Innebygd personvern i praksis

ANONYMT: Med den nye RAIRD-løsningen kan forskere få tilgang til viktige registere gjennom et anonymiserende grensesnitt som ivaretar personvernet.

Innebygd personvern i praksis

Ny norskutviklet løsning gjør det mulig å forske på registerdata uten å se personopplysninger. Reduserer problemer med personvern i forskningen.

I Norge finnes noen av verdens beste befolkningsregistre, for eksempel Kreftregisteret, som har statistikk og historiske data helt fra 50-tallet fram til i dag. Dette er naturligvis svært attraktive kilder for forskere å studere, men alle registre som inneholder persondata er underlagt svært strenge regler for slik bruk. Det skal den norskutviklete løsningen RAIRD gjøre noe med.

Ny infrastruktur

I utgangspunktet er det ikke lov til å bruke persondata, særlig sensitive persondata, til noe annet enn det de opprinnelig ble samlet inn for. Det gjør at forskere som ønsker å bruke registerdata i sine studier, har et problem. Personopplysningene skal beskyttes, og det kan forsinke, fordyre eller til og med stanse forskning på dem.

Nå har Norsk senter for forskningsdata og Statistisk sentralbyrå utviklet en ny infrastruktur som gjør at det er mulig å forske på registerdata uten at forskerne ser opplysninger som identifiserer personer.

Løsningen RAIRD lar forskeren sette sammen den populasjonen og de analysene hun er ute etter på grunnlag av databeskrivelser, såkalte metadata. Dette går inn i systemet og blir behandlet i et miljø som forskeren ikke har tilgang til. Resultatene kommer ut gjennom et filter som sikrer at de er anonyme, skriver Veronica Jarnskjold Buer i Datatilsynet på Personvernbloggen til tilsynet.

Innebygd personvern

Når den nye Personopplysningsloven som er basert på EUs GDPR-lovgivning trer i kraft neste vår, vil det komme nye krav til de som behandler personopplysninger. Blant annet forsterkes et ansvarlighetsprinsipp, der forskere, databehandlingsansvarlige og databehandlere etter lovverket ikke bare har ansvar men også må demonstrere at de tar ansvar.

En av måtene å gjøre det på, er å bruke systemer med innebygd personvern. Det er it-systemer som tar hensyn til personvern og datasikkerhet gjennom hele utviklingsløpet til løsningen. Det skal være åpenhet om hvordan systemet fungerer og behandler personopplysninger, det skal legges til rette for innsyn i egne opplysninger og være mulig å kontrollere at systemet ivaretar personvernet.

Ifølge Datatilsynet er RAIRD-løsningen god, og et godt eksempel på innebygd personvern i praksis.

Buer avslutter bloggposten med å skrive at «Gode og omfattende registerdata er både en mulighet og en risiko. RAIRD er viktig fordi systemet bygger personvernet inn i teknologien. Det gir forskerne raskere tilgang til viktige data, samtidig som det øker sikkerheten for oss som blir forsket på».