Hvordan Kenyas nye lov om beskyttelse af personoplysninger kan påvirke forskere

Risikoen for at krænke privatlivets fred vokser dag for dag på grund af den øgede hyppighed og detaljerede data, der indsamles, og fremskridt inden for teknologien til at behandle dem. Dette har, uundgåeligt, førte til behovet for love for at sikre persondatabeskyttelse.

Forskere og forskningsdata er ikke undtaget:fremskridt inden for big data-analyse til forskning har drevet indsamlingen af ​​endnu større mængder data. Forskere har traditionelt selvreguleret sig. Men lovene om beskyttelse af personoplysninger er begyndt at øge restriktionerne. Forskere skal være opmærksomme.

I Kenya, en ny lov trådte i kraft i slutningen af ​​sidste år, som påvirker forskere markant. Bestået i 2019, Kenyas lov om beskyttelse af persondata er designet til at bringe beskyttelsen af ​​personoplysninger mod misbrug i Kenya ind i det 21. århundrede. Det er et væsentligt skridt fremad, fordi det letter lovlig brug af personlige data, herunder forskning, og dermed styrke individets grundlæggende rettigheder. Udnævnelsen af ​​Kenyas første databeskyttelseskommissær i november gjorde endelig loven operationaliseret.

Loven regulerer brugen, forarbejdning, og arkivering af personlige data, etablerer databeskyttelseskommissærens kontor, indeholder bestemmelser om regulering af behandlingen af ​​personoplysninger, fastlægger dataproducenternes rettigheder, og specificerer de dataansvarliges og databehandlernes forpligtelser.

Det har betydelige konsekvenser for forskere generelt, og for dem, der er involveret i sundhedssektoren i særdeleshed. Loven definerer helbredsdata som data relateret til de registreredes fysiske eller psykiske helbredstilstand. I forskning, sundhedsdata kan være fra gennemgang af patientjournaler eller adgang til de nationale sundhedsdatabasers oplysninger.

Spørgsmålet om, hvilke data der indsamles, og hvad er der gjort med det, er blevet meget mere presserende i lyset af en accelereret indsats for at finde en COVID-19-vaccine. Udkast til regler er udstedt af Kenyas nye kommissær for COVID-19-forskning. Disse giver en lakmustest på, hvordan den nye lov kan påvirke forskningen, og hvad databehandlere og registeransvarlige skal være opmærksomme på.

De foreslåede regler for COVID-19 afspejler lovenes nye krav. Disse er, at forskere kun kan indsamle data fra enkeltpersoner, og at persondata kun må bruges til at opdage, begrænse og forhindre spredning af COVID-19.

Specifikt samtykke og anonymisering

Datakommissærens rolle er at håndhæve den nye lov ved at registrere og overvåge udnævnelsen af ​​databeskyttelsesansvarlige, dataansvarlige og databehandlere. Personen er også ansvarlig for at gøre offentligheden opmærksom på dataspørgsmål og give et kodeks, der skal ledsage loven.

Dataansvarlige er dem, der bestemmer formålet med og midlerne til behandling af personoplysninger. Databehandlere, på den anden side, behandler personoplysningerne på vegne af den dataansvarlige. For eksempel, forskere behandler data gennem forskningslivscyklussen:indsamling, analyse, og udgivelse.

En registreret er en person, der er genstand for persondata.

Forskere skal kende den nye lovs betydning for forskning, der bruger persondata. De skal også vide, hvem databehandlere og dataansvarlige er for forsknings- og akademiske institutioner. For eksempel, databehandlere kan omfatte dem, der tilbyder transskriptionstjenester og DNA-sekventering eller oversættelsestjenester til dataanalysevirksomheder. Forskningsinstitutioner og universiteter vil være dataansvarlige gennem deres udpegede myndighed.

Den nye lov forudser de enorme omkostninger ved at ansætte en databeskyttelsesansvarlig. Det giver mulighed for deling på tværs af institutioner ved at gøre det muligt for forskningsinstitutioner at gå sammen som et konsortium for at ansætte en.

Loven har også bestemmelser, der undtager data beregnet til forskning, hvis de er anonymiserede. Genetiske data og biometriske data (herunder DNA) anses for at være følsomme og identificerende oplysninger. Derfor, undersøgelser, der involverer en persons sekvensdata, falder ind under forordningen, men vil være omfattet af undtagelserne for personoplysninger til forskning.

Loven kræver udtrykkeligt, eksplicit, utvetydigt, gratis, bestemt, og informeret samtykke til behandling af personoplysninger fra de registrerede. Forskere var allerede forpligtet til at få samtykke til at indsamle personlige data til forskning ved at opnå etisk godkendelse af undersøgelsen. Men behovet for bestemt samtykke, specificering af dataindsamling under dataplanlægning og oprettelse, kan hæmme forskning og datagenbrug, da det er udfordrende klart at skitsere omfanget af brugen af ​​persondata til forskning.

Personoplysninger vedrørende en registrerets helbred kan kun behandles på en sundhedsudbyders ansvar, for offentlighedens interesse, eller af en person, der er underlagt tavshedspligt i henhold til enhver lov.

Den nye lov foreskriver, at persondata ikke kan overføres uden for Kenya, "medmindre der er bevis for tilstrækkelige databeskyttelsesforanstaltninger eller samtykke fra den registrerede."

Spørgsmål tilbage

Loven er ikke formuleret til at regulere forskningsdata. Men nogle afsnit påvirker forskningen. De databeskyttelsesbestemmelser, der følger, bør have videnskabsmandens interesser på hjerte og fremme forskning. Forskere bør have tid til at tilpasse deres arbejde efter den nye lov.

Der er også nogle ubesvarede spørgsmål. For eksempel, dispensationer for forskningsdata synes kun at gælde for behandlingen. Begrænser dette overførslen af ​​personoplysninger beregnet til forskning? Hvad betyder det for publicering af forskningsdata, hvor tidsskrifterne er baseret udenfor landet? Hvad betyder det for forskningssamarbejdet?

Begrænsningen er en bekymring, da mange lande i Afrika endnu ikke har vedtaget en lignende lov.

Derudover overholdelse af loven kræver vedtagelse af forskningspraksis - samtykke, anonymisering – for at beskytte personlige data, der ikke er almindeligt anvendte. Forskningsdatahåndteringspraksis mangler i de fleste akademiske institutioner og forskningsinstitutioner, stiller spørgsmålstegn ved, hvordan de ville være i stand til at håndhæve loven.

Der er også stadig behov for at sensibilisere og udstyre kenyanske dataansvarlige og producenter med færdigheder til at overholde den nye lov. Forsknings- og akademiske institutioner skal komme med politikker for forvaltning af forskningsdata, der er tilpasset lovens bestemmelse for at vejlede forskere og ansætte databeskyttelsesansvarlige.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.