Søknad om utlevering av data sendes per e-post til: norartritt@helse-bergen.no


Utlevering av data fra Norsk kvalitetsregister for artrittsykdommer, NorArtritt

Søknad om utlevering av data sendes per e-post til: xxxxxxxxxx@xxxxx-xxxxxx.xx


Tilgang til og utlevering av data reguleres etter følgende prinsipper:


Tilgang til data Krav til søknad

Behandling av søknad Tidsbegrensning Datautlevering

Krav til sikkerhet hos mottaker Regler for publisering Forfatterskap

Reaksjoner ved avtalebrudd Klager og omgjøring av vedtak


Tilgang til data

Tilgang til data gis etter søknad og inngått avtale med fagrådet. En slik avtale gir rettigheter til å undersøke og publisere på en bestemt problemstilling. Det må framgå av avtalen hvilken periode en eventuell tidsavgrensning skal gjelde for.


Krav til søknad

Det må klart fremgå av søknaden hvem som er prosjektleder og som har det faglige ansvaret for prosjektet. En fullstendig prosjektbeskrivelse må vedlegges.


Søknaden skal inneholde en beskrivelse av:

Problemstillingen

Utvalget som ønskes, samt hvilke variabler som skal benyttes i analysen

Publikasjonsplan


Behandling av søknad

Søknader om utlevering av data fra registeret stiles til fagrådet, eventuelt det organ fagrådet utnevner til dette formål (registerleder).


Fagrådet har ansvar for faglig å vurdere forespørsel om utlevering og å utarbeide forslag til beslutning på vegne av databehandlingsansvarlig. Beslutninger om utlevering må følge de til enhver tid gjeldende styrende dokumenter ved databehandlingsansvarlig institusjon HBE EK (xxxxx-xxxxxx.xx) og må være i samsvar med konsesjonsbetingelser, registervedtekter, samtykker og gjeldende lovverk.

Fagrådet skal påse at formålet med prosjektet og problemstillingen for den omsøkte databehandlingen omfattes av registerets formål. Når registerdata benyttes til forskningsformål må gjeldende lov-, regelverk og rutiner for forskning følges, herunder godkjenning fra REK. I tillegg bør fagrådet tilby rådgivning/veiledning fra sentralt fagmiljø der fagrådet mener dette er påkrevd, for å sikre kvalitet og korrekt bruk og tolkning av data fra registeret. Fagrådet har imidlertid ingen sanksjonerende rolle ut over å bedømme hvorvidt prosjektet er dekket av registerets formål.


I vurderingen kan følgende kriterier vektlegges:


Faglig relevans

Om prosjektet er faglig velbegrunnet og av en slik natur at det best lar seg undersøke innenfor rammene av et register.


Avgrensning av prosjekt

At data benyttes i spesifisert prosjekt, f.eks. en artikkel, et PhD-prosjekt /post-doktor prosjekt med spesifisert problemstilling


Faglig kapasitet og gjennomførbarhet

Hvorvidt prosjektleder kan sannsynliggjøre at prosjektmedarbeiderne har kompetanse og kapasitet til å analysere og publisere data på en faglig tilfredsstillende måte og innen rimelig tid.


Hensyn til pågående prosjekter

Dersom to prosjekter ligger faglig nær hverandre vil styringsgruppen oppmuntre til faglig samarbeid mellom prosjektene.


Utlevering av opplysninger besluttes formelt av den databehandlingsansvarlige for vedkommende register, dvs. avdelingsdirektøren. Det skal utformes vedtaksbrev som skal inneholde vilkår for utleveringen, og bestemmelser om at data ikke skal overlates uvedkommende, og at data skal slettes ved prosjektslutt.


Tidsbegrensning

Før utlevering av data skal det inngås en avtale med fagrådet om en tidsbegrensning for tilgang til data. For forskningsprosjekter og for kvalitetssikringsprosjekter er det vanlig å skjerme problemstillingen i tre år, med mulighet for forlengelse etter søknad. For kvalitetssikringsformål (kontinuerlig monitorering) kan det være aktuelt å stille data til disposisjon over lengre tid. I så tilfelle bes kvalitetssikringsprosjektet å søke forlengelse før treårsperioden er over. Både forsknings- og kvalitetssikringsprosjekter skal melde fra til registeret ved vesentlige endringer og/eller mangelfull framdrift.


Datautlevering

Data utleveres som tekstfil, og kan konverteres til aktuell programvare av søker. Persondata som utleveres til forskningsformål vil normalt være avidentifiserte eller anonymiserte. Et løpenummer kan sikre at enkeltpersoner kan følges i datamaterialet.

Overføring av sensitiv informasjon med e-post er ikke tillatt med mindre opplysningene er krypterte med sikkert passord. Den best tilgjengelige krypteringsmekanismen skal benyttes. For å kryptere informasjon som skal sendes til eksterne mottakere, skal en enten bruke asymmetriske nøkler dersom partene har digitale sertifikater (f.eks. PGP). Dersom begge parter ikke har slike løsninger kan en kryptere dokumentet. Krypteringsnøkkelen/passordet til den krypterte filen skal oversendes til mottaker på et annet medium (f.eks. som SMS) og i en annen forsendelse.

Vær oppmerksom på at utveksling av avidentifiserte forskningsfiler mellom forskere på samme forskningsprosjekt men på ulike forskningsinstitusjoner også skal skje kryptert. Det anbefales at forskningsprosjektet i slike situasjoner blir enige om en felles og sikker krypteringsnøkkel (passord) som brukes for all kommunikasjon mellom deltakerne.

Forskere på samme forskningsprosjekt innen institusjonen skal heller ikke utveksle forskningsdata ukryptert som vedlegg til epost. Disse kan utveksle data ved å lagre dem på forskningsprosjektets tildelte filområde på institusjonens nett og i stedet sende hyperkobling til de andre forskningsdeltakerne.

Sensitiv informasjon som ikke er kryptert, skal ikke overføres med elektronisk post

Overføring av aggregerte data, som kan betraktes som offentlig statistikk, kan sendes ukryptert på e-post.


Krav til sikkerhet hos mottaker

Anonyme data:

Det stilles ingen særskilte krav til sikkerhet hos mottaker.


Avidentifiserte data:

Data skal kunne lagres på et eget filområde på den aktuelle institusjonen vedkommende jobber på, og hvor det er tilgangskontroll. Dersom vedkommende ikke har tilgang til slikt område eller må lagre filen på harddisken eller hvis muligheten for reidentifisering anses stor, skal filen i tillegg krypteres med sikker krypteringsmekanisme. Avidentifiserte data inkluderer i denne sammenheng også pseudonyme data.


Personidentifiserbare data:

Personopplysninger og helseopplysninger skal oppbevares atskilt (nøkkelfil kan inneholde fødselsnummer og løpenummer, mens forskningsfilen med avidentifiserte data kan inneholde løpenummer og helseopplysninger). Nøkkelfilen skal lagres på eget filområde med tilgangskontroll på et lukket nett eller i en sikker sone. Dersom dette ikke er mulig skal nøkkelfilen lagres kryptert med sikkert passord på et eget filområde med tilgangskontroll på internt/ordinært nett. Det tillattes ikke å lagre nøkkelfiler på harddisk på PCer (C:\).


Forskningsfilen med de avidentifiserte dataene skal lagres på et eget filområde med tilgangskontroll på internt/ordinært nett på den aktuelle institusjonen vedkommende jobber på.

Aggregerte data

Det stilles ingen særskilte krav til sikkerhet hos mottaker.


Regler for publisering

Ved publisering, her forstått som all offentliggjøring av forskningsresultater eller annen sammenstilling av data der det benyttes data fra registeret, skal det fremgå at dataene er fra registeret.


Forfatterskap

Ved publisering skal Vancouver-reglene ligge til grunn for medforfatterskap. Dette betyr at for å kunne kreve medforfatterskap må vedkommende ha bidratt substansielt til konsept og idé, eller innsamling av data, eller analyse og fortolkning av data. Medforfattere skal før publisering ha godkjent den versjonen som sendes inn for publisering.


Reaksjoner ved avtalebrudd

Ved avtalebrudd vil fagrådet ta kontakt med prosjektansvarlig for en avklaring av de faktiske forhold i saken. Dersom det ikke oppnås enighet mellom partene vil det kunne bli aktuelt å sende en skriftlig redegjørelse til de ansvarlige ved den prosjektansvarliges institusjon om at denne har overtrådt avtalen om bruk av data. Hvis dette ikke fører frem til enighet mellom partene vil det kunne være aktuelt for databehandlingsansvarlig å inndra rettighetene til data. Avtalebrudd skal meldes i samråd med Helse Bergens rutiner.


Klager og omgjøring av vedtak

Fagrådet er ansvarlig for forvaltning av dataene i registeret. Klager på beslutninger som fagrådet har fattet vedrørende utlevering og bruk av data, rettes til fagrådet.

Document Metadata

Filed: December 17th, 2021