Personidentifiserbare opplysninger
Opprett søknadHelsedata det kan søkes om til Helsedataservice er direkte og indirekte identifiserbare helseopplysninger, jf. Helseregisterloven § 2 bokstav a, og anonyme opplysninger om folks helse.
Personopplysninger er opplysninger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, epost og fødselsnummer.
Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet (Personvernforordningen artikkel 4).
Personidentifiserbare opplysninger
Personidentifiserbare opplysninger er opplysninger som kan knyttes til en person og dermed kan identifisere denne personen. Vi skiller mellom direkte og indirekte personidentifiserbare opplysninger.
Det mest vanlige er å benytte indirekte personidentifiserbare opplysninger til helseanalyser og forskningsformål. Tilgang til direkte personidentifiserbare opplysninger, navn, fødselsnummer og/eller andre personidentifiserende kjennetegn må begrunnes særskilt.
Særlige kategorier er opplysninger som er spesielt utfordrende å behandle. Det kan være opplysninger om:
- etnisk opprinnelse
- politisk oppfatning
- religion
- filosofisk overbevisning
- fagforeningsmedlemskap
- genetiske opplysninger
- biometriske opplysninger
- helseopplysninger
- seksuelle forhold
- seksuell legning
Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifisert eller identifiserbar person. Opplysningene kan for eksempel fremstilles som statistikk. Anonyme opplysninger regnes ikke som personopplysninger. Personvernregelverket gjelder ikke for behandling av anonyme opplysninger.
Når er helseopplysninger anonyme?
Anonyme opplysninger i denne sammenheng er en bearbeiding av personidentifiserbare opplysninger slik at det ikke lenger er mulig å identifisere enkeltpersoner. I praksis betyr det tabeller eller statistikk over ulike tema, f. eks antall personer med gitte kjennetegn.
Små tall kan avsløre informasjon om enkelt individer eller virksomheter. I det fleste tilfeller vil dette være antall under tre.
Det finnes ulike metoder for undertrykking av små tall, de to vanligste er "prikking" eller avrunding. Ved prikking erstattes små tall fra tabellen med "." og med avrunding settes alle enere til null og alle toere til tre.
For å unngå mye prikking i tabellen kan man gruppere variabler, for eksempel kan alder deles opp i intervaller.
Dataminimering er et grunnleggende personvernprinsipp (personvernforordningen artikkel 5 nr 1 bokstav c) og innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.
Dataminimeringsprinsippet kan være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett, og hvor mange opplysninger (variabler) som skal inngå, samt hvor detaljerte disse skal være. Det vil også være relevant hvor lenge personopplysningene skal lagres, slik at det ikke lagres lenger enn nødvendig.
Les mer om krav til dataminimering på datatilsynet.no.
Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.
For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:
- være avgitt frivillig
- være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
- gi tilstrekkelig informasjon til den enkelte
- være en klar bekreftelse og erklæring fra den enkelte
- kunne dokumenteres
- være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes
Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.
I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).
Sammenstilling
Med sammenstilling av opplysninger menes det, i denne sammenheng, å sette sammen opplysninger fra ulike kilder basert på en personunik id, ofte fødselsnummeret. Siden det av personvernhensyn, ikke er forenelig å distribuere helseopplysninger sammen med personers fødselsnummer, etableres det alltid en erstatning eller pseudonym for fødselsnummer.
Koblingsnøkkel
En koblingsnøkkel er en datafil som inneholder fødselsnummer og et pseudonym, personunikt id, som datakildene kan distribuere seg imellom for å hente ut opplysninger om de aktuelle personene, samt legge på det samme personunike id’en på alle datasett som blir tilgjengeliggjort for prosjektet. Dette gjør det mulig å følge en person gjennom ulike datasett uten å bruke fødselsnummeret direkte. Dette er en forutsetning for å kunne sammenstille personopplysninger fra ulike datakilder.
Plan for dataflyt
Når du søker om opplysninger fra flere datakilder, trengs det en plan for hvordan dataflyten skal gå. Det er prosjektets ansvar å lage en slik plan. En slik plan skal inneholde oversikt over hvilke(n) datakilde utvalget skal defineres hos, til hvilke datakilder koblingsnøkkel skal sendes for uttrekk av opplysninger. Grunnen til dette er å lette arbeidet med datatilretteleggingen og datatilgjengeliggjøringen som skjer hos den enkelte dataansvarlige/registerforvalter.