Forskere har nem adgang til borgernes data her i landet. Ikke mindst, hvis det handler om sundhed.
I Danmark har vi en meget ‘forskningsliberal’ lovgivning, forstået på den måde, at man som forsker kan få adgang til data, der er indsamlet til andre formål end forskning, til forskningsprojekter af væsentlig samfundsmæssig betydning.
Det er der nemlig direkte hjemmel til i databeskyttelsesloven, fortæller Mette Hartlev, som er professor ved det juridiske fakultet og centerleder på Københavns Universitet.
»Generelt er der ret let adgang til data for forskere. Jeg har selv haft adgang til klagesager i Sundhedsvæsenets Disciplinærnævn for at se, hvordan sundhedsvæsenet overholder regler om tavshedspligt og videregivelse af oplysninger.«

Hun benyttede i sin tid dette personhenførbare materiale som grundlag for sin doktordisputats.
»Når jeg spørger forskere: Nævn mig lande, hvor der nemmere adgang til data end Danmark, så er det meget sjældent, jeg får et konkret bud. Jeg har engang hørt Taiwan og Korea nævnt. Det er lidt svært at lave den sammenligning, men jeg er ret overbevist om, at vi absolut ligger i den liberale ende.«
Men der er ikke fri leg med data, blot fordi man er forsker.
»Jeg har tavshedspålæg og må selvfølgelig ikke videregive oplysninger. Generelt må de data, der udleveres til forskning, ikke bruges til andre formål. De data, der kommer frem, må for eksempel ikke overdrages til skattemyndigheder eller sociale myndigheder.«
Hvis en forsker har behov for at kigge på sammenhængen mellem eksempelvis forholdet med forældres sociale ydelser og hvordan eleverne klarer sig i skolen, så kan man få adgang til det. Dem, der er ansvarlige for de pågældende data, skal så vurdere, om der er tale om ‘forskning af væsentlig samfundsmæssig betydning.’
Registerforskning kræver kun en ansøgning
Der gælder dog det særlige inden for sundhedsvæsenet, at man har en bestemmelse i Sundhedslovens § 46, som også fandtes tilsvarende i tidligere lovgivning.
Paragraffen siger, at hvis man skal have data fra en patientjournal eller lignende og projektet ikke i forvejen er godkendt af en videnskabsetisk komité, skal man have tilladelse fra Styrelsen for Patientsikkerhed. Tidligere, før GDPR, skulle mange forskningsprojekter anmeldes til Datatilsynet.
I dag kommer de videnskabsetiske komiteer kommer først ind i billedet, hvis der eksempelvis forskes på vævsprøver.
Mette Hartlev har flere kasketter på hovedet - som ekspert i sundhedsjura, som forsker, der kigger på persondata, og som chef for dem, der vurderer, om et sundhedsfagligt forskningsprojekt skal velsignes:
»Jeg er formand for National Videnskabsetisk Komite, hvor vi godkender forskningsprojekter indenfor det sundhedsfaglige område. Vi ser på projekternes kvalitet og komiteen er sammensat af eksperter med forskellige relevant faglig baggrund, som kan vurdere sagerne.«
Sundhedslovens § 46 stk. 1 siger, at hvis der er givet tilladelse i en videnskabsetisk komite, så kan man umiddelbart udlevere data, for der er der allerede foretaget en vurdering.
De ‘rene’ databaserede forskningsprojekter med persondata skal derimod ikke igennem de videnskabsetiske komiteer.
»Oprindeligt skulle registerdata-baseret forskning også godkendes af videnskabsetiske komiteer. Men man fandt ud af, at der sjældent var problemer med disse projekter og tog dem derfor ud af loven for en del år siden.«
Ingen åben ladeport
Hvis jeg er forsker, skal der altså ikke mere til end at skrive til Danmarks Statistik eller Sundhedsdatastyrelsen, og så får jeg adgang til data?
»Ja – i princippet. Men det betyder ikke, at det er en åben ladeport, hvor forskerne selv kan sidde og kigge i databaserne. Ofte foregår det således, at forskerne bestiller et datasæt og det genereres af for eksempel Danmarks Statistik, uden at forskeren selv har adgang til cpr-nummer eller lignende.«
Er det ikke en meget blind tillid til forskerne?
»Jo, men hvis du skal have yderligere data, såsom fra patientjournaler, skal du have tilladelse fra Styrelsen for Patientsikkerhed.«
Det er ikke efter loven et ultimativt krav at disse data er pseudonymiseret. Men ifølge Databeskyttelsesloven skal de så vidt muligt pseudonymiseres.
»Der er en række krav til datasikkerheden, for eksempel privatlivsbeskyttende tekniske mekanismer, som har til formål at tilgodese de privatlivshensyn, der er på færde her.«
Skal vi som borgere have tillid til jer forskere?
»Jeg har ikke nogen erindring om sager, hvor der er kommet data ud fra forskningsprojekter, hvor man ikke har passet godt nok på data.«
Men i 2017 tog Datatilsynet en række afgørelser, som pegede på, at forskere og forskningsvirksomheder forsømmer at passe godt nok på de persondata, de arbejder med i forskningsøjemed, herunder følsomme persondata i form af sundhedsdata.
Læs også: Kritik fra Datatilsynet hagler ned over forskere: De forsynder sig mod persondatalovgivningen
Forskerne er ikke interesseret i enkeltpersoner
Det er vel ikke nødvendigvis kun en sikkerhedsproblematik – det kan også være en generel privatlivsproblematik, så som forholdet mellem borgernes rettigheder til egne data og forskernes ret til at lave god forskning?
»Det kommer an på, fra hvilket perspektiv, man ser det. Det er helt klart min generelle vurdering, at forskerne ikke er interesseret i enkeltpersoner, men mønstre. Set i det lys kan man godt have tillid til, at den forskning, der bliver genereret, ikke er af en slags, der vil eksponere enkeltpersoners privatliv.«
Mette Hartlev fortsætter:
»Hvis man spørger om, hvorvidt vi har indrettet lovgivningen, på en måde som finder en passende balance mellem hensynet til borgernes privatliv og den forskningsmæssige brug af data, så kan man diskutere det.«
Læs også: Trivselsmåling og sundhed: Står forskernes behov for data højere end borgernes krav om privatliv?
Vi har altså været meget liberale i Danmark, men det hænger sammen med, at vi er et videnssamfund og har en stor interesse i at bruge data til at skabe ny viden, som kan komme samfundet og os alle sammen til gode, mener Mette Hartlev.
»Vi er også et velfærdssamfund, som leverer mange ydelser til borgerne og som er afhængig af, at borgerne betaler over deres skat. I et sådan samfund bliver man bare nødt til at registrere flere data om folk, fordi der er så meget interaktion mellem den enkelte og samfundet.«
Men det er jo også et valg, man har taget, i forhold til at hele befolkningen er blevet digitaliseret?
»Jeg tror, at det er en diskussion, vi er nødt til vedvarende at have. Hvor langt kan man forvente, at borgerne i solidaritet med det samfund, som leverer så mange ting, for de skatter vi betaler, er villige til at stille deres data til rådighed for forskningen. Det har betydning, at man kan være sikker på, at de data, der anvendes, ikke bliver brugt på en måde som ikke har sammenhæng med det generelle perspektiv, som forskningen har. Og at forskningen ikke eksponerer grupper og enkeltpersoner på en måde, som kan have en skadevirkning.«
Bør vi have en bredere offentlig debat om, hvor grænserne går?
»Det er meget vigtigt, at ikke kun befolkningen, men også politikere, embedsfolk og journalister alle får mere indsigt, i hvad der foregår af indsamling og registrering af data og hvad de bliver brugt til. Der dukker diskussioner op, som viser, at også beslutningstagere har alt for lidt indsigt i, hvad data kan blive brugt til. Den viden er vigtig, hvis vi skal tage diskussionen om, hvor meget den enkelte skal have lov til at råde over egne data. Og hvor meget vi skylder det samfund, som vi er en del af, ved at stille vores data til rådighed. Den diskussion så jeg gerne blev ført bredere, end i de snævre cirkler, hvor jeg bevæger mig.«