Rettslig grunnlag

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger. Særlige kategorier er opplysninger som er spesielt utfordrende å behandle. Det gjelder opplysninger om:

• etnisk opprinnelse
• politisk oppfatning
• religion
• filosofisk overbevisning
• fagforeningsmedlemskap
• genetiske opplysninger
• biometriske opplysninger
• helseopplysninger
• seksuelle forhold
• seksuell legning

Se Personvernforordningen artikkel 9

Anonyme opplysninger er ikke omfattet av personvernforordningen. I praksis kan derfor alle søke om anonyme opplysninger så lenge du planlegger å bruke opplysningene i tråd med datakildenes/registrenes formål. Formålene er oppgitt i beskrivelsene av datakildene. 

Søknader om anonyme opplysninger vurderes etter formålet til registrene og etter helseregisterlovens § 19 (lovdata.no). Det er ikke nødvendig å fremlegge behandlingsgrunnlag eller dispensasjon fra taushetsplikt for å få tilgang til anonyme opplysninger. Forskning, helseanalyser, kvalitetssikring av helsetjenester er formål de aller fleste datakildene på helsedata.no har for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester.

Ved å bruke søknadsskjemaet på helsedata.no kan du søke om data fra mange datakilder. Det er viktig å være klar over at tilgjengeliggjøring og bruk av ulike datakilder reguleres i de ulike datakildenes forskrifter, samt i andre lover og forskrifter.

De aller fleste datakildene på helsedata.no kan benyttes for følgende formål:

• Medisinsk/helsefaglig forskning
• Annen forskning (ikke omfattet av helseforskningsloven)
• Helseanalyse, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

I søknadsskjemaet må det angis til hvilket formål opplysningene skal benyttes. Er du i tvil om prosjektet ditt faller innenfor datakildenes formål, ta kontakt med Helsedataservice. De ulike datakildenes formål er også beskrevet under den enkelte datakilden.

Lenker til lover og forskrifter

• Helseregisterloven
• Helseforskningsloven
• Forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata
• Norsk pasientregister
• Kommunalt pasient og brukerregister
• Dødsårsaksregisteret
• Medisinsk fødselsregister
• Legemiddelregisteret
• SYSVAK
• MSIS
• Hjerte- Kar registeret
• Kreftregisteret
• Bivirkningsregisteret
• Norsk helsearkiv

Det er viktig at søknaden din synliggjør hvordan grunnleggende personvernprinsipper (datatilsynet.no) blir ivaretatt. Det handler både om dataminimering, men også hvordan dataene vil bli behandlet.

Datatilsynet har laget en veileder for vurdering av personvernkonsekvenser (datatilsynet.no).

Hjelp til vurdering av personvernkonsekvenser

Sikt (tidligere NSD) tilbyr personverntjenester for forskning til utdannings- og forskningsinstitusjoner. De har avtale med over 130 institusjoner, og i avtalen bestemmer insitusjonen selv hvilke type prosjekter som skal meldes til og vurderes av Sikt.

Dersom din organisasjon har avtale med Sikt (sikt.no) vil du få veiledning og hjelp med vurdering av personvernkonsekvenser av dem.

Plan for databehandling

I søknadskjemaet på helsedata.no blir du blant annet bedt om å oppgi:

• Hvordan personvernprinsippet om lagringsbegrensning blir ivaretatt. Det vil si hvordan og hvor lenge opplysningene blir lagret og planlagte sletterutiner.
• Hvordan prinsippet om integritet og konfidensialitet blir ivaretatt. Du blir bedt om å beskrive tiltakene som blir gjennomført for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering eller tilgang.

Er det flere institusjoner med i prosjektet, må samarbeidet mellom disse beskrives godt.

Dersom datasettet skal sendes til forskningsinstitusjoner i utlandet, er det viktig at det foreligger en databehandleravtale mellom institusjonene. Ditt personvernombud eller dataansvarlig kan hjelpe deg med å utforme dette.

Sikt har en god oversikt over hva en datahåndteringsplan bør inneholde (sikt.no).

Analyseinfrastruktur

I søknaden angir du hvor dataene skal oppbevares og behandles. Har ikke virksomheten din tilgang på sikker infrastruktur? Da kan du vurdere om det finnes infrastrukturer som dekker dine behov.

Hvis formålet for prosjektet er medisinsk og helsefaglig forskning, er etter helseforskningsloven (lovdata.no)  krav om etisk forhåndsgodkjenning av prosjektet.

Søknad om forhåndsgodkjenning skal sendes til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK).

Forskning på pasient- og helseopplysninger til andre formål, for eksempel annen forskning som ikke omfattet av helseforskningsloven, krever ikke forhåndsgodkjenning fra REK. Det er REK som avgjør om prosjektet faller innenfor helseforskningsloven.

Du finner mer informasjon om når du må søke om forhåndsgodkjenning fra REK på rekportalen.no. Er du i tvil, kan du sende søknad til REK om en forhåndsvurdering (framleggelsesvurdering).

Personidentifiserbare opplysninger fra helseregistre og helseundersøkelser er taushetsbelagte og underlagt taushetsplikt. For å få tilgang til disse opplysningene må det derfor foreligge et unntak fra taushetsplikten. Unntaket kan være:

• samtykke fra de registrerte
• dispensasjon fra taushetsplikten etter helseregisterloven § 19 e og helsepersonelloven § 29.
• unntak fra taushetsplikt for utlevering av indirekte identifiserbare opplysninger etter helseregisterloven § 19 b ( Dette unntaket gjelder kun for helseregistre hjemlet i helseregisterloven § 11 (lovdata.no).)

  Her kan du lese mer om når det er krav for dispensasjon fra taushetsplikt og hvordan man går frem for å søke om dette

  Les mer om unntak fra taushetsplikten

Supplerende rettslig grunnlag er nødvendig når en ikke har samtykke fra deltakerne i prosjektet. Et supplerende rettsgrunnlag må fastsettes i nasjonal rett eller unionsretten, og kan være lov eller forskrift (f. eks særlovgivning). Det antas også at vedtak fattet i medhold av lov eller forskrift kan være et supplerende rettsgrunnlag.

Be om hjelp fra eget personvernombud (PVO) eller dataansvarlig for prosjektet dersom du ikke vet hva som utgjør supplerende rettslig grunnlag for din søknad.

Helsedataservice har myndighet til å gi dispensasjon fra taushetsplikt for alle kilder som inngår i prosjektet, dersom en av kildene er helseregistre HDS har vedtaksmyndighet for. Søknad om dispensasjon for disse kildene søker du om i søknadsskjemaet på helsedata.no.