Ny felles melderutine til Personvernombud eller Informasjonssikkerhetsleder

All behandling av personopplysninger, inkludert avidentifiserte, ved Oslo universitetssykehus (OUS) skal være registrert i oversikten over sykehusets behandling av personopplysninger, ref artikkel 30 i personopplysningsloven.

Etablering av nye databehandlinger ifm kliniske og administrative formål og som omfatter registrering av personopplysninger, skal være besluttet av leder og ha oppgitt systemansvarlig. Dette gjelder både ved etablering av applikasjon/tjeneste i sykehusnettet og hos annen databehandler, inkludert tjenester som er tilgjengelig via Internett. 

Forskning, studier og kvalitetssikring som utføres ved OUS, inkludert utlevering til eksterne studier, skal alltid ledelsesforankres før oppstart. Det gjelder både helseforskning som skal godkjennes av REK, og annen forskning, kvalitetssikring samt brede forsknings- og kvalitetsregistre som krever tilrådning av Personvernombudet.

Behandling av anonyme opplysninger er ikke omfattet av meldeplikten til Personvernombudet, men det forutsetter at opplysningene er lovlig innsamlet. For mer informasjon om anonymisering, se dokumentet Anonymisering av helse- og personopplysninger.

Helseforskning (REK)

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Følgende dokumentasjon må lastes opp i forbindelse med utfylling av innmeldingen:

  • Kopi av REK-søknad med alle vedlegg
  • Søknadsskjema
  • Protokoll / prosjektbeskrivelse
  • Informasjon- og samtykkeskriv
  • REK-godkjenning, dersom prosjektet allerede er godkjent av REK

Ferdig utfylt melding sendes automatisk til godkjenning@ous-hf.no.

Utlevering til helseforskning

​Før utlevering av helse- og personopplysninger til eksternt ledet helseforskningsprosjekt kan gjennomføres, skal melding sendes til Personvernombudet ved OUS. Det er grunnlaget for utlevering som Personvernombudet skal vurdere. Videre skal informasjonssikkerhetsleder påse at informasjonssikkerheten i innsamlingen og utleveringen er ivaretatt.

Prosjektets kontaktperson ved OUS skal fylle ut internt meldeskjema:

Last inn følgende dokumentasjon i skjemaet:

  • Kopi av REK-søknad med alle vedlegg
  • Søknadsskjema
  • Protokoll / prosjektbeskrivelse
  • Informasjon- og samtykkeskriv
  • REK-godkjenning, dersom prosjektet allerede er godkjent av REK

Se også dokumentet Utlevering av helse- og personopplysninger.

Kvalitetsstudier, helsetjenesteforskning og annen forskning

Forskning som faller utenfor REKs mandat å vurdere, skal meldes til Personvernombudet. Det omfatter også kvalitetsstudier som ikke reguleres av bestemmelsene for intern kvalitetssikring.

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Last inn følgende dokumentasjon i skjemaet:

  • Protokoll / prosjektbeskrivelse
  • Informasjon- og samtykkeskriv
  • Annen relevant dokumentasjon, som f.eks. spørreskjema til deltagere


Oppstart avventes til Personvernombudets tilråding av prosjektet foreligger.

Intern kvalitetssikring - pasientjournalloven § 6, jf. helsepersonelloven 26

Opprettelse av internt kvalitetsregister skal meldes til Personvernombudet.

Avdelingens kontaktperson skal fylle ut internt meldeskjema:

Last inn følgende dokumentasjon i skjemaet:

  • Bekreftelse fra leder med delegert myndighet til å beslutte kvalitetssikring

Personvernombudets tilråding forutsetter at grunnlag for oppslag i journal er avklart, se dokumentet Grunnlag for oppslag i journal

Personvernombudets tilråding må foreligge før registrering kan påbegynnes.

For nærmere definisjon av internt kvalitetsregister, se dokumentet Kvalitetssikring - Godkjenning av interne kvalitetsregistre

Forsknings-/kvalitetsregister med bredt formål

Opprettelse av helseregister med bredt tematisk formål knyttet til forskning, inklusive landsdekkende kvalitetsregistre, skal meldes til Personvernombudet. Slike registre vil som regel medføre behov for at det gjennomføres en dokumentert utredning av personvernkonsekvenser(DPIA). Personvernombudet kan kontaktes for rådgivning i forbindelse med utarbeidelsen av denne.

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Last inn følgende dokumentasjon i skjemaet:

  • Protokoll
  • Vedtekter
  • Informasjon- og samtykkeskriv
  • DPIA, dersom dette foreligger

Følgende dokumenter bør være kjent forut for melding til Personvernombudet:

Personvernombudets tilråding må foreligge før registrering kan påbegynnes.

Utlevering til annen forskning og kvalitetssikring

Før utlevering av helse- og personopplysninger til eksternt ledet prosjekt eller register kan gjennomføres, enten det er kvalitetssikring eller annen forskning utenfor REKs mandat, skal melding sendes til Personvernombudet ved OUS. Det gjelder selv om den eksterne har tilråding fra sitt Personvernombud. Det er grunnlaget for utlevering som Personvernombudet skal vurdere. Videre skal informasjonssikkerhetsleder påse at informasjonssikkerheten i innsamlingen og utleveringen er ivaretatt.

Prosjektets kontaktperson skal fylle ut internt meldeskjema:

  • Melding til Personvernombudet
  • Velg enten alternativet "Forskning utenfor REKs mandat" dersom data skal utleveres til et prosjekt, eller "Register med bredt formål" dersom data skal utleveres til et register.

Last inn følgende dokumentasjon i skjemaet:

  • Tilråding fra annet Personvernombud
  • Protokoll / prosjektbeskrivelse
  • Informasjon- og samtykkeskriv, evt. kopi av dispensasjon
  • Dersom utlevering til register: Registerets vedtekter


Tilråding til utlevering fra Personvernombudet ved OUS må foreligge før oppstart og utlevering.

Se også dokumentet Utlevering av helse- og personopplysninger.

Mastergradsprosjekter uten sensitive opplysninger

Det forutsettes at bruk av sykehusets tid og ressurser er godkjent av berørte ledere.

Mastergradsprosjekt og andre typer studentprosjekter som er tilrådd av eksternt personvernombud, og som ikke behandler sensitive personopplysninger, skal fylle ut internt meldeskjema:

Last inn følgende dokumentasjon i skjemaet:

  • Tilråding fra annet Personvernombud
  • Prosjektbeskrivelse
  • Informasjon- og samtykkeskriv

Endringsmelding

Melding om endringer i tidligere godkjente dataregistreringer sendes til den/de instansen(e) som har godkjent registreringene.

Dersom endringen berører informasjonssikkerheten, for eksempel elektronisk innsamlingsløsning, lagring, analyseverktøy eller utlevering, så må godkjenning fra informasjonssikkerhetsleder ved OUS foreligge. Se også dokumentet Melding og behandling av nye og endrede IKT-behov.

Helseforskning

Endringsmelding er kun nødvendig dersom endringen gjelder lagringssted og/eller utlevering av data. I slike tilfelle må det fylles ut internt meldeskjema:

Alle andre endringer i helseforskningsprosjekter skal kun meldes til REK.

Annen forskning, kvalitetsstudier og intern kvalitetssikring

Fyll ut internt meldeskjema:

Endringen kan ikke realiseres før tilbakemelding på endringsmeldingen er gitt fra Personvernombudet og/eller Informasjonssikkerhetsleder.

Samtykkemaler

Samtykkemaler i eHåndboken.

Prosedyrer og retningslinjer for samtykke

Vanligvis bør man velge "Samtykkemal for forskning - kort", men dersom studien krever endel forklaringer, fremmøteskjemaer ol., så benytt langversjonen. For legemiddelstudier som SLV skal godkjenne er det en egen samtykkemal.

Elektronisk innsamling og lagring

Bruk av elektroniske verktøy for innsamling av personopplysninger, lagring av dataene på andre områder enn OUS' dediserte lagringsområder for forskning, bruk av eksterne databehandlere (f.eks. lagring hos annet sykehus), skal risikovurderes og deretter forhåndsgodkjennes av informasjonssikkerhetsleder ved OUS.

Spørsmål kan rettes til ipv@ous-hf.no.

Relevante prosedyrer i eHåndboken:

Nye og endrede IKT- behov

Bestilling av lagringsplass

Helse- og personopplysninger skal som hovedregel lagres avidentifisert i godkjente IKT-løsninger. 

  • K:\Sensitivt
    • Bestilling gjøres i elektronisk meldeskjema. Dette gjelder både for opprettelse av nytt lagringsområde og tilgang til allerede eksisterende lagringsområde.
  • Medinsight
  • eReg
    • Bestilles ved henvendelse til Stab IKT
  • Tjeneste for sensitive data (TSD)
  • Viedoc
    • Forutsetter at GCP-enheten ved OUS etablerer og tilrettelegger registeret for studien.
    • Forutsetter også utfylling av databehandleravtale som GCP-enheten sørger for og sender Personvernombudet ved OUS.

Bruk av humant biologisk materiale (biobank)

Se informasjon fra Regional forskningsstøtte

Kliniske og administrative applikasjoner og tjenester

Systemeier eller den systemeier gir oppgaven, skal fylle ut det interne meldeskjemaet:

Følgende dokumentasjon må lastes opp i forbindelse med utfylling av innmeldingen:
Risikovurdering av løsningen

Se også dokumentet Melding og behandling av nye og endrede IKT-behov.


Fant du det du lette etter?
Tilbakemeldingen vil ikke bli besvart. Ikke send personlig informasjon, for eksempel epost, telefonnummer eller personnummer.