Rettslig grunnlag for behandling av personidentifiserbare opplysninger

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger.  

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilket eller hvilke alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilket eller hvilke alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegget hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6 (bokstav a - f)

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheten eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget "nødvendig å oppfylle en rettslig forpliktelse", kreves det ikke at virksomheten er pålagt en plikt.

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom det er nødvendig å behandle personopplysninger for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining der interessene knyttet til behandling av opplysningene til den dataansvarlige veies opp mot den enkeltes personverninteresse.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle vilkårene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

g) Nødvendig av hensyn til viktige allmenne interesser

Vilkåret innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette vilkåret er innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.

i) Nødvendig av folkehensyn

Vilkåret innebærer at behandlingen er nødvendig av folkehensyn. 

j) Nødvendig for arkivformål i allmennhetens interesse

Dette vilkåret innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Visse betingelser gjelder og vilkåret forutsetter at behandlingen har hjemmel i lov.

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.