Nyutviklet, norsk teknologi gjør det mulig å forske på registerdata uten å se personopplysningene. Det fjerner både tidkrevende byråkrati og et etisk dilemma.
Kronikk av senioringeniør i Datatilsynet Veronica Jarnskjold Buer, Atle Alvheim avdelingsdirektør i Norsk senter for forskningsdata og prosjektleder for RAIRD og Svein Johansen seniorrådgiver, Statistisk sentralbyrå som ble publisert på forskning.no 25.09.2017
I Norge samler vi store mengder informasjon om personer og virksomheter i registre. Dette gir unike muligheter for forskning om effekter og sammenhenger om alt fra frafall i videregående skole til pensjonsordninger til integrering.
Med informasjonsrikdommen følger et personverndilemma. Det er alltid en fare for at forskeren direkte eller indirekte kan kjenne igjen menneskene hun forsker på. Derfor er bruken av registerdata strengt regulert for å beskytte personopplysninger, noe som kan forsinke, fordyre og i enkelte tilfeller stoppe forskningen.
Nå blir det mulig å skjerme individopplysninger og forenkle forskernes tilgang til denne informasjonen. I en ny forskningsinfrastruktur kan du forske på registerdata uten å se dem. Løsningen har arbeidsnavnet Remote Access Infrastructure for Register Data (RAIRD).
Mer forskning, bedre personvern
Ved hjelp av det nye systemet kan forskeren arbeide med individdata uten å se enkeltindivider. Systemet er utviklet av Norsk senter for forskningsdata (NSD) og Statistisk Sentralbyrå (SSB) med midler fra Norges forskningsråd. De kaller det et anonymiserende grensesnitt. Tanken bak er at det er resultatene som er viktige for forskningen, ikke enkeltindividene.
Forskeren kan sette sammen den populasjonen og de analysene hun er ute etter på grunnlag av databeskrivelser, såkalte metadata. Dette går inn i systemet og blir behandlet i et miljø som forskeren ikke har tilgang til. Resultatene kommer ut gjennom et filter som sikrer at de er anonyme.
Mindre tidkrevende byråkrati
I dagens system for tilgang til forskningsdata får forskerne låne avidentifiserte kopier av selve dataene. Dette forutsetter omfattende og tidkrevende søknader som kan involvere forskningsinstitusjonens personvernombud, Datatilsynet, Regionale etiske forskningskomiteer, SSB og de ulike registereierne.
Dataene er indirekte identifiserbare. Derfor må forskerne undertegne taushetserklæringer for å bruke dem. Med RAIRD er det ikke lenger nødvendig med disse arbeidskrevende søknadene.
Betaversjonen av RAIRD kommer på lufta mot slutten av 2017. Fordi grensesnittet er anonymiserende, kan forskerne arbeide via internett, og de trenger ikke søke om data for hvert enkelt forskningsprosjekt.
Som et sikkerhetstiltak må de identifisere seg med MinID eller tilsvarende når de logger seg på sin RAIRD-konto, og aktiviteten blir logget.
Datatilsynet opptatt av personvernfremmende teknologi
25. mai 2018 trer det i kraft et nytt regelverk for personvern som vil gjelde for alle EU/EØS-land (personvernforordningen). De enkelte lands datatilsyn skal tolke og håndheve regelverket på samme måte.
Personvernprinsippene blir viktige for oss alle å forstå, enten vi er forskere, behandlingsansvarlige eller databehandlere. Personopplysningene våre skal behandles på en lovlig, rettferdig og gjennomsiktig måte, og de skal samles inn for bestemte, uttrykkelig angitte og rettmessige formål.
Det skal ikke samles inn flere personopplysninger enn nødvendig. Personopplysningene skal være riktige og ha begrenset lagringstid. Som før stilles det krav til konfidensialitet, integritet og tilgjengelighet rundt personopplysningene.
Ansvarlighetsprinsippet blir betydelig forsterket, det innebærer at forskere, databehandlingsansvarlige og databehandlere etter lovervekt ikke bare har ansvar men også må demonstrere at de tar ansvar.
Innebygd personvern i praksis
For forskere som gjør kvantitative analyser er befolkningsregistre viktige kilder. De må behandles etter forskningsetiske regler og det nye regelverket. Stikkord her er samtykke, kontrakt, rettslig forpliktelse, vitale interesser, oppgave i samfunnets interesse eller legitime interesser. Samtykke er sentralt ved forskning på personopplysninger.
Den nye personvernforordningen styrker den registrertes rettigheter. For eksempel skal det være like enkelt for den registrerte å trekke tilbake som å gi samtykke.
Spesielt kan forskere synes dette er tungt når de kartlegger om en problematikk er interessant nok til å gå videre med. Med tanke på denne utfordringen mener Datatilsynet at NSD og SSBs RAIRD-løsning er god og et godt eksempel på innebygd personvern i praksis.
Sikkerhet fra start til slutt
Innebygd personvern tar hensyn til personvern og datasikkerhet gjennom hele utviklingsløpet. Personvern skal gjøres til standardinnstilling. Det skal være åpenhet om hvordan systemet fungerer og behandler personopplysninger, det skal legges til rette for innsyn i egne opplysninger og være mulig å kontrollere at systemet ivaretar personvernet.
Datatilsynet vil i løpet av sommeren 2017 komme med en veiledning om innebygd personvern i tråd med den nye personvernlovgivningen. I veiledningen vil kravene fra forordningen dekkes for alle aktiviteter i et utviklingsløp, fra idéstadiet til systemet tas i bruk.
Gode og omfattende registerdata er både en mulighet og en risiko. RAIRD er viktig fordi systemet bygger personvernet inn i teknologien. Det gir forskerne raskere tilgang til viktige data, samtidig som det øker sikkerheten for oss som blir forsket på.