Hvor skal helse- og personopplysninger lagres?

Innsamling og lagring av data

Alle data som kan knyttes til enkeltpersoner skal sikres ihht. lov/forskrift, slik REK-godkjenningen eller tilrådingen fra personvernombudet beskriver, og slik den enkelte institusjon selv bestemmer. Informasjonen på denne siden er rettet til forskere og helsepersonell som arbeider med helserelaterte prosjekter der personopplysninger inngår.

​Det er et krav at dataene skal være under den forskningsansvarliges/dataansvarliges kontroll. Dét innebærer at den enkelte virksomhets interne rutiner og systemer er førende for hvordan dataene skal behandles og lagres, forutsatt at disse ikke tillater et lavere sikkerhetsnivå enn det som er godkjent av REK, eller tilrådd av Personvernombudet og godkjent av informasjonssikkerhetsleder.

Informasjonen på denne siden er ikke uttømmende, men gir hovedtrekkene i det som er spesielt relevant for forskning og kvalitetssikring.

Data som kan knyttes til enkeltpersoner, direkte eller indirekte, regnes som personopplysninger. Det gjelder selv om kobling til personens identitet er vanskeliggjort gjennom bruk av koder og separate kodelister (avidentifisering).

Innen forskningen er det standard at data avidentifiseres. Dette må imidlertid ikke forveksles med anonymisering. Anonymisering innebærer at det er umulig å knytte dataene til enkeltpersoner. Anonyme data har ingen lovregulering, men det forutsetter likevel at dataene er generert på lovlig vis.

Det er bare unntaksvis at man kan behandle data i forskning og kvalitetssikring som er direkte identifiserbare, dvs. med navn, fødselsnummer eller andre entydige kjennetegn.

Alle elektroniske data som kan knyttes til enkeltpersoner direkte eller indirekte, lagres på dedikert lagringsområder som virksomheten har kontroll med. Disse vil variere mellom virksomheter. Ved OUS er godkjente lagringsområder definert i eHåndbok.

Listen som gjør det mulig å koble dataene med identiteten til den enkelte, skal lagres fysisk adskilt fra øvrige data. Det innebærer i praksis at listen ikke kan lagres i samme nettverk som de avidentifiserte dataene, med unntak for systemer som har kryptert kodenøkkelen i systemet (f.eks. Medinsight ved OUS).

Fortrinnssvis skal listen lagres utelukkende i Medinsight ved OUS. I noen tilfeller kan det være aktuelt å lagre listen på en kryptert minnebrikke eller i papir-format, nedlåst ved sykehuset og med begrenset tilgang.

Hvis det er nødvendig for å oppfylle formålet med prosjektet, kan dataene behandles hos eksterne virksomheter, altså annen virksomhet enn den databehandlingansvarlige. Det forutsetter at databehandleravtale inngås med den eksterne virksomheten. Denne forutsetter at den eksterne oppfyller de krav til sikkerhet som stilles av informasjonssikkerhetsleder.

Lagring i "skyen", dvs. gratis lagringstjenester på nett som f.eks. Dropbox, må i praksis betraktes på samme måte som beskrevet over om lagring hos eksterne. Utfordringen med slike tjenester er imidlertid at det ikke lar seg gjøre å inngå forpliktende databehandleravtale med leverandøren av tjenesten. Virksomhetens plikt til å ha kontroll med lagringsmediet der dataene oppbevares kan i praksis ikke oppfylles ved hjelp av slike tjenester. Dermed kan verken direkte eller indirekte identifiserbare personopplysninger lagres i gratis sky-tjenester på nett.

​Lagring i universitets- og høgskolenett kan by på utfordringer. Nivået av informasjonssikkerhet i denne sektoren vil erfaringsmessig ikke tilfredsstille kravene som gjelder for behandling av særlige kategorier av personopplysninger/helseopplysninger.

USIT har imidlertid etablert en løsning kalt Tjenester for sensitive data (TSD 2.0) som sikkerhetsmessig tilfredsstiller sikkerhetskravene for lagring og behandling av særlige kategorier av personopplysninger. Bruk av løsningen krever inngåelse av databehandleravtale.

Bruk av elektroniske verktøy for innsamling av helse- og personopplysninger er mulig, men forutsetter at verktøyet er risikovurdert. Dette gjelder uavhengig av om data er avidentifiserte eller inneholder navn/f.nr. Risikovurderingen skal dokumenteres og må godkjennes av informasjonssikkerhetsleder i virksomheten. Ved OUS er dette samme person som Personvernombudet.

Overføring over internett forutsetter kryptering av forbindelsen eller dataene som overføres. Kryptering må ikke forveksles med avidentifisering.

Ved bruk av ekstern leverandør må det inngås databehandleravtale hvis verktøyet lagrer data hos denne (se "Lagring hos eksterne" ovenfor).

E-post kan som hovedregel ikke benyttes til overføring av særlige kategorier av personopplysninger eller helseopplysninger. For mer informasjon om bruk av e-post til kommunikasjon med og om pasienter, se her.

Privat utstyr må ikke brukes til lagring av data som kan knyttes til enkeltpersoner. Virksomheten som er forskningsansvarlig/dataansvarlig har en plikt til å utøve kontroll med dataene, noe som ikke er praktisk eller juridisk mulig hvis virksomheten ikke eier utstyret. Utstyr eid av andre virksomheter kan imidlertid benyttes, men databehandleravtale må da inngås (se "Lagring hos eksterne" ovenfor).

Sist oppdatert 03.08.2022