Inge Kristian Brodersen
Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofie Axelsson
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund
Larissa Barhebréus
Elsebeth Aaes-Jørgensen
Rebekka Bormann Thorn
Afgrænsning af videnskabelig forskning under GDPR og kommercielle projekter
EDPB’s Guidelines 1/2026 søger at skabe fælles europæisk fodslag om behandling af personoplysninger til forskning. Kernen er en seksfaktortest, som lægger vægt på metodik, etiske standarder, verificerbarhed og transparens (herunder åbenhed for fagfællebedømmelse), forskningsmæssig uafhængighed, bidrag til almen viden samt potentiale for at fremme eller anvende viden. Opfyldes alle kriterier, formodes aktiviteten at være videnskabelig forskning.
Retningslinjerne præciserer, at et kommercielt sigte ikke udelukker forskning. Kliniske forsøg i industrien eller AI-biasstudier i samarbejde med universiteter kan være omfattet, mens intern marketinganalyse ikke er det. Fokus er på, hvordan forskningen gennemføres, ikke etiketten.
Behandlingsgrundlag: samtykke, legitime interesser og offentligt hensyn
Samtykke får en mere nuanceret placering. Patientstatus udelukker ikke i sig selv frivillighed; udfordringen opstår kun, hvor den registreredes handleevne reelt og væsentligt er påvirket. Retningslinjerne anerkender bredt samtykke, når formål ikke er fuldt kendte fra start, hvis etiske krav og supplerende værn overholdes. Dynamisk samtykke – løbende indhentelse til konkrete delprojekter – fremhæves ligeledes, og modellerne kan kombineres.
EDPB bekræfter, at forskning kan udgøre en legitim interesse efter artikel 6, stk. 1, litra f, som kan veje tungt i balancetesten, særligt ved robuste værn efter artikel 89, stk. 1. Private aktører kan desuden støtte sig på offentligt hensyn efter artikel 6, stk. 1, litra e, hvis EU- eller national ret hjemler forskningen. Ved særlige kategorier kræves fortsat et selvstændigt artikel 9-grundlag.
Viderebehandling, registreredes rettigheder og operationelle tiltag
Brug af eksisterende data til forskning anses som udgangspunkt for forenelig viderebehandling, så den sædvanlige test i artikel 6, stk. 4, kan undlades. Dataansvarlige skal dog sikre, at det oprindelige behandlingsgrundlag fortsat kan bære formålet, og at passende tekniske og organisatoriske foranstaltninger er etableret.
Rettighederne til sletning og indsigelse kan begrænses i forskningssammenhæng, men kun efter individuel vurdering; generelle afslag er udelukket. Det forudsætter klare procedurer og dokumenteret begrundelse for hver anmodning. Offentlig høring om retningslinjerne løber til 25. juni 2026, og brancheaktører opfordres til at bidrage. Se EDPB’s meddelelse her: edpb.europa.eu.
Følgende praktiske skridt kan styrke compliance og udnytte mulighederne i retningen:
- Kortlæg igangværende og planlagte projekter op imod seksfaktortesten og dokumentér vurderingerne.
- Genbesøg samtykkearkitekturen og overvej kombinationer af bredt og dynamisk samtykke.
- Etabler eller opdater processer for individuel håndtering af sletnings- og indsigelsesanmodninger.
- Identificér relevante artikel 9-grundlag og nationale derogationer ved grænseoverskridende sundhedsdata.
- Indbyg artikel 89-værn og gennemfør DPIA, hvor risici tilsiger det.
