Databehandling
Behandling av data skjer i henhold til godkjent behandlingsgrunnlag. Tilrådingen fra personvernombudet vil si noe om hvordan prosjektet skal behandle personopplysninger og hvordan data kan lagres sikkert.
Prosjektet har ofte planlagt og beskrevet databehandlingen i en melding til personvernombudet, og enten blir den planlagte databehandlingen godkjent, eller så settes en annen type databehandling som vilkår for å gjennomføre prosjektet.
Personvernombudet ber i noen tilfeller om tilråding fra Informasjonssikkerhetsleder.
Forskningsprosjekter skal gjennomføres iht protokollen og samtykket fra deltakerne. Vesentlige endringer fra protokollen skal meldes til den instansen som godkjente prosjektet (som regel REK). Endringer ift lagring av personopplysninger skal meldes personvernombudet. Endringene skal godkjennes før de kan iverksettes.
Sikker lagring av data
I sykehusets nettverk
- Sikkert lagringsområde
- O:\Sensitivt\Forskning
- her skal alle prosjektregistre for forskningsstudier lagres, uavhengig av hvem som formelt godkjenner studien
- O:\Sensitivt\Kvalitet
- her skal alle interne kvalitetsregistre lagres, helsepersonelloven §26, jf pasientjournalloven § 6, lagres
- MedInsight
- kan også brukes til lagring av kodenøkler og samtykker
På O:\Sensitivt lagres kun avidentifisert/pseudonymiserte data, det vil si datasett/analysefiler som har blitt rensket for personidentifiserbare data.
De personidentifiserbare dataene skal være erstattet med en konstruert ID, for eksempel et løpenummer.
Den såkalte koblingsnøkkelen er en liste som knytter en konstruert ID til de direkte personidentifiserbare opplysningene. Koblingsnøkkellister lagres på O:\Sensitivt eller i MedInsight. Vi fraråder å oppbevare koblingsnøkkellister på andre måter.
Hvis både data og koblingsnøkkelliste lagres på O:\Sensitvt, skal de lagres i separat bestilte mapper, f.eks. O:\Sensitivt\Forskning\Prosjekt123456_data og O:\Sensitivt\Forskning\Prosjekt123456_koblingsliste.
Områdene er tilgjengelig gjennom sykehusets nettverk. For å få tilgang til områdene fra et annet nettverk, må VPN benyttes. Det er også mulig å få tilgang til områdene gjennom en ekstern arbeidsflate , som ikke krever VPN.
For å bestille et lagringsområde på O:\Sensitivt benyttes
Tilgangsportalen BAT (intern lenke). Det gjelder både bestilling av nytt lagringsområde, tilgang for nye personer og fjerning av personer som ikke lenger skal ha tilgang. Ved bestilling kreves et saksnummer fra tilråding fra Personvernombudet.
Utenfor sykehusets nettverk
Forskningsportalen er en løsning som gir forskere i regionen tilgang til IKT-tjenester som de har behov for i sine forskningsprosjekter. Dette inkluderer bl.a. virtuelle skrivebord, virtuelle servere, datalagringsområder, samhandlingsområder for prosjektmedarbeidere og en filsluse. OBS. Løsningen har ingen integrert skjemaløsning, men data fra eksterne skjemaløsninger kan importeres.
TSD (Tjenester for Sensitive Data) er et sikkert prosjektområde med integrert skjemaløsning (Nettskjema) for å samle inn sensitive data.
Ved bruk av TSD må "Vedlegg til databehandleravtale for prosjekter der organisasjonen er knyttet til USIT/TSD med en overordne databehandleravtale" lastes ved i søknaden. Se Melderutine til Personvernombud / Forskningsseksjonen.
Samtykke
Lagring av samtykke
Papirbaserte samtykker kan skannes og lagres på O:\Sensitivt eller i MedInsight.
Hvis både data og skannede samtykker lagres på O:\Sensitvt, skal de lagres i separat bestilte mapper, f.eks. O:\Sensitivt\Forskning\Prosjekt123456_data og O:\Sensitivt\Forskning\Prosjekt123456_samtykker.
Innhenting av elektronisk samtykke
Forskningsseksjonen oppfordrer å innhente samtykker elektronisk der hvor det er mulig. Nettskjema/TSD er et verktøy som kan brukes til dette formålet.
Gjennom løsningen signeres et samtykke elektronisk med BankID.
Det er også mulig å koble et samtykkeskjema sammen med et spørreskjema.
Personvernkonsekvensvurdering (DPIA)
DPIA er obligatorisk når behandling av personopplysninger vil medføre en høy risiko for fysiske personers (eks studenter, ansatte, eksterne kontakter, forskningsdeltakere) rettigheter og friheter.
Dersom følgende 7 påstander kan bekreftes, er ikke ytterligere DPIA-vurdering nødvendig
- Data lagres på virksomhetens godkjente lagringsområder
- Data lagres indirekte identifiserbart (kodet) med kodeliste lagret separat
- Prosjektet er basert på samtykke eller dispensasjon med informasjon til den registrerte
- Prosjektet benytter seg kun av én type særlige (sensitive) kategorier av personopplysninger
- Prosjektet benytter IKKE genetiske opplysninger
- Prosjektet utleverer IKKE opplysninger til virksomheter utenfor EU/EØS
- Prosjektet utleverer IKKE opplysninger til internasjonale organisasjoner
Dersom ikke alle 7 påstander kan bekreftes, eller du er usikker på noen av punktene, må du trolig gjennomføre en personvernkonsekvensvurdering av ditt prosjekt.
Ta kontakt med
personvernombudet ved Sørlandet sykehus for en videre vurdering og veiledning til gjennomføring.
Er det planlagt å bruke et lagringssted/en løsning som ikke er nevnt på denne siden, oppfordres det å ta kontakt med informasjonssikkerhetsleder ved SSHF så tidlig som mulig.
Ta kontakt med
Emile van Gelderen i Forskningsseksjonen for spørsmål om lagring av forskningsdata, koblingslister og samtykker.