Rutine 6: Lagring og håndtering av forskningsdata

Lagring og håndtering av forskningsdata (informasjonssikkerhet).

Versjon 3 av rutine 6, godkjent av universitetsdirektøren 05.02.2020

1. Hensikt

Hensikten med denne rutinen er å sikre at personopplysningslovens og personvernforordningens krav og bestemmelser oppfylles i forskningsprosjekter som omfattes av helseforskningsloven, herunder klinisk utprøving av legemidler og medisinsk utstyr.

2. Omfang

Denne rutinen gjelder data fra alle forskningsprosjekter som omfattes av helseforskningsloven. Rutinen gjelder ikke for prosjekter som var avsluttet ved implementering av versjon 01 av denne rutinen. Dersom data fra avsluttede prosjekter hentes ut for gjentatt bruk, omfattes de imidlertid av kravene i denne rutinen.

Dersom data lagres etter avtale med informasjonsleverandører, som helseforetak, helseforvaltning og primærhelsetjenesten, skal rutiner og systemer for håndtering, lagring og utlevering være beskrevet i samarbeidsavtale for det aktuelle prosjektet eller i separat databehandleravtale.

Dersom forskningsdataene for UiO skal lagres/bearbeides hos en tredjepart skal det inngås en databehandleravtale.   

3. Ansvar

IT - direktør

  • har ansvar for etablering og vedlikehold av internkontrollsystemet for informasjonssikkerhet
  • er utøver av behandleransvaret

  • kan på vegne av forskningsansvarlige vurdere og beslutte unntak fra kravene i denne rutinen.

Den som skriftlig har fått delegert ansvar som forskningsansvarliges representant eller sponsors representant (Jfr. Rutinebeskrivelse 1, 3 og 4)

  • har ansvar for at alle prosjekter har en plan for forsvarlig lagring og håndtering av data
  • har ansvar for at instituttet/enheten har et tilfredsstillende system for sikker oppbevaring av koblingsnøkler fra avsluttede prosjekter.
  • skal sørge for at nødvendig programvare for statistisk analyse og annen bearbeiding er tilgjengelig i UiOs systemer

Den enkelte prosjektleder eller hovedutprøver

er ansvarlig for at de helseopplysningene som inngår i et medisinsk og helsefaglig forskningsprosjekt behandles forsvarlig (registreres, håndteres og lagres i henhold til gjeldende lovverk og godkjennelser) og for at nødvendige avtaler foreligger og at dette dokumenteres, jfr. Vedlegg 6.1 Sjekkliste for håndtering og lagring av data i det enkelte prosjekt (word).

4. Beskrivelse av oppgaver

UiO har ikke et enhetlig system for håndtering og lagring av forskningsdata. Data kan lagres etter ulike systemer, i forskjellige formater og på forskjellige medier, men følgende retningslinjer skal overholdes:

4.1. Avgrensning

De data som håndteres og lagres skal være relevante og nødvendige for forskningsprosjektets formål, slik det er godkjent av REK og andre relevante myndigheter, herunder melding til NSD. Eventuelle endringer i innsamling eller bearbeiding av data skal ikke iverksettes uten endringssøknad med dertil hørende godkjennelse fra samme instans(er) som ga den opprinnelige godkjenningen.

4. 2 Lagring og bearbeiding av sensitive forskningsdata

Forskningsdata i medisinsk og helsefaglig forskningsprosjekter er klassifisert som røde eller svarte data. Det er kun Tjenester for sensitive data – TSD 2.0 som er godkjent for lagring og håndtering av svarte data.

4.3 Personidentifikasjon

Graden av personidentifikasjon skal ikke være større enn nødvendig for å oppfylle formålet (Jfr. Veiledning til helseforskningsloven pkt. 4.3. og 4.5).       

4.4 Utlevering av helseopplysninger

Utlevering til eller fra samarbeidende institusjon skal ikke foretas uten at REK - godkjennelse og signert datautleveringsavtale foreligger.

4.5 Personidentifiserbare helseopplysninger

Helseopplysninger som er direkte identifiserbare skal ikke lagres i andre av UiOs systemer enn TSD.

4.6 Utlevering av pseudonymiserte helseopplysninger

Helseopplysninger som er pseudonymiserte skal ikke utleveres til andre institusjonersammen med koblingsnøkkel.. Selv om mottaker ikke har tilgang til koblingsnøkkel, er ikke opplysningene å anse som anonymiserte så lenge koblingsnøkkel er i behold.

Ved utlevering av helseopplysninger må prosjektleder, i tillegg til å søke REK, skriftlig forsikre seg om at databehandlingsansvarlig som dataene blir overført til  følger personvernforordningen. Se vedlegg 6.2 Dataoverføringsavtale

Ved utlevering av helseopplysninger til land utenfor EØS må prosjektleder i tillegg til å søke REK, skriftlig forsikre seg om at databehandlingsansvarlig og/eller databehandler i landet dataene blir overført til følger personvernforordningen personvernforordningen samt at forskningsdeltaker har samtykket og er informert om at opplysninger skal utleveres til land utenfor EØS.  EU-kommisjonens Standard Contractual Clauses (processors) se vedlegg 6.3.

4.7 Koblingsnøkkel

Koblingsnøkkel skal oppbevares med begrenset tilgang, under adgangskontroll og separat fra helseopplysningene, se Vedlegg 6.3  Skjema for koblingsnøkkel og oversikt over forsøkspersoner (word). Etter avsluttet prosjekt skal fakultet- eller institutt/enhetsnivå påse at koblingsnøkkel oppbevares sikkert. Dette kan gjøres i TSD. Koblingsnøkkelen skal klassifiseres med samme farge som forskningsdataene.

 

Se for øvrig UiOs:

 

 

5. Lovmessig grunnlag

  • LOV 2008-06-20 nr 44 Lov om medisinsk og helsefaglig forskning
  • FOR 2009-07-01 nr. 955 Forskrift om organisering av medisinsk- og helsefaglig
  • LOV-2018-06-15-38 Lov om behandling av personopplysninger

6. Vedlegg

Vedlegg 6.1. Sjekkliste for håndtering og lagring av data i det enkelte prosjekt (word)

Vedlegg 6.2. Dataoverføringsavtale

Vedlegg 6.3 Skjema for koblingsnøkkel  og oversikt over forsøkspersoner (word)

Se også UiOs standardavtaler

Enhetenes lokale tilleggsrutiner

Publisert 10. mai 2017 11:29 - Sist endret 26. feb. 2020 13:31