Sette deg inn i gjeldende regelverk

    Jo bedre du kjenner til regelverket for utlevering av helsedata i Norge, desto større er sjansene for at du leverer en søknad som blir godkjent raskere.

    Du har ansvar for å rådføre deg med din forskningsinstitusjon for å vurdere om behandling av opplysninger er av en slik karakter at det kreves en vurdering av personvernkonsekvenser (Data Protection Impact Assessment –DPIA). Datatilsynet har laget en veileder om DPIA som kan være til hjelp. De fleste medisinske og helsefaglige forskningsprosjekter vil kreve en personvernkonsekvensvurdering der risiko og tiltak for å minimere risiko beskrives. Dersom prosjektet medfører høy risiko kan du be om forhåndsdrøfting hos Datatilsynet.

    Du får et godt utgangspunkt for søknadsprosessen din ved å sette deg inn i de lovene og forskriftene som regulerer utlevering av data fra de registrene og datakildene du skal søke om data fra. Det vil gi deg en bedre forståelse av hvordan personvernet ivaretas hos hver enkelt kilde.


    Regional etisk komité (REK)

    REK skal gjøre en etisk forhåndsvurdering av ditt prosjekt hvis du skal bruke personidentifiserbare helsedata i et medisinsk eller helsefaglig forskningsprosjekt.

    Personidentifiserbare data vil si all informasjon som direkte eller indirekte kan knyttes en til en fysisk person som er i live. Opplysninger som indirekte kan identifisere en fysisk person er detaljerte opplysninger om kjønn, alder, bosted og f.eks diagnose regnes som personidentifiserbare data.

    Ofte er det snakk om grad av personidentifiserbarhet, og hovedregelen er at graden av personidentifikasjon for helseopplysninger skal ikke være større enn nødvendig for å nå formålene med forskningen. Det er ofte denne vurderingen som skaper hodebry for de som skal behandle din søknad, og som også gjør det nødvendig for deg å gjøre en grundig jobb med å begrunne de vurderingene du har gjort for å ivareta personvernet til enkeltpersoner.

    Forskning som bare bruker anonymiserte data, det vil si opplysninger og informasjon som ikke kan spores tilbake til enkeltpersoner, trenger ikke å søke om etisk godkjenning fra REK.

    Søknad til REK kreves heller ikke for aktiviteter som utføres i helse- og helsevesenet for systematisk å utvikle og sikre kvaliteten på virksomheten. 

    Dersom du er i tvil om du trenger å søke til REK så kan du legge frem prosektet for en forhåndsvurdering fra REK. På REKs hjemmeside finner du både søknadskjema for etisk vurdering og informasjon om hvordan du oppretter bruker og sender inn skjema for Fremleggsvurdering,

    Dispensasjon fra taushetsplikt

    Helseopplysninger er underlagt taushetsplikt. Søker du om personidentifiserbare opplysninger (direkte eller indirekte) må du enten innhente samtykke fra de registrerte eller søke om dispensasjon fra taushetsplikt i samsvar med reglene i helseforskningsloven § 35 og helsepersonelloven §§ 29 og 29 b. Søknad om dispensasjon fra taushetsplikt behandles av REK dersom formålet er forskning, og av Helsedirektoratet dersom formålet er helseanalyse, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenestene.

     

    Tips: Du får et godt utgangspunkt for søknadsprosessen din ved å sette deg inn i de hjemlene og godkjenningene som er knyttet til kildene du skal søke data hos. Det gir deg mer forståelse for hvordan personvernet ivaretas hos hver enkelt datakilde.  

    Enkelte registerforvaltere har egne søknadsveiledere, som du finner under hver enkelt side om registerforvalterne.