Datatilsynets referanse: 2003/51 HPG/-

KLAGESAK 2005-04:
Klage på vedtak om avslag på søknad om konsesjon for tidsbegrenset oppbevaring av koblingsbro.

Personvernnemndas avgjørelse av 9.8.2005 (Jon Bing, Gro Hillestad Thune, Mari Bø Haugstad, Tom Bolstad, Jostein Halgunset, Siv Bergit Pedersen, Lars Erik Fjørtoft)

1. Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 19.4.2004. Saken gjelder klage på tilsynets vedtak om å ikke gi Norges naturvitenskapelige universitet, Helseundersøkelsen i Nord-Trøndelag (NTNU-HUNT) forskingssenter konsesjon for tidsbegrenset oppbevaring av koblingsbro i Statistisk sentralbyrå (SSB).


2. Saksgang

Den 24.2.1999 sendte HUNT forskningssenter søknad til Datatilsynet om kobling av HUNT- data med flere sentrale helseregistre. Den 14.12.1999 ga Datatilsynet konsesjon til koblingen, med vilkår om at koblingsbroen måtte slettes etter at koblingen var foretatt. Koblingen var ferdig den 5.4.2001.

Datatilsynet mottok den 27.2.2003 konsesjonssøknad fra HUNT om tidsbegrenset oppbevaring av koblingsbroen. I brev av 12.4.2004 kom HUNT med supplerende opplysninger til konsesjonssøknaden. Konsesjonssøknaden ble avslått av Datatilsynet i brev av 19.4.2004. Tilsynet mottok klage på vedtaket i brev av 6.5.2004, med påfølgende utdypning av klagen den 12.10.2004.

Personvernnemnda mottok saken fra Datatilsynet den 27.12.2004. Personvernnemnda sendte brev til klager med frist for eventuelle kommentarer 31.1.2005. Personvernnemnda har ikke mottatt ytterligere dokumenter i saken.


3. Faktum

HUNT forskningssenter er underlagt NTNU, og representerer den største enkeltstående helseundersøkelsen i Norge. HUNT ønsker å kunne oppbevare en koblingsbro som ble etablert i 2001 i en utvidet periode. Koblingsbroen er oppbevart hos SSB, og søknaden gjelder videre oppbevaring hos SSB.

HUNT fikk konsesjon til å opprette koblingsbroen ved utgangen av 1999. Forutsetningen for konsesjonen var at koblingsbroen måtte slettes etter at koblingene var foretatt og materiellet kvalitetssikret. Det fremkommer av konsesjonssøknaden av 27.2.2003 at HUNT ikke har slettet koblingsbroen i samsvar med konsesjonsvilkårene fra 1999. Årsaken til at den har blitt bevart, er at den stadig er praktisk nyttig i flere forskningsprosjekter. HUNT søker om å kunne få oppbevare den i en tidsbegrenset periode på ti år regnet fra 1.1.2003, dvs til 31.12.2013.

Nærmere angitt innebærer koblingsbroen at et avidentifisert forskningsregister, basert på HUNT-data og tilknyttede prosjekter, kan kobles med diverse sentrale helseregistre i Norge. Prosedyren for etableringen foregikk ved at HUNT sendte filer med HUNT-løpenummer til Folkehelseinstituttet for påkobling av det ellevesifrede fødselsnummeret. Folkehelseinstituttet påkoblet fødselsnummer og slettet HUNT-løpenumrer før filene ble sendt videre til SSB. SSB laget en bro mellom fødselsnummer og et eget SSB-løpenummer. Denne broen ble brukt til å koble de aktuelle prosjektene til sentrale registre. Før SSB sendte filene til HUNT, ble fødselsnumrene slettet. Dermed mottok HUNT filene med kun et SSB-løpenummer. Koblingsbroen er med andre ord en HUNT-fil som er påført et SSB løpenummer.

Konsesjonssøknaden av 27.2.2003 er en generell søknad om tidsbegrenset oppbevaring av koblingsbroen. Søknaden gjelder også konsesjon for to forskningsprosjekter, bl a "Molekylærgeniske og epidemiologiske undersøkelser av MODY-diabetesrelaterte gener i et materiale fra HUNT", der Haukeland universitetssykehus står som behandlingsansvarlig. Datatilsynet ga avslag på søknad om konsesjon for dette prosjektet. Begrunnelsen var at prosjektet forutsatte bruk av koblingsbroen. Den måtte da oppbevares utover den periode konsesjonen gjaldt for, og Datatilsynet ga ikke tillatelse til fortsatt oppbevaring av denne.


4. Anførslene

HUNT anfører at oppbevaringen av koblingsbroen er i samfunnets interesse da den etablerte filen kan benyttes som utgangspunkt for viktig forskning. HUNT er av den oppfatning at personvernet ikke blir truet ved gjennomføring av prosjekter der koblingsbroen blir benyttet. HUNT legger vekt på at forskningssenteret verken har benyttet eller hatt mulighet til å benytte koblingsbroen ureglementert da koblingsbroen er oppbevart hos SSB (Kongsvinger).

HUNT mener at det hele tiden har vært en åpen dialog mellom HUNT og Datatilsynet om at koblingsbroen ikke var slettet. Det vises ikke til noen dokumentasjon på dette punkt, men HUNT mener å ha fått muntlig tillatelse for oppbevaringen. HUNT mener å ha vært i god tro om at forskningssenteret har opptrådt innenfor konsesjonsvilkårrammene.

Overføring av data mellom HUNT og SSB er skjedd via Folkehelseinstituttet. Verken saksbehandlere eller forskere ved HUNT eller andre har hatt tilgang til identifiserbare data. Eventuelle koblinger skjer kun etter innvilget søknad som gir HUNT konsesjon for sammenstilling av de aktuelle data. HUNT anfører at det aldri har vært reist kritikk for praksisen i forhold til personvernet.

HUNT anfører at koblingsbroen har vært kostnadskrevende å etablere, og prosessen har tatt lang tid. Forskningssenteret anslår at HUNTs IT-ingeniør la ned 6-8 månedsverk i klargjøring av filer, kvalitetssikring og kommunikasjon med involverte parter. I direkte utlegg fakturerte SSB HUNT 230.000 kroner for arbeidet. Til sammenligning kostet det HUNT "bare" 3000 kroner å gjennomføre koblingsprosessen for prosjektet "Ung-HUNT" da koblingsbroen allerede eksisterte. HUNT anfører at det å måtte etablere en ny koblingsbro til hvert nye prosjekt er lite tilfredsstillende på grunn av tidsbruk, arbeid og kostnader for øvrig.

Det vil stadig komme nye søknader om forskningsprosjekter der det er ønskelig å foreta koblinger. Ifølge forskningssenteret er koblingsbroen nødvendig for å kunne kvalitetssikre data og koble til nye data for prosjekter det blir gitt konsesjon til. HUNT anfører at koblingsmuligheten er noe av det særegne ved HUNT sett i internasjonalt sammenheng. HUNT mener at dersom terskelen for å få utført slike koblinger blir så høy som det legges opp til fra Datatilsynet, vil det føre til at mange forskingsprosjekter blir stoppet.

Det er Haukeland universitetssykehus, Institutt for klinisk medisin, Seksjon for pediatri, som ønsker å gjennomføre prosjektet "Molekylærgeniske og epidemiologiske undersøkelser av MODY-diabetesrelaterte gener i et materiale fra HUNT". Formålet er å undersøke arveligheten ved sukkersyke. I forbindelse med avslag på søknad om konsesjon for prosjektet, anfører sykehuset at Datatilsynet ikke har vurdert den konkrete personverntrusselen korrekt.

Haukeland universitetssykehus presiserer at denne saken ikke dreier seg om å opprette en permanent forskningsfil, men derimot å forlenge en eksisterende kobling innenfor et fortsatt begrenset tidsrom. Det fremgår av Datatilsynets avslag at studien vil medføre innsyn i sensitive data om blant annet sosioøkonomisk status. Sykehuset anfører at det ikke er snakk om å koble hele HUNT-databasen til data om slektsforhold, men kun å koble 2000 av i alt 80 000 individer med diabetes, og at koblingen kun gjelder data som angår deres diabetes. Dermed vil ikke studien medføre innsyn i slike sensitive data, men kun innsyn i diabetesopplysninger i familietrios. Sykehuset mener at dette begrenser personverntrusselen i betydelig grad.

Haukeland universitetssykehus anfører videre at personverntrusselen begrenses ytterligere ved at dataene er anonymisert for sykehuset. Det refereres her til at HUNT koder opplysningene gjennom koblingsbroen, som i seg selv ikke er tilgjengelig for forskerne. Opplysningene blir dessuten oppbevart på en arbeidsstasjon som er innelåst innenfor sykehusets elektroniske brannmurer. Opplysningene behandles av kun én person som ikke har noen forutgående kunnskaper om utvalget som innegår i HUNT-materialet. Sykehuset mener dermed at det foreligger en praktisk sett fullstendig anonymisering av opplysningene, og at prosjektet følgelig faller utenfor en rimelig oppfatning av hva som utgjør en personverntrussel.

Haukeland universitetssykehus bemerker forøvrig at Datatilsynet selv har hatt en forsinkelse i sin saksbehandlingstid på ett år og to måneder fra søknad ble sendt den 27.2.2003 til svar ble gitt den 19.4.2004, jf. forvaltningsloven § 11 litra a. Dette kan tolkes dit hen at sykehuset mener at en forsinket sletting av koblingsbroen fra HUNT sin side bør aksepteres. Sykehuset er uansett av den oppfatning at all rimelighet tilsier at det bør gis en tidsbegrenset konsesjon til oppbevaring av koblingsbroen.


5. Datatilsynets vurdering

Datatilsynet anfører at konsesjonen gitt i 1999 ikke lenger er gyldig i henhold til overgangsreglene i personopplysningsloven § 51, jf. helseregisterloven § 36. Tilsynet ga under behandlingen av saken i 1999 uttrykk for skepsis til prosjektet. Dette var begrunnet i den økte personverntrusselen det innebærer å sammenstille et så stort omfang data som det her er snakk om, herunder mye sensitivt materiale. Datatilsynet anfører at samtykket avgitt av deltakerne i HUNT heller ikke kunne sies å dekke en så omfattende sammenstilling. Forskningsbehovet ble likevel tillagt stor vekt, og konsesjonen ble gitt.

Tilsynet legger vekt på at etableringen av forskningsfilen ikke er dekket av det opprinnelige samtykket som er gitt av deltakerne i HUNT. Spørsmålet blir derfor hvorvidt videre oppbevaring av koblingsbroen, i tillegg til forskningsfilen, kan hjemles i dette behandlingsgrunnlaget. Vurderingen tar utgangspunkt i personopplysningsloven § 9, 1.ledd litra h, da oppfyllelse av dette vilkåret tilsier at også vilkårene i personopplysningsloven § 8 litra d er oppfylt.

Datatilsynet er av den oppfatning at etableringen av en stor forskningsfil med et slikt omfang i seg selv innebærer en trussel mot personvernet til den enkelte registrerte og personvernet generelt. Forskningsfilen innebærer en sammenstilling av ulike typer opplysninger som sier mye om hver enkelt registrert. Dersom koblingsbroen også skal oppbevares, vil det være enkelt å identifisere de registrerte, hvilket igjen øker personverntrusselen.

Tilsynet påpeker for øvrig at mange av opplysningene som er inkludert i forskningsfilen i utgangspunktet er innsamlet på bakgrunn av den enkeltes samtykke. At disse er koblet til en mengde andre opplysninger som det verken er samtykket til eller gitt informasjon om, kan ifølge tilsynet fremstå som illojalt overfor de registrerte. Dette gjelder særlig dersom deres identitet skal oppbevares også etter at koblingene for lengst er gjennomført. Datatilsynet mener forøvrig at det forhold at samtykke er innhentet i HUNT på et generelt nivå, og at HUNTs hjemmesider kontinuerlig oppdateres med informasjon om pågående forskningsprosjekter, kan benyttes som et argument til fordel for at det finnes behandlingsgrunnlag i personopplysningsloven §§ 8 litra d og 9, 1.ledd litra h. Datatilsynet kan imidlertid ikke se at samfunnets interesse i at koblingsbroen oppbevares, klart overstiger hensynet til den enkeltes personvern.

Datatilsynet har forståelse for at koblingsbroen grunnet kvalitetssikring måtte oppbevares også en tid etter at koblingene var foretatt. Tilsynet har videre forståelse for at koblingsbroen nå som den er etablert, er et viktig verktøy i forskningssammenheng, og at etableringen av denne og tilhørende forskningsfil har hatt en betydelig kostnad. Datatilsynet understreker likevel at tillatelse til gjennomføringen har vært tidsbegrenset. Det underliggende kravet har vært at koblingsbroen skulle slettes når forskningsfilen var etablert. Datatilsynet anfører at dersom det stadig skal gis nye tillatelser for utvidet oppbevaring, vil det opprinnelige vilkåret om sletting av koblingsbroen fremstå som illusorisk.

Datatilsynet er av den oppfatning at koblingsbroen har vært ulovlig oppbevart fordi den ikke er blitt slettet i samsvar med konsesjonsvilkåret. Dette til tross for at konsesjon er blitt innvilget etter personregisterloven, og at det ble sendt søknad om ny konsesjon etter personopplysningsloven og helseregisterloven kort tid etter at overgangsfristen var utgått.

Datatilsynet presiserer at den personverntrusselen som tilsynet mener at forskningsfilen etablerer, ikke er ment å gi uttrykk for at Datatilsynet er skeptisk til HUNTs håndtering av data forøvrig. Datatilsynet mener at det likevel er en kjensgjerning at en forskningsfil som består av en kobling mellom svært mange registre, etablerer dyp innsikt i den enkelte registrertes personlige forhold. Når det finnes en enkel mulighet for å finne tilbake til de registrertes identitet via en koblingsbro, etablerer denne kunnskapen en større trussel for den enkeltes personvern, enn dersom koblingsbroen ikke var tilstede. Datatilsynet fremhever at det altså er koblingsbroens eksistens i seg selv som er problematisk, ikke HUNTs behandling av det aktuelle materialet.


6. Personvernnemndas vurderinger

6.1. Innledning

Personvernnemnda behandler klagen med utgangspunkt i om ny konsesjon skal gis.

Etter personopplysningsloven § 11 litra a skal den behandlingsansvarlige sikre seg at behandlingen av personopplysninger er tillatt etter personopplysningsloven §§ 8 og 9. I dette tilfellet dreier det seg om sensitive personopplysninger, jf personopplysningsloven § 2 nr 8 litra c. Behandlingen av slike opplysninger faller inn under personopplysningsloven § 9, behandlingen krever derfor konsesjon fra Datatilsynet, jf personopplysningsloven § 33, 1.ledd. Personopplysningsloven § 9 angir rammene for Datatilsynets kompetanse til å gi konsesjon for behandlingen av sensitive opplysninger. Gjennom henvisningen fra personopplysningsloven § 9 til personopplysningsloven § 8, endrer også personopplysningsloven § 8 karakter i et slikt tilfelle fra å være en pliktnorm som direkte regulerer den behandlingsansvarliges plikter, til å bli en kompetansenorm som setter grenser for Datatilsynets adgang til å gi konsesjon.

Grunnkravet er at konsesjon bare kan gis når betingelsene i personopplysningsloven § 8 er oppfylt og dersom i tillegg minst ett av de ytterligere vilkårene i personopplysningsloven § 9, 1.ledd litra a-h er oppfylt.

Etter personopplysningsloven § 8 er det tre alternative grunnlag for å gjennomføre behandling av personopplysninger. Ett av disse er samtykke fra den registrerte (jfr personopplysningsloven § 2 nr 7), ett annet er en "nødvendighetsbegrunnelse" slik angitt i personopplysningsloven § 8 litra a-f. Det tredje alternativet er lovhjemmel.

Etablering av forskningsfil og videre oppbevaring av forskningsfilen er ikke dekket av det opprinnelige samtykket som er avgitt av deltakerne i HUNT. Det aktuelle grunnlag etter personopplysningsloven er § 8 litra d: "å ivareta en oppgave av allmenn interesse". Ved bruken av koblingsbroen utføres oppgaver av allmenn interesse. Etter personopplysningsloven § 9 litra h, kan behandling av sensitive personopplysninger skje når behandlingen er nødvendig for historiske, statistiske, eller vitenskaplige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte.

Den løsning HUNT har etablert i samarbeid med SSB kan skjematisk fremstilles som nedenfor (hentet fra brev av 9.5.2004 fra Universitetet i Bergen, Institutt for klinisk medisin, Seksjon for pediatri):

6.2. Interesseavveining mellom samfunnets interesse og personvernulempen for den enkelte

Personvernnemnda er av den oppfatning at oppbevaring og bruk av koblingsbroen er i samfunnets interesse:

  • Forskningsprosjektene kan gi mer viten om sykdommer og forebygging av sykdommer som kan komme den enkelte registrerte til gode.(jf Personvernnemndas tidligere uttalelser i vedtak, særlig 2002-06 SIRUS)
  • Forskningsprosjektene kan bidra til utvikling av allmennyttig medisinsk kunnskap
  • Det vil til enhver tid gjennomføres forskningsprosjekter. Det må legges vekt den økonomiske besparelsen ved å bruke den eksisterende koblingsbroen i stedet for å måtte opprette nye (en kostnad på mellom en kvart og en halv millioner kroner per bro).
  • Forskning (vitenskaplige formål) er særlig nevnt i personopplysningsloven, og må derfor i interesseavveiningen anses som et samfunnsmessig formål av spesiell betydning.

Personvernnemnda er også av den oppfatning at oppbevaring og bruk av koblingsbroen medfører en liten trussel mot personvernet til den enkelte. I dette tilfellet benyttes en pseudonymisering som umuliggjør en identifikasjon av opplysningene hos den bruker som bare har tilgang til data med SSBs løpenummer. Hvis broen slettes, vil dermed forbindelsen mellom den registrerte og opplysningene brytes. Personvernnemnda antar at opplysningene da ikke lenger vil være "personopplysninger" slik dette er definert i personopplysningsloven § 2 nr 1 fordi opplysningene ikke lenger kan knyttes til enkeltpersoner. Pseudonymisering må anses som betryggende i forhold til å hindre uautorisert re-identifikasjon, jfr Dag Wiese Schartum og Lee A Bygrave Personvern i informasjonssamfunnet, Fagbokforlaget, Oslo 2004:198 og NOU 1993:22 Pseudonyme helseregistre. I dette tilfellet oppbevares også koblingsbroen av en tredjepart, SSB, som utfører koblingen. Riktignok er koblingen "enkel" i en teknisk forstand, men organiseringen gir etter Personvernnemnda oppfatning liten risiko for at identifiserbare personopplysninger vil bli brukt på en måte som krenker den registrertes personvern.

Koblingsbroen blir oppbevart hos SSB og resultatet av koblingen ligger hos HUNT. De filene som forskerne ved HUNT får tilgang til vil i praksis fremstå som fullstendig anonymisert. Det vil ikke være mulig for en forsker ved HUNT å skaffe seg tilgang til en persons identitet ved hjelp av koblingsbroen uten å henvende seg til SSB, og derved få oversatt SSB-løpenummeret til fødselsnummer. Et uautorisert forsøk på dette ville bli avvist av SSB.

Datatilsynet mener at koblingsbroen representerer en risiko for den registrerte, jf siste avsnitt side 2 i Datatilsynets oversendelsesbrev. Personvernnemnda deler ikke Datatilsynets vurdering om at etableringen av en stor, pseudomymisert forskningsfil innebærer en trussel for personvernet. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto større mulighet er det - rent teoretisk- for å finne ut hvem denne personen er ("bakveisidentifisering"). Samtidig øker oppgavens kompleksitet, og dermed de forbundne omkostningene. Jo flere personer som er med i registeret, desto vanskeligere blir det å identifisere enkeltpersoner ut fra konstellasjoner av variable. Hvis noen likevel skulle klare å sammenstille så mange variable om et individ fra HUNT-filene at det ut fra dette blir mulig å gjette - med større eller mindre grad av sikkerhet - vedkommendes identitet, er dette imidlertid en risiko som eksisterer uavhengig av koblingsbroen. Det at koblingsbroen finnes, tilfører i denne sammenheng ingen risiko ut over den som ligger der fra før.

Personvernnemnda har vurdert risikoen for illojal bruk av de innsamlede opplysninger ved å knytte dem opp mot andre opplysninger som ikke er omfattet av samtykket fra den registrerte. Personvernnemnda er kommet til at denne risikoen ikke er tilstrekkelig til å nekte lagring av koblingsbroen.


6.3. Unnlatt sletting ved opphør av konsesjon

Datatilsynet har pekt på at koblingsbroen opprinnelig ble opprettet i forbindelse med et prosjekt 14.12.1999, en konsesjon som ikke lenger er gyldig etter overgangsreglene i personopplysningsloven § 51 jf helseregisterloven § 36. Det ble i konsesjonen presisert at broen måtte slettes etter at den aktuelle sammenstilling av opplysninger ble foretatt. Datatilsynet har uttrykt forståelse for at broen ble oppbevart etter sammenstillingen av hensyn til kvalitetssikring. Fordi broen ikke var slettet, ble det gitt nye tillatelser til bruk av samme bro. Datatilsynet understreker at tidsbegrensningen har vært reell, og understreker at hvis det "stadig skal gis nye tillatelser for utvidet oppbevaring, vil det opprinnelige vilkåret om sletting fremstå som illusorisk" (oversendelsesbrev av 23.12.2004).

Personvernnemnda slutter seg til dette. Datatilsynet utelukker ikke (oversendelsesbrev av 23.12.2004 pkt 4) at klager i dette tilfellet, på grunn av innvilgelse av konsesjon i senere prosjekt, kan ha oppfattet situasjonen slik at det ble ført en løpende dialog om betingelsene for oppbevaring av koblingsbroen. Som Datatilsynet understreker, kan ikke tilsynet uformelt avvike fra konsesjonens vilkår. Det påhviler også konsesjonær, i dette tilfellet klager, å bidra til at en mulig uenighet blir formulert så tidlig som mulig, og eventuelt finner sin avklaring gjennom klage.

Som Datatilsynet fremhever i oversendelsesbrevet har HUNT verken "benyttet eller hatt mulighet til å benytte koblingsbroen ureglementert", det er derfor ikke bruken av broen, men den rene forlengende oppbevaringen som strider mot konsesjonens vilkår. I dette tilfellet legger Personvernnemnda ikke selvstendig vekt på at broen er blitt oppbevart utover den frist som gjaldt etter konsesjonene på grunn av den forlengelse av oppbevaringen som skjedde ved etterfølgende konsesjoner, og den uklarhet som kan ha oppstått i denne forbindelse.


6.4. Konklusjon

Personvernnemnda er kommet til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte. Koblingsbroen kan tillates oppbevart i ti år regnet fra 1.1.2003.


7. Vedtak

Klagen tas til følge.

Saken sendes tilbake til Datatilsynet, som har kompetanse til å gi konsesjon jf personopplysningsloven § 33, 1.ledd, 1.pkt, jf personopplysningsloven § 9 sml personopplysningsloven § 8 litra d og personopplysningsloven § 9 litra h.

Oslo, 2.9.2005

For Personvernnemnda

Jon Bing
Leder