uppgifter om vilka personer som är folkbokförda73 på respektive lägenhet.74 Detta görs genom en sambearbetning av registret över totalbefolkningen (RTB) och SCB:s lägenhetsregister. 75 Genom folkbokföring på lägenhet kan personer som är folkbokförda på samma lägenhet kopplas ihop till bostadshushåll, och hushållens boende kan beskrivas löpande. Detta system ersätter tidigare folkbokföring genom frågeundersökningar, som upphörde i och med 1990 års folkbokföring. Genom systemet finns nu fullständiga uppgifter över lägenheter och om vem som är bosatt där. Materialet utgör en viktig ny potential för forskningen, förutsatt att det i framtiden på ett effektivt sätt kan tillgängliggöras för forskare med beaktande av integritetsskyddet. Liksom de andra register vid SCB som används för statistikändamål är uppgifterna skyddade genom statistiksekretessen.76

Analysdatabaser vid myndigheter

Försäkringskassan har sedan 2003 utvecklat en särskild databas för analysarbete kallad Mikrodata för analys av socialförsäkringen (MiDAS). Enligt Försäkringskassans dokumentation77 syftar denna dels till att minska informationsmängden i myndighetens administrativa data, dels till att strukturera data i en enhetlig och lättanvänd form för olika typer av frågeställningar och användare. I myndighetens grunddata finns en mängd administrativa uppgifter som har rensats bort, och uppgifter om försäkringsbeslut som hänför sig till samma

72 Lag (2006:378) om lägenhetsregister, https://www.lantmateriet.se/lagenhetsregistret 73 Regleras i folkbokföringslagen (SFS 1991:481). 74 Se PM Statistiska Centralbyrån Hushållens boende 2016 (SCBDOK 3.2): ” Vidare har folkbokföringslagen (SFS 1991:481) kompletterats i 6 § med att en person som är bosatt på en fastighet som innehåller flera bostadslägenheter ska folkbokföras även på lägenhet.” 75 En bearbetning av Lantmäteriets lägenhetsregister för statistikändamål. 7624 kap. 8 § offentlighets- och sekretesslagen. 77Midas. Sjukpenning och rehabiliteringspenning, PM Försäkringskassan, mars 2011.

person har länkats samman. Därmed har möjligheten att använda uppgifter från socialförsäkringen i forskningsverksamhet underlättats.

En motsvarande från grundregister sammanställd databas avsedd för analyser, har sedan tidigare funnits vid SCB. Det är den av forskare flitigt använda Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA)78 och dess föregångare Longitudinell databas kring utbildning, inkomst och sysselsättning (LOUISE), som skapades år 2005. Dessa databaser har efter hand intagit en alltmer betydelsefull roll i den registerbaserade forskningen. Forskarbeställningar innebär ofta att utdrag från LISA sambearbetas med uppgifter från andra myndigheter.

Utöver dessa två analysdatabaser finns vid statistikmyndigheterna huvudsakligen databaser som är anpassade för myndigheternas statistikproduktion och som kräver särskild bearbetning för att anpassas för forskningsanvändning.

Registerservice vid Socialstyrelsen

Socialstyrelsen har inom ramen för satsningen på hälso- och sjukvårdens kvalitetsregister skapat en särskild verksamhet för att stödja registerbaserad forskning med användning av patientuppgifter. Registerservice betjänar de nationella kvalitetsregistren, statistikbeställare och forskare. Den omfattar såväl information om kvalitetsregister som beställningsfunktioner som rör register vid Socialstyrelsen. Informationen har härmed förstärkts. Forskare har dock uttryckt att man trots detta ännu inte uppnått tillräcklig snabbhet i handläggningen av ansökningar om forskningsuttag.

Fjärråtkomst till centraliserade databaser

Vid SCB finns, som nämnts ovan (avsnitt 4.2.1), sedan 2004 ett system för fjärråtkomst till registerdata, Microdata Online Access (MONA). Systemet är ett centraliserat system för fjärråtkomst där användaren efter prövning får åtkomst till uppgifter som förvaras vid myndigheten. Det finns också möjligheter att inom systemets ram sambearbeta forskarens egna uppgifter med myndighetens register. Man kan således skicka in egna uppgifter till systemet och få möjlighet

78SOU 2017:50 s. 89.

att via fjärråtkomst koppla uppgifterna till myndighetsdata. En internationell utvärderingspanel tillsatt av Vetenskapsrådet rekommenderade år 2014 en rad åtgärder för att stärka systemet, bland annat att inlemma också Socialstyrelsens data i ett fjärråtkomstsystem, att ge MONA en mer självständig ställning i förhållande till värdmyndigheten SCB, samt att SCB borde etablera en särskild enhet för registerservice.79 SCB har sedan dess centraliserat sin forskarservice och viss ytterligare försöksverksamhet har pågått, men forskares tillgänglighet till myndighetsuppgifter på distans har ännu inte på något avgörande sätt underlättats.

Sammanfattning

Den information som finns om uppgifter vid de registerförande statistikmyndigheterna har förbättrats. När det gäller möjligheterna att få ut uppgifter från dessa myndigheters uppgiftssamlingar för forskningsändamål ser situationen i stort sett ut på samma sätt som vid tiden för Registerforskningsutredningens slutbetänkande. Den bild som tecknades av den utredningen när det gäller forskningens behov av centraliserade forskningsdatabaser, som innehåller bearbetade myndighetsuppgifter, förefaller därför inte ha påverkats nämnvärt av det utvecklingsarbete som pågått och pågår vid de registerförande statistikmyndigheterna.

4.3.4. Vetenskapsrådets satsningar på forskningsdatabaser

Sedan 1 januari 2005 bedriver Vetenskapsrådet en särskild verksamhet med syfte att stödja, utveckla och utvärdera forskningsinfrastrukturer. Till en början inrättades denna verksamhet som en kommitté vid sidan av de reguljära ämnesråd som finns för olika forskningsområden.80 Från och med 2009 behandlas bidrag som ges för inrättande av forskningsinfrastruktur inom ett särskilt Råd för forskningens infrastruktur (RFI).81 Myndighetens satsning på sådan

79Evaluation of the MONA system (Microdata online access), Vetenskapsrådets rapporter 2014, s. 5–6. 80 Ämnesråden för humaniora och samhällsvetenskap, medicin och hälsa, samt naturvetenskap och teknikvetenskap. Dessutom finns en kommitté för utbildningsvetenskap. 818 och 14 §§ förordningen (2009:975) med instruktion för Vetenskapsrådet.

infrastruktur för forskning som innehåller forskningsdatabaser har således ökat. Genom ett regeringsuppdrag år 2013 har en avdelning för forskningsinfrastruktur skapats inom vilken en enhet för registerforskning har inrättats.82 I uppdraget anges följande.

Vetenskapsrådet ska avsätta 25 miljoner kronor inom området infrastruktur för registerbaserad forskning och ska inom myndigheten bygga upp en verksamhet för att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål. Vetenskapsrådet ska bistå forskare med information om register och om relevant lagstiftning. Vetenskapsrådet ska i samband med årsredovisningen redovisa till Regeringskansliet (Utbildningsdepartementet) hur uppdraget fortskrider.

Satsningar har vidare gjorts på att i myndighetens regi utveckla informationsstöd,83 på att stödja verksamheten vid Svensk Nationell Datatjänst,84 och på att utlysa infrastrukturbidrag för utveckling av nationella databasinfrastrukturer som samordnar s.k. ”individdatabaser” inom humaniora, medicin och samhällsvetenskap.85

Från och med 200886 har regeringen i varje forskningsproposition identifierat behov av att särskilt stödja utnyttjandet av befolkningsbaserade register i forskningen.87 Vetenskapsrådets pågående uppbyggnad av ett system för dokumentation av befolkningsbaserade register och forskningsdatabaser88 förväntas i framtiden underlätta för forskare att utforma ansökningar till anslagsgivare och etikprövningsnämnder, samt underlätta utlämnandet av uppgifter för forskning från registerförande förvaltningsmyndigheter. Ett registerforskningsråd har inrättats vid Vetenskapsrådet med representanter för forskningsråd, registerförande myndigheter och forskare. Registerforskningsrådet innehåller även representanter för den centrala etikprövningsnämnden, Biobank Sverige och SKL.

82 https://www.vr.se/omvetenskapsradet/regeringsuppdrag/regeringsuppdrag/registerbaseradforskning 83 Se registerforskning.se 84 Se https://snd.gu.se/sv 85 Med ”individdatabaser” avses här databaser som innehåller identifierbara eller anonymiserade uppgifter som avser levande eller döda personer. 86 Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), avsnitt 12.2, s. 190–192. 87Prop. 2012/13:30, avsnitt 12.4, s. 147–150 och prop. 2016/17:50, avsnitt 8.2.5 s. 97–98. Anslagen har successivt ökat och når fr.o.m. år 2020 50 mkr per år. 88 Register Utility Tool (RUT).

Vetenskapsrådets bidragsutlysningar år 2012 och 2015 innehöll satsningar på att stödja uppbyggnad av nationella infrastrukturer med fokus på individdatabaser.89 Motiven för detta beskrevs på följande sätt:

Ett stort antal individdatabaser inom medicin och samhällsvetenskap kan bidra till vetenskapliga genombrott inom en rad olika områden, bland annat de områden som behandlar vår tids stora samhällsutmaningar. (……). Longitudinella undersökningar är ofta strategiskt viktiga i detta avseende. Vidare förhöjs värdet ofta avsevärt av enkätdata/frågeundersökningar, både longitudinella och andra, genom att lägga till data från olika befintliga befolkningsregister. (………..) Denna typ av kombinerade databaser som skapas genom att länka undersökningar till registerdata är värdefulla både från ett nationellt och internationellt perspektiv.

Ett ökat samarbete mellan databaser på det här området förväntas leda till ett antal positiva effekter och chanserna för genombrott i forskningen förväntas öka. Omfattningen av och kvaliteten på framtida undersökningar kommer att förbättras genom samverkan för datainsamling. Data blir också mer lättillgänglig och nya metoder för parallella analyser av data i olika databaser möjliggörs. Individdatabaser inom samhällsvetenskap och medicin kommer att täcka områden som är av avgörande betydelse för de närmaste decenniernas forskning, och fortsatt integrering av registerdata kommer att ligga till grund för forskning i världsklass. Detta samarbete kommer även att svara mot några av de utmaningar som identifierats när det gäller medicin- och samhällsvetenskapsdatabaser; att undvika dubbelarbete i insamling av data och möjligen avsätta resurser för att garantera tillräckliga svarsfrekvenser (bland annat). Dessutom skapas drivkraft för att åstadkomma olika synergier.90

I det följande ger vi några exempel på infrastruktursatsningar av detta slag.

SwedPoP

SwedPop är en infrastruktur som samordnar de viktigaste historiska befolkningsdatabaserna i Sverige till en gemensam resurs för det nationella och internationella forskarsamhället. Tidsserier som omfattar hela befolkningen finns tillgängliga från mitten av 1600-talet ända fram till i dag. Data kan användas för att belysa de långsiktiga demografiska, sociala och ekonomiska processer som omformade

89 Vetenskapsrådets utlysningar 2012 Bidrag till stora databaser samt 2015

Forsknings-

infrastrukturbidrag: Databaser inom samhällsvetenskap och medicin med fokus på individdata (drift), se https://www.vr.se/forskningsfinansiering/sokabidrag/stangdautlysningar

90 Områden och infrastrukturer som kan söka Vetenskapsrådets bidrag till infrastruktur av

nationellt intresse 2017, Vetenskapsrådet, s. 4–5.

Sverige, från ett traditionellt bondesamhälle fram till dagens postindustriella välfärdssamhälle. I samordningsprojektet ingår: Demografiska databasen (Umeå universitet), Skånes ekonomiska och demografiska databas (Lunds universitet), SweCens-databasen (Riksarkivet, Stockholm), Rotemansarkivet (Stadsarkivet i Stockholm), samt Göteborgs Befolkningspanel (avdelningen för ekonomisk historia, Handelshögskolan, GU). Avsikten med samordningen är att skapa en gemensam databasstruktur som förbättrar möjligheten att bedriva jämförande forskning med befolkningsdata.

National Genomics Infrastructure (NGI)

NGI är en gemensam internationellt tillgänglig resurs som används för att sekvensbestämma DNA. Syftet med att sekvensera människors genom är att hitta genvarianter som bär ansvaret för det biologiska arvets orsak till vanliga sjukdomar. NGI Sweden är den svenska delen som sköts av Science for Life Laboratory (SciLifeLab). Den etablerades år 2013 som en stödresurs och finansieras av Vetenskapsrådet, SciLifeLab, Uppsala universitet, Karolinska Institutet, Kungliga Tekniska högskolan, Stockholms universitet och Uppsala universitet. Inom denna infrastruktur lagras biologiska data som kan hänföras till personer.91

The Swedish Survey Program (SWEEP)

SWEEP är ett nationellt konsortium, dvs. ett formaliserat samarbete mellan flera forskningshuvudmän med gemensamt ansvar, för att tillhandahålla uppgifter från sju av de största samhällsvetenskapliga frågeundersökningarna.92 Syftet med SWEEP är att tillhandahålla data av hög kvalitet som ska hjälpa forskare att förklara dagens stora samhällsutmaningar såsom migration, en åldrande befolkning, välfärd och socialt utanförskap.

Det gemensamma för forskningsprogrammen är att de samlar in och distribuerar data om attityder, beteenden, hälsa och livskvalitet över tid baserat på den svenska befolkningen. Tillsammans ska de utgöra

91 https://ngisweden.scilifelab.se/ 92 Dvs. svar från försökspersoner från intervjuer, postenkäter eller digitaliserade formulär.

grunden för en databasplattform som har kapacitet att vara ett viktigt verktyg för beslutsfattande och den demokratiska diskussionen.93Uppgifterna i dessa databaser är anonymiserade och utgör därmed inte längre personuppgifter.

National Infrastructure for Ageing Research in Sweden (NEAR)

Under det senaste halvseklet har det skett demografiska förändringar i samhället, vilka utgör långsiktiga utmaningar globalt, och särskilt i utvecklade länder som Sverige som har en växande andel äldre i befolkningen. Detta understryker behovet av att identifiera effektiva och hållbara strategier för en bättre hälsa och vård av äldre personer. NEAR syftar till att

  • tillhandahålla högkvalitativa databaser för att utreda folkhälsorelaterade aspekter av åldrandet, såsom den samhälleliga bördan, trender över tid, och bestämningsfaktorer (t.ex. sociala, miljömässiga och biologiska/genetiska faktorer) av vanliga sjukdomar (t.ex. hjärt- och kärlsjukdomar, stroke och demens) och hälsotillstånd (t.ex. multisjuklighet, svaghet, och funktionellt beroende) hos äldre personer;
  • erbjuda dataresurser för att bedöma och planera vården för äldre;
  • ge information för att identifiera åtgärdsstrategier för att förbättra hälsa, vård och omsorg, och livskvalitet för äldre människor; och
  • ge tillförlitliga dataresurser för att ta itu med frågor om social ojämlikhet i åldrande och hälsa.

NEAR innehåller för närvarande 13 enskilda databaser i Sverige.

93 I infrastruktursamarbetet ingår studierna: ESS (European Social Survey Programme); ISSP (International Social Survey Programme); SHARE (The Survey of Health, Aging and Retirement in Europe); LNU (Levnadsnivåundersökningen); SNES (Svensk valundersökning) och SOM-institutet (Samhälle, Opinion, Medier). Där ingår också LORE (Laboratory of Opinion Research), en organisation vid Göteborgs universitet som genomför datainsamlingar via webbenkäter för forskningsändamål.

Relations, work, and health across the life course (REWHARD)

REWHARD är ett nationellt infrastrukturkonsortium som syftar till att främja forskning om hur aktiviteter (särskilt i betalt och obetalt arbete) och sociala relationer (både i och utanför arbetet) är relaterade till levnadsförhållanden, livsstil och hälsoutveckling över livsförloppet. Konsortiet arbetar därför för att säkerställa den långsiktiga existensen, utvecklingen och rikstäckande användningen av åtta komplementära longitudinella databaser med många upprepade mätningar, både självrapporterade och registerbaserade, av exponeringar och hälsoutfall från barndomen, genom vuxenlivet och in i ålderdomen.94

Swedish Cohort Consortium (COHORTS.SE)

Cohorts.se är ett svenskt samarbete som bildats för att skapa en nationell teknisk och samverkande infrastruktur för kohortstudier, dvs. studier där personer följs över tid. Denna infrastruktur har det långsiktigt vetenskapliga målet att underlätta forskning om riskfaktorer för ovanliga sjukdomar.

Genom ett samutnyttjande av flera kohorter skapas möjligheter för säkrare forskningsresultat. Konsortiet avser att möjliggöra forskning på sällsynta sjukdomar som det i dag är omöjligt eller alltför resurskrävande att genomföra. Målet är att upprätta en gemensam infrastruktur för samtliga svenska prospektiva95 populationsbaserade kohorter, med syfte att stödja alla aspekter av kohortaktiviteter och samarbeten. För tillfället finns ett 40-tal anslutna kohortstudier.96

94 I infrastruktursamarbetet ingår studierna: SLOSH (Swedish Longitudinal Occupational Survey of Health), LNU (LevnadsNivåUndersökningen), SWEOLD (The Swedish Panel Study of Living Conditions of the Oldest Old), IMAS (Insurance Medicine – All Sweden), STODS (The Swedish Twin project Of Disability pension and Sickness absence), NOSCO (The Northern Swedish Cohort), SPHC (Scania Public Health Cohort) och UCLS-ES (Uppsala Center for Labor Studies Employer Survey). 95 Det vill säga studier där man, till skillnad från retrospektiva studier som blickar bakåt, samlar uppgifter vid studiens början och sedan följer försökspersonerna framåt i tiden., exempelvis med avseende på hur tidig exponering för risk medför sjukdom i ett senare skede eller hur familjebakgrund hänger samman med levnadsvillkor senare i livet. 96 http://cohorts.se/

4.4. Vår sammanfattande bedömning

Vår bedömning: Forskare kommer under överskådlig tid att ha

behov av att kunna behandla personuppgifter i forskningsdatabaser. Det behövs en reglering som tydliggör det rättsliga stödet för en sådan behandling.

Möjligheterna att använda fjärråtkomst till centraliserade forskningsdatabaser har ökat. Åtkomst genom federerade forskningsdatabaser har ännu inte utvecklats till ett realistiskt alternativ.

Det är Forskningsdatautredningens bedömning att digitaliseringen inneburit att behovet av att använda centraliserade forskningsdatabaser har ökat. Inte minst behoven av att samordna stora dynamiska uppgiftssamlingar från hälso- och sjukvården med uppgifter från hälsodataregister och välfärdsregister vid statliga myndigheter medför att forskningsdatabaser med uppgifter från olika registerhållare behöver utvecklas vidare. Den tekniska utvecklingen erbjuder stora möjligheter för forskare att med fjärråtkomst ansluta sig till sådana centraliserade forskningsdatabaser.

Sådana alternativa tekniker för fjärranslutning till federerade system, som erbjuder samtidig fjärråtkomst till uppgifter vid flera olika källor, har ännu inte utvecklats tillräckligt. De klarar ännu inte de tekniska och säkerhetsmässiga krav som måste ställas. Behovet av forskningsdatabaser kan enligt vår bedömning ännu inte ersättas av alternativa tekniker för fjärranslutning. I takt med den tekniska utvecklingen och satsningar på utveckling av sådana system kan behovet av forskningsdatabaser komma att minska i framtiden. Vi bedömer dock att det för överskådlig tid finns ett behov i forskningen av att kunna behandla personuppgifter i särskilda forskningsdatabaser.

5. Rättsliga förutsättningar för forskningsdatabaser

5.1. Inledning

5.1.1. Innehåll och disposition

Detta kapitel innehåller en genomgång av de rättsliga förutsättningarna för forskningsdatabaser. Med forskningsdatabas avses i detta sammanhang en databas (uppgiftssamling) med personuppgifter som samlats in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Begreppet diskuteras i kapitel 3.

Vi behandlar i det följande de rättsliga förutsättningarna för registerbaserad forskning för att klargöra vilka möjligheter och problem beträffande forskningsdatabaser som finns enligt gällande rätt. Vi går igenom befintlig internationell och nationell reglering avseende personlig integritet och behandling av personuppgifter. Genomgången innehåller vidare en analys av relevanta bestämmelser i dataskyddsförordningen1 och lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) samt av aktuella bestämmelser om sekretess och tystnadsplikt.

1 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

5.1.2. Redovisningar av rättsliga förutsättningar i annat offentligt tryck

Vi hänvisar i det följande bl.a. till Registerforskningsutredningens genomgång av rättsliga förutsättningar för registerbaserad forskning i betänkandet Unik kunskap genom registerforskning2. Vidare refererar vi till dataskyddslagen3 med dess proposition Ny dataskyddslag,4Dataskyddsutredningens betänkande Ny dataskyddslag – Komplette-

rande bestämmelser till EU:s dataskyddsförordning,5 till den genom-

gång som finns i vårt delbetänkande Personuppgiftsbehandling för

forskningsändamål6 och till utkastet till lagrådsremiss Behandling av personuppgifter för forskningsändamål.

7

I betänkandet Unik kunskap genom registerforskning redovisas inledningsvis de rättsliga förutsättningarna för att behandla personuppgifter inom forskning. Vidare innehåller betänkandet en utförlig redogörelse för rättsliga förutsättningar för registerbaserad forskning. Den centrala rättsliga förändringen sedan Registerforskningsutredningens betänkande lämnades är EU:s dataskyddsreform och dataskyddsförordningens tillkomst. Registerforskningsutredningens beskrivning är dock till stor del fortfarande aktuell. Vi kommer därför endast översiktligt redovisa de rättsliga förutsättningarna enligt nu gällande rätt och hänvisar för en mer ingående genomgång till Registerforskningsutredningens betänkande. I kapitel 6 redogör vi för Registerforskningsutredningens uppdrag och förslag samt remissinstansernas synpunkter på förslagen.

Regeringen har i propositionen Ny dataskyddslag8 redogjort för de allmänna rättsliga konsekvenserna av att dataskyddsförordningen börjar tillämpas. För en generell beskrivning av dataskyddsförordningens syfte, tillämpningsområde och de sakliga förändringar tillämpningen av förordningen kommer att innebära hänvisar vi till propositionen och även till Dataskyddsutredningens betänkande.9

2 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 3 Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. 4 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105). 5 Dataskyddsutredningens betänkande Ny dataskyddslag – Kompletterande bestämmelser till

EU:s dataskyddsförordning (SOU 2017:39).

6 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål SOU 2017:50). 7 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forsk-

ningsändamål (Dnr U2018/01639/F).

8Prop. 2017/18:105. 9SOU 2017:39.

I vårt delbetänkande (SOU 2017:50) går vi igenom de rättsliga instrument som har särskild betydelse för personuppgiftsbehandling för forskningsändamål. Vidare finns en redogörelse för den reglering av personuppgiftsbehandling för forskningsändamål som gällde före dataskyddsförordningen samt en analys av dataskyddsreformens konsekvenser utifrån ett forskningsperspektiv. Vi lämnade i delbetänkandet ett förslag till en forskningsdatalag. Detta kapitel (avsnitt 5.3) innehåller en översiktlig genomgång av de bestämmelser i dataskyddsförordningen som är särskilt viktiga när det gäller personuppgiftsbehandling för forskningsändamål. För fördjupning och detaljer i denna del hänvisar vi till delbetänkandet.

Utöver Dataskyddsutredningens generella översyn som lett fram till propositionen Ny dataskyddslag samt den första delen av vårt uppdrag har flera andra utredningar analyserat konsekvenserna av dataskyddsförordningen för specifika sektorer. I de betänkanden som dessa utredningar har presenterat och i de propositioner som dessa lett till finns också genomgångar av gällande rätt och de delvis nya förutsättningar som kommer att gälla när dataskyddsförordningen ska börja tillämpas, se t.ex. Socialdataskyddsutredningens och Utbildningsdatautredningens betänkanden10 samt propositionen Dataskydd

inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning11 och propositionen Behandling av personuppgifter på utbildningsområdet12.

5.2. Rättsliga förutsättningar för registerbaserad forskning

5.2.1. Internationell reglering

Sverige har vissa internationella åtaganden när det gäller att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av

10 Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam-

hetsområde (SOU 2017:66) och Utbildningsdatautredningens betänkande EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49).

11 Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en

anpassning till EU:s dataskyddsförordning (prop. 2017/18:171).

12 Regeringens proposition Behandling av personuppgifter på utbildningsområdet (prop. 2017/18:218).

personuppgifter.13 I FN:s allmänna förklaring om de mänskliga rättigheterna och FN:s internationella konvention om medborgerliga och politiska rättigheter stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem och korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare har FN:s generalförsamling antagit riktlinjer om datoriserade register med personuppgifter. Dessa riktlinjer innehåller principer för personuppgiftsbehandling.

Enligt artikel 8 Europakonventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln innefattar en skyldighet för det offentliga att avhålla sig från ingrepp i den enskildes privat- och familjeliv och en offentlig myndighet får bara begränsa den enskildes rätt med stöd av lag. Sverige är också bundet till Europarådets konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Dataskyddskonventionen.14 Till konventionen finns en rad rekommendationer om hur personuppgifter bör behandlas inom olika områden.

Inom OECD har riktlinjer utarbetats avseende integritetsskydd och flödet av personuppgifter över gränserna. Syftet med dessa riktlinjer är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som behandling av personuppgifter kan utgöra. Sverige har godtagit OECD:s rekommendation att beakta riktlinjerna i nationell lagstiftning.

EU:s stadga om de grundläggande rättigheterna innehåller också bestämmelser om skydd för den personliga integriteten. Enligt stadgan har var och en rätt till fysisk och mental integritet, till respekt för sitt privat och familjeliv, sin bostad och sina kommunikationer samt till skydd för personuppgifter som rör honom eller henne.

När det gäller internationella dokument till skydd för den enskilde inom hälso- och sjukvård samt forskning finns Europarådets konvention om mänskliga rättigheter och biomedicin (Konventionen angående skydd av de mänskliga rättigheterna och människans värdighet med avseende på tillämpningen av biologi och medicin)15 samt de forskningsetiska riktlinjerna i Helsingforsdeklarationen.

13 För en mer detaljerad genomgång såväl när det gäller internationell som nationell reglering, se SOU 2014:45 s. 115 ff. Se också avsnitt 3.2 i vårt delbetänkande. 14 Konventionstexten har efter flera års arbete uppdaterats i maj 2018. http://www.coe.int/en/web/data-protection/convention108/modernisation. 15 Konventionen har fortfarande inte ratificerats av Sverige.

5.2.2. Regeringsformen

I regeringsformen, förkortad RF, finns de grundläggande bestämmelserna till skydd för den personliga integriteten. I målsättningsstadgandet i 1 kap. 2 § RF anges att den offentliga makten ska utövas med respekt bland annat för den enskilda människans frihet och att det allmänna ska värna om den enskildes privat- och familjeliv. Vidare finns ett grundlagsskydd mot intrång i den personliga integriteten i 2 kap. 6 § andra stycket RF. Här stadgas att var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Bestämmelsen i andra stycket infördes år 2010. Det utökade rättighetsskyddet tar sikte på att skydda den personliga integriteten mot vissa intrång som kan anses vara särskilt känsliga.16 I propositionen uttalades att avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp. Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betydande intrång” ska både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.17

En begränsning av rättigheterna i 2 kap. 6 § andra stycket RF ska för att vara tillåten enligt 2 kap. 20 § RF stadgas i lag. En begränsning enligt 2 kap. 20 § RF får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Enligt 2 kap. 21 § RF ska begränsningsändamålet vara godtagbart, inte gå onödigt långt, inte vara ett hot mot opinionsbildningen och får inte innebära någon diskriminering på grund av åskådning i centrala hänseenden.

16 Regeringens proposition En reformerad grundlag (prop. 2009/10:80) s. 177. 17Prop. 2009/10:80 s. 250.

Det har i många lagstiftningsärenden uttalats att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska reglers särskilt genom lag. I kapitel 7, 8 och 13 diskuteras frågorna om integritetsintrång, lagkrav och proportionalitet när det gäller behandling av personuppgifter i databaser.

5.2.3. EU:s dataskyddsreglering

Inom EU reglerade dataskyddsdirektivet18 behandling av personuppgifter på helt eller delvis automatiserad väg fram till dess att dataskyddsförordningen började tillämpas. Det fanns även vissa kompletterande rättsakter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191).

Personuppgiftslagen var subsidiär i förhållande till andra författningar. Bestämmelser som avvek från personuppgiftslagen skulle således tillämpas i stället.

Dataskyddsdirektivet och personuppgiftslagen har ersatts av dataskyddsförordningen som började tillämpas den 25 maj 2018. I skäl 9 i förordningen konstateras att dataskyddsdirektivet inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt detta beaktandeskäl förhindra det fria flödet av personuppgifter och kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, riskera att snedvrida konkurrensen och hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.

Enligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Det anges i skäl 159 i dataskyddsförordningen att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har

18 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter. Dataskyddsdirektivet genomfördes i svensk rätt genom personuppgiftslagen.

formulerats i artikel 179.1 i fördraget om europeiska unionens funktionssätt.

Dataskyddsförordningen kompletteras i svensk lagstiftning av den nya dataskyddslagen, lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Precis som personuppgiftslagen är dataskyddslagen subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i s.k. registerförfattningar.

Registerförfattningarna reglerar inrättandet av och förfarandet för viktigare register på det offentliga området. Som exempel på sådan registerlagstiftning som reglerar register som kan användas i forskning kan nämnas lagen (1998:543) om hälsodataregister, patientdatalagen (2008:355), lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) och lagen (1999:353) om rättspsykiatriskt forskningsregister.19

I ett första skede har vår utredning haft i uppdrag att undersöka vilken reglering av personuppgiftsbehandling för forskningsändamål som är möjlig och kan behövas utöver den allmänna reglering som Dataskyddsutredningen skulle föreslå.20 Vi lämnade i delbetänkandet förslag till en lag som ska komplettera dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål, en forskningsdatalag. Syftet med den föreslagna forskningsdatalagen var att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Forskningsdatalagen skulle enligt förslaget vara tillämplig på all personuppgiftsbehandling för forskningsändamål oavsett om den utförs av offentligrättsliga eller privaträttsliga forskningsaktörer. Delbetänkandet har remissbehandlats. Utbildningsdepartementet har i utkast till lagrådsremiss Person-

uppgiftsbehandling för forskningsändamål inte gått vidare med förslaget

till forskningsdatalag.

Vi hänvisar när det gäller allmänna rättsliga konsekvenser av dataskyddsförordningen till den redogörelse som Dataskyddsutredningen gör i SOU 2017:39 och till den redogörelse som finns i propositionen

Ny dataskyddslag21. När det gäller konsekvenser utifrån ett forsk-

ningsperspektiv hänvisar vi till vårt delbetänkande.

19 Se kapitel 9 och Registerforskningsutredningens genomgång i avsnitt 5.3.6 i SOU 2014:45. 20 Dir. 2016:65. 21Prop. 2017/18:105.

5.2.4. Rätt för forskare att få del av personuppgifter

Forskare har rätt att ta del av uppgifter från myndigheter med stöd av rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen, förkortad TF. Hantering av allmänna handlingar och sekretessfrågor regleras i offentlighets- och sekretesslagen (2009:400). Statistikansvariga myndigheter har rättsligt stöd i personuppgiftslagen och förvaltningslagen (1986:223)22 när det gäller att bistå forskningshuvudmännen med sambearbetning av uppgifter, alltså uppgifter ur olika register som då också kan finnas hos flera olika myndigheter.23I personuppgiftslagen finns krav på de personuppgiftsansvariga när det gäller skydd och säkerhet för personuppgifter.24

Enligt 12 § etikprövningslagen får personuppgifter lämnas ut för att användas i forskning, om inte något annat följer av regler om sekretess och tystnadsplikt. Enligt förarbetena till etikprövningslagen ska paragrafen läsas mot bakgrund av 24 § första och andra styckena personuppgiftslagen. Där framgår att om personuppgifter samlats in från någon annan källa än den registrerade, ska den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Sådan information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. En sådan bestämmelse om utlämnande av personuppgifter för användning i forskning är 12 § etikprövningslagen. Enligt denna bestämmelse behöver forskaren som hämtar in personuppgifter från något annat håll än den registrerade inte informera den registrerade om sin personuppgiftsbehandling.

Bestämmelsen innebär inte någon skyldighet att lämna ut personuppgifter. Den tillåter bara att den som innehar uppgifterna lämnar ut dem ifall inte något annat följer av regler om sekretess och tystnadsplikt. I delbetänkandet föreslog vi att 12 § etikprövningslagen ska flyttas till den i betänkandet föreslagna forskningsdatalagen.25

22Förvaltningslagen (2017:900) träder i kraft den 1 juli 2018. 23 Se vidare SOU 2014:45 s. 334 ff. 24 Se vidare SOU 2014:45 s. 340 ff. 25SOU 2017:50 s. 363 ff.

5.3. Några viktiga bestämmelser i dataskyddsförordningen

5.3.1. Inledning

För att behandling av personuppgifter i en forskningsdatabas ska vara laglig måste de grundläggande reglerna för dataskydd i dataskyddsförordningen och dataskyddslagen uppfyllas. I propositionen till dataskyddslagen finns en genomgång av dessa bestämmelser i förordningen och av bestämmelserna i dataskyddslagen.

I vårt delbetänkande lämnade vi förslag till en forskningsdatalag som skulle komplettera dataskyddsförordningen och dataskyddslagen. Utbildningsdepartementet har enligt utkast till lagrådsremissen Behandling av personuppgifter för forskningsändamål inte för avsikt att föreslå en forskningsdatalag. I utkastet finns en genomgång av departementets bedömningar när det gäller våra förslag i delbetänkandet och möjligheterna till en ändamålsenlig behandling av personuppgifter för forskningsändamål.

Vi hänvisar till den nämnda propositionen, vårt delbetänkande och det nämnda utkastet till lagrådsremiss och går här endast översiktligt igenom de bestämmelser och de bedömningar som vi anser är av särskilt intresse för vårt uppdrag i denna del.

5.3.2. Rättslig grund

Allmänt om rättslig grund enligt dataskyddsförordningen

Vid behandling av personuppgifter krävs att åtminstone ett av villkoren i artikel 6.1 a–f i förordningen är uppfyllt för att behandlingen ska vara laglig – ha rättslig grund. De rättsliga grunderna för laglig behandling av personuppgifter som räknas upp i artikel 6 är i stort sett desamma som i dataskyddsdirektivet och personuppgiftslagen. De punkter i artikeln som kan bli aktuella som rättslig grund för personuppgiftsbehandling för forskningsändamål är punkterna a (samtycke), e (uppgift av allmänt intresse) och f (intresseavvägning).

En viktig förändring i dataskyddsförordningen som har betydelse för offentliga forskningshuvudmän är att myndigheter inte längre kan åberopa den rättsliga grunden intresseavvägning som de tidigare kunnat göra enligt 10 § f personuppgiftslagen som grund för sin

behandling när de fullgör sina uppgifter. Enligt förordningen måste myndigheter i stället kunna ange en annan rättslig grund för sin behandling.

Av skäl 43 framgår vidare att samtycke inte ska kunna utgöra giltig rättslig grund för behandling i de fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, och då särskilt om den personuppgiftsansvarige är en offentlig myndighet. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt (se vidare nedan).

En annan viktig förändring är att den rättsliga grunden i artikel 6.1 c (rättslig förpliktelse) och e (uppgift av allmänt intresse) enligt artikel 6.3 måste vara fastställd i unionsrätten eller nationell rätt. Det kravet finns inte uttryckt i dataskyddsdirektivet i dag.

Samtycke

Allmänt om samtycke

Den rättsliga grunden samtycke stadgas i 6.1 a i dataskyddsförordningen. Personuppgiftsbehandling för forskningsändamål kan grundas på att den registrerade lämnat sitt samtycke för ett eller flera specifika ändamål. Samtycke kan användas som rättslig grund för alla slags personuppgifter, även känsliga personuppgifter (angående känsliga personuppgifter, se avsnitt 5.3.3). Den rättsliga grunden samtycke behöver inte vara fastställd i unions- eller nationell rätt och någon ytterligare reglering avseende den rättsliga grunden i nationell rätt är inte möjlig.

I delbetänkandet finns en analys av definitionen av samtycke i artikel 4.11 i dataskyddsförordningen och de begrepp som beskriver ett giltigt samtycke: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, samt för känsliga personuppgifter (artikel 9.2 a) uttrycklig, viljeyttring. Vår bedömning är att dataskyddsförordningen inte innebär några betydande förändringar när det gäller de krav som ska vara uppfyllda för att ett samtycke ska anses vara giltigt jämfört med nu gällande rätt.

Utvidgad möjlighet till breda samtycken

Skäl 33 i dataskyddsförordningen innebär en utvidgning av det möjliga utrymmet för samtycke när syftet inte fullt ut kan identifieras vid insamlingstillfället, såsom när uppgifter samlas in till forskningsdatabaser. I skäl 33 anges nämligen att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Vidare anges att registrerade därför bör kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas.

Skäl 33 måste enligt vår bedömning ses som en tydligt uttryckt ambition att tillåta bredare samtycken för forskningsändamål än vad som hittills varit fallet. Registrerade bör i enlighet med vad som anges i skäl 33 ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. Som vi konstaterat i delbetänkandet är en förutsättning dock att detta kan göras utan avkall på kraven att specificera ändamålen. Forskningsändamålen kan således vid samtycke båda vara specifika och någorlunda breda.26

Kravet på frivillighet

Ett samtycke ska vara frivilligt. Det innebär att det ska vara tydligt att ingen form av tvång, påtryckning eller negativa konsekvenser av ett uteblivet samtycke får förekomma. För att säkerställa att samtycket lämnas frivilligt bör det enligt skäl 43 inte utgöra giltig rättslig grund för behandling av personuppgifter i sådana situationer när det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Det ska särskilt gälla om den personuppgiftsansvarige är en offentlig myndighet om det därför är osannolikt att samtycket har lämnats frivilligt. Även om detta inte innebär någon betydande förändring jämfört med dagens rättsläge är det ett förtydligande av vad som gäller för att ett samtycke ska kunna betraktas som frivilligt.

I delbetänkandet analyserade vi vad som gäller för samtycke enligt 6.1 a med hänsyn till vad som anges i skäl 43. Vi gjorde bedömningen

26 SOU 2017 :50 s. 171.

att möjligheten att använda samtycke som rättslig grund för personuppgiftsbehandling för forskningsändamål behöver prövas i varje enskilt fall, som en del av bedömningen av giltigheten av det inhämtade samtycket. Vi menar att det för privaträttsliga forskningsaktörer vanligtvis inte råder betydande ojämlikhet när personuppgifter behandlas för forskningsändamål, men att det kan vara fallet i det som benämns ”en särskild situation”. I delbetänkandet nämns olika exempel på sådana särskilda situationer.27

Även när det gäller offentliga forskningsutförare kan det förhålla sig så att den som lämnar samtycke inte befinner sig i någon beroendeställning i förhållande till den personuppgiftsansvarige. För statliga forskningsutförare med enbart forskning som uppgift torde ett direkt beroendeförhållande normalt inte finnas för andra än de som är anställda vid en sådan inrättning.

Nytt samtycke vid ytterligare behandling

När det gäller ytterligare behandling vid ett senare tillfälle av insamlade personuppgifter har vi i delbetänkandet konstaterat följande. En forskningsaktör som har samlat in personuppgifter vid ett tillfälle för visst forskningsändamål, får behandla uppgifterna för ytterligare forskningsändamål utan krav på att ange en ny rättslig grund. När det gäller den situationen att personuppgifter utlämnas till annan personuppgiftsansvarig för behandling för forskningsändamål, är den nya behandlingen alltjämt att anse som förenlig med den ursprungliga så länge det nya ändamålet är forskning. Dock måste den andra personuppgiftsansvariga i sin tur åberopa en ny rättslig grund för behandlingen, såsom forskning av allmänt intresse enligt 6.1 e.28

Även när uppgifterna samlats in med stöd av samtycke är ytterligare behandling av personuppgifter för forskningsändamål hos samma personuppgiftsansvarig inte oförenlig med de ursprungliga ändamålen enligt artikel 5.1 b i dataskyddsförordningen. I skäl 50 i dataskyddsförordningen anges att detta (5.1 b) ska tolkas så att det inte krävs någon ny rättslig grund för sådan behandling. Enligt Europarådets rekommendation nr R (83) 10 om skydd för personuppgifter som används vid forskning och statistik bör dock den

27 Se SOU 2017:50 s. 163 ff. 28 Se SOU 2017:50 s. 146 f och 161 ff.

personuppgiftsansvarige inte behandla sådana uppgifter för ändamål som på ett avgörande sätt skiljer sig från det ursprungliga ändamålet, utan att ett nytt samtycke inhämtas där detta är lämpligt och praktiskt möjligt.29

Uppgift av allmänt intresse

Enligt artikel 6.1 e är behandlingen laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Genom 6.3 förstärks kopplingen mellan den rättsliga grunden och kravet på särskilda, uttryckligt angivna och berättigade ändamål (se avsnitt 5.3.6 om ändamålsbegränsning). I andra stycket anges nämligen att syftet med behandlingen ska fastställas i den rättsliga grunden eller vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Att grunden enligt artikel 6.3 i dataskyddsförordningen ska vara fastställd i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av innebär inte att det krävs en reglering i den nationella rätten av den personuppgiftsbehandling som ska ske med stöd av artikel 6.1.e utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse.

I dataskyddslagen finns en bestämmelse som tydliggör att begreppet uppgift av allmänt intresse avser en uppgift av allmänt intresse som utförs med stöd av gällande rätt. Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett stöd i den personuppgiftsansvariges myndighetsövning enligt lag eller annan författning.30

I propositionen till dataskyddslagen anges att regeringen gör bedömningen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse samt att på motsvarande sätt de obligatoriska uppgifter som ålagts kommuner och landsting att utföra är av allmänt intresse.

29 Se SOU 2017:50 s. 180. 30Prop. 2017/18:105 och SOU 2017:39 s. 41.

När det gäller forskning gör Utbildningsdepartementet i utkastet till lagrådsremiss Behandling av personuppgifter för forskningsända-

mål31 bedömningen att presumtionen bör vara att uppgiften att forska

är en uppgift av allmänt intresse i dataskyddsförordningens mening. Departementet konstaterar bland annat följande. Sådan behandling av personuppgifter för forskningsändamål som har tillåtits med stöd av 10 § d PUL, dvs. på den grunden att den har ansetts nödvändig för att utföra en arbetsuppgift av allmänt intresse, får också anses som nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. En väsentlig förändring i förhållande till vad som gäller enligt personuppgiftslagen är som framkommit ovan emellertid att det inte räcker med att behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse – uppgiften måste också vara fastställd i enlighet med gällande rätt.

I propositionen till dataskyddslagen konstateras att det inte är någon nyhet att en uppgift av allmänt intresse ska vara fastställd i enlighet med gällande rätt när det gäller svenska myndigheters behandling av personuppgifter eftersom legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Vidare konstateras följande. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § RF, som anger att den offentliga makten utövas under lagarna. Med uttrycket lagarna avses inte bara sådana föreskrifter som riksdagen har beslutat, utan även andra författningar och t.ex. sedvanerätt. Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.32

Av skäl 41 i dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Regeringen gör i propositionen till dataskyddslagen bedömningen att vilken grad av tydlighet och precision som krävs i

31 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för

forskningsändamål (Dnr U2018/01639/F).

32 Prop. 2017/18 :105 s. 50.

fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.

På forskningsområdet innebär detta att uppgiften att forska måste vara reglerad i den nationella rätten på det sätt som framgår av 2 kap. 2 § 1 dataskyddslagen för att den rättsliga grunden i artikel 6.1 e ska vara tillämplig och kunna åberopas. Det ställs däremot inte något krav enligt dataskyddsförordningen på att uppgiften att forska ska vara fastställd för respektive forskningsutförare i separata författningar.

Utbildningsdepartementet har gjort bedömningen att det inte bör införas en sådan bestämmelse som vi föreslog i delbetänkandet, där det enligt förslaget skulle anges att forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare.

Departementet har i utkastet till lagrådsremiss i stället gjort följande bedömning. För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen. För de statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen.

Vidare konstaterar departementet att en privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs. I övrigt är privata forskningsutförares uppgift att forska inte fastställd i svensk rätt och när det är fråga om forskningsprojekt som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser behöver en privat forskningsutförare åberopa andra rättsliga grunder. Privata forskningsutförare har då möjlighet att bedriva forskning med samtycke eller efter en intresseavvägning.

Intresseavvägning

Enligt artikel 6.1 f är behandlingen laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Av artikel 6.1 andra stycket framgår att detta inte ska gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Detta utgör en betydande skillnad mot tidigare lagstiftning eftersom motsvarande bestämmelse i personuppgiftslagen får tillämpas även av myndigheter.

Bakgrunden till begränsningen beskrivs närmare i skäl 47 i förordningen. Där framhålls bland annat att denna rättsliga grund inte bör gälla den behandling offentliga myndigheter utför som ett led i fullgörandet av sina uppgifter med tanke på att det är lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för myndigheternas behandling av personuppgifter. Offentliga forskningsaktörer kan alltså inte tillämpa den rättsliga grunden intresseavvägning som grund för sin personuppgiftsbehandling.

För privata forskningsaktörer är intresseavvägning en möjlig grund att tillämpa. Som framgått ovan är det bara när det är fråga om forskning som inte involverar känsliga personuppgifter eller personuppgifter som avser lagöverträdelser som en privat forskningsutförare behöver åberopa andra rättsliga grunder än grunden uppgift av allmänt intresse. Eftersom presumtionen är att forskning är ett berättigat intresse finns det stora möjligheter att i sådana fall behandla personuppgifter för forskningsändamål efter en intresseavvägning.33

5.3.3. Känsliga personuppgifter

I artikel 9.1 i dataskyddsförordningen anges att behandling av känsliga personuppgifter34 är förbjuden. De personuppgifter som avses är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska

33 Se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för

forskningsändamål (Dnr U2018/01639/F).

34 Vi väljer att liksom Dataskyddsutredningen använda termen ”känsliga personuppgifter” för sådana uppgifter som i dataskyddsförordningen benämns ”särskilda kategorier av personuppgifter”, se SOU 2017:50 s. 186.

åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som specifikt behandlas för att unikt identifiera individer eller uppgifter som rör hälsa eller sexualliv eller sexuell läggning. Från huvudregeln att det är förbjudet att behandla känsliga personuppgifter finns ett antal undantag i artikel 9.2. Vår bedömning är att undantagen i punkterna a, g och j kan bli aktuella i fråga om behandling av personuppgifter i forskningsdatabaser.

Känsliga personuppgifter får enligt 9.2 a behandlas om den registrerade uttryckligen har lämnat sitt samtycke. I förordningens artikel 9.2 a finns liksom i dataskyddsdirektivet en möjlighet för medlemsstaterna att föreskriva att den registrerade inte kan samtycka till behandling av känsliga personuppgifter. Dataskyddsutredningen har gjort bedömningen att det inte har framkommit något som talar för att det nu bör införas ett förbud mot behandling trots den registrerades samtycke.

Undantag från förbudet avseende viktigt allmänt intresse finns i artikel 9.2 g. Av det undantaget framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätt eller nationell rätt. Sådan rätt måste även innehålla lämpliga och särskilda skyddsåtgärder. Begreppen allmänt intresse och viktigt allmänt intresse är unionsrättsliga och finns även i artiklarna 7 e och 8.4 i dataskyddsdirektivet.

Ett ytterligare undantag från förbudet finns i artikel 9.2 j, om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, med motsvarande krav på lämpliga och särskilda skyddsåtgärder. Av artikel 89.1 följer att all personuppgiftsbehandling för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Undantag från förbudet att behandla känsliga personuppgifter kräver att nationell rätt innehåller bestämmelser om skyddsåtgärder.35

35 Känsliga personuppgifter och personuppgifter om lagöverträdelser får behandlas för forskningsändamål om behandlingen har godkänts enligt etikprövningslagen, se avsnitt 5.4.

5.3.4. Personuppgifter om lagöverträdelser m.m.

I artikel 10 i dataskyddsförordningen regleras behandling av ”personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder”. Det stadgas att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. För att behandling av sådana personuppgifter om lagöverträdelser m.m. ska vara möjlig för forskningsändamål för andra än myndigheter behövs reglering i nationell rätt. Sådan lagstiftning ska även fastställa lämpliga skyddsåtgärder.36

5.3.5. Principer för personuppgiftsbehandling

Artiklarna 5–11 i dataskyddsförordningen innehåller principer, såsom grundläggande principer för behandling av personuppgifter, vad som gäller för att behandling av personuppgifter ska vara laglig, villkor för samtycke och behandling av känsliga personuppgifter (särskilda kategorier av personuppgifter). I artikel 5 stadgas allmänna krav som gäller för all personuppgiftsbehandling. Artikel 5 i dataskyddsförordningen motsvarar i stora drag artikel 6 i dataskyddsdirektivet, som har genomförts i svensk rätt genom 9 § PUL.

I artikel 5 i dataskyddsförordningen anges följande principer för behandling av personuppgifter:

  • laglighet, korrekthet och öppenhet,
  • ändamålsbegränsning,
  • uppgiftsminimering,
  • korrekthet
  • lagringsminimering,
  • integritet och konfidentialitet samt

36 För en genomgång av alla led i artikel 10, se SOU 2017:50 s. 206 ff.

  • ansvarsskyldighet.

5.3.6. Ändamålsbegränsning

Artikel 5.1 b

I dataskyddsförordningen stadgas om ändamålsbegränsning i artikel 5.1 b.37 Personuppgifter ska enligt denna bestämmelse samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Att uppgifterna inte senare får behandlas på ett sätt som är oförenligt med det ursprungliga ändamålet för vilket uppgifterna samlades in kallas finalitetsprincipen. Från finalitetsprincipen finns det så kallade forskningsundantaget. Ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål ska enligt artikel 5.1 b inte anses vara oförenlig med de ursprungliga ändamålen. Skrivningen innebär alltså att ytterligare behandling av personuppgifter för forskningsändamål, precis som tidigare enligt personuppgiftslagen, är särskild gynnad. Även om ytterligare behandling av personuppgifter för forskningsändamål inte ska anses stå i strid med de ursprungliga ändamålen gäller kravet på att ändamålet ska vara särskilt, inte allmänt.

Behandling får alltså, i nuläget enligt personuppgiftslagen och även när dataskyddsförordningen börjar tillämpas, bara genomföras för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen sätter ramarna för behandlingen.

Syftet är öppenhet, rättssäkerhet och förutsägbarhet så att den registrerade skyddas genom att ramarna blir tydliga för hur uppgifterna får användas. Det måste därför noga övervägas till vilket ändamål insamlade personuppgifterna ska användas. Att ändamålet ska vara särskilt medför att alltför allmänt hållen ändamålsangivelse inte godtas.

I skäl 39 i dataskyddsförordningen anges bland annat att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna

37 Motsvarande reglering finns i 9 § personuppgiftslagen.

samlades in, att personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Vidare anges att detta i synnerhet kräver att den period under vilken personuppgifterna lagras är begränsade till ett strikt minimum och att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel.

Ändamålsbegränsningen som stadgas i artikel 5 har ett nära samband med kravet på laglig behandling i artikel 6. Personuppgiftsbehandling för forskningsändamål grundat på samtycke bygger enligt 6.1 a på att den registrerade lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett tydligt angivet ändamål är som regel en förutsättning för att det ska kunna bedömas om en viss behandling är laglig, alltså om ett giltigt samtycke föreligger (6.1 a) eller om den är nödvändig i något av de sammanhang som räknas upp i artikel 6.1 b–f. När det gäller samtycke måste den enskilde, utifrån ändamålet, kunna ge ett samtycke till att uppgifterna om den enskilde används i den aktuella forskningen.

Principen om att ändamålen ska vara berättigade enligt artikel 5.1 b utgör en direkt koppling till de rättsliga grunderna i artikel 6.1. Ett ändamål som inte är berättigat i förhållande till den tillämpliga rättsliga grunden är således inte förenligt med artikel 5. Kravet på att ändamålen ska vara berättigade går dock längre än så och omfattar även ett krav på förenlighet med till exempel konstitutionella och andra rättsliga principer. Vidare kan även det allmänna sammanhanget och omständigheterna i det aktuella ärendet vara av betydelse för bedömningen av om ändamålen är berättigade.38

Ändamålsbegränsningen har också betydelse för att Datainspektionen39 ska kunna bedöma om behandling av personuppgifter är förenlig med förordningen. Vidare har ändamålsbegränsningen betydelse för att etikprövningsnämnden40 ska kunna göra bedömningen avseende nyttan av forskningen och väga den mot riskerna för de enskilda. Dessutom har ändamålsbegränsningen betydelse för att

38 Artikel 29-gruppens yttrande 3/2013 om ändamålsbegränsning (Opinion 03/2013 on

purpose limitation), s. 11 f. och 19 f.

39 I ett pressmeddelande den 15 december 2017 informerar regeringen att den kommer att tillföra Datainspektionen 30 miljoner kronor för att stärka arbetet med den personliga integriteten. Myndigheten föreslås också att byta namn till Integritetsskyddsmyndigheten. Dessutom ska myndighetens uppdrag ändras så att dess stödjande och rådgivande roll blir tydligare. 40 I januari 2019 ändras organisationen på så sätt att Centrala etikprövningsnämnden och de nuvarande sex regionala etikprövningsnämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten, se vidare avsnitt 5.4.

statistikansvariga utlämnande myndigheter ska kunna bedöma vilka uppgifter som behövs för forskningen i fråga vid sekretessprövningen enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL (se avsnitt 5.5).

Ändamålsbegränsning och forskningsdatabaser

Ändamålsbegränsningen har ansetts vara ett hinder för större forskningsdatabaser med personuppgifter som är avsedda att tillhandahålla uppgifter till fler än ett framtida forskningsprojekt. Vid en forskningsdatabas bildande krävs det att ändamålet för personuppgiftsbehandlingen är tillräckligt tydligt för att kunna godtas. Svårigheter kan därvid uppstå eftersom det vid större forskningsdatabasers tillkomst inte alltid är klart inom vilka forskningsprojekt uppgifterna kan komma att behandlas. När uppgifterna ska kunna användas i olika forskningsprojekt med olika inriktningar behöver ändamålsbeskrivningarna anpassas efter detta. Frågan om ändamålet har en stark koppling till frågan om möjligheten till etikprövning, se avsnitt 5.4.

Hur bred en ändamålsbeskrivning, och ett därtill kopplat samtycke, lagligen kan vara har diskuterats i olika sammanhang.41 I förarbetena till bestämmelsen om ändamålsbegränsning i personuppgiftslagen angavs att en alltför allmänt hållen ändamålsangivelse inte kan godtas men hur pass detaljerad den ska vara för att uppfylla lagens krav på att vara ”särskild” förutsattes avgöras i praxis och genom kompletterande föreskrifter.

I kommentaren till 9 § personuppgiftslagen konstateras att om inte ändamålet har en viss grad av precision går det knappast att bedöma om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Vidare anförs att en personuppgift torde vara nödvändig för ett visst ändamål, om ändamålet inte kan realiseras för det fall inte personuppgiften får användas. Om man inte kan avgöra vilka personuppgifter som behövs för att ändamålet ska kunna

41 Se t.ex. angående Vetenskapsrådets satsningar på databasinfrastrukturer, LifeGene m.m. i SOU 2017:50 s. 169 ff.

uppfyllas torde ändamålet inte vara särskilt utan allmänt. Det konstateras således att ändamålsbestämningen avgör vilka personuppgifter som får behandlas.42 Detta gäller även enligt dataskyddsförordningen.

Artikel 29-gruppen43 har i ett yttrande framhållit att ”framtida forskning” är ett alltför brett ändamål för att kunna vara särskilt. Dock tilläggs att hur detaljerat ändamålet bör vara beror på vilka uppgifter det gäller och i vilket sammanhang dessa samlas in.44 Datainspektionen har i olika sammanhang varit kritiska mot ändamålsangivelser såsom ”framtida forskning” som bedömts vara alltför allmänna.45Angående etikprövning av LifeGene och EpiHealth, se avsnitt 5.4.2.

Ändamålsbestämmelser i befintliga regleringar av forskningsdatabaser

I befintliga registerlagar och registerförordningar där forskning är syftet eller ett av syftena är ändamålen formulerade på bland annat följande sätt. I lagen (1998:543) om hälsodataregister stadgas i ändamålsbestämmelsen att personuppgifter i ett hälsodataregister får användas för bland annat forskning och epidemiologiska undersökningar. Enligt patientdatalagen (2008:355) inrättas kvalitetsregister inom hälso- och sjukvården för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, men får också användas för det sekundära ändamålet att bidra till forskning inom hälso- och sjukvårdsområdet. Ändamålet med det rättspsykiatriska forskningsregistret är enligt lagen (1999:353) om rättspsykiatriskt forskningsregister att uppgifterna ska användas för forskning inom rättspsykiatrin. Enligt lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) får personuppgifter endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forsk-

42 Sören Öman, Hans-Olof Lindblom, Personuppgiftslagen (20 december 2016, Zeteo), kommentaren till 9 §. 43 Article 29 Data Protection Working Party, Guidelines on Consent under Regulation

2016/679 (WP259), s. 27. Artikel 29-gruppen är en oberoende rådgivande EU-instans för

skydd av personuppgifter och privatlivet. Genom dataskyddsförordningens ikraftträdande kommer arbetsgruppen byta namn till Europeiska Dataskyddsstyrelsen. http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=615239 44 Artikel 29-gruppens yttrande 03/2013 om ändamålsbegränsning, s. 52. 45SOU 2014:45 s. 343. Se även s. 346 fotnot 88 angående formuleringen av ändamålet i ansökan avseende LifeGene.

ning genomföra studier, uppföljningar och utvärderingar. I myndighetens instruktion preciseras ändamålet något. I lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den så kallade LifeGene-lagen) sägs ändamålet vara att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. anges forskning som ett av flera ändamål som en biobank får användas till.

I vårt delbetänkande analyserade vi vilka anpassningar till dataskyddsförordningen som behöver göras i lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa samt i lagen om rättspsykiatriskt forskningsregister när förordningen ska börja tillämpas. Vi gjorde bedömningen att de befintliga ändamålsbestämmelserna i de båda lagarna kan och bör behållas.46

Tidigare utredningars bedömningar avseende ändamål och forskningsdatabaser

Vetenskapsrådet har i sin rapport Rättsliga förutsättningar för en data-

basinfrastruktur för forskning47 från år 2010 identifierat problem-

ställningar förknippade med uppbyggnaden av en generell forskningsdatabas. Särskilt kravet på ändamålsprecisering konstaterades stå i motsats till uppbyggnad av en generell datasamling. Vetenskapsrådet menade att det krävs ny lagstiftning för att få till stånd en databasinfrastruktur för forskning där generella forskningsändamål är tillåtna. I Vetenskapsrådets rapport anges att en möjlighet skulle kunna vara att det införs en lag om forskningsregister som reglerar de yttre ramarna för hur forskning i register får genomföras och att det införs registerförordningar för respektive register som anger de närmare förutsättningarna. Denna idé tog sedan Registerforskningsutredningen vidare i sina förslag.

I Registerforskningsutredningens förslag till lag om forskningsdatabaser finns en ändamålsbestämmelse enligt vilken en forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ändamålsbestämmelsen. Personuppgifter får enligt förslaget behandlas för

46SOU 2017:50 s. 387 ff. och 408 ff. 47 Vetenskapsrådets rapportserie 11:2010.

att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forskningsprojekt.

I det betänkandet diskuteras om det ändamål som anges i lagförslaget är tillräckligt specifikt trots att det måste vara relativt brett för att kunna inrymma alla de forskningsdatabaser som kan bli aktuella att bygga upp. Det poängteras att syftet är att möjliggöra insamling av uppgifter inom olika ämnesområden till en forskningsdatabas som ska kunna utgöra grund för framtida forskning.

Enligt utredaren är det inte möjligt att i den då föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Däremot bör enligt utredaren ändamålet preciseras så långt som möjligt i de särskilda förordningar som förutsätts reglera varje enskild databas.48Registerforskningsutredningens förlag behandlas i kapitel 6.

5.3.7. Begränsningar i registrerades rättigheter

Om personuppgifter behandlas för bl.a. forskningsändamål får det, enligt artikel 89.2 i dataskyddsförordningen, i unionslagstiftning eller i medlemsstaternas nationella lagstiftning föreskrivas om undantag från den registrerades rättigheter i vissa artiklar. Vi föreslog i delbetänkandet vissa sådana undantag från registrerades rättigheter. I utkastet till lagrådsremiss görs bedömningen att inga undantag från de angivna rättigheterna ska införas.

Den registrerade har enligt artikel 16 i dataskyddsförordningen rätt till rättelse av felaktiga personuppgifter som rör honom eller henne. När det gäller arkiverat forskningsmaterial, som bevaras bland annat för att det ska finnas möjlighet att granska handlingar för att verifiera forskningsresultat, skulle rättelse avsevärt försvåra verifiering och därmed strida mot syftet att bevara forskningsmaterialet.

I artikel 18 i dataskyddsförordningen stadgas om rätt för den registrerade att kräva att personuppgiftsbehandlingen begränsas under vissa förutsättningar.

Om den registrerade kan kräva att personuppgifterna är undantagna från behandling i forskning under en period kan det leda till skevhet i materialet som används i forskningen.

48SOU 2014:45 s. 433.

5.3.8. Skyddsåtgärder

I dataskyddsförordningen ställs i artikel 89.1 krav på att behandling av personuppgifter för bl.a. forskningsändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades fri- och rättigheter. Skyddsåtgärderna ska garantera att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. I artikel 5.1 c i dataskyddsförordningen stadgas om uppgiftsminimering. Vid personuppgiftsbehandling ska enligt stadgandet gälla att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas

Utbildningsdepartementet har i utkastet till lagrådsremiss föreslagit att en bestämmelse, motsvarande den som funnits i personuppgiftslagen, med följande lydelse förs in i dataskyddslagen. Personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. I vårt delbetänkande föreslog vi en motsvarande bestämmelse i förslaget till forskningsdatalag.

Departementet har vidare gjort följande bedömningar. Att personuppgifter bör pseudonymiseras eller omfattas av andra lämpliga skyddsåtgärder när de behandlas för forskningsändamål framgår direkt av EU:s dataskyddsförordning och bör därför inte föreskrivas i svensk rätt. En skyddsåtgärd som innebär att personuppgifter, med vissa undantag, inte får behandlas för forskningsändamål om den enskilde motsätter sig sådan behandling bör inte föreskrivas i svensk rätt. Att den registrerade kan invända mot behandling följer direkt av EU:s dataskyddsförordning. Etikprövning enligt etikprövningslagen är en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning och för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen.

5.4. Etikprövning

5.4.1. Etikprövningslagens innehåll, syfte och tillämpningsområde

Etikprövningslagen innehåller bestämmelser om forskningsetisk granskning och syftar till att skydda den enskilda människan och respekten för människovärdet vid forskning. För forskning som omfattas av lagen krävs etikgodkännande. Detta gäller oavsett om forskningspersonerna har lämnat sitt samtycke till att delta i forskningen eller inte. Etikprövningslagen gäller enligt 5 § för forskning som ska utföras i Sverige.49

Enligt 3 § ska etikprövningslagen tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Lagen ska också tillämpas vid behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § personuppgiftslagen.50

Lagen gäller enligt 4 § för forskning som innebär ett fysiskt ingrepp på en person, som utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt. Lagen är också tillämplig på studier på biologiskt material från en levande person och som kan härledas till denna person. Inom lagens tillämpningsområde faller även forskning som innebär ett fysiskt ingrepp på en avliden människa eller avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna person. Det innebär bland annat

49 I kapitel 14 i vårt delbetänkande SOU 2017:50 finns en genomgång av etikprövning av personuppgiftsbehandling för forskningsändamål. Där ingår en analys av personuppgiftslagens relation till etikprövningslagen. Vi hänvisar även till Registerforskningsutredningens genomgång avseende etikprövningslagen i SOU 2014:45 s. 189 ff. 50 Vi föreslog i vårt delbetänkande SOU 2017:50 anpassningar av etikprövningslagen till dataskyddsförordningen. Enligt förslaget skulle 3 § hänvisa till artikel 9.1 i dataskyddsförordningen i stället för till 13 § personuppgiftslagen. Även Utbildningsdepartementet har i utkastet till lagrådsremiss Personuppgiftsbehandling för forskningsändamål (Dnr U2018/01639/F) föreslagit detta. Enligt övergångsbestämmelserna till dataskyddslagen gäller personnuppgiftslagen fortfarande i den utsträckning det i annan lag eller förordning finns bestämmelser som innehåller hänvisningar till den lagen.

att det behövs etikgodkännande för att använda material från en biobank i ett forskningsprojekt.

Etikprövningsnämndernas organisation har varit föremål för utredning.51 I januari 2019 ändras organisationen på så sätt att Centrala etikprövningsnämnden och de nuvarande sex regionala etikprövningsnämnderna ersätts av Överklagandenämnden för etikprövning och en ny myndighet; Etikprövningsmyndigheten.52 Etikprövning av forskning som avser människor ska i stället för av nämnderna hanteras av en den nya myndigheten. En särskild utredare har fått i uppdrag att förbereda och genomföra bildandet av Etikprövningsmyndigheten. Uppdraget ska redovisas senast den 31 december 2018.53

En översyn av etikprövningslagen och regleringen för verksamhet i gränsområdet mellan klinisk forskning och hälso- och sjukvård samt en bestämmelse om etisk bedömning av vissa metoder i hälso- och sjukvården har gjorts av Utredningen om översyn av etikprövningen. I betänkandet Etikprövning – en översyn av reglerna om forskning och

hälso- och sjukvård finns förslag till förändringar i etikprövnings-

lagen.54

5.4.2. Villkor för etikprövning

Den forskning som etikprövningslagen omfattar enligt 3–5 §§ får utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska enligt 6 § avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. enligt 13 och 21 §§personuppgiftslagen får bara utföras om behandlingen av uppgifter har godkänts vid en etikprövning.

Med att forskning utförs avses själva genomförandefasen, dvs. att forskningspersoner rekryteras och inhämtande av underlag påbörjas, försök genomförs samt att inhämtat underlag analyseras och be-

51 Regeringens proposition En ny organisation för etikprövning av forskning som avser

människor (prop. 2017/18:45).

52 Lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor. 53 Kommittédirektiv (2017:127) Inrättande av etikprövningsmyndigheten. 54 Utredningens om översyn av etikprövningslagen betänkande Etikprövning – en översyn av

reglerna om forskning och hälso- och sjukvård (SOU 2017:104).

arbetas. Rent inledande planeringsarbete eller ordnande av finansiering omfattas inte eftersom det är först i samband med forskningens utförande i angiven bemärkelse som risker för skada avseende forskningspersonens hälsa, säkerhet och personliga integritet uppkommer.55 Ett forskningsprojekt består ofta av flera delar. Etikprövning ska endast göras av den del av projektet som omfattas av kravet på godkännande vid etikprövning.

Ett projekt är ofta avgränsat med avseende på den vetenskapliga frågeställningen, antalet forskningspersoner, forskningsledningen, finansiering eller på något annat sätt. I propositionen till etikprövningslagen anges att några generella, principiella godkännanden till att under oöverskådlig framtid få utföra forskning på ett visst material inom ett visst område eller dylikt, inte kan medges.56

Centrala etikprövningsnämnden har konstaterat att det inte är möjligt att med stöd av etikprövningslagen behandla och godkänna forskningsdatabaser för framtida forskning. Anledningen till det är att den forskning som ska etikprövas måste vara avgränsad och att generella, principiella godkännanden till att under överskådlig framtid få utföra forskning på ett visst material, inom ett visst område eller liknande, inte kan lämnas. Etikprövningsnämnderna har dock i vissa fall ansett sig oförhindrade att godkänna projekt även med ganska breda ändamålsbeskrivningar. Gränsdragningen kan beskrivas som oklar mellan vad som anses vara ett projekt eller på något liknande sätt bestämd forskning och som därmed kan ges etikgodkännande respektive forskningsdatabaser som i dag inte anses kunna prövas enligt etikprövningslagen.57

Som exempel på den oklara gränsdragningen kan nämnas projekten LifeGene och EpiHealth58 som båda syftar till att samla in data från individer och följa dem under flera år för att få underlag att analysera sambanden mellan arv, miljö och hälsa. Projekten syftar till att skapa forskningsdatabaser som kan användas i framtida projekt. För de konkreta projekt till vilka forskare önskar få ut uppgifter från LifeGene eller EpiHealth krävs etiktillstånd precis som för annan forskning som använder sig av känsliga personuppgifter.

55Prop. 2002/03:50 s. 114. 56Prop. 2002/03:50 s. 114 f. 57 Se vidare SOU 2014:45 s. 343 ff. 58 LifeGene är ett samarbete mellan flera universitet som leds av Karolinska Institutet. EpiHealth leds av Uppsala universitet och Lunds universitet.

För att skapa databaserna ansökte såväl LifeGene som EpiHealth om etikprövning och fick båda etiktillstånd. När det gäller LifeGene innehöll beslutet ett förbehåll och överklagades till Centrala etikprövningsnämnden, som ansåg sig förhindrad att pröva ansökan. Nämnden konstaterade dock att projektet inte behövde etikgodkännande för att få genomföras och att godkännande av etikprövningsnämnd bara aktualiseras med avseende på sådan konkret forskning som kan komma att planeras i framtiden.59 Datainspektionen beslutade dock, med stöd av personuppgiftslagen, att uppgiftssamlingen skulle upphöra. Beslutet motiverades med att ändamålet framtida forskning var alltför brett och det i sin tur gjorde det omöjligt för forskningspersonerna att ge ett giltigt samtycke. Efter Datainspektionens beslut lämnade regeringen förslag till en lag för att möjliggöra LifeGene-projektet. Den tillfälliga lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (den så kallade LifeGene-lagen) trädde i kraft den 1 december 2013. Tiden för lagen har förlängts två gånger och gäller enligt den senaste förlängningen till den 31 december 2020.60

EpiHealth prövades inte av Centrala etikprövningsnämnden och Datainspektionen har inte funnit anledning att pröva behandlingens laglighet. Det kan dock konstateras att ansökan avseende EpiHealth var något mer utförlig när det gäller ändamålsbeskrivningen än den som avsåg LifeGene. 61 Angående ändamålsbestämning, se avsnitt 5.3.6.

5.5. Offentlighet, sekretess och tystnadsplikt

5.5.1. Inledning

Av dataskyddsförordningens artikel 86 framgår det att personuppgifter i allmänna handlingar får lämnas ut av myndighet eller ett offentligt organ i enlighet med medlemsstatens nationella rätt. I Sverige kommer detta till uttryck i offentlighetsprincipen.

Offentlighetsprincipen är central i svensk rätt och kommer till uttryck bland annat genom rätten att ta del av allmänna handlingar.

59 CEPN beslut 2011-03-04, dnr Ö 28-2010. 60 Förslaget till förlängningen lades fram i regeringens proposition Fortsatt giltighet av lagen

om vad vissa register för forskning om vad arv och miljö betyder för människors hälsa (prop.

2016/17:204). 61 I SOU 2014:45 s. 347 f. finns en översikt som innehåller jämförelse mellan ändamålsbeskrivningarna i de båda ansökningarna.

När forskningsdata förvaras hos en myndighet (t.ex. ett statligt lärosäte) och vissa andra organ blir bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. TF tillämpliga. Denna rätt gäller dock inte utan begränsningar. Av 2 kap. 2 § TF framgår nämligen att denna rätt får begränsas om det är påkallat med hänsyn till vissa i paragrafen angivna intressen, bl.a. skyddet av enskildas personliga och ekonomiska förhållanden.

Varje begränsning i rätten att ta del av allmänna handlingar ska enligt 2 kap. 2 § andra stycket TF anges noga i en särskild lag. Det är i huvudsak regleringen i offentlighets- och sekretesslagen (2009:400), OSL, och offentlighets- och sekretessförordningen (2009:641) som styr i vilka fall en myndighet får lämna ut uppgifter för olika ändamål, bl.a. forskning.

Enligt 2 kap. OSL ska vad som föreskrivs i TF om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar gälla också handlingar hos vissa andra organ. Dessa kan vara statliga aktiebolag, ekonomiska föreningar eller stiftelser (2 kap. 3 § OSL), men även andra privaträttsliga organ än statliga företag såsom en del enskilda utbildningsanordnare med examensrätt. I bilagan till OSL finns reglerat vilka övriga juridiska personer som enligt 2 kap. 4 § OSL – s.k. jämställda organ – som omfattas av offentlighetsprincipen om handlingarna hör till den verksamhet som nämns där. Dessa organ ska således vid tillämpningen av OSL jämställas med myndigheter.

Utöver att organ som räknas upp i bilagan till OSL omfattas av offentlighetsprincipen finns en koppling mellan bilagan och arkivlagen (1990:782). Enligt 2 § arkivlagen gäller det som enligt lagen gäller för statliga myndigheters arkiv även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen (se vidare avsnitt 5.6.1). Arkivlagens koppling till bilagan till offentlighets- och sekretesslagen innebär att tillämpningsområdet kan förändras utan att det krävs ändringar i arkivlagen. Bilagan till offentlighets- och sekretesslagen kan ändras genom att nya organ kommer till eller genom att organ tas bort och på så sätt ändras även arkivlagens tillämpningsområde.

En viktig skillnad mellan OSL och dataskyddsförordningen är att dataskyddsförordningen inte omfattar behandling av uppgifter om avlidna, medan sekretess enligt OSL kan göra det.

5.5.2. Sekretessbestämmelsernas utformning

Föremål, räckvidd och styrka

Sekretessbestämmelserna i OSL består av tre olika rekvisit: föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.

Med föremålet för sekretessen avses vilken slags uppgift som ska omfattas av sekretessregleringen. Detta ska vara en så uttömmande reglering som möjligt.

Räckvidden för sekretessen är, om inget annat anges, hela den offentliga förvaltningen och därmed jämställda organ och verksamheter. Det är dock vanligast att sekretessbestämmelserna anger en mer begränsad räckvidd. Detta uttrycks genom att sekretessen gäller inom en viss verksamhet eller i ett ärende av angivet slag. I undantagsfall hänvisas till en viss bestämd myndighet. Sekretess som på detta vis inskränks till information som hör samman med verksamheten, ärendet eller myndigheten brukar kallas för primär sekretess (se vidare nedan).

I nästan alla sekretessregler krävs det en bedömning av hur stor risken för skada är om en viss uppgift lämnas ut. Två olika typer av skaderisker kan förekomma. Begreppet ”skada” avser risk för ekonomisk skada. När det i stället gäller risken för integritetskränkningar används beteckningen ”men”. I vissa bestämmelser förekommer bägge varianterna. Det finns också regler där någon skaderisk inte anges. I de fallen är sekretessen absolut och gäller alltid för den aktuella uppgiften i den angivna verksamheten. Det är dessa rekvisit som anger sekretessens styrka.

Skaderekvisit

Som nämnts ovan omfattas vanligtvis en sekretessbestämmelse av ett skaderekvisit som anger sekretessens styrka. Ett skaderekvisit måste vara uppfyllt för att uppgifterna i en allmän handling ska anses omfattas av sekretess. I det följande redogörs för de olika skaderekvisiten.

Det raka skaderekvisitet formuleras som att sekretess gäller för en uppgift ”om det kan antas” att ett utlämnande leder till skada. Det krävs särskilda omständigheter i det enskilda fallet som talar för att ett

utlämnande är skadligt.62 Vid rakt skaderekvisit är offentlighet huvudregeln. En myndighet ska alltså kunna redovisa konkreta skäl för sekretess om den trots det raka skaderekvisitet vill hemlighålla en uppgift.63

Omvänt skaderekvisit innebär att uppgifterna i en allmän handling som huvudregel är sekretesskyddade, så kallad stark sekretess, och formuleras så ”att det måste stå klart” att utlämnandet inte kan anses leda till skada för att ett utlämnande ska kunna göras.64

Slutligen är den absoluta sekretessen den allra starkaste formen av sekretess där huvudregeln är att uppgifter inte får lämnas ut oavsett om de kan orsaka skada eller inte. Här behöver inte någon skadeprövning göras och inget skaderekvisit vara uppfyllt för att det ska föreligga sekretess.65

De olika skaderekvisiten som anges ovan innebär konkret att sekretessen enligt olika bestämmelser har olika typer av styrkegrad. Ett exempel på uppgifter som omfattas av sekretess med ett rakt kvalificerat skaderekvisit är uppgifter om enskilds hälsa eller sexualliv (21 kap. 1 § OSL).66

Överföring av sekretess

Bestämmelser om överföring av sekretess finns i 11 kap. OSL där överföring av sekretess i forskningsverksamhet regleras särskilt i 3 §. Överföring av sekretess blir aktuellt i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i ett forskningsprojekt. Det kan i stället finnas sekretess som genom bestämmelsen om överföring av sekretess har förts över från den myndighet från vilken uppgifterna är hämtad. Sekretessen överförs i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en annan sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser.

62 Se bland annat RÅ 1994 ref. 91 och RÅ 1981 2:34 I. 63 Regeringens proposition med förslag till sekretesslag m.m. Del A (prop. 1979/80:2) s. 80. 64Prop. 1979/80:2 Del A s. 80. 65Prop. 1979/80:2 Del A s. 82. 66 Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen.

Regleringen om primär och sekundär sekretess återfinns i 3 kap. 1 § OSL. Med primär sekretessbestämmelse avses en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen antingen riktar sig direkt till myndigheten, omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns förvarade hos myndigheten. Primär sekretess kan dock spridas utanför det primära sekretessområdet med stöd av bestämmelser om överföring av sekretess, dvs. sekundär sekretess.67

Sekundär sekretess kallas den sekretess som den som begärt ut en uppgift ska tillämpa på uppgiften på grund av att sekretessen överförts. Om den mottagande myndigheten har en egen sekretessbestämmelse som gäller för uppgiften, är det i stället den sekretessen som mottagen ska tillämpa.

Vid införandet av den gamla sekretesslagen (1980:100) ansåg lagstiftaren att en allmän bestämmelse om överföring av sekretess inte behövdes tas in i sekretessregleringen. I stället bedömde man att sekretessbehovet som huvudregel kunde tillgodoses genom primära sekretessbestämmelser. Denna inställning har följt med till den nya offentlighets- och sekretesslagen. Det har medfört att de olika primära sekretessbestämmelserna var och en för sig har ett begränsat tillämpningsområde, vilket i sin tur innebär att det finns en del luckor i sekretesskyddet.

Om det finns en primär sekretessbestämmelse som är tillämplig på uppgiften hos den mottagande myndigheten, så gäller den sekretessbestämmelsen före den sekundära sekretessbestämmelsen. Detta gäller oavsett vad för styrka den primära sekretessens har hos den utlämnande myndigheten. Med andra ord kan detta komma att innebära att uppgifterna kommer att omfattas av en sekretessbestämmelse som har ett svagare skydd än om sekretessen överfördes från den utlämnande myndigheten. I de fall som det visat sig att sådana luckor föranleder praktiska olägenheter för utlämnande myndighet ansåg lagstiftaren att man i första hand får åtgärda luckorna genom justeringar i de primära sekretessbestämmelserna.68 Detta har dock inte gjorts i någon större utsträckning inom forskningsområdet.

67 Tansjö, Geijer och Lenberg Lagkommentaren till Offentlighets- och sekretesslagen. 68Prop. 1979/80:2 Del A s. 76 ff., SOU 2014:45 s. 206.

Bestämmelsen om överföring av sekretess är central för sekretesskyddet för personuppgifter i forskningssammanhang. Den innebär att en myndighet som i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet ska tillämpa samma sekretessbestämmelse på uppgiften som den utlämnande myndigheten gör. Detta under förutsättning att den mottagande myndigheten inte har någon egen sekretessbestämmelse att tillämpa. Det innebär t.ex. att den absoluta sekretess som gäller enligt 24 kap. 8 § OSL eller den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL, överförs till en mottagande myndighet. I de fall en uppgift för vilken överförd sekretess gäller begärs ut från den mottagande myndigheten, ska den mottagande myndigheten göra en självständig bedömning av om uppgiften omfattas av den överförda sekretessen eller inte (2 kap. 14 § första stycket TF).69

Överföring av sekretess innebär att en sekretessbestämmelse både kan fungera som en primär sekretessbestämmelse hos den utlämnande myndigheten och som en sekundär sekretessbestämmelse hos den mottagande myndigheten. Av bestämmelser om överföring av sekretess framgår det att den överförda sekretessen bara kan tillämpas på sådana uppgifter som den mottagande myndigheten har fått från den utlämnande myndigheten.

Eftersom sekretessregleringen bara gäller för det allmänna finns det inte någon sekretess hos en enskild som kan överföras när den enskilde lämnar en uppgift till en myndighet.70 Det finns inte heller någon sekretess som kan överföras från myndighet till en enskild vid ett utlämnande av uppgifter. En myndighet kan dock välja att lämna ut uppgifterna mot ett förbehåll enligt 10 kap. 14 § OSL.

5.5.3. Sekretessbestämmelser till skydd för enskild inom forskning

Statistiksekretess

Den sekretess som ofta är aktuell när en forskare begär ut uppgifter från en myndighet är den så kallade statistiksekretessen, vilken regleras i 24 kap. 8 § OSL. När det är en forskare knuten till en myndighet anses det vara myndigheten som begär ut uppgifterna,

69

SOU 2014:45 s. 225 ff.

70

SOU 2014:45 s. 206, proposition 1979/80 Del A s. 75 ff.

medan det när det gäller privata forskningshuvudmän anses vara den enskilde forskaren.

Statistik kan framställas för att användas som underlag för ett beslut i ett ärende hos en myndighet, men det är inte sådan verksamhet som omfattas av den här bestämmelsen. I stället är det fråga om en mera allmänt utredande verksamhet som sekretessen reglerar hos många av de myndigheter som ansvarar för register som är intressanta för registerbaserad forskning (exempelvis de statistikansvariga myndigheterna Brå, SCB och Socialstyrelsen).71

Sekretessen gäller för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Alltså skyddas inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild utan även uppgifter som på något sätt kan hänföras till en enskild och gäller oavsett varifrån uppgiften härrör eller hur den kommit till myndigheten.72 Det är inte ändamålet med uppgiften som är avgörande för om uppgifterna omfattas av statistiksekretess. Avgörande för om uppgifterna omfattas av sådan sekretess hos en myndighet är i stället verksamheten som uppgiften förekommer i. Det kan leda till att en uppgift hos en myndighet är offentlig inom en handläggande avdelning, men sekretessbelagd inom en avdelning som framställer statistik eller sysslar med forskning, exempelvis när uppgifter hos en personalavdelning lämnas över till en enhet för statistik.

Statistiksekretessen i 24 kap. 8 § OSL är omfattande. Det följande fokuserar därför enbart på de delar som är av vikt för området forskning, nämligen första och tredje styckena i bestämmelsen. Bestämmelsens första stycke innehåller huvudregeln som anger att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Sekretessen är enligt huvudregeln i bestämmelsen absolut, vilket innebär att inga uppgifter får lämnas ut. Absolut sekretess är den starkaste formen av sekretess. Uppgifter som omfattas av absolut sekretess är alltid hemliga, och får därmed inte lämnas ut oavsett om de kan orsaka skada eller inte. Således behöver inte någon skadeprövning göras och inget s.k. skaderekvisit vara uppfyllt.

71 Proposition 1979/80:2 Del A s. 263. 72 Statistikutredningens slutbetänkande Vad är officiell statistik? En översyn av statistiksystemet

och SCB (SOU 2012:83) s. 138 ff.

I denna bestämmelse finns fyra undantag från huvudregeln, varav två av undantagen är av intresse i forskningssammanhang. Det undantag som är mest väsentligt för forskning är att uppgifter som behövs för forsknings- eller statistikändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Här gäller med andra ord ett omvänt skaderekvisit. Möjligheten till utlämnande för forskningsändamål är avsedd att tillämpas restriktivt.73

Det andra undantag som kan bli aktuellt vid utlämnande av uppgifter för forskningsändamål är att uppgift som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde får lämnas ut. Det får dock endast göras under förutsättning att det står klart att uppgiften kan röjas utan att den enskilde eller denne närstående lider skada eller men. Undantaget infördes för att tillgodose behovet av detaljerad statistik inom både statistik och forskning. Det avser inte bara utlämnande till forsknings- och statistikändamål, utan är generellt tillämpligt.74

Skälen till att statistiksekretessen är så stark har diskuterats i förarbetena både till den tidigare sekretesslagen (1980:100) och i de förarbeten som togs fram i samband med att den nya offentlighets- och sekretesslagen infördes samt i arbetet med att ändra statistiksekretessen.75 När det är fråga om statistikuppgifter finns det ofta en intressekonflikt mellan önskemålet om allmän insyn i statistiskt primärmaterial76 och hänsynen till den enskildes integritet.77 Ett skäl att ha en långtgående sekretess är att offentlighetsintresset på detta område är förhållandevis svagt medan integritetsintresset däremot väger tyngre. Exempelvis är registeruppgifter från SCB visserligen var för sig relativt harmlösa, men en sammanställning av sådana uppgifter kan vara integritetskänslig. Behovet av ett starkt sekretesskydd beror också på att statistikkvaliteten kan påverkas negativt om inte den enskilde uppgiftslämnaren är säker på att hans eller hennes uppgifter inte kommer ut. Risken finns annars att man då blir mindre benägen att lämna ut sina uppgifter. Det handlar här alltså om allmänhetens

73 Regeringens proposition Lag om vissa personregister för officiell statistik m.m. (prop.

1994/95:200) s. 38.

74 Prop. 1994/95 :200 s. 38. 75Prop. 1979/80:2 Del A s. 262–265. 76 Med statistiskt primärmaterial avses s.k. grunddata, även kallad rådata, som samlas in för att utgöra underlaget till den statistiska framställningen. 77Prop. 1979/80:2 Del A s. 262.

tilltro till att uppgifterna hanteras med respekt för den enskildes behov av personlig integritet.78

Dataskyddssekretess

En annan sekretessbestämmelse som aktualiseras oavsett från vilken myndighet en forskare begär ut uppgifter är den sekretess som gäller enligt 21 kap. 7 § OSL. Bestämmelsen anger att sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Uttrycken personuppgift och behandling i bestämmelsen har samma innebörd som den i dataskyddsförordningen. I samband med att dataskyddsförordningen ersätter personuppgiftslagen förändras bestämmelsen i 21 kap. 7 § OSL så att det framgår att sekretess gäller om det kan antas att uppgiften efter ett utlämnande kommer behandlas i strid med dataskyddsförordningen och dataskyddslagen. Skaderekvisitet är därmed detsamma som innan.

Bestämmelsen är tillämplig hos sådana myndigheter som är personuppgiftsansvariga eller som annars har tillgång till personuppgifter. Den innebär ett förbud att lämna ut personuppgifter om det kan antas att uppgifter efter utlämnandet kommer att behandlas i strid med bestämmelserna i dataskyddsförordningen.79 Bestämmelsen innebär att den utlämnande myndigheten kan behöva undersöka hur uppgifterna kommer att behandlas hos den som har begärt ut dem, till exempel hos den forskningshuvudman som uppgifterna ska lämnas ut till.80

Sekretessbestämmelsen har kritiserats av både JO och olika statliga utredningar.81 Kritiken handlar främst om att bestämmelsen är otydlig och att den utgör ett hot mot öppenheten och därför bör upphävas.82Inget av kritiken som framförts har emellertid lett till någon åtgärd från lagstiftarens håll.

78 Proposition 1979/80:2 Del A s. 262, SOU 2014:45 s. 213. 79Prop. 2017/18:105, förslag till ändrad lydelse av 21 kap. 7 § OSL. 80SOU 2014:45 s. 216 ff. 81 Se t.ex. Personuppgiftsutredningens betänkande

Översyn av personuppgiftslagen(SOU 2004:6).

82

Eva Spira och Ann Dahlin, Stockholm 2000 7:16 och andra hot mot öppenheten. Om offentlig-

het och sekretess i Sverige och EU, Ny sekretesslag (SOU 2003:99), SOU 2004:6och Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4).

Sekretessen i 21 kap. 7 § OSL är försedd med ett rakt skaderekvisit, vilket innebär att utgångspunkten är att uppgifterna ifråga är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften lämnas ut.

Sekretess för uppgifter om hälsa

Det är inte ovanligt att forskare hämtar personuppgifter ur journaler eller från ett nationellt, regionalt eller lokalt s.k. kvalitetsregister. Kvalitetsregister innehåller personbundna uppgifter inom specifika områden i hälso- och sjukvården och används bl.a. för förbättringsåtgärder och forskning. I kvalitetsregistren återfinns känsliga personuppgifter om hälsa. Sådana uppgifter skyddas av sekretess enligt 25 kap. 1 § OSL.

Med uttrycket hälso- och sjukvård avses den öppna eller slutna sjukvården. Grundläggande bestämmelser för sådan verksamhet finns i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Till begreppet hör även bl.a. förebyggande medicinsk hälsovård, till exempel verksamheten på mödra- och barnavårdscentralerna, inom psykiatrisk barn- och ungdomsvård och tandvården. Utanför bestämmelsens tillämpningsområde faller däremot verksamhet som bedrivs i privat verksamhet för vilken i stället föreskrifterna om tystnadsplikt i patientsäkerhetslagen (2010:659) gäller. Av bestämmelsen framgår att sekretessen även gäller ”i annan medicinsk verksamhet”, för vilket avses verksamhet som inte primärt har vård- eller behandlingssyfte, till exempel verksamhet som bedrivs hos Rättsmedicinalverket eller Rättsliga rådet vid Socialstyrelsen.

Sekretessen omfattar uppgift om enskilds hälsotillstånd eller andra personliga förhållanden och avser uppgifter om den vårdbehövande eller därmed jämställda personer samt uppgifter som en vårdbehövande lämnar om andra personer, exempelvis närstående, grannar eller arbetskamrater. Det framgår att sekretessen även gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Även här har vi med andra ord ett omvänt skaderekvisit. Om uppgifter lämnas ut från den allmänna hälso- och sjukvården för forskningsändamål följer det av 11 kap. 3 §

OSL att hälso- och sjukvårdssekretessen kan föras över till den mottagande myndigheten. Om det finns en primär sekretessbestämmelse hos den mottagande myndigheten ska dock den gälla i första hand.

Det finns ytterligare en sekretessbestämmelse som omfattar hälsouppgifter. Bestämmelsen har inte begränsats till någon särskild verksamhet eller myndighet, vilket innebär att den ska användas av alla myndigheter och andra organ som ska tillämpa OSL. Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könskorrigering, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Efter att myndigheten beaktat omständigheterna i det enskilda fallet kan även mindre känsliga uppgifter sekretessbeläggas med stöd av bestämmelsen. Bestämmelsen innehåller ett skaderekvisit som medför att bestämmelsen ger ett minimiskydd för känsliga uppgifter om enskildas hälsa och sexualliv inom hela den offentliga sektorn.

Andra sekretessbestämmelser som berör forskningsområdet

I 24 kap. OSL finns det sekretessbestämmelser särskilt till skydd för enskild inom forskning och statistik. Enligt bestämmelsen i 24 kap. 1 § gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Alla slags uppgifter som hänför sig till sådana undersökningar kan vara föremål för sekretess.

Enligt 10 kap. 23 § OSL får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet. Misstanken måste dock gälla brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168). Bestämmelsen innebär en möjlighet att bryta sekretessen

för vissa allvarliga brott, men inte någon skyldighet att lämna ut uppgifterna. I bestämmelsen anges också vilka sekretessbestämmelser som omfattas av denna möjlighet att bryta sekretessen. Denna möjlighet gäller t.ex. avseende sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (24 kap. 2 a § OSL).

Inre sekretess

Förtroendet för integritetsskyddet i samband med uppgiftshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och i samband med överföring av personuppgifter. Även inom en sådan verksamhet som hanterar personuppgifter måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda dvs. som har med den s.k. inre sekretessen att göra.

Det finns ingen legaldefinition av begreppet inre sekretess. Oftast avser det i vilken utsträckning uppgifter som omfattas av sekretess får lämnas mellan befattningshavarna inom en myndighet.83

I förarbetena till patientdatalagen (2008:355), används begreppet i en vidare bemärkelse. Där menar man att inre sekretess inrymmer ett antal frågeställningar om hur känsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att motverka obefogade intrång i den personliga integriteten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var behörighetstilldelning och kontroll av elektronisk åtkomst, s.k. loggning.84

Av betydelse för gällande rätt om inre sekretess är att olovligt intrång och olovligt efterforskande i elektroniska informationssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatiserad databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 c § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till en

83 Manolis Nymark, Patientdatalagen – Informationshantering och journalföring i hälso- och

sjukvården m.m., s. 82 ff.

84 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) s. 141 ff.

forskningsdatabas för att läsa uppgifter om en enskild utan att detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet.

Meddelarfrihet

Den grundläggande bestämmelsen om meddelarfriheten finns i 1 kap. 1 § tredje stycket TF. Där stadgas att det ska stå envar fritt att meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om det för skriften finns en särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter. Motsvarande rätt återfinns i yttrandefrihetsgrundlagen, förkortad YGL, gällande radio- och tv sändningar. Meddelarfriheten gäller i princip oberoende av om meddelandet publiceras. Det räcker alltså att meddelarens syfte är att offentliggöra uppgiften. Detta innebär konkret att meddelarfriheten tar över tystnadsplikten.85

Meddelarfriheten är dock inte en oinskränkt rättighet. Den gäller inte vid s.k. kvalificerade tystnadsplikter där det i offentlighets- och sekretesslagen finns reglerat att meddelarfriheten inte gäller. Av 24 kap. 9 § 1 och 25 kap. 18 § OSL framgår det att statistiksekretessen och hälso- och sjukvårdssekretessen är sådana kvalificerade tystnadsplikter att meddelarfriheten inte gäller.

5.5.4. Tystnadsplikt vid privat verksamhet

Privat verksamhet

Även forskare verksamma hos en privat forskningshuvudman behandlar personuppgifter för forskningsändamål. Inom den privata sfären saknas ofta sekretesskydd för uppgifterna eftersom de flesta privata forskningshuvudmän inte finns omnämnda i bilaga till OSL. Det innebär att en myndighet av det skälet kan vägra att lämna ut uppgifterna till forskning. En myndighet ska dock alltid ta ställning till om uppgifter som är sekretesskyddade ändå kan lämnas ut med ett s.k. förbehåll enligt 10 kap. 14 § OSL.

85SOU 1990:12 Meddelarrätt s. 12.

Av bestämmelsen följer att om en myndighet finner att sådan risk för skada men eller annan olägenhet som enligt en sekretessbestämmelse hindrar att en uppgift lämnas ut kan undanröjas genom ett förbehåll, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas ut. Ett förbehåll innebär att myndigheten inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den. Bestämmelsen ska bara tillämpas vid utlämnande till enskilda, inte till en annan myndighet. Förbehållet kan därmed inte rikta sig till en person som vill ta del av uppgifterna i egenskap av offentlig funktionär eller anställd vid en myndighet. Handlingar eller uppgifter som utlämnas till en myndighet omfattas i sådana fall i stället av den sekretess som gäller hos den myndigheten och i vissa fall av sekundär sekretess.

I forskningssammanhang kan således förbehåll endast användas vid utlämnande av uppgifter till forskning som bedrivs av enskild huvudman. Ett förbehåll kan också ställas upp om den som uppgiften rör samtycker till att en sekretessbelagd uppgift lämnas ut med förbehåll. Ett förbehåll får ställas upp endast om förbehållet behövs för att undanröja den skaderisk som annars skulle utgöra ett hinder mot utlämnande och om förbehållet, med hänsyn taget till alla omständigheter i det enskilda fallet, är tillräckligt för att undanröja risken. Förbehållet innebär att den som tar emot uppgifterna har tystnadsplikt. Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikten bli aktuellt enligt 20 kap. 3 § brottsbalken. Straffskalan innehåller böter och fängelse upp till ett år.

I betänkandet Unik kunskap genom registerforskning lägger utredaren fram slutsatsen att uppgifter som lämnas ut till aktörer som inte omfattas av offentlighets- och sekretesslagen kommer att få samma skydd genom en tillämpning av bestämmelsen om förbehåll i OSL. Någon närmare analys av denna uppfattning har inte gjorts, men den har bland annat kritiserats av Datainspektionen.86

86 Datainspektionens remissvar till SOU 2014:45, Datainspektionens dnr 2469-2014.

5.5.5. Prövningen av en forskares begäran av att få ta del av uppgifter från en statistikansvarig myndighet

I detta avsnitt redogör vi kort för hur en sekretessprövning hos utlämnande myndighet kan gå till. Notera dock att det enbart är ramarna för sekretessprövningen som återges och att rutinerna kan skiljas åt något mellan myndigheterna. Den utförligare beskrivningen av vilka regler som gäller framgår av avsnitten ovan.

De statistikansvariga myndigheternas register är, som ovan nämnts, belagda med absolut sekretess enligt 24 kap. 8 § OSL. Den absoluta sekretessen kan brytas för forskningsändamål, om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. När en begäran om att få ta del av uppgifter för forskningsändamål, kommit in till berörd myndighet måste en sekretessprövning genomföras innan ett formellt beslut om utlämnande kan fattas.

Sekretessprövningen, som syftar till att värna om den personliga integriteten hos forskningspersonerna, tar sitt avstamp i OSL, dataskyddsförordningen samt etikprövningslagen. Såväl nya ärenden som pågående projekt som tidigare fått ut uppgifter måste genomgå en sekretessprövning innan personuppgifterna får lämnas ut.

Ett godkännande av projektet från en etikprövningsnämnd är en förutsättning för att känsliga personuppgifter ska få behandlas, men beslutet innebär dock inte att myndigheten automatiskt kan bryta sekretessen och lämna ut uppgifterna. En godkänd etikprövning är snarare ett underlag för den sekretessprövning som myndigheten är skyldig att utföra inför varje utlämnande. Därför är det viktigt att etikansökan bl.a. innehåller uppgifter om vilka register som är av intresse för forskningsprojektet och vilken typ av personuppgifter som behövs. Myndigheten får inte heller bryta sekretessen om det kan antas att forskningshuvudmannen kommer att behandla personuppgifter i strid med dataskyddsförordningen eller mot dataskyddslagen.

5.6. Arkivering och gallring

5.6.1. Tryckfrihetsförordningen och arkivlagen

När uppgifter inte längre används i forskning uppstår frågan hur uppgifterna ska hanteras, dvs. om de ska gallras eller arkiveras. Detta avsnitt innehåller en genomgång av de rättsliga förutsättningarna för arkivering och gallring.

Enligt 2 kap. TF har varje svensk medborgare en grundlagsfäst rätt att ta del av myndigheters och andra offentliga och därmed jämställda organs87 allmänna handlingar. Av 2 kap. 1 § TF framgår att syftet är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar är ett av de viktigaste inslagen i offentlighetsprincipen. Vad som är en allmän handling definieras i 2 kap. TF. Med handling förstås, enligt 2 kap. 3 § TF, framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän om den, i enlighet med vad som närmare anges i vissa andra bestämmelser, förvaras hos en myndighet eller hos vissa andra jämställda organ och är att anse som inkommen till eller upprättad hos myndigheten. (När det gäller den härtill hörande sekretesslagstiftningen, se avsnitt 5.5.)

För att offentlighetsprincipen i form av handlingsoffentlighet ska få genomslag och kunna utnyttjas i praktiken krävs att allmänna handlingar bevaras efter det att deras omedelbara nytta i den löpande verksamheten har upphört. Myndigheterna och de andra organ som omfattas har därför grundläggande skyldigheter att bevara sina allmänna handlingar i arkiv.

En myndighets allmänna handlingar ska hållas ordnade och vårdas bland annat för att tillgodose allmänhetens rätt att ta del av allmänna handlingar i ett långsiktigt perspektiv. Arkivsystemets anknytning till handlingsoffentligheten tydliggörs i 2 kap. 18 § TF. Där stadgas att grundläggande bestämmelser om hur allmänna handlingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas i lag. Varje myndighet är ansvarig för arkivvården av den egna myndighetens handlingar. Arkivvården innefattar även gallring.

87 Se 2 kap. OSL.

I arkivlagen finns bestämmelser om myndigheternas och vissa andra organs, t.ex. kommunala bolag och vissa andra utpekade enskilda organ, arkiv samt om arkivmyndigheterna. Enligt 1 § arkivlagen finns i lagen bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Reglerna för statliga och kommunala kommun skiljer sig något åt. I 2 § anges att det som gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen OSL till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen (se avsnitt 5.5.1).

Arkivlagens koppling till bilagan till offentlighets- och sekretesslagen innebär att tillämpningsområdet för arkivlagen är beroende av vilka organ som är upptagna i bilagan till OSL och kan förändras utan att det krävs ändringar i arkivlagen. När organ läggs till i eller tas bort från bilagan till OSL ändras vilka som har att tillämpa arkivlagen.

I arkivlagen finns grundläggande bestämmelser om bevarande och gallring av allmänna handlingar. Härtill kommer arkivförordningen (1991:446) och de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna, såsom Riksarkivet, utfärdar. Riksarkivet är statlig arkivmyndighet, kommunstyrelsen är arkivmyndighet i en kommun och landstingsstyrelsen i ett landsting, om inte kommunfullmäktige eller landstingsstyrelsen har utsett någon annan nämnd eller styrelse till arkivmyndighet.

Enligt 3 § arkivlagen bildas en myndighets arkiv av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar, vissa minnesanteckningar, utkast och koncept, som avses i 2 kap. 9 § TF och som myndigheten beslutar ska tas om hand för arkivering. Enligt samma paragraf är myndigheternas arkiv en del av det nationella kulturarvet och de ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

Huvudprincipen enligt arkivlagen är bevarande, alltså att allmänna handlingar ska bevaras i myndigheternas arkiv. Från denna princip finns dock undantag. Ett undantag är bestämmelser om gallring. Allmänna handlingar får enligt 10 § arkivlagen gallras. Därvid ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår, alltså inte gallras, ska kunna tillgodose

rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

Det kan konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor ska beaktas också utifrån intresset av skydd för den personliga integriteten. Gallring enligt arkivlagen ska göras av praktiska och ekonomiska skäl och syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde eller som har ett informationsvärde som är markant begränsat i tid. Gallringen ska göra att arkiven blir mer överskådliga och effektiva som informationskällor.88 Värt att notera är att begreppet gallring bara avser allmänna handlingar. Förstöring av handlingar som inte är allmänna kallas rensning.

Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Regeln gäller även för sådana organ som finns i bilagan till OSL. Särskilda gallringsföreskrifter finns ofta i s.k. registerförfattningar. Enligt 10 § tredje stycket arkivlagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning gäller alltså dessa bestämmelser. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar (se vidare avsnitt 5.6.4).

På det kommunala området gäller att beslut om gallring kan meddelas av kommunfullmäktige respektive landstingsfullmäktige.

5.6.2. Dataskyddsförordningens bestämmelser om arkivering

När det gäller frågor om arkivering och gallring som rör personuppgifter finns bestämmelser i dataskyddsregleringen. Lagring av personuppgifter är enligt dataskyddsförordningens definition i artikel 4.2 en behandling av personuppgifter. I dataskyddsförordningen finns ett antal artiklar som särskilt rör personuppgiftsbehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

88 Regeringens proposition om arkiv m.m. (prop. 1989/90:72), s. 40 f.

Enligt artikel 5.1 b gäller att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte ska anses oförenliga med de ursprungliga ändamålen (ändamålsbegränsning). Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt 5.1 b inte anses som oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta förtydligas i skäl 50.

Det är inte fråga om sådan vidarebehandling när en arkivmyndighet, t.ex. Riksarkivet, övertar arkivmaterial från en annan myndighet. Då övergår enligt 9 § tredje stycket arkivlagen hela ansvaret för det övertagna materialet till arkivmyndigheten. Arkivmyndigheten bär personuppgiftsansvaret för de behandlingar som görs därefter. Den rättsliga grunden för dessa behandlingar är i enlighet med artikel 6.1 e i dataskyddsförordningen att de görs för att utföra en i arkivlagstiftningen fastställd uppgift av allmänt intresse.

I artikel 5.1 e stadgas om lagringsminimering. Här framgår arkivändamålens särställning. Det föreskrivs att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

Av artikel 9.2 j framgår att känsliga personuppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syfte, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter

och intressen. Enligt 3 kap. 6 § dataskyddslagen får känsliga personuppgifter behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

I artikel 10 stadgas om behandling av personuppgifter om lagöverträdelser och även enligt denna bestämmelse ställs krav på skyddsåtgärder. I 3 kap. 8 § dataskyddslagen stadgas att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter och att även andra än myndigheter får behandla sådana personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

I 89.1 stadgas om skyddsåtgärder och undantag för behandling för bl.a. arkivändamål av allmänt intresse. Av denna artikel framgår att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dess ändamål uppfyllas på det sättet. Regeringen har inte föreslagit några generella undantag från den registrerades rättigheter vid behandling av personuppgifter för arkivändamål av allmänt intresse.89

5.6.3. Reglering i dataskyddslagen

I dataskyddslagen finns kompletterande bestämmelser till dataskyddsförordningen. Av propositionen till lagen framgår att regeringen har gjort bedömningen att myndigheter och andra som omfattas av föreskrifter om arkiv, såsom arkivlagen och anslutande föreskrifter, har rättslig grund i enlighet med 5.1 e för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidare har regeringen gjort bedömningen att den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör en vidarebehandling som

89Prop. 2017/18:105 s. 120 f.

görs för arkivändamål av allmänt intresse. Behandlingen ska därmed enligt artikel 5.1 b inte anses som oförenlig med de ursprungliga ändamålen.90

I 2 kap. 3 § dataskyddslagen stadgas att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla personuppgifter för arkivändamål av allmänt intresse. Vidare får den myndighet regeringen bestämmer även i enskilda fall tillåta sådan behandling och ett beslut får förenas med villkor. Skälen för regleringen är att även de som inte omfattas av arkivlagstiftningen i vissa fall kan behandla personuppgifter för arkivändamål av allmänt intresse och att det därför bör finnas en möjlighet att meddela föreskrifter som tillåter detta. Som exempel nämns i propositionen att en föreskrift kan tillåta en förening att behandla personuppgifter för arkivändamål av allmänt intresse och att detta innebär att föreningen erkänns ha befogenhet att driva arkivverksamhet av allmänt intresse. Detta innebär enligt regeringen att en uppgift av allmänt intresse är fastställd på det sätt som krävs enligt 6.3 första stycket i dataskyddsförordningen.91

Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga personuppgifter och personuppgifter som rör lagöverträdelser behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.

När det gäller känsliga personuppgifter stadgas i 3 kap. 6 § första stycket dataskyddslagen att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Likt vad som gällt enligt personuppgiftslagen, tydliggörs i denna bestämmelse att dataskyddslagstiftningen inte hindrar att en myndighet arkiverar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I propositionen konstateras att ett undantag från förbudet i artikel 9.1 mot behandling av känsliga uppgifter regleras i 9.2 j, det vill säga vid behandling som är nödvändig för arkivändamål av allmänt intresse. Vidare anges att de lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g och j motsvarar det krav på skyddsåtgärder som

90Prop. 2017/18:105 s. 109 ff. 91Prop. 2017/18:105 s. 112 f.

ställs enligt dataskyddsdirektivet och att det därmed inte innebär någon ny begränsning av möjligheten att behandla känsliga personuppgifter för arkivändamål av allmänt intresse. I propositionen konstateras också att den nödvändiga behandlingen av personuppgifter som görs vid arkiv som omfattar allmänna handlingar har rättslig grund i arkivlagen och anslutande föreskrifter samt att svensk rätt innehåller lämpliga och särskilda åtgärder som skyddar enskildas integritet vid hantering av allmänna handlingar, i synnerhet i form av sekretess eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn, men även genom rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring.92

Enligt 3 kap. 6 § andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter som tillåter att personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv får behandla känsliga personuppgifter för arkivändamål av allmänt intresse. Regeringen har för avsikt att delegera föreskriftsrätten till Riksarkivet.

I propositionen anges att även hos personuppgiftsansvariga som inte omfattas av föreskrifter om arkiv kan det finnas ett allmänt intresse av att känsliga personuppgifter bevaras och att sådant bevarande under vissa förutsättningar bör tillåtas.

Enligt 3 kap. 6 § tredje stycket får den myndighet som regeringen bestämmer även i enskilda fall besluta att personuppgiftsansvariga får behandla sådana personuppgifter för arkivändamål av allmänt intresse. Ett beslut får förenas med villkor. I propositionen anges att sådana föreskrifter och förvaltningsbeslut lämpligen bör meddelas i samband med att den rättsliga grunden fastställs för den personuppgiftsansvariges behandling av personuppgifter för arkivändamål av allmänt intresse.93

I propositionen anges också att det bör ankomma på Riksarkivet att, efter samråd med Datainspektionen, bedöma om beslut som tillåter ett enskilt organ att behandla känsliga personuppgifter ska villkoras av att den personuppgiftsansvarige vidtar särskilda åtgärder och i så fall vilka. Enligt regeringen kan det röra sig om åtkomstbegränsningar, krav på särskilda tekniska säkerhetsåtgärder eller

92Prop. 2017/18:105 s. 116. 93Prop. 2017/18:105 s. 117 f.

någon annan åtgärd som bedöms lämplig och proportionerlig i det aktuella fallet.94

I 3 kap. 8 § andra stycket dataskyddslagen stadgas, på motsvarande sätt som avseende känsliga personuppgifter, att även andra än myndigheter får behandla personuppgifter som rör lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Avseende uppgifter om lagöverträdelser konstaterar regeringen följande i propositionen. Arkivlagen och andra föreskrifter om arkiv omfattar inte bara myndigheter utan även t.ex. kommunala bolag och vissa andra utpekade enskilda organ. För dessa skulle det i enstaka fall kunna uppstå en normkonflikt mellan arkivlagstiftningen och regleringen i artikel 10 i dataskyddsförordningen avseende behandlingen av personuppgifter som rör lagöverträdelser.

När det gäller arkivmaterial som överlämnas från enskilda organ till kommunala arkivmyndigheter konstaterar regeringen i propositionen att det i det enskilda fallet kan vara så att arkiven överlämnas till arkivmyndigheten som deposition, dvs. utan att äganderätten övergår och att parterna i sådana fall kan avtala om att arkivmyndigheten ska ges ett privaträttsligt uppdrag att i egenskap av personuppgiftsbiträde förvara och vårda materialet för deponentens räkning.

5.6.4. Reglering i registerförfattningar

I registerförfattningar som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritetshänsyn avviker från arkivlagstiftningens huvudregel om bevarande. I sådana författningar gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Gallring ska således göras på visst sätt, om inte något annat uttryckligen föreskrivs.

Det förekommer, på grund av bland annat insynsaspekter och rättssäkerhetsaspekter, undantag från gallringsskyldigheten. Det är vanligt att det i förordningar som utfärdats i anslutning till registerlagen överlåtits till Riksarkivet att meddela närmare föreskrifter om undantag för gallring.

94Prop. 2017/18:105 s. 118.

Som exempel på registerförfattningar med bestämmelser om gallring kan nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen).

I 14 § IFAU-lagen stadgas att personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska göras senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Gallring när uppgifterna inte längre behövs är alltså huvudregeln enligt den lagen men det finns möjlighet till föreskrifter eller beslut om bevarande.

Det anförs i förarbetena att IFAU genom lagen kommer att bygga upp och administrera varaktiga och förhållandevis omfattande samlingar av personuppgifter, som även kommer att innehålla känsliga personuppgifter. Merparten av de uppgifter som IFAU behandlar har ursprungligen hämtats från andra myndigheter. Intresset av att uppgifterna bevaras får anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser. När det gällde IFAU-lagen ansågs integritetsskyddsintresset väga över intresset att av bevara handlingarna.

I LifeGene-lagen stadgas i 12 § att personuppgifter som inte längre behövs för ändamålet att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till sådan forskning gallras, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. I propositionen konstaterades att register som kommer att föras med stöd av lagen kommer att innehålla särskilt känsliga personuppgifter, bland annat uppgifter om genetiska undersökningsresultat.95 Behandling av uppgifterna i registren ska göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. De primära ändamålen för behandlingen är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt samt att lämna ut

95 Regeringens proposition Vissa register för forskning om vad arv och miljö betyder för

människors hälsa (prop. 2012/13:163), s. 49.

uppgifter till sådan forskning under de förutsättningar som anges i lagen.

Avsikten med lagen är att personuppgifter ska kunna sparas i registret under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier som exempelvis kan innebära att undersöka vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Trots att det alltså är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid finns en särskild gallringsbestämmelse i lagen. Grunden för den bestämmelsen är att det inte ansetts kunna uteslutas att det kan komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras.

Som ovan angetts finns i lagen ett bemyndigande som möjliggör att uppgifter får bevaras för ”historiska, statistiska eller vetenskapliga ändamål”. Vi föreslog i delbetänkandet att terminologin i denna bestämmelse ska anpassas till dataskyddsförordningen på så sätt att ”historiska, statistiska eller vetenskapliga ändamål” ska ändras. I enlighet med formuleringen i 5.1 e i dataskyddsförordningen bör uppgifter få bevaras för ”arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål”. Vi konstaterade dock att omformuleringen inte torde innebära någon skillnad i sak.96

I likhet med vår bedömning när det gäller LifeGene-lagen har regeringen i propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning gjort bedömningen att bestämmelser i registerförfattningar inom Socialdepartementetens verksamhetsområde om gallring och bevarande och bemyndiganden att meddela föreskrifter om bevarande inte behöver ändras i sak. Detta gäller under förutsättning att den ursprungliga behandlingen grundar sig på en rättslig förpliktelse (artikel 6.1 c) eller en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) i dataskyddsförordningen. Regeringen föreslår att formuleringarna i registerförfattningarna om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör ändras till att avse arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.97

96SOU 2017:50 s. 395. 97 Regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en

anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) s. 142 ff.

Avslutningsvis kan nämnas att en utredning tillsatts med uppdraget att se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till den utvecklingen inom området. Utredaren ska bl.a. analysera om regleringen för enskilda arkiv bör förändras för att tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet. Utredaren ska även utreda om de enskilda arkivens hantering av personuppgifter kräver ytterligare författningsstöd samt analysera Riksarkivets och övriga arkivmyndigheters roll och uppgifter i relation till de enskilda arkiven och vid behov lämna förslag på hur dessa kan förändras. Uppdraget ska redovisas senast den 18 november 2019.98

5.7. Sammanfattning

I detta kapitel har vi redovisat mycket av den lagstiftning som har betydelse för förutsättningarna att behandla personuppgifter i forskningsdatabaser.

För att sådan behandling ska vara laglig måste den uppfylla de grundläggande reglerna för dataskydd som regleras i dataskyddsförordningen och den föreslagna dataskyddslagen. Det är främst inom detta rättsområde som många av de svårigheter identifierats, som det ingår i vårt uppdrag att lösa. Det handlar t.ex. om att det kan vara svårt att fullt ut specificera syftet med behandlingen av personuppgifterna i samband med att uppgifterna samlas in.

Personuppgifterna måste också hanteras i enligt med de krav som gäller enligt offentlighets- och sekretesslagen och andra bestämmelser som kan finnas om tystnadsplikt. Dessa regler har också betydelse för möjligheten att samla in uppgifter till en forskningsdatabas. Endast om de registerförandemyndigheterna anser att det är förenligt med sekretesskyddet att lämna ut uppgifterna, kan en forskningshuvudman få del av dessa. Det finns därför anledning att stärka sekretesskyddet för uppgifter som hanteras i forskningen. Vi bedömer att en reglering av forskningsdatabaser som innefattar flera olika skyddsåtgärder kommer att göra det lättare att samla in uppgifter.

Forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser m.m. får bara utföras om

98 Dir. 2017:106.

behandlingen av uppgifter har godkänts vid en etikprövning. Etikprövning är en etablerad skyddsåtgärd. Vi anser att det finns anledning att överväga om sådan prövning kan utvidgas så att den också kan avse forskningsdatabaser.

För att ett förslag till reglering forskningsdatabaser ska bli fullständigt, kommer vi också att få anledning att ta ställning till vad som ska hända med uppgifterna när de inte längre behövs för forskning. Vi måste således även ta ställning till frågor som har med arkivering och gallring att göra.

6. Registerforskningsutredningens förslag

6.1. Inledning

Vi har i uppdrag att föreslå en långsiktig reglering av forskningsdatabaser. En sådan reglering har tidigare föreslagits av Registerforskningsutredningen i betänkandet Unik kunskap genom register-

forskning.1 Det betänkandet har remissbehandlats och vi har i uppdrag

att göra en vidare beredning av förslagen med beaktande av remissinstansernas synpunkter.2

I detta kapitel redovisar vi Registerforskningsutredningens uppdrag och förslag. Vi lägger tyngdpunkten i vår redovisning på de förslag som är mest relevanta för vårt uppdrag, dvs. förslaget på reglering av forskningsdatabaser. I kapitlet redovisar vi också de remissvar som avser dessa delar av Registerforskningsutredningens förslag.

6.2. Registerforskningsutredningens uppdrag och förslag

6.2.1. Förslag till lag om forskningsdatabaser

Registerforskningsutredningen hade i uppdrag att undersöka förutsättningarna för att bedriva registerbaserad forskning och lämna förslag bl.a. i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

1 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 2 Kommittédirektiv Personuppgiftsbehandling för forskningsändamål (dir. 2016:65), s. 15.

I betänkandet Unik kunskap genom registerforskning lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller högskolor och andra statliga myndigheter, som har i uppdrag att bedriva forskning, att utföra behandling av personuppgifter i forskningsdatabaser.3 I den föreslagna lagen angavs vissa generella regler för forskningsdatabaser. Varje databas skulle sedan enligt förslaget regleras i en förordning med bestämmelser om vad som närmare ska gälla, till exempel ändamål och innehåll. Förslaget till lag om forskningsdatabaser beskrivs utförligare i avsnitt 6.3.

6.2.2. Registerforskningsutredningens övriga uppdrag

Övriga uppdrag

Utöver ett förslag till lag om forskningsdatabaser lämnade Registerforskningsutredningen förslag till en lag om Nationella biobanksregistret, förslag till ett enklare etikprövningsförfarande,4 förslag beträffande tid för bevarande av kodnycklar och förslag angående sekretesskyddet i forskning. I detta avsnitt följer en kort genomgång av dessa frågor.

Nationella biobanksregistret

Registerforskningsutredningen lämnade förslag till en lag om Nationella biobanksregistret. Lagförslaget innehåller bland annat bestämmelser om förhållandet till personuppgiftslagen (1998:204), den registrerades inställning till personuppgiftsbehandling, ändamålet med behandlingen, vilka uppgifter registret får innehålla och vilken information som ska lämnas till den registrerade.

Registerforskningsutredningens förslag innehåller i denna del även en ändring i patientsäkerhetslagen (2010:659) gällande undantag från tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården. Den föreslagna bestämmelsen innebär att tystnadsplikt inte hindrar att uppgift

3 Angående begreppet forskningsdatabaser, se kapitel 3. 4 I vårt delbetänkande analyserade vi de frågor som ingick i vårt uppdrag gällande etikprövning.

lämnas till register som förs med stöd av den föreslagna lagen om Nationella biobanksregistret.

Vi har i uppdrag att även i denna del göra en vidare beredning av Registerforskningsutredningens förslag och lämna förslag till en reglering av ett nationellt biobanksregister. Denna fråga behandlar vi i kapitel 10.

Etikprövning

I Registerforskningsutredningens betänkande föreslogs ett enklare förfarande vid etikprövning när det gäller forskning som endast innefattar behandling av personuppgifter som hämtats från myndighetsregister och som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde. I sådana fall föreslogs att etikprövningsnämnderna skulle kunna delegera ärendena till ordföranden.

Vidare föreslog Registerforskningsutredningen att forskare skulle ha rätt att få ett yttrande från etikprövningsnämnden över forskningsprojekt som inte faller under lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Vi hade i utredningens första skede i uppdrag att analysera vilka anpassningar som kan behöva göras i de bestämmelser i etikprövningslagen som reglerar handläggningen av ärendena, överväga om det bör införas ett enklare förfarande vid etikprövning när det är fråga om behandling av personuppgifter som innebär en liten risk för intrång i den enskildes integritet, och lämna de författningsförslag som behövs. Vår bedömning var att ett mer ändamålsenligt etikprövningsförfarande för sådan personuppgiftsbehandling som typiskt sett kan anses innebära en lägre risk för integritetsintrång bör utredas vidare. Våra överväganden i denna del finns i vårt delbetänkande.

När det gäller forskningsdatabaser föreslog Registerforskningsutredningen en ändring i etikprövningslagen om att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga personuppgifter eller inte (se vidare avsnitt 6.3.4). Någon utvidgning av etikprövningslagen till att även gälla etikprövning av forskningsdatabaser föreslogs dock inte (se avsnitt 6.3.7).

Kodnyckelförfarande

Gällande kodnycklar föreslog Registerforskningsutredningen ändringar i lagen (2001:99) om den officiella statistiken. Utredaren föreslog att en statistikansvarig myndighet som lämnar ut uppgifter för forskningsändamål som inte direkt kan hänföras till en enskild alltid ska förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande. Detta ska göra det möjligt att senare komplettera uppgifterna i ett forskningsprojekt eller utföra uppföljning, replikation eller granskning av samma projekt eller att använda uppgifterna i ett delvis förändrat forskningsprojekt.

Vidare föreslogs att en förteckning över vilken beteckning som motsvarar ett visst personnummer, en så kallad kodnyckel, ska bevaras hos den myndighet som upprättat den i 20 år efter utlämnandet av uppgifterna som kodnyckeln avser. Tiden föreslogs kunna förlängas efter beslut av den myndighet som upprättat den eller efter ansökan från den som använder kodnyckeln.

En motsvarande reglering avseende kodnyckelförfarande föreslogs i lagen om forskningsdatabaser (se avsnitt 6.3.9).

Forskningssekretess

Registerforskningsutredningen lämnade förslag om förstärkning av sekretesskyddet i forskning genom ett förslag till bestämmelse om forskningssekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Den föreslagna bestämmelsen innebär att personuppgifter avseende enskilds personliga och ekonomiska förhållanden som samlas in för forskning alltid ska vara skyddade av absolut sekretess. Sekretess ska alltså alltid gälla, utan att någon riskbedömning avseende skada eller men behöver göras. För uppgift i allmän handling föreslogs sekretessen gälla i 70 år om uppgiften avser en enskilds personliga förhållanden och annars i högst 20 år. Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet ska den enligt förslaget vara tillämplig även hos den mottagande myndigheten.

Vidare föreslogs att det ska finnas en sekretessbrytande bestämmelse som innebär att uppgifterna, om vissa villkor är uppfyllda, kan lämnas ut till annan forskning samt för utredning av oredlighet i

forskning eller för att yttrande ska kunna lämnas i samband med sådan utredning. Förutsättningen för att uppgifterna i sådana fall ska kunna lämnas ut är att det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denna lider men.

Det ska enligt föreslagna ändringar i andra paragrafer i OSL vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott. Forskningssekretessen föreslogs också gälla i verksamhet som avser förande av eller uttag ur databaser enligt den föreslagna lagen om forskningsdatabaser (se avsnitt 6.3.17).

Regleringsbrev

Registerforskningsutredningen föreslog att regeringen i regleringsbrev till statliga universitet och högskolor skulle uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandling av personuppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.

6.2.3. Remissbehandling

Betänkandet Unik kunskap genom registerforskning skickades på remiss till berörda instanser. Drygt 90 remissvar kom in under början av år 2015 (se vidare avsnitt 6.4). Någon beredning av remissyttrandena har inte gjorts.

6.3. Förslaget till lag om forskningsdatabaser

6.3.1. Reglering genom en lag och kompletterande förordningar

Lag och förordningar

I betänkandet Unik kunskap genom registerforskning lämnade utredaren ett förslag till lag om forskningsdatabaser. Lagen skulle ge stöd för statliga universitet eller högskolor som omfattas av högskolelagen och andra statliga myndigheter som har i uppdrag att bedriva forskning att utföra behandling av personuppgifter i forsk-

ningsdatabaser.5 Syftet med den föreslagna lagen om forskningsdatabaser är enligt utredaren bl.a. att möjliggöra många olika typer av databaser: databaser som helt baseras på uppgifter som samlats in direkt från enskilda personer, på uppgifter som hämtas från andra register eller, vilket enligt utredaren torde bli vanligast, på en kombination av registeruppgifter och uppgifter som samlats in direkt från enskilda.6

I den föreslagna lagen anges vissa generella regler för forskningsdatabaser. Vidare skulle varje databas regleras i en förordning med bestämmelser om vad som närmare ska gälla, till exempel ändamål och innehåll.7

När det gäller den valda lösningen för regleringen diskuterade utredaren ifall bestämmelser om forskningsdatabaser bör regleras genom lag eller förordning. Utredaren refererade till tidigare lagstiftningsärenden där det konstaterats att det bör vara en målsättning att i de fall register med ett stort antal registrerade och ett känsligt innehåll inrättas ska bestämmelserna meddelas i form av lag. Utredaren ansåg därför att en reglering som möjliggör personuppgiftsbehandling i forskningsdatabaser bör ha lagform. 8

Utredaren ansåg dock att forskningsdatabaser inte utgör ett sådant betydande intrång i den personliga integriteten att det på grund av bestämmelsen i 2 kap. 6 § andra stycket regeringsformen skulle krävas en särskild lag för varje forskningsdatabas.9 Utredaren konstaterade att det redan finns registerlagar för existerande forskningsdatabaser som t.ex. lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen), lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) och lagen om rättspsykiatriskt forskningsregister. Sådana författningar reglerar ofta i detalj vilken information som får behandlas, vilka som får ha tillgång till uppgifterna och hur det får användas. Utredaren noterade att systemändringar då måste föregås av lagändringar, vilket kan göra ett system med lagreglering av varje enskild forskningsdatabas stelbent.

5 Angående begreppet forskningsdatabaser, se kapitel 3 i detta betänkande. 6SOU 2014:45 s. 440. 7 Utredaren diskuterar normgivningsmakten och regeringens möjligheter att meddela föreskrifter om forskningsdatabaser, m.m., se SOU 2014:45 s. 455 f. 8SOU 2014:45 s. 422. 9SOU 2014:45 s. 264 ff.

Det skulle enligt utredaren kunna innebära svårigheter att anpassa bestämmelserna efter det verkliga behovet hos dem som ska använda uppgifterna för forskning.10

Registerforskningsutredningens förslag till lag om forskningsdatabaser innehåller allmänna bestämmelser om bl.a. ändamål, innehåll, sökbegrepp, direktåtkomst, intern elektronisk tillgång, gallring och villkor för utlämnande av uppgifter från forskningsdatabasen. Utredaren ansåg att det i de kompletterande förordningarna skulle finnas mer detaljerade bestämmelser och specifika regleringar för varje databas.11

Beredning av Vetenskapsrådet och beslut av regeringen

Registerforskningsutredningen föreslog att Vetenskapsrådet ska ges i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige och göra en framställan till regeringen om detta. Regeringen ska då enligt utredaren pröva om införandet av de föreslagna databaserna faller inom ramen för vad som är tillåtet enligt 2 kap. 6 § RF, artikel 8 i Europakonventionen och personuppgiftslagen. Om så är fallet och regeringen i övrigt anser förslagen vara lämpliga, ska regeringen besluta om de förordningar som närmare ska reglera verksamheten. Enligt utredaren kommer det att krävas att bestämmelserna anpassas till varje enskild forskningsdatabas eftersom behovet av forskningsdatabaser kan uppkomma inom alla forskningsområden med stor spännvidd av ändamål.12

Registerforskningsutredningen gjorde bedömningen att det inte vore lämpligt att utvidga etikprövningslagens tillämpningsområde till att även omfatta uppbyggnad av forskningsdatabaser (se avsnitt 6.3.7). Däremot ansåg utredaren att etiska överväganden av motsvarande slag som vid etikprövning, kommer att göras vid den beredning som Vetenskapsrådet föreslogs göra och den prövning som det sedan är tänkt att regeringen ska göra inför att en ny databasförordning ska införas. Utredaren påtalade att regeringen i processen kommer att ha

10SOU 2014:45 s. 423. 11SOU 2014:45 s. 423. 12 SOU 2014 :45 s. 424 f.

möjlighet att inhämta yttranden från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att belysa föreslagets etiska aspekter.13

En forskningsdatabas per forskningsfält

Utredaren redovisade vidare bland annat följande tankar när det gäller forskningsdatabaserna. Det ska endast finnas en forskningsdatabas för varje större forskningsfält i Sverige och databasen ska kunna användas av forskare i hela Sverige. Finansieringen av databasen ska för att garantera långsiktighet och kvalitet vara säkerställd för i vart fall åtta år. Den myndighet som ska föra databasen ska ha kompetens och tillräckliga resurser för att behandla ansökningar om uttag ur forskningsdatabasen inom rimlig tid och utlämnande av personuppgifter till forskningsprojekt ska kunna göras till rimliga kostnader. Ett vetenskapligt råd bör vara knutet till forskningsdatabasen och detta bör vara ansvarigt för uppbyggnad och utveckling samt ha möjlighet att behandla frågor av etisk karaktär som kan uppkomma i samband med databasen. Vetenskapsrådet ska ansvara för en regelbunden utvärdering av de databaser som etableras med stöd av den föreslagna lagen.

6.3.2. Statliga myndigheter ska kunna vara ansvariga för forskningsdatabaser

Statliga universitet och högskolor som omfattas av högskolelagen och andra statliga myndigheter som har i uppdrag att bedriva forskning föreslogs få utföra behandling av personuppgifter i en forskningsdatabas för att skapa underlag för forskningsprojekt och lämna ut uppgifter till forskningsprojekt.

Under utredningen av frågan om vem som ska få föra forskningsdatabaser var Registerforskningsutredningen i kontakt med statliga universitet och högskolor som omfattas av högskolelagen. Dessa bekräftade då behovet av att bygga upp databaser för olika framtida forskningsprojekt.

13 SOU 2014 :45 s. 425.

Utredaren gjorde bedömningen att statliga universitet och högskolor också är lämpliga för att behandla personuppgifter i forskningsdatabaser i syfte att uppgifterna ska få användas i framtida forskningsprojekt. Utredaren gjorde vidare bedömningen att även andra statliga myndigheter kan ha behov av att bygga upp databaser med uppgifter som kan användas för framtida forskning. Brottsförebyggande rådet (Brå) och IFAU t.ex., bör kunna vara ansvariga för forskningsdatabaser enligt den föreslagna lagen.14

När det gäller möjlighet för andra än statliga myndigheter att bygga upp forskningsdatabaser för framtida forskning ansåg utredaren att det bör finnas någon form av grundläggande krav på tystnadsplikt inom forskning i privat regi innan det kan bli aktuellt för forskningshuvudmän inom enskilt bedriven forskning att bygga upp forskningsdatabaser.15

6.3.3. Definitioner

I lagförslaget finns en bestämmelse med definitioner av forskningsdatabas och forskning.

Forskningsdatabas definierades som en databas (uppgiftssamling)

med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.

Forskning angavs vara detsamma som enligt etikprövningslagen.

I 2 § etikprövningslagen stadgas att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

6.3.4. Ändamål och utlämnande

Personuppgifter får enligt en föreslagen ändamålsbestämmelse behandlas för att skapa underlag för forskning och att lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt

14 Se bl.a. SOU 2014:45 s. 428 f. 15SOU 2014:45 s. 429 f.

etikprövningslagen. Ingen begränsning till att etikprövning bara ska göras när det gäller känsliga personuppgifter föreslås. Utredaren gjorde bedömningen att uppgifter bör kunna lämnas ut såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs i privat regi.

En bestämmelse föreslogs som stadgar att personuppgifter också får lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Dessutom föreslogs att personuppgifter som registrerats enligt lagen skulle få lämnas ut till den registrerade själv, dock inte i fråga om personuppgifter som inte direkt kan hänföras till en person.

Gällande utlämning av personuppgifter föreslogs vidare att uppgifter skulle få lämnas ut om det finns en skyldighet i lag. Denna bestämmelse föreslogs för att det inte skulle uppstå konflikt mellan bestämmelsen i den föreslagna lagen och exempelvis bestämmelser i annan lag som gäller så kallad uppgiftsskyldighet.16

En hänvisning till 9 § första stycket d och andra stycket personuppgiftslagen föreslogs i lagen om forskningsdatabaser. Där stadgas att den personuppgiftsansvarige ska se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, den så kallade finalitetsprincipen. I 9 § andra stycket personuppgiftslagen finns det så kallade forskningsundantaget. Enligt detta gäller i fråga om första stycket d att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Ett alternativ som utredaren nämner hade varit att föreslå en reglering om att uppgifter bara får behandlas för sådana ändamål som anges i lagen. Den typen av bestämmelse finns i LifeGene-lagen. Den föreslagna regleringen innebär jämfört med detta en utvidgning av de ändamål som en uppgift i en forskningsdatabas kan lämnas ut till.

Utredaren ansåg att integritetsskyddet kan upprätthållas även om uppgifter kommer att lämnas ut med stöd av finalitetsprincipen och forskningsundantaget. Som skäl angavs följande.

  • Uppgifter får endast lämnas ut för forskningsändamål och för granskning av forskning.

16SOU 2014:45 s. 438.

  • Samma sekretess kommer gälla hos den mottagande myndigheten vid utlämnande till en annan myndighet.
  • Uppgifter till enskild kan lämnas med förbehåll enligt 10 kap. 14 §

OSL.

  • Ett krav på etikgodkännande kommer att gälla.17

6.3.5. Databasens innehåll

I lagförslaget finns en bestämmelse om databasens innehåll som definierar vilka personuppgifter som ska få samlas i en databas. Regleringen av databasens innehåll kopplas till ändamålsbestämmelsen på så sätt att det är tänkt att vara tydligt att endast de uppgifter som är relevanta för ändamålet får behandlas i databasen. En forskningsdatabas ska således endast få innehålla de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas enligt den föreslagna ändamålsbestämmelsen, alltså för att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till forskningsprojekt.

Enligt utredaren är det inte möjligt att i den föreslagna lagen om forskningsdatabaser ange vilka uppgifter som ska vara tillåtna i de olika databaser som kan etableras med stöd av lagen. Utredaren föreslog i stället att regeringen i respektive registerförordning närmare ska bestämma vad som får föras in i databasen och om det ska krävas samtycke från den person som uppgifterna avser.18

6.3.6. Insamling av uppgifter

Samtycke när uppgifter samlas in från enskilda

Registerforskningsutredningen föreslår att personuppgifter som samlas in direkt från den enskilde endast får behandlas om han eller hon har lämnat ett vad man betecknar informerat uttryckligt samtycke till behandlingen. Med samtycke skulle enligt utredaren avses detsamma som enligt personuppgiftslagen. Det ska alltså vara fråga om en frivillig, särskild, otvetydig viljeyttring genom vilken den

17SOU 2014:45 s. 439. 18SOU 2014:45 s. 441.

registrerade, efter att ha fått viss information som framgår av lagen, godtar behandlingen av personuppgifter som rör honom eller henne. Samtycket måste ha kommit till uttryck på något sätt som är möjligt för en utomstående att iaktta. Utredaren poängterade att den enskilde kan samtycka till att kompletterande uppgifter hämtas från olika register.19

Utredaren föreslog att samma rätt till återkallelse av samtycke som enligt personuppgiftslagen ska gälla. Enligt 12 § personuppgiftslagen innebär ett återkallande av samtycke att ytterligare personuppgifter om den registrerade därefter inte får behandlas. Eftersom bestämmelsen i personuppgiftslagen endast gäller samtycken som lämnats enligt personuppgiftslagens bestämmelser föreslogs att det i lagen om forskningsdatabaser särskilt ska anges att bestämmelsen är tillämplig för samtycken som samlas in direkt från den enskilde. När det gäller behandling av personuppgifter som inhämtas från någon annan källa än den enskilde föreslogs att bestämmelser tas i en förordning anpassad till varje enskild forskningsdatabas.20

Information när uppgifter samlas in från enskilda

Registerforskningsutredningen föreslog bestämmelser om information vid insamling av personuppgifter. Det föreslogs att innan en person lämnar sitt samtycke ska han eller hon ha informerats om att det är frivilligt att lämna uppgifter, för vilka ändamål personuppgifterna får behandlas, vilka uppgifter som får registreras, vilka sekretess- och säkerhetsbestämmelser som gäller för databasen, vem som är personuppgiftsansvarig, hur länge uppgifterna kan komma att sparas, rätten till rättelse av uppgifterna, rätten till information enligt 26 § personuppgiftslagen, rätten till skadestånd samt rätten att få uppgifter utplånade. Vidare föreslogs att bestämmelserna i 26 § personuppgiftslagen om information efter ansökan inte skulle gälla i fråga om personuppgifter som inte direkt kan hänföras till en person.

Registerforskningsutredningen gjorde bedömningen att det är viktigt att den enskilde får tillräckligt med information för att kunna avgöra om han eller hon vill godkänna behandling av personuppgifter

19 SOU 2014 :45 s. 426. 20SOU 2014:45 s. 427.

i en forskningsdatabas. Det är enligt utredaren lämpligt med ytterligare krav på vilken information som ska lämnas till den enskilde innan samtycke ges utöver bestämmelserna i personuppgiftslagen.

När det gäller kravet på information om hur länge en uppgift i en forskningsdatabas kan komma att sparas kan det enligt Registerforskningsutredningen vara tillräckligt att ange vilka gallringsbestämmelser som gäller. Skälet för det ställningstagandet är att det kan vara svårt att bedöma hur länge en uppgift i en forskningsdatabas kan komma att behövas för sitt ändamål.

I betänkandet diskuteras 24 § personuppgiftslagen. Enligt denna bestämmelse ska den personuppgiftsansvarige lämna den registrerade information om behandlingen av uppgifterna när de registreras. Ett undantag till detta krav är om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Utredaren menar att undantaget från informationsplikten enligt 24 § personuppgiftslagen kommer att bli tillämpligt enligt den föreslagna lagen om forskningsdatabaser. Lagen om forskningsdatabaser i förening med de särskilda förordningar som ska gälla varje forskningsdatabas kommer enligt förslaget att innehålla mer information om vad en registrering innebär och vilka personer som kan bli registrerade. Enligt Registerforskningsutredningens bedömning motsvarar detta den information som ska ges enligt personuppgiftslagen.

Uppgifter från andra myndighetsregister

Det föreslogs att uppgifter som hämtats från andra myndighetsregister för de tillåtna ändamålen skulle få behandlas under förutsättning att uppgifterna inte direkt kan hänföras till en person. Regeringen eller den myndighet regeringen bestämmer skulle dock få meddela föreskrifter om att identifierbara uppgifter ska få behandlas.

6.3.7. Ingen etikprövning av forskningsdatabaser

Registerforskningsutredningen diskuterade om etikprövningslagen borde utvidgas till att gälla även etikprövning av forskningsdatabaser. Det övervägdes således om det vore lämpligt att utvidga etikprövningslagens tillämpningsområde så att etikprövningen inte endast

skulle avse ett visst projekt eller del av projekt utan också insamlingen av uppgifter avsedda för att utgöra underlag för framtida forskning. Utredaren drog slutsatsen att det skulle vara möjligt, men att det inte vore en lämplig lösning. Problemet att registerhållande myndigheter inte anser sig kunna lämna ut uppgifter till databaser där syftet är att uppgifterna ska användas till olika ännu inte specificerade forskningsprojekt skulle ändå kvarstå. I stället förutsatte utredaren att etiska överväganden ska göras vid Vetenskapsrådets beredning och regeringens beslut (se avsnitt 6.3.1).21

Inget utlämnande genom direktåtkomst

Registerforskningsutredningen föreslog att utlämnande genom direktåtkomst till personuppgifter i databasen inte skulle få förekomma. Utredaren konstaterade att effektivitetsskäl talade för en direktåtkomst mellan den myndighet som för databasen och den myndighet som ska använda uppgifterna för specifika forskningsprojekt. Av integritetsskäl ansåg utredaren dock att direktåtkomst inte ska tillåtas eftersom direktåtkomst för en myndighet som ska använda personuppgifterna i en databas skulle innebära att myndigheten får tillgång till personuppgifter, även känsliga personuppgifter, om en stor mängd personer utan att den mottagande myndigheten kommer att ha ett egentligt behov av samtliga uppgifter. Vidare angav utredaren att direktåtkomst skulle innebära att båda myndigheterna skulle göra en sekretessprövning avseende samma material och att risken då ökar för att sekretessbestämmelsen tillämpas på olika sätt.22

6.3.8. Förhållandet till personuppgiftslagen och personuppgiftsansvar

När det gäller förhållandet till personuppgiftslagen föreslogs att det i lagen om forskningsdatabaser skulle stadgas att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen eller föreskrifter som meddelats med stöd av lagen.

21SOU 2014:45 s. 362, 420 och 424 f. 22SOU 2014:45 s. 443.

De statliga myndigheter som utför behandlingen av personuppgifter i forskningsdatabaserna föreslogs vara personuppgiftsansvariga enligt personuppgiftslagen.

6.3.9. Kodnyckelförfarande

Utredaren konstaterade att uppgifter från forskningsdatabaser i de flesta fall inte direkt kan hänföras till en enskild, utan kommer att lämnas ut i kodad form. För att möjliggöra senare uppdatering av uppgifterna föreslog Registerforskningsutredningen att den som är ansvarig för forskningsdatabasen vid utlämnande av kodade uppgifter ska förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning.

Eftersom det inte alltid är möjligt för en forskare att förutse när behov av senare uppdatering kan uppkomma föreslogs att det ska vara obligatoriskt för den som är ansvarig för forskningsdatabasen att bevara en förteckning över beteckning och personnummer eller annan identitetsbeteckning (en kodnyckel) i 20 år. Tiden föreslogs därefter kunna förlängas på begäran av den forskningshuvudman som den upprättades för eller av annan forskningshuvudman som använder uppgifter som kodnyckeln avser i sin forskning.

Vidare ska enligt förslaget den myndighet som ansvarar för registret också på eget initiativ, om behov finns, besluta att tiden för bevarande av kodnyckeln ska förlängas.23

6.3.10. Rättelse m.m.

Om en uppgift rättats, blockerats eller utplånats i forskningsdatabasen, ska den personuppgiftsansvariga myndigheten enligt förslaget vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnas ut till.

Vidare föreslogs att den som fått kodade personuppgifter inte behöver lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Det föreslogs även att det ska stadgas att den som behandlar uppgifterna

23SOU 2014:45 s. 440 f.

inte behöver rätta, blockera eller utlåna dessa på begäran av den registrerade.

6.3.11. Sökbegrepp

Utredaren poängterar att regeringen inför inrättandet av en forskningsdatabas noggrant ska pröva för vilka ändamål uppgifterna i databasen ska få behandlas. I förordning ska också specificeras vilka uppgifter och kategorier av uppgifter som får ingå i databasen. Eftersom endast uppgifter som är nödvändiga för databasens ändamål ska få förekomma i denna innebär det att innehållet i databasen och därmed också möjliga sökbegrepp är noga avvägt och begränsat.

Utredaren drar slutsatsen att för att databasen ska vara användbar och ändamålsenlig bör det inte ställas upp några begränsningar av vilka sökbegrepp som får användas.24 I den föreslagna bestämmelsen anges att som sökbegrepp får användas uppgifter som enligt förslaget får ingå i en forskningsdatabas.

6.3.12. Förbud mot bakvägsidentifiering

Registerforskningsutredningen föreslog ett förbud mot bakvägsidentifiering. Enligt förslaget får personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av den föreslagna lagen om forskningsdatabaser inte behandlas i syfte att röja en persons identitet. Förbudet föreslogs vara straffsanktionerat och kunna leda till böter eller fängelse i högst ett år.

Utgångspunkten är att när personuppgifter i en forskningsdatabas eller en del därav hämtas från ett myndighetsregister är uppgifterna som lämnas ut till databasen kodade. Kodnyckeln bevaras hos den utlämnande myndigheten och är inte tillgänglig för den som är ansvarig för forskningsdatabasen. Dock utesluter detta enligt utredaren inte möjligheten att identifiera en enskild person i det kodade materialet. Sammanförandet av ett antal variabler om en person medför alltid en risk för att personens identitet röjs. Med anledning av detta föreslogs ett förbud mot behandling av kodade personuppgifter i syfte att röja en persons identitet.25

24SOU 2014:45 s. 441. 25SOU 2014:45 s. 443 f.

Förbudet föreslogs gälla vid all behandling av kodade uppgifter, det vill säga både för dem som hanterar kodade uppgifter i forskningsdatabasen och för dem som tar emot kodade uppgifter från en forskningsdatabas.

6.3.13. Intern elektronisk åtkomst

Registerforskningsutredningen lämnade förslag till en bestämmelse om begränsning av intern elektronisk åtkomst. Enligt förslaget ska den personuppgiftsansvarige begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.

Syftet är enligt utredaren att stärka integritetsskyddet för dem vars personuppgifter behandlas i forskningsdatabasen genom att begränsa antalet personer som har rätt att ha åtkomst till uppgifterna samt att begränsa deras hantering av uppgifterna till det som är nödvändigt för att uppfylla ändamålet med databasen.

6.3.14. Gallring

En bestämmelse om gallring föreslogs av Registerforskningsutredningen. Enligt denna bestämmelse ska gallring göras av personuppgifter som inte längre behövs för ändamålen att skapa underlag för olika forskningsprojekt och lämna ut uppgifter till forskningsprojekt som etikprövats. Regeringen eller den myndighet regeringen bestämmer föreslogs ha möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utredaren pekar på att olika intressen ställs mot varandra. Argumenten för en specialreglering med gallring som utgångspunkt anges vara följande. Ett stort antal personuppgifter, även känsliga uppgifter, kan finnas i de databaser som möjliggörs genom lagen om forskningsdatabaser och integritetsskyddsaspekterna talar därför för gallring. Uppgifterna ska inte användas vid myndighetsutövning mot enskilda individer. Kravet på insyn och kontroll av myndighetens verksamhet är därför inte så starkt.

Argumenten som i stället talar för att arkivlagens (1990:782) principer om bevarande ska vara rådande anges vara följande. Många forskningsprojekt kräver att forskaren har tillgång till uppgifter som ligger långt tillbaka i tiden. Syftet med den föreslagna lagen är att möjliggöra insamlandet av personuppgifter som ska kunna användas i olika ännu inte specificerade forskningsprojekt. Det är därför svårt att fastställa när uppgifterna inte längre behövs i databasen. Dessutom är möjligheten att granska tidigare utförd forskning viktig.

Registerforskningsutredningen konstaterar att ändamålet med personuppgiftsbehandling enligt den föreslagna lagen om forskningsdatabaser både är att skapa underlag för olika forskningsprojekt och att lämna ut uppgifter till olika forskningsprojekt. Eftersom detta ändamål kräver att uppgifter bevaras under lång tid för att uppgifterna ska kunna användas i forskning för exempelvis longitudinella studier finns enligt utredaren stöd för att bevara uppgifter för en lång tid framöver. Dock poängteras att det är viktigt att uppgifter som inte längre behövs för ändamålet gallras.

Möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter föreslogs med hänvisning till att det i registerförfattningar är vanligt med en sådan reglering.

6.3.15. Registerutdrag

Registerforskningsutredningen föreslog ett undantag från rätten enligt personuppgiftslagen att få ett registerutdrag där det framgår om personuppgifter om honom eller henne behandlas och i så fall vilka uppgifter. Enligt förslaget ska skyldigheten att lämna information endast gälla i de fall uppgifterna som behandlas i forskningsdatabasen är direkt hänförliga till en person och inte i det fallet kodade uppgifter överlämnats från andra myndighetsregister. Som skäl för förslaget anges att en skyldighet att lämna ut registerutdrag beträffande kodade uppgifter skulle innebära att den personuppgiftsansvarige skulle vara tvungen att identifiera uppgifterna, vilket i sig skulle innebära ett integritetsintrång.

6.3.16. Rättelse och skadestånd

Det föreslogs att bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter som äger rum i strid med den föreslagna lagen.

Enligt 28 § personuppgiftslagen har den registrerades rätt att på begäran få personuppgifter korrigerade om de inte har behandlats på ett rättsenligt sätt. Den personuppgiftsansvarige har då skyldighet att, under vissa förutsättningar, underrätta tredje man, till vilken uppgifterna lämnats ut, om korrigeringsåtgärderna.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. I andra stycket stadgas om jämkning av ersättningsskyldighet.

Dessa bestämmelser gäller endast vid behandling av personuppgifter i strid med personuppgiftslagen eller föreskrifter som utfärdats med stöd av lagen. I betänkandetexten står att det i den föreslagna lagen om forskningsdatabaser bör anges att bestämmelserna om rättelse och skadestånd tillämpas på motsvarande sätt som i personuppgiftslagen vid behandling av personuppgifter i strid med den föreslagna lagen.26

6.3.17. Sekretess

Uppgifterna i en forskningsdatabas ska enligt förslaget till bestämmelse om forskningssekretess i OSL skyddas av absolut sekretess, men med vissa undantag. Den ovan nämnda (avsnitt 6.2.2) forskningssekretessen föreslogs således gälla också för uppgifter i en forskningsdatabas som förs med stöd av den föreslagna lagen om forskningsdatabaser.

Utredaren menade att det är tveksamt om den verksamhet som kommer att bedrivas enligt den föreslagna lagen – insamlande och utlämnande av uppgifter för forskningsändamål – kan sägas falla in under begreppet forskningsverksamhet.27 För att det ska bli tydligt att sekretessbestämmelsen är tillämplig för uppgifter i en forskningsdatabas ansåg utredaren att det bör anges särskilt i bestämmelsen.

26SOU 2014:45 s. 452. 27 Jfr. vår användning av begreppet forskning, se kapitel 3 i detta betänkande.

Utredaren gjorde vidare bedömningen att en bestämmelse bör införas i de särskilda förordningarna som ska gälla för varje forskningsdatabas som stadgar att forskningsdatabasen administreras i en särskilt avgränsad enhet hos myndigheten så att det inte ska råda någon tvekan om att den stränga forskningssekretessen är tillämplig för databasen.28

6.3.18. Sambearbetning

Registerforskningsutredningen föreslog ingen generell bestämmelse om sambearbetning av uppgifter utan konstaterade att sambearbetning med uppgifter från en forskningsdatabas med andra uppgifter bör vara tillåtet så länge bearbetningen håller sig inom ramen för det ändamål som anges i den föreslagna lagen om forskningsdatabaser och den förordning som enligt förslaget ska införas för varje forskningsdatabas.

6.3.19. Kompletterande förordningar

Registerforskningsutredningens förslag bygger på att den föreslagna lagen om forskningsdatabaser ska kompletteras med en förordning för varje databas. I lagen om forskningsdatabaser föreslogs en bestämmelse som stadgar vilka föreskrifter regeringen får meddela. Enligt denna bestämmelse får regeringen meddela ytterligare föreskrifter om – vilka statliga myndigheter som får föra forskningsdatabaser enligt

lagen om forskningsdatabaser, – begränsning av de föreslagna ändamålen som personuppgifter i

forskningsdatabasen får behandlas för, – begränsningar av de uppgifter som en forskningsdatabas får

innehålla enligt den föreslagna bestämmelsen om innehåll (endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas), – begränsningar vid behandling genom utlämnande av uppgifter från

en forskningsdatabas,

28SOU 2014:45 s. 455.

– uppgiftsskyldighet, och – begränsningar i rätten till intern elektronisk åtkomst.

När det gäller begränsningar vid behandling genom utlämnande av uppgifter gjorde utredaren bedömningen att utlämnande vanligtvis ska avse personuppgifter som inte är direkt hänförliga till den enskilde men att det kan finnas fall när det är nödvändigt för forskaren att identifiera enskilda individer. Utredaren ansåg därför att det bör regleras mer ingående i förordning på vilket sätt uppgifter får lämnas ut från en forskningsdatabas.29

När det gäller uppgiftsskyldighet angavs att syftet är att tillförsäkra den myndighet som för en forskningsdatabas tillgång till uppgifter ur andra myndigheters register. Meningen är enligt utredaren att regeringen i de fall det är nödvändigt ska ålägga myndigheter att lämna uppgifter till den myndighet som för forskningsdatabasen. Utredaren ansåg att det bör fastställas vilka myndigheter som ska vara skyldiga att lämna uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.30

6.4. Remissvar

6.4.1. Allmänna synpunkter

Betänkandet Unik kunskap genom registerforskning var föremål för remissbehandling. Drygt 90 remissyttranden lämnades från myndigheter och organisationer i början av år 2015. En övervägande del av remissinstanserna yttrar sig positivt om utredningens förslag. En stor del av remissinstanserna välkomnar möjligheten att inrätta allmänna forskningsdatabaser och att dessa kan få det lagliga stöd som saknas i dag. Bland annat betonas att förslagen kommer att underlätta framtida registerbaserad forskning genom att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.

Här följer en kortfattad uppräkning av utvalda delar av vissa remissinstansernas allmänna synpunkter. Remissyttrandena finns ingivna till Regeringskansliet.

29SOU 2014:45 s. 435. 30SOU 2014:45 s. 453 f.

Kammarrätten i Stockholm instämmer i betänkandets slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser är viktiga för framtida forskning, och att det är angeläget att det finns ett tydligt lagstöd för verksamheten samt att den enskildes personliga integritet värnas.

Datainspektionen avstyrker förslaget till lag om forskningsdatabaser och anför bland annat följande. Förslaget om lagreglering av forskningsdatabaser innebär att alla typer av personuppgifter kommer att kunna samlas in för forskningsändamål som inte är tydligt avgränsade eller specificerade. Det möjliggör en närgången kartläggning av enskildas privatliv, familjeförhållanden, sjukdomshistoria, arbetsliv, brottsuppgifter m.m. I förslaget saknas integritetsskyddande bestämmelser som står i proportion till det integritetsintrång den enskilde utsätts för. Enskilda bör i vart fall tillförsäkras en rätt att få generell information om forskningsdatabasernas existens och den personuppgiftsbehandling som utförs. Enskilda bör också ha en självklar rätt att motsätta sig att hans eller hennes personuppgifter lagras och behandlas för forskningsändamål i forskningsdatabaser.

Datainspektionen ifrågasätter lämpligheten i att universitetet och högskolor ska få föra egna register för befolkningsbaserad forskning och vidhåller att dessa uppgiftssamlingar är av så pass känslig karaktär att de bör förvaltas av någon eller några myndigheter som inte själva direkt nyttjar uppgifterna.

Datainspektionen kritiserar vidare utredarens uppfattning att forskningsdatabaser inte utgör ett sådant intrång i den personliga integriteten att det kräver en särskild lag för varje forskningsdatabas. Datainspektionen understryker i detta sammanhang att effekten av att samla in och lagra ett stort antal personuppgifter om ett stort antal individer blir att dessa individer utsätts för en närgången kartläggning och att detta omfattas av integritetsskyddet i 2 kap. 6 § RF. Det poängteras att denna effekt inträder direkt vid insamlingen och är helt oberoende av syftet med insamlingen och eventuellt efterföljande behandling.

Vidare menar Datainspektionen att utredarens uppfattning, att den största integritetsrisken vid behandling av personuppgifter i forskningsdatabaser är att uppgifter kan läcka ut och att enskilda kan bli utsatta för andras missaktning om personliga förhållanden blir kända, är felaktig. Datainspektionen poängterar när det gäller denna fråga att skyddet mot betydande intrång gäller gentemot det allmänna och att

det, för att ett betydande intrång ska anses föreligga, inte krävs att uppgifter sprids till obehöriga eller på annat sätt missbrukas. Som exempel nämner Datainspektionen att ett betydande intrång i den personliga integriteten kan uppstå redan i samband med en omfattande insamling av personuppgifter.

Enligt Datainspektionens mening uppfyller inte ändamålsbestämmelsen i förslaget till lag om forskningsdatabaser kraven på tillräckligt särskilda, uttryckligt angivna och berättigade ändamål i dataskyddsdirektivet vilket också leder till att rättsligt giltiga samtycken inte kan lämnas. Datainspektionen menar att utformningen av ändamålsbestämmelsen är avgörande för att bedöma om ändamålen i sig är godtagbara och behandlingen nödvändig och vilket integritetsintrång som är proportionerligt i förhållande till de givna ändamålen. Det är därför inte tillräckligt att frågan om begränsning av ändamålen regleras i förordning. Datainspektionen anser vidare att det saknas grund för att regelmässigt bevara kodnycklar i 20 år.

Justitiekanslern hänvisar till Datainspektionens remissvar och ställer sig bakom de bedömningar, synpunkter och farhågor som Datainspektionen lyfter fram i sitt remissvar.

Försvarsmakten delar inte den i utredningen uttalade uppfattningen att risken för brytande av sekretess är mindre vid forskning. Försvarsmakten uppger att beroende på vilka uppgifter som forskningen vill hantera kan individrelaterade uppgifter som omfattas av försvarssekretess, det vill säga skydd för rikets säkerhet, komma att omfattas av forskning. Vidare anför Försvarsmakten att den föreslagna uppgiftsskyldigheten för utlämnande myndighets kontra bestämmelserna om menprövning i OSL behöver tydliggöras.

Myndigheten för samhällsskydd och beredskap (MSB) förklarar att myndigheten i grunden är positiv till att uppgifter i olika register används i forskningen. MSB anser dock att betänkandet saknar en konsekvensanalys och en riskanalys utifrån ett nationellt perspektiv vad gäller informationssäkerheten. MSB menar att en analys som omfattar en beskrivning av nuläget beträffande informationssäkerheten i forskningsmiljöerna därför bör göras, inklusive en riskanalys som grundligt går igenom och värderar de risker som t.ex. universitet och högskolor är utsatta för genom sin informationshantering.

Socialstyrelsen tillstyrker i huvudsak utredningens förslag som möjliggör upprättande av forskningsdatabaser. Socialstyrelsen anser dock att flera juridiska frågor är otillräckligt belysta i utredningen och

menar att en stor del av förutsättningarna för de förslag som utredaren

lägger fram kräver ytterligare utredning innan de kan genomföras. Vidare

tillstyrker Socialstyrelsen förslaget att arkivlagen ska gälla för

forskningsdatabaser. Socialstyrelsen anser dock att förslaget gällande gallring är otydligt formulerat och riskerar att öppna upp för godtyckliga resonemang. Socialstyrelsen menar att det i utredningen är oklart hur datasäkerheten ska säkerställas och anser att frågan är mycket viktig.

Läkemedelsverket bedömer att många av utredningens förslag kan förbättra möjligheterna till registerbaserad forskning i Sverige. Läkemedelsverket pekar på att förutom samhällsnyttan av registerbaserad forskning, inte minst inom det medicinska området, är användandet av registerdata nödvändigt för att Läkemedelsverket ska kunna lösa sina uppgifter. Detta kan enligt Läkemedelsverket göras inom ramen för verkets rutinmässiga verksamhet eller genom specifika forskningsprojekt för uppföljning av läkemedelseffekter och säkerhet. Läkemedelsverket anser att det är värdefullt att tiden för bevarande av kodnycklar förlängs.

Myndigheten för vårdanalys (Vårdanalys) instämmer i att registerforskningen innebär unika möjligheter till kunskap som kan vara av stort värde för patienter, brukar och medborgare. Vårdanalys anser att det därför är välkommet att det skapas bättre och tydligare förutsättningar för forskare att hantera och få tillgång till data. Lagförslaget bör enligt Vårdanalys samtidigt åtföljas av tillsyn och uppföljning och krav på att forskarsamhället stärker kompetensen om vad lagstiftningen innebär och vilka möjligheter och skyldigheter såväl lärosäten som de individuella forskarna har. Detta skulle leda till att man undviker att systemet fortsatt upplevs som otydligt och att missnöje eller bristande lagefterlevnad består.

Vårdanalys anser att lagändringarna i förslaget kan bidra till att det blir tydligare för både registerhållare och forskare. Det är därför angeläget att kraven skärpts avseende kompetensuppbyggnad när det gäller lagstiftning, etik, integritet och informationssäkerhet på lärosäten och bland forskare. Det anförs att vinsterna med utökade möjligheter till registerforskning belyses på ett bra sätt i betänkandet, men att samma vikt inte fästs vid de nackdelar i termer av integritetsintrång som kan komma att uppstå.

Vidare anser Vårdanalys att det är angeläget att det ställs krav på att registerhållarna säkerställer en god informationssäkerhet. Myndigheten

framhåller att det är angeläget att det görs regelbunden tillsyn av verksamheterna. Vårdanalys anser att det är viktigt att staten tar ansvar för att följa utvecklingen av forskningsdatabaserna, gör bedömningar kring behoven, användningen och nyttan, eventuell misskötsamhet eller missbruk av registren samt vidtar åtgärder om utvecklingen inte är ändamålsenlig.

Statens beredning för medicinsk utvärdering (SBU) bedömer att de föreslagna ändringarna i sekretesskyddet, etikgodkännande vid utlämning, bevarande av kodnycklar under 20 år hos den utlämnande myndigheten och en särskild lag om forskningsdatabaser sammantaget ger goda förutsättningar för forskare att bättre utnyttja register samtidigt som ett högt integritetsskydd upprätthålls.

Forskningsrådet för hälsa, arbetsliv och välfärd (Forte) anser att utredaren mycket bra belyst de problem, både juridiska och andra, som forskare i dag möter vid uppbyggnad av forskningsdatabaser. Forte anser att utredningen i grunden har hittat en rimlig avvägning mellan värdet av att kunna bygga upp långsiktiga forskningsdatabaser och behovet att skydda den personliga integriteten.

Tandvårds- och läkemedelsförmånsverket (TLV) ser positivt på att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål och att för sådana ändamål underlätta samberedning av registeruppgifter. TLV är även positivt till förslagen som syftar till att underlätta sammanställning av longitudinella data.

Inspektionen för socialförsäkringen (ISF) ställer sig positiv till de förslag som presenteras. ISF anser att utredningen väl beskriver såväl de stora fördelar som registerforskningen erbjuder som de olika risker som registerdata kan innebära utifrån integritetssynpunkt. Speciellt när det gäller forskning är de negativa integritetsaspekterna av användandet av administrativa registerdata begränsade. Den främsta risken från integritetssynpunkt med avidentifierade retrospektiva longitudinella registerdata är enligt ISF att en individs identitet röjs genom bakvägsidentifikation och att känsliga uppgifter om denne offentliggörs. ISF noterar att sådan bakvägsidentifiering enligt förslagen blir straffbelagd.

Lantmäteriet har förutom vissa synpunkter på den föreslagna lagen för forskningsdatabaser inga invändningar mot utredarens förslag. Lantmäteriet tillstyrker också utredarens förslag att stärka sekretessen i forskningsverksamhet och för forskningsdatabaser.

Enligt Försäkringskassan behöver forskningsdatabaser uppdateras i takt med att registerhållarens register utökas och utvecklas vilket kräver resurser. Vidare anser Försäkringskassan att man måste ta höjd för kvalitets- och underhållsarbete, likaså hur man ska rätta eventuella fel i databasernas innehåll.

Landstinget i Uppsala län välkomnar utredningen och anför att de förslag som presenteras i utredningen förhoppningsvis kan bidra till att klargöra men även förbättra förutsättningarna för registerforskningen framöver samtidigt som patienters och andra medborgares integritet säkerställs samt olika aktörers ansvar och befogenheter tydliggörs.

Södermanlands läns landsting ställer sig positivt till förslaget i helhet men anser att även landstinget och regioner bör kunna stå som värd för nationella forskningsdatabaser.

Jönköpings läns landsting (Region Jönköpings län) anser att vissa av förslagen ger ett alltför svagt integritetsskydd för individer när det gäller känsliga personuppgifter. I förlängningen skulle detta enligt landstinget kunna innebära minskat förtroende hos allmänheten för denna viktiga forskning vilket kan äventyra framtida forskningsmöjligheter. Vidare anser landstinget att det i utredning saknas en diskussion angående de rättsliga förutsättningarna för att bygga upp forskningsdatabaser utanför de statliga universiteten och högskolorna. Landstinget poängterar att det finns många forskningsdatabaser inom landstingen och regionerna och dessutom andra organisationsformer för lärosäten som bedriver forskning.

Kronobergs läns landsting anser att många frågor som tidigare varit otydliga klargörs. Enligt landstinget är andan i betänkandet att data ska bli mer tillgängliga för forskning och att gränserna för beslut skjuts längre från den enskilda individen. Landstinget anser att det är bra att göra data mer tillgängliga för forskning men att det samtidigt kräver en skärpning av sekretessen för den enskilda medborgaren. Det betonas att sekretess och skydd av individers integritet är viktigt i landstingets verksamhet.

Skåne läns landsting (Region Skåne) är mycket positivt till att registerforskning ges bättre förutsättningar, inte minst mot bakgrund av behovet att föra in mer kunskap och att utveckla landstingets hälso- och sjukvård men anser att utredningen i vissa delar behöver kompletteras.

Hallands läns landsting (Region Halland) anser att förslaget om lagändringar och arbetssätt för registerforskning är positivt. Vidare vill Region Halland understryka att det är ytterst viktigt att samtliga statliga myndigheter som har ansvar för register som även är användbara för forskning har ett uppdrag från regeringen att ge prioritet för registeruttag för forskningsändamål med den sekretess som föreslås i betänkandet för att förbättra möjligheterna för registerforskning.

Västra Götalands läns landsting anser att utredningen lägger fram flera viktiga förslag till förändringar som ska underlätta hanteringen av registerdata för forskningsändamål utan att hota personers integritet och sekretess. I huvudsak ställer sig Västra Götalandsregionen bakom inriktningen i förslagen men uppmärksammar några frågekomplex som enligt landstinget behöver beaktas och beskrivas ytterligare. Framför allt rör detta distinktionen beträffande rollerna för landstingsmyndigheter, sjukvården och för statliga forskningsmyndigheter beträffande framtagning och lagring av data för kvalitet och verksamhetsutveckling i myndighetsregister visavi motsvarande process för data i forskningsdatabaser.

Västmanlands läns landsting ställer sig positivt till de flesta av de föreslagna författningsförändringarna och andra förslag som utredningen för fram. Vissa förslag behöver enligt landstinget dock beredas ytterligare dels för att se över konsekvenserna av extra kostnader och ökad administration för vården, dels för att minimera risken för att den personliga integriteten ska äventyras. I synnerhet gäller detta förslaget om att inrätta nationella forskningsdatabaser.

Dalarnas läns landsting är positivt till att registerforskningen ges bättre förutsättningar samtidigt som skyddet för den enskildes integritet bör upprätthållas och förstärkas. Landstinget vill framhålla bland annat att förslaget om att införa en enda, heltäckande sekretessbestämmelse för personuppgifter i forskningsverksamhet är en angelägen förbättring. Landstinget anför vidare att finansieringsprincipen bör tillämpas eftersom förslag i utredningen innebär kostnader för sjukvårdshuvudmännen.

Jämtlands läns landsting (Region Jämtland Härjedalen) ställer sig i stort sett positivt till utredningen. Landstinget anför att registerforskning utgör en viktig källa till kunskap och det är därför av stor vikt att rutiner harmoniseras och även att ansvar tydligt anges. Landstinget har förhoppningen att förslagen kan leda till ett ökat utnyttjande av register i framtiden samtidigt som den personliga

integriteten bevaras. De unika svenska registren kan därmed ytterligare stärka Sveriges position som ledande inom detta område.

Statistiska centralbyrån (SCB) anser att uppgifter som samlats in för statistikproduktion så långt det är möjligt ska komma till användning för vetenskapliga ändamål. SCB är positiv till att det tydliggörs i myndighetens instruktion att man får bistå verksamhet inom det vetenskapliga området med uppgifter som behövs för forskningsändamål. Statistiska centralbyrån (SCB) anser att det inte finns behov av forskningsdatabaser baserade på befintliga register eftersom dessa uppgifter redan finns tillgängliga för forskning inom dagens regelverk. Dock anser SCB att det torde finnas möjlighet att skapa ett rättsligt stöd för upprättande av forskningsdatabaser för longitudinella studier där de registrerade har gett sitt samtycke att ingå i databasen om en sådan databas regleras på sätt som göra att ändamålet är preciserat i enlighet med de krav som ställs i dataskyddsdirektivet.

Uppsala universitet ser med tillfredsställelse på utredningens övergripande inriktning att underlätta forskning baserad på registerdata. Universitetet konstaterar att det i många sammanhang är en stor fördel för forskningen att få tillgång till omfattande datamaterial. Ambitionen att i ökad utsträckning tillgängliggöra befintliga register samt uppdra åt statistikansvariga myndigheter att också bistå forskningen med data välkomnas. Universitetet anser att det av resurseffektivitetsskäl är rationellt att återanvända uppgifter som har samlats in av myndigheter i deras verksamhet eller av andra forskningsprojekt. Vidare poängteras att det finns betydande kvalitativa vinster där det är till fördel att kunna använda sig av register som omfattar hela befolkningen och inte behöva gå vägen via studier som baseras på urval med allt vad det för med sig av bortfall, risk för ickerepresentativt urval och liknande. Universitetet anser dock att det i betänkandet saknas skrivningar som rör kvalitetsregister inom hälso- och sjukvården, vilka är av stor relevans för den kliniska forskningen.

Lunds universitet är till övervägande delar positivt inställt till förslagen och poängterar att svenska register kan, rätt utnyttjade och under kontrollerade former, bidra ytterst väsentligt till förbättrad hälsa och välfärd.

Göteborgs universitet stöder i det stora hela utredningens förslag och anser att avvägningen mellan att hitta lösningar för att skapa bättre förutsättningar för registerbaserad forskning och behovet av

skydd för den enskilda individens personliga integritet har gjorts på ett genomtänkt och rimligt sätt. Universitet anser vidare att förslagen rörande ny sekretessbestämmelse, ny lag om forskningsdatabaser samt etikprövningsnämndens prövning av dessa är väl avvägda och att absolut sekretess, med medföljande tystnadsplikt, samt en prövning i etikprövningsnämnden ger ett skydd för den enskilde samtidigt som forskningen kan få möjlighet att tillgodose behovet av att använda databaser för nya och tillkommande frågeställningar.

Stockholms universitet konstaterar att utredaren har genomfört ett gediget och konstruktivt arbete. Universitetet menar att detta bör leda till ökade möjligheter samt en ökad klarhet och rättssäkerhet vad gäller forskningens möjligheter att för angelägna forskningsändamål återanvända och kombinera data som ursprungligen insamlats för andra ändamål, t.ex. data insamlade av myndigheter för administrativa ändamål. Vidare bör det enligt universitetet även leda till större möjligheter att skapa forskningsdatabaser för framtida forskningsprojekt samt underlätta utlämnande av uppgifter för forskningsändamål samtidigt som skyddet för personlig integritet och sekretess säkerställs.

Universitetet påpekar dock att finansieringen av forskningsdatabaserna är något styvmoderligt behandlad. Universitet föreslår en process med avtal mellan respektive värduniversitet och Vetenskapsrådet om finansiering, organisation, och tillgänglighet, med säkerställd finansiering för åtta år i taget och utvärdering vart åttonde år. Universitetet anser att regelverket bör garantera databasernas långsiktiga fortbestånd tydligare än genom en omprövning vart åttonde år och anser att en långsiktig vetenskaplig kunskapsuppbyggnad måste vara fast institutionellt säkrad.

Stockholms universitet anser vidare att den föreslagna begränsningen av antalet databaser inom varje forskningsfält kräver noggranna överväganden för att inte riskera att forskningen hämmas inom vissa områden. Universitetet menar att det grundläggande i bedömningen av införandet av varje databas bör vara det vetenskapliga behovet.

Linköpings universitet anser sammantaget att förslagen är konstruktiva och väl genomarbetade. Universitetet välkomnar förslagen alltifrån vad gäller etikprövningsnämnden, kodnyckel i 20 år, underlättnad av bortfallsanalyser, regelverk för forskningsdatabaser till internationellt samarbete. Universitetet anser att förslagen både

beaktar rimlig integritetshänsyn och möjliggör nödvändig forskning. Samtidigt vill universitetet poängtera vikten av att se över finansieringen vid Regeringskansliets beredning av betänkandet.

Karolinska institutet ställer sig i huvudsak mycket positivt till de förslag till åtgärder som utredningen presenterat i syfte att förbättra tillgängligheten till och underlätta användningen av registeruppgifter inom forskningen. Karolinska institutet ser det som viktigt att SCB, Socialstyrelsen och andra relevanta registerhållande myndigheter ges en prioriterad uppgift att underlätta för den registerbaserade forskningen och att resurser kan frigöras så att denna uppgift kan fullgöras på ett effektivt sätt. Karolinska institutet anser att handläggningstiderna vid dessa myndigheter i dag ofta är orimligt långa. Karolinska institutet vill också uppmärksamma de svårigheter Svensk Nationell Datatjänst (SND) vid Göteborgs universitet och liknande initiativ har hamnat i när de försökt förstärka servicen till och underlätta för forskarna och hur denna problematik ska kunna åtgärdas. Karolinska Institutet stödjer i detta avseende utredningens uppfattning att denna fråga bör utredas vidare. Detta gäller likaledes utbytet och användningen av persondata mellan myndigheter som inte har som huvuduppgift att bedriva forskning.

Kungl. Tekniska högskolan anser att argumenten för införande av en särskild ny lag rörande forskningsdatabaser inte är tillräckligt starka utan menar att de oklarheter som finns i stället bör kunna lösas genom ändringar i OSL och annan befintlig lagstiftning.

Luleå tekniska universitet ställer sig positivt till förslagen och anför att det är i universitetets intresse att göra registerforskning mera lättillgänglig utan att tumma på viktiga forskningsetiska principer eftersom den här typen av forskning kan vara intressant att utveckla för vissa av universitetets forskningsämnen.

Karlstads universitet tillstyrker det föreliggande förslaget. Det är universitetets uppfattning att författningsförslagen kommer att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.

Linnéuniversitetet ställer sig övervägande positivt till betänkandets konstruktiva förslag till hur registerforskning ska stärkas och förenklas samtidigt som individers integritet ska tryggas. Om denna balans kan uppnås skulle förutsättningarna starkt öka för att skapa en unik kunskap som både leder till bättre vård nationellt och attraktiv

miljö för forskning och prövning internationellt. Linnéuniversitetet stöder de flesta av utredningens förslag.

Örebro universitet är i huvudsak positivt till förslagen och anser att de fyller sitt syfte att förbättra möjligheterna för registerbaserad forskning. Universitetet anser vidare att risken är liten för att de föreslagna förändringarna påverkar skyddet för den enskildes integritet, och att de är väl avvägda mot intresset att för forskningsändamål bättre utnyttja register. Örebro universitet anser dock att utformningen av reglerna kan medföra att data från enskilda forskningsstudier låses in i forskningsdatabaserna, med begränsad möjlighet för ansvariga för studierna att påverka användningen.

Mittuniversitetet välkomnar förslagen och anser att betänkandet i hög utsträckning tillgodoser universiteten och högskolornas behov och önskemål om åtgärder som förbättrar villkoren för registerbaserad forskning i Sverige.

Mälardalens högskola tillstyrker i huvudsak förslagen och ser stora möjligheter i att kunna utveckla den registerbaserade forskningen i enlighet med framförda förslag.

Vetenskapsrådet ställer sig positivt till utredningens förslag till förbättrade möjligheter för registerforskningen. Vetenskapsrådet vill understryka att integritetsfrågor har stor betydelse för forskning, inte minst vad gäller förankringen i samhället.

Regionala etikprövningsnämnden i Linköping framhåller att utredaren på ett förtjänstfullt sätt gjort en mycket grundlig analys av det aktuella problemområdet. Vissa av förslagen uppfattas dock enligt nämnden ge ett alltför svagt integritetsskydd för individer när det gäller behandling av känsliga personuppgifter. Nämnden anser att detta i förlängningen kan innebära risk för minskat förtroende hos allmänheten vilket skulle kunna begränsa framtida forskningsmöjligheter.

Regionala etikprövningsnämnden i Stockholm tillstyrker de förslag som förs fram i betänkandet och anser det positivt att registerbaserad forskning främjas.

Regionala etikprövningsnämnden i Umeå anser att de grundläggande tankarna förefaller goda och underlättar för registerforskningen med ett bibehållet integritetsskydd för forskningspersonerna. Etikprövningsnämnden tillstyrker därför i allt väsentligt förslagen.

Regionala etikprövningsnämnden i Lund tillstyrker förslaget att inrätta forskningsdatabaser men anser inte att dessa databaser ska

kunna tillföras uppgifter från myndighetsregister eftersom det utgör ett integritetsintrång för den enskilde som är alltför långtgående och inte kan överblickas. Dessutom anser nämnden att informationen från myndighetsregister inte behövs i forskningsregistren. Nämnden menar att det är lämpligare om sådana sammanställningar görs i varje enskilt fall när en forskare vill få del av data för en bestämd forskningsuppgift. Det är nämndens uppfattning att MONA-systemet31erbjuder många fördelar, inte minst när det gäller skyddet av forskningspersonernas integritet jämfört med andra i dag vanliga sätt att ge forskarna tillgång till data. Nämnden anser att om system liknande MONA för att ge forskare tillgång till data utvecklas, undviks att stora mängder data kopieras och sprids till olika forskare, med de integritetsrisker som detta kan medföra. Vidare anser nämnden att den som ansvarar för en forskningsdatabas bör åläggas skyldighet att ge tydlig information till allmänheten om forskningsdatabasens syfte, innehåll och arbetsformer, eftersom allmänhetens förtroende för forskningen i stor utsträckning är beroende av att tillräcklig och tydlig information finns tillgänglig om den forskning som pågår.

Riksarkivet tillstyrker att rättsliga hinder undanröjs och andra förslag genomförs för att möjliggöra registerbaserad forskning och uppbyggande av databasinfrastrukturer för olika typer av forskning. En sådan sekundär användning av information förutsattes redan vid inrättandet av de administrativa registren hos myndigheterna och sammanfaller med Riksarkivets inställning att arkiven ska kunna användas för samhällsnyttiga eller kulturella ändamål. Den kvalitativa skillnaden med en automatiserad behandling av information som bevaras i ett längre tidsperspektiv, innebär att forskning i olika delar av världen nu visar tidigare helt okända samband. Riksarkivet poängterar att användningen av personuppgifter även för registerbaserad forskning givetvis ska göras under iakttagande av regler om offentlighet och sekretess, registrering och arkivering och för ändamålet anpassad informationssäkerhet och skydd.

Arbetsmiljöverkets uppfattning är att forskning baserad på registeruppgifter kan ge mycket värdefulla bidrag till ökad kunskap. Arbetsmiljöverket anser att förslagen i betänkandet är angelägna och skulle stärka dessa möjligheter men poängterar att ökade krav på datakvalitet och nya krav på myndigheter ger upphov till ökade kostnader.

31 Angående MONA-systemet, se avsnitt 4.2.1.

Handikappförbunden anser att det är grundläggande för att människor med funktionsnedsättning och sjukdomar ska beredas möjlighet att leva på lika villkor som andra att forskningen kontinuerligt tillförs kunskaper. Förekomsten av och tillgången till olika register är en sådan kunskapsbas. Handikappförbunden ser därför i stort positivt på möjligheterna att utveckla och fördjupa kunskaperna inom områden som är viktiga för människor med funktionsnedsättning genom registerforskning. Det anförs att utredningens förslag kan öppna upp för ny forskning och longitudinella studier som kan gynna Handikappförbundens medlemsgrupper.

Handikappförbunden betonar att en nödvändig förutsättning dock är att den personliga integriteten är skyddad. Det anförs att utredningens förslag kommer att innebära ökad användning av uppgifter ur olika register och att uppgifter från register kan kombineras. För att detta inte ska medföra risker för individens integritet måste det enligt Handikappförbunden bland annat finnas tydliga ändamål för användning av uppgifter, god etikprövning och kontinuerlig uppföljning och utvärdering av sekretesskyddet.

Statens medicinsk-etiska råd anser att register är av stor betydelse för medicinsk forskning och för verksamhetsutveckling inom hälso- och sjukvården. Inom rådet finns emellertid också uppfattningen att det finns en viss övertro på den nytta som registerbaserad forskning kan resultera i, och att det inte är självklart att nyttan alltid uppväger de integritetsrisker som forskningen kan medföra.

Svenska Journalistförbundet avstyrker utredningens förslag om absolut sekretess för all form av forskningsverksamhet och anför att är en kraftigt höjd sekretessnivå som förbundet anser för långtgående. Vidare anser förbundet att det bör utredas om det är nödvändigt med en så stark sekretess för all form av forskning. Förbundet avstyrker vidare förslaget att tystnadsplikt ska omfatta uppgifter vid utredning av oredlighet i forskning. Sammantaget har inte utredningen på ett tillfredsställande sätt utrett den svåra avvägningen mellan å ena sidan intresset av allmänhetens insyn i registerforskning och å den andra sidan intresset av att skydda identiteten för de personer som omfattas av forskningen. Detta bör därför enligt Journalistförbundet utredas ytterligare.

Svenska läkaresällskapet ställer sig positivt till de principer till lagförändring och andra åtgärder som utredningen presenterar för att

i större utsträckning kunna ge registeransvariga myndigheter möjlighet att lämna ut uppgifter till forskningsändamål med bevarande av den enskildes integritet, ökade möjligheter till sambearbetning av registeruppgifter, förenklad etikprövning samt förslag till samordning och utveckling av nationell databasinfrastruktur. De konkreta förslagen förefaller enligt Svenska läkaresällskapet vara goda och uppdragen till myndigheter realistiska samtidigt som den personliga integriteten upprätthålls vid hantering av personuppgifter.

Sveriges akademikers centralorganisation (Saco) anser att förslagen huvudsakligen möter upp både intresset att det är värdefullt för både samhällsanalys och för den medicinska forskningen att det finns forskningsdatabaser samt att det är viktigt att sådana databaser skyddar de enskildas personliga integritet. Saco anser att förslagen ger en tydligare och mer sammanhållen reglering av registerforskningen.

Tjänstemännens centralorganisation (TCO) tillstyrker i huvudsak utredningens förslag med undantag av frågan om sekretessbrytande regler gällande såväl forskningsdatabaser som biobanksregister.

Swedish Initiative for Research on Microdata in the Social And Medical Sciences (SIMSAM) anser att det är viktigt att forskningsstöd ingår som en central del i registerhållande myndigheternas instruktioner. Vidare anser SIMSAM att tiden för bevarande av kodnycklar från registeruttag bör förlängas till minst 20 år. SIMSAM menar också att Socialstyrelsen bör ha en informationsdatabas med personnummer rörande var biologiska prover finns.

Stiftelsen för strategisk forskning (SSF) poängterar att Sverige under lång tid har haft en världsledande roll inom forskning där uppgifter från svenska patientregister används tack vare dessa i många avseenden unika register och att denna typ av forskning således innebär en stor konkurrensfördel för Sverige. SSF anser det därför positivt att det finns väl genomarbetade riktlinjer och regelverk i dessa frågor och att det är viktigt att underlätta för denna typ av forskning. SSF instämmer i förslagen.

Sveriges läkarförbund betonar vikten av att Statistiska centralbyrån och Socialstyrelsen ges ett tydligare uppdrag och ökade resurser för att prioritera att tillgängliggöra data från sina register för forskning.

Behovet av detta har lyfts fram både av denna utredning och av Utredningen om nationell samordning av kliniska studier.32 Sveriges läkarförbund ställer sig också bakom utredningens förslag att tillsätta en utredning om Svensk Nationell Datatjänsts framtid, ställning och finansiering.

Akademikerförbundet SSR anser att registerbaserad forskning generellt är en fantastisk källa till kunskap och att den komparativa fördel Sverige har i dessa välutvecklade register sedan lång tid tillbaka ska tas tillvara forskningsmässigt i största möjliga utsträckning, också med stöd av myndigheterna. SSR menar att det bör vara en självklar uppgift för våra myndigheter att bistå forskningen i största möjliga utsträckning. Vidare anser SSR att det är helt avgörande att utredningens förslag om ”att det är en prioriterad uppgift att bistå forskningen med data” borde föras in i myndigheters instruktioner generellt, men att det skyndsamt borde göras i SCB:s regleringsbrev.

Reumatikerförbundet välkomnar utredningens förslag för att underlätta registerbaserad forskning. Förbundet instämmer i utredningens slutsats att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär något betydande intrång i enskildas personliga integritet.

Sveriges tandläkarförbund ser mycket positivt på utredningens förslag. Sveriges Tandläkarförbund anser att svenska register med personnummer skapar stora möjligheter för svensk forskning inte minst inom den odontologiska forskningen där till exempel tandhälsoregistret utgör en stor faktakälla för forskning. Att register kan användas ändamålsenligt för forskning, utan att den personliga integriteten störs, är något Sveriges Tandläkarförbund anser vara mycket viktigt. Sveriges Tandläkarförbunds uppfattning är att ändringsförslagen bör underlätta för forskare att använda sig av register i sin forskning samtidigt som den personliga integriteten skyddas.

Lärarnas Riksförbund anser att förslagen om ökad tillgänglighet till vissa data, förlängd bevarandetid för kodnycklar och möjlighet att upprätta forskningsdatabaser förbättrar möjligheten till en mer systematisk uppföljning av resursanvändning och resultat i det svenska skolväsendet. På samma sätt som det i betänkandet föreslås att ställningen bör stärkas för personuppgiftsombud vid universitet och högskolor anser Lärarnas Riksförbund att det bör slås fast att det hos

32 Utredningens om nationell samordning av kliniska studier betänkande Starka tillsammans (SOU 2013:87).

skolhuvudmännen ska vara tydligt vem som tillser att uppgifter om elever, personal, kostnader, med mera redovisas på ett korrekt sätt.

Apotekarsocieteten instämmer i utredningens förslag vad gäller etikprövningen, kodnyckelförfarandet, nya sekretessbestämmelser, forskningsdatabaser och nationellt biobanksregister. Apotekarsocieteten anser att förslagen gör det lättare att utnyttja de omfattande data som finns i befintliga register samt gör det möjligt att skapa forskningsdatabaser. Apotekarsocieteten anför att såväl registren som baserna utgör värdefulla resurser vid läkemedelsutveckling och kan hjälpa Sverige att återta en tätposition inom området.

Konjunkturinstitutet instämmer i att det finns många viktiga frågor som kan besvaras med hjälp av register och datamaterial. Konjunkturinstitutet delar utredarens förslag om att inrätta en funktion för att förbättra tillgängligheten för forskningsändamål. Dock vill Konjunkturinstitutet framhålla att utöver forskning förekommer det även att myndigheter kan ha till uppgift att göra utredningar och utvärderingar som kräver tillgång till mikrodata. Även myndigheters tillgång till mikrodata för sådana ändamål behöver enligt Konjunkturinstitutet därför utredas närmare.

6.4.2. Remissynpunkter på vissa delar av förslagen

Vilka som ska ansvara för forskningsdatabaser, m.m.

Det framförs kritik från remissinstanserna när det gäller förslaget att enbart statliga universitet och högskolor ska kunna vara huvudmän för forskningsdatabaser. Nästan alla landsting har uttryckt att även landsting bör kunna vara huvudmän för forskningsdatabaser. Flera universitet, såsom Uppsala universitet, Umeå universitet, Linköpings universitet och Linnéuniversitetet anser att landsting bör inbegripas.

Det förs, bland annat från landstingens sida, fram att det i utredningen saknas motiv till varför landstingen inte ges samma möjligheter som universiteten att bygga upp forskningsdatabaser eller att detta bör utredas vidare. Vidare anförs att landstingen har lång tradition, erfarenhet och kunskap om behandling av känsliga personuppgifter som är omgärdade av sekretess genom sin dagliga verksamhet men även avseende forskning.

Det påpekas vidare att man i landstingens verksamhet är van vid att tillämpa bestämmelserna i personuppgiftslagen och att en placering av

vissa forskningsdatabaser hos landsting och regioner kan vara mer lämplig ur ett integritetsperspektiv. Det betonas också att flera av de forskningsdatabaser inom medicin som i dag finns eller planeras har ett landsting eller ett sjukhus som huvudman och att dessa uppfyller betänkandets definition på forskningsdatabas.

Stockholms läns landsting påpekar att sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning förbises. Landstinget förklarar att registerforskning är ett centralt verksamhetsområde för Stockholms läns landsting eftersom landstinget också per definition är forskningshuvudman.

Jönköpings läns landsting poängterar att det finns lärosäten såsom Stiftelsen Högskolan i Jönköping som med det aktuella förslaget inte tycks få samma möjligheter som de statliga universiteten och högskolorna i detta avseende.

När det gäller förslaget att Vetenskapsrådet ska ha i uppgift att bereda frågan om vilka forskningsdatabaser som kan behövas i Sverige, poängterar flera remissinstanser att det är viktigt att det vetenskapliga behovet får styra antalet databaser. Flera universitet kritiserar förslaget på den grunden att det kan leda till toppstyrning, ökad byråkrati, brist på mångfald i forskningen. Det anförs att lärosätena och aktiva forskare måste få ha inflytande och delaktighet i beredningen.

Folkhälsomyndigheten anser att forskare vid andra organisationer än universiteten bör få inflytande över innehåll och uppläggning av databaserna och påtalar att den föreslagna strukturen med Vetenskapsrådet som beredningsorgan riskerar att förbise behovet av forskningsdatabaser vid forskande myndigheter.

Kammarrätten i Stockholm anser att det kan vara obligatoriskt för Vetenskapsrådet att vid beredningen av nya databasförordningar inhämta synpunkter från t.ex. Centrala etikprövningsnämnden, Datainspektionen och SCB.

Vetenskapsrådet anser att ändamålet med den regelbundna utvärdering som utredaren föreslår att Vetenskapsrådet ska göra behöver förtydligas och det bör enligt Vetenskapsrådet dessutom utredas vilken myndighet som är bäst lämpad att utföra sådan utvärdering.

Flera universitet lämnar synpunkter angående antalet forskningsdatabaser, exempelvis följande. Det finns flera forskningsfält som bör kunna rymma flera forskningsdatabaser, också spridda på flera

lärosäten. Enskilda projekt samt lokala och regionala forskningsdatabaser kan över tid utvecklas till att bli rikstäckande vilket skapar bättre förutsättningar för framtida registerforskning. Forskningsdatabaserna bör inte enbart definieras utifrån enskilda forskningsfält utan även det tvärvetenskapliga perspektivet ska beaktas.

Uppgiftsskyldighet till forskningsdatabaser

Försvarsmakten påtalar att uppgifter som omfattas av försvarssekretess, skydd för rikets säkerhet, som hanteras av försvarsmakten endast i särskilda undantagsfall bör föras vidare till annan myndighet eller forskningsansvarig. Försvarsmakten anser att den föreslagna uppgiftsskyldigheten kontra bestämmelserna om menprövning i OSL behöver tydliggöras.

Örebro universitet pekar på att det förefaller som om det vid en jämförelse av OSL och den föreslagna lagen är oklart om uppgiftsskyldighet beslutade av regeringen får fullgöras eller inte (10 kap. 28 § OSL och 7 § i förslaget).

Ändamålsbeskrivning och samtycke

Flera remissinstanser påtalar att det är angeläget att forskningsdatabasernas ändamålsbeskrivningar är tillräckligt preciserade så att den enskilde kan lämna ett informerat samtycke. Av vissa förs fram att det bör utredas hur de närmare ändamålsbestämningarna kan se ut.

Etikprövning

Många remissinstanser ställer sig positiva till att uppgifter endast ska kunna lämnas ut till projekt som godkänts enligt etikprövningslagen oavsett om behandlingen innefattar känsliga personuppgifter eller inte. Argument såväl för som emot att skapandet av forskningsdatabaser i sig borde genomgå en oberoende granskning av etikprövningsnämnderna framförs.

Utlämnade av uppgifter till en forskningsdatabas

Socialstyrelsen delar utredarens uppfattning att insamling av uppgifter till en forskningsdatabas inte är forskning. Därför menar Socialstyrelsen att det är tveksamt om Socialstyrelsen kan bemöta en förfrågan om utlämnande av uppgifter utifrån de förordningar som styr hanteringen av Socialstyrelsens hälsodataregister.

Läkemedelsverket påtalar att det i förslaget till 7 § anges att personuppgifter får lämnas ut på grund av uppgiftsskyldighet i lag men att förslaget verkar förutsätta att uppgiftsskyldighet ska kunna stadgas i förordning och att sådan uppgiftsskyldighet inte skulle kunna leda till utlämnande enligt 7 §.

SCB gör bedömningen att det kommer att vara svårt att kunna lämna ut uppgifter till en forskningsdatabas som regleras med stöd av den föreslagna lagen eftersom uppgifterna i forskningsdatabaserna ska kunna användas vid för tidpunkten för utlämnandet okända forskningsprojekt och det för den utlämnande myndighetens sekretessprövning krävs kännedom om vad begärda uppgifter ska användas till och av vem. SCB anser dessutom att det är tveksamt om de undantag som finns enligt 24 kap. 8 § OSL från den absoluta sekretessen blir tillämpliga vid ett utlämnande till en forskningsdatabas som innehåller identiteter. Det är enligt SCB oklart om ett utlämnande till en forskningsdatabas med uppgift att tillgängliggöra data är ett utlämnande för forskningsändamål. Vidare finns enligt SCB anledning att överväga om undantaget för att kunna lämna ut inte direkt identifierbara uppgifter blir tillämpligt i den aktuella situationen.

När det gäller frågan om utlämning från en forskningsdatabas anför Vetenskapsrådet följande. Det framstår som oklart om uppgifter kommer att kunna lämnas ut från forskningsdatabaser som finns hos statliga universitet och högskolor till forskningshuvudmän som inte har att tillämpa OSL.33

Kravet på reglering i lag enligt regeringsformen

Läkemedelsverket menar att det eventuellt kan ifrågasättas om systemet med en stor del av regleringen i förordningsform är förenligt med regeringsformens krav enligt 2 kap. 6 § andra stycket på att bestämmelser med detta innehåll ska regleras i lag.

33 Vetenskapsrådet hänvisar till JO:s beslut från den 9 september 2014.

SCB anser att det är svårbedömt när det gäller förslagets förenlighet med reglerna i dataskyddsdirektivet och i förhållande till 2 kap. 6 § andra stycket RF eftersom förenligheten med dessa regelverk i stor utsträckning blir beroende av hur de enskilda förordningarna som skapas med stöd av lagen kommer att utformas.

Datainspektionen avstyrker förslaget på den grunden att förslaget inte är förenligt med 2 kap. 6 § andra stycket RF. Datainspektionen anser att förslaget riskerar att leda till betydande integritetsintrång genom att tillåta omfattande insamling av personuppgifter utan att ändamålen är tillräckligt specificerade och utan att kräva integritetsskyddade åtgärder som uppväger integritetsintrånget.

Definitioner

Läkemedelsverket anser att det bör införas en definition av begreppen personuppgifter och forskningshuvudman. Vidare anser Läkemedelsverket att definitionen av forskningsdatabas skulle bli tydligare om begreppet ”nationell infrastruktur” ersätts med den tydligare beskrivningen i författningskommentaren: ”som är avsedd att utgöra en nationell resurs för forskning och vara utformad så att den kan utgöra en tillgång för forskare i hela landet”.

Göteborgs universitet anser att begreppet forskningsdatabas kan behöva förtydligas, t.ex. framgår det enligt Göteborgs universitet inte om en forskningsdatabas innefattar enbart forskningsregister, dvs. data insamlat från forskare, eller om kombinationen av register med regelbunden uppdatering också ingår och huruvida uppgifterna i en databas kan vara identifierbara (med personnummer).

Etikprövningsnämnden i Linköping anser att den föreslagna definitionen av forskningsdatabas kan tolkas olika och kan behöva preciseras.

Administration

Ekonomihögskolan vid Lunds universitet tycker att det är ett utmärkt förslag att forskningsdatabaserna ska administreras av en avgränsad enhet inom universitetet.

Göteborgs universitet anför att det redan finns en behörighetsadministration som har sin bäring i personuppgiftslagens regler om

säkerhet vid behandling av personuppgifter. Hänvisning till detta redan kända regelverk bör enligt universitetet vara tillfyllest. Vidare anser Göteborgs universitet att relationen mellan Vetenskapsrådet och lärosätet bör förtydligas så att det framgår vem som ansvarar för vad. Göteborgs universitet vill öppna för möjligheten att administrationen kring forskningsdatabaserna läggs på Svensk Nationell Datatjänst (SND). När det gäller kravet på att forskningsdatabasen ska administreras i en särskild avgränsad enhet hos lärosätet menar universitetet att en forskningsdatabas torde få sin hemvist vid en institution vid lärosätet och att någon annan självklar organisatorisk enhet inte finns i dag.

Umeå universitet anser att förslaget att forskningsdatabasen ska administreras i en särskild avgränsad enhet kommer att bli resurskrävande för berörda lärosäten och bör således beaktas vid regeringens resursfördelning.

Sekretess

Datainspektionen ifrågasätter utredningens uppfattning att uppgifter som lämnas ut med förbehåll till privata aktörer åtnjuter samma skyddsnivå som uppgifter som lämnats ut till en aktör som omfattas av bestämmelserna i OSL. Enligt Datainspektionen behövs det därför göras en djupare analys av hur uppgifterna ska bibehålla samma skydd hos de privata aktörerna.

6.5. Avslutningsvis

I detta kapitel har vi gått igenom Registerforskningsutredningens förslag och vissa synpunkter från remissinstanserna. Registerforskningsutredningens förslag och reaktionerna på detta har utgjort ett viktigt kunskapsunderlag för vår utredning. Vi har formulerat några ansatser som vi har utgått från när vi, utifrån bl.a. detta underlag, har formulerat våra förslag. Dessa utgångspunkter redovisar vi i nästa kapitel (kap. 7).

7. Vår ansats

7.1. Inledning

I detta kapitel går vi igenom de principiella utgångspunkter som ligger till grund för våra bedömningar och förslag. Dessa bygger på våra direktiv och bakgrunden till dem samt de beskrivningar av forskningsverksamheten som vi fått under utredningens gång, t.ex. vid kontakter med lärosäten och myndigheter.

Kapitlet är disponerat på det sättet att vi inledningsvis i avsnitt 7.2 kort redovisar allmänna utgångspunkter, därefter de utgångspunkter vi har identifierat att forskarsamhället har, för att därefter gå igenom de politiska utgångspunkter som vi har kunnat utläsa.

Mot bakgrund av detta och de redogörelser som vi har fått del av i våra kontakter med forskare och ansvariga för databaser har vi funnit det ändamålsenligt att inta den utgångspunkten att forskningsdatabaser kan beskrivas ur ett livscykelperspektiv. Denna tänkta livscykel kan betraktas som en del av vår ansats och redovisas i avsnitt 7.3.

I avsnitt 7.4 beskriver vi ett antal modeller för forskningsdatabaser. Vi går också igenom olika typer av forskningsdatabaser inom medicin och samhällsvetenskap, också med livscykeln som utgångspunkt.

7.2. Principiella utgångspunkter

7.2.1. Inledande utgångspunkter

Det är nödvändigt för vårt samhälle att forskning bedrivs som ger upphov till ny kunskap. Registerbaserad forskning är en effektiv metod. Teknikutvecklingen har förenklat möjligheterna att sambearbeta och analysera uppgifter från olika källor och dra slutsatser från stora mängder data. Om forskningen använder sig av sådana

analysverktyg, ökar möjligheterna till resultat som leder till nytta för det gemensamma.

Våra direktiv utgår från att registerbaserad forskning är värdefull för vårt samhälle och måste kunna bedrivas på ett säkert och etiskt korrekt sätt. När det är fråga om forskning som förutsätter tillgång till personuppgifter finns ett starkt intresse av att skydda den enskilda individens personliga integritet. Det är självklart att regelverket måste utformas på det sättet att det tillgodoser den enskilda individens integritetsskydd så att allmänhetens förtroende för forskningen upprätthålls.

Vi anser att det är både nödvändigt och möjligt att utforma en funktionell reglering av forskningsdatabaser som både uppfyller forskningens behov och innefattar ett gott skydd för den personliga integriteten (se avsnitt 7.2.4). De lösningar vi föreslår när det gäller reglering av forskningsdatabaser ska alltså möjliggöra en ändamålsenlig och säker behandling av personuppgifter för forskningsändamål samtidigt som det finns ett skydd för den enskildes fri- och rättigheter.

Vi ska enligt våra direktiv föreslå de författningsförslag som behövs för en långsiktig reglering av forskningsdatabaser. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att ett sådant regelverk tillgodoser den enskilda individens integritetsskydd. Vi anser därför att vårt förslag till lösning måste omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekretesskydd i forskningsverksamhet skulle underlätta såväl utlämnande av uppgifter till forskningsdatabasen som utlämnande från databasen till olika forskningsprojekt.

7.2.2. Forskarsamhällets utgångspunkter

Vid våra möten med offentliga och privata lärosäten har det framkommit att det inom forskningen finns behov av uppgifter som samlats in såväl från enskilda individer som från andra källor. Andra källor kan vara registerförande myndigheter (t.ex. Socialstyrelsen och SCB) eller privata organisationer, t.ex. företag som samlar in uppgifter om läkemedelsanvändning eller om bilägares körning. Vidare har vi kunnat konstatera att det inom forskningen finns ett behov av att bygga upp och använda större forskningsdatabaser som kan delas av

flera, även framtida, forskningsprogram eller projekt. Dessutom har representanter från forskarsamhället samstämt uttryckt att det finns ett behov av en reglering som möjliggör ändamålsenlig behandling av personuppgifter för forskningsändamål. Därvid har påtalats att det i forskningsverksamhet finns en stor osäkerhet när det gäller hur dataskyddsförordningen och sekretesslagstiftningen ska tillämpas.

Från forskarrepresentanter har också följande framförts. Forskningshuvudmännen lägger avsevärda resurser på insamling och bearbetning av uppgifter för forskningsändamål. Det är resursslöseri att inte återanvända uppgifterna som har samlats in och iordningsställts. Ofta finns en fortsättning på ett projekt, eller så startas nya projekt som kan använda samma uppgifter.

I forskarsamhället är frågor som handlar om Open Access och Open Data högaktuella. Enligt Vetenskapsrådet ska forskning finansierad av rådet publiceras med Open Access, vilket innebär att forskningsresultaten blir fria att läsa och ladda ned från internet. Utöver att publicera resultat så brett som möjligt för att inspirera ny forskning handlar det om att öka möjligheten att återanvända uppgifter i olika databaser och utvinna ny kunskap. Dessutom krävs tydlig dokumentation av den forskning som är publicerad för att motverka forskningsfusk och för att göra forskningen reproducerbar. Modern forskning innebär ofta samarbete mellan offentliga och privata aktörer samt över nationsgränser, vilket också kräver öppenhet.

Vi har i kapitel 4 beskrivit forskningens behov av forskningsdatabaser och Vetenskapsrådets ekonomiska satsningar på sådana.

7.2.3. Politiska utgångspunkter

Allmänt

Det finns en politisk vilja att möjliggöra forskningsdatabaser med uppgifter som samlats in från enskilda individer eller från myndighetsregister som kan delas av flera forskningsprogram eller projekt. Denna vilja överensstämmer med de ovan beskrivna behoven. Regeringen har länge framhållit att de svenska registren med personuppgifter utgör en potential för världsledande forskning.1

1 Se nedan angivna propositioner.

Forskningspropositioner

År 2008 betonade regeringen i forskningspropositionen Ett lyft för

forskning och innovation bland annat följande. Möjligheter till världs-

ledande forskning i Sverige är på grund av unika individbaserade register mycket stor. Landet har en världsledande ställning vad gäller statistik om levnadsförhållanden och hälsa. Sveriges unika tillgång till register och databaser är en förklaring till denna framstående position och är något som behöver främjas i framtiden. Detta gör vårt land till en attraktiv forskningssamarbetspartner för andra länder. För att fullt ut kunna dra nytta av våra unika förutsättningar behövs en effektivare användning av befintliga register och databaser. Att bättre utnyttja dessa är viktigt, inte bara för forskning på området utan även för en framgångsrik och kunskapsbaserad utveckling av berörda verksamheter inom hälso- och sjukvård. Lagstiftning för samutnyttjande av registerdata och andra data kan behöva granskas och anpassas till nya organisatoriska och tekniska förutsättningar.2

År 2012 framhöll regeringen i forskningspropositionen Forskning

och innovation bland annat följande. För att kunna utnyttja den fulla

potentialen av registeruppgifter vid forskning uppkommer ofta behov av sambearbetning av data från olika register. Sambearbetning av registeruppgifter kan underlättas genom att det upprättas nya databasinfrastrukturer för bestämda, men relativt allmänt hållna forskningsändamål. Det finns t.ex. behov av att kunna sambearbeta personuppgifter från olika myndigheters register och att kunna skapa register för bestämda men relativt allmänt hållna forskningsändamål, dvs. register som är uppbyggda i syfte att insamlade personuppgifter ska kunna användas av forskare i flera olika forskningsprojekt inom ramen för det angivna ändamålet. 3

År 2016 underströk regeringen i forskningspropositionen Kunskap

i samverkan – för samhällets utmaningar och stärkt konkurrenskraft 4

bland annat följande. Det finns en stor potential för framgångsrik forskning i Sveriges sjukvårdssystem, biobanker och personuppgiftsregister. För att bättre kunna ta till vara denna potential behövs strategiska satsningar med långsiktiga perspektiv och stöd till nationella forskningsinfrastrukturer. Inom allt fler vetenskapsområden är

2 Regeringens proposition Ett lyft för forskning och innovation (prop. 2008/09:50), bl.a. s. 190 f. 3 Regeringens proposition Forskning och innovation (prop. 2012/13:30), s. 149. 4 Regeringens proposition Kunskap i samverkan – för samhällets utmaningar och stärkt kon-

kurrenskraft

(

prop. 2016/17:50), kapitel 9 och 10.

tillgång till ändamålsenlig och högkvalitativ forskningsinfrastruktur en förutsättning för att bedriva forskning av högsta vetenskapliga kvalitet. Området är därför av stor strategisk betydelse. Fortsatta investeringar i forskningsinfrastruktur är nödvändiga för att Sverige ska behålla sin position som ett framstående forsknings- och innovationsland.

Vidare hänvisade regeringen tillbaka till propositionen Ett lyft för

forskning och innovation från 2008 där det aviserades att universiteten

och högskolorna har fullt ansvar för infrastruktur och utrustning som används lokalt på lärosätet och anförde följande. Sådana utrustningar har i många fall potential att göras tillgängliga för fler aktörer än det egna lärosätet, exempelvis företag och andra forskargrupper.

Regeringen hänvisade också till att Vetenskapsrådet har i uppgift att finansiera forskningsinfrastruktur av nationellt intresse samt svenskt medlemskap i internationella forskningsinfrastrukturer inom alla vetenskapliga discipliner och betonar härvid att forskningsinfrastruktur av nationellt intresse kan vara såväl nationella som internationella forskningsinfrastrukturer.5 Regeringen hänvisade även till att den förstärkning av anslagen för forskning och utbildning på forskarnivå som regeringen beräknat i budgetpropositionen för 2017 bl.a. syftar till att stärka lärosätenas förutsättningar att göra strategiska prioriteringar och satsningar för forskningsinfrastrukturen på lång sikt och anförde följande. Tillförseln av forskningsmedel de senaste åren har dessutom varit omfattande, särskilt för de äldre universiteten. Därför borde lärosätena ha förutsättningar att göra sådana prioriteringar och satsningar. Under perioden 2017–2020 kommer flera stora internationella forskningsinfrastrukturer att färdigställas och uppgraderas. Återkommande utvärderingar och prioriteringar av såväl nya som befintliga svenska åtaganden blir därför viktiga för att hitta en balans mellan svensk medverkan i internationell forskningsinfrastruktur och satsningar på nationell infrastruktur.6

Vidare angavs bland annat att regeringen ser positivt på Vetenskapsrådets pågående arbete med att skapa processer för att långsiktigt prioritera infrastruktursatsningar. Det är en generell trend inom nästan alla vetenskapsområden att forskare både producerar och analyserar allt större datamängder. Genom att möjliggöra och stödja

5Prop. 2016/17:50 kapitel 9 och 10. 6Prop. 2016/17:50 kapitel 9 och 10.

forskning av hög vetenskaplig kvalitet bidrar forskningsinfrastrukturer till målsättningen att Sverige ska vara ett av världens främsta forskningsländer och en ledande kunskapsnation, där högkvalitativ forskning, högre utbildning och innovation leder till samhällets utveckling och välfärd, näringslivets konkurrenskraft och svarar mot samhällsutmaningarna vi står inför, både i Sverige och globalt.

Näringslivets medverkan i utveckling och konstruktion av forskningsinfrastrukturer bör bygga på den styrka som samverkan med universitet, högskolor och forskningsinstitut innebär. Det är viktigt att rådande styrdokument för forskningsinfrastrukturer inte utesluter forskare verksamma utanför universitet och högskolor. För att kunna möta samhällsutmaningarna måste styrdokumenten överensstämma med regeringens övergripande ambition om ökad tillgänglighet till forskningsinfrastrukturer

Budgetpropositionen för år 2018

I budgetpropositionen för år 2018, Utgiftsområde 16 Utbildning och

universitetsforskning, framgår att regeringen ger anslag till bland annat

registerbaserad forskning. I budgetpropositionen framhåller regeringen att Sverige har unika samlingar av biologiskt material i olika biobanker som tillsammans med välutvecklade persondataregister utgör en stor potential för forskning och innovation. Regeringen föreslår en satsning på en nationell forskningsinfrastruktur för insamlande och bevarande av biologiskt material från människor i biobanker. Regeringen föreslår vidare en satsning på tvärvetenskaplig och tvärsektoriell registerbaserad forskning, som kan bidra till att denna forskningsinfrastruktur utvecklas och utnyttjas effektivt. Vidare ökar regeringen anslagen till bland annat datadriven forskning (registerbaserad forskning, se kap. 3) och ökat nyttjande av forskningsinfrastrukturer. 7

7 Regeringens proposition Budgetpropositionen för 2018 (2017/18:1), s. 213 f. samt s. 325.

Regeringens digitaliseringsstrategi

Regeringen presenterade i maj 2017 en strategi8 för hur digitaliseringspolitiken ska bidra till konkurrenskraft, full sysselsättning samt ekonomiskt, socialt och miljömässigt hållbar utveckling. Strategin anger inriktningen för regeringens digitaliseringspolitik. Det övergripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå det övergripande målet sätts fem delmål upp om digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur. Delmålen förklarar hur digitalisering ska kunna bidra till en positiv samhällsutveckling. En av ambitionerna i strategin är att öka fokus på digitalt driven innovation och forskning.

I strategidokumentet anförs att den möjlighet som digitalisering genom avancerade analysmetoder, maskininlärning och artificiell intelligens (AI) medför när det gäller hantering av stora datamängder behöver synliggöras och potentialen tillvaratas. Exempelvis genererar modern forskning i allt snabbare takt ökande datavolymer som kräver utveckling av ändamålsenlig digital infrastruktur så att kunskap snabbare kan omsättas i nya frågeställningar. För att ytterligare stärka möjligheterna till datadriven och digitalt driven innovation behöver forskning och innovation inom relevanta områden prioriteras och uppmuntras.

Följande anförs i digitaliseringsstrategin om användningen av befintliga register.

När exempelvis forskningsdata tillhandahålls i öppen och återanvändbar form ökar förutsättningarna för datadriven forskning och innovation. Sverige har stora konkurrensfördelar inom klinisk forskning genom sina omfattande personbaserade register och biobankssamlingar, där ett ökat utnyttjande av dessa datamängder för forskning är prioriterat och kan bidra till kunskap och lösningar rörande stora folkhälsofrågor.

Vår slutsats

Vi uppfattar att det är tydligt att regeringen genom sin politik vill stimulera registerbaserad forskning och att det finns en uttalad politisk vilja att forskningen ska dra nytta av den kunskap som går att utvinna från våra gemensamma register. Regeringen vill satsa på

8För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (dnr N2017/03643/D).

registerbaserad forskning och ett ökat nyttjande av forskningsinfrastrukturer.

7.2.4. Vår ansats utifrån den politiska viljan och forskningens behov

I detta avsnitt redogör vi kortfattat för de ansatser som vi formulerat som utgångspunkter och stöd i utredningsarbetet och för våra val av förslag på lösningar.

Forskning är värdefullt för vårt samhälle

Vår utgångspunkt är att forskning är värdefullt för vårt samhälle och måste kunna bedrivas på ett lagenligt och etiskt korrekt sätt. Vi har i uppgift att föreslå en reglering som möjliggör en ändamålsenlig och säker behandling av personuppgifter i forskningsdatabaser. Regleringens ska både uppfylla forskningens behov och innefatta ett gott skydd för den personliga integriteten. Av de nämnda propositionerna och av digitaliseringsstrategin framgår att den politiska viljan i stort överensstämmer med det behov av att kunna använda ändamålsenliga forskningsmetoder som forskare uttrycker.

Inom forskningen hanteras i dag stora mängder personuppgifter. Det medför att det finns ett behov av tydliga regler om och metoder för hur dessa ska hanteras. Dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) är härvid av grundläggande betydelse. Vår ansats är att de principer och regler som gäller för behandling av personuppgifter enligt dataskyddsförordningen kommer att utgöra en bra grund för att skapa en ändamålsenlig reglering av forskningsdatabaser. En genomgång av de rättsliga förutsättningarna enligt dataskyddsförordningen görs i kapitel 5.

Initiativen ska komma från forskningsverksamheten

Vi har under utredningstiden kommit till slutsatsen att initiativen till forskningsdatabaser ska komma från forskningsverksamheten. Detta ställningstagande ligger i linje med forskningens frihet som har sitt

stöd i 2 kap. 18 § andra stycket regeringsformen och fastslås i 1 kap. 6 § högskolelagen (1992:1434). Enligt högskolelagen gäller som allmänna princip att forskningsproblem får väljas fritt, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vi menar att det är i forskningsverksamheten som behoven av uppgiftssamlingar i form av forskningsdatabaser bäst kan identifieras och formuleras.

Ett integritetsskydd i balans med andra grundläggande rättigheter och legitima samhällsintressen

Enligt 2 kap. 6 § andra stycket regeringsformen ska den enskilde skyddas mot betydande intrång i den personliga integriteten om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna rättighet får enbart göras genom lag, och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och dessa får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningarna. Vi bedömer således att en reglering av behandling av personuppgifter i en forskningsdatabas ska göras i lagform. Lagen måste uppfylla de krav som ställs i grundlagen.

I våra bedömningar och förslag går vi igenom dataskyddsprinciperna i relation till forskningens behov av att hantera stora mängder personuppgifter. I enlighet med vårt uppdrag ska den reglering vi föreslår – utöver att uppfylla forskningens behov – också infatta ett gott skydd för den personliga integriteten. Enligt vår mening föreligger det ett gott skydd för den personliga integriteten när denna rättighet står i balans med andra grundläggande rättigheter och legitima samhällsintressen.9

En avvägning måste därvid göras mellan forskningens behov av tillgång till personuppgifter och forskningspersonernas rätt till personlig integritet. Vi utgår från våra direktiv som anger att syftet med våra förslag i olika delar ska möjliggöra en ändamålsenlig behandling av personuppgifter för forskningsändamål samtidigt som den skyddar den enskildes fri- och rättigheter. Vi beaktar även Registerforskningsutredningens direktiv om att integritetsaspekterna måste beaktas vid reglering av forskningsdatabaser och att förslag måste

9 Jfr Integritetskommitténs betänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 56 ff.

lämnas i syfte att göra det möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.10

I kapitel 13 redogör vi för vår proportionalitetsbedömning.

Principen om ansvarsskyldighet

Vi utgår från principen om ansvarsskyldighet som uttrycks i dataskyddsförordningen. Det är den personuppgiftsansvariga forskningshuvudmannen som ska ta ansvar för en korrekt personuppgiftsbehandling. Utgångspunkten är att våra författningsförslag ska göra det lätt för de ansvariga att göra rätt. Genom att föreslå bestämmelser som tydliggör forskningshuvudmannens ansvar och vilka regler som ska gälla för forskningsdatabaser kan vi göra det lättare att behandla personuppgifter på ett lagenligt sätt.

Forskningshuvudmannen ska ansvara för ett riskbaserat informationssäkerhetsarbete

Vi noterar att informationssäkerhetsfrågor har betydelse för bland annat skyddet av den personliga integriteten men också är av stor vikt av andra säkerhetsskäl. Det är ett flertal statliga utredningar som har arbetat med samhällets informationssäkerhet. I betänkandena Infor-

mationssäkerhet för samhällsviktiga och digitala tjänster11 och betän-

kandet En ny säkerhetsskyddslag anges exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt lagen. Det framgår att hoten mot rikets säkerhet har förändrats och att främmande staters underrättelseverksamhet de senaste decennierna har breddats mot bland annat forskning och utveckling inom civila områden. Elektroniska angrepp i olika former betraktas som ett av de allvarligare hoten samtidigt som antalet it-angrepp ökar i omfattning och blir allt mera

10 Kommittédirektiv Förutsättningar för registerbaserad forskning (dir. 2013:8). 11 Utredningens om genomförandet av NIS-direktivet betänkande Informationssäkerhet för

samhällsviktiga och digitala tjänster (SOU 2017:36), s. 85.

riktade och sofistikerade.12 Dessa förhållanden beskrivs även i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker-

hetsskyddslag.13

Den som är ansvarig för en forskningsdatabas bör bedriva ett informationssäkerhetsarbete med hänsyn bland annat till den beskrivna hotbilden. Informationssäkerhetsarbete måste också bedrivas på grund av behovet av skydd för den personliga integriteten i allmänhet för den vars personuppgifter förekommer i en forskningsdatabas. I detta sammanhang kan också den obligatoriska it-incidentrapportering som gäller för statliga myndigheter nämnas.14

En forskningsdatabas kan innebära uppgiftsminimering

Vi har konstaterat att olika forskare och forskningsprojekt har ett behov av att dela personuppgifter med varandra. Vi finner att användningen av samma personuppgifter i olika forskningsprojekt i praktiken utgör en särskild form av uppgiftsminimering jämfört med att samma uppgifter samlas in och behandlas i flera olika uppgiftssamlingar. Genom att samla uppgifter i forskningsdatabaser går det också att undvika att samma personuppgifter lagras på många olika ställen. I fråga om stora forskningsdatabaser är det dessutom möjligt att uppgiftsminimera inom databasen vid varje användning av uppgifter i forskningsprojekt. På grund av forskningsdatabasens bredd kommer utlämnandet av uppgifter för enskilda projekt oftast att bestå av en mindre mängd uppgifter än de som omfattas av hela databasen.

Utlämnande från en forskningsdatabas genom fjärråtkomst kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. Med fjärråtkomst avses åtkomst till en it-miljö i vilken forskaren kan arbeta med data i en forskningsdatabas, utan att de enskilda uppgifterna behöver överföras till forskarens eget it-system. Det är en form av automatiserat utlämnande – inte direktåtkomst (se avsnitt 3.3.9). Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförord-

12 Utredningens om säkerhetsskyddslagen betänkande En ny säkerhetsskyddslag (SOU 2015:25), s. 221. 13 Regeringens proposition Ett modernt och stärkt skydd för Sveriges säkerhet – ny säker-

hetsskyddslag (prop. 2017/18:89), s. 34.

14 Myndighetens för samhällsskydd och beredskap (MSB) föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter.

ningens princip om uppgiftsminimering genom att en forskningsdatabas som används av flera forskningsprojekt huvudsakligen nås genom fjärråtkomst. SCB:s MONA-system kan här användas som förebild.

Offentliga och privata lärosäten ska likställas

Vår bedömning är att det finns såväl en politisk vilja som en reell nödvändighet utifrån hur forskning bedrivs i dag att så långt det är juridiskt möjligt likställa offentliga och privata forskningshuvudmän.

Mot bakgrund av de skyddsaspekter som motiverar en noggrann reglering av forskningsdatabaser är det enligt vår bedömning nödvändigt att en sådan reglering omfattar åtminstone vissa privata forskningshuvudmän. En reglering av forskningsdatabaser ska göra det möjligt att tillgängliggöra uppgifter för forskningsändamål samtidigt som den säkerställer ett enhetligt skydd för den personliga integriteten. En alltför avgränsad lagstiftning riskerar att lämna ett för stort område utanför den reglering som syftar till att höja säkerheten vid behandling av personuppgifter i forskningsdatabaser.

Privata lärosäten utför ofta uppgifter av samma karaktär som de offentligrättsliga. Exempel på detta är den trafiksäkerhetsforskning som bedrivs vid såväl Kungliga Tekniska Högskolan (KTH) som vid Chalmers tekniska högskola. Denna forskning kan medföra behandling av ett stort antal personuppgifter som i original insamlats av privata biltillverkare och som används av såväl KTH som Chalmers.

Vi anser att det är rimligt att forskare som är verksamma vid privata lärosäten kan behandla personuppgifter under samma villkor som de som är verksamma vid de statliga lärosätena. Vi utgår vidare ifrån att lagstiftaren inte har avsett att forskning och utbildning på de lärosäten som har examensrätt ska bedrivas under olika villkor. För de som studerar och forskar på olika lärosäten ska det således inte spela någon roll om lärosättet är offentligt eller privat.

Ansats internationella frågor

Forskningens internationella aspekter är av största betydelse. Lissabonfördraget15 stadgar att EU ska ha som mål att skapa ett europeiskt forskningsområde med fri rörlighet för forskare, vetenskapliga rön och teknik. Svårigheten att skapa enhetlighet vid behandling av personuppgifter i olika medlemsstater kan förhindra det fria flödet av personuppgifter inom unionen, vilket utgör ett hinder mot att förverkliga detta mål.16 Flertalet forskningsfrågor har inga nationsgränser. Gemensam resursanvändning kan leda till en snabbare kunskapsutveckling.

Syftet med dataskyddsförordningen är att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom EU. Ett utbyte av uppgifter över gränserna är därför också i linje med dataskyddsförordningens grundläggande principer17 och gynnar det vetenskapliga arbetet.

7.3. En forskningsdatabas livscykel

7.3.1. Livscykelmodellen

Den tid under vilken en forskningsdatabas finns i en forskningshuvudmans verksamhet kan delas in i olika stadier, som beskriver hur databasen skapas, används och avvecklas. De insatser som forskningshuvudmannen måste göra är knutna till olika stadier under forskningsdatabasens bestånd. Vissa aktiviteter pågår löpande, medan andra är starkare knutna till en viss period. För att kunna beskriva vilka handlingsmönster som måste regleras, har vi funnit det användbart att utgå från den livscykel under vilken forskningsdatabasen existerar. Livscykelperspektivet kan användas till att analysera vilka aktiviteter som behöver regleras för att åstadkomma en säker behandling av personuppgifter i forskningsdatabasen. De olika stegen i livscykeln är inte strikt avgränsade från varandra och det finns aktiviteter som hör hemma i flera steg.

15 Artikel 179.1 i EUF-fördraget. 16 Skäl 9 i dataskyddsförordningen. 17 Art 1.3. i dataskyddsförordningen.

Våra överväganden och förslag till en reglering som utgår från en forskningsdatabas livscykel finns i kapitel 8. Beskrivningen av livscykelmodellen är avsedd att göra det lättare att förstå behovet av våra förslag till bestämmelser som både ska underlätta användningen av databaser i forskning och skydda enskildas personliga integritet.

Forskningsdatabasens livscykel redovisas i följande fem steg.

1. Skapandet av en forskningsdatabas

2. Insamlingen av personuppgifter

3. Förvaltning av forskningsdatabasen

4. Användningen av forskningsdatabasen

5. Avvecklingen av en forskningsdatabas

I det följande redovisas de olika stegen i forskningsdatabasens livscykel och exempel ges på de frågor som hör ihop med varje steg. Våra överväganden och förslag till reglering och andra åtgärder behandlas i senare kapitel.

7.3.2. Steg 1. Skapandet

Till steg ett hör frågor om vilka villkor som ska gälla för skapandet av en forskningsdatabas. Vidare hör frågan om ansvaret för forskningsdatabasen hit.

Beslut om att inrätta en forskningsdatabas kan fattas i olika situationer. Ett tänkbart scenario är att ett beslut om att inrätta en forskningsdatabas fattas innan insamling av uppgifter till denna påbörjas. Registerforskningsutredningen hade som utgångspunkt för sitt förslag att ett beslut om inrättandet av en forskningsdatabas skulle fattas av regeringen.18 Beslutet skulle fattas efter en framställning från Vetenskapsrådet, vars beredning var tänkt att garantera en vetenskaplig förankring av processen. Registerforskningsutredningen förutsatte att antalet forskningsdatabaser skulle vara begränsat till en nationell forskningsdatabas per forskningsfält. Vi beskriver Registerforskningsutredningens förslag i kapitel 6.

18 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45).

Behovet att skapa en forskningsdatabas kan dock även uppstå genom att ett forskningsområde etableras inom vilket behovet av data kommer att bli alltmer gemensamt så att uppgifterna behöver delas mellan olika forskargrupper. Det kan i sådana fall uppstå en önskan om att kunna ta del av andras personuppgifter och att dela med sig av uppgifter som man själv samlat in samt att tillsammans iordningsställa dem på lämpligt sätt. I ett sådant fall har uppgifter samlats in redan innan ett beslut om att inrätta en forskningsdatabas har fattats. Utvecklingen sker ofta stegvis utan att gränsen mellan projektspecifika uppgiftssamlingar och forskningsdatabaser är tydlig.

7.3.3. Steg 2. Insamlingen

Till steg två hör frågor om hur personuppgifterna kan samlas in till forskningsdatabasen, frågor om forskningsdatabasen ska innehålla direkt identifierbara personuppgifter, och om vilka andra uppgifter som får samlas in samt om skyddet av uppgifterna m.m. I linje med de olika varianter som vi har beskrivit när det gäller skapande av en forskningsdatabas förekommer olika tillvägagångssätt när det gäller insamling av uppgifter.

Insamling av uppgifter till forskningsdatabaser kan förekomma med den uttalade huvudmålsättningen att använda uppgifterna i en sådan databas. Uppgifter kan samlas in till en forskningsdatabas på samma sätt som när uppgifter samlas in för enskilda projekt. Det kan handla om att samla in uppgifter direkt från enskilda personer eller från andra källor såsom myndighetsregister. Det kan också vara fråga om uppgifter insamlade från individer som kombineras med uppgifter om samma personer från exempelvis populationstäckande administrativa register.

För att underlätta insamlingen av uppgifter behöver forskningshuvudmannen kunna visa att uppgifterna hanteras på ett säkert sätt. Det behövs alltså regler till skydd för de uppgifter som ska behandlas i forskningsdatabasen. Därför hör frågor om inre sekretess19 och forskningssekretess m.m. också till detta steg.

19 Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till personuppgifter får användas. I kapitel 5 och avsnitt 8.10. 5 redogör vi för inre sekretess.

7.3.4. Steg 3. Förvaltningen

Det tredje steget innefattar alla åtgärder som krävs för att sköta forskningsdatabasen så att den ska kunna användas på ett ändamålsenligt, korrekt och säkert sätt. Forskningshuvudmannens organisatoriska åtgärder hör till detta steg. Förvaltningen av forskningsdatabasen omfattar också en säker och ändamålsenlig behandling av personuppgifter. Det handlar om rutiner för hur uppgifterna får hanteras, och av vem med beaktande av sekretess, tystnadsplikt och informationssäkerhet.

Det är också en grundläggande förvaltningsuppgift att bearbeta uppgifterna i registret så att de kan användas för forskning. Rättning av de uppgifter som kommer från registerhållaren måste ofta genomföras. Det kan handla om att felaktiga eller sinsemellan inkonsistenta uppgifter, eller om att ett felaktigt eller olämpligt urval av variabler eller observationer (personer) levererats från registerhållaren i förhållande till vad forskaren beställt. Ofta krävs också en konvertering och anpassning av uppgifterna till former som är anpassade för forskningsdatabasens forskningsområde.

Även uppföljning och utvärdering av verksamheten är sådana aktiviteter som hör samman med steg tre.

Den som ansvarar för en forskningsdatabas kan också ha anledning att revidera de ändamål som gäller för forskningsdatabasen eller att ompröva behovet av att behandla uppgifter i den aktuella forskningsdatabasen överhuvudtaget.

7.3.5. Steg 4. Användningen

Steg fyra handlar om användningen av uppgifterna i en forskningsdatabas. Hit hör frågor utlämnande av uppgifter från forskningsdatabasen för specifika forskningsprojekt. Till denna punkt hör frågor om vilken typ av åtkomst som ska finnas till uppgifterna och vilka villkor som ska gälla för utlämnandet. Det finns alltså sekretessfrågor kopplade även till detta steg i livscykeln.

7.3.6. Steg 5. Avvecklingen

Forskningsdatabaser förväntas ha en livslängd som överstiger andra uppgiftssamlingar för forskning. På grund av den vetenskapliga utvecklingen, förändringar i tillgången på uppgifter eller förändringar i regleringen av uppgifternas tillgänglighet för forskning kan det uppstå en situation där det inte längre är motiverat att behålla forskningsdatabasen. Till det femte steget hör därför de frågor som behöver hanteras när en forskningsdatabas ska avvecklas, såsom frågor om villkor för avveckling och arkivering.

7.4. Forskningsdatabaser som bör omfattas av våra förslag

7.4.1. Olika typer av forskningsdatabaser

Forskningsdatabaser med uppgifter direkt insamlade från enskilda

En forskningsdatabas kan byggas upp med hjälp av uppgifter som är direkt insamlade från de registrerade för ett tydligt definierat forskningsområde.

Den svenska regeringen medverkar t.ex. genom Vetenskapsrådet i en frågeundersökning med syfte att samla in analysera och sprida kunskap om sociala förhållanden i Europa, inklusive attityder, värderingar, uppfattningar och beteenden (ESS).20 Forskningsdatabasen består av en serie urvalsundersökningar där direkta identifierade uppgifter inte behålls efter insamlingsskedet och där ingen uppföljning av individernas utveckling görs över tid. ESS uppgifter ska enligt dess grundprinciper fritt tillgängliggöras för forskare.

Databaser av detta slag kan också ha syftet att följa personer över tid, så att direkt identifierbara personuppgifter är nödvändiga för såväl återkommande insamling som för återkommande analys. Ett exempel på denna typ av insamling är den europeiska undersökningen av hälsa,

20 http://www.europeansocialsurvey.org/

åldrande och pensionering (SHARE).21 Uppgifter från undersökningen är fritt tillgängliga för forskare över hela världen med beaktande av tillämplig dataskyddslagstiftning.

Båda dessa exempel utgör officiellt reglerade europeiska forskningsinfrastrukturer (ERIC)22 med uppgifter insamlade från personer i flera europeiska länder. De är tillgängliga för forskare över hela världen. Man kan också tänka sig att denna typ av forskningsdatabaser täcker ett mer begränsat område, exempelvis Sverige,23 eller ett större geografiskt område (även utomeuropeiska länder).

Forskningsdatabaser med uppgifter inhämtade från myndigheter

En vanlig modell för forskningsdatabaser är sådana som består av enbart sekundärt insamlade uppgifter. Det handlar om uppgifter som finns tillgängliga på grund av andra ändamål än forskning, men som under vissa betingelser får användas också för forskningsändamål.

Den enklaste formen av denna modell är när alla uppgifter samlats in från en och samma myndighet, vanligen genom sammanläggning av uppgifter från flera register inom myndigheten eller är hämtade från en sådan sammanlagd databas som redan finns där. I regel utgörs uppgifterna av longitudinella data, dvs. uppgifter om personer som härrör från flera tidpunkter och behöver uppdateras med nya uppgifter. Ett typiskt exempel på detta kan vara forskningens användning av Registret över totalbefolkningen (RTB) i demografisk forskning. Den demografiska forskningen är ofta komparativ, dvs. den jämför befolkningsutvecklingen i olika länder. Man behöver således ofta använda uppgifter från flera statistikmyndigheter. Ett annat exempel kan vara de vid myndigheterna för analysändamål sammanställda databaserna Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA) vid SCB eller Mikrodata för analys av socialförsäkringen (MiDAS) vid Försäkringskassan.

Det är som regel nödvändigt att studera uppgifter longitudinellt, antingen genom att följa förändringar av en variabel över tid (som arbetsmarknadsstatus, sjukskrivning) eller att undersöka hur värdet

21 Survey of Health, Ageing and Retirement (SHARE), http://www.share-project.org/ 22 https://ec.europa.eu/research/infrastructures/index.cfm?pg=eric 23 Ett sådant exempel kan vara Levnadsnivåundersökningen, http://www.sofi.su.se/forskning/tre-forskningsavdelningar/lnu

på en persons bakgrund (t.ex. exponering för risk) påverkar värdet på en annan variabel flera år senare (såsom förekomst av viss sjukdom). Ibland kan detta göras genom att samla in alla uppgifter i efterhand, men ofta krävs att uppgifterna uppdateras löpande under forskningsdatabasens livscykel. Ett exempel på denna typ av forskningsdatabas utgörs av den (för närvarande i särskild ordning reglerade) databasen vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.24 Ett annat exempel utgörs av de uppgifter som används för mikrosimulering.25

En annan form av registerbaserad forskning är att kombinera uppgifter från flera olika myndigheter. Det kan vara fråga om att jämföra inkomstuppgifter från SCB med uppgifter från Socialstyrelsens hälsodataregister och/eller uppgifter om sjukvård från hälso- och sjukvårdens kvalitetsregister.

Kombinerade forskningsdatabaser

En annan vanlig modell för forskningsdatabaser är den där uppgifter som samlats in direkt från den registrerade för forskningsändamål kombineras med uppgifter som tas från uppgiftssamlingar med annat ändamål insamlade vid annat tillfälle. Det kan handla om att komplettera en direkt frågeundersökning, en provtagning eller en medicinsk undersökning för forskningsändamål med uppgifter från sociala register eller tidigare insamlade biologiska uppgifter från hälso- och sjukvårdens biobanker. Det kan också vara fråga om att komplettera sådant material som samlats in från en myndighet (exempelvis förekomst av sjukdomsdiagnos eller riskexponering) med direkt insamlade uppgifter (exempelvis frågor, prover, eller kompletterande uppgifter från patientjournaler).

Ibland kan en sådan insamling innebära att enbart en mindre del av det ursprungliga materialet behålls i forskningsdatabasen. Det kan vara fråga om att söka efter uppgifter i register som täcker hela befolkningen för en grupp personer som finns i en mindre uppgiftssamling, t.ex. en frågeundersökning på slumpmässigt utvalda personer eller ett patientmaterial från en lokal eller regional vårdgivare. Det kan också

24 Se SOU 2014:45 s. 355 f. 25 Se exempelvis Reglering av mikrosimuleringsmodellen Fasit (Ds 2018:2, Finansdepartementet).

vara fråga om att utifrån ett brett definierat material i ett befolkningsbaserat register (t.ex. patientregistret) söka efter uppgifter i ett begränsat register (t.ex. en biobank).

Ett välkänt exempel på en kombinerad forskningsdatabas av ovanstående slag är LifeGene, där biologiska prover och uppgifter om levnadsvillkor samlas in för att i ett senare skede kombineras med hälsouppföljning i syfte att kartlägga inverkan från arv och miljö på hälsan på lång sikt. Denna s.k. epigenetiska forskning är på stark frammarsch inom den epidemiologiska forskningen där man på senare år upptäckt att genetiska förutsättningar och social miljö samverkar på lång sikt. Denna forskning har inneburit ett ökat behov av att bygga upp, förvalta och uppdatera långsiktiga forskningsdatabaser.

Forskningsdatabaser som omfattades av Registerforskningsutredningens förslag

Registerforskningsutredningens förslag till reglering av forskningsdatabaser avsåg kombinerade forskningsdatabaser. De skulle alltså kunna bestå såväl av uppgifter direkt insamlade från enskilda och av uppgifter från myndighetsregister.

Enligt förslaget till reglering skulle forskningsdatabaser kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det skulle således inte vara tillåtet för privata lärosäten eller landsting och kommuner att ansvara för forskningsdatabaser.

Vetenskapsrådet skulle ha i uppdrag att föreslå för regeringen vilka forskningsdatabaser som ska få finnas. Vetenskapsrådet skulle träffa avtal med värduniversiteten om finansiering, organisation och tillgänglighet. Det skulle finnas ett tydligt behov av en databas inom det aktuella området och det skulle ställas höga krav på kvalitet och säkerhet hos den verksamhet som ska hålla databasen.

Tanken med förslaget var att forskningsdatabasen skulle bevaras under en längre tid och möjliggöra longitudinella studier av samma personer över tid eller jämförande studier av likvärdiga urval av personer över tid. Utgångspunkten var att det endast skulle finnas en forskningsdatabas för varje större forskningsfält i Sverige.

7.4.2. Forskningsdatabaser som vi avser att reglera

Vi kommer i vårt förslagskapitel (8) lämna förslag till en rättslig reglering av forskningsdatabaser.

Det existerar redan flera olika sorters forskningsdatabaser (se ovan och i kapitel 4) hos flera olika typer av forskningshuvudmän. En reglering som bara omfattar ett fåtal centralt utpekade forskningsfält och ett mindre antal forskningshuvudmän skulle inte vara tillräcklig för att tillgodose en säker hantering av personuppgifter i forskningsdatabaser. Vår utgångspunkt är därför att föreslå en reglering som omfattar så många databaser som möjligt.

Vi finner också att forskningens frihet innebär att initiativet till att skapa en forskningsdatabas bör komma från forskningshuvudmännen och inte från regeringen. Vi konstaterar att det är i forskningsverksamheten som behoven av uppgiftssamlingar bäst kan identifieras och formuleras.

8. Förslag till reglering av forskningsdatabaser

8.1. Inledning

I förevarande kapitel redogör vi för utredningens förslag till reglering av personuppgiftsbehandling i forskningsdatabaser. Detta innefattar ett förslag till en ny lag om forskningsdatabaser och förslag till ändringar i lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och i förordningen (2009:975) med instruktion för Vetenskapsrådet.

Från och med avsnitt 8.8 och till och med avsnitt 8.12 utgår utredningens presentation av förslagen från en forskningsdatabas livscykel. Livscykelmodellen beskrivs i kapitel 7.

8.2. Personuppgiftsbehandling i forskningsdatabaser

Vår bedömning: I vårt förslag till reglering av forskningsdatabaser

måste en forskningsdatabas godkännas vid etikprövning. Genom detta krav etableras en i nationell rätt fastställd rättslig grund för forskningshuvudmännens behandling av personuppgifter i en forskningsdatabas.

Etikprövning enligt etikprövningslagen är även en sådan i svensk rätt fastställd lämplig och särskild åtgärd som krävs för behandling av känsliga personuppgifter för andra forskningsändamål än klinisk läkemedelsprövning enligt dataskyddsförordningen.1

1 Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av

Etikprövning är också en sådan i svensk rätt fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser för forskningsändamål enligt dataskyddsförordningen.

8.2.1. Inledning

I vårt delbetänkande har vi ingående redogjort för de rättsliga förutsättningarna för personuppgiftsbehandling för forskningsändamål och hur förutsättningarna kommer att ändras när dataskyddsförordningen börjar tillämpas.

I kapitel 5 i detta slutbetänkande har vi åter gått igenom på vilket sätt dataskyddsförordningen reglerar behandling av personuppgifter för forskningsändamål i forskningsdatabaser eller på annat sätt. Här beskriver vi enbart kortfattat vilka rättsliga grunder som olika forskningshuvudmän kan tillämpa vid behandling av personuppgifter och vad som i övrigt krävs för att behandlingen av personuppgifter i en forskningsdatabas ska vara förenlig med dataskyddsförordningen.

8.2.2. Förenlighet med dataskyddsförordningen

För att det ska vara tillåtet att behandla personuppgifter i en forskningsdatabas måste forskningshuvudmannen bedöma:

  • om det finns någon rättslig grund för behandlingen (artikel 6),
  • i de fall den rättsliga grunden är sådan som avses i artikel 6.1 c eller e, om den är fastställd i nationell rätt eller i unionsrätten (artikel 6.3),
  • i de fall behandlingen omfattar känsliga personuppgifter

(artikel 9.1), om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt (artikel 9.2), och om det i sådana fall finns stöd för undantagen i unionsrätten eller nationell rätt,

sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad dataskyddsförordningen.

  • i de fall behandlingen omfattar uppgifter om lagöverträdelser

(artikel 10), om behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt,

  • om behandlingen omfattas av lämpliga skyddsåtgärder (artikel 89.1), och
  • om de grundläggande principerna för behandling är uppfyllda

(artikel 5).

8.2.3. Rättslig grund

Vår bedömning av vilka rättsliga grunder som de olika forskningshuvudmännen kan tillämpa framgår kortfattat i det följande.2 Vi utgår i våra bedömningar från att uppbyggnaden av en forskningsdatabas omfattar personuppgiftsbehandling för forskningsändamål (se vidare avsnitt 3.3.1). Behandling av personuppgifter i en forskningsdatabas utgör således en fas i själva forskningsprocessen.

Uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening.3 För att den rättsliga grunden i artikel 6.1 e, uppgift av allmänt intresse, ska vara tillämplig och kunna åberopas krävs dock enligt artikel 6.3 att uppgiften att forska är fastställd i enlighet med unionsrätten eller den nationella rätten. Förutsättningarna för detta varierar beroende på vilken typ av rättssubjekt som är forskningshuvudman.

Statliga universitet och högskolor

För universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt. I 2 kap. 18 § andra stycket regeringsformen (RF) fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagen anges forskning som en huvuduppgift.

2 Jfr Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för

forskningsändamål (Dnr U2018/01639/F).

3 Forskningsdatautredningens delbetänkande Personuppgiftsbehandling för forskningsändamål (SOU 2017:50), s. 128, jfr även Utbildningsdepartementets utkast till lagrådsremiss

Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. 1 kap. 6 § regleras sedan forskningens frihet genom att det anges allmänna principer för den delen av högskolornas verksamhet. För forskningen ska gälla att forskningsproblem får fritt väljas, forskningsmetoder får fritt utvecklas och forskningsresultat får fritt publiceras. Vår bedömning är därför att för universitet och högskolor med staten som huvudman är forskningsuppgiften fastställd i svensk lag och de kan därför behandla personuppgifter i en forskningsdatabas som är nödvändiga för att utföra forskningen med stöd av artikel 6.1 e.

Andra statliga myndigheter

Utöver universitet och högskolor behandlar många andra statliga myndigheter personuppgifter för forskningsändamål. Dessa myndigheters möjligheter att behandla personuppgifter för forskningsändamål med stöd av artikel 6.1 e är beroende av vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning, se t.ex. 2 § förordningen (2007:1170) med instruktion för Brottsförebyggande rådet eller 4 § förordningen (2013:1020) med instruktion för Folkhälsomyndigheten. Uppgiften att forska kan även regleras på annat sätt, t.ex. direkt i lag eller genom särskilda regeringsbeslut. Om uppgiften att forska är tydligt fastställd på detta sätt för en myndighet har myndigheten möjlighet att grunda behandling av personuppgifter som är nödvändig för att skapa en forskningsdatabas på artikel 6.1 e.

Statliga forskningsinstitut drivs ofta i myndighetsform, vilket medför att samma resonemang kan föras för dem som för myndigheter i allmänhet. Exempel på sådana forskningsinstitut är Institutet för rymdfysik och Totalförsvarets forskningsinstitut. Det finns dock även forskningsinstitut som drivs i aktiebolagsform med staten som delägare helt eller delvis. RISE (Research Institutes of Sweden) är ett exempel på nätverk av teknikinriktade forskningsinstitut som samverkar med akademi, näringsliv och samhälle. För sådana organ är det bedömningarna beträffande privaträttsliga forskningsutförare som är relevanta (se nedan).

Kommunala myndigheter

Verksamheten vid kommuner och landsting är reglerad i RF, kommunallagen (2017:725) och speciallagstiftning för t.ex. skola, miljö och vård- och omsorg. När det gäller kommunernas verksamhet anges det i 14 kap. 2 § RF att kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommunallagen reglerar såväl kommuner som landsting på en övergripande nivå. Där anges att kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar.

Forskning och innovation är en viktig del av många kommuners utvecklingsarbete. Nämnas kan att enligt hälso- och sjukvårdslagen (2017:30) ska landsting och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete.

När det gäller kommuner och landsting kan forskningsuppgiften vara fastställd genom beslut om verksamheten i kommunen som fattats av fullmäktige i enlighet med bestämmelserna i kommunallagen. I sådana beslut bör forskningsuppgiften anges tydligt så att forskningsuppgiften därigenom kan anses vara fastställd i nationell rätt. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter i en forskningsdatabas som är nödvändig för att utföra forskningen.

Privaträttsliga forskningshuvudmän

En privaträttslig forskningshuvudmans forskningsuppgift är fastställd i enlighet med nationell rätt om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och huvudmannen har fått de tillstånd som krävs. Vårt förslag till reglering av forskningsdatabaser innebär att forskningsdatabasen måste vara etikgodkänd. En privat forskningshuvudman får därigenom sin uppgift att behandla personuppgifter i en forskningsdatabas fastställd i enlighet med svensk rätt om tillstånd har meddelats i enlighet med etikprövningslagen.

Ett beslut enligt etikprövningslagen och stöd av sådana andra författningar som nämns i detta avsnitt ger enligt vår uppfattning en

sådan grund för behandlingen som är fastställd i enlighet med nationell rätt enligt artikel 6.3 dataskyddsförordningen. Detta innebär att en privat forskningshuvudman som avser att skapa en forskningsdatabas som kräver godkännande enligt etikprövningslagen kan åberopa den rättsliga grunden allmänt intresse för den personuppgiftsbehandling som är nödvändig för projektet eller forskningsdatabasen, om forskningen godkänts av Etikprövningsmyndigheten4(se vidare avsnitt 8.8.2 för vår bedömning av vilka privata forskningshuvudmän som ska kunna få ansvara för en forskningsdatabas). Detta gäller på motsvarande sätt även för offentliga forskningshuvudmän, men som redovisats ovan har dessa i regel möjlighet att åberopa den rättsliga grunden allmänt intresse redan mot bakgrund av en i nationell rätt fastställd uppgift att forska.

8.2.4. Känsliga personuppgifter

Behandlingar av personuppgifter i en forskningsdatabas kommer ofta att omfatta känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Om så är fallet måste forskningshuvudmannen ta ställning till om något av undantagen mot förbudet att behandla känsliga personuppgifter kan vara tillämpligt enligt artikel 9.2.

De undantag som enligt vår bedömning kan komma i fråga, är att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g), eller av hänsyn till vetenskapliga eller historiska forskningsändamål (artikel 9.2 j). Det är därför nödvändigt att göra en bedömning av om kraven i artikel 9.2 g eller 9.2 j är uppfyllda. Kraven innefattar förutom de beskrivna ändamålen att det finns stöd för undantagen i unionsrätten eller nationell rätt. Vi har tidigare gjort bedömningen att vid personuppgiftsbehandling för forskningsändamål ska undantaget i artikel 9.2 j användas,5 och vi ser inte något skäl att frångå den bedömningen vid forskningsverksamhet i form av forskningsdatabaser.

Forskning som innefattar känsliga personuppgifter kräver enligt gällande rätt – oavsett om forskningshuvudmannen är en statlig myndighet eller en fysisk eller juridisk person – ett godkännande enligt 6 § etikprövningslagen. Av dess sista stycke framgår även att ett

4 Etikprövningsnämnderna ersätts den 1 januari 2019 av Etikprövningsmyndigheten, se avsnitt 5.4.1. 5SOU 2017:50 s. 191.

godkännande enligt den lagen inte medför att forskningen får utföras om den strider mot någon annan författning. Det är alltså för ett forskningsprojekt inte alltid tillräckligt med ett beslut om godkännande enligt etikprövningslagen utan det kan även krävas tillstånd av myndigheter enligt andra författningar, exempelvis krävs tillstånd av Läkemedelsverket vid kliniska läkemedelsprövningar.

Skyddsåtgärder

Behandling av känsliga personuppgifter för forskningsändamål måste omfattas av lämpliga och särskilda åtgärder som är fastställda i unionsrätt eller nationell rätt (artikel 9.2 j). Behandling av personuppgifter om lagöverträdelser för forskningsändamål som utförs av andra än myndigheter får utföras när behandling är tillåten enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder måste vara fastställda (artikel 10).

Dataskyddsförordningen preciserar inte närmare hur de nationella skyddsåtgärderna ska utformas för att anses vara lämpliga och särskilda. Av dataskyddsförordningen framgår att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter måste vidtas av personuppgiftsansvariga och personuppgiftsbiträden (artiklarna 24 och 32).

Enligt etikprövningslagen får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov och forskning får bara godkännas om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får vidare inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av känsliga personuppgifter och personuppgifter om lagöverträdelser får

bara godkännas om den är nödvändig för att forskningen ska kunna utföras och forskning får bara godkännas om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (7–11 §§ etikprövningslagen). Vi föreslår i detta kapitel att etikprövningslagen ska utvidgas så att lagen även ska tillämpas på forskningsdatabaser.

Vi har tidigare bedömt att etikprövning uppfyller förordningens krav på skyddsåtgärder vid personuppgiftsbehandling för forskningsändamål.6 En etikprövning enligt etikprövningslagen uppfyller enligt vår uppfattning dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter även vid sådan forskning som utgörs av forskningsdatabaser. Vi bedömer således att etikprövning av forskning i form av forskningsdatabaser är en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.

8.2.5. Grundläggande principer för behandling

All personuppgiftsbehandling måste, utöver kraven i artikel 6, 9 och 10, som vi redogjort för ovan, också uppfylla de grundläggande principerna som framgår av artikel 5. Forskningshuvudmännen ansvarar för att behandlingen i en forskningsdatabas uppfyller även dessa dataskyddsprinciper. I avsnitt 5.3.5. har vi redogjort för dessa krav.

8.3. En lag om forskningsdatabaser

Vårt förslag: Villkoren för att behandla personuppgifter i forsk-

ningsdatabaser ska vara reglerade i lag. Bestämmelserna ska finnas i en ny lag om forskningsdatabaser. Ytterligare skyddsbestämmelser utöver de som ska finnas i den nya lagen ska införas i etikprövningslagen och i offentlighets- och sekretesslagen.

När den nya lagen träder i kraft ska lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa upphöra att gälla.

6SOU 2017:50 s. 332 ff.

Ett av våra uppdrag är att föreslå en långsiktig reglering av forskningsdatabaser. Vi ska föreslå ändamålsenliga bestämmelser om hur personuppgifter får behandlas i sådana databaser. Regleringen ska vara ändamålsenlig på så vis att den ger goda förutsättningar för forskningen att använda personuppgifter för att skapa ny kunskap. En sådan reglering måste samtidigt säkerställa den enskildes fri- och rättigheter. Vårt förslag måste innefatta sådana skyddsåtgärder att den enskildes integritet skyddas på ett godtagbart sätt vid behandlingen av personuppgifter i forskningsdatabasen.

I 2 kap. regeringsformen, förkortad RF, finns bestämmelser som ger ett grundläggande skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Detta integritetsskydd får begränsas genom lag (2 kap. 20 §). Begränsningar i skyddet av den personliga integriteten får enligt 2 kap. 21 § RF göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och inte heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som föranlett den. I den typ av uppgiftssamling som en forskningsdatabas utgör kommer personuppgifter som avser ett stort antal människor att behandlas under lång tid. Det kan också handla om särskilt integritetskänsliga personuppgifter såsom uppgifter om sjukdomar och hälsotillstånd samt uppgifter om lagöverträdelser. Vi anser att forskningsdatabaser ska regleras i lag.

Vi föreslog i vårt delbetänkande7 en ny lag om reglering av personuppgiftsbehandling för forskningsändamål. Lagen skulle komplettera dataskyddsförordningen vid personuppgiftsbehandling för forskningsändamål. Syftet med förslaget var att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. Utbildningsdepartementet har i april 2018 lämnat ett utkast till en lagrådsremiss.8 Departementet föreslår dock inte någon forskningsdatalag. Enligt departementet ger dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) tillsammans

7SOU 2017:50. 8 Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för

forskningsändamål (Dnr U2018/01639/F).

med etikprövningslagen ett tillräckligt stöd för behandling av personuppgifter för forskningsändamål.

Mot denna bakgrund föreslår Forskningsdatautredningen att de nya bestämmelserna som gör det tillåtet med personuppgiftsbehandling i forskningsdatabaser ska finnas i en egen lag – lagen om forskningsdatabaser.

Lagen innebär en generell reglering av forskningsdatabaser. Det hindrar i och för sig inte att vissa forskningsdatabaser kan ha en specialreglering. Det är upp till lagstiftaren att bedöma om en forskningsdatabas är av en sådan karaktär att det av olika skäl vore lämpligare att reglera den i en särskild lag. Vår bedömning är dock att lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen) ska upphöra att gälla när lagen om forskningsdatabaser träder i kraft. Den eller de forskningsdatabaser som har byggts upp med stöd av denna lag kan lämpligen styras av vårt förslag till generell lagstiftning.

LifeGene-lagen tillkom för att ge ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och människors hälsa i övrigt. Lagens giltighetstid tidsbegränsades, först i avvaktan på beredningen av den översyn av förutsättningarna för registerbaserad forskning som gjordes av Registerforskningsutredningen,9 sedan i avvaktan på vår redovisning i detta betänkande. Lagens giltighetstid har förlängts, senaste gången till och med den 31 december 2020.10 Vårt förslag till lag om forskningsdatabaser innefattar en sådan reglering av forskningsdatabaser som kan ersätta den tillfälliga LifeGene-lagen.

8.4. Lagens innehåll och syfte

Vårt förslag: Lagen ska innehålla bestämmelser om behandling av

personuppgifter i en forskningsdatabas. Lagen ska även innehålla en bestämmelse om tystnadsplikt hos privata forskningshuvudmän.

9 Registerforskningsutredningens betänkande Unik kunskap genom registerforskning (SOU 2014:45). 10 Lag (2017:1102) om fortsatt giltighet av lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Syftet med lagen är att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades personliga integritet skyddas vid denna behandling.

Vi föreslår att lagen om forskningsdatabaser (forskningsdatabaslagen) ska inledas med en bestämmelse som beskriver vilken typ av regler som ska finnas i lagen. Lagen ska innehålla bestämmelser om behandling av personuppgifter i forskningsdatabaser. Därutöver kommer lagen att innehålla andra bestämmelser som behövs för att lagen ska fungera författningsmässigt, t.ex. bestämmelser om förhållande till annan lagstiftning och om tillämpningsområdet. I den inledande bestämmelsen ska också anges att det i lagen finns en bestämmelse om tystnadsplikt hos enskilda (privata) forskningshuvudmän.

För att behandling av personuppgifter i en forskningsdatabas ska kunna göras på ett lagligt sätt krävs en reglering som tydligt beskriver under vilka villkor det är tillåtet och vilka skyddsåtgärder som krävs (jämför avsnitt 8.2.3 om rättslig grund). Syftet med lagen är således att möjliggöra en sådan behandling.

Behandling av personuppgifter i en forskningsdatabas innebär ofta att stora mängder uppgifter om enskilda samlas in, bearbetas och används för forskningsändamål. Det är inte ovanligt att forskare kan ha behov av att behandla uppgifter som är närgångna för individen. Det kan t.ex. handla om uppgifter om politisk tillhörighet, sexuell läggning, relationer till andra m.m. För att nå ny kunskap om t.ex. sjukdomar och hur de bäst kan behandlas kan forskningen behöva uppgifter ur patientjournaler, hälsodataregister och kvalitetsregister. Det rör sig i sådana fall om uppgifter som är kategoriserade som känsliga enligt dataskyddsförordningen. Det kan också handla om forskningsprojekt där forskningen inriktar sig på att samla kunskap om olika brott m.m. I dessa fall måste forskaren behandla personuppgifter om lagöverträdelser. Även denna kategori omfattas av särskilda regler i dataskyddsförordningen. Oavsett om det rör sig om sådana personuppgifter eller andra måste behandlingen utföras med respekt för de registrerades integritet. Syftet med forskningsdatabaslagen är att möjliggöra för forskningen ändamålsenlig behandling samtidigt som de registrerades integritet skyddas.

Forskningsdatautredningen anser att det är möjligt att skapa en långsiktig reglering av forskningsdatabaser som innehåller sådana krav på skyddsåtgärder att den enskildes integritet får ett gott skydd. Vi

menar att det inte är en fråga om antingen personlig integritet eller god tillgång till personuppgifter för forskningen, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en forskningsverksamhet av hög kvalitet. Det handlar därför enligt utredningens uppfattning om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att stimulera kunskapsutvecklingen, vilket också är ett krav från lagstiftaren. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i forskningen. Å andra sidan är det inte heller så att utredningen föreslår att forskning ska få företräde framför integritetsskyddet. I kap. 7 utvecklar vi vår inställning till integritetsfrågorna ytterligare. Förslagen handlar om att öka förutsättningarna för forskning av hög kvalitet som kan bidra till nya kunskaper till nytta för individer och samhälle. För att detta ska vara möjligt är integritetsskydd givetvis en viktig beståndsdel.

Vi förslår därför att syftet med den nya lagen ska vara att möjliggöra behandling av personuppgifter i en forskningsdatabas. Syftet är också att säkerställa att de registrerades integritet skyddas vid denna behandling.

8.5. Förhållande till annan lagstiftning

Vårt förslag: Lagen ska innehålla kompletterande bestämmelser

till dataskyddsförordningen.

Om inte annat följer av forskningsdatabaslagen ska dataskyddslagen gälla.

Om det i en annan lag eller i en förordning finns bestämmelser om behandling av personuppgifter för forskningsändamål som avviker från forskningsdatabaslagen ska de bestämmelserna gälla.

Dataskyddsförordningen ska inte genomföras i svensk lagstiftning, utan ska i stället tillämpas direkt av enskilda, myndigheter och domstolar. När dataskyddsförordningen nu har börjat tillämpas kommer alltså den generella regleringen om behandling av personuppgifter att finnas i dataskyddsförordningen.

Den omständigheten att den nya generella unionsrättsakten om dataskydd är en förordning, och inte ett direktiv, innebär således om-

fattande begränsningar av möjligheten att införa eller behålla nationella bestämmelser om dataskydd. Dataskyddsförordningen både förutsätter och medger emellertid nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler.

Vissa av de kompletterande bestämmelser som behövs eller är lämpliga är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter och inte bara en viss sektor. Denna typ av generella bestämmelser finns samlade i den övergripande dataskyddslagen.

Dataskyddsförordningen har emellertid delvis en direktivliknande karaktär och tillåter i vissa avseenden att förordningens regler specificeras i nationell rätt. Detta följer bl.a. av artikel 6.2, där det anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som utförs med stöd av artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Medlemsstaterna får närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 framgår att detta även gäller för behandlingen av känsliga personuppgifter.

Av artikel 6.3 framgår vidare att, vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Detta innebär att det även fortsättningsvis finns ett utrymme för sådan sektorsspecifik särreglering om behandling av personuppgifter som finns i de svenska registerförfattningarna, t.ex. studiestödsdatalagen (2009:287) och domstolsdatalagen (2015:728). Den lag som vi förslår kommer att utgöra en sådan sektorsspecifik särreglering.

Forskningsdatabaslagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Detta innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen.

Lagen innehåller de kompletterande bestämmelser som behövs för att en behandling av personuppgifter i forskningsdatabaser ska vara förenlig med dataskyddsförordningen.

Den föreslagna forskningsdatabaslagen måste således tillämpas i kombination med flera andra rättskällor. Det är dataskyddsförordningen som utgör den centrala regleringen på området. Därutöver finns det och kommer att finnas ytterligare tillämpliga författningar i svensk rätt. Dataskyddsutredningens uppdrag att anpassa nationell lagstiftning till dataskyddsförordningen har resulterat i att personuppgiftslagen upphävts och att dataskyddslagen har införts.11

I enstaka fall kan bestämmelser i den lag som vi förslår komma att avvika från bestämmelser i dataskyddslagen. Om inte annat följer av den lag vi föreslår ska dataskyddslagen tillämpas.

Utöver den föreslagna forskningsdatabaslagen kommer det att finnas författningar med karaktären av registerförfattningar som innehåller bestämmelser som specifikt är inriktade på behandling av personuppgifter i en forskningsdatabas. Här kan t.ex. nämnas lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. I den mån en sådan registerförfattning innehåller avvikande bestämmelser, exempelvis i fråga om vilka skyddsåtgärder som ska tillämpas, får förutsättas att dessa bestämmelser är utformade efter de konkreta förutsättningarna för den specifika forskningsdatabasen. En sådan registerförfattning bör därför tillämpas framför forskningsdatabaslagen.

8.6. Regleringens territoriella tillämpningsområde

Vårt förslag: Forskningsdatabaslagen ska tillämpas vid behandling

av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige.

Etikprövningslagens tillämpningsområde ska ändras så att detta, vad avser behandling av personuppgifter, överensstämmer med det som ska gälla för forskningsdatabaslagen. När det gäller

11 Regeringens proposition Ny dataskyddslag (prop. 2017/18:105).

forskning som enbart avser olika fysiska ingrepp m.m. ska etikprövningslagen alltjämt tillämpas på forskning som ska utföras i Sverige.

8.6.1. Dataskyddslagstiftningens territoriella tillämpningsområde

Dataskyddsförordningen föreskriver att det fria flödet av personuppgifter inom unionen varken ska begränsas eller förhindras av skäl som hör ihop med skyddet för fysiska personer med avseende på behandling av personuppgifter (artikel 1.3). Det anges därutöver i skäl 159 att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om europeiska unionens funktionssätt.12

Dataskyddsförordningen är tillämplig på all behandling av personuppgifter inom ramen för den verksamhet en personuppgiftsansvarig eller personuppgiftsbiträde har i unionen, oavsett om behandlingen äger rum inom unionen eller inte (artikel 3.1). Detta är den så kallade

etableringslandsprincipen. Etableringslandsprincipen är utgångs-

punkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3).

Etableringslandsprincipen är huvudregel även för dataskyddslagens tillämpningsområde. Denna utgångspunkt har valts eftersom den harmonierar med regleringen i dataskyddsförordningen. Enligt 1 kap. 5 § första stycket dataskyddslagen gäller lagen vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Enligt samma stycke gäller lagen även vid behandling av personuppgifter som utförs av personuppgiftsansvariga som inte är etablerade i Sverige, men på en plats där svensk rätt gäller enligt folkrätten. Det saknar därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig. Omvänt gäller lagen, enligt huvudregeln, inte för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige.

12 Fördraget om europeiska unionens funktionssätt. Europeiska unionens officiella tidning C 326/47. 26.10.2012.

8.6.2. Forskningsdatabaslagens territoriella tillämpningsområde

Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Detta gäller inte minst i forskningssammanhang. Det är till exempel inte ovanligt att den som behandlar personuppgifter om personer i Sverige inte själv är etablerad i landet. På motsvarande sätt kan företag och organisationer som är etablerade i Sverige behandla personuppgifter om individer i andra länder utan att vara etablerade där.

Det förekommer ofta samarbete mellan forskningshuvudmän i olika länder. Forskare önskar och behöver kunna använda forskningsdata om forskningspersoner i andra länder. I forskningsprojekt behöver uppgifter om forskningspersoner i olika länder kunna utbytas och sammanställas. För att inte hindra att forskning bedrivs eller förhindra flödet av personuppgifter är det viktigt att forskare vet vilka bestämmelser de har att rätta sig efter. Utan reglering av det territoriella tillämpningsområdet kommer det att råda osäkerhet i denna fråga. Av rättssäkerhetsskäl bör det därför införas en uttrycklig bestämmelse om det territoriella tillämpningsområdet i forskningsdatabaslagen.

Etableringslandsprincipen är som vi konstaterade ovan utgångspunkten i dataskyddsförordningens reglering om det territoriella tillämpningsområdet (artikel 3.1 och 3.3). Ett val av etableringslandsprincipen som huvudregel för forskningsdatabaslagens tillämpningsområde skulle således överensstämma med såväl regleringen i dataskyddsförordningen som i dataskyddslagen.

Mot denna bakgrund bedömer vi att etableringslandsprincipen bör gälla som utgångspunkt även för forskningsdatabaslagens territoriella tillämpningsområde. Lagen bör tillämpas vid behandling av personuppgifter som utförs inom ramen för den verksamhet som bedrivs vid en personuppgiftsansvarigs verksamhetsställe i Sverige. Om forskningsdatabasens verksamhet bedrivs inom ramen för den personuppgiftsansvariges verksamhetsställe i Sverige kommer forskningsdatabaslagen att gälla även om behandlingen av personuppgifter avser personer i ett annat land. Omvänt kommer lagen inte att gälla för personuppgiftsansvariga som saknar verksamhetsställe i Sverige, även om de behandlar uppgifter om personer i Sverige. Avgörande för om

forskningsdatabaslagen ska tillämpas blir således om personuppgifterna behandlas inom ramen för en forskningsdatabas som drivs vid den personuppgiftsansvariges verksamhetsställe i Sverige, oavsett var själva personuppgiftsbehandlingen rent fysiskt äger rum.

När det gäller tillämpningsområdet för dataskyddslagen ska den enligt 1 kap. 5 § andra stycket, utöver vad som anges i första stycket, dessutom gälla vid behandling av personuppgifter som avser registrerade som befinner sig i Sverige och som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som endast är etablerade i tredjeland, om behandlingen har anknytning till utbjudande av varor eller tjänster till registrerade i Sverige, eller övervakning av registrerades beteende i Sverige. Detta stadgande överensstämmer med vad som gäller för dataskyddsförordningens tillämpningsområde enligt artikel 3.2 a och b. Eftersom behandling av personuppgifter för forskningsändamål inte har någon anknytning till utbjudande av varor eller tjänster eller övervakning av registrerades beteende bedömer vi att någon motsvarighet till bestämmelsen i dataskyddslagen i denna del inte behöver införas i forskningsdatabaslagen.

8.6.3. Etikprövningslagens territoriella tillämpningsområde

Etikprövningslagen ska enligt gällande rätt tillämpas på forskning13som ska utföras i Sverige (5 § etikprövningslagen). Regleringen i dataskyddsförordningen, i dataskyddslagen och i den ovan föreslagna bestämmelsen i forskningsdatabaslagen bygger på ett tillämpningsområde som är relaterat till var den personuppgiftsansvarige är etablerad och till att behandling av personuppgifter utförs inom ramen för den verksamhet som denne bedriver, oberoende av var behandlingen faktiskt äger rum. Regleringen i etikprövningslagen utgår i stället från var forskningen som innefattar personuppgiftsbehandling utförs.

I de allra flesta fall skulle det föreslagna tillämpningsområdet för forskningsdatabaslagen innebära att regleringen i den lagen och etikprövningslagen ändå är förenliga. I vissa fall skulle dock situationen kunna vara sådan att personuppgiftsbehandling som utförs inom ramen för en forskningsdatabas som drivs av en forskningshuvudman som har verksamhetsställe i Sverige rent faktiskt äger rum utanför

13 Enligt vår bedömning är den tillämpliga rättsliga grunden för personuppgiftsbehandling i en forskningsdatabas att behandlingen är nödvändig för forskningsändamål, se avsnit t 8.2.3.

Sverige. Etikprövningslagen skulle i sådana fall inte vara tillämplig. Det kan alltså uppstå situationer då lagarnas territoriella tillämpningsområde inte är helt förenliga.

Etikprövningslagen ska enligt 3 § tillämpas på forskning som innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser.14 Enligt 4 § ska dessutom forskning som innefattar olika fysiska ingrepp och studier på biologiskt material från människor etikprövas. I praktiken innefattar en övervägande del av ärendena en prövning av om behandlingen av personuppgifter görs på ett godtagbart sätt.

Vi föreslår att etikprövning av en forskningsdatabas ska vara ett grundläggande villkor för att forskningsdatabasen ska vara tillåten enligt forskningsdatabaslagen. Vi föreslår också att varje forskningsprojekt som ska bedrivas med hjälp av uppgifter i en forskningsdatabas måste vara etikgodkänt.

Dataskyddsförordningen lämnar utrymme för medlemsstaterna att införa mer strikta regler för behandling av känsliga personuppgifter, bland annat för hälsorelaterade syften. Om behandlingen av känsliga personuppgifter begränsas genom bestämmelser i nationell lagstiftning bör den inte hindra det fria flödet av personuppgifter inom unionen, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter (skäl 53).

Etikprövning utgör en sådan lagstadgad skyddsåtgärd som krävs vid behandling av känsliga personuppgifter enligt dataskyddsförordningen (artikel 9.2 j). Enligt 5 § etikprövningslagen är etikprövning dock endast möjlig för forskning som genomförs i Sverige. Internationell forskning med stöd av forskningsdatabaser skulle med etikprövningslagens nuvarande tillämpningsområde försvåras i de fall behandlingen behöver utföras utanför landets gränser. Denna bristande överensstämmelse mellan de olika lagarna skulle kunna utgöra ett hinder för den fria rörligheten av personuppgifter för forskningsändamål inom unionen. Enligt skäl 53 till dataskyddsförordningen bör nationella skyddsåtgärder inte hindra det fria flödet av personuppgifter inom unionen, när de tillämpas på gränsöverskridande behandling av sådana uppgifter. Denna icke önskvärda konsekvens skulle ytterligare förstärkas om det, enligt vårt förslag (se avsnitt 8.11.2),

14 Enligt förslag till ändring i etikprövningslagen i utkast till lagrådsremiss om personuppgiftsbehandling för forskningsändamål, ska hänvisningen till personuppgiftslagen i 3 § bytas till en hänvisning till artikel 9.1. i dataskyddsförordningen, se Utbildningsdepartementets utkast till lagrådsremiss Behandling av personuppgifter för forskningsändamål (Dnr U2018/01639/F).

införs ett obligatoriskt etikprövningsförfarande vid uthämtandet av uppgifter från en forskningsdatabas.

Vid införandet av etikprövningslagen övervägdes om lagens tillämpningsområde även skulle avse sådan forskning som utförs utanför Sverige, om forskningshuvudmannen har sitt säte (hemvist) i Sverige. Regeringen ansåg då att ytterligare överväganden behövde göras beträffande konsekvenserna av ett sådant system och föreslog att etikprövning skulle göras av forskning som ska utföras i Sverige.15

Mot bakgrund av att etikprövningslagen i så stor omfattning handlar om villkor för behandling av personuppgifter bedömer vi att tillämpningsområdet för denna lag bör utgå från samma princip som dataskyddslagstiftningen i övrigt. Vi anser således att huvudregeln bör vara att det är etableringsprincipen som ska ligga till grund för etikprövningslagens tillämpningsområde. Det är möjligt att det åtminstone i teorin kan förekomma enstaka forskningsprojekt som inte behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser och som därför enbart ska prövas med stöd av 4 § etikprövningslagen. För sådana prövningar anser vi att det nuvarande tillämpningsområdet ska få finnas kvar.

Vi föreslår att etikprövningslagens bestämmelse om territoriellt tillämpningsområde ska ändras på så sätt att det enligt en huvudregel överensstämmer med forskningsdatabaslagens föreslagna tillämpningsområde. Etableringslandsprincipen ska gälla för de båda lagarna på samma sätt som för dataskyddslagstiftningen i övrigt.

Vårt förslag innebär att etikprövningslagen ska tillämpas på forskningsdatabaser och forskning som ska utföras inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. När det gäller forskning som enbart avser olika fysiska ingrepp m.m. ska lagen tillämpas på forskning som ska utföras i Sverige.

8.7. Definitioner

Vårt förslag: I den föreslagna forskningsdatabaslagen ska det in-

föras en definition av begreppet forskningsdatabas.

Med forskningsdatabas ska avses en databas (uppgiftssamling) med personuppgifter som samlas in från enskilda individer eller

15 Regeringens proposition Etikprövning av forskning (prop. 2002/03:50), s. 109.

från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt.

Med forskningshuvudman ska avses detsamma som i etikprövningslagen.

I etikprövningslagen ska med forskningsdatabas avses detsamma som i forskningsdatabaslagen.

Utredningen föreslår att det grundläggande begreppet forskningsdatabas definieras i forskningsdatabaslagens inledning. I detta kapitel motiverar vi varför just detta begrepp bör ha en legaldefinition i den författning vi föreslår. Utöver detta ska anges att forskningsdatabaslagen använder samma definition av begreppet forskningshuvudman som i etikprövningslagen. I kap. 3 finns en utförligare redovisning av de begrepp som är relevanta för vår utredning.

Vi föreslår också att etikprövningslagen ska använda samma definition av forskningsdatabaser som i forskningsdatabaslagen.

8.7.1. Forskningsdatabas

Vi definierar forskningsdatabas som en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från andra källor och som är en nationell resurs för att tillhandahålla uppgifter till flera olika forskningsprojekt. Utanför lagens definition faller således forskningsregister som har skapats för ett visst projekt, en del av ett projekt eller på ett på liknande sätt bestämd forskning. Motivet till denna definition, och skillnaden gentemot Registerforskningsutredningens, har behandlats i avsnitt 3.3.3. Eftersom detta begrepp utgör en avgränsning av forskningsdatabaslagens tillämpningsområde anser vi att det finns skäl att ta in definitionen direkt i författningstexten.

Denna definition kommer också att ha betydelse för tillämpningen av etikprövningslagen. Vi föreslår därför att etikprövningslagen ska hänvisa till forskningsdatabaslagens definition av begreppet.

8.7.2. Forskningshuvudman

Begreppet forskningshuvudman har behandlats i avsnitt 3.3.6. Eftersom vi föreslår att forskningshuvudmän under vissa förutsättningar ska få behandla personuppgifter i en forskningsdatabas är det nödvändigt att tydliggöra i författningstexten att begreppet definieras på samma sätt som i 2 § etikprövningslagen.

8.8. Skapandet av en forskningsdatabas

8.8.1. Behov av reglering i detta steg av livscykeln

Behovet av att skapa en forskningsdatabas hos en forskningshuvudman kan uppkomma av flera olika orsaker. Den kan också upprättas från olika utgångspunkter. Vi kan börja med att föreställa oss att flera olika forskare hos en forskningshuvudman har behov av ungefär samma uppgifter om enskilda för olika forskningsprojekt. Forskningshuvudmannen har också anledning att förvänta att det kommer att starta fler forskningsprojekt även utanför den egna verksamheten som kommer att ha användning av dessa uppgifter. I stället för att flera olika forskningsprojekt eller forskningsprogram (se avsnitt 3.3.7) ska begära ut samma uppgifter från en eller flera myndigheter, kan forskningshuvudmannen finna att det vore bättre att upprätta en forskningsdatabas. Forskningshuvudmannen har alltså identifierat behov av en uppgiftssamling med breda ändamål som servar flera forskningsprojekt eller program. Det kan också vara så att det finns behov av att forska med hjälp av insamlade uppgifter över tid, dvs. longitudinellt.

Behovet av att skapa en forskningsdatabas kan också uppmärksammas i ett senare skede. En uppgiftssamling som nyttjas av ett forskningsprojekt eller ett forskningsprogram har blivit intressant för flera forskningsprojekt. Efter att ha hanterat flera olika förfrågningar om utlämnande av uppgifter, gör forskningshuvudmannen bedömningen att det vore lämpligt att omvandla uppgiftssamlingen till en forskningsdatabas.

Forskningsdatautredningen anser att det är lämpligt att reglera vilka villkor som ska vara uppfyllda för att forskningshuvudmannen ska få skapa en forskningsdatabas i sin verksamhet. Det är också en

viktig säkerhetsåtgärd att reglera vilka forskningshuvudmän som ska få behandla personuppgifter i en forskningsdatabas.

I följande avsnitt redovisar utredningen de bestämmelser som vi anser är nödvändiga för att forskningsdatabaser ska skapas på ett säkert sätt.

8.8.2. Ansvar för forskningsdatabasen

Vårt förslag: Statliga och kommunala myndigheter ska få vara

personuppgiftsansvariga för behandling av personuppgifter i en forskningsdatabas liksom även juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter.

Personuppgiftsansvaret

Av definitionen i artikel 4 i dataskyddsförordningen framgår att personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Motsvarande gäller enligt artikel 2 d i dataskyddsdirektivet. Det är således, precis som enligt dataskyddsdirektivet, tillåtet även enligt dataskyddsförordningen att i nationell lagstiftning peka ut vem som är personuppgiftsansvarig. Om den personuppgiftsansvarige finns angiven i befintlig lagstiftning, får det förutsättas att även ändamål och medel för behandlingen av personuppgifter har bestämts i nationell rätt.16

16 Socialdataskyddsutredningens betänkande Dataskydd inom Socialdepartementets verksam-

hetsområde – en anpassning till EU:s dataskyddsförordning (SOU 2017:66), s. 214 ff. samt

regeringens proposition Dataskydd inom Socialdepartementets verksamhetsområde – en

anpassning till EU:s dataskyddsförordning (prop. 2017/18:171), s. 191.

Vilka som får vara personuppgiftsansvariga för personuppgiftsbehandling i en forskningsdatabas

Det är vanligt att det i registerförfattningar pekas ut vem som är personuppgiftsansvarig för den behandling som regleras i den särskilda lagstiftningen. Ur ett integritetsskyddsperspektiv är det lämpligt att i en registerförfattning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Det bör därför av forskningsdatabaslagen klart framgå att det är vissa i lagen bestämda forskningshuvudmän som får vara personuppgiftsansvariga för personuppgiftsbehandling i forskningsdatabaser och som ansvarar för att det görs på ett ändamålsenligt och säkert sätt. I ett tidigare avsnitt, 8.2.3, har vi redogjort för vilken rättslig grund för behandling av personuppgifter som olika forskningshuvudmän kan finna stöd i.

En betydande del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid universitet och högskolor, men det bedrivs omfattande forskningsverksamhet också vid många andra offentliga organ. Flera andra statliga myndigheter har en uttalad forskningsuppgift inom ramen för sin ordinarie verksamhet och i såväl kommuner som landsting pågår forskning där personuppgifter används. I vårt delbetänkande har vi skrivit mer om forskning hos olika offentliga aktörer.17

Flera av de landsting som svarade på remissen av Registerforskningsutredningens betänkande uttryckte missnöje med att kommuner och landsting inte enligt det förslaget skulle få ansvara för forskningsdatabaser. Remissinstanserna anförde bl.a. att förslaget förbisåg sjukvårdshuvudmännens roll och ansvar för den kliniska medicinska forskningen i relation till registerforskning. Landstingen är nämligen också forskningshuvudmän och verksamma inom registerforskning. Det framkom också av svaren att det i dag finns många forskningsdatabaser inom landstingen och regionerna.

Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund. Kommuner och landsting får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar. De har möjlighet att genom beslut om reglementen för verksamheten se till att forskningsuppgiften blir fastställd i

17SOU 2017:50 s. 134 ff.

enlighet med rättsordningen i Sverige och de kan då basera personuppgiftsbehandling som är nödvändig för att utföra forskningsuppgiften på den rättsliga grunden uppgift av allmänt intresse.

Universitet och högskolor bedriver forskning och har behov av att behandla personuppgifter i forskningsdatabaser. Samarbetet mellan forskare ökar i snabb takt och digitaliseringen har inneburit radikala förbättringar av forskares möjligheter att på distans koppla upp sig mot gemensamma resurser, bland annat i form av gemensamma forskningsdatabaser (se kap. 4). Utredningen har vid samtliga besök på lärosäten fått del av exempel på uppbyggnad av forskningsdatabaser och erfarit krav på att dessa regleras på ett ändamålsenligt sätt. Vetenskapsrådet uppmuntrar vidare bildandet av samarbeten mellan forskningshuvudmän i konsortier för att skapa nationellt och internationellt tillgängliga forskningsdatabaser. De flesta sådana institutioner är offentliga, men det finns också privata forskningshuvudmän.

Registerforskningsutredningen föreslog att enbart statliga universitet och högskolor skulle få bygga upp forskningsdatabaser så länge som det inte finns någon reglerad tystnadsplikt för forskning som bedrivs av de privata lärosätena.18 Forskningsdatautredningen föreslår att sådana krav på en forskningshuvudman ska införas (se avsnitt 8.9.6) och att de privata lärosäten som har examensrätt i övrigt ska omfattas av samma skyddsregler för forskning som de offentliga.

De privata högskolorna, som bl.a. Chalmers tekniska högskola, Röda Korsets högskola och Stiftelsen Högskolan i Jönköping utför uppgifter i sin verksamhet som i allt väsentligt liknar den verksamhet som utförs vid de offentligt finansierade högskolorna. De privata högskolorna har, liksom de offentliga, tillstånd att examinera. Detta framgår av lagen (1993:792) om tillstånd att utfärda vissa examina. Av den lagen framgår det att utbildningen ska bedrivas så att den uppfyller kraven som ställs i högskolelagens första kapitel. I övrigt gäller inte högskolelagen för dessa aktörer. För varje examen som tillståndet gäller ska utbildningen dessutom uppfylla de särskilda krav som gäller enligt examensordningen som är en bilaga till högskoleförordningen. Av första kapitlet i högskolelagen framgår det att högskolorna ska verka för att utbildning och forskning håller god kvalitet samt att man ska verka för att de forskningsresultat som är tillkomna vid högskolan kommer till nytta.

18SOU 2014:45, s. 427 ff.

Vidare gäller offentlighetsprincipen för många privata lärosäten, som t.ex. Chalmers tekniska högskola och Stiftelsen Högskolan i Jönköping samt, i begränsad omfattning, Handelshögskolan i Stockholm. Detta regleras i en bilaga till OSL. Där finns reglerat vilka övriga juridiska personer – s.k. jämställda organ – som omfattas av offentlighetsprincipen. Dessa kan vara statliga aktiebolag, ekonomiska föreningar eller stiftelser, men även andra privaträttsliga organ än statliga företag. Förekommer organet i bilagan till OSL innebär detta enligt 2 kap. 4 § OSL att organet måste tillämpa offentlighetsprincipen och i sådana fall bara i den verksamhet som anges i bilagan. Utöver att de organ som är uppräknade i bilagan omfattas av offentlighetsprincipen omfattas de även av reglerna för statliga myndigheters arkiv enligt arkivlagen (1990:782). Vi anser att forskningshuvudmän som ska ansvara för forskningsdatabaser ska vara likställda på så sätt att de omfattas av samma regler om bevarande av allmänna handlingar och sekretess.

För de studenter och forskare som är verksamma vid en högskola är det i praktiken ingen formell skillnad mellan att vara verksam vid en offentlig eller privat finansierad högskola. Vår bedömning är därför att såväl offentliga som privata högskolor utför uppgifter av allmänt intresse. Vi bedömer att det inte finns några skäl att göra skillnad mellan offentliga lärosäten och privata sådana som har examensrätt och som enligt OSL jämställs med myndigheter. Vi anser att såväl offentliga som vissa privata lärosäten ska få vara personuppgiftsansvariga för behandling av personuppgiftsbehandling i forskningsdatabaser.

Inom staten utförs forskning främst vid universitet och högskolor, men även hos vissa andra myndigheter. Behov av att bygga upp forskningsdatabaser kan uppkomma även hos sådana myndigheter samt hos kommunala myndigheter (kommuner och landsting). Kommunala myndigheter som är vårdgivare bedriver omfattande forskning. Vi anser att myndigheter som har i uppdrag att bedriva forskning också ska få ansvara för forskningsdatabaser.

Vi föreslår därför att såväl de statliga högskolorna och universiteten som omfattas av högskolelagen som de privata lärosätens som omfattas av offentlighetsprincipen samt har examensrätt ska få behandla personuppgifter i forskningsdatabaser. Även andra myndigheter än sådana som bedriver undervisning ska få ansvara för forskningsdatabaser, om forskning ingår i deras uppdrag.

8.8.3. De övergripande ändamålen med en forskningsdatabas

Vårt förslag: I en forskningsdatabas ska personuppgifter få

behandlas för ändamålet att skapa underlag för olika forskningsprojekt och för att lämna ut uppgifter till flera olika forskningsprojekt inom ett angivet forskningsområde.

Vi anser att det i forskningsdatabaslagen ska finnas bestämmelser som beskriver de övergripande ändamålen för vilka behandling av personuppgifter i en sådan databas ska vara tillåten. Dessa ändamål är relativt breda. Varje enskild forskningsdatabas ska sedan ha särskilt angivna ändamål (se avsnitt 8.8.4).

Forskningshuvudmannens övergripande syfte med forskningsdatabasen ska vara att skapa en uppgiftssamling som kan användas som underlag för olika forskningsprojekt. Syftet med behandlingen ska inte vara att skapa underlag för ett visst, redan definierat projekt utan att samla in uppgifter som kan utgöra underlag för olika framtida forskningsprojekt. I definitionen av en forskningsdatabas anges att uppgiftssamlingen ska vara en nationell resurs. En databas som endast är tillgänglig för en begränsad krets användare utgör således inte en forskningsdatabas enligt vår definition.

Med begreppet ”skapa underlag” avses olika former av behandlingar som krävs för att föra en välfungerande databas, såsom insamling, registrering, bevarande och uppdatering av personuppgifter.

Det andra syftet med forskningsdatabasen ska vara att lämna ut uppgifter till flera olika forskningsprojekt. Utlämnande till forskning får bara göras under förutsättning att projektet godkänts enligt 6 § etikprövningslagen. Detta villkor ska också framgå av lagen (se avsnitt 8.8.6). Godkännande krävs oavsett vilken typ av personuppgifter som ska behandlas, det vill säga även om behandlingen inte omfattar känsliga personuppgifter eller uppgift om lagöverträdelser med mera.

Uppgifter i en forskningsdatabas ska få lämnas ut både till forskningsprojekt som drivs av en statlig myndighet och till forskningsprojekt hos en privat forskningshuvudman.

Vi föreslår dessutom att personuppgifter i en forskningsdatabas också ska få användas för utlämnande till en utredning av oredlighet i

forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning (se avsnitt 8.11.2).

8.8.4. Grundläggande villkor för skapandet av en forskningsdatabas

Vårt förslag: En forskningshuvudman ska i ett beslut om att skapa

en forskningsdatabas fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.

Personuppgifter får behandlas i en forskningsdatabas under förutsättning att

1. den har godkänts enligt lagen om etikprövning av forskning som avser människor, och

2. forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om begränsning av de ändamål för vilka uppgifter får behandlas i en forskningsdatabas, begränsningar av de uppgifter som en databas får innehålla, och om begränsningar av behandling av uppgifter i en forskningsdatabas.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen av en forskningsdatabas.

Beslut om skapandet av forskningsdatabasen och om vilka uppgifter som ska behandlas och för vilka särskilda ändamål

Ett nytt krav i dataskyddsförordningen är att den personuppgiftsansvarige ska ansvara för och kunna visa att den följer förordningens principer för behandling av personuppgifter. Det nya kravet omtalas ibland i termer av en ny princip, vilken då kallas för principen om ansvarsskyldighet.

Vårt förslag till reglering av forskningsdatabaser utgår från den principen. Det är den personuppgiftsansvarige som ska ansvara för att behandlingen av personuppgifter är laglig och korrekt. Det innebär att forskningshuvudmannen måste ta ansvar för sin behandling av personuppgifter i en forskningsdatabas och förvissa sig om att det

görs på ett korrekt sätt. Forskningshuvudmannen ska därför enligt vårt förslag manifestera sitt ansvarstagande genom att fatta ett beslut om att skapa en forskningsdatabas.

En forskningshuvudman som enligt vårt förslag är berättigad till att behandla personuppgifter i en forskningsdatabas måste ha god kontroll över den behandlingen. God kontroll är en förutsättning för att kunna ta ansvar för forskningsdatabasen och personuppgiftsbehandlingen. Vi anser därför att forskningshuvudmannen ska fatta ett uttryckligt beslut om att en viss forskningsdatabas ska inrättas.

I beslutet ska forskningshuvudmannen fastställa vilka uppgifter som ska behandlas i forskningsdatabasen och för vilka ändamål dessa uppgifter är nödvändiga att behandla.

Vi anser att det är lämpligt att även annan grundläggande information om databasen går att utläsa av beslutet. Beslutet bör bifogas ansökan om etikprövning av forskningsdatabasen. Det utgör ett viktigt underlag för prövningen. Detta är ett dokument som också kan vara betydelsefullt för tillsynsmyndigheterna och Vetenskapsrådet.

Innan forskningshuvudmannen börjar samla in uppgifter till en forskningsdatabas eller omvandlar en existerande uppgiftssamling till en forskningsdatabas, måste huvudmannen således kunna precisera ändamålet och vilka uppgifter som ska samlas in något mer än vad som framgår av det övergripande ändamålet för forskningsdatabaser; att skapa underlag för olika forskningsprojekt. Det kan t.ex. handla om att precisera vilka typer av forskningsprojekt som forskningsdatabasen ska kunna utgöra underlag till, vilka forskningsfrågor som ska besvaras, inom vilka forskningsområden projekten ska genomföras och vilken typ av uppgifter som ska samlas in till en viss närmare angiven typ av forskning.

Även om ändamålet för en forskningsdatabas måste vara preciserat och alltså inte utgöras av ett generellt ändamål såsom ”stöd till framtida forskning” bör det ändå kunna vara relativt brett. Det bör kunna utformas på motsvarande sätt som i LifeGene-lagen: ”...att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.”19 Ändamålet kan också avgränsas till en sjukdom eller en sjukdomsgrupp. Ett exempel på detta är PCBaseSweden, vars ändamål beskrivs vara en databas för klinisk epidemiologisk forskning om prostatacancer baserad på länkningar

19 1§ LifeGene-lagen.

mellan nationella prostatacancerregistret och andra nationella register.20 Den demografiska databasen (DDB) vid Umeå universitet har en bred uppgift. Enligt dess fortfarande gällande förordning är den ”att registrera och bearbeta huvudsakligen demografiska och historiska data för forsknings-, utbildnings- och arkivändamål samt att göra dessa data tillgängliga för forskare.” DDB ska dessutom enligt förordningen verka för vetenskapligt samarbete och metodutveckling.21

En forskningsdatabas ska kunna innehålla uppgifter som samlas in direkt från enskilda, uppgifter från olika myndighetsregister och från andra källor, t.ex. privata forskningshuvudmän.

De grundläggande ändamålen med registret ska således vara dels att skapa underlag för olika tänkbara framtida forskningsprojekt (t.ex. om uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt), dels att lämna ut uppgifter till sådan forskning under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen.

Vi förslår att forskningshuvudmannen sedan ska precisera de grundläggande ändamålen genom att bestämma vilka uppgifter som ska få behandlas och de närmare ändamålen för behandling av personuppgifter i den forskningsdatabas som ska upprättas. I detta sammanhang måste forskningshuvudmannen se till att samtliga de grundläggande principerna som framgår av artikel 5 i dataskyddsförordningen kan uppfyllas. Utöver kraven på ändamålsbegränsning i artikel 5.1 b (att uppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål) är även principen om uppgiftsminimering i artikel 5.1 c av central betydelse. Av dess krav på att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas följer att det angivna särskilda ändamålet blir styrande för vilka uppgifter som får samlas in i forskningsdatabasen.

20 Hagel E, Garmo H, Bikll-Axelson A, Bratt O, Johansson JE, Adolfsson J, Lambe M, Stattin P. PCBase Sweden: a register based resource for prostate cancer research. Scan J Urolo Nephrol 2009; 43(5), s. 342–349. 21 2 § Förordning om demografiska databasen vid universitetet i Umeå 1990-05-03 (UHÄ-FS 1990:8).

Forskningsdatabasen ska etikprövas

Ytterligare ett grundläggande villkor för att personuppgiftsbehandling i en forskningsdatabas ska vara tillåten ska vara att forskningsdatabasen är etikgodkänd. Kravet på ett externt godkännande av forskningsdatabasen utgör en nödvändig skyddsåtgärd i vårt förslag till en långsiktig reglering av forskningsdatabaser. I följande två avsnitt (8.8.5 och 8.8.6) presenterar vi detta förslag ytterligare.

Finansieringen ska vara säkerställd

Det ska också vara ett villkor att forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen. Ändamålet med en databas är att skapa underlag för olika framtida forskningsprojekt och att lämna ut uppgifter till forskningsprojekt. För att uppfylla sitt syfte måste forskningsdatabasen bevaras under en längre tid för att möjliggöra longitudinella studier eller jämförande studier över tid.

För att garantera långsiktighet och kvalitet i verksamheten bör finansieringen av forskningsdatabasen därför vara säkerställd under så lång tid att ändamålet med forskningsdatabasen kan uppfyllas. För att forskningsdatabasen verkligen ska bli till nytta för sitt ändamål måste den som ansvarar för databasen bl.a. ha kompetens och tillräckliga resurser för att behandla förfrågningar om uttag ur forskningsdatabasen inom rimlig tid.

Enligt utredningen är även en tryggad finansiering en viktig säkerhetsåtgärd. Finansieringen ska kunna säkerställa att forskningshuvudmannen över tid har tillräckliga resurser för den organisation och de säkerhetsåtgärder som krävs för en laglig, ändamålsenlig och säker behandling av personuppgifter. Det är viktigt att det finns tillräcklig finansiering också för avveckling av en forskningsdatabas.

Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om finansieringen. Det kan t.ex. handla om att bestämma för hur lång tid finansieringen av en forskningsdatabas måste vara säkerställd.

Sammanfattning

För att forskningshuvudmannen ska få skapa en forskningsdatabas, ska alltså följande villkor vara uppfyllda.

  • Forskningshuvudmannen har fastställt vilka uppgifter som får behandlas i forskningsdatabasen.
  • Forskningshuvudmannen har fastställt för vilka särskilda ändamål dessa uppgifter är nödvändiga att behandla.
  • Forskningsdatabasen ska vara godkänd enligt etikprövningslagen.
  • Forskningshuvudmannen har säkerställt finansieringen av forskningsdatabasen.

Vi föreslår också att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om

  • begränsning av de ändamål för vilka uppgifter får behandlas i en databas,
  • begränsningar av de uppgifter som en forskningsdatabas får innehålla,
  • begränsningar av behandling av uppgifter i en forskningsdatabas, och
  • finansieringen av en forskningsdatabas.

8.8.5. En forskningsdatabas ska etikprövas

Vårt förslag: Tillämpningsområdet för etikprövningslagen ska

ändras så att det också omfattar sådan forskning som innefattar behandling av personuppgifter i en forskningsdatabas. Ett godkännande av Etikprövningsmyndigheten ska få avse en forskningsdatabas.22

Vid etikprövning av en forskningsdatabas bör Etikprövningsmyndigheten besluta inom 120 dagar.

En ny ansökningsavgift föreslås för ansökningar om etikprövning av forskningsdatabaser.

22 Vi föreslår att våra författningsändringar träder i kraft den 1 juli 2019. Vi hänvisar därför genomgående i våra förslag till den nya organisation med en etikprövningsmyndighet som har beslutats träda i kraft den 1 januari 2019 (se avsnitt 5.4.1) i stället för till nu gällande regionala etikprövningsnämnder.

Inledning

Vi anser att en uppgiftssamling som är en nationell resurs och som ska användas som underlag för flera olika framtida forskningsprojekt måste vara kringgärdad av skyddsåtgärder. Vi föreslår genom vår reglering ett flertal villkor för och krav på skyddsåtgärder för att få skapa och driva en forskningsdatabas. En ytterligare säkerhetsåtgärd är att kräva någon form av externt godkännande av forskningsdatabasen.

Etikprövning av forskningsprojekt är en etablerad skyddsåtgärd. I delbetänkandet redovisade vi som vår bedömning att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig och särskild åtgärd som krävs vid behandling av känsliga personuppgifter för forskningsändamål enligt artikel 9.2 j i dataskyddsförordningen.

Vi gjorde även bedömningen att etikprövning enligt etikprövningslagen utgör en sådan fastställd lämplig skyddsåtgärd som krävs för behandling av personuppgifter om lagöverträdelser m.m. enligt artikel 10 i dataskyddsförordningen.23

Etikprövning av forskningsdatabaser

Eftersom det redan finns en välfungerande mekanism för att godkänna forskning anser vi att det är lämpligt att utvidga denna möjlighet till prövning till att också omfatta en forskningsdatabas i sig.

Möjligheten att utvidga etikprövningslagens tillämpningsområde på detta sätt övervägdes också av Registerforskningsutredningen.24Mot bakgrund av det förslag till reglering som föreslogs ansåg utredaren dock att det inte var en lämplig lösning:

Den beredning som VR förutsätts göra och den prövning som sedan regeringen gör inför en ny databasförordning kan förutsättas innehålla etiska överväganden av det slag som utförs av en etikprövningsnämnd. Regeringen har i denna process möjlighet att inhämta åsikter från till exempel Centrala etikprövningsnämnden, SCB och Datainspektionen för att på detta sätt belysa förslagets etiska aspekter. Jag menar därför att etikprövningsnämndens tillämpningsområde inte bör utvidgas till att omfatta även skapandet av forskningsdatabaser.

23SOU 2017:50, s. 332 ff. 24SOU 2014:45, s. 424 ff.

Registerforskningsutredningen föreslog en lösning med en centraliserad beslutsprocess avseende inrättande av forskningsdatabaser. Vetenskapsrådet skulle förslå för regeringen vilka forskningsdatabaser som skulle få bildas och sedan skulle regeringen fatta beslut. Det framstår som om utredaren ansåg att den prövning som den centraliserade lösningen innebär motsvarar en etikprövning.

Vi föreslår till skillnad från Registerforskningsutredningen en decentraliserad beslutsprocess, där varje enskild forskningshuvudman beslutar om att inrätta en forskningsdatabas i den egna verksamheten. Vi bedömer därför att en centraliserad, utomstående bedömning i form av etikprövning av forskningsdatabasen i sig är en lämplig skyddsåtgärd.

Vårt förslag till reglering av forskningsdatabaser innebär att etikprövningslagen måste få ett vidare tillämpningsområde och ett antal nya bestämmelser. Etikprövning ska omfatta såväl själva forskningsdatabasen, som all forskning som ska utföras med hjälp av personuppgifter i den. För att forskningsdatabasen ska få lämna ut uppgifter till forskning, ska forskningsprojekten vara godkända genom etikprövning. Se vidare om utlämnande för forskning i avsnitt 8.11.2.

I delbetänkandet lämnade vi ett författningsförslag avseende 3 § etikprövningslagen för att anpassa lagen till dataskyddsförordningen. När det gäller dessa anpassningar hänvisar vi till våra överväganden i delbetänkandet.25 Vi föreslår nu att lagens tillämpningsområde utvidgas. Lagen ska tillämpas även på forskning som innefattar behandling av personuppgifter i en forskningsdatabas och på forskning som använder personuppgifter som samlas in från en forskningsdatabas. Detta ska framgå av 3 § etikprövningslagen.26

25SOU 2017:50 s. 346 ff. 26 I vårt författningsförslag i detta betänkande, avsnitt 1.3, återfinns den lydelse av 3 § första och andra punkterna etikprövningslagen som vi föreslog i SOU 2017:50.

Ansökningsavgifter och Etikprövningsmyndighetens beslut

Avgifterna för etikprövningsärenden sätts av regeringen.27 Dessa avgifter ska beräknas så att full kostnadstäckning för prövningen uppnås.28 I praktiken uppnås inte detta i dag,29 utan nämndernas kostnad per ärende överstiger den schabloniserade avgiften (normalt 5 000 kronor) med mellan 20 och 85 procent. För ändringsärenden enligt 4 § etikprövningslagen överstiger nämndernas faktiska kostnader den schabloniserade avgiften (2 000 kronor) med mellan 85 till 183 procent.30 Frågan om avgifter för etikprövningsärenden har utretts i samband med utredande av en ny organisation för etikprövning (där en avgiftshöjning till 8 000 kronor för annan forskning än klinisk läkemedelsprövning föreslås, samt en höjning till 3 000 kronor för ändringsärenden)31. För just ärenden som rör klinisk läkemedelsprövning har föreslagits ett nytt förfarande, där kostnaden för den del av ansökningsavgiften för tillstånd att utföra klinisk läkemedelsprövning som avser etisk granskning bör vara 21 000 kronor.32 Vi utgår dock i vår bedömning från de avgifter som gäller i dag.

Vi gör bedömningen att ett ärende om etikprövning av forskningsdatabaser i genomsnitt kommer att vara mer resurskrävande än andra etikprövningar, men att det är svårt att säga exakt hur mycket mer resurskrävande. Vi gör ett schablonartat antagande att den nya typen av prövning kommer kunna vara dubbelt så resurskrävande som en vanlig prövning. Ett genomsnittligt ärende har i dag en kostnad på cirka 7 500 kronor. En rimlig avgift för ansökan om forskningsdatabas skulle därför inledningsvis kunna sättas till 15 000 kronor. Vi föreslår att en sådan bestämmelse tas in i bilaga 2 till etikprövningsförordningen.

Mot bakgrund av att ett ärende om etikprövning av en forskningsdatabas kommer att vara mer resurskrävande behöver även tiden inom vilken Etikprövningsmyndigheten ska ta ställning till etikprövningen

27 Bilaga 2 förordningen (2003:615) om etikprövning av forskning som avser människor (etikprövningsförordningen). 28 Regleringsbrev för budgetåret 2018 avseende regionala Etikprövningsnämnder, U2017/05023/BS (delvis), U2017/05089/F, s. 9. 29 Riksrevisionens årliga rapport 2017, s. 22. 30 Årsredovisningar 2016 för de regionala etikprövningsnämnderna i Göteborg, Linköping, Lund, Stockholm, Umeå och Uppsala, tillgängliga via https://www.epn.se/start/ 31 Departementsserien En ny organisation för etikprövning av forskning (Ds 2016:46), s. 116 f. 32 Departementsserien Etisk granskning av klinisk läkemedelsprövning (Ds 2016:12), s. 86 ff.

utökas. Enligt förordningen om (2003:615) om etikprövning av forskning som avser människor bör en regional etikprövningsnämnds33beslut om etikprövning av forskning göras inom 60 dagar. Med hänsyn till att etikprövning av forskningsdatabaser bedöms vara mer tidskrävande än andra etikprövningar föreslår vi ett tillägg till bestämmelsen med innebörden att beslut om etikprövning av en forskningsdatabas ska göras inom 120 dagar.

Sammanfattning

Genom dessa grundläggande krav på behandlingen anser utredningen att stommen för en ansvarsfull och säker behandling av personuppgifter i en forskningsdatabas är lagd. Därutöver måste fler skyddsåtgärder regleras. Vi beskriver dessa krav i det följande.

8.8.6. Etikprövningen av en forskningsdatabas

Vårt förslag: En forskningsdatabas ska bara få godkännas om

behandlingen av personuppgifter i forskningsdatabasen kan utföras med respekt för människovärdet

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.

En forskningsdatabas ska få godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde.

Forskningsdatabasen får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet.

Behandling av personuppgifter som avses får godkännas bara om den är nödvändig för att forskningen ska kunna utföras.

Forskningsdatabasen får bara godkännas om forskningsdatabasen uppfyller villkoren för skapandet av en forskningsdatabas

33 Ändringar med hänsyn till den nya organisationen har ännu inte gjorts i förordningen.

och de krav på organisatoriska åtgärder som ställs i 3 och 4 kap. lagen om forskningsdatabaser.

Inledning

Forskning som är viktig för samhället och för människors välfärd bedrivs ofta med enskilda individer som försökspersoner eller genom att människor på annat sätt ingår i forskningen. I samband med sådan forskning uppkommer ofta olika etiska frågeställningar som berör ett allmänt intresse av att skydda de enskilda individerna, men också av att skydda människovärdet i stort.

De deltagande försökspersonerna behöver skyddas från risker att skadas fysiskt, psykiskt eller integritetsmässigt i samband med forskning. Integritetsaspekterna i samband med forskning har, i takt med det moderna samhällets utveckling, allt mer kommit att koncentreras till hanteringen av den information som samlas in och som utgör underlag för forskningen.

I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som gäller vid etikprövningen. Bestämmelserna har sin bakgrund i artikel 16 i Europarådets konvention om mänskliga rättigheter och biomedicin. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande.34

En prövning från etiska utgångspunkter måste bygga på en helhetsbedömning av den forskning som en viss ansökan avser. Vid prövningen beaktas bland annat den aktuella forskningens frågeställningar, syfte, vetenskapliga värde, utförande, risker för forskningspersoner eller för synen på människovärdet, tilltänkta kontakter med forskningspersoner samt forskningsledningens och de deltagande forskarnas kompetens.35

34Prop. 2002/03:50 s. 196. 35 Utredningens om översyn av etikprövningen betänkande Etikprövning – en översyn av

reglerna om forskning och hälso- och sjukvård (SOU 2017:104), s. 68 ff.

Respekt för människovärdet

Skyddet för de personer som deltar i forskning är således av central betydelse när formerna för etikprövning ska regleras. Denna omsorg om den enskilde uttrycks på det sättet att vid etikprövningen får forskning godkännas bara om den bedrivs med respekt för människovärdet. Vi bedömer att detta villkor kan tillämpas även när forskningen ska utföras i en forskningsdatabas. En forskningsdatabas ska alltså bara få godkännas om behandlingen av personuppgifter i forskningsdatabasen kan utföras med respekt för människovärdet.

Mänskliga rättigheter och forskning

Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov.

Bestämmelserna innebär att välfärden för de människor som deltar i eller på annat sätt ingår i forskning ska gå före samhällets och vetenskapens intressen. De medför också enligt förarbetena att man vid etikprövningen bör se längre än till de direkta riskerna för de medverkande. I förarbetena konstateras att lagens krav både kan tala för och emot forskningen, eftersom människans välfärd i stort ofta gynnas av att forskningen kommer till stånd. Det framhålls också att det från samhällelig synpunkt är mycket viktigt att det skapas möjlighet att genom forskning utveckla ny kunskap.36

Vi bedömer att detta krav för godkännande utan materiella förändringar också ska tillämpas i samband med etikprövning av en forskningsdatabas.

Avvägning mellan risk och vetenskapligt värde

Av avvägningsregeln (9 § etikprövningslagen) följer att forskning får godkännas endast om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Enligt förarbetena ligger det i sakens natur att riskerna i normalfallet måste vara begränsade och att sökanden

36Prop. 2002/03:50 s. 98.

måste visa att värdet av forskningen verkligen är så högt att det väger tyngre än intresset av att forskningspersonerna skyddas mot risker.37

Avvägningen ska göras i två steg. Först ska en bedömning av forskningens vetenskapliga bärkraft göras. Forskningen ska kunna generera kunskap som är väl underbyggd. Vid avvägningen ska också beaktas om de metoder som används ger tillförlitliga svar på forskningens frågeställningar eller det problem eller förhållande som forskaren vill belysa. Som allmänt krav på forskning där människor ska ingå bör gälla att forskningen ska kunna innebära teoretisk eller praktisk nytta för samhället och mänskligheten i stort.

Efter bedömningen av forskningens vetenskapliga bärkraft ska en avvägning göras mellan riskerna för skada eller obehag och det väntade värdet av den kunskap forskningen sannolikt kan ge. Vid denna så kallade risk-värdebedömning får riskerna inte stå i bristande proportion till forskningens potentiella allmängiltiga värde.

Risk- och värdebedömningen är enligt förarbetena ett av de mest centrala inslagen i etikprövningen. Avsaknaden av denna princip skulle teoretiskt kunna innebära att om bara det vetenskapliga värdet av viss forskning bedöms vara tillräckligt stort kan allvarliga skador på deltagande människor accepteras. Forskning kan leda till banbrytande upptäckter, men detta bör inte få genomföras på bekostnad av t.ex. bestående skador hos deltagande människor, i vart fall inte om skadorna kunnat förutses. Det bör därför finnas en grundnorm med innebörden att forskning får godkännas bara om den kan genomföras med respekt för människovärdet och om de risker för deltagarnas hälsa, säkerhet och personliga integritet som är förenade med forskningen uppvägs av dess vetenskapliga värde.38

Vi bedömer att denna avvägning också bör utgöra ett villkor för godkännande när forskningen utförs i en forskningsdatabas. När det gäller forskningsdatabaser kommer det i första hand handla om att vid prövningen bedöma riskerna för den personliga integriteten.

37Prop. 2002/03:50 s. 98, 99 och 196. 38Prop. 2002/03:50 s. 99.

Bedömning av det vetenskapliga värdet av en forskningsdatabas

Vid bedömning av det vetenskapliga värdet av den uppgiftssamling som en forskningsdatabas utgör kan ledning t.ex. hämtas från de kriterier som Vetenskapsrådet ställer vid utlysning av bidrag till databaser.39 Eftersom godkännande av forskningsdatabaser innebär en ny uppgift i samband med etikprövning kan Etikprövningsmyndigheten behöva anpassa sin kompetens till detta område, t.ex. genom att anlita externa experter för den vetenskapliga bedömningen av forskningsdatabasen.

Med utgångspunkt från de krav som Vetenskapsrådet ställer i samband med utlysning av bidrag, kan den vetenskapliga värderingen av en forskningsdatabas exempelvis göras utifrån följande kriterier.

  • Forskningsdatabasens nationella eller internationella (alternativt allmänna) intresse.
  • Forskningsdatabasens vetenskapliga mål.
  • Forskningsdatabasens utvecklingsplan.
  • Den aktuella och framtida forskning som möjliggörs eller avsevärt underlättas genom forskningsdatabasen.
  • Befintliga och förväntade framtida användargrupper.

För att utgöra en forskningsdatabas i lagens mening måste databasen utgöra en nationell resurs. Vetenskapsrådets har återkommande inventeringar av vilka områden som anses ha tydliga behov av nya forskningsinfrastrukturer.40 Vid bedömningen av vilka forskningsinfrastrukturer som ska stödjas tar Vetenskapsrådet hänsyn till om resursen kommer att vara tillgänglig för alla forskare som är verksamma inom området. Vi gör bedömningen att den nationella tillgängligheten även är ett viktigt kriterium att använda vid bedömningen det vetenskapliga värdet av en forskningsdatabas.

Vi bedömer att avvägningsregeln i etikprövningslagen kan tillämpas även på forskning i form av forskningsdatabaser.

39 Vetenskapsrådets utlysning av bidrag till drift av databaser inom samhällsvetenskap och medicin 2015. 40 Se Bilaga till Vetenskapsrådets guide till infrastrukturen, Vetenskapsrådet 2016.

Bedömning av risker för den personliga integriteten

Den materiella prövningen av riskerna för forskningspersonernas personliga integritet har tidigare bedömts inte böra detaljstyras i lagform, eftersom forskning bedrivs på så många olika sätt, och att forskningsmetoder och andra förhållanden av betydelse ständigt utvecklas och förändras.41

Vi gör bedömningen att inte heller när det är fråga om forskningsdatabaser så bör kriterier för denna bedömning regleras. I stället bör mer generella normer på dataskyddsområdet beaktas. Några aspekter som allmänt bör ingå i Etikprövningsmyndighetens bedömning av riskerna för den personliga integriteten är mängden uppgifter som ska behandlas om varje enskild forskningsperson, känsligheten av uppgifterna isolerat och sammantaget, antalet forskningspersoner som totalt ingår i databasen, huruvida pseudonymisering kan användas i databasen och vilka källor som uppgifterna kommer ifrån.

Bedömning av om det finns alternativa metoder

Forskning får inte godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet (10 § etikprövningslagen). Forskningen bör således bara få genomföras om det inte finns några alternativa likvärdiga metoder som inte innefattar försök på människor eller om det kan utföras annan forskning som visserligen innefattar risker för människor men som innebär mindre risker än i det projekt som ansökan avser.42

Behandling av känsliga personuppgifter eller personuppgifter som rör lagöverträdelser m.m. får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket etikprövningslagen).

Dessa befintliga villkor för etikgodkännande av forskning överensstämmer vad gäller behandling av personuppgifter de generella krav som finns i dataskyddslagstiftningen. Vi gör bedömningen att dessa villkor också måste vara uppfyllda för att en forskningsdatabas ska

41Prop. 2002/03:50 s. 101. 42Prop. 2002/03:50 s. 100.

kunna godkännas. Vi bedömer att denna bestämmelse i etikprövningslagen kan tillämpas även på forskning i form av forskningsdatabaser.

Grundläggande villkor och krav på organisatoriska åtgärder

Forskning får enligt nu gällande etikprövningslag godkännas bara om den ska utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs (11 § etikprövningslagen). Med detta krav avses för svenska förhållanden en forskare med doktorsexamen eller en motsvarande utländsk examen. Forskaren förutsätts då ha lärt sig självständigt arbete och själv tillämpat vedertagna vetenskapliga undersökningsmetoder. Det bör enligt förarbetena inte ställas upp något generellt krav på viss examen eller kompetens. I stället får kompetensen ställas i relation till den forskning som är aktuell i ett visst fall och de etiska frågeställningar som den kan antas ge upphov till. Krav bör kunna ställas på att forskaren i fråga behärskar aktuella vetenskapliga metoder och i övrigt har visat sig lämpad att hantera ett sådant ansvar. Forskaren ska också ha erfarenhet av att ta ställning till forskningsetiska problem.43

Detta krav på forskare med behövlig vetenskaplig kompetens bör enligt vår mening gälla även för forskning i form av forskningsdatabaser. Det torde oftast vara fråga om en forskare som i en överinseende roll kan bedöma det vetenskapliga värdet av databasen som sådan, vilket kan antas ge upphov till frågeställningar om bl.a. metodik vid registerbaserad forskning. Om verksamhetschefen för en forskningsdatabas (se avsnitt 8.10.2) inte besitter denna kompetens, så får forskningshuvudmannen se till att det finns någon annan som har den kompetens som krävs för uppgiften och som kan bistå verksamhetschefen med att utöva den vetenskapliga kontrollen av forskningsdatabasen.

Utöver detta krav anser vi även att det i etikprövningslagen ska finnas uttryckliga krav på forskningsdatabasen som ska kontrolleras i samband med etikprövningen. Den skyddsåtgärd som etikprövningen i sig innebär fråntar på intet sätt forskningshuvudmannen från dennes ansvar att bedriva verksamheten vid en forskningsdatabas så att den

43Prop. 2002/03:50 s. 100.

uppfyller de krav som ställs i dataskyddslagstiftningen och i forskningsdatabaslagen. För att etikprövningen ska bli en verklig skyddsåtgärd bör prövningen dock omfatta vissa grundläggande krav som ställs i forskningsdatabaslagen.

Vi anser att det är lämpligt att Etikprövningsmyndigheten i samband med etikprövningen ställer krav på forskningshuvudmannen att denne kan visa hur de grundläggande villkoren för att få skapa en forskningsdatabas är uppfyllda liksom även hur kraven på organisatoriska åtgärder uppfylls. Vi föreslår därför att dessa krav på etikprövningen ska uttryckas i etikprövningslagen.

8.9. Insamlingen av uppgifter till en forskningsdatabas

8.9.1. Behov av reglering i detta steg av livscykeln

En forskningsdatabas består av personuppgifter som samlas in från myndigheter, privata forskningshuvudmän och enskilda individer, eller från enbart någon av dessa källor. För att uppgiftssamlingen ska kunna få tillgång till uppgifter från myndigheter måste det finnas fungerande rutiner hos de registerförande myndigheterna för utlämnande av uppgifterna. Dessa myndigheter ska tillämpa de regler som gäller för utlämnande och kunna känna tillit till att uppgifterna hanteras på ett korrekt och säkert sätt i forskningsdatabasen.

Vi gör därför bedömningen att en ändamålsenlig reglering av forskningsdatabaser måste omfatta olika skyddsåtgärder. Detta är under vissa omständigheter också ett krav enligt dataskyddsförordningen (se avsnitt 8.2.4).

För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Regleringen måste därför omfatta bestämmelser om sekretess och tystnadsplikt. Ett enhetligt sekretesskydd i forskningsverksamhet underlättar såväl utlämnande av uppgifter till forskningsdatabasen som utlämnande från databasen till olika forskningsprojekt.

Vi anser att det är grundläggande att det finns tillämpliga regler om sekretess som gäller för forskningshuvudmannen, liksom att det finns bestämmelser om inre sekretess (se avsnitt 8.10.5) som gäller för verksamheten. På så sätt får den utlämnande myndigheten ett tydligare underlag för sin menprövning.

Om den som ska lämna ut en uppgift vet att uppgiften skyddas även hos mottagaren är det mer sannolikt att det inte innebär någon skada eller men att lämna ut uppgiften. I avsnitt 5.5.5 har vi redogjort för hur en prövning av en forskares begäran om att få ta del av uppgifter från en statistikansvarig myndighet kan gå till.

Vilken betydelse den registrerades inställning har till att personuppgifter samlas in och används för forskning hör egentligen hemma i samtliga steg av livscykeln, men vi väljer att redovisa hur dessa frågor ska hanteras i detta avsnitt.

8.9.2. Direkt identifierbara uppgifter ska få behandlas i en forskningsdatabas

Vårt förslag: Personuppgifter i en forskningsdatabas får vara

direkt identifierbara, om det är nödvändigt för att uppfylla ändamålet med forskningsdatabasen.

Forskningshuvudmannen ska besluta om en forskningsdatabas ska få bestå av direkt identifierbara uppgifter eller om det är tillräckligt för ändamålet att uppgifterna är pseudonymiserade eller skyddade på annat sätt.

Enligt vad utredningen inhämtat om de forskningsdatabaser som finns i dag så är det en grundläggande egenskap hos de forskningsdatabaser som bevaras under lång tid, att uppgifter tillkommer eller förändras över tid. Endast i undantagsfall tillförs nya registrerade utan att de uppgifter som redan finns i databasen förändras. I vissa fall uppdateras uppgifterna relativt sällan, medan man i många andra fall har återkommande eller löpande uppdatering av uppgifterna i realtid.

En forskningsdatabas som fortlever över tid kan basera sig på

  • återkommande insamlingar av en fast uppsättning variabler för en grupp registrerade personer,
  • successiv tillförsel av uppgifter på nya variabler för en grupp registrerade,
  • tillskott vid ett eller flera tillfällen av nya registrerade på en fast uppsättning variabler,
  • sammanläggning av uppgifter på variabler från olika källor för samma registrerade, eller
  • tillförsel över tid av såväl nya registrerade som nya variabler och dessutom nya mätvärden på existerande variabler för de redan registrerade.

För att göra uppdateringar av data behöver uppgifterna vara identifierbara. Det kan i undantagsfall vara möjligt att göra detta genom att vid särskilda tillfällen använda separat förvarade kodnycklar. Detta förutsätter att kodnyckeln bevaras under hela forskningsdatabasens livscykel.

Enligt dataskyddsförordningen ska uppgifterna i forskningsdatabasen korrigeras om de är felaktiga. I vissa fall kan den registrerade begära att få uppgifterna strukna. För detta krävs direkt eller indirekt identifierbara uppgifter.

För att kunna tillföra, rätta och radera uppgifter bedömer vi att det i normalfallet torde vara nödvändigt att forskningsdatabasen innehåller direkt identifierbara personuppgifter.

Forskningshuvudmannen ska ta ställning till om det behövs direkt identifierbara uppgifter för den aktuella forskningsdatabasen, eller om uppgifterna i forskningsdatabasen på något annat sätt kan identifieras vid tillförande, förändring eller radering av uppgifter.

Vi föreslår därför att det ska vara tillåtet att behandla direkt identifierbara uppgifter i en forskningsdatabas. Beroende på vilken typ av uppgifter som behövs för att uppfylla ändamålet med forskningsdatabasen, ska forskningshuvudmannen besluta om uppgifterna ska vara direkt identifierbara eller om det är tillräckligt att uppgifterna är pseudonymiserade eller skyddade på likvärdigt sätt.

I avsnitt 8.11.3 föreslår vi att uppgifter som lämnas ut från forskningsdatabasen som huvudregel ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

8.9.3. En forskningsdatabas kan helt eller delvis bestå av uppgifter som samlas in direkt från den registrerade

Vår bedömning: Dataskyddsförordningen bör normalt inte inne-

bära något hinder för forskningshuvudmän att använda samtycke som rättslig grund för sin personuppgiftsbehandling. Det måste dock beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt, särskilt när den personuppgiftsansvarige är en offentligrättslig forskningshuvudman.

Forskningsdatabaser som skapas med stöd av vårt förslag till reglering kommer att kunna bestå av personuppgifter som samlas in från myndigheter respektive direkt från forskningspersonerna. Eventuellt kommer det även att skapas forskningsdatabaser som enbart behandlar uppgifter som samlas in direkt från forskningspersonerna.

Samtycke är en av de rättsliga grunder för behandling som är tillåten enligt dataskyddsförordningen. Om en behandling av personuppgifter i en forskningsdatabas grundar sig på samtycke ska forskningshuvudmannen kunna visa att den registrerade har samtyckt till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1 a och 7.1 i dataskyddsförordningen).

Med samtycke avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). Samtycke kan lämnas genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter (skäl 32).

En förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat bör tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda.

Ett samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke (skäl 42).

Samtycke bör inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den person-uppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

I skäl 33 konstateras det att det ofta inte är möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Artikel 29-gruppen44 har yttrat att samtycke i undantagsfall kan vara en giltig grund för stater när de behandlar personuppgifter. Det bör enligt yttrandet göras en noggrann kontroll för att se om samtycket faktiskt är tillräckligt frivilligt. När den registeransvarige är en offentlig myndighet kommer den rättsliga grunden för att legitimera behandlingen av personuppgifter att vara fullgörandet av en rättslig förpliktelse eller utförandet av en uppgift av allmänt intresse snarare än samtycke.45

Möjligheten att använda samtycke som rättslig grund är därmed begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade. Denna begränsning innebär dock inte att ett inhämtande av samtycke ska förbises. Eftersom vi föreslår att en forskningsdatabas ska etikgodkännas kan ett samtycke, i de fall där det är genomförbart, anses vara en skyddsåtgärd som stärker databasens legitimitet.

44 Artikel 29-gruppen är EU:s oberoende rådgivande instans för dataskydd och skydd för privatlivet och som består av en företrädare för varje nationell tillsynsmyndighet i EUmedlemsstaterna, en företrädare för EU-kommissionen och den europeiske datatillsynsmannen. 45 Artikel 29-gruppens yttrande 15/2011 om definitionen av begreppet samtycke s. 13–14 och 16–17.

8.9.4. Den registrerade kan invända mot behandlingen

Vår bedömning: Det framgår av dataskyddsförordningen att den

registrerade kan invända mot behandlingen av hans eller hennes personuppgifter i en forskningsdatabas.

Den registrerade ska, enligt artikel 21 i dataskyddsförordningen, av skäl som hänför sig till dennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e (bl.a. uppgift av allmänt intresse) eller f (intresseavvägning). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det görs för fastställande, utövande eller försvar av rättsliga anspråk (artikel 21.1).

Senast vid den första kommunikationen med den registrerade ska bl.a. rätten att göra invändningar uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4). Om personuppgifter behandlas för bl.a. vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1 ska den registrerade ha rätt att göra invändningar mot behandling av hans eller hennes personuppgifter om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

Det är tre rättsliga grunder för behandling av personuppgifter som är relevanta vid forskning: samtycke, uppgift av allmänt intresse eller intresseavvägning. Artikel 21.6 i dataskyddsförordningen innebär att om den registrerade invänder mot behandling av dennes personuppgifter för forskningsändamål måste den personuppgiftsansvarige beakta om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse har den registrerade inte rätt att invända.

Artikel 21.1 blir tillämplig om forskningen däremot baseras på den rättsliga grunden intresseavvägning. Om den registrerade gör invändningar mot att dennes personuppgifter behandlas i forskningsprojektet får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter.

Artikel 21 omfattar alltså de rättsliga grunder som personuppgiftsbehandling för forskningsändamål i praktiken kommer att grundas på, förutom samtycke som enligt artikel 7.2 alltid kan återkallas.

Bestämmelserna i dataskyddsförordningen innebär att den enskilde har vissa möjligheter att motsätta sig behandlingen av uppgifter i en forskningsdatabas. Vilka möjligheter den enskilde har att motsätta sig beror på vilken rättslig grund för behandling som forskningshuvudmannen använder sig av.

Eftersom rätten att göra invändningar mot behandlingen av personuppgifter är reglerad i dataskyddsförordningen ska det inte finnas någon sådan bestämmelse i den lag vi föreslår.

8.9.5. Forskningssekretess

Vårt förslag: Sekretess ska gälla hos en forskningshuvudman för

uppgift om enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

Forskningssekretess ska innebära en inskränkning i meddelarfriheten.

Forskningssekretessen ska regleras i offentlighets- och sekretesslagen och ska ersätta bestämmelsen om sekretess för psykologiska undersökningar, som i stället ska omfattas av den nya bestämmelsen.

Forskningssekretessen ska inte omfattas av bestämmelserna som medger undantag från sekretess i 10 kap.23 och 27 §§offentlighets- och sekretesslagen.

Vår bedömning: De privata lärosäten som enligt vårt förslag ska

få ansvara för forskningsdatabaser kommer att omfattas av den bestämmelse om forskningssekretess som vi föreslår.

Det finns i dag ingen sekretessbestämmelse som generellt reglerar sekretesskyddet för enskilds personliga och ekonomiska förhållanden inom forskningsverksamheten. Som angetts i kapitel 5 finns det inom forskningsverksamheten vissa områden som inte är reglerade av någon primär sekretessbestämmelse. Sekretesskyddet för uppgifter i forskningen har därför blivit svåröverskådligt och inte heltäckande. Dessa

tillämpningsproblem är något som forskare gett uttryck för i samband med vår utredning. Detta har också konstaterats av Registerforskningsutredningen, som lämnat förslag på forskningssekretess och sekretess för uppgifter i forskningsdatabaser.46

En ny sekretessbestämmelse

Statistiksekretess är enligt huvudregeln i 24 kap. 8 § OSL absolut, vilket innebär att inga uppgifter får lämnas ut. Bestämmelsen innehåller detta till trots fyra undantag från huvudregeln. Det undantag som är mest relevant i forskningssammanhang är att uppgifter som behövs för forskningsändamål får lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (ett så kallat omvänt skaderekvisit). Här mjukas alltså den absoluta sekretessen upp. I kapitel 5 redogör vi mer utförligt om innebörden av de olika sekretessreglerna som finns i dag.

Registerforskningsutredningen pekade på de praktiska problem som ett bristande sekretesskydd kan ge upphov till vid sekretessprövningen hos den utlämnande myndigheten. Som ett exempel nämndes att SCB och Socialstyrelsen endast lämnar ut uppgifter om det står klart att uppgifterna kommer skyddas av statistiksekretessen enligt 24 kap. 8 § OSL hos den mottagande myndigheten.47 Utredningen menade att en forskarsekretess var vägen fram till ett starkare sekretesskydd som inte bara omfattar ett brett tillämpningsområde, utan även stärker den enskildes personliga integritet. Av det skälet menade utredningen också att sekretessen i en forskningssekretessbestämmelse enligt huvudregeln skulle vara absolut. Även här föreslogs dock ett undantag för utlämnande för forskningsändamål genom ett omvänt skaderekvisit.48 Det innebär att det är möjligt att lämna ut uppgifter för forskningsändamål efter en menprövning. Sekretessen är alltså inte absolut när det gäller utlämnande till forskning.

De praktiska problem som Registerforskningsutredningen tar upp i sitt betänkande har ännu inte fått någon lösning. Ett heltäckande

46SOU 2014:45, s. 395 ff. 0ch 452 ff. 47SOU 2014:45 s. 407. 48 En uppgift som omfattas av en sekretessregel med ett omvänt skaderekvisit är bara offentlig om det står klart att den kan lämnas ut utan risk för skada. Tvärt emot vad som gäller vid ett rakt skaderekvisit så är sekretess alltså huvudregeln och offentlighet undantaget.

sekretesskydd saknas fortfarande. För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritetsskydd. Det finns i dag flera olika bestämmelser som innebär sekretesskydd för personuppgifter som behandlas i forskning. Regelverket är dock inte lätt att överblicka, vilket skapar oklarhet om vad som gäller. Vi föreslår därför en bestämmelse om forskningssekretess till skydd för uppgift om enskilds personliga och ekonomiska förhållanden.

Undantaget från huvudregeln om absolut sekretess i statistiksekretessen innebär att man i stället tillämpar ett omvänt skaderekvisit vid utlämnande till forskning. Vi anser därför att samma sekretesskydd, det vill säga ett omvänt skaderekvisit ska gälla för forskningssekretessen. Detta ligger dessutom i linje med hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL som även den omfattas av ett omvänt skaderekvisit. På så vis skapas ett heltäckande sekretesskydd med samma skyddsnivå oavsett vilken verksamhet som de begärda uppgifterna kommer från.

Vi föreslår således en ny bestämmelse om forskningssekretess som ska gälla hos en forskningshuvudman. Sekretessen ska omfatta uppgifter om enskilds personliga och ekonomiska förhållanden. Denna sekretessbestämmelse gäller således för uppgifter hos en forskningshuvudman oavsett om uppgifterna behandlas i en forskningsdatabas eller i enskilda forskningsprojekt. Uppgifter får bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller denna närstående lider skada eller men.

Forskningssekretess hos privata forskningshuvudmän som får ansvara för forskningsdatabaser

Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Som nämnts ovan omfattas i regel enskild forskningsverksamhet inte av sekretess enligt OSL annat än genom överföring och förbehåll.

Vid utlämnande av uppgifter som omfattas av statistiksekretessen till en privat forskningshuvudman brukar i stället den utlämnande myndigheten upprätta ett förbehåll som inskränker den enskildes rätt att lämna uppgifterna vidare. Annorlunda blir det dock då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde

själv. I dessa fall saknas ett sekretesskydd för uppgifterna hos forskningshuvudmannen.

Vi föreslår att det enbart är vissa privata forskningshuvudmän som ska få ansvara för forskningsdatabaser (avsnitt 8.8.2). Juridiska personer och enskilda näringsidkare som bedriver högre utbildning och som har examensrätt enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter ska få ha ett sådant ansvar. Genom att det enbart är forskningshuvudmän som omfattas av offentlighets- och sekretesslagen som får vara personuppgiftsansvariga för forskningsdatabaser, kommer samtliga forskningshuvudmän som får inrätta forskningsdatabaser att omfattas av bestämmelsen om forskningssekretess.

Överföring av sekretess

I kapitel 5 har vi redovisat att bestämmelsen om överföring av sekretess i 11 kap. 3 § OSL medför att sekretessen kan överföras från den utlämnande myndigheten, om den mottagande myndigheten inte omfattas av en bestämmelse om primär sekretess. Detta innebär att en forskare vid ett statligt universitet eller högskola som inhämtar uppgifter från en statistikansvarig myndighet såsom t.ex. Socialstyrelsen ska tillämpa statistiksekretessen i 24 kap. 8 § OSL. Detta beror på att det i dag inte finns någon sådan generell forskningssekretess, som vi föreslår i detta kapitel.

Får en myndighet i sin forskningsverksamhet från en annan myndighet en sekretessreglerad uppgift, blir sekretessbestämmelsen enligt 11 kap. 3 § OSL tillämplig på uppgiften även hos den mottagande myndigheten. Forskningssekretess kommer därför att kunna överföras med stöd av denna bestämmelse. Om det inte skulle finnas någon sekretessbestämmelse som skyddar uppgifterna hos den myndighet som efter sekretessprövning får ut uppgifter, så kommer forskningssekretessen att bli tillämplig även hos den mottagande myndigheten. Vårt förslag om en särskild forskningssekretess kommer därför att göra skyddet för uppgifter inom forskningen mer heltäckande.

Meddelarfrihet

I avsnitt 5.5.3 redogör vi för meddelarfriheten och inskränkningarna därav.

Vid införandet av en ny sekretessbestämmelse måste man ta ställning till om den föreslagna tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Enligt förarbetena till gamla sekretesslagen (1980:100) ska återhållsamhet iakttas vid prövningen av om en sekretessbestämmelse ska innehålla ett undantag från meddelarfriheten. En avvägning mellan sekretessintresset och rätten till offentlig insyn ska göras. Det angavs inga fasta kriterier på när en sådan begränsning får göras. Däremot ansåg lagstiftaren att sekretessbestämmelsens konstruktion kan ge viss vägledning. Ett omvänt skaderekvisit anges som ett skäl att överväga undantag från meddelarfriheten. Även det fallet där en uppgift lämnas av en enskild i en förtroendesituation bör tala för att ett undantag kan vara berättigat.49

Den sekretessbestämmelse vi föreslår avser uppgifter som används för forskningsändamål. I vissa fall kommer uppgifterna lämnas till forskaren direkt av en enskild. Syftet med vårt förslag är att dels stärka skyddet för de uppgifter som förekommer i forskningsverksamheter, dels bibehålla förtroendet för forskningen. Vi anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter.

Undantag från sekretess

Enligt generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess, som det har ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter, bl.a. statistiksekretessen enligt 24 kap. 8 § OSL och hälso- och sjukvårdssekretessen i 25 kap. 1–8 §§ OSL har undantagits från generalklausulens tillämpningsområde.

I vissa fall har det ansetts viktigt att även sådan sekretess som har undantagits från generalklausulen kan brytas, bl.a. när det är fråga om misstankar om brott. När det bl.a. gäller uppgifter inom hälso- och sjukvården hindrar sekretess för uppgift i sådan verksamhet inte att

49Prop. 1979/80:2 Del A s. 111.

uppgift lämnas till en åklagarmyndighet eller en polismyndighet om uppgiften angår misstanke om vissa brott mot unga som inte fyllt 18 år (10 kap. 21 och 22 §§ OSL).

Som nämnts i avsnitt 5.5.3 får enligt 10 kap. 23 § OSL en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 § och 25 kap. 1 §, 2 § andra stycket eller 3–8 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

När den s.k. LifeGene-lagen infördes bedömde regeringen att det skulle finnas vissa möjligheter att bryta sekretessen vid misstanke om allvarligare brottslighet. På motsvarande sätt föreslog Registerforskningsutredningen en sekretessbrytande regel i 10 kap. 23 § OSL för att möjliggöra ett utlämnande av uppgifter till en polismyndighet med anledning av grovt brott. Några av remissinstanserna

50

avstyrkte dock

denna del av utredningens förslag. Det motiverades med att en enskild som samtyckt till att medicinska uppgifter används i forskningens intresse, kan uppfatta detta som ett allvarligt integritetsintrång. Det anfördes också att en sådan möjlighet kan skada allmänhetens förtroende, vilket i förlängningen riskerar att göra det svårare att få samtycke till angelägen forskning.

Forskningsdatautredningen instämmer i dessa remissinstansers uppfattning och anser att dessa argument talar emot en reglering liknande den som Registerforskningsutredningen föreslog och som i dag gäller för LifeGene-lagen. Vi föreslår därför att forskningssekretessen inte ska omfattas av möjligheterna till undantag som regleras i 10 kap. 23 § OSL.

Av samma integritetsskäl anser vi att forskningssekretessen inte heller ska omfattas av möjligheterna till undantag från sekretess med stöd av generalklausulen i 10 kap. 27 § OSL.

50 SACO, TCO och Sveriges läkarförbund.

8.9.6. Tystnadsplikt hos samtliga privata forskningshuvudmän

Vårt förslag: Den som arbetar hos en enskild (privat) forsknings-

huvudman ska inte obehörigen få röja vad han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. När någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning ska detta inte anses utgöra obehörigt röjande. I det allmännas verksamhet ska bestämmelserna i offentlighets- och sekretesslagen tillämpas.

Sekretess innebär förbud att röja uppgift, vare sig det görs muntligen, skriftligen eller på något annat sätt. Forskningsverksamhet hos en privat forskningshuvudman omfattas inte av sekretess enligt OSL annat än genom överföring och förbehåll. De privata forskningshuvudmän som får ansvara för forskningsdatabaser kommer dock att omfattas av bestämmelserna i offentlighets- och sekretesslagen (se avsnitt 8.9.5 ovan).

En utlämnande myndigheten brukar därför vid utlämnande till en privat forskningshuvudman upprätta ett förbehåll, som inskränker den enskildes rätt att lämna uppgifterna vidare. I de fall då uppgifterna samlas in till en privat forskningshuvudman direkt från den enskilde själv saknas ett sekretesskydd för uppgifterna hos forskningshuvudmannen. Avsnitt 5.5.4 handlar om tystnadsplikt i privat verksamhet.

Motsvarande förhållande mellan privata och offentliga huvudmän gäller i hälso- och sjukvården. Inom den offentligt bedrivna vården gäller hälso- och sjukvårdssekretess enligt OSL. För att uppgifter hos privata vårdgivare ska omfattas av motsvarande skydd gäller i stället tystnadsplikt enligt annan lagstiftning i den verksamheten. I privat hälso- och sjukvård gäller att den som tillhör eller har tillhört hälso- och sjukvårdspersonal inte obehörigen får röja vad han eller hon i sin verksamhet fått veta om den enskildes hälsotillstånd eller personliga förhållanden. Denna tystnadsplikt regleras i patientsäkerhetslagen (2010:659). Det är vår bedömning att en liknande struktur är lämplig även i forskningssammanhang. Som ett led i prövningen av vad som kan anses omfattas av tystnadsplikten (vara ett obehörigt röjande) kan en privat forskningshuvudman hämta ledning från den skade- och

menprövning som offentliga forskningshuvudmän följer enligt regelverket i offentlighets- och sekretesslagen.51

Vi anser att det behövs ett enhetligt skydd för uppgifterna även när de har lämnats ut från en forskningsdatabas till en privat forskningshuvudman. Därför behövs en generell regel om tystnadsplikt för privata forskningshuvudmän. Endast på så sätt kan tystnadsplikten för uppgifter som hanteras i forskningen bli heltäckande. En enhetlig tystnadsplikt gör det också enklare för utlämnande myndigheter att göra sin menprövning i samband med utlämnande av utgifter till en forskningsdatabas.

Vi föreslår därför en bestämmelse som anger att den som arbetar hos en privat forskningshuvudman har tystnadsplikt gällande det som han eller hon i sitt arbete har fått veta om en enskilds personliga eller ekonomiska förhållanden. Tystnadsplikten ska inte gälla i de fall någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. I bestämmelsen ska det finnas en upplysning om att det är offentlighets- och sekretesslagen som gäller för det allmännas verksamhet. Offentliga forskningshuvudmän och de forskningshuvudmän som enligt 2 kap. 4 § OSL ska jämställas med myndigheter, ska tillämpa de bestämmelser om forskningssekretess som vi föreslår i avsnitt 8.9.5.

8.10. Förvaltningen av en forskningsdatabas

8.10.1. Behov av reglering i detta steg av livscykeln

Förvaltningen av en forskningsdatabas innefattar alla åtgärder som krävs för att sköta databasen så att den ska kunna användas på ett ändamålsenligt och korrekt sätt. En reglering av forskningshuvudmannens organisatoriska åtgärder hör till nödvändiga bestämmelser i detta steg av databasens livscykel. Till förvaltningen av forskningsdatabasen hör också en säker och ändamålsenlig behandling av personuppgifter hos forskningshuvudmannen.

Bearbetning av uppgifterna innefattar till att börja med korrigering och rättelse av grunduppgifter som särskilt äger rum i samband med den inledande insamlingen av uppgifter, inklusive tillförandet av nya uppgifter efter hand. Därefter vidtar anpassning av uppgifterna för det

51 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 132 ff.

ändamål som databasen är avsedd för. Detta inbegriper tolkning och omkodning av uppgifter samt organisering av observationer (registrerade personer eller händelser) på ett för forskningen ändamålsenligt sätt.

I vissa fall har ett omfattande arbete lagts ner på detta vid originalkällan. Ett exempel på detta kan vara de beräkningar av disponibel inkomst som görs av SCB för den officiella statistiken som är direkt användbara för forskare i många sammanhang. I andra fall krävs ett grundläggande originalarbete hos forskargruppen, exempelvis om man behöver klassificera textsträngar som ingår som värden på variabler från originalkällan. Tillförandet av nya registrerade samt nya mätningar eller nya uppgifter för befintliga registrerade utgör också en löpande uppgift för databasens förvaltare. En stor del av arbetet består således av förädling av det material som insamlades vid forskningsdatabasens inrättande. Gränsen mellan dataförvaltning, begreppsutveckling och analys av data blir i många fall inte tydlig utan uppgifterna integreras med varandra. Bearbetningen försiggår under hela forskningsdatabasens livscykel.

Förvaltningen av forskningsdatabasen innebär också teknisk hantering av information, behörigheter, säkerhet, utlämnande och administrativa rutiner i samband med skötseln av forskningsdatabasen.

Det finns här anledning att följa hur lagregleringen av forskningsdatabaser kommer att fungera i praktiken. Vetenskapsrådet bör enligt vår mening få i uppgift att regelbundet följa upp hur verksamheten bedrivs i olika forskningsdatabaser (se avsnitt 8.10.7).

Till förvaltningsfasen hör också en uppgift för forskningshuvudmannen att regelbundet ta ställning till om forskningsdatabasen fungerar på avsett sätt. Bör ändamålen för behandlingen av uppgiften revideras eller kan det finnas anledning att avveckla databasen?

8.10.2. Organisatoriska åtgärder

Verksamhetschef

Vårt förslag: Forskningshuvudmannen ska utse en verksamhets-

chef för forskningsdatabasen.

Verksamhetschefen ska minst en gång per år sammanställa och lämna information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.

För att forskningshuvudmannen ska kunna utöva sitt ansvar över verksamheten som bedrivs i forskningsdatabasen genom hela dess livscykel, måste verksamheten vara organiserad på sådant sätt att den tillgodoser säkerhet och kvalitet. Denna verksamhet måste vara organiserad så att forskningshuvudmannen kan utöva kontroll över verksamhetens olika delar.

Ett sätt att utöva kontroll är att utse en verksamhetschef som inför forskningshuvudmannen ansvarar för att forskningsdatabasen fungerar på ett rättsenligt och säkert sätt. På så sätt finns en utpekad person med ett verkställande ansvar och som tillsynsmyndigheter, utlämnande myndigheter och enskilda kan vända sig till.

För att verksamheten i en forskningsdatabas ska kunna kontrolleras på ett effektivt sätt krävs det att ledningsfunktionen inom verksamheten är tydlig. En verksamhetschef ska därför bl.a. ansvara för den löpande verksamheten och upprätthålla och bevaka att behandlingen av personuppgifter uppfyller säker och god kvalitet och att verksamheten bedrivs kostnadseffektivt. Verksamhetschefen ska alltid ha det samlade ansvaret för forskningsdatabasens verksamhet, men kan och bör när det så krävs uppdra åt någon annan att sköta vissa uppgifter. Det kan bli nödvändigt om verksamhetschefen själv inte har den kompetens som krävs för att forskningsdatabasen ska bli godkänd vid etikprövningen. Forskning får enligt 11 § etikprövningslagen bara godkännas om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

Verksamhetschefen ska arbeta tillsammans med den organisatoriska enhet som ska ha i uppgift att säkerställa informationssäkerheten och skyddet för den personliga integriteten integritetsskyddet i forskningsdatabasen (avsnitt 8.10.3).

Verksamhetschefen har ett helt annat uppdrag än det dataskyddsombud som regleras i dataskyddsförordningen. Ett dataskyddsombud ska enligt förordningen ha till uppgift att informera de personuppgiftsansvariga, biträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Ombudet ska också bland annat övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten (artikel 39). Verksamhetschefen för en forskningsdatabas har ett konkret verkställande ledningsansvar för en forskningsdatabas,

medan dataskyddsombudet ska övervaka efterlevnaden av dataskyddsförordningen i hela forskningshuvudmannens verksamhet.

Verksamhetschefen ansvarar för att forskningshuvudmannen löpande får information om hur verksamheten i forskningsdatabasen bedrivs. Forskningshuvudmannen är beroende av denna insyn i verksamheten för att kunna utöva sitt yttersta ansvar. Vi anser att verksamhetschefen utöver den löpande informationen som forskningshuvudmannen behöver, minst en gång per år ska sammanställa och lämna skriftlig information om verksamheten.

Vi förslår således att forskningshuvudmannen ska utse en verksamhetschef som ska ansvara för den löpande hanteringen av forskningsdatabasen. Verksamhetschefen ska minst en gång per år sammanställa och lämna en redovisning med information om behandlingen av personuppgifter i forskningsdatabasen till forskningshuvudmannen.

8.10.3. En organisatorisk enhet med ansvar för informationssäkerhet och personlig integritet

Vårt förslag: Det ska hos forskningshuvudmannen finnas en

organisatorisk enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen. Enheten ska ha till uppgift att genom tekniska och organisatoriska åtgärder skydda enskildas personliga integritet och upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i en forskningsdatabas.

Forskningshuvudmannen ska i denna organisatoriska enhet samla sådan kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt.

En forskningsdatabas kan komma att innehålla en stor mängd uppgifter om ett stort antal individer. Det kan också vara fråga om att behandla känsliga personuppgifter. För att minska de integritetsrisker som är förknippade med att behandla personuppgifter måste behandlingen vara omgärdad av olika typer av skyddsåtgärder. Det krävs också för att behandlingen är tillåten enligt dataskyddsförordningen.

Den personuppgiftsansvarige ska enligt artikel 25 genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje

specifikt ändamål med behandlingen behandlas. Framför allt ska säkerställas att personuppgifter inte görs tillgängliga för obehöriga.

Dataskyddsförordningen innehåller uttryckliga krav på s.k. inbyggt dataskydd52 och dataskydd som standard.53 Enligt artikel 25 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder. De nödvändiga skyddsåtgärderna ska integreras i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Åtgärderna ska väljas med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.

Detta kan också uttryckas som att den personuppgiftsansvarige ska låta integritetsfrågor påverka ett it-systems hela livscykel – från förstudie och kravställning via design och utveckling till användning och avveckling. Enligt vår uppfattning ska forskningshuvudmannen ta ett motsvarande ansvar genom forskningsdatabasens hela livscykel.

Enligt artikel 24 i dataskyddsförordningen ska forskningshuvudmannen genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen. Ett sätt att uppfylla kravet på organisatoriska åtgärder och på inbyggt dataskydd är att inrätta en särskild enhet i verksamheten. Detta kan vara en åtgärd för att stärka arbetet med integritetsskydd och informationssäkerhet vid behandlingen av uppgifter i forskningsdatabasen. Vi föreslår därför att det i forskningsdatabaslagen ska finnas en bestämmelse om att forskningshuvudmannen ska ha en sådan enhet. Inrättandet av enheten utgör i sig en sådan organisatorisk åtgärd. Det arbete som enheten ska ansvara för ska sedan vara att se till att ytterligare tekniska och organisatoriska åtgärder genomförs som är lämpliga med beaktande av behandlingens omfattning, sammanhang, ändamål och riskerna av varierande sannolikhet och allvar.

Syftet med att inrätta en sådan funktion är att stärka såväl persondataskyddet som informationssäkerheten i samband med forskningshuvudmannens behandling av personuppgifter i en eller flera forskningsdatabaser.

Den organisatoriska enheten ska ha till uppgift att se till att utlämnandet från forskningsdatabasen enligt huvudregeln (avsnitt 8.11.3)

52 Ibland används det engelska uttrycket privacy by design. 53 Ibland används det engelska uttrycket privacy by default.

görs med uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Enheten ska också administrera behörigheter till åtkomst, bl.a. genom att styra åtkomsten för de som behöver ha åtkomst för att utföra sina arbetsuppgifter. I avsnitt 8.9.5 redogör vi för förslag till bestämmelser om inre sekretess, styrning av åtkomst och kontroll av åtkomst till personuppgifter. Det är enheten som ska ha det verkställande ansvaret för att genomföra forskningshuvudmannens ansvar för dessa skyddsåtgärder. Enheten ska också ansvara för arbetet med det systematiska och riskbaserade informationssäkerhetsarbetet.

Forskningshuvudmannen ska tilldela enheten de befogenheter och de uppdrag som behövs för att skydda personuppgifterna. Forskningshuvudmannen har ett ansvar för att de som arbetar på enheten har de kunskaper och den kompetens som krävs för att förvalta och använda forskningsdatabasen på ett rättsenligt, effektivt och säkert sätt. Det är forskningshuvudmannen som ansvarar för att enheten har tillräckliga resurser för sitt arbete.

Utredningen om personuppgiftsbehandlingen vid ISF föreslog att en liknande funktion skulle krävas vid behandling av personuppgifter hos Inspektionen för socialförsäkringen (ISF).54 Utredningen anförde bl.a. följande angående skälet till detta:

Automatiserad behandling av personuppgifter bör ges en sådan utformning att riskerna för otillbörliga intrång i enskildas personliga integritet minimeras. Det är här lämpligt att bygga in mekanismer i verksamheten – s.k. inbyggd integritet (eng. privacy by design) – som ger ett tekniskt och administrativt skydd vid behandlingen av sådana uppgifter.

Socialdataskyddsutredningen anförde i sitt betänkande55 angående förslaget om en integritetsskyddsfunktion att det får anses utgöra en skyddsåtgärd som är förenlig med dataskyddsförordningen.

Vi anser att det är nödvändigt att personuppgifter i en forskningsdatabas behandlas på ett sådant sätt att riskerna för otillbörligt intrång minimeras. Vi anser därför i likhet med Utredningen om personuppgiftsbehandling vid ISF att det är lämpligt att bygga in mekanismer i verksamheten som skyddar behandlingen. En enhet med ansvar för integritetsskydd är ett sätt att använda sig av inbyggd integritet.

54 Utredningen om personuppgiftsbehandlingen vid ISF:s betänkande Inbyggd integritet inom

Inspektionen för socialförsäkringen (SOU 2014:67).

55SOU 2017:66, s. 285 ff. och 458 ff.

Vi föreslår att det hos forskningshuvudmannen ska finnas en organisatorisk enhet som arbetar med integritetsskydd och informationssäkerhet.

8.10.4. Ett riskbaserat informationssäkerhetsarbete

Vårt förslag: Forskningshuvudmannen ska bedriva ett syste-

matiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet.

Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.

Bestämmelsen vi föreslår tar sikte på forskningshuvudmannens ansvar för att säkerställa de grundläggande informationssäkerhetsaspekterna vid behandlingen av personuppgifter i forskningsdatabasen. Vi anser att en verksamhets arbete med informationssäkerhet innefattar nödvändiga och obligatoriska skyddsåtgärder vid behandling av personuppgifter.

Informationssäkerhetsarbetet ska syfta till att hindra obehörig åtkomst (konfidentialitet), att informationen inte förändras eller förstörs på ett obehörigt sätt (integritet), samt säkerställa tillgänglighet vid behörig användning. Det ska även vara möjligt att spåra vem som har gjort vad och när med informationen. Konfidentialitet, integritet, tillgänglighet och spårbarhet är centrala begrepp i arbetet för att nå en god informationssäkerhet.

Enligt 5 § Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) ska varje myndighet bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. Ett ledningssystem är enligt 4 § i föreskrifterna ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. Ledningssystemet ska utformas utifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. Genom ledningssystemet ska myndigheten tydliggöra myndighetsledningens och den övriga

organisationens ansvar för myndighetens informationssäkerhetsarbete, tilldela nödvändiga befogenheter för de roller som arbetet med informationssäkerhet kräver, säkerställa att informationssäkerhetsarbetet bedrivs samordnat samt att det regelbundet utvärderas och löpande utvecklas. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska enligt dessa föreskrifter tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen. Standarden ISO/IEC 27001:2014 anger de åtgärder och krav en verksamhet bör följa för att införa ett ledningssystem för informationssäkerhet. 56

De forskningshuvudmän som är statliga myndigheter omfattas alltså redan av denna skyldighet. Vårt förslag till en reglering av forskningsdatabaser ska dock tillämpas även av kommunala myndigheter som är forskningshuvudmän och av privata lärosäten. Vi föreslår därför en generell regel om krav på ett sådant informationssäkerhetsarbete oavsett vilken typ av forskningshuvudman det är som ansvarar för en forskningsdatabas.

I 2 § MSBFS 2016:1 stadgas att om det i en annan författning finns någon bestämmelse om statliga myndigheters informationssäkerhet som avviker från denna författning, gäller den bestämmelsen. Den föreslagna bestämmelsen i forskningsdatabaslagen avviker inte från MSBFS 2016:1. MSB:s föreskrifter gäller alltså för statliga forskningshuvudmäns informationssäkerhetsarbete även vid behandling av personuppgifter i en forskningsdatabas såvida avvikande bestämmelser inte meddelas i enlighet med det bemyndigande vi föreslår.

Vi föreslår att regeringen eller den myndighet som regeringen bestämmer ska få meddela ytterligare föreskrifter om det systematiska och riskbaserade informationssäkerhetsarbetet som forskningshuvudmannen ska bedriva. Sådana föreskrifter kan t.ex. innefatta specificerade krav på vilka standarder som ska beaktas i detta arbete. I likhet med vad som föreskrivs i MSB:s föreskrifter skulle ett krav på att beakta standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 kunna föreskrivas (mer om bemyndiganden i avsnitt 8.13).

56 Stöd för hur ett ledningssystem för informationssäkerhet (LIS) kan införas och utformas i en verksamhet finns på www.informationssäkerhet.se, ytterligare stöd för informationssäkerhetsarbete finns på www.msb.se.

Enligt vårt lagförslag ska det finnas en organisatorisk enhet som ansvarar för att genom tekniska och organisatoriska åtgärder säkerställa informationssäkerheten och skydda enskildas personliga integritet samt upprätthålla en tillräcklig säkerhetsnivå för de personuppgifter som behandlas i en forskningsdatabas. Vi föreslår alltså en organisatorisk hemvist för informationssäkerhetsarbetet hos forskningshuvudmannen. Den eller de personer som utses att leda och samordna informationssäkerhetsarbetet på denna enhet bör få en sådan ställning i organisationen att arbetet kan prioriteras och utföras effektivt. Det innebär att den eller de som utsetts behöver ha möjlighet och befogenhet att fullgöra uppgiften samt att ansvaret är känt och förankrat i verksamheten. Forskningshuvudmannen ansvarar för att det finns tillräckliga resurser för arbetet.

Det är viktigt att det finns ett tydligt utpekat ansvar för informationssäkerhetsarbetet samt att arbetet är ändamålsenligt och följer bestämmelserna i dataskyddsförordningen och den föreslagna lagen och andra författningar. Den eller de som ansvarar för informationssäkerhetsarbetet ska hålla forskningshuvudmannen informerad. Det kan t.ex. handla om information om de riskanalyser som har gjorts av informationssäkerheten, incidenter som har påverkat informationssäkerheten och som medfört eller hade kunnat medföra integritetsskador, uppföljningar som har gjorts samt förbättringsåtgärder som har vidtagits.

Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en så kallad personuppgiftsincident. Detta är enligt dataskyddsförordningen en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlats. Även den registrerade ska informeras om incidenten om den sannolikt leder till en hög risk för enskildas rättigheter och friheter. Detta regleras i artikel 33 och 34 (skäl 85–88).

Krav på incidentrapportering finns också i Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter. Här ges föreskrifter om hur statliga myndigheter till MSB ska rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation.

Krav på intern incidenthantering finns i 10 § MSBFS 2016:1. En myndighet ska enligt dessa ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha rutiner för att lära av sådana inträffade incidenter och utförda åtgärder.

Det är oftast negativt att en avvikelse inträffar i en verksamhet. Däremot kan varje upptäckt av en sådan avvikelse vara något positivt och utgöra en nödvändig del av ett systematiskt förbättringsarbete Genom upptäckten av en avvikelse säkerställs dels att den kan åtgärdas, dels att verksamheten får en möjlighet att se över sin styrning och därigenom kan förhindra att liknande avvikelser återupprepas. Därmed utvecklas och säkras verksamhetens kvalitet.

Vi föreslår att en forskningshuvudman som ansvarar för en forskningsdatabas ska bedriva ett riskbaserat informationssäkerhetsarbete. Forskningshuvudmannen ska tilldela tillräckliga resurser för informationssäkerhetsarbetet. Den som utför detta arbete ska hålla forskningshuvudmannen informerad.

8.10.5. Intern tillgång till personuppgifter i en forskningsdatabas

Vi föreslår i detta avsnitt ett antal bestämmelser som på olika sätt reglerar den interna tillgången till personuppgifter i forskningsdatabasen. Det är bestämmelser om inre sekretess, styrning av behörighet till åtkomst och åtkomstkontroll (loggning).

Utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull reduceras, får mer specifika krav fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen. För behandling av känsliga personuppgifter med stöd av artikel 9.2 g, i eller j i dataskyddsförordningen gäller att nationell lagstiftning ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Motsvarande krav gäller enligt artikel 10 i dataskyddsförordningen för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Olika skyddsåtgärder är således inte bara något som

kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.

En avgränsning av vilka personuppgifter som får behandlas i en forskningsdatabas är ett förtydligande och en tillämpning av vad som gäller enligt den grundläggande principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Bestämmelserna om begränsningar av användares åtkomst till personuppgifter samt om uppföljning av åtkomsten är tänkta att innebära en konkretisering av dataskyddsförordningens bestämmelser om säkerhet. Genom att användaren endast får tillgång till sådana personuppgifter som han eller hon exempelvis har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Loggkontroller medger uppföljning av användarnas behandling av personuppgifter och syftar till att upptäcka situationer då personuppgifter behandlats på ett otillåtet sätt.

Dataskyddsförordningen hindrar således inte att föreskrifter meddelas på detta område och inte heller att föreskriftsrätten delegeras.57

Inre sekretess

Vårt förslag: Den som arbetar hos en forskningshuvudman ska

bara få ta del av personuppgifter i en forskningsdatabas om han eller hon behöver uppgifterna för sitt arbete hos huvudmannen.

Med inre sekretess avses frågan om i vilken omfattning befattningshavare får ta del av uppgifter som omfattas av sekretess och i vilken mån sådana uppgifter får lämnas mellan befattningshavarna. Bestämmelser om inre sekretess reglerar hur den interna elektroniska åtkomsten till personuppgifter får användas. I kapitel 5 redogör vi för inre sekretess.

I förarbetena till patientdatalagen (2008:355) menar man att inre sekretess inrymmer ett antal frågeställningar om hur integritetskänsliga personuppgifter om enskildas hälsa och andra personliga förhållanden bör hanteras inom en verksamhet för att motverka obefogade intrång i den personliga integriteten. Exempel på åtgärder som bedömdes som viktiga för att stärka den inre sekretessen var

57 Jfr SOU 2017:66 s. 285 ff. och 337 samt prop. 2017/18:171 s. 136 ff.

behörighetstilldelning och kontroll av elektronisk åtkomst, s.k. loggning.58 Det är vår bedömning att dessa tankegångar även gäller hos en forskningshuvudman.

Regler om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretessområde. Även om uppgifterna finns tillgängliga inom en viss verksamhetsdel betyder det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som t.ex. arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är reglerad i patientdatalagen. Dessa centrala bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grundläggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården. Vi anser att det i forskningsdatabaslagen ska införas en motsvarande bestämmelse om inre sekretess som ska gälla hos en forskningshuvudman.

Det ligger ett ansvar på forskningshuvudmannen att med hjälp av den enhet som säkerställer informationssäkerheten och skyddet för den personliga integriteten i forskningsdatabasen (se avsnitt 8.10.3) utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamålsenlig hantering av personuppgifter som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.

Syftet med en sådan bestämmelse är att bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen i forskningsdatabasen samt göra det tydligt för den som arbetar med den när man får bereda sig åtkomst till uppgifterna.

Vi föreslår alltså att personuppgifterna i forskningsdatabasen ska skyddas av en uttrycklig bestämmelse om inre sekretess. Den som arbetar med en forskningsdatabas ska bara få ta del av de uppgifter som denne behöver för att utföra sina arbetsuppgifter hos forskningshuvudmannen.

58 Regeringens proposition Patientdatalag m.m. (prop. 2007/08:126), s. 141 ff.

Intern elektronisk åtkomst

Vårt förslag: Forskningshuvudmannen ska bestämma villkoren

för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter.

Regler om behörighetsstyrning är enligt utredningens bedömning nödvändiga för att tillgodose enskildas behov av integritetsskydd inom forskningen. Bestämmelser om behörighetsstyrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för informationshantering i forskningsdatabaser. En välutvecklad behörighetsstyrning kan ha positiva effekter inte bara på integritetsskyddet och på kvaliteten och effektiviteten i forskningen, utan även på informationssystemens användbarhet.

Vi vill tydliggöra att behörighetsstyrning inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informationstillgången efter användarens behov. Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Utformningen av behörigheten för åtkomst ska inte enbart skydda den registrerades integritet utan den ska också säkerställa tillgång till de uppgifter som behövs för att förvalta och använda forskningsdatabasen på det sätt som avses i regleringen.

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i en forskningsdatabas. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som ska vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar hos en forskningshuvudman ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda.

Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att denne

har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Det är här bestämmelserna om inre sekretess blir tillämpliga, se ovan.

Ju mer omfattande användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. Det ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar forskningshuvudmannen har på hur uppgifter ska användas i verksamheten, om vad som är tillåten användning och inte. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.

Det är den enhet som ska ansvara för informationssäkerheten och integritetsskyddet (se 8.10.3) som ska ansvara för arbetet med behörighetsstyrningen till personuppgifterna i forskningsdatabasen.

Vi föreslår att forskningshuvudmannen ska bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till personuppgifter i en forskningsdatabas. Behörigheten ska anpassas och begränsas till vad som behövs för att en anställd eller en uppdragstagare ska kunna fullgöra sina arbetsuppgifter. Detta utgör en viktig beståndsdel de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.

Kontroll av elektronisk åtkomst

Vårt förslag: Forskningshuvudmannen ska se till att elektronisk

åtkomst till personuppgifter i en forskningsdatabas dokumenteras och kan kontrolleras.

Forskningshuvudmannen ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifter i en forskningsdatabas.

En förutsättning för att överhuvudtaget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda i en forskningsdatabas är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas.

Loggen bildar den behandlingshistorik som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs

för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Bestämmelsen som vi föreslår innebär att forskningshuvudmannen ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.

Det är den enhet som ska säkerställa informationssäkerheten och integritetsskyddet (se avsnitt 8.10.3) i forskningsdatabasen som ska utföra arbetet med att dokumentera och kontrollera åtkomsten till personuppgifterna i forskningsdatabasen.

Vi föreslår att forskningshuvudmannen ska dokumentera och kontrollera åtkomsten till personuppgifter. Detta arbete utgör en viktig beståndsdel i de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna i forskningsdatabasen.

8.10.6. Intern uppföljning (revidering)

Vårt förslag: Forskningshuvudmannen ska regelbundet ta ställ-

ning till om behandlingen av personuppgifter i en viss forskningsdatabas ska fortsätta.

Forskningshuvudmannen är personuppgiftsansvarig för behandlingen av personuppgifterna i forskningsdatabasen. Detta ansvar innebär att behandlingen i varje stund måste vara laglig. Det finns därför anledning för den ansvarige att regelbundet bilda sig en uppfattning om hur forskningsdatabasen fungerar. Kan den användas på det sätt som planerades när beslutet om att inrätta en forskningsdatabas fattades? Är forskningsdatabasen ändamålsenlig? Kommer den att användas fortsättningsvis?

Om forskningshuvudmannen får indikationer på att forskningsdatabasen inte fungerar ändamålsenligt finns anledning att överväga om behandlingen av personuppgifter ska fortsätta. Finner forskningshuvudmannen att det inte finns någon sådan anledning måste forskningsdatabasen avvecklas. Se vidare avsnitt 8.12 om avvecklingen av en forskningsdatabas.

En långsiktigt bevarad forskningsdatabas kan efter många år visa sig kunna utgöra ett värdefullt underlag för annan forskning än den som var avsedd vid databasens tillkomst. Det kan, som anges i dataskyddsförordningens skäl 33, vara svårt att i detalj avgöra vilka frågeställningar inom forskningen som kan komma att få användning av databasen inom från början dess definierade gränser. Det kan även förekomma att det grundläggande ändamålet kan komma att behöva förändras i grunden. Ett gammalt forskningsområde kan ha fått minskad betydelse, exempelvis i samband med att det samhällsproblem som varit föremål för forskning försvunnit (t.ex. en smittsam sjukdom) eller ändrat karaktär. Forskningshuvudmannen bör därför löpande utvärdera formuleringen av ändamålet och vid behov ta ett beslut om förändrad inriktning. I samband med ett sådant ställningstagande måste forskningshuvudmannen bedöma om en sådan förändring är förenlig med grundläggande bestämmelser om dataskydd.

Vi föreslår att forskningshuvudmannen regelbundet ska ta ställning till om behandlingen av personuppgifter i en viss forskningsdatabas ska fortsätta.

8.10.7. Extern uppföljning och utvärdering

Vårt förslag: Vetenskapsrådet ska regelbundet följa upp och ut-

värdera verksamheten i en forskningsdatabas. Vetenskapsrådet ska i sin utvärdering granska forskningsdatabasen avseende säkerhet och ändamålsenlighet.

Vetenskapsrådet ska redovisa resultatet av sin utvärdering till regeringen.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras.

Vårt förslag till en reglering av forskningsdatabaser syftar till att göra det såväl lagligt som säkert att behandla personuppgifter i forskningsdatabaser. Eftersom behandling av personuppgifter i en forskningsdatabas kan innebära integritetsrisker för enskilda, måste verksamheten omgärdas av ändamålsenliga skyddsåtgärder och regler om organisation och ansvarstagande. Behandlingen av personuppgifter i

forskningsdatabaser kommer att vara föremål för tillsyn av Datainspektionen. Det är nödvändigt att det finns en kontroll över forskningsdatabasen så att denna personuppgiftsbehandling bedrivs med hög säkerhet och på ett rättsenligt sätt. Vi anser dock att det, utöver den insyn och kunskap som kan utvinnas genom tillsyn av verksamheten i forskningsdatabasen, även behövs en annan typ av myndighetskontroll.

Såväl regeringen som Vetenskapsrådet och tillsynsmyndigheten har behov av kunskap för att kunna följa utvecklingen när det gäller inrättande av forskningsdatabaser med stöd av den lagstiftning som utredningen föreslår. Sådan kunskap behövs för att på olika sätt kunna påverka utvecklingen i önskvärd riktning. Kunskapen är exempelvis värdefull när det gäller att bedöma effekterna av den nya lagstiftningen och kunna ställning till behov av förändringar i regleringen. Den utvärdering som vi föreslår att Vetenskapsrådet ska göra utgör således inte tillsyn. Däremot kan utvärderingen utgöra viktig information för tillsynsmyndigheten.

Detta uppdrag stämmer också väl överens med det uppdrag som Vetenskapsrådet redan har inom forskningens område. Myndigheten ska enligt sin instruktion bl.a. utvärdera forskning och bedöma forskningen och dess vetenskapliga kvalitet och betydelse och genomföra forskningspolitiska analyser samt ge regeringen råd i forskningspolitiska frågor. En betydelsefull del av myndighetens uppgifter handlar om att stödja utvecklingen av forskningsinfrastrukturer. I detta ingår att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register.

Vi föreslår därför att Vetenskapsrådet också ska få i uppdrag att regelbundet följa upp och utvärdera verksamheten i forskningsdatabaser och redovisa resultatet till regeringen. Varje forskningsdatabas ska vara godkänd vid etikprövning. Information om vilka forskningsdatabaser som finns kommer därför att kunna inhämtas från Etikprövningsmyndigheten.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om på vilket sätt och hur ofta Vetenskapsrådets uppföljning och utvärdering ska utföras. Sådana föreskrifter kan t.ex. reglera hur omfattande och frekvent sådana utvärderingar ska göras.

8.11. Användningen av en forskningsdatabas

8.11.1. Behov av reglering i detta steg av livscykeln

En forskningshuvudman skapar en forskningsdatabas för att uppgiftssamlingen ska komma till användning i forskningen. Därför kommer de frågor som hör ihop med detta steg i livscykeln främst att handla om villkoren och sättet för utlämning av uppgifter från forskningsdatabasen. Bestämmelserna om sekretess hör därför till detta steg, men dessa förslag behandlar vi dock i steg 2. Dessa frågor aktualiseras redan i samband med insamlingen av uppgifter till databasen. Formerna för åtkomst till uppgifterna i databasen hör också till detta steg.

Andra skyddsåtgärder som aktualiseras i detta steg är kravet på etikprövning av det forskningsprojekt som vill använda uppgifter i forskningsdatabasen.

Uppgiften för Vetenskapsrådet att initiera och stödja arbetet med utarbetandet av uppförandekoder (avsnitt 8.11.7) utgör också exempel på en typ av skyddsåtgärd som kommer att göra det lättare för forskningshuvudmännen att göra rätt.

8.11.2. Villkor för utlämnande av personuppgifter från en forskningsdatabas

Vårt förslag: Personuppgifter i en forskningsdatabas ska få lämnas

ut till ett forskningsprojekt under förutsättning att

1. tystnadsplikt enligt offentlighets- och sekretesslagen eller

denna lag inte hindrar det, och

2. forskningsprojektet har godkänts enligt etikprövningslagen.

Etikprövningslagen ska utvidgas så att kravet på etikprövning ska gälla alla forskningsprojekt som använder sig av personuppgifter som samlas in från forskningsdatabaser.

Personuppgifter som behandlas för att lämnas ut till forskning, får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Utöver de integritetsrisker som behandling av personuppgifter som insamlingen till och bevarandet av uppgifterna i forskningsdatabasen innebär tillkommer ytterligare riskfaktorer i samband med utlämnandet av uppgifter från forskningsdatabasen. Syftet med forskningsdatabasen är att använda uppgifterna för forskningsändamål. Forskningsdatabasen måste kunna fungera ändamålsenligt samtidigt som den enskildes integritet skyddas. Det är därför nödvändigt att omgärda själva utlämnandet av uppgifterna med en tydlig reglering som innefattar ytterligare skyddsåtgärder.

När en forskningshuvudman får en förfrågan om utlämnande av personuppgifter från en forskningsdatabas ska en prövning göras om uppgifterna får lämnas ut med hänsyn till reglerna om tystnadsplikt.

Uppgifter ska kunna lämnas ut från forskningsdatabasen såväl till forskningsprojekt där en myndighet är forskningshuvudman som till forskningsprojekt som bedrivs av privata forskningshuvudmän. Det är inte vilken typ av huvudman som ansvarar för projektet som ska ha betydelse för frågan om uppgifterna får lämnas ut, utan om de grundläggande villkoren är uppfyllda.

Utöver att det krävs att uppgifterna får lämnas ut med hänsyn till tystnadsplikten ska också krävas att forskningsprojektet har godkänts vid etikprövning. Detta krav ska gälla oavsett om forskningsprojektet avser att behandla känsliga personuppgifter eller uppgifter om lagöverträdelser eller inte. För forskningsprojekt som inte kommer att använda sig av uppgifter från forskningsdatabaser kommer de regler fortsätta att gälla som gäller i dag, det vill säga att endast forskningsprojekt som ska använda känsliga personuppgifter eller uppgifter om lagöverträdelser behöver ha ett etikgodkännande. Vi bedömer dock att det är ändamålsenligt att kräva en extra skyddsåtgärd avseende forskning som använder sig av personuppgifter från en forskningsdatabas.

Behandling av personuppgifter i en forskningsdatabas och utlämnande av uppgifter från den innefattar risker för den personliga integriteten som måste beaktas. För att sådan behandling ska vara godtagbar anser vi att det måste ställas sådana krav på säkerhet vid hanteringen att risker för felaktig hantering av uppgifterna minimeras. Vi anser därför att den behandling av personuppgifter som är syftet med en forskningsdatabas – att samla in och sedan lämna ut uppgifter för forskningsändamål – måste omfattas av etikprövning i två steg. Såväl själva forskningsdatabasen, som de forskningsprojekt som ska

använda sig av den måste vara etikprövade. Vi förslår därför att detta ska regleras som villkor i lagen om forskningsdatabaser, men det måste också leda till en utvidgning av den prövning som regleras i etikprövningslagen. Vi förslår därför även ändringar av etikprövningslagens tillämpningsområde. Lagen ska tillämpas på forskning som innefattar behandling av personuppgifter i en forskningsdatabas och även på forskning som innefattar behandling av uppgifter som samlas in från en forskningsdatabas.

Etikprövning av forskning som avser behandling av personuppgifter som begärs ut från en forskningsdatabas ska göras på motsvarande sätt som etikprövning av andra forskningsprojekt. Den enda skillnaden är att etikprövningen ska göras av alla sådana forskningsprojekt oavsett vilken typ av personuppgifter som begärs ut från forskningsdatabasen. En sådan forskning ska således etikprövas även om forskningen inte omfattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser.

I 7–11 §§ nu gällande etikprövningslagen anges de allmänna utgångspunkter som ska kontrolleras vid etikprövningen. Det är dessa villkor som ska prövas även för forskningsprojekt som använder uppgifter som begärs ut från forskningsdatabaser.

Vi bedömer att det är en lämplig skyddsåtgärd att all personuppgiftsbehandling som hör ihop med forskningsdatabaser ska omfattas av etikprövning. Därför föreslår vi att sådan forskning som ska baseras på uppgifter som begärs ut från en forskningsdatabas alltid ska etikprövas.

Det huvudsakliga syftet med en forskningsdatabas ska alltså vara att göra det möjligt att bygga upp databaser som kan utgöra underlag för forskningsprojekt och att lämna ut uppgifter till sådana projekt. För att möjliggöra granskning av sådana projekt som använder personuppgifter från en forskningsdatabas krävs också att utlämnande får göras även till ett universitet eller en högskola som genomför en utredning om misstanke om oredlighet i forskning. Vi anser också att lämnande av uppgifter till Överklagandenämnden för etikprövning ska vara möjlig så att yttrande enligt 1 kap. 16 § högskoleförordningen (1993:100) i samband med en sådan utredning kan lämnas.59

59 Enligt lagen (2018:147) om ändring i lagen (2003:460) om etikprövning av forskning som avser människor kommer den Centrala etikprövningsnämnden att ersättas av Överklagandenämnden för etikprövning. Enligt vad utredningen kunnat inhämta finns ännu inga beslutade ändringar av högskoleförordningen och förordningen. (2007:1068) med instruktion för

Vi föreslår således att personuppgifter i en forskningsdatabas ska få användas för att lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Enligt de regler som finns om god forskningssed60 ska forskningen kunna kontrolleras, vilket ställer krav på att andra forskare ska kunna få tillgång till uppgifterna. Forskningresultaten ska alltså kunna verifieras genom att det är möjligt att i detalj kontrollera beräkningar och analyser. Utöver detta ska ny forskning kunna verifiera resultat genom oberoende analyser med användning av samma metoder som den ursprungliga forskningen använde. Tillräcklig vetenskaplig evidens för att överföra forskningsresultat till praktisk tillämpning anses inte föreligga förrän en sådan verifierings- och replikeringsprocess har genomförts. För att detta ska vara möjligt krävs ofta tillgång till de ursprungliga uppgifterna. Om forskningen ska kontrolleras genom sådan annan forskning, ska i stället de grundläggande bestämmelserna om utlämnande till forskningsprojekt tillämpas.

8.11.3. Pseudonymisering och annat likvärdigt skydd

Vårt förslag: Personuppgifter som lämnas ut från en forsknings-

databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

Personuppgifter får dock vara direkt identifierbara vid utlämnandet, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna ska lämnas ut till.

Pseudonymisering som skyddsåtgärd

Vi föreslår att uppgifterna som samlas in till och behandlas i en forskningsdatabas ska få vara direkt identifierbara om det är nödvändigt för att uppfylla ändamålet med uppgiftssamlingen (avsnitt 8.9.2) . Däremot anser vi att de uppgifter som lämnas ut från forskningsdatabasen för att användas i forskningen som regel inte ska få vara direkt

Centrala etikprövningsnämnden. Sådana förslag till ändringar finns i departementspromemorian En ny organisation för etikprövning av forskning, Ds 2016:46. 60 Vetenskapsrådet har år 2017 uppdaterat sin publikation God forskningssed, som finns att hämta på myndighetens webbplats www.vr.se

identifierbara utan ska vara pseudonymiserade eller skyddade på likvärdigt sätt.

I de allra flesta fall innebär forskningen att direkt identifikation av personer är ointressant. Det är därför oftast möjligt att arrangera uppgifterna på ett för den aktuella frågeställningen relevant sätt redan innan utlämnandet. Detta underlättas vidare om forskningsdatabasen förvaltas av forskningshuvudmannen där avståndet mellan forskare och databasförvaltare är relativt kort och de senare besitter den kompetens som forskningshuvudmannen bedömer nödvändig.

Av dataskyddsförordningen framgår också att tillämpningen av pseudonymisering kan minska riskerna för de registrerade och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i förordningen är dock inte avsett att utesluta andra åtgärder för dataskydd (skäl 28).

För att en åtgärd ska utgöra pseudonymisering krävs alltså att uppgifter som möjliggör identifikation ska förvaras separat. En s.k. kodnyckel kan användas för att ersätta direkta identifierare (t.ex. personnummer eller namn) I vissa fall kan kodnyckeln vara tillräcklig för att också eliminera möjligheten till indirekt identifiering. I andra fall krävs ytterligare separation av uppgifter från det ursprungliga materialet för att kriterierna för pseudonymisering ska vara uppfyllda. Vid fjärråtkomst till forskningsdatabasen kan en pseudonymisering åstadkommas genom att åtkomst erbjuds endast till en del av uppgifterna.

Pseudonymiserade uppgifter är fortfarande personuppgifter och faller därför inom förordningens tillämpningsområde. Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som en tänkbar skyddsåtgärd. I praktiken är också pseudonymisering och liknande åtgärder viktiga för att skydda enskildas integritet i samband med forskning. Vid registerbaserad forskning är det exempelvis vanligt att personuppgifter lämnas ut från registren i kodad eller pseudonymiserad form.

Alternativ till pseudonymisering enligt dataskyddsförordningen

Den legaldefinition av pseudonymisering som finns i dataskyddsförordningen är strikt och ställer framför allt kravet på att uppgifterna inte ska kunna tillskrivas en specifik registrerad utan att kompletterande uppgifter (som en kodnyckel) används. Detta kräver att all information som direkt kan identifiera en person ersätts med pseudonymer/koder. Utöver detta krävs även att annan information som kan användas för att indirekt identifiera personen behandlas så att detta inte längre är möjligt.

Sådan behandling kan medföra att uppgifterna blir mindre lämpade för det aktuella forskningsändamålet.61 Sett till syftet med pseudonymisering bör det därför vara möjligt att använda alternativa skyddsåtgärder, som uppfyller samma syfte, och därmed ger ett likvärdigt eller bättre skydd. Utvecklingen, framför allt på det tekniska området, gör det mindre lämpligt att föreskriva en viss form av skyddsåtgärder om lämpligare tekniker kan komma att utvecklas i framtiden.

Vad är likvärdigt skydd?

Det skydd som följer av pseudonymisering utgörs främst av att identifierande uppgifter avlägsnas från de uppgifter som behandlas. Information som kan användas för att identifiera den enskilde bevaras separat och omgärdas av säkerhetsåtgärder. Detta hindrar att den enskilde sammankopplas med sina uppgifter.

Med likvärdigt skydd avser vi en åtgärd eller kombination av åtgärder som i samma utsträckning som pseudonymisering förhindrar att den enskilde obehörigen sammankopplas med sina personuppgifter. Med obehörig sammankoppling avser vi här en sammankoppling mellan den enskilde och dennes uppgifter som inte framgår från det angivna ändamålet med behandlingen.

Alternativa åtgärder kan åstadkomma ett likvärdigt skydd genom att exempelvis begränsa åtkomst till identifierande uppgifter, eller omfatta instruktioner för hur personuppgiftsbehandling får bygga på användning av identifierande uppgifter. Exempel på sådana åtgärder kan vara att en separat organisation har hand om sådan information

61 Se exempelvis diskussionen om skyddsåtgärderna randomisering och generalisering i avsnitt 12.3.3 i vårt delbetänkande SOU 2017:50.

som kan användas för att identifiera den enskilde, eller att instruktionerna för personuppgiftsbehandling inom ramen för forskningen uttryckligen förbjuder försök till återidentifiering.62

Detta likvärdighetskriterium för skyddsåtgärder gör det möjligt att exempelvis använda mindre ingripande metoder för att behandla uppgifterna, exempelvis att endast ersätta direkt identifierande uppgifter med pseudonymer eller koder (kodning), under förutsättning att ytterligare åtgärder vidtas för att säkerställa att någon obehörig sammankoppling mellan den enskilde och dennes personuppgifter inte görs.

Undantag från kravet på pseudonymisering eller likvärdigt skydd

Av artikel 89.1 i dataskyddsförordningen framgår att skyddsåtgärder vid personuppgiftsbehandling får inbegripa pseudonymisering under förutsättning att ändamålen kan uppfyllas på det sättet. Det finns alltså ett utrymme i förordningen att inte tillämpa pseudonymisering. Det kan förekomma forskningsmetoder där identifierande uppgifter såsom personnummer måste bevaras och/eller behandlas i själva forskningsverksamheten. Forskningsmetoden kan utgöra det minst ingripande sättet att uppnå det förväntade resultatet, och forskningens vetenskapliga värde kan väga upp risken för den enskildes personliga integritet. Det bör därför finnas en möjlighet att inte tillämpa pseudonymisering eller något annat likvärdigt skydd, om det är nödvändigt för att uppfylla ändamålet med den forskning uppgifterna lämnas ut till.63

Nödvändighetsrekvisitet ska här tolkas som i dataskyddsförordningen, dvs. en behandling är nödvändig om det önskade resultatet inte rimligen kan uppnås på annat sätt (jfr skäl 39). I vårt delbetänkande gjorde vi bedömningen att användning av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet, och att detta bör kunna beaktas vid en nödvändighetsbedömning. Vi diskuterade i detta sammanhang ingående nödvändighetsrekvisitet.64 Även användning av direkt identifierbara uppgifter kan i vissa fall medföra högre kvalitet och tillförlitlighet i forskningsresultat än om pseudonymiserade eller på likvärdigt sätt skyddade

62SOU 2017:50, avsnitt 12.3.2. 63SOU 2017:50 s. 288. 64SOU 2017:50 s. 124 ff.

uppgifter används. Detta ska enligt vår mening beaktas vid bedömningen av om det är nödvändigt att personuppgifterna som lämnas ut är direkt identifierbara.

I sammanhanget bör även uppmärksammas att 10 § etikprövningslagen ställer krav på att integritetskänslig forskning inte får godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners personliga integritet m.m.

Sammanfattning

Med beaktande av skaderisken vad gäller intrånget i den registrerades personliga integritet som sammankopplingen mellan dennes identitet och anknytande personuppgifter medför anser vi att det ska vara en huvudregel att forskningshuvudmannen ska skydda personuppgifterna i forskningsdatabasen genom att vid utlämning av uppgifterna tillämpa pseudonymisering eller något annat likvärdigt skydd. Endast undantagsvis ska det vara tillåtet för forskningshuvudmannen att lämna ut personuppgifter utan sådant skydd.

8.11.4. Utlämnande av uppgifter till LIS och andra forskningsdatabaser i Europa

I kapitel 11 lämnar vi förslag till en ny bestämmelse i offentlighets- och sekretesslagen som ska göra det möjligt att pröva utlämnande av uppgifter till forskningsdatabaser utanför Sverige som omfattas av dataskyddsförordningen.

8.11.5. Direktåtkomst ska inte vara tillåten för andra än de registrerade

Vårt förslag: Personuppgifter i en forskningsdatabas får inte

lämnas ut genom direktåtkomst annat än till den enskilde själv.

Syftet med den föreslagna lagen om forskningsdatabaser är att en forskningsdatabas ska kunna lämna ut uppgifter som ska ligga till grund för forskning och att dess uppgifter ska vara tillgängliga för många olika forskningsprojekt. Frågan uppkommer då på vilket sätt

som uppgifterna i forskningsdatabasen ska få lämnas ut. Hanteringen förenklas om det är möjligt och tillåtet att lämna ut uppgifterna elektroniskt, t.ex. genom direktåtkomst.

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av.65 Se även avsnitt 3.3.9 om begreppets användning i olika sammanhang.

Effektivitetsskäl skulle kunna tala för ett utlämnande genom direktåtkomst av uppgifter från den forskningshuvudman som ansvarar för databasen och det forskningsprojekt som ska använda uppgifterna.

Det finns integritetsskäl som talar mot en sådan reglering. En forskningsdatabas kommer att innehålla personuppgifter, även känsliga personuppgifter och uppgifter om lagöverträdelser, om en stor mängd personer. Dessa skulle genom direktåtkomst kunna göras tillgängliga utan att forskningsprojektet kommer ha ett egentligt behov av samtliga uppgifter. Att ett större antal personer har möjlighet att ta del av uppgifter ökar risken för obehörig vidarespridning även om de personer hos den andra myndigheten som får del av informationen har tystnadsplikt.

Bestämmelser om direktåtkomst medför vidare att ett forskningsprojekt hos en mottagande myndighet vid en begäran om utlämnande måste överföra och ta del av information för att kunna göra en sekretessprövning, även av sådan information som den mottagande myndigheten egentligen inte är behov av i sin egen verksamhet. Att flera myndigheter ska göra sekretessprövning avseende samma material ökar också risken för att de olika myndigheterna tillämpar den gällande sekretessbestämmelsen på olika sätt.

Sammanfattningsvis anser vi att integritetsskäl talar mot att de mottagande forskningsprojekten ska ha direktåtkomst till personuppgifter i en forskningsdatabas.

Lagen bör därför innehålla en bestämmelse av vilken det framgår att utlämnande av personuppgifter i databasen genom direktåtkomst inte får förekomma.

65 Se t.ex. prop. 2004/05:164 s. 83, 2009/10 :85 s. 168 och 2011/12 :45 s. 133.

Eftersom avsikten är att personuppgifter i register enligt den föreslagna lagen ska kunna lämnas ut för att behandlas vidare i viss registerbaserad forskning, gör vi dock bedömningen att det inte bör uppställas några restriktioner för andra former av elektroniskt utlämnande av personuppgifter än direktåtkomst. Det bör således inte uppställas några särskilda begränsningar i fråga om t.ex. utlämnande på medium för automatiserad behandling.

Utlämnande genom fjärråtkomst utgör ett automatiserat utlämnande (således inte direktåtkomst) och kan reducera eller helt eliminera behovet av att kopiera uppgifter när de ska användas i enskilda forskningsprojekt. En forskningsdatabas som är gemensam för flera forskningsprojekt kan huvudsakligen lämna ut uppgifter genom fjärråtkomst. Denna metod för utlämnande kan ses som ett sätt att tillfredsställa dataskyddsförordningens princip om uppgiftsminimering. SCB:s MONA-system kan här användas som förebild.

8.11.6. Direktåtkomst för den registrerade själv

Vårt förslag: En forskningshuvudman ska få medge en registrerad

direktåtkomst till direkt identifierbara uppgifter om den enskilde själv som behandlas i en forskningsdatabas.

Innan uppgifterna lämnas ut på detta sätt till den registrerade ska forskningshuvudmannen pröva om uppgifterna får lämnas ut.

Den registrerade får under samma förutsättningar medges direktåtkomst till loggdokumentation.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst.

Allt fler medborgare förväntar sig att i de flesta sammanhang kunna använda sig av olika elektroniska tjänster. Inom hälso- och sjukvården t.ex. kan patienter söka information om sjukdomar och behandlingar via internet. Det har också blivit vanligt att patienter kan boka tider, förnya recept eller ställa frågor via internet. Patienter har även i stor utsträckning möjlighet att ta del av sina patientjournaler på nätet.

Mot bakgrund av den ökade digitaliseringen i samhället framstår det som naturligt att registrerade ges möjlighet att få direktåtkomst till sådana direkt identifierbara uppgifter i en forskningsdatabas som

får lämnas ut till dem. Vi anser att det är rimligt att erbjuda de registrerade möjlighet till insyn i den behandling av personuppgifter som en forskningsdatabas utgörs av. Det blir ett sätt för forskningen att ge något tillbaka till dem som bidrar med sina uppgifter för att möjliggöra ett ökat kunskapsläge.

Möjligheten att erbjuda patienter direktåtkomst till sina patientjournaler infördes genom patientdatalagen, som trädde i kraft år 2008. Det har tagit lång tid för vårdgivarna att införa system som möjliggör det. Det var först under år 2017 som möjlighet till sådan åtkomst kunde erbjudas i stor skala. Någon rättighet för enskilda att ha direktåtkomst till sina uppgifter till forskningsdatabaser bör därför inte införas för närvarande. I nuläget skulle det föra för långt att ålägga samtliga forskningshuvudmän en sådan skyldighet. Det är nödvändigt att ett sådant erbjudande kan genomföras på ett säkert sätt. Det måste t.ex. gå att säkerställa den registrerades identitet på ett sådant sätt att det är rätt person som får åtkomst till uppgifterna.

Direktåtkomsten bör avse sådana uppgifter om den enskilde själv som är lämpliga att lämnas ut till honom eller henne och som är direkt identifierbara. Om uppgifterna i en forskningsdatabas är pseudonymiserade eller skyddade på annat likvärdigt sätt, ska direktåtkomst inte erbjudas. Forskningshuvudmannen ska inte behöva göra uppgifterna direkt identifierbara i syfte att erbjuda direktåtkomst.

Uppgifterna i en forskningsdatabas kommer ofta vara av mycket integritetskänslig karaktär, och regelmässigt omfattas av sekretess (avsnitt 8.9.5) . Enligt 12 kap. 1 § OSL gäller sekretess som huvudregel inte mot den enskilde, om inte annat anges i lagen. I de fall där det saknas tillämpliga undantag från denna huvudregel utgör därför inte sekretessreglering ett hinder mot att erbjuda direktåtkomst för den enskilde.

Forskningsdatabaser kan omfattas av personuppgifter som är insamlade från hälso- och sjukvården. I vården är dessa uppgifter omfattade av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. En sådan sekretess kan i undantagsfall gälla mot patienten själv (25 kap. 6 § OSL). Det är en bestämmelse som ytterst sällan används, men som alltjämt finns kvar.66 I teorin skulle det därför kunna finnas uppgifter i en forskningsdatabas, som i hälso- och sjukvården inte skulle lämnas

66 Utredningen om rätt information i vård och omsorg föreslog i sitt betänkande Rätt infor-

mation på rätt plats i rätt tid (SOU 2014:23) att denna sekretessbestämmelse skulle upphöra

att gälla, s. 886 ff.

ut till patienten. Vi föreslår inte att det ska finnas någon sådan bestämmelse om sekretess mot den registrerade själv i anslutning till den forskningssekretess som ingår i våra förslag. Däremot ska ju en sekretessprövning göras vid utlämnande av uppgifter. Om forskningshuvudmannen vet att det finns uppgifter i forskningsdatabasen som det skulle kunna innebära men för den registrerade om de lämnades ut till denne, bör uppgifterna inte lämnas ut. Forskningshuvudmannen bör alltså inte erbjuda direktåtkomst till sådana uppgifter. Detta är dock troligen ett teoretiskt problem som sällan bör uppstå.

En registrerad som har fått direktåtkomst till sina uppgifter och som på egen hand tar del av dessa kanske kan ha svårt att förstå uppgifterna. En forskningshuvudman som erbjuder forskningspersonerna direktåtkomst till sina uppgifter bör därför också erbjuda de registrerade hjälp med att förstå vad det är de får ta del av.

Forskningshuvudmannen ansvarar för att enbart rätt personer i verksamheten får åtkomst till uppgifterna och för att åtkomsten används på rätt sätt. Därför finns det i vårt lagförslag krav på att forskningshuvudmannen ska styra och kontrollera åtkomsten. Genom att erbjuda de registrerade möjlighet till direktåtkomst till de loggar som dokumenterar vilken åtkomst som förekommit, kan forskningshuvudmannen få den registrerades hjälp med denna kontroll. Vetskapen om att en sådan kontroll från den registrerade kan förekomma, kan också ha en avhållande effekt mot felaktig användning av uppgifterna.

Vi bedömer att det krävs säkerhetsåtgärder för att forskningshuvudmän ska kunna medge de registrerade direktåtkomst till sina uppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är inte möjligt att i lag precisera de krav som bör ställas. Vi föreslår därför att regeringen, eller den myndighet som regeringen bestämmer, efter samråd med Datainspektionen får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för forskningspersoner.

Sammanfattningsvis föreslår vi således att forskningshuvudmän ska få erbjuda forskningspersoner direktåtkomst till direkt identifierbara uppgifter om sig själva och till den logginformation som finns om åtkomst till dessa uppgifter.

8.11.7. Uppförandekoder som stöd vid behandling av personuppgifter i forskningsdatabaser

Vårt förslag: Vetenskapsrådet ska få i uppdrag att stödja forsk-

ningshuvudmännen i utarbetandet av gemensamma uppförandekoder.

Principen om ansvarsskyldighet som den uttrycks i dataskyddsförordningen innebär en skyldighet att kunna visa att regelverket följs. Förordningen pekar också på hur detta kan gå till. Exempelvis är ett sätt för den personuppgiftsansvarige att visa detta, att ansluta sig till en godkänd uppförandekod eller en godkänd certifieringsmekanism (art 24.3 och art 32.3).

I syfte att specificera hur dataskyddsförordningen ska tillämpas inom en viss bransch eller sektor, får sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, utarbeta uppförandekoder (artikel 40).

I dataskyddsförordningens artikel 40 regleras vidare att medlemsstaterna, tillsynsmyndigheterna, Europeiska dataskyddsstyrelsen67och kommissionen ska uppmuntra utarbetandet av uppförandekoder. Dessa koder är avsedda att bidra till att förordningen efterlevs, med hänsyn till särdragen hos de olika sektorer där uppgifter behandlas, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

En gemensam uppförandekod är alltså enligt dataskyddsförordningen en möjlighet för sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att specificera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser, som i många avseenden är allmänt hållna. Uppförandekoder är möjliga även om det finns nationella bestämmelser som, med stöd i dataskyddsförordningen, närmare reglerar hur uppgifter får behandlas inom en sektor.

67 Europeiska dataskyddsstyrelsen kommer att inrättas när dataskyddsförordningen börjar tillämpas i maj 2018. Den kommer att bestå av representanter från samtliga EU-länders dataskyddsmyndigheter, däribland Datainspektionen (artikel 68 i dataskyddsförordningen). Styrelsen har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd och vägledning om hur dataskyddsförordningen ska tillämpas och godkänna EU-omfattande uppförandekoder och certifieringar (artikel 40–42 m.fl. artiklar i dataskyddsförordningen).

Uppförandekoder kan på flera sätt spela en viktig roll i tillämpningen av förordningen. En sådan kan tydliggöra hur förordningen ska tillämpas och på det sättet underlätta för den ansvarige att visa att den följer förordningen och på vilket sätt.

Av dataskyddsförordningen framgår att de som får utarbeta uppförandekoder är sammanslutningar och andra organ, som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden. Det är med andra ord företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som står bakom en kod, och som står som författare till koden.

Förordningen innehåller vidare ett aktivitetskrav på både nationella myndigheter och EU-gemensamma organ när det gäller utarbetandet av uppförandekoder. I förordningens artikel 40 sägs att medlemsstaterna, tillsynsmyndigheterna, dataskyddsstyrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder.

Integritetskommittén anförde i sitt slutbetänkande att ”uppmuntra” bör förstås som att de nämnda organen ska initiera och stödja företrädare för personuppgiftsansvariga eller personuppgiftsbiträden i arbetet med att ta fram uppförandekoder.68

Enligt dataskyddsförordningen ska sammanslutningar och andra organ som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder, lämna in utkastet till den behöriga tillsynsmyndigheten. Tillsynsmyndigheten ska yttra sig om utkastet överensstämmer med förordningen och godkänna det om den finner att tillräckliga garantier tillhandahålls.

Om utkastet till kod godkänns, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.

Dataskyddsförordningens regler behöver i många fall specificeras och förtydligas. Förordningens krav behöver beskrivas i praktiska anvisningar till de personuppgiftsansvariga för att kraven ska kunna göra någon verklig skillnad för den personliga integriteten och faktiskt bidra till bättre skydd och större tydlighet för de registrerade.

Vi bedömer att uppförandekoder på ett pedagogiskt sätt kan anpassas till de befattningshavare i de berörda verksamheterna som i praktiken gör bedömningar och val avseende hur uppgifterna ska behandlas i en forskningsdatabas. Vi anser därför att det vore önskvärt om de forskningshuvudmän som ansvarar för forskningsdatabaser tog

68 Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 75.

fram en uppförandekod till stöd för tillämpningen av dataskyddsförordningen och forskningsdatabaslagen vid behandling av personuppgifter. En säkrare rättstillämpning inom detta område stärker skyddet för den personliga integriteten.

Även om utarbetandet av förslag till uppförandekoder ska utföras av de personuppgiftsansvarigas eller personuppgiftsbiträdenas branschorganisationer, kommer arbetet med att uppmuntra, granska och godkänna uppförandekoder att behöva göras av nationella myndigheter och EU-gemensamma organ.

Vi bedömer att Vetenskapsrådet är den branschspecifika myndigheten som bäst känner till forskningshuvudmännen och de vanligast förekommande integritetsrelaterade frågorna och problemen. Det kan således vara lämpligt att myndigheten initierar arbetet genom att exempelvis samla forskningshuvudmännen till ett första möte där möjligheten till uppförandekod diskuteras. Myndigheten kan också vid behov hålla samman arbetet fram till dess att koden ska godkännas. Vi föreslår därför att Vetenskapsrådet ska få i uppdrag att initiera och stödja arbetet med framtagande av uppförandekoder för behandling av personuppgifter i forskningsdatabaser. Detta uppdrag stämmer väl överens med det uppdrag som myndigheten redan har att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål och bistå forskare med information om relevanta bestämmelser om register. Detta framgår av 2 § förordningen (2009:975) med instruktion för Vetenskapsrådet.

Vi föreslår således att det av Vetenskapsrådets instruktion ska framgå att det också är en uppgift för myndigheten att initiera och stödja arbetet med att ta fram en gemensam uppförandekod enligt dataskyddsförordningen.

8.12. Avvecklingen av en forskningsdatabas

8.12.1. Behov av reglering i detta steg av livscykeln

En forskningsdatabas kan av olika anledningar behöva avvecklas. Behovet kan vara täckt av andra databaser, forskningsproblemet kan ha upphört att vara intressant, eller ny teknik kan ha utvecklats så att uppgifterna kan nås på annat sätt. Till detta steg i en forskningsdatabas livscykel, avvecklingen, hör frågan om uppgifterna ska gallras eller bevaras genom arkivering.

8.12.2. Arkivering

Vår bedömning: Arkivlagstiftningens principer om bevarande bör

vara utgångspunkten för uppgifter i en forskningsdatabas. Enligt vår bedömning är detta förenligt med dataskyddsförordningen. Någon särskild gallringsbestämmelse föreslås därför inte.

Utgångspunkter för bedömningen

Vårt föreslag till reglering av forskningsdatabaser innebär att statliga och kommunala myndigheter ska få behandla personuppgifter i forskningsdatabaser liksom även juridiska personer och enskilda näringsidkare, som bedriver högre utbildning och som enligt 2 kap. 4 § OSL ska jämställas med myndigheter samt har examensrätt enligt lagen om tillstånd att utfärda vissa examina (se avsnitt 8.8.2). Som konstaterat i avsnitt 5.6 har myndigheter och andra jämställda organ på grund av offentlighetsprincipen en grundläggande skyldighet att bevara sina allmänna handlingar i arkiv.

Sådana forskningshuvudmän som behandlar personuppgifter i en forskningsdatabas ska enligt vårt förslag vara personuppgiftsansvarig för behandlingen. Arkivlagstiftningen gäller för dessa myndigheter och organ enligt arkivlagen (se avsnitt 5.6). För organ som avses i 2 kap. 4 § första meningen OSL gäller arkivlagen till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen. Detta innebär att de aktuella forskningshuvudmännen har en grundläggande skyldighet att arkivera allmänna handlingar.

Varje myndighet69 är ansvarig för arkivvården av den egna myndighetens handlingar. Enligt arkivlagen är huvudprincipen bevarande. Allmänna handlingar ska alltså som huvudregel bevaras i myndigheternas arkiv. En myndighets arkiv består av de allmänna handlingarna från myndighetens verksamhet och vissa andra handlingar som myndigheten beslutar ska tas om hand för arkivering.

Arkivvård innefattar även gallring. Enligt 10 § tredje stycket arkivlagen är denna lag subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. Vid gallring ska det alltid beaktas att arkiven utgör en del av kulturarvet och att det

69 När det fortsättningsvis står myndighet eller statlig myndighet innefattas som ovan angetts även de organ som enligt 2 kap. 4 § OSL ska jämställas med myndigheter.

arkivmaterial som återstår ska kunna tillgodose rätten att ta del av allmänna handlingar, forskningens behov m.m.

Allmänna handlingar hos en statlig myndighet får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Bestämmelser om att uppgifter ska gallras ur register med känsliga uppgifter finns i olika registerförfattningar, se avsnitt 5.6.4.

Vi har i avsnitt 5.6.2 gått igenom dataskyddsförordningens bestämmelser om arkivering och arkivändamålens särställning. Den behandling av personuppgifter som myndigheter och andra utför när de arkiverar sina handlingar i enlighet med bestämmelser om arkiv utgör en sådan ytterligare behandling, vidarebehandling, som görs för arkivändamål av allmänt intresse och som enligt förordningen inte ska anses oförenlig med de ursprungliga ändamålen. Det krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Den personuppgiftsansvarige ska se till att behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Den personuppgiftsansvarige ges alltså i dessa fall ansvaret för att i det enskilda fallet se till att lämpliga skyddsåtgärder tillämpas.

Enligt 3 kap. 6 och 8 §§ dataskyddslagen får känsliga personuppgifter och personuppgifter som rör lagöverträdelse behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. När det gäller allmänna handlingar konstaterar regeringen att det finns sådana lämpliga och särskilda åtgärder som skyddar enskildas integritet och som krävs enligt dataskyddsförordningen t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet.

Bevarande eller gallring som huvudregel?

Frågan är vilken reglering som är lämplig i lagen om forskningsdatabaser, dvs. om arkivlagens princip om bevarande bör vara huvudregeln eller om utgångspunkten bör vara den motsatta, alltså att uppgifterna som huvudregel bör gallras. I kapitel 5 redogör vi för dessa principer.

Vid besvarande av frågan bör hänsyn tas till integritetsaspekter, möjligheterna till insyn samt till forskningens behov.

De databaser som kommer att möjliggöras genom den föreslagna lagen kommer att kunna innehålla en stor mängd personuppgifter, även känsliga sådana. Uppgifterna kan både vara insamlade efter samtycke av enskilda individer och inhämtade från myndighetsregister eller andra källor.

För de forskningshuvudmän som omfattas av våra förslag är de aktuella uppgifterna allmänna handlingar. Bevarande är den principen som gäller för allmänna handlingar, på grund av bland annat offentlighetsprincipen. Eftersom forskningshuvudmannen är bunden av arkivlagen är därför bevarande en utgångspunkt. Kravet på medborgerlig insyn och kontroll av myndigheternas verksamhet är dock inte lika starkt som i vissa andra fall eftersom uppgifterna i en forskningsdatabas inte ska användas vid myndighetsutövning mot enskilda individer. Det finns dock andra skäl för bevarande när det gäller uppgifter i en forskningsdatabas.

Databaserna kommer att kunna existera under lång tid. Det kan förutsättas att forskningsprojekt som kommer att hämta uppgifter från sådana forskningsdatabaser som möjliggörs enligt den föreslagna lagen kommer att kräva tillgång till uppgifter som ligger långt tillbaka i tiden, t.ex. för longitudinella studier. Syftet med lagen om forskningsdatabaser är att möjliggöra insamling av personuppgifter som ska kunna användas i olika, även framtida, forskningsprojekt. Det är därför tänkt att forskningsdatabaserna ska kunna bidra med uppgifter till flera olika forskningsprojekt. För tidig gallring skulle motverka detta syfte.

Eftersom de forskningsdatabaser som möjliggörs enligt lagen ska kunna användas för olika forskningsprojekt under lång tid och även möjliggöra tillgång till uppgifter som ligger långt tillbaka i tiden, kommer det att vara svårt att fastställa när uppgifterna inte längre behövs i en forskningsdatabas.

Vidare är möjligheten att granska tidigare utförd forskning viktig. Det finns en risk att granskning försvåras om personuppgifter gallras alltför snabbt.

Med hänsyn till det anförda är det i vart fall så länge en databas består en utgångspunkt att uppgifterna i den bör bevaras. Det finns annars risk för stora informations- och kunskapsförluster.

Integritetshänsyn kan tala för en specialreglering för forskningsdatabaser med gallring som utgångspunkt. Den handlar ju om att behandla en stor mängd uppgifter, och i många fall även integritetskänsliga personuppgifter. Särskilda gallringsföreskrifter om att uppgifter ur register med känsliga personuppgifter ska gallras finns ofta i s.k. registerförfattningar. I sådana som reglerar register med integritetskänsliga personuppgifter är det vanligt att det föreskrivs att personuppgifter ska gallras när uppgiften inte längre behövs för sitt ändamål. Det rör sig då om bestämmelser som på grund av integritetshänsyn avviker från arkivlagstiftningens huvudregel om bevarande. Då gäller normalt en omvänd princip i förhållande till den som gäller enligt arkivlagen. Sådana uppgifter ska ofta gallras senast efter en viss tid, om inte undantag har föreskrivits i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. I avsnitt 5.6.4 redogör vi för gallringsföreskrifter i särskilda registerförfattningar.

Det finns anledning att även i detta avsnitt nämna gallringsbestämmelserna i lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU-lagen) samt i lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa (LifeGene-lagen). Bestämmelserna i de lagarna innebär att huvudregeln är att gallring ska göras när uppgifterna inte längre behövs för de ändamål de behandlas för. Motivet har varit att integritetsskyddsintresset har ansetts väga över intresset av att bevara handlingarna. När det gäller IFAU-lagen vägdes även in att merparten av de uppgifter som IFAU behandlar ursprungligen har hämtats från andra myndigheter och att intresset av att uppgifterna bevaras anses tillgodosett genom att de myndigheter uppgifterna hämtats ifrån i stor utsträckning arkiverar och bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser.

Till skillnad från den ovan nämnda IFAU-lagen ska behandling av uppgifterna i LifeGene-registret göras med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. I förarbetena till LifeGene-lagen angavs att det är troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid. Gallringsbestämmelsen föreslogs ändå med motiveringen att det inte kan uteslutas att det kan komma att visa sig att vissa uppgifter inte längre behövs och därför kan gallras.

I remissbehandlingen av den promemoria som föregick propositionen till LifeGene-lagen framfördes kritik mot den föreslagna

gallringsbestämmelsen. Skåne läns landsting och Statens medicinsketiska råd ställde sig frågande till den i promemorian föreslagna bestämmelsen om att personuppgifter som bedöms inte längre behövas för de primära ändamålen ska utplånas eller avidentifieras. Med hänsyn till ändamålet med registret ifrågasatte myndigheterna när och om utplåning eller avidentifiering av uppgifter skulle bli aktuell.

Örebro universitet påpekade att det finns en potentiell risk att en granskning vid eventuella metodologiska frågetecken eller forskningsfusk i tidigare studier försvåras om personuppgifter utplånas alltför snabbt. Örebro universitet föreslog att man kan överväga säker arkivering av material med åtkomst endast i de fall då det finns metodologiska frågetecken eller när man misstänker forskningsfusk, åtminstone för större eller kontroversiella projekt, under en period av några år efter det att projektet har avslutats.

Riksarkivet framförde att det enligt myndighetens uppfattning saknas motiv för att meddela från arkivlagen avvikande bestämmelser om gallring av personuppgifter.70

I Registerforskningsutredningens förslag till lag om forskningsdatabaser fanns en gallringsbestämmelse som överensstämmer med den som finns i LifeGene-lagen. Utredaren gjorde en avvägning av de olika intressen som ställdes mot varandra. Enligt utredningen talade integritetsaspekterna och att uppgifterna inte skulle användas vid myndighetsutövning för en specialreglering med gallring som utgångspunkt. Kravet på medborgerlig rätt till insyn och kontroll av myndigheternas verksamhet bedömdes relativt sett inte vara lika starkt.

Å andra sidan poängterades att forskningsdata skulle sparas i databasen under lång tid för att göra det möjligt att efter utlämnande genomföra longitudinella studier eller undersöka till exempel vad olika förhållanden i ungdomen har för betydelse för sjukdom senare i livet. Det var alltså troligt att uppgifterna i registret skulle komma att behöva lagras för de primära ändamålen under mycket lång tid. Det anfördes att många projekt förutsätter att man har tillgång till uppgifter som ligger långt tillbaka i tiden. De insamlade personuppgifterna skulle kunna användas i olika ännu inte specificerade forskningsprojekt, vilket enligt utredaren gjorde att det skulle komma

70Prop. 2012/13:163.

att bli svårt att fastställa en tidpunkt när uppgifterna inte längre behövdes i databasen.

Detta, jämte möjligheten att granska tidigare utförd forskning, talade enligt utredaren för bevarande i stället för gallring. Utredaren drog dock slutsatsen att skälen för gallring vägde tyngre och konstaterade att även om det krävs att uppgifterna bevaras under lång tid så är det viktigt att sådana uppgifter som inte längre behövs för de primära änd