Kapittel 4.14Vurderinger av personvernkonsekvenser

Innledning

Etablering av et genomsenter med tilhørende registerløsninger har til hensikt å legge til rette for behandling av genomdata i større utstrekning enn i dag. Som beskrevet ovenfor og i vedlegg 2 er dette en forutsetning for å kunne få bedre kunnskapsgrunnlag for persontilpasset medisin og dermed bedre helsehjelp til den enkelte.  

Tillit til helsetjenesten og likeverdige helsetjenester er to hensyn som veier tungt. For at disse skal kunne ivaretas er vi avhengig av å tilrettelegge for utvikling og samtidig ivareta den enkeltes integritet og autonomi. Det er derfor viktig å sikre at behandling av helseopplysninger gjøres på en måte som skaper og opprettholder denne tilliten. Det kan blant annet være ved å sikre åpenhet om hvordan opplysninger behandles. Helsetjenestene som ytes og behandlingen av helseopplysninger må samsvare med forventningene som innbyggerne har. I helselovgivningen har vi regulering av taushetsplikt, krav til rettslig grunnlag ved behandling av opplysninger, formålsbegrensning og krav til datakvalitet. Reglene skal verne om innbyggernes integritet og autonomi, og bidrar til å sikre tilliten. Det er spesielt viktig i helsetjenestene fordi den er av stor betydning for den enkelte og en skal være trygg på at ens egne opplysninger ikke kommer uvedkommende i hende.

Gjeldende rett

Den europeiske menneskerettskonvensjon artikkel 8 og den norske Grunnloven § 102 slår fast at personvern er en menneskerettighet. Alle har rett til respekt for privatliv og familieliv, sitt hjem og sin kommunikasjon. Staten skal sikre et vern om den personlige integritet. Retten til liv følger av Grunnloven § 93. Retten innebærer en plikt for myndighetene til å respektere den enkeltes rett til liv, det vil si at myndighetene i utgangspunktet ikke kan ta liv, og til å beskytte den enkelte mot at andre tar deres liv. Retten til best mulig helse, trygge arbeidsforhold og sosial sikkerhet kan også leses i sammenheng med retten til liv.

Behandling av helseopplysninger er et inngrep i den registrertes integritet og i retten til privatliv. Behandling av opplysningene kan bare skje når det er i samsvar med loven og det er nødvendig i et demokratisk samfunn, for eksempel for å beskytte helse. Det må også finnes lover som regulerer innsamling, forvaltning og spredning av personopplysninger. Det stilles krav om klar lovhjemmel og proporsjonalitet (forholdsmessighet). Videre skal rettssikkerhetskrav tilgodeses, inkludert kravet til presisjon i bestemmelsen slik at inngrepet er forutsigbart.

Personvernforordningen pålegger dataansvarlig en plikt til å rådføre seg med Datatilsynet dersom det tas sikte på å settes i gang en behandling av personopplysninger som medfører høy risiko for de registrertes personvern, jf. artikkel 36 nr. 1. En lignende særskilt plikt til å rådføre seg med tilsynsmyndigheten gjelder for medlemsstatene ved utarbeidelse av forslag til lovgivning[136].

Den risikobaserte tilnærmingen får også anvendelse i forbindelse med lovgivningsprosesser, herunder prosesser som innebærer utarbeidelse av nye eller endring av eksisterende forskrifter. For å avgjøre om en ny lov eller forskrift innebærer en høy risiko for personvernet, må det nødvendigvis gjennomføres en risikovurdering[137]. Personvernforordningen innebærer ikke krav til fravær av risiko, men krever at den dataansvarlige skjønnsmessig bedømmer hva som er akseptabel risiko. Det betyr blant annet at jo større og mer alvorlige mulighetene for krenkelse av personvernet er, desto mer må den dataansvarlige gjøre for å redusere sannsynligheten for og følgene av at det uønskede skjer. Den dataansvarlige skal iverksette tiltak som er nødvendige for at risikoen skal bli akseptabel. Tiltakene kan for eksempel være tekniske, organisatoriske, juridiske, pedagogiske eller økonomiske. Ethvert tiltak som kan være virksomt og hensiktsmessig skal vurderes. Risikovurderinger står også sentralt i kravet til å bygge personvernprinsippene inn i teknologi og organisering, for eksempel krav om innebygd personvern. EDPB har utgitt en veileder om hvordan personvernkonsekvens-vurderinger kan gjennomføres[138].

Vurdering av etiske prinsipper

Vi viser til drøftingene om selvbestemmelse, konfidensialitet og informasjonssikkerhet i den fullstendige utredningen om etiske problemstillinger som er gjengitt i vedlegg 5 til utredningen.  

Vurdering og anbefaling

Mulighetene for bruk av genomdata som del av helsehjelpen utvikler seg og brer om seg i flere deler av helsetjenestene. I takt med at genomundersøkelser tas i bruk i større grad vil også antallet personer som har fått sitt genom sekvensert øke. Ved å etablere et genomsenter med registerløsninger legges det til rette for økt bruk av genomdata. Økt bruk vil naturlig nok medføre at genomdata deles med flere aktører, noe som kan oppleves inngripende for den opplysningene tilhører. For å legge til rette for medisinsk utvikling og samtidig ivareta den enkeltes personvern ser vi det som nødvendig med et tydelig rettslig grunnlag og rammer for lagring og tilgang til opplysningene. Dette vil også sikre demokratisk forankring av tiltaket.

Vi har i dag regler som legger godt til rette for bruk av helseopplysninger, men vi har likevel sett at det er behov for enkelte tilpasninger i regelverket for genomdata. Økt behov for genomundersøkelser og tilhørende bruk av genomdata tilsier at regelverket bør tilpasses for å gi et tydelig rammeverk. Tydelige regler forhindrer tolkningstvil og gir sikkerhet for helsepersonell, pasienter og befolkningen om hvilke regler som gjelder. Det vil også legge til rette for at genomdata kan lagres og tilgjengeliggjøres for helsehjelp både til pasienten selv og andre pasienter, inkludert kvalitetssikring av helsehjelpen til den enkelte og på gruppenivå, og til sekundærbruk som forskning og helseanalyser. Økt bruk av genomdata vil gi mulighet til å ta i bruk ny teknologi og mulighetene dette gir oss, og kunne sikre tilstrekkelig kunnskapsgrunnlag for videre utvikling av helsetjenestene innenfor forutsigbare rammer.

Som nevnt tidligere har genomdata noen spesielle særtrekk. Genomdata skiller seg fra andre helseopplysninger ved at de kan inneholde opplysninger om risiko for sykdom (prediktive opplysninger) og/eller opplysninger som har betydning for slektningers helsetilstand. Ulike deler av genomdata, som tolkede varianter eller enkelte genetiske opplysninger har ulik grad av identifiserende elementer.

Vi har her beskrevet en løsning for genomregister som kan benyttes både til helsehjelp og sekundærbruk. En slik løsning skiller seg fra de mer tradisjonelle løsningene hvor helseopplysninger inngår i behandlingsrettet helseregister for helsehjelp og andre typer helseregistre for sekundærbruk av opplysningene. Størrelsen på genomdata taler for at denne typen data kun bør lagres ett sted. Det vil derfor nødvendig at den tekniske løsningen kan brukes for ulike typer data slik at både sikkerhetsnivået er tilpasset og egnet for risiko som de aktuelle opplysningene inneholder. Den tekniske løsningen må også legge opp til innebygget personvern, blant annet slik til at riktig type genetisk informasjon er tilgjengelig for det aktuelle formålet.

Personvernforordningen stiller krav til åpenhet om hvordan data behandles. For å ivareta pasienter og befolkningens tillit er det derfor avgjørende at data behandles forutsigbart og transparent, og at dette ivaretas gjennom informasjon både på befolkningsnivå og til pasienter, forskningsdeltakere osv. Av hensyn til genomdataene særtrekk anbefaler vi at det gis større grad av selvbestemmelse, i form av skriftlig samtykke og informasjon, for genomdata sammenlignet med andre helsedata. Vi anbefaler at samtykkereglene for genomundersøkelse i helsetjenesten harmoniseres uavhengig av formål med undersøkelsen, jf. bioteknologiloven kapittel 5, og at informasjonsplikten tydeliggjøres. Kravet til åpenhet tilsier også at det bør legges opp til en involverende og transparent prosess i forbindelse med etablering av både genomsenteret og genomregisteret[139]. Vi anbefaler at for sekundærbruk av opplysningene bør bredt samtykke med jevnlig tilgang til tilstrekkelig og oppdatert informasjon benyttes. Dette vil gi den enkelte selvbestemmelse til ikke å dele opplysninger til denne typen formål. Bruk av bredt samtykke vil samtidig legge til rette for bruk av opplysninger til sekundærformål ved at det ikke er nødvendig å innhente samtykke til hvert enkelt prosjekt.

Informasjon og åpenhet vil innby til tillit. Dersom dette ikke ivaretas vil det i verste fall kunne medføre en såkalt nedkjølingseffekt, det vil si at befolkningen endrer atferd som følge av usikkerhet omkring hva dataene brukes til og generell mistillit. Konkret for genomdata vil det si at pasienter eller forskningsdeltakere ikke vil ønske å gjennomføre genomundersøkelse av frykt for at genomdata behandles på en måte de ikke kjenner til. Det vil kunne få store konsekvenser for helsehjelpen til den enkelte og kunnskapsgrunnlaget for helsehjelpen på lengre sikt.

Vi anbefaler at dataansvaret fortrinnsvis plasseres hos én dataansvarlig for at ansvaret for genomdatene skal ha tydelig plassering. Et helhetlig ansvar for opplysningene hos en dataansvarlig med fagkunnskap om dataene, vil danne grunnlag for at de grunnleggende prinsippene som følger av personvernforordningen om dataminimering, riktighet, lagringsbegrensning, og integritet og konfidensialitet kan ivaretas på en god måte. Vi anbefaler en teknologinøytral løsning slik at den dataansvarlige kan vurdere og bestemme hvilke løsninger som best mulig ivaretar personvernet, inkludert informasjonssikkerhet. Det vil også legge til rette for at nye tekniske løsninger kan tas i bruk etter hvert som det er mulig.

Genomdata kan være interessante å bruke for mange formål. Det kan være av stor betydning å bruke genomdata til å identifisere enkeltpersoner og erfaringer fra slike situasjoner har vist at det oppstår vanskelige spørsmål og dilemmaer. Bruk utenfor det fastsatte formålet omtales som regel som formålsutglidning og kan svekke forutsigbarheten og tilliten til denne typen registre. Vi anbefaler derfor at det oppstilles klare begrensninger for hva opplysningene kan brukes til. Vi anbefaler at de samme begrensningene som gjelder for andre helseopplysninger fra helseregistre jf. helseregisterloven § 19 d også bør gjelder for genomregisteret. Det er forbud mot at påtalemyndigheten eller arbeidsgivere kan få tilgang til opplysninger eller at opplysninger brukes i forsikringsøyemed. Forbudet gjelder selv om den registrerte samtykker.

I land som har styresett som ikke ligner på det vi har i Norge, finnes det eksempler på misbruk av genetiske opplysninger til blant annet diskriminering av innbyggerne. Det kan hevdes en bekymring for at myndighetene selv vil kunne misbruke genomdata til eksempelvis sortering av befolkningsgrupper og kartlegging av familierelasjoner. Dette er et utenkelig scenario i Norge i dag. Denne typen «interne» trusler, som vil innebære en ekstrem form for formålsutglidning i forhold til formålene vi her skisserer, vil i så fall neppe oppstå «over natten». Den dataansvarlige plikter å gjennomføre løpende risikovurderinger og bekymringsfulle endringer i det politiske landskapet vil da være relevante momenter i en løpende vurdering.

I forbindelse med videre regelverksarbeid og når utredningene av de organisatoriske og tekniske sidene av genomsenteret og registeret har kommet noe videre, vil det være en fordel å se nærmere på personvernkonsekvensene for ytterligere vurdering og utvikling av løsningene[140]. Gjennomføring av en vurdering av personvernkonsekvenser (DPIA) er som utgangspunkt lagt til den dataansvarlige.