8.3 KiB
Rapport: Utfylling av manglende rettsgrunnlag
Resonnement for utfylling
Jeg har gjennomgått de manglende feltene for "Supplerende rettsgrunnlag" i den opprinnelige teksten. Basert på norsk rett og praksis for behandling av helseopplysninger, har jeg gjort følgende vurderinger:
-
Post 1: Forskning (Samtykke)
- Vurdering: Selv om samtykke (GDPR art. 6 nr. 1 a) er det primære rettsgrunnlaget, reguleres medisinsk og helsefaglig forskning spesifikt av helseforskningsloven.
- Konklusjon: Helseforskningsloven § 13 fastslår hovedregelen om at det kreves samtykke. Dette er den nasjonale lovhjemmelen som operasjonaliserer samtykkekravet i forskningssammenheng. Derfor er det korrekt å henvise til denne.
- Utfylt verdi: Helseforskningsloven § 13
-
Post 3: Helseanalyse (Samtykke)
- Vurdering: For helseanalyse basert på samtykke, gjelder de generelle reglene i personvernforordningen. Det er ingen spesifikk "unntaksbestemmelse" som må aktiveres slik som ved behandling uten samtykke (f.eks. helsepersonelloven § 29). Helseregisterloven regulerer opprettelse av registre, men ved samtykke er det samtykket som bærer behandlingen.
- Konklusjon: Ingen spesifikk supplerende lovhjemmel er strengt påkrevd utover selve samtykket og de generelle kravene.
- Verdi: -
-
Post 6: Kvalitetssikringsprosjekter (Samtykke)
- Vurdering: Kvalitetssikring kan ofte gjøres uten samtykke med hjemmel i helsepersonelloven § 26. Når det innhentes samtykke, er det samtykket som er grunnlaget.
- Konklusjon: Ingen spesifikk supplerende lovhjemmel er påkrevd.
- Verdi: -
-
Post 12 & 13: Administrative systemer (Samtykke / Avtale)
- Vurdering: For administrative systemer basert på samtykke eller avtale (f.eks. timebestilling, fakturering), er det sjelden krav om supplerende nasjonalt rettsgrunnlag i art. 6 nr. 3-forstand.
- Konklusjon: Ingen spesifikk supplerende lovhjemmel.
- Verdi: -
Rettlig Grunnlag for Behandling av Personopplysninger
Personvernforordningen og personopplysningsloven stiller krav om at ingen kan behandle personopplysninger uten å ha rettslig grunnlag for behandlingen.
Personvernforordningen artikkel 6 gir en uttømmende liste over hvilke rettsgrunnlag som kan gi hjemmel for behandling av personopplysninger:
- Samtykke
- Nødvendig for å oppfylle en avtale
- Nødvendig for å oppfylle en rettslig plikt
- Nødvendig for å beskytte vitale interesser
- Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet
- Nødvendig for å ivareta legitime interesser - interesseavveiing
Gjelder behandlingen særlige kategorier av personopplysninger (tidligere kalt sensitive personopplysninger, dvs. helseopplysninger, etnisk opprinnelse, fagforeningsmedlemskap, seksuelle forhold m.fl.), må man i tillegg vise at behandlingen faller inn under ett av unntakene fra forbudet mot behandling av særlige kategorier av personopplysninger i artikkel 9.
Det finnes mange ulike rettsgrunnlag. Nedenfor finner du en tabell med eksempler på hvilke rettslige grunnlag som vil kunne være relevante for henholdsvis forskning, helseanalyse, kvalitetsprosjekter, beredskap, registerforvaltning, helseundersøkelser og administrative systemer. I praksis er det mest utfordrende å finne det riktige supplerende rettsgrunnlaget.
Denne oversikten bruker Markdown Key-Value format, som er optimalisert for AI-forståelse og håndtering av lange tekstfelt.
Oversikt over Rettsgrunnlag (Optimert for AI-prosessering)
Post 1: Forskning
Kategori: Forskning Personopplysninger: Samtykke, ref. personvernforordningen (GDPR) artikkel 6 nr. 1 a) Særlig kategorier: Samtykke, ref. GDPR artikkel 9 nr. 2 a) Supplerende rettsgrunnlag: Helseforskningsloven § 13
Post 2: Forskning
Kategori: Forskning Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Vitenskapelig eller historisk forskning, ref. GDPR artikkel 9 nr. 2 j) Supplerende rettsgrunnlag: Dispensasjon fra taushetsplikt, ref. helseregisterloven § 19 e. og vedtak fra REK (evt. Helsedirektoratet), eller personopplysningsloven § 8 og 9
Post 3: Helseanalyse
Kategori: Helseanalyse Personopplysninger: Samtykke, ref. GDPR artikkel 6 nr. 1 a) Særlig kategorier: Samtykke, ref. GDPR artikkel 9 nr. 2 a) Supplerende rettsgrunnlag: -
Post 4: Helseanalyse
Kategori: Helseanalyse Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Viktige allmenne interesser, ref. GDPR artikkel 9 nr 2 g) Supplerende rettsgrunnlag: Dispensasjon fra taushetsplikt, helsepersonelloven § 29, eller personopplysningsloven § 8 og 9
Post 5: Helseanalyse
Kategori: Helseanalyse Personopplysninger: for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Allmenne folkehelsehensyn, ref. GDPR artikkel 9 nr. 2 i) Supplerende rettsgrunnlag: Dispensasjon fra taushetsplikt, helsepersonelloven § 29 eller personopplysningsloven § 8 og 9
Post 6: Kvalitetssikringsprosjekter
Kategori: Kvalitetssikringsprosjekter Personopplysninger: Samtykke, ref. GDPR artikkel 6 nr. 1 a) Særlig kategorier: Samtykke, ref. GDPR artikkel 9 nr. 2 a) Supplerende rettsgrunnlag: -
Post 7: Kvalitetssikringsprosjekter
Kategori: Kvalitetssikringsprosjekter Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Viktige allmenne interesser, ref. GDPR artikkel 9 nr. 2 g) Supplerende rettsgrunnlag: Dispensasjon fra taushetsplikt, helsepersonelloven § 29 eller personopplysningsloven § 8 og 9
Post 8: Kvalitetssikringsprosjekter
Kategori: Kvalitetssikringsprosjekter Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Allmenne folkehelsehensyn, ref. GDPR artikkel 9 nr. 2 i) Supplerende rettsgrunnlag: Dispensasjon fra taushetsplikt, helsepersonelloven § 29 eller personopplysningsloven § 8 og 9
Post 9: Registrene
Kategori: Registrene Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr. 1 e) Særlig kategorier: Forvaltning av helsetjenester og -systemer, ref. GDPR artikkel 9 nr. 2 h) Supplerende rettsgrunnlag: For eksempel SYSVAK-forskriften
Post 10: Registrene
Kategori: Registrene Personopplysninger: Nødvendig for å utføre en oppgave i allmennhetens interesse, ref. GDPR artikkel 6 nr 1 e) Særlig kategorier: Allmenne folkehelsehensyn, ref. GDPR artikkel 9 nr. 2 i) Supplerende rettsgrunnlag: For eksempel MSIS forskriften
Post 11: Befolkningsbaserte helseundersøkelser
Kategori: Befolkningsbaserte helseundersøkelser Personopplysninger: GDRP artikkel 6 nr. 1 bokstav e Særlig kategorier: GDRP artikkel 9 nr. 2 bokstav j Supplerende rettsgrunnlag: Forskrift om befolkningsbaserte helseundersøkelser
Post 12: Administrative systemer
Kategori: Administrative systemer Personopplysninger: Samtykke, ref. GDPR artikkel 6 nr. 1 a) Særlig kategorier: Samtykke, ref. GDPR artikkel 9 nr. 2 a) Supplerende rettsgrunnlag: -
Post 13: Administrative systemer
Kategori: Administrative systemer Personopplysninger: Avtale som den registrerte er part i, ref. GDPR artikkel 6 nr. 1 b) Særlig kategorier: Opplysninger om fagforeninger, ref. GDPR artikkel 9 nr. 2 d) Supplerende rettsgrunnlag: -
Post 14: Administrative systemer
Kategori: Administrative systemer Personopplysninger: Oppfylle en rettslig forpliktelse, ref. GDPR artikkel 6 nr. 1 c) Særlig kategorier: Behandlinger på arbeidsrettens, trygderettens, sosialrettens område, ref. GDPR artikkel 9 nr. 2 b) Supplerende rettsgrunnlag: Statens økonomiregelverk, statsansatteloven, arbeidsmiljøloven, folketrygdloven
Post 15: Administrative systemer
Kategori: Administrative systemer Personopplysninger: Oppfylle en rettslig forpliktelse, ref. GDPR artikkel 6 nr. 1 c) Særlig kategorier: Arkiv, ref. GDPR artikkel 9 nr. 2 a) Supplerende rettsgrunnlag: Arkivloven