Samtykke som behandlingsgrunnlag i personvernforordningen (GDPR) har begrenset betydning ved helsehjelp og klinisk forskning

Det er en langvarig tradisjon innenfor helseretten å regulere behandlingen av mennesket og personopplysninger i denne forbindelse som har vært modell for andre rettsområder, blant annet forvaltningsretten. Behandling av personopplysninger er en sentral del av helseretten. Ny lovgivning innenfor dette området utarbeides og foreslås av Helserettsavdelingen i Helse- og omsorgsdepartementet. Det tas da stilling til om loven er i samsvar med internasjonale forpliktelser og forpliktelser som følge av EØS avtalen.  

Helseretten kjennetegnes av at den har vokst frem gjennom internasjonalt samarbeid om etiske regler, og etter hvert bindende internasjonale reguleringer. Det er et økt innslag av internasjonale reguleringer og EU/EØS-retten innenfor helsefeltet eller av mer generell karakter. EU-retten innenfor helse innebærer flere forordninger og direktiver, blant annet direktiver om pasientrettigheter og klinisk forskning. Dette begrunner at GDPR bygger på menneskerettigheter og inneholder henvisninger til disse rettskildene og skjønnsmessige vurderingstemaer som reflekteres i rettskildene, for eksempel forholdsmessighet. Den siste dommen fra EU 16. juli 2020 som jeg har omtalt i en artikkel i Dagens medisin, viser hvordan GDPR anvendes i lys av disse rettskildene.

Personvernforordning (GDPR) erstattet personverndirektivet og ble i sin helhet tatt inn i personopplysningsloven av 15. juni 2018 nr. 38 § 1, da det trådte i kraft 20. juli 2018.  Helselovene ble tilpasset forordningen slik at de ikke kommer i konflikt, men det forutsettes at disse generelle reglene i forordningen anvendes i større grad enn tidligere. Det kan oppstå utfordringer med fortolkninger da forordningen er generell og har regler som gjelder for Facebook og sykehus. I forordningen er det henvisninger til nasjonal lov og andre deler av unionsretten når det gjelder helsefeltet. Den omfattende fortalen må benyttes i tolkning av GDPR. Der klargjøres det forskjeller i hvordan reglene skal anvendes avhengig av hvor personopplysningene behandles. Det siste året har det har kommet en rekke uttalelser fra det europeiske personvernrådet (EDPB) av særlig stor betydning for helsefeltet. EU-dommer viser hvordan forordningen anvendes i lys av menneskerettigheter som har særlig stor betydningen innenfor helsefeltet.   

Når det gjelder grunnlaget for å behandle personopplysninger innebærer forordningen få endringer innenfor helsefeltet, noe som er påpekt i forarbeidene. Det er likevel noen viktige endringer. Blant annet erstattes konsesjonsordningen med at behandlingsansvarlig (omtalt som dataansvarlig i helsefeltet) skal ta stilling til behandlingsgrunnlaget. Innenfor helsevirksomheter skal det være personvernombud med en uavhengig rolle for å kunne gi råd. Personvernombudene har en krevende oppgave innenfor dette rettsområdet som kompleks, men desto viktigere. Mange arbeider tett med juridiske fagmiljøer for å kunne henge med i den dynamiske rettsutviklingen innenfor feltet og bidrar til å utvikle både denne rollen og ny praksis i takt med justeringer og endringer. Ved juridisk fakultet ønsker vi å skape diskusjonsarenaer for å drøfte vanskelige problemsstillinger i tillegg til forskning. Det er hvert år et stort antall studenter som skriver masteroppgaver om helselovene og GDPR.   

En viktig endring med GDPR er at enhver behandling av personopplysninger må baseres på et behandlingsgrunnlag i GDPR som må vurderes av dataansvarlig. I sykehus må denne ordningen ses i lys av at helsepersonell er tillagt beslutningsmyndighet når det gjelder sentrale deler av hvordan personopplysninger skal behandles, gjennom forsvarlighetsplikten, taushetsplikten og unntak, dokumentasjonsplikten og informasjonsplikten overfor pasienter. Disse pliktene begrenser dataansvarliges styringsrett og kan heller ikke overprøves av dataansvarlig. I forvaltningspraksis (og rettspraksis) er det trukket opp et skille mellom ansvarsnivåene, noe som blant annet kommer til uttrykk i tilretteleggingsplikten som påhviler ledelsen.  

Det er ikke nytt at det må baseres på et rettsgrunnlag. Det nye er at behandlingsgrunnlagene i GDPR har flere funksjoner, blant annet å angi sammenhengen med nasjonal lov og andre deler av EU-retten. Det må derfor skilles klart mellom GDPRs vilkår om behandlingsgrunnlag og det som i norsk rett omtales som rettslig grunnlag.

Dersom samtykke benyttes som behandlingsgrunnlag i henhold til GDPR skal personen som samtykker være jevnbyrdig og fri, og ha innflytelse over hvordan personopplysningene benyttes og samtykke til alle faser av behandlingen. EDPB (Det Europeiske personvernrådet) har understreket at dette behandlingsgrunnlaget ikke kan benyttes dersom det er fiktivt, for eksempel dersom behandlingen er basert på lovbestemte plikter. Det fremgår av fortalen (punkt 43) at det ikke kan benyttes i forbindelse med offentlig myndighetsutøvelse. Ved medisinsk behandling og klinisk forskning har samtykke som behandlingsgrunnlag begrenset betydning. Dette kan understøttes av vilkårene for å avgi et gyldig samtykke, flere uttalelser fra EU, og fra systemet i GDPR, og utdypes nå i juridisk teori. Se EDPB 03/2020 og 05/2020 og 03/2019, og en uttalelse fra EDPS i januar 2020.    

Når samtykkeordningen i GDPR benyttes erstatter denne de mange samtykkeordningene i nasjonal rett som er tilpasset situasjoner der det gis helsehjelp eller pasienter inkluderes i et klinisk forsøk, og kan ikke kombineres med et lovgrunnlag. Ved helsehjelp og klinisk forskning i offentlige virksomheter kommer behandlingsgrunnlagene i GDPR art. 6 (1) c og e til anvendelse, samt art. 9 (2) h-j. Det samme gjelder folkehelsearbeid, blant annet i forbindelse med Covid-19, forutsatt at disse aktivitetene er regulert i lov og er forholdsmessige.

De tilpassede samtykkeordningene i nasjonal lov, og lovgrunnlag, skal føre til at personer gis forsvarlig helsehjelp, noe som forutsetter behandling av helseopplysninger – og inkluderes i klinisk forskning når dette er nødvendig av hensyn til personen selv – selv om de ikke er i stand til å avgi et tydelig og fritt samtykke.  

Personer som er forvirret og bevisstløse skal gis helsehjelp når det er nødvendig. Når alvorlig syke av Covid 19 legges i kunstig koma, kan de likevel inkluderes i klinisk utprøvning av legemidler og der primærmålet er å finne en behandlingsmetode som har effekt. I denne sammenhengen presumeres et samtykke. I dansk rett skal det benyttes stedfortredende samtykke. Ved klinisk forskning kan ikke personer uten samtykkekompetanse nødvendigvis ekskluderes.

Begrunnelsen er at også denne gruppen av pasienter skal ha et integritetsvern som følger av at helsepersonell/forskere gis muligheter for å prøve ut metoder som kan redde liv.

Samtykke som rettslig institusjon har innenfor helseretten mer preg av å være en aksept eller tilslutning, enn en avtale. Pasienten skal kunne medvirke, men skal ikke «ta ansvar» for videre disposisjoner som følger av lovpålagte plikter, blant annet forsvarlighet som inkluderer behandling av helseopplysninger i et forløp, dokumentasjonsplikten og flere lovregulerte grunnlag for behandling av helseopplysningene (taushetsplikten og unntak). Pasienten kan ikke heve disse pliktene med egne disposisjoner. Forsvarlighetsvurderinger skal omfatte risikoen for pasienters liv og helse, omtalt som grunnleggende rettigheter i GDPR, og risikoen med å behandle helseopplysninger eller av at slike opplysninger ikke behandles (konfidensialitetsvernet). Forholdsmessighet innebærer avveininger av nærmere angitte hensyn og er et gjennomgangstema i helselovene, for eksempel i smittevernloven, helseforskningsloven og helsepersonelloven, samt i GDPR og i de internasjonale menneskerettigheter.