Yttrande: Promemorian Långsiktig reglering av forskningsdatabaser

Promemorian innehåller det tredje lagförslaget för att reglera forskningsdatabaser, där de två tidigare lades fram av Registerforskningsutredningen 2014 och Forskningsdatautredningen 2018. Det långvariga arbetet med att lagreglera forskningsdatabaser visar dels på behovet av sådan reglering, dels på svårigheterna att få till en välfungerande reglering, särskilt mot bakgrund av en förändrad EU-rätt. Interimistiskt har en särskild lag stiftats för LifeGene, medan övriga forskningsdatabaser i huvudsak bedrivits i en mindre lämplig projektform.

Det senare gäller bland annat Svenska Tvillingregistret (STR), som på senare tid fått problem med att inhämta uppgifter från myndighetsregister på grund av bristen på laglig reglering av forskningsdatabaser som utgör underlag för andra forskningsprojekt snarare än att själva utgöra sammanhållna projekt. Både LifeGene och STR behandlas i detalj i den nu aktuella promemorian och tycks ha legat till grund för promemorians överväganden. Det finns emellertid ett stort antal andra forskningsdatabaser som också skulle behöva ingå i den nya särregleringen, vilket också promemorian är tydlig med. Till dessa hör SLOSH och LNU som är placerade vid Stockholms universitet och är del av den av Vetenskapsrådet finansierade infrastrukturen REWHARD. Även IMAS och STODS, som är placerade vid Karolinska institutet och likaledes ingår i REWHARD skulle eventuellt vara i behov av särreglering, men inkluderas inte i den föreslagna regleringen då de endast har data som bygger på information inhämtad från andra register.

Utredningen beaktar inte utvecklingen inom unionsrätten, som bl.a. kommer att innebära att vidareutnyttjande av ”forskningsdata” och ”särskilda känsliga kategorier av data” kommer att möjliggöras i allt större utsträckning. Detta regleras i dataförvaltningsakten, vilken innehåller regler om sekundäranvändning. Denna trädde i kraft i juli 2022 och kommer att börja tillämpas i september 2023. I denna förordning är uppbyggnaden av offentlig vidareutnyttjandestruktur också ett väsentligt inslag, i vilket det t.ex. ingår att bygga upp s.k. ”säkra behandlingsmiljöer” och gemensamma kontaktpunkter på nationell och EU-nivå (one-stop-shop). Dataförvaltningsakten sätter upp en generell ram som ska stödja uppbyggnaden och utvecklingen av europeiska dataområden, varav hälsodataområdet är ett. Ett förslag med specifik lagstiftning om ett europeiskt hälsodataområde lämnades av europeiska kommissionen i maj 2022, vilken har en liknande struktur som dataförvaltningsakten.

Även om forskningsorganisationer inte själva omfattas av dataförvaltningsakten, innebär det att forskningsorganisationer härigenom kan komma att få del av särskilda kategorier av data i form av t.ex. personuppgifter i tilltagande omfattning. Detta hade varit värdefullt om det hade ingått i bedömningen av behovet av forskningsdatabaser. Det är också rimligt att anta att detta på sikt kan komma att omfattas av den aktuella lagstiftningen.

Stockholms universitet uppmanar således regeringen att analysera det aktuella förslaget i ljuset av dataförvaltningsakten och förslaget till förordning om europeiskt hälsodataområde.

Stockholms universitet delar utredningens bedömning om värdet för forskningen att kunna utveckla och inrätta forskningsdatabaser som har till syfte att skapa ett underlag för framtida ännu inte definierade forskningsprojekt, s.k. prospektiva forskningsdatabaser. Detta är emellertid inte okomplicerat och kan kräva att komplicerade avvägningar mellan forskningens behov och enskildas rätt till privatliv.

Lagtekniska synpunkter

Konstruktionen med en ramlag med generell reglering och mer specifik reglering avseende de aktuella forskningsdatabaserna, t.ex. LifeGene i förordningsform skulle behöva analyseras ytterligare. I promemorian anges (avsnitt 4.3.3, s. 126) att 2 kap. 6 § regeringsformen (RF) inte skulle vara tilllämplig på den aktuella lagen eftersom den kommer att kräva medverkan från de enskilda och att dessa lämnar sitt samtycke till att ingå forskningsdatabasen. Stockholms universitet menar att denna fråga är något mer komplicerad.

För det första kan sådana databaser, direkt eller indirekt innehålla genetisk information, som omfattas av artikel 9 i allmänna dataskyddsförordningen, vilket innebär att även andra än den registrerade härigenom kan komma att bli indirekt registrerade eftersom de som delar gener med den registrerade, t.ex. barn till dessa personer på så vis kommer att ingå i databasen. Det framgår av EU-domstolens dom i mål C-184/20, OT, Vyriausioji tarnybinės etikos komisija, av den 1 augusti 2022 som avgjordes i stor kammare, att även indirekta personuppgifter om särskilda kategorier omfattas av skyddet i art. 9. Härvid måste en bedömning göras i förhållande till såväl proportionalitetsprincipen som principen om uppgiftsminimering i artikel 5 i allmänna dataskyddsförordningen.

Vidare kommer ett stort antal äldre personuppgifter som redan finns i de aktuella databaserna inte att omfattas av kraven på information och samtycke enligt de övergångsbestämmelser som föreslås. Med tanke på att betydande mängder uppgifter kan ha samlats in under lång tid framstår det inte som en rimlig tolkning av 2 kap. 6 § RF att sådana databaser regleras i förordningsform. LifeGene, t.ex. började i september 2009 och innehåller information från totalt 52 107 deltagare enligt information på organisationens hemsida.

Till detta kommer att grundlagsbestämmelser enligt svensk och europeisk rätt så långt möjligt ska tolkas till den enskildes fördel. Stockholms universitet menar därför att den tolkning som görs i promemorian av den aktuella grundlagsbestämmelsen bör utredas vidare.  

En ytterligare synpunkt är att den aktuella konstruktionen skulle kunna leda till ökade grader av komplexitet inom det redan svåröverskådliga regelkomplex som registerlagstiftningen utgör, dels genom att det skapas en ny och parallell process för godkännande av forskningsdatabaser och dels genom att samtycke som en skyddsåtgärd (och inte som rättslig grund) införs som krav vid forskning som inkluderar personuppgifter. Här ska noteras att det redan finns krav på samtycke enligt forskningsetiska principer vid insamling av personuppgifter. Kraven på respektive samtyckes innehåll har många likheter men är inte identiska och därmed riskerar komplexiteten för forskning på området att öka.

Utredningen har också sökt balansera dessa rättigheter och intressen genom att lämna förslag till en tämligen omfattande verksamhet med lämnande av samtycke, information och notifieringar. Om detta är görligt är en annan fråga. Ifall sådan verksamhet blir för komplicerad riskerar den att bli en hämsko för forskningen, som kan försvåra och rentav förhindra att för allmänheten angelägna forskningsprojekt utförs.

Lagens tillämpningsområde

Lagen föreslås avgränsas till att omfatta forskningsdatabaser där data insamlas och registreras genom frivillig medverkan av de registrerade (avsnitt 5.2.1, ss. 146ff.). Ett skäl för detta torde vara överväganden kring 2 kap 6§ RF, som förbjuder integritetskränkande kartläggning som den enskilde inte kan påverka. Att begränsa lagen till att omfatta endast personer som frivilligt medverkar anses då hindra att lagen strider mot den aktuella paragrafen i RF och begräsningen ska därför uppfattas som ett skydd av den personliga integriteten, inte som en laglig grund för bearbetning av persondata.

Ett annat skäl som anförs för att begränsa lagen till att omfatta endast forskningsdatabaser som (åtminstone delvis) bygger på uppgifter som samlas in genom frivillig medverkan är att det skulle vara onödigt, riskabelt och förtroendeskadligt att forskningsdatabaser helt eller delvis duplicerar data som finns i andra offentliga register. Detta är naturligtvis en aspekt som behöver övervägas, men Stockholms universitets bedömning är att denna begränsning är oproportionerlig vid en avvägning mellan det skydd som den innebär och den negativa påverkan en sådan avgränsning har på forskningen.

De uppgifter som finns i olika myndighetsregister kopplas ständigt ihop för olika ändamål, något som med tiden kan förväntas bli allt mer vanligt både genom den tekniska utvecklingen och genom att samverkan mellan myndigheter i allt högre grad uppmuntras av lagstiftaren. Många av dessa bearbetningar har syften som torde vara väsentlig mer integritetskränkande och potentiellt negativa för de individer som är föremål för behandlingen än vad samkörning för forskningsändamål är. Det kan exempelvis handla om att identifiera bidragsfuskare, gripa kriminella eller utgöra beslutsunderlag för myndighetsbeslut rörande den enskilde personen. Risk finns också att data kommer till annan illegitim användning, såsom att läckta data används för riktad marknadsföring eller spioneri från främmande makt. Den sammanhållna journalföring som nu införs innebär dessutom att ett mycket stort antal vårdanställda potentiellt kan ta reda på mycket känsliga uppgifter om namngivna enskilda människors hälsa, med eller utan deras medgivande, med eller utan stöd i lagen. I förhållande till detta är det svårt att se att det skulle innebära en väsentlig ökning av riskerna för den personliga integriteten att det vid universiteten förs forskningsdatabaser där pseudonymiserade mikrodata lagras för att användas i olika etikgodkända forskningsprojekt vilka endast bearbetar data i statistikprogram som redovisar resultat i aggregerad form (medelvärden, spridningsmått, sambandsmått etc.) där inga enskilda personer kan identifieras.

Det bör också påpekas att det redan sedan länge finns databaser som samlar känsliga sekundära personuppgifter. SCB:s LISA-databas (Longitudinell integrationsdatabas för Sjukförsäkrings- och Arbetsmarknadsstudier) är kanske det tydligaste exemplet på detta, då den delvis skulle kunna definieras just som en forskningsdatabas. Ett annat exempel är att riksdagen 1995 beslutade att nästa folk- och bostadsräkning skulle baseras helt på uppgifter i register, vilket innebar skapandet av just en sådan sekundär databas där medborgarna kartläggs tämligen detaljerat. De medicinska kvalitetsregistren är också sammanställningar av data som finns på annat håll, exempelvis i journaler, och förs för att utgöra underlag till olika, inte på förhand preciserade, undersökningar. Existensen av dessa databaser har inte ifrågasatts brett.

Sekundära databaser har väsentliga fördelar för forskningen, vilket inte framkommer i promemorian. Sådana forskningsdatabaser är, även om de endast baseras på data insamlade från olika myndigheters register, ingalunda enbart kopior av de ursprungliga databaserna. Erfarenhetsmässigt har de senare ofta väsentliga kvalitetsproblem och de data som där finns lagrade är i regel inte lämpade för forskning i obearbetad form. Att forskare har möjlighet att för sina forskningsprojekt använda data från specifika forskningsdatabaser innebär därmed att de snabbare och till väsentligt lägre kostnad kan få tillgång till kvalitetskontrollerade data som är bearbetade för att passa forskning inom fältet. Det kan exempelvis handla om olika summerande/klassificerande mått på sjukfrånvaro som skapats från register där posterna utgörs av detaljerad information om varje gång ett sjukfall initieras, förlängs, förändras eller avslutas. Tack vare att samma summamått kan användas i flera studier ökar jämförbarheten och därmed möjligheten att bygga vetenskaplig evidens. Existensen av forskningsdatabaser från vilka forskarna hämtar sina data underlättar också väsentligt för den som vill replikera studier eller undersöka anklagelser om forskningsfusk, något som blivit allt viktigare på senare tid.

Forskningsdatabaser av ovan beskrivet slag, vilkas existens skulle omöjliggöras eller väsentligt försvåras om den föreslagna lagstiftningen införs, är också i högsta grad i linje med den rörelse mot ”öppen vetenskap” som bland annat drivs av svenska och internationella forskningsfinansiärer och som anses bidra till effektivare, bättre och mer transparent forskning. Frågan om öppen vetenskap verkar dock helt ha ignorerats i promemorian.

Forskningsdatabaser utgörs dessutom inte sällan av en kombination av data som samlas in från forskningspersoner genom deras frivilliga medverkan och data som samlas in från befintliga forsknings- och myndighetsregister. I den mån det handlar om kompletterande uppgifter om de personer som medverkat frivilligt och vars insamlande ligger i linje med de forskningssyften som angivits för forskningspersonen så torde detta vara möjligt inom ramen för de forskningsdatabaser som den föreslagna lagen avser att reglera. Detta är dock inte den enda användningen av data från myndighetsregister som kan behövas i forskningsdatabaser som delvis baseras på insamling från frivilliga personer.

Behov av data även om personer som ej medverkar frivilligt

Ett väsentligt problem i forskning som baserar sig på frivillig medverkan är att valet att medverka inte är slumpmässigt och att det därigenom kan uppstå systematisk snedvridning av forskningens resultat då de personer som undersöks inte är representativa för den avsedda populationen. För att hantera detta tarvas bortfallsanalyser. En form av bortfallsanalys innebär att man jämför vissa karakteristika hos de medverkande med uppgifter om motsvarande karakteristika hos totalbefolkningen eller den avsedda delpopulationen. Mer avancerade analyser av komplexa bortfallsmekanismer underlättas emellertid om man har tillgång till data specifikt om dem som avböjer deltagande. Om promemorians förslag realiseras skulle sådana data dock inte få sparas längre än tills deltagarna kontaktats med förfrågan om deltagande, vilket skulle omöjliggöra sådana bortfallsanalyser.

De största problemen med att inte ha tillgång till data om personer som inte deltar uppstår emellertid i longitudinella studier där risken för bortfall över tid är relaterad till de studerade utfallen. Detta problem blir särskilt svårt om någon myndighet gör bedömningen att de personer som deltagit tidigare i undersökningen men inte i (alla eller den senaste) uppföljningen ska anses ha dragit tillbaka sin medverkan. Om risken för att inte orka, kunna eller vilja delta i senare uppföljningar är relaterad till hälsostatus vid tidpunkten för uppföljningen, vilket ofta är fallet, så kan en undersökning som enbart kan följa upp dem som fortsätter delta ge fullständigt felaktiga resultat gällande sambanden mellan tidiga exponeringar (exempelvis dålig arbetsmiljö) och senare hälsoutfall (exempelvis depression). Om de som inte fortsätter sin medverkan (utan att explicit begära att bli raderade ur forskningsdatabasen) istället kan följas upp med data från myndighetsregister (i detta fall t.ex. om utköp av antidepressiva läkemedel och sjukhusinläggning med depressionsdiagnos) så kan resultaten bli väsentligt mer korrekta. Den föreslagna lagstiftningen riskerar att de reglerade forskningsdatabaserna kommer att få problem av just det slag som beskrivits ovan, vilket kraftigt skulle begränsa deras vetenskapliga värde.

Förtroende för forskningsdatabaser

Det ur de potentiella forskningspersonernas synvinkel mest problematiska med forskningsdatabaser (liksom med annan datainsamling för forskning) torde främst vara oron och risken för att medverkan medför nackdelar för forskningspersonen själv eller för närstående till denne, alternativt att det som samlas in (enkätsvar, biologiska prover, resultat på tester etc.) används till radikalt andra ändamål än den forskning som forskningspersonen trott sig medverka till.

Den som besvarar en enkät, lämnar biologiska/genetiska prover, undersöks medicinskt eller deltar i ett experiment som syftar till forskning ska inte senare mot sin vilja behöva utsättas för riktad marknadsföring, nekas ett jobb, få högre livförsäkringspremie eller rentav gripas för bidragsfusk på basis av det han bidragit med till ett forskningsprojekt eller en forskningsdatabas. Inte heller ska svar som forskningspersonen avgivit senare komma upp i samtal med en kurator eller användas som argument i en vårdnadstvist. Här bör särskilt påpekas att det inte i första hand handlar om den verkliga risken att något sådant sker, utan snarare om de potentiella deltagarnas oro för att så skulle kunna ske.

Det lagförslag som promemorian föreslår hanterar en del av denna problematik genom att förskriva sekretess, vilket dock motverkas av att vissa sekretessbrytande regler förslås. Särskilt problematiskt är det att misstanke om brott som normalt leder till fängelse är en sådan sekretessbrytande faktor. Konkret innebär det att den som frivilligt lämnar uppgifter eller prover till forskning på basis av detta skulle kunna riskera bli dömd till fängelse. En person som inte är insatt i lagen kommer dessutom sannolikt att dra slutsatsen att uppgifter som till och med skulle kunna användas för att döma vederbörande till fängelse också kan användas på andra sätt som är till nackdel för deltagaren eller någon till denne närstående (även när så inte är fallet).

Här handlar det alltså inte om frivilligheten eller samtycket i sig, utan om att data som samlas in för forskning bör omfattas av sådan sekretess att den inte utan specifikt samtycke från den registrerade kan komma att användas för annat än (mer eller mindre avgränsad) forskning. Vetskapen att man på detta sätt skulle kunna riskera sin egen frihet torde knappast vara positiv för viljan att medverka, särskilt inte bland personer som är socialt utsatta och därmed kan vara särskilt intressanta att kunna studera vetenskapligt.

Ansvaret för forskningsdatabaser

Ansvaret bör enligt promemorian (avsnitt 5.2.2, ss. 149f.) vila på lärosätena, vilka befinns både besitta den kompetens som behövs och ha siktet inställt på den långsiktighet som krävs. Stockholms universitet instämmer delvis i detta. Positivt är att det härmed även förtydligas vilket lärosäte som är ansvarigt för arkivbildning och sekretesskydd.

En problematik är att oavsett om det finns rätt kompetens och rätt incitament till långsiktighet hos lärosätena, så kan kraven på att upprätthålla en hög grad informationssäkerhet innebära omfattande resurser som lärosätena inte har. Detta aktualiseras särskilt sedan det s.k. NIS 2-direktivet antagits, vilket ska vara implementerats i svensk rätt senast den 17 oktober 2024 och som ska börja tillämpas den 18 oktober 2024 (art. 41).  Tidigare har den offentliga förvaltningen och lärosätena inte omfattats av NIS-regleringen utan detta har endast gällt samhällskritiska tjänster. I och med det nya NIS 2-direktivet utvidgas tillämpningsområdet till att omfatta offentliga förvaltningsenheter både på statlig och regional nivå (art. 2 f). Detta kan även gälla utbildningsinstitut (art. 2.5 a).

Risken är därför att lärosäten av denna anledning avhålls från att bygga upp forskningsdatabaser av stort samhälleligt värde eller kan få svårigheter att driva dem. Detta gäller i synnerhet vad beträffar mindre lärosäten.

Att förlita sig på att detta enbart ska kunna lösas genom samverkan mellan olika lärosäten är inte helt hållbart. Det kan också innebära att lagen tillämpas olika beroende på om det är små och stora lärosäten.

Läckor beträffande hälsodata och andra särskilda kategorier av data som skulle kunna inträffa om säkerheten inte i tillräckligt hög grad kan upprätthållas för kan ha förödande konsekvenser för enskilda och för förtroendet för forskningen. Detta utgör särskilt den s.k. Vaastamo-läckan i Finland 2020–2021 ett varnande exempel på. Med tanke på det rådande geopolitiska läget kan det också finnas ”threat actors” med många skilda motiv.

Mot bakgrund av det anförda finner Stockholms universitet att förslaget i denna del kräver en närmare analys, varför det inte kan tillstrykas utan att så har skett. I det här avseendet kan det, likt vad som föreslås i SOU 2021:65, ett ansvar samlas i en myndighet, som har ett övergripande ansvar för detta och de resurser som krävs.

Reglering av tillämpningsområdet

Stockholms universitetet ställer sig tveksamt till promemorians förslag (avsnitt 5.2.3, s. 150) att regeringen ska reglera vilka databaser som får föras enligt den nya lagen. Att överlämna avgörandet till en politiskt ledd organisation riskerar direkt eller indirekt leda till ökad politisk styrning av forskningen med en minskad akademisk frihet som följd. Då regeringen är det högsta nationella organet innebär en sådan ordning vidare att det, i motsats till den svenska förvaltningstraditionen, inte finns någon högre instans att överklaga till. Vidare kan det ifrågasättas om Regeringskansliet har tillgång till vetenskaplig kompetens med den bredd som krävs för att rätt bedöma behovet av en forskningsdatabas.

Dessutom skapas genom förslaget parallella processer för reglering av området då forskningsprojekten som ska använda databaserna som tidigare kommer att etikprövas av Etikprövningsmyndigheten (EPM) vilket riskerar att en redan komplicerad process kompliceras ytterligare.

Ett alternativ till att låta regeringen avgöra skulle vara att lägga även den här aspekten av frågan på Etikprövningsmyndigheten, med möjlighet att överklaga till Överklagandenämnden för etikprövning (ÖNEP), eller möjligen på ÖNEP med möjlighet att överklaga till regeringen. Mot en sådan ordning anför promemorian att det är svårt att i enlighet med etikprövningslagen bedöma balansen mellan risken med databasen och nyttan med den forskning som ska bedrivas med hjälp av forskningsdatabasen då forskningen inte är detaljspecificerad. Detta är korrekt, men samma svårighet möter även Regeringskansliet, som inte har samma breda kompetens och erfarenhet som EPM när det gäller att bedöma etiska aspekter på forskning. Ett bättre alternativ till att lägga bedömningen på regeringen skulle alltså kunna vara att anpassa etikprövningslagen så att den även möjliggör prövning av upprättande av forskningsdatabaser.

Att det på senare tid framkommit kritik i forskningssamhället mot etikprövningsprocessen, inte minst mot överklagandefunktionen, anser inte Stockholms universitet vara ett argument mot att lägga prövningen av forskningsdatabaser på EPM. Om brister förekommer så ska dessa åtgärdas, snarare än att alternativa och mindre optimala lösningar skrivs in i lag.

En relaterad aspekt rör frågan om flera forskningsdatabaser kan få etableras inom ett och samma forskningsområde. Stockholms universitet uppfattar att möjligheterna till detta kommer att vara begränsade enligt förslaget. Samtidigt menar universitetet att det kan finnas behov av olika typer av uppgifter, strukturerade på olika sätt, och så vidare, inom ett och samma forskningsfält. Det är forskarsamhället som är bäst skickat att bedöma vilken eller vilka databaser som kan möta de vetenskapliga behoven i sådana sammanhang.

Ändamål

Stockholms universitet instämmer i att forskningsdatabasernas övergripande ändamål ska vara att skapa underlag för flera framtida forskningsprojekt inom för forskningsdatabasen angivna forskningsområden. Dock ifrågasätter universitetet avgränsningen som görs med stöd av den s.k. restkompetensen som innebär att tvärvetenskapliga forskningsprojekt och forskningsprojekt från andra forskningsområden inte kommer att kunna få data utlämnad från forskningsdatabaser. Detta synsätt är inte förenligt med målsättningarna med ”öppen vetenskap”.

Att genomföra en lämplig ändamålsbegränsning för forskningsdatabaser framstår som en utmaning. Icke desto mindre torde det faktum att godkännande av Etikprövningsmyndigheten krävs för forskningsprojekt som ska nyttja databaserna innebära att en praxis i det här avseende kommer att utvecklas. Vad som också särskilt måste säkerställas är att uppföljning och kontroll av att ändamålet följs. Tillsynsmyndigheterna bör därför ges särskilda resurser för att kunna utföra detta.

Stockholms universitet håller med om att begreppet ”skapa underlag” ska avse olika former av behandlingar som krävs för att kunna föra en fungerande forskningsdatabas, såsom att samla in, registrera, bevara och uppdatera personuppgifter i databasen. Universitetet ser även positivt på att personuppgifter i en forskningsdatabas även ska kunna bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål även efter det att de av någon anledning inte längre behövs som underlag för framtida forskningsprojekt.

I utredningen anges olika sekundära ändamål för behandlande av personuppgifter. Ett av dem är granskningen av den forskning som skett med hjälp av uppgifter som lämnats ut från forskningsdatabasen enligt lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning. Enligt 8 § i denna lag får prövning av oredlighet i forskning inte grundas på omständigheter som är äldre än tio år när ärendet inleds. Särskilda skäl kan medföra att prövningen kan göras på händelser som är ännu äldre. Stockholms universitet önskar ett förtydligande över hur denna bestämmelse ska kunna samordnas med vad som anges i 2 kap. 8 § första stycket om att den registrerade när som helst kan avbryta sin medverkan helt eller delvis samt begära att registrerade uppgifter raderas.

Integritetsskydd

I promemorian (avsnitt 5.9.3, ss. 191f.) anges att dokumentation av elektronisk åtkomst, dvs. automatisk loggning av varje åtkomst eller åtgärd, ska tillämpas för all tillgång av data även internt hos det registerförande lärosätet och av dem som administrerar forskningsdatabasen. Detta är inte praktiskt genomförbart med de tekniska verktyg som idag används för datahantering hos forskare och skulle kunna framtvinga mycket kostsamma lösningar som i praktiken omöjliggör uppbyggande och fortsatt drift av viktiga forskningsdatabaser. Strikt begränsning av den krets som har tillgång till data i kombination med strikta rutiner för dokumentation av den behandling som sker borde kunna ge tillräckligt skydd i de flesta fall.

Avseende rättelse och radering (avsnitt 5.10, ss. 192ff., avsnitt 5.11, ss. 194ff.) anger promemorian att något undantag från rättelse respektive ovillkorlig radering av uppgifter på begäran av den registrerade inte är aktuellt, trots att sådana kan medges enligt Dataskyddsförordningen. Självklart ligger det i forskningens intresse att de uppgifter som lagras och bearbetas är så korrekta som möjligt. Det innebär emellertid också ett problem i forskningen om data är föränderliga, då resultat med tiden kan komma att ändras. Särskilt problematiskt skulle det vara om det vid utredning om forskningsfusk inte skulle gå att återskapa de data som använts av den granskade forskaren, eftersom det då skulle kunna bli omöjligt att avgöra om fusk eller oegentlighet förekommit.

Även mycket små och få ändringar i en databas kan göra att resultat inte kan reproduceras till fullo. Det är inte heller otänkbart att t.ex. negativ medial uppmärksamhet skulle kunna göra att många personer drar tillbaka sin medverkan samtidigt, vilket är fullständigt legitimt och ska respekteras, men som skulle kunna få förödande konsekvenser för möjligheterna att replikera resultat och utreda forskningsfusk.

Det är också mycket svårt av praktiska skäl att ändra i alla data som vid varje tillfälle används i olika forskningsprojekt, och då tvinga forskare att göra om ibland mycket tidskrävande analyser för minimala förändringar i data. Av dessa anledningar bör forskningsdatabaser få undantag från skyldigheten att på den registrerades uppmaning radera eller ändra data i så mån att äldre utlämnade versioner av data ska kunna fortsätta användas under begränsad tid samt sparas eller arkiveras för kontroll av misstanke om forskningsfusk. Framåtriktat kan däremot radering och korrigering ske på begäran av de registrerade under förutsättning att de fortfarande är identifierbara.

I den mån forskningsdatabasen enbart innehåller pseudonymiserade data skulle radering och rättning av data kräva att den som för forskningsdatabasen får ut identifierande information från den myndighet som förvaltar kodnyckeln, vilket innebär en ökad risk för integritetsintrång som den registrerade knappast heller kan antas vara medveten om. Därför bör pseudonymiserade data i forskningsdatabaser vara undantagna från krav på radering och rättning.

Stockholms universitet tillstyrker i princip förslaget att de registrerade ska säkerställas insyn och kontroll i forskningsdatabaserna (avsnitt 5.14.3, ss. 216f., avsnitt 5.15, ss. 217f.), med reservation för de teknisk-administrativa svårigheter som behöver hanteras. Det är positivt om de enskilda kan ges direktåtkomst till sina uppgifter i forskningsdatabasen samt får information om hur dessa används. På så vis kan ett förtroende och en kommunikation etableras mellan de registrerade och de personuppgiftsansvariga på ett hållbart sätt. Detta ligger också väl i linjen med innebörden av begreppet ”dataaltruism” som förekommer i såväl dataförvaltningsakten som förslaget till en förordning om ett europeiskt hälsodataområde.

Möjligheten till opt-out fyller en mycket viktig funktion i denna relation. Den kan också fungera som en viktig motvikt och skapa tydliga incitament till de som driver forskningsdatabaserna till regelefterlevnad och hög informationssäkerhet.

Likaså förordar Stockholms universitet att barn som registrerats på grund av vårdnadshavarens samtycke ska få möjlighet att själv samtycka så snart han eller hon blivit myndig.

Arkivering och gallring

Stockholms universitet tillstyrker att arkivlagstiftningens principer om bevarande är utgångspunkten för uppgifter i en forskningsdatabas men att regeringen kan meddela föreskrifter om gallring av personuppgifter som inte längre behövs för att kunna lämnas ut till forskningsprojekt (avsnitt 5.17, s. 220). Universitet menar emellertid att det även ska framgå vem som kan fatta ett sådant beslut och att beslutet ska dokumenteras.

Stockholms universitet tillstyrker förslaget om upphävande (avsnitt 7.4, s. 243) då registret synes helt sakna betydelse för forskningen. Likväl ska påpekas att det som framkommit snarare verkar vara att Rättsmedicinalverket inte hade möjlighet att utveckla registret på det sätt som skulle behövas för att göra det användbart. Behovet av ett register för att stärka forskningen på detta viktiga område bör därför vara föremål för fortsatt utredning.

Stockholms universitet tillstyrker förslaget (avsnitt 8.3, s. 263) om att undantaget i statistiksekretessen i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400) ska omfatta uppgift som behövs för forsknings- eller statistikändamål enligt den föreslagna lagen om forskningsdatabaser. Universitetet vill dock påtala att det föreligger en särskild skyldighet att hålla forskningsdatabaserna uppdaterade, så att kvaliteten kan upprätthållas.

Stockholms universitet tillstyrker regleringen avseende tystnadsplikt hos forskningshuvudmän (avsnitt 8.2, s. 261) och har inget ytterligare att tillägga i denna del.

Detta beslut är fattat 2023-03-23 av rektor, professor Astrid Söderbergh Widding, i närvaro av prorektor, professor Clas Hättestrand, och universitetsdirektör Åsa Borin. Övrig närvarande har varit Henrik Lindell Kennberg, Ledningssekretariatet (protokollförare). Ärendet har beretts vid Områdesnämnden för humanvetenskap, Områdesnämnden för naturvetenskap, Universitetsbiblioteket och Avdelningen för forsknings- och samverkansstöd. Studeranderepresentanter har informerats och haft tillfälle att yttra sig. Föredragande i ärendet har varit utbildningsledare Rikard Skårfors.