att på ett oproportionerligt sätt störa forskningen utan att erbjuda något större skydd för den personliga integriteten.
Mot bakgrund av att medlemsstaterna tillåts införa egna begränsningar av registre-rades rättigheter kan dataskyddsförordningens mål om att harmonisera dataskyddslagarna mellan unionens medlemsstater sägas, i vart fall när det kommer till forskning baserat på hälsodata, ha underminerats. Reglering av forskning baserat på hälsodata är i hög ut-sträckning en nationell angelägenhet i den nya dataskyddsförordningen, vilket torde ha att göra med att EU inte har givits de befogenheter som krävs för att helt och hållet har-monisera sjukvårdsrelaterad forskning.228
De avsteg som medlemsstaterna får göra vid personuppgiftsbehandling för forsk-ningsändamål kan vidare leda till minskad förutsägbarhet och försämrat skydd för den personliga integriteten, med möjlighet för forskningsaktörer att ”forum shoppa” mellan länder som har attraktivast dataskyddsregler ur ett forskningsperspektiv. Att forum shoppa innebär i detta sammanhang att forskningsaktörer har möjlighet att välja den med-lemsstat som har infört de mest omfattande undantagen från de registrerades rättigheter. Omvänt kommer registrerade i de fall forskningen är gränsöverskridande inom EU också kunna forum shoppa mellan länder med attraktivast regler ur integritetssynpunkt. Exem-pelvis kommer en registrerade som bor i ett land som har maximerat sina möjligheter att begränsa registrerades rättigheter kunna gå till ett annat land där samma forskning bed-rivs, men som inte har samma undantag från registrerades rättigheter, och kräva att få utöva sina rättigheter i det landet.
Effekterna av den bristande enhetligheten medför märkliga konsekvenser och det är olyckligt att regelverket har blivit oförutsägbart då detta medför negativa konsekvenser för såväl skyddet för den personliga integriteten som för forskningsincitamenten.
6.5 Särskilda frågor med anledning av forskningsdatabaser
Forskning och utveckling av sjukvårdsrelaterad AI är som tidigare nämnts dataintensiv. Eftersom det fordras stora mängder data är det inte gångbart för forskare att ta personlig kontakt med den efterfrågade mängden patienter och manuellt samla in hälsodata. Istället kommer denna typ av forskning i regel behöva stödja sig på data som finns i olika register och databaser. Av den anledningen är det intressant att belysa de dataskyddsfrågor som aktualiseras i förhållande till forskningsdatabaser.
69 6.5.1 Registerforskning i Sverige
Sverige utmärker sig internationellt genom sin tillgång till mycket omfattande centrali-serade myndighetsdatabaser och register vilka sammantaget innehåller personuppgifter beträffande i princip hela befolkningen. Sverige är också unikt med avseende på det ge-nomgående användandet av unika personnummer vilket möjliggör samkörning och kon-troll mellan olika databaser på ett sätt som inte är möjligt i andra länder.229 Det finns alltså goda möjligheter för Sverige att undersöka och forska om sina egna invånare, mycket tack vare det utbredda välfärdssystemet. Det finns också bland forskare ett stort intresse av att utvinna de fördelar som ligger inneboende i sådana stora mängder data.230
En viktig fråga för Sveriges del inför antagandet av dataskyddsförordningen var möjligheterna att använda sig av personuppgifter för forskningsändamål som hämtats från verksamheter som inte har forskning som sitt primära syfte. En annan fråga var också hur möjligheterna att kombinera personuppgifter från olika register och databaser skulle ge-stalta sig. För forskare är det av central betydelse att kunna återanvända personuppgifter från olika administrativa register och verksamhetsregister i sin forskning, samt person-uppgifter som tidigare insamlats för andra forskningsändamål.231
När det gäller personuppgiftsbehandling för sjukvårdsrelaterade forskningsändamål har hälso- och sjukvårdens regionala och nationella kvalitetsregister en särskilt stor bety-delse.232 Lagligt stöd för myndigheter vid personuppgiftsbehandling i register finns oftast i särskilda registerförfattningar som anger ändamålet med behandlingen och vilka upp-gifter som får behandlas.233
6.5.2 Dataskyddsproblematik beträffande vissa forskningsdatabaser
Datainspektionen har vid olika tillsynsärenden beträffande forskningsprojekt och forsk-ningsdatabaser kunnat konstatera att det relativt ofta förekommer brister i hanteringen av personuppgifter.234 Ett exempel på när datainspektionen har ingripit mot en forsknings-databas är från 2011 beträffande Karolinska institutets s.k. forsknings-databas. LifeGene-projektet syftade till att bygga upp en nationell forskningsdatabas för framtida medicinsk forskning för att skapa möjligheter att förhindra, diagnostisera och behandla de vanligaste
229 SOU 2016:41 s. 277. 230 SOU 2016:41 s. 77. 231 SOU 2017:50 s. 78 ff. 232 SOU 2017:50 s. 169. 233 SOU 2014:45 s. 20. 234 SOU 2016:41 s. 284.
70
folksjukdomarna. Om en person drabbas av en sjukdom ska man med hjälp av databasen kunna gå tillbaka i tiden för att granska om det fanns tecken på sjukdomen tidigare i livet. Projektet bestod av ett samarbete mellan Karolinska institutet och universiteten i Uppsala, Lund, Göteborg, Linköping och Umeå. Projektet finansierades av Vetenskapsrådet.235
Beträffande LifeGene-databasen konstaterade datainspektionen att personuppgifts-insamlingen var olaglig då ändamålen bakom personuppgifts-insamlingen var för allmänt hållna vilket medförde att de berörda individerna inte gavs någon reell möjlighet att bilda sig en upp-fattning om hur deras personuppgifter skulle komma till användning. Datainspektionen konstaterade vidare att de samtycken som hade erhållits inte heller var lagliga av samma anledning som ändamålsbegränsningen inte var laglig, d.v.s. att ändamålen var för all-mänt hållna för att samtyckena skulle kunna godtas rättsligt. Datainspektion förelade där-för Karolinska institutet att upphöra med insamlingen av personuppgifter. Datainspekt-ionen betonade att register och databaser som upprättas med syfte att omfatta stora delar av befolkningen i regel kräver särskilt författningsstöd vid sidan om tillämpliga data-skyddslagar, eftersom det anses rimligt att riksdag och regering ska få ta ställning till frågan innan insamlingen påbörjas.236
Med anledning av denna granskning inrättade riksdagen år 2013 lag (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Lagen är tidsbegränsad och har till syfte att tillåta behandling av känsliga personuppgifter för att kunna skapa underlag för forskning om vad arv och miljö kan ha för betydelse för ut-vecklingen av olika sjukdomar och liknande. Lagen kallas ibland för ”LifeGene-lagen” mot bakgrund av den ursprungliga databasens namn.237 Lagen är tidsbegränsad och dess giltighetstid har förlängts till och med den 31 december 2020.238
Datainspektionen har intagit en kritisk ställning till lagens giltighet då datainspekt-ionen menar att lagens ändamål är för ospecificerade för att kunna överensstämma med dataskyddsdirektivets krav på att ändamål ska vara särskilda och uttryckligt angivna.239 Datainspektionen baserar detta på ett uttalande från Artikel 29-gruppen som tidigare ut-talat att ändamål såsom ”framtida forskning” i regel är för allmänt hållna för att kunna överensstämma med direktivets krav. Risken med allmänt hållna forskningsdatabaser är
235 Lind, LifeGene – a Closed Case? s. 339.
236 Datainspektionen, Tillsyn enligt personuppgiftslagen – LifeGene, s. 4 f.
237 SOU 2016:41 s. 284 f.
238 Prop. 2016/17:204.
71
vidare enligt datainspektionen att dessa i regel medför att det inte behövs något godkän-nande från en etikprövningsnämnd för att kunna samla in de känsliga personuppgifterna, utan det är först när personuppgifterna ska användas i ett forskningsprojekt som ett god-kännande behövs. Detta är ett avsteg från den vanliga ordningen där etikprövningsnämn-der även prövar insamlandet av känsliga personuppgifter.240
Registerforskningsutredningen har lämnat ett förslag om att forskningsdatabaser ska omfattas av en ny permanent reglering, till skillnad från den tidsbegränsade regle-ringen som gäller för bl.a. LifeGene-lagen. Den nu gällande ordningen omfattar tidsbe-gränsade lagar där det krävs samtycke från den berörda individen för att insamling av känsliga personuppgifter ska få ske. Registerforskningsutredningen förordar istället en ordning där det inte krävs samtycke från enskilda individer för att få samla in känsliga personuppgifter, och heller inget godkännande från etikprövningsnämnd eller någon skyl-dighet att lämna information till de berörda individerna. I remissbehandlingen motsätter sig datainspektionen den föreslagna regleringen då datainspektionen anser att det skulle strida mot 2:6 st. 2 RF med sådan omfattande insamling av känsliga personuppgifter.241
Det förslag som lämnats av registerforskningsutredningen och det remissvar som lämnats av datainspektionen tyder på en spänning mellan intresset av att å ena sidan un-derlätta och utöka insamlandet av personuppgifter för forskning, och å andra sidan viljan att skydda den personliga integriteten.242 Det har vidare i flera lagstiftningssammanhang kunnat urskönjas en vilja att hos myndigheter underlätta för insamlandet och skapandet av forskningsdatabaser, och där skydd för den personliga integriteten uppfattas som ett hinder för den typen av verksamhet.243
Forskningsdatautredningen kommer i ett senare skede att lämna ett betänkande rö-rande en permanent reglering av forskningsdatabaser.244 Forskningsdatautredningen har dock konstaterat att dataskyddsförordningen har intagit en delvis annan syn på hur brett ett samtycke får vara vid insamlande av personuppgifter för forskningsändamål. Skäl 33 till dataskyddsförordningen betonar att det ofta inte är möjligt att fullt ut identifiera syftet med behandlingen av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av personuppgifter. Därför ska det enligt samma punkt vara möjligt för
240 SOU 2016:41 s. 285. 241 SOU 2016:41 s. 286. 242 SOU 2016:41 s. 287. 243 SOU 2016:41 s. 287. 244 Dir. 2017:29 bilaga 2.
72
registrerade att lämna samtycke till vissa bredare forskningsändamål när vedertagna etiska standarder för forskning iakttas. Skälen i punkt 33 till dataskyddsförordningen talar för att den syn på samtycke som tidigare framlyfts är för snäv. Frågan är dock hur utta-landet förhåller sig till skapandet och underhållet av forskningsdatabaser.245
Forskningsdatautredningen är av uppfattningen att iordningsställande av databaser för forskningsändamål ska anses vara en integrerad del av forskningsprocessen och därför innefattas i forskningsbegreppet. De allmänna principerna i artikel 5 dataskyddsförord-ningen ska gälla för insamlingsarbetet och frågan blir hur breda forskningsändamål som kan anses överensstämma med principen om uppgiftsminimering. Redan insamlade per-sonuppgifter bör enligt forskningsdatautredningen kunna samlas i nya databaser med stöd av artikel 5.1 b) dataskyddsförordningen, d.v.s. forskningsundantaget från finalitetsprin-cipen.246
Det är ur ett forskningsperspektiv av stor betydelse att skapandet och underhållet av forskningsdatabaser underlättas. Samtidigt är det viktigt att hanteringen av dessa data-baser beaktar behovet av skydd för den personliga integriteten samt övriga krav som upp-ställs i dataskyddsförordningen. Integritetskommittén har med anledning av sin integri-tetsgranskning av svenska forskningsdatabaser konstaterat att det föreligger allvarliga ris-ker för den personliga integriteten, särskilt beträffande forskning som bedrivs utan ut-tryckligt samtycke eller där samtycke lämnats beträffande breda och ospecificerade ningsändamål. Detta beror på att de samtycken som enskilda individer lämnar för forsk-ning är ofta diffusa och breda och lämnar ofta ingen mer ingående förklaring till hur deras personuppgifter kommer att användas.247 Mot dessa allvarliga risker anser dock kommit-tén att man bör beakta de fördelar som forskning kan medföra för en rad olika samhälls-områden.248
Sammanfattningsvis kan konstateras att frågan om forskningsdatabasernas vara el-ler icke-vara är föremål för granskning. Enligt min uppfattning torde de rättsliga möjlig-heterna enligt dataskyddsförordningen att behålla och skapa nya forskningsdatabaser vara goda. Detta särskilt mot bakgrund av forskningsundantaget från finalitetsprincipen samt att dataskyddsförordningen har gett uttryck för att synen på samtyckets omfattning tycks
245 SOU 2017:50 s. 104, 170.
246 SOU 2017:50 s. 107.
247 SOU 2016:41 s. 77.
73
vara bredare vid personuppgiftsbehandling för forskningsändamål än vad som gäller i övrigt.