De tre hovedtypene personopplysninger

Direkte identifiserbare opplysninger er opplysninger som har navn eller fødselsnummer knyttet til seg; avidentifiserte opplysninger er opplysninger der identifikasjon skjer indirekte ved et løpenummer eller en annen opplysning som peker tilbake til en identifikasjon.

Indirekte identifiserende opplysninger er opplysninger som gjennom en kombinasjon av de beskrivende opplysningene i datasettet, likevel gjør at ellers avidentifiserte eller anonyme opplysninger kan identifiseres. Indirekte identifikasjon kan skje tilfeldig eller systematisk. Hvis datasettet gjør det mulig systematisk å re-identifisere alle eller vesentlige deler av opplysningene, skal opplysningene av sikkerhetshensyn behandles som direkte person­opplysninger.

Avidentifiserte opplysninger skal tilsvare anonyme opplysninger, bortsett fra at datasettet kan inne­holde en nøkkel som peker tilbake til en personidentifikator. For den som ikke har tilgang til nøkkel­registeret, er opplysningene anonyme. Fordi de teknisk sett kan re-identifiseres, regnes de som avidentifiserte.

Til tross for denne tredelingen: Strengt tatt er anonyme opplysninger ikke egentlig personopplysninger fordi de ikke skal kunne føres tilbake til enkeltpersoner.

Metodiske komplikasjoner

Ved avidentifisering fjernes direkte identifiserbare opplysninger (navn, fødselsnummer), og så mange tilleggsopplysninger at datasettet ikke er re-identifiserbart. Vær oppmerksom på ”små tall”: En kombinasjon av opplysninger kan gjøre at dataene peker tilbake til et så lite antall personer at de i praksis fremstår som identifiserbare. Eksempelvis vil ”skole+klasse+kjønn” kunne gi et tilstrekkelig lavt tall. Da må parametrene endres slik at tallet blir større. Vanligvis skal en slik gruppe ikke være på mindre enn fem personer.

Anonyme opplysninger kan inneholde så mange opplysninger at de likevel indirekte kan identifiseres. For eksempel kan mors, fars og barnets fødselsdato til sammen være tilstrekkelig til å identifisere familien hvis du har tilgang til enten Det sentrale folkeregisteret eller det det sentrale Medisinsk fødselsregister. Grunnen til dette er at kombinasjonen av disse fødselsdatoene etter all sannsynlighet vil være unik for denne familien.

Videre juridiske aspekter

Anonyme opplysninger omfattes ikke av lover som gjelder personopplysninger. Fordi prosessen frem til anonyme opplysninger ofte krever personidentifiserbare opplysninger, kan prosessen som sådan omfattes av reglene, f.eks. om godkjenning, dispensasjon fra taushetsplikt mv., selv om resultatet ikke gjør det. Skal du opprette et anonymt forskningsregister, må du derfor vurdere om det inngår person­opp­lysninger i noen del av prosessen.

Hvis summen av ellers anonyme opplysninger likevel gjør personen indirekte identifiserbar, så er opplysningene rettslig sett å betrakte som avidentifiserte.

Hvis du skal forske på personidentifiserbare eller avidentifiserte/pseudonyme opplysninger, må du ha godkjenning fra REK. Hvis du skal forske på anonyme opplysninger, er tillatelse fra REK ikke nødvendig, med mindre du trenger personidentifiserbare opplysninger i prosessen frem mot et anonymt register.

Forskning bør skje på datasett som enten er anonyme eller avidentifiserte. Hvis du forsker på identifiserbare eller avidentifiserte personopplysninger, må du iversette tiltak for å beskytte dataene (jf Helsedirektoratet 2008).

Sensitive opplysninger

Personopplysninger kan være sensitive i flere sammenhenger det opplysningene er ”beskyttelsesverdige”. Vanligvis snakker vi om sensitivitet i forbindelse med den skade eller ulempe som kan oppstå for den opplysningene angår - som en variant av konfidensialitet: Opplysningene skal beskyttes fordi det er potensielt til skade dersom uvedkommende får kjennskap til dem. (Se også Personvern og Taushetsplikt.)

Det er de beskrivende opplysningene som eventuelt gjør opplysningene ”sensitive”, se person­opplysnings­loven § 2 nr. 8.

At opplysningene er sensitive, betyr at det oppstår visse behandlingsregler for opplysningene i seg selv:

  • det gjelder taushetsplikt om opplysningene;
  • lagringsmediet skal beskyttes (informasjonssikkerhet); og
  • behandlingen skal vanligvis forhåndsgodkjennes av en REK eller Datatilsynet/Personvernombudet for forskning.