Hjem
Personvernportalen
Helseforskning

Medisinsk - og helsefaglig forskning

Medisinsk og helsefaglig forskning (helseforskning) er forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom. Gjennomføring av medisinsk og helsefaglig forskning reguleres av helseforskningsloven med tilhørende forskrift. Behandling av personopplysninger i medisinsk og helseforskning reguleres av personvernregelverket.

To ph.d-kandidater på labben
Foto/ill.:
Eivind Senneset, UiB

Krav om etisk forhåndsgodkjenning

Medisinsk og helsefaglig forskning krever etisk forhåndsgodkjenning av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet kan starte, jf. helseforskningsloven § 33. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling. 

REK skal gjøre en forskningsetisk vurdering av alle sider av prosjektet, herunder personvernmessige hensyn.

Innholdet i den forskningsetiske vurderingen

Selv om REKs etiske forhåndsgodkjenning (etter GDPR) ikke utgjør et lovmessig grunnlag til å behandle personopplysningene, har REKs vurdering likevel en personvernmessig betydning. Dette har sammenheng med at REKs vurdering omfatter tilsvarende vurderingstemaer som skal være oppfylt etter personvernforordningen artikkel 5 - oppfyllelse av personvernprinsippene: 

  • "lovlighet, rettferdighet og åpenhet", herunder om kravene til et gyldig samtykke er oppfylt (hovedregelen ved medisinsk og helsefaglig forskning), eller om REK har adgang til å fatte vedtak om dispensasjon fra taushetsplikten,
  • "formålsbegrensning", herunder at personopplysningene behandles i samsvar med formålet de er innsamlet for, og som er omfattet av et eventuelt samtykke
  • "dataminimering", herunder at personopplysningene er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for
  • "riktighet", herunder at personopplysningene er korrekte og oppdaterte
  • "lagringsbegrensning", herunder at personopplysningene er lagret slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for å oppfylle formålet med behandlingen, eller, såfremt de skal lagres for lengre perioder for formål knyttet til vitenskapelig eller historisk forskning i samsvar med personvernforordningens artikkel 89 nr. 1, at det gjennomføres egnede tekniske og organisatoriske tiltak, 
  • "integritet og konfidensialitet", herunder at krav til informasjonssikkerhet er ivaretatt på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, som vern mot uautorisert eller lovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak,
  • "ansvar", herunder at forskningen er forsvarlig organisert med en forskningsansvarlig og en prosjektleder. Den forskningsansvarlige institusjonen har det overordnede ansvaret for forskningsprosjektet, og må ha de nødvendige forutsetninger for å kunne oppfylle forskningsansvarliges plikter etter helseforskningsloven, jf. helseforskningsloven § 4 e). 

Det må i tillegg vises til det rettslige grunnlaget ('lovlig behandlingsgrunnlag') i personvernforordningen artikkel 6 og artikkel 9 for å kunne behandle personopplysningene, se nedenfor. 

For å kunne behandle særlige kategorier personopplysninger for forskningsformål, er hovedregelen i norsk lov at det er rådføringsplikt med personvernombud/rådgiver (NSD), jfr. personopplysningsloven § 9 og § 10. Men for helseforskningsprosjekter er det i helseforskningsloven § 33 tredje ledd (nytt etter GDPR) gjort unntak fra rådføringsplikten for helseforskningsprosjekter som har etisk forhåndsgodkjenning fra REK. 

Den generelle plikten etter personvernforordningen artikkel 35 til å vurdere om det bør gjennomføres personvernkonsekvensvurdering (DPIA) ved sannsynlig høy risiko, og til å involvere virksomhetens personvernombud, gjelder overordnet, se nærmere om DPIA nedenfor. 

Krav til rettslig grunnlag etter personvernregelverket

Begrepet personopplysning omfatter helseopplysninger og genetiske opplysninger. 

Behandlingen av helse- og personopplysninger i medisinsk og helsefaglig forskning må ha lovlig behandlingsgrunnlag (juridisk grunnlag) i personvernforordningen artikkel 6  (alminnelige personopplysninger) og artikkel 9 (særlige kategorier personopplysninger). 

Se Mer om rettslig grunnlag

Minst ett av behandlingsgrunnlagene i artikkel 6 må være oppfylt for behandling av alminnelige personopplysninger. For helseforskning vil behandlingsgrunnlagene etter artikkel 6 være: 

  • artikkel 6 nr. 1 a) samtykke og/eller
  • artikkel 6 nr. 1 e) allmennhetens interesse

For behandlinger som utføres i allmennhetens interesse kreves det etter artikkel 6 nr. 3 supplerende rettslig grunnlag etter nasjonale bestemmelser (lov, forskrift eller vedtak med hjemmel i lov eller forskrift).

Når REK har fattet vedtak om unntak fra taushetsplikt/fritak fra samtykkekravet, vil behandlingsgrunnlaget etter GDPR være artikkel 6 nr. 1 e) allmennhetens interesse, og REK sitt vedtak om dispensasjon utgjør det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9. 

Når personopplysningene omfatter særlige kategorier personopplysninger, som helseopplysninger og genetiske opplysninger, må det i tillegg være rettsgrunnlag i personvernforordningens artikkel 9. 

For helseforskning vil behandlingsgrunnlaget etter artikkel 9 være: 

  • artikkel 9 nr. 2 a) uttrykkelig samtykke
  • artikkel 9 nr. 2 j) formål knyttet til vitenskapelig eller historisk forskning, i samsvar med artikkel 89 nr. 1, med supplerende grunnlag i nasjonal lovgivning. 

Når REK har fattet vedtak om unntak fra taushetsplikt/fritak fra samtykkekravet, vil behandlingsgrunnlaget etter GDPR være artikkel 6 nr. 1 e) allmennhetens interesse, og REK sitt vedtak om dispensasjon utgjør det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9. 

Behandling av helseopplysninger fra samtykkebaserte helseregistre vil også være basert på allmennhetens interesse, med supplerende rettsgrunnlag i forskrift om befolkningsbaserte helseundersøkelser, idet de registrerte ikke har gitt et spesifikt samtykke for det aktuelle forskningsprosjektet.

Vurdering av personvernkonsekvenser / Data Protection Impact Assessment (DPIA)

Det er et generel krav etter personvernforordningen artikkel 35 til å vurdere om det bør gjennomføres en personvernkonsekvensvurdering (DPIA) når det er sannsynlig at behandlingen kan innebære høy risiko for de registrertes rettigheter og friheter.

Les mer om DPIA her (lenke). 

Helseforskningsrutiner

UIBs rutiner for medisinsk og helsefaglig forskning gir mer detaljerte forskningsadministrative rutiner og maler. Rutinene utgjør den gjennomførende del av internkontrollsystemet. 

Se forskningsveiviseren, for veiledning og henvisning til hvilke rutiner er relevante i de ulike fasene av prosjektet. 

Rutinene er utarbeidet i samarbeid med Helse Bergen. Rutinen om avklaring av ansvarsforhold i samarbeidsprosjekter og prosjekter der medarbeidere har tilsettingsforhold i begge virksomheter, har til hensikt å sikre at det er avklart hvilken institusjon er forskningsansvarlig, og at prosjektet er forsvarlig organisert. 

Etter at forskningsprosjektet er forhåndsgodkjent av REK skal det godkjennes av forskningsansvarlig før prosjektet kan starte.

Prosjektleder skal sørge for at det blir sendt søknad med forskningsprotokoll til REK, via REKs søknadsportal i samsvar med de krav som REK stiller til søknaden.  Forskningsansvarlig (se punktet Forskningsansvarlig/behandlingsansvarlig) skal involveres før søknad sendes.