Rutine for behandling av personopplysninger i helseforskning, student- og kvalitetssikringsprosjekter ved VID vitenskapelige høgskole

Denne rutinen gjelder for behandling av personopplysninger i medisinsk og helsefaglig forskning slik dette er beskrevet i helseforskningsloven. Formålet med rutinen er å sikre at alle forskningsetiske og personvernmessige hensyn er ivaretatt. Merk at ikke alle helserelaterte prosjekter faller inn under denne definisjonen. Dersom du er i tvil om ditt prosjekt faller inn under helseforskningsloven, kan du konsultere REKs nettsider.

Personopplysninger

EUs personvernforordning definerer personopplysninger som «enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet».

Behandling av personopplysninger i helseforskning

Med «behandling» menes enhver formålsbestemt bruk av opplysninger om en fysisk persons helse, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, jf. helseregisterloven § 2 b).

Anonymisert

Betyr at det er umulig å knytte opplysninger til enkeltpersoner. Det skal ikke bare være umulig for behandlingsansvarlig, men også for andre.

Avidentifisert

Med ”avidentifisert” menes opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. For å regnes som avidentifiserte, skal dataene være bearbeidet slik at de uten løpenummer fremstår som anonyme. Avidentifiserte data er anonyme hvis filen med koblingsnøkler er fjernet.

Ansvarsfordelingen i VID er den samme som angitt i VIDs rutine for behandling av personopplysninger i forskning og studentoppgaver.

• Bestemme formålet med bruken av forskningsdataene.
• Utarbeide samtykkeerklæring og informasjonsskriv etter kravene til dette i helseforskningsloven § 13. Det finnes mal på nettsidene til REK.
• Sende søknad om godkjenning av forskningsprosjektet til REK og melde prosjektet til Sikt. Her finner du Sikts elektroniske meldeskjema. Kvalitetssikringsprosjekter trenger ikke godkjenning fra REK.
• Ved samarbeid med forskere fra andre institusjoner, må de samarbeidende partene avgjøre hvem som har det formelle behandleransansvaret. Samarbeidet skal skriftliggjøres i form av en avtale som blant annet omfatter ansvarsfordeling og økonomi, ansvarsstruktur, hvem som initierer prosjektet, bruk av data, prinsipper for eierskap og begrunnelse dersom forskningsdataene ikke blir gjort åpent tilgjengelig. VID har utarbeidet en egen mal for slik avtale. Prosjektleder må gjøre seg kjent med gjeldende rutiner for behandling av personopplysninger ved samarbeidende institusjoner.
• Vurdere om det foreligger behov for en personvernkonsekvensvurdering. VID har utarbeidet en egen sjekkliste for dette. Ta kontakt med personvernombudet ved VID: personvernombud@vid.no. Merk at det er Sikt som utfører personvernkonsekvensvurderingen i samarbeid med den enkelte forsker.
• Dersom prosjektet involverer overføring av personopplysninger til land utenfor EØS-området, må prosjektleder kontakte personvernombudet ved VID: personvernombud@vid.no
• Sikre taushetsplikt. Prosjektleder skal påse at alle medarbeidere i forskningsprosjektet som har taushetsplikt, underskriver erklæring om dette og at taushetserklæringene oppbevares forsvarlig. Mer at det som opphever taushetsplikten er enten: samtykke fra den personen opplysningene gjelder, helseforskningsloven §§ 13-17 og §§ 17-19; eller dispensasjon fra taushetsplikt, helseforskningsloven §§ 28 og 35.
• Foreta risikovurdering. Prosjektleder skal sørge for at det gjennomføres en risikovurdering av prosjektet. Relevante momenter å risikovurdere er:
  • metode for tilgangsstyring til forskningsdata
  • om en evt forskningsfil er tilfredsstillende avidentifisert
  • om en evt koblingsnøkkel er tilfredsstillende sikret

Prosjektleder har underveis i prosjektet ansvar for å:

• påse at innhenting av forskningsdata skjer i samsvar med samtykkeerklæringen, samt det som er opplyst til NSD og REK. Personopplysninger skal alltid behandles i samsvar med VIDs rutine for behandling av personopplysninger i forskning og studentprosjekter.
• sørge for at forskningsdataene til enhver tid er sikkert lagret og at kun prosjektdeltakere får tilgang til forskningsdataene. Prosjektleder må ha oversikt over hvem som til enhver tid har tilgang til forskningsdataene. Prosjektleder har ansvar for å avslutte tilganger når dette er nødvendig. Dette gjelder både når data oppbevares elektronisk og på papir. Prosjektleder skal på forespørsel kunne gjøre rede for hvem som har tilgang til dataene.
• sørge for at lagring og håndtering av aktive forskningsdata skjer i henhold til de til enhver tid gjeldende rutiner for dette ved VID.
• påse at evt medarbeidere får nødvendig opplæring i informasjonssikkerhet.
• påse at avvik behandles fortløpende i henhold til VIDs avviksrutine.
• sørge for at det jevnlig gjennomføres sikkerhetsrevisjon av forskningsprosjektet. Spesielt er dette viktig ved langvarige forskingsprosjekter. Frekvensen for sikkerhetsrevisjon vurderes etter forskningsprosjektets størrelse, omfang, antall forskningsdeltakere, varighet og graden av personvernutfordringer i prosjektet.
• ivareta retten til innsyn. Forespørsler om innsyn skal besvares uten ugrunnet opphold, og senest innen 30 dager.
• påse at helse-og personopplysninger ikke utleveres til utenforstående. Utlevering av helse forskningsdata skjer i samsvar med samtykkeerklæringen fra registeret eller godkjenningen fra REK.
• påse at personopplysninger ikke blir overført til land utenfor EØS-området. Dersom prosjektet involverer overføring av personopplysninger til land utenfor EØS-området, må prosjektleder kontakte personvernombudet ved VID: personvernombud@vid.no.
• behandle tilbaketrekking av samtykke: Om forskingsdeltaker trekker tilbake samtykket til å delta i et forskningsprosjekt skal prosjektleder sørge for at forskningen på vedkommendes biologiske materiale eller forskningsdata opphører. Den som har trukket samtykket kan kreve at materialet destrueres og forekomsten om vedkommende i forskningsdataene og forskningsfilen slettes innen 30 dager. Retten til å kreve sletting eller destruksjon gjelder ikke:
  • hvis materialet etter bearbeiding inngår i et annet biologisk produkt
  • hvis forskningsdata allerede har inngått i utførte analyser

Avgjørelser om sletting skal tas av prosjektleder, men avgjørelsen kan klages inn for REK. Alle slettinger skal dokumenteres og skal være sporbare. Dersom sterke samfunns- eller forskningshensyn tilsier det, kan REK etter søknad fra forskningsprosjektet likevel tillate fortsatt forskning på materialet / forskningsdataene.

Om forskningsfil

• Prosjektleder har ansvar for å opprette koblingsnøkkel og generere evt forskningsfil, herunder sørge for at graden av personidentifisering i forskningsfilen samsvarer med det som er oppgitt til REK. Prosjektleder skal påse at både forskningsfilen og filen med koblingsnøkler sikres. Prosjektleder skal sørge for å rette uriktige opplysninger, oppdatere foreldede opplysninger og supplere ufullstendige opplysninger. Prosjektleder skal påse at all registrering, endring og sletting av data i forskningsfilen hendelsesregistreres og kontrolleres.
• Ved multisenterstudier må det avtales gjensidige forpliktelser mellom partene slik at kvalitet og integritet til forskingsfilen ivaretas. En slik avtale skal skriftliggjøres.

Om lagring av data

• Lagring og behandling av personidentifiserbare eller avidentifiserte data skal foregå via VIDs systemer eller i systemer der det foreligger en databehandleravtale med VID. Helseopplysninger som er direkte identifiserbare skal kun lagres i kryptert form eller på områder med høy grad av sikkerhet, slik som VIDs forskningsserver. VID har i tillegg inngått en avtale med Tjeneste for Sensitive Data – TSD. Ved ønske om å benytte seg av TSD, ta kontakt med prorektor for forskning.
• Privat utstyr (hjemme-PC) må kun brukes der det er gitt tillatelse til dette. Ved lagring på privat utstyr gjelder regelen om at personopplysninger alltid skal lagres kryptert.
• Hovedregelen er at data som inneholder helse-og personopplysninger skal avidentifiseres. Forskningsdata og identifiserende elementer (koblingsnøkkel) skal lagres hver for seg og på en slik måte at kun prosjektdeltakere har tilgang.
• Papirbaserte forskningsdata som ikke er anonymiserte, skal alltid lagres i låst skap. Dersom papirbaserte forskningsdata oppbevares i skap på kontor, må kontoret låses når man forlater det.
• Koblingsnøkler på papir skal oppbevares i låsbart skap og atskilt fra person- og helseopplysninger. Dersom både persondata og koblingsnøkkel lagres elektronisk, er det krav om at disse lagres atskilt.
• Prosjektmedarbeidere skal normalt ikke skal ha tilgang til koblingsnøkkel. I de tilfeller hvor prosjektmedarbeidere har tilgang til koblingsnøkkelen, er ikke lenger dataene å anse som avidentifiserte, men som direkte personidentifiserbare, noe som skjerper kravene til forsvarlig behandling og oppbevaring.

Om overføring av data

• All overføring av data skal skje kryptert. Kontakt IT-tjenesten på ditt campus for bistand med kryptering.

• Prosjektleder skal ved prosjektets slutt sørge for at forskningsdataene anonymiseres eller slettes, med mindre Regional etisk komité (REK) og NSD har godkjent eller pålagt fortsatt oppbevaring. Prosjektleder må sørge for at kopier av dataene blir håndtert på samme måte. En full anonymisering er likestilt med sletting. Anonymisering foregår vanligvis ved å slette koblingsnøkkelen. Hvis dette ikke er utført, må alle direkte og indirekte personidentifiserbare opplysninger fjernes fra forsknings-dataene.
• Dersom dataene skal slettes: påse at sletting skjer på en hensiktsmessig, fullstendig og sikker måte i henhold til de krav som er stilt fra for eksempel REK, NSD, informasjonsleverandøren, eller det er gitt informasjon om dette i forbindelse med innhentingen av samtykke. Sletting skal skje på en slik måte at det ikke er mulig å reversere prosessen. Dette innebærer at alle lagringsmedia må slettes for informasjon slik at det ikke er mulig å gjenskape forskningsdata eller en eventuell forskningsfil. En full anonymisering er likestilt med sletting.
• Kildedata eller andre forskningsdata og dokumenter skal ikke slettes dersom tilsynsmyndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Granskingsutvalget eller lokalt behandlingsapparat for uredelighet i forskning.

Eventuell oppbevaring av forskningsdata etter prosjektslutt

• Hvis forskningsdata skal oppbevares lenger enn det opprinnelige samtykket gir rett til, må det innhentes nytt samtykke fra forskningsdeltaker. Prosjektleder kan søke REK om dispensasjon for videre oppbevaring uten samtykke.
• Dersom personopplysninger skal lagres etter at prosjektet er avsluttet, må prosjektleder informere om dette når prosjektet meldes til NSD. Prosjektleder har ansvar for å gjøre rede for hvilke samfunnsinteresser som kan ivaretas gjennom slik lagring, hva som er formålet med videre lagring og hvilke eventuelle ulemper det kan medføre for den som er registrert. Opplysningene skal lagres i samsvar med VID sine til enhver tid gjeldende retningslinjer og vurderinger.

Plikt til lagring

• I enkelte sammenhenger kan det være oppbevaringsplikt for forskningsdataene av hensyn til etterkontroll og tilsyn.
• REK kan bestemme at forskningsdataene skal oppbevares i inntil 5 år etter at prosjektet er avsluttet.
• Kontraktsbestemmelser kan også tilsi lengre lagringstid. Enkelte helseopplysninger kan være oppbevarings-pliktige etter pasientjournalforskriften eller arkivloven.
• Når studenter eller prosjektmedarbeidere slutter, skal prosjektleder forsikre seg om at forskningsmateriale disse har innhentet eller har hatt tilgang til, er sikkert lagret. Kildedata eller andre forskningsdata og dokumenter skal ikke slettes dersom tilsyns-myndighetene har åpne saker tilknyttet forskningsprosjektet, eller dersom prosjektleder eller medarbeidere granskes i Redelighetsutvalget for forskning.