Fra virkelighedens verden møder vores ekspertkonsulent Isabella Westh (cand.jur.) ofte, at organisationer har svært ved at finde rundt i krydsfeltet mellem Databeskyttelses­for­ord­ning­en (GDPR) og sundhedsretten når det gælder forskning.

Denne artikel vil derfor behandle følgende områder, som du skal være opmærksom på, når du behandler persondata til forsknings­formål:

1. Identifikation af mulige lovhjemler for behandlingen og de involverede loves retlige trinfølge, dvs. hvilke(n) paragraf ”giver lov” til at behandle de pågældende persondata?
2. Vurdering af behovet for samtykke fra patienter, sundhedsfagligt personale, forskningsdeltagere og forsøgsdeltagere, dvs. om der er behov for samtykke og evt. efter hvilken lovbestemmelse?
3. Muligheden for hhv. videregivelse og viderebehandling, dvs. hvornår der er tale om videregivelse til samt fra den forskningsansvarlige og hvad er viderebehandling?

1. Mulige behandlingshjemler: hvordan må jeg behandle?

GDPR byder forskningsansvarlige en vid adgang til at behandle persondata på baggrund af videnskabelige forskningsformål. Dette ses bl.a. igennem forordningens lempelse af forbuddet mod viderebehandling af persondata til fremtidige uforenelige formål[1] og undtagelse af fire[2] af den registreredes rettigheder[3]. Men i praksis kan det være svært at finde hoved og hale i den udvidede behandlingsadgang, bl.a. fordi der er en række særlove i spil, fordi samtykke ikke sjældent er nødvendigt og fordi behandlingen ofte rummer mange følsomme og fortrolige persondata.

Før vi går i dybden med de emnerne, kan nedenstående graf over databeskyttelsesretten på området (dvs. de forskellige regler og deres beskyttelsesinteresse) være med til at skabe lidt perspektiv. Bemærk dog, at der ikke er tale om en komplet liste af love, men at Sundhedsloven og Komitéloven er gode eksempler på, hvad man kan møde af særlovgivning på området for forskning i helbredsoplysninger.

Nedenfor listes en ikke udtømmende opremsning af hjemmelsbetragtninger som kan tjene til inspiration, når din organisation er dataansvarlig for et forskningsprojekt omfattet af GDPR.

 A. Klinisk forskning

Kan ske med hjemmel i nødvendighedsbetragtninger, eftersom den forsknings- og forsøgsansvarlige har pligt til at efterleve EU-retlige forpligtelser til at beskytte forsøgsdeltagerens sikkerhed.

Hjemmel: GDPR art. 6, stk. 1, litra c og 9, stk. 2, litra i og DBL § 11, stk. 2, nr. 3.

B. Forskning som er væsentlig for samfundet

Kan ske med hjemmel i nødvendighedsbetragtninger, eftersom forskningen udføres for samfundets interesse eller hører under offentlig myndighedsudøvelse, såfremt det indsamlede persondata alene behandles til formål for forskning.

Hjemmel: GDPR art. 6, stk. 1, litra e og art. 9, stk. 2, litra j, jf. DBL § 10 samt § 11, stk. 2, nr. 3.

C. Forskning uden samfundsmæssig væsentlighed

Kan ske med hjemmel i GDPR-samtykke, hvis de fysiske personer, der indgår i forskningsprojektet, giver deres samtykke til behandling af sine personoplysninger til forskningsformål.

Hjemmel: GDPR art. 6, stk. 1, litra a og art. 9, stk. 2, litra a og DBL § 11, stk. 2, nr. 3.

D. Kombinationer og andre tilfælde

Det skal for god ordens skyld noteres, at der kan opstå kombinationstilfælde med behov for flere hjemmelsgrundlag til grund for persondatabehandlingen efter de databeskyttelsesretlige regler i GDPR og Databeskyttelsesloven.

Der kan også være tilfælde, hvor der er krav om hjemmel efter anden særlovgivning, herunder f.eks. hvor den forskningsansvarlige skal indhente et samtykke til forsøgsdeltagelse efter reglerne i Komitéloven og/eller et samtykke til persondatabehandling af patientjournaldata efter reglerne i Sundhedsloven. De respektive former for samtykke gennemgås nedenfor.

2. Samtykke: hvornår skal det indhentes?

Forskere kan støde på situationer, hvor samtykke kræves ved lov eller efter god skik på området. Der kan være tale om samtykke til deltagelse fra patienter, sundhedspersoner og andre. Det er derfor vigtigt at holde sig for øje, at ikke alle samtykker er en behandlingshjemmel efter GDPR, dvs. en adgangsgivende hjemmel til behandling af de pågældende personoplysninger. Datatilsynet udtrykker:

”Særligt i forbindelse med forskning er det vigtigt ikke at forveksle samtykke til at behandle personoplysningerne med krav om samtykke, som følger af eventuel anden lovgivning. Det kan følge af anden lovgivning, at der kræves ‘samtykke’, men dette samtykke er ikke ensbetydende med, at der er givet et samtykke i databeskyttelsesretlig forstand. Et sådant ‘samtykke’ vil ofte udgøre en garantiforskrift for borgerne, men er ikke nødvendigvis grundlaget for behandlingen af personoplysninger.”[4]

Samtykke er en blandt flere mulige hjemler til behandling af persondata efter GDPR. Samtidig kræves der også samtykke efter andre dele af sundhedsretten, f.eks. til deltagelse i forskningsforsøg efter Komitéloven eller til forskning i persondata fra patientjournalen efter Sundhedsloven. Nedenfor fremgår en ikke udtømmende oversigt over tre forskellige samtykker, som vi ofte støder på i forbindelse med forskning i helbredsoplysninger.

A. Samtykke efter GDPR til behandling af persondata

Beskyttelsesinteresse – hvorfor skal der indhentes samtykke?

Reglerne har til formål at beskytte individets ret til privatlivets fred, herunder en sikring af de registreredes ret til fortrolighed, integritet og tilgængelighed.

Omfang – hvornår skal der indhentes samtykke?

Samtykke efter GDPR art. 6, stk. 1, litra a og art. 9, stk. 2, litra a kan anvendes såfremt et forskningsprojekt ikke anses at være i ”samfundets interesse” efter GDPR art. 6, stk. 1, litra e og art. 9, stk. 2, litra j og databeskyttelseslovens § 10.

Formalia – hvordan skal der indhentes samtykke?

Oplysninger om, hvordan og hvornår samtykket skal indhentes, fremgår blandt andet af GDPR art. 7. Da der er tale om behandling af helbredsoplysninger skal samtykket være udtrykkeligt, dvs. uden enhver tvivl.

GDPR-samtykket defineres i GDPR art. 4, nr. 11 som:

”fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

B. Samtykke efter Komitéloven til deltagelse i forskning og forsøg

Beskyttelsesinteresse – hvorfor skal der indhentes samtykke?

Reglerne har til formål at beskytte forsøgspersonerne og at garantere sikkerheden af det lægemiddel eller det udstyr, som er genstand for undersøgelse.

Omfang – hvornår skal der indhentes samtykke?

Klinisk forskning, herunder forskning i mennesker, forskning i menneskelige væv, forsøg med lægemidler og forsøg med medicinsk udstyr.

Formalia – hvordan skal der indhentes samtykke?

Oplysninger om, hvordan og hvornår samtykket skal indhentes, fremgår blandt andet af Komitélovens kapitel 3, §§3-12. Også dette samtykke skal opfylde GDPR’s krav til udtrykkelighed.

Informeret samtykke defineres i Komitélovens § 2, nr. 14 som: ”En beslutning, der er meddelt skriftligt, dateret og underskrevet eller meddelt elektronisk sammen med brug af digital signatur, om at deltage i et sundhedsvidenskabeligt forskningsprojekt, der efter fyldestgørende information om projektets art, betydning, rækkevidde og risici og modtagelse af passende dokumentation er truffet af egen fri vilje af en person, der er i stand til at give sit samtykke.”

C. Samtykke efter Sundhedsloven til indhentning eller videregivelse af data fra patientjournalen eller andre elektroniske patientsystemer

Beskyttelsesinteresse – hvorfor skal der indhentes samtykke?

Reglerne har til formål at sætte krav til sundhedsvæsnet med henblik på at sikre respekt for det enkelte menneske, dets integritet og selvbestemmelsesret.

Omfang – hvornår skal der indhentes samtykke?

Der skal som udgangspunkt indhentes patientsamtykke forinden enhver behandling af data fra patientjournalen eller andre elektroniske patientsystemer. Samtykke er den foretrukne hjemmel til behandling af disse data. Der kan enten gives samtykke til indsamling og fremsøgning i patientjournalen og andre elektroniske patientsystemer (SL § 42d), eller gives samtykke til videregivelse af dele af indholdet i patientjournalen eller andre elektroniske patientsystemer (SL § 43 og § 46).

Samtykke kan alene undlades såfremt betingelserne er opfyldt (i SL § 42d – hvis data indhentes af en autoriseret sundhedsperson eller lign.) eller såfremt der alene er tale om videregivelse uden patientkontakt (SL § 46).

Formalia – hvordan skal der indhentes samtykke?

Formalia for samtykket fremgår af Sundhedslovens § 42e, § 43, stk. 1 og § 44.

For indsamlingstilfælde gælder, at ”samtykket skal være skriftligt og skal meddeles den autoriserede sundhedsperson, som indhenter oplysningerne. Samtykket skal indføres i patientjournalen. (…) Samtykket bortfalder senest 1 år efter at det er givet.”

For videregivelsestilfælde gælder, at ”samtykket skal være skriftligt og skal videregives til den, der videregiver oplysningerne.”

Desuden skal begge former for samtykke overholde GDPR’s krav til et ”udtrykkeligt” samtykke samt opfylde kravene i GDPR art. 7, herunder være frivilligt, specifikt, informeret og en utvetydig viljestilkendegivelse fra patienten.

3. Videregivelse og viderebehandling: hvad er der tale om?

En hel del af de helbredsoplysninger, som bruges i forskning, stammer fra patientjournalen eller fra kliniske kvalitetsdatabaser. Ofte sker indsamlingen derfor ikke hos den registrerede selv, men hos andre som videregiver persondata til forskeren.

A. Er personoplysningerne oprindeligt indsamlet til patientbehandling?

Helbredsoplysninger og andre rent private forhold fra konkrete patientjournaler og andre elektroniske patientsystemer kan videregives til forskere til brug for et konkret sundhedsvidenskabeligt forskningsprojekt uden samtykke fra patienten. Videregivelse kræver at forskningsprojektet enten er godkendt efter det videnskabsetiske komitésystem (Sundhedslovens § 46, stk. 1) hvis der er tale om et klinisk forskningsprojekt eller at Regionsrådet konkret giver tilladelse til videregivelsen (Sundhedslovens § 46, stk. 2).

B. Stammer personoplysningerne fra kliniske kvalitetsdatabaser?

Databaserne anvendes primært til kvalitetsovervågning samt synliggørelse af klinisk kvalitet. Persondata, som allerede er indsamlet med henblik på kvalitetsudvikling kan viderebehandles til forskningsformål, eftersom forskning ikke er et uforeneligt formål og da der derfor ikke er noget til hinder for, at de indsamlede kvalitetsdata videregives til forskning.[5] Forskeren kan derfor søge f.eks. RKKP og Sundhedsdatastyrelsen om dataudtræk til forskning.

 C. Må forskeren videregive personoplysninger til tredjemand?

Som udgangspunkt kan forskningsdata håndteres forholdsvist frit, så længe data holdes til forskningsformålet. Dog må de personoplysninger, som indgår i projektet ikke senere behandles i andet end videnskabeligt eller statistisk øjemed.[6] Der er dog visse tilfælde, hvor videregivelse til tredjemand kan ske, om end nogle kræver tilladelse fra Datatilsynet:[7]

• Når videregivelsen sker til behandling udenfor GDPR’s geografiske anvendelsesområde.
• Når videregivelsen vedrører biologisk materiale.
• Når videregivelsen sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift eller lignende.

D. Hvornår er der så tale om viderebehandling?

Viderebehandling foretages, hvis der sker behandling af allerede indhentede personoplysninger til et andet formål, end hvad de oprindeligt var indhentet til. Dette kan være oplysninger indsamlet til f.eks. kvalitetssikring ved monitorering af registreringskvaliteten i patientjournalen eller af implementeringsgraden af instrukser for behandling af persondata. Det kunne f.eks. også omfatte behandling af oplysninger med henblik på at forbedre (udvikle) kvaliteten af sundhedsvæsnets ydelser.

Mere viden om forskning & GDPR

Der er mange flere spændende emner, som kan være relevante for din forskning. Leder du efter mere teoretisk viden, kan du med fordel læse bogen ”Persondata og Forskning” af Kent Kristensen m.fl. samt besøge den dertil knyttede hjemmeside www.jurfast.dk, som indeholder relevante nyheder, regler og afgørelser. Desuden kan du tjekke Datatilsynets oversigt ud ”Generelt om forskning og statistik” eller ”Særligt om sundhedsområdet”.

Mangler din organisation en DPO, som kan hjælpe med systematisering af fortegnelse over forskningsprojekter, risikovurdering af projekterne og generel rådgivning omkring GDPR efterlevelse? DPO Danmark hjælper dig gerne i mål med at få overblik over dine forskningsprojekter.

Mangler din organisation en rådgiver og ønsker I sparring vedrørende specifikke GDPR problemstillinger? Vores ”GDPR partner” ydelse er skræddersyet til dem, som fra tid til anden ønsker ekspertrådgivning på projektbasis.

Kontakt os gerne, hvis du vil høre mere.

[1] GDPR artikel 5, stk. 1, litra b og artikel 89, stk. 1.

[2] Den dataansvarlige skal som udgangspunkt overholde samtlige regler i GDPR kapitel 3 om de registreredes rettigheder. Dog er retten til indsigt (art. 15), retten til berigtigelse (art. 16), retten til begrænsning (art. 18) og retten til indsigelse (art. 21) undtaget såfremt persondatabehandlingen sker i forskningsøjemed.

[3] GDPR artikel 89, stk. 2 og Databeskyttelseslovens § 22, stk. 5.

[4] Datatilsynet, Bidrag fra Datatilsynet: Erfaringsindsamling i forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne, April 2021.

[5] GDPR artikel 5, stk. 1, litra b og Databeskyttelseslovens § 10.

[6] Databeskyttelseslovens § 10, stk. 2.

[7] Databeskyttelseslovens § 10, stk. 3 og 5.