Fortsatt juridiske utfordringer med datadeling
Forskningsinstitusjoner har nå fått en oppskrift fra Personvernrådet om hvordan de skal håndtere datadeling etter Schrems II-dommen. Ifølge direktør Giske Ursin i Kreftregisteret er utfordringen fortsatt å få offentlige samarbeidspartnere utenfor EØS til å akseptere de europeiske standardkontraktene.
Denne artikkelen er mer enn tre år gammel.
Som Dagens Medisin har omtalt tidligere, har internasjonale forskningsprosjekter stått på vent etter innføringen av GDPR, og Schrems II-dommen har gjort noen overføringer enda litt mer komplisert.
Det er fortsatt problemer med datadeling med offentlige institusjoner utenfor EØS. Dette må løses politisk Giske Ursin
Det har også hersket stor tvil om hvordan flere store e-helsesatsinger skulle løse problemstillingen med å drifte nye løsninger, som Helseanalyseplattformen og eksempelvis Smittestopp, ettersom de driftes på skyløsninger som eies av amerikanske selskap som Google (Cloud), Amazon (AWS) og Microsoft (Azure).
Under EHiN-messen som ble avholdt 9.-10. november, ble seminaret «Er datadeling mulig etter Schrems II?» avholdt. Og skal vi tro foredragsholderne – er svaret «tja».
Avklaringer
Datatilsynets representant under sesjonen på EHiN viste til at de nettopp har publisert en veileder basert på Personvernrådets veileder fra juni, som er relevante for alle som skal overføre data til land utenfor EØS. Direktør Giske Ursin i Kreftregisteret pekte i sin presentasjon på at utfordringen med dataoverføringer til visse offentlige institusjoner – som føderale institusjoner i USA – ikke er løst.
Derimot forklarte Ursin at de som samarbeider med forskere ved private universiteter, kan se til veilederen fra Personvernrådet, som har en oppskrift som håndterer tiltakene etter Schrems II.
– Det er fortsatt problemer med datadeling med offentlige institusjoner utenfor EØS. Dette må løses politisk, mener Ursin.
Kontrakter må signeres
– For å dele data, må vi finne et overføringsgrunnlag. For private institusjoner som aksepterer EUs standardkontrakter, er disse nå blitt oppdatert etter Schrems II. Dersom en forskningsinstitusjon utenfor EØS aksepterer denne, er det greit. Da trenger man egentlig bare å følge oppskriften i standardkontraktene. Det er en del jobb, men mulig.
Veilederen, som finnes på Datatilsynets nettsider, skal være i tråd med European Data Protection Board (EDPB), opplyser Ursin.
– Hvis svaret på om de kan akseptere standardkontrakten er nei fra forskningsinstitusjonen, for eksempel fordi det er en føderal institusjon i USA, finnes det for øyeblikket ikke noe egnet overføringsgrunnlag. Da har vi et kjempeproblem. Forskerne må finne andre måter å få utført samarbeidet på.
Ursin peker på at institusjoner som man eksempelvis samarbeider med, også må lagre dataene sikkert på en server hos seg – altså ikke på en lagringsløsning som er skybasert i USA.
Ingen løsning for nye prosjekt
For øyeblikket er det ikke noen løsning i sikte for nye samarbeid med føderale institusjoner. Kreftregisteret har i over tyve år samarbeidet med det amerikanske forskningsinstituttet National Institutes of Health (NIH), og nye samarbeid står fortsatt i stampe.
– Et eksempel på konflikt mellom amerikansk føderalt lovverk og GDPR er erstatningsansvaret («redress» mulighet). Enkelt forklart: Amerikanere kan saksøke føderale aktører i USA dersom de har en datalekkasje, mens europeere ikke har denne rettigheten. Dette er den største utfordringen vi sitter med. Vi har gått gjennom både disse standardkontraktene og andre mulige overføringsgrunnlag etter GDRP artikkel 46 med NIH-juristene – og dette er fortsatt uløst. Så dette må løses politisk, konstaterer Ursin.
Skyløsninger
Etter Schrems II-dommen, har det hersket forvirring rundt hvordan norske e-helseaktører skal bruke skytjenester for store satsingsprosjekter, som eksempelvis Helseplattformen.
–Ettersom de ledende skyleverandørene er eid av amerikanske selskaper, gjensto det en mulighet for at de måtte forholde seg til amerikansk overvåkingslovgivning, selv om serveren var fysisk plassert i Europa, forklarte administrerende direktør Einar Martin Aandahl i Ledidi i sitt innlegg under EHiN.
– Før har man kunnet kryptere dataene bare når de lagres og når de transporteres, men ikke når dataene brukes. Det vil si at når man kjører prosessering, leser, gjør kalkulasjoner, filtrering og søk, har dataene måttet bli dekryptert i øyeblikket. Dermed har underleverandøren hatt en teoretisk tilgang til dataene, som for amerikanske selskaper har gjort at de kunne havne i en juridisk skvis dersom de blir bedt om å utlevere dataene, forklarer Aandahl i Ledidi til Dagens Medisin.
Paradoks
Aandahl har erfaring som medisinsk forsker ved Rikshospitalet, Rockefeller i New York og UCSF, og han har jobbet i ti år som transplantasjonskirurg ved Oslo universitetssykehus.
Ledidi leverer forskningsverktøy for helseforskning, medisinske register og analyser til helseforetak og internasjonale universiteter gjennom en skytjeneste.
Under presentasjonen på EHiN pekte Aandahl på et paradoks. Man vil helst kjøre nye e-helseløsninger på en av de store amerikanske gigantene, fordi den underliggende teknologien gjør at nettopp disse tjenestene er overlegne på sikkerheten de leverer. Samtidig har Schrems II-dommen medført at overgangen til skyløsninger har blitt utsatt. Derfor har man blitt tvunget til å leve med løsninger som innebærer eldre program- og maskinvare, med vesentlig lavere datasikkerhet.
Konfidensiell prosessering
Aandahl fortalte at skyleverandørene nå kan benytte konfidensiell prosessering. Det er en teknologi som gjør at de kan prosessere data trygt på servere som er plassert i Europa.
– Teknologien gjør at man kan kryptere dataene mens de prosesseres, og dermed isolere dataene fra skyleverandøren. Denne teknologien har vært under utvikling siden 2013, men har nå fått fart på seg. Dette er nå tatt inn i retningslinjene av EUs eget cyber security agency, og innebærer blant annet at sensitive data kan lagres og prosesseres i skyen.
Aandahl forklarer at de tekniske retningslinjene for å benytte teknologien, kom i september. Noen skyleverandører lar brukerne skru konfidensiell prosessering gratis, mens noen tar en ekstrakostnad.
Aandahl presiserer at man fortsatt må vurdere mottaker av dataene, og at alle utenfor EØS i praksis må godta standardkontrakter og regler om datadeling dersom dataene ikke pseudonymiseres eller anonymiseres. Ettersom data vil være dekryptert i klienten som leser, må man passe på hvem man lar lese, og hvem som titter over skulderen.
– Skal man overføre dataene med viten og vilje til et utenlandsk universitet eller til en virksomhet utenfor EØS, må man vite at mottaker håndterer personopplysninger korrekt. Men nå kan skytjenester trygt benyttes for å dele data mellom helsepersonell, forskere eller andre som skal ha tilgang.