Lämna ut patientdata

Forskning

Fråga:

I egenskap av personuppgiftsombud för landstinget vänder jag mig till Datainspektionen med begäran om samråd.

I länet finns en stiftelse som önskar få tillgång till uppgifter från en av landstingets databaser för de projekt som stiftelsen genomför.

Stiftelsen ägs av landstinget och kommunen. Stiftelsen har till uppgift att initiera och genomföra forskning. Stiftelsen verkar också för att praktiskt omsätta erfarenheter och forskningsresultat inom områden av särskild betydelse för äldres situation i samhället. Stiftelsen står på en tvärvetenskaplig grund. Forskningsverksamheten spänner över ett brett fält, från grundforskning till tillämpad forskning och metodutveckling. En växande verksamhet är kvalificerade utredningar på uppdrag av kommuner och landsting.

Den aktuella databasen innehåller avidentifierad patientinformation avseende samtliga öppenvård- och slutenvårdstillfällen, liksom besök hos privata vårdgivare, vilka finansierats av landstinget.

Jag anser att landstinget med stöd av tillämplig lagstiftning har möjlighet att lämna ut informationen i databasen för angivet ändamål. För att eliminera varje möjlighet att identifiera enskild individ ur materialet anser jag att följande information ska rensas ut materialet före utlämnandet:

  • vårdhändelsenummer
  • födelsemånad (ink sekel)
  • basområdeskod.

Jag önskar nu besked om huruvida Datainspektionen delar min uppfattning att ett utlämnande kan ske.

Svar:

Du har begärt samråd för att få besked om det är förenligt med bestämmelserna i personuppgiftslagen att lämna ut patientinformation ur den aktuella databasen för sådana forskningsprojekt som stiftelsen genomför. Landstinget avser enligt skrivelsen att före utlämnandet ta bort den information som kan hänföras till enskilda individer.

Personuppgiftslagen är tillämplig på behandling av personuppgifter. Personuppgifter är enligt definitionen i personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Det är således tillräckligt att informationen indirekt kan hänföras till en individ för att den skall bedömas som en personuppgift. Också i sig anonyma uppgifter som gör det möjligt med så kallad bakvägsidentifikation av en fysisk person omfattas av lagens bestämmelser. I vissa fall kan uppgifter direkt hänföras till en så begränsad grupp personer att en enskild individ med hjälp av andra uppgifter enkelt kan identifieras och uppgifterna betraktas även i sådant fall som personuppgifter.

Om det inte är möjligt att koppla uppgifterna till enskilda individer är det inte längre fråga om personuppgifter och personuppgiftslagen är följaktligen inte tillämplig. Det förutsätter att Landstinget inte bevarar någon form av kodnyckel som möjliggör uppdatering av uppgifterna. De koder som lämnas ut får inte vara möjliga att sammankoppla med en viss individ hos landstinget. Det planerade utlämnandet faller följaktligen utanför personuppgiftslagens tillämpningsområde om samtliga koder som går att härleda till enskilda individer tas bort före utlämnandet och landstinget inte bevarar någon kodnyckel som gör det möjligt att göra fler uttag ur samma material.

Om det visar sig att de aktuella uppgifterna utgör personuppgifter i personuppgiftslagens mening måste forskningsprojekten först godkännas vid etikprövning för att överhuvudtaget få genomföras (19 § personuppgiftslagen, 6 § etikprövningslagen). I annat fall måste varje patient ge sitt uttryckliga samtycke till att uppgifterna lämnas ut för att användas i forskning.

(April 2005)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.