Uttalelse om personvern og forskningsetikk

Last ned som PDF

Formålet med denne uttalelsen er å klargjøre rammer og retningslinjer knyttet til personvern og forskningsetikk i Norge. Uttalelsen er utarbeidet på selvstendig initiativ av Den nasjonale forskningsetiske komité for samfunnsvitenskap og humaniora (NESH), med utgangspunkt i Forskningsetiske retningslinjer for samfunnsvitenskap og humaniora (2023) [1]. NESH er en faglig uavhengig komité [2], og uttaler seg på bakgrunn av en rekke saker som har vært drøftet i komiteen. Uttalelsen bygger også på erfaringer og innspill fra studenter, forskere og andre ansatte ved forskningsinstitusjoner, som personvernombud og forskningsadministrasjon.

NESH legger til grunn at personvern er en forskningsetisk forpliktelse, ikke bare et aspekt ved behandling av personopplysninger i juridisk forstand. NESH vil understreke forskjellen mellom personvern i etisk forstand og personvern i juridisk forstand, fremheve skillet mellom personvern og personopplysningsvern, og redegjøre for hva som er forholdet mellom de hensyn som forskningsetikken ivaretar og de hensyn som er ivaretatt av personopplysningsloven med forordning (GDPR) [3]. Dette er viktig på flere måter: Personopplysningsloven oppstiller juridiske krav som forskere må følge, mens de forskningsetiske retningslinjene handler om ulike etiske hensyn som forskeren må vurdere og avveie. Loven legger behandlingsansvaret på institusjonen, mens ansvaret for forskningsetikken er delt mellom institusjonen og forskeren [4]. Forskere har altså et selvstendig ansvar for å ivareta forskningsetikken. Det gir frihet, men også forpliktelser [5].

Personvern

Selve begrepet personvern vokste frem på 1970-tallet i forbindelse med utviklingen av elektronisk databehandling (EDB) og nye systemer for behandling av persondata i offentlig og privat sektor. Det ble definert som den interesse enkeltpersoner har i å utøve kontroll med den informasjon som beskriver dem. Formålet var primært vern av personopplysninger, mot statlig maktmisbruk og overdreven kontroll og i forbindelse med uønsket reklame eller pågående opinionsundersøkelser. Personvern ble altså forstått som personopplysningsvern, i relasjon til andre aktører, ikke som beskyttelse av selve personen [6].

I Norge ble vernet av personopplysninger regulert i personregisterloven av 1978, og den ble erstattet av personopplysningsloven i 2000. EUs personvernforordning (GDPR) trådte i kraft i 2018, og den ble innarbeidet i norsk rett med en ny personopplysninglov. Dette lovverket er generelt, og omfatter all behandling av personopplysninger. Ansvaret ligger på institusjonen (GDPR, art. 5.2, art. 24), og institusjonen skal ivareta nødvendige garantier (GDPR, art. 89), for eksempel må de ha et personvernombud (GDPR, art. 37–39).

Personvern i videre forstand bygger på menneskeverdet, det vil si forestillingen om at hvert enkelt menneske har en ukrenkelig verdi. Det handler om å beskytte individets integritet og autonomi, basert på et skille mellom privat og offentlig, mot illegitime inngrep eller innsyn fra statsmakter, medier eller andre medborgere. Formålet er ikke primært å beskytte opplysningene, men å beskytte selve individet mot krenkelse av personlige forhold eller privatlivets fred. Denne privatsfæren er viktig for individets frihet og selvbestemmelse, men også for den allmenne interesse, som grunnlag for deltakelse i et opplyst offentlig ordskifte og for demokratiets utvikling. Retten til privatliv skal altså sikre personlig integritet, også i situasjoner hvor det ikke er snakk om behandling av personopplysninger [7].

Vern av personlig integritet ble opprinnelig regulert i straffelovens forbud mot legemskrenkelser, og begrepet «privatliv» ble tatt inn i menneskerettsloven i 1999 [8]. I 2024 ble retten til respekt for privatlivet tatt inn i Grunnloven § 102:

Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. 
Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
Statens myndigheter skal sikre et vern om den personlige integritet [9].

Formuleringen i Grunnloven gjenspeiler Den europeiske menneskerettskonvensjon (1950), artikkel, 8 om retten til privatliv og familieliv [10]. De grunnleggende prinsippene er også fremhevet i EUs charter om grunnleggende rettigheter (2000), spesielt menneskeverd (art. 1) personlig integritet (art. 3), vern av privatliv (art. 7) og vern av personopplysninger (art. 8) [11].

Personvern kan følgelig forstås i snever eller vid forstand. Det omfatter både retten til å bestemme over egne personopplysninger og retten til et privatliv. Derfor kan det være nyttig å skille mellom personopplysningsvern, på den ene siden, og vern av privatliv, på den andre. 

På norsk kan dette være forvirrende, fordi vi har en personopplysningslov og en personvernforordning (GDPR). Forordningen er imidlertid avgrenset til Data Protection, altså til behandling av personopplysninger, og lovverket handler om personopplysningsvern, ikke personvern i vid forstand. 

Forskningsetikk

Personvern har alltid stått sentralt i forskningsetikken og er forankret i de samme grunnleggende verdiene som kommer til uttrykk i menneskerettighetene. NESHs retningslinjer har, siden første utgave i 1993, tatt utgangspunkt i respekt for menneskeverdet som grunnleggende prinsipp, knyttet til å sikre frihet og selvbestemmelse, å beskytte mot skade og smerte, og å trygge privatliv og nære relasjoner. Frihet og selvbestemmelse er knyttet til normer om informasjon og samtykke. Beskyttelse mot skade og urimelige belastninger er knyttet til normer om sårbarhet og risiko. Og respekt for privatliv er knyttet til normer om konfidensialitet og anonymisering. Disse forskningsetiske normene gjelder uansett og uavhengig av eventuelle juridiske krav ved behandling av personopplysninger.

Siden 1993 er NESHs retningslinjer blitt revidert i 1999, 2006, 2016 og 2021, samt en mindre justering i 2023, og i innledningen blir retningslinjenes status utdypet: 

Retningslinjene er rådgivende og skal bidra til å utvikle forskningsetisk skjønn og refleksjon, avklare etiske dilemmaer, fremme ansvarlig forskning og forebygge uredelighet. De redegjør for ulike hensyn og forpliktelser, og de utdyper ansvaret til forskere, forskningsinstitusjoner og andre forskningsaktører. I forskningsprosjekter bør retningslinjene ligge til grunn i hele prosessen – fra planlegging og gjennomføring til publisering og formidling (NESH 2023, Innledning).

NESHs retningslinjer består videre av fem deler (A–E), som angir ulike forskningsetiske forpliktelser:

A. Forskerfellesskapet

B. Hensyn til personer

C. Grupper og institusjoner

D. Oppdragsgivere, finansiører og samarbeidspartnere

E.  Forskningsformidling

I denne uttalelsen viser NESH i hovedsak til Del B. Hensyn til personer, ettersom den er mest relevant for personvern og forskningsetikk. Her finnes det retningslinjer om ulike hensyn til personer, for eksempel om ansvaret for å informere (NESH 2023, punkt 15) og om samtykke til å delta i forskning (NESH 2023, punkt 16), men også om personvern i vid forstand, for eksempel om beskyttelse av barn (NESH 2023, punkt 18) og vern av privatliv og familieliv (NESH 2023, punkt 23). Personvern omfatter også vern av personers fysiske og psykiske integritet, og NESHs retningslinjer omhandler blant annet risiko for skade og belastning (NESH 2023, punkt 28).

Forskningsetikkloven kom først i 2007, og en ny lov trådte i kraft i 2017 [12]. Loven legger til grunn at all forskning skal skje i henhold til anerkjente forskningsetiske normer, og ansvaret er todelt: Forskere har en selvstendig aktsomhetsplikt (§ 4), og forskningsinstitusjonene skal sikre at forskningen ved institusjonen skjer i henhold til anerkjente forskningsetiske normer. (§ 5). I tillegg har loven bestemmelser om behandling av uredelighetssaker både ved institusjonen og i det nasjonale Granskingsutvalget (§ 6–8). Institusjonenes bredere ansvar for å fremme god forskningsetikk er utdypet i FEKs Veileder om institusjonenes ansvar for forskningsetikk (2023) [13].

Forskningsetikken har et mye bredere virkeområde enn personopplysningsloven, på flere måter: i) den ivaretar andre personlige forhold og retten til privatliv; ii) den gjelder også forskning som ikke omfatter personopplysninger; iii) og den ivaretar ikke bare hensyn til personer, men også hensyn til grupper og institusjoner, hensyn til selve forskningen og hensyn til samfunnet, for eksempel spørsmål om risiko, makt og interesser. Personvern er altså en del av forskningsetikken, men etisk forsvarlig forskning handler om mye mer, blant annet god vitenskapelig praksis, deltakernes sikkerhet og velferd, samt et bredere samfunnsansvar.

NESH gjør oppmerksom på at forskningsetikken er regulert annerledes innen medisin og helsefaglig forskning. Her finnes det også etiske retningslinjer, som Helsinkideklarasjonen, og i 2009 ble den medisinske forskningsetikken regulert i helseforskningsloven [14]. Dersom et prosjekt «utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom», er det nødvendig å avklare med REK hvorvidt prosjektet faller innenfor helseforskningsloven (§ 4 a). I så fall gjelder bestemmelsene om samtykke etter helseforskningsloven, hvor samtykke til å delta i forskning er en hovedregel (§ 13). Dette kravet er strengere enn i NESHs forskningsetiske retningslinjer, noe som kan skape utfordringer for prosjekter innen samfunnsvitenskap og humaniora som beveger ser over i medisin og helsefaglig forskning. I så fall er det også et krav at «Forskningsprosjektet må være forhåndsgodkjent av den regionale komiteen for medisinsk og helsefaglig forskningsetikk» (§ 9). Helseforskningsloven skiller mellom forskningsansvarlig institusjon og person, og har i tillegg bestemmelser om ansvaret til prosjektleder (§ 4 e og f).

Forskningsetisk vurdering 

NESH vil presisere at det ikke er noe krav om forhåndsgodkjenning av forskning innen samfunnsvitenskap og humaniora. Flere institusjoner har imidlertid etablert et såkalt Ethical Review Board (ERB) eller Institutional Review Board (IRB) for å bistå forskere som møter krav om forskningsetisk vurdering eller forhåndsgodkjenning for eksempel i forbindelse med publisering, søknader eller internasjonalt samarbeid. Institusjonene kan selv vurdere om og hvordan de vil tilrettelegge for dette, og her finnes det flere ulike modeller, slik det er skissert i Veileder for institusjonenes ansvar for forskningsetikk (FEK 2023) [15]. Institusjonene står altså fritt til å vurdere om de ønsker å etablere fagspesifikke komiteer for samfunnsvitenskap og humaniora, og NESH har bidratt med innspill i denne debatten, blant annet til UHR Samfunnsfag.

NESH vil uansett anbefale at alle studenter og forskere selv gjennomfører en «forskningsetisk egenvurdering» av prosjektet, med utgangspunkt i Nasjonale forskningsetiske retningslinjer for samfunnsvitenskap og humaniora (NESH 2023). En forskningsetisk egenvurdering bør omfatte hele bredden av forskningsetiske retningslinjer, fra Del A til Del E, og den bør omfatte alle fasene i forskningsprosessen, fra planlegging til publisering. Formålet med en forskningsetisk egenvurdering er bevisstgjøring og refleksjon om forskningsetiske spørsmål, slik at det er mulig å begrunne egne valg på forsvarlig vis. 

Ansvaret for å informere 

NESHs forskningsetiske retningslinjer fremhever ansvaret for å informere som en selvstendig forpliktelse (NESH 2023, punkt 15). Dette ansvaret gjelder uavhengig av spørsmål om samtykke til å delta i forskning (NESH 2023, punkt 16). Ansvaret for å informere gjelder også uavhengig at juridiske krav om informasjonsplikt ved behandling av personopplysninger (GDPR, art. 13–14). De etiske forpliktelsene er mer omfattende enn de juridiske kravene i personopplysningsloven, for eksempel ved å fremheve privatliv, risiko og interessekonflikter. 

NESH presiserer at ansvaret for å informere er en forskningsetisk forpliktelse. Det er vanlig å ivareta dette ansvaret i form av et informasjonsskriv, men informasjonen kan også formidles på andre måter, avhengig av forskningens art. Samtidig finnes det flere legitime unntak, slik det fremgår av NESHs retningslinjer (NESH 2023, punkt 15). For medisinsk og helsefaglig forskning, finnes det en egen mal for informasjonsskriv, basert på kravene i helseforskningsloven [16].

I fortsettelsen vil NESH utdype hva dette ansvaret for å informere innebærer i praksis. Momentene er ikke tenkt som en sjekkliste, men som en kilde til refleksjon og ansvarlighet. Informasjonen skal være tydelig, tilpasset mottakerens alder og bakgrunn og formidlet på et språk og på en måte de forstår. Forskere skal uansett sikre at informasjonen er tilstrekkelig for å respektere deltakernes menneskeverd og deres integritet, sikkerhet og velferd. (NESH 2023, punkt 15). 

1. Hva er formålet med prosjektet? Forklar hva som er formålet med prosjektet, og gi mulighet for spørsmål og svar. Forklar også hvorfor prosjektet er viktig for forskning og samfunn. Det er viktig for å motivere til deltakelse.
2. Hva innebærer prosjektet? Forklar hvordan du har identifisert deltakerne og hvorfor de har rett til å bli informert. Forklar at det er frivillig i delta og at de har mulighet til å trekke seg eller reservere seg. Forklar hva det innebærer å delta i prosjektet, hvilke opplysninger som samles inn, hvordan de blir brukt, hva som eventuelt er vilkår for konfidensialitet og anonymisering, hvordan forskningen vil bli offentliggjort, formidlet og publisert.
3. Hva er mulige fordeler og ulemper? Forklar hva som er mulige gode konsekvenser for deltakere og for samfunnet mer generelt. Redegjør også for risiko både for deltakere og for samfunnet, samt hvilke tiltak som er gjort for å begrense mulig skade og belastning. Dette er spesielt viktig ved bruk av kunstig intelligens (KI) og i andre former for forskning hvor det er stor usikkerhet knyttet til mulige uønskete og utilsiktete konsekvenser.
4. Hvilke interesser er involvert? Forklar hvordan prosjektet er finansiert og organisert. Vær spesielt tydelig dersom du selv har ulike roller og interesser i prosjektet. Redegjør også for eventuelle økonomiske og politiske føringer som kan påvirke prosjektet.
5. Hvem er ansvarlig? Forklar hvem som er ansvarlig for prosjektet, både ditt eget ansvar som forsker og hvilken institusjon(er) som er ansvarlig. Dersom prosjektet har høy risiko, må du ha rutiner for tiltak og varsling, samt kontaktopplysninger for varsling til relevante instanser som politi eller krisetelefon.

Ulike former for samtykke

Ved forskning som involverer mennesker er det viktig å vurdere om det er nødvendig å gi informasjon og få samtykke til å delta i forskningen. NESH mener det er spesielt viktig at institusjonene har gode rutiner for veiledning om samtykke. Her er det mange som blander etikk og juss, og NESH har tidligere skilt mellom «etisk samtykke» og andre juridiske krav om samtykke for å tydeliggjøre forskjellen. 

NESH presiserer at forskere har ansvar for å vurdere om det er nødvendig å få samtykke. Et etisk samtykke er et samtykke til å delta i forskning (NESH 2023, punkt 16). Det gjelder alle prosjekter hvor personer deltar i forskning, ikke bare ved behandling av personopplysninger. Det handler altså ikke om personopplysningsvern i snever forstand, men om personvern i bred forstand. Og det omfatter mye mer enn personvern, blant annet god vitenskapelig praksis, deltakernes sikkerhet og velferd, samt et bredere samfunnsansvar. Derfor er også det forskningsetiske ansvaret for å informere langt mer omfattende enn det som fremgår av personopplysningsloven (NESH 2023, punkt 15).

Ved behandling av personopplysninger er samtykke ett av flere behandlingsgrunnlag (GDPR, art. 6.1.a). Det er også mulig å forske uten samtykke, hvis behandlingen er i allmenhetens interesse (GDPR, art. 6.1.e). Behandling av særlige kategorier er mulig uten samtykke hvis det er nødvendig for vitenskapelig og historisk forskning (GDPR, art. 9.2.j). I begge tilfeller må behandlingen skje samsvar med nødvendige garantier, som sikrer den registrertes rettigheter og friheter (GDPR, art. 89.1) [17]. Her nevnes særlig dataminimering og pseudonymisering, men det omfatter også prinsipper som lovlighet, rettferdighet og åpenhet; formålsbegrensning; riktighet; lagringsbegrensning; og integritet og konfidensialitet (GDPR, art. 5.1.a–f). Videre er det viktig å huske at informasjon er en selvstendig rettighet, uavhengig av behandlingsgrunnlag (GDPR, art. 13–14), og det registrerte har rett til å protestere (GDPR, art. 21), med mindre behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse. I alle tilfeller må det begrunnes at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte; behandlingen må være basert på en konkret vurdering av personvernkonsekvenser (DPIA), for å redusere risiko for fysiske personers rettigheter og friheter; og behandlingen må være lovlig og forsvarlig også i samsvar med annet lovverk, for eksempel grunnlovens beskyttelse av privatliv (Grunnloven, § 102) og beskyttelse av barn (Grunnloven, § 104; Barnelova) [18].

I tillegg må forskningen være etisk ansvarlig, i tråd med anerkjente forskningsetiske normer (forskningsetikkloven § 4–5). Det betyr at forskere uansett må gjøre en selvstendig vurdering både av ansvaret for å informere (NESH 2023, punkt 15) og behovet for samtykke til å delta i forskning (NESH 2023, punkt 16), spesielt hvis det er snakk om redusert evne til å samtykke (NESH 2023, punkt 17) eller beskyttelse av barn (NESH 2023, punkt 18). Forskningsetikken er nødvendig for å sikre vernet av grunnleggende rettigheter og interesser.

Den nye rammeavtalen

NESH har tidligere påpekt at det råder stor usikkerhet og uklarhet om institusjoners ansvar for forskningsetikk og personvern, spesielt knyttet til Sikts rolle som tjenesteleverandør i kunnskapssektoren, og NESH har vist at denne uklarheten var forankret i en «Mønsteravtale for personverntjenester i forskning» fra 2019, utarbeidet av Sikt i samarbeid med Universitets- og høgskolerådet (UHR) [19]. Dette var også gjenstand for en omfattende offentlig debatt i Khrono og Morgenbladet våren 2022.

Våren 2022 nedsatte Universitets- og høgskolerådet (UHR) en arbeidsgruppe som skulle gjennomgå mønsteravtalens tekst for å justere den til gjeldende lov- og regelverk og til NESHs retningslinjer. Formålet var også å rydde opp i uklarheter om roller og ansvar: 

«Det synes å være noen misforståelser knyttet til den rollen som tidligere NSD, nå Sikt, har i dette arbeidet.» [20] På slutten av 2024 forelå en ny «Rammeavtale for personvernbistand i forskning», utformet av Sikt og UHR, og etter planen vil den gjelde fra 2026. I den nye avtalen presiseres de ulike aktørenes ansvar. Samtidig, mener NESH, er det fremdeles behov for å presisere Sikts rolle i arbeidet med forskningsetikk.

Sikt er et nasjonalt kompetansemiljø for personverntjenester og kan bistå forskningsinstitusjoner med råd om etterlevelse av personvernregelverket. Sikt tilbyr derfor ulike personverntjenester for forskning som institusjonene kan kjøpe etter avtale: i) Sikt kan gi råd til studenter og forskere om hvordan de kan få lovlig tilgang til personopplysninger til bruk i forskning, og ii) Sikt kan drifte og videreutvikle en dataplattform for registrering, dialog, vurdering, oversikt og oppfølging av behandlinger av personopplysninger til forskningsformål. Sikt tilbyr også iii) personvernombud som tjeneste, og dette omfatter alle behandlinger av personvern ved virksomheten.

NESH vil presisere at den nye rammeavtalen ikke omfatter ansvaret for forskningsetikk. Rammeavtalen omfatter kjøp av personverntjenester, og den understreker at «UH-institusjonene må være bevisst på at alt ansvar knyttet til personvern og forskningsetikk er institusjonens eget.» (Sikt og UHR 2024, Rammeavtale, s. 3). Rammeavtalen presiserer at UH-institusjonene i tillegg skal sørge for: 

a) at UH-institusjonenes eget ansvar for å sikre etterlevelse av personvern, forskningsetikk og informasjonssikkerhet er kjent, sammen med hvilke personverntjenester som er omfattet av avtalen med Sikt. […]

b) å sikre nødvendig forskningsetisk vurdering av forskningsprosjektet i henhold til forskningsetiske normer og retningslinjer innenfor fagområdet, og at det om nødvendig innhentes godkjenning fra Regional komité for medisinsk og helsefaglig forskning (REK) eller vurdering fra intern etisk komite (IRB) ved institusjonen, der det er relevant. […]

Det er altså ikke slik, verken i lovverket eller i rammeavtalen, at Sikt har ansvar for å ivareta forskningsetikken. Institusjonene kan kjøpe tjenester, men ikke fraskrive seg det lovpålagte ansvaret for personvern og forskningsetikk. Ansvaret ligger hos institusjonene (GDPR, art. 5.2, art. 24; forskningsetikkloven, § 4), i tillegg til at studenter, doktorgradskandidater og forskere har et selvstendig ansvar for forskningsetikken (forskningsetikkloven § 5). 

 

For NESH,

Heidi Østbø Haugen                                      Vidar Enebakk

Leder, NESH                                                  Sekretariatsleder, NESH

[1] NESH 2023, Forskningsetiske retningslinjer for samfunnsvitenskap og humaniora.

[2] Forskningsetikkloven, § 3.

[3] Personopplysningsloven består av nasjonale regler og EUs personvernforordning (GDPR), heretter omtalt samlet som «personopplysningsloven». Det vises også til relevante artikler (art.) i GDPR.

[4] Forskningsetikkloven, §§ 4-5.

[5] Universitets- og høyskoleloven, § 2-2.

[6] NOU 2009: 1, Individ og integritet. Personvern i det digitale samfunnet, kap. 4; NOU 2022: 11, Ditt personvern – vårt felles ansvar, kap. 3.

[7] Ragna Aarli (2006), Vern av ‘privatlivets fred’, Tidsskrift for rettsvitenskap 118 (4–5), 525–573; Marius Stub (2021), § 102, i Ola Mestad og Dag Michalsen (red.), Grunnloven. Historisk kommentarutgave 1814–2020, 1138–1163.

[8] Menneskerettsloven, vedlegg 2, art. 8. Den europeiske menneskerettskonvensjon med protokoller.

[9] Grunnloven, § 102.

[10] Den europeiske menneskerettighetskonvensjon.

[11] Charter om grunnleggende rettigheter. 

[12] Forskningsetikkloven.

[13] FEK 2023, Veileder om institusjonenes ansvar for forskningsetikk.

[14] Helseforskningsloven.

[15] FEK 2023, Veileder om institusjonenes ansvar for forskningsetikk, kap. 6.

[16] REK, Informasjonsskriv barn, ungdom og voksne.

[17] Personopplysningsloven, § 8–9.

[18] Grunnloven, § 104; Barnelova, § 30, § 31, § 33.

[19] NESH 2021/99, Uttalelse om institusjoners ansvar for forskningsetikk og personvern.

[20] UHR 2022, Personvern i forskningsetikk, 7. mars 2022, sist endret 12.06.2024.