Fra virkelighedens verden møder vores ekspertkonsulent Isabella Westh (cand.jur.) ofte, at organisationer har svært ved at finde rundt i krydsfeltet mellem Databeskyttelses­for­ord­ning­en (GDPR) og sundhedsretten når det gælder forskning.

Denne artikel vil derfor behandle følgende områder, som du skal være opmærksom på, når du behandler persondata til forsknings­formål:

1. Identifikation af databeskyttelsesretlige aktører i forskningsprojektet, dvs. hvem har ansvaret for forskningen, benyttes databehandlere og hvem er de registrerede.
2. Identifikation af sundhedsretlige aktører og begreber i forskningsprojektet, dvs. hvilke personer og organisationer er inddraget og hvad drejer projektet sig om.

Databeskyttelsesretlige aktører i projektet: hvem er der tale om?

GDPR definerer fire væsentlige aktører med betydning for et forskningsprojekt værende, dataansvarlig, databehandler, fælles dataansvarlig og registrerede.

Dataansvarlig

En dataansvarlig er den, der beslutter, hvorfor personoplysningerne skal behandles (afgør formål), og hvordan personoplysningerne skal behandles (afgør hjælpemidler).[1] Det kan f.eks. være en fysisk person, en juridisk person eller en offentlig myndighed.

Som den klare hovedregel vil det være den organisation, som forskeren, den forskningsansvarlige eller den projektansvarlige, er knyttet til. Det kan f.eks. være en region, et universitet eller en medicinalvirksomhed.

Følgende spørgsmål kan hjælpe med at afklare, om dataansvaret er jeres:

• Beslutter I, hvilke aktører der skal indgå i projektet?
• Beslutter I, hvilke personoplysninger der skal behandles, herunder indsamles?
• Beslutter I, hvor længe personoplysningerne skal behandles, herunder om og hvornår oplysningerne skal slettes?
• Beslutter I, hvem personoplysningerne skal deles med?

Hvis ikke I kan svare ja til ovenstående, kan det tale for, at en anden part er dataansvarlig.

Databehandler

En databehandler er en fysisk eller juridisk person eller offentlig myndighed, der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige, hverken hvorfor eller hvordan personoplysninger behandles,[2] da databehandlingen sker til den dataansvarliges formål og på den dataansvarliges instruks.

Hvis I ikke bestemmer de væsentligste elementer, men stadig har en rolle i projektet, kan det efter omstændighederne betyde, at I er databehandler.

Den dataansvarlige kan overlade databehandleren en vis skønsmargin med hensyn til, hvordan den dataansvarliges interesser bedst varetages. F.eks. kan databehandleren vælge de mest velegnede tekniske og organisatoriske hjælpemidler til databehandlingen, uden at databehandleren herved bliver dataansvarlig.

Fælles dataansvarlig

Betegnelsen som fælles dataansvarlige kan opstå, når mere end én interessent er involveret i behandlingen.[3] Det overordnede kriterium for det fælles dataansvar er, at to eller flere enheder er fælles om at bestemme formålene med og hjælpemidlerne til behandling.[4]

Fælles deltagelse kan tage form af en fælles beslutning truffet af to eller flere enheder eller som følge af to eller flere enheders konvergerende beslutninger, hvor beslutningerne supplerer hinanden og er nødvendige for, at behandlingen kan finde sted på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandlingen. Et vigtigt kriterium er, at behandlingen ikke ville være mulig uden begge parters deltagelse i den forstand, at de enkelte parters behandling er uadskillelige, dvs. uløseligt forbundet.

Den fælles deltagelse skal omfatte fastlæggelsen af formål på den ene side og på den anden side fastlæggelsen af hjælpemidler.

Selvstændigt dataansvarlig

Behandler I og eventuelt andre parter derimod oplysningerne til hver jeres formål, vil I hver være selvstændigt dataansvarlige.

For eksempel kan I være underlagt lovmæssige og professionelle forpligtelser samt faglige standarder, der medfører, at I er afskåret fra at kunne følge en detaljeret instruks fra en samarbejdspartner og I vil i så fald være selvstændigt dataansvarlig for de behandlingsaktiviteter, som er underlagt faglige standarder, der er uforenelige med at handle efter instruks. Det gælder, selvom der er tale om en aktivitet, der er foranlediget af eksempelvis et forskningssamarbejde.

Registreret

Den registrerede er en identificerbar fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.[5]

Det vil sige de personer, om hvem projektet behandler data på.

Eksempler på rollefordelingen

Datatilsynet har i juli 2023 offentliggjort en vejledning om rollefordelingen i forskningsprojekter, som lister en række eksempler i hyppigt forekommende situationer.[6] Særligt behandler vejledningen følgende momenter af betydning:

• Om dataansvaret er fastsat i lovgivningen eller om de involverede aktører er forpligtet til at behandle personoplysningerne til nærmere angivne formål.
• Om de sundhedsretlige aktører er underlagt professionelle forpligtelser og standarder, som stiller krav til de aktiviteter, der gennemføres, og til fagligheden af de medarbejdere, der udfører dem.
• Hvem der har taget initiativ til forskningsprojektet.
• Hvem der har udarbejdet og godkendt forskningsprotokollen.
• Hvem der finansierer forskningsprojektet.

Sundhedsretlige aktører og begreber i projektet: hvem og hvad er med?

Når du har vurderet, at der indgår personhenførbare oplysninger på fysiske individer i forskningsprojektet, er projektet omfattet af databeskyttelsesretten, dvs. GDPR og den danske Databeskyttelseslov.

I forbindelse hermed er det centralt at klarlægge de vigtigste begreber samt de involverede aktører. I diverse forordninger, love og bekendtgørelser på området defineres nogle termer, som er gode at kende til. Denne artikel indeholder nogle af disse, men udgør ikke en udtømmende opremsning.

Helbredsoplysninger

Alle oplysninger om den registreredes helbredstilstand.[7] Helbredsoplysninger klassificeres som en GDPR artikel 9-oplysning, dvs. en følsom oplysning. Der gælder derfor skærperede krav til behandling af helbredsoplysninger. Den tidligere Artikel 29-gruppe har i et svar til EU-Kommissionen beskrevet en længere liste over oplysninger, som de anser som helbredsoplysninger.[8]

Sundhedsperson

Ved sundhedspersoner forstås personer, der er autoriserede i henhold til særlig lovgivning til at varetage sundhedsfaglige opgaver, og personer, der handler på disses ansvar.[9]

Om sundhedspersonen udfører forskning samtidig under udøvelse af sin rolle som sundhedsperson, afhænger af, hvorledes der foretager observationer eller undersøgelser. Der kan være tilfælde, hvor sundhedspersonen alene foretager observationer eller undersøgelser uden i øvrigt at deltage i behandlingen af patient, og tilfælde, hvor sundhedspersonen samtidig deltager i patientbehandlingen. Sundhedsloven finder anvendelse for forskningsprojekter, som indgår som led i patientens behandling og som har et behandlingsmæssigt sigte.

Udføres forskningsprojektet af en autoriseret sundhedsperson, men uafhængigt af den sundhedsfaglige behandling og patientens sygdomsforløb, handler sundhedspersonen alene som forsker og ikke som sundhedsperson i forhold til forskningsprojektet. Indeholder forskningsprojektet derimod patientbehandling, vil forskeren under projektet også være omfattet af sundhedsloven og vil handle som både forsker og sundhedsperson i forhold til forskningsprojektet.

Forskningsansvarlig

Den forskningsansvarlige kan defineres som den myndighed, virksomhed eller organisation, hvor en ansat udfører forskning fra. Ikke selve forskeren. Den forskningsansvarlige vil ofte være den, der er dataansvarlig for forskningsprojektet efter GDPR. Det kunne f.eks. være region eller kommune, der bærer dataansvaret for forskningsprojekter udført af Ph.d.-studerende eller ansatte.

I forordningen om kliniske forsøg med lægemidler[10] anvendes sponsor og investigator som betegnelse for to forskellige ansvar for forskningsprojektet. Der kan derfor herske forskellige definitioner på, hvad rollen som forskningsansvarlig indebærer.

Patient

Patienter defineres i sundhedsloven[11] som brugere af sundhedsvæsnet uanset om patient kan siges at være rask eller syg, og uagtet om behandlingen ydes i regi af det offentlige eller private sundhedsvæsen.

Klinisk forskning udføres i forbindelse med diagnostik og behandling, hvorfor der i nogle situationer kan opstå tvivl om, hvornår en person kan siges at være henholdsvis patient eller forskningsdeltager. Dette kan have betydning for, hvilke regelsæt der skal overholdes under behandlingen.

Forskningsdeltagere

Disse personer deltager i sundhedsvidenskabelig forskning og er efter sundhedsretten tillagt bestemte rettigheder. Efter sundhedsloven vil personer, der indgår i klinisk forskning og forsøg defineres som forsøgsdeltagere, og personer der indgår i dataforskning defineres som forskningsdeltagere.

Sundhedsvidenskabelig forskning

Denne forskningskategori er i Komitéloven[12] defineret som forskning på mennesker og biologisk materiale, som ikke er forsøg med lægemidler og medicinsk udstyr. Dette omfatter både somatiske og psykologiske tilstande.

Komitéloven differentierer mellem forskning og behandling. Forskning kendetegnes ved planlagt virksomhed, som har til formål systematisk at indsamle viden om sygdommens opståen samt forebyggelse, diagnosticering og behandling heraf.[13] Formålet med forskningen skal være at opnå ny viden, hvor formålet med behandling er at opnå en forbedring af patientens tilstand. Formålet med indgrebet er bestemmende for, om der er tale om forskning eller behandling og om projektet skal anmeldes til Videnskabsetisk Komité.

Klinisk forskning og forsøg

Klinisk forskning er forbundet med en omfattende databehandling gennem kliniske forsøg. Klinisk forskning omfatter studier på syge eller raske mennesker. Klinisk forskning kan indeholde observationelle studier, som forbedrer indsigten i sygdomme, deres årsag og udvikling uden at gribe ind i behandlingsforløb. Klinisk forskning kan også indeholde interventionsstudier, der undersøger behandlingseffekten og bivirkninger ved lægelig behandling eller forebyggelse gennem kontrollerede forsøg.

GDPR udgør den fællesretlige ramme for behandling af personoplysninger, men skal ses i sammenhæng med reglerne om kliniske forsøg, der også indeholder bestemmelser om behandling af personoplysninger.

Forsøgspersoner

Komitéloven[14] definerer forsøgspersoner som personer, der deltager i et sundhedsvidenskabeligt forskningsprojekt. Forsøgspersoner kan både være raske personer, der ikke modtager behandling og personer, der er i behandling for en sygdom og som led i behandlingen deltager i et forsøg. Forsøgspersoner, der er raske og derfor ikke er brugere af sundhedsvæsnet, er ikke omfattet af sundhedsloven,[15] dog kan de være omfattet af databeskyttelsesretten. Forsøgspersoner, der er i behandling og hvor formålet med forsøget er at forbedre behandlingsmulighederne for patienten eller for andre patienter med samme sygdom er omfattet af sundhedsloven, komitéloven og databeskyttelsesretten.

Videnskabsetisk bedømmelse

Nogle forskningsprojekter er grundet potentielle etiske problemstillinger underlagt krav om forudgående videnskabsetisk vurdering. Dette gælder bl.a. for forskningsprojekter omfattet af forordning om kliniske forsøg med lægemidler og forordning om medicinsk udstyr. Den videnskabsetiske bedømmelse er reguleret i Komitéloven og har til formål at sikre, at sundhedsvidenskabelige forskningsprojekter gennemføres videnskabsetisk forsvarligt.

Mere viden om forskning & GDPR

Der er mange flere spændende emner, som kan være relevante for din forskning. Leder du efter mere teoretisk viden, kan du med fordel læse bogen ”Persondata og Forskning” af Kent Kristensen m.fl. samt besøge den dertil knyttede hjemmeside www.jurfast.dk, som indeholder relevante nyheder, regler og afgørelser. Desuden kan du tjekke Datatilsynets Vejledning om rollefordelingen i forskningsprojektet[16] samt deres oversigt ud ”Generelt om forskning og statistik” eller ”Særligt om sundhedsområdet”.

Mangler din organisation en DPO, som kan hjælpe med systematisering af fortegnelse over forskningsprojekter, risikovurdering af projekterne og generel rådgivning omkring GDPR efterlevelse? DPO Danmark hjælper dig gerne i mål med at få overblik over dine forskningsprojekter.

Mangler din organisation en rådgiver og ønsker I sparring vedrørende specifikke GDPR problemstillinger? Vores ”GDPR partner” ydelse er skræddersyet til dem, som fra tid til anden ønsker ekspertrådgivning på projektbasis.

Kontakt os gerne, hvis du vil høre mere.

[1] GDPR artikel 4, nr. 7.

[2] GDPR artikel 4, nr. 8.

[3] EDPB’s vejledning 07/2020 om fælles dataansvarlige , s. 3.

[4] GDPR artikel 4, nr. 7.

[5] GDPR artikel 4, nr. 1.

[6] Rollefordeling i forskningsprojekter, Datatilsynets Vejledning om databeskyttelse i forskning, juli 2023

[7] GDPR, betragtning 35.

[8] Artikel 29-Gruppen, Annex – health data in apps an devices, 2015

[9] Sundhedslovens § 6, stk. 1.

[10] Forordning 536/2014, artikel 2, nr. 14 og 15.

[11] Sundhedslovens § 13.

[12] Komitélovens § 2.

[13] FT 1991-92, tillæg A, s. 1138.

[14] Komitélovens § 2, stk. 1, nr. 8.

[15] FT 1997-98, tillæg A, L 482 om fremsat, s. 521.

[16] Rollefordeling i forskningsprojekter, Vejledning om databeskyttelse i forskning, Juli 2023