Artiklen handler om persondataloven, anvendelsen af personoplysninger i lægemiddelforsøg og andre videnskabelige projekter, anmeldelse til og tilladelse fra Datatilsynet, regler om datasikkerhed og Datatilsynets tilsyns- og kontrolvirksomhed. Baggrunden for artiklen er, at al behandling af følsomme personoplysninger til videnskabelige eller statistiske formål er omfattet af persondataloven og kræver
forudgående tilladelse fra Datatilsynet.
Persondataloven og Datatilsynet
Lov om behandling af personoplysninger (1), også kaldt persondataloven, regulerer med få undtagelser enhver behandling af personoplysninger. Loven, der trådte i kraft den 1. juli 2000, erstatter de gamle registerlove fra 1979 og implementerer EF-direktivet fra 1995 (95/46/EF) (2) om »beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger«. Datatilsynet fører tilsyn med, at persondataloven overholdes.
Personoplysninger og lægevidenskabelig forskning
Lægevidenskabelig forskning baseres som regel på data om individer. Når en person har givet informeret samtykke til at deltage i et projekt, f.eks. et lægemiddelforsøg, vil en række oplysninger om den pågældende automatisk indgå i forsøget. Uden de nødvendige data kan forsøget ikke gennemføres og kan efterfølgende ikke dokumenteres eller efterprøves. Disse krav til data følger umiddelbart af de videnskabelige metoder og standarder.
I lægemiddelforsøg - eller andre videnskabelige projekter - er deltagerne ikke af interesse som individer, men som repræsentanter for videnskabelige observationer mv. Alder, køn og medicinsk baggrundshistorie kan have betydning, mens navn og personnummer er irrelevante. Af hensyn til den enkelte forsøgsperson kan det imidlertid være afgørende, at man både under og efter et forsøg kender personens identitet. Kravet om identifikation følger bl.a. af den lovgivning, der regulerer videnskabelige forsøg med mennesker.
Når videnskabelige resultater skal anvendes, f.eks. i en ansøgning om markedsføringstilladelse eller ved indførelse af nye behandlingsrutiner, kræves ligeledes, at de tilgrundliggende data er relevante, korrekte, tilstrækkelige og tilgængelige. Dette er selvfølgeligheder for enhver forsker og enhver medicinalvirksomhed. Men måske er ikke alle klar over, at også persondataloven indeholder en række grundlæggende krav til data - til anvendelsen, til data selv og til beskyttelsen af dem.
Forsøgspersoners integritet og privatlivets fred
Kerneområdet i databeskyttelseslovgivningen er beskyttelsen af den enkeltes integritet og privatlivets fred. Til grund for persondatalovens regler og krav ligger derfor først og fremmest hensynet til de registrerede personer, herunder også personer, der medvirker i videnskabelige forsøg.
Oplysninger i lægemiddelforsøg kan være af meget følsom karakter. Hvis forsøgsdata hændeligt eller ulovligt tilintetgøres, mistes eller forringes, kan dette ødelægge forsøget. Bliver data stjålet eller misbrugt, kan det medføre store økonomiske konsekvenser for medicinalfirmaet eller tab af troværdighed og prestige. Det er både i forskerens og medicinalindustriens umiddelbare interesse at forhindre dette. Hvis oplysninger om en forsøgsdeltager misbruges eller kommer til uvedkommendes kendskab, f.eks. ved uretmæssig videregivelse til den pågældendes arbejdsgiver, forsikringsselskab eller en pårørende, kan dette imidlertid også få store, måske uoverskuelige konsekvenser for forsøgsdeltageren.
Uagtet den lægevidenskabelige forskning ikke interesserer sig for enkeltindivider, er det altså ligefuldt påkrævet at overholde persondatalovens beskyttelsesregler.
Hvad er behandling, og hvornår er der tale om personoplysninger?
Persondataloven gælder for enhver form for behandling af personoplysninger. Med behandling forstås al slags håndtering af oplysninger, f.eks. indsamling, opbevaring, transmission, videregivelse og arkivering. Med personoplysninger forstås oplysninger, som direkte eller indirekte kan henføres til en fysisk person. Persondataloven er desuden medieuafhængig. Den gælder derfor ikke kun for elektroniske oplysninger (digital information) eller for oplysninger på papir, der opbevares i systematiseret form, men også for røntgenbilleder, lyd- og videooptagelser mv. samt for oplysninger indeholdt i biologisk materiale som væv, blod, serum mv. Omfattet er også oplysninger om afdøde og i almindelighed også oplysninger om fostre. Kun helt anonyme oplysninger er ikke omfattet af loven. Til anonyme eller anonymiserede oplysninger regnes dog kun oplysninger, der ikke af nogen kan føres tilbage til en identificerbar person. Kodede eller krypterede oplysninger er derfor personoplysninger i lovens forstand.
Persondatalovens geografiske område
Loven gælder som hovedregel kun, hvis den dataansvarlige er etableret i Danmark, og databehandlingen foregår inden for EU's område. Er den dataansvarlige etableret i et andet EU-land, er det dette lands lovgivning, der gælder, idet de andre EU-lande har implementeret tilsvarende lovgivning. Hvis et lægemiddelforsøg udføres i Danmark af et svensk medicinalfirma, der er etableret i Malmö, vil forsøget således være underlagt den svenske databeskyttelseslov, selv om der i forsøget indgår danske patienter og danske investigatorer. Afgørende for, om loven gælder, er altså, hvor den dataansvarlige er etableret. Er den dataansvarlige etableret i flere EU-lande, f.eks. med filialer, skal den dataansvarlige sikre sig, at de enkelte filialer opfylder det lands lovgivning, hvori de hver for sig er etableret. Persondataloven gælder således også for behandlinger, der udføres inden for fællesskabsområdet af en filial i Danmark.
Dataansvarlig kontra databehandler
Ved den dataansvarlige skal forstås den »fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger«. Hvem, der er dataansvarlig for et projekt eller et medicinforsøg, er derfor afhængig af, hvem der træffer de pågældende beslutninger.
Persondataloven opererer også med begrebet en databehandler, der er forskellig fra den dataansvarlige, idet databehandleren er en, der behandler data på den dataansvarliges vegne. Som eksempel på en databehandler kan nævnes et laboratorium, der benyttes til særligt avancerede analyser, eller et privat arkiveringsfirma, der benyttes til at opbevare data i henhold til god klinisk praksis (GCP)-reglernes krav. Databehandleren må ikke anvende data til egne formål, men kun »efter instruks« og på den dataansvarliges ansvar. Datatilsynet betragter almindeligvis en investigator, der udfører lægemiddelforsøg for et medicinalfirma, som en medarbejder på forsøget og ikke som en databehandler.
God databehandlingsskik
Persondataloven indeholder regler om, hvornår o g til hvilke formål man må indsamle og benytte personoplysninger. Reglerne kan være forskellige, afhængigt af oplysningernes karakter og formålet med behandlingen. Lovens grundlæggende databehandlingskrav skal dog altid opfyldes, når man behandler personoplysninger. Man skal derfor altid udvise god databehandlingsskik og overholde lovens regler såvel i ånd som i bogstav; indsamling af personoplysninger skal ske til klart definerede, saglige og lovlige formål, og senere behandlinger må ikke være uforenelige med disse; oplysningerne skal være nødvendige, formålet taget i betragtning; de skal være korrekte, og urigtige eller vildledende oplysninger skal slettes eller berigtiges.
Særlig hjemmel til videnskabelig brug af data
Det er tilladt at behandle almindelige personoplysninger, hvis lovens betingelser er opfyldt. Derimod er det som udgangspunkt forbudt at behandle følsomme oplysninger, medmindre der er hjemmel i en af lovens undtagelsesbestemmelser. Eksempelvis kan helbredsoplysninger behandles uden samtykke, hvis det er nødvendigt for medicinsk diagnose, patientbehandling, sygepleje mv., og behandlingen foretages af en person inden for sundhedssektoren, der er underlagt tavshedspligt. Herudover kan følsomme oplysninger behandles, hvis der foreligger et udtrykkeligt samtykke, og behandlingen i øvrigt er lovlig. I praksis gør et samtykkekrav det imidlertid umuligt at gennemføre f.eks. registerforskningsprojekter eller undersøgelser, der omfatter afdøde. For at gøre det muligt for forskningen at benytte følsomme oplysninger, uden at der skal indhentes samtykke, er der derfor indsat en specialhjemmel herom til forskningsformål (§ 10). Efter denne bestemmelse må der behandles følsomme oplysninger til videnskabelige eller statistiske undersøgelser under forudsætning af, at undersøgelsen er af væsentlig samfundsmæssig betydning, og behandlingen er nødvendig for at gennemføre undersøgelsen.
En forudsætning i direktiv 95/46/EF for indførelsen af en sådan særregel i den nationale lovgivning var imidlertid, at medlemslandene garanterer beskyttelsen af de registrerede. Som følge heraf skal de videnskabelige projekter ifølge persondataloven anmeldes til Datatilsynet og have tilsynets tilladelse, og tilladelsen gives på en række vilkår, der skal beskytte den registrerede mod, at oplysningerne bliver misbrugt eller kommer til uvedkommendes kendskab.
Anmeldelse, tilladelse og offentliggørelse
Anmeldelsen til Datatilsynet skal ske forudgående og foretages af den dataansvarlige eller dennes repræsentant. Anmeldelsen kan foretages elektronisk fra Datatilsynets hjemmeside. Datatilsynets tilladelser er tidsbegrænsede, men kan forlænges efter ansøgning. Tilsynet skal offentliggøre anmeldelserne, og på tilsynets hjemmeside findes der derfor en fortegnelse over alle anmeldelser - ikke kun videnskabelige projekter. Når et projekt eller forsøg er afsluttet, skal det afmeldes til Datatilsynet, som herefter fjerner anmeldelsen fra fortegnelsen. Det er strafsanktioneret at behandle følsomme oplysninger uden tilladelse fra Datatilsynet og at overtræde tilsynets vilkår. Anmeldelsen og tilladelsen er gratis.
Ovenstående gælder først og fremmest for private dataansvarlige, dvs. forskere og private virksomheder, der forsker på egne vegne og ikke efter opdrag fra en offentlig myndighed. Offentlige myndigheder, der er dataansvarlige for lægemiddelforsøg eller videnskabelige projekter, skal ligeledes foretage anmeldelse, men skal indhente en udtalelse fra Datatilsynet i stedet for en tilladelse. Datatilsynet fastsætter ikke vilkår for offentlige myndigheder, men myndigheden skal overholde reglerne i Justitsministeriets sikkerhedsbekendtgørelse (3), der gælder for enhver myndighed og offentlig forvaltning, der behandler personoplysninger.
Særordning for medicinalfirmaer
Datatilsynet kan give virksomheder, der afprøver og producerer lægemidler eller medicinsk udstyr, en tidsubegrænset tilladelse på særlige vilkår til virksomhedens løbende forsøg. Ordningen medfører, at hvert forsøg ikke skal anmeldes separat.
Datatilsynets vilkår - datasikkerhed
Ifølge persondataloven (§ 41) skal den dataansvarlige »træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven«. Datatilsynets vilkår skal derfor sikre, at den dataansvarlige lever op til lovens krav om datasikkerhed. Af de vigtigste vilkår skal fremhæves:
-
Elektroniske data skal beskyttes med password, og identifikationsoplysninger skal udskiftes med en kode eller krypteres. Transmission af data via internettet/åbne net kræver stærk kryptering, og i intranet skal data beskyttes mod uvedkommende.
-
Manuelt materiale skal opbevares forsvarligt aflåst. Biologisk materiale skal sikres mod tab, forringelse eller tilintetgørelse.
-
Lokaler, hvor data opbevares, skal være indrettet med henblik på at forhindre uvedkommendes adgang.
-
Oplysningerne må udelukkende anvendes til videnskabelige eller statistiske formål, og må ikke videregives til tredjemand uden tilladelse fra Datatilsynet.
-
Når projektet eller forsøget er afsluttet, og data er færdigbehandlet, skal oplysningerne slettes, anonymiseres eller tilintetgøres. Hvis anden lovgivning kræver det, herunder GCP-reglerne, kan data opbevares indtil udløbet af den påkrævede opbevaringstid.
Tilsyn og kontrol med videnskabelige projekter
For at kontrollere, om vilkårene overholdes, kan Datatilsynet foretage inspektion hos den dataansvarlige eller dennes databehandler.
Camilla Daasnes , Datatilsynet, Borgergade 28, 5., DK-1300 København K. E-mail: dt@datatilsynet.dk
Antaget den 25. februar 2003.
Datatilsynet, København.
- Lov nr. 429 af 31. maj 2000 med senere æn dringer.
- Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
- Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Referencer
- Lov nr. 429 af 31. maj 2000 med senere ændringer.
- Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
- Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.