Lektor om forskeres GDPR-frustration: Hovedproblemet er, at gældende regler ikke blev overholdt

Illustration: digitalista/Bigstock
GDPR begrænser danske forskere, men det skal den også, mener lektor i persondataret. For ellers kan det gå ud over borgernes tillid til forskningen.

Efter GDPR trådte i kraft har den medført en række udfordringer for forskere i Danmark, som Version2 har skrevet om i sidste uge.

Antropologer på feltarbejde har sværere ved at skaffe data, og når de kommer hjem til universitetet, har de igen udfordringer med at dele data med internationale samarbejdspartnere.

Loven begrænser dem - men det skal den også, understreger Ayo Næsborg-Andersen, lektor i persondataret og menneskerettigheder ved Syddansk Universitet:

»Forskning må rigtig meget, men betingelsen er, at de passer godt på oplysningerne og ikke bruger dem til andet, end forskningen,« siger hun til Version2.

Læs også: Forskere kæmper med GDPR: »Informationsdelingen er hæmmet. Det er den største konsekvens«

Ny lov, gamle regler

Lektoren, der også selv forsker, kan dog godt genkende de udfordringer, som forskerne beskriver:

»I praksis vil det føles som en begrænsning, at de lige pludselig skal overholde nogle regler, som de ikke har været vant til at overholde. Sådan er det jo altid,« siger hun og tilføjer:

»Det er da enormt irriterende for den enkelte forsker, det går ud over - det kan jeg da sagtens følge.«

Selvom begrænsningen føles ny, så stammer flere af reglerne fra før GDPR kom for omkring to år siden - tidspunktet, hvor mange universiteter og forskere først rigtig begyndte at forholde sig til dem, ifølge Ayo Næsborg-Andersen.

»Hovedproblemet er, at man ikke har overholdt de regler, der var gældende, før forordningen trådte i kraft,« siger hun.

Hun understreger, at forordningen faktisk tager meget hensyn til forskningen, hvor lektorerne og professorerne arbejder under flere undtagelser af reglerne, fordi »grundantagelsen er, at forskning er et gode for samfundet«. Derfor har man ikke ville lave flere begrænsninger, end det er nødvendigt.

Lektor: Dropbox til datadeling har aldrig været en god ide

»Lige pludselig får man af vide, at noget, man altid har gjort, fordi det var nemt, ikke var lovligt,« siger Ayo Næsborg-Andersen.

Præcis sådan en oplevelse havde Quentin Gausset, lektor i antropologi på Københavns Universitet. Tidligere har han delt data - interview og spørgeskemaer - med andre i sin forskningsgruppe via en mappe på Dropbox, som er »relativt nemt at bruge«, fortæller han. Men det må han ikke længere, og derfor er der i praksis mindre datadeling end før GDPR, siger han.

»Hvis jeg kan læse det, de andre tre forskere har lavet, så er jeg tre gange klogere, men det bliver svært, hvis ikke vi kan dele den digitale transskribering på en dropbox-platform eller på email eller andre ting, som betragtes som usikre af myndigheder.«

Ifølge Ayo Næsborg-Andersen, så er det ikke en god ide at dele følsomme data via Dropbox, og det har det aldrig været:

»Det er lidt ligesom, hvis folk f.eks. altid har taget en smutvej hen over togskinnerne, for så skulle de ikke gå hele vejen udenom. Men der er jo en grund til, at folk ikke må gå hen over togskinnerne - det er fordi, det er farligt.«

Forskning er vigtig - men det er persondatasikkerhed også

GDPR er ikke skabt for at gøre forskningen besværlig, men for at passe på borgernes persondata, siger Ayo Næsborg-Andersen, for »hvis ikke vi passer på den, så har vi ikke noget privatliv.«

Det er mange borgere udmærket klar over, og derfor har det også konsekvenser, hvis dataansvarlige ikke passer godt nok på persondata, mener lektoren.

»Det ender med, at folk holder op med at medvirke i forskningen, hvis der er for mange sager med dårlig databehandling. Så siger de: ‘Nej, du må ikke få mit DNA, for jeg ved ikke, hvad du vil bruge det til.’«

Der er eksempler dårlig behandling af persondata i Danmark, siger lektoren. Så sent som i juni fratrådte direktør i SSI Mads Melbye sin stilling, efter Kammeradvokaten anbefalede en fyring blandt andet pga. dårlig håndtering af borgeres persondata.

»Forskningen fungerer kun, hvis vi har tillid til, at de opfører sig ordentligt, og derfor bliver de simpelthen også nødt til at acceptere, at der er nogle regler for, hvordan man opfører sig ordentligt,« siger lektoren og understreger:

»Så kan vi altid diskutere, hvor skal grænsen gå - men der skal være en grænse.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Per Kristensen

Jeg har fundet min adresse på nettet. Jeg var medlem af en soldaterforening for omkring 9 år siden og kan nu konstatere at deres medlemsblade er lavet offentligt tilgængelige på youtube med navn og fuld adresse på medlemmerne inkl. fødselsdato.

Der er selvfølgelig veteraner imellem som ikke er interesserede i at finde deres navn og adresse m.m. som offentlig ejendom.

Er det lovligt? Jeg har henvendt mig men får ingen response tilbage.

  • 8
  • 0
#2 Gert Madsen

Dropbox til personfølsomme oplysninger ?

Så har man da ingen som helst forståelse for sikkerhed, eller også er man bedøvende ligeglade med andre mennesker.

Hvad enten det er det ene eller det andet, så er det et emne til diskussion mellem direktion og bestyrelse på universiteterne. Man kan da ikke have at den slags foregår.

  • 10
  • 1
#3 Morten Nielsen

Hej Per

Ja i udgangspunktet er det lovligt, de har lavet en interesseafvejning (artikel 6, stk. 1, litra f) og fundet, at de har større interesse i at offentliggøre oplysningerne, end du har i at de ikke bliver offentliggjort.

Du har så ret til at bede dem om at fjerne dine oplysninger, eller få dem slettet, og så skal de vurdere om din interesse i det overstiger deres. Så hvis du begrunder det godt, så skal de fjerne/slette det igen.

  • 0
  • 0
#4 Morten Nielsen

Hej Gert

Jeg er rimelig sikker på, at Dropbox ikke er tilladt til personoplysninger på noget universitet i Danmark, men derfra og til at alle forskerne rent faktisk følger universiteternes regler kan der være langt.

Det er ikke alle forskere som nødvendigvis ser universitet som nogen, der kan diktere regler for dem og den måde, de udøver forskning på.

  • 4
  • 0
#5 Knud Larsen

Nå hvorfor? Forsikringsbranchen deler jo alle forsikringstageres oplysninger helt uden konsekvens. Serum instituttet sender data direkte til Kina. etc.

Hvorfor anvender man ikke anonymisering, det kan da ikke være så svært?

Det har dansk marketing analyse da gjort i mere end 50 år.

  • 3
  • 1
#6 Anne-Marie Krogsbøll

De seneste dages artikler om dette emne har jo desværre bekræftet, hvad vi er den del, som har forsøgt at råbe op om i årevis: At den danske forskningsverden persondatamæssigt er en sump af lovløst land, overtrædelser og misbrug af borgerens tillid.

Hvornår er der nogen, der i forbindelse med fokuset på forskeres samarbejde med kineserne undersøger, i hvilken grad samme misbrug og sikkerhedsbrud også gør sig gældende ift. f. eks. Ipsychs og DBDS's mange genetiske forskningssamarbejder med hele verden?

  • 6
  • 2
#7 Gert Madsen

men derfra og til at alle forskerne rent faktisk følger universiteternes regler kan der være langt.

Det har aldrig været tilladt at lægge andres personlige oplysninger på Dropbox og lignende.

Når Quentin Gausset meddeler at han "pludseligt" ikke længere må dele disse data over Dropbox, så har universitetet åbenlyst forsømt sin opgave med at sikre at medarbejderne er oplyst om hvordan man behandler persondata. Dermed falder ansvaret på ledelsen.

  • 7
  • 0
#8 mikkel Holm

... men egentlig ikke overraskende læsning. Det har vi på Version2 vidst længe. Det er heldigvis ved at gå op for den brede befolkning, at De skal til at passe på deres personfølsomme data.

Jeg håber at forskermiljøet nu vil gå ind i denne debat med ydmyghed og tranparens - ellers ser jeg ikke nogen fremtid for tilliden og det gode forsker data.

  • 4
  • 0
#9 Anne-Marie Krogsbøll

Testteltene, SSI og Nationalt Genom Center lyder til at være gode eksempler på forskningens voldtægt af befolkningen på persondataområdet. Datadelingen med udlandet hos SSI sejler i den grad. Vi er prisgivet diverse udenlandske forskningspartnere - kontrol lyder der ikke til at være meget af. Forskerne på SSi kunne lyde til at have haft betydeligt mere travlt med at forhandle gyldne patentkontrakter til sig selv, end med at overholde GDPR. Læs den seneste måneds opslag fra Patientdataforeningen - det er rystende læsning. Især Birk Kristiansens opslag 22/8 om SSI-sagen får de små hår til at rejse sig. Men også manipulationerne omkring testningen og NGC er slem læsning: https://www.facebook.com/BevarTavshedspligten/

  • 3
  • 3
#12 Anne-Marie Krogsbøll

For de af os, der ikke bruger fb, er der så et andet link?

Det er der mig bekendt ikke, Bjørn Agger, og det ærgrer også mig. Man behøver ikke være facebook-oprettet og logge ind, men jeg ved godt, at det ikke er nogen garanti rent privatlivsmæssigt. Jeg skal prøve at se, om jeg kan lægge lidt citater - spredt udvalg.

"Det bør dog ikke skygge for de forhold som Kammeradvokaten i to rapporter kortlægger og dokumenterer. Det er rystende læsning. Den første rapport om inhabilitet er en ting - det er mere den anden og kun foreløbige rapport om manglende compliance med helt basal databeskyttelse, som i særdeleshed er rystende. Læser man rapporten (2) står flere ting klart: 1) Der er ikke styr på rollefordeingen mellem danske forskere og udenlandske samarbejdspartnere - hvor de udenlandske partnere de facto er dataansvarlige for danske data i udlandet, men ikke figurerer som sådan. 2) At dansk forskning på vævsprøver finansieres ved at sende danske prøver til udlandet blandt andet til genetiske aflæsning, som en slags betaling. 3) At der ikke er styr på GDPR og blandt andet mangler konsekvensanlyser (DPIA) og er indgået forkerte og ugyldige kontrakter med udenlandske samarbejdspartnere. 4) Danske data opbevaret i udlandet bliver ikke inspiceret og kontrolleret."

"Så skal adgang til fortrolige sundhedsdata igen udvides. Skal det være muligt for lægemiddelindustri og udlandet at få udgang til CPR-koblede lægemiddelordinationer uden samtykke? Og skal lægemiddelordinationer overføres til Nationalt Genom Center? https://www.dsam.dk/files/361/h52_2020_hoeringssvar.pdf"

"Fra Dagens Medicin: »Vi håber, at vi kan koble det til rigtigt mange andre typer af data, og der bliver også snakket om socio-økonomiske data. Så når teknologien på sikker vis kan understøtte det, er det også en mulighed, men vi er ikke et sted, hvor vi har mulighed for at gøre det hele på en gang."

" De store spørgsmål, der rejser omkring Nationalt Genom Center i forhold til lovforslaget er:
 1. Hvorfor ændrer Folketinget løbende formålet for anvendelse af genetiske oplysninger i Nationalt Genom Center? 2. Hvad blev der af arbejdet med en differentieret frabedelsesmodel for Nationalt Genom Center inspireret af Etisk Råds model for samtykke? 3. Hvad er ambitionerne med en “non-genetisk datasø” i regi af Nationalt Genom Center? 4. Hvorfor bruger man pseudonymisering som privatlivsbeskyttelse, når det ikke giver tilstrækkelig beskyttelse, hvis man lider af en sjælden genetisk sygdom? LINK: https://www.dsam.dk/files/361/h44_2020_hoeringssvar.pdf"

"Utroligt så omstændeligt det skal være at få destueret sin COVD-19 prøve hos SSI - og hvorfor kan man ikke bare sige fra mens prøven bliver taget? https://drive.google.com/…/1Tlu1a353TK-2VVroF_AVtb1H2…/view…"

"Som vi forstår det overføres prøven per automatik til opbevaring i Danmarks Nationale Biobank, det sker for alle de COVID-19 prøver som tages i regi af TestCenterDanmark (altså SSI).Hvis man er registreret i VAV er prøven blokkeret for forskning. Men området er forbundet med stor usikkerhed og regler tolkes ikke helt ens. Så den rette til at besvare det spørgsmål er SSI." https://www.facebook.com/BevarTavshedspligten/

https://dagensmedicin.dk/nationalt-genom-center-gaar-live-vi-haaber-at-v...

  • 1
  • 2
#13 Niels Madsen

Klar vildledning og misinformation florer også på de danske myndigheders egne informationssider, fx denne side som "oplyser" om et Corona screenings projekt for sundhedsmedarbejdere: https://www.regionh.dk/til-fagfolk/Sundhed/Screening-af-personale-for-co...

Når man åbner dokumentet som ovenstående side linker til, https://www.regionh.dk/til-fagfolk/Sundhed/Screening-af-personale-for-co... Kan man under afsnittet "Sundhedsdata og biobank" læse følgende klokkeklart vildledning (for at sige det pænt):

"Hvis du efterfølgende fortryder din deltagelse i biobanken, kan du registrere dig i vævsanvendelsesregisteret (https://sundhedsdatastyrelsen.dk/da/borger-og-offentlighed/vaevsanvendel...), hvorefter dit blod i biobanken vil blive destrueret."

Der kan ikke herske tvivl om at mange af underskriverne af dette dokument er fuldstændigt klar over at dette ikke er sandt, idet registrering i vævsanvendelsesregisteret på ingen måde har noget at gøre med destruktion af biologisk materiale i en biobank.

Den lange liste af forskere som har underskrevet dette dokument inkluderer i øvrigt påfaldende nok også professor Henrik Ullum som tit og ofte har beklaget sig over at borgere har noget at skulle have sagt vedr. deres data og væv, bl a. med begrundelsen at forskning er en "konkurrence sport" som unødigt besværliggøres af rettigheder til borgerne. Og om nogen, så har han styr på hvad vævsanvendelsesregisteret er (-og ikke er).

Men også i andre Corona test programmer halter det gevaldigt. Eksempelvis udfører testcenter Danmark i øjeblikket test på medarbejdere i hjemmeplejen på Frederiksberg, helt uden at oplyse om rettigheder eller opbevaring af prøver eller data. Intet skriftligt materiale gives der, og ingen skriftlige samtykker indhentes der fra de ansatte.

  • 3
  • 0
#14 Anne-Marie Krogsbøll

Niels Madsen:

Jeg kan ikke få linket til Sundhedsdatastyrelsen om Vævsanvendelsesregisteret (https://sundhedsdatastyrelsen.dk/da/borger-og-offentlighed/vaevsanvendel...) til at virke, der svares "Siden blev ikke fundet" - er det blevet fjernet i mellemtiden?

Og jeg kan heller ikke finde "Sundhedsdata og biobank" på den regionsside, du omtaler. Så mon det også lynhurtigt er blevet fjernet?

i givet fald har dine oplysninger da haft en lynhurtig effekt, og der må være nogle, som har fået endog meget kolde fødder - hvilket vel så nærmest er en tilståelsessag. Nå - det kan da være, at det bare er mig, der ikke kan få links til at virke og finde dokumentet.

Hvis jeg har forstået dig rigtigt, så har en masse forskere underskrevet dette dokument. Jeg under mig da. Hvad er forskernes rolle i den sammenhæng? De er vel ikke jurister eller den slags, så hvad har de at gøre med udformningen af de regler? Hvad laver de der? Er Biobanken ikke en offentligt institution?

Enig mht. Ullum. En storspiller/synder i den sammenhæng.

  • 1
  • 1
#15 Anne-Marie Krogsbøll

Nå, nu fandt jeg ud af det - løb lidt vild i din beskrivelse af forholdet mellem de forskellige links og underskrifter.

Og jeg kan se, at det er et projekt under RHovedstaden, som de har skrevet under på - ikke noget med selve Biobanken og Vævsanvendelsesregistret, så der havde jeg misforstået din formulering.

Men linket i vejledningen til personalet ang. biobank virker stadig ikke: https://sundhedsdatastyrelsen.dk/da/borger-og-offentlighed/vaevsanvendel...

Så der er da i hvert fald mangler i den vejledning. Det skal nok ikke være for let at tilmelde sig VAR.

  • 1
  • 1
#18 Niels Madsen

Rettelse: Jeg tror bare at siden har været kortvarigt nede, og derfor virkede mit første link kortvarigt ikke her til morgen. Hvad angår linket til vævsanvendelsesregisteret, så har jeg ikke checket det, da jeg kender reglerne og derfor ikke var i tvivl om at hvad der stod i PDF dokumentet til medarbejderne ikke var korrekt.

Jeg informerede for to uger siden Region Hovedstadens Screenings gruppe om at deres information til medarbejderne ikke var korrekt. Det var der sådan set ikke nogen af de tre personer som jeg talte med som afviste da jeg gjorde rede for fejlen.

Men at fjerne eller rette misinformationen har man åbenbart endnu ikke prioriteret.

  • 1
  • 0
Log ind eller Opret konto for at kommentere