Forskning og kvalitetssikring

Hva er hva, og hvem godkjenner?

Hvem godkjenner personvern og informasjonssikkerhet i et prosjekt eller et register? Svaret avhenger av formålet og utvalget, samt virksomhetens interne rutiner.

​Samtykke

Individet selv er det primære «godkjenningsorganet». Samtykke er hovedregelen ved all behandling av helse – og personopplysninger, inklusive avidentifiserte (indirekte identifiserbare) opplysninger. Unntak er der det foreligger eget grunnlag i lov/forskrift for databehandlingen som unntar fra samtykkekravet, eller der det er innvilget dispensasjon.  

Hvis krav om samtykke fravikes i noen tilfeller, gjelder likevel informasjonsplikten til den inkluderte. Informasjonsplikten avklares med Personvernombudet.

Internkontroll og informasjonssikkerhet

Databehandlingsansvarlig og/eller forskningsansvarlig virksomhet har plikt til å utøve internkontroll med behandlingen av helse- og personopplysninger i virksomheten.

Internkontroll er systematiske tiltak som skal sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lovgivningen. Internkontroll er et gjennomgående krav i norsk lovgivning og finnes uttrykt blant annet i personopplysningsloven, helseforskningsloven og forskrift og organisering av medisinsk og helsefaglig forskning.

For forskere og andre som er involvert i etableringen av kvalitetsregistre og forskningsregistre innebærer det at virksomheten har etablert interne funksjoner som på ulike måter skal bidra til at internkontrollkravet er oppfylt. Dette vil variere fra virksomhet til virksomhet.

Ved OUS er disse nedfelt i eHåndboken og i tillegg tilgjengeliggjort som forenklet oversikt her:

Personvern og informasjonssikkerhetForskning og undervisning

Informasjonssikkerhet er ett av områdene som ligger til virksomhetens internkontrollansvar. Selv om eksempelvis REK har godkjent en studie, har likevel virksomheten en selvstendig plikt til å påse at informasjonssikkerheten i prosjektet er ivaretatt. Fagområdet ligger til Informasjonssikkerhetsleder i virksomheten, som ved flere norske sykehus er samme person som Personvernombudet. Godkjenning fra et eksternt organ fritar med andre ord ikke forsker fra å innhente intern godkjenning.

Se interne melderutiner ved OUS.

Helseforskning

Regional komite for medisinsk og helsefaglig forskningsetikk (REK) avgjør om et prosjekt er regulert av helseforskningsloven og kan regnes som helseforskning.

Virksomhetens selvstendige ansvar for å påse at informasjonssikkerheten i prosjektet er ivaretatt gjelder fortsatt, jf. avsnittet om internkontroll.

Dersom fremlagt studie vurderes av REK til å ligge utenfor helseforskningslovens område, skal Personvernombudet kontaktes. Studien vil da trenge Personvernombudets tilråding dersom det behandles helse- og personopplysninger, inkludert avidentifiserte (indirekte identifiserbare) opplysninger.

REK har også myndighet til å innvilge dispensasjon fra taushetsplikten i forbindelse med helseforskning og annen forskning enn det som omfattes av helseforskningsloven.

Kobling med Reseptregisteret, NOIS og IPLOS krever konsesjon fra Datatilsynet, i tillegg til REK-godkjenning.

Annen forskning, helsetjenesteforskning og kvalitetsstudier

Om formålet er helsetjenesteforskning, annen forskning eller kvalitetsstudie har ikke betydning så lenge det behandles personopplysninger. Det inkluderer også avidentifiserte (indirekte identifiserbare) opplysninger. Personvernombudet tar stilling til om det må søkes om konsesjon fra Datatilsynet.

Selv om REK anser et fremlagt prosjekt for å være kvalitetssikring og derfor ikke skal godkjennes av komiteen, avgjør ikke REK den endelige formaliseringen av et prosjekt. Dialogen føres da videre mellom prosjektleder og Personvernombudet, som tar stilling til hvilken rettslig regulering prosjektet er underlagt.

For opplysninger innenfor eget databehandlingsansvar, kan Personvernombudet foreta avveining av personvernulempe / fritak fra samtykke.

For innhenting av opplysninger utenfor eget databehandlingsansvar, kreves dispensasjon innvilget av REK. Dette avklares med Personvernombudet først.

Forsknings-/kvalitetsregister med bredt formål

Opprettelse av helseregister med bredt tematisk formål knyttet til forskning, inklusive landsdekkende kvalitetsregistre, skal meldes til Personvernombudet. Slike registre vil som regel medføre behov for konsesjon fra Datatilsynet. Personvernombudet videreformidler konsesjonssøknaden til tilsynet.

Slike registre har som formål å samle inn informasjon for senere å kunne bruke den i ulike studier. Hver studie har selvstendig godkjenning fra REK eller tilråding fra Personvernombudet.

Se prosedyre i eHåndboken til OUS for mer informasjon om formål og hvordan denne typen registre reguleres.

Intern kvalitetssikring med hjemmel i hpl § 26

Pasientjournalloven § 6 og helsepersonelloven § 26 gir lovlig grunnlag til prosjekter og registre som besluttes etablert av leder for å gjennomføre internkontroll og kvalitetssikring av helsehjelpen. Det kreves ledelsesbeslutning og tilrådning fra Personvernombud.

Prosjektet har som målsetting å forbedre behandlingen av pasientene ved sykehuset, for eksempel gjennom forbedrede diagnostiserings- eller behandlingsmetoder. Dette er internt formål som skal sikre en kontinuerlig forbedring og eventuelt kunne underbygge korrigeringer av behandlinger slik at endringer i behandlingsregimer minimum gir samme resultat eller bedre.

Verken pasient eller pårørende involveres direkte. Det innhentes ikke ny informasjon fra pasienten eller andre eksterne kilder, men benyttes kun opplysninger som allerede er innsamlet i helsehjelpen og er registrert som del av foretakets samlede journal.

Formålet er begrenset til intern aktivitet og behov. Formålet omfatter ikke publisering av resultater. Eventuelle behov for publisering av resultater, må angis som et tilleggsformål. Beslutning om publisering av resultater vil kreve vurdering av begrunnelsen for opprettelsen og formålet med  kvalitetsregisteret og forutsetningen om internt formål.

Eventuelt behov for dispensasjon fra taushetsplikten avklares med Personvernombudet. Ved behov skal søknad om dispensasjon sendes til Helsedirektoratet.

Eventuelt behov for kobling med forskriftsregulerte registre (unntaksvis) forutsetter konsesjon fra Datatilsynet. Dette avklares med Personvernombudet.

Utlevering til eksterne

Utlevering av helse- og personopplysninger til eksterne registre eller prosjekter er en egen databehandling som databehandlingsansvarlig virksomhet har ansvaret for. Det følger av prinsippet om internkontroll at virksomheten har etablert rutiner som sikrer at utleveringen kan skje med lovlig grunnlag. Ved OUS er det Personvernombudet som gjør denne vurderingen, og derfor må bli forelagt grunnlaget for utleveringen før den finner sted.

Melderutiner

Oslo universitetssykehus

Andre virksomheter med samme Personvernombud som OUS