Rutine for anonymisering og avidentifisering av data ved ...

Dokumentsystem:
ILPS kvalitetssystem
Dokumentansvarlig:
Peder Utne, Avdelingsdirektør
Dokument nr: ILPS V711
Versjon nr: 4.0
Veiledning
Anonymisering og avidentifisering av data ved utleveringer til forskning
Formål: Å gi veiledning til ansatte som har i oppgave å saksbehandle
søknader om utlevering av data og herunder vurdere hvorvidt
helseopplysninger er tilstrekkelig anonymisert før de utleveres til
forskning.
Målgruppe: Ansatte innen registerforvaltning, saksbehandlere, forskere og
systemeiere/databehandlingsansvarlige
Relevante skjema: Definisjoner og begreper innen registerforvalting (og medisinsk og
helsefaglig forskning) (FHI V713),
FHI R101 og R102 ”Retningslinjer for tilgang til data fra sentrale
helseregistre”
Relevante lover/bestemmelser:
• Lov om helseregistre og behandling av helseopplysninger (LOV 2001-05-18 nr 24)
– Dødsårsaksregisterforskriften
– Medisinsk fødselsregisterforskriften
– SYSVAK-registerforskriften
– MSIS- og Tuberkoluseregisterforskriften
– Reseptregisterforskriften
– Kreftregisterforskriften
• Lov om behandling av personopplysninger (LOV 2000-04-14 nr 31)
1. Innledning ............................................................................................................................2
2. Anonyme opplysninger .......................................................................................................2
3. Avidentifiserte opplysninger ..............................................................................................3
4. Dokumentasjon....................................................................................................................3
Godkjent dato/funksjon/brukerid
03.09.2010/avd.dir/PEUT

1. Innledning
Forskjellen på anonyme og avidentifiserte data er at det foreligger en koblingsnøkkel. Dette
følger av definisjoner i Helseregisterloven § 2, annet og tredje punkt. Når det finnes en
koblingsnøkkel betraktes datasettet som helseopplysninger fordi det fortsatt er teknisk mulig til
å identifisere individene. Anonyme data inneholder verken helseopplysninger eller
personopplysninger fordi muligheten til å identifisere individer er fjernet permanent ved
sletting av koblingsnøkkelen.
Hvorvidt helseopplysninger kan betraktes som identifiserbare, avidentifiserte eller anonyme er
avgjørende for hvilke regler som gjelder for utlevering av dataene. Se FHI R101 og R102
Kravene til anonymitet er de samme ved utlevering av anonyme og avidentifiserte datasett.
2. Anonyme opplysninger
Helseopplysninger defineres i utgangspunktet som anonyme når navn, personnummer og andre
direkte personidentifiserbare kjennetegn er fjernet. Når personidentifikasjon er fjernet kan
opplysningene i prinsipp ikke knyttes til en bestemt person og da er dataene heller ikke definert
som personopplysninger.
Som følge av dette er behandling av anonyme opplysninger ikke underlagt
personopplysningsloven eller helseregisterlovens bestemmelser fordi en utlevering av data som
er anonyme i lovens forstand ikke vil innebære noen form for inngripen i enkeltindividets
integritet. Derfor vil en utlevering av anonyme opplysninger heller ikke være i strid med den
databehandlingsansvarliges taushetsplikt.
I praksis vet man at et datasett uten direkte identifiserende kjennetegn ikke nødvendigvis er
anonymt i personopplysningslovens forstand. For å oppfylle kravet om anonymitet må man
derfor også fjerne andre kjennetegn som indirekte kan bidra til identifisering av enkeltindivider.
Man må foreta en konkret vurdering av det enkelte datasett og fjerne så mange variabler at
identifisering ikke er mulig.
Dersom mottaker av anonyme opplysninger har bakgrunnskunnskap som gjør at han eller hun
kan komme til å kjenne igjen enkeltindivider i datasettet, er dette ikke avgjørende for om filen
kan betraktes som anonym. Ved utlevering av forskningsfiler må det vurderes om en slik
mulighet for tilfeldig for identifisering gjelder hele eller vesentlige deler av et datasett eller om
dette kun er dreier seg om enkeltindivider som allerede er kjent for mottakeren.
Vurderingen av hvorvidt et datasett er tilstrekkelig anonymisert må også ses i sammenheng
med hvilke data som etterspørres. Dersom en fil ikke inneholder direkte identifikasjon, men
inneholder andre variabler som indirekte vil kunne gi mottakeren så mye informasjon om
individet at personidentifikasjon likevel er mulig, kan ikke filen betraktes som tilstrekkelig
anonymisert. Dette betyr ikke at man automatisk kan si at et stort antall variabler utelukker
anonymitet. Når en fil skal kobles mot andre datasett er det viktig at man vurderer den totale
mengden av variabler.
Dersom utvalget er hentet fra et lite geografisk område eller for eksempel er en gruppe
pasienter med en spesiell diagnose, vil dette ha stor betydning for vurderingen av hvor mye
tilleggsinformasjon som skal til for si at en sikker identifikasjon av individer kan skje.
Vurderingen vil bli en annen dersom utvalget for eksempel er hele landets befolkning.
Dersom datasettet er slik at man som følge av en tilfeldig gjenkjenning av ett individ med enkle
midler og uten spesielle forutsetninger kan identifisere alle individene taler det for at dataene
ikke er tilstrekkelig anonymisert.
Side 2 av 3

3. Avidentifiserte opplysninger
Avidentifiserte opplysninger skal fremstå som anonyme for mottaker, men kjennetegnes som
regel ved at personentydige kjennetegn er erstattet med et løpenummer som er knyttet til en
koblingsnøkkel. Ved hjelp av koblingsnøkkelen kan opplysningene tilbakeføres til
personidentifiserende kjennetegn som er fjernet. Ved utlevering av avidentifiserte
helseopplysninger skal koblingsnøkkelen beholdes av den instans som foretar
avidentifiseringen eller hos en betrodd tredjepart. Dersom mottaker av avidentifiserte
opplysninger også har tilgang til koblingsnøkkelen er opplysningene i praksis identifiserbare.
Dersom koblingsnøkkelen slettes blir avidentifiserte opplysninger betraktet som anonyme.
Dersom avidentifiserte forskningsfiler skal inneholde løpenummer som erstatning for
personidentifikasjon skal man så langt det er mulig sørge for prosjektspesifikke løpenummer.
Prosjektspesifikke løpenummer forhindrer at mottaker kan sammenstille flere datasett med
hverandre og ende opp med en fil som inneholder så mange variabler at anonymiteten ikke
lenger er reell.
Prosjektspesifikke løpenummer sikrer også den databehandlingsansvarliges mulighet til å
anonymisere utleverte data ved prosjektslutt ved at koblingsnøkkelen slettes.
4. Dokumentasjon
Registeransvarlig skal utarbeide egne rutiner for hvordan man for det konkrete register
kvalitetssikrer at utlevering av helseopplysninger skjer i samsvar med de tillatelser som er gitt
og innenfor gjeldende regelverk og formål med registeret.
Ved hver utlevering av forskningsfiler skal saksbehandler foreta en konkret vurdering og
dokumentere at interne retningslinjer er fulgt med tanke på kvalitetssikring.
Resultatet av anonymitetsvurderingen vil være avhengig av saksbehandlerens skjønn. Det vil
alltid være den som kjenner det enkelte register godt som er best egnet til å foreta den konkrete
vurdering.
Side 3 av 3