Innledning
I dette kapittelet vurderer vi reglene for tilgjengeliggjøring av genomdata til andre land for helsehjelpsformål, kvalitetssikring, forskning og annen sekundærbruk, herunder om det bør gjelde noen særvilkår for å gi tilgang til denne typen helsedata til utenlandske aktører.
Gjeldende rett
Formålet med personvernforordningen er å legge til rette for fri utveksling av personopplysninger i EØS-området, og forordningen slår fast at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. Reglene er ulike avhengig av om opplysningene overføres til EU/EØS eller til land utenfor EU/EØS, såkalt tredjeland. Det gjelder ingen særlige begrensninger med hensyn til å tilgjengeliggjøre opplysninger mellom EU/EØS-stater, utover de alminnelige vilkårene som også gjelder ved tilgjengeliggjøring til virksomheter i Norge.
Overføring[115] til tredjeland er regulert i personvernforordningen artikkel 44 til 50, og det kreves et særskilt grunnlag for å være lovlig, dvs. et overføringsgrunnlag[116]. Etter Schrems-II-dommen[117] fra EU-domstolen ble det presisert at det må stilles tilleggskrav til overføringsgrunnlaget. Man må undersøke om beskyttelsesnivået i tredjelandet i praksis vil bli undergravd av forhold i tredjelandet, for eksempel overvåkingslover som går lengre enn det som er nødvendig og proporsjonalt. I slike tilfeller må det iverksettes ytterligere tiltak for å sikre at beskyttelsesnivået for personopplysninger blir tilsvarende som i EU/EØS. Tiltakene kan være tekniske, juridiske eller organisatoriske, og ofte bør ulike typer tiltak kombineres.[118]
I Personvernnemdas avgjørelse, PVN-2021-21[119], ble forholdet mellom personvernregelverket og helselovgivningen ved utlevering av data til utlandet vurdert. Saken gjaldt klage fra Oslo universitetssykehus (OUS) på Datatilsynets vedtak der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i databehandleravtaler eller i avtaler om felles behandlingsansvar, samt at det til grunn for slike avtaler skulle foreligge en risiko- og sårbarhetsanalyse (ROS) og personvernkonsekvensvurdering (DPIA). Det ble under prosessen vurdert at pasientjournalloven § 19 og helsepersonelloven §§ 25, 45 og 16 kunne være supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. nr. 3, for den del av behandlingen av opplysninger som gjaldt OUS’ tilgjengeliggjøring av pasientopplysninger til utenlandske laboratorier. Nemnda kom til at den dataansvarliges adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kunne oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar. Utlevering av helseopplysninger til samarbeidende helsepersonell forutsetter at det skjer innenfor reglene om taushetsplikt. Helsepersonelloven §§ 25 og 45 gir de nødvendige unntakene fra taushetsplikten slik at opplysninger kan utleveres. Nemnda kom til at OUS ikke er dataansvarlig for helseopplysningene etter at de er utlevert til samarbeidende helsepersonell i utenlandske laboratorier.
Vurdering av etiske prinsipper
Som nevnt tidligere har en person i rollen som pasient og i rollen som forskningsdeltaker ulike interesser i at opplysninger deles til bruk for kvalitetssikring etc. og til forskning eller annen bruk utenfor landegrensene.
For pasienten kan helsetjenestens deling av opplysninger med helsepersonell i utlandet bidra til å øke kvaliteten på egen helsehjelp. Dette gjelder for eksempel små pasientgrupper med sjeldne sykdommer, der helsepersonell har behov for å dele informasjon med kolleger i andre land for å kunne gi sin egen pasient den beste behandlingen. I en slik situasjon kan en pasient sies å ha en egeninteresse av å dele egne genomdata utover landegrensene, når formålet er kvalitetssikring av helsehjelp til pasienten selv, og det bare er helsepersonell som kan få tilgang til opplysningene.
Et annet spørsmål er om den enkelte bør ha mulighet til å aktivt ta stilling til om genomdata kan deles for kvalitetssikring av helsehjelp som gis til pasienter i andre land. Både reservasjonsrett og samtykke kan være en form for "aktivt valg", gitt at informasjonskravene knyttet til de to alternativene er like tydelige.
Mange pasienter vil ønske å bidra til forskning på den aktuelle sykdommen som de selv lider av, også dersom forskningen skjer utenfor landegrensene. En forutsetning for at pasienten får helsehjelp og egen behandling er allerede gjennomført forskning på denne tilstanden. Det gir en viss moralsk forpliktelse til å bidra til forbedringer for egen gruppe. Men, det følger ikke av dette at en kan gå videre og utvide dette prinsippet til å gjelde en forpliktelse til å dele opplysningene med forskere i andre land. Når forskningen på genomdata foregår i et annet land, er det vanskeligere for deltakeren å få tilstrekkelig oversikt over hva opplysningene brukes til, og hvem som har tilgang til opplysningene.
Vurdering og anbefaling
Deling for helsehjelpsformål
For genetiske opplysninger og helseopplysninger gjelder personvernforordningen artikkel 9 nr. 4, hvor medlemsstatene har adgang til å innføre ytterligere vilkår og begrensninger. I Norge er det ikke innført slike begrensninger for deling som skjer som ledd i helsehjelp[120]. Det innebærer at genomdata fra et behandlingsrettet helseregister kan deles med andre dataansvarlige i EØS-området dersom tilgjengeliggjøringen er i samsvar med registerets formål, den som opplysningene gjøres tilgjengelig for oppfyller reglene i personvernforordningen og eventuell nasjonal særlovgivning, og tilgjengeliggjøringen er i samsvar med reglene om taushetsplikt. Etter vårt syn ivaretar gjeldende regelverk deling av genomdata til helsehjelps- og kvalitetssikringsformål på en god måte.
Deling for forskning og annen sekundærbruk
Genomdata kan i utgangspunktet deles innenfor EØS-området, forutsatt at personvernforordningens regler er oppfylt, og kravene til taushetsplikt er ivaretatt.
Mulighet for deling av genomdata og andre helseopplysninger til internasjonale samarbeid er viktig for å utvikle kunnskapsgrunnlaget for helsetjenesten.
Ovenfor anbefaler vi at det bør innhentes bredt samtykke før genomdata som er generert i forbindelse med helsehjelp kan tilgjengeliggjøres til forskning, se kapittel 4.8.4, og at det brede samtykket bør forsterkes med jevnlig informasjon om hva opplysningene brukes til. I Norge er det innført eget samtykkekrav for visse typer forskning jf. bioteknologiloven § 5-8. Som vi har diskutert ovenfor i kapittelet om tilgjengeliggjøring av opplysninger til forskning og annen sekundærbruk i kapittel 4.8, er det forhold som taler for økt selvbestemmelse jo lenger unna helsehjelpssituasjonen behandlingen av genomdataene er. Vi anbefaler derfor at det brede samtykke omfatter deling av genomdata også til andre land. Det kan vurderes om en slik bruk av genomdata skal skilles ut som en egen del av samtykket (eksempelvis egen avkrysningsrute) for å styrke den enkeltes selvbestemmelse.
1+ Million Genomes
I EU er det flere arbeider for å legge til rette for å dele data, også for helsedata. Et eksempel på dette er initiativet "1+ Million Genomes", hvor formålet er å arbeide sammen for et felles etisk, juridisk og teknisk rammeverk og en digital infrastruktur som kan gjøre minst én million sekvenserte genomer tilgjengelig for bruk i helsehjelp og forskning i Europa. Det legges blant annet opp til nasjonal lagring av genomdata. Norge har skrevet under en intensjonsavtale for å delta i dette samarbeidet, men har ikke tatt endelig stilling til deltakelse. Helsedirektoratet koordinerer Norges deltakelse i arbeidsgruppene.
Særlig om deling av opplysninger til land utenfor EU/EØS
For deling av genomdata utenfor EØS-området gjelder de alminnelige reglene om overføring av personopplysninger til tredjeland i personvernforordningens kapittel V, omtalt ovenfor. For tilgjengeliggjøring av opplysninger til tredjeland er det noen land som er godkjent av EU-kommisjonen. Det fremgår nærmere informasjon om disse landene på Datatilsynets nettsider[121]. EU har nylig vedtatt nye regler for overføring av personopplysninger til USA, som trådte i kraft i juli 2023[122].
Videre stiller artikkel 46 krav om overføringsgrunnlag for land som ikke har denne godkjenningen. Dette kan være såkalte SCC, BCR eller bindende avtaler mellom offentlige myndigheter eller organer. Det er gitt et unntak fra dette i artikkel 49 som kan komme til anvendelse i visse tilfeller. En mulighet for hvordan kliniske studier kan gjennomføres er beskrevet i artikkelen "Maximizing the GDPR potential for data transfers: First in Europe, i Lancet av Bentzen m.fl., utgitt i mars 2023.[123]
[115] "Overføring" er ikke definert i personvernforordningen. Det europeiske personvernrådet (EDPB) har laget retningslinjer som utdyper hva som anses som en overføring. Ifølge retningslinjene må samtlige tre vilkår være oppfylt: 1) En behandlingsansvarlig eller databehandler er underlagt personvernforordningen for en bestemt behandling av personopplysninger, 2) Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren), 3) Dataimportøren er i et land utenfor EØS. Fjerntilgang regnes også som overføring i slike tilfeller. Kilde: Overføring av personopplysninger ut av EØS | Datatilsynet)
[116] For noen land har EU-kommisjonen fattet beslutning om at de har tilstrekkelig beskyttelsesnivå for personopplysninger (en såkalt adekvansbeslutning), jf. artikkel 45. Overføring til slike land kan skje uten et særskilt overføringsgrunnlag eller ytterligere vurderinger om beskyttelsesnivå. Tilsvarende gjelder hvis et av unntakene i personvernforordningen artikkel 49 får anvendelse.
[118] Les mer på Datatilsynets nettsider: Overføring av personopplysninger ut av EØS | Datatilsynet
[119] https://pvn.no/node/615
[120] Det finnes egne regler for utlevering av biologisk materiale til utlandet, jf. behandlingsbiobankloven § 10 og forskrift om overføring av biobankmateriale til utlandet. Deling av opplysninger fra register over genomdata vil ikke innebære utlevering av biologisk materiale.