Når du søker om tilgang til direkte eller indirekte identifiserbare helse- eller personopplysninger må du ha et rettslig grunnlag (også kalt behandlingsgrunnlag) i tråd med personvernforordningen (GDPR) artikkel 6 nummer 1. Minst ett av vilkårene må være oppfylt. I tillegg til å ha et behandlingsgrunnlag, må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt for å kunne behandle særlige kategorier av personopplysninger, herunder helseopplysninger.  

I søknadskjemaet på helsedata.no blir du bedt om å oppgi hvilket eller hvilke alternativ i artikkel 6 nummer 1 (bokstav a-f), samt hvilket eller hvilke alternativ i artikkel 9 nummer 2 (bokstav a-j) som er oppfylt. Beskriv hvilke deler av prosjektet som faller inn under hvilket behandlingsgrunnlag i vedlegget hvis du har flere behandlingsgrunnlag.

Ta kontakt med eget personvernombud (PVO) eller dataansvarlig for prosjektet og be om en vurdering av og begrunnelse for det rettslige grunnlaget for behandlingen av opplysningene. 

Personvernforordningen artikkel 6 (bokstav a - f)

De rettslige grunnlagene etter artikkel 6 som er mest relevante ved behandling av helseopplysninger er bokstav a), c) eller e).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

For at samtykke skal være gyldig må det være avgitt frivillig, det må være spesifikt, informert, utvetydig. Videre må det være gitt igjennom en aktiv handling, kunne dokumenteres og det må være mulig å trekke tilbake samtykke like lett som det ble gitt.

Et samtykke kan være innhentet av deg eller det kan være innhentet gjennom samtykkebaserte helseundersøkelser.

c) Oppfylle en rettslig forpliktelse

Behandlingsgrunnlaget kan brukes dersom behandlingen av opplysningene er nødvendig for at den dataansvarlige skal kunne oppfylle en rettslig forpliktelse. Eksempelvis kan en virksomhet være pålagt en plikt til å behandle bestemte personopplysninger. Plikten må være fastsatt i lov eller forskrift.

e) Oppgave av allmenn interesse eller utøve offentlig myndighet

Dette behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Begge alternativene henviser i utgangspunktet til offentlig myndighet, men behandlingsgrunnlaget kan også benyttes der private virksomheten eksplisitt er tillagt offentlig myndighet eller oppgaver i allmennhetens interesse.

Behandlingen må ha hjemmel i lov eller forskrift. Det vil si at behandlingsgrunnlaget må fastsettes i en lov som den behandlingsansvarlige er underlagt.

I motsetning til behandlingsgrunnlaget "nødvendig å oppfylle en rettslig forpliktelse", kreves det ikke at virksomheten er pålagt en plikt.

Øvrige behandlingsgrunnlag etter artikkel 6

Følgende behandlingsgrunnlag kan også være aktuelle:

b) Avtale som den registrerte er part i

Behandlingsgrunnlaget innebærer at behandlingen av opplysningene er nødvendig for å oppfylle en avtale som den det gjelder er part i, eller det er nødvendig for å gjennomføre tiltak som den enkelte har spurt etter før avtaleinngåelsen. Det er et krav om at behandlingen faktisk og logisk er nødvendig for å utføre en tjeneste den enkelte har etterspurt.

d) Nødvendig for å beskytte vitale interesser

Dette behandlingsgrunnlaget brukes i svært få tilfeller og innebærer at behandlingen av opplysningene er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser. Vitale interesser kan for eksempel være akutt fare for noens liv og helse, slik at det er nødvendig å behandle eller utlevere personopplysninger.

f) Berettiget interesse

Dette behandlingsgrunnlaget kan benyttes dersom det er nødvendig å behandle personopplysninger for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Det må gjøres en konkret interesseavveining der interessene knyttet til behandling av opplysningene til den dataansvarlige veies opp mot den enkeltes personverninteresse.

Personvernforordningen artikkel 9 (bokstav a - j)

Ved behandling av helseopplysninger må minst ett av vilkårene i artikkel 9 nummer 2 være oppfylt. De mest aktuelle vilkårene etter personvernforordningen (GPDR) artikkel 9 nummer 2 er bokstav a), h), i) eller j).

a) Samtykke

Dette behandlingsgrunnlaget kan benyttes dersom det er innhentet et gyldig samtykke til behandlingen fra personen eller personene opplysningene gjelder. Personen(e) må ha samtykket til behandlingen for ett eller flere spesifikke formål som du har oppgitt.

g) Nødvendig av hensyn til viktige allmenne interesser

Vilkåret innebærer at behandlingen er nødvendig av hensyn til viktige allmenne interesser og har hjemmel i lov.

h) Nødvendig i forbindelse med forebyggende medisin eller arbeidsmedisin

Dette vilkåret er innebærer at behandlingen er nødvendig ved forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer på grunnlag av nasjonal rett.

Behandlingsgrunnlaget kan imidlertid bare benyttes dersom opplysningene behandles av en fagperson underlagt taushetsplikt, og behandlingen av personopplysninger må ha hjemmel i lov eller følge av avtale med helsepersonell.

i) Nødvendig av folkehensyn

Vilkåret innebærer at behandlingen er nødvendig av folkehensyn. 

j) Nødvendig for arkivformål i allmennhetens interesse

Dette vilkåret innebærer at behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Visse betingelser gjelder og vilkåret forutsetter at behandlingen har hjemmel i lov.

Du kan lese mer om rettslig grunnlag for behandling av personopplysninger på datatilsynet.no.

Supplerende rettslig grunnlag er nødvendig når en ikke har samtykke fra deltakerne i prosjektet. Et supplerende rettsgrunnlag må fastsettes i nasjonal rett eller unionsretten, og kan være lov eller forskrift (f. eks særlovgivning). Det antas også at vedtak fattet i medhold av lov eller forskrift kan være et supplerende rettsgrunnlag.

Be om hjelp fra eget personvernombud (PVO) eller dataansvarlig for prosjektet dersom du ikke vet hva som utgjør supplerende rettslig grunnlag for din søknad.

Helsedataservice har myndighet til å gi dispensasjon fra taushetsplikt for alle kilder som inngår i prosjektet, dersom en av kildene er helseregistre HDS har vedtaksmyndighet for. Søknad om dispensasjon for disse kildene søker du om i søknadsskjemaet på helsedata.no.

Det er viktig at søknaden din synliggjør hvordan grunnleggende personvernprinsipper (datatilsynet.no) blir ivaretatt. Det handler både om dataminimering, men også hvordan dataene vil bli behandlet.

Datatilsynet har laget en veileder for vurdering av personvernkonsekvenser (datatilsynet.no).

Hjelp til vurdering av personvernkonsekvenser

Sikt (tidligere NSD) tilbyr personverntjenester for forskning til utdannings- og forskningsinstitusjoner. De har avtale med over 130 institusjoner, og i avtalen bestemmer insitusjonen selv hvilke type prosjekter som skal meldes til og vurderes av Sikt.

Dersom din organisasjon har avtale med Sikt (sikt.no) vil du få veiledning og hjelp med vurdering av personvernkonsekvenser av dem.

Plan for databehandling

I søknadskjemaet på helsedata.no blir du blant annet bedt om å oppgi:

  • Hvordan personvernprinsippet om lagringsbegrensning blir ivaretatt. Det vil si hvordan og hvor lenge opplysningene blir lagret og planlagte sletterutiner.
  • Hvordan prinsippet om integritet og konfidensialitet blir ivaretatt. Du blir bedt om å beskrive tiltakene som blir gjennomført for å beskytte opplysningene mot utilsiktet eller ulovlig ødeleggelse, tap eller endring, samt uautorisert utlevering eller tilgang.

Er det flere institusjoner med i prosjektet, må samarbeidet mellom disse beskrives godt.

Dersom datasettet skal sendes til forskningsinstitusjoner i utlandet, er det viktig at det foreligger en databehandleravtale mellom institusjonene. Ditt personvernombud eller dataansvarlig kan hjelpe deg med å utforme dette.

Sikt har en god oversikt over hva en datahåndteringsplan bør inneholde (sikt.no).

Analyseinfrastruktur

I søknaden angir du hvor dataene skal oppbevares og behandles. Har ikke virksomheten din tilgang på sikker infrastruktur? Da kan du vurdere om det finnes infrastrukturer som dekker dine behov.

Ved å bruke søknadsskjemaet på helsedata.no kan du søke om data fra mange datakilder. Det er viktig å være klar over at tilgjengeliggjøring og bruk av ulike datakilder reguleres i de ulike datakildenes forskrifter, samt i andre lover og forskrifter.

De aller fleste datakildene på helsedata.no kan benyttes for følgende formål:

  • Medisinsk/helsefaglig forskning
  • Annen forskning (ikke omfattet av helseforskningsloven)
  • Helseanalyse, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

I søknadsskjemaet må det angis til hvilket formål opplysningene skal benyttes. Er du i tvil om prosjektet ditt faller innenfor datakildenes formål, ta kontakt med Helsedataservice. De ulike datakildenes formål er også beskrevet under den enkelte datakilden.

Lenker til lover og forskrifter

Personidentifiserbare opplysninger fra helseregistre og helseundersøkelser er taushetsbelagte og underlagt taushetsplikt. For å få tilgang til disse opplysningene må det derfor foreligge et unntak fra taushetsplikten. Unntaket kan være:

Når du søker om opplysninger fra helseregistre eller helseundersøkelser vil unntaket ofte være dispensasjon fra taushetsplikten.

Søknad om dispensasjon

Dispensasjon fra taushetsplikt er nødvendig for å behandle på helseopplysninger som allerede er samlet inn, uten å be om samtykke. 

Helsedataservice har myndigheten til å gi dispensasjon fra taushetsplikt for registrene Helsedataservice har vedtaksmyndighet for. Helsedataservice gjør vurderingene om dispensasjon samtidig som søknad om tilgang til data vurderes.

Heldataservice vil også behandle søknad om dispensasjon fra taushetsplikt og tilgang til helseopplysninger fra behandlingsrettede helseregistre (pasientjournalsystemer) og andre helseregistre, når de skal sammenstilles med opplysninger fra helseregistre som nevnt ovenfor.

Merk! I noen tilfeller vil Helsedirektoratet og de Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) fortsatt ha myndighet til å fatte vedtak om fritak fra taushetsplikten. Du finner mer informasjon hos Helsedirektoratets om når de eller REK fortsatt har denne myndigheten og du som søker må henvende deg til dem. 

Samtykke

Samtykke er et rettslig grunnlag (behandlingsgrunnlag) som ofte brukes ved behandling av helse- og personopplysninger. Samtykke vil som regel være aktuelt når du skal koble opplysninger fra registre eller helseundersøkelser med egeninnsamlede data.

For at samtykke skal være gyldig må flere vilkår være oppfylt. Samtykket må:

  • være avgitt frivillig
  • være spesifikt for den behandling som skal skje og for de personopplysningene som skal benyttes
  • gi tilstrekkelig informasjon til den enkelte
  • være en klar bekreftelse og erklæring fra den enkelte
  • kunne dokumenteres
  • være forståelig og ha en lett tilgjengelig form, et klart og enkelt språk må benyttes

Dersom den enkelte har samtykket til flere typer behandling av helse- og personopplysninger skal dette kunne skilles fra hverandre og klart fremgå av samtykket.

I REK-portalen finnes det maler for informasjonsskriv og samtykke (rekportalen.no).

Samtykke (Norsk senter for forskningsdata - nsd.no)

Myndigheten til å gi dispensasjon fra taushetsplikt til prosjekter som involverer datakilder hvor Helsedataservice har vedtaksmyndighet, er delegert til Helsedataservice. Dette søkes det om i søknadsskjemaet på helsedata.no.

Vanskelig eller umulig å innhente samtykke

Dersom det er vanskelig eller umulig å innhente samtykke åpner loven for at det kan gjøres unntak i forbindelse med:

  • forskning
  • statistikk
  • helseanalyser
  • kvalitetsforbedring
  • planlegging
  • styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten

Avveining mellom samfunnets og individets interesser

Vurderingen av om det er grunnlag for å gjøre unntak fra samtykke skal bygge på en helhetsvurdering der det blant annet skal gjøres en avveining mellom samfunnets og individets interesser. Det er prosjektleders ansvar å begrunne eventuell søknad om unntak fra samtykke.

Ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn

Det kan bare gis dispensasjon eller unntak, dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Opplysningene er nødvendig for formålet

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Helsedataservice kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne individets grunnleggende rettigheter og interesser.

Hvis formålet for prosjektet er medisinsk og helsefaglig forskning, er etter helseforskningsloven (lovdata.no)  krav om etisk forhåndsgodkjenning av prosjektet.

Søknad om forhåndsgodkjenning skal sendes til Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK).

Forskning på pasient- og helseopplysninger til andre formål, for eksempel annen forskning som ikke omfattet av helseforskningsloven, krever ikke forhåndsgodkjenning fra REK. Det er REK som avgjør om prosjektet faller innenfor helseforskningsloven.

Du finner mer informasjon om når du må søke om forhåndsgodkjenning fra REK på rekportalen.no. Er du i tvil, kan du sende søknad til REK om en forhåndsvurdering (framleggelsesvurdering).