Registerforskning og personvern -Vil norsk lovgivning påvirkes av EU s personvernforordning? Grete Alhaug, 6. februar 2014 Seminar om registerforskning, Litteraturhuset
Hva er registerforskning? Forskning på data (personopplysnigner)som allerede er samlet inn (registrert) for et formål. Det opprinnelige formålet kan være forskning, men det forskes også på data fra registre som ikke har forskning som primærformål. Registerforskning kan i prinsippet gjennomføres uten at den registrerte involveres og det gjøres også ofte i praksis. NAV, Skattedirektoratet, Helsetilsynet, Arbeidstilsynet, Kriminalomsorgen. Obligatoriske helseregistre (sentrale), samtykkebaserte helseregistre, helseundersøkelser, befolkningsundersøkelser Offentlige tilgjengelige g g data, Big Data 07.02.2014 Side 2
Det man ikke vet, har man ikke vondt av! Innebærer registerforskning egentlig et inngrep i de registrertes personvern? Opplysningene er jo allerede registrert Forskningsprosjektet innebærer ingen ulemper for forskningsdeltakerne (utvalget, de registrerte.) Opplysningene er allerede samlet inn. Samfunnsnytten ved prosjektet er (i følge søknaden)større enn (den personvernmessige)ulempen for de registrerte. Riktig helsehjelp er også godt personvern! 07.02.2014 Side 3
Når kan registerforskning innebære en ulempe for den registrerte? Ingen fysisk kontakt, ingen kommunikasjon, intet inngrep eller intervensjon, ingen forsøk, ingen risiko, ingen bivirkning, ikke en gang g kjennskap til at forskningen gjennomføres eller hva resultatet ble. Dermed heller ingen etiske utfordringer? Ingen ulemper. Den personvernrelaterte ulempen for den registrerte handler om at det skjer et inngrep i enkeltindividets rett til å bestemme over opplysninger om seg selv. Rettigheten er grunnlovsfestet, følger av EMK, EU s personverndirektiv og ligger til grunn for personopplysningsloven l med forskrifter. 07.02.2014 Side 4
Selvbestemmelsesretten Avgjørende for enkeltindividets mulighet til å ivareta sine egne interesser: Retten til et privatliv, retten til å ivareta sin egen integritet og retten til å selv å bestemme hva opplysninger om en selv skal brukes til Personopplysningsvern Innskrenkes bl.a. ved bruk av offentlige tjenestetilbud. Innskrenkes også gjennom private avtaler, men da frivillig. Selvbestemmelsesretten ligger til grunn for hovedregel om samtykke ved behandling av personopplysninger. Registerforskning gjennomføres som hovedregel uten den registrertes samtykke fordi man etter en helhetlig l vurdering finner at ulempen for den registrerte er mindre enn fordelen med at forskningen tillates. 07.02.2014 Side 5
Samtykke er den enkleste måten å dokumentere at selvbestemmelsesretten er ivaretatt Forutsetter at samtykket er informert, frivillig og uttrykkelig Formålet må fremgå av informasjonen Begrensninger i formålet Ny bruk: i tråd med det opprinnelige formålet? Brede samtykker Når må det innhentes nytt samtykke. Rekkevidden av samtykket i forhold til bruk av opplysninger som er avgitt (mer eller mindre) frivillig. Avgjørende spørsmål som har betydning for registerforskningen. Har skapt bekymring i forskningsmiljøer. 07.02.2014 Side 6
Nødvendige tiltak som bidrar til at ulempen blir mindre eller liten nok til at behandlingen kan tillates Identitetsforvaltning Anonyme opplysninger ikke personopplysninger Avidentifisering, pseudonymisering Direkte personidentifikasjon Indirekte identifisering Informasjonssikkerhet Ekstern eller intern kryptering Tiltrodd tredjepart Pseudonymforvalter Tilgangskontroll Kommunikasjonsformer Lav risiko for at personopplysninger kommer på avveie =lite inngrep i personvernet, liten ulempe i forholdt til formålet. Side 7
Påvirkes norsk regelverk av den nye personvernforordningen? Ja, norsk regelverk vil bli påvirket i stor grad fordi forordningen skal erstatte personverndirektivet (95/46) som i dag er implementert i personopplysningsloven. Forordningen skal ta over og gjelde som den er, ord for ord. Viktig mål med endringen at det etableres enhetlig praktisering av regelverket. Tilpasning nåtidens teknologiske utfordringer, muligheter og risikobilde. Færre muligheter for nasjonal tilpasning av regelverket Uvisst enn så lenge hva dette vil bety for norske særlover som for eksempel helseregisterlov og helseforskningslov 07.02.2014 Side 8
Kommisjonens forslag Forenkle regelverket ved tilpasning til ny teknologi (internett) mer kostnadseffektivt for virksomheter i EU å etterleve regelverket Innføring av nye begreper: biometriske opplysninger genetiske opplysninger samtykke: consent statement/clear affirmative action Utelukker passivt samtykke Utfordrende samtykkekrav til ny bruk i tråd med opprinnelig formål? 07.02.2014 Side 9
Viktige forskjeller Økt makt til kommisjonen Vide forskriftshjemler Nye tilsynsordninger European Data Protection Board kun for medlemslandene Kraftigere sanksjonsmuligheter One-stop-shop Nye rettigheter: Retten til å bli glemt (art 17)-styrket sletteplikt Retten til dataportabilitet (art 18)-styrket eiendomsrett til egne data, betydning for konkurranse mellom tilbydere 07.02.2014 Side 10
Utfordringer Umulig per i dag å overskue alle konsekvenser av det fremlagte forslaget Åpnes for etablering av nasjonale regelverk, og kommisjonen gis kompetanse til å etablere utfyllende europeisk regelverk Bestemmelsene i forordningen er detaljerte, vage og skjønnsmessige og gir derfor mange tolkningsmuligheter Mange unntak for forskning, fleksibilitet Norske tilsynsmyndigheters påvirkningskraft som ikke EU- medlem Svært omfattende virkeområde. De forskjellige sektorer må vurdere hvilke konsekvenser regelverket får i de ulike sektorer. 07.02.2014 Side 11
Datatilsynets uttalelse så langt Positive til et nytt, oppdatert personvernregelverk Økt beskyttelsesnivå harmonisering- økt rettsikkerhet Flere av de sentrale bestemmelsene i det fremlagte forslaget er en kodifisering av gjeldende norsk rett Grunntanken videreføres og vurderingstemaene er de samme som vi forholder oss til i dag Krever fullverdig medlemskap i European data Protection Board For mye makt til kommisjonen Overstyring av nasjonale tilsynsmyndigheter, art 62. 26 artikler med forskriftskompetanse til kommisjonen, og mange essensielle deler som er overlatt til delegerende og implementerende rettsakter i regi av kommisjonen 07.02.2014 Side 12
Konkrete bestemmelser som DT har kommentert Utvidet geografisk virkeområde, art 3 Positive til utvidet virkeområde, stiller spm ved mulighet til håndhevelse Definisjoner, artikkel 4 Mindreårige, artikkel 8 13 år nettsamfunn praksis i dag Sensitive personopplysninger, art 9 Mistenkt, siktet, tiltalt Genetiske opplysninger Retten til å bli glemt, art 17 Dataportabilitet, art 18 07.02.2014 Side 13
Konkrete bestemmelser som DT har kommentert Innebygget personvern, art 23 Felles behandlingsansvarlig, art 24 Dokumentasjonskrav, art 28 Databrudd, art 31 og 32 Konsekvensutredning, art 33 Personvernombud, art 35-37 Samarbeid og konsistens, art 55-62 EDPB, art 64-72 Administrative sanksjoner, art 79 Delegering og implementering, art 86-87 07.02.2014 Side 14
Gjeldende rett Personopplysningsloven Grunnkrav til behandling av personopplysninger Hovedregel: samtykke, formålsbestemthet, tillatt med hjemmel i lov Sensitive personopplysninger: krever konsesjon Alltid en interesseavveining: hensynet til privatlivets fred vs formålet med behandlingen Alltid krav om å begrense inngrepet i individets integritet mest mulig, derfor minst mulig grad av identifiserende d opplysninger. Jo større risiko jo strengere krav til sikkerhet og andre nødvendige tiltak for å sikre den enkeltes integritet, selvbestemmelsesrett. 07.02.2014 Side 15
Bekymring i forskningsmiljøet, brev fra Danmarks Forskningspolitiske Råd til Uddannelsesminister Morten Østergaard, 23. september 2013 Ved de pågående forhandlinger af EU-kommissionens forordning om databeskyttelse, er det viktigt, at danske interesser i forhold til fortsat at kunne udføre og udvikle forskning med utgangspunkt i registre sikres. Der er fare for, at en vedtakelse af forodningen. Som foreslået, kan få alvorlige, mærkbare og langtidsvirkende negative konsekvenser for dansk forskning, dansk erhverv og for samfundet. Vedtages forodningen kan det blant andet føre til, at man inden der udføres (en forskningsmæssig) behandling av personopplysninger, skal have et; specifikt, informeret og udtrykkeligt samtykke til den efterfølgende behandling af de relevante personopplysnigner. I værste tilfælde vil det betyde, at dansk registerforskning vil blive umuliggjort. Danmarks forskningspolitiske Råd finder dette alarmerende, og det er afgørendeviktigt, at man fra dansk side hindrer at det sker. 07.02.2014 Side 16
Albrecht rapporten et av mange innspill -status uviss Bekymring i det norske forskningsmiljøet, brev fra NSD. dansk rett praktiserer gjeldende rett annerledes enn vi gjør i Norge. Ikke foreslått endringer som er vesentlig annerledes enn det som gjelder i dag i Norge. Art. 29 gruppen: rapport om forbud mot ny bruk uforenelig med opprinnelig samtykke Konkrete forslag til endringer i den foreslåtte forordningen Særlig fokus på kravene til samtykket/formålet/uforenelighet Høyesterett januar 2013: avgjørelse om ny bruk uforenelig med opprinnelig samtykke (Avfallsservice-GPS) Dommen skjerper kravet til formålsbestemthet 07.02.2014 Side 17
Aktuelle utfordringer for personvernet og fokus fremover Big Data store mengder «anonyme» data kan bidra til identifisering av individer og få konsekvenser for enkeltindivider Tilgjengeliggjøring av offentlige data Identitetsforvaltning anonymisering, avidentifisering, indirekte identifiserbarhet Informert samtykke Innebygd personvern Registerforskningen vil i større grad måtte fokusere på identitetsforvaltning og andre nødvendige tiltak og kanskje må det legges ned innsats i å tilrettelegge for gode løsninger til fordel for personvernet 07.02.2014 Side 18
Grete Alhaug gral@datatilsynet.no Følg oss: datatilsynet.no personvernbloggen.no Twitter.com/datatilsynet 07.02.2014 Side 19