Det er et klart skille mellom gjennomførende og kontrollerende dokumentasjon. Det første skal sikre at aktivitetene er i samsvar med mål og policy. Det siste skal bidra til at avvik fra mål og policy oppdages og rettes. Kontrollerende del kan også betraktes som et ”sikkerhetsnett” som bidrar til at rutiner holdes i hevd og at eventuelle avvik oppdages og lukkes. For å sikre at systemet fungerer som forutsatt og bidrar til kontinuerlig forbedring av rutinene ved fakultetet, skal det også foretas systematisk overvåking og gjennomgang av internkontrollen.
Dersom forskningsprosjekter håndteres i strid med fastlagte rutiner eller ved mistanke om eller dokumentert brudd på informasjonssikkerhet, skal fakultetet iverksette avviksbehandling. Formålet med avviksbehandling er å bringe avviket til opphør, gjenopprette normal tilstand, og hindre gjentagelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan forskningsprosjekter håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandling benyttes som grunnlag ved gjennomgang og endring av de aktuelle rutiner.
De kontrollerende elementene består av rutiner for å motta meldinger om avvik, sikre at avvik rettes, rutinemessig avvikshåndtering og intern revisjon.
Håndtering av uønskede hendelser/avvik
Ansatte som oppdager uønskede hendelser/avvik skal snarest rapportere om dette til nærmeste overordnede eller sikkerhetsansvarlig. Ledere som oppdager uønskede hendelser eller blir informert av underordnede, skal snarest rapportere dette til IS-direktør ved behandlingsansvarlig representant behandlingsansvarlig@uio.no
Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avvik skal rapporteres dersom det oppdages aktiviteter som ikke samsvarer med fastlagte prosedyrer og/eller instrukser.
Forskningsansvarliges/behandlingsansvarliges representant vil vurdere hendelsen og eventuelt kontakte:
- Personvernombud
- Universitetsdirektør og eventuelt andre fagdirektører
- Helsetilsynet
- Datatilsynet
I de aller fleste tilfeller skal prodekan for forskning følge opp saken. Eventuell varsling av Datatilsynet skjer gjennom personvernombudet.
Hvis det vurderes som sannsynlig at forskningsobjektet kan være skadelidende som følge av et avvik, skal prosjektleder kontakte forskningsansvarliges representant. I samråd skal disse diskutere de planlagte tiltakene, herunder informasjon til den registrerte. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles gjennom personvernombudet etter initiativ av behandlingsansvarliges representant.
Etter hendelsen skal det lages en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort (resultatet fra avviksbehandling). Rapporten skal sendes behandlingsansvarlig behandlingsansvarlig@uio.no. Behandlingsansvarlig vurderer om den skal videresendes personvernombudet og/eller Datatilsynet/Helsetilsynet.
Universitetsdirektøren er overordnet ansvarlig for håndtering av avvik ved UiO. USIT er gitt ansvaret for å implementere og drifte verktøy for å oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for håndtering av disse, og håndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik. Ansvaret for å implementere prosedyrer og verktøy for å oppdage og håndtere avvik som sådan påhviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.
Meldeplikt ved uønskede medisinske hendelser
Prosjektlederen skal omgående gi skriftlig melding til tilsynsmyndighetene om alvorlige samt uønskede og uventede medisinske hendelser som antas å ha sammenheng med forskningen. Prosjektlederen, andre forskere og annet personell skal av eget tiltak gi tilsynsmyndighetene informasjon om forhold som kan medføre fare for forskningsdeltakernes sikkerhet. Ved unaturlig dødsfall skal politiet varsles omgående.
Prosjektlederen skal omgående informere forskningsdeltakerne dersom de har blitt påført skade, eller det har oppstått komplikasjoner som følge av forskningsprosjektet. Prosjektlederen skal samtidig gjøre forskningsdeltakeren kjent med adgangen til å søke erstatning hos Norsk Pasientskadeerstatning og andre forsikringsordninger.
Varsling (whistle blowing)
Ved avvik fra rutiner beskrevet i dette systemet har alle ansatte plikt til å rapportere til nærmeste overordnede. Ved mistanke om juks rapporteres det også til prodekan for forskning. Slik varsling vil kunne være omfattet av bestemmelsene om varsling i arbeidsmiljølovenhttp://www.lovdata.no/all/hl-20050617-062.html#2-4, herunder vern mot gjengjeldelse.
Standardprosedyrer: Varsling ved UiO
Se også Nasjonalt utvalg for gransking av redelighet i forskning (Granskningsutvalget). Utvalget er en nasjonal ressurs for blant annet universitetet i behandlingen av saker om uredelighet i forskning og er et supplement til lokalt behandlingsapparat.
Egenkontroll
En gang pr. år skal rutiner for oppstart, gjennomføring og avslutning av forskingsprosjekter, håndtering av personopplysninger og kontroll av informasjonssikkerhetstiltak gjennomgås og det skal vurderes om de fungerer etter hensikten. Egenkontroll initieres av forskningsansvarliges representant.
Ledelsens gjennomgang
Ledelsen skal årlig gjennomgå rutinene, sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene. Ledelsen skal kontrollere at disse er i samsvar med virksomhetens behov og eventuelt oppdatere mål, strategi og organisering.
Ved ledelsens gjennomgang deltar fakultetsdirektør, dekan, prodekan for forskning og forskning/behandlingsansvarliges representant.
Fakultetsdirektøren har ansvaret for at gjennomgangen organiseres, at det utarbeides rapport og at eventuelle tiltak iverksettes.
I ledelsens gjennomgang av informasjonssystemet skal bl.a. følgende vurderes:
- Resultater fra sikkerhetsrevisjoner og kontroller utført av offentlig myndighet.
- Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten, herunder:
- Endringer i offentlige sikkerhetskrav/regelverk.
- Endringer i de personopplysninger fakultetet skal behandle.
- Endringer trusselbildet som bl.a. beskrevet i rapport fra utførte risikovurderinger.
- Om informasjonssystemet bør endres, eksempelvis som følge av ønske om ny funksjonalitet.
- Er rutinene funksjonelle for de ansatte og blir de fulgt?