Helsedata det kan søkes om til Helsedataservice er direkte og indirekte identifiserbare helseopplysninger, jf. Helseregisterloven § 2 bokstav a, og anonyme opplysninger om folks helse.

Personopplysninger er opplysninger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, epost og fødselsnummer.

Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet (Personvernforordningen artikkel 4).

Personidentifiserbare opplysninger

Personidentifiserbare opplysninger er opplysninger som kan knyttes til en person og dermed kan identifisere denne personen. Vi skiller mellom direkte og indirekte personidentifiserbare opplysninger.

Det mest vanlige er å benytte indirekte personidentifiserbare opplysninger til helseanalyser og forskningsformål. Tilgang til direkte personidentifiserbare opplysninger, navn, fødselsnummer og/eller andre personidentifiserende kjennetegn må begrunnes særskilt.

Særlige kategorier er opplysninger som er spesielt utfordrende å behandle. Det kan være opplysninger om:

  • etnisk opprinnelse
  • politisk oppfatning
  • religion
  • filosofisk overbevisning
  • fagforeningsmedlemskap
  • genetiske opplysninger
  • biometriske opplysninger
  • helseopplysninger
  • seksuelle forhold
  • seksuell legning

Se Personvernforordningen artikkel 9

Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifisert eller identifiserbar person. Opplysningene kan for eksempel fremstilles som statistikk. Anonyme opplysninger regnes ikke som personopplysninger. Personvernregelverket gjelder ikke for behandling av anonyme opplysninger.

Når er helseopplysninger anonyme?

Anonyme opplysninger i denne sammenheng er en bearbeiding av personidentifiserbare opplysninger slik at det ikke lenger er mulig å identifisere enkeltpersoner. I praksis betyr det tabeller eller statistikk over ulike tema, f. eks antall personer med gitte kjennetegn.

Små tall kan avsløre informasjon om enkelt individer eller virksomheter. I det fleste tilfeller vil dette være antall under tre.

Metoder for undertrykking av små tall

Det finnes ulike metoder for undertrykking av små tall, de to vanligste er "prikking" eller avrunding. Ved prikking erstattes små tall fra tabellen med "." og med avrunding settes alle enere til null og alle toere til tre.

For å unngå mye prikking i tabellen kan man gruppere variabler, for eksempel kan alder deles opp i intervaller.

Dataminimering er et grunnleggende personvernprinsipp (personvernforordningen artikkel 5 nr 1 bokstav c) og innebærer å begrense mengden personopplysninger som hentes inn og behandles til det som er nødvendig for å oppnå formålet.

Dataminimeringsprinsippet kan være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett, og hvor mange opplysninger (variabler) som skal inngå, samt hvor detaljerte disse skal være. Det vil også være relevant hvor lenge personopplysningene skal lagres, slik at det ikke lagres lenger enn nødvendig.

Les mer om krav til dataminimering på datatilsynet.no.

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

På sikt.no finner du mer informasjon som samtykke (sikt.no)

Sammenstilling

Med sammenstilling av opplysninger menes det, i denne sammenheng, å sette sammen opplysninger fra ulike kilder basert på en personunik id, ofte fødselsnummeret. Siden det av personvernhensyn, ikke er forenelig å distribuere helseopplysninger sammen med personers fødselsnummer, etableres det alltid en erstatning eller pseudonym for fødselsnummer.

Koblingsnøkkel

En koblingsnøkkel er en datafil som inneholder fødselsnummer og et pseudonym, personunikt id, som datakildene kan distribuere seg imellom for å hente ut opplysninger om de aktuelle personene, samt legge på det samme personunike id’en på alle datasett som blir tilgjengeliggjort for prosjektet.  Dette gjør det mulig å følge en person gjennom ulike datasett uten å bruke fødselsnummeret direkte.  Dette er en forutsetning for å kunne sammenstille personopplysninger fra ulike datakilder.

Plan for dataflyt

Når du søker om opplysninger fra flere datakilder, trengs det en plan for hvordan dataflyten skal gå. Det er prosjektets ansvar å lage en slik plan. En slik plan skal inneholde oversikt over hvilke(n) datakilde utvalget skal defineres hos, til hvilke datakilder koblingsnøkkel skal sendes for uttrekk av opplysninger. Grunnen til dette er å lette arbeidet med datatilretteleggingen og datatilgjengeliggjøringen som skjer hos den enkelte dataansvarlige/registerforvalter.

Se eksempler på ulike koblingsmetoder og dataflyt

Når flere aktører er involvert i å levere datafiler til samme prosjekt er det flere måter å gjøre dette på. Det er prosjektleder som har ansvaret for å lage en gjennomførbar dataflyt. De mest vanlige måtene dette gjøres på i dag er ved distribuert kobling, sentralisert kobling og med en egen dedikert nøkkelforvalter.

Distribuert kobling

Distribuert kobling innebærer at koblingsnøkkel med studieutvalget/personer som skal inngå i datamaterialet, etableres/lages hos en aktør og formidles til de andre involverte aktørene. Koblingsnøkkelen kan komme fra prosjektet selv, noe som er vanlig i samtykkebaserte studier, eller den kan bli laget hos en av de involverte aktørene. Dette er ofte aktuelt i studier som ikke er samtykkebasert.  Et prosjekt som studerer kreftpasienter vil ha behov for at Kreftregisteret finner frem til studiepopulasjonen, basert på kriterier fra prosjektet.

I en slik koblingsprosess må prosjektet ha laget en oversikt over hvor dataflyten starter, hvordan koblingsnøkkel definerer person som skal inngå, til hvilke aktører koblingsnøkkel oversendes, hvilke opplysninger som skal hentes fra de enkelte aktørene, til hvor de endelige analysefilene blir tilgjengeliggjort.

I et enkelt prosjekt kan dette se slik ut:

  1. Utvalget spesifiseres i Kreftregisteret og skal bestå av personer eldre enn xx år registrert i Kreftregisteret i perioden 2000-2020 med C20
  2. Koblingsnøkkel med utvalget tilgjengeliggjøres DÅR og NPR
  3. Kreftregisteret, DÅR og NPR henter ut omsøkte opplysninger hos sine registre
  4. Datafiler fra Kreftregisteret, NPR og DÅR, som inneholder løpenummer og helseopplysninger tilgjengeliggjøres prosjektet

distrubert-kobling_text.svg

Sentralisert kobling

I en sentralisert kobling gjøres datatilrettelegging hos alle involverte datakilder som så sender både data og fødselsnummerliste til en aktør. Denne aktøren lager en koblingsnøkkel med fødselsnumre og pseudonym for fødselsnummer som blir lagt på alle datafilene før disse tilgjengeliggjøres prosjektet.

Sentralisert kobling skiller seg fra distribuert kobling ved at det lages en endelig koblingsnøkkel etter at de omsøkte datakildene har gjort sine datatilrettelegginger.

Sentralisert kobling er ofte aktuelt når studiepopulasjonen etableres basert på flere datakilder. Eksempel på dette kan være et prosjekt som skal undersøke alle personer som er registrert med luftveisinfeksjon i NPR eller KPR, eller behandlet med spesielle legemidler for infeksjon. I slike tilfeller vil utvalget kunne bestå av personer kun registrert i en av de aktuelle datakildene. 

I et prosjekt kan dette se slik ut:

  1. KPR lager fnr liste over personer registrert med influensa i primærhelsetjenesten (liste 1) og datafil med opplysninger som skal til søker
  2. NPR lager fnr liste over personer registrert med influensa i spes helsetjenesten (liste 2) og datafil med opplysninger som skal til søker
  3. LMR lager fnr liste over personer registrert med uttak av Tamiflu fra apotek (liste 3) og datafil med opplysninger som skal til søker
  4. NPR og LMR sender sine lister med fnr til KPR
  5. KPR lager en prosjektspesifikk løpenummerlister som inneholder både KPR personer, NPR personer og LMR personer, samt og datafil med opplysninger som skal til søker
  6. KPR legger på samme løpenummerserie på datafil fra NPR og LMR.
  7. KPR sender de tre datafilene med samme løpenummerserie til prosjektet/forsker

Koblingsprosess med nøkkelforvalter

I noen prosjekter er det hensiktsmessig å ha en egen nøkkelforvalter. Med nøkkelforvalter menes her en aktør som ikke nødvendigvis bidrar med annet et å lage og distribuere koblingsnøkkel til de andre involverte aktørene. Det kan for eksempel være Folkeregisteret, Skattemyndighetene eller andre.

Egen nøkkelforvalter kan være aktuelt når det er kontrollgrupper involvert, som ikke nødvendig er registrert i et av de omsøkte datakildene. Det kan også være aktuelt når det av ulike grunner er satt som vilkår at det skal være en ekstern nøkkelforvalter.

En koblingsprosess med egen nøkkelforvalter innebærer at fødselsnumre distribueres svært begrenset. Det innebærer også at det ingen enkeltaktører sitter med oversikt over alle involverte aktører og helseopplysninger. Det er tilfellet i en sentralisert koblingsprosess.

I et prosjekt kan dette se slik ut:

  • Koblingsnøkkel for hele Norges befolkning lages hos Skatteetaten
  • Koblingsnøkkel tilgjengeliggjøres til NPR, KPR og LMR
  • NPR, KPR og LMR henter ut aktuelle helseopplysninger og tilrettelegger dette i respektive datafiler
  • NPR, KPR og LMR erstatter fnr med fnr pseudonym fra den oversendte koblingsnøkkelen
  • NPR, KPR og LMR tilgjengeliggjør hver sine datafiler til prosjektet/forskeren