Kvalitetssikring, forskning, registre og internkontroll

Hvem godkjenner personvern og informasjonssikkerhet i et prosjekt eller et register? Svaret avhenger av formålet og utvalget, samt virksomhetens interne rutiner.

​Informasjonen på denne siden gir overblikk over godkjenningsorganer for personvern og informasjonssikkerhet som er aktuelle for forskning og kvalitetssikring i helsesektoren. Oversikten er ikke uttømmende, men gir oversikt over de vanligste.

Samtykke

Individet selv er det primære «godkjenningsorganet». Samtykke er hovedregelen ved all behandling av helse – og personopplysninger, inklusive avidentifiserte (indirekte identifiserbare) opplysninger. Unntak er der det foreligger eget grunnlag i lov/forskrift for databehandlingen som unntar fra samtykkekravet, eller der det er innvilget dispensasjon.

Hvis krav om samtykke fravikes i noen tilfeller, gjelder likevel informasjonsplikten til den inkluderte. Informasjonsplikten avklares med Personvernombudet.
Les mer om samtykke og informasjonsplikt her.

Internkontroll og informasjonssikkerhet

Databehandlingsansvarlig og/eller forskningsansvarlig virksomhet har plikt til å utøve internkontroll med behandlingen av helse- og personopplysninger i virksomheten.

Internkontroll er systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen. Internkontroll er et gjennomgående krav i norsk lovgivning og finnes uttrykt blant annet i personopplysningsloven, helseforskningsloven og forskrift og organisering av medisinsk og helsefaglig forskning.

For forskere og andre som er involvert i etableringen av kvalitetsregistre og forskningsregistre innebærer det at virksomheten har etablert interne funksjoner som på ulike måter skal bidra til at internkontrollkravet er oppfylt. Dette vil variere fra virksomhet til virksomhet.

Ved OUS er disse nedfelt i eHåndboken og i tillegg tilgjengeliggjort som forenklet oversikt her:

Informasjonssikkerhet er ett av områdene som ligger til virksomhetens internkontrollansvar. Selv om eksempelvis REK har godkjent en studie, har likevel virksomheten en selvstendig plikt til å påse at informasjonssikkerheten i prosjektet er ivaretatt. Fagområdet ligger til Informasjonssikkerhetsleder i virksomheten, som ved flere norske sykehus er samme person som Personvernombudet. Godkjenning fra et eksternt organ fritar med andre ord ikke forsker fra å innhente intern godkjenning.

Se oversikt over interne melderutiner ved OUS.

Helseforskning


​Godkjenning: ​REK
​Samtykke: ​Hovedregel
​Dispensasjon: REK
​Konsesjon: Kobling med Reseptregisteret NOIS og IPLOS krever konsesjon fra Datatilsynet, i tillegg til REK-godkjenning.

REK avgjør om et prosjekt er regulert av helseforskningsloven og kan regnes som helseforskning. Les mer om helseforskning på Forskningsstøttes sider.

Virksomhetens selvstendige ansvar for å påse at informasjonssikkerheten i prosjektet er ivaretatt gjelder fortsatt, jf. avsnittet om internkontroll.

Dersom fremlagt studie vurderes av REK til å ligge utenfor helseforskningslovens område, skal Personvernombudet kontaktes. Studien vil da trenge Personvernombudets tilråding dersom det behandles helse- og personopplysninger, inkludert avidentifiserte (indirekte identifiserbare) opplysninger.

Annen forskning, helsetjenesteforskning og kvalitetsstudier

Tilråding: Personvernombudet
​Samtykke: ​Hovedregel
Dispensasjon: ​For opplysninger innenfor eget databehandlingsansvar, kan Personvernombudet foreta avveining av personvernulempe / fritak fra samtykke. For innhenting av opplysninger utenfor eget databehandlingsansvar, kreves dispensasjon innvilget av REK. Avklares med Personvernombudet først.
Konsesjon: ​Kobling med forskriftsregulerte registre krever konsesjon fra Datatilsynet. Søknad sendes via Personvernombudet.

Om formålet er helsetjenesteforskning, annen forskning eller kvalitetsstudie har ikke betydning så lenge det behandles personopplysninger. Det inkluderer også avidentifiserte (indirekte identifiserbare) opplysninger. Personvernombudet tar stilling til om det må søkes om konsesjon fra Datatilsynet.

Selv om REK anser et fremlagt prosjekt for å være kvalitetssikring og derfor ikke skal godkjennes av komiteen, avgjør ikke REK den endelige formaliseringen av et prosjekt. Dialogen føres da videre mellom prosjektleder og Personvernombudet, som tar stilling til hvilken rettslig regulering prosjektet er underlagt.

Forskningsregister med bredt formål

Tilråding: ​Personvernombudet behandler konsesjonssøknad og sender til Datatilsynet
Samtykke: ​Krav
Dispensasjon: ​​Adgangen til dispensasjon er begrenset. Avklares først med Personvernombudet som ved behov tar saken opp med Datatilsynet. ​
Konsesjon: Krav

Herunder regnes registre med formål å samle helse- og personopplysninger for senere bruk i forskning, eller løpende kvalitetssikring på tvers av virksomheter gjennom etablering av nasjonalt register.

Registeret er basert på samtykke til et bredt definert formål, noe som forutsetter at informasjonsplikten ivaretas gjennom jevnlig informasjon til den inkluderte. Hvordan informasjonsplikten skal ivaretas avklares med Personvernombudet.

Studier som benytter opplysninger i registeret skal ha egen godkjenning, avhengig av hva formålet med studien er.

Intern kvalitetssikring

​Tilråding: ​Personvernombudet. Ledelsesbeslutning må dokumenteres.
Samtykke: ​​Ikke nødvendig, så sant ikke pasienten på forhånd har reservert seg, og dette er fremgår av journal.
Dispensasjon: ​​Helsedirektoratet. Behov avklares først med Personvernombudet.
Konsesjon: ​Kobling med forskriftsregulerte registre krever konsesjon fra Datatilsynet. Søknad sendes via Personvernombudet.

Pasientjournalloven § 6 og helsepersonelloven § 26 gir lovlig grunnlag til prosjekter og registre som besluttes etablert av leder for å gjennomføre internkontroll og kvalitetssikring av helsehjelpen. Det kreves ledelsesbeslutning og tilrådning fra Personvernombud.

Prosjektet har som målsetting å forbedre behandlingen av pasientene ved sykehuset, for eksempel gjennom forbedrede diagnostiserings- eller behandlingsmetoder. Dette er internt formål som skal sikre en kontinuerlig forbedring og eventuelt kunne underbygge korrigeringer av behandlinger slik at endringer i behandlingsregimer minimum gir samme resultat eller bedre.

Verken pasient eller pårørende involveres direkte. Det innhentes ikke ny informasjon fra pasienten eller andre eksterne kilder, men benyttes kun opplysninger som allerede er innsamlet i helsehjelpen og er registrert som del av foretakets samlede journal.

Formålet er begrenset til intern aktivitet og behov. Formålet omfatter ikke publisering av resultater. Eventuelle behov for publisering av resultater, må angis som et tilleggsformål. Beslutning om publisering av resultater vil kreve vurdering av begrunnelsen for opprettelsen og formålet med kvalitetsregisteret og forutsetningen om internt formål.

Utlevering til eksterne

Utlevering av helse- og personopplysninger til eksterne registre eller studier er en egen databehandling som databehandlingsansvarlig virksomhet har ansvaret for. Det følger av prinsippet om internkontroll at virksomheten har etablert rutiner som sikrer at utleveringen kan skje med lovlig grunnlag. Ved OUS er det Personvernombudet som gjør denne vurderingen, og derfor må bli forelagt grunnlaget for utleveringen før den finner sted. Les med om dette her.

Melderutiner

Se forsiden for oversikt over virksomheter som Personvernombudet ved OUS betjener.
Se OUS' eHåndbok for oversikt over skjemaer og maler som er i bruk.