Go to content Gå til søk

Personvern

Av Nils Jørgen Langtvedt

Publisert: 04. April 2009. Sist oppdatert: 22. June 2009.

Illustrasjonsfoto av vinduskarm. Foto: Hallvard J. Fossheim

Opplysninger om personer som deltar i forskningsprosjekter skal behandles ”forsvarlig”, dvs. at opplysningene skal håndteres i samsvar med lover og regler, evt. også i samsvar med løfter som er gitt til den opplysningene gjelder.

Opplysningenes art

Behovet for personvern henger ofte sammen med hvor sensitive opplysningene er. Siden vi er ulike, er det fastsatt i personopplysningsloven (som bl.a. tar utgangspunkt i EUs personverndirektiv), hva som skal regnes som ”sensitive personopplysninger”. Dette er

  • opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning;
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling;
  • helseforhold;
  • seksuelle forhold; og
  • medlemskap i fagforeninger.

Slike opplysninger skal behandles på en måte som gjør at det ikke oppstår skade eller ulempe for noens personlige integritet, rettigheter, helse, omdømme eller økonomi. (Se Personopplysninger.)

Grunnleggende prinsipper

”Personvern” kan sies å utgjøre et samleuttrykk for det behovet vi har for at opplysninger om oss blir beskyttet.

Opplysninger om oss brukes i mange ulike sammenhenger; som oftest til ulike former for administrasjon, styring og planlegging, men også til forskning. (Se Taushetsplikt.) Det er grunnleggende personvernprinsipper at

  • opplysningene skal brukes til det bestemte formålet de er innsamlet til og bare til dette;
  • at innholdet skal stå i forhold til formålet; og
  • at uvedkommende ikke skal ha tilgang til opplysningene.

I tillegg regner vi de grunnleggende, individuelle personverninteressene, som er

  • retten til innsyn i opplysninger som beskriver oss
  • retten til å få uriktige opplysninger rettet og slettet, og
  • retten til at opplysningene brukes på en fair og forsvarlig måte.

Personopplysninger og samtykke

Hvem som kan ha tilgang til opplysningene, skal bestemmes av deg ved samtykke, eller av en lovgiver, som gjennom en demokratisk lovgivningsprosess bestemmer at opplysninger skal kunne brukes til formål som samfunnet aksepterer.

Uten krav til samtykke blir alle registrert i hendelsesregistre som Medisinsk fødselsregister og Dødsårsaksregisteret, eller i sykdomsregistre som Kreftregisteret og Hjerte-/karregisteret. Dette er pålagt ved lov. Disse opplysningene kan også brukes til forskning på visse vilkår.

Hvis du blir bedt om å delta i forskninsprosjekter, skal du bes om å samtykke til dette. Samtykket skal være ”frivillig, informert og uttrykkelig”, som er grunnkravene til et gyldig samtykke. Dvs. at det skal ikke utøves noe påtrykk på deg for å få deg til å delta i noe du ikke er sikker på om du vil, du skal ha tilstrekkelig kunnskap til å kunne bestemme deg på en forsvarlig måte, og samtykket skal kunne dokumenteres.

Lovgiver stiller krav til behandling av sensitive personopplysninger: Det gjelder taushetsplikt for dem; det kreves tillatelse fra en en regional forskningsetisk komité (REK) eller (konsesjon) fra Datatilsynet for å kunne behandle dem, jf. helseforskningsloven og personopplysningsloven.

Informasjonssikkerhet (datasikkerhet)

Som en konsekvens av kravene til personvern, stilles det også krav til ulike tiltak for å sikre opplysningene (informasjonssikkerhet).

Informasjonssikkerhet (feilaktig også kalt datasikkerhet), er ulike tiltak som iverksettes for å beskytte personopplysninger. Tradisjonelt inndeles tiltakene i organisatoriske og tekniske tiltak.

Organisatoriske tiltak er slike som pålegg om taushetsplikt, autorisering, nøkkeladministrasjon, kvalitetssikrings- og internkontrollrutiner mv.

Tekniske tiltak er tiltak i maskin- og programvare som iverksettes for å sikre at de oganisatoriske tiltakene blir gjennomført, dvs. autentisering (maskinen kontrollerer at du er den du gir deg ut for å være) for å sikre autorisasjon og nøkkeladministrasjon, logging av bruk av datamaskiner, passord og brannmur for å hindre uvedkommende i å få tilgang til opplysninger mv.

Slike tiltak skal være forholdsmessige, dvs. at de skal være tilpasset mediet opplysningene er lagret på, og stå i forhold til de opplysningene som systemet inneholder.

Helsedirektoratet har utarbeidet en veiledning i informasjonssikkerhet i forskningsprosjekter, som gjelder for alle prosjekter som behandler personopplysninger. Gjennom vedtak i de regionale forskningsetiske komiteene (REK), gjøres tiltakene i veiledningen obligatoriske for forskere som får sitt prosjekt godkjent av en REK. (Tilgjengelig på nett (www.shdir.no) fra 1. juli 2009.)

Litteratur

Referanser

Helsedirektoratet (2006): Norm for informasjonssikkerhet i helsesektoren. PDF-dokument tilgjengelig på http://www.helsedirektoratet.no/vp/multimedia/archive/00011/Norm_for_informasjon_11346a.pdf

Helsedirektoratet (2009): Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren

Sitér denne siden slik:

Langtvedt, Nils Jørgen: "Personvern" (Sist oppdatert: 22. June 2009). De nasjonale forskningsetiske komiteer. [Online]. Tilgjengelig på http://www.etikkom.no/en/FBIB/Temaer/Personvern-og-ansvar-for-den-enkelte/Personvern/. [Lastet 22.May 2013].

Relaterte ressurser

Fra fagbladet Forskningsetikk

  • portrett av kvinne

    Helseregistrene skal moderniseres

    (Artikkel i 2012-4)

    Norges helseregistre er gode, men ikke gode nok. Hvor går veien videre? Og hvordan ivareta aktørene best mulig og samtidig legge til rette for forskning?

  • Illustrasjonsfoto: passer

    Slikt kan da ikke foregå i et demokrati som Norge?

    (Historie i 2005-3)

    I 1964 ble det gitt klarsignal fra skolestyret i Oslo til å utlevere personopplysninger om skolenes gutter til et sosiologisk forskningsprosjekt. Undersøkelsen, kalt prosjekt Metropolitt, møtte sterk kritikk.