Opplysningenes art

Behovet for personvern henger ofte sammen med hvor sensitive opplysningene er. Siden vi er ulike, er det fastsatt i personopplysningsloven (som bl.a. tar utgangspunkt i EUs personverndirektiv), hva som skal regnes som ”sensitive personopplysninger”. Dette er

  • opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning;
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling;
  • helseforhold;
  • seksuelle forhold; og
  • medlemskap i fagforeninger.

Slike opplysninger skal behandles på en måte som gjør at det ikke oppstår skade eller ulempe for noens personlige integritet, rettigheter, helse, omdømme eller økonomi. (Se Personopplysninger.)

Grunnleggende prinsipper

”Personvern” kan sies å utgjøre et samleuttrykk for det behovet vi har for at opplysninger om oss blir beskyttet.

Opplysninger om oss brukes i mange ulike sammenhenger; som oftest til ulike former for administrasjon, styring og planlegging, men også til forskning. (Se Taushetsplikt.) Det er grunnleggende personvernprinsipper at

  • opplysningene skal brukes til det bestemte formålet de er innsamlet til og bare til dette;
  • at innholdet skal stå i forhold til formålet; og
  • at uvedkommende ikke skal ha tilgang til opplysningene.

I tillegg regner vi de grunnleggende, individuelle personverninteressene, som er

  • retten til innsyn i opplysninger som beskriver oss
  • retten til å få uriktige opplysninger rettet og slettet, og
  • retten til at opplysningene brukes på en fair og forsvarlig måte.

Personopplysninger og samtykke

Hvem som kan ha tilgang til opplysningene, skal bestemmes av deg ved samtykke, eller av en lovgiver, som gjennom en demokratisk lovgivningsprosess bestemmer at opplysninger skal kunne brukes til formål som samfunnet aksepterer.

Uten krav til samtykke blir alle registrert i hendelsesregistre som Medisinsk fødselsregister og Dødsårsaksregisteret, eller i sykdomsregistre som Kreftregisteret og Hjerte-/karregisteret. Dette er pålagt ved lov. Disse opplysningene kan også brukes til forskning på visse vilkår.

Hvis du blir bedt om å delta i forskninsprosjekter, skal du bes om å samtykke til dette. Samtykket skal være ”frivillig, informert og uttrykkelig”, som er grunnkravene til et gyldig samtykke. Dvs. at det skal ikke utøves noe påtrykk på deg for å få deg til å delta i noe du ikke er sikker på om du vil, du skal ha tilstrekkelig kunnskap til å kunne bestemme deg på en forsvarlig måte, og samtykket skal kunne dokumenteres.

Lovgiver stiller krav til behandling av sensitive personopplysninger: Det gjelder taushetsplikt for dem; det kreves tillatelse fra en en regional forskningsetisk komité (REK) eller (konsesjon) fra Datatilsynet for å kunne behandle dem, jf. helseforskningsloven og personopplysningsloven.

Informasjonssikkerhet (datasikkerhet)

Som en konsekvens av kravene til personvern, stilles det også krav til ulike tiltak for å sikre opplysningene (informasjonssikkerhet).

Informasjonssikkerhet (feilaktig også kalt datasikkerhet), er ulike tiltak som iverksettes for å beskytte personopplysninger. Tradisjonelt inndeles tiltakene i organisatoriske og tekniske tiltak.

Organisatoriske tiltak er slike som pålegg om taushetsplikt, autorisering, nøkkeladministrasjon, kvalitetssikrings- og internkontrollrutiner mv.

Tekniske tiltak er tiltak i maskin- og programvare som iverksettes for å sikre at de oganisatoriske tiltakene blir gjennomført, dvs. autentisering (maskinen kontrollerer at du er den du gir deg ut for å være) for å sikre autorisasjon og nøkkeladministrasjon, logging av bruk av datamaskiner, passord og brannmur for å hindre uvedkommende i å få tilgang til opplysninger mv.

Slike tiltak skal være forholdsmessige, dvs. at de skal være tilpasset mediet opplysningene er lagret på, og stå i forhold til de opplysningene som systemet inneholder.

Helsedirektoratet har utarbeidet en veiledning i informasjonssikkerhet i forskningsprosjekter, som gjelder for alle prosjekter som behandler personopplysninger. Gjennom vedtak i de regionale forskningsetiske komiteene (REK), gjøres tiltakene i veiledningen obligatoriske for forskere som får sitt prosjekt godkjent av en REK.