Cecilia Magnus Sjöberg, professor i rättsinformatik. Foto: Niklas Björling
Cecilia Magnus Sjöberg, professor i rättsinformatik. Foto: Niklas Björling

 

På skrivbordet ligger ett tjockt litet häfte fullt med orangea plastgem, som markerar viktiga ställen i texten. Sidorna är fulla med finstilta rader, både på svenska och engelska.

— Jag har aldrig varit med om maken till vad en rättslig reform för med sig, säger Cecilia Magnusson Sjöberg, professor i rättsinformatik. Det är hon som utreder de nya reglerna för hantering av personuppgifter som används i forskning.

Den första delen i Cecilia Magnusson Sjöbergs utredningsarbete är redan klart, och handlar om att göra det möjligt för det svenska forskarsamhället att hantera och följa EU:s dataskyddsförordning. En förordning är en EU-lag som gäller över medlemsländernas nationella lagstiftning. Den blir tillämplig från och med maj nästa år. Utredningen görs på uppdrag av regeringen, och minister Helene Hellmark Knutsson fick första betänkandet i somras.

Hör juridikprofessor Cecilia Magnus Sjöberg berätta om det nya regelverket för personuppgifter.

Förslag om kompletterande forskningsdatalag

En stor skillnad för lärosäten och forskare är att det utöver samtycke håller på att utvecklas ett annat sätt för forskare att få använda personuppgifter. Cecilia Magnusson Sjöbergs utredning föreslår nämligen en kompletterande forskningsdatalag, som ger en rättslig grund för att forskning av allmänt intresse ger rätt att behandla vissa personuppgifter.

— All forskning som bedrivs vid Stockholms universitet antas vara av allmänt intresse. Men det behöver fortfarande vara nödvändigt att använda just personuppgifter i forskningen för att man ska få lov att göra det, och användningen måste vara proportionerlig. Och om en forskare vill använda känsliga personuppgifter behövs fortfarande en etikprövning, säger Cecilia Magnusson Sjöberg. 

— Det finns en del svårigheter med samtycke. Ett samtycke ska ges frivilligt, men kan man veta att det verkligen är så? Om det till exempel, som här på universitetet är studenterna på en institution som vars uppgifter registreras i ett forskningsprojekt?

Lättare att få ut uppgifter

Å ena sidan kommer nya alternativ till samtycke, å andra sidan skärps kraven på hur de registrerade ska informeras om forskningsprojektet, och hur personuppgifterna hanteras. Mer information ska lämnas vid fler tillfällen, och det ska bli lättare för de registrerade att få ut uppgifterna om sig själva, också i digital form. Det kommer också att vara möjligt för den enskilde att säga nej från början, eller att senare dra sig ur forskningsprojektet.

Att få EU-förordningen att fungera i Sverige är en utmaning, med tanke på hur omfattande förordningen är och hur många bestämmelser den består av. Texten i häftet med alla orangea gem är också ett resultat av förhandlingar, säger Cecilia Magnusson Sjöberg, och är därför ibland svår att tolka och till och med motsägelsefull.

Allvarliga konsekvenser av att inte följa regler

Konsekvenserna av att inte följa reglerna kan bli enorma. Sanktionsavgifterna kan bli 20 miljoner euro, alltså 190 miljoner kronor. Dessutom innebär det sannolikt ett stopp för själva forskningsprojektet. Och för Stockholms universitet, med alla sina olika professioner och sin decentraliserade struktur, kommer den stora utmaningen att bli att lyckas utbilda alla, och att hitta ett lämpligt förhållningssätt till den stora mängden regler.

— Jag ser framväxten av en ny profession framför mig. Precis som vi behöver revisorer och internrevisorer kommer vi att behöva specialister som arbetar med hantering av personuppgifter. Nu är det inte bara ekonomin som ska skötas korrekt, utan också databehandlingen, säger Cecilia Magnusson Sjöberg.

Samtycke krävs av deltagare

Uppdraget att utreda forskares hantering av personuppgifter går nu in i nästa steg.  I EU:s förordning måste personuppgifter användas för ett specifikt ändamål, men regeringen och riksdagen vill göra det möjligt att bygga upp stora generella forskningsdatabaser. Just nu byggs databasen ”LifeGene” upp av sju svenska lärosäten, genom att samla in flera hundra tusen frivilliga som delar med sig av data kring sin hälsa, i en av de största medicinska forskningssatsningarna i Sverige någonsin. Men för att vara med som deltagare i Lifegene krävs samtycke, vilket innebär både att deltagaren informeras om forskningen och sedan uttryckligen samtycker till att delta. Annars är lagrandet av personuppgifter olagligt. Nästa steg i Cecilia Magnusson Sjöbergs utredningsarbete blir att lägga en rättslig grund för forskning med stora generella databaser.

— Det är en forskningspolitisk vilja att vidga möjligheten att använda stora databaser, så det inte längre behöver gälla avgränsade projekt. Sverige har unika förutsättningar att bedriva registerforskning, med en ganska liten befolkning med personnummer.

Fakta om EU:s dataskyddsförordning och nationellt lagstiftningsarbete

De viktigaste förändringarna med EU:s nya dataskyddsförordning:
- skyddsnivån för personuppgifter höjs generellt 
- informationsskyldigheten till registrerade utvidgas
- högre krav på IT-infrastrukturen säkerhetsmässigt
- lärosäten som är myndigheter måste överväga särskilt om samtycke kan utgöra en rättslig grund genom att uppfylla bland annat krav på frivillighet och ändamålsbestämning
- Forskningsdatautredningen har lämnat förslag till en forskningsdatalag som främjar användning av personuppgifter för forskningsändamål.

Läs även om hur Stockholms universitet arbetar med informationen kring de nya reglerna för personuppgiftsbehandling.

Läs även temasidorna (sid 18-21) om forskningsdata i Universitetsnytt 4 2017.