Kreftregisteret har lenge delt pseudonymiserte data og blodprøver frå norske biobankar med National Institute of Health i USA. Å dele slikt materiale kan vere ekstra viktig i studiar av sjeldne tilstandar, der det er få personar å forske på. Foto: Kreftregisteret.
 EØS. Men slike kontraktar strir mot amerikansk føderalt lovverk, og difor kan ikkje føderale institusjonar som NIH signere dei.
Vi strevar framleis med
dei utfordringane vi hadde. Og så kom dette i tillegg. Giske Ursin
– Fortvilande
I 2020 kom ein EU­dom som styrkte vernet av europeiske personopplysningar ytterlegare: Schrems II­dommen, følgd av nye retningslinjer frå Det europeiske personvernrådet (EDPB). Dommen skulle skape eit sant rabalder, både i forskings­ sektoren og i andre sektorar.
– Vi strevar framleis med dei utfordrin­ gane vi hadde. Og så kom dette i tillegg. Det er fortvilande at lovverk og retnings­ linjer brått vart endra utan at ein hadde
tenkt på kva forskingsinstitusjonane faktisk kan gjere, seier Ursin.
Alle EØS­verksemder som overfører data, fekk no ansvar for å sikre at personvernet for lagring og bruk av dataa hos mottakaren er like sterkt som i EU/ EØS. Dette gjaldt både nye og gamle overføringar. Årsaka var USAs omfattan­ de etterretningslovverk. Schrems II­dom­ men slo fast at dette lovverket er så inngripande at ein ikkje kan garantere for at europeiske opplysningar blir tilstrekke­ leg verna.
Éin avtale på tre år
Amerikanske NIH støttar over 6000 forskingsprosjekt i Europa, ifølgje seniorrådgjevar Robert Eiss i NIH. I ein del av prosjekta bidrar NIH berre med midlar, andre er samarbeidsprosjekt mellom amerikanske institutt og euro­ peiske partnarar, mellom anna NIH sjølv.
112 av prosjekta involverer norske insti­ tusjonar, men Eiss har ikkje tal på kor mange av prosjekta som er omfatta av GDPR. Sikkert er det iallfall at Europa og USA samarbeider tett om helseforsking.
 Anonyme versus pseudonymiserte data
Deling av persondata inneber å gje andre tilgang til data om deg sjølv eller data du / organisasjonen din har samla inn. Innan forsking skil ein mellom:
Anonyme data: Her er det heilt umogleg å finne attende til dataa sine opphavs- personar, sjølv om ein bruker andre kjelder i tillegg. Slike data kan trygt overførast til land utanfor EU/EØS.
Pseudonymiserte data: Desse kan ikkje knytast til ein bestemt person utan bruk av tilleggsopplysningar, for eksempel ein kodenøkkel lagra på ein sikker stad i avsendarlandet. Skal denne typen data overførast til land utanfor EU/EØS, må opphavsinstitusjonen sikre at vernet i mottakarlandet er like godt som i EU/EØS.
Kjelder: Datatilsynet, Giske Ursin, GDPR
FORSKNINGSETIKK | NR. 1 | 2021 9