Personvern

Fra 1. november er det eSkjema som skal benyttes for melding av nye prosjekter til personvernombudet.
eSkjema erstatter word-meldeskjema. For å registrere inn prosjekter via eSkjema må du være innlogget som Ahus bruker og være koblet til Ahus nett/VPN. Det er ikke mulig å registrere inn prosjekter via privat- eller UiO-pc.

Endringer i prosjektet må meldes til personvernrådgiver. Utfylt endringsmeldingsskjema sendes til forskning.personvern@ahus.no

Endringsmelding for kvalitets- og forskningsprosjekter (Word)

DPIA er nytt personvernforordningen. En DPIA har som formål å identifisere personvernrisiko og finne tiltak for å redusere risiko. Per tid må det vurderes hvorvidt en DPIA skal gjennomføres eller ikke i hvert prosjekt. Det er utarbeidet en DPIA mal som skal fylles ut av prosjektleder, og deretter vurderes av personvernrådgiver. Malen er kun til internt bruk.

Personvernrådgiver og forskningsrådgivere ved avdeling for forskningsstøtte kan bistå med veiledning: Forskning.personvern@ahus.no  

REK avgjør om et prosjekt er regulert av helseforskningsloven og kan regnes som helseforskning. Ahus har i tillegg et selvstendige ansvar for å påse at informasjonssikkerheten i prosjektet er ivaretatt i henhold til lovkravet om internkontroll. Alle prosjekter skal meldes til personvernombudet, inkludert de prosjektene som er godkjent av REK.

Uavhengig av om formålet er helsetjeneste forskning, annen forskning eller kvalitetsstudie, må prosjektleder ha et hjemmelsgrunnlag for å behandle personopplysninger. Det inkluderer også avidentifiserte opplysninger.
Selv om REK anser et fremlagt prosjekt til å være kvalitetssikring og derfor ikke skal godkjennes av komiteen, avgjør ikke REK den endelige formaliseringen av et prosjekt. Dialogen føres da videre mellom prosjektleder og Personvernombudet, som tar  stilling til hvilken rettslig regulering prosjektet er underlagt

Pasientjournalloven § 6 og helsepersonelloven § 26 gir lovlig grunnlag til prosjekter og registre som besluttes etablert av leder for å  gjennomføre internkontroll og kvalitetssikring av helsehjelpen. Dette krever ledelsesbeslutning og tilrådning fra Personvernombudet.
Prosjektet har som målsetting å forbedre behandlingen av pasientene ved sykehuset, for eksempel gjennom forbedre diagnostiserings- eller behandlingsmetoder. Formålet er ikke å gjøre noe nytt, men strukturere tilgjengelig informasjon, som kan gi et bedre beslutningsgrunnlag for eventuelle endringer. Formålet er begrenset til intern aktivitet og behov ved Ahus.

Utlevering av journalopplysninger til en ekstern part forutsetter at mottaker har et hjemmelsgrunnlag og godkjenning for å motta   opplysningene.  Ahus er ansvarlig for utlevering skjer med lovlig grunnlag og utlevering skal derfor vurderes og tilrådes av   personvernombudet.  Forespørsel sendes til journalarkivet og må inneholde REK godkjenning og eksempel på usignert   samtykkeskriv eller signerte samtykker

Utlevering som krever ressurser for aktivt uttrekk av opplysninger fra journal må skje på en av følgende måter:

1. Data kan utleveres pasienter forutsatt at det er etablert et aktivt samarbeid med en Ahus ansatt. Denne kan via sine tilganger, bidra med datauttrekk fra journalsystemer og/eller rekruttering av forskningsdeltakere. Ahus ansatte blir da kreditert som medforfatter på publikasjoner iht Vancouver reglene. Det bør utarbeides en avtale mellom Ahus og samarbeidspartner før prosjektet igangsettes.
2. Dersom Ahus kun skal være leverandør av data/rekrutteringssted, skal avdelingssjef ved aktuell avdeling forespørres og forskningsansvarlig i avdelingen informeres. Eksterne prosjektmedarbeidere kan bare være bisittere ved journalgjennomgang, fordi de ikke er i linjen til adm. direktør ved Ahus. Dette innebærer at eksterne kun får tilgang til å lese relevante journaler, men ikke selv har tillatelse til å navigere i journalsystemet eller gjøre datauttrekk. Det er således avdelingssjef som skal avgjøre om avdelingen  ønsker å bidra med interne ressurser til datauttrekk/rekruttering. Alternativt kan ekstern prosjektleder frikjøpe en Ahus ansatt som kan gjøre oppslag i journal etter godkjenning av avdelingssjef. Eksterne bisittere må signere taushetserklæring. Det bør utarbeides en avtale mellom Ahus og samarbeidspartner før prosjektet igangsettes.

Databehandlingsansvarlig er den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes. En Databehandler er en ekstern part som behandler personopplysninger på vegne av Databehandlingsansvarlig, dette skal være skriftlig regulert i en avtale

Norsk - databehandleravtale (Word)

Engelsk - databehandleravtale (Word)

En datahåndteringsplan er et verktøy for håndtering av forskningsdata. Planen beskriver hvordan data skal håndteres underveis i prosjektperioden og etter at prosjektet er avsluttet. Hensikten er å vurdere ulike aspekter ved håndteringen av forskningsdata, fra innsamling/generering, prosessering, analyser, dokumentasjon, til lagring og framtidig deling av data. En datahåndteringsplan skal bidra til at forskningsdata kan håndteres lovlig, strukturert og sikkert, samt kan lagres, gjenbrukes og forstås i framtiden.

Enkelte prosjekter har krav om datahåndteringsplan:

For alle prosjekter som får finansiering fra Forskningsrådet, skal prosjektansvarlig institusjon vurdere behovet for – og kvaliteten på – en eventuell datahåndteringsplan. Dersom prosjektansvarlig beslutter at prosjektet ikke skal utarbeide en datahåndteringsplan, må Forskningsrådet motta en begrunnelse for dette når prosjektleder sender inn revidert søknad. Avdeling for forskningsstøtte kan kontaktes for råd og veiledning.

EU prosjekter som er finansiert av H2020 er pålagt å utvikle en datahåndteringsplan innen 6 mnd etter mottatt finansiering.

I kliniske legemiddelutprøvinger må det etableres en datahåndteringsplan.

Nyttige lenker:

Felles redelighetsutvalg skal behandle saker om mulig brudd på anerkjente forskningsetiske normer.

Kontakt: Karin.Anne.Vassbakk@ahus.no