Personvernnemndas avgjørelse av 17. mars 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Ann R Sætnan, Gisle Hannemyr)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage over avslag på søknad om konsesjon til å behandle helseopplysninger – Reseptregisteret.
2 Saksgang
Datatilsynet mottok 21. oktober 2014 en søknad fra Universitetet i Oslo om konsesjon for behandling av helseopplysninger i forbindelse med et forskningsprosjektet «Sammenhenger mellom kommunal ressursbruk i forebygging og behandling og pasientenes behandlingsresultat».
Avslag på konsesjonssøknaden ble fattet 22. januar 2015. Vedtaket innehold imidlertid feil referanse til prosjekt i konklusjonen, og det ble derfor sendt et nytt vedtak datert 26. januar
2015. Det er dette vedtaket som er gjenstand for klagebehandling.
I e-post av 16. februar 2015 anmodet NSD, på vegne av Universitetet i Oslo, om to måneders utsettelse av klagefristen. Datatilsynet ga utsatt klagefrist, i samsvar med anmodning, til 17. april 2015.
Datatilsynet mottok den 20. april 2015 klage fra Universitetet i Oslo på avslag på konsesjon for behandling av helseopplysninger i forskningsprosjektet «Sammenhenger mellom kommunal ressursbruk i forebygging og behandling og pasientenes behandlingsresultat». Klagen er datert 17. april 2015.
Saken ble oversendt Personvernnemnda 31. august 2015, som mottok saken 8. september 2015. Norsk samfunnsvitenskapelig datatjeneste AS og Universitetet i Oslo, Institutt for helseledelse og helseøkonomi ble orientert om dette i brev fra nemnda datert 9. september 2015, med frist til uttalelse innen 1. oktober 2015. Ingen har kommentert saken.
3 Faktum
Søknaden fra Universitetet i Oslo gjelder konsesjon for behandling av helseopplysninger i forbindelse med gjennomføring av forskningsprosjektet «Sammenhenger mellom kommunal ressursbruk i forebygging og behandling og pasientenes behandlingsresultat». Formålet med studien er å undersøke om omfanget og sammensetningen av kommunal ressursbruk på helsefremmende og sykdomsforebyggende arbeid påvirker forekomst, reinnleggelser og dødelighet av hjertesykdom og hoftebrudd på landsbasis.
Det er planlagt å koble helseopplysninger fra Norsk pasientregister (NPR), Reseptregisteret, Dødsårsaksregisteret (DÅR) med personopplysninger fra FD-trygd, Nasjonal utdanningsdatabase, KOSTRA og NIbr.
Utvalget består av alle pasienter som i perioden 2008-2014 har fått hoved- eller bidiagnosene hjertesykdom eller hoftebrudd. Det anslås at utvalget vil være på rundt l 00 000 personer.
Gjennomføringen av prosjektet krever et svært omfattende datamateriale. Det er på det rene at antallet og detaljgraden av variablene som er nødvendig for gjennomføringen av studien vil gjøre at datamaterialet er personidentifiserbart selv om fødselsnummer og andre personentydige kjennetegn fjernes.
REK har vurdert prosjektet til å være helseforskning og at det følgelig reguleres av helseforskningsloven. REK gav godkjenning til prosjektet i vedtak av 11. september 2014 under forutsetning av at andre nødvendige tillatelser innhentes. Datatilsynet skal vurdere om prosjektet oppfyller vilkårene for kobling mot Reseptregisteret, jf reseptregisterforskriften § 5-3.
4 Klagers anførsler
1. Universitetet i Oslo anfører prinsipalt at Datatilsynet er gitt myndighet til å gi tillatelser til koblinger mot Reseptregisteret også når koblingen vil resultere i indirekte identifiserbart datamateriale.
Forbudet mot å sammenstille data på en måte som gjør at enkeltpersoner kan gjenkjennes fremgår kun av reseptregisterforskriften § 5-3 første ledd som regulerer adgangen til kobling mot andre sentrale registre. Dette forbudet gjelder følgelig ikke for kobling av Reseptregisteret med andre registre som er regulert i reseptregisterforskriften § 5-3 andre ledd. Universitetet i Oslo har ment å søke konsesjon etter reseptregisterforskriften §5-3 andre ledd. Datatilsynet kan da ikke avslå søknaden om konsesjon med henvisning til reidentifiseringsforbudet i § 5-3 første ledd.
Universitetet i Oslo anfører at et forbud mot utlevering av indirekte identifiserbare datasett som inkluderer reseptregisterdata vil hindre oppfyllelse av formålet med Reseptregisteret. Kombinasjoner av variabler som kjønn, alder, bostedskommune sammen med reseptregisterdata vil i mange tilfeller gjøre datasett indirekte identifiserbare. Universitetet i Oslo mener de nevnte variablene er helt sentrale i nærmest alle analyser av helse, og uten slike variabler vil validiteten til analysene reduseres kraftig. Universitetet i Oslo anfører at det ikke kan ha vært lovgivers intensjon å hindre sammenstilling og utlevering av reseptopplysninger til forskningsformål på denne måten.
2. Universitetet i Oslo anfører subsidiært at Datatilsynets fortolking av pseudonymiseringskravet er for strengt.
Universitetet i Oslo mener at det at et register skal være pseudonymt er ikke ensbetydende med at indirekte identifiserende opplysninger må fjernes. Relevante rettskilder omtaler kun direkte identifiserbare opplysninger når det er tale om hvilke type opplysninger et pseudonymt register ikke kan inneholde. Universitetet i Oslo mener derfor det ikke er riktig fortolkning av reseptregisterforskriften at bakveisidentifisering vil være i strid med kravet om pseudonymitet.
Universitetet i Oslo anfører dessuten at det er problematisk at Datatilsynet og andre godkjenningsinstanser har ulik praksis med hensyn til hva som utgjør indirekte identifiserbare opplysninger og hva som utgjør datasett med kun teoretisk mulighet for identifisering av enkeltpersoner. Universitetet i Oslo etterlyser klarere rammer for hva som skal til for at et variabelsett er å regne som indirekte identifiserbart, og hvem som har ansvaret for å sørge for at koblingsresultatet ikke er indirekte identifiserbart.
Universitetet i Oslo påpeker at Datatilsynet i to tidligere vedtak har tolket regelverket riktig med hensyn til at mulighet for bakveisidentifisering ikke vil være til hinder for kobling av Reseptregisteret med andre sensitive personopplysninger. Disse to vedtakene bør være førende for Datatilsynets fremtidige praksis.
3. Under forutsetning av at reseptregisterforskriften § 5-3 andre ledd åpner for at Datatilsynet kan gi konsesjon til kobling mot Reseptregisteret som resulterer i et personidentifiserbart datasett, argumenterer Universitetet i Oslo med at prosjektet som er gjenstand for klage oppfyller vilkårene for behandlingsgrunnlag i personopplysningsloven§§ 8 bokstav dog 9 bokstav h. Samfunnsnytten er stor, nødvendigheten av personidentifiserende opplysninger er godt begrunnet og det er iverksatt tiltak for å redusere personvernulempen.
5 Datatilsynets vurdering
Problemstilling
Saken har følgende problemstilling:
Åpner reseptregisterforskriften § 5-3 for at Datatilsynet kan gi konsesjon til sammenstilling av helseopplysninger fra Reseptregisteret med helseopplysninger fra andre kilder til tross for at resultatet av koblingen gjør det mulig å bakveisidentifisere de registrerte?
Om regelverket
Med virkning fra l. januar 2015 er helseregisterloven fra 2001 erstattet med to lover som skal regulere henholdsvis behandlingsrettede helseregistre (pasientjournalloven) og helseregistre til bruk for andre formål enn behandling (helseregisterloven).
Den nye helseregisterloven § 33 fastslår at forskriftene som ble vedtatt i medhold av den forrige helseregisterloven fortsatt vil gjelde. Dette betyr at reseptregisterforskriften fortsatt gjelder og dermed at forarbeider, rundskriv, forvaltningspraksis og andre rettskilder som er knyttet til denne fortsatt er relevante.
Datatilsynet kan med hjemmel i helseregisterloven § 7 gi konsesjon til behandling av helseopplysninger dersom vilkårene i lovens § 6 og personopplysningsloven § 9 er oppfylt. Dersom disse vilkårene er oppfylt skal Datatilsynet foreta en vurdering etter bestemmelsene i personopplysningsloven §§ 33 til 35. Datatilsynet skal vurdere om behandlingen av personopplysninger innebærer en ulempe for den registrerte, og i så fall om denne ulempen er tilstrekkelig avhjulpet gjennom relevante tiltak, jf personopplysningsloven § 34. Hvis det er nødvendig for å avhjelpe ulempen overfor de registrerte, kan Datatilsynet med hjemmel i personopplysningsloven § 35 fastsette vilkår for den omsøkte behandlingen.
Reseptregisteret er etablert som et pseudonymt helseregister, jf. tidligere helseregisterloven § 8, annet ledd. Hjemmel i nytt regelverk er helseregisterloven § 9. Den nærmere bruk av Reseptregisteret (innsamling, lagring, behandling og utlevering) er regulert gjennom Reseptregisterforskriften.
Dødsårsaksregisteret (DÅR) er et lovbestemt helseregister med hjemmel i helseregisterloven § 11. Den nærmere bruk (innsamling, lagring, behandling og utlevering) er regulert gjennom Dødsårsaksregisterforskriften.
Norsk pasientregister (NPR) er også et lovbestemt helseregister med hjemmel i helseregisterloven § 11. Den nærmere bruk (innsamling, lagring, behandling og utlevering) er regulert gjennom Norsk pasientregisterforskriften.
I den grad lovhjemlede helseregistre og tilhørende forskrifter fastsetter særlige vilkår for behandling av helseopplysningene i registrene går dette foran vurderingskriteriene i personopplysningsloven.
Reseptregisterforskriften § 5-3 fastslår i hvilken grad det er adgang til å sammenstille opplysninger i Reseptregisteret med andre helseopplysninger.
Forutsatt at formål med kobling er i tråd med § 1-3 kan Reseptregisteret kobles med blant annet Dødsårsaksregisteret.
Kobling mellom Norsk pasientregister og Reseptregisteret er tillatt med hjemmel i NPR forskriften § 3-1. Datatilsynet bemerker at adgangen til å koble mot NPR ikke fremkommer i Reseptregisterforskriften § 5-3, men legger til grunn at hjemmel i NPR-forskriften er tilstrekkelig for å anse koblingen som tillatt på lik linje med de øvrige sentrale helseregistrene som er nevnt spesifikt i Reseptregisterforskriften.
Det er et vilkår etter reseptregisterforskriften § 5-3 første ledd at koblinger mot Reseptregisteret må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene.
Sammenstillinger mellom Reseptregisteret og opplysninger fra andre registre enn de som er oppramset i § 5-3 første ledd krever godkjenning fra Datatilsynet, og må vurderes etter personopplysningsloven § 9 og § 33. I prosjektet som er gjenstand for klagesaken gjelder dette sammenstilling med opplysninger fra FD-trygd og Nasjonal utdanningsdatabase.
Utlevering av koblede opplysninger fra Reseptregisteret er hjemlet i Reseptregisterforskriften § 5-2. Det følger av § 5-2 femte ledd at det ikke skal utleveres flere opplysninger enn nødvendig for å ivareta søkerens berettigede formål med behandlingen av opplysningene. Det påhviler i tillegg mottaker av opplysningene et særlig ansvar for at opplysningene ikke benyttes på en måte som gjør at enkeltindivider eller apotek kan gjenkjennes.
Alle opplysninger som er utlevert til et prosjekt skal slettes når prosjektet er avsluttet, jf § 5-2 sjette ledd.
Tolking av reseptregisterforskriften § 5-3 andre ledd
Universitet i Oslo anfører at reseptregisterforskriften § 5-3 andre ledd åpner for at Datatilsynet kan gi tillatelse til koblinger mot Reseptregisteret også når koblingen vil resultere i et datasett med opplysninger som kan identifisere enkeltpersoner.
Forbudet mot å sammenstille data på en måte som gjør at enkeltpersoner kan gjenkjennes fremgår av reseptregisterforskriften § 5-3 første ledd som regulerer adgangen til kobling mot sentrale helseregistre. Universitetet i Oslo mener derfor at dette forbudet kun gjelder koblinger som er regulert i første ledd, og ikke koblinger etter andre ledd. Universitetet i Oslo anfører at meningen med reseptregisterforskriften § 5-3 andre ledd er å åpne for koblinger som ikke er tillatt etter første ledd, blant annet sammenstilling av data på en måte som gjør at enkeltpersoner kan gjenkjennes.
Spørsmålet blir om helseregisterloven § 9, jf reseptregisterforskriften § 5-3 andre ledd åpner for at Datatilsynet kan gi konsesjon til helseregistre/prosjekter som vil inneholde personidentifiserende opplysninger fra Reseptregisteret.
Hjemmel for opprettelsen av Reseptregisteret var tidligere helseregisterlov § 8 andre ledd. Nåværende hjemmel er helseregisterloven § 9 bokstav b. Reseptregisterforskriften ble vedtatt i medhold av førstnevnte lov, og tilblivelsen av den første helseregisterloven har dermed relevans for tolkingen av bestemmelsene i reseptregisterforskriften.
Det er riktig at ordlyden i reseptregisterforskriften § 5-3 andre ledd isolert sett indikerer at Datatilsynet har anledning til å dispensere fra alle vilkårene oppstilt i § 5-3 første ledd. I tilsynets tolking av hvilke rammer § 5-3 andre ledd setter for adgang til å gi konsesjon har tilsynet imidlertid lagt stor vekt på lovgivers prinsipielle uttalelser i forbindelse med innføringen av pseudonyme registre, og den informasjonen som ble gitt norske borgere om slike registre. Datatilsynet vil i det følgende utdype begrunnelsen for dette.
Begrepet «pseudonyme helseopplysninger» inngikk ikke i Sosial- og helsedepartementets lovforslag til helseregisterlov i 2000 (Ot prp nr 5 1999-2000). I stortingsbehandlingen av lovforslaget ble det imidlertid gjort flere større endringer som var begrunnet i personvernhensyn, herunder introduksjon av pseudonymmodellen som Boe-utvalget (NOU 1993:22 Pseudonyme helseregistre) la frem i 1993 (Innst O nr 62 2000-2001). Rettskildesituasjonen er dermed noe annerledes for Reseptregisteret og IPLOS enn for de øvrige sentrale helseregistrene. Vanligvis er odelstingsproposisjoner en viktig rettskilde for fortolking av lovbestemmelser. Når det gjelder de registrene som er pseudonyme er det imidlertid slik at betydningen og innholdet i begrepet pseudonyme helseopplysninger, og lovgivers motivasjon for innføringen av en registerform basert på pseudonymer, ikke fremgår av lovforslaget. Begrepet er imidlertid både introdusert og grundig omhandlet i
Boe-utredningen fra 1993 som Sosialkomiteen på Stortinget har tatt utgangspunkt i for sine merknader til lovforslaget. Dette gjør at NOU 1993:22 må tillegges større vekt enn det som er vanlig ved tolking av lover.
Innstillingen til Odelstinget og Boe-utvalgets utredning om pseudonyme registre utgjør følgelig de mest sentrale kildene til forståelse av lovgivers intensjoner med innføringen av pseudonyme registre og hvordan rammene for bruk av denne formen for registre (herunder Reseptregisteret) er å forstå.
Andre relevante rettskilder er reseptregisterforskriften, denne forskriftens merknader, rundskriv 1-2005-8, forvaltningspraksis (i hovedsak Datatilsynets og Personvernnemndas vedtak) og juridisk litteratur.
Boe-utvalget forklarer hovedinnholdet i begrepet pseudonyme helseopplysninger på følgende måte:
Pseudonymiseringsprinsippet går ut på å bytte ut fødselsnummer med et pseudonym som oppfyller kravene til personentydighet, og som dermed kan brukes til å koble informasjon om samme person, men som ikke kan brukes til å spore opp identiteten til de personene som informasjonen gjelder.
Sosialkomiteen på Stortinget, som førte innstillingen til Odelstinget i pennen, la stor vekt på Boe-utredningen og dens forslag om pseudonyme løsninger for bedre balanse mellom forskningsnytte og personvern. Stortinget gjorde to endringer i helseregisterlovens ordlyd som har særskilt relevans for forståelsen av rammene for bruk av pseudonyme registre.
For det første sørget Stortinget for å få inn en definisjon av pseudonyme helseopplysninger i den nye loven om helseregistre. Definisjonen klargjorde at pseudonyme helseopplysninger, i motsetning til avidentifiserte og anonymiserte helseopplysninger, gir anledning til å «følge hver enkelt person gjennom helsesystemet uten at identiteten røpes».
Sosialkomiteen gjorde det med dette klart at lovgiver ønsket å fremme pseudonyme registre i tråd med Boe-utvalgets forslag i NOU 1993:22. Komiteen la stor vekt på personvernhensyn i sin innstilling, og slik komiteen har ordlagt seg når den fremmet pseudonyme løsninger er det tydelig at de anså dette som en god løsning for å unngå å røpe pasientenes identitet og følgelig ivareta konfidensialitet rundt opplysningene. Komiteen uttaler sågar at omdanning fra identitet til pseudonym skal være en enveisprosess, og at «mottaker ikke må kunne dekryptere opplysningene». Identitet skal følgelig ikke røpes verken ved kryptering eller senere.
Slik disse uttalelsene er formulert er det ikke noe som tyder på at Stortinget har ment å skille koblinger mellom pseudonyme registre og sentrale helseregistre og kobling av pseudonyme registre og andre registre. Tvert imot er Stortinget tydelige på at pseudonymisering er en enveisprosess, noe som taler imot at Datatilsynet skal kunne gi tillatelse til en kobling som vil føre til bakveisidentifisering.
Det er likevel et spørsmål om lovgiver med dekryptering har ment kun å bryte krypteringen, eller om også det å finne tilbake til identitet ved andre metoder vil være i strid med reverseringskravet.
Naturlig språklig forståelse av «dekryptering» kan tale for at lovgiver har ment at det er en reversering av pseudonym tilbake til navn og/eller fødselsnummer som er forbudt.
Et argument imot en slik snever fortolking er at Stortinget la stor vekt på at opplysningene i et pseudonymt register ikke skulle kunne tilbakeføres til den enkelte pasient. Med dette som utgangspunkt er det en naturlig fortolking at forbudet mot tilbakeføring gjelder uavhengig av hvilken måte det skjer på. For en enkeltperson er resultatet og personvernkrenkelsen den samme uansett om pseudonymet gjøres om til fødselsnummer eller om detaljgraden av opplysningene som kobles gjør at vedkommende identifiseres. Det er nettopp en slik tilbakeføring lovgiver har uttalt at ikke skal skje.
Den andre betydelige endringen som Stortinget gjorde i departementets lovforslag var i helseregisterlovens formålsparagraf. Mens forslag la opp til en sidestilling av personvern og forskningsformål, så gjorde Stortinget det klart at forvaltningens behov må komme i annen rekke i forhold til å sikre personverninteressene. I tilfeller hvor personvern og samfunnsinteresser er i konflikt skal personvernet som hovedregel gå foran. I lovmotivene til § l bemerket Sosialkomiteen: «komiteen viser til at formålsparagrafen må legge meget klare føringer for å sikre at personvernet ikke blir krenket, ved at personvernhensyn ved behandlingen av helseopplysninger skal tillegges avgjørende vekt.»
Formålsbestemmelser er i mange tilfeller runde i formuleringene, og mest egnet som tolkningsmoment for å bygge opp under en ellers selvstendig argumentasjonsrekke. Betydningen av formålsbetraktninger får imidlertid større vekt i tilfeller hvor det er på det rene at lovgiver ikke har kunnet forutse en gitt utvikling. I dette tilfellet gjelder det et regelverk som skal regulere teknologi hvor det er vanskelig å overskue hva som er teknisk mulig i fremtiden. Det aktuelle lovforslaget kom i en tid hvor for eksempel Big data og kobling av store datasett ikke var problematisert i forskningssammenheng. Temaet med risiko for bakveisidentifisering i store datasett var følgelig ikke problematisert i forarbeidene til helseregisterlov.
At temaet ikke er nevnt kan tale for at forarbeidene ikke er relevante i drøftelsen av om bakveisidentifisering vil være i strid med reverseringsforbudet. At lovgiver ikke har drøftet denne tematikken kan imidlertid også tale for at de formålsbetraktninger som er gjort får desto større vekt. Som vist til ovenfor har Stortinget uttalt seg tydelig med hensyn til at det var en klar forutsetning for opprettelsen av pseudonyme registre at identiteten til de registrerte skulle holdes skjult, også i forbindelse med sammenstillinger med andre person og helseopplysninger. Dette er gjentatt av Helse- og omsorgsdepartementet i høringsnotatet der forslag til forskrift om Reseptregisteret ble lagt frem. Her fastslår departementet at
«(d)ersom opplysninger fra Reseptregisteret skal inngå i en sammenstilling med personopplysninger fra andre registre, er det en klar og ufravikelig forutsetning at de registrertes identitet ikke kompromitteres i forbindelse med sammenstillingen».
Denne type klare uttalelser fra både lovgiver og regjeringen, sammen med en formålsbestemmelse som taler i samme retning, mener vi veier tungt i retning av at det ikke har vært meningen at dispensasjon fra dette reverseringskravet skal kunne gis i form av enkeltvedtak fra Datatilsynet.
I tillegg til prinsipielle og utslagsgivende uttalelser fra Stortinget om pseudonyme registre er informasjonen som er gitt befolkningen om Reseptregisteret viktig for å sette rammene for bruken av dette registeret. Personvern handler i stor grad om selvbestemmelse og forutsigbarhet. Borgerne er ikke gitt selvbestemmelse med hensyn til om de vil være registrert i Reseptregisteret, og da blir forutsigbarhet omkring hvordan det blir forvaltet av særlig betydning. Forutsigbarhet i forbindelse med Reseptregisteret skulle sikres blant annet ved hjelp av tydelig informasjon om bruken. Informasjonen gitt borgerne er entydig på at opplysninger om legemiddelbruk ikke skal kunne tilbakeføres til enkeltpersoner. Den informasjonen som er gitt gir ingen indikasjoner på at tillatelser til koblinger som kan føre til bakveisidentifisering i visse tilfeller vil kunne være lovlig. Det vil være en personvernkrenkelse om en enkeltpersons samlede legemiddelbruk blir knyttet til identitet i strid med den informasjonen som er gitt befolkningen. For en enkeltperson er krenkelsen den samme uansett om pseudonymet gjøres om til fødselsnummer eller om detaljgraden av opplysningene som kobles gjør at vedkommende kan identifiseres.
Universitetet i Oslo anfører at det bør være mulig å lage ny informasjon som gir et mer riktig bilde av hvordan opplysninger fra Reseptregisteret kan brukes. Dette er imidlertid kun et relevant argument dersom man kommer til at den informasjonen som allerede gitt ikke samsvarer med gjeldende rett. For det tilfellet at det er slik at lovgiver faktisk har ment å forby bakveisidentifisering vil ikke ny informasjon til befolkningen gjøre dette lovlig.
Oppsummert er ordlyden i reseptregisterforskriften det tyngste argumentet for at Datatilsynet er gitt myndighet til å fravike reverseringsforbudet i Reseptregisterforskriften. Vanligvis skal det også mye til for å fravike en klar ordlyd. Det er også et relevant argument at et forbud mot behandling av indirekte identifiserende vil være et hinder for full utnyttelse av Reseptregisteret til forskning.
De mest tungtveiende argumenter mot at Datatilsynet er gitt myndighet til å gi tillatelse til kobling av datasett som vil resultere i identifiserbare opplysninger er de prinsipielle og klare uttalelsene fra Stortinget i forbindelse med innføringen av pseudonyme registre, Boeutvalgets utvetydige råd om en ufravikelig forutsetning for pseudonyme registre at de registrertes identitet ikke skulle kompromitteres ved sammenstilling med andre personopplysninger, samt de forventningene til bevaring av konfidensialitet som informasjonen gitt befolkningen om Reseptregisteret skaper.
I mangel av fyldige forarbeider til lov blir drøftelser i Stortinget av særskilt betydning. Dette gjelder særlig i saker som vekker debatt. Etablering av personentydige helseregistre uten samtykke var en sak som vakte debatt og engasjement blant de folkevalgte. Debatten resulterte også i at regjeringens opprinnelige forslag til helseregisterlov ble endret. Ordlyden i reseptregisterforskriften § 5-3 andre ledd fremstår isolert sett som klar. Sammenholdt med de prinsipielle og utslagsgivende uttalelsene fra Stortinget om pseudonyme registre og den informasjonen som er gitt befolkningen om Reseptregisteret er det imidlertid grunn til å stille spørsmål ved om lovgiver har tatt stilling til hvilke vilkår i reseptregisterforskriften § 5-3 første ledd Datatilsynet skal kunne dispensere fra.
Med begrunnet tvil omkring ordlydens klarhet tilsier en helhetsvurdering at prinsipielle og utslagsgivende uttalelser fra Stortinget sammen med den informasjonen som er gitt befolkningen blir avgjørende i fortolkingen av hvilke muligheter reseptregisterforskriften åpner for med hensyn til bruk av personidentitiserende opplysninger.
En samlet vurdering av argumentasjonen ovenfor tilsier at reseptregisterforskriften § 5-3 andre ledd ikke åpner for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet).
Datatilsynets forståelse av pseudonymiseringskravet i reseptregisteret
Universitetet i Oslo anfører at Datatilsynets fortolking av pseudonymiseringskravet er for strengt. Universitetet i Oslo mener at det at et register skal være pseudonymt er ikke ensbetydende med at indirekte identifiserende opplysninger må fjernes. Relevante rettskilder omtaler kun direkte identifiserbare opplysninger når det er tale om hvilke type opplysninger et pseudonymt register ikke kan inneholde. Universitetet i Oslo mener derfor det ikke er riktig fortolkning av reseptregisterforskriften at bakveisidentifisering vil være i strid med kravet om pseudonymitet.
Det er helt riktig at kravet om pseudonymitet ikke er et forbud mot registrering av indirekte identifiserbare opplysninger. Pseudonymisering er imidlertid en måte å ivareta konfidensialitet på.
Ved kobling av registeropplysninger vil det alltid være en potensiell risiko for bakveisidentifisering. Risikoen for bakveisidentifisering vil være avhengig av antall variabler og detaljeringsgraden i variabelsettet. Når det gjelder kobling mot pseudonyme registre er det slik at individene i forskningsfilen vil ha et prosjektspesifikt løpenummer som ikke kan tilbakeføres til det opprinnelige pseudonymet som ble brukt i koblingsprosessen. Man skal derfor vite en del om en enkeltperson for å stadfeste identitet med sikkerhet. Risikoen for bakveisidentifisering vil derfor være avhengig både av detaljeringsgraden i variabelsettet og mottakers vilje og evne til å benytte opplysningene med det formål å identifisere enkeltindivider. Et hvert forsøk på slik bakveisidentifisering vil være i strid med forskriftens bestemmelser straffes med bøter eller fengsel, jf reseptregisterforskriften § 6-2.
I merknadene til reseptregisterforskriften § 1-1 står følgende om reseptregisteret:
Et ledende hensyn bak utformingen av forskriften har vært å sørge for en betryggende behandling av helseopplysninger i alle deler av de prosessene som leder frem til bruk av opplysningene. Til forskjell fra de registre som hittil er regulert i forskrift etter helseregisterloven § 8, er Reseptregisteret pseudonym, hvilket innebærer at identiteten til personer hvis helseopplysninger lagres i Reseptregisteret, er kryptert eller skjult på annet vis, men allikevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes (jf helseregisterloven § 2 nr. 4) Slik pseudonymisering er et vilkår for at opplysningene kan behandles i Reseptregisteret uten samtykke fra vedkommende person. Sammen med bestemmelser om bl.a. informasjonssikkerhet og taushetsplikt, bidrar pseudonymiseringsordningen til å ivareta hensynet til konfidensialitet.
Med bakgrunn i hensynene bak etableringen av Reseptregisteret har Datatilsynet etablert en praksis som fastslår at koblinger mot Reseptregisteret må oppfylle forskriftens krav til pseudonymitet eller være basert på samtykke.
Ved vurdering av om forskriftens krav om pseudonymitet er oppfylt er det nødvendig å se på risikoen for bakveisidentifisering i sammenheng med forskriftens øvrige bestemmelser som er ment å ivareta konfidensialitetskravene. En teoretisk mulighet for indirekte identifisering vil derfor ikke utelukke at kravet om pseudonymitet er oppfylt dersom øvrige sikkerhetstiltak er tilfredsstillende ivaretatt.
Datatilsynet har i sin praksis vektlagt tiltak som er egnet til å minimalisere risiko for bakveisidentifisering. For eksempel har NPR identifisert dato for den registrertes kontakt med helseinstitusjon som en variabel som er særlig egnet til å identifisere enkeltpersoner. Når utvalget består av minoriteter vil for eksempel opplysning om bostedskommune kunne være identifiserende i små kommuner. Hvis prosjektledelse fjerner variabler, eller finner alternativer til variabler som er egner til å identifisere, vil dette være tiltak som kan gjøre risikoen for bakveisidentifisering til en teoretisk mulighet.
Datatilsynet har lang erfaring med behandling av konsesjonssøknader som omfatter kobling mot Reseptregisteret. Tilsynet har over flere år hatt en fast praksis som har gått ut på at koblinger av data fra Reseptregisteret som reelt sett oppfyller forskriftens krav til pseudonymitet tillates. Det er i en slik sammenheng avgjørende at koblingen blir utført i tråd med Reseptregisterets rutiner for koblinger mot Reseptregisteret, og Reseptregisterets uttrykte krav om at antallet variabler reduseres slik at bakveisidentifisering i realiteten kun blir en teoretisk mulighet. Dette fordi bakveisidentifisering vil være i strid med reseptregister-forskriftens krav om pseudonymitet.
Forbudet mot bakveisidentifisering er dermed en naturlig konsekvens av at Reseptregisteret er et pseudonymt register der det er satt som vilkår for etablering av registeret at ingen skal kunne benytte opplysninger fra registeret til identifisering av enkeltindivider. En sammenstilling mot andre registre må derfor utføres slik at det ikke tilføres opplysninger som bidrar til indirekte identifisering av enkeltindivider. Dette vil også gjelde kobling mot andre registre enn de som er nevnt i § 5-3 første ledd.
Datatilsynets klageorgan, Personvernnemnda, fattet vedtak i en klagesak i 2013 som omhandlet kobling mot Reseptregisteret. I sak PVN-2013-15 stadfester Personvernnemnda Datatilsynets praksis med hensyn til at kobling kun kan tillates enten dersom den er reelt sett pseudonym eller basert på samtykke fra de registrerte.
Universitetet i Oslo anfører at det er uklart hvorvidt PVN faktisk tok stilling til rammene for Datatilsynets konsesjonskompetanse i denne saken. Datatilsynet er imidlertid av den oppfatning at konklusjonene i denne saken tydelig stadfester hvilke koblinger Datatilsynet kan gi konsesjon til.
Tilsynet er klar over at det er to vedtak fra Datatilsynet som strider med etablert praksis (11/01138 og 12/00926). Disse sakene kan imidlertid ikke tillegges vekt da de er enkeltvedtak i strid med langvarig, og godt kommunisert praksis.
Når det gjelder Datatilsynets forståelse av grensen mellom indirekte identifiserbart og teoretisk mulighet for identifisering er denne i stor grad basert på vurderinger fra registereiere og -forvaltere med hensyn til hvilke type variabler som er særlig identifiserende.
Som Universitetet i Oslo har påpekt har Datatilsynet i flere vedtak presisert at det alltid vil være en risiko for bakveisidentifisering ved kobling av registre som inneholder personopplysninger. Risikoen øker og minker i forhold til antall variabler, detaljgrad, unikhet av opplysninger, etc. Tilsynets vurdering i konsesjonsbehandling består av en konkret vurdering av om behandlingsansvarlig har iverksatt tilstrekkelige tiltak for å minimere denne risikoen.
Det er mulig at denne grensen praktiseres ulikt av ulike forvaltningsorgan, og at dette oppleves som inkonsekvent fra forskningsinstitusjonenes ståsted. Tilsynet mener imidlertid at Datatilsynets praksis har utviklet seg i en konsistent retning.
Behandlingsgrunnlag i personopplysningsloven §§ 8 bokstav d og 9 bokstav h.
Jf. drøftelsene ovenfor vil en kobling mellom Reseptregisteret og andre helseopplysninger kunne ha hjemmel i personopplysningsloven §§ 8 d og 9 h når reseptregisterforskriftens krav til pseudonymitet er oppfylt. Dette fordi ulempen for den registrerte vurderes som lav, og formålet med behandlingen er i tråd med formålet med Reseptregisteret.
I forskningsprosjektet det søkes konsesjon for i denne saken er på det rene at datamaterialet som blir utlevert til forsker er indirekte identifiserbart. Med det antall variabler som er nødvendig, og med den detaljgrad av opplysninger som er nødvendig, er det ifølge søker ikke mulig å lage en forskningsfil som ikke vil inneholde indirekte identifiserende opplysninger. Det er særlig de mange og detaljerte variablene fra NPR som gjør risikoen for bakveisidentifisering stor.
Slik Datatilsynet tolker regelverket er det ikke mulig å gi konsesjon til prosjektet slik det er beskrevet i søknaden. Det er derfor heller ikke relevant å vurdere prosjektet etter personopplysningsloven §§ 8 d 9 h.
Avsluttende merknader
Datatilsynet har vurdert klagers anførsler, men finner ikke grunnlag for å oppheve eller endre vårt vedtak. Datatilsynet fastholder sitt avslag på Universitetet i Oslo sin søknad om behandling av helseopplysninger som innebærer bruk av indirekte identifiserbare helseopplysninger fra Reseptregisteret.
6 Personvernnemndas syn
Personvernnemnda skal vurdere hvorvidt helseregisterloven § 9 og reseptregisterforskriften § 5-3 andre ledd åpner for at Datatilsynet kan gi konsesjon til sammenstilling av helseopplysninger fra Reseptregisteret med helseopplysninger fra andre kilder til tross for at resultatet av koblingen gjør det mulig å bakveisidentifisere de registrerte.
I følge søker er det ikke mulig å lage en forskningsfil som ikke vil inneholde indirekte identifiserende opplysninger. Nemnda er enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling er derfor ikke tillatt. Slik nemnda ser det finnes det ikke rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling. Nemnda viser til Datatilsynets resonnement og tiltrer dette.
7 Vedtak
Klagen tas ikke til følge.
Oslo, 17. mars 2016
Eva I E Jarbekk
Leder