Lagar och regler

Svensk forskning omfattas av såväl internationella konventioner som internationell och nationell lagstiftning. Regelverken syftar bland annat till att säkerställa att människor inte utsätts för skada eller onödiga risker inom forskningen.

Vid registerbaserad forskning tillkommer ytterligare regler, såsom dataskyddsregleringen och annan integritetshöjande lagstiftning för att undvika att personuppgifter röjs, sprids eller hamnar i orätta händer.

Nuvarande forskningsetiska regler bygger på Helsingforsdeklarationen som beslutades av World Medical Association (WMA) 1964. Helsingforsdeklarationen innehåller etiska principer för medicinsk humanforskning. I deklarationen finns yrkesetiska riktlinjer för läkare och forskare inom medicin. Syftet med deklarationen är att för alltid förhindra de fasansfulla och inhumana experiment som utfördes på fångar i koncentrationsläger under andra världskriget.

Vad utgör en personuppgift

Vad som anses vara en personuppgift framgår av EU:s dataskyddsförordning (dataskyddsförordningen, GDPR). Förordningen är en överstatlig reglering som gäller inom Europeiska unionen och för aktörer utanför unionen som riktar sina tjänster och produkter till unionens invånare. Den syftar till att skapa en harmoniserad och likvärdig nivå för skyddet av personuppgifter utan att hindra det fria flödet inom EU och Europeiska ekonomiska samarbetsområdet, EES.

Enligt dataskyddsförordningen avses med en personuppgift varje upplysning som rör en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1 i dataskyddsförordningen).

Med pseudonymisering menas enligt dataskyddsförordningen behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person (artikel 4.5 i dataskyddsförordningen). Kryptering är en form av pseudonymisering. Pseudonymiserade uppgifter utgör alltjämt personuppgifter.

För anonym information gäller inte dataskyddsförordning och kompletterande regler. Anonym information är information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar (beaktandeskäl 26 i dataskyddsförordningen). Dataskyddsförordningen berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål. I Breyer-domen antyder EU-domstolen att en mottagare av uppgifter som saknar lagliga eller rimliga medel att knyta uppgifterna till enskilda individer hanterar anonymiserade uppgifter, trots att avsändaren av uppgifterna förfogar över identifierbara personuppgifter (C-582/14). Domen ger uttryck för en relativ tolkning av begreppet personuppgifter till skillnad från en absolut tolkning som innebär att anonymiserade uppgifter hos en mottagare alltid utgör personuppgifter så länge någon (i världen) kan hänföra dessa till en fysisk levande person. Ytterligare praxis från EU-domstolen krävs för att definitivt bestämma vilken tolkning som ska gälla.

Med känsliga personuppgifter avses behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, behandling av genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1 i dataskyddsförordningen).

Tillåten behandling av personuppgifter

Grundläggande bestämmelser om behandling av personuppgifter finns i dataskyddsförordningen.

Dataskyddsförordningen kompletteras av unionslagstiftning eller nationell lagstiftning. Medlemsstaterna får införa kompletterande lagstiftning. I Sverige har detta gjorts genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt registerförfattningar. Det finns drygt 200 svenska registerförfattningar som kompletterar dataskyddslagen och dataskyddsförordningen.

All behandling av personuppgifter måste ha en rättslig grund. Dessa rättsliga grunder finns i artikel 6.1 i dataskyddsförordningen. Som exempel kan nämnas samtycke som rättslig grund. Samtycke innebär att den enskilde lämnar en frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11).

Personuppgifter får även behandlas utan samtycke. Som exempel på sådana rättsliga grunder kan nämnas rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning. Forskning anses utgöra en arbetsuppgift av allmänt intresse. Typiskt för nu nämnda rättsliga grunder är dels att personuppgiftsbehandlingen ska anses nödvändig för ändamålet, dels att de måste genomföras i medlemsstaterna genom nationell rätt (såvida det inte finns unionslagstiftning på plats).

Beträffande känsliga personuppgifter är huvudregeln ett förbud mot behandling av sådana uppgifter. Det finns bestämmelser om undantag från förbudet, bland annat för behandling i forskning. För att forskning som innehåller känsliga personuppgifter ska vara tillåten krävs etikgodkännande från Etikprövningsmyndigheten. Detsamma gäller för behandling av personuppgifter om lagöverträdelser.

Ändamålet för behandlingen av en personuppgift är en central del av dataskyddslagstiftningen och har också stor betydelse för hur personuppgifterna får och kan hanteras, inte minst inom ramen för forskning. I dataskyddsförordningen finns också bestämmelser om säkerhet vid behandling av personuppgifter.

Förutsättningar för insamling av data i register och biobanker

Hälsodataregister

Ett hälsodataregister är en rikstäckande samling personuppgifter om individers vård och hälsa som förvaltas av en myndighet. Lagen (1998:543) om hälsodataregister innehåller grundläggande bestämmelser om insamling och behandling av personuppgifter. Den kompletteras med sex förordningar som var och en reglerar ett specifikt hälsodataregister:

• Patientregistret
• Medicinska födelseregistret
• Cancerregistret
• Läkemedelsregistret
• Registret över insatser inom den kommunala hälso- och sjukvården
• Tandhälsoregistret

Samtliga register finns hos Socialstyrelsen.

Socialtjänstregister

Socialstyrelsen förfogar i dagsläget över fem socialtjänstregister för produktion av nationell officiell och övrig statistik. De försörjs med uppgifter från kommunerna och innehåller en översikt av olika verksamheter och insatser för personer med behov av socialt stöd, service, vård och omsorg. De fem socialtjänstregistren är:

• Registret för ekonomiskt bistånd
• Registret över insatser till barn och unga
• Registret över insatser till äldre och personer med funktionsnedsättning
• Registret över insatser enligt lagen om stöd och service till vissa funktionshindrade
• Registret över tvångsvård av missbrukare

Registren ger information om kommunernas socialtjänstverksamhet och ger möjlighet att göra nationella sammanställningar över vilka grupper som får sådana insatser. Uppgifterna kan också användas för forskning om vilka resultat socialtjänstens insatser har för den som får insatsen.

Registren bygger i stora delar på mängddata. Vid mängdstatistik knyts de insamlade antalsuppgifterna till insatser och inte till några enskilda individer. Även personuppgifter registreras i registren. Personuppgifterna består av personnummer och den eller de insatser som socialtjänsten ger under det aktuella året (eller annan tidsperiod) till berörda personer. Därmed skapas personregister över vissa insatser för framställning av officiell statistik. Registren förs av Socialstyrelsen med stöd av lagen (2001:99) om den officiella statistiken. Det finns alltså inga specialförfattningar som reglerar personuppgiftsbehandlingen i dessa register.

Nationella och regionala kvalitetsregister

Bestämmelser om nationella och regionala kvalitetsregister finns i 7 kap. patientdatalagen (2008:355). De används primärt för att utveckla och förbättra hälso- och sjukvården. Enligt 7 kap. 4 § får personuppgifter i dessa register endast samlas in i syfte att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (kvalitetssäkring). Det är bara myndigheter i hälso- och sjukvården som får behandla personuppgifter i regionala och nationella kvalitetsregister, så kallade CPUA-myndigheter (centralt personuppgiftsansvarig myndighet).

Kvalitetsregister är också värdefulla källor för forskning. Enligt 7 kap. 5 § patientdatalagen får personuppgifter som samlas in för ändamålet kvalitetssäkring även användas för bland annat statistikframställning, antalsberäkning inför klinisk forskning och forskning inom hälso- och sjukvården. Kvalitetsregister är emellertid inga forskningsregister. Personuppgifter som samlas in för framtida forskning regleras i lagen (2024:1146) om vissa forskningsdatabaser.

Forskningsdatabaser

Lagen (2024:1146) om vissa forskningsdatabaser trädde i kraft den 1 januari 2025 och syftar till att möjliggöra för vissa lärosäten att inrätta och förvalta forskningsdatabaser av särskilt vetenskapligt värde. En forskningsdatabas är enligt lagen en samling personuppgifter som inrättas för att skapa underlag för flera framtida forskningsprojekt inom angivna forskningsområden. Databasen byggs upp utan att de specifika forskningsprojekten är definierade vid tidpunkten för insamlingen. Syftet är att främja långsiktig och tvärvetenskaplig forskning, särskilt inom områden som rör sambandet mellan arv, miljö och hälsa.

Endast statliga universitet och högskolor med rätt att utfärda examen på forskarnivå samt vissa enskilda utbildningsanordnare som jämställs med myndigheter enligt offentlighets- och sekretesslagen kan utses att föra en forskningsdatabas enligt lagen. Regeringen beslutar, efter beredning av Vetenskapsrådet, vilka forskningsdatabaser som omfattas av lagen. Behandling av personuppgifter i dessa databaser kräver de registrerades frivilliga medverkan genom samtycke. Utlämnande av uppgifter från databasen får endast ske under särskilda förutsättningar och till aktörer som omfattas av offentlighets- och sekretesslagen eller är bundna av tystnadsplikt enligt lagen.

Biobanker

Biobankslagen (2023:38) reglerar hur humanbiologiskt material, med respekt för den enskilda människans integritet, får samlas in, bevaras i en biobank och användas för vissa ändamål. En biobank är en samling av prov från människa eller foster, som samlas in, sparas och används för specifika ändamål. Proven kan tas inom hälso- och sjukvården för vård och behandling, men de kan också tas för forskning. Proven ska alltid kunna spåras till en enskild individ.

Förutsättningar för att få uppgifter från myndigheter

Offentlighets- och sekretesslagen

Även om offentlighet är huvudregeln för allmänna handlingar hos myndigheter och andra offentliga aktörer som jämställs med myndigheter, till exempel kommunala bolag, kan känsliga uppgifter behöva skyddas genom lagreglering. Detta sker genom särskilda sekretessbestämmelser i offentlighets- och sekretesslagen (OSL). Sekretessbestämmelser gäller oftast för en viss myndighet eller för en specifik verksamhet. Därför kan samma typ av uppgift vara offentlig hos en myndighet men sekretessreglerad hos en annan.

En särskild form av sekretess är statistiksekretessen. Den regleras i 24 kap. 8 § i OSL. Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik, liksom för jämförbara undersökningar hos vissa myndigheter. Sekretessen gäller för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Undantag görs från denna sekretess för bland annat forsknings- eller statistikändamål. Uppgifter i vissa register, till exempel Socialstyrelsens hälsodataregister, socialtjänstregister samt dödsorsaksregistret, omfattas av statistiksekretessen.

Trots statistiksekretessen får uppgifter som behövs för forsknings- eller statistikändamål eller uppgift som behövs i en forskningsdatabas som förs med stöd av lagen om vissa forskningsdatabaser och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Syften där personuppgifter och handlingar kan lämnas ut

I princip innebär offentlighetsprincipen att uppgifter, inklusive personuppgifter, och handlingar kan begäras utlämnade av allmänheten för vilka syften som helst. I praktiken styr dock både OSL, GDPR och registerförfattningar för vilket syfte uppgifter och handlingar får lämnas ut. I registerförfattningar brukar det normalt anges för vilka syften personuppgifter får användas hos en mottagare, vilka är gränssättande.

Exempel på syften som olika aktörer kan begära tillgång till handlingar och uppgifter:

• Forskare (offentliga eller privata forskningshuvudmän): för specifika forskningsprojekt.
• Myndigheter: för att genomföra uppdrag enligt instruktion, såsom kunskapsstöd, uppföljning, analys, utvärdering, statistik inom ordinarie verksamhet eller krisberedskap.
• Privata företag:
  • för att kartlägga biverkningar och effekter av läkemedelsbehandling efter att ett läkemedel godkänts och släppts på marknaden (så kallad postmarket surveillance).
  • för innovation och produktutveckling, till exempel produktorienterad forsknings-, testnings- och utvecklingsverksamhet för AI-system eller AI-modeller.
    

Primära och sekundära ändamål

I registerförfattningar anges vanligtvis ett primärt och ett sekundärt ändamål som beskriver användningsområden för personuppgifterna i datakällan:

• Primärt ändamål: Det syfte för vilket personuppgifterna i datakällan ursprungligen samlats in eller registrerats. Detta ändamål styr också datakällans innehåll.
• Sekundärt ändamål: Ytterligare användningsområden för de redan insamlande uppgifterna, som kan variera mellan olika datakällor. Exempel på sekundära ändamål i registerförfattningar är forskning, epidemiologiska undersökningar, statistik, uppföljning, utvärdering, kvalitetssäkring, antalsberäkning inför klinisk forskning eller fullgörande av uppgiftsskyldighet.

Utlämnande enligt tryckfrihetsförordningen

Utöver dessa rättsligt reglerade ändamål kan uppgifter lämnas ut enligt 2 kap. tryckfrihetsförordningen, utan krav på att den som begär ut uppgifterna anger syftet. Detta kan dock innebära att delar av uppgifterna maskas vid utlämnandet eller lämnas ut med sekretessförbehåll.