Indholdet er opdateret i juni 2025. Vær opmærksom på, at vi løbende opdaterer disse sider.
Fremtidig forskning? Her får du hjælp til at få styr på:
Der findes ikke ét regelsæt, der bestemmer, hvordan personoplysninger kan behandles til fremtidig forskning. Det rejser naturligt en del spørgsmål om, hvordan og inden for hvilke rammer behandling af personoplysninger til fremtidig forskning kan finde sted.
Kravene til behandlingen afhænger af flere faktorer og udspringer f.eks. af sundhedsretten, etiske overvejelser og/eller den generelle databeskyttelsesret.
Her kan du læse mere om, hvilke databeskyttelsesretlige overvejelser du skal være særligt opmærksom på, hvis du skal behandle personoplysninger til fremtidig forskning. Husk at du skal opfylde de øvrige forpligtelser efter databeskyttelsesreglerne – præcis som du plejer.
Fremtidig forskning er forskning, der ligger ude i fremtiden, hvilket betyder at du som oftest ikke kender det eller de præcise forskningsformål på forhånd.
Eksempel A: Fremtidig forskning En forsker indsamler f.eks. personoplysninger for at kunne forske i årsagssammenhænge mellem eksponeringer i forsterstadiet og sygdomme i den tidlige voksenalder. De forskningsdata, der genereres, er unikke og kan bruges til at belyse mange forskellige sygdomsbilleder. Derfor samler vedkommende dem i en database, der kan være datakilde til fremtidige forskningsprojekter om årsagssammengæng mellem eksponeringer i forsterstadiet og sygdomme i den tidlige voksenalder. |
Der findes forskellige former for biobanker afhængig af, hvad formålet med biobanken er. I denne vejledning fokuseres der på biobanker til fremtidig forskning.
En biobank til fremtidig forskning er en struktureret samling (et manuelt register) af biologisk materiale (og evt. en tilhørende fysisk eller elektronisk database med ’tørre’ data), der har til formål at kunne indgå (helt eller delvist) i fremtidige forskningsprojekter. Hvis biobanken udelukkende har til formål at indgå i ét konkret forskningsprojekt, er der ikke tale om en biobank til fremtidig forskning.
Begrebet database findes i ikke i databeskyttelsesreglerne, her taler man alene om ’registre’. Når ordet database bruges på disse sider, så skal det forstås som struktureret samling af forskningsdata indeholdende personoplysninger, som har til formål at skulle bruges i fremtidig forskning inden for et nærmere specificeret område.
Nej, der er som udgangspunkt ikke forskellige regler. Dog kan dit metodevalg i nogle tilfælde have betydning for, hvilke regler der gælder i din situation, f.eks. om du laver en direkte eller indirekte indsamling (m.a.o. om du indsamler fra den registrerede eller fra andre).
Desuden kan dit metodevalg have betydning for, om du meningsfuldt kan arbejde med pseudonymiserede personoplysninger, eller om det er nødvendigt for dig at kunne se oplysningerne i klartekst. Det kan f.eks. få betydning for den måde, som du skal vurdere risiciene ved behandlingen på.
Nødvendighed og aktualitet | Konkretiseret formål | Behandlingsgrundlag |
Særregler for biologisk materiale | Opbevaringsbegrænsning | Deling |
Risikovurdering | Fornødne garantier | Oplysningspligt |
Når du behandler personoplysninger, er det et krav, at behandlingen af personoplysninger er nødvendig for at opnå formålet med behandlingen. Det betyder samtidigt, at der er et krav om aktualitet. Det er nogle grundlæggende principper, som skal sikre, at der ikke sker en dataophobning.
Som forsker skal du altså vurdere, 1) om det er nødvendigt at behandle personoplysningerne, og 2) om formålet med behandling er aktuelt.
Eksempel B: Aktualitet |
I eksemplet er der en klar aktualitet mellem den dataindsamling, som forskeren ønsker at gennemføre og den efterfølgende forskning, der skal gennemføres.
Eksempel C: Hypotetisk formål En forsker ønsker at opbygge en database, som kan bruges til forskning i bred forstand. Forskeren indsamler derfor forskningsdata, herunder personoplysninger, fra forskellige datakilder: i) avisartikler, ii) data fra nyhedsmedier og sociale medier, og iii) data fra en række tidligere forskningsprojekter. Indsamlingen sker løbende i perioden 2014 til 2016. I 2022 gennemgår forskeren ved en tilfældighed de indsamlede forskningsdata og beslutter sig på baggrund af datasamlingen for at undersøge unges selvbillede. Senere samme år beslutter forskeren også at påbegynde et forskningsprojekt om mediers indvirkning på den politiske debat. |
I eksemplet er der på indsamlingstidspunktet ikke et sagligt og specificeret formål, idet forskeren indsamler personoplysningerne med henblik på fremtidigt at kunne bedrive forskning uden nærmere at definere forskningsområdet. Forskningsformålet er på indsamlingstidspunktet hypotetisk, hvilket bliver tydeliggjort af det tidsmæssige spænd mellem indsamling og den faktiske aktualisering af forskningsformålene.
Når du skal behandle personoplysninger, er der et krav om, at behandlingen skal ske til et specifikt formål. Behandling af personoplysninger til fremtidig forskning er i sig selv et formål, men ’fremtidig forskning’ er ikke konkretiseret ’nok’.
Det kræver med andre ord, at du sætter nogle flere ord på, hvilket videnskabeligt område du forsker indenfor. Det er bl.a. et hensyn til, at den registrerede skal kunne gennemskue, hvorfor vedkommendes personoplysninger behandles. Du skal altså gøre det gennemsigtigt for den registrerede.
Eksempel D: Hvad bør du overveje, når du skriver din formålsbeskrivelse Du er formentlig specialiseret inden for eller interesserer dig særligt for et bestemt område. Det kunne f.eks. være skolebørns læringsprocesser, ledelsesevaluering, kommunikation på sociale medier, psykologisk behandling inden for et bestemt område, osv. Som forsker vil området ofte følge dig igennem hele eller større dele af dit forskningsvirke. Din indsamling af data, herunder personoplysninger, vil ofte ske i sammenhæng med et konkret forskningsprojekt. Når du etablerer en database/biobank med henblik på fremtidig forskning, bør du derfor tænke ovenstående ind, når du skal fastlægge formålet med behandlingen af personoplysninger i din database. Hvor du i et konkret forskningsprojekt har et mere afgrænset område, som du vil undersøge, kender du ikke de konkrete formål med den forskning, som du fremtidigt vil bedrive, når du skal beskrive formålet med databasen. Et tænkt eksempel:
I det tænkte eksempel kan formålsbeskrivelsen i ’formål b’ rummes under formålsbeskrivelsen i ’formål a’. Du kan derfor have flere formål, som ’formål b’, under formålsbeskrivelsen i formål a. |
Du kan læse mere om formålsbeskrivelser på denne side.
Hver gang du som forsker behandler personoplysninger, skal du have et behandlingsgrundlag (en lovhjemmel).
Behandling af personoplysninger til forskningsformål har en selvstændig hjemmel (forskningshjemlen) i databeskyttelsesforordningen og –loven, og ofte vil dette behandlingsgrundlag være det mest hensigtsmæssige at basere behandlingen af personoplysninger i forskning på – også til fremtidig forskning - og også selvom du indsamler oplysningerne direkte fra den registrerede.
Det kan efter omstændighederne være muligt at basere behandlingen på andre hjemler, f.eks. et databeskyttelsesretligt samtykke. Du skal dog være opmærksom på, at et krav om samtykke i særlovgivningen som udgangspunkt ikke er et databeskyttelsesretligt samtykke. Du kan derfor være forpligtet til at indhente et samtykke efter anden lovgivning eller etiske retningslinjer for, at det er lovligt at behandle personoplysningerne til fremtidig forskning, men et sådant samtykke udgør ikke en hjemmel (et lovligt behandlingsgrundlag) til behandlingen af personoplysninger. Se et Eksempel E i afsnittet nedenfor.
Har du flere formål, skal du sikre dig, at du har en hjemmel til behandling af de enkelte formål.
Du kan læse mere om behandlingsgrundlag her.
Når du behandler biologiske materiale, skal du være særligt opmærksom på, at der kan være krav til indsamling og brug i særlovgivningen (f.eks. i komitéloven eller sundhedsloven).
Sådanne regler går forud for de almindelige databeskyttelsesretlige regler. Det betyder, at du først skal sikre dig, at du opfylder de særlige krav, der gælder for biologisk materiale, og så dernæst de almindelige databeskyttelsesretlige regler.
Eksempel E: Særlovsregler og almindelige databeskyttelsesretlige regler En forsker indsamler en række blodprøver i forbindelse med et sundhedsvidenskabeligt forskningsprojekt. I forskningsprojektet skal forskeren bruge 1 ml blod til undersøgelsen, men forskeren udtager 3 ml blod pr. patient. Blodprøverne stammer fra en række patienter med diabetes. Forskeren har indhentet et informeret samtykke efter komitéloven til udtagelse af blod til forskningsprojektet i overensstemmelse med den godkendelse, som forskeren har fået fra de videnskabsetiske komitéer (særlovgivning). Forskeren henter samtidig et informeret samtykke til at bruge de resterende 2 ml blod i en biobank til fremtidig forskning inden for forskning i behandling af diabetes 2 diabetikere og oplyser om dette andet formål i sin oplysningspligt. Indsamlingen af prøven til fremtidig forskning er ikke omfattet af komitélovens regler, men det bliver prøven, når den igen skal bruges i et konkret forskningsprojekt. Al behandlingen af personoplysninger sker med hjemmel i forskningshjemlen (almindelige databeskyttelsesret). |
Ligesom formålsbeskrivelsen sætter rammen for det formål, som personoplysningerne kan behandles til, er det også formålet, der i sidste ende er afgørende for, hvor lang tid du kan behandle personoplysningerne.
Opbevaringsbegrænsning også kendt som ’slettefrister’, volder ofte problemer, da det er svært at forudsige, hvor længe det er nødvendigt at behandle personoplysningerne.
Når du skal fastlægge opbevaringsbegrænsningen for de personoplysninger, der behandles i en biobank eller en database til fremtidig forskning, skal du bruge de principper, som du bruger ved vurderingen af opbevaringsbegrænsningen i et forskningsprojekt. Forskellen er her, at du ikke har et specifikt formål, som er med til at afgrænse behandlingen. Dit formål er så at sige bredere.
Du kan ved fastlæggelse af opbevaringsbegrænsningen for behandling af personoplysninger i en biobank eller en database til fremtidig forskning f.eks. overveje nedenstående spørgsmål:
Når du opretter en database/biobank til fremtidig forskning, er det selvsagt meningen, at du vil bruge personoplysninger fra databasen/biobanken til konkrete forskningsprojekter i fremtiden. Det kan være, at du også vil stille oplysningerne til rådighed for andre forskere, som har et forskningsformål, der ligger inden for databasens/biobankens.
Hvis du skal dele personoplysninger fra databasen/biobanken med andre, er det vigtigt, at du overvejer det på forhånd, så du kan indrette dig på det. Det er en god idé at tjekke følgende:
Du kan læse mere om deling af personoplysninger på denne side.
Som ved al behandling af personoplysninger, skal du overveje, hvilke risici du udsætter de registrerede for. Risikovurderingen er fundamentet for din vurdering af, hvilke foranstaltninger (tiltag) du skal træffe for at beskytte personoplysningerne. Du kan læse mere om risikovurdering og finde en skabelon på siden her. Du skal altid overveje, om din risikovurdering giver anledning til en konsekvensanalyse.
Når du behandler personoplysningerne i en biobank eller en database til fremtidig forskning, er det vigtigt, at du forholder dig til, at behandlingen af personoplysninger i mange tilfælde vil have en længere tidsmæssig udstrækning, end hvis du f.eks. behandler personoplysninger til et konkret forskningsprojekt. Det stiller øgede krav til både de tekniske og organisatoriske foranstaltninger, som du skal træffe.
Eksempel F: Foranstaltninger, som kan hjælpe med at beskytte personoplysninger
|
Foruden de tekniske og organisatoriske foranstaltninger, skal en behandling af personoplysninger til forskningsformål være omfattet af ’fornødne garantier’. Fornødne garantier fungerer som en slags ’kompensatoriske foranstaltninger’, som i det væsentlige opvejer den bredere adgang, der er til behandling af personoplysninger i forskning med hensynet til beskyttelsen af de registrerede.
Der er allerede sikret en række fornødne garantier ved lov, f.eks. er der tilladelseskravene i databeskyttelseslovens § 10, der er kravet om at universitetet skal have en DPO, der gælder et formålsbegrænsningsprincip, når det kommer til forskning, som betyder, at forskning med personoplysninger alene må ske til forskning, osv.
Desuden kan du selv være med til at sikre yderligere garantier, f.eks. ved at foretage en konsekvensanalyse, indhente et etisk deltagelsessamtykke (læs mere her), osv.
Du har, som ved enhver anden behandling af personoplysninger, som udgangspunkt en oplysningspligt. Når du indsamler personoplysninger til en biobank eller database til fremtidig forskning, er det vigtigt, at det det fremgår af oplysningspligten, så det er gennemsigtigt for den registrerede, hvorfor og hvordan du behandler vedkommendes personoplysninger.
Hvis du samtidig med etablering af eller indsamling til biobanken eller databasen også behandler personoplysningerne til et konkret forskningsprojekt, skal det fremgå af din formålsbeskrivelse i oplysningspligten. Du skal altså sikre, at det er klart for den registrerede, at du både vil behandle personoplysningerne til brug for biobanken eller databasen til fremtidig forskning inden for et nærmere specificeret område, og at du vil behandle dem til et konkret specificeret forskningsprojekt.
For at sikre at du lever op til de databeskyttelsesretlige principper, herunder god databehandlingsskik og ansvarlighed, skal du have processer for styring af biobanken eller databasen. En god styring vil ud over at hjælpe dig med at overholde dine databeskyttelsesretlige forpligtelser også lette dit arbejde med biobanken eller databasen fremadrettet.
Eksempel G: Politikker og procedurer, der kan være relevante i forhold til styring:
|
Ja, alle behandlinger af personoplysninger skal fremgå af AU’s fortegnelse. Du kan anmelde en biobank eller en database til fremtidig forskning via denne formular. På siden finder du konkret vejledning til, hvordan du anmelder biobanken eller databasen.
Du skal altid dokumentere dine vurderinger. Der er ikke som sådan nogle formkrav til din dokumentation, men den bør altid være skriftlig og i en form, som giver dig mulighed for at opdatere og versionere dit materiale.
Det er en god idé at gemme dokumentationen, hvor du ellers gemmer projektdokumentation. Det kunne f.eks. være i WorkZone.
På hjemmesiden kan du finde diverse skabeloner, som du kan bruge til at dokumentere din risikovurdering og evt. konsekvensanalyse eller din oplysningspligt.
Du kan finde kontaktoplysninger på din GDPR-koordinator her.