- 17 av prosjektene hadde konsesjon, men hele 11 av disse fulgte ikke konsesjonskravene. Det må vi kunne kalle nedslående, sier prosjektansvarlig og juridisk rådgiver i Datatilsynet, Hanne P. Gulbrandsen. Hun understreker at brudd på konsesjonskravene gjør at prosjektene per definisjon er ulovlige etter personopplysningsloven og helseregisterloven.
Sensitive opplysninger
Forskning er en spesiell form for behandling av personopplysninger. Ofte forskes det på sensitive personopplysninger innenfor tema som enkeltpersonen betrakter som svært følsomme. Det er derfor særlig viktig at de som er med på slike forskningsprosjekt kan være trygge på at opplysningene om dem blir behandlet på en tilfredsstillende måte.
I 15 av 33 kontrollerte prosjekter fant Datatilsynet at man ikke hadde gyldig behandlingsgrunnlag. Det kan blant annet bety at pasienten ikke har mottatt informasjon om endringer i forskningsprosjektet, noe som igjen vil bety at samtykket ikke lenger er gyldig. Dette ser Datatilsynet alvorlig på.
Lav sikkerhet og brudd på sletteplikt
Når det gjelder den praktiske sikringen av opplysningene, var også resultatet nedslående. Av 31 relevante prosjekt betrakter Datatilsynet kun 17 til å være utført praktisk forsvarlig. Åtte prosjekt var utført delvis forsvarlig, mens hele seks ikke var forsvarlig utført etter Datatilsyntes oppfatning.
Tilsynene viste også at det jevnt over var en dårlig ivaretakelse av sletteplikten. Med en slik gjennomgående mangel på internkontroll hos de behandlingsansvarlige er det grunn til å tro at det foreligger store mørketall på dette området.
Brudd på konsesjonsplikt
I tilsynsprosjektet er det i liten grad gjort forsøk på å avdekke om det finnes forskningsprosjekter som ikke er lagt frem for Datatilsynet eller personvernombudet. Ved en tilfeldighet ble det likevel avdekket to konsesjonspliktige forskningsprosjekt som det ikke er søkt om konsesjon for etter helseregisterloven og personopplysningsloven.
Last ned hele rapporten her (pdf-fil)