Den 25 maj i år träder ett nytt regelverk för behandling av personuppgifter i kraft. Den nya lagstiftningen kallas General data protection regulation, GDPR, eller dataskyddsförordningen på svenska. Den gäller all hantering av personuppgifter, dvs information som kan relateras till en identifierad eller identifierbar levande person. Tillsammans med andra lagändringar ersätter dataskyddsförordningen den nuvarande personuppgiftslagen, PUL.
Så vad betyder den nya lagstiftningen för medicinsk forskning? Det övergripande syftet, att skydda den personliga integriteten, är ett starkt skäl att ta dataskyddsförordningen på stort allvar.
Vid överträdelse skulle ett universitet kunna bli skyldigt att betala en sanktion på flera miljoner kronor. Universitetet måste kunna bevisa att behandlingen av data sker enligt den nya lagen. Detta kräver registrering innan forskningen påbörjas, en strukturerad dokumentation och ett inbyggt dataskydd i rutiner och IT-system så att data inte kan kopplas till en enskild individ.
Finns det anledning att tro att forskning kommer att försvåras på ett skadligt sätt? Enligt min uppfattning kommer GDPR, som för övrigt har många likheter med dagens personuppgiftslag, tillsammans med den tilläggslagstiftning som kommer i Sverige att hantera de behov som finns för den medicinska forskningen. Så det viktigaste är att universiteten sätter sig in i reglerna och använder system som gör det lätt att göra rätt.