– Medisinsk forsking stoppar opp
Europeiske verksemder som deler data med USA, opplever store vanskar. Fleire fryktar no at forskarar ikkje tør å gå i gang med prosjekt som kan gi livreddande kunnskap.
Samfunnet ønskjer framsteg. I dag inneber dette ofte å analysere store datamengder for å finne komplekse mønster i dataa, seier Giske Ursin, direktør i Kreftregisteret.
I over 20 år har Kreftregisteret hatt eit tett forskingssamarbeid med USA. Mellom anna har pseudonymiserte data (sjå faktaboks) og blodprøver frå norske biobankar blitt delte med forskingsinstitutt som National Institute of Health (NIH). Ifølgje Ursin er datadeling særleg viktig i studiar av sjeldne tilstandar, der det er få personar å forske på.
Som følgje av innstrammingar i personvernet dei siste par åra har samarbeidet blitt nærmast umogleg.
– Akkurat no har vi inga moglegheit til å dele data med føderale forskingsinstitusjonar i USA. Vi kan skrive søknader og tenkje ut nye prosjekt, men lite nytt blir starta, fortel Ursin.
Strengare regelverk
Direktøren i Kreftregisteret hadde lenge synst det var krevjande å setje opp nye forskingsavtalar med USA. Årsaka var først og fremst EUs innføring av personvernforordninga (GDPR) i 2018, eit nytt og strengare regelverk for behandling av personopplysningar i EØS.
Ein særnorsk lovregel hadde tidlegare opna for overføring av pseudonymiserte data. Denne moglegheita fall bort.
Anonyme versus pseudonymiserte data
Deling av persondata inneber å gje andre tilgang til data om deg sjølv eller data du / organisasjonen din har samla inn. Innan forsking skil ein mellom:
Anonyme data: Her er det heilt umogleg å finne attende til dataa sine opphavspersonar, sjølv om ein bruker andre kjelder i tillegg. Slike data kan trygt overførast til land utanfor EU/EØS.
Pseudonymiserte data: Desse kan ikkje knytast til ein bestemt person utan bruk av tilleggsopplysningar, for eksempel ein kodenøkkel lagra på ein sikker stad i avsendarlandet. Skal denne typen data overførast til land utanfor EU/EØS, må opphavsinstitusjonen sikre at vernet i mottakarlandet er like godt som i EU/EØS.
Kjelder: Datatilsynet, Giske Ursin, GDPR
Anonyme data kunne, og kan framleis, fritt overførast. Men svært få prosjekt bruker anonyme data, ifølgje Ursin. Som mange andre måtte ho og kollegaene derfor leite etter eit såkalla overføringsgrunnlag i GDPR-regelverket.
Det skulle vise seg å vere vanskeleg. Eitt mogleg overføringsgrunnlag er EUs standardkontraktar, der dataimportøren forpliktar seg til å behandle opplysningane i samsvar med gjeldande krav for EU/EØS. Men slike kontraktar strir mot amerikansk føderalt lovverk, og difor kan ikkje føderale institusjonar som NIH signere dei.
– Fortvilande
I 2020 kom ein EU-dom som styrkte vernet av europeiske personopplysningar ytterlegare: Schrems II-dommen, følgd av nye retningslinjer frå Det europeiske personvernrådet (EDPB). Dommen skulle skape eit sant rabalder, både i forskingssektoren og i andre sektorar.
– Vi strevar framleis med dei utfordringane vi hadde. Og så kom dette i tillegg. Det er fortvilande at lovverk og retningslinjer brått vart endra utan at ein hadde tenkt på kva forskingsinstitusjonane faktisk kan gjere, seier Ursin.
Alle EØS-verksemder som overfører data, fekk no ansvar for å sikre at personvernet for lagring og bruk av dataa hos mottakaren er like sterkt som i EU/EØS. Dette gjaldt både nye og gamle overføringar. Årsaka var USAs omfattande etterretningslovverk. Schrems II-dommen slo fast at dette lovverket er så inngripande at ein ikkje kan garantere for at europeiske opplysningar blir tilstrekkeleg verna.
Éin avtale på tre år
Amerikanske NIH støttar over 6000 forskingsprosjekt i Europa, ifølgje seniorrådgjevar Robert Eiss i NIH. I ein del av prosjekta bidrar NIH berre med midlar, andre er samarbeidsprosjekt mellom amerikanske institutt og europeiske partnarar, mellom anna NIH sjølv.
112 av prosjekta involverer norske institusjonar, men Eiss har ikkje tal på kor mange av prosjekta som er omfatta av GDPR. Sikkert er det iallfall at Europa og USA samarbeider tett om helseforsking.
Ifølgje Eiss er mange forskingssamarbeid som har gått føre seg over lang tid, no stansa.
– Sidan GDPR vart sett i verk i mai 2018, har NIH berre signert éin datadelingsavtale med ein europeisk partnar. Dei studiane som er råka, er mellom anna genomstudiar på type 2-diabetes og kreft, studiar som krev tilgang på epidemiologiske forskingsdatabasar, ulike typar kliniske studiar og biobankar, skriv Eiss i ein e-post.
Nytte versus risiko
Han er spesielt bekymra for pasientar som gjev frå seg biologisk materiale og data med informert samtykke, og som håper at forskinga skal skyte fart.
– Kanskje vil dei oppleve at forskinga blir stansa, skriv Eiss.
Førsteamanuensis i rettsvitskap Anne Kjersti Befring ved Universitetet i Oslo påpeikar at det ifølgje GDPR er stor skilnad på personopplysingar som ligg ope på til dømes Facebook, og pseudonymiserte data som blir delte i helseforsking. Innan forskinga må ein vege nytte mot risiko: Er nytten stor, kan høgare risiko aksepterast.
Regelverket skaper likevel stor usikkerheit i forskingsmiljø, ifølgje Befring. Mellom anna er miljøa usikre på kva som kan delast med USA, og om dataa vil vere godt nok verna under sending og lagring. Ho ser føre seg at bruken av europeiske skytenester vil auke, slik at data lagra i EU kan gjerast tilgjengelege for forskingsmiljø andre stader i verda.
Fryktar forsiktige institusjonar
Kva bør institusjonar gjere?
1. Få oversikt
Skaff oversikt over kva digitale tenester de nyttar, og om nokon av dei inneheld personopplysningar som blir overførte til USA. Ver obs på at éin databehandlar kan bruke ein annan underdatabehandlar, som held til i USA.
2. Undersøk overføringsgrunnlaget
Viss nokon av tenestene i verksemda sender data til USA, må de vurdere kva overføringsgrunnlag i GDPR som er nytta. Dette må vere gyldig, og eit tilstrekkeleg vern av dataa må sikrast.
Ein del verksemder kan nytte EUs standardkontraktar, så sant det blir innført ytterlegare tiltak som sikrar persondataa eit vern på EU/EØS-nivå. Det europeiske personvernrådet (EDPB) jobbar med å utgreie kva slike ytterlegare tiltak kan innebere for at kontraktane skal gjelde i USA.
3. Vent med å inngå nye avtalar
Det kan vere lurt å vente på ny informasjon før du inngår nye avtalar som medfører overføring av persondata til land utanfor EU/EØS, spesielt USA.
Kjelde: Uninett.no: «Privacy Shield-avtalen mellom USA og EU/EØS er opphevet – hva nå?»
Det er ikkje berre helseforsking som blir ramma. Mange forskarar deler persondata med USA. I tillegg er det svært vanleg å bruke verktøy frå amerikanske selskap, som videosamtaleverktøy eller skytenester.
Øyvind Straume, spesialrådgjevar innan personvern i Norsk senter for forskingsdata (NSD), tilrår varsemd i bruken av denne typen tenester. Etter Schrems II vart sertifiseringsordninga EU–US Privacy Shield kjent ugyldig, denne hadde vore eit overføringsgrunnlag for mange verksemder. Dei amerikanske tilbydarane er mest truleg underlagde USAs masseovervakingslovverk, som pålegg dei å gje frå seg persondata når amerikansk etterretning ønskjer det.
Straume trur at EUs personvernreglar er ukjende for mange. Men etter kvart som merksemda stig, ventar han ein avkjølingseffekt på forskinga.
– Eg trur at mange vil bli usikre på kva som er lov, og at dei vil la vere å gjere ting dei er i tvil om. Dette vil i så fall gå ut over kunnskapsproduksjonen, seier han.
– Nesten umogleg oppgåve
Straume er del av ei arbeidsgruppe som skal prøve å finne løysingar for forskings- og utdanningssektoren. Arbeidet i gruppa blir koordinert av seksjonssjef Agnethe Eva Sidselrud i Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (UNIT).
– Universiteta og institusjonane ventar på resultata av arbeidet til gruppa, men du forstår sikkert at dette er ei nesten umogleg oppgåve, seier Sidselrud.
Ifølgje seksjonssjefen er det krevjande på få veker å kartleggje kva verktøy alle forskarar i hele sektoren bruker. Noko lettare er det å få oversikt over den administrative delen av institusjonane.
Etter at arbeidsgruppa har skaffa seg ei oversikt over kva system som er omfatta av GDPR og Schrems II-dommen, skal dei vurdere om det finst tiltak som kan setjast i verk.
Det er ei stor utfordring at forskingssektoren, til liks med andre sektorar, har gjort seg avhengig av verktøy utvikla i USA, påpeikar ho.
– Det vil vere svært inngripande for vitskapleg tilsette å stanse bruken av alle slike verktøy. Samtidig seier Datatilsynet, som handhevar dette regelverket, tydeleg at bruk som inneber overføring av personopplysingar til leverandørar i USA, er ulovleg.
Kan ikkje vente
Kva er Schrems II?
- Schrems II-dommen fall i EU-domstolen i juli 2020 og handla om i kva grad Facebook kunne overføre opplysningar om brukarar i Europa til USA.
- Domstolen brukte høvet til å seie noko om overføring til land utanfor EU/EØS generelt. Overføringsgrunnlaget, som er kjent som EU–US Privacy Shield, vart kjent ugyldig. Det finst framleis andre gyldige overføringsgrunnlag, men domstolen kom også med tilleggskrav.
- Meininga med overføringsgrunnlaga er å gje dataimportøren plikter for å sikre at vernet av persondata blir like sterkt som i EU/EØS. Dataimportøren kan likevel vere underlagd lokale lover som er i strid med, og går føre, desse pliktene.
- Dataeksportøren må derfor først undersøke om det faktiske vernet av persondata vil vere godt nok. Dette inneber blant anna å undersøke om overvakingslovverket i mottakarlandet kan gje styresmaktene tilgang til dataa.
Kjelde: Datatilsynet: Spørsmål og svar om nye regler for overføring av personopplysninger til land utenfor EØS
Då sektoren var i ein liknande situasjon tidlegare, i samband med den første Schrems-dommen, forhandla EU fram ein avtale med landa utanfor om korleis personopplysningar kunne vernast. Sidselrud håper at det same vil skje no.
– Men å forhandle fram dette vil ta tid. Vi er altså i ein frykteleg vanskeleg situasjon. Vi kan ikkje sitje og vente.
Sidselrud seier at arbeidsgruppa skal levere resultata sine før sommaren.
– Men i Europa må vi også spørje oss kva veg vi går. Gjer vi oss heilt avhengige av dei store amerikanske selskapa? Kanskje bør vi gå i retning av å utvikle våre eigne verktøy?
Fryktar kreative løysingar
I tillegg til at kunnskapsproduksjonen kan bli dårlegare, fryktar Øyvind Straume i NSD at forskarar vil begynne å leite etter kreative løysingar.
– I forskingssektoren er det ein egalitær, autonom kultur. Viss verksemda ikkje klarer å hjelpe, eller viss retningslinjene blir for strenge, vil forskarar kanskje gå sine eigne vegar. Kanskje vil nokon nytte sin private konto til å dele data i tilfelle der institusjonen ikkje tillèt det, seier han.
Giske Ursin fryktar det same:
– Eg blir heilt sveitt ved tanken. Vi kan ikkje gjere det slik at vi tvingar forskarar til å finne kreative løysingar som ikkje er trygge for europeiske borgarar. På vårt felt risikerer vi for eksempel at nokon vel å kalle data anonyme sjølv om dei eigentleg ikkje er det.
Eigen infrastruktur
Giske Ursin trur at europeiske institusjonar framover i større grad vil analysere data sjølve. Slik innretta Kreftregisteret seg nyleg i eit nytt prosjekt.
– Det er ein fin modell, men på ein del felt er det forferdeleg vanskeleg å få det til.
Ho viser mellom anna til at mange ønskjer å nytte skytenesteløysingar, fordi medisinsk forsking ofte krev enorme datasett. Men etter dei nye retningslinjene kan ikkje data leggjast på skytenester frå USA.
Fordi samarbeidet mellom USA og Europa har blitt så krevjande, fryktar Ursin at forskingspartnarar i USA vil sjå seg om etter andre verdsdelar å samarbeide med.
– I Europa risikerer vi då at nye forskingsresultat ikkje vil gjelde for europearar. Vi har ein annan livsstil, andre risikofaktorar og til dels andre genar. Eg er redd at dette til sjuande og sist vil gå ut over oss sjølve.