Ny felles melderutine til Personvernombud eller Informasjonssikkerhetsleder

All behandling av personopplysninger, inkludert avidentifiserte, ved Oslo universitetssykehus (OUS) skal være registrert i oversikten over sykehusets behandling av personopplysninger, ref artikkel 30 i personopplysningsloven.

Etablering av nye databehandlinger ifm kliniske og administrative formål og som omfatter registrering av personopplysninger, skal være besluttet av leder og ha oppgitt systemansvarlig. Dette gjelder både ved etablering av applikasjon/tjeneste i sykehusnettet og hos annen databehandler, inkludert tjenester som er tilgjengelig via Internett.

Forskning, studier og kvalitetssikring som utføres ved OUS, inkludert utlevering til eksterne studier, skal alltid ledelsesforankres før oppstart. Det gjelder både helseforskning som skal godkjennes av REK, og annen forskning, kvalitetssikring samt brede forsknings- og kvalitetsregistre som krever tilrådning av Personvernombudet.

Behandling av anonyme opplysninger er ikke omfattet av meldeplikten til Personvernombudet, men det forutsetter at opplysningene er lovlig innsamlet. For mer informasjon om anonymisering, se dokumentet Anonymisering av helse- og personopplysninger.

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Helseforskningsstudie (REK)"

Følgende dokumentasjon må lastes opp i forbindelse med utfylling av innmeldingen:

Kopi av REK-søknad med alle vedlegg
Søknadsskjema
Protokoll / prosjektbeskrivelse
Informasjon- og samtykkeskriv
REK-godkjenning, dersom prosjektet allerede er godkjent av REK

Ferdig utfylt melding sendes automatisk til godkjenning@ous-hf.no.

Før utlevering av helse- og personopplysninger til eksternt ledet helseforskningsprosjekt kan gjennomføres, skal melding sendes til Personvernombudet ved OUS. Det er grunnlaget for utlevering som Personvernombudet skal vurdere. Videre skal informasjonssikkerhetsleder påse at informasjonssikkerheten i innsamlingen og utleveringen er ivaretatt.

Prosjektets kontaktperson ved OUS skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Helseforskningsstudie (REK)"

Last inn følgende dokumentasjon i skjemaet:

Kopi av REK-søknad med alle vedlegg
Søknadsskjema
Protokoll / prosjektbeskrivelse
Informasjon- og samtykkeskriv
REK-godkjenning, dersom prosjektet allerede er godkjent av REK

Se også dokumentet Utlevering av helse- og personopplysninger.

Forskning som faller utenfor REKs mandat å vurdere, skal meldes til Personvernombudet. Det omfatter også kvalitetsstudier som ikke reguleres av bestemmelsene for intern kvalitetssikring.

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Forskning utenfor REKs mandat"

Last inn følgende dokumentasjon i skjemaet:

Protokoll / prosjektbeskrivelse
Informasjon- og samtykkeskriv
Annen relevant dokumentasjon, som f.eks. spørreskjema til deltagere

Oppstart avventes til Personvernombudets tilråding av prosjektet foreligger.

Opprettelse av internt kvalitetsregister skal meldes til Personvernombudet.

Avdelingens kontaktperson skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet Internt kvalitetsregister (med hjemmel i pasientjournalloven § 6, jf. helsepersonelloven 26)

Last inn følgende dokumentasjon i skjemaet:

Bekreftelse fra leder med delegert myndighet til å beslutte kvalitetssikring

Personvernombudets tilråding forutsetter at grunnlag for oppslag i journal er avklart, se dokumentet Grunnlag for oppslag i journal

Personvernombudets tilråding må foreligge før registrering kan påbegynnes.

For nærmere definisjon av internt kvalitetsregister, se dokumentet Kvalitetssikring - Godkjenning av interne kvalitetsregistre

Opprettelse av helseregister med bredt tematisk formål knyttet til forskning, inklusive landsdekkende kvalitetsregistre, skal meldes til Personvernombudet. Slike registre vil som regel medføre behov for at det gjennomføres en dokumentert utredning av personvernkonsekvenser(DPIA). Personvernombudet kan kontaktes for rådgivning i forbindelse med utarbeidelsen av denne.

Prosjektleder eller prosjektets kontaktperson skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Register med bredt formål".

Last inn følgende dokumentasjon i skjemaet:

Protokoll
Vedtekter
Informasjon- og samtykkeskriv
DPIA, dersom dette foreligger

Følgende dokumenter bør være kjent forut for melding til Personvernombudet:

Personvernombudets tilråding må foreligge før registrering kan påbegynnes.

Før utlevering av helse- og personopplysninger til eksternt ledet prosjekt eller register kan gjennomføres, enten det er kvalitetssikring eller annen forskning utenfor REKs mandat, skal melding sendes til Personvernombudet ved OUS. Det gjelder selv om den eksterne har tilråding fra sitt Personvernombud. Det er grunnlaget for utlevering som Personvernombudet skal vurdere. Videre skal informasjonssikkerhetsleder påse at informasjonssikkerheten i innsamlingen og utleveringen er ivaretatt.

Prosjektets kontaktperson skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg enten alternativet "Forskning utenfor REKs mandat" dersom data skal utleveres til et prosjekt, eller "Register med bredt formål" dersom data skal utleveres til et register.

Last inn følgende dokumentasjon i skjemaet:

Tilråding fra annet Personvernombud
Protokoll / prosjektbeskrivelse
Informasjon- og samtykkeskriv, evt. kopi av dispensasjon
Dersom utlevering til register: Registerets vedtekter

Tilråding til utlevering fra Personvernombudet ved OUS må foreligge før oppstart og utlevering.

Se også dokumentet Utlevering av helse- og personopplysninger.

Det forutsettes at bruk av sykehusets tid og ressurser er godkjent av berørte ledere.

Mastergradsprosjekt og andre typer studentprosjekter som er tilrådd av eksternt personvernombud, og som ikke behandler sensitive personopplysninger, skal fylle ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Student/mastergradsprosjekt uten sensitive personopplysninger".

Last inn følgende dokumentasjon i skjemaet:

Tilråding fra annet Personvernombud
Prosjektbeskrivelse
Informasjon- og samtykkeskriv

Melding om endringer i tidligere godkjente dataregistreringer sendes til den/de instansen(e) som har godkjent registreringene.

Dersom endringen berører informasjonssikkerheten, for eksempel elektronisk innsamlingsløsning, lagring, analyseverktøy eller utlevering, så må godkjenning fra informasjonssikkerhetsleder ved OUS foreligge. Se også dokumentet Melding og behandling av nye og endrede IKT-behov.

Helseforskning

Endringsmelding er kun nødvendig dersom endringen gjelder lagringssted og/eller utlevering av data. I slike tilfelle må det fylles ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Endringsmelding"

Alle andre endringer i helseforskningsprosjekter skal kun meldes til REK.

Annen forskning, kvalitetsstudier og intern kvalitetssikring

Fyll ut internt meldeskjema:

Melding til Personvernombudet
Velg alternativet "Endringsmelding"

Endringen kan ikke realiseres før tilbakemelding på endringsmeldingen er gitt fra Personvernombudet og/eller Informasjonssikkerhetsleder.

Samtykkemaler i eHåndboken.

Prosedyrer og retningslinjer for samtykke

Vanligvis bør man velge "Samtykkemal for forskning - kort", men dersom studien krever endel forklaringer, fremmøteskjemaer ol., så benytt langversjonen. For legemiddelstudier som SLV skal godkjenne er det en egen samtykkemal.

Bruk av elektroniske verktøy for innsamling av personopplysninger, lagring av dataene på andre områder enn OUS' dediserte lagringsområder for forskning, bruk av eksterne databehandlere (f.eks. lagring hos annet sykehus), skal risikovurderes og deretter forhåndsgodkjennes av informasjonssikkerhetsleder ved OUS.

Spørsmål kan rettes til ipv@ous-hf.no.

Relevante prosedyrer i eHåndboken:

Sikkerhetsinstruks

Lagring, arkivering og sletting av helse- og personopplysninger i forskningsstudier, kvalitetssikring og helseregistre

Lagring av personopplysninger hos annen juridisk enhet - bruk av databehandler

Risikovurdering ved nye og endrede IT-løsninger og databehandlinger

Nye og endrede IKT- behov

Helse- og personopplysninger skal som hovedregel lagres avidentifisert i godkjente IKT-løsninger.

Sikkert lagringsområde

Bestilles gjennom selvbetjent MinSykehuspartner-løsning. Sykehuspartner er brukerstøtte.

Medinsight

Bestilles hos systemforvalter i Forskningstøtte, OSS. Ta kontakt på oushfpbmedinsight@ous-hf.no. For mer info, se Medinsights nettside.

eReg

Bestilles ved henvendelse til Stab IKT

Tjeneste for sensitive data (TSD)

Bestilles ved henvendelse til USIT. Se egen nettside.
Kopi av signert vedlegg til databehandleravtale mellom OUS og USIT sendes til personvern@ous-hf.no. USIT har dette vedlegget.

Viedoc

Forutsetter at GCP-enheten ved OUS etablerer og tilrettelegger registeret for studien.
Forutsetter også utfylling av databehandleravtale som GCP-enheten sørger for og sender Personvernombudet ved OUS.

Se informasjon fra Regional forskningsstøtte

Systemeier eller den systemeier gir oppgaven, skal fylle ut det interne meldeskjemaet:

Melding til Informasjonssikkerhetsleder
Velg alternativet "Applikasjon med personopplysninger"

Følgende dokumentasjon må lastes opp i forbindelse med utfylling av innmeldingen:
Risikovurdering av løsningen

Se også dokumentet Melding og behandling av nye og endrede IKT-behov.

Ny felles melderutine til Personvernombud eller Informasjonssikkerhetsleder

Helseforskning (REK)

Utlevering til helseforskning

Kvalitetsstudier, helsetjenesteforskning og annen forskning

Intern kvalitetssikring - pasientjournalloven § 6, jf. helsepersonelloven 26

Forsknings-/kvalitetsregister med bredt formål

Utlevering til annen forskning og kvalitetssikring

Mastergradsprosjekter uten sensitive opplysninger

Endringsmelding

Samtykkemaler

Elektronisk innsamling og lagring

Relevante prosedyrer i eHåndboken:

Bestilling av lagringsplass

Bruk av humant biologisk materiale (biobank)

Kliniske og administrative applikasjoner og tjenester