Personvernnemndas vedtak 17. september 2018 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Ellen Økland Blinkenberg)
Saken gjelder klage over Datatilsynets avslag på søknad fra Folkehelseinstituttet om endring av konsesjon til behandling av personopplysninger i Nasjonalt tvillingregister.
Sakens bakgrunn
I november 2005 ble det inngått avtale mellom Universitetet i Oslo (UiO), Folkehelseinstituttet og Ullevål Universitetssykehus HF (UUS) om opprettelse av et nasjonalt tvillingregister. Avtalen gikk ut på å samle person- og helseopplysninger fra de respektive institusjonenes tvillingstudier hos Folkehelseinstituttet. Konsesjoner gitt til de forskjellige forskningsprosjektene skulle overføres til Folkehelseinstituttet som behandlingsansvarlig.
Datasettene som skulle overføres til Nasjonalt tvillingregister var:
·Tvillinger født 1895-1945
·Tvillingregisteret UiO
· Tvillingundersøkelsen FHI
Tvillingregisteret UiO hadde konsesjon fra Datatilsynet fra juni 2007, med UiO som behandlingsansvarlig. Registeret omfattet tvillinger født i perioden 1915-1960. Totalt ble det rekruttert 15 250 personer, og opplysningene i registeret var basert på besvarte spørreundersøkelser. Konsesjonen var tidsbegrenset til 31. desember 2027. Datatilsynet stilte vilkår om at deltakerne, før sammenslåing med Folkehelseinstituttets nasjonale tvillingregister og senest innen 31. desember 2012, måtte gis tilfredsstillende informasjon om sammenslåingen.
Datatilsynet ga konsesjon til behandling av helseopplysninger til Tvillingundersøkelsen FHI i april 2004. Folkehelseinstituttet var behandlingsansvarlig for prosjektet. Konsesjonen erstattet tidligere gitte konsesjoner til tvillingstudier hvor Folkehelseinstituttet var behandlingsansvarlig. Datatilsynet påpekte i konsesjonen at den videre behandlingen av materialet ville være begrenset av den informasjon den enkelte hadde mottatt og avgitt samtykke til, og at samtykket måtte være i samsvar med kravene i dagjeldende helseregisterloven § 2 nr. 11 som definerte samtykke slik: «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv». Etter en forlengelse av konsesjonen, ble den senere tidsbegrenset til 31. desember 2009.
I januar 2009 mottok Datatilsynet en søknad fra Folkehelseinstituttet om konsesjon for opprettelsen av et nasjonalt tvillingregister. Konsesjon ble gitt i mars 2009 med forbehold om at de registrertes samtykker var dekkende for Folkehelseinstituttets planlagte behandling. Datatilsynet la til grunn at register over tvillinger født 1895 - 1945 ikke inneholdt helseopplysninger eller sensitive personopplysninger, og at inkluderingen av disse opplysningene i registeret derfor ikke var konsesjonspliktig.
Etter en stedlig kontroll av Datatilsynet i 2010 ble Folkehelseinstituttet pålagt å vurdere hvorvidt de eksisterende samtykkene for registrering i Nasjonalt tvillingregister tilfredsstilte kravene til samtykke i helseregisterloven § 2 nr. 11. Folkehelseinstituttet gjennomførte en slik vurdering og mente at kravet til informert samtykke var ivaretatt på en etisk og juridisk forsvarlig måte. Datatilsynet stilte spørsmål ved om kravet til uttrykkelig samtykke, var oppfylt. Det framkommer ikke at kontrollen resulterte i noe pålegg fra Datatilsynet.
I forbindelse med søknad om forlengelse av konsesjonen i 2010 ble tolkingen av enkeltdeler av konsesjonen tatt opp av Folkehelseinstituttet, og det ble holdt et møte mellom Folkehelseinstituttet og Datatilsynet i saken. Tema for møtet var særlig spørsmål om hvorvidt samtykkene gitt i tvillingundersøkelsene var dekkende for overføring av helseopplysninger til Nasjonalt tvillingregister.
Datatilsynet mottok deretter en ny søknad om endringer i konsesjonen fra Folkehelseinstituttet der de opprettholdt sin forrige søknad, men også søkte om tillatelse til å behandle helseopplysninger med annet behandlingsgrunnlag enn samtykke (jf. personopplysningsloven 2000 § 8 bokstav d og § 9 bokstav h). I januar 2013 fattet Datatilsynet vedtak om konsesjon som innebar et delvis avslag av søknaden. Avslaget knyttet seg til den behandlingen av personopplysninger som skulle skje med grunnlag i annet behandlingsgrunnlag enn samtykke. Folkehelseinstituttet klaget vedtaket inn for Personvernnemnda, som stadfestet Datatilsynets vedtak i april 2014 (PVN-2013-17 Tvillingregisteret) og opprettholdt kravet om samtykke fra de registrerte.
I oktober 2015 søkte Folkehelseinstituttet om endring/utvidelse av konsesjonen for Nasjonalt tvillingregister. Utvidelsen bestod i:
- Søknad om å få innlemme 245 deltakere (av totalt 9450 registrerte) som ikke hadde avgitt samtykke fordi det ikke hadde vært mulig å oppnå kontakt med dem. 108 av disse deltakerne var døde, og de øvrige uten fast adresse eller registrert med ugyldig adresse.
- Forlengelse av konsesjonens varighet med 10 år
- Inkludering av opplysninger fra studien «Helseplager, personlighet og livskvalitet»
- Inkludering av opplysninger fra studien «Psykiske lidelser hos tvillinger – en oppfølgingsstudie».
- Utvidelse av registeret til å inkludere tvillinger født i perioden 1961-1966.
Datatilsynet ga i vedtak 20. april 2016 tillatelse til utvidelse av konsesjonens med varighet i 10 år fram til 2026. Datatilsynet viste til at dette var dekket av det samtykket som var innhentet fra de registrerte. Datatilsynet ga også tillatelse til utvidelse av registeret til å inkludere tvillinger født i 1961-1966, på samme vilkår som de øvrige deltakerne i studiet (dvs på vilkår om samtykke fra de registrerte). For de øvrige punktene fikk Folkehelseinstituttet avslag. Datatilsynet viste til at konsesjonen stilte vilkår om samtykke og at det ikke var grunnlag for å fravike dette kravet. Tilsynet viste til at dette også var behandlet tidligere, både av Datatilsynet og Personvernnemnda og fant ikke grunnlag for å endre dette. Datatilsynet tolket de avgitte samtykkene og kom til at samtykkene ikke omfattet en overføring av opplysningene til Nasjonalt tvillingregister.
Folkehelseinstituttet har framsatt en rettidig klage over vedtaket og har klaget på følgende tre forhold:
- Avslag på søknaden om å få inkludere opplysninger om 56 døde personer hvor kotvillingen har samtykket til registrering
- Avslag på søknad om å få inkludere personopplysninger fra studiet «Helseplager, personlighet og livskvalitet»
- Avslag på søknad om å få inkludere personopplysninger fra studiet «Psykiske lidelser hos tvillinger – en oppfølgingsstudie».
Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt Personvernnemnda, som mottok saken 5. mars 2018. Folkehelseinstituttet ble orientert om saken i brev fra nemnda, med frist for eventuell uttalelse innen 9. april 2018. Ytterligere saksdokumenter ble etterspurt av nemnda og oversendt fra Datatilsynet 11. juni 2018. Nemnda ba også om ytterligere opplysninger fra Regional komité for medisinsk og helsefaglig forskningsetikk Sør-Øst (REK Sør-Øst) som ble oversendt 4. juli 2018, og fra Folkehelseinstituttet som ble oversendt 7. august 2018.
Saken ble deretter behandlet i nemndas møte 17. september 2018. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Gisle Hannemyr, Hans Marius Graasvold og Ellen Økland Blinkenberg. Nemndas sekretær, Anette Klem Funderud var også tilstede.
Folkehelseinstituttet har i hovedsak anført
Inkludering av døde tvillinger
106 personer som inngår i et tvillingpar døde i perioden 1992-2014 før det ble innhentet nytt samtykke for registrering i Nasjonal tvillingregister, jf. PVN-2013-17 (Tvillingregisteret). 56 av disse har en tvilling («kotvilling») som har samtykket til registrering. Styrken til tvillingforskningen ligger i at den kan sammenligne komplette tvillingpar. Ved å ikke kunne inkludere de døde tvillingene, mister man i realiteten også deres samtykkende kotvillinger.
De døde tvillingene er sammen med sin samtykkende kotvilling svært viktige for forskning på sykdommer med høy mortalitet, for eksempel kreft eller hjerte- og karsykdommer. Frafall vil potensielt kunne medføre begrensninger på forskbare problemstillinger. Kravet om å innhente nye samtykker medførte at Nasjonalt tvillingregister mistet omtrent 30 % av den opprinnelige tvillingkohorten, og registeret er derfor svært sårbart for ytterligere frafall.
Samfunnsnytten overstiger personvernulempen ved å bli registrert i Nasjonalt tvillingregister. I den grad hensyn skal tas til gjenlevende tvilling, vil Folkehelseinstituttet understreke at det kun søkes om å beholde den som har en kotvilling som allerede har samtykket til registrering i Nasjonalt tvillingregister.
Inkludering av data fra studien «Helseplager, personlighet og livskvalitet»
Denne delen av søknaden gjelder ikke inklusjon av nye tvillinger i registeret, men kun nye opplysninger gitt av tvillinger som tidligere har samtykket til både deltakelse i Nasjonalt tvillingregister og den aktuelle studien.
Inkludering av data fra studien «Psykiske lidelser hos tvillinger – en oppfølgingsstudie»
Det presiseres også for disse at opplysninger fra den aktuelle studien kun er fra tvillinger som allerede var i Nasjonalt tvillingregister på tidspunktet for studien (2010). 90 % av disse fornyet senere sitt samtykke for registering i Nasjonalt tvillingregister (2014).
Studien ble videreført i et nytt prosjekt: «Sammenhenger mellom personlighet og rus blant norske tvillinger – en oppfølgingsstudie» med prosjektstart i 2014 (REK 2010/767). Rundt 200 tvillinger som deltok i denne studien, og som ikke hadde fornyet samtykke for registrering i Nasjonalt tvillingregister i 2014, ble informert om at opplysninger fra denne nye studien skulle tilbakeføres til Nasjonalt tvillingregister.
Det er en rimelig vurdering at de som ikke sendte inn fornyet samtykke i 2014, ikke lot være i den hensikt å trekke seg fra registeret og den forskning som baseres på det, all den tid de deltok i et senere forskningsprosjekt hvor det er uttalt at opplysninger tilbakeføres til Nasjonalt tvillingregister etter prosjektslutt.
Manglende respons i helseundersøkelser er velkjent, og generelt har responsen vært fallende de siste tiårene. Imidlertid tyder lite på at det skyldes økende skepsis eller motstand mot slike undersøkelser. Folkehelseinstituttet ber derfor om at opplysninger fra disse tvillingene kan videreføres i Nasjonalt tvillingregister.
Oppsummering
Folkehelseinstituttet ber om at konsesjonens punkt 1 justeres til å kunne inkludere 56 døde tvillinger med samtykkende kotvilling, og at konsesjonens punkt 3 og 4 omgjøres til å kunne inkludere opplysninger fra studiene «Helseplager, personlighet og livskvalitet» og «Psykiske lidelser hos tvillinger – en oppfølgingsstudie».
Datatilsynets vurdering
Inkludering av døde tvillinger
Spørsmålet om å inkludere tvillinger uten samtykke er endelig avgjort i den tidligere saksbehandlingen og i Personvernnemndas klagebehandling i PVN-2013-17 (Tvillingregisteret). I de vurderinger som er gjort er det tatt høyde for at det ville forekomme frafall som følge av at enkelte av de registrerte i etterkant var døde.
Det er ikke framkommet nye opplysninger som ikke allerede er tatt i betraktning i tilsynets og Personvernnemndas tidligere vurderinger av problemstillingen. Dette innebærer at all registrering i Nasjonalt tvillingregister skal baseres på samtykke.
Opplysninger om døde personer kan derfor ikke inkluderes i registeret.
Inkludering av data fra studien «Helseplager, personlighet og livskvalitet»
Muligheten for å inkludere data om tvillingene fra denne studien må bero på en tolkning av det samtykket de registrerte har gitt. Dette samtykket kan enten ha blitt gitt i forbindelse med deltakelse i den aktuelle studien eller i forbindelse med inkludering i Nasjonalt tvillingregister.
Ut fra en tolkning av de foreliggende samtykkene foreligger det etter tilsynets vurdering ikke samtykke til inkludering av data på tvers av disse behandlingsformålene. Datatilsynet har gått gjennom de foreliggende samtykkene og informasjonsskrivene, og kom til at ingen av disse tillot overføringen av data fra prosjektet over til registeret.
Inkludering av data fra studien «Psykiske lidelser hos tvillinger – en oppfølgingsstudie»
Datatilsynet mener at Nasjonalt tvillingregister også i 2010 framsto som et tidsbegrenset register. Det samtykket som eventuelt er gitt til deltakelse eller overføring av opplysninger til Nasjonalt tvillingregister må vurderes i lys av saken i sin helhet. Det har vært påkrevet med innhenting av nye samtykker fra de registrerte, og rekkevidden av et samtykke avgitt i 2010 er dermed begrenset.
Datatilsynet er av den oppfatning at også dette spørsmålet ble vurdert i konsesjonsbehandlingen, og det er ikke framkommet nye opplysninger i saken i klageomgangen. Tilsynet fastholder derfor opprinnelige vedtak, som konkluderer med at inkludering av data fra dette aktuelle prosjektet krever gyldige samtykker fra de registrerte.
Datatilsynet har forståelse for at kravet om nye samtykker har konsekvenser for gjennomføringen og videreføringen av Nasjonalt tvillingregister. Det er imidlertid fastslått i tidligere vedtak som er stadfestet av Personvernnemnda, at det ikke er anledning til å registrere opplysninger i Nasjonalt tvillingregister uten at det foreligger samtykke fra de registrerte.
Personvernnemndas vurdering
Saken gjelder klage over Datatilsynets vedtak om å avslå søknad fra Folkehelseinstituttet om endring av konsesjonsvilkårene for Nasjonalt tvillingregister.
Om lovvalg og det rettslige utgangspunktet
Nemnda vil først si noe om hvilken lov som kommer til anvendelse.
Ny lov om behandling av personopplysninger (personopplysningsloven nr. 38/2018) trådte i kraft 20. juli 2018. Det følger av personopplysningsloven 2018 § 1 at Europaparlaments- og rådsforordning (EU) 679/2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (GDPR eller forordningen), gjelder som norsk lov fra 20. juli 2018. Fra samme tidspunkt er tidligere lov om behandling av personopplysninger (personopplysningsloven 2000) opphevet.
De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av personopplysningsloven 2000. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket, jf. forarbeidene til loven, Prop. 56 LS (2017–2018) side 9.
Personopplysningsloven 2018 har overgangsregler i § 33. Det følger av denne bestemmelsen at reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige, jf. forbudet i Grunnloven § 97 mot av lover gis tilbakevirkende kraft. I denne saken er det ikke spørsmål om ileggelse av overtredelsesgebyr, og det følger da forutsetningsvis av personopplysningsloven 2018 § 33 at det er loven, slik den lyder på avgjørelsestidspunktet, som skal legges til grunn for Personvernnemndas vedtak.
Dette er også omtalt i forarbeidene til personopplysingsloven 2018, Prop. 56 LS (2017-2018) side 196, hvor departementet blant annet uttaler følgende:
«Det vil være en rekke saker som verserer for tilsynsmyndigheten og Personvernnemnda på ikraftsettingstidspunktet for den nye personopplysningsloven. Forordningen inneholder ingen overgangsbestemmelser som regulerer behandlingen av slike saker. Utgangspunktet vil være at vedtak hos Datatilsynet og Personvernnemnda vil måtte fattes på grunnlag av de til enhver tid gjeldende materielle regler».
Etter de nye reglene faller konsesjonsordningen i personopplysningsloven 2000 bort.
Det framgår imidlertid av forordningens fortalepunkt 171:
«Beslutninger truffet av Kommisjonen og godkjenninger gitt av tilsynsmyndigheter på grunnlag av direktiv 95/46/EF skal fortsette å gjelde fram til de endres, erstattes eller oppheves».
Det er gitt overgangsregler om behandling av personopplysninger i forskrift, FOR-2018-06-15-877. Forskriften § 3 fastslår følgende om opphevelse av konsesjoner og tillatelser:
«Konsesjoner gitt i medhold av lov 14. april 2000 nr. 31 om behandling av personopplysninger, forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger og lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger opphører å gjelde med mindre annet er bestemt.
Tillatelser gitt i medhold av lov 14. april 2000 nr. 31 om behandling av personopplysninger § 9 tredje ledd opphører å gjelde med mindre annet er bestemt.»
I forarbeidene til den nye loven, Prop. 56 LS (2017-2018) side 94 uttaler departementet blant annet dette om overgangsreglene ved bortfall av konsesjoner:
«Etter departementets syn bør som et utgangspunkt gjeldende konsesjoner ikke videreføres ved ikrafttredelse av ny personopplysningslov. Dette vil ikke innebære at behandlingene som konsesjonene gjelder, blir ulovlige. Konsesjonens vilkår vil imidlertid bortfalle, og det vil ikke lenger være en plikt til å søke konsesjon for tilsvarende behandling av personopplysninger.»
Videre uttales det på samme side i proposisjonen:
«Når en konsesjon ikke videreføres, vil eventuelle vilkår i konsesjonen som knytter spesifikke krav til hvordan en behandling skal utføres, ikke lenger være bindende for den behandlingsansvarlige. I stedet må den behandlingsansvarlige sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter. Dette innebærer at behandlingen ikke er ulovlig bare fordi den ikke lenger utføres i samsvar med vilkårene i den opphevede konsesjonen. Det er i stedet tolkningen og anvendelsen av de generelle reglene som er avgjørende for lovligheten. Hvis konsesjonsvilkårene for eksempel fastsetter en spesifikk maksimal lagringstid for personopplysningene, vil det ikke være denne fristen som er avgjørende for hvor lenge opplysningene kan lagres – i stedet må det foretas en konkret vurdering av forordningens bestemmelser om lagringsbegrensning.»
Selv om saken oppsto før den nye loven trådte i kraft, og Datatilsynet har vurdert saken etter personopplysningsloven 2000, skal nemnda altså behandle denne saken etter personopplysningsloven 2018. Det innebærer at nemnda må ta stilling til om den behandlingen Folkehelseinstituttet ønsker å foreta er lovlig i henhold til personopplysningsloven 2018 og GDPR.
Behandlingsgrunnlag
Ved iverksettelsen av ny lov er konsesjonsordningen erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med forordningens generelle bestemmelser og eventuelle supplerende lover og forskrifter, herunder sikre at den behandlingen av personopplysninger som skjer har et behandlingsgrunnlag.
Det er ingen tvil om at opplysningene det i dette tilfellet er spørsmål om å overføre til Nasjonalt tvillingregister, er helseopplysninger som i henhold til artikkel 9 nr. 1 tilhører «særlige kategorier av personopplysninger». Helseopplysninger er definert i artikkel 4 nr. 15 som «personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand». Det betyr at behandlingsgrunnlag må foreligge både i artikkel 9 nr. 2 og i artikkel 6, jf. Prop. 56 LS (2017-2018) i kapittel 7 «Særlige kategorier av personopplysninger» side 39, hvor det uttales følgende om artikkel 9:
«Nummer 1 oppstiller en hovedregel om at behandling av slike personopplysninger er forbudt. For at behandling av personopplysninger som omfattes av forbudet i artikkel 9 nr. 1, skal være lovlig, må vilkårene i et av unntakene i artikkel 9 nr. 2 være oppfylt. I tillegg må det foreligge behandlingsgrunnlag etter artikkel 6, jf. fortalepunkt 51, hvor det fremgår at også de allmenne prinsippene og de andre reglene i forordningen får anvendelse, «særlig når det gjelder vilkårene for lovlig behandling.»
Det samme framkommer i proposisjonens kapittel 32 «Helselovene» side 183, hvor departementet uttaler:
«For at behandling av helseopplysninger skal være lovlig etter forordningen, må minst ett av vilkårene i forordningen artikkel 6 nr. 1 og i artikkel 9 nr. 2 være oppfylt, se punkt 6.3 til 6.4 og 7.1 over om reglene om behandlingsgrunnlag og behandling av særlige kategorier av personopplysninger.»
Helseregisterloven § 6 har også fått en ny bestemmelse om at «[h]elseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5». Artikkel 5 stiller krav om lovlighet, rettferdighet og åpenhet, samt formålsbegrensning, dataminimering, nøyaktighet, lagringsbegrensning, integritet, konfidensialitet og ansvar.
Datatilsynet tok i vedtak 20. april 2016 stilling til spørsmålet om endring av Folkehelseinstituttets gjeldende konsesjon. Konsesjonsordningen er tilsynsmyndighetens forhåndskontroll av om søkerens planlagte databehandlinger oppfyller lovens krav, og utgjør i utgangspunktet ikke et selvstendig behandlingsgrunnlag.
Da Datatilsynet delvis avslo endringssøknaden la tilsynet i vurderingen til grunn at behandlingsgrunnlaget for personopplysninger i Nasjonalt tvillingregister var samtykke, og at videre behandling av de innsamlede opplysningene måtte skje i tråd med de samtykkene som var gitt. Der det ikke forelå samtykke, måtte samtykke innhentes. Tilsynet viste til at spørsmålet om annet behandlingsgrunnlag enn samtykke var vurdert tidligere, både av tilsynet og av nemnda, jf. PVN-2013-17, og fant ikke grunnlag for å endre denne vurderingen.
Nemnda vil bemerke at utgangspunktet når konsesjonen er bortfalt, er at nemnda står fritt til å vurdere hvilket behandlingsgrunnlag som kommer til anvendelse. Etter personopplysningsloven 2018 og GDPR er de alternative behandlingsgrunnlagene likestilt, og det er ikke slik at samtykke som behandlingsgrunnlag kan framholdes som en hovedregel. Nemnda legger likevel til grunn at det for opprettelse eller utvidelse av nasjonale helseregistre som hovedregel fortsatt kreves samtykke fra den registrerte, med mindre det er gitt forskrifter som fastsetter noe annet med hjemmel i helseregisterloven § 10.
Nemnda vil følgelig først vurdere om de samtykkene som er innhentet fra de registrerte omfatter en overføring av personopplysningene til Nasjonalt tvillingregister. For å avgjøre dette, må de avgitte samtykkene tolkes. Dersom de innhentede samtykkene ikke anses dekkende, blir spørsmålet om personvernforordningen krever samtykke fra de registrerte slik Datatilsynet har lagt til grunn med bakgrunn i bestemmelsene gitt i konsesjonen, eller om det foreligger annet gyldig behandlingsgrunnlag. Nemnda kommer tilbake til dette.
Idet følgende behandles først spørsmålet om det foreligger samtykke til å inkludere opplysninger om døde tvillinger, deretter om det foreligger samtykke til å inkludere personopplysninger fra studien «Helseplager, personlighet og livskvalitet» og til slutt spørsmålet om det foreligger samtykke til å inkludere opplysninger fra studien «Psykiske lidelser hos tvillinger – en oppfølgingsstudie».
Inkludering av døde tvillinger
Datatilsynet har gitt avslag på søknad om konsesjon til å inkludere opplysninger fra døde personer i Nasjonalt tvillingregister. Opprinnelig søkte Folkehelseinstituttet om å inkludere 245 deltakere som man ikke hadde klart å komme i kontakt med for å innhente samtykke til registrering. Dette gjaldt både personer som ikke var registrert med gyldig adresse og personer som var døde. I klagen over Datatilsynets avslag har Folkehelseinstituttet endret dette til kun å omfatte 56 døde personer, som alle har en levende tvilling som har samtykket til registrering i Nasjonalt tvillingregister.
GDPR gjelder ikke for behandling av personopplysninger om døde personer, men det kan i nasjonal rett gis egne regler om dette, jf. fortalepunkt 27. Personopplysninger om døde personer var ikke omfattet av personopplysningsloven 2000, og lovgiver har lagt til grunn at denne rettstilstanden også videreføres i personopplysningsloven 2018. En personopplysning om en død person vil dermed bare omfattes av lovens og forordningens regler hvis opplysningen samtidig er en personopplysning om en levende person, jf. Prop. 56 LS (2017–2018) side 26.
Opplysningene om de døde personene er, i den grad de er personopplysninger, å anse som personopplysninger om den levende kotvillingen. Det er opplyst at den levende kotvillingen har samtykket til registering av personopplysningene om seg i Nasjonalt tvillingregister. Nemnda mener på denne bakgrunn at inkludering av disse opplysningene er lovlig etter GDPR artikkel 6 nr. 1 og artikkel 9 nr. 2 bokstav a.
Folkehelseinstituttet gis etter dette medhold i denne delen av klagen.
Inkludering av data fra studien «Helseplager, personlighet og livskvalitet»
Datatilsynet har gitt avslag på søknad om konsesjon til å inkludere personopplysninger fra denne tvillingstudien til Nasjonalt tvillingregister og har konkludert med at det krever innhenting av nye samtykker fra de personene det gjelder. I dette ligger at Datatilsynet mener at de innhentede samtykkene ikke er dekkende for den behandlingen av personopplysninger Folkehelseinstituttet ønsker å gjøre.
GDPR artikkel 4 nr. 11 definerer samtykke fra den registrerte slik:
«enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende»
Nemnda må tolke samtykket deltakerne i studien «Helseplager, personlighet og livskvalitet» har gitt, for å vurdere om det fyller personvernforordningens krav til et gyldig samtykke for inkludering av personopplysningene i Nasjonalt tvillingregister.
Nemnda legger til grunn at alle forskningsdeltakerne i dette prosjektet har avgitt gyldig samtykke for registrering i Nasjonalt tvillingregister. Det framgår også av informasjonsskrivet med invitasjon til deltakelse i den aktuelle forskningsstudien at personene som tilskrives er «valgt ut som en mulig deltaker ut fra opplysninger hentet fra Nasjonalt tvillingregister». Det framgår videre følgende av den framlagte informasjonsbrosjyren:
«Opplysningene som samles inn om deg i dette prosjektet vil bli tilbakeført til Nasjonalt tvillingregister og forvaltes i tråd med de retningslinjer som er gjeldende for registeret. Dette betyr at opplysningene via tvillingregisteret vil kunne inngå i ytterligere forskning og analyser innenfor tvillingregisterets formål.»
Det framgår også av samtykkeskjemaet som var vedlagt informasjonsskrivet at prosjektet var et «Delprosjekt Nasjonalt tvillingregister».
Før igangsettelsen av prosjektet ble det innhentet forhåndsgodkjenning fra Regional komité for medisinsk og helsefaglig forskningsetikk Sør-Øst (REK Sør-Øst), jf. helseforskningsloven § 9, jf. § 10. I den opprinnelige søknaden var det i informasjonsskrivet opplyst at «[a]videntifiserte data vil bli overført til Norsk Tvillingregister». REK Sør-Øst, som godkjente forskningsprosjektet, påpekte i sitt vedtak:
«Man bør i prosjektet legge opp til at det innhentes et bredt samtykke til bruk av opplysningene i fremtidig forskning innenfor feltet tvillingstudier. I det forelagte informasjonsskrivet er kun det følgende anført: Avidentifiserte data vil bli overført til Norsk tvillingregister. Det samme avsnittet i informasjonsskrivet starter med: Informasjon som registreres om deg skal kun brukes som beskrevet i hensikten med studien. Det betyr at dersom materialet oppfattes som interessant for senere oppfølging, vil nytt samtykke måtte innhentes fra deltakerne.» (Nemndas utheving)
Teksten i informasjonsskrivet ble, etter denne påpekningen fra REK Sør-Øst, endret til slik den lyder i sitatet ovenfor fra gjeldende informasjonsbrosjyre.
Når det gjelder samtykke til behandling for forskningsformål, viser nemnda til at det følger av GDPRs fortalepunkt 33 at den registrerte kan gi et bredt samtykke, det vil si å «gi sitt samtykke til visse områder innen vitenskapelig forskning når dette er i samsvar med anerkjente etiske standarder for vitenskapelig forskning», jf. Prop. 56 LS (2017–2018) side 70.
Nemnda mener at deltakerne i forskningsprosjektet med dette har fått tilstrekkelig og nødvendig informasjon, og at de har samtykket til at de personopplysningene som innhentes i forbindelse med gjennomføringen av forskningsstudien, i etterkant kan overføres til Nasjonalt tvillingregister og brukes i tråd med de retningslinjene som gjelder for dette registeret, herunder nye forskningsprosjekter innenfor tvillingstudiens formål.
Folkehelseinstituttet gis etter dette medhold i denne delen av klagen.
Inkludering av data fra studien «Psykiske lidelser hos tvillinger – en oppfølgingsstudie»
Også for dette punktet har Datatilsynet gitt avslag på søknad om konsesjon til å inkludere personopplysninger fra denne tvillingstudien til Nasjonalt tvillingregister og slått fast at dette krever innhenting av nye samtykker.
Folkehelseinstituttet har opplyst at alle tvillingene som deltok i denne studien var registrert i Nasjonalt tvillingregister på tidspunktet for studien (2010), og at 90 % av disse senere fornyet sitt samtykke for registrering i Nasjonalt tvillingregister (2014). Folkehelseinstituttet har anført at de 10 % som ikke har samtykket til fortsatt registrering i Nasjonalt tvillingregister «ikke lot være i den hensikt å trekke seg fra registeret og den forskning som baseres på det», blant annet fordi de senere samtykket til å delta i et annet forskningsprosjekt: «Sammenhenger mellom personlighet og rus blant norske tvillinger – en oppfølgingsstudie». Her ble det informert om at opplysningene i studien skulle tilbakeføres til Nasjonalt tvillingregister.
Nemnda kommer tilbake til betydningen av samtykke gitt i en senere oppfølgingsstudie, men vil først se nærmere på det samtykket som ble gitt for den studien denne saken gjelder: «Psykiske lidelser hos tvillinger – en oppfølgingsstudie». Nemnda må også her vurdere om det aktuelle samtykket fyller personvernforordningens krav til et gyldig samtykke for inkludering av personopplysningene i Nasjonalt tvillingregister.
Det framgår av informasjonsskrivet med invitasjon til deltakelse i den aktuelle forskningsstudien at personene som tilskrives for noen år siden deltok i en intervjuundersøkelse om psykisk helse, og at forskningsprosjektet de nå inviteres til å delta i er en oppfølging av den forrige undersøkelsen.
Det framgår under overskriften «Samtykke» i informasjonsskrivet at:
«Besvart og innlevert spørreskjema regnes som samtykke til at resultatene brukes til forskning som beskrevet i denne invitasjonsbrosjyren.» (nemndas utheving)
Under overskriften «Hva skjer med informasjonen om deg?» framkommer det blant annet følgende:
«Informasjonen som registreres om deg skal bare brukes slik som beskrevet i hensikten med studien og i samsvar med godkjenning av Regional komité for medisinsk og helsefaglig forskningsetikk. […]
Det vil på sikt kunne være aktuelt å koble de innsamlede dataene mot opplysninger som er registrert i nasjonale helseregistre, som Reseptregisteret, Dødsårsaksregisteret og Norsk Pasientregister, eller mot registre ved Statistisk Sentralbyrå. Dette er for å undersøke forhold som kan virke inn på psykiske lidelser, som for eksempel informasjon om sysselsetting og offentlige ytelser. Slik sammenstilling vil kun skje etter forhåndsgodkjenning fra nødvendig offentlige instanser.
Avidentifiserte data vil etter prosjektslutt tilbakeføres til Nasjonalt Tvillingregister ved Folkehelseinstituttet, og oppbevares i henhold til tidsbegrenset godkjenning gitt av Regional komité for medisinsk og helsefaglig forskningsetikk.» (nemndas uthevinger)
Slik nemnda ser det, har deltakerne i dette forskningsprosjektet ikke gitt et informert og utvetydig samtykke til at opplysningene skal overføres til Nasjonalt tvillingregister med det formål at det skal inngå i ytterligere forskning og analyser innenfor registerets formål. Tvert imot sies det uttrykkelig at opplysningene bare skal brukes som beskrevet i «hensikten med studien», som ifølge informasjonsskrivet er «å kunne finne ut i hvilken grad det er gener eller spesielle faktorer i miljøet som påvirker utviklingen av psykiske lidelser og personlighetstrekk». Det er derfor ikke samtykket til at opplysningene kan brukes i andre tvillingstudier innenfor formålet til Nasjonalt tvillingregister. Det innebærer, som påpekt av REK Sør-Øst i forbindelse med godkjenning til studien «Helseplager, personlighet og livskvalitet» (gjengitt ovenfor) at materialet, dersom det oppfattes som interessant for senere oppfølging, ikke kan brukes uten at det innhentes nytt samtykke fra deltakerne. En slik forståelse er også i samsvar med de generelle prinsippene for behandling av personopplysninger som følger av GDPR artikkel 5 nr. 1 bokstav b), jf. kravet om spesifikke og uttrykkelig angitte formål. Nemnda er enig med Datatilsynet, slik også REK Sør-Øst har lagt til grunn, at Folkehelseinstituttet må innhente nytt samtykke fra deltakerne dersom opplysningene fra studien skal overføres til Nasjonalt tvillingregister. Deltakerne må da informeres om at resultatene kan bli benyttet til senere forskning innenfor registerets formål, og at det er det som er hensikten med å overføre opplysningene til Nasjonalt tvillingregister. Slik teksten er utformet i informasjonsskrivet gjengitt ovenfor synes det som overføring til Nasjonalt tvillingregister gjøres for «oppbevaring», ikke for ytterligere bruk og senere forskning.
Nemnda kan ikke se at det senere innhentede samtykket til deltakelse i oppfølgingsstudien «Sammenhenger mellom personlighet og rus blant norske tvillinger – en oppfølgingsstudie» reparerer manglene i det opprinnelige samtykket fra forskningsdeltakerne. Nemnda bemerker for det første at dersom et slikt senere avgitt samtykke skulle kunne reparere manglene ved et tidligere gitt samtykke, ville det normalt forutsette spesifikk og uttrykkelig informasjon om dette. Det er ikke tilfellet for det informasjonsskrivet som er sendt de aktuelle forskningsdeltakerne. For det andre bemerker nemnda at heller ikke informasjonen som er gitt deltakerne i denne senere oppfølgingsstudien, omfatter informasjon om at resultatene (herunder de registrerte personopplysningene) fra studien kan bli benyttet til senere forskning innenfor registerets formål, og at det er det som er hensikten med å overføre opplysningene til Nasjonalt tvillingregister.
Personvernnemnda er etter dette enig med Datatilsynet i at deltakerne i forskningsprosjektet «Psykiske lidelser hos tvillinger – en oppfølgingsstudie», ikke har samtykket til at opplysningene overføres til Nasjonalt tvillingregister med tanke på bruk i senere forskningsprosjekter.
Nemndas konklusjon om at det ikke er innhentet gyldige samtykker til å inkludere opplysningene fra dette forskningsprosjektet i Nasjonalt tvillingregister, ville være den samme selv om alle forskningsdeltakerne i forkant hadde gitt samtykke til å bli registrert i Nasjonalt tvillingregister. Et slikt bredt samtykke innebærer ikke samtidig et samtykke til å inkludere nye opplysninger fra senere forskningsprosjekter i registeret. I dette tilfellet er det 10 % av deltakerne som ikke hadde gitt samtykke til registrering i Nasjonalt tvillingregister, noe som innebærer at konklusjonen, etter nemndas vurdering, blir enda klarere.
I og med at nemnda har kommet til at deltakerne i forskningsprosjektet «Psykiske lidelser hos tvillinger – en oppfølgingsstudie», ikke har samtykket til at personopplysningene om dem overføres til Nasjonalt tvillingregister for senere bruk der, kan behandlingsgrunnlag ikke søkes i samtykkealternativet i GDPR artikkel 6 og artikkel 9, uten at det innhentes nytt samtykke som fyller kravene i artikkel 4 nr. 11.
Det neste spørsmålet blir derfor om det foreligger annet gyldig behandlingsgrunnlag etter GDPR. Datatilsynet har vist til at dette er vurdert tidligere av både Datatilsynet og Personvernnemnda i PVN-2013-17 (Tvillingregisteret), og at det ikke er framkommet opplysninger som tilsier en annerledes vurdering av dette spørsmålet i dag. Folkehelseinstituttet har på sin side anført at samfunnsnytten overstiger personvernulempen ved å bli registrert i Nasjonalt tvillingregister.
Nemnda legger til grunn at GDPR artikkel 6 nr. 1 bokstav f) kan være aktuelt alternativt behandlingsgrunnlag i denne saken. I forståelsen av hva som kan innfortolkes i dette kravet uttaler departementet i Prop. 56 LS (2017–2018) side 31 og 32, at forordningens regler om behandlingsgrunnlag i stor grad svarer til gjeldende rett. Videre fremkommer det at artikkel 6 nr. 1 bokstav f) viderefører personopplysningsloven 2000 § 8 første ledd bokstav f), og gir adgang til å behandle opplysninger på grunnlag av en interesseavveining.
GDPR artikkel 9 begrenser som nevnt adgangen til å behandle visse typer personopplysninger, herunder helseopplysninger. Etter artikkel 9 nr. 2 bokstav j) kan, blant annet, helseopplysninger behandles dersom:
«[b]ehandlingen er nødvendig for […] formål knyttet til vitenskapelig […] forskning […] i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»
Det er videre i personopplysningloven 2018 § 9 bestemt at slik behandling kan skje når «samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte». Dette vilkåret viderefører personopplysningsloven 2000 § 9 første ledd bokstav h, se Prop. 56 LS (2017–2018) side 213.Videre er det i bestemmelsens andre ledd regler om den behandlingsansvarliges rådføringsplikt, eventuelt gjennomføring av konsekvensutredning mv. Nemnda går ikke nærmere inn på disse bestemmelsene i og med at behandlingen av denne saken startet hos Datatilsynet etter de tidligere reglene i personopplysningsloven 2000.
Det skal med andre ord foretas en interesseavveining både etter GDPR artikkel 6 bokstav f) og etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 første ledd. Nemnda legger til grunn at den interesseavveiningen som foretas etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 første ledd, representerer et sterkere vern for personverninteressene enn vurderingen etter artikkel 6 bokstav f), jf. kravet om at behandlingen må være «nødvendig» og at samfunnsinteressene «klart» må overstige ulempene for den enkelte. Det innebærer at dersom man kommer til at behandlingen er lovlig etter en interesseavveining foretatt etter artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 første ledd, vil den også være lovlig etter artikkel 6 bokstav f.
Personvernnemnda tar utgangspunkt i at det er det opprinnelige behandlingsgrunnlaget (i dette tilfellet samtykke) som normalt danner rammen for hvilken behandling av personopplysninger som er tillatt. Nemnda viser til PVN-2013-17 (Tvillingregisteret), hvor nemnda uttalte:
«Utgangspunktet er […] at det opprinnelige behandlingsgrunnlaget danner rammen for hva opplysningene kan benyttes til. Det vil kunne uthule samtykket som behandlingsgrunnlag dersom man kunne innhente opplysninger til et bestemt prosjekt ved samtykke for deretter å oppbevare dette til andre og nye formål med hjemmel i [personopplysningsloven 2000] §§ 8 d) og 9 h).»
Nemnda har ikke funnet at samfunnsinteressene klart overstiger personvernulempene i dette tilfellet og mener at de registrertes grunnleggende rettigheter og friheter i dette tilfellet må gå foran samfunnsinteressene, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9. Nemnda vil begrunne sin vurdering nærmere i det følgende.
Datatilsynet har foretatt en bred vurdering av denne interesseavveiningen i 2013 da Folkehelseinstituttet også søkte om en utvidelse av Nasjonalt tvillingregister. Tilsynet la til grunn at Nasjonalt tvillingregister har høy nytteverdi og pekte i sin vurdering på at Folkehelseinstituttet har etablert et godt system for identitetsforvaltning i sine forskningsprosjekter, samt at de har etablert gode kanaler for å gi forskningsdeltakerne informasjon om bruken av personopplysningene. Datatilsynet kom likevel til at samfunnsinteressene for utvidelse av registeret, uten at det innhentes gyldige samtykker, ikke oversteg personvernulempen for de registrerte. Datatilsynet la avgjørende vekt på at det dreide seg om registrering av mye sensitiv informasjon i et permanent landsomfattende register, som er ment for bruk til forskning både nasjonalt og internasjonalt. Datatilsynet mente på denne bakgrunn at de registrerte hadde en berettiget interesse i selv aktivt å ta stilling til om de ønsket at personopplysninger om dem skulle registreres i dette registeret, og at samtykke til deltakelse i enkeltprosjekter ikke er det samme som å samtykke til registrering i Nasjonalt tvillingregister. Personvernnemnda stadfestet Datatilsynets vedtak og viste til tilsynets begrunnelse, se PVN-2013-17 (Tvillingregisteret). Nemnda uttalte også:
«Utgangspunktet er […] at det opprinnelige behandlingsgrunnlaget danner rammen for hva opplysningene kan benyttes til. Det vil kunne uthule samtykket som behandlingsgrunnlag dersom man kunne innhente opplysninger til et bestemt prosjekt ved samtykke for deretter å oppbevare dette til andre og nye formål med hjemmel i §§ 8 d) og 9 h).»
Nemnda utelukker ikke at det kan forekomme en slik endring av behandlingsgrunnlaget i en situasjon hvor samfunnsinteressene klart overstiger personvernulempene, men vilkårene er etter nemndas vurdering ikke oppfylt i dette tilfellet. Nemnda mener at det på sikt kan slå uheldig ut for forskningsmiljøene dersom betydningen av innhentede samtykker uthules på denne måten og at opplysninger innhentet etter samtykke, tillates brukt på annen måte enn opprinnelig angitt. Særlig gjelder det når de behandlingsansvarlige for de opprinnelig innsamlede opplysningene enkelt kunne sørget for tilstrekkelig og presis informasjon som grunnlag for et bredere samtykke som også tillot overføring av opplysningene til Nasjonalt tvillingregister for senere bruk innenfor registerets formål.
Denne delen av Datatilsynets vedtak stadfestes og Folkehelseinstituttet gis ikke medhold i sin klage på dette punktet.
Vedtak
En samlet nemnd har fattet følgende vedtak:
1. Opplysninger om døde personer som har en tvilling som har samtykket til registrering i Nasjonalt tvillingregister tillates inkludert i registeret. Datatilsynets vedtak omgjøres.
2. Inkludering av personopplysninger fra forskningsprosjektet «Helseplager, personlighet og livskvalitet» i Nasjonalt tvillingregister tillates som følge av at forskningsdeltakerne anses for å ha samtykket til en slik registrering. Datatilsynets vedtak omgjøres.
3. Personopplysninger fra forskningsprosjektet «Psykiske lidelser hos tvillinger – en oppfølgingsstudie» kan ikke overføres til Nasjonalt tvillingregister uten at det innhentes et samtykke fra forskningsdeltakerne. Datatilsynets vedtak stadfestes.
Oslo, 17. september 2018
Mari Bø Haugstad
Leder