Rektor på Universitetet i Bergen Dag Rune Olsen Foto: Skjalg Bøhmer Vold

Forskningsdata ble ulovlig delt fra Bergen

Forskere ved Universitetet i Bergen delte forskningsdata ulovlig med blant andre forskere ved Høgskolen i Oslo og Akershus. Dette kostet universitetet 350 000 kroner.

Publisert Oppdatert

OBS! Denne artikkelen er mer enn tre år gammel, og kan inneholde utdatert informasjon.

Dette er det andre store lovbruddet der forskere ved Universitetet i Bergen (UiB) har brukt eller videresendt personopplysninger uten lov. Forrige gang fikk UiB et forelegg på 250 000 kroner, mens denne gang er summen hevet til 350 000 kroner. «Ved fastsettelse av gebyrets størrelse er det tillagt stor vekt at det foreligger gjentakelse», skriver Datatilsynet i sitt vedtak.

Prosjektet handler om innvandrere og helse, og en rekke ulike registre som inneholder opplysninger om diagnoser, kjønn, inntekt, medikamentbruk og annet er koblet mot hverandre og deretter pseudonymisert, slik at personene det gjelder ikke skal kunne spores opp.

Misforsto konsesjonskrav

Feilen skjedde da prosjektlederen søkte om utvidet konsesjon for å dele dataene med Norsk Samfunnsvitenskapelig Datatjeneste (NSD), som skulle behandle dataene. Lederen fikk da til svar at det ikke var nødvendig med ny konsesjon, så lenge det forelå en skriftlig avtale med databehandleren. Dette ble misforstått, og deretter ble deler av dataene også delt med enkeltforskere ved Universitetet i Oslo, Høgskolen i Oslo og Akershus og Folkehelseinstituttet, som skulle gjøre deler av forskningen. Det ble også laget skriftlige avtaler med disse, men uten at konsesjonen  ble søkt utvidet. 

Feilen ble oppdaget av NSD da prosjektlederen skulle søke om ny konsesjon for å forlenge prosjektet.

Pålagt å omtale

UiB har argumentert for at det ikke er nødvendig å informere offentligheten om de tre ulike lovbruddene, ettersom risikoen for å identifisere enkeltindivider har vært liten.

Men Datatilsynet er sterkt uenig i at den grove feilen ikke skal omtales, og har gitt UiB pålegg om å offentliggjøre informasjon om lovbruddet: «Universitetet i Bergen pålegges å informere allmennheten om avviket i tråd med helseregisterloven § 24.» UiB publiserte en sak om forholdet fredag 31. juli 2015.

Skyldte på forskeren

UiB blir også pålagt å dokumentere at de faktisk har et fungerende internkontrollsystem.

Dette var også et tema forrige gang, da UiB fikk et forelegg på 250 000 kroner etter at et forskningsprosjekt under Arnstein Mykletun hadde brukt trygdedata uten å ha nødvendig konsesjon. Saken utviklet seg til en konflikt mellom Mykletun og universitetsledelsen. Daværende rektor Sigmund Grønmo og universitetsdirektør Kari Tove Elvbakken la mesteparten av skylden på prosjektlederen, og hevdet at internkontrollsystemet hadde fungert dersom prosjektlederen hadde gitt riktig informasjon.

Datatilsynet ikke imponert

Datatilsynet var ikke særlig imponert over argumentasjonen til ledelsen, og svarte at et kontrollsystem som er avhengig av enkeltpersoner for å avdekke avvik, ikke er tilfredsstillende. Saken ble også brakt inn for redelighetsutvalget ved UiB, som først konkluderte med at Mykletun hadde handlet grovt uaktsomt. Men etter klage fra Mykletun, ble konklusjonen den motsatte, og han ble frikjent.

Vurderte å stenge datatilgang

Datatilsynet konkluderer denne gangen med at UiB fortsatt ikke har et tilfredsstillende internkontrollsystem, og har vurdert å pålegge UiB å stanse all behandling av helseopplysninger i forskningsprosjekter inntil et tilfredsstillende system er satt i drift. Tilsynet har imidlertid funnet et slikt pålegg for tyngende for et stort universitet, og krever i stedet at UiB dokumenterer at de oppfyller helseforskningslovens krav til organisering av forskning og internkontroll.

UiB går gjennom systemene sine

Rektor Dag Rune Olsen forsikrer at UiB denne gangen ikke skylder på enkeltforskere.

– Dataene ble delt med andre forskere fordi man mente dette var forskningsmessig fornuftig. Nå er det viktig at vi går gjennom systemene våre og ser på hvordan vi i større grad kan hindre at vi ender opp i samme situasjon igjen. Vi må ha systemer som hindrer dette, og det er institusjonen som skal stå til rette for at virksomheten holder mål forskningsetisk. Enkeltforskere skal ikke sitt igjen i klisteret, lover Olsen.

– Krever profesjonell oppfølging

– Denne saken er halvannet år gammel, og vi har gjort veldig mye med rutinene i det siste, sier instituttleder Rolv Terje Lie ved Institutt for global helse og samfunnsmedisin.

– Vi har et fagmiljø som er godt kjent med registre, men disse tingene er kompliserte, og regelverket krever ganske profesjonell oppfølging, og ofte er det snakk om forskningssamarbeid på tvers av institusjoner, sier Lie.

Når det gjelder internkontroll kan UiB fortsatt bli bedre, mener han.

– Det er et forbedringspotensiale, det vil jeg bare være ærlig på.

Trenden er at stadig flere registre settes sammen, og flere og flere forskere bruker dem.

– Vi må bare skjerpe profesjonaliteten vår, og gjøre vårt for at slike ting ikke skjer, sier Lie. 

Nå er det viktig at vi går gjennom systemene våre og ser på hvordan vi i større grad kan hindre at vi ender opp i samme situasjon igjen. 

Dag Rune Olsen

Velkommen til vårt kommentarfelt
Logg inn med en Google-konto, eller ved å opprette en Commento-konto gjennom å trykke på Login under. (Det kan være behov for å oppdatere siden når man logger inn første gang)

Vi modererer debatten i etterkant og alle innlegg må signeres med fullt navn. Se Khronos debattregler her. God debatt!
Powered by Labrador CMS