Personvern i forskning
— Jeg opplevde at GDPR skapte en slags panikk
Men nå, noen år senere, er opplevelsen en helt annen for terrorforsker Jacob Aasland Ravndal: — Nå har man i større grad tatt innover seg mulighetene EUs personvernforordning - GDPR - gir.
«Personlig har jeg delvis gitt opp. Når jeg er ferdig med mine pågående prosjekter, kommer jeg aldri mer til å forske på noe som berører levende mennesker. Holder meg heller til historiske hendelser og dokumenter. Orker bare ikke den permanente frykten for å ha gjort noe feil».
En av Norges fremste terrorforskere, Thomas Hegghammer, kommer med et hjertesukk i forbindelse med debatten rundt forskningsetikk og personvern som har gått i Khrono den siste tiden.
Dette skrev Hegghammer på Twitter, og han erkjenner overfor Khrono at det var noe spissformulert.
— Det går jo (å forske på levende mennesker, journ.anm.), men det er forbundet med risiko, og hadde jeg virkelig villet, så hadde jeg kunne fortsatt. Men jeg trenger ikke det stressmomentet i en ellers hektisk hverdag, sier Hegghammer.
Hegghammer mener at dagens system der man må melde inn forskningsprosjekter i forkant, bidrar til å gjøre at forskere opplever at alt de gjør er suspekt.
— Man er skyldig inntil man beviser sitt prosjekts uskyld. Jeg tror mange opplever at det har en «chilling effect». Man kan jo bare tenke seg hvordan et lignende system hadde sett ut for journalistikken, sier Hegghammer.
— Noen helt absurde situasjoner
Men Hegghammers terrorforsker-kollega Jacob Aasland Ravndal ser lysere på tiden fremover.
Etter å ha stanget i veggen og kjempet i flere år for å få samle inn informasjon til et datasett om høyreekstrem terror, er hans opplevelse at ting har endret seg dramatisk til det bedre de siste par årene.
Og mye av årsaken til det ligger faktisk i utrullingen av EUs personvernforordning (GDPR - General Data Protection Regulation) i 2018.
Min opplevelse er at ting har endret seg dramatisk til det bedre de siste par årene, mye grunnet GDPR. Ikke lenger umulig å samle personinformasjon (inkludert såkalte særskilte kategorier) så lenge man kan argumentere at samfunnsnytten overskrider mulige personvernkostnader. https://t.co/Dc5UYp8jum
— Jacob Aasland Ravndal (@Jacravn) February 14, 2022
Men det skulle ta noe tid før Ravndal forsto det.
— Vi hadde så mange rare diskusjoner med Norsk senter for forskningsdata (NSD) da vi kjempet for å få lov til å fortsette å samle inn data til datasettet. Datasettet handler om hendelser, og inneholder lite personopplysninger. Likevel fikk vi ikke uten videre lov til å samle data fra åpne kilder, vi fikk heller ikke lov til å systematisere denne informasjonen. NSD ba oss anonymisere mer og mer, for eksempel ble det foreslått å ikke oppgi presist antall drepte i et terrorangrep, sier Ravndal. Han legger til:
— Det var noen helt absurde situasjoner jeg stod i på den tiden i 2018.
Denne opplevelsen motiverte Ravndal til å sette seg ordentlig inn i lovverket selv.
— Det kunne umulig være så sært, tenkte jeg, sier Ravndal.
Opplevde at GDPR skapte panikk
Han fant etterhvert selv paragrafene som gir forskere og forskning unntak fra for eksempel samtykkekravet.
For selv om GDPR skapte økt bevissthet rundt personvern, dro det også med seg åpninger i lovverket som gjør mer forskning lovlig.
I paragraf 9 står det:
«Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte.»
— Før hadde vi mange utfordringer med å samle inn informasjon om personer som var involvert i ekstremisme. Åpenbart kan vi ikke be om samtykke for å gjøre det. Men det er nå mye mer liberalt med GDPR og en viktig endring fra tidligere lovverk, sier Ravndal. Han legger til:
— Men jeg opplevde at GDPR skapte en slags panikk hos Datatilsynet og Norsk senter for forskningsdata (NSD). Det var et enormt regelverk man plutselig skulle forvalte.
For selv om det nye regelverket gav åpninger for forskning, kunne det også bære med seg kostbare konsekvenser, i form av bøter, for de som forvaltet regelverket feil.
— De av oss som sendte inn søknader til NSD akkurat i overgangen til GDPR møtte nok veldig mye rart og håpløse vurderinger, fordi NSD var redde for å gjøre feil, og dermed ble svært lite tillatt. Men forskernes møte med regelverket har vært gjennom NSD, derfor tror jeg mange har gått glipp av disse unntaksmulighetene, sier Ravndal.
Ingen godkjenningsinstans
Ravndal har rett i at mange forskeres møte med personvernreglene har skjedd gjennom Norsk senter for forskningsdata (NSD), som fra nyåret ble fusjonert inn i tjenesteleverandøren Sikt.
Fra 2001 hadde nemlig forskere plikt til å melde fra til NSD før de skulle gå i gang med forskning hvor personopplysninger skulle behandles.
Men dette ble endret i 2018 da GDPR trådte i kraft.
Nå er det ikke lenger noen plikt at forskerne må melde prosjektene sine til det som i dag heter Sikt.
Likevel virker som det er en ganske allmenn oppfatning at man må søke Sikt om godkjenning.
Litt på samme måte som medisin- og helseforskere må søke godkjenning fra de regionale forskningsetiske komiteene for medisin og helsefag (REK).
Men det stemmer ikke.
— Sikt (tidligere NSD) er ikke en etisk instans, og heller ikke en instans som kan godkjenne, eller velge å ikke godkjenne et prosjekt, skrev seksjonsleder for personvern i Sikt, Marianne Høgetveit Myhren, og divisjonsdirektør Vigdis Namtvedt Kvalheim, i et innlegg i Khrono forrige uke.
Ansvaret for at personvernet og forskningsetikken er på stell ligger nå hos forskningsinstitusjonene selv.
Meldeplikt til dokumentasjonsplikt
Men.
Da GDPR trådte i kraft i 2018 inngikk Universitets- og høgskolerådet (UHR) en avtale med NSD, den såkalte mønsteravtalen om personverntjenester i forskning.
Ifølge personvernforordningen har institusjoner som behandler personopplysninger, også høgskoler, universiteter og forskningsinstitutter, plikt til å dokumentere eller føre protokoll over hvordan de behandler opplysningene.
Med mønsteravtalen har UHR på vegne av sine institusjoner satt ut denne protokollføringen til det som nå heter Sikt.
Men avtalene med hvert enkelt universitet og høgskole har med Sikt er ulik. Der Universitetet i Oslo har bestemt at alle forskningsprosjekter og studentprosjekter meldes inn til Sikt, har Universitetet i Bergen (UiB) valgt en annen løsning.
Ved UiB meldes en stor andel av prosjektene inn internt, i egne systemer, som Morgenbladet skriver om denne uka.
Også Høgskulen på Vestlandet (HVL) har også valgt bort deler av tjenestene Sikt tilbyr, og gjør en større del av personvernarbeidet internt. Det skriver Anne-Mette Somby som er fagansvarlig for forskningsetikk og personvern i forskning ved HVL, i et innlegg i Khrono torsdag.
Men siden avtalene Sikt har med institusjonene er så forskjellige, finnes fortsatt formuleringer som dette i flere forskningsinstitusjoners retningslinjer:
«All behandling av personopplysninger i student- og forskningsprosjekter utløser meldeplikt til NSD Personverntjenester... Et prosjekt kan ikke begynne før godkjenning foreligger fra NSD Personverntjenester».
Ifølge Morgenbladet jobber Sikt og UHR med å revidere mønsteravtalen denne uka.
Navigeres nå til unntaksparagrafene
Førsteamanuensis Jacob Assland Ravndal ved Politihøgskolen opplever som nevnt at Sikt de siste årene har sett mulighetene som finnes i GDPR.
— Nå navigeres man som forsker rett på paragrafene som gir unntakene. Det gjorde de ikke før, sier Ravndal.
Nå får ikke Ravndal bare samle data, men får nå også dele datasettet om høgreekstrem terror, RTV-datasettet, fritt. Og ikke nok med det, han får også samle sensitiv personinformasjon som dreier seg om eventuelle lidelser til de som utfører terrorangrepene, så fremt han gjør det innenfor visse datalagringsmetoder og ved riktig anonymisering.
— Dette var ting vi ikke fikk lov til tidligere. Jeg opplever at det har løsnet nå og at man i større grad har tatt innover seg mulighetene GDPR gir, sier Ravndal.
Faktisk har Ravndal opplevd at det hele har blitt snudd på hodet. I kampen om å få dele RTV-datasettet fritt, opplevde han at det var Sikt som kjempet kampen for han, overfor personvernombudet ved hans daværende institusjon Universitetet i Oslo, hvor han var postdoktor ved Senter for ekstremismeforskning C-REX.
— Kunne ikke godta det
— Hvorfor har du orket å kjempe disse kampene og satt deg så grundig inn i regelverket selv?
— Det var jo fordi Universitetet i Oslo krevde at jeg meldte fra til NSD. Men så gjorde jeg det også fordi dette datasettet er så viktig at det ikke var snakk om å legge det fra seg. Jeg kunne ikke akseptere at noe man gjør i hele resten av verden var noe man ikke fikk gjøre i Norge. Det var helt absurd og jeg kunne ikke godta det, sier Ravndal.
Ravndal ønsker seg et system hvor det er mulig å melde inn prosjekter på mer generell basis.
— At man ikke trenger å melde inn hvert individuelle prosjekt, dersom det nye prosjektet skal samle samme type data med samme begrunnelse som et tidligere prosjekt. Men et system hvor man bare må melde dersom det skal gjøres noe grunnleggende nytt. Det hadde vært fint, med en slags permanent «godkjenning», sier Ravndal.