1 Eksempel på praktisk opplegg for flertallets modell

Flertallet ønsker å skissere èn måte å organisere den foreslåtte modellen. Dette må sees som et eksempel og det forutsettes at den endelige praktiske utformingen diskuteres i detalj med Datatilsynet og alle andre impliserte parter.

Eksempelet baserer seg på at data blir overført fra Statistisk sentralbyrå til NSD enten i avidentifisert form eller med pseudonym 1. Avidentifisert betyr at man har fjernet navn, det 11-sifrete fødselsnummeret eller annen entydig identifikasjon men beholder all annen informasjon, slik at det gjennom denne informasjonen indirekte er mulig å identifisere enkeltindivider.

Begrepene pseudonyme data og personentydige krypterte data betyr i praksis at personidentifikasjon, som oftest det 11-sifrete fødselsnummeret, er endret i henhold til en bestemt nøkkel. Nøkkelen oppbevares atskilt fra registeret for å sikre at uvedkommende ikke skal kunne identifisere enkeltpersoner. Et register som er basert på personentydige krypterte data er å regne som et identifiserbart personregister. Det er imidlertid sikrere enn om identifikasjon kan gjøres direkte. Dette har blant annet ført til at Datatilsynet har funnet å kunne godkjenne etableringen av en del registre hvor man var avhengig av å ha personentydig informasjon, men hvor lagring av 11-sifret fødselsnummer neppe ville blitt tillatt.

I modellen er prinsippene om personentydige krypterte/avidentifiserte data bærende elementer. Dette innebærer at Statistisk sentralbyrå 1) mottar persondata fra helseregistrene, 2) avidentifiserer eller krypterer fødselsnummer til et pseudonym, 3) foretar eventuelle koblinger og 4) overfører dataene til NSD. Bruk av kryptert fødselsnummer har vært gjennomført med stort utbytte for KIRUT-databasen 2. Prinsippet gir en stor grad av fleksibilitet med hensyn til kobling og tilrettelegging av analyseklare filer for brukerne, samtidig som hensynet til personvernet blir vel ivaretatt. Også tilgang til avidentifisert materiale gir for den som skal tilrettelegge dataene en større fleksibilitet enn hva tilfelle er med anonymiserte 3 data.

Modellen legger ikke opp til at kobling av data fra helseregistrene skal gjøres rutinemessig uten at det foreligger konkrete behov. Forutsetningen for at kobling skal finne sted er at koblingen etterspørres. Når kobling har funnet sted er det imidlertid viktig at de koblede dataene arkiveres for framtidige spesifiserte prosjekter, for å hindre unødig bruk av ressurser. Flertallet ser det som unødvendig bruk av ressurser dersom de samme koblingene må utføres gjentatte ganger. For at kobling av data skal kunne utføres raskt og effektivt er det imidlertid viktig at det i Statistisk sentralbyrå settes av ressurser til å opprettholde en koblingsberedskap.

Dette betyr konkret at Statistisk sentralbyrå i slike tilfeller overfører avidentifiserte data til NSD som tilrettelegger disse for brukeren. NSD oppbevarer dataene med pseudonym eller i avidentifisert form. Tilrettelegging kan også innebære kobling av data fra andre datakilder.

Hovedprinsippet i modellen er at helseregistrene rutinemessig, i alle fall én gang i året, skal levere et på forhånd definert datasett til Statistisk sentralbyrå, som så følger de prosedyrer som er skissert ovenfor. Modellen forutsetter imidlertid også at ad-hoc overføringer av data inngår som en naturlig del av systemet, og at slike overføringer følger de samme prosedyrene som den rutiniserte delen av modellen.

Det legges imidlertid ikke opp til at all utlevering av data skal gå gjennom de kanaler som er beskrevet. Det legges derfor opp til at registrene fortsatt skal kunne betjene brukere med data fra egne registre og at Statistisk sentralbyrå skal kunne betjene forvaltningen og videre forskningen i spesielle tilfeller.