UiB så i utgangspunktet ikke nødvendigheten av å informere offentligheten om den ulovlige delingen av personopplysninger, men ble pålagt å gjøre det av Datatilsynet. Rektor Dag Rune Olsen informerte om saken blant annet på Twitter.
UiB så i utgangspunktet ikke nødvendigheten av å informere offentligheten om den ulovlige delingen av personopplysninger, men ble pålagt å gjøre det av Datatilsynet. Rektor Dag Rune Olsen informerte om saken blant annet på Twitter.

Tvang UiB til å fortelle om lovbrudd

Publisert

UiB ble tvunget av Datatilsynet til å offentliggjøre informasjon om lovbruddet som har kostet UiB 350 000 kroner.

Dette er det andre store lovbruddet der UiB-forskere har brukt eller videresendt personopplysninger uten lov. Forrige gang fikk UiB et forelegg på 250 000 kroner, mens denne gang er summen hevet til 350 000 kroner. «Ved fastsettelse av gebyrets størrelse er det tillagt stor vekt at det foreligger gjentakelse», skriver Datatilsynet i sitt vedtak.

Prosjektet handler om innvandrere og helse, og en rekke ulike registre som inneholder opplysninger om diagnoser, kjønn, inntekt, medikamentbruk og annet er koblet mot hverandre og deretter pseudonymisert, slik at personene det gjelder ikke skal kunne spores opp.

Misforsto konsesjonskrav
Feilen skjedde da prosjektlederen søkte om utvidet konsesjon for å dele dataene med Norsk Samfunnsvitenskapelig Datatjeneste (NSD), som skulle behandle dataene. Lederen fikk da til svar at det ikke var nødvendig med ny konsesjon, så lenge det forelå en skriftlig avtale med databehandleren. Dette ble misforstått, og deretter ble deler av dataene også delt med enkeltforskere ved Universitetet i Oslo, Høgskolen i Oslo og Akershus og Folkehelseinstituttet, som skulle gjøre deler av forskningen. Det ble også laget skriftlige avtaler med disse, men uten at konsesjonen  ble søkt utvidet. 

Feilen ble oppdaget av NSD da prosjektlederen skulle søke om ny konsesjon for å forlenge prosjektet.

Pålagt å omtale
UiB har argumentert for at det ikke er nødvendig å informere offentligheten om de tre ulike lovbruddene, ettersom risikoen for å identifisere enkeltindivider har vært liten.

Men Datatilsynet er sterkt uenig i at den grove feilen ikke skal omtales, og har gitt UiB pålegg om å offentliggjøre informasjon om lovbruddet: «Universitetet i Bergen pålegges å informere allmennheten om avviket i tråd med helseregisterloven § 24.» UiB publiserte en sak om forholdet fredag 31. juli 2015.

Skyldte på forskeren
UiB blir også pålagt å dokumentere at de faktisk har et fungerende internkontrollsystem.

Dette var også et tema forrige gang, da UiB fikk et forelegg på 250 000 kroner etter at et forskningsprosjekt under Arnstein Mykletun hadde brukt trygdedata uten å ha nødvendig konsesjon. Saken utviklet seg til en konflikt mellom Mykletun og universitetsledelsen. Daværende rektor Sigmund Grønmo og universitetsdirektør Kari Tove Elvbakken la mesteparten av skylden på prosjektlederen, og hevdet at internkontrollsystemet hadde fungert dersom prosjektlederen hadde gitt riktig informasjon.

Datatilsynet var ikke særlig imponert over argumentasjonen til ledelsen, og svarte at et kontrollsystem som er avhengig av enkeltpersoner for å avdekke avvik, ikke er tilfredsstillende. Saken ble også brakt inn for redelighetsutvalget ved UiB, som først konkluderte med at Mykletun hadde handlet grovt uaktsomt. Men etter klage fra Mykletun, ble konklusjonen den motsatte, og han ble frikjent.

Vurderte å stenge datatilgang
Datatilsynet konkluderer denne gangen med at UiB fortsatt ikke har et tilfredsstillende internkontrollsystem, og har vurdert å pålegge UiB å stanse all behandling av helseopplysninger i forskningsprosjekter inntil et tilfredsstillende system er satt i drift. Tilsynet har imidlertid funnet et slikt pålegg for tyngende for et stort universitet, og krever i stedet at UiB dokumenterer at de oppfyller helseforskningslovens krav til organisering av forskning og internkontroll.

Rektor Dag Rune Olsen forsikrer at UiB denne gangen ikke skylder på enkeltforskere.

– Dataene ble delt med andre forskere fordi man mente dette var forskningsmessig fornuftig. Nå er det viktig at vi går gjennom systemene våre og ser på hvordan vi i større grad kan hindre at vi ender opp i samme situasjon igjen. Vi må ha systemer som hindrer dette, og det er institusjonen som skal stå til rette for at virksomheten holder mål forskningsetisk. Enkeltforskere skal ikke sitt igjen i klisteret, lover Olsen.

– Krever profesjonell oppfølging
– Denne saken er halvannet år gammel, og vi har gjort veldig mye med rutinene i det siste, sier instituttleder Rolv Terje Lie ved Institutt for global helse og samfunnsmedisin.

– Vi har et fagmiljø som er godt kjent med registre, men disse tingene er kompliserte, og regelverket krever ganske profesjonell oppfølging, og ofte er det snakk om forskningssamarbeid på tvers av institusjoner, sier Lie.

Når det gjelder internkontroll kan UiB fortsatt bli bedre, mener han.

– Det er et forbedringspotensiale, det vil jeg bare være ærlig på.

Trenden er at stadig flere registre settes sammen, og flere og flere forskere bruker dem.

– Vi må bare skjerpe profesjonaliteten vår, og gjøre vårt for at slike ting ikke skjer, sier Lie.