Personvern i helsefaglig forskning

Til forskjell fra totalitære regimer er «det private rom» hellig i vår kultur. Den enkelte definerer selv grensene for rommet og hvem som får komme inn i det. Den enkelte skal kjenne seg trygg på at personopplysninger ikke misbrukes av myndighetene eller av andre. Helsepersonell er autorisert til å behandle slike opplysninger. På bakgrunn av en offentlig godkjent utdanning og praksis har helsepersonell mulighet til å behandle person-/ helseopplysninger. Denne muligheten har samfunnet gitt til helsepersonellet for å yte helsehjelp til pasientene. Den gjelder ikke for andre formål. Hva er så mulighetene for helsepersonell som ønsker å bruke opplysningene til forskning? Eller hvis man er under utdanning og ønsker å bruke opplysningene i en mastergradsoppgave? Noen av mulighetene og rammene som personvernet setter vil belyses her og er basert på erfaring med hva som ofte er aktuelt for helsefaglig forskning.

Hva er personopplysninger?

Opplysninger som kan tilbakeføres til enkeltpersoner, regnes som personopplysninger. Det skilles mellom direkte identifiserbare opplysninger, hvor navn eller fødselsnummer direkte identifiserer personen, og avidentifiserte opplysninger, som indirekte kan identifisere vedkommende. Anonyme datasett skal derimot være umulig å koble til enkeltpersoner og er derfor ikke personopplysninger. Likevel kan prosessen med å produsere de anonyme data i noen tilfeller berøre personvernet dersom man benytter midlertidige koblingsmuligheter. Innen forskningen vil man ofte avidentifisere opplysningene ved å bytte navnet med en kode. Koden og navnet gjenfinnes på en separat kodeliste som et begrenset antall personer har adgang til. En utbredt misforståelse er at opplysningene dermed er anonyme og fritt kan brukes til forskning. Koblingsmuligheten gjør at opplysningene regnes som avidentifiserte personopplysninger og dermed er regulert av personvernlovgivningen. Selv om en mastergradsstudent bare gis tilgang til kodete data, er datasettet likevel personopplysninger. Avidentifiseringen er et sikringstiltak, men gir ikke åpning for annen bruk av dataene enn det som samtykket angir. Likeledes vil lydopptak fra intervjuer med pasienter eller ansatte regnes som personopplysninger. Selv om man unngår at navn nevnes i intervjuet, må opptaket likevel behandles som personopplysninger fordi stemmen er gjenkjennbar. Dersom det er mulig å transkribere intervjuet på en måte som ikke er gjenkjennelig for andre, så regnes transkripsjonen som anonym, forutsatt at man ikke koder opptaket og transkripsjonen slik at disse kan kobles. Kombinasjoner av opplysninger kan noen ganger identifisere en person. I noen tilfeller vil eksempelvis arbeidstittel i kombinasjon med alder, kjønn og sykdomshistorie muliggjøre kobling til pasientens identitet. Det er ikke bare kjendiser som kan identifiseres ut fra yrkestittel. Det er veileders og forskers ansvar å ta stilling til om et datasett er anonymisert.

Informert samtykke

Bruk av personopplysninger i forskning krever som hovedregel samtykke fra den inkluderte. Samtykket er individets juridiske og demokratiske rettighet, og gjelder for pasient, ansatte, pårørende eller andre som inkluderes i studien. Samtykket skal være informert, det vil si at personen skal vite hva man samtykker til og hva det innebærer for ens eget personvern. Likeledes skal det være frivillig. Helsepersonell skal derfor være bevisst på den avhengighet pasienten kan oppleve i forhold til behandlere. Mange mennesker vil oppleve å stå i et takknemlighetsforhold til helsepersonellet, eller være redde for at man ikke får den beste behandlingen, om man sier nei til å delta. Samtykket skal normalt bekreftes skriftlig av den som inkluderes. Et muntlig samtykke er juridisk gyldig, men gir ikke den nødvendige grad av dokumentasjon. Den nasjonale forskningsetiske komité for medisin og helsefag (NEM) har utformet en mal for samtykke, i samarbeid med blant annet REK, Datatilsynet og personvernombudet ved Oslo universitetssykehus, Ullevål. Malen er en hjelp, men fratar ikke forskeren ansvaret for at samtykket er informert. For personvernets del er følgende elementer i samtykket sentrale:

• Formålet med studien
• At det er frivillig å delta
• Hvem som er databehandlingsansvarlig
• Om opplysningene utleveres til andre
• Kilder til pasientens opplysninger, for eksempel journalen eller forskriftsregulerte registre
• Når opplysningene slettes/anonymiseres permanent
• Pasientens rett til innsyn, retting og sletting av opplysningene

Det finnes også åpninger for at pasientopplysninger kan brukes i forskning når samtykke er vanskelig eller umulig å innhente. En del forskning har slike utfordringer og kan under visse betingelser gjennomføres, blant annet ved at pårørende konsulteres. Emnet vil ikke belyses her, men drøftes for eksempel på www.uus.no/personvern.

Sentrale personvernprinsipper

Utover samtykket bør man være fortrolig med følgende sentrale prinsipper for personvernet: Ordet fanger - beskrivelse av formålet Bruk av personopplysninger skal ha et entydig og forståelig formål for at det skal være informert. Det kan likevel være vidt. Imidlertid er «medisinsk forskning» så lite avgrenset at man ikke kan si at pasienten er informert om hva man inviteres inn i og konsekvensene av samtykket. På den annen side kan forsker selv avgrense formålet for mye. Ber man utelukkende om samtykke til å registrere opplysningene i et forskningsregister, uten å angi hva opplysningene skal brukes til, utløser det krav om nytt samtykke for hver studie som skal bruke opplysningene. Det formålsbeskrivelsen ikke nevner har man heller ikke samtykket til. Samtidig skal ikke informasjonsskrivet gjøres omfattende fordi forsker ønsker å «sikre seg». Formålet skal være så kort og konsist som mulig slik at det er forståelig for pasienten. Malen for samtykke kan være en hjelp her.

Databehandlingsansvarlig

Behandling av personopplysninger skal normalt bare ha én ansvarlig virksomhet. Dette skal være en virksomhet som er kapabel til å ivareta personvernet til de inkluderte i studien. Pasienten skal kunne henvende seg til én instans for å be om innsyn i opplysningene, eller for å kreve dem slettet. Databehandlingsansvarlig er den som bestemmer formålet med bruken av opplysningene, og som skal ha oversikt over hvor opplysningene lagres, hva de brukes til og at de sikres tilfredsstillende. Når en høyskole har tatt initiativet til et prosjekt, vil ofte denne være databehandlingsansvarlig. Men om journalopplysninger skal inkluderes, vil det ofte være tilrådelig at sykehuset tar databehandlingsansvaret siden ansvaret for journal tilligger sykehuset. Dette er ikke til hinder for at man kan bruke andre virksomheter til å oppbevare opplysningene. Dersom sykehuset er ansvarlig, kan kopi av dataene oppbevares hos en eller flere samarbeidende virksomheter, kalt databehandlere. Databehandleravtale må inngås for å sikre forvaltning av personvern som sykehuset som databehandlingsansvarlig er forpliktet til. Databehandleren vil utelukkende kunne bruke dataene til det formålet som databehandlingsansvarlig har definert. Databehandleren plikter å slette eller levere dataene tilbake når databehandlingsansvarlig ber om det.

Utlevering av personopplysninger

På samme måte som samtykke er nødvendig for å samle inn personopplysninger, så kreves det samtykke for å utlevere til andre virksomheter. Opplysningene kan ikke utleveres til andre forskere hvis det ikke ligger innenfor rammen av samtykket. Virksomhet og formål skal være navngitt og definert i samtykket for at opplysningene kan utleveres. Med utlevering menes her fra én databehandlingsansvarlig til en annen. Dette er vanlig i legemiddelstudier der et eksternt firma er ansvarlig, men kan også være aktuelt i andre typer multisenterstudier. Det er her viktig å understreke at et samtykke til utlevering gir sykehuset en mulighet, men ikke en plikt til å utlevere. Sykehuset må selv vurdere om det er mulig å utlevere opplysningene selv om samtykke, konsesjon og REK-godkjenning skulle være i orden.

  Varighet

Behandling av personopplysninger kan normalt skje innenfor en avgrenset periode før de slettes eller anonymiseres permanent. Samtykket skal sette en øvre grense for når opplysningene senest vil bli slettet (årstall). Denne perioden skal være tilstrekkelig til å gjennomføre studien, inkludert tid til publisering og eventuelt etterkontroll.

Sikring av opplysningene

Opplysningene skal sikres tilfredsstillende. Eksempelvis skal spørreskjema låses ned, kodelister gjøres utilgjengelig for uvedkommende og elektroniske data lagres på medier som minimerer risikoen for at de kommer på avveie. Databehandlingsansvarlig virksomhet skal ha oversikt og kontroll med opplysningene. Det utelukker lagring av privat utstyr, siden virksomheten ikke har noen instruksjonsmyndighet over privat eiendom. Lagring av sensitive personopplysninger i universitets- og høyskolenett er erfaringsmessig utilrådelig grunnet utilstrekkelig sikring. Flere sykehus har derfor etablert standardløsninger innenfor sykehusnettet («forskningsservere») som er risikovurdert og forskriftsmessig sikret.

Forskning og tilgang til journal

Som beskrevet innledningsvis, har helsepersonell en mulighet for å behandle personopplysninger for å yte helsehjelp. Tilgangen til journal er regulert av behovet for å gi slik hjelp, eventuelt for å administrere helsehjelpen. Forutsatt at man er involvert i behandlingen av en pasient, og således er kjent med de taushetsbelagte opplysningene, kan denne tilgangen brukes til å invitere pasienten til deltakelse i et forskningsprosjekt. Med samme forutsetning er det også mulig å registrere opplysningene i et forskningsprosjekt uten samtykke, forutsatt at opplysningene er anonyme gjennom hele datainnsamlingen (se ovenfor). Her skal man gå varsomt frem. Hvis forsker ikke har slik tilgang, så forutsetter det pasientens samtykke for innsyn i journalen, eventuelt annet grunnlag i lov. At man har teknisk tilgang til elektronisk pasientjournal, gir ikke automatisk rett til å bruke denne til forskning eller undervisning. Studentoppgaver byr ofte på utfordringer her: Studenter er ikke nødvendigvis involvert i helsehjelpen til den enkelte, men har likevel teknisk tilgang til journal. Bruk av denne tilgangen for å skrive studentoppgave forutsetter da normalt pasientens samtykke.

Personvernombud et og REK

Med ny helseforskningslov er det REK som vurderer personvernet i forskningsstudier. Tidligere var dette lagt til Datatilsynet, delegert til personvernombudene for virksomheter som har opprettet slikt ombud. Lovgivningen setter likevel krav til at den forskningsansvarlige virksomheten fører kontroll med og sikrer opplysningene i studien. For virksomheter som har personvernombud vil dette fortsatt medføre at studiene skal meldes til personvernombudet. Ny lov innebærer imidlertid ikke at alt som foregår av studier ved et sykehus skal godkjennes av REK. Det som ligger utenfor REKs mandat å vurdere, som omfatter kvalitetssikring og opplæringsformål, skal fortsatt meldes til og tilrådes av personvernombudet. Rutinen som flere sykehus har etablert, med intern godkjenning av studier først, inkludert melding til personvernombudet, vil dermed fremdeles være hensiktsmessig. Og den vil sikre virksomhetenes ansvar både i forhold til forskningslov, personvernlovgivning med mer.

Felttilgang

Sykehusene får av og til henvendelser fra forskere som ønsker liste over pasienter med en bestemt diagnose, slik at disse kan inviteres til å delta i en studie. Av hensyn til taushetsplikten er ofte den eneste løsningen at sykehuset selv sender ut invitasjonen til pasientene, hvorpå pasienten svarer direkte til forsker. Forskere havner noen ganger i situasjoner der pasienten har gitt samtykke, man har alle godkjenninger fra REK og personvernombud, men man får likevel ikke utlevert journalopplysninger fra andre sykehus. Sykehuset som har behandlet pasienten, har ikke alltid tid eller ressurser til å utlevere. En studie som skal samle inn data fra ulike sykehus må derfor ha samarbeidende forskere som er ansatt på de aktuelle sykehus for å gjennomføre studien. Disse må ha lovlig tilgang til å hente ut opplysningene, hvilket omfattes av samtykket dersom de er med i forskergruppen. Uten dette kan man ikke forvente å få utlevert opplysningene. Studier der ansatte skal intervjues må tilsvarende ta hensyn til praktiske utfordringer. Om dette skal skje i arbeidstiden må det settes av tid og det må tas hensyn til ansattes arbeidsoppgaver i klinikken. En studie må dermed allerede i planleggingsfasen sørge for at det er praktisk mulig for sykehusene å utlevere informasjonen, eller å sette av tid for de ansatte om deltakelse ikke skal skje på fritiden.   

Planlegging er nøkkelen

Et godt studiedesign, entydig formål og detaljert planlegging av datainnsamlingen er sentralt også for personvernet. Flere av spørsmålene som en god forskningsprotokoll skal besvare, er de samme som personvernombudet stiller. Mangelfull planlegging fra forskers side kan medføre utfordringer både for godkjenningen og gjennomføringen av studien. En utfyllende beskrivelse av formålet og datainnsamlingen vil gjøre det lettere å vurdere om samtykket samsvarer med forskers intensjon med studien. Samtykket skal nevne alle kilder til data, enten det er journal fra ulike sykehus, andre studier, eller man skal koble med nasjonale helseregistre. Det er derfor å anbefale at personvernombudet konsulteres tidlig i planleggingsfasen. Hvis studiedesignet endres underveis som følge av mangelfull planlegging, kan det resultere i at nytt samtykke må innhentes, med de praktiske vanskeligheter det medfører. God planlegging bidrar til å sikre et forståelig samtykke og en forsvarlig gjennomføring til fordel for både personvernet og forskningen.