Personopplysningsloven § 8 – behandlingen av personopplysninger er nødvendig for arkivformål, forskning og statistikk
Personopplysningsloven § 8 tillater å behandle personopplysninger med rettslig grunnlag i allmennhetens interesse hvis det er nødvendig for arkiv/forskning/statistikkformål og behandlingen er omfattet av “nødvendige garantier for å ivareta de registrertes rettigheter og friheter”. I tillegg må du ha lovlig tilgang til opplysningene, som for eksempel unntak fra taushetsplikt dersom opplysningene er taushetsbelagt.
Denne bestemmelsen brukes som supplerende rettsgrunnlag til personvernforordningen art. 6 nr. 1 e), for eksempel i forskningsprosjekter som behandler personopplysninger med grunnlag i allmennhetens interesse. Hvis prosjektet behandler særlige kategorier personopplysninger, må det i tillegg foreligge unntak fra forbudet i art. 9. Men også behandling av slike typer opplysninger må ha grunnlag i personvernforordningen art. 6, og når dette grunnlaget er art. 6 nr. 1 e), må man vise til personopplysningsloven § 8 i tillegg.
Når du bruker dette rettsgrunnlaget, må du dokumentere en begrunnelse for at prosjektets formål faller inn under begrepet “arkiv/forskning/statistikk” og er i allmennhetens interesse, og at behandlingen av de aktuelle personopplysningene er nødvendig for å oppnå prosjektformålet. Du må også dokumentere at prosjektet setter inn «nødvendige garantier».
Med nødvendige garantier menes særskilte tiltak som har til hensikt å verne om den registrertes rettigheter og friheter. Disse garantiene skal særlig sikre at prinsippet om dataminimering overholdes. Du må altså passe nøye på at prosjektet ikke behandler flere eller andre typer personopplysninger enn det som er helt nødvendig for å oppnå prosjektformålet.
For å finne hvilke nødvendige garantier prosjektet kan sette inn, vil en fremgangsmåte kunne være å vurdere den planlagte behandlingen opp mot de generelle reglene i personvernforordningen, for å se på om prinsippene og rettighetene kan ivaretas enda bedre. Her kan det f. eks vurderes om det er mulig med tydeligere formålsbegrensning, mer dataminimering, bedre sikring av opplysningene, begrenset varighet, eller å gi bedre informasjon om behandlingen og rettighetene til de registrerte. Ta gjerne kontakt med personvernressurser ved din institusjon for å få hjelp til å finne passende tiltak.
Personopplysningsloven § 9 – særlige kategorier personopplysninger er nødvendig for arkivformål, forskning og statistikk
Personopplysningsloven § 9 tillater å behandle særlige kategorier personopplysninger når det er nødvendig for arkiv/forskning/statistikkformål (personvernforordningen art. 9 nr. 2 j) hvis alle disse kriteriene er oppfylt:
- Behandlingen er nødvendig for arkiv/forskning/statistikkformål
- Samfunnsinteressen av behandlingen overstiger klart ulempene for den enkelte
- Prosjektet har rådført seg med personvernombud eller tilsvarende, og ombudet har vurdert at behandlingen vil oppfylle kravene i personvernlovgivningen.
Denne bestemmelsen brukes som supplerende rettsgrunnlag til personvernforordningen art. 9 nr. 2 j), blant annet i forskning på særlige kategorier personopplysninger der det ikke er behov for dispensasjon fra taushetsplikten etter helselovgivningen. I tillegg må du ha lovlig tilgang til opplysningene, som for eksempel unntak fra taushetsplikt dersom opplysningene er taushetsbelagt.
Når du bruker dette rettsgrunnlaget, må du - på samme måte som over - dokumentere en begrunnelse for at prosjektets formål faller inn under begrepet “arkiv/forskning/statistikk” og er i allmennhetens interesse. Du må også argumentere for at samfunnets interesse i at prosjektet gjennomføres klart overstiger ulempene for den enkelte som det behandles personopplysninger om. Videre må du begrunne at behandlingen av de aktuelle personopplysningene er nødvendig for å oppnå prosjektformålet.
Du må også sørge for – og dokumentere – at prosjektet setter inn «nødvendige garantier». Du kan da vise til nødvendige garantier som forklart over. Gode tiltak vil også være å følge de mer spesifikke reglene i helselovgivningen, herunder ivareta taushetsplikt, regler om samtykkekompetanse mv.
Personopplysningsloven § 11 – unntak fra forbudet mot å behandle personopplysninger om straffedommer og lovovertredelser
Personvernforordningen gir, som nevnt over, et generelt forbud mot at opplysninger om straffedommer og lovovertredelser behandles av andre enn offentlige myndigheter, med mindre nasjonal lov åpner for annen behandling. Personopplysningsloven § 11 tillater at institusjoner - både offentlige myndigheter og andre – kan behandle opplysninger om straffedommer og lovovertredelser til andre formål enn offentlig myndighetsutøvelse, på ett av følgende grunnlag:
- Uttrykkelig samtykke fra den registrerte
- Behandlingen gjelder personopplysninger som det er åpenbart at den registrerte selv har gjort offentlig kjent
- Behandlingen er nødvendig for arkiv/forskning/statistikk-formål. Vilkår er da at samfunnsinteressen av behandlingen klart overstiger klart ulempene for den enkelte, og at prosjektet har rådført seg med personvernombud eller tilsvarende som har vurdert at behandlingen vil oppfylle kravene i personvernlovgivningen.
Denne bestemmelsen brukes som supplerende rettsgrunnlag til personvernforordningen art. 10, i forskningsprosjekter som behandler personopplysninger om straffedommer og lovovertredelser, nærmere bestemt at en person er siktet, mistenkt, tiltalt eller dømt for en straffbar handling. Personopplysningsloven § 11 tillater bare at slike opplysninger behandles hvis ett av de tre punktene over gjør seg gjeldende.
Opplysningene kan da behandles på samme måte som særlige kategorier personopplysninger iht. de aktuelle unntakene i personvernforordningen art. 9 nr. 2. Når du bruker dette rettsgrunnlaget, må du derfor dokumentere en begrunnelse for at opplysningene om straffedommer og lovovertredelser behandles med grunnlag – enten i den registrertes uttrykkelige samtykke, eller at det gjelder personopplysninger som det er åpenbart at den registrerte selv har offentliggjort, eller at det er nødvendig for arkiv/forskning/statistikkformål og at vilkårene er oppfylt.
Helseregisterloven § 19b – vedtak fra Helsedataservice om tilgjengeliggjøring av helseopplysninger fra lovbestemte helseregistre
Helseregisterloven § 19 b) åpner for at helseopplysninger fra lovbestemte helseregistre på visse vilkår kan behandles, ved at de sammenstilles og tilgjengeliggjøres uten hinder av taushetsplikt. Dersom Helsedataservice har innvilget søknad om tilgjengeliggjøring av helseopplysninger fra et eller flere lovbestemte helseregistre, som f. eks Legemiddelregisteret eller Dødsårsaksregisteret, kan prosjektet som mottaker av disse opplysningene bruke vedtaket etter helseregisterloven § 19b som et supplerende rettsgrunnlag, dvs. behandlingsgrunnlag i prosjektet.
Vilkår for tilgjengeliggjøring er at de registrertes integritet og konfidensialitet er ivaretatt, og at behandlingen av personopplysninger er av vesentlig interesse for samfunnet.
I en søknad er det derfor viktig at du dokumenterer at lovens vilkår er oppfylt. I veilederens kapittel 14.2 er det inntatt tips til søknadsprosessen.
Helsepersonelloven § 29 og helseregisterloven § 19e – vedtak om dispensasjon fra taushetsplikten
Utgangspunktet er at det skal innhentes samtykke fra den registrerte når helseopplysninger skal behandles. I mange tilfeller er det imidlertid ikke mulig eller vanskelig å innhente samtykke, f. eks i prosjekter der det skal bruke store mengder registerdata, dersom de registrerte er avdøde eller prosjektet skal gjennomgå pasientjournaler for å finne aktuelle prosjektdeltakere. Derfor er det i helselovgivningen åpnet for at det kan fattes vedtak om dispensasjon fra taushetsplikten på nærmere vilkår.
- For opplysninger fra pasientjournal og andre behandlingsrettede helseregistre kan du søke om dispensasjon fra taushetsplikten etter helsepersonelloven § 29.
- For opplysninger fra helseregistre kan du søke om dispensasjon fra taushetsplikten etter helseregisterloven § 19e).
I veilederens kapittel 14.1 og 14.2 er det gitt en oversikt over hvilke instanser du skal sende søknader om dispensasjon til. I tillegg er det gitt tips til søknadsprosessen.
Hvis du får innvilget dispensasjon, vil dette vedtaket utgjøre både unntak fra taushetsplikten for virksomheten som skal utlevere opplysninger til prosjektet, og det rettslige behandlingsgrunnlaget for behandlingen av personopplysninger i prosjektet. Vær oppmerksom på at dispensasjonen kan inneholde vilkår som du må følge.
Pasientjournalloven § 6 og helsepersonelloven § 26 – intern kvalitetssikring
Pasientjournalloven § 6 og helsepersonelloven § 26 gir adgang til å behandle helseopplysninger til formålet intern kvalitetssikring.
Adgangen til å behandle personopplysninger etter disse bestemmelsene er avgrenset til å gi opplysninger til institusjonens ledelse “når dette er nødvendig for å kunne gi helsehjelp, for administrasjon, eller for internkontroll og kvalitetssikring av tjenesten”. Bestemmelsene kan med andre ord utelukkende brukes for å hjemle behandling av personopplysninger for formål om intern kvalitetssikring.
De gir ikke adgang til å gjøre oppslag i pasientjournal for andre formål som f.eks. forskningsprosjekter, verken helseforskning eller annen forskning. De gir heller ikke adgang til å behandle personopplysninger i kvalitetsprosjekter der dere samarbeider med eller bruker data fra eksterne institusjoner.
En viktig forutsetning for å bruke helsepersonelloven § 26 og pasientjournalloven § 6 som supplerende behandlingsgrunnlag er at din institusjon yter helsehjelp, og derfor har en lovpålagt plikt til å kvalitetssikre denne helsehjelpen.
En annen viktig forutsetning er at prosjektet kun behandler personopplysninger om pasienter som inngår i virksomhetens pasientjournalsystem, eventuelt fra institusjoner som din institusjon har et formalisert journalsamarbeid med.
En tredje forutsetning er at behandlingen av personopplysninger i prosjektet er forankret hos ledelsen ved din institusjon. For å sikre og dokumentere at disse vilkårene er oppfylt, anbefaler vi at prosjektet beskriver den planlagte behandlingen av personopplysninger og får godkjenning til dette fra ledelsen.
For interne kvalitetssikringsprosjekter som bruker dette behandlingsgrunnlaget, er det ikke nødvendig å innhente samtykke fra pasientene. Det er heller ikke nødvendig å informere dem om prosjektet, med mindre helsepersonellet som kjenner pasienten “har grunn til å tro at pasienten ville ha motsatt seg behandlingen av personopplysninger dersom vedkommende ble informert”.
Prosjektet må altså gjøre en konkret vurdering av om pasienten har rett på informasjon, om at personopplysninger behandles i kvalitetssikringsprosjektet. Dere bør dokumentere vurderingen. I enkelte tilfeller er det naturlig å informere og be om samtykke. Det vil særlig gjelde i prosjekter der pasientene selv skal bidra med tilleggsopplysninger som ikke samles inn for å yte helsehjelp, men kun innhentes for kvalitetssikringsformålet.
Samtykket vil da fungere som et tiltak for å ivareta de registrertes rettigheter og friheter, men trenger ikke utgjøre det rettslige grunnlaget for behandlingen av personopplysninger.
Forskrift om medisinske kvalitetsregistre
Forskrift om medisinske kvalitetsregistre åpner for at personopplysninger kan behandles når formålet er å etablere et register der man løpende dokumenterer resultater fra helsehjelp for en avgrenset pasientgruppe med utgangspunkt i individuelle behandlingsforløp.
Forskriften inneholder en rekke vilkår, og du må sikre og dokumentere at alle disse er oppfylt. Det er forskriften i sin helhet som gir det supplerende rettsgrunnlaget. Hovedregelen etter forskriften er at samtykke skal innhentes fra den registrerte.
Som et alternativ er det adgang til, på nærmere vilkår, at den registrerte kan reservere seg mot deltakelse fremfor å avgi samtykke. Den registrertes samtykke eller reservasjonsadgang fungerer da som et tiltak for å ivareta de registrertes rettigheter og friheter.
Siden forskriften er etablert med hjemmel i helseregisterloven, må du også forsikre deg om – og dokumentere – at behandlingen av personopplysninger er i samsvar med reglene i helseregisterloven.
Helseregisterloven gir blant annet regler om tilgjengeliggjøring av helseopplysninger, som prosjektet må følge hver gang personidentifiserbare opplysninger skal utleveres til ulike forsknings- og kvalitetssikringsprosjekter som ønsker å bruke data fra registeret.
Etablering av medisinske kvalitetsregistre innebærer som regel høy personvernrisiko fordi det skal behandles et stort omfang særlige kategorier personopplysninger om ulike pasientgrupper. Det vil dermed være krav om å foreta en grundig vurdering av personvernkonsekvenser (DPIA) før oppstart (se kapittel 13).
Hvis du planlegger etablering av et medisinsk kvalitetsregister, anbefaler vi derfor at du så tidlig som mulig i prosessen ber om bistand fra personvernressurser ved din institusjon. Du kan også søke veiledning hos Nasjonalt servicemiljø for medisinske kvalitetsregistre.
Forskrift om befolkningsbaserte helseundersøkelser
Forskrift om befolkningsbaserte helseundersøkelser åpner for at personopplysninger kan behandles når formålet er å samle inn helseopplysninger og evt. humant biologisk materiale i et register etter samtykke fra deltagerne, for å legge til rette for at helseopplysninger fra undersøkelsen kan benyttes til analyser og forskning som kan gi kunnskap om helsen i befolkningen eller en befolkningsgruppe.
Også denne forskriften inneholder en rekke vilkår. Når du bruker dette rettsgrunnlaget, må du sikre og dokumentere at alle disse vilkårene er oppfylt. Siden forskriften er etablert med hjemmel i helseregisterloven, må du i tillegg forsikre deg om – og dokumentere – at behandlingen av personopplysninger er i samsvar med reglene i helseregisterloven.
Som nevnt, gir helseregisterloven blant annet regler om tilgjengeliggjøring av helseopplysninger. Befolkningsbaserte helseundersøkelser må følge disse reglene hver gang personopplysninger skal tilgjengeliggjøres for ulike forsknings- og kvalitetssikringsprosjekter som ønsker å bruke data fra registeret.
Etablering av befolkningsbaserte helseundersøkelser innebærer som regel høy personvernrisiko fordi det skal behandles et stort omfang særlige kategorier personopplysninger, ofte om sårbare personer. Det vil dermed være krav om å foreta en grundig vurdering av personvernkonsekvenser (DPIA) før oppstart (se kapittel 13 under). Hvis du planlegger å etablere en befolkningsbasert helseundersøkelse, anbefaler vi derfor at du så tidlig som mulig i prosessen ber om bistand fra personvernressurser ved din institusjon.
Forskriften åpner også for at befolkningsbaserte helseundersøkelser som ble etablert før forskriften kom i 2018 kan videreføres på visse vilkår. Slike undersøkelser hadde tidligere konsesjon fra Datatilsynet og behandlingsgrunnlag i samtykke. Da personvernforordningen ble innført i 2018, ble kravene til samtykke skjerpet. Samtykke kunne dermed ikke lenger brukes som behandlingsgrunnlag i helseundersøkelsene. Forskriften ble etablert for å gi hjemmel til å videreføre behandlingen av personopplysninger i disse undersøkelsene, for å hindre at verdifulle data gikk tapt.
Hvis du er prosjektleder for en befolkningsbasert helseundersøkelse som ble etablert før 2018, anbefaler vi at du i samråd med din institusjon gjennomfører en personvernkonsekvensvurdering (se kapittel 13), der dere vurderer den pågående behandlingen av personopplysninger i undersøkelsen opp mot vilkårene i forskriften. Hvis det er vanskelig å følge vilkårene i forskriften, bør dere be om veiledning fra Datatilsynet.
REK-godkjenning etter helseforskningsloven gir ikke behandlingsgrunnlag
Medisinsk og helsefaglige forskningsprosjekter skal være forhåndsgodkjent av den regionale etiske komite for medisinsk og helsefaglig forskningsetikk. Vær oppmerksom på at denne forskningsetiske forhåndsgodkjenningen fra REK ikke gir rettslig grunnlag for å behandle personopplysninger. Dette er en vanlig misforståelse ved oppstart av nye helseforskningsprosjekter, og ved personvernvurderinger av pågående helseforskningsprosjekter.
I perioden 2010-2018 utgjorde REK-godkjenningen både nødvendig og tilstrekkelig grunnlag for å behandle personopplysninger i helseforskningsprosjekter. Ved innføringen av personvernforordningen i 2018 ble det avklart at REK-godkjenningen ikke videreføres som et behandlingsgrunnlag.
Helseforskningsprosjekter må derfor følge de generelle reglene for behandling av personopplysninger, og dokumentere behandlingsgrunnlag i personvernforordningen art. 6 og unntak fra forbudet i art. 9. Tilsvarende regler gjaldt før helseforskningsloven kom i 2010, etter den tidligere personopplysningsloven.
Det stilles fortsatt krav til forskningsetisk godkjenning fra REK i helseforskningsprosjekter, jf. helseforskningsloven § 9. Men godkjenningen har en annen funksjon. Den gir som nevnt ikke lenger et behandlingsgrunnlag, men utgjør et viktig tiltak (“nødvendig garanti”) for å ivareta de registrertes rettigheter og friheter i et prosjekt.
Når dette er sagt, er det i realiteten små endringer i reglene for hvordan man behandler personopplysninger i helseforskning etter at personvernforordningen ble innført.