Christian Jonasson,
Xxxxxxxxx Xxxxxxxx,
NTNU
Viktige elementer for å
lykkes med en søknad om helsedata
Organisering
Dispensasjon taushetsplikt Variabelbestilling GDPR/DPIA
Ulike formal – ulike prosesser
AGENDA
Organisering - definisjoner
Hfl§4.
• e) forskningsansvarlig: institusjon eller en annen juridisk
eller fysisk person som har det overordnede ansvaret for forskningsprosjektet, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter etter denne loven,
• f) prosjektleder: en fysisk person med ansvar for den daglige driften av forskningsprosjektet, og som har de nødvendige forskningskvalifikasjonene og erfaringer for å kunne oppfylle prosjektlederens plikter etter denne loven.
Personvernforordningen artikkel 4 nr. 7
• skiller mellom begrepene behandlingsansvarlig og
databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.
Hfl§3. Geografisk virkeområde
• «Loven gjelder forskning på norsk territorium eller når forskningen skjer i regi av en
forskningsansvarlig som er etablert i Norge»
• Forskningsansvarlig og prosjektleder må være etablert i Norge
Organisering – alternativer for prosjekter som igangsettes av lm-industrien
Norsk offentlig virksomhet (universitet eller HF) som forskningsansvarlig og firma som oppdragsgiver
Annen norsk privat virksomhet (CRO med norsk xxx.xx) som forskningsansvarlig og firma som oppdragsgiver
Norsk firma er selv som forskningsansvarlig med ev. underleverandører og akademiske forskere tilknyttet
Utenlandske institusjoner (offentlige og private) kan være underleverandører, men kan ikke være forskningsansvarlig
Dispensasjon taushetsplikt
• XXX har fått delegert mandat til å gi dispensasjon fra taushetsbelagte opplysninger. Denne dispensasjonen er personlig. Derfor er det viktig at personer som listes som forskningsmedarbeidere i REK-søknad, og som skal ha tilgang til selve datasettet, samsvarer med den navnelisten som sendes ved søknad til registerforvaltere
Nytt REK- skjema punkt
5.8.3 må dispensasjon skrives inn og forskere navngis
Variabelbestilling
og dataminimering
Bestilte variabler (omfang og detaljgrad) må stå i samsvar med
forskningsspørsmålene
• Vurder detaljgrad på koder
• F.eks. ICD10 3. posisjon eller 4 posisjon (hjerteinfarkt: I21 eller I21x)
• F.eks. ATC nivå
• M01A: Antiinflammatoriske og antirevmatiske midler, ekskl. steroider
• M01AH: Koksiber
• M01A H01 Celekoksib
• Be om samlevariabler for bakgrunnsvariabler og mer detaljert på utfalls- og inklusjonsvariabler
• F.eks. solide svulster som bakgrunnsvariabel. Samlet ICD10: C00-C97
• F.eks. lungekreft med alle underkoder. C34.0, C34.1, C34.2, C34.3, C34.8, C34.9
• Geografi-nivå
• Nasjonalt, regionalt (RHF), fylke, kommune, xxxx.xx.
• Sosioøkonomiske variabler gjør bakveisidentifisering enklere
• Yrke, inntekt, utdanning
• Tidsstempler kan være fornuftig å begrense etter hva variabel skal brukes til
• dd/mm/åååå, mm/åååå, åå, referansedatoer
• Tips: Xxxxx (fødeår) og død (mm/åååå)
• Tidsavhengige analyser kan kreves mest detaljerte datoer
Variabelbestilling
– rent praktisk
• Exempel variabelliste.xlsx
GDPR – behandlingsgrunnlag
• Personvernforordningen artikkel 6 nr.1 - Behandlingens lovlighet
• Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:
den registrerte har samtykket til behandling av sine
a)
• Rene registerstudier bruk: artikkel 6
nr. 1 bokstav e
personopplysninger for ett eller flere spesifikke formål,
b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,
c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som
påhviler den behandlingsansvarlige,
d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,
e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,
f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.
GDPR – behandlingsgrunnlag
• Personvernforordningen artikkel 9 nr.2 - Behandling av særlige
kategorier av personopplysninger
• Helseopplysninger regnes etter GDPR som særlige kategorier personopplysninger og er i utgangspunktet forbudt, men GDPR åpner for noen unntak.
a) Den registrerte har gitt uttrykkelig samtykke til behandling av slike personopplysninger for ett eller flere spesifikke formål, unntatt dersom det i unionsretten eller medlemsstatenes nasjonale rett er fastsatt at den registrerte ikke kan oppheve forbudet nevnt i nr. 1.
j) Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
• Rene registerstudier bruk: artikkel 9
nr. 2 bokstav j
GDPR – behandlingsgrunnlag
For data som ikke er basert på samtykke, vil det etter forordningen også ofte være
nødvendig med supplerende rettsgrunnlag i nasjonal rett:
• Bruk REK vedtak og dispensasjon fra taushetsplikten for medarbeidere i
prosjektet som supplerende rettsgrunnlag
DPIA
Når må DPIA gjennomføres?
• «Dersom det er sannsynlig at en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige før behandlingen foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.» (GDPR art.35.1)
DPIA - Kriterier når DPIA kan bli et krav:
• Evaluering eller scoring, spesielt knyttet til arbeidsresultater, økonomisk situasjon, helse, personlige preferanser eller interesser, oppførsel og adferd,
lokasjon og bevegelser osv.
• Automatiserte beslutninger med juridisk eller tilsvarende betydning.
• Systematisk overvåking av registrerte.
• Særlige kategorier personopplysninger eller andre sensitive personopplysninger av høy personlig karakter (sistnevnte spesielt knyttet de enkeltes
«friheter», men kan også omfatte f.eks. økonomiske og finansielle opplysninger).
• Databehandling i stort omfang, som at det er et stort antall registrerte involvert, store mengder data, mange ulike typer data, lang varighet av
behandlingen, stor geografisk utbredelse av behandlingen osv.
• Kombinering eller sammenstilling av datasett.
• Personopplysninger vedrørende spesielt sårbare registrerte (som barn, ansatte, psykisk syke, asylsøkere, eldre, pasienter mv.).
• Innovativ eller nyskapende bruk av personopplysninger, som f.eks. bruk av biometriske data for tilgangskontroll, Internet of Things-løsninger, velferdsteknologi osv.
• Når behandlingen i seg selv forhindrer eller begrenser de registrertes mulighet til å utøve sine rettigheter etter loven eller avtale, eller bruke
tjenester.
• Dersom behandlingsansvarlig virksomhet setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på den behandlingsansvarliges vegne definert som databehandlere
• Maler. Se f.eks. xxxxx://xxxxxx.xx/xxxxxxxxxx-xx- informasjonssikkerhet/mal-for- databehandleravtale
• Og veiledning datatilsynet: xxxxx://xxxxxx.xx/xxxxxxxxxx-xx- informasjonssikkerhet/mal-for- databehandleravtale
• Helseregisterloven har ikke bestemmelser som regulerer eller hindrer behandling av helse- opplysninger på tvers av landegrensene, men alltid databehandleravtale
• Innad EU/EØS
• Til stater med tilstrekkelig nivå på personvern, p.t. 11
• Øvrige stater hvor det ikke finnes garantier (f.eks. USA – hvor privacy shield sertifisering og EU standardavtale (Standard Contractual Clause) er mekanismer for overføring til USA)
Når trenger du en databehandleravtale?
Mer om DPIA og GDPR
xxxxx://xxxxxx.xx/xxxxxxxxxx-xx- informasjonssikkerhet/verktoy-for- implementering-av-gdpr
xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxx- og-plikter/virksomhetenes- plikter/vurdere- personvernkonsekvenser/vurdering-av- personvernkonsekvenser/?id=10362
• Tilgjengelig: Søknadshjelp og variabelutforsker
• Nytt felles søknadsskjema
høsten 2019
• Nytt saksbehandlingssystem 2020
Formål med dataene, ulike prosesser (og gråsoner)
Helseregisterloven §3 og registerforskriftene: statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Forskning
Andre formål, helseanalyser
Andre formål, helseanalyser
REK – godkjenning + vedtak
disp. taushetsplikt
HDir – for disp. taushetsplikt
Søknad register Søknad register Søknad register
Indirekte personidentifiserbare data Anonyme data