Lov&Data

2/2023: Artikler
19/06/2023

Nytt förslag om långsiktig reglering av forskningsdatabaser

Av Katarina Fast Lappalainen, Universitetslektor i rättsinformatik, Institutet för rättsinformatik, Juridiska institutionen, Stockholms universitet.

Projekt som bygger på analys av stora datamängder (big data) spelar idag en framträdande roll inom medicinsk forskning. Sverige är väl positionerat genom de medicinska register och befolkningsregister som byggts upp under lång tid. Forskningen har bidragit till att förbättra människors hälsa och till att rädda liv.

Frågan är emellertid hur dessa tillgångar kan och bör tillvaratas på ett mer effektivt och hållbart sätt samt hur en forskningsinfrastruktur för framtiden bör byggas. Det finns flera utmaningar, såsom en fragmenterad hälso- och sjukvård, något som till stor del är en konsekvens av decentralisering och privatisering. Forskningsdatabaserna med sina enorma uppgiftssamlingar innebär samtidigt ett potentiellt hot mot den personliga integriteten och säkerhetsriskerna kan vara stora.

En sjukhusliknande byggnad som står mitt i en serie medicinska figurer, digital illustration.

Illustrasjon: Colourbox.com

Den svenska lagstiftaren har länge brottats med regleringen av området. En särskild utmaning har varit förutsättningarna för prospektiva forskningsdatabaser, d.v.s. databaser där underlag samlas in för framtida forskning. Påtagliga brister uppdagades i samband med det s.k. ”LifeGene-fallet” som utspelade sig i början av 2010-talet och som blev upprinnelsen till flera utredningar och ny lagstiftning.

För närvarande gäller den tidsbegränsade lagen (2013:794) om vissa register för forskning av vad arv och miljö betyder för människors hälsa, den s.k. LifeGene-lagen. (1)Prop. 2012/13:163. Lagen har förlängts vid flera tillfällen och gäller för närvarande fram till 2024-01-01.

Sedan lagen infördes har två offentliga utredningar genomförts – Registerforskningsutredningen (SOU 2014:45) och Forskningsdatautredningen (SOU 2018:36) – utan att någon ny lagstiftning kommit till stånd. I slutet av 2022 presenterades ett nytt förslag i en departementspromemoria (Dnr. U2022/04089). Förslaget bygger på de två tidigare utredningarna.

Inledningsvis ges en bakgrund till LifeGene-lagen, följt av en sammanfattning av det nya förslaget. Avslutningsvis lämnas ett antal kritiska synpunkter på förslaget.

Bakgrunden till LifeGene-lagen

LifeGene är ett pågående nationellt projekt som leds och koordineras av Karolinska Institutet (KI). Syftet är samla in data som ska ligga till grund för kommande forskningsprojekt om arv, miljö och hälsa. Denna databas är ämnad att bidra till ökad kunskap om de vanligaste folksjukdomarna, såsom hjärt- och kärlsjukdomar och cancer samt hälsoproblem, t.ex. allergier och infektioner. Detta antas leda till förbättrad diagnostik, behandling och sjukdomsförebyggande rekommendationer i framtiden. I LifeGene-projektet har sedan 2009 uppgifter samlats in från totalt över 52 000 deltagare, av vilka blod, serum och urin från 29 500 deltagare finns lagrade i KI:s biobank.(2)Se hemsidan för LifeGene: https://lifegene.se (hämtad i maj 2023).

I samband med starten sökte KI ett etikgodkännande för projektet. Ansökan godkändes – med undantag för blodprov på barn under 6 år – av en regional etikprövningsnämnd. Karolinska överklagade beslutet till den centrala etikprövningsnämnden (CEPN).

En särskild utmaning har varit förutsättningarna för prospektiva forskningsdatabaser, d.v.s. databaser där underlag samlas in för framtida forskning.

CEPN kom i ett beslut 2011 fram till att LifeGene inte omfattades av etikprövningslagen och att ett godkännande därför inte kunde lämnas. Skälet till detta var att det inte var fråga om ett konkret forskningsprojekt utan om en uppbyggnad av forskningsinfrastruktur för framtida forskning.(3)Centrala etikprövningsnämnden, beslut 2011-03-04, dnr Ö 28-2010.

Integritetsskyddsmyndigheten (IMY) fick upp ögonen för projektet och inledde tillsyn. IMY fann att ändamålet inte var tillräckligt precist enligt den då gällande personuppgiftslagen och förelade LifeGene att upphöra med insamlingen av personuppgifter. IMY konstaterade också att insamling för framtida forskning borde bli föremål för särskild reglering.(4)Datainspektionens beslut (numera IMY) 2011-12-16, dnr 766-2011. Lagstiftaren grep därefter in och införde LifeGene-­lagen.(5)Prop. 2012/13:163.

Nytt förslag om en forskningsdatabaslag

Enligt förslaget ska vissa forskningsdatabaser regleras genom en ny ramlag som kompletterar den allmänna dataskyddsförordningen (GDPR).(6)En långsiktig reglering av forskningsdatabaser, Promemoria 2022-12-23, Utbildningsdepartementet, Dnr. U2022/04089, s. 122 ff (härefter ”promemorian”). Omfattas gör sådana databaser som byggs upp med de registrerades samtycke och som främst består av personuppgifter vilka samlats in från de registrerade eller med deras aktiva medverkan.(7)Ibid. s. 114 f. Vidare ska databasen vara av karaktäriseras att den är eller har potential att bli en ”central forskningsdatabas”, d.v.s. antas vara av särskilt värde för forskningen i ett långsiktigt perspektiv.(8)Ibid. s. 97. Det innebär att den inte endast ska vara till för de projekt som forskningshuvudmannen ansvarar för utan rikta sig till andra forskningsprojekt, såväl nationella som internationella.(9)Ibid. s. 197.

Utveckling och förvaltning av forskningsdatabaser ska endast vara möjligt inom universitet och högskolor vid vilka forskning bedrivs och som har rätt att utfärda examen på forskarnivå, vilka bedöms ha den kapacitet som krävs för att kunna bedriva sådan verksamhet.(10)Ibid. s. 128 ff.

Personuppgiftsbehandlingen anses ske för vetenskapliga forskningsändamål och den rättsliga grunden för denna är utförande av uppgift av allmänt intresse. Samtycke från de registrerade utgör därmed inte en rättslig grund utan en skyddsåtgärd enligt art. 9 GDPR.(11)Ibid. s. 140, s. 169.

Lagen är som nämnts konstruerad som en ramlag. Vilka forskningsdatabaser som omfattas får bestämmas av regeringen i förordning. Ett lärosäte som vill skapa en ny forskningsdatabas måste därför ”väcka” frågan om reglering hos Regeringskansliet. Regeringen bör vid behov inhämta synpunkter från berörda myndigheter, såsom Vetenskapsrådet och IMY.(12)Ibid. s. 287.

Lagen ska vidare innehålla generella bestämmelser om vilka uppgifter som får ingå i en forskningsdatabas. Det är emellertid regeringen som i förordning ska bestämma vilka personuppgifter som får behandlas i det enskilda fallet. Genetiska uppgifter och uppgifter om lagöverträdelser får endast behandlas om regeringen tillåter detta. Regeringen får även begränsa vilka personuppgifter som får ingå i övrigt.(13)Ibid. s. 225.

De ändamål för vilka personuppgifter får behandlas i en databas ska enligt förslaget uttömmande regleras i lagen. Tillåtna primära ändamål är 1) att skapa underlag för framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden och 2) att lämna ut uppgifter för sådana forskningsprojekt. Möjligheten att använda en forskningsdatabas för sekundära ändamål är begränsade till vissa specifika situationer, t.ex. för utredning om eventuell oredlighet i forskning eller för att fullgöra uppgiftsskyldighet enligt lag eller förordning.(14)Ibid. s. 141 ff.

Lagen tillåter utlämnande från databasen till forskning som har fått etikgodkännande. Detta gäller även forskning som ska utföras i ett annat land, så länge som denna har granskats och godkänts enligt ett motsvarande förfarande som det svenska.(15)Ibid. s. 198. Även i denna fråga kan regeringen föreskriva begränsningar av vad som får lämnas ut.(16)Ibid., s. 197 ff. Vid utlämning ska personuppgifter som huvudregel vara pseudonymiserade eller skyddade på något annat likvärdigt sätt.(17)Ibid., s. 211.

Den föreslagna lagen ställer också krav på att forskningshuvudmannen ska säkerställa integritetsskyddet. Det är fråga om krav på att t.ex. dokumentera elektronisk åtkomst och kontrollera att obehörig åtkomst inte har skett.(18)Ibid. s. 196 ff.

Ett centralt fokus i lagen är den registrerades insyn och kontroll beträffande sina uppgifter i forskningsdatabasen. Ett viktigt inslag i detta är att den registrerade ska få utförlig information innan ett samtycke till medverkan i forskningsdatabasen lämnas. Den registrerade ska även löpande informeras om det efter registreringen sker en kompletterande insamling från andra källor, något som den registrerade även ska kunna motsätta sig. Möjligheterna till s.k. opt-out är betydande och det ska vara möjligt för den enskilde att när som helst få sina uppgifter raderade. Registrerade som var underåriga vid tidpunkten för registrering, ska när de uppnår myndighetsåldern om 18 år ska informeras om registreringen.(19)Ibid., s. 114 f., s. 164 ff.

Det finns redan särskilda sekretessbestämmelser i 24 kap. offentlighets- och sekretesslagen, den s.k. LifeGene-sekretessen, vilka ska anpassas och utvidgas enligt det nya förslaget. Fråga är om absolut sekretess, d.v.s. ingen skade- eller menprövning görs. Däremot ska det vara möjligt att bryta sekretessen vid allvarliga brott.(20)Ibid. s. 245 ff.

En ändring i statistiksekretessen föreslås också för att göra det möjligt för forskningshuvudmännen att ansöka om befogade kompletteringar av databasen genom en rätt att få ut uppgifter från vissa myndigheters register.(21)Ibid. s. 263 ff.

Förslaget innebär också att lagen om rättspsykiatriskt forskningsregister upphävs och därmed sammanhängande sekretessbestämmelser. Skälet till detta är att detta register inte har uppdaterats på mer än femton år och nyligen har avvecklats.(22)Ibid. s. 239 ff.

Om förslaget genomförs kommer lagen att träda ikraft i januari 2024. Vidare föreslås en övergångsbestämmelse som innebär att samtycke från dem som redan är registrerade i en befintlig forskningsdatabas före lagens ikraftträdande, inte behöver hämtas in.(23)Ibid. s. 275 ff.

Avslutningsvis lämnas ett förslag till förordning om vissa forskningsdatabaser, närmare bestämt LifeGene och Tvillingregistret.(24)Ibid. s. 227 f.

Lagtekniska synpunkter och grundlagsenlighet: hur mycket bör regeringen bestämma?

Utredningens förslag har fått viktiga synpunkter av flera remissinstanser. Ett kritiserat inslag i förslaget är att regeringen ges en betydande makt att i förordningsform besluta om vilka forskningsdatabaser som ska få utvecklas. Ett varningens finger för politisering har framförts.(25)Remissvar av den 2022-12-28 från Göteborgs universitet, dnr. GU 2022/3947.

Det kan ifrågasättas hur detta ansökningsförfarande överensstämmer med principen om att föreskrifter ska vara generella, då dessa kommer att träffa enskilda databaser. Det framstår som oklart om det är fråga om ett normbeslut eller ett förvaltningsbeslut. Möjligheten att påverka beslut i enskilda fall rörande forskningsdatabaser, som kan innefatta såväl risk- som lämplighetsbedömningar, begränsas därmed påtagligt då beslut genom förordning inte kan överklagas. En lösning som diskuterades i utredningen och som lyfts fram i remissrundan, är att dessa beslut istället borde fattas av en expertmyndighet, vars beslut kan överklagas.(26)Promemorian s. 226.

Konstruktionen med en ramlag med generell reglering och mer specifik reglering avseende de aktuella forskningsdatabaserna i förordningsform framstår således inte som självklar. Risken är vidare att reglering genom förordning kan öka komplexiteten på ett redan komplext rättsområde, vilket i förlängningen kan leda till svårigheter att överblicka regleringen och de likabehandlingsproblem som kan bli följden av detta.

I förslaget anges vidare att 2 kap. 6 § regeringsformen (RF) som reglerar skyddet för den personliga integriteten och som säger att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke, inte skulle vara tillämplig på den aktuella lagen eftersom den kommer att kräva samtycke och medverkan från de enskilda om att ingå forskningsdatabasen.

Denna tolkning kan problematiseras, då ett stort antal äldre personuppgifter som redan finns i de aktuella databaserna enligt de övergångsbestämmelser som föreslås inte omfattas av kraven på information och samtycke. Detta kan framstå som praktiskt lämpligt för förvaltarna av forskningsdatabaser, men med tanke på att betydande mängder uppgifter kan ha samlats in under lång tid, så framstår det inte som en rimlig tolkning av 2 kap. 6 § RF att databaser som innehåller sådana uppgifter bör regleras i förordningsform. Flera databaser kan ha inlett sin insamling av personuppgifter för länge sedan och kan innehålla data hänförligt till ett mycket stort antal personer. En forskningsdatabas som enligt förslaget ska regleras i förordning, det s.k. Tvillingregistret inrättades redan på 1960-talet.(27)Ibid. s. 97. En reglering enligt lag framstår härvid som nödvändig om skyddet för den personliga integriteten ska upprätthållas på ett tillfredsställande sätt, då samtycke från dessa individer kanske inte erhållits från första början och det inte heller är rimligt från en praktisk synvinkel att kräva att samtycke samlas in och löpande information om kompletteringar lämnas beträffande dessa.

Problematisering kring kretsen av de registrerade med anledning av EU-domstolens praxis

Samtycke och medverkan från de registrerade är centrala inslag i den föreslagna regleringen. I det här sammanhanget finns det skäl att med anledning av EU-domstolens praxis diskutera hur stor kretsen av de registrerade ska vara. Av EU-domstolens storkammardom från 2022 i mål C-184/20, OT, Vyriausioji tarnybinės etikos komisija,framgår att även indirekta personuppgifter kan utgöra särskilda kategorier av personuppgifter enligt art. 9 GDPR. I den meningen skulle den enskilde kunna vara indirekt registrerad i en forskningsdatabas.

I det aktuella fallet kan databaser innehålla genetisk information som omfattas av detta stadgande i GDPR, vilket innebär att även andra än den registrerade skulle kunna anses vara indirekt registrerade om de delar gener med den registrerade, t.ex. barn till denne. Innebär denna dom att samtycke och samverkan behöver ska även i förhållande till dessa personer? Denna dom behöver därför analyseras i det här avseendet och frågan är givetvis hur långt det i så fall är rimligt eller möjligt att föra detta krav på indirekt skydd. Härvid måste en bedömning göras i förhållande till såväl proportionalitetsprincipen som principen om uppgiftsminimering i artikel 5 i GDPR. Kan det innebära att särskilda skyddsåtgärder måste företas?

Hur ska ändamålet med en forskningsdatabas bestämmas?

Att genomföra en lämplig ändamålsbestämning för forskningsdatabaser framstår som en utmaning. Icke desto mindre torde det faktum att ett godkännande av Etikprövningsmyndigheten krävs innebära att en praxis i det här avseendet kommer att utvecklas. Det förutsätter att myndigheten får de resurser som krävs för att kunna fatta skyndsamma beslut som kan hålla hög kvalitet. I annat fall kan detta hämma forskning och utveckling. Uppföljning och kontroll av att ändamålet för forskningsdatabaser följs, är även en fråga för IMY som också kommer att kunna bidra med både praxis och vägledning på sikt.

I det aktuella fallet kan databaser innehålla genetisk information som omfattas av detta stadgande i GDPR, vilket innebär att även andra än den registrerade skulle kunna anses vara indirekt registrerade om de delar gener med den registrerade, t.ex. barn till denne.

Ansvaret för forskningsdatabaser

Ansvaret för forskningdatabaser bör enligt förslaget vila på lärosätena som anses både besitta den kompetens som finns och ha siktet inställt på den långsiktighet som krävs. Av förslaget framgår inte närmare vad det innebär om en forskningsdatabas utvecklas av ett lärosäte eller ett privat forskningsföretag.

Det ställer vidare stora krav på att upprätthålla en hög informationssäkerhet. Läckor beträffande hälsodata och andra känsliga kategorier av data som skulle kunna inträffa om säkerheten inte i tillräckligt hög grad kan upprätthållas för forskningsdatabaserna, kan få förödande konsekvenser för enskilda och förtroendet för forskningen. Den s.k. Vaastamo-läckan i Finland 2020 är ett varnande exempel härpå. Med tanke på det rådande geopolitiska läget kan det även finnas ”threat actors” med skilda motiv. Det tarvar ytterligare analys. Till bilden hör att EU:s direktiv om åtgärder för en gemensam cybersäkerhetsnivå för hela unionen, det s.k. NIS2-direktivet, som ska ha implementerats i nationell rätt senast i oktober 2024, kan komma att omfatta universitet- och högskolor (se dir. 2023:30).

IMY har t.ex. tidigare kritiserat säkerheten beträffande LifeGene i ett beslut 2015, där bl.a. känsliga personuppgifter lämnades ut över öppet nät efter autenticering med endast användarnamn och lösenord.

I detta sammanhang finns det anledning att lyfta fram behovet av en tydlig lagstiftningsstrategi för forskningsinfrastruktur som driver på utbyggnaden av en säker sådan. Enligt utredningen om organisation, styrning och finansiering av forskningsinfrastruktur (SOU 2021:65) ansågs det lämpligt att samla det övergripande ansvaret för forskningsinfrastruktur av nationellt intresse i en myndighet, vilket är en idé som skulle kunna analyseras vidare i denna kontext.

Det europeiska hälsodataområdet

Ny lagstiftning inom EU är på gång som innebär att vidareutnyttjande av ”forskningsdata” och ”särskilda känsliga kategorier av data” ska kunna ske i allt större utsträckning, bl.a. i syfte att möjliggöra innovation som kan bidra till att förbättra människors hälsa. Den nya regleringen i dataförvaltningsakten (DFA), som trädde i kraft i juli 2022 och som ska tillämpas fr.o.m. september 2023, innehåller regler om sekundäranvändning. Forskningsorganisationer omfattas inte av denna, men DFA sätter upp en generell ram som ska stödja uppbyggnaden och utvecklingen av europeiska dataområden, varav hälsodataområdet är det första.

Frågan är därför om den ordning som föreslås verkligen kommer att leda till att uppbyggnaden av nya och utvecklingen av befintliga prospektiva forskningsdatabaser och därmed möjliga framsteg inom den medicinska forskningen.

Ett förslag till förordning om ett europeiskt hälsodataområde lämnades av kommissionen våren 2022, vilken har en liknande struktur som DFA. I detta förslag är uppbyggnaden av offentlig vidareutnyttjandestruktur ett väsentligt inslag, i vilket det t.ex. ingår att bygga upp s.k. ”säkra behandlingsmiljöer” och gemensamma kontaktpunkter på nationell och EU-nivå (one-stop-shop). Av särskild relevans är möjlighet att utbyta och dela data för forskningsändamål samt upprättandet av ett förfarande för att möjliggöra s.k. dataaltruism. Hur förslaget om forskningsdatabaser står sig i förhållande till förslaget om ett europeiskt hälsodataområde bör analyseras närmare innan ett slutligt förslag lämnas. Detta har inte analyserats i förslaget.

Slutord

Avslutningsvis, kan konstateras att förslaget är angeläget, men behäftat med vissa brister som kräver ytterligare utredning. Detta gäller i synnerhet regeringens makt över forskningsdatabaserna, vilket kan vara problematiskt både ur ett konstitutionellt och politiskt perspektiv. Det kan också diskuteras hur detta påverkar den akademiska friheten i Sverige.

Det ”ansökningsförfarande” som föreslås, d.v.s. att lärosätet måste väcka frågan om reglering av den databas som önskas planeras, framstår som komplext.

Frågan är därför om den ordning som föreslås verkligen kommer att leda till att uppbyggnaden av nya och utvecklingen av befintliga prospektiva forskningsdatabaser och därmed möjliga framsteg inom den medicinska forskningen.

Noter

  1. Prop. 2012/13:163.
  2. Se hemsidan för LifeGene: https://lifegene.se (hämtad i maj 2023).
  3. Centrala etikprövningsnämnden, beslut 2011-03-04, dnr Ö 28-2010.
  4. Datainspektionens beslut (numera IMY) 2011-12-16, dnr 766-2011.
  5. Prop. 2012/13:163.
  6. En långsiktig reglering av forskningsdatabaser, Promemoria 2022-12-23, Utbildningsdepartementet, Dnr. U2022/04089, s. 122 ff (härefter ”promemorian”).
  7. Ibid. s. 114 f.
  8. Ibid. s. 97.
  9. Ibid. s. 197.
  10. Ibid. s. 128 ff.
  11. Ibid. s. 140, s. 169.
  12. Ibid. s. 287.
  13. Ibid. s. 225.
  14. Ibid. s. 141 ff.
  15. Ibid. s. 198.
  16. Ibid., s. 197 ff.
  17. Ibid., s. 211.
  18. Ibid. s. 196 ff.
  19. Ibid., s. 114 f., s. 164 ff.
  20. Ibid. s. 245 ff.
  21. Ibid. s. 263 ff.
  22. Ibid. s. 239 ff.
  23. Ibid. s. 275 ff.
  24. Ibid. s. 227 f.
  25. Remissvar av den 2022-12-28 från Göteborgs universitet, dnr. GU 2022/3947.
  26. Promemorian s. 226.
  27. Ibid. s. 97.
Katarina Fast Lappalainen
Katarina Lappalainen, portrett