Debatt kvalheim og myhren

Godt personvern gir forskningen tillit

— Sikt (tidligere NSD) er ikke en etisk instans, og heller ikke en instans som kan godkjenne, eller velge å ikke godkjenne et prosjekt.

Vigdis Namtvedt Kvalheim, divisjonsdirektør for forsknings- og kunnskapsressurser i Sikt.
Publisert

Denne teksten er et debatt­inn­legg. Inn­holdet i teksten uttrykker forfatterens egen mening.

Er personvern og forskningsetikk til hinder for forskning? Det er på mange måter kjernen i debatten som har gått i Khrono den siste tiden. Som leverandør av personverntjenester til de aller fleste norske forskningsinstitusjoner, har Sikt (tidligere NSD) en rolle i dette.

Vi vil gjerne forsøke å oppklare noen misforståelser som vi ser, både knyttet til vår rolle, til selve personvernregelverket, og i sammenblandingen av personvern og forskningsetikk.

Og for å ta det siste først: Forskningsetikken favner videre enn personvernet. Vi har tillit til at studenter og forskere får god opplæring i forskningsetikk, og lærer at forskningsetiske normer og retningslinjer gjelder og må følges, uavhengig av om de behandler personopplysninger eller ikke i et forskningsprosjekt. Det er positivt at dette ansvaret løftes i debatten.

FAKTA

Fakta om personverntjenester

  • Avtaler med 130 institusjoner om personverntjenester i forskning
  • Gjør en forhånds- underveis og sluttvurdering av innmeldte forskningsprosjekt for institusjoner vi har avtale med, i 2021 fikk vi over 11 000 nye innmeldinger.
  • Utvikler og vedlikeholder digitale verktøy for innmelding og dialog (meldeskjema/min side), rådgivning, og protokoll og oversikt (meldingsarkiv og institusjonsportal)
  • 30 rådgivere med tverrfaglig bakgrunn
  • Personvernombud for 10 institusjoner
  • Tilbyr opplæring i personvern og datahåndtering for studenter, forskere og institusjoner

Personvernregelverket kan virke overveldende, det skjønner vi. Men Sikt sin rolle er nettopp å drive forskerstøtte ved å utforske og synliggjøre mulighetsrommet innenfor regelverket. Vårt mål er å være en veiviser, som hjelper studenter og forskere med å få lovlig tilgang til forskningsdata.

Som leverandør av en fellestjeneste for personvern i forskning i 40 år, er vår rolle er å bistå institusjonene i arbeidet med å sikre at behandling av personopplysninger til forskningsformål følger personvernregelverket.

Dette gjør vi gjennom rådgivning, vurdering av personvernkonsekvenser, og utvikling av felles digitale løsninger på personvernområdet, for sektoren.

Vi er altså ikke en etisk instans, og heller ikke en instans som kan godkjenne, eller velge å ikke godkjenne et prosjekt. Det er institusjonene som er ansvarlige for at både forskningsetikk og personvern blir ivaretatt.

Vi er opptatt av at tjenestene vi leverer skal ha god kvalitet, og jobber aktivt med å forbedre og forenkle dem. Vi er også opptatt av å ha god og tett dialog med forskere og institusjonene vi har avtale med om hvordan vi best kan få dette til.

Vi får mange gode tilbakemeldinger om at personverntjenestene vi leverer er til nytte. Vår klare oppfordring til misfornøyde studenter eller forskere er å ta kontakt med oss, slik at vi kan få i gang en konstruktiv dialog.

Både personvern og forskningsetikk er institusjonenes ansvar. Ansvaret for å følge regelverket ligger på institusjonen som forskeren tilhører. Institusjonene kan så inngå avtaler med oss om personverntjenester. Om studenter og ansatte skal melde prosjektene sine til oss, avhenger altså om institusjonen har inngått en avtale med oss – noe langt de fleste har.

Alternativet til å bruke våre tjenester, er at forskere og studenter rapporterer de samme opplysningene i egne systemer ved egen institusjon.

Uansett hvordan man velger å organisere dette, er institusjonene altså pålagt å ha oversikt over prosjekter som behandler personopplysninger, og å kunne dokumentere at behandlingen følger regelverket.

Plikten til å melde og søke om forhåndsgodkjenning fra Datatilsynet ble gradvis avviklet alt fra begynnelsen på 2000-tallet under forutsetning av at institusjonene hadde avtale med et personvernombud, i praksis NSD.

Med GDPR ble siste rest av melde- og konsesjonsplikten for alle type personopplysninger avviklet, og erstattet med en dokumentasjons- og rådføringsplikt, og en plikt til å utføre en personvernkonsekvensvurdering (DPIA) for behandlinger som har svært høy risiko og ulempe.

Endringene i lovgivningen ble gjort under forutsetning av at institusjonene tok et enda større ansvar for å for etterlevelse av personvernregelverket selv.

At institusjonene tar ansvaret for personvern på alvor, kan vi se av økningen av antall innmeldinger til oss. I 1981 mottok NSD rundt 240 meldeskjema på papir, i 2003 fikk vi inn rundt 900. I 2021 vurderte vi over 11.000 meldinger i det nå heldigitale rådgivnings- og kommunikasjonssystem for innsendte meldeskjema, som også gir institusjonene nødvendig dokumentasjon og oversikt.

Vi jobber hele tiden med å få ned vurderingstiden, og forenkle rådgivnings- og innmeldingsprosessen. Det vil være ulik vurderingstid etter prosjektets kompleksitet, sensitivitet og risiko. Om prosjektet skorer lavt på disse kriteriene, har fylt ut meldeskjemaet tilstrekkelig og lagt ved nødvendig dokumentasjon, kan forskerne få svar fra oss på under 24 timer.

Men ofte er det problemstillinger som krever en grundigere og mer omfattende veilednings- og vurderingsprosess. Da håper vi at det er godt å ha noen på laget som kan hjelpe deg å navigere i lovverket.

Vi skal bidra til at forskere og studenter ikke trår feil, og gi råd som bidrar til at prosjektet kan gjennomføres på en måte som oppfyller lovkrav. Det betyr også at vi av og til må anbefale justeringer i informasjonsskriv, eller opplegg for innhenting av samtykke, og at vi må informere om plikter som er nødvendig for å tilfredsstille lovkrav.

Dersom vi ser gjennom fingrene med lovkrav kan resultatet i verste fall være at institusjonen får bot, og at forskeren eller studenten får problemer med å ferdigstille forskningsarbeidet, mastergrads- eller doktorgradsarbeidet, avhengig av hvor alvorlig lovbruddet er.

Vårt oppdrag er å bidra til å sikre en god balanse mellom forskningsinteressene og personverninteressene i prosjektet. Vi tror at fellestjenester på dette området, er av det gode. Vi har 30 rådgivere som til daglig jobber med forskningsrelaterte personvernspørsmål.

Vi får inn prosjekt fra alle fagområder og på alle nivå. I 2021 fikk vi inn over 11000 nye meldinger. Det gir rådgiverne våre god mengdetrening, og det gir rom for at noen jobber mer spesialisert opp mot ulike fagområder. Og ikke minst: Det gir et miljø for å vurdere komplekse problemstillinger i fellesskap.

For selv om personvernlovverket gir gode rammevilkår for forskning, er det ikke til å unngå at det kan være et komplekst regelverk å ha oversikt i. Vår oppgave er å hjelpe og forenkle forskningsprosessen.

Selv om mange sikkert synes det kan være brysomt å måtte melde inn prosjektene sine, vet vi at mange også setter stor pris på hjelpen de får fra våre personvernrådgivere.

Så til noen av eksemplene som har blitt trukket fram i debatten. En ting som er problematisert, er at det kan være komplisert og ikke alltid praktisk mulig å innhente samtykke fra de man behandler personopplysninger fra.

Vi er glade for at nettopp dette aktualiseres i debatten – mange forskere vi er i dialog med tror at det er et krav om å bruke samtykke, og har lagt opp prosjekt sitt i tråd med en slik forståelse.

For å kunne forske på personopplysninger må man ha et rettslig grunnlag. Samtykke er et mye brukt grunnlag, men det finnes andre grunnlag som kan egne seg bedre, f.eks. allmenn interesse, som også personvernombudet ved UiO viser til i sitt innlegg.

I studier med lyd- eller videoopptak, som Nina Gram Garmann nevner i sitt innlegg, hvor det er en utfordring å innhente samtykker og dokumentere disse, kan man helt klart vurdere alternative rettslige grunnlag. Dette gjelder også for sosialantropologisk forskning, slik Jan Ketil Simonsen med flere diskuterer.

Når forskere eller studenter melder inn slike prosjekt til oss, er vår oppgave å veilede om hvordan man best går frem for at prosjektet kan gjennomføres i tråd med GDPR. Det er derfor slett ingen automatikk i at studenter alltid må samle inn signaturer fra foreldre for at oppgavene deres skal kunne gjennomføres.

Tvert imot, og vår oppgave er å hjelpe forskerne å navigere i dette landskapet og komme frem til gode løsninger som er innenfor lovverket.

Tone Liodden ved OsloMet sitt poeng om informasjon til deltakerne er også viktig. GDPR stiller klare krav til hvilken informasjon som må gis, uavhengig av om rettslig grunnlag er samtykke eller annet. GDPR krever også at den samme informasjonen skal være forståelig for mottaker.

Vi tilbyr maler på våre nettsider for informasjonsskriv som kan brukes, og som vi stadig reviderer i håp om å gjøre det enklere for både forskerne og personene det forskes på.

Både personvern og forskningsetikk er institusjonenes ansvar. Ansvaret for å følge regelverket ligger på institusjonen som forskeren tilhører

Innleggsforfatterne

Vi har også publisert et eksempel på enklere informasjonsskriv som er utarbeidet av forskere ved OsloMet, og som kan være til inspirasjon for flere. Dialog og tilbakemeldinger om hvordan denne utfordringen kan løses bedre ønsker vi velkommen!

Tore Wig nevner også at masterstudenter som analyserer offentlig tilgjengelige data som er anonyme, må godkjennes. Her er det flere ting å ta tak i.

Først må vi slå fast at prosjekter som behandler anonyme opplysninger ikke skal meldes og vurderes. Hvis data er anonyme, kan de ikke spores tilbake til enkeltpersoner. Anonyme data faller derfor utenfor GDPR.

Det kan likevel være at studenter tar kontakt med oss for å undersøke om dataene er anonyme. Det er helt riktig at vi tilbyr veiledning til studenter og forskere om hvordan de kan gå frem for å unngå å samle inn personopplysninger.

Hvorvidt personopplysningene er offentlige eller ikke, spiller ingen rolle i spørsmålet om prosjektet er omfattet av GDPR. Men når opplysningene er offentlige, er risikoen for personene som oftest lav. De aller fleste prosjekter som meldes til oss med slike datakilder kan vanligvis gjennomføres slik prosjektansvarlig har planlagt.

I mange tilfeller er behandlingen helt uproblematisk og trenger ingen grundig vurdering. Institusjonene må likevel kunne dokumentere behandlingen, og det må gjøres en vurdering av om behandlingen følger regelverket. Våre personverntjenester bidrar til at institusjonene etterlever regelverket.

Garmann ved OsloMet trekker fram problemene ved overføring av data til utlandet, spesielt USA. Schrems II-dommen, som Khrono har omtalt tidligere, har blitt storpolitikk mellom USA og EU, og skaper problemer for langt mer enn forskning.

Dessverre kan ikke dette problemet løses av den enkelte forsker, institusjon, eller nasjonal tilsynsmyndighet. Her har vi nettopp sendt høringssvar til Det europeiske Personvernrådet der vi kommer med argumenter for hvorfor forskningssamarbeid likevel kan gjennomføres, og kommer med forslag til løsninger.

Formålet med høringssvaret er å øke mulighetsrommet for forskningen innenfor rammene av GDPR. Det er slik vi har jobbet tidligere, i forhold knyttet til praktiseringen av både nasjonalt og europeisk regelverk, og det er slik vi skal fortsette å jobbe i Sikt.

Wig peker også på at store teknologigiganter som Facebook og Google har kapasitet til å omgå lovverket og på denne måten får et fortrinn. Dette blir ikke helt riktig:

Twitter har blitt ilagt overtredelsesgebyr på grunn av formelle feil i sin avviksbehandling, WhatsApp har fått gebyr for mangler i personvernerklæringen sin, og Datatilsynet i Østerrike har nylig konkludert med at bruk av Google Analytics er ulovlig (nettopp fordi det sendes data til USA).

Det blir kanskje riktigere å si at teknologigigantene har økonomiske midler til å ta sjansen på å ignorere regelverket.

Godt personvern ivaretar tillit til forskning Vi mener at et godt personvern gir tillit til forskningen, og vårt mål er at våre systemer for vurdering og veiledning bidrar til å opprettholde denne tilliten.

I fjor var det altså 40 år siden forskningsmiljøene med Norges allmennvitenskapelige forskningsråd (NAVF) i spissen, gikk sammen om å etablere en fellestjeneste for personverntjenester. Denne tjenesten ble lagt til NSD - på initiativ fra forskningsmiljøene selv.

Bakgrunnen var bekymring for at den nye Lov om personregistre, som trådte i kraft 1. januar i 1980, skulle være til hinder for visse typer forskning. (For de som er interessert i historien, kan vi vise til kapittelet om personverntjenester, som ble skrevet som del av NSDs historie til 50-årsjubileet i fjor.

Tilbakemeldingene vi får fra kunnskapssektoren tyder på at de fortsatt ser seg tjent med at Sikt leverer fellestjenester og felles digitale løsninger på personvernområdet.

Både for å sikre likebehandling av forskning på tvers av institusjoner, dra nytte av stordriftsfordeler, og for å ha et robust og uavhengig fagmiljø på dette feltet.

Samtidig vil vi understreke at vi ønsker både ris og ros velkommen. Dialog er essensielt for at vi skal oppfylle det viktigste formålet med personverntjenestene: Vi skal støtte forskningen med å få lovlig tilgang til data.

Les også:

Følg flere debatter i akademia på Khronos meningsside

Powered by Labrador CMS