Risken för intrång i integriteten ökar för varje dag med tanke på den ökade frekvensen och granulariteten hos de uppgifter som samlas in, och framsteg inom tekniken för att bearbeta dem. Detta har, oundvikligen, ledde till behovet av lagar för att säkra personuppgiftsintegriteten.

Forskare och forskningsdata är inte undantagna:framsteg inom big data-analys för forskning har drivit insamlingen av ännu större mängder data. Forskare har traditionellt sett självreglerat sig. Men lagar om skydd av personuppgifter har börjat öka restriktionerna. Forskare måste vara medvetna.

I Kenya, en ny lag trädde i kraft i slutet av förra året som påverkar forskare avsevärt. Godkänd 2019, Kenyas lag om skydd av personuppgifter utformades för att föra in skyddet av personuppgifter från missbruk i Kenya på 2000-talet. Det är ett viktigt steg framåt eftersom det underlättar laglig användning av personuppgifter, inklusive forskning, på så sätt stärker individens grundläggande rättigheter. Utnämningen av Kenyas första dataskyddsombud i november genomförde äntligen lagen.

Lagen reglerar användningen, bearbetning, och arkivering av personuppgifter, inrättar dataskyddsombudets kontor, föreskriver reglering av behandlingen av personuppgifter, fastställer dataproducenternas rättigheter, och specificerar de personuppgiftsansvarigas och registerförarnas skyldigheter.

Det har betydande konsekvenser för forskare i allmänhet, och för dem som är involverade i hälsosektorn i synnerhet. Lagen definierar hälsouppgifter som uppgifter om de registrerades fysiska eller psykiska hälsotillstånd. I forskning, hälsodata kan vara från granskning av patientjournaler eller tillgång till de nationella hälsodatabasernas information.

Frågan om vilken data som samlas in, och vad är gjort med det, har blivit mycket mer brådskande i ljuset av påskyndade ansträngningar att hitta ett covid-19-vaccin. Utkast till förordningar har utfärdats av Kenyas nya kommissionär för covid-19-forskning. Dessa ger ett lackmustest på hur den nya lagen kan påverka forskningen och vad databehandlare och personuppgiftsansvariga behöver känna till.

De föreslagna reglerna för covid-19 återspeglar lagarnas nya krav. Dessa är att forskare endast kan samla in data från individer och att personuppgifter endast får användas för att upptäcka, begränsa och förhindra spridningen av covid-19.

Specifikt samtycke och anonymisering

Dataombudets roll är att upprätthålla den nya lagen genom att registrera och övervaka utnämningen av dataskyddsombud, personuppgiftsansvariga och databehandlare. Personen ansvarar också för att göra allmänheten uppmärksam på datafrågor och tillhandahålla en uppförandekod som åtföljer lagen.

Personuppgiftsansvariga är de som bestämmer syftet med och medlen för personuppgiftsbehandlingen. Databehandlare, å andra sidan, behandlar personuppgifterna på uppdrag av den personuppgiftsansvarige. Till exempel, forskare bearbetar data genom forskningslivscykeln:insamling, analys, och publicering.

En registrerad är någon som är föremål för personuppgifter.

Forskare måste känna till den nya lagens betydelse för forskning som använder personuppgifter. De behöver också veta vilka databehandlare och personuppgiftsansvariga är för forsknings- och akademiska institutioner. Till exempel, databehandlare kan inkludera de som erbjuder transkriptionstjänster och DNA-sekvensering eller översättningstjänster för dataanalysföretag. Forskningsinstitutioner och universitet skulle vara personuppgiftsansvariga genom sin utsedda myndighet.

Den nya lagen förutser de enorma kostnaderna för att anställa en dataskyddsombud. Det möjliggör delning mellan institutioner genom att göra det möjligt för forskningsinstitutioner att gå samman som ett konsortium för att anställa en.

Lagen har också bestämmelser som undantar uppgifter avsedda för forskning om de är anonymiserade. Genetiska data och biometriska data (inklusive DNA) anses vara känsliga och identifierande uppgifter. Därför, studier som involverar en individs sekvensdata skulle falla under förordningen men skulle omfattas av undantagen för personuppgifter för forskning.

Lagen kräver uttryckligt, explicit, entydig, fri, specifika, och informerat samtycke till personuppgiftsbehandling från de registrerade. Forskare var redan skyldiga att få samtycke för att samla in personuppgifter för forskning genom att erhålla etiskt godkännande för studien. Men behovet av specifika samtycke, specificera datainsamling under dataplanering och skapande, kan försvåra forskning och återanvändning av data eftersom det är utmanande att tydligt beskriva omfattningen av användningen av personuppgifter för forskning.

Personuppgifter som rör en registrerads hälsa får endast behandlas under ansvar av en vårdgivare, för allmänhetens intresse, eller av en person som omfattas av tystnadsplikt enligt någon lag.

Den nya lagen stipulerar att personuppgifter inte kan överföras utanför Kenya "om det inte finns bevis på adekvata skyddsåtgärder för dataskydd eller samtycke från den registrerade."

Frågor kvarstår

Lagen utformades inte för att reglera forskningsdata. Men vissa avsnitt påverkar forskningen. De dataskyddsbestämmelser som kommer att följa bör ha vetenskapsmannens intressen i centrum och främja forskning. Forskare bör ges tid att anpassa sitt arbete till den nya lagen.

Det finns också några obesvarade frågor. Till exempel, undantag för forskningsuppgifter tycks endast gälla behandlingen. Begränsar detta överföringen av personuppgifter avsedda för forskning? Vad betyder detta för publicering av forskningsdata, var tidskrifterna är baserade utanför landet? Vad betyder detta för forskningssamarbetet?

Begränsningen är ett problem eftersom många länder i Afrika ännu inte har antagit en liknande lag.

Dessutom, efterlevnad av lagen kräver att man antar forskningsmetoder – samtycke, anonymisering – för att skydda personuppgifter som inte används ofta. Praxis för hantering av forskningsdata saknas i de flesta akademiska institutioner och forskningsinstitutioner, ifrågasätter hur de skulle kunna verkställa lagen.

Det finns också fortfarande ett behov av att sensibilisera och utrusta kenyanska personuppgiftsansvariga och producenter med kompetens att följa den nya lagen. Forsknings- och akademiska institutioner måste komma med policyer för hantering av forskningsdata som är anpassade till lagens bestämmelser för att vägleda forskare och anställa dataskyddsombud.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.