Dokumentasjon

Deidentifisering

Prosessen med å fjerne eller maskere personidentifiserende opplysninger fra helsedokumenter slik at enkeltpersoner ikke kan gjenkjennes.

Forklaring

Deidentifisering er prosessen der personidentifiserende opplysninger (PII) fjernes eller erstattes i dokumenter slik at enkeltpersoner ikke kan identifiseres, verken direkte eller indirekte. I helsesammenheng er dette særlig viktig fordi journaldata inneholder sensitive helseopplysninger beskyttet av helselovgivningen og GDPR.

Det skilles mellom anonymisering (irreversibel — data kan aldri kobles tilbake til individ) og pseudonymisering (reversibel — data kan kobles tilbake via en nøkkel). Pseudonymisering er vanligst i helseforskning fordi det muliggjør oppfølging og kobling av data.

Typiske identifikatorer som må håndteres inkluderer: navn, fødselsnummer, adresse, telefonnummer, e-post, IP-adresser, bilder og unike kombinasjoner av alder/kjønn/diagnose/bosted som kan gi indirekte identifikasjon.

For Journalhjelps del er deidentifisering en kjernefunksjon: journalnotater pseudonymiseres før AI-behandling slik at personopplysninger aldri sendes til AI-tjenester. Dette sikrer GDPR-etterlevelse og pasientvern. Prosessen erstatter reelle personopplysninger med realistiske, men fiktive alternativer (f.eks. «Ola Nordmann» → «[Pasient]»).

Viktige punkter

  • Fjerning/maskering av personidentifiserende opplysninger
  • Anonymisering (irreversibel) vs pseudonymisering (reversibel)
  • Krav i GDPR og helselovgivningen for helseforskning
  • Direkte identifikatorer (navn, fnr.) og indirekte (kombinasjoner)
  • Journalhjelp pseudonymiserer journaler før AI-behandling

Eksempel fra praksis

Et legekontor ønsker å bruke Journalhjelp for å generere NAV-erklæring. Journalnotatet inneholder pasientens navn, fødselsnummer og adresse. Journalhjelps pseudonymiseringsmodul erstatter disse med plassholdere før teksten sendes til AI-modellen, slik at personopplysninger aldri forlater legekontorets kontekst.

Vanlige spørsmål

Hva er forskjellen på deidentifisering og anonymisering?

Deidentifisering er samlebegrepet. Anonymisering betyr at data aldri kan kobles tilbake til individet (irreversibel). Pseudonymisering betyr at koblingsnøkkel finnes, men er sikret separat (reversibel). GDPR gjelder for pseudonymiserte data, men ikke for anonymiserte.

Hvorfor pseudonymiserer Journalhjelp i stedet for å anonymisere?

Pseudonymisering er tilstrekkelig for å sikre at AI-tjenester aldri ser reelle personopplysninger, samtidig som det genererte dokumentet kan kobles tilbake til riktig pasient for klinisk bruk. Full anonymisering ville gjort dokumentet ubrukelig.

Hvilke opplysninger fjernes ved deidentifisering?

Typisk: navn, fødselsnummer, adresse, telefonnummer, e-post, fastlegenavn, pårørendes navn og andre direkte identifikatorer. Indirekte identifikatorer (sjeldne diagnoser, eksakt alder, småsteder) vurderes i kontekst.

Relatert innhold

Om personvern i JournalhjelpLes mer

Relaterte begreper

Databehandleravtale

Kom i gang

Spar tid på dokumentasjon

Journalhjelp fyller ut NAV-skjemaer og legeerklæringer automatisk fra journal.