Forhastet påstand om publisering av individdata
Ved publisering av forskning er det ikke noe krav om at individdata skal legges ut åpent. Derimot må forskere ha en plan for å kunne dele slike data i tråd med lovverket.
Denne artikkelen er mer enn fem år gammel.
Kronikk: Giske Ursin, direktør i Kreftregisteret
Gun Peggy Strømstad Knudsen, områdedirektør for Helsedata og digitalisering i Folkehelseinstituttet
I DISKUSJONEN OM forskning og personvern ved OUS har det blitt påstått at vanlig praksis nå er å publisere pseudonymiserte individdata åpent i forbindelse med publikasjon. Det argumenteres videre med at fordi slike data «vanligvis» publiseres åpent og at publisering er en åpenbar del av forskning, må pasienter være «innforstått» med dette.
Som del av diskusjonen ligger det to sentrale spørsmål: Hvor detaljert må egentlig et samtykke til forskning være, og hvordan skal vi tolke og forholde oss til historiske samtykker? Skal man legge til grunn at pasienter som de siste årene har gitt sitt samtykke til å delta i studier, også har akseptert at detaljer om dem kan legges ut åpent – for eksempel som en Excel-fil på en nettside for et tidsskrift?
FORHASTET PÅSTAND. Først til påstanden om at vanlig praksis er å publisere pseudonymiserte individdata. Vi er uenige og mener det er en forenklet og forhastet påstand.
Det er ikke standard å publisere alle indirekte identifiserbare individdata innen medisinsk forskning åpent i en Excel-fil på en nettside. Tvert imot er poenget med mye av forskningen nettopp å analysere og aggregere data fra noen eller mange mennesker for å trekke slutninger som går ut over et enkelt individ. Vi ønsker som regel resultater som kan generaliseres og si noe om flere enn én enkelt pasient.
Åpen deling og publisering av pseudonymiserte individdata er ikke et krav for publisering, selv i de store medisinske journaler. Det er ofte ønskelig at forskningsdata legges til en sentral database (data repository), men da under forutsetning av at dette er dekket av nasjonal lovgivning og samtykket som ligger til grunn for forskningsdataene. Det som derimot er et krav, er en datadelings-erklæring, eller en datahåndteringsplan. Man må altså beskrive hvordan data kan deles trygt og lovlig.
Innen EU/EØS må slike dataløsninger tilfredsstille krav i EUs personvernforordning (GDPR).
SAMTYKKE – OG RISIKO. Så til spørsmålene om samtykker. Hva har pasienter samtykket til frem til nå? Forskning? Ja. Publisering og deling av individdata? Nei, mener vi.
Samtykket som har vært standard til nå, har ikke spesifisert at individdata vil publiseres åpent. Samtykkene har heller ikke nødvendigvis beskrevet risiko for bakveis identifisering ved slik åpen publisering. Samtykket som inntil nylig har vært i bruk for eksempel ved OUS, har sagt: «Det vil ikke være mulig å gjenkjenne deg som person i noen av de vitenskapelige publikasjonene som blir laget». Bakveis identifisering, det vil si gjenkjenning av personer i store datasett, er et tiltakende problem.
Jo mer som deles åpent, desto større vil risikoen bli.
UNNTAKET. Web-crawler software, som kan lete opp spesifikke kombinasjoner av data, gjør risikoen større. Man trenger ikke være hacker for å sette sammen åpent tilgjengelige filer. Vi må regne med at denne muligheten vil øke de neste årene.
Hvordan skal vi da forholde oss til forventninger om mest mulig deling av data? Forskningsdata skal være så åpne som mulig – og så lukkede som nødvendig.
Forskningsdata skal være så åpne som mulig – og så lukkede som nødvendig. Del data, men gjør det trygt og sikkert i løsninger som ivaretar EUs krav om personvern!
Kan det være tilfeller hvor deling av individdata er viktig? Ja, men det er unntaket. Kan det være tilfeller hvor det er vanskelig å skille hva som er anonyme data, og hva som er pseudonymiserte eller indirekte identifiserbare? Ja, selvsagt. Grenselinjer må gås opp, og gode vurderinger av personvernkonsekvenser (DPIA) må rett og slett gjennomføres av den enkelte forskningsleder.
NORSK BRANSJENORM? Kan vi andre bidra? Ja. Det er mye helsedataekspertise i dette landet. Mange har publisert sin forskning med en datahåndteringsplan, mange har gjennomført personvern-konsevensvurderinger og mange har tilrettelagt for deling av data. Vi må bli flinkere til å dele disse erfaringene og lære av hverandre.
Samtykkeutforming bør diskuteres på tvers av regioner, foretak og institusjoner, og dersom myndighetene ønsker å utvikle en norsk «bransjenorm» før de europeiske «code of conduct» kommer, bør denne utvikles av en gruppe med bred statistisk, helsedata- og personvernekspertise. Arbeidet bør gjerne involvere noen som sitter tett på det europeiske arbeidet.
RESPEKT. Tillit er avgjørende. I forskningsmiljøene, og viktigst, i samfunnet. Til at vi i forskningen håndterer forskningsdata med respekt for personvernet. Skal vi komme noen vei videre, er det viktig å enes om fakta om hvilke krav forskning setter.
Ingen må forledes til å tro at forskning krever at individdata om personer legges ut åpent.
Del data, men gjør det trygt og sikkert i løsninger som ivaretar EUs krav om personvern.
Ingen oppgitte interessekonflikter
