Personvernforordningen

Sist oppdatert: 16.12.2024

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. I tillegg må du ha et behandlingsgrunnlag i artikkel 9, nummer 2 dersom du søker om særlige kategorier av personopplysninger, herunder helseopplysninger.

Behandlingsgrunnlag

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilke(t) alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilke(t) alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegget hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift eller vedtak med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheter eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

 

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom det er nødvendig å behandle personopplysninger for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining mellom hensynet knyttet til personvern veid opp hensynet knyttet til den interessen som skal beskyttes.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av behandlingsgrunnlagene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle behandlingsgrunnlagene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

g) Nødvendig av hensyn til viktige allmenne interesser

Dette innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser. Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov* eller følge av avtale med helsepersonell.

*Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

i) Nødvendig av folkehensyn

Dette innebærer at behandlingen er nødvendig av folkehensyn. For eksempel vern mot alvorlig grenseoverskridende helsetrusler eller for å sikre høye kvalitets- og sikkerhetsstandarder for helsetjenester og legemidler eller medisinsk utstyr.

Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

j) Nødvendig for arkivformål i allmennhetens interesse

Dette innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.

Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

Øvrige behandlingsgrunnlag etter artikkel 9

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Behandlinger for arbeids, trygde- og sosialrettens områder

Behandlingen må ha hjemmel i lov eller forskrift eller i vedtak fattet med hjemmel i lov eller forskrift, det er dette som kalles et supplerende rettsgrunnlag. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

c) Vern om vitale interesser

Behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser dersom den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke.

d) Opplysninger av politisk, religiøs eller fagforeningsmessig art

e) Opplysninger den registrerte har gjort offentlig kjent

f) Fastsette, gjøre gjeldende, eller forsvare et rettskrav

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.

Dataminimering

Dataminimering er et grunnleggende personvernprinsipp (personvernforordningen artikkel 5 nr 1 bokstav c) og innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.

Dataminimeringsprinsippet kan være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett, og hvor mange opplysninger (variabler) som skal inngå, samt hvor detaljerte disse skal være. Det vil også være relevant hvor lenge personopplysningene skal lagres, slik at det ikke lagres lenger enn nødvendig.

Les mer om krav til dataminimering på datatilsynet.no.