Den allmänna dataskyddsförordningen (GDPR) innebär en skärpning av EU:s dataskyddsregler. Dessa regler gäller inte bara företags behandling av personuppgifter. De gäller generellt, även för vetenskaplig forskning, vilket i många fall kunde innebära allvarliga inskränkningar av forskningen. GDPR medger dock flera undantag när det handlar om forskning som annars sannolikt skulle omöjliggöras eller avsevärt försvåras.
Sådana undantag medges bara om lämpliga skyddsåtgärder, som är i enlighet med förordningen, finns på plats. Men vilka åtgärder kan krävas? Artikel 89 i förordningen nämner tekniska och organisatoriska åtgärder för att kunna iaktta principen om uppgiftsminimering: fler personuppgifter än vad som behövs för ändamålen får inte behandlas. I övrigt specificerar inte Artikel 89 vilka skyddsåtgärder som krävs, eller vad det betyder att åtgärderna ska vara i enlighet med förordningen.
Inom biobanksforskning och genetisk forskning krävs stora mängder biologiska prover och hälsorelaterade data. Personuppgifter kan behöva sparas under lång tid och återanvändas av nya forskargrupper för nya forskningsändamål. Detta skulle inte vara möjligt om inte förordningen medgav undantag från regeln att personuppgifter inte får sparas längre än nödvändigt och för syften som inte specificeras vid datainsamlingen. Men frågan kvarstår, vilka skyddsåtgärder kan krävas för att medge undantag?
Frågan tas upp av Ciara Staunton och tre medförfattare i en artikel i Frontiers in Genetics. Artikeln börjar med att diskutera förordningen och hur man kan tolka kravet att skyddsåtgärderna ska vara ”i enlighet med GDPR”. Därefter föreslås sex möjliga skyddsåtgärder för biobanksforskning och genetisk forskning. Förslaget grundas på en noggrann genomgång av ett antal dokument som reglerar hälsoforskning.
Här vill jag främst rekommendera läsning för alla som arbetar med frågan om lämpliga skyddsåtgärder i biobanksforskning och genetisk forskning. Jag nöjer mig därför med att nämna att de föreslagna skyddsåtgärderna handlar om (1) samtycke, (2) oberoende granskning och tillsyn, (3) ansvarsfulla processer, (4) klart redovisad policy kring alla aspekter av databehandlingen, (5) datasäkerhet, samt (6) träning och utbildning.
Vill du veta mer om de föreslagna skyddsåtgärderna hittar du artikeln här: Appropriate Safeguards and Article 89 of the GDPR: Considerations for Biobank, Databank and Genetic Research.
Skrivet av…
Pär Segerdahl, docent i filosofi vid Centrum för forsknings- och bioetik och redaktör för Etikbloggen.
Ciara Staunton, Santa Slokenberga, Andrea Parziale and Deborah Mascalzoni. Appropriate Safeguards and Article 89 of the GDPR: Considerations for Biobank, Databank and Genetic Research. Frontiers in Genetics. 18 February 2022 doi: 10.3389/fgene.2022.719317
Kommer med lästips
Senaste kommentarer