EUROPA BLIR FOR LITE: – Hvis det ikke blir en løsning på deling av helsedata mellom EU/EØS og land utenfor, kan det gå på bekostning av forskning på sjeldne sykdommer og kombinasjoner eller undergrupper der det er få personer å forske på, sier Giske Ursin, direktør i Kreftregisteret.

Foto: Vidar Sandnes

Forskere slår alarm: – Tusenvis av prosjekter er satt på vent og nye stanses

– Europeiske akademiske institusjoner kan ikke dele helsedata med forskere ved offentlige instutusjoner utenfor EU og EØS. Bare her ved Kreftregisteret har vi fem-seks prosjekter på vent på grunn av dette, sier Giske Ursin, direktør i Kreftregisteret.

Publisert Sist oppdatert

Denne artikkelen er mer enn to år gammel.

Konflikter mellom rettsregler i forskjellige land gjør det svært komplisert for europeiske forskere å dele helsedata med forskere ved offentlige instutusjoner utenfor EU/EØS-land. 

Dette gjelder for eksempel amerikanske National Institutes of Health (NIH), som finansierer over 25 prosent av amerikansk forskning, har støttet over 6000 europeiske prosjekter og som gjennom 20 år har vært en viktig samarbeidspartner for Kreftregisteret.

General Data Protection Regulation (GDPR)

Personvernforordningen skal styrke og harmonisere personvernet ved behandling av personopplysninger i Den europeiske union (EU).Den gjelder for alle selskaper som selger til- og lagrer personlig informasjon om europeiske statsborgere, inkludert selskaper på andre kontinenter.Den gir innbyggere i EU og EØS større kontroll over sine egne personopplysninger og sikrer at informasjonen beskyttes i hele Europa.Forordningen omhandler også i noen grad behandling som skjer utenfor EU eller overføring av personopplysninger ut av EU.Forordningen trådte i kraft 25. mai 2018. I Norge trådte forordningen i kraft 20. juli 2018.

Årsaken er uoverensstemmelser mellom den europeiske personvernforordningen (GDPR) og føderal amerikansk lovgivning.

– Én utfordring er at når borgere i EU/EØS-land ber om at data skal slettes, så må de slettes. Mens det amerikanske føderale arkivlovverket sier det motsatte.

– Den største utfordringen er at dersom noen misbruker dine data, skal du kunne stille dem til ansvar. Men det kan du ikke mot føderale forskningsinstitusjoner i USA som ikke-amerikaner.

– Det vil si at dersom NIH får en sikkerhetsbrist og dine data kommer på avveie eller misbrukes, så har du som europeer ikke mulighet til å gå til sak mot dem, sier Giske Ursin, direktør i Kreftregisteret og en av dem som har engasjert seg for å legge press på EU for å finne en løsning på saken.

Private universiteter har ikke samme begrensninger – de kan underskrive  standardkontrakter med institusjoner i EU/EØS. 

– Enten må amerikanerne gjøre endringer i sitt føderale lovverk, eller så må EU finne en form for avtale eller tekniske løsninger som gjør at denne typen datadeling blir akseptabel. Men der er vi ikke ennå.

Nye prosjekter stanses

– Hva er egentlig problemet?

– Problemet er at medisinsk forskning trues. I 2019 var det 5000 europeiske samarbeidsprosjekter, av dem 100 norske med NIH, som ikke lenger har grunnlag for å dele data i henhold til regelverket. Dette har vært kjent i alle fall siden 2019, men er ikke løst.

Det største problemet er imidlertid at nye prosjekter ikke settes i gang.

– Bare her ved Kreftregisteret har vi fem-seks prosjekter på vent på grunn av personvernforordningen og tilleggskravene etter Schrems II-dommen fra i fjor.

Hodebry for mange

Dagens Medisin har tidligere omtalt hvilke konsekvenser Schrems II-dommen har fått for store norske og europeiske e-helseleverandører. 

Utfordringene samsvarer med dem som Ursin og hennes europeisk forskerkolleger nå løfter frem:

At EU-regler og amerikansk lovverk ikke harmonerer, men tvert imot står i skarp kontrast til hverandre.

Tolkningen av GDPR-forordningen har også skapt hodebry ved landets største sykehus, Oslo univeritetssykehus (OUS). Nylig konkluderte Statsforvalteren i Oslo og Viken med at sykehuset har brutt forsvarlighetsplikten. Sykehusdirektør Bjørn Atle Bjørnbeth har uttalt at han vil ha en debatt om hva som er «sikkert nok» når det gjelder pasientopplysninger og personvern og at GDPR «står i veien slik den tolkes nå».

Hodebry er det også i Kreftregisteret: 

– Vi går i sirkler med juristene for å sikre at vi når kravene, og med de nye kravene etter Schrems II-dommen i fjor, er det blitt enda mer komplisert, sier Ursin. 

– Det å planlegge nye forskningsprosjekter i samarbeid med eller under ledelse av NIH eller National Cancer Institute, som vi ofte samarbeider med, er blitt et mareritt, beskriver hun videre.

Kan få store konsekvenser

– Hvilke konsekvenser kan det få dersom man ikke finner en løsning på dette?

– I verste fall; amerikanerne gjør forskningen uten data fra Europa. Problemet med det er at det ikke er sikkert at de sammenhengene de finner vil være overførbare til europeiske borgere, som ofte har en annen genetikk, livsstil og medikamentbruk enn amerikanerne.

– De kan også finne på å søke samarbeid med forskningsinstitusjoner i Asia, som har tilgang til mye data og hvor mange land ikke har samme strenge regler for håndtering av helsedata. Hvis data fra europeiske borgere ikke er med, hvordan skal vi da kunne stole på at de sammenhengene de finner også vil gjelde for oss? spør Giske Ursin seg.

Det å planlegge nye forskningsprosjekter i samarbeid med eller under ledelse av NIH eller National Cancer Institute er blitt et mareritt. Giske Ursin

– Hvorfor kan ikke europeiske forskere samarbeide med hverandre, men uten USA?

– En god del av denne forskningen krever store datakilder, Europa blir for lite, for eksempel når det gjelder sjeldne sykdommer og kombinasjoner eller undergrupper der det er få personer å forske på.

– Vi kan heller ikke gjøre analyser på alle verdens samarbeidsprosjekter i Europa, vi har rett og slett ikke nok europeiske forskere for å gjøre det og er helt avhengig av en viss arbeidsdeling.

Felles forskerfront

Det Norske Videnskaps-Akademi tok i fjor høst initiativ opp mot EASAC til en felles akademisk front mot EU for å finne en løsning på problemet. Det ble nedsatt en arbeidsgruppe med representanter fra brede og tunge europeiske akademisammenslutninger i hele EU og EØS, som fikk i oppdrag å løfte frem de juridiske utfordringene som hindrer deling av helsedata med forskere utenfor EU og EØS og komme med forslag til løsninger.

Giske Ursin og Heidi Beate Bentzen, forsker ved Det juridiske fakultet, Universitetet i Oslo (UiO) er de norske representantene i gruppen.

– Vi ser at det foreligger konflikter mellom rettsregler i forskjellige land som får konsekvenser som nok ingen kunne ant, og som i alle fall ingen ønsker. Per nå er det i praksis ikke mulig å utveksle forskningsdata med forskere for eksempel ved føderale forskningsinstitusjoner i USA på lovlig vis, sier Bentzen til Kreftregisteret, som også omtaler saken på sine nettsider. 

I den ferske rapporten fra de europeiske akademinettverkene ALLEA, EASAC og FEAM, etterlyses løsninger «for å sikre rettidig og direkte forskningssamarbeid i offentlig sektor og dermed maksimere helsemessige fordeler for europeiske borgere».

  • Les om de ulike nettverkene nederst i denne saken.

Et spark til EU

Rapporten “International sharing of personal health data for research” ble publisert i forrige uke:

– Den beskriver problemene og diskuterer mulige løsninger, inkludert de tekniske, forklarer Ursin til Dagens Medisin, men erkjenner at arbeidsgruppen ikke har funnet fasiten.

Last ned rapporten her 

– Vi har utredet ulike muligheter, men kommet frem til at de ikke løser problemene. Denne rapporten må leses som et spark til EU fra europeiske akademiske miljøer om at dette er en sak som må løses på et overordnet nivå.

– EU må finne en «oppskrift» som vi som forskningsinstitusjoner kan bruke for å kunne fortsette samarbeidet med føderale forskningsinstitusjoner i andre land. Inkludert en kontrakt som amerikanerne kan skrive under på uten å komme i konklikt med eget lovverk, argumenterer Ursin.

– Hvis det ikke blir noen løsning, er det en del forskning som ikke vil bli gjennomført, noe som på sikt vil få konsekvenser for pasientene.

– En annen mulig konsekvens er at europeiske forskere finner egne løsninger, for eksempel ved å bruke artikkel 49, unntaksartikkelen i GRPR-forordningen, som en permanent løsning. Det vil være uheldig, fordi den artikkelen legger alt ansvar over på forskningsdeltakerne og Det europeiske personvernrådet er klar på at det ikke er lov å benytte denne unntaksbestemmelsen for vanlige forskningsprosjekter.

– Da mener vi det er bedre med en avtale der forskningsinstitusjonene forplikter seg til å bære ansvaret og der man kan dele data på en trygg og sikker måte, fortsetter hun

Etterlyser retningslinjer

Forskningsmiljøene har jobbet med å finne løsninger i lang tid og i rapporten som nå er offentliggjort, skriver de at de ønsker seg en løsning under artikkel 46.

Artikkel 46 i GDPR beskriver regler om overføring av data til tredjestater og internasjonale organisasjoner, og de nødvendige garantier som må foreligge.

– Denne artikkelen har flere mulige mekanismer, men for de alternativene som kan benyttes nå blir det en fundamental krasj med den amerikanske føderale lovgivningen.

– Det er mange mulige mekanismer man kan bruke i fremtiden, problemet er bare at det er ikke er retningslinjer for dem ennå. Dette må løses av Det europeiske personvernrådet. Og det haster, utfordringene bare blir større og større og prosjektene på vent blir flere og flere.

Har bare signert én avtale

Amerikanske NIH støtter over 6000 forskningsprosjekter i Europa, skriver nettavisen forskningsetikk.no, som har intervjuet seniorrådgiver Robert Eiss i NIH.
 
112 av prosjektene involverer norske institusjoner.

Eiss sier til avisen at mange forskingssamarbeider som har gått over lang tid nå stanset.   

– Siden GDPR trådte i kraft i mai 2018, har NIH bare signert én datadelingsavtale med en europeisk samarbeidspartner. Blant studiene GDPR har fått konsekvenser for, er blant annet genomstudier på type 2-diabetes og kreft, studier som krever tilgang på epidemiologiske forskingsdatabaser, ulike typer kliniske studier og biobanker, skriver Eiss.   

Disse står bak rapporten: 

ALLEA er European Federation of Academies of Sciences and Humanities, som representerer mer enn 50 akademier fra over 40 EU- og ikke-EU-land. Siden grunnleggelsen i 1994 har ALLEA på talt på vegne av medlemmene, fremmer vitenskap som et globalt gode og legger til rette for vitenskapelig samarbeid på tvers av grenser og fagområder.

EASAC er dannet av de nasjonale vitenskapsakademiene i EUs medlemsland, Norge, Sveits og Storbritannia, for å samarbeide om å gi råd til europeiske beslutningstakere. EASAC gir et middel for å gi den europeiske vitenskapen en kollektiv stemme.

FEAM er European Federation of National Academies of Medicine and Medical Sections of Academies of Sciences. FEAM er en paraplyorganisasjon av 23 nasjonale institusjoner som representerer tusenvis av de fremste forskerne i Europa.

Powered by Labrador CMS