Viktiga diskussioner på AIDAs GDPR-seminarium

AIDA anordnade 30/1 ett öppet seminarium för att diskutera hur medicinsk AI-forskning påverkas av nya dataskyddslagen GDPR som träder i kraft i maj. I den fullsatta Wrannesalen på CMIV i Linköping fick de 85 deltagarna en grundlig genomgång av området, följt av en livlig diskussion.

Några av slutsatserna följer här. På många sätt är man väl förberedd för GDPR om man har koll på dagens lagstiftning med bl a Personuppgiftslagen (PuL). Forskningsanvändning har en särställning i GDPR som i stora drag möjliggör dataskyddshantering på liknande sätt som gjorts tidigare. Dock finns förstås nya aspekter som behöver beaktas när GDPR börjar gälla.

En positiv effekt av GDPR är en ökad tydlighet vad gäller dataskydd, och en harmonisering inom EU. GDPR ger också utrymme för pragmatiska lösningar, där rimlighet och proportionalitet ingår i avvägningen av vad som är tillräckligt dataskydd. Som för all ny lagstiftning finns det dock frågetecken hur skrivningar och definitioner ska tolkas. I diskussionen framkom också att det finns frågetecken även idag, t ex i skärningspunkten PuL och Etikprövningslagen. Slutgiltigt svar på hur GDPR ska tolkas i specifika fall kan fås först då lagstiftningen i framtiden prövas i domstol, och till dess får forskarna själva anta en balanserad tolkning av vad som är gott integritetsskydd utifrån GDPRs principer.

En grundläggande fråga som diskuterades var om en bild någonsin kan anses vara anonymiserad. Det spelar stor roll eftersom GDPR då inte gäller. Slutsatsen blev att bilden i sig kan anses vara en ”kodnyckel” till att koppla ihop med persondata i kliniska system, men i GDPRs anonymiseringsbegrepp ingår även en rimlighetsbedömning. Så frågan som medicinska AI-forskare som vill arbeta inom anonymiseringens råmärken måste ställa sig, är om den insats som skulle krävas för att återkoppla till persondata är orimligt svår eller inte.

På seminariet gav Ulrika Harnesk från Datainspektionen en genomgång av GDPR och dess sammanhang. Victoria Söderqvist och Annika Palm från Vetenskapsrådet berättade om VRs arbete med att förbättra förutsättningarna för kliniska studier, inklusive VRs inspel till arbetet med att anpassa svensk lagstiftning till GDPR. Johan Åtting från Sectra berättade om hur företaget praktiskt arbetar med att uppfylla GDPR både internt och i relation till sjukvårdskunder, och Linköpings Universitet och Region Östergötland berättade om förberedelsearbetet inför GDPR genom Anna Maria Lindberg respektive Sanja Hebib. Seminariet avslutades sedan med öppen diskussion med talarna i en expertpanel.