Vi understreker dette like godt først som sist: vurderingen av om prosjektet skal behandle personopplysninger er helt essensiell. Dette fordi alle vurderinger du skal gjøre senere avhenger av at du har vurdert dette spørsmålet riktig.
Behandling av personopplysninger er lovregulert, og må følge personvern- og helselovgivningen, mens behandling av anonyme data ikke må det. En feilvurdering kan dermed innebære at prosjektet behandler personopplysninger uten å vite om det, og uten å gjøre nødvendige (lovpålagte) tiltak, slik at behandlingen er ulovlig.
Brudd på personvernregelverket kan føre til store bøter for institusjonen din, og omdømmetap for prosjektet og forskningen. Derfor er det svært viktig at du gjør en grundig vurdering av om prosjektet skal behandle personopplysninger. Hvis du er i tvil i dette viktige spørsmålet, bør du rådføre deg med personvernressurser ved din institusjon.
Personopplysninger
Personopplysninger vil det være hvis dataene i prosjektet på noen måte vil være mulig å knytte til en enkeltperson. Du må ta i betraktning alle data som skal brukes i prosjektet fra start til slutt, uavhengig av format. Vær oppmerksom på at det finnes mange ulike måter data kan knyttes til person på. Det kan være via:
- • navn, fødselsnummer, adresse, telefonnummer, epost, samtykkeerklæring osv.
- • bakgrunnsinformasjon som tid, sted, institusjon, alder, kjønn, stilling, diagnose osv.
- • kode som viser til en koblingsnøkkel hos deg eller andre (f.eks. liste med prosjekt-ID og navn, eller pasientnummer og fødselsnummer)
- • bilde, video, lydopptak
- • IP-adresse, nettidentifikator
- • lokasjonsdata, bevegelses-/adferdsmønstre
- • biometri (f.eks. iris, fingeravtrykk, ansikt, ganglag)
- • humant biologisk materiale eller genetiske analyser (av arvestoff)
Som det fremgår av listen over, vil prosjektet behandle personopplysninger hvis dataene på en eller annen måte kan knyttes til enkeltpersoner. Vær oppmerksom på at data vil være å anse som personopplysninger selv om det eneste som knytter dem til enkeltpersoner er en kode som viser til en koblingsnøkkel (dvs. en liste der kode viser til identifiserbare opplysninger om person som f.eks. navn, pasientnummer, IP-adresse, bakgrunnsinformasjon el.).
Dette gjelder selv om dataene du jobber med ikke inneholder navn eller andre opplysninger som kan identifisere personene, kun koder. Kodene som viser tilbake til koblingsnøkkelen gjør at dataene defineres som personopplysninger.
Dette gjelder også i tilfeller der prosjektet ikke selv har tilgang til koblingsnøkkelen, men den lagres hos SSB, FHI eller andre institusjoner. Vær også oppmerksom på at bakgrunnsvariabler (få eller mange) kan gjøre det mulig å spore opplysningene tilbake til enkeltpersoner indirekte.
Flere variabler sett i sammenheng kan altså bakveisidentifisere de registrerte. Det gjelder selv om du eventuelt ikke har tilgang til direkte identifiserbare opplysninger eller koblingsnøkkel.
Når du har gjort en grundig vurdering av om prosjektet skal behandle personopplysninger, kan du gå videre. Hvis prosjektet skal behandle personopplysninger, er neste steg å vurdere hvilken type personopplysninger det er snakk om. Er det kun såkalt “alminnelige personopplysninger”? Eller er det “særlige kategorier personopplysninger” eller “personopplysninger om straffedommer eller lovovertredelser” som skal brukes i prosjektet? Du må også vurdere om personopplysningene som skal behandles i prosjektet er taushetsbelagte.
Grunnen til at du må gjøre disse vurderingene, er at det knytter seg egne regler til bruk av slike typer personopplysninger. Dine vurderinger her vil dermed påvirke hvilke vurderinger du må gjøre senere.
Alminnelige personopplysninger vs. særlige kategorier personopplysninger
“Alminnelige personopplysninger” er opplysninger om enkeltpersoner som ikke faller inn under de to neste kategoriene.
“Særlige kategorier personopplysninger” er data om rasemessig/etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetikk, biometri for å identifisere enkeltperson, helseforhold og/eller seksuelle forhold/orientering.
“Personopplysninger om straffedommer/lovovertredelser” er definert som en egen kategori personopplysninger, og skal i henhold til norsk lov behandles på tilsvarende måte som særlige kategorier. Det er foreløpig begrenset med veiledning om hva dette begrepet inneholder, men en rimelig tolkning er at det omfatter opplysninger om lovovertredelser helt fra det straffeprosessuelle mistankestadiet til endelig straffedom foreligger.
Vi kan dermed gå ut fra at begrepet dekker de samme typer opplysninger som tidligere personvernlovgivning, nemlig at en person er – eller har vært - mistenkt, siktet, tiltalt eller dømt for en straffbar handling (Skullerud m.fl., Personvernforordningen, kommentarutgave, s.115).
De to sistnevnte typene av personopplysninger er gitt et særskilt vern i personvernregelverket. Det er fordi behandlingen av slike personopplysninger kan innebære høyere risiko for de registrerte enn behandling av alminnelige personopplysninger.
Hvis opplysninger om enkeltpersoner for eksempel kommer på avveie eller brukes på en uventet eller inngripende måte, vil det ofte ha større konsekvenser for de registrerte hvis opplysningene er av en slik kategori, enn hvis det er alminnelige personopplysninger.
Det kan av og til være vanskelig å vurdere om opplysningene prosjektet skal samle inn er å anse som “særlige kategorier” eller “opplysninger om straffedommer/lovovertredelser”. Da er det lurt å rådføre seg med personvernressurser ved din institusjon for å få hjelp. Rett vurdering er viktig fordi det gjelder egne regler for behandling av slike typer opplysninger.
Kategoriseringen du gjør av opplysningene vil altså påvirke vurderingene du skal gjøre senere. Hvis opplysningene i prosjektet er i grenseland, kan det noen ganger være en løsning å ta høyde for at de er å anse som slike typer opplysninger og at prosjektet behandler dem deretter. Men det kan gi noen begrensninger, så det er ikke meningen at man skal definere alt som særlige kategorier for sikkerhets skyld.
Det beste er å forsøke å kategorisere personopplysningene rett, og begrunne hvorfor man anser opplysningene som enten alminnelige, særlige eller opplysninger om straffedommer/lovovertredelser.
Vi skal ikke gå igjennom alle de ulike typene særlige kategorier personopplysninger her. Men det er viktig å nevne at begrepet “helseopplysninger” eller “opplysninger om helseforhold” skal tolkes vidt. Det omfatter enhver opplysning som avdekker noe om en persons tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand.
Det kan være opplysninger om sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, helsehjelp/behandling, fysiologisk/biomedisinsk tilstand, genetikk, biologiske prøver, tester/undersøkelser av kroppsdel-/substans mm. Og det gjelder uavhengig av hvor opplysningene kommer fra, f.eks. pasientjournal, helsepersonell, medisinsk utstyr, den registrerte selv eller andre.
Vær oppmerksom på at helse ikke trenger å stå i relasjon til sykdom, og at begrepet ikke bare betegner tilstander, men også årsaker og konsekvenser av tilstander.
Taushetsbelagte opplysninger
Når du har vurdert kategori personopplysninger, må du også vurdere om opplysningene som skal behandles til prosjektformålet er underlagt taushetsplikt. Taushetsbelagte personopplysninger er data om personer fra kilder som har lovpålagt eller avtalefestet taushetsplikt om opplysningene. I vurderingen tar du utgangspunkt i datakildene dine.
Skal prosjektet hente opplysninger fra en virksomhet eller person som, gjennom lov eller avtale, har forbud mot å røpe de aktuelle opplysningene? Husk at du må ta i betraktning alle data som behandles i forbindelse med prosjektet, ikke bare data prosjektet innhenter for analyse, men også data som brukes (av prosjektet selv eller annen instans) for å rekruttere/trekke utvalget. Hvilke opplysninger som er taushetsbelagte, avhenger av bestemmelsen(e) i den aktuelle loven/avtalen som fastsetter taushetsplikten.
Hvis det er uklart hvilke opplysninger prosjektet skal behandle (i analyser, rekruttering etc.), og om opplysningene er “særlige kategorier personopplysninger”, “personopplysninger om straffedommer/lovovertredelser” og/eller taushetsbelagte, er det viktig at du får avklart det så tidlig som mulig i prosjektet/forskningsprosessen.
Hvis slike typer opplysninger skal brukes i prosjektet, må du vurdere om det er nødvendig for formålet. Hvis ja, bør du dokumentere en begrunnelse for behovet, og du må senere vurdere hvordan prosjektet skal behandle disse opplysningene for at det skal være lovlig.
Hvis det ikke er nødvendig for formålet, kan prosjektet ikke behandle slike opplysninger, og du bør gjøre tiltak for å unngå det (f.eks. revidere intervjuguide/spørreskjema, eller be informanter utelate/sladde slike opplysninger før prosjektet får tilgang).
Hvis du er helt sikker på at prosjektet ikke skal behandle personopplysninger, trenger du ikke gå videre i denne veilederen. Ved siden av forskningsetikk og immateriell rett (som ikke er omtalt i veilederen her), er det eneste du da må tenke på om prosjektet trenger forhåndsgodkjenning fra REK.
Hvis prosjektet har et formål som kan falle inn under det å “fremskaffe ny kunnskap om helse og sykdom”, kan det være å anse som helseforskning, selv om prosjektet kun skal behandle anonyme opplysninger. Det kan f.eks. være tester/forsøk som innebærer noe helserisiko der du innhenter samtykke, men ikke knytter data til forsøksperson.
Prosjekter som omfattes av helseforskningsloven er søknadspliktige til REK. Hvis du er i tvil, rådfør deg med ressurser ved din institusjon og send gjerne en fremleggelsesvurdering til REK.