For at du skal få tilgang til personidentifiserbare opplysninger, må søknaden din inneholde en rekke vedlegg som blant annet dokumenterer at:

  • Du har lov til å behandle opplysningene du søker om.
  • Det er gjennomført nødvendige vurderinger med tanke på personvern og databehandling.
  • Det foreligger et unntak fra taushetsplikten.
  • Det foreligger forhåndsgodkjenning fra Regional komité for medisinsk- og helsefaglig forskningsetikk (REK) dersom formålet med prosjektet er medisinsk/helsefaglig forskning.

Du er selv ansvarlig for å sette deg inn i og dokumentere at alle vilkår for tilgjengeliggjøring i lovene og forskriftene som regulerer de enkelte datakildene er oppfylt, og at søknaden din inneholder alle relevante vedlegg. Ta gjerne kontakt med forvalterne av de enkelte datakildene hvis du trenger råd og veiledning.

Eksempler på relevante vedlegg

Tabellen under viser en oversikt over aktuelle vedlegg til søknaden. Tabellen er grovt kategorisert og er kun ment som en veiledning. Du må selv gjøre en vurdering av hvilke vedlegg det er behov for. For eksempel trenger du ikke å legge ved forskningsprotokoll dersom formålet med behandling av opplysningene ikke er forskning.

Vedlegg

Utlevering til medisinsk og helsefaglig forskning Utlevering til andre formål
Forskningsprotokoll, jf. helseforskningsloven § 6 X X
Søknader som er sendt til Regional Etisk Komité (REK) X X
Søknader som er sendt til Helsedirektoratet   X
Etisk vurdering (eller tidligere forhåndsgodkjenning) mottatt fra Regional Etisk Komité (REK) X  
Dispensasjon fra taushetsplikten mottatt fra Regional Etisk Komité(REK) jf helseforskningsloven § 35 X  
Vurdering fra personvernombud som dokumenterer rettslig behandlingsgrunnlag (jmf. personvernforordningen art 6 (a-f) og art 9 (a-j) er oppfylt) X X
Informasjonsskriv og mal for samtykkeskjema ( ved samtykkebaserte prosjekter) X X
Eventuelle tidligere søknader om konsesjon som er sendt til Datatilsynet X X
Eventuelle tidligere konsesjoner som er mottatt fra Datatilsynet X X
Dispensasjon fra taushetsplikten mottatt fra Regional Etisk Komité(REK) jf helsepersonelloven § 29 evt fra Helsedirektoratet jf helsepersonelloven § 29b   X

Tips

Pass på at alle vedlegg har navn som er forklarende for hva dokumentet inneholder.

Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger.  

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilket eller hvilke alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilket eller hvilke alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegg hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6 (bokstav a - f)

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheten eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget "nødvendig å oppfylle en rettslig forpliktelse", kreves det ikke at virksomheten er pålagt en plikt.

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom behandle personopplysninger er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining der interessene knyttet til behandling av opplysningene til den dataansvarlige veies opp mot den enkeltes personverninteresse.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle vilkårene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

g) Nødvendig av hensyn til viktige allmenne interesser

Dette vilkåret innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette vilkåret er innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.

i) Nødvendig av folkehensyn

Dette vilkåret innebærer at behandlingen er nødvendig av folkehensyn. 

j) Nødvendig for arkivformål i allmennhetens interesse

Dette vilkåret innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Visse betingelser gjelder og vilkåret forutsetter at behandlingen har hjemmel i lov.

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.

Dersom det rettslige grunnlaget for behandling av personidentifiserbare opplysninger er artikkel 6 bokstav c) og e), eller artikkel 9 bokstav b), g), h,) i) og j) i personvernforordningen (GDPR), må du også oppgi et supplerende rettslig grunnlag.

Be om hjelp fra eget personvernombud (PVO) eller dataansvarlig for prosjektet dersom du ikke vet hva som utgjør supplerende rettslig grunnlag for din søknad.

Eksempler på nasjonalt supplerende rettsgrunnlag kan være vedtak etter helsepersonelloven og helseforskningsloven om dispensasjon fra taushetsplikten og hjemmel i lov eller forskrift.

Dispensasjon fra taushetsplikt fra REK eller Helsedirektoratet kan utgjøre det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9.

Du har ansvar for å rådføre deg med din forskningsinstitusjon for å vurdere om den planlagte behandlingen av opplysningene er av en slik karakter at det kreves en vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA).

De fleste medisinske og helsefaglige forskningsprosjekter vil kreve en personvernkonsekvensvurdering der risiko og tiltak for å minimere risiko blir beskrevet.

Er det flere institusjoner med i prosjektet må samarbeidet mellom disse beskrives godt.

Dersom datasettet skal sendes til forskningsinstitusjoner i utlandet, er det viktig at det foreligger en databehandleravtale mellom institusjonene. Ditt personvernombud eller dataansvarlig kan hjelpe deg med å utforme dette.

Veiledningshjelp om DPIA

Datatilsynet har laget en veileder om DPIA (datatilsynet.no), som kan hjelpe deg med vurderingen av om en vurdering av personvernkonsekvenser skal gjennomføres, og hvordan du i så fall skal gå frem. 

NSD leverer personverntjenester til rundt 140 forsknings- og utdanningsinstitusjoner, herunder alle landets universiteter, de fleste høyskoler, flere helseforetak, samt en rekke forskningsinstitutter og kompetansesentre. Dersom din organisasjon har avtale med NSD (nsd.no) vil du få veiledning og hjelp med vurdering av personvernkonsekvenser av dem.

Plan for databehandling

Det er viktig at søknaden din synliggjør hvordan grunnleggende personvernprinsipper (datatilsynet.no) blir ivaretatt. Det handler både om dataminimering, men også hvordan dataene vil bli behandlet. 

Norsk senter for forskningsdata (NSD) har en god oversikt over hva en datahåndteringsplan bør inneholde (nsd.no).

Dersom det ikke er gjennomført en DPIA i forbindelse med prosjektet blir du, i søknadskjemaet på helsedata.no, bedt om å oppgi:

  • Hvordan personvernprinsippet om lagringsbegrensning blir ivaretatt. Det vil si hvordan og hvor lenge opplysningene blir lagret og planlagte sletterutiner.
  • Hvordan prinsippet om integritet og konfidensialitet blir ivaretatt. Du blir bedt om å beskrive tiltakene som blir gjennomført for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering eller tilgang.

Personidentifiserbare opplysninger fra helseregistre og helseundersøkelser er taushetsbelagte og underlagt taushetsplikt. For å få tilgang til disse opplysningene må det derfor foreligge et unntak fra taushetsplikten. Unntaket kan være:

Når du søker om opplysninger fra helseregistre eller helseundersøkelser vil unntaket ofte være dispensasjon fra taushetsplikten.

Dispensasjon fra REK eller Helsedirektoratet

Dispensasjon fra taushetsplikt er nødvendig for å forske på helseopplysninger som allerede er samlet inn, uten å be om samtykke. Søknad om dispensasjon fra taushetsplikt behandles av:

  • REK dersom formålet forskning. Dette gjelder både for medisinsk og helsefaglig forsking (helseforskningsloven §§ 15, 28 og 35) og for annen forskning.
  • Helsedirektoratet dersom formålet er helseanalyse, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenestene.

Tips

Søker du om forhåndsgodkjenning fra REK, søker du normalt om dispensasjon fra taushetsplikten samtidig.

Samtykke

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

Samtykke (Norsk senter for forskningsdata - nsd.no)

Hvis formålet du oppgir i søknaden om personidentifiserbare opplysninger er medisinsk og helsefaglig forskning, er det krav om etisk forhåndsgodkjenning av prosjektet før du kan få tilgang til opplysninger. Søknad om forhåndsgodkjenning skal som hovedregel sendes til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK), sammen med forskningsprotokollen.

Det er formålet med prosjektet som er avgjørende for om du må søke om forhåndsgodkjenning fra REK etter helseforskningsloven (lovdata.no). Helseforskningsloven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger, og omfatter kun forskning med formål om å fremskaffe ny kunnskap om helse og sykdom.

Forskning på pasient- og helseopplysninger til andre formål enn de som er omfattet av Helseforskningsloven, for eksempel samfunnsvitenskapelige formål, reguleres av personopplysningsloven og krever ikke forhåndsgodkjenning fra REK.

Du finner mer informasjon om når du må søke om forhåndsgodkjenning fra REK på rekportalen.no. Er du i tvil, kan du sende søknad til REK om en forhåndsvurdering (framleggelsesvurdering).

Krav om dokumentasjon på forhåndsgodkjenning fra REK

Søker du om tilgang til personopplysninger til medisinsk/helsefaglig forskning, må søknaden din inneholde:

  • Kopi av REK-søknad
  • Kopi av REK-godkjenning
  • Kopi av relevant dialog, midlertidige vedtak og tilbakemeldinger

Vær oppmerksom på at REK også behandler søknader om dispensasjon fra taushetsplikt ved forskning på helseopplysninger eller humant biologisk materiale. Det gjelder uavhengig av om formålet er medisinsk/helsefaglig forskning eller annen forskning (som ikke er omfattet av helseforskningsloven). Søker du om forhåndsgodkjenning fra REK, søker du normalt om dispensasjon fra taushetsplikten samtidig.

Tips

Ikke last opp variabelliste til REK, men beskriv variablene på et overordnet nivå. Det vil gjøre det lettere om man må gjøre små justeringer etterpå.