MEDISINSK OG HELSEFAGLIG FORSKNING Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom. |
1. Hensikt
Hensikten med denne rutinen er å sikre at helseforskningsdata:
- Innhentes
- Registreres
- Håndteres
- Bearbeides
- Lagres
på en slik måte at personopplysningslovens krav og bestemmelser oppfylles i forskningsprosjekter som også omfattes av helseforskningsloven og at mellomlagring og kvalitetskontroll av
- Kildedata
- Metadata
- Resultatdata
muliggjør en rekonstruksjon av datainnsamling og -håndtering.
2. Omfang
Denne rutinen gjelder data fra alle forskningsprosjekter som omfattes av helseforskningsloven, herunder klinisk utprøving av legemidler og medisinsk utstyr. Rutinen gjelder ikke for prosjekter som var avsluttet ved implementering av tidligere versjoner av denne rutinen. Dersom data fra avsluttede prosjekter hentes ut for gjentatt bruk, omfattes de av kravene i denne rutinen.
Dersom data lagres etter avtale med informasjonsleverandører, som helseforetak, helseforvaltning og primærhelsetjenesten, skal rutiner og systemer for håndtering, lagring og utlevering være beskrevet i samarbeidsavtale for det aktuelle prosjektet eller i separat databehandleravtale.
Dersom forskningsdataene for UiO skal lagres/bearbeides hos en tredjepart skal det inngås en databehandleravtale se vedlegg 6.4. Avtalen skal inneholde krav til kvalitetskontroll og beskrivelse av metoder for bearbeiding.
3. Ansvar
IT - direktør
- har ansvar for etablering og vedlikehold av internkontrollsystemet for informasjonssikkerhet
- er utøver av databehandleransvaret
- kan på vegne av forskningsansvarlige vurdere og beslutte unntak fra kravene i denne rutinen
- har ansvar for vedlikehold og utvikling av TSD
Den som skriftlig har fått delegert ansvar som forskningsansvarliges representant eller sponsors representant (Jfr. Rutinebeskrivelse 1, 3 og 4)
- har ansvar for at alle prosjekter har en plan for forsvarlig innhenting, kvalitetskontroll, mellomlagring, bearbeiding/analyse, sluttlagring og annen håndtering av data
- har ansvar for at instituttet/enheten har et tilfredsstillende system for sikker oppbevaring av koblingsnøkler fra pågående og avsluttede prosjekter
- skal sørge for at nødvendig programvare for statistisk analyse og annen bearbeiding er tilgjengelig i UiOs systemer
Den enkelte prosjektleder eller hovedutprøver
- er ansvarlig for at de personopplysningene som inngår i et medisinsk og helsefaglig forskningsprosjekt behandles forsvarlig (registreres, håndteres, kvalitetskontrolleres og lagres i henhold til gjeldende lovverk og godkjennelser) med muliggjøring av rekonstruksjon av datagrunnlaget, for at nødvendige avtaler foreligger og at dette dokumenteres, jfr. Vedlegg 6.1 Sjekkliste for håndtering og lagring av data i det enkelte prosjekt.
4. Beskrivelse av oppgaver
UiO har ikke et enhetlig system for håndtering og lagring av forskningsdata.
Data kan lagres etter ulike systemer, i forskjellige formater og på forskjellige medier, men følgende retningslinjer skal overholdes:
4.1 Avgrensning
De data som håndteres og lagres skal være relevante og nødvendige for forskningsprosjektets formål og for nødvendig rekonstruksjon, slik det er godkjent av REK og andre relevante myndigheter og anbefalt av Sikt (omfatter tidligere NSD, Norsk senter for forskningsdata). Eventuelle endringer i innsamling eller bearbeiding av data skal ikke iverksettes uten endringssøknad med dertil hørende godkjennelse/anbefaling fra samme instans(er) som ga den opprinnelige godkjenningen/anbefalingen.
4.2 Lagring og bearbeiding av sensitive forskningsdata
All bearbeiding og lagring av forskningsdata skal foregå i UiOs godkjente systemer, og i henhold til vedtak fra REK.
Forskningsdata skal kun lagres og håndteres i henhold til UiOs lagringsguide: www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagringsguide.html
Forskningsdata skal klassifiseres i henhold til UiOs rutine for klassifisering av data og informasjon: www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagring/infoklasser.html
Forskningsdata i medisinsk og helsefaglig forskningsprosjekter er klassifisert som røde eller svarte data. Det er kun Tjenester for sensitive data – TSD som er godkjent for lagring og håndtering av svarte data.
4.3 Personidentifikasjon
Graden av personidentifikasjon skal ikke være større enn nødvendig for å oppfylle formålet (Jfr. Veiledning til helseforskningsloven pkt. 4.3. og 4.5).
4.4 Utlevering av helseopplysninger
Utlevering til eller fra samarbeidende institusjon skal ikke foretas uten at REK-godkjennelse og signert datautleveringsavtale foreligger.
4.5 Personidentifiserbare helseopplysninger
Helseopplysninger som er direkte identifiserbare skal ikke lagres og bearbeides i andre av UiOs systemer enn TSD 2.0.
4.6 Utlevering av pseudonymiserte helseopplysninger
Helseopplysninger som er pseudonymiserte skal ikke utleveres til andre institusjoner sammen med koblingsnøkkel. Selv om mottaker ikke har tilgang til koblingsnøkkel, er ikke opplysningene å anse som anonymiserte så lenge koblingsnøkkel er i behold.
Ved utlevering av helseopplysninger må prosjektleder, i tillegg til å søke REK, skriftlig forsikre seg om at databehandlingsansvarlig som dataene blir overført til følger personvernforordningen. Se vedlegg 6.3 Dataoverføringsavtale.
Ved utlevering av helseopplysninger til land utenfor EØS må prosjektleder i tillegg til å søke REK, skriftlig forsikre seg om at databehandlingsansvarlig og/eller databehandler i landet dataene blir overført kan garantere samme beskyttelsesnivå for opplysningene som etter personvernforordningen, samt at forskningsdeltaker er informert om at opplysningene skal utleveres til land utenfor EU/EØS og har samtykket til en slik utlevering, eventuelt at det foreligger et annet gyldig overføringsgrunnlag i henhold til personvernfordningen kap. 5. «Overføring av personopplysninger til tredjestater eller internasjonale organisasjoner»
4.7 Koblingsnøkkel
Koblingsnøkkel skal oppbevares med begrenset tilgang, under adgangskontroll og separat fra helseopplysningene, se Vedlegg 6.2 Skjema for koblingsnøkkel og oversikt over forsøkspersoner. Etter avsluttet prosjekt skal fakultet- eller institutt/enhetsnivå påse at koblingsnøkkel oppbevares sikkert. Dette kan gjøres i TSD. Koblingsnøkkelen skal klassifiseres med samme farge som forskningsdataene.
Se for øvrig UiOs:
- Rutine for forskning med personopplysninger
- Tjenester for sensitive data (TSD 2.0)
- Informasjonsside om lagring og sikring av forskningsdata
- Ledelsessystem for informasjonssikkerhet
5. Lovmessig grunnlag
- LOV 2008-06-20 nr. 44 Lov om medisinsk og helsefaglig forskning
- FOR 2009-07-01 nr. 955 Forskrift om organisering av medisinsk- og helsefaglig forskning
- LOV-2018-06-15-38 Lov om behandling av personopplysninger
6. Vedlegg
- Vedlegg 6.1 Sjekkliste for håndtering og lagring av data i det enkelte prosjekt (Word)
- Vedlegg 6.2 Skjema for koblingsnøkkel og oversikt over forsøkspersoner (Word)
- Vedlegg 6.3 Mal dataoverføringsavtale (Word)
- Vedlegg 6.4 Mal for databehandleravtale (Word)
Enhetenes lokale tilleggsrutiner
- HF - rutiner ved Det humanistiske fakultet
- MED - rutiner ved Det medisinske fakultet
- MN - rutiner ved Det matematisk-naturvitenskapelige fakultet
- SV - rutiner ved Det samfunnsvitenskapelige fakultet
- OD - rutiner ved Det odontologiske fakultet
- TF - rutiner ved Det teologiske fakultet
- UV - rutiner ved Det utdanningsvitenskapelige fakultet