Hjem
Personvernportalen

Gjennomføring av forskningsprosjektet

Oppbevaring av aktive forskningsdata

Behandlingsansvarlig / forskningsansvarlig skal sørge for at sensitive personopplysninger, og humant biobankmateriale, behandles forsvarlig og kun er tilgjengelig i nærmere angitt tidsrom for medarbeidere som skal gjennomføre godkjente forskningsprosjekt.

Tidspunkt

Aktive forskningsdata kan oppbevares i det tidsrom som er angitt i melding til personvernombudet (tilrådd melding), eller som angitt i forskningprotokollen og så lenge gyldig godkjenning fra REK foreligger.

Oppbevaring ut over denne tidsperioden krever endringsmelding, se rutine 4.10 Rutine for langtidsoppbevaring av forskningsdata, og rutine 4.6 Rutine for endring av forskningsprosjekter

Oppgaver

Hovedregelen er at sensitive personopplysninger skal oppbevares avidentifisert, dvs. at forskningsdata og identifiserende elementer (koblingsnøkkel) skal lagres hver for seg.

  • Papirbaserte forskningsdata som ikke er anonymiserte skal lagres i avlåste arkiv hvor kun personell underlagt virksomhetens instruksjonsmyndighet har tilgang. Dersom slike data skal lagres på prosjektleders kontor, skal dette låses når det ikke er personell tilstede. Kravet er at det skal være to sperrer for tilgang til personidentifiserbare opplysninger.
  • Lagres både data og koblingsnøkkel elektronisk, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret.

Ved UiB skal slike forskningsdata lagres i henhold til universitetets interne rutiner for dette:

  • Ved UiB skal sensitiv persondata i forskningsprosjekter lagres i SAFE, som er UiBs system for behandling av sensitive personopplysninger i forskningsprosjekter. For opprettelse av prosjekt i SAFE, kontaktes IT-avdelingen via Brukerstøtteportalen Issue tracker, og legges inn forespørsel i BRITA.

Ved lagring på annet sted må det utføres en risikovurdering før slik lagring kan finne sted. Prosjektleder er ansvarlig for å bestille risikovurdering hos virksomhetens IKT-sikkerhetsledelse.

  • Som hovedregel er det bare prosjektleder som skal ha tilgang til koblingsnøkkelen. Tilgang til koblingsnøkkelen for annet personell kan gis ved spesielle behov og i et avgrenset tidsrom (f.eks. for registrering av data).
  • Prosjektleder autoriserer prosjektmedarbeidere som skal ha tilgang til avidentifiserte forskningsdata.
    • Dersom en forskningsmedarbeider som ikke er ansatt ved UiB, skal ha tilgang til forskningsdataene, må prosjektleder sørge for at forskningsmedarbeider har gyldig behandlingsgrunnlag, og at avtale inngås med vedkommende før tilgang gis. Slik avtale sikrer taushetsplikt og at UiB har instruksjonsmyndighet over vedkommende.

Gyldig behandlingsgrunnlag betyr at medarbeideren må være omfattet (ved navn) i forskningsprotokollen og godkjenningen fra REK / personvernombudet. Ved inklusjon av nye medarbeidere må det sendes endringsmelding, se Endring av forskningsprosjekter.

  • Tilgangen til koblingsnøkkelen skal sterkt begrenses etter at datainnsamling og kvalitetssikring er fullført. Etter at datainnsamling og kvalitetssikring er fullført skal prosjektleder sørge for at det ikke er tilgang til koblingsnøkkelen for andre enn prosjektleder med mindre det begrunnes i særlige behov.
  • Prosjektleder kan etter endt datainnsamling bare bruke koblingsnøkkelen dersom hensikten er å:
    • saksbehandle henvendelser etter rutine 4.5 Rutine for oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter
    • kvalitetssikre data i den hensikt å rette uriktige registrerte eller mangelfulle personopplysninger
    • gjennomføre sammenstilling av registre det eksplisitt er gitt tillatelse til
    • utføre sine arbeidsoppgaver etter rutine 4.1 eller 4.2
    • For oppbevaring etter avsluttet prosjekt, se rutine 4.10 Langtidsoppbevaring av forskningsdata

Dokumentasjon Oversikt over hvem som har tilgang til forskningsdataene i det enkelte prosjekt oppbevares av prosjektleder. Opplysningene skal alltid være tilgjengelig for behandlingsansvarlig / forskningsansvarlig virksomhet

Oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter

Denne rutinen skal bidra til å sikre oppfyllelse av forskningsdeltakernes rettigheter ved gjennomføringen medisinsk og helsefaglig forskning, og i andre forskningsprosjekter der personopplysninger er involvert.

Tidspunkt

  • Når REK har gjort vedtak om dispensasjon fra taushetsplikten, jf. helseforskningsloven § 35 og det ikke er gjort unntak fra informasjonsplikten
  • Når behandlingsansvarlig / forskningsansvarlig mottar henvendelse om innsyn i og/eller retting og sletting av data fra forskningsdeltaker i forskningsprosjekter
  • Når forskningsdeltaker ønsker å trekke seg fra deltakelse i forskningsprosjekter.

Prosjektleders oppgaver

Deltakelse i forskningsprosjekter er som hovedregel basert på frivillighet og et skriftlig samtykke. Enhver person som er inkludert i forskning kan kreve innsyn, retting av uriktige registrerte opplysninger, trekke seg fra videre deltakelse eller tilbakekalle avgitt samtykke, herunder sletting av opplysninger. Det er også mulig å reservere seg mot videre behandling av opplysninger og/eller biobankmateriale.

  • Prosjektleder skal sørge for at forskningsdeltakerne er informert om formålet med prosjektet og hvilke rettigheter de har
    • Når det skal samles inn personopplysninger fra den registrerte selv (samtykke), skal den behandlingsansvarlige av eget tiltak først informere forskningsdeltageren
    • Dette gjelder også dersom REK har innvilget dispensasjon fra taushetsplikten, med mindre noe annet er uttrykkelig fastsatt, se rutine 4.3 Rutine for informasjonsplikt og samtykke
    • Når opplysningene er samlet inn fra andre enn den registrerte selv, og innsamlingen er uttrykkelig fastsatt i lov, har den registrerte ikke krav på varsel
  • Prosjektleder skal av eget tiltak rette uriktige opplysninger, oppdatere foreldede opplysninger og supplere ufullstendige opplysninger
    • Uriktige og foreldede opplysninger skal slettes eller endres på en måte som gjør at endringen kan spores
    • Fullstendig sletting av uriktige og foreldede opplysninger kan bare skje dersom det blir krevd av noen som opplysningene kan få direkte innvirkning på, og slettingen ikke får avgjørende innvirkning på forskningsresultatenes validitet eller representativitet.
  • Prosjektleder skal saksbehandle innkomne henvendelser fortløpende. Prosjektleder skal sørge for at krav om innsyn, retting eller sletting besvares uten ugrunnet opphold, og senest innen 30 dager etter at virksomheten mottok henvendelsen:
    • Henvendelser om innsyn, retting, og sletting av opplysninger fra forskningsdeltaker eller dennes verge bør av praktiske hensyn være skriftlig, datert og undertegnet. Henvendelser om innsyn som ikke skjer skriftlig, skal nedtegnes og dateres, og navn på forskningsdeltaker eller dennes verge skal noteres. Det er ikke nødvendig å oppgi noen begrunnelse for å be om innsyn, retting og sletting
    • Forskningsdeltakeren har rett til innsyn i personidentifiserbare og pseudonyme (helse)opplysninger om seg selv, samt sikkerhetstiltakene ved behandlingen av opplysningene så langt innsyn ikke svekker sikkerheten
    • Ved innsyn skal informasjonen fremstilles på en måte som er tilpasset den enkeltes evner og behov
    • Dersom forskningsdeltaker ikke lenger ønsker å delta i forskningsprosjektet må det avklares om forskningen på forskningsdeltakerens biologiske materiale og / eller helseopplysninger, eller andre personopplysninger, må opphøre (dvs. at samtykket trekkes tilbake) eller om forskningsdeltaker bare ikke ønsker å delta videre i prosjektet.
    • Ved krav om innsyn må det vurderes hvorvidt innsyn skal begrenses eller avslås med en medisinsk eller annen begrunnelse. Dersom prosjektleder er i tvil, skal prosjektleder kontakte behandlingsansvarlig / forskningsansvarlig.

For medisinsk- og helsefaglig forskning:

  • Ved avslag på krav om innsyn, retting og sletting, må det opplyses til forskningsdeltaker at avgjørelsen kan klages inn for Regional komité for medisinsk og helsefaglig forskningsetikk (REK)
  • Prosjektleder skal sørge for at henvendelser og svar på henvendelse arkiveres i virksomhetens saksarkiv.

Endring av forskningsprosjekter

Behandlingen av personopplysninger må stemme med det som er angitt i melding til personvernombudet NSD og konsesjon og vilkår gitt fra Datatilsynet, og/eller REK, dersom det er grunnlag for behandlingen.

Ved vesentlige endringer i forskningsprosjektets formål, metode (inkludert forsvarlighet), tidsløp eller organisering (herunder navn på prosjektmedarbeidere), eller det foretas andre endringer i prosjektopplegget fra det som lå til grunn for personvernombudets eller REKs vurdering, skal dette meldes til personvernombudet via endringsskjema. Gjelder prosjektet medisinsk eller helsefaglig forskning skal det sendes en begrunnet søknad til Regional komité for medisinsk og helsefaglig forskningetikk (REK), via SPREK-portalen, og eventuelt Statens legemiddelverk (SLV).

TidspunktNår et forskningsprosjekt ønskes vesentlig endret i forhold til avgitt melding og eventuelt samtykke. Endring må meldes før endret behandling starter.

Prosjektleders oppgaver

Prosjektleder skal sørge for

  • Ved planlagt endring av forskningsprosjekt i forhold til godkjent prosjekt:
    • å sende melding til universitetets personvernombud NSD ev. Datatilsynet. Normalt fyller prosjektleder ut NSDs endringsskjema, som finnes på http://www.nsd.no/personvern.
    • For helseforskningsprosjekter - sende melding til REK via SPREK-portalen
    • Ev. andre godkjenningsinstanser må også kontaktes.
  • Endringen kan medføre at forskningsdeltaker må informeres
  • Dersom endringen av forskningsprosjektet er så stor at det må anses å være et helt nytt prosjekt, må prosjektleder melde det som et nytt prosjekt. Se Oppstart av forskningsprosjekt 
  • At instituttleder er orientert om endringene. Instituttleder skal årlig gjennomgå forskningsprosjektene med sikte på å undersøke om det er foretatt endringer i forskningsprosjektet og om endring er fulgt opp etter denne rutine, se for øvrig også rutine 5.1. Rutine for kontroll av forskningsprosjekter