Nye persnvernregler g frskning: reaksjner g mulige knsekvenser Tmmy Tranvik
Hva vil det bety? Effektene av regelverket fr frskning lkal iverksetting Avhenger av (i) regelverkets beskaffenhet, inkludert graden av endring, g (ii) etterlevelse g adferd Sentrale spørsmål: regelverket er lett å frstå? regelverket er lett å etterleve? etterlevelsen er lett å kntrllere? etterlevelsen ivaretar persnvernet? hvrdan er frhldet mellm nytt g gammelt?
Knservativ refrm? Overrdnet behlder mye av «det gamle» legger til ne (helt eller delvis) nytt likevel økt regelkmpleksitet Mest prinsipielt viktig «fullfører» vergangen fra frhåndsgdkjenning til intern- g etterkntrll Nrsk tilnærming nødvendige, men færrest mulig endringer i særlvgivningen på frskningsmrådet
Nøytrale reaksjner «Gammel vin, nye flaske» Mesteparten av det sm kreves gjøres allerede i dag, spesielt innenfr medisinsk g helsefaglig frskning Kravene ivaretas i str grad på grunn av etablerte gdkjenningsrdninger gjeldende krav til planlegging g dkumentasjn (frskningsprtkller, datahåndteringsplaner, sv.) Bare stre endringer dersm gammelt regelverk ikke ble etterlevd
Psitive reaksjner Frskning anerkjennes sm viktig Unngikk parlamentets restriktive frslag Særlig psitive reaksjner på 1. Reguleringsfrmen større grad av harmnisering 2. Bred definisjn av frskning 3. Bredt samtykke i frskning 4. Frskningsunntakene frmålsbegrensning lagringsbegrensning særlige kategrier uten samtykke enkelte rettigheter (på visse vilkår) 5. «Nødvendige (nasjnale) garantier»
Negative reaksjner Over-regulering (regelkmpleksitet) g regulatrisk urimelighet (ubalansert) Særlig negative reaksjner på 1. Manglende reell regelendring fr str vekt på «frhåndsdefinert planmessighet», jf. prinsippene i artikkel 5 utdatert aktørlandskap (behandlingsansvarlig, databehandler) 2. Uklarhet m sentrale begreper (persnpplysninger, annyme g pseudnyme pplysninger) 3. Krav til samtykke 4. Uklarhet mkring nasjnale særregler g internasjnalt frskningssamarbeid 5. Knsekvenser av enkelte rettigheter 6. Mtstridende signaler? åpne frskningsdata vs. nye persnpplysningskrav
Mest krevende? Prinsippet m ansvarlighet Systempliktene (internkntrll g infrmasjnssikkerhet) behandlingsansvarliges/dataansvarliges ansvar innebygd persnvern prtkll ver behandlingsaktiviteter behandlingssikkerhet (infrmasjnssikkerhet) sikkerhetsbrudd (varsling) vurdering av persnvernknsekvenser g frhåndsdrøftelser persnvernmbud
«Statusrapprt» frskningsaktivitet Høy persnvernbevissthet Har bra kntrll med større prsjekter (medisin/helse spesielt) Mangelfull infrastruktur savner tekniske g administrative løsninger på enhets- eller institusjnsnivå, fr eksempel mht. lagring, dataanalyse, regelverk g pplæring fragmentert frskningsprtefølje mange små prsjekter, lite frskningsadministrativ kmpetanse selvstyrte prsjekter «prsjekt-lukking», lager sine egne databehandlingsløsninger nrmalisering av ad hc begrenset kvalitetssikring vanskelig å følge pp prsjektdriften eksterne avhengigheter internkntrllen «satt ut» til eksterne aktører (sm REK eller NSD)
Lkal iverksetting Trlig behv fr fkus på etablering eller ppdatering av lkal frskningsinfrastruktur teknisk g administrativ kapasitet (kvalitetssystemer, systemer fr behandlingssikkerhet) Mer kmpetanseintensivt g ressurskrevende regelverk, spesielt pga. (skjønnsmessige) egenvurderinger, dkumentasjn g intern ppfølging mer usikkerhet g tvil? sterkere eksterne avhengigheter? Frhldet mellm dkumentasjn g frskningspraksis? målfrskyvning fra persnpplysningsvern til regeldkumentasjn