Dataguiden, Vetenskapsrådet, startsida
Dataguiden, Vetenskapsrådet, startsida

Utlämning av data för forskning

Forskare vid såväl offentliga som privata forskningshuvudmän kan begära ut uppgifter och handlingar för specifika forskningsprojekt. Processen för att få tillgång till data innefattar flera olika steg och det finns ett antal juridiska aspekter att ta hänsyn till.

Behandling av personuppgifter i forskning

Huvudregeln enligt EU:s dataskyddsförordning (dataskyddsförordningen, GDPR) är att behandling av känsliga personuppgifter är förbjuden. Det finns emellertid bestämmelser om undantag från förbudet, bland annat för ändamålet forskning. För att forskning som innefattar känsliga personuppgifter ska vara tillåten krävs dock att det finns ett etikgodkännande från Etikprövningsmyndigheten. Detsamma gäller för behandling av personuppgifter om lagöverträdelser. Dataskyddsförordningen och kompletterande registerförfattningar innehåller bestämmelser om säkerhet vid behandling av personuppgifter.

Juridiska aspekter kring att använda individuppgifter i forskning

I forskningsstudier som enbart grundas på uppgifter från olika register, så kallade registerstudier, insamlas och sammanställs enbart retrospektiva data från olika register, utan aktivt samtycke från forskningspersonerna. I andra forskningsprojekt kan individdata samlas in från forskningspersoner som samtyckt till att delta i en forskningsstudie genom till exempel intervjuer eller enkäter. Ibland behöver studier även begära ut uppgifter från patientjournaler, biobanksprovsamlingar eller andra forskningsregister.

Forskning med individdata omges av ett regelverk som berör flera rättsområden. Flera författningar aktualiseras samtidigt, bland andra:

  • Dataskyddsförordningen (GDPR), offentlighets- och sekretesslagen (OSL) och lagen om etikprövning av forskning som avser människor (2003:460), den så kallade etikprövningslagen.
  • Biobankslagen (2023:38) med bestämmelser om hur och när humanbiologiskt material får samlas in och bevaras i en biobank, och hur proverna får användas.

Hälsorelaterade uppgifter är ofta av särskilt intresse först när de, direkt eller indirekt, går att koppla till en viss individ. Detta innebär dock att informationen är att betrakta som personuppgifter.

Dataskyddsförordningen definierar uppgifter om individers hälsa som känsliga personuppgifter, vilket innebär att det ställs särskilda krav inför ett utlämnande. Detta innebär bland annat att forskning på hälsodata med personuppgifter alltid måste ha ett godkännande från Etikprövningsmyndigheten. Det är beslutet om etikgodkännande av Etikprövningsmyndigheten som gör att behandlingen av känsliga personuppgifter för forskning blir tillåten.

Utöver dataskyddsregleringen finns annan integritetshöjande lagstiftning som syftar till att skydda hälsorelaterade individuppgifter och samtidigt försvåra ett utlämnande, såsom OSL och annan tystnadspliktsreglering.

Etik i forskning

Principerna för den etik som gäller vid forskning har slagits fast i internationella konventioner, vilka ligger till grund för den lagstiftning som finns i dag. Ett centralt dokument är Helsingforsdeklarationen, antagen av World Medical Association (WMA) 1964. Regelverken är till för att skydda människor från skada och onödiga risker vid forskning som involverar individer eller använder sig av uppgifter om individer.

Etikprövningslagen

Lagen (2003:460) om etikprövning av forskning som avser människor reglerar etikprövning i Sverige. Regleringen avser främst en avvägning mellan forskningens samhällsnytta och individens rätt till personlig integritet. Etikprövningslagen omfattar forskning som definieras i 2 §:

...vetenskapligt experimentellt eller teoretiskt arbete, vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, eller om det handlar om utvecklingsarbete på vetenskaplig grund...

Lagen (2003:460) om etikprövning av forskning som avser människor (riksdagen.se)

Syftet med etikprövningslagen (etikprovningsmyndigheten.se)

Etikprövning av forskning där personuppgifter ingår

Forskning eller kvalitetssäkring

Gränsdragningen mellan vad som är forskning och vad som är kvalitetssäkring är inte alltid tydlig. Det kräver en helhetsbedömning utifrån det enskilda projektets karaktär. En faktor av betydelse för bedömningen är om det finns en avsikt att sprida resultatet externt eller om syftet är internt. En annan skillnad mellan forskningsprojekt och kvalitetssäkring ligger i den teoretiska förankringen. Forskning analyserar insamlade data utifrån en teori eller hypotes, något som inte sker i kvalitetssäkring. Kvalitetssäkring innebär att undersöka om en verksamhet eller produkt uppfyller en i förväg bestämd (bättre) kvalitet. En annan skillnad mellan kvalitetssäkring och forskning med kvantitativ inriktning är att kvalitetssäkring endast använder enklare beskrivande statistik medan forskningsprojekt nästan undantagslöst innehåller en fördjupad analys av resultaten. Den fördjupade analysdelen är typisk för ett forskningsprojekt och har stark förankring i vetenskapliga teorier om hur man lämpligen gör för att korrekt analysera resultatet.

Etikprövningsmyndigheten varken kan eller får lämna några förhandsbesked när det gäller frågan om etikprövning krävs eller inte. Det är verksamhetens ansvar att ta ställning till detta. Först när en komplett ansökan lämnats till Etikprövningsmyndigheten för prövning kan säkra slutsatser dras om det rör sig om forskning eller kvalitetssäkringsarbete.

Forskning kräver ett etikgodkännande om den:

  • innefattar behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser
  • innebär ett fysiskt ingrepp på en levande eller avliden person
  • använder metoder som syftar till att påverka en individ fysiskt eller psykiskt
  • utförs enligt en metod som utsätter någon för uppenbara risker för fysisk eller psykisk skada
  • studerar biologiskt material som har tagits för medicinska ändamål från en levande eller avliden människa och kan härledas till denne.

Enligt 5 § i etikprövningslagen gäller lagen endast forskning som ska utföras i Sverige. Vid internationella forskningssamarbeten krävs etikprövning för de delar av forskningen som utförs i Sverige.

Etikgodkännande inte garanti för tillgång till uppgifter

Ett etikgodkännande är inte en garanti för att få tillgång till data för forskning. Etikprövningen respektive prövningen av en begäran hos en myndighet om att få ut uppgifter för forskning är två helt separata processer. Etikgodkännandet betyder i sig inte att uppgifter får lämnas ut av en myndighet – ett eventuellt utlämnande är beroende av vad den utlämnande myndigheten kommer fram till i sin sekretessprövning.

Menprövning

En myndighet som har personuppgifter i förvar måste göra en menprövning enligt offentlighets- och sekretesslagen (OSL) för att bedöma om uppgifterna som efterfrågas för forskning kan utlämnas utan risk för men eller skada för den som uppgifterna berör eller närstående till denne. En menprövning innebär alltså inte en överprövning av etikgodkännandet då menprövningen omfattar andra aspekter.

Offentlighets- och sekretesslag (2009:400) (riksdagen.se)

Allmänna handlingar

En förutsättning för en privat forskningshuvudman, till exempel ett läkemedelsföretag, att få ut uppgifter från exempelvis en myndighet eller en sjukvårdshuvudman (region eller kommun) är att uppgifterna som efterfrågas är allmänna handlingar enligt tryckfrihetsförordningen. Ibland krävs en bearbetning av uppgifter för att tillmötesgå en forskares begäran om att få ut uppgifter för forskning. Om myndighetens bearbetning visar sig vara omfattande, är det inte några allmänna handlingar, det vill säga handlingar som omfattas av offentlighetsprincipen. Myndigheten kan då antingen neka forskaren efterfrågade uppgifter på denna grund eller ändå lämna ut uppgifterna mot en ersättning.

När offentliga forskningshuvudmän, till exempel universitet eller högskolor, efterfrågar uppgifter från samma datakällor, råder andra förutsättningar och begränsningar för att få ut uppgifterna (se stycke ”Forskningssekretess” nedan).

Uppgifter i regionala eller nationella kvalitetsregister

Uppgifter i regionala och nationella kvalitetsregister omfattas av hälso- och sjukvårdssekretess som är en stark sekretess. Individuppgifter får enbart lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap 1 § OSL). Individer kan alltid efterge sekretess som råder för dennes uppgifter i ett kvalitetsregister upphävs, så att centralt personuppgiftsansvarig myndighet (CPUA-myndigheten), som regel en regionstyrelse, kan lämna ut dem till tredje part, även för forskning. Någon menprövning behöver inte göras i sådant fall, annat än att kontrollera att mottagaren är rätt.

Ofta är det praktiskt omöjligt att inhämta ett samtycke för eftergivande av sekretess från personer vars uppgifter finns i ett regionalt eller nationellt kvalitetsregister. En myndighet har dock alltid en skyldighet att pröva en begäran från någon utomstående om att få ut allmän handling. Det är i dessa situationer en menprövning aktualiseras, det vill säga när en forskare begär uppgifter ur ett kvalitetsregister. Vid en menprövning bedömer myndigheten om det finns några risker med att lämna ut efterfrågade uppgifter. Myndigheten utgår då från skaderekvisiten i aktuell sekretessbestämmelse.

Det är Etikprövningsmyndigheten som ska väga nyttan med forskningen mot eventuella risker för de registrerade. Har en forskningsstudie som innefattar studier av kvalitetsregisteruppgifter godkänts av Etikprövningsmyndigheten, kan man som CPUA-myndighet eller annan myndighet förvänta sig att riskerna är små för enskilda individer i registret vars uppgifter efterfrågas för forskning.

Sekretess som följer med uppgifterna

Lagstiftaren har underlättat tillgång till forskningsdata genom sekretesslättnader och särskild sekretess. Som exempel kan nämnas 11 kap. 3 § OSL. Av den bestämmelsen framgår att om en myndighet, till exempel ett universitet, får i sin forskningsverksamhet från en annan myndighet, till exempel en nämnd i en region, en sekretessreglerad uppgift, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. En nämnd hos regionen kan därmed konstatera att sekretesskyddet för utlämnade personuppgifter blir lika stark hos universitetet eftersom hälso- och sjukvårdssekretessen så att säga följer med uppgifterna och ”omvandlas” till ”forskningssekretess” hos mottagaren. Omständigheten att sekretessen följer med uppgifterna är en faktor i den menprövning som myndigheten gör när sekretess inte kan efterges av den enskilda individen.

Andra sekretessfrågor

Ett exempel på en sekretesslättnad som aktualiseras vid forskning finns i 25 kap. 11 § 5 p. OSL. Sekretess hindrar inte att en uppgift som omfattas av sekretess lämnas ut från en myndighet som bedriver hälso- och sjukvård inom en kommun eller en region till annan sådan myndighet för forskning, men bara om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Utgångspunkten är således att uppgifter får lämnas ut mellan kommuner och regioner för forskning. Har man anledning som myndighet att anta att någon enskild kan lida men får man inte lämna ut uppgifter. Med stöd av bestämmelsen kan kommuner och regioner begära ut uppgifter ur datakällor samt regionala och nationella kvalitetsregister för ändamålet forskning under förutsättning att de själva är forskningshuvudmän och har fått ett etikgodkännande. Lämnas i stället uppgifter ut från en statistikansvarig myndighet (till exempel Socialstyrelsen eller Statistikmyndigheten SCB) så kommer uppgifterna hos forskningshuvudmannen att omfattas av en absolut sekretess, så kallad statistiksekretess (24 kap. 8 § OSL).

Det förekommer att personuppgifter i nationella kvalitetsregister registreras och behandlas med stöd av ett aktivt samtycke från patienten. CPUA-myndigheten behöver inte tillåtelse för att behandla en patients personuppgifter i ett kvalitetsregister under förutsättning att patienten fått information om behandlingen och inte motsatt sig den. Om ett sådant samtycke trots allt används som rättslig grund för att behandla personuppgifterna i ett kvalitetsregister, kan man inte ta för givet att det samtycket också tillåter utlämnande av patientens uppgifter för forskning. En menprövning måste göras.

Statistiksekretess

Statistiksekretessen regleras i 24 kap., 8 § i OSL. Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik, liksom för jämförbara undersökningar hos vissa myndigheter. Sekretessen gäller för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Undantag görs från denna sekretess för bland annat forsknings- eller statistikändamål.

Uppgiftsskyldighet mellan myndigheter

Myndigheter kan inte åberopa offentlighetsprincipen för att få ut handlingar hos en annan myndighet. Ett universitet kan alltså inte åberopa den principen för att få ut uppgifter hos en region eller kommun, eller för den delen hos en CPUA-myndighet som förvaltar kvalitetsregisteruppgifter och Socialstyrelsen alternativt Statistikmyndigheten SCB, för ändamålet forskning. I sådana fall ska en myndighet i stället åberopa uppgiftsskyldigheten i 6 kap. 5 § OSL. Av bestämmelsen framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter emellan enligt 8 § förvaltningslagen (2017:900). Uppgiftsskyldigheten omfattar varje uppgift som en myndighet förfogar över, alltså även uppgifter ur handlingar som inte är allmänna (prop. 1979/80:2 Del A s. 89 och 361).

Domstolspraxis för utlämnande av uppgifter för forskning

Domstolspraxis rörande utlämnande av hälsorelaterade uppgifter för forskning är generös. Den generösa hållningen från domstolarna faller tillbaka på ett flertal domar från Regeringsrätten (numera Högsta förvaltningsdomstolen), RÅ 1988 ref. 103, RÅ 1994 not. 732 och RÅ 1996 not. 124. I domarna hänvisar Regeringsrätten till förarbetsuttalanden i vilka det nämns att uppgifter som skyddas av bestämmelser med skaderekvisit, det vill säga sekretessbestämmelser som kräver en menprövning mycket ofta antas kunna lämnas ut för forskningsändamål utan beaktansvärd risk för skada.

Utlämnande får inte ske i strid med dataskyddsregleringen

Sekretess kan aktualiseras mot en forskningshuvudman enligt 21 kap. 7 § OSL. Enligt den bestämmelsen gäller sekretess för personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen), eller etikprövningslagen.

Sekretessen kan aktualiseras om myndigheten har anledning att anta att begärda uppgifter och handlingar kommer att överföras till ett tredje land av forskningshuvudmannen eller uppgifterna inte kommer att få ett fullgott dataskydd hos denne. Sådan sekretess innebär att myndigheten inte kan lämna ut efterfrågade uppgifter för forskning.

Sammanställningar av data är allmänna handlingar

Det finns en typ av sammanställningar av digitala handlingar som en myndighet alltid är skyldig att göra enligt tryckfrihetsförordningen (TF). Det är de så kallade potentiella handlingar som ingår i den handlingstyp som kallas upptagningar och som bland annat innefattar databaser av olika slag (2 kap. 6 § 2 st. TF). Potentiella handlingar är en handling som inte existerar när den efterfrågas av allmänheten men som myndigheten, utan större svårigheter, kan skapa på begäran med hjälp av tillgängliga program. Förutsättningen är att sammanställningen ska kunna göras med ”rutinbetonade åtgärder” (enkel arbetsinsats och utan nämnvärda kostnader eller komplikationer). Därmed avses att det ska vara fråga om en begränsad arbetsinsats och utan nämnvärda kostnader (JO 2000/01 s. 567 och JO 2006/07 s. 478).

Även om lagen talar om “rutinbetonade åtgärder” så har allmänheten möjlighet att kräva en del ansträngningar av myndigheten. Dåvarande Regeringsrätten (numera Högsta förvaltningsdomstolen) har slagit fast att en myndighet kan vara skyldig att på begäran göra skräddarsydda urval av uppgifter för att sammanställa dessa till en potentiell handling (RÅ 1974 ref. 8). En myndighet är också skyldig att göra vissa anpassningar av sina standardprogram för att göra det aktuella urvalet (RÅ 1976 ref. 122). Däremot är myndigheten inte skyldig att ta fram ett helt nytt datorprogram för att göra urvalet (RÅ 1988 ref 84). Om en myndighet av praktiska skäl valt att dela upp uppgifterna på olika register så kan den vara skyldig att sammanställa uppgifter från dessa register till ett enda registerutdrag (RÅ 1977 Ab 310). Högsta förvaltningsdomstolen har i ett fall kommit fram till att 4–6 timmars arbete för att göra en sammanställning inte kan ses som en rutinbetonad åtgärd (HFD 4266-14).

Man kan inte kräva en sammanställning av personuppgifter som myndigheten själv inte får göra (begränsningsregeln i 2 kap. 7 § TF). Det kan hända att en myndighet saknar befogenhet enligt lag att göra vissa sökningar och sammanställningar i register med personuppgifter därför att det skulle kränka den personliga integriteten. Men det finns olika grader av begränsningsregler. Finns det ett absolut sökförbud som säger att en myndighet inte under några förutsättningar får använda en uppgift som sökbegrepp i en databas, så är de sammanställningar som bygger på det specifika sökbegreppet inte potentiella handlingar.

Ett datauttag från ett vårdinformationssystem hos en vårdgivare eller ett nationellt kvalitetsregister för forskningsändamål kräver en viss arbetsinsats, vars omfattning beror på storlek och komplexitet i begäran. Ofta går arbetsinsatsen utöver vad som kan anses som ”rutinbetonade åtgärder” eftersom exempelvis avidentifiering av personuppgifter ska göras och databasen måste anpassas efter vilka variabler som ska studeras.

I dessa fall är det en begäran om utlämnande av allmänna handlingar som går bortom den gräns där en myndighet har en skyldighet att lämna ut handlingar eller erbjuda service. Myndigheter kan dock göra sådana sammanställningar mot betalning, så kallade uppdragssammanställningar. Det bör noteras att forskande myndigheter inte omfattas av begränsningsreglerna i tryckfrihetsförordningen när de begär uppgifter för forskning hos en annan myndighet. Reglerna i 2 kap. tryckfrihetsförordningen gäller över huvud taget inte när myndigheter emellan begär och lämnar ut uppgifter till varandra. I stället gäller de begränsningar som följer av uppgiftsskyldigheten i 6 kap. 5 § OSL (se ovan). Av bestämmelsen framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Saklighet och opartiskhet vid prövningen

Enligt förvaltningsrättsliga principer ska alla som begär uppgifter från en myndighet, bland annat forskare, behandlas sakligt och opartiskt. Det är inte myndighetens uppgift att bedöma forskningen och dess kvalitet, däremot ska myndigheten pröva om förutsättningar för utlämnande föreligger med utgångspunkt från skaderekvisiten i 24 kap. 8 §, 25 kap. 1 § OSL respektive 21 kap. 7 § OSL. Ett etikgodkännande innebär inte med automatik en rätt för forskningshuvudmannen till uppgifter hos myndigheten.

Överenskommelse med industrins företrädare

Sveriges Kommuner och Regioner (SKR) och industrins företrädare har en överenskommelse om samverkan avseende kvalitetsregister. Samverkan ska vara i överensstämmelse med de bärande principerna i ”Överenskommelse om samverkansregler” och genomföras med respekt för parternas skyldigheter och nyttjande av parternas kompetens och erfarenhet. Överenskommelsen syftar bland annat till att CPUA-myndigheter ska erbjuda industrins företrädare uppgifter i kvalitetsregister. Detta trots att det ibland inte finns en skyldighet för myndigheten att lämna ut efterfrågade uppgifter på grund av att de inte är ”allmänna handlingar” enligt tryckfrihetsförordningen. I det avseendet ska alla företag behandlas lika och övriga principer beaktas. Någon motsvarande överenskommelse finns inte mellan SKR och myndigheter, till exempel universitet. CPUA-myndigheter ska emellertid eftersträva att behandla statliga och kommunala forskningshuvudmän på samma villkor och enligt samma principer som industrins företrädare.

Sekretessprövning vid registerhållande myndigheter

Innan en registerhållande myndighet kan lämna ut data görs en sekretessprövning enligt (24 kap. 8 § OSL). Information om vad detta steg består av kan finnas publicerat på de respektive myndigheters webbplats.

Registeruppgifter hos SCB avseende enskilda personer och företag är skyddade av statistiksekretessen.

Sekretessprövning hos Socialstyrelsen (bestalladata.socialstyrelsen.se)

Statistikmyndigheten SCB:s sekretessprövning för utlämnande av registeruppgifter (scb.se)

Möjlighet att överklaga sekretessprövning

Den som nekas tillgång till en allmän handling hos en myndighet på grund av att den är sekretessbelagd kan överklaga beslutet. Det skriftliga beslutet om avslag ska innehålla information om hur överklagandet görs.

Överklagande måste

  • vara skriftligt
  • lämnas till den myndighet som fattat beslutet
  • ske inom senast tre veckor från att beslutet delgivits
  • ange vilket beslut som överklagas, vilken ändring som önskas och grunderna för överklagandet.

Ett överklagande av ett negativt beslut på en begäran om utfående av handlingar enligt 6 kap. 5 § OSL hanteras på följande sätt (se ovan angående 6 kap. 5 § OSL). Ett överklagande av en kommunal myndighets beslut att inte lämna ut den begärda informationen överklagas till förvaltningsdomstol, medan en begäran från en statlig myndighet till en annan statlig myndighet överklagas till regeringen, 6 kap. 8 § OSL.

Övrig reglering av forskning

  • Arkivlagen (1990:782) innehåller bestämmelser om myndigheters och vissa andra organs arkiv. Enligt 3 § st. 1 m. 1 bildas ett myndighetsarkiv av de allmänna handlingarna från myndighetens verksamhet. Handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.
  • Lagen (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed. Lagen innehåller också bestämmelser om förfarandet vid prövning av frågor om oredlighet i forskning.
  • Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (den så kallade öppna data-lagen) reglerar hur data ska tillgängliggöras för vidareutnyttjande.
  • Lagen (2024:1146) om vissa forskningsdatabaser möjliggör för universitet och högskolor att skapa forskningsdatabaser för framtida forskningsbehov baserade på personuppgifter som individer lämnat frivilligt.

Publicerat den

Uppdaterat den