GDPR ei saa luoda tarpeettomia esteitä tieteelliselle tutkimukselle – CSC otti kantaa Euroopan komission tulevaan GDPR:n arviointiraporttiin
EU:n yleisellä tietosuoja-asetuksella (GDPR) on ollut merkittävä myönteinen vaikutus henkilötietojen ja yksilöiden oikeuksien suojaamiseen. Asetuksen soveltaminen tieteellisen tutkimuksen alalla on kuitenkin aiheuttanut haasteita erityisesti terveyttä koskevien ja muiden biolääketieteellisten tietojen hyödyntämiselle. Onkin tärkeää arvioida asetuksen soveltamisen kokemuksia ja kohdattuja haasteita kokonaisvaltaisesti, jotta EU:n hyvinvoinnin, kilpailukyvyn ja strategisen autonomian kannalta merkittävä tutkimustoiminta ei vaikeudu tarpeettomasti.
Tieteellisen tutkimuksen alalla tietosuoja-asetus ja sen hajanainen tulkinta eri puolilla Eurooppaa ovat lisänneet byrokratiaa ja epävarmuutta oikeista menettelytavoista. Biolääketieteellisen tiedon siirto on monin paikoin pysähtynyt, ja jäsenvaltiot ovat päätyneet pitämään aineistot omien rajojensa sisällä. Tilanteen korjaamiseksi on ensiarvoisen tärkeää varmistaa, että yleistä tietosuoja-asetusta tulkitaan ja sovelletaan yhtenäisesti eri puolilla Eurooppaa. Euroopan tietosuojaneuvoston (EDPB) ohjeilla ja suosituksilla on tässä merkittävä rooli. Lisäksi tulee kuulla esimerkiksi datanhallinta-säädöksellä perustettua Euroopan datainnovaatiolautakuntaa (EDIB) ja muita sidosryhmiä.
Biolääketieteellisen tiedon tutkimuskäytölle aiheutuu merkittäviä haasteita myös epäselvyyksistä liittyen tiedon pseudonymisointiin ja sen riittävän turvatason määrittelyyn. GDPR:n väliarviossa tuleekin mm. selkiyttää pseudonymisoidun tiedon henkilötietoluonteen tulkintaa sekä muutoinkin kehittää aineistojen käyttöä mahdollistavampaan suuntaan ja parantaa aineistojen jatkohyödynnettävyyttä. Nämä tarpeet korostuvat myös esimerkiksi Suomen opetus- ja kulttuuriministeriön julkaisemassa selvityksessä tutkimusta koskevien sosiaali- ja terveydenhuollon säädösten vaikutuksesta tutkimuksen vapauteen ja tutkimus-, kehittämis- ja innovaatiotoimintaan (saatavilla suomenkielisenä osoitteessa https://julkaisut.valtioneuvosto.fi/handle/10024/163611).
Tieteellisessä tutkimuksessa olennaista on ymmärryksen kasvattaminen rikastamalla tietoa uudella tiedolla ja liittämällä uutta tietoa laajempaan yhteyteen. Tutkimustoiminta on siis muuttumassa yhä dataintensiivisemmäksi, minkä vuoksi GDPR:ään sisältyvää tietojen minimimointiperiaatetta on tutkimuksen näkökulmasta välttämätöntä tarkastella kriittisesti väliarvion yhteydessä. Lisäksi on tärkeää varmistaa aineistojen turvallisille käsittely-ympäristöille asetettavien vaatimusten oikeasuhtaisuus ja tekninen toteuttamiskelpoisuus.
Väliarviossa on huomioitava myös, että GDPR kasvattaa TKI-palveluiden kehittämisen ja ylläpidon kustannuksia. Esimerkiksi GDPR:n vaatimukset täyttävien IT-palveluiden kehittäminen ja operointi vaativat käytännössä mittavia resursseja ja osaamista. Privacy-by-design -periaatteella toimivat ratkaisut mahdollistavat rajat ylittävää tutkimusta lisäämällä luottamusta, mutta ne ovat aiempaa kalliimpia tuottaa ja niin ollen myös kalliimpia käyttäjilleen hankkia.
Rekisterinpitäjän roolista aiheutuvaa hallinnollista taakkaa on myös pienennettävä paitsi käytännesääntöjen, sertifiointimekanismien ja vakiosopimuslausekkeiden tehokkaalla hyödyntämisellä myös antamalla konkreettista ohjeistusta siitä, mitä dokumentoidaan, miksi ja miten. Tämän toteuttamiseksi tulee laatia esimerkiksi yhtenäisiä lomakepohjia.
Biolääketieteellisen tiedon tietoturvallinen ja sujuva tutkimuskäyttö voi tuoda kilpailuetua eurooppalaiselle tutkimukselle ja näin ollen auttaa parantamaan kansanterveyttä ja hyvinvointia kaikkialla Euroopassa. GDPR:n väliarviossa tuleekin panostaa siihen, että sääntely mahdollistaa tiedon mahdollisimman laajan hyödyntämisen tieteellisessä tutkimuksessa.