Nesten 13.000 hordalendinger, som aldri sa ja til å være med i et forskningsprosjekt, har likevel blitt forsket på. Svært personlige forhold om trygdeytelser, psykisk helse og annen sensitiv informasjon er brukt i forskningsprosjektet ved Universitetet i Bergen.

Fortsatt er de 13.000 personene ikke klar over at de har vært en del av prosjektet, som undersøkte trygdemottakeres bakgrunn.

Hordalendingene ble opprinnelig invitert til å delta i Helseundersøkelsen i Hordaland på 90-tallet, men sa ikke ja til å delta. Likevel ble personopplysningene deres senere benyttet til å hente ut personlige data fra trygdedatabasen til Statistisk sentralbyrå.

Datatilsynet ser svært alvorlig på saken.

— Når en institusjon får en spesiell tillatelse til å behandle personopplysninger, har den ansvar for at opplysningene bare brukes til det som er avtalt, sier juridisk direktør i Datatilsynet, Kim Ellertsen.

Prosjektlederen beklager

Prosjektleder Arnstein Mykletun var ansatt ved UiB da prosjektet ble satt i gang, men er i ettertid blitt ansatt ved Folkehelseinstituttet, ifølge Datatilsynet. Prosjektet, og de mange sensitive opplysningene, skal da ifølge Datatilsynet, ha blitt overført til Folkehelseinstituttet uten at UiB ble varslet, og uten at det ble søkt om nødvendig konsesjon fra Folkehelseinstituttets side.

— En kan flytte behandlingsansvaret fra et sted til et annet, men da må man søke og underrette oss. Formalfeilen tyder i seg selv på en systemsvikt. Vi håper at UiB styrker sine interne rutiner, og at forskningsprosjekter kommer under behørig kontroll, sier Ellertsen.

Arnstein Mykletun mener varselet om vedtak fra Datatilsynet er beheftet med flere feil.

Det er ikke riktig at han ikke lenger jobber ved UiB. Han har fortsatt en professor-2-stilling ved universitetet. Mykletun avviser også at han har tatt med seg data til Folkehelseinstituttet, der han også har en stilling.

— Datatilsynet er kritisk til det de mener er fravær av kontrollrutiner ved UiB, samt brudd på konsesjonen, som er gitt til UiB. Men her har ikke Datatilsynet undersøkt saken godt nok, sier han.

Mykletun er en svært anerkjent forsker og ledet i 2010 det regjeringsoppnevnte utvalget som kom med tiltak for å få ned sykefraværet i Norge.

- Ikke mulig å identifisere folk

— Hadde vi gjort en bedre jobb, ville vi blitt oppmerksom på at konsesjonene ikke dekket den aktuelle problemstillingen. Jeg har hatt en rolle i denne rutinen for internkontroll, og på egne vegne har jeg derfor på det sterkeste beklaget det som har skjedd, sier Mykletun.

Han mener det heller ikke riktig at det mangler et system for internkontroll ved UiB, men vedgår at kontrollen har sviktet i denne saken. Han sier forskerne som var involvert i prosjektet har trodd at konsesjonen også dekket den undersøkelsen UiB får kritikk for.

— Hadde vi visst at konsesjonen ikke dekket denne studien, ville vi ha søkt Regional etisk komité om konsesjon.

Mykletun viser til at helt identiske undersøkelse i Nord-Trøndelag er blitt godkjent av den regionale etiske komiteen.

- Hvilken fare er det for at opplysninger om enkeltpersoner skal bli avdekket?

— Slike studier baserer seg på tusenvis av deltakere og ikke-deltakere, og det er ikke mulig eller relevant å identifisere enkeltpersoner i dette anonymiserte datamaterialet.

Det var Folkehelseinstituttet som oppdaget ulovlighetene og varslet Datatilsynet 10. oktober 2011. Folkehelseinstituttet skriver i en senere redegjørelse at prosjektleder er pålagt å slette alle opplysninger fra dem som ikke hadde samtykket til å være med i prosjektet.

Instituttet vil ikke varsle de 12.853 hordalendingene som ikke ga sitt samtykke, fordi dette ikke ble ansett som «hensiktsmessig». Det godtar ikke Datatilsynet. Alle må nå varsles skriftlig.

Delte ut data ulovlig

Rektor Sigmund Grønmo ser svært alvorlig på saken.

— Universitetsledelsen fikk kjennskap til saken da brevet fra Datatilsynet kom. Vi gjennomgår nå hele saken med fakultetet og Hemil-senteret for å få fullstendig oversikt over hva som har skjedd ved universitetet i denne saken. Det er gitt beskjed om at all videre bruk av datamateriellet skal stanses. I tillegg går vi gjennom våre rutiner for å sikre en forsvarlig behandling av forskningsdata i våre fagmiljøer, sier Grønmo.

- Hvordan kunne personopplysninger om nesten 13.000 hordalendinger bli hentet ut og brukt uten samtykke?

— Det må vi komme tilbake til. Vi arbeider med å få en fullstendig oppklaring av fakta i saken og hva som har skjedd, sier Grønmo. Han vil ikke kommentere saken ytterligere nå.

Forskningsprosjektet ved Universitetet i Bergen fikk i 2004 konsesjon fra Datatilsynet til å forske på trygdemottakeres helseforhold og økonomi.

I prosjektet skulle data om personer fra Helseundersøkelsene i Hordaland (HUSK) kobles med Statistisk sentralbyrås trygdedatabase, som inneholder opplysninger om nordmenns trygdeforhold. Deltakelse i helseundersøkelsen og koblingen mot trygdedataene forutsetter samtykke fra den det gjelder.

Må varsle samtlige

Men det hele gikk fryktelig galt. Først delte Folkehelseinstituttet ut personopplysninger både om dem som hadde samtykket til å delta i undersøkelsen og dem som ikke hadde det.

Som en følge av denne feilen ble det urettmessig utlevert helseopplysninger fra trygdedatabasen om begge gruppene.

Til slutt ble de sensitive helse- og trygdeopplysningene brukt i forskningsarbeidet. Blant annet er det publisert en artikkel som sammenligner helsetilstanden mellom de som ikke ville være med på undersøkelsen og de som hadde gitt samtykke.

Forholdet har pågått i lang tid, og de eldste opplysningene har vært behandlet ulovlig i syv år.

Datatilsynet konkluderer med at ulovlighetene i «stor grad krenker personvernet til de enkeltpersoner som opplysningene knytter seg til.»

Tilsynet vil nå gi UiB et overtredelsesgebyr på 250.000 kroner. Så lenge det ikke er søkt om å overføre konsesjonen til Folkehelseinstituttet, er det universitetet som bærer hovedansvaret for de mange ulovlighetene, ifølge tilsynet.

Tilsynet lar det være opp til etiske komiteer hvor vidt den publiserte artikkelen bør trekkes tilbake.