Hvert år bryter norske forskere personvernreglene uten å vite det. Prosjekter blir stanset, doktorgradsstudenter får ikke fullført, og universitetene kan få gigantbøter.

Erik Fosse har nettopp stått med et hjerte i hendene, i en operasjonssal på Rikshospitalet. Nå har han tankene et annet sted. Sammen med Mads Gilbert ble han i 2008 kjent som «Gaza-legen» etter å ha tatt seg inn i krigsområdene for å operere på skadede i krigen mellom Israel og Hamas. I Oslo leder han Intervensjonssenteret ved Oslo universitetssykehus, en forskningsavdeling som jobber med å utvikle nye kliniske behandlingsmetoder. Ett av prosjektene har foregått i Palestina. Nå står prosjektet i stampe. Det er stanset av Datatilsynet. Sensitive personopplysninger om mange tusen kvinner er samlet inn og forsket på uten tillatelse fra norske myndigheter. Prosjektet til 16,5 millioner kroner risikerer å bli nedlagt. Doktorgradsarbeider står i fare for å bli avbrutt.

Erik Fosse opererer på Rikshospitalet.
Erik Fosse opererer på Rikshospitalet. Forskningsprosjektet i Palestina er tilknyttet Intervensjonssenteret som har lokaler på Rikshospitalet. Den norske koblingen har ført til problemer for prosjektet. Foto: Aksel Kjær Vidnes

– Dette er et av de viktigste forskningsprosjektene jeg har jobbet med, sier Erik Fosse etter å ha fått av seg blodige hansker, maske og operasjonsforkle.

 Avviket

Hvert år blir tusenvis av kvinner i Palestina rammet av skader i forbindelse med fødsler. Rifter i underlivet, som i mange tilfeller ikke blir oppdaget, fører til store smerter og at kvinner blir inkontinente for urin og avføring. Seksualliv og omgang med venner og familie kan bli ødelagt. Det norsk-palestinske forskningsprosjektet har sett på hvordan slike skader kan forhindres, og hvordan skadene kan oppdages når de først har oppstått. Informasjon om 50 000 fødende kvinner er samlet inn og brukt til å kartlegge forekomsten av slike skader, og til å kartlegge om opplæring av helsepersonell i fødselsteknikk kan redusere forekomsten. Foreløpig har studien ført til at langt flere skader oppdages. Tidligere ble det registrert slike perinealrifter hos to prosent av de fødende kvinnene i Palestina. Etter at prosjektet ble iverksatt, har oppdagelsesprosenten nådd 20 prosent, som innebærer at langt flere får behandling og hjelp.

Så kom juni 2016. Med lyse blader på trærne og et papir i posten: Avviksmeldingen. Personvernombudet ved Oslo universitetssykehus hadde oppdaget at prosjektet ikke var godkjent av norske myndigheter. Studien ble umiddelbart stilt i bero, og i oktober 2016 kom vedtaket fra Datatilsynet om å stanse prosjektet til alle fakta hadde kommet på bordet.

Palestinas helseminister Dr. Jawad Awwad har bekreftet at prosjektet er godkjent i Palestina, men det hjelper ikke for norske helsemyndigheter.
Palestinas helseminister Dr. Jawad Awwad har bekreftet at prosjektet er godkjent i Palestina, men det hjelper ikke for norske helsemyndigheter.

Personvernombud Heidi Thorstensen ved OUS var den som oppdaget at noe var feil. Fosse hadde godkjenning fra Palestina og hadde også søkt om etisk godkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). REK svarte at prosjektet lå utenfor deres mandat, siden studien ikke var direkte helseforskning, men en studie av om et helsetiltak hadde fungert. Etter det gikk forskergruppen i gang med studien.

– Men det betyr ikke at det er lovtomt rom, sier Thorstensen. – Det måtte søkes konsesjon fra Datatilsynet, men da oppdaget vi at de hadde gått i gang med studien uten at det var formalisert etter norske regler. De hadde samlet inn opplysninger uten lovlig grunnlag, og lagret dem på et usikret område.

Les også: – Forskningsetikk er mer enn fusk

– Provoserende

Dataene ble samlet inn på fødeavdelinger i Palestina og lagret i en skytjeneste, hvor palestinske og norske forskere hadde tilgang. Selv om prosjektet var godkjent av det palestinske helsedepartementet, tillater ikke norsk regelverk bruk av slike data uten norsk godkjenning dersom et prosjekt har tilknytning til et norsk forskningsmiljø. Problemet oppsto da palestinske doktorgradskandidater skulle bruke dataene til å ta doktorgraden i Norge. Konsekvensene for stipendiatene er alvorlige. Så lenge saken er uavklart, har de måttet avbryte doktorgradsarbeidet. Datamaterialet har også måttet flyttes til en sikker database i Norge, selv om dataene altså er palestinske.

– Vi trodde det var tilstrekkelig med den palestinske godkjenningen, siden det er palestinsk forskning. Men jeg er jo prosjektleder, og det er flere norske veiledere. Stipendiatene er knyttet til OUS, og de er tatt opp på doktorgradsprogrammet og ansatt på min avdeling. Jeg ser jo at når jeg er veileder og papirene utgår herfra, så må vi følge regelverket her, sier Fosse.

– Vi retter oss etter det de sier, men det kan virke litt provoserende på våre kolleger i Palestina. Det var ikke åpenbart for oss at det var norsk datalovgivning som gjaldt for palestinske forskere på et palestinsk sykehus.

Fosse snur på det og undres hvordan norske myndigheter hadde reagert på om en norsk stipendiat hadde tatt doktorgraden i USA, og USA hadde krevd at norske data ble flyttet dit, ute av nordmennenes kontroll.

– Det er ikke sikkert at vi hadde akseptert det, sier Fosse.

Vil du holde deg oppdatert på nyheter om forskning og høyere utdanning? Følg Forskerforum på Facebook! 

600 000 i bot

Palestina-prosjektet er ikke unikt. Hvert år blir store forskningsinstitusjoner tatt i å bruke eller utlevere sensitive personopplysninger uten tillatelse. Det siste året har Datatilsynet hatt saker til behandling som involverer St. Olavs Hospital, Helse Fonna HF, Volvat medisinske senter, Diakonhjemmet sykehus, Stavanger universitetssykehus HF og Folkehelseinstituttet. Sakene varierer i alvorlighetsgrad og type, men alle gjelder uautorisert utlevering av personopplysninger i forbindelse med forskning.

Datatilsynet har også en sak ved Universitetet i Oslo inne til behandling, der data fra Bangladesh er brukt til forskning uten at det er søkt om godkjenning til å bruke dem i Norge. Også der er doktorgradsarbeider stanset, og det er foreløpig usikkert hva som vil skje videre. Det er heller ikke første gang forsknings- og doktorgradsprosjekter er stanset ved OUS.

– Det er viktig at søknadsprosessene forkortes, mener Esperanza Diaz. I 2015 stanset Datatilsynet forskningsprosjektet hennes. (Foto: Thor Brødreskift/UiB)
– Det er viktig at søknadsprosessene forkortes, mener Esperanza Diaz. I 2015 stanset Datatilsynet forskningsprosjektet hennes.
(Foto: Thor Brødreskift/UiB)

– Vi har hatt flere tilfeller der veileder har gitt noe av sitt forskningsmateriale til stipendiater for at de skal forske videre på det, og så har man ikke ordnet med de riktige godkjenningene for å kunne bruke materialet, sier personvernombud Heidi Thorstensen ved OUS. – Vi gjør alt vi kan for å bistå, men det er tilfeller hvor vi ikke lykkes. Hvis man ikke får en ettergodkjenning, rykker man tilbake til start, og må starte studien på nytt.

Palestina-saken er fortsatt under vurdering hos Datatilsynet, men en stor forskningsinstitusjon som OUS kan forvente kraftige reaksjoner. Det har Universitetet i Bergen fått merke. De siste årene har universitetet måttet betale 600 000 kroner i bøter for ikke å ha de rette godkjenningene i orden. I 2012 fikk universitetet 250 000 kroner i bot etter å ha utlevert data fra et forskningsprosjekt som var konsesjons- og taushetsbelagt. Da de gjorde det samme igjen noen år senere, fikk universitetet ny bot, men denne gangen høyere: 350 000 kroner.

Les også: Forskningsetikkens ti bud 

Rigid system

Leder for prosjektet ved UiB er førsteamanuensis Esperanza Diaz. Prosjektet satte sammen registerdata fra flere ulike registre for å undersøke innvandrerhelse og innvandreres bruk av primærhelsetjenesten. Dataene som kom ut av sammenstillingen, var så omfattende at forskerne ville ha med flere på laget. De inngikk avtaler med kolleger på Folkehelseinstituttet og Universitetet i Oslo. Det var en stor tabbe. Hadde hun søkt om å inkludere flere forskere i studien før hun leverte ut dataene, hadde hun mest sannsynlig fått lov. Siden hun ikke søkte, endte UiB opp med å bryte loven, og prosjektet ble stanset.

– Det er ikke alltid man vet at man kan få data som er såpass rike at man kommer til å trenge samarbeid med andre institusjoner, med annen kompetanse. Men vi var ikke oppmerksomme på at godkjenningen kun var gitt for UiB, sier Diaz i dag.

Da feilen ble oppdaget, var det for sent å gjøre det riktige. Siden regelverket var brutt, måtte de søke helt på nytt, og det kunne ta nye to år.

– Vi så det ikke som hensiktsmessig å søke igjen, for det var tall fra 2008. I tillegg måtte UiO-forskerne gå videre til et nytt prosjekt. Da måtte vi avbryte.

Resultatet var at mye av potensialet i materialet ikke ble brukt. Diaz syns det er underlig at systemet skal være så rigid.

– Jeg har full forståelse for at det skal være kontroll over data, men i dette tilfellet var det veldig lite hensiktsmessig at man ikke skulle kunne utvide til andre institusjoner, som har gode rutiner for håndtering av data. Jeg kunne ha samarbeidet med andre kolleger på UiB, men ikke med kolleger på UiO. Man må forenkle prosessene og regelverket, mener Diaz.

Les også: – Plagiering er et kjempestort problem 

– Hvis du tar doktorgraden på materiale som baserer seg på personopplysninger, må du forsikre deg om at du har tillatelse, sier rådgiver Grete Alhaug i Datatilsynet. (Foto: Datatilsynet)
– Hvis du tar doktorgraden på materiale som baserer seg på personopplysninger, må du forsikre deg om at du har tillatelse, sier rådgiver Grete Alhaug i Datatilsynet.
(Foto: Datatilsynet)

Går glipp av forskning

Rektor Dag Rune Olsen er, som øverste ansvarlig, klar på at UiB gjorde en feil som universitetet tar på største alvor. Likevel mener han det er utfordringer knyttet til deling, håndtering og godkjenning av digitale pasientopplysninger for forskning som må ses på.

– Datatilsynet har ett ansvar, og det er å ivareta sikkerheten til individet. De har ikke mandat til å veie nytte ved forskning på pasientdata opp mot enkeltindividers rettssikkerhet. Da må en annen myndighet foreta de avveiningene. Slik jeg ser det i dag, har Datatilsynet en så restriktiv praksis, og lovverket er så restriktivt, at det tjener verken pasientgrupper eller enkeltpasienters beste.

Han ønsker seg en egen myndighet som kan veie fordeler og ulemper ved forskningen, ikke bare ut ifra personvernhensyn, men også av hensyn til de menneskene som forskningsresultatene vil komme til gode.

– Datatilsynet kan ikke være myndigheten som forvalter den diskursen, siden de bare forvalter en del av den. Vi mangler et organ som kan ta den overordnede diskusjonen. Vi har de forskningsetiske komiteene, men Datatilsynet oppfattes å være myndigheten på området.

– Hva er konsekvensene av systemet i dag?

– Jeg mener at det finnes god, samfunnsmessig viktig forskning som ikke lar seg gjennomføre på grunn av en relativt restriktiv personvernlovgivning. Samtidig er det åpenbart at vi skal ha en restriktiv personvernlovgivning, men reguleringen må være formålstjenlig. I dag må man både søke der forskningen utføres, og der dataene hentes inn. Vi ser for oss at det i økende grad vil være forskningsdata som kommer fra flere land. Da vil man måtte håndtere regelverk i flere land. Det blir krevende, og det vil i betydelig grad begrense forskningen som kan utføres.

Les også:  – Jag etter suksess skader forskningen

Felt i bevegelse

Rigiditeten til tross er dette et felt i bevegelse. Kanskje ikke i form av store skred, men punktvis hakking og flikking. SSB har fått et mer samlet ansvar for å gjøre data fra offentlige registre tilgjengelige for forskning. For tiden jobber De nasjonale forskningsetiske komiteene med retningslinjer for bruk av utenlandske data i Norge. Samtidig har regjeringen nedsatt Helsedatautvalget for å utrede et bedre og mer effektivt system for behandling av helsedata til bruk i forskning. Et av medlemmene er Jacob Hølen, sekretariatsleder i Den nasjonale komiteen for medisinsk og helsefaglig forskning (NEM), som jobber med forebyggende arbeid, rådgivning og gransking av uredelighet i forskning. Hølen medgir at regelverket er strengt, men at noe vil bli forenklet i fremtiden. Helsedatautvalget er ventet å legge frem sin utredning i juni.

– Det er helt klart for vanskelig å få tilgang til helsedata fra registrene. Skal du ha data fra flere ulike registre, kan du trenge REK-godkjenning, konsesjon fra Datatilsynet og vurderinger fra alle registre som er involvert. Flere av disse vurderingene kan være overlappende. Det er lite hensiktsmessig ressursbruk, og det kan skape uforutsigbarhet for forskerne, sier Hølen.

Samtidig mener han at konsekvensene av lovbrudd må være strenge.

– Systemet er basert på tillit, så reaksjonene er naturlig nok sterke når man avdekker brudd.

– Ingen ble krenket

Også Datatilsynet mener systemet må reagere sterkt på brudd. Seniorrådgiver Grete Alhaug har liten forståelse for at regelverket er komplisert eller at det kan misforstås.

– Nei. Med den kompetansen som er i disse institusjonene, bør man vite at man ikke kan forske og ta doktorgrad i Norge uten en norsk godkjenning. Dette er den kompetansen man skal ha på de store universitetene og universitetssykehusene, sier Alhaug.

Erik Fosse mener på sin side at man også må ta hensyn til de faktiske skadene av lovbruddet, ikke bare at det har vært et lovbrudd.

– Man bør vurdere om pasienter faktisk har blitt krenket. Ingen data om disse 50 000 kvinnene har kommet på avveie eller blitt misbrukt. Men det som er viktig for oss, er at alt blir gjort riktig, og vi har trodd at vi har gjort det riktig.

Det hjelper ikke, sier Alhaug.

– En av de viktige grunntankene innenfor personvernretten er at du selv skal bestemme hvem som skal bruke opplysninger om deg, og til hva. I dette tilfellet kan de ha gitt fra seg opplysninger til en konkret behandling eller et bestemt forskningsprosjekt. Da kan ikke de dataene automatisk bli utlevert til et forskningsprosjekt i Norge. Uansett gjelder norske regelverk uavhengig hvor dataene kommer fra, så lenge forskningen gjøres her eller av forskere tilknyttet norske forskningsinstitusjoner.

Les også: Forskningsrådet forbereder seg på store kutt. Men toppsjefene tjener fett.

Fosses forskningsgruppe har nå sendt inn en ny konsesjonssøknad til Datatilsynet. Datatilsynet sier til Forskerforum at det er gode muligheter for at den blir godkjent, men det er også mulig at sykehuset blir ilagt et overtredelsesgebyr.

For Fosse er det viktigste at prosjektet alt har hatt effekt, og at kvinnene som føder i Palestina, får hjelp.

– Vi gjør det vi blir bedt om. Men man må lage regler som det er mulig å håndheve, og som er tilpasset situasjonen man er i. Du må også ta i betraktning hva dette betyr for kvinnene i Palestina, sier Fosse.

– Man må bruke common sense.

Les også:

Forskningsrådet: Samme søknad fikk helt forskjellige karakterer