Forskning og kvalitetssikring
Hvem godkjenner personvern og informasjonssikkerhet i et prosjekt eller et register? Svaret avhenger av formålet og utvalget, samt virksomhetens interne rutiner.
Individet selv er det primære «godkjenningsorganet». Samtykke er hovedregelen ved all behandling av helse – og personopplysninger, inklusive avidentifiserte (indirekte indentifiserbare) opplysninger. Unntak er der det foreligger eget grunnlag i lov/forskrift for databehandlingen som unntar fra samtykkekravet, eller der det er innvilget dispensasjon.
Hvis kravet om samtykke fraviker i noen tilfeller, gjelder likevel informasjonsplikten til den som er inkludert. Informasjonsplikten skal bli avklart med Personvernombudet.
Dataansvarlig og/eller forskningsansvarlig virksomhet har plikt til å utøve internkontroll med behandlingen av helse- og personopplysninger i virksomheten.
Internkontroll er systematiske tiltak som skal sikre at virksomhetens aktiviteter blir planlagt, organisert, utført og vedlikeholdt i samsvar med kravene som er fastsatt i eller i medholdt av lovgivningen. Internkontroll er et gjennomgående krav i norsk lovgivning og blir uttrykt blant annet i personopplysningsloven, helseforskningsloven og forskrift og organisering av medisinsk og helsefaglig forskning.
For forskere og andre som er involvert i etableringen av kvalitetsregistre og forskningsregistre innebærer det at virksomheten har etablert interne funksjoner som på ulike måter skal bidra til at internkontrollkravet er oppfylt. Dette vil variere fra virksomhet til virksomhet.
Informasjonssikkerhet er ett av områdene som ligger til virksomhetens internkontrollansvar. Selv om eksempelvis REK har godkjent en studie, har likevel virksomheten en selvstendig plikt til å påse at informasjonssikkerheten i prosjektet er ivaretatt. Fagområdet ligger til Informasjonssikkerhetsleder i virksomheten. Godkjenning fra et eksternt organ fritar med andre ord ikke forsker fra å innhente intern godkjenning.
Regional komite for medisinsk og helsefaglig forskningsetikk (REK) avgjør om et prosjekt er regulert av helseforskningsloven og kan regnes som helseforskning.
Virksomhetens selvstendige ansvar for å påse at informasjonssikkerheten i prosjektet er ivaretatt gjelder fortsatt, jf. avsnittet om internkontroll.
Dersom fremlagt studie vurderes av REK til å ligge utenfor helseforskningslovens område, skal Personvernombudet kontaktes. Studien vil da trenge Personvernombudets tilråding dersom det behandles helse- og personopplysninger, inkludert indirekte identifiserbare opplysninger.
REK har også myndighet til å innvilge dispensasjon fra taushetsplikten i forbindelse med helseforskning og annen forskning enn det som omfattes av helseforskningsloven.
Om formålet er helsetjenesteforskning, annen forskning eller kvalitetsstudie har ikke betydning så lenge det behandles personopplysninger. Det inkluderer også indirekte identifiserbare opplysninger.
Selv om REK anser et fremlagt prosjekt for å være kvalitetssikring og derfor ikke skal godkjennes av komiteen, avgjør ikke REK den endelige formaliseringen av et prosjekt. Dialogen føres da videre mellom prosjektleder og Personvernombudet, som tar stilling til hvilken rettslig regulering prosjektet er underlagt.
For opplysninger innenfor eget dataansvar, kan Personvernombudet foreta avveining av personvernulempe / fritak fra samtykke.
For innhenting av opplysninger utenfor eget dataansvar, kreves dispensasjon innvilget av REK. Dette avklares med Personvernombudet først.
Opprettelse av helseregister med bredt tematisk formål knyttet til forskning, inklusive landsdekkende kvalitetsregistre, skal meldes til Personvernombudet.
Slike registre har som formål å samle inn informasjon for senere å kunne bruke den i ulike studier. Hver studie har selvstendig godkjenning fra REK eller tilråding fra Personvernombudet.
Pasientjournalloven § 6 og helsepersonelloven § 26 gir lovlig grunnlag til prosjekter og registre som besluttes etablert av leder for å gjennomføre internkontroll og kvalitetssikring av helsehjelpen. Det kreves ledelsesbeslutning og tilrådning fra Personvernombud.
Prosjektet har som målsetting å forbedre behandlingen av pasientene ved sykehuset, for eksempel gjennom forbedrede diagnostiserings- eller behandlingsmetoder. Dette er internt formål som skal sikre en kontinuerlig forbedring og eventuelt kunne underbygge korrigeringer av behandlinger slik at endringer i behandlingsregimer minimum gir samme resultat eller bedre.
Verken pasient eller pårørende involveres direkte. Det innhentes ikke ny informasjon fra pasienten eller andre eksterne kilder, men benyttes kun opplysninger som allerede er innsamlet i helsehjelpen og er registrert som del av foretakets samlede journal.
Formålet er begrenset til intern aktivitet og behov. Formålet omfatter ikke publisering av resultater. Eventuelle behov for publisering av resultater, må angis som et tilleggsformål. Beslutning om publisering av resultater vil kreve vurdering av begrunnelsen for opprettelsen og formålet med kvalitetsregisteret og forutsetningen om internt formål.
Eventuelt behov for dispensasjon fra taushetsplikten avklares med Personvernombudet. Ved behov skal søknad om dispensasjon sendes til Helsedirektoratet.
Utlevering av helse- og personopplysninger til eksterne registre eller prosjekter er en egen databehandling som dataansvarlig virksomhet har ansvaret for. Det følger av prinsippet om internkontroll at virksomheten har etablert rutiner som sikrer at utleveringen kan skje med lovlig grunnlag, på en sikker måte.
Forskning
Ved forskning søker man å etablere ny viten, ikke evaluere eksisterende behandling. Forskningsprosjekter skal som hovedregel godkjennes av REK og ha samtykke fra forskningsdeltakeren jf. Informert samtykke.
Kjennetegn som taler for at prosjektet er et forskningsprosjekt:
- Det foreligger en protokoll for prosjektet som beskriver en problemstilling som skal undersøkes eller en hypotese som skal testes med bruk av vitenskapelig metode.
- Prosjektet innebærer risikomomenter for deltakerne utover det som er vanlig i diagnostikk og behandling.
- Prosjektet inneholder noe kvalitativt nytt som skal gjøres med deltakerne og som ellers ikke hadde blitt gjort ved ordinær oppfølgning/etterundersøkelse.
- Prosjektet vil kunne fremskaffe ny kunnskap om helse og sykdom.
- Nye diagnostiske eller terapeutiske metoder skal utprøves.
- Det skal gjøres en randomisering.
- Bruk av kontrollgruppe med friske personer.
- Prosjektet er “annen forskning" og forutsetter fritak fra samtykkekravet for tilgang til personidentifiserbare helseopplysninger
Kvalitetssikring
Mens forskning handler om å skaffe ny kunnskap om hva som er, eller skal bli beste praksis, handler en kvalitetsstudie om å finne ut om beste praksis følges.
Kvalitetssikring kan defineres som prosjekter, undersøkelser, evalueringer o.l. som har som formål å kontrollere at diagnostikk og behandling faktisk gir de resultater som man forventer. Man vil eksempelvis forbedre effektiviteten og/eller kvaliteten på behandlingen.
Den nasjonale forskningsetiske komité for medisin og helsefag (NEM) har laget en sjekkliste som kan være til hjelp i vurderingen:
- Er formålet med det foreslåtte prosjektet å forbedre kvaliteten på pasientbehandlingen lokalt?
- Vil prosjektet måle praksis mot etablerte standarder?
- Vil prosjektet på noen måte involvere pasienten utover det som er rutine i behandlingen?
Grenseoppgangen mellom kvalitetssikring og forskning er vanskelig. Dersom man er i tvil om hvilken kategori prosjektet faller inn under anbefales det å kontakte SSHFs personvernombud (PVO) og/ eller REK for avklaring. Et kvalitetsprosjekt kan påvise forhold som man senere vil studere i et forskningsprosjekt. Dersom prosjektet endrer status må det snarest søkes godkjent hos REK.