Personidentifiserbare opplysninger innebærer at opplysningene er av en slik karakter at det er mulig å identifisere enkeltpersoner, for eksempel ved at personnummer er kjent eller ved at kombinasjoner av opplysninger fører til at enkeltpersoner kan identifiseres.

Personidentifiserbare opplysninger brukes primært til helseanalyser eller forskning. Andre begreper som ofte brukes om personidentifiserbare opplysninger er mikrodata eller forskningsdata.

Hovedregelen er at opplysningene som utleveres har blitt behandlet slik at det ikke er mulig å direkte identifisere enkeltpersoner. Det er imidlertid sjelden mulig å sikre et fullstendig anonymt datasett ved utlevering. Dersom du ber om variabler og opplysninger på et nivå som innebærer at personene blir indirekte identifiserbare kan det være at søknaden må justeres for å ivareta personvernet.

Helseopplysninger fra registre og befolkningsbaserte helseundersøkelser kan kun utleveres dersom det finnes rettslig grunnlag for bruk av opplysningene.

Ikon

Sett deg inn i prosessen

Bruk av personidentifiserbare opplysninger kan være svært nyttig, men prosessen du må gjennom er komplisert. Sett deg derfor grundig inn i alt som kreves av deg før du starter på selve søknaden.

Utforsk innholdet i datakilder og regelverk

Dersom du ønsker tilgang til personidentifiserbare opplysninger er det lurt å bruke tid på å utforske hvilke relevante datakilder som finnes, og hvilke muligheter og begrensinger som gjelder for utlevering og bruk av opplysninger fra disse datakildene.

I mange forskningsprosjekter er det nødvendig å søke om opplysninger fra flere datakilder. Skal du søke om opplysninger fra flere datakilder, må du kommunisere dette tydelig i søknaden din og beskrive hvilke opplysninger du ønsker å sammenstille.

Vær oppmerksom på at det sannsynligvis vil ta lengre tid å få dataene utlevert om du søker om data fra flere kilder. Årsaken er at det er ulike lover og forskrifter som regulerer utlevering og sammenstilling av opplysninger fra de ulike kildene. Med tanke på planlegging av prosjektet og tidsestimering er det derfor lurt å finne ut hvilke kilder du vil søke opplysninger fra, og sette deg inn i reglene for utlevering så tidlig som mulig.

Se oversikt og beskrivelser av datakildene du kan søke om opplysninger fra her.

Ikon

Datakilder i søknadsskjema på helsedata.no

Med søknadsskjemaet på helsedata.no kan du søke om tilgang til opplysninger fra datakilder som forvaltes av Folkehelseinstituttet, Helsedirektoratet og Kreftregisteret. Trenger du data fra andre kilder, finner du lenke til eget søknadsskjema på hver enkelt datakilde.

Sørg for tydelig forskningsspørsmål og studiedesign

Et tydelig forskningsspørsmål og et tydelig definert studiedesign, vil hjelpe en saksbehandler å forstå problemstillingen din – og hva slags data som er relevant for den – mye raskere. Det innebærer at de lettere kan hjelpe deg i prosessen videre.

Vær så tydelig som mulig og begrunn vurderingene du gjør når du beskriver formålet med bruk av data, studiedesign og dataene du søker om, både i søknadene og i forskningsprotokollen. Det vil gjøre det enklere for saksbehandleren å finne korrekte data og å vurdere om formålet du søker om å bruke dataene til er innenfor registerets formål. Det kan spare både deg og saksbehandlere for tid og arbeid.

Beskrive studiedesign

Jo tydeligere du beskriver og begrunner studiedesignet du har valgt, desto større er sjansene for at du får de dataene du ønsker fra starten av.

Eksempler på studiedesign som bruker helsedata fra registre er:

  • Kohortstudier
  • Kasus-kontrollstudier
  • Naturlige eksperimenter
  • Registeroppfølging av kliniske studier

Skriv forskningsprotokoll

Dersom overordnet formål er forskning, må du legge ved en forskningsprotokoll i søknaden. Dette er for at saksbehandlerne skal få et godt innblikk i prosjektet og nok grunnlag til å vurdere søknaden. En del av spørsmålene i søknadsskjema dekker tema som har blitt redegjort for i protokollen og det er viktig at disse ikke avviker fra hverandre. Bruk gjerne formuleringer fra forskningsprotokollen i søknaden.

Det finnes ulike maler for forskningsprotokoll, men den inneholder som oftest:

  • en vitenskapelig utformet prosjektplan
  • forskningsdeltakere
  • behandling av helseopplysninger
  • forskningsetiske utfordringer
  • finansieringskilder og avhengighetsforhold
  • plan for offentliggjøring
  • utnyttelse av forskningsresultater
Ikon

Tips

Undersøk hos de aktuelle datakildene om de opplysningene du trenger kan utleveres, før du ferdigstiller forskningsprotokollen din.

Du må definere mål- og studiepopulasjon nøye i søknaden din. Målpopulasjonen er den gruppen individer i befolkningen som forskningsspørsmål og problemstilling skal si noe om. Studiepopulasjonen eller utvalget er den gruppen individer du velger ut som representanter for målpopulasjonen i ditt forskningsprosjekt.

Utfordringen er ofte å finne en studiepopulasjon som er representativ for målpopulasjonen. Du må beregne hvor stor studiepopulasjonen må være for å svare på forskningsspørsmål og problemstillinger, og fortelle i detalj hvordan studiepopulasjonen skal velges ut, med inklusjons- og eksklusjonskriterier.

Kontrollgruppe

Ikke glem å tenke på kontrollgruppe (snl.nl), dersom du skal ha det. En kontrollgruppe er en gruppe individer du velger ut som sammenligningsgruppe i et forskningsprosjekt, for eksempel for å sammenligne effekt av behandling eller andre tiltak/faktorer du ønsker å studere virkningen av. Hvordan kontrollgruppen velges ut har stor betydning for forskningens validitet, så du må være bevisst på eventuelle feilkilder og skjevheter når du setter opp gruppen.

Ikon

Tips

Skal du bruke Folkeregisteret til uttrekk av kontrollgruppe må du søke tillatelse fra Skattedirektoratet.

Sjekk at datakildens formål stemmer med prosjektets formål

Datakildene har ulike formål og reguleres av ulike lover og forskrifter. For å få tilgang på opplysninger fra datakildene må prosjektets formål samstemme med datakildens formål. Derfor er det er viktig at du er bevisst på det når du formulerer hva du skal bruke opplysningene til og hvorfor. Du finner datakildenes formål under beskrivelsen av hver enkelt datakilde.

Bakgrunnen for dette er et grunnleggende personvernprinsipp som kalles formålsbegrensning (datatilsynet.no). Det innebærer at personopplysningene som er samlet hos enn datakilde ikke skal gjenbrukes til helt andre ting enn det de opprinnelig ble samlet inn for.

Ikon

REK-søknad og formål

Det er lurt å sjekke at formålet du beskriver i forskningsprotokollen og i søknaden til REK er i tråd med formålet til de datakildene du ønsker opplysninger fra. Du må oppgi det samme formålet i søknaden om helseopplysninger til datakildene.

Husk at enkeltpersoners helseopplysninger er sensitive. Derfor gis det kun adgang til opplysninger som er relevante og nødvendige for ditt prosjekt.

Det er viktig at du har en konkret og nøyaktig beskrivelse av de opplysningene du trenger og begrunner hvorfor du trenger akkurat de opplysningene du ber om tilgang til. Dette bidrar både til en mer effektiv saksbehandling og gjør det lettere å sikre at du får de opplysninger du trenger til ditt prosjekt.

En konkret og nøyaktig beskrivelse innebærer blant annet at du forklarer både behovet og detaljnivået for opplysningene. Dette er særlig viktig for informasjon om:

  • personkjennetegn (fødselsår, kjønn, bosted)
  • geografiske detaljer om behandlingssted
  • tidsstempling av hendelser (datoer vs. år)
  • detaljer om behandling i form av diagnose- og prosedyrekoder

I søknadskjemaet på helsedata.no blir du bedt om å begrunne hvorfor variablene er relevante og nødvendige for prosjektet i tilknytning til beskrivelsen av variablene du ønsker. 

Definer de variablene du ønsker

Det vil være svært hensiktsmessig om du bruker variabelnavnene slik de er beskrevet hos datakilden, når du setter opp variabellisten. Dette gjør at saksbehandlere raskere finner opplysningene du er ute etter og vil derfor bidra til raskere saksgang.

De fleste beskrivelsene av datakildene har lenker til variabellister. I tillegg finner du beskrivelser av variabler fra utvalgte datakilder på helsedata.no. Har du laget variabelliste på helsedata.no må du først laste listen ned, før du kan laste den opp i søknadsskjemaet.

Nasjonalt servicemiljø for medisinske kvalitetsregistre (SKDE) har allerede laget et oversiktlig variabelbibliotek (kvalitetsregistre.no). Der får du oversikt over alle variablene som finnes i de ulike nasjonale kvalitetsregistrene i Norge.

Hvis du ikke finner variablene

Beskriv tydelig hvilke opplysninger du er ute etter og kontakt forvalter av datakilden dersom det ikke finnes noen variabelliste åpent tilgjengelig.

Vær oppmerksom på at ulike aktører har ulike behov med tanke på spesifiseringsnivå når det gjelder variabler. Det er for eksempel ikke nødvendig å laste opp fullstendig variabelliste til REK. Beskriv heller variablene på et overordnet nivå. Det vil gjøre det lettere om du må gjøre små justeringer senere.

Eksempel på variabler på overordnet nivå:

"Alder" "krefttype" "medisinbruk" "bosted"

Mer spesifiserte variabler:

"60-70 år", "lungekreft", "opioider", "Levanger"

Vurder nøye hvilke opplysninger du har behov for

Omfanget og detaljnivået for studiepopulasjonen/utvalget og variablene du søker, påvirker resten av søknadsprosessen din.

Desto flere variabler du søker om, jo større er risikoen for at enkeltpersoner kan identifiseres. Konsekvensen kan være at søknaden din ikke blir godkjent når du søker om data fra ulike datakilder eller søker om etisk vurdering hos Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK). Vurder derfor nøye hvilke opplysninger du har behov for, og begrunn hvorfor opplysningene er nødvendige for din studie.

Det er lurt å vurdere om variabler du i utgangspunktet ber om kan modereres eller begrenses:

  • Trenger du vite kjønn?
  • Trenger du å vite behandlingssted eller kan du heller bruke helseregion?
  • Kan du gruppere bosted ut fra fylke heller enn kommune?

Les mer om krav til dataminimering på datatilsynet.no.

Spesielt sensitive variabler

Datoer kan være spesielt sensitive fordi de kan bidra til identifisering av enkeltindivider. Slike datoer kan for eksempel være hendelser som fødsel, død, oppdaget sykdom eller lignende.

Når data fra forskjellige registre skal kobles, kan det være et krav fra registerforvalterne om å bruke referansedatoer for å unngå indirekte identifisering. Da blir registerforvalterne enige om en annen dato (referansedato) som erstatning for de reelle datoene. Intervallene mellom de ulike datoene skal stemme overens med de reelle datoene slik at analysen din blir riktig. Dette krever koordinering mellom registerforvalterne og kan være tidkrevende.

Ikon

Tips

Ved å redusere mengden variabler du søker om så mye som mulig øker sannsynligheten for at søknaden blir godkjent.

Skal du sammenstille opplysninger fra flere datakilder er det en del faktorer du bør være bevisst på før du starter søknadsprosessen.

Ulike kilder har ulike formål og forskrifter

Vær klar over at ulike datakilder har ulike forskrifter og formål. Det er avgjørende at prosjektet ditt er i tråd med disse for at du skal få utlevert de opplysningene du ønsker. Sørg derfor for å sette deg inn i regelverket til alle de kildene du ønsker opplysninger fra og ta kontakt med den enkelte forvalter dersom du er usikker.

Vær oppmerksom på at avidentifiserte registre, som NOIS, NORM, RAVN og Abortregisteret, ikke kan kobles med andre kilder, egeninnsamlede data eller biologisk materiale.

Kost og tidsberegning

Søker du om å koble data vil det påvirke tidsbruk i saksbehandlingen og sannsynligvis også kostnaden.

Saksbehandleren vil, i tillegg til å skrive script og ta ut data, bruke tid på dialog med de andre registrene. Har du for eksempel en godkjent søknad om en kreftdiagnose fra Kreftregisteret koblet mot selvmord fra Dødsårsaksregisteret (FHI), tar saksbehandleren ansvar for at opplysningene kan kobles. Det krever tid og samhandling mellom de ulike forvalterne.

Du kan også forvente at saksgangen tar lengre tid dersom du ønsker å koble data fra pseudonyme registre med data fra andre kilder. Pseudonyme registre har ikke lagret informasjon om navn, adresse eller fødselsnummer og fødselsnummeret er erstattet med et pseudonym. Dette påvirker kompleksiteten av å tilrettelegge for kobling av opplysninger med andre kilder og derfor også saksgangen. Både Reseptregisteret og IPLOS er pseudonyme registre.

Beskriv koblingsprosessen

Når du søker om helseopplysninger via helsedata.no blir du bedt om å beskrive koblingsprosessen, dersom du skal koble opplysningene med andre data fra andre kilder. Det vil si hvilken datakilde som trekker utvalget og hvilke andre datakilder som skal kobles på.

Ikon

Lag visuell fremstilling av ønsket koblingsprosess

Jo tydeligere beskrivelsen av koblingsprosessen mellom de ulike datakildene er, jo lettere er det for saksbehandlerne å forstå̊ prosjektet og tilrettelegge dataene på̊ en god måte. En visuell framstilling er ofte enklere å forstå enn en skriftlig.

Det er ikke er påkrevd å beskrive koblingen. I de fleste tilfeller vil du få utlevert filene med løpenummer slik at du selv må sørge for koblingen.

Koblingsprosessen kan gjennomføres på ulike måter. Dette kommer an på om man skal:

  • Bruke én eller flere datakilder til å etablere/definere utvalget. En datakilde kan være egne data.
  • Koble med opplysninger fra et pseudonymt register.
  • Koble opplysningene med data fra SSB eller NPR.

Hovedregelen er at helseopplysningene ikke tilgjengeliggjøres med fødselsnummer. Kobling mellom ulike kilder er mulig fordi fødselsnumrene blir erstattet av et prosjektspesifikt løpenummer.

Distribuert kobling

Distribuert kobling den mest effektive modellen for sammenstilling av opplysninger fra ulike kilder. Du får utlevert data fortløpende fra de ulike datakildene, og sammenstiller selv opplysningene ved bruk av felles prosjektspesifikke løpenumre i filene.

distrubert-kobling_text.svg

Sentralisert kobling

Ved sentralisert kobling samles alle opplysningene hos én kilde og får en ny løpenummerserie som går på tvers av alle datakildene. Du får ikke filene fortløpende, men samtidig. Selve sammenstillingen må du som oftest sørge for selv.

Det finnes ulike former for sentralisert kobling:

Kobling hvor flere kilder brukes til å definere utvalget

 

sentralisert-kobling-a_text.svg

Kobling der det benyttes én kilde til å definere utvalget

sentralisert-kobling-b_text.svg

Kobling med pseudonymt register hvor én datakilde eller egne data definerer utvalget

Dette er den mest brukte dataflyten når Reseptregisteret er del av koblingen.

sentralisert-kobling-d_text.svg

* Filen er kryptert med krypteringsnøkkel som kun pseudonymforvalter har tilgang på. Programvare for å preprosessere filen fås av pseudonymt register på forespørsel.

Kobling med pseudonymt register hvor flere kilder brukes til å definere utvalget

sentralisert-kobling-c_text.svg

 

For at du skal få tilgang til personidentifiserbare opplysninger, må søknaden din inneholde en rekke vedlegg som blant annet dokumenterer at:

  • Du har lov til å behandle opplysningene du søker om.
  • Det er gjennomført nødvendige vurderinger med tanke på personvern og databehandling.
  • Det foreligger et unntak fra taushetsplikten.
  • Det foreligger forhåndsgodkjenning fra Regional komité for medisinsk- og helsefaglig forskningsetikk (REK) dersom formålet med prosjektet er medisinsk/helsefaglig forskning.

Du er selv ansvarlig for å sette deg inn i og dokumentere at alle vilkår for tilgjengeliggjøring i lovene og forskriftene som regulerer de enkelte datakildene er oppfylt, og at søknaden din inneholder alle relevante vedlegg. Ta gjerne kontakt med forvalterne av de enkelte datakildene hvis du trenger råd og veiledning.

Eksempler på relevante vedlegg

Tabellen under viser en oversikt over aktuelle vedlegg til søknaden. Tabellen er grovt kategorisert og er kun ment som en veiledning. Du må selv gjøre en vurdering av hvilke vedlegg det er behov for. For eksempel trenger du ikke å legge ved forskningsprotokoll dersom formålet med behandling av opplysningene ikke er forskning.

Vedlegg

Utlevering til medisinsk og helsefaglig forskning Utlevering til andre formål
Forskningsprotokoll, jf. helseforskningsloven § 6 X X
Søknader som er sendt til Regional Etisk Komité (REK) X X
Søknader som er sendt til Helsedirektoratet   X
Etisk vurdering (eller tidligere forhåndsgodkjenning) mottatt fra Regional Etisk Komité (REK) X  
Dispensasjon fra taushetsplikten mottatt fra Regional Etisk Komité(REK) jf helseforskningsloven § 35 X  
Vurdering fra personvernombud som dokumenterer rettslig behandlingsgrunnlag (jmf. personvernforordningen art 6 (a-f) og art 9 (a-j) er oppfylt) X X
Informasjonsskriv og mal for samtykkeskjema ( ved samtykkebaserte prosjekter) X X
Eventuelle tidligere søknader om konsesjon som er sendt til Datatilsynet X X
Eventuelle tidligere konsesjoner som er mottatt fra Datatilsynet X X
Dispensasjon fra taushetsplikten mottatt fra Regional Etisk Komité(REK) jf helsepersonelloven § 29 evt fra Helsedirektoratet jf helsepersonelloven § 29b   X
Ikon

Tips

Pass på at alle vedlegg har navn som er forklarende for hva dokumentet inneholder.

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger.  

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilket eller hvilke alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilket eller hvilke alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegg hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6 (bokstav a - f)

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheten eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget "nødvendig å oppfylle en rettslig forpliktelse", kreves det ikke at virksomheten er pålagt en plikt.

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom behandle personopplysninger er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining der interessene knyttet til behandling av opplysningene til den dataansvarlige veies opp mot den enkeltes personverninteresse.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle vilkårene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

g) Nødvendig av hensyn til viktige allmenne interesser

Dette vilkåret innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette vilkåret er innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.

i) Nødvendig av folkehensyn

Dette vilkåret innebærer at behandlingen er nødvendig av folkehensyn. 

j) Nødvendig for arkivformål i allmennhetens interesse

Dette vilkåret innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Visse betingelser gjelder og vilkåret forutsetter at behandlingen har hjemmel i lov.

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.

Dersom det rettslige grunnlaget for behandling av personidentifiserbare opplysninger er artikkel 6 bokstav c) og e), eller artikkel 9 bokstav b), g), h,) i) og j) i personvernforordningen (GDPR), må du også oppgi et supplerende rettslig grunnlag.

Be om hjelp fra eget personvernombud (PVO) eller dataansvarlig for prosjektet dersom du ikke vet hva som utgjør supplerende rettslig grunnlag for din søknad.

Eksempler på nasjonalt supplerende rettsgrunnlag kan være vedtak etter helsepersonelloven og helseforskningsloven om dispensasjon fra taushetsplikten og hjemmel i lov eller forskrift.

Dispensasjon fra taushetsplikt fra REK eller Helsedirektoratet kan utgjøre det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9.

Du har ansvar for å rådføre deg med din forskningsinstitusjon for å vurdere om den planlagte behandlingen av opplysningene er av en slik karakter at det kreves en vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA).

De fleste medisinske og helsefaglige forskningsprosjekter vil kreve en personvernkonsekvensvurdering der risiko og tiltak for å minimere risiko blir beskrevet.

Er det flere institusjoner med i prosjektet må samarbeidet mellom disse beskrives godt.

Dersom datasettet skal sendes til forskningsinstitusjoner i utlandet, er det viktig at det foreligger en databehandleravtale mellom institusjonene. Ditt personvernombud eller dataansvarlig kan hjelpe deg med å utforme dette.

Veiledningshjelp om DPIA

Datatilsynet har laget en veileder om DPIA (datatilsynet.no), som kan hjelpe deg med vurderingen av om en vurdering av personvernkonsekvenser skal gjennomføres, og hvordan du i så fall skal gå frem. 

NSD leverer personverntjenester til rundt 140 forsknings- og utdanningsinstitusjoner, herunder alle landets universiteter, de fleste høyskoler, flere helseforetak, samt en rekke forskningsinstitutter og kompetansesentre. Dersom din organisasjon har avtale med NSD (nsd.no) vil du få veiledning og hjelp med vurdering av personvernkonsekvenser av dem.

Plan for databehandling

Det er viktig at søknaden din synliggjør hvordan grunnleggende personvernprinsipper (datatilsynet.no) blir ivaretatt. Det handler både om dataminimering, men også hvordan dataene vil bli behandlet. 

Norsk senter for forskningsdata (NSD) har en god oversikt over hva en datahåndteringsplan bør inneholde (nsd.no).

Dersom det ikke er gjennomført en DPIA i forbindelse med prosjektet blir du, i søknadskjemaet på helsedata.no, bedt om å oppgi:

  • Hvordan personvernprinsippet om lagringsbegrensning blir ivaretatt. Det vil si hvordan og hvor lenge opplysningene blir lagret og planlagte sletterutiner.
  • Hvordan prinsippet om integritet og konfidensialitet blir ivaretatt. Du blir bedt om å beskrive tiltakene som blir gjennomført for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering eller tilgang.

Personidentifiserbare opplysninger fra helseregistre og helseundersøkelser er taushetsbelagte og underlagt taushetsplikt. For å få tilgang til disse opplysningene må det derfor foreligge et unntak fra taushetsplikten. Unntaket kan være:

Når du søker om opplysninger fra helseregistre eller helseundersøkelser vil unntaket ofte være dispensasjon fra taushetsplikten.

Dispensasjon fra REK eller Helsedirektoratet

Dispensasjon fra taushetsplikt er nødvendig for å forske på helseopplysninger som allerede er samlet inn, uten å be om samtykke. Søknad om dispensasjon fra taushetsplikt behandles av:

  • REK dersom formålet forskning. Dette gjelder både for medisinsk og helsefaglig forsking (helseforskningsloven §§ 15, 28 og 35) og for annen forskning.
  • Helsedirektoratet dersom formålet er helseanalyse, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenestene.
Ikon

Tips

Søker du om forhåndsgodkjenning fra REK, søker du normalt om dispensasjon fra taushetsplikten samtidig.

Samtykke

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

Samtykke (Norsk senter for forskningsdata - nsd.no)

Hvis formålet du oppgir i søknaden om personidentifiserbare opplysninger er medisinsk og helsefaglig forskning, er det krav om etisk forhåndsgodkjenning av prosjektet før du kan få tilgang til opplysninger. Søknad om forhåndsgodkjenning skal som hovedregel sendes til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK), sammen med forskningsprotokollen.

Det er formålet med prosjektet som er avgjørende for om du må søke om forhåndsgodkjenning fra REK etter helseforskningsloven (lovdata.no). Helseforskningsloven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger, og omfatter kun forskning med formål om å fremskaffe ny kunnskap om helse og sykdom.

Forskning på pasient- og helseopplysninger til andre formål enn de som er omfattet av Helseforskningsloven, for eksempel samfunnsvitenskapelige formål, reguleres av personopplysningsloven og krever ikke forhåndsgodkjenning fra REK.

Du finner mer informasjon om når du må søke om forhåndsgodkjenning fra REK på rekportalen.no. Er du i tvil, kan du sende søknad til REK om en forhåndsvurdering (framleggelsesvurdering).

Krav om dokumentasjon på forhåndsgodkjenning fra REK

Søker du om tilgang til personopplysninger til medisinsk/helsefaglig forskning, må søknaden din inneholde:

  • Kopi av REK-søknad
  • Kopi av REK-godkjenning
  • Kopi av relevant dialog, midlertidige vedtak og tilbakemeldinger

Vær oppmerksom på at REK også behandler søknader om dispensasjon fra taushetsplikt ved forskning på helseopplysninger eller humant biologisk materiale. Det gjelder uavhengig av om formålet er medisinsk/helsefaglig forskning eller annen forskning (som ikke er omfattet av helseforskningsloven). Søker du om forhåndsgodkjenning fra REK, søker du normalt om dispensasjon fra taushetsplikten samtidig.

Ikon

Tips

Ikke last opp variabelliste til REK, men beskriv variablene på et overordnet nivå. Det vil gjøre det lettere om man må gjøre små justeringer etterpå.

Søker du om opplysninger fra datakilder som forvaltes av Folkehelseinstituttet, Helsedirektoratet eller Kreftregisteret kan du bruke søknadsskjemaet på helsedata.no. Vi anbefaler deg å logge inn før du starter utfyllingen av søknaden.

De andre datakildene du finner på helsedata.no har egne søknadsskjema. Disse finner du i beskrivelsene av de ulike datakildene.

På sikt skal alle datakilder på helsedata.no inngå i samme søknadsskjema.

Oversikt over datakilder fra:

Ikon

Personvern ved utfylling av søknad

Oppgi kun personopplysninger som er nødvendige for å behandle søknaden.

Ikke oppgi særlige kategorier av personopplysninger (sensitive personopplysninger) i fritekstfelt eller vedlagte dokumenter.

Dersom du legger inn opplysninger om andre enn deg selv i skjemaet, anbefaler vi at du informerer vedkommende om det på forhånd.

Søknadsmottak hos Helsedataservice

Søker du via helsedata.no er det Helsedataservice som mottar søknaden først. 

Helsedataservice er en organisatorisk enhet, midlertidig plassert i Direktoratet for e-helse, som sørger for koordinering og videresending av søknader som sendes inn via helsedata.no. Helsedataservice tilbyr også enkel veiledning om utfylling av søknadskjemaet på helsedata.no.

En søknadskoordinator hos Helsedataservice vil gå gjennom søknaden din og verifisere at alle vedlegg har kommet med, før søknaden blir sendt videre til saksbehandling hos datakildene du søker opplysninger fra.

Du kan forvente å bli kontaktet på e-post fra Helsedataservice eller fra en saksbehandler hos de datakildene du har søkt til.

Saksbehandling og vedtak hos datakildene

Dataforvalterne har egne saksbehandlere som behandler søknaden. De kommer til å kontakte deg for å få klarhet i hva slags data du ønsker, slik at det blir så relevant for formålet ditt som mulig.

De ulike registerforvalterne har ulike rutiner, krav og retningslinjer de følger. I de fleste tilfeller fattes et vedtak for søknaden med en påfølgende utlevering av datasettet innen en avtalt frist.

Ikon

Vær tilgjengelig for saksbehandler

Saksbehandleren som mottar søknaden din kan komme til å kontakte deg dersom det er uklarheter i søknaden.

Kostnad

Kostnaden for utlevering data kan variere mellom de forskjellige forvalterne. I henhold til det enkelte helseregistrets eller helseundersøkelsens forskrift vil de ulike registerforvalterne ta betalt for faktiske utgifter i forbindelse med administrativt arbeid, tilrettelegging og tilgjengeliggjøring av data.

Det betyr at jo mer kompleks søknaden din er, jo lenger tid vil det som regel ta før du får tilgang til opplysningene. Det er derfor viktig at du har et så detaljert bilde som mulig av hvilke opplysninger du trenger for å gjennomføre prosjektet ditt når du søker.

Ikon

Ta kontakt for pris

Ta kontakt med forvalterne av datakildene du ønsker opplysninger fra for prislister og kostnadsberegning.

Forventet behandlingstid

Tiden det tar å behandle søknaden er avhengig av omfanget på opplysningene du har søkt om, saksbehandlingstid i hvert enkelt register, og hvor mye forarbeid som må gjøres før datafilen(e) er klare for tilgjengeliggjøring.

Vær klar over at det at det er en jobb å tilrettelegge dataene. Det innebærer at det vil gå enda en tid fra søknaden er godkjent til opplysningene er klare for utlevering til deg.

I siste del av prosessen vil saksbehandleren din tilrettelegge dataene du har søkt om. Skal du sammenstille opplysninger fra flere datakilder kan prosessen ta lengre tid enn ved enklere søknader.

Frister for tilgjengeliggjøring

  • 30 dager for tilgjengeliggjøring av opplysninger fra en datakilde
  • 60 dager for tilgjengeliggjøring av sammenstilte opplysninger (fra flere kilder)

Fristene gjelder fra registeret har mottatt en komplett søknad. Søknaden regnes først som komplett når den inneholder alle opplysninger, godkjenninger og vedlegg som er nødvendige for å vurdere og fatte vedtak om tilgjengeliggjøring av helsedata.

Dataene leveres på ulike måter, men i de fleste tilfeller mottar du en kryptert minnepenn eller CD i posten, og et prosjektspesifikt passord oversendt på SMS. Når du har mottatt datafilen, og før du begynner å bruke dataene, bør du se til at datauttrekket stemmer.

  • Inneholder dataene de variablene du søkte om?
  • Får du svaret på forskningsspørsmålet ditt med disse dataene?
  • Hva er fristen for sletting av dataene, om den finnes?
Ikon

Manglende data?

Skulle datauttrekket mot formodning mangle noe data, må du si ifra om dette til den siste saksbehandleren du var i kontakt med. Da vil du få det korrekte datauttrekket raskere tilbake.

Husk å si ifra til saksbehandleren din at du har mottatt dataene.

Husk at REK har i sitt mandat å gi dispensasjon fra taushetsbelagte opplysninger. Denne dispensasjonen er personlig. Derfor er det viktig at personer som listes som forskningsmedarbeidere i REK-søknad, og som skal ha tilgang til selve datasettet, samsvarer med den navnelisten som sendes ved søknad til registerforvaltere.

Ta kontakt med Folkehelseinstituttet, Helsedirektoratet eller Kreftregisteret dersom du har endringer i søknaden din etter at den er sendt inn via helsedata.no. Dette gjelder f.eks. ved behov for opplysninger for nye perioder, utvidelse av prosjektvarighet, endring av prosjektleder osv.

Ved spørsmål om endringer kan du ta kontakt på e-post for videre veiledning:

Folkehelseinstituttet: datatilgang@fhi.no
Helsedirektoratet: helseregistre@helsedir.no
Kreftregisteret: due@kreftregisteret.no