2 Hensynet til personvern, taushetsplikt og andre interesser
2.1 INNLEDNING
En registrering og samling av personlige opplysninger vil alltid medføre en viss fare for misbruk og krenkelse av den personlige integritet, for eksempel ved at følsomme opplysninger kommer på avveie eller at personlige opplysninger blir misbrukt. Det vil derfor alltid være en avveining mellom den potensielle fare for krenkelse av den enkeltes personlige integritet og nytten av den registrering som gjennomføres.
Det er klart at den enkelte ikke bare har interesse i konfidensialitet, men for eksempel også i at helsekøene blir kortere, at sykdomsbekjempelsen blir bedre og i at skattepengene brukes mest mulig rasjonelt. Dette er eksempler på områder som krever at myndighetene får tilgang på adekvat, korrekt informasjon til rett tid og at forskningsmiljøene får best mulig tilgang til data av best mulig kvalitet. Behovet for informasjon og data kan kun tilfredsstilles gjennom etablering og bruk av opplysninger om enkeltindivider.
For å imøtekomme den enkeltes interesse i å verne om sin personlige sfære er det imidlertid etablert en rekke ordninger og teknikker som reduserer faren for misbruk og ukontrollert spredning av informasjon.
Det mest nærliggende tiltaket er etableringer av fysiske og elektroniske sperrer (passord) mot tap av data og innsyn i registeret. I denne forbindelse vil vi imidlertid legge vekt på andre teknikker som er utviklet for å bedre sikkerheten mot identifisering og misbruk av personlige opplysninger.
2.2 PERSONIDENTIFISERING
Data om individer kan i større eller mindre grad spores tilbake til bestemte enkeltpersoner. I spørsmål omkring personvern og taushetsplikt er det nyttig å klassifisere registrene etter hvor lett slik identifisering er. I tabell 1.1 har vi foretatt en tre-deling.
| Type individdata | Anonymisert | Avidentifisert/kryptert | Identifiserbar |
| Identifisering | Umulig å identifisere enkeltindivider | Delvis mulig å identifisere enkeltindivide | Fullt mulig å identifisere enkeltindivider |
| Tilgjengelighet | Lett tilgjengelig | Tilgjengelig på vilkår | Vanskelig tilgjengelig |
Anonymisert som betyr at det ikke er mulig å spore opplysninger i registeret til bestemte enkeltpersoner. Ikke bare mangler direkte personidentifikasjon som for eksempel navn eller fødselsnummer, men også opplysninger som indirekte kan identifisere enkeltindivider. For at et register skal være anonymisert kan det for eksempel være nødvendig å utelate eller fjerne informasjon om de registrertes yrke eller bosted – eller begge deler. Vanligvis vil det ikke være noen utleveringsrestriksjoner knyttet til personvern og taushetsplikt for denne typen data.
Avidentifisert menes at den direkte personidentifikasjonen er fjernet. Det er likevel mulig å identifisere enkeltpersoner fordi andre variabler, gjerne i kombinasjon, er så «finmasket» at identifikasjon er mulig.
Identifiserbar betyr at registeret inneholder opplysninger som entydig og direkte knytter informasjon til bestemte personer. Dette kan være navn eller fødselsnummer. Utlevering av data innenfor disse formene krever normalt særskilte tiltak, enten i form av melding eller søknad til Datatilsynet og/eller dispensasjon eller fritak fra taushetsplikt.
Både avidentifiserte og identifiserbare registre går under betegnelse personregistre. Det betyr blant annet at de er underlagt bestemmelsene i personregisterloven og Datatilsynets myndighet.
I den senere tid har det blitt stadig mer vanlig å operere med begrepene pseudonyme data og personentydige krypterte data. Begge begrepene betyr i praksis at personidentifikasjonen, som oftest det 11-sifrete fødselsnummeret, er endret i henhold til en bestemt nøkkel. Nøkkelen oppbevares atskilt fra registeret for å sikre at uvedkommende ikke skal kunne identifisere enkeltpersoner. Dersom man ønsker en ytterligere sikring kan nøkkelen oppbevares hos en annen institusjon enn den som fører registeret. I så tilfelle oppnår man den tilleggseffekten at registerfører ikke kan koble til data fra andre registre uten assistanse fra den institusjonen som oppbevarer nøkkelen.
Et register som er basert på personentydige krypterte data er å regne som et identifiserbart personregister. Det er imidlertid sikrere enn om identifikasjonen kan gjøres direkte. Dette har blant annet ført til at Datatilsynet har funnet å kunne godkjenne etableringen av en del registre hvor man var avhengig av å ha personentydig informasjon, men hvor registrering av 11-sifret fødselsnummer neppe ville blitt tillatt.
2.3 RETTSREGLER
Når man skal etablere eller opprettholde et helseregister er det to forhold som må avklares:
Er det adgang til å innhente taushetsbelagte opplysninger til registeret?
Er det adgang til å opprette et register med disse opplysningene?
Svaret på det første spørsmålet beror på taushetspliktreglene. I den grad det er anledning eller plikt til å utlevere helseopplysninger, oppstår spørsmålet om man også kan gjøre opplysningene til gjenstand for permanent registrering. Svaret på dette avhenger av personregisterloven og forvaltningsmessige og personvernrettslige prinsipper. En del registre får informasjon som følge av hjemlet meldeplikt av visse medisinske opplysninger. Et slikt hjemmelsgrunnlag er ikke ensbetydende med at et helseregister uten videre kan opprettes.
Nedenfor har vi gjort rede for de mest sentrale lovbestemmelsene.
Lov om personregistre
Lov om personregistre m.m. trådte i kraft 1. januar 1980. Den inneholder blant annet bestemmelser som har betydning for forskeres bruk av persondata. Det er særlig bestemmelsene i lovens § 9 og bestemmelsene om konsesjonsfritak i forskriftene § 2-17 som får betydning for bruk av persondata.
I følge loven er et register et personregister når:
det inneholder opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser.
opplysninger og vurderinger er lagret systematisk, slik at opplysningene om den enkelte kan finnes igjen.
Registre med anonyme opplysninger faller utenfor lovens definisjon. Registrene må være ordnet slik at det hverken direkte eller indirekte kan søkes identifiserbare enkeltpersoner. Som man ser korrespondere dette fullt ut med tabellen ovenfor.
§ 9 Plikt til å søke samtykke til å opprette personregister
Kapittel 4 §9 i personregisterloven inneholder bestemmelser om plikt til å søke Datatilsynet om samtykke til å opprette personregistre. Her står det blant annet:
Det kreves samtykke fra Kongen (konsesjon) for å opprette personregistre som skal gjøre bruk av elektroniske hjelpemidler. Slikt samtykke kreves også for å opprette andre personregistre dersom de skal inneholde
opplysninger om rase, eller politisk eller religiøs oppfatning
opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold
opplysninger om helseforhold eller misbruk av rusmidler
opplysninger om seksuelle forhold, eller
andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde ...
Konsesjonsfritak
De nye forskriftene i personregisterloven kapittel 2, §2-17 fritar enkelte forskningsregistre fra konsesjonsplikt. I §2-17 Forskningsregistre står det:
Registre som opprettes i forbindelse med et forskningsprosjekt unntas fra konsesjonsplikten etter personregisterloen § 9 første ledd, så framt;
prosjektet baserer seg på frivillig deltakelse fra de registrerte, og
førstegangskontakt opprettes gjennom faglig ansvarlig person ved den institusjon respondenten er registrert, og
respondenten har gitt skriftlig samtykke til alle deler av undersøkelsen, og
det innsamlede materialet anonymiseres eller slettes ved prosjektavslutning, og
prosjektet har en fastsatt prosjektavslutning innen 5 år fra prosjektstart.
Registeret kan bare brukes i samsvar med prosjektets formål og den registrertes samtykke. Dersom prosjektet innebærer kobling av registre kreves særskilt tillatelse fra Datatilsynet for dette.
Oppsummering
Det betyr at skal det opprettes et personregister ved hjelp av elektroniske hjelpemidler, må det søkes konsesjon. Det samme gjelder for manuelle registre dersom dette skal inneholde sensitive opplysninger. Under visse gitte betingelser er imidlertid konsesjonsplikten erstattet med en meldeplikt til Datatilsynet.
Regler om taushetsplikt
I forhold til forskning er det særlig to lover som regulerer taushetsplikten. Den ene er legeloven og den andre er forvaltningsloven.
Legeloven
I legelovens §31heter det at en lege skal iaktta taushet og hindre at andre får kjennskap til opplysninger om folks legems- og sykdomsforhold eller andre personlige forhold som han får kunnskap om under sin legevirksomhet.
Dette gjelder ikke når det i lov er fastsatt at legen ikke skal ha taushetsplikt, eller når det av andre særlige grunner må anses rettmessig å meddele opplysninger som er underlagt taushetsplikt. I forhold til den som fra før er kjent med opplysningene gjelder ikke taushetsplikt.
Taushetsplikt faller bort i den utstrekning den som har krav på taushet, eller som opplysningene angår, samtykker i at de gis til andre. Er vedkommende under 16 år, skal samtykke derimot gis av foreldre eller foresatte. Er vedkommende mellom 12 og 16 år, skal hans mening høres.
Om forholdet mellom taushetsplikt og forskning sier legeloven i §36 at Taushetsplikt er ikke til hinder for at en lege kan meddele ellers taushetsbelagte opplysninger om legems- eller sykdomsforhold når individualiserende kjennetegn er utelatt eller endret slik at vedkommende er vernet mot å bli kjent.Helsetilsynet, etter fullmakt fra Sosial- og helsedepartementet, kan bestemme at opplysninger kan eller skal gis til bruk for medisinsk forskning, og at det kan skje uten hinder av taushetsplikt. Til slikt vedtak kan knyttes vilkår. Den som mottar opplysningene, har samme taushetsplikt som leger og samme straffansvar etter denne lov. Sosial- og helsedepartementet kan imidlertid gi nærmere forskrifter om bruk av taushetsbelagte opplysninger i forskning.
Forvaltningsloven
Ikke sjelden er det nødvendig å innhente taushetsbelagte opplysninger fra registre i forvaltningsorganer til forskningsformål. Det være seg fra trygdekontor, helseregister eller andre organer som fører slike registre. Et forvaltningsorgan har heller ikke anledning til å utlevere navn på de det gjelder.
Normalt skal man i slike tilfeller innhente samtykke fra den enkelte, men ofte er ikke dette mulig eller ønskelig. Utvalget kan for eksempel være så stort at det vil medføre urimelige økonomiske kostnader å kontakte hver enkelt. Man kan også tenke seg situasjoner hvor det ikke er ønskelig, ut fra etiske eller menneskelige hensyn, å kontakte den enkelte før opplysninger tas ut. Dette vil i særlig grad gjelde for personer som av en eller annen grunn ikke er i stand til å vurdere hva de eventuelt sier ja eller nei til.
I slike tilfeller kan man søke dispensasjon fra taushetsplikten i henhold til Forvaltningslovens §13d hvor det blant annet heter:
«Når det finnes rimelig og ikke medfører uforholdsmessig ulempe for andre interesser, kan Departementet bestemme at et forvaltningsorgan kan eller skal gi opplysninger til bruk for forskning, og at dette skal skje uten hinder av organets taushetsplikt etter §13.»
Dette betyr i praksis at dersom en forsker ønsker tilgang til taushetsbelagte opplysninger fra et offentlig forvaltningsorgan om en person og denne personen av en eller annen grunn ikke er bedt om å samtykke til dette, kan vedkommende fagdepartement avgjøre at slik utlevering skal finne sted.
For helseregistre er denne myndigheten lagt til Sosial- og helsedepartementet, som imidlertid har delegert denne kompetansen til Statens helsetilsyn. Avgjørelsen tas etter konkret vurdering av søknad fra den enkelte forsker.
Søknad om dispensasjon behandles uavhengig av konsesjonssøknad. Selv om dispensasjon gis kan Datatilsynet likevel, på fritt grunnlag, nekte konsesjon til å opprette et register med de aktuelle opplysningene.
Det er viktig å understreke at utlevering fra helseregistre er regulert av forvaltningsloven og ikke legeloven.
Regler om meldeplikt
Legeloven har regler om plikt til å melde fra om ulike sykdommer, fødsel og død. I følge NOU 1993:22 «Pseudonyme helseregistre» følger det ikke direkte at taushetsplikten skal vike i forhold til meldeplikten, men at det er en klar forutsetning. Når det ikke følger direkte av ordlyden må en nærmere tolkning av bestemmelsene avgjøre om meldingen skal skje i personidentifiserbar form og om taushetsplikten skal vike. I tvilstilfelle vil taushetsplikten gå foran meldeplikten når annet ikke er klart tilsiktet (Ot. Prp. Nr. 1 1979-80 s. 149).