Hva er forskjellen på avidentifisert og anonymt?

Forskjellen mellom avidentifisering og anonymisering har stor praktisk og formell betydning for helsepersonell og forskere. I lovgivningen brukes også uttrykket "indirekte identifiserbare personopplysninger", som skal forstås på samme måte som avidentifisert.

Avidentifiserte ver​​sus anonyme opplysninger

I helsesektoren brukes det store mengder helseopplysninger i pasientbehandling, kvalitetssikring, kvalitetsstudier og forskning. Opplysninger som brukes i pasientbehandling dokumenteres i den elektroniske pasientjournalen. Ofte ønsker man å gjennomføre en kvalitetssikring av pasientbehandlingen ved å opprette et register ved å hente data fra journalen. Disse dataene hentes fra journalsystemet og lagres i spesialsystemer for analyse av data, eller bare i en fil som legges på et dataområde hvor noen få har tilgang. På samme måte etablerer man registre ved å trekke ut data til bruk i medisinsk forskning eller kvalitetsstudier.

Data som brukes til kvalitetssikring eller forskning skal så langt det er mulig behandles uten personidentifiserbare kjennetegn. Dette innebærer i praksis at man enten avidentifiserer eller anonymiserer opplysningene. Avidentifisering innebærer at navn og fødselsnummer erstattes med en unik kode. Opplysningene kan tilbakeføres til personen ved å slå opp i en fysisk adskilt kodeliste. Avidentifiserte opplysninger regnes som personopplysninger, og behandlingen av dem reguleres av personopplysingsloven og helseforskningsloven.

Med anonymisering menes det at det ikke lenger er mulig å finne tilbake til personen som opplysningene angår, verken via en kodeliste, eller at opplysningene i seg selv avslører hvem personen er. Hvis man for eksempel først avidentifiserer opplysningene ved å opprette en kodeliste og deretter sletter kodelisten, så kan opplysningene være anonymiserte dersom ikke opplysningene i seg selv avslører hvem personen er. Anonymiserte opplysninger er ikke personopplysninger og reguleres ikke av personvernlovgivningen.

På sykehuset skal avidentifiserte opplysninger behandles på samme måte som personidentifiserbare opplysninger. Det vil si at de må lagres i godkjente systemer som er under sykehusets kontroll. Sykehuset er pålagt å sørge for tilfredsstillende informasjonssikkerhet og internkontroll ved behandling av personopplysninger. Derfor skal sykehuset ha instruksjonsrett over de som har tilgang til opplysningene.

Hvordan anon​ymis​​​ere?

Selv om man fjerner direkte identifiserende opplysninger som navn og fødselsnummer fra opplysningene, eller sletter kodelisten, så vil ofte dette ikke være nok. Man må også fjerne:

• Adresse og postnummer
• Telefonnummer
• Pasientnummer/NPR-ID
• Kontonummer
• Sertifikatnummer
• Registreringsnummer på bil
• Link til personlige sider på nettet (f.eks. blogg)
• E-postadresser
• Biometriske kjennetegn

Andre eksempler på opplysninger som må vurderes fjernet er:

• Fødselsdato
• Innleggelses- og utskrivningsdato
• Bilder

Denne listen er ikke uttømmende, men ment som eksempler på hva som må vurderes ved anonymisering. Først når man er sikker på at opplysningene ikke kan knyttes til en gruppe på færre enn 5 personer, ansees opplysningene som anonymiserte. Hvis man for eksempel har en svært sjelden diagnose, eller bor på et lite sted, vil kanskje opplysningene kunne tilbakeføres til en slik gruppe. Det må derfor gjøres en vurdering i hvert enkelt tilfelle.

Lydopptak av stemmen til enkeltindivider vil aldri være anonyme uten at det tas i bruk stemmefordreiningsteknologi. Videoopptak uten stemme vil likevel kunne være identifiserbar dersom andre karakteristika ved individet er synlig, f.eks. tatoveringer, gangart o.l.

Hvilken praktisk betydning ha​​​r det?

For en avdelingsleder som ønsker å oppstille pasientopplysninger i et register til intern kvalitetssikring, eller for en forsker med behov for data som skal kunne verifiseres opp mot faktiske kilder, har det stor formell og praktisk betydning hvorvidt dataene er avidentifiserte eller anonyme.

Behandling av avidentifiserte data forutsetter som hovedregel samtykke fra den registrerte, i tillegg til godkjenning fra Regional komité for medisinsk og helsefaglig forskningsetikk (REK) eller personvernombud. Dataene krever sikring og kontroll som personopplysninger, i tråd med sykehusets eller forskningsinstitusjonens rutiner for internkontroll.

Anonymiserte data er derimot ikke lovregulerte, forutsatt at de er generert på lovlig vis, ref. taushetspliktsreglene for oppslag i pasientjournaler og andre personregistre. Slike data krever ingen sikrings- eller kontrollrutiner, eller forskningsetiske eller personvernmessige godkjenninger. Det kreves heller ikke samtykke fra personene som er kilde til dataene.

Nedenfor vil vi imidlertid vise at alle betenkeligheter forsvinner ikke, selv om dataene er anonymiserte. Det er også et moment at data som med dagens teknologi regnes som anonyme, ikke nødvendigvis forblir anonyme over tid ettersom teknologien utvikler seg. Eksempelvis vil publisering av genomdata på internett i flere tilfeller være anonyme i dag, mens tilgjengelighet til ny teknologi vil kunne gjøre det mulig for utenforstående å koble dataene tilbake til den enkeltes identitet. Det er også en utfordring at mange i vårt samfunn har tilgang til informasjon om enkeltpersoner, eksempelvis NAV, apotekene, andre sykehus. Mange har mulighet for å koble tilsynelatende anonyme data med annen tilgjengelig informasjon, og dermed identifisere enkeltpersoner.

Studier viser at det er sannsynlig at mellom 63% (Golle 2006) og  87% (Sweeney 2000) av befolkningen i USA kunne identifiseres bare ved bruk av kjønn, postnummer og fødselsdato.

Studier viser også at det er mulig å tilbakeføre opplysninger som finnes i offentlige tilgjengelig databaser (McGuire og Gibbs 2006). Senest i januar 2013 ble det publisert en artikkel (Gymrek, McGuire, Golan, Halperin, Erlich 2013) der man  avdekket hvor enkelt det var å koble publiserte genomdata med annen og åpent tilgjengelig informasjon, som sammen gav sikker identifikasjon av enkeltpersoner.

"Anonymt på fors​​​kers hånd"

Uttrykket "anonymt på forskers hånd" brukes for å beskrive en situasjon hvor forsker har tilgang til opplysninger, men ikke tilgang til kodelisten. Slike opplysninger er avidentifiserte, og opplysningene må behandles i henhold til reglene for personopplysninger. Det avgjørende er om noen har en kodeliste, ikke om forskeren har tilgang til den.

Tilbakeføring av opplysninge​​​r som kan skade grupper

Når man anonymiserer, fjerner man identifiserende informasjon, man fjerner ikke nødvendigvis informasjon om tilhørighet til en gruppe, for eksempel etnisitet, kjønn, religion aller annet. Forskning som fokuserer på slike grupper vil kunne lede forskeren til å konkludere med at visse grupper har en viss sannsynlighet for å utvikle en viss sykdom. Hvis denne sykdommen er stigmatiserende, vil man kunne si at alle medlemmer av gruppen skades.

Det finnes også mange andre måter grupper kan stigmatiseres, for eksempel gjennom tap av status i samfunnet. Risikoen for skadevirkninger for grupper assosieres ofte med genetisk forskning, fordi visse populasjoner som er definert sosialt av etnisitet ofte har en høyere frekvens av visse genotyper.

Et eksempel på en gruppe som ble skadelidende er en indianerstamme på 650 medlemmer som levde på et isolert sted i en ubebodd del av Grand Canyon. Stammen tok opprinnelig kontakt med forskere ved Arizona State University for å få hjelp med å finne årsaken til den store forekomsten av diabetes i stammen. Forskerne studerte og publiserte imidlertid også, uten samtykke fra medlemmene i stammen, forekomster av schizofreni, innavl og stammens vandringer. Stammen gikk til sak mot universitetet og ble tilkjent erstatning. Se artikkel i NYTimes.

Tap av ti​​llit

Mange pasienter ser ikke forskjell på helsepersonell og forskere fordi det ofte er de samme personene som gjør begge deler. Hvis pasienten blir skuffet  over hvordan egne opplysninger behandles i forskning, vil han eller hun sannsynligvis også få mistillit til pasientbehandlingen. Dette kan igjen resultere i at pasienten for eksempel utsetter egen behandling, bruker andre ineffektive behandlingsmetoder, søker seg til sykehus som ikke driver med forskning eller nekter å delta i forskningsstudier.

Forventninger om samtykke til forskning ​​på helse

Studier gjennomført de siste årene viser at mennesker ønsker at deres opplysninger og biologiske materiale kan brukes til forskning, men de ønsker å bli spurt. Hull mfl. (2008) gjennomførte en spørreundersøkelse mot 1193 pasienter om de ønsket at «anonymt» biologisk materiale kunne brukes for forskning. 57% svarte at det var nødvendig med samtykke, 43% sa at det var nok med informasjon. Pasientene ønsket i større grad å samtykke hvis de hadde mer utdannelse, var svarte, mindre religiøse, i bedre helse, ønsket mer privatliv og stolte mindre på forskere.

Det finnes lignende tall for bruk av avidentifiserte helseopplysninger. Westin (2007) fant at 38% av respondentene ønsket samtykke, mens 13% ikke ønsket at opplysningene skulle brukes i det hele tatt. 28% så at samtykke ikke var nødvendig, 20% sa at de var usikre.

Oppsu​mmert

Tilgang til informasjon om enkeltpersoner gir mange muligheter, men for å ivareta befolkningens tillit til de som er satt til å forvalte personopplysninger, er det avgjørende å beherske forskjellen mellom anonyme og avidentifiserte data. Det gjelder enten man skal kvalitetssikre egen virksomhet, forske eller publisere enkeltcase i tidsskrifter. Ansvaret for at det håndteres korrekt ligger både til virksomheten og til den enkelte som behandler opplysningene.