Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Användning av hälsodata för forskningsändamål - En undersökning av kraven i dataskyddsförordningen och etikprövningslagen

Eklund, Adrian LU (2023) JURM02 20231
Department of Law
Faculty of Law
Abstract (Swedish)
Hälsodata har stor betydelse för forskning om sjukdomar och behandlingsmetoder. Ett sätt att genomföra forskningen är att samla in hälsodata direkt för det specifika forskningsändamålet. Ett annat sätt är att återanvända hälsodata som redan har samlats in för andra ändamål för det aktuella forskningsändamålet. De två centrala regelverken som reglerar när och hur hälsodata får användas inom forskning är dataskyddsförordningen och etikprövningslagen. Syftet med uppsatsen är därför att klargöra de rättsliga förutsättningarna att behandla hälsodata för vetenskapliga forskningsändamål enligt dataskyddsförordningen och etikprövningslagen. För att uppfylla syftet klargörs gällande rätt genom en rättsdogmatisk metod.

Uppsatsen första... (More)
Hälsodata har stor betydelse för forskning om sjukdomar och behandlingsmetoder. Ett sätt att genomföra forskningen är att samla in hälsodata direkt för det specifika forskningsändamålet. Ett annat sätt är att återanvända hälsodata som redan har samlats in för andra ändamål för det aktuella forskningsändamålet. De två centrala regelverken som reglerar när och hur hälsodata får användas inom forskning är dataskyddsförordningen och etikprövningslagen. Syftet med uppsatsen är därför att klargöra de rättsliga förutsättningarna att behandla hälsodata för vetenskapliga forskningsändamål enligt dataskyddsförordningen och etikprövningslagen. För att uppfylla syftet klargörs gällande rätt genom en rättsdogmatisk metod.

Uppsatsen första frågeställning är vilka krav som ställs i dataskyddsförordningen för behandling av hälsodata för forskningsändamål. Inledningsvis ställs i dataskyddsförordningen krav på ändamålsbegränsning, uppgiftsminimering och att behandlingen ska vara nödvändig. Vidare ställs krav på etikprövning och att behandlingen omfattas av andra lämpliga skyddsåtgärder. Som exempel på sådana skyddsåtgärder nämns särskilt pseudonymisering och anonymisering. Ytterligare exempel på skyddsåtgärder är informerat samtycke och organisatoriska åtgärder.

Den andra frågeställningen är vilka krav som ställs i etikprövningslagen för behandling av hälsodata för forskningsändamål och hur har kraven i dataskyddsförordningen beaktats i svensk rätt. I etikprövningslagen stadgas kravet på etikprövning. Etikprövningen görs utifrån vissa allmänna utgångspunkter. Etikprövningen enligt etikprövningslagen säkerställer att lämpliga skyddsåtgärder vidtas enligt artikel 89.1 GDPR vid behandling av hälsodata för forskningsändamål. Dessutom beaktas kravet på ändamålsbegränsning, uppgiftsminimering och att behandlingen ska vara nödvändig genom den forskningsetiska avvägningen.

I Överklagandenämndens praxis ställs flera krav på skyddsåtgärder. Tekniska skyddsåtgärder, som pseudonymisering och anonymisering, kan utgöra lämpliga skyddsåtgärder vid behandling av hälsodata för forskningsändamål. Anonymisering utgör alltid en lämplig skyddsåtgärd vid all forskning med hälsodata, men krävs endast i undantagsfall om risken för identifiering av registrerade är för stor. Pseudonymisering utgör som huvudregel en lämplig skyddsåtgärd vid registerforskning

Rättsliga skyddsåtgärder, som informerat samtycke och opt-out-förfarande, utgör lämpliga skyddsåtgärder som krävs vid forskning som innebär journalgranskning. Registerforskning kan däremot som huvudregel genomföras utan informerat samtycke eller opt-out-förfarande.

Slutligen krävs enligt etikprövningslagen att organisatoriska skyddsåtgärder införs samt att det även kan ställas krav vid etikprövningen på ytterligare organisatoriska skyddsåtgärder vid behandling av hälsodata för forskningsändamål. (Less)
Abstract
Health data is of great importance for research on diseases and treatment methods. One way to conduct the research is to collect health data directly for the specific research purpose. Another way is to reuse health data that has already been collected for other purposes for the current research purpose. The two central regulations that regulate when and how health data may be used in research are the General Data Protection Regulation (GDPR) and the Ethical Review Act. The purpose of this essay is therefore to clarify the legal requirements for processing health data for scientific research purposes according to the GDPR and the Ethical Review Act. To fulfill the purpose of the essay the current law is determined through the legal... (More)
Health data is of great importance for research on diseases and treatment methods. One way to conduct the research is to collect health data directly for the specific research purpose. Another way is to reuse health data that has already been collected for other purposes for the current research purpose. The two central regulations that regulate when and how health data may be used in research are the General Data Protection Regulation (GDPR) and the Ethical Review Act. The purpose of this essay is therefore to clarify the legal requirements for processing health data for scientific research purposes according to the GDPR and the Ethical Review Act. To fulfill the purpose of the essay the current law is determined through the legal dogmatic method.

The essay's first question is what requirements are laid down in the GDPR for the processing of health data for research purposes. Initially, the GDPR requires purpose limitation, data minimization and that the processing must be necessary. Furthermore, ethical review is required, and the processing must be subjected to other appropriate safeguards. Pseudonymization and anonymization are specifically mentioned as examples of such safeguards. Additional examples of safeguards are informed consent and organizational measures.

The second question is what requirements are laid down in the Ethical Review Act for the processing of health data for research purposes and how have the requirements in the GDPR been taken into account in Swedish law. The Ethical Review Act stipulates the requirement for ethical review. The ethical review is conducted based on certain general starting points. The ethical review according to the Ethical Review Act ensures that appropriate safeguards are in place in accordance with Article 89(1) GDPR when health data are processed for research purposes. In addition, the requirement of purpose limitation, data minimization and that the processing must be necessary, is taken into account through the balancing act of the ethical review.

According to practice from The Ethics Review Appeals Board, several requirements regarding safeguards are laid down. Technical safeguards, such as pseudonymization and anonymization, can be appropriate safeguards when processing health data for research purposes. Anonymization is always an appropriate safeguard in all research with health data but is only required in exceptional cases if the risk of identification of data subjects is too great. As a general rule, pseudonymization is an appropriate safeguard in register-based research.

Legal safeguards, such as informed consent and opt-out procedures, are appropriate safeguards that are required in research involving the review of medical records. In contrast, register-based research can, as a general rule, be conducted without informed consent or an opt-out procedure.

Finally, according to the Ethical Review Act, it is required that organizational safeguards are in place and additional organizational safeguards may also be required through the ethical review when processing health data for research purposes. (Less)
Please use this url to cite or link to this publication:
author
Eklund, Adrian LU
supervisor
organization
alternative title
Use of health data for research purposes - An investigation of the requirements of the GDPR and the Ethical Review Act
course
JURM02 20231
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
EU-rätt, IT-rätt, förvaltningsrätt, offentlig rätt, medicinsk rätt, forskning, etikprövning, hälsodata, GDPR
language
Swedish
id
9116477
date added to LUP
2023-06-15 11:22:45
date last changed
2023-06-15 11:22:45
@misc{9116477,
  abstract     = {{Health data is of great importance for research on diseases and treatment methods. One way to conduct the research is to collect health data directly for the specific research purpose. Another way is to reuse health data that has already been collected for other purposes for the current research purpose. The two central regulations that regulate when and how health data may be used in research are the General Data Protection Regulation (GDPR) and the Ethical Review Act. The purpose of this essay is therefore to clarify the legal requirements for processing health data for scientific research purposes according to the GDPR and the Ethical Review Act. To fulfill the purpose of the essay the current law is determined through the legal dogmatic method.

The essay's first question is what requirements are laid down in the GDPR for the processing of health data for research purposes. Initially, the GDPR requires purpose limitation, data minimization and that the processing must be necessary. Furthermore, ethical review is required, and the processing must be subjected to other appropriate safeguards. Pseudonymization and anonymization are specifically mentioned as examples of such safeguards. Additional examples of safeguards are informed consent and organizational measures.

The second question is what requirements are laid down in the Ethical Review Act for the processing of health data for research purposes and how have the requirements in the GDPR been taken into account in Swedish law. The Ethical Review Act stipulates the requirement for ethical review. The ethical review is conducted based on certain general starting points. The ethical review according to the Ethical Review Act ensures that appropriate safeguards are in place in accordance with Article 89(1) GDPR when health data are processed for research purposes. In addition, the requirement of purpose limitation, data minimization and that the processing must be necessary, is taken into account through the balancing act of the ethical review.

According to practice from The Ethics Review Appeals Board, several requirements regarding safeguards are laid down. Technical safeguards, such as pseudonymization and anonymization, can be appropriate safeguards when processing health data for research purposes. Anonymization is always an appropriate safeguard in all research with health data but is only required in exceptional cases if the risk of identification of data subjects is too great. As a general rule, pseudonymization is an appropriate safeguard in register-based research.

Legal safeguards, such as informed consent and opt-out procedures, are appropriate safeguards that are required in research involving the review of medical records. In contrast, register-based research can, as a general rule, be conducted without informed consent or an opt-out procedure.

Finally, according to the Ethical Review Act, it is required that organizational safeguards are in place and additional organizational safeguards may also be required through the ethical review when processing health data for research purposes.}},
  author       = {{Eklund, Adrian}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Användning av hälsodata för forskningsändamål - En undersökning av kraven i dataskyddsförordningen och etikprövningslagen}},
  year         = {{2023}},
}