Behandling av personopplysninger kan baseres på samtykke fra den registrerte. Samtykke er et selvstendig behandlingsgrunnlag som ikke krever supplerende grunnlag i norsk rett, det er tilstrekkelig å oppfylle vilkårene i personvernforordningen. Dette behandlingsgrunnlaget har vært vanlig å bruke i ulike former for forsknings- og kvalitetsprosjekter. Det er imidlertid viktig å være klar over at det ikke alltid er mulig å innfri alle kravene som stilles til et samtykke. Hvis det er vanskelig å oppfylle kravene til samtykke i ditt prosjekt, må du finne et annet behandlingsgrunnlag. I noen tilfeller kan det være slik at andre behandlingsgrunnlag er bedre egnet for å ivareta formålet i forsknings- og kvalitetsprosjekter. Samtykke er derfor ikke et behandlingsgrunnlag som passer i alle prosjekter.
Behandling av personopplysninger kan baseres på samtykke fra den registrerte. Tidligere har det vært vanlig å vise til samtykke som rettslig grunnlag for behandling av personopplysninger i mange forsknings- og kvalitetsprosjekter. Men det har skjedd en dreining bort fra dette. Etter loven er behandlingsgrunnlagene likestilte. Samtykke har ikke forrang, men er ett av flere mulige alternativer. Det gjelder også i prosjekter der data hentes direkte fra de registrerte. Selv om deltakerne samtykker, trenger ikke samtykke utgjøre det rettslige grunnlaget for behandlingen. Samtykke kan også ses på som et tiltak for å ivareta de registrerte.
Kravene for å kunne bruke samtykke som rettslig grunnlag er relativt strenge og kan være vanskelig å innfri i forskning og kvalitetssikring. Behandlingsgrunnlagene vi har sett på over gir vilkår som gjerne er lettere å følge, som bedre ivaretar behovene og som derfor er bedre egnet i slike prosjekter. Samtykke kan likevel være aktuelt som rettslig grunnlag i prosjekter der vilkårene kan innfris. Samtykke er et selvstendig behandlingsgrunnlag som ikke krever supplerende grunnlag i norsk rett, det er tilstrekkelig å oppfylle kravene i personvernforordningen.
For at et samtykke skal være gyldig, må det være frivillig, spesifikt, informert, og utvetydig. Det siste innebærer at samtykke må være aktivt. Det er ikke å anse som et samtykke hvis man gir informasjon med reservasjonsrett (tidligere kalt passivt samtykke). Samtykket må også kunne dokumenteres og skal enkelt kunne trekkes tilbake av den registrerte. Ved behandling av personopplysninger i særlige kategori og/eller om straffedommer og lovovertredelser, er det i tillegg et krav at samtykke skal være uttrykkelig. Under forklares hvert av vilkårene.
Frivillig
Et samtykke skal være frivillig. Det innebærer at den registrerte av egen fri vilje samtykker til behandlingen av personopplysninger. Den registrerte skal ikke ha noen fordeler eller ulemper, eller oppleve noe press ved å gi fra seg opplysningene til prosjektet.
Spesifikt
Et samtykke skal også være spesifikt. Det må være klart og tydelig hva den registrerte samtykker til, mht. hvorfor og hvordan personopplysningene skal behandles.
Informert
I forkant av at det innhentes samtykke fra den registrerte skal prosjektet gi god informasjon om behandlingen av personopplysninger. Informasjonen skal sette den registrerte i stand til å forstå hva behandlingen innebærer, slik at vedkommende selv kan vurdere risikoen. For at samtykke skal være informert, må den registrerte ha fått informasjon om:
- Hvem som er dataansvarlig institusjon
- Hva som er formålet med prosjektet
- Hvilke personopplysninger som skal behandles
- Den registrertes rett til når som helst å trekke tilbake sitt samtykke
- Hvis aktuelt: Overføring til tredjeland og hvilken risiko det innebærer
- Om sine øvrige rettigheter som registrert
Informasjonen som gis skal være kortfattet, åpen og lett tilgjengelig, i et klart og enkelt språk. Poenget er at den registrerte skal forstå informasjonen prosjektet gir, slik at de får et godt beslutningsgrunnlag.
Utvetydig viljesytring
Samtykket skal være en “utvetydig viljesytring”. Det betyr at den registrerte gir samtykke gjennom en aktiv handling som ikke kan misforstås, f. eks ved å møte opp, eller gi signatur skriftlig eller elektronisk signatur. Det skal være helt klart at den registrerte gir tillatelse til behandling av sine personopplysninger. Ved behandling av særlige kategorier av personopplysninger er kravet skjerpet, ved at samtykket skal være uttrykkelig og gjelde for ett eller flere spesifikke formål. Samtykket skal da være gitt på en ekstra tydelig måte, slik at det ikke er tvil om at samtykket eksplisitt gjelder for det/de aktuelle formålene.
Dokumenterbart
Det er ingen formkrav til samtykke. Samtykke kan gis muntlig, skriftlig eller på annen måte. Men du må kunne dokumentere at samtykke foreligger. I praksis vil det derfor foreligge et krav om å registrere at samtykke er avgitt, f.eks. ved at den registrerte undertegner en samtykkeerklæring, gir et elektronisk samtykke ved å logge seg inn og klikke på en avkryssingsboks, eller gir muntlig samtykke på et lyd- eller videoopptak.
Det skal være enkelt å trekke tilbake samtykket
Et samtykke skal være like enkelt å trekke tilbake som det har vært å gi. Prosjektet må derfor være organisert slik at det er mulig for de registrerte å ta kontakt og få slettet opplysningene sine. Med andre ord må prosjektet sørge for å være tilgjengelig for den registrerte. F. eks tydelig kommunisere hva kontaktinformasjonen til prosjektleder eller annen prosjektmedarbeider er. En forutsetning for at prosjektet kan sikre at den registrerte får trukket seg, er at opplysningene behandles slik at de registrerte kan gjenfinnes i datamaterialet, og at man sikkert kan vite at dataene gjelder vedkommende. F. eks. ved bruk av kodenøkkel.
Er samtykke alltid et egnet behandlingsgrunnlag?
Som nevnt innledningsvis, kan du bare bruke samtykke som behandlingsgrunnlag dersom prosjektet ditt oppfyller alle kravene over. I noen prosjekter kan det være både mulig og ønskelig å gjøre tiltak for at behandlingen av personopplysninger skal kunne baseres på samtykke. Det kan f.eks. gjelde i mindre forsknings- eller kvalitetssikringsprosjekter der den registrerte bidrar aktivt i datainnsamlingen gjennom intervju, spørreskjema, tester, deltagende observasjon eller på annen måte.
Samtykke kan i noen tilfeller også være aktuelt ved datainnsamling fra pasientjournal og andre behandlingsrettede registre, eller fra yrkesgrupper som har taushetsplikt, der man ber den registrerte tillate at taushetsbelagte personopplysninger brukes i forskning eller kvalitetssikring.
I retningslinjer utgitt i forbindelse med Corona-pandemien trekker European Data Protection Board (EDPB) frem at samtykke kan benyttes som behandlingsgrunnlag i undersøkelser i ikke-intervensjonsstudier på en gitt populasjon, hvor det forskes på symptomer og utviklingen av en sykdom (EDPB: Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak: edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf (europa.eu), avsnitt 20).
I andre prosjekter, derimot, vil samtykke være uegnet som behandlingsgrunnlag. Det vil gjelde i alle tilfeller der det er umulig å innfri samtykkekravene, og andre behandlingsgrunnlag er aktuelle. Det kan også være tilfeller der andre behandlingsgrunnlag vil være bedre egnet.
Samtykke er f.eks. ikke egnet i tilfeller der det foreligger et skjevt maktforhold mellom den registrerte og forsknings- og/eller dataansvarlig institusjon. Det vil gjelde en del prosjekter innen helseforskning, herunder legemiddelstudier og andre kliniske studier.
Den registrerte kan være sårbar på grunn av dårlig helsetilstand, og kan i noen tilfeller se på deltakelse i et forskningsprosjekt med så store forhåpninger at deltakelsen ikke fremstår som et reelt valg. Dette utfordrer kravet til at samtykket skal være frivillig avgitt.
Samtykke vil heller ikke være egnet behandlingsgrunnlag i tilfeller der det er vanskelig for den registrerte å forstå hva behandlingen av personopplysninger innebærer. For eksempel kan det i mange større forskningsprosjekter og i legemiddelstudier være lagt opp til en omfattende og komplisert behandling av personopplysninger, slik at det er vanskelig å gi den registrerte informasjon som de har forutsetninger for å sette seg inn i og forstå.
Dette kan også være tilfelle ved etablering av medisinske kvalitetsregistre og befolkningsbaserte helseundersøkelser. Når det er vanskelig å påse og dokumentere at samtykket er tilstrekkelig informert, kan samtykke ikke brukes som behandlingsgrunnlag. De registrerte har rett til informasjon, uavhengig av dette, men prosjektet må finne et annet behandlingsgrunnlag som er mer egnet enn samtykke.
Det er viktig å være klar over at et samtykke kan ha ulike funksjoner. Som vist over, kan samtykke være et behandlingsgrunnlag, Men samtykke fra den registrerte kan også ha andre funksjoner:
- Når prosjektet bruker et annet behandlingsgrunnlag (som “allmennhetens interesse”), kan samtykke være et tiltak for å ivareta den registrertes rettigheter og friheter, fordi det både vil sikre medbestemmelse, åpenhet og forutsigbarhet for de som deltar i prosjektet.
- Når prosjektet skal behandle taushetsbelagte opplysninger, kan den registrerte gi samtykke som opphever taushetsplikten, slik at det ikke er nødvendig å søke om dispensasjon fra taushetsplikten)(Helsepersonelloven § 22).
- Samtykke kan være et “ja til deltagelse” i et helseforskningsprosjekt ([1] helseforskningsloven § 13).
- Samtykke kan også være et “etisk ja til deltagelse” i annen forskning og kvalitetssikring der den registrerte aktivt deltar, f.eks. i intervju, spørreskjema eller eksperimenter.
Samtykke når de registrerte er barn
Hvis barn skal delta i prosjektet, må du vurdere hvem som skal samtykke for barnet. Hovedregelen er at foreldre eller andre med foreldreansvar må gi samtykke frem til barnet er 18 år. I helseforskning og helseregistre er hovedregelen at ungdom kan samtykke selv fra 16 år.
For annen forskning enn helseforskning, faller man tilbake på hovedregelen om at foreldre med foreldreansvar samtykker på vegne av barnet frem til barnet er 18 år. Det er viktig å påpeke i den forbindelse at barn har en gradvis medvirknings- og selvråderett, hjemlet i barnelova § 31 og 33.
Medvirkningsretten innebærer at barnet skal ha informasjon tilpasset sin alder og få muligheten til å si sin mening, i tråd med alder og modenhet. Det må også vurderes hvor inngripende forskningen anses å være for barnet. Hva som anses som det beste for (det enkelte) barnet, skal alltid være et grunnleggende hensyn, og som vil være avgjørende for om barn i det hele tatt skal delta i forskningsprosjekt eller ikke. De ovennevnte momentene må vurderes før foreldrene beslutter å gi et samtykke, eller ikke, til forskningen.
Dersom foreldre eller andre med foreldreansvar har samtykket på vegne av et barn til deltakelse i forskning eller kvalitetssikring, skal barnet når det blir 16 år få informasjon om behandlingen av personopplysninger i prosjektet/registeret, og retten til å trekke samtykke tilbake eller motsette seg behandling.
Samtykke når de registrerte er voksne uten samtykkekompetanse
Samtykke kan ikke brukes som behandlingsgrunnlag i prosjekter der de registrerte mangler samtykkekompetanse. Dette kan f. eks være tilfelle i prosjekter som gjelder psykiatri og rus. Hvis det foreligger tvil om de registrerte har samtykkekompetanse eller ikke, må prosjektet foreta grundige vurderinger, noen ganger i samråd med helsepersonell eller pårørende som kjenner den registrerte.
Vurderingene av samtykkekompetanse er ofte komplekse, og behandlingen av personopplysninger kan utgjøre en høy risiko for den registrertes rettigheter og friheter. Hvis det er aktuelt å forske på personer med redusert eller manglende samtykkekompetanse i ditt prosjekt, anbefaler vi derfor at du rådfører deg med din institusjon om hvordan prosjektet kan gjennomføres i tråd med helse- og personvernlovgivningen.
Nødvendig for å utføre en oppgave i allmennhetens interesse
Behandling av personopplysninger for å utføre en oppgave i “allmennhetens interesse”, jf. personvernforordningen art. 6 nr. 1 e), er et behandlingsgrunnlag som ofte brukes i forskning og kvalitetssikring. Det må kunne dokumenteres at behandlingen av personopplysninger er nødvendig for å utføre en oppgave av allmenn interesse. Her er det helt sentralt at du kan begrunne at prosjektets formål har nytteverdi for samfunnet, og at det er nødvendig for dette formålet å behandle de aktuelle personopplysningene. I tillegg må du dokumentere at prosjektet følger vilkårene i et supplerende rettsgrunnlag i norsk lov (se kapittel 7.8)
Nødvendig for å oppfylle en rettslig forpliktelse
Behandling av personopplysninger er lov når det er nødvendig for å “oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige”, jf. personvernforordningen art. 6 nr. 1 c). Dette behandlingsgrunnlaget kan være aktuelt å vise til i kvalitetssikring som gjennomføres ved institusjoner som yter helsehjelp.
Du må da dokumentere at prosjektet har et formål som din institusjon har en lovpålagt plikt til å oppfylle, og at det er nødvendig å behandle de aktuelle personopplysningene for å oppfylle dette formålet. Et krav er at behandlingen har supplerende rettsgrunnlag i norsk lov, og at prosjektet oppfyller kravene som er gitt i dette rettsgrunnlaget.
Du må derfor kunne vise konkret til den norske lovhjemmelen som sier at det er en rettslig forpliktelse for din institusjon å behandle personopplysninger til det aktuelle formålet, f.eks. krav i spesialisthelsetjenesteloven eller helse- og omsorgstjenesteloven som pålegger helseforetak å kvalitetssikre sitt behandlingstilbud.