Om endringer i den sentrale helseforvaltningen: helsedata.no og Helsedataservice fungerer som normalt og du kan fortsette å bruke tjenestene våre. 

Før du søker om personidentifiserbare opplysninger til et prosjekt, er det viktig at du har satt deg inn i hvilke opplysninger du har bruk for, samt hvilke opplysninger som finnes i de ulike datakildene. 

Sammen med en korrekt og komplett søknad skal det legges ved oversikter over opplysninger/variabler det søkes om fra datakildene.

Vær oppmerksom på at før du søker om personidentifiserbare opplysninger, må prosjektet ditt være godkjent av din dataansvarlige virksomhet. Hvis prosjektet ditt også forutsetter godkjenninger fra andre instanser, for eksempel etisk forhåndsgodkjenning fra Regional etisk komite (REK), må dette være innhentet før du sender søknaden.

Ved å bruke søknadsskjemaet på helsedata.no kan du søke om data fra mange datakilder. Det er viktig å være klar over at tilgjengeliggjøring og bruk av ulike datakilder reguleres i de ulike datakildenes forskrifter, samt i andre lover og forskrifter. De aller fleste datakildene på helsedata.no kan benyttes for følgende formål:

  • Medisinsk/helsefaglig forskning
  • Annen forskning (ikke omfattet av helseforskningsloven)
  • Helseanalyse, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

Finn frem relevant dokumentasjon

Før du sender inn søknad om data til prosjektet ditt, må du ha hentet inn de nødvendige tillatelser. Relevante dokumenter det er lurt å ha tilgjengelig når du skal fylle ut søknaden til Helsedataservice kan være:

I søknaden vil du også bli spurt om prosjektets rettslige behandlingsgrunnlag.

Punkter som må belyses i søknaden din

For at du skal være sikker på å få de opplysningene du har behov for til prosjektet ditt, og for å lette søknadsbehandlingen hos Helsedataservice, er det viktig at du gir en presis beskrivelse av hvordan opplysningene skal avgrenses og grupperes i de konkrete datafilene. Det betyr at beskrivelsen du gir av opplysningene du søker om er i overensstemmelse med prosjektbeskrivelsen/forskningsprotokollen.

Opplysninger om enkeltpersoners helse er sensitive og strengt beskyttet. Derfor gis det kun tilgang til data som er tilstrekkelig begrunnet som nødvendige for at prosjektet ditt kan gjennomføres.

Gjennom søknaden er dette viktige punkter som skal belyses:

  • Hvor opplysningene skal oppbevares og behandles
  • Populasjonen
  • Datakilder som inngår i prosjektet, både de du søker om her, men også eventuelt andre kilder som inngår i prosjektet, men søkes om annet sted (f. eks SSB, KUHR, medisiniske kvalitetsregistre, egne undersøkelser etc.)
  • Begrunnelse for de ønskede opplysningene
  • Dataflyt dersom opplysningene skal sammenstilles på personnivå

De opplysningene du søker om, må være knyttet til en spesifikk populasjon. Du må oppgi om du selv har en koblingsnøkkel med fødselsnummer og løpenummer, eller om noen andre skal danne populasjonen for deg. Dersom det er noen andre som skal lage koblingsnøkkel for prosjektet, må du opplyse om de helt konkrete kriterier for avgrensning av populasjonen.

Populasjonen skal alltid være avgrenset til det som er nødvendig for å gjennomføre prosjektet. Eksempel på registeropplysninger som kan brukes for å avgrense en populasjon, kan være:

  • Diagnoser
  • Prosedyrer (operasjoner, undersøkelser og behandlinger)
  • Dødsårsaker
  • Aldersintervaller
  • Kjønn
  • Tidsintervaller (datoer)
  • Bostedskommuner

En viktig del av søknaden er oversikten over hvilke opplysninger det søkes om fra de ulike datakildene. Du bør sette opp oversikter i form av variabellister. Bruk variabelkatalogen på helsedata.no for datakilder som har presentert innholdet sitt der.

Det finnes noen opplysninger som er spesielt sensitive. Eksempler på slike ser du under. Har du behov for denne typen opplysninger må du vurdere grupperte eller aggregert nivå på opplysningen. Dette er i tråd med prinsippet om dataminimering.

  • Geografisk bosted, for eksempel kommune
  • Diagnose- og prosedyrekoder, for eksempel ICD10 og NCMP/NCSP/NCRP på laveste tegnnivå
  • Datoer og tidspunkter for hendelser, for eksempel fødsels- og dødsdato, dato for diagnose, for kontakt med helsevesenet osv.
  • Behandlingssteder, for eksempel sykehusavdeling eller sykehus
  • Indekser, for eksempel sykelighet

Vurderer du at ditt prosjekt har behov for denne type opplysninger på høyeste identifiseringsnivå/størst detaljnivå, må du redegjøre for det i søknaden din.

Ulike detaljnivåer for spesielt sensitive opplysinger

Geografisk bosted

  1. Størst detaljnivå: Kommune
  2. Gruppert 1: Fylke
  3. Gruppert 2: Landsdel
  4. Fravær av sensitivt innhold: Kommunestørrelse

Diagnose/prosedyrekoder

  1. Størst detaljnivå: S62.6 (brudd i annen finger enn tommel)
  2. Gruppert 1: S62 – Brudd i håndledds- og håndregionen
  3. Gruppert 2: S6 – Skader på håndledd og hånd
  4. Fravær av sensitivt innhold: Gruppert på annen måte, f. eks CCI eller andre sykelighets-indekser

Datoer

  1. Størst detaljnivå: dd.mm.åååå
  2. Gruppert 1: mm.åååå
  3. Gruppert 2: åååå
  4. Fravær av sensitivt innhold: Dager mellom hendelser

Behandlingssteder

  1. Størst detaljnivå: Sykehuset
  2. Gruppert 1: Helseforetak
  3. Gruppert 2: Regionalt helseforetak
  4. Fravær av sensitivt innhold: Store vs. mindre behandlingssted

Sammenstilling

Med sammenstilling av opplysninger menes det, i denne sammenheng, å sette sammen opplysninger fra ulike kilder basert på en personunik id, ofte fødselsnummeret. Siden det av personvernhensyn, ikke er forenelig å distribuere helseopplysninger sammen med personers fødselsnummer, etableres det alltid en erstatning eller pseudonym for fødselsnummer.

Koblingsnøkkel

En koblingsnøkkel er en datafil som inneholder fødselsnummer og et pseudonym, personunikt id, som datakildene kan distribuere seg imellom for å hente ut opplysninger om de aktuelle personene, samt legge på det samme personunike id’en på alle datasett som blir tilgjengeliggjort for prosjektet.  Dette gjør det mulig å følge en person gjennom ulike datasett uten å bruke fødselsnummeret direkte.  Dette er en forutsetning for å kunne sammenstille personopplysninger fra ulike datakilder.

Plan for dataflyt

Når du søker om opplysninger fra flere datakilder, trengs det en plan for hvordan dataflyten skal gå. Det er prosjektets ansvar å lage en slik plan. En slik plan skal inneholde oversikt over hvilke(n) datakilde utvalget skal defineres hos, til hvilke datakilder koblingsnøkkel skal sendes for uttrekk av opplysninger. Grunnen til dette er å lette arbeidet med datatilretteleggingen og datatilgjengeliggjøringen som skjer hos den enkelte dataansvarlige/registerforvalter.

Se eksempler på ulike koblingsmetoder og dataflyt

Dersom du søker om opplysninger fra datakilder hos registerforvalterne FHI, Helsedirektoratet, Kreftregisteret, Norsk helsearkiv eller Legemiddelverket, blir søknaden din behandlet av Helsedataservice som fatter vedtak om tilgjengeliggjøring. Selve opplysningene får du tilgjengeliggjort direkte fra registeret/registerforvalter.

Hvor lang tid tar det?

Dette er regulert i Helseregisterlovens § 19f. Tilgjengeliggjøring av helseopplysninger skal skje innen 30 virkedager fra en fullstendig søknad er mottatt. Dersom tilgjengeliggjøringen krever sammenstilling med opplysninger fra flere registre, er fristen 60 virkedager.

Tilgjengeliggjøringen kan utsettes dersom særlige forhold gjør det uforholdsmessig vanskelig å overholde fristen. Du skal i så fall få et foreløpig svar med informasjon om grunnen til forsinkelsen og tidspunktet for når tilgjengeliggjøring sannsynligvis vil skje.

Siden det er flere aktører involvert når du skal få tilgjengeliggjort helseopplysninger til f. eks forskningsformål, vil du oppleve å få flere fakturaer. Helsedataservice tar betalt for søknadshåndtering og saksbehandlingen av denne, mens det er registerforvalterne som tar betalt for den faktiske datatilretteleggingen og tilgjengeliggjøringen av datamaterialet.

Du vil bli fakturert for medgått arbeidstid i hht helseregisterlovens § 19 g. Du vil motta en faktura fra HDS for saksbehandlingen, og en faktura fra hver registerforvalter som har gjort datatilretteleggingen av tabeller og opplysninger du får tilsendt.

Se mer informasjon om priser for tilgang til helsedata her.

Oppbevaring og lagring av data reguleres av Forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata§ 4, og skal fortrinnsvis skje i en lukket og sikker analyseinfrastruktur. 

HUNT Cloud (NTNU)SAFE (Universitet i Bergen) og TSD (Universitet i Oslo) er eksempler på infrastrukturer fra tilbydere i universitets- og høyskolesektoren. Disse infrastrukturene tilbyr tjenester for oppbevaring og behandling av sensitive data. Infrastrukturene benyttes i dag av aktører fra blant annet universitets- og høgskolesektoren, helseforvaltningen, kommuner og helseforetak. 

Her får du tilgang på gode verktøy som kan bidra til å lette gjennomføring av forskningsprosjektet ditt.

Du må selv vurdere om infrastrukturen du ønsker å benytte dekker krav til sikker oppbevaring og behandling.

Ta kontakt med tilbyderne av infrastrukturene for veiledning om funksjonalitet, sikkerhet, pris og inngåelse av avtale. Avtalen inngås mellom din virksomhet og tilbyderen av infrastrukturen. Avtalen må være etablert før vedtak om tilgjengeliggjøring kan fattes.

Dersom du har behov for å melde om eller søke om endringer til søknaden etter at den er sendt inn via helsedata.no, anbefaler vi at du kontakter Helsedataservice eller registrene for veiledning. Enkelte endringer kan innebære at du må sende inn en ny søknad eller ettersende oppdatert dokumentasjon.

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger.  

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilket eller hvilke alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilket eller hvilke alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegget hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6 (bokstav a - f)

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheten eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget "nødvendig å oppfylle en rettslig forpliktelse", kreves det ikke at virksomheten er pålagt en plikt.

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom det er nødvendig å behandle personopplysninger for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining der interessene knyttet til behandling av opplysningene til den dataansvarlige veies opp mot den enkeltes personverninteresse.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle vilkårene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

g) Nødvendig av hensyn til viktige allmenne interesser

Vilkåret innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette vilkåret er innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.

i) Nødvendig av folkehensyn

Vilkåret innebærer at behandlingen er nødvendig av folkehensyn. 

j) Nødvendig for arkivformål i allmennhetens interesse

Dette vilkåret innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Visse betingelser gjelder og vilkåret forutsetter at behandlingen har hjemmel i lov.

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.

Supplerende rettslig grunnlag er nødvendig når en ikke har samtykke fra deltakerne i prosjektet. Et supplerende rettsgrunnlag må fastsettes i nasjonal rett eller unionsretten, og kan være lov eller forskrift (f. eks særlovgivning). Det antas også at vedtak fattet i medhold av lov eller forskrift kan være et supplerende rettsgrunnlag.

Be om hjelp fra eget personvernombud (PVO) eller dataansvarlig for prosjektet dersom du ikke vet hva som utgjør supplerende rettslig grunnlag for din søknad.

Helsedataservice har myndighet til å gi dispensasjon fra taushetsplikt for alle kilder som inngår i prosjektet, dersom en av kildene er helseregistre HDS har vedtaksmyndighet for. Søknad om dispensasjon for disse kildene søker du om i søknadsskjemaet på helsedata.no.

Det er viktig at søknaden din synliggjør hvordan grunnleggende personvernprinsipper (datatilsynet.no) blir ivaretatt. Det handler både om dataminimering, men også hvordan dataene vil bli behandlet.

Datatilsynet har laget en veileder for vurdering av personvernkonsekvenser (datatilsynet.no).

Hjelp til vurdering av personvernkonsekvenser

Sikt (tidligere NSD) tilbyr personverntjenester for forskning til utdannings- og forskningsinstitusjoner. De har avtale med over 130 institusjoner, og i avtalen bestemmer insitusjonen selv hvilke type prosjekter som skal meldes til og vurderes av Sikt.

Dersom din organisasjon har avtale med Sikt (sikt.no) vil du få veiledning og hjelp med vurdering av personvernkonsekvenser av dem.

Plan for databehandling

I søknadskjemaet på helsedata.no blir du blant annet bedt om å oppgi:

  • Hvordan personvernprinsippet om lagringsbegrensning blir ivaretatt. Det vil si hvordan og hvor lenge opplysningene blir lagret og planlagte sletterutiner.
  • Hvordan prinsippet om integritet og konfidensialitet blir ivaretatt. Du blir bedt om å beskrive tiltakene som blir gjennomført for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering eller tilgang.

Er det flere institusjoner med i prosjektet, må samarbeidet mellom disse beskrives godt.

Dersom datasettet skal sendes til forskningsinstitusjoner i utlandet, er det viktig at det foreligger en databehandleravtale mellom institusjonene. Ditt personvernombud eller dataansvarlig kan hjelpe deg med å utforme dette.

Sikt har en god oversikt over hva en datahåndteringsplan bør inneholde (sikt.no).

Analyseinfrastruktur

I søknaden angir du hvor dataene skal oppbevares og behandles. Har ikke virksomheten din tilgang på sikker infrastruktur? Da kan du vurdere om det finnes infrastrukturer som dekker dine behov.

Ved å bruke søknadsskjemaet på helsedata.no kan du søke om data fra mange datakilder. Det er viktig å være klar over at tilgjengeliggjøring og bruk av ulike datakilder reguleres i de ulike datakildenes forskrifter, samt i andre lover og forskrifter.

De aller fleste datakildene på helsedata.no kan benyttes for følgende formål:

  • Medisinsk/helsefaglig forskning
  • Annen forskning (ikke omfattet av helseforskningsloven)
  • Helseanalyse, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

I søknadsskjemaet må det angis til hvilket formål opplysningene skal benyttes. Er du i tvil om prosjektet ditt faller innenfor datakildenes formål, ta kontakt med Helsedataservice. De ulike datakildenes formål er også beskrevet under den enkelte datakilden.

Lenker til lover og forskrifter

Personidentifiserbare opplysninger fra helseregistre og helseundersøkelser er taushetsbelagte og underlagt taushetsplikt. For å få tilgang til disse opplysningene må det derfor foreligge et unntak fra taushetsplikten. Unntaket kan være:

Når du søker om opplysninger fra helseregistre eller helseundersøkelser vil unntaket ofte være dispensasjon fra taushetsplikten.

Søknad om dispensasjon

Dispensasjon fra taushetsplikt er nødvendig for å behandle på helseopplysninger som allerede er samlet inn, uten å be om samtykke. 

Helsedataservice har myndigheten til å gi dispensasjon fra taushetsplikt for registrene Helsedataservice har vedtaksmyndighet for. Helsedataservice gjør vurderingene om dispensasjon samtidig som søknad om tilgang til data vurderes.

Heldataservice vil også behandle søknad om dispensasjon fra taushetsplikt og tilgang til helseopplysninger fra behandlingsrettede helseregistre (pasientjournalsystemer) og andre helseregistre, når de skal sammenstilles med opplysninger fra helseregistre som nevnt ovenfor.

Merk! I noen tilfeller vil Helsedirektoratet og de Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) fortsatt ha myndighet til å fatte vedtak om fritak fra taushetsplikten. Du finner mer informasjon hos Helsedirektoratets om når de eller REK fortsatt har denne myndigheten og du som søker må henvende deg til dem. 

Samtykke

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

Samtykke (Norsk senter for forskningsdata - nsd.no)

Myndigheten til å gi dispensasjon fra taushetsplikt til prosjekter som involverer datakilder hvor Helsedataservice har vedtaksmyndighet, er delegert til Helsedataservice. Dette søkes det om i søknadsskjemaet på helsedata.no.

Vanskelig eller umulig å innhente samtykke

Dersom det er vanskelig eller umulig å innhente samtykke åpner loven for at det kan gjøres unntak i forbindelse med:

  • forskning
  • statistikk
  • helseanalyser
  • kvalitetsforbedring
  • planlegging
  • styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

Avveining mellom samfunnets og individets interesser

Vurderingen av om det er grunnlag for å gjøre unntak fra samtykke skal bygge på en helhetsvurdering der det blant annet skal gjøres en avveining mellom samfunnets og individets interesser. Det er prosjektleders ansvar å begrunne eventuell søknad om unntak fra samtykke.

Ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn

Det kan bare gis dispensasjon eller unntak, dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Opplysningene er nødvendig for formålet

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Helsedataservice kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne individets grunnleggende rettigheter og interesser.

Hvis formålet for prosjektet er medisinsk og helsefaglig forskning, er etter helseforskningsloven (lovdata.no)  krav om etisk forhåndsgodkjenning av prosjektet.

Søknad om forhåndsgodkjenning skal sendes til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK).

Forskning på pasient- og helseopplysninger til andre formål, for eksempel annen forskning som ikke omfattet av helseforskningsloven, krever ikke forhåndsgodkjenning fra REK. Det er REK som avgjør om prosjektet faller innenfor helseforskningsloven.

Du finner mer informasjon om når du må søke om forhåndsgodkjenning fra REK på rekportalen.no. Er du i tvil, kan du sende søknad til REK om en forhåndsvurdering (framleggelsesvurdering).

Helsedata det kan søkes om til Helsedataservice er direkte og indirekte identifiserbare helseopplysninger, jf. Helseregisterloven § 2 bokstav a, og anonyme opplysninger om folks helse.

Personopplysninger er opplysninger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, epost og fødselsnummer.

Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet (Personvernforordningen artikkel 4).

Personidentifiserbare opplysninger

Personidentifiserbare opplysninger er opplysninger som kan knyttes til en person og dermed kan identifisere denne personen. Vi skiller mellom direkte og indirekte personidentifiserbare opplysninger.

Det mest vanlige er å benytte indirekte personidentifiserbare opplysninger til helseanalyser og forskningsformål. Tilgang til direkte personidentifiserbare opplysninger, navn, fødselsnummer og/eller andre personidentifiserende kjennetegn må begrunnes særskilt.

Særlige kategorier er opplysninger som er spesielt utfordrende å behandle. Det kan være opplysninger om:

  • etnisk opprinnelse
  • politisk oppfatning
  • religion
  • filosofisk overbevisning
  • fagforeningsmedlemskap
  • genetiske opplysninger
  • biometriske opplysninger
  • helseopplysninger
  • seksuelle forhold
  • seksuell legning

Se Personvernforordningen artikkel 9

Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifisert eller identifiserbar person. Opplysningene kan for eksempel fremstilles som statistikk. Anonyme opplysninger regnes ikke som personopplysninger. Personvernregelverket gjelder ikke for behandling av anonyme opplysninger.

Når er helseopplysninger anonyme?

Anonyme opplysninger i denne sammenheng er en bearbeiding av personidentifiserbare opplysninger slik at det ikke lenger er mulig å identifisere enkeltpersoner. I praksis betyr det tabeller eller statistikk over ulike tema, f. eks antall personer med gitte kjennetegn.

Små tall kan avsløre informasjon om enkelt individer eller virksomheter. I det fleste tilfeller vil dette være antall under tre.

Metoder for undertrykking av små tall

Det finnes ulike metoder for undertrykking av små tall, de to vanligste er "prikking" eller avrunding. Ved prikking erstattes små tall fra tabellen med "." og med avrunding settes alle enere til null og alle toere til tre.

For å unngå mye prikking i tabellen kan man gruppere variabler, for eksempel kan alder deles opp i intervaller.

Dataminimering er et grunnleggende personvernprinsipp (personvernforordningen artikkel 5 nr 1 bokstav c) og innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.

Dataminimeringsprinsippet kan være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett, og hvor mange opplysninger (variabler) som skal inngå, samt hvor detaljerte disse skal være. Det vil også være relevant hvor lenge personopplysningene skal lagres, slik at det ikke lagres lenger enn nødvendig.

Les mer om krav til dataminimering på datatilsynet.no.

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

På sikt.no finner du mer informasjon som samtykke (sikt.no)

Sammenstilling

Med sammenstilling av opplysninger menes det, i denne sammenheng, å sette sammen opplysninger fra ulike kilder basert på en personunik id, ofte fødselsnummeret. Siden det av personvernhensyn, ikke er forenelig å distribuere helseopplysninger sammen med personers fødselsnummer, etableres det alltid en erstatning eller pseudonym for fødselsnummer.

Koblingsnøkkel

En koblingsnøkkel er en datafil som inneholder fødselsnummer og et pseudonym, personunikt id, som datakildene kan distribuere seg imellom for å hente ut opplysninger om de aktuelle personene, samt legge på det samme personunike id’en på alle datasett som blir tilgjengeliggjort for prosjektet.  Dette gjør det mulig å følge en person gjennom ulike datasett uten å bruke fødselsnummeret direkte.  Dette er en forutsetning for å kunne sammenstille personopplysninger fra ulike datakilder.

Plan for dataflyt

Når du søker om opplysninger fra flere datakilder, trengs det en plan for hvordan dataflyten skal gå. Det er prosjektets ansvar å lage en slik plan. En slik plan skal inneholde oversikt over hvilke(n) datakilde utvalget skal defineres hos, til hvilke datakilder koblingsnøkkel skal sendes for uttrekk av opplysninger. Grunnen til dette er å lette arbeidet med datatilretteleggingen og datatilgjengeliggjøringen som skjer hos den enkelte dataansvarlige/registerforvalter.

Se eksempler på ulike koblingsmetoder og dataflyt

Når flere aktører er involvert i å levere datafiler til samme prosjekt er det flere måter å gjøre dette på. Det er prosjektleder som har ansvaret for å lage en gjennomførbar dataflyt. De mest vanlige måtene dette gjøres på i dag er ved distribuert kobling, sentralisert kobling og med en egen dedikert nøkkelforvalter.

Distribuert kobling

Distribuert kobling innebærer at koblingsnøkkel med studieutvalget/personer som skal inngå i datamaterialet, etableres/lages hos en aktør og formidles til de andre involverte aktørene. Koblingsnøkkelen kan komme fra prosjektet selv, noe som er vanlig i samtykkebaserte studier, eller den kan bli laget hos en av de involverte aktørene. Dette er ofte aktuelt i studier som ikke er samtykkebasert.  Et prosjekt som studerer kreftpasienter vil ha behov for at Kreftregisteret finner frem til studiepopulasjonen, basert på kriterier fra prosjektet.

I en slik koblingsprosess må prosjektet ha laget en oversikt over hvor dataflyten starter, hvordan koblingsnøkkel definerer person som skal inngå, til hvilke aktører koblingsnøkkel oversendes, hvilke opplysninger som skal hentes fra de enkelte aktørene, til hvor de endelige analysefilene blir tilgjengeliggjort.

I et enkelt prosjekt kan dette se slik ut:

  1. Utvalget spesifiseres i Kreftregisteret og skal bestå av personer eldre enn xx år registrert i Kreftregisteret i perioden 2000-2020 med C20
  2. Koblingsnøkkel med utvalget tilgjengeliggjøres DÅR og NPR
  3. Kreftregisteret, DÅR og NPR henter ut omsøkte opplysninger hos sine registre
  4. Datafiler fra Kreftregisteret, NPR og DÅR, som inneholder løpenummer og helseopplysninger tilgjengeliggjøres prosjektet

distrubert-kobling_text.svg

Sentralisert kobling

I en sentralisert kobling gjøres datatilrettelegging hos alle involverte datakilder som så sender både data og fødselsnummerliste til en aktør. Denne aktøren lager en koblingsnøkkel med fødselsnumre og pseudonym for fødselsnummer som blir lagt på alle datafilene før disse tilgjengeliggjøres prosjektet.

Sentralisert kobling skiller seg fra distribuert kobling ved at det lages en endelig koblingsnøkkel etter at de omsøkte datakildene har gjort sine datatilrettelegginger.

Sentralisert kobling er ofte aktuelt når studiepopulasjonen etableres basert på flere datakilder. Eksempel på dette kan være et prosjekt som skal undersøke alle personer som er registrert med luftveisinfeksjon i NPR eller KPR, eller behandlet med spesielle legemidler for infeksjon. I slike tilfeller vil utvalget kunne bestå av personer kun registrert i en av de aktuelle datakildene. 

I et prosjekt kan dette se slik ut:

  1. KPR lager fnr liste over personer registrert med influensa i primærhelsetjenesten (liste 1) og datafil med opplysninger som skal til søker
  2. NPR lager fnr liste over personer registrert med influensa i spes helsetjenesten (liste 2) og datafil med opplysninger som skal til søker
  3. LMR lager fnr liste over personer registrert med uttak av Tamiflu fra apotek (liste 3) og datafil med opplysninger som skal til søker
  4. NPR og LMR sender sine lister med fnr til KPR
  5. KPR lager en prosjektspesifikk løpenummerlister som inneholder både KPR personer, NPR personer og LMR personer, samt og datafil med opplysninger som skal til søker
  6. KPR legger på samme løpenummerserie på datafil fra NPR og LMR.
  7. KPR sender de tre datafilene med samme løpenummerserie til prosjektet/forsker

Koblingsprosess med nøkkelforvalter

I noen prosjekter er det hensiktsmessig å ha en egen nøkkelforvalter. Med nøkkelforvalter menes her en aktør som ikke nødvendigvis bidrar med annet et å lage og distribuere koblingsnøkkel til de andre involverte aktørene. Det kan for eksempel være Folkeregisteret, Skattemyndighetene eller andre.

Egen nøkkelforvalter kan være aktuelt når det er kontrollgrupper involvert, som ikke nødvendig er registrert i et av de omsøkte datakildene. Det kan også være aktuelt når det av ulike grunner er satt som vilkår at det skal være en ekstern nøkkelforvalter.

En koblingsprosess med egen nøkkelforvalter innebærer at fødselsnumre distribueres svært begrenset. Det innebærer også at det ingen enkeltaktører sitter med oversikt over alle involverte aktører og helseopplysninger. Det er tilfellet i en sentralisert koblingsprosess.

I et prosjekt kan dette se slik ut:

  • Koblingsnøkkel for hele Norges befolkning lages hos Skatteetaten
  • Koblingsnøkkel tilgjengeliggjøres til NPR, KPR og LMR
  • NPR, KPR og LMR henter ut aktuelle helseopplysninger og tilrettelegger dette i respektive datafiler
  • NPR, KPR og LMR erstatter fnr med fnr pseudonym fra den oversendte koblingsnøkkelen
  • NPR, KPR og LMR tilgjengeliggjør hver sine datafiler til prosjektet/forskeren