19. Vedlegg: Flytskjema og steg-for-steg veiledning til flytskjema

Ved å følge stegene i flytskjemaet får du oversikt over hva du må tenke på. Vær oppmerksom på at institusjoner kan ha ulike rutiner og systemer for å dokumentere at deres forskning/kvalitetssikring er lovlig, og at du må følge retningslinjer ved din institusjon. Mange institusjoner kan f.eks. ha rutine for innmelding av prosjekter og forskningsstøtte du kan rådføre deg med, og/eller bruker personverntjenester som Sikt. Uansett rutiner ved din institusjon, vil flytskjemaet fungere som støtte og veiledning.

Når du bruker flytskjemaet i prosjektet ditt, anbefaler vi at du er grundig i beskrivelse og vurdering i hvert punkt. Dette for å unngå følgefeil i de neste stegene, og risiko for ulovlig behandling av personopplysninger. Husk at du må gå igjennom alle stegene før du starter behandlingen av personopplysninger. Hvis du skulle oppdage avvik i planleggingsfasen, f.eks. hvis du har startet behandling av personopplysninger og hoppet over et av stegene, er det viktig at du sier ifra til institusjonen din så raskt som mulig. Dette fordi institusjonen - for noen typer avvik - har en 72 timers frist til å melde fra til Datatilsynet.

Før du går i gang med datainnsamling må prosjektet ha på plass nødvendige tillatelser og avtaler og personvernkonsekvensvurdering (DPIA) hvis dette er et krav. Det kan være lurt å starte disse prosessene så tidlig som mulig. De er likevel plassert til slutt i malen, fordi det er viktig at du først har god oversikt over ulike forhold ved prosjektet. Vår anbefaling er at du ser over hele malen og skisserer stegene i oppsatt rekkefølge for ditt prosjekt.

Alternativt kan du bruke malen parallelt med at du utarbeider søknader, går i dialog med samarbeidspartnere og evt. begynner på DPIA. Det viktigste er at du fullfører alle stegene før søknader sendes, avtaler inngås og DPIA sendes til godkjenning.

Formål

Beskriv formålet med prosjektet. Vær oppmerksom på at formålet er avgjørende for hvilke personopplysninger prosjektet kan behandle og hvordan. Hvis personopplysninger behandles utover formålet, kan det være ulovlig.

Beskriv og vurder formålet:

• Forklar problemstilling og sentrale forskningsspørsmål du vil undersøke i prosjektet.

Husk:

• Formålet med prosjektet må være klart definert, nøyaktig, fullstendig og rimelig
• Formålet må beskrives så spesifikt som mulig

Tips:

• Vær grundig med formålsbeskrivelsen. Den er førende for alle vurderingene du skal gjøre under. Den er også førende for instanser du må innhente tillatelser fra, som f.eks. REK og Direktoratet for medisinske produkter.
• Det kan være vanskelig og tidkrevende å endre eller utvide formål på et senere tidspunkt i prosjektet, særlig hvis det er vanskelig å innhente samtykke på nytt fra de som har deltatt i prosjektet (de registrerte).
• Formålet kan beskrives bredere/mer overordnet i større studier og registre der data skal brukes i flere delprosjekter med ulike problemstillinger. Men det må alltid gis en så presis og konkret formålsbeskrivelse som mulig. Hvor konkret den må være, beror på prosjektet eller registerets karakter. Vær oppmerksom på at “forskning” og “kvalitetssikring” uansett er for vidt, formålet må avgrenses tematisk til et forskningsområde. 

Se også Normens faktaark om formål og behandlingsgrunnlag.

Data

Kartlegg hvilke data prosjektet trenger for å oppnå formålet.

Beskriv og vurder datamaterialet du vil samle inn:

• Utvalgskriterier. Hvilke kategorier av personer skal prosjektet ha opplysninger om?
• Sårbare personer? Kan noen i utvalget ha vansker med å ivareta rettighetene sine, pga. sykdom, livssituasjon, skjev maktrelasjon til deg/institusjon el.? F.eks. barn, pasienter, asylsøkere og ansatte.
• Datakilder. Hvor og hvordan innhenter prosjektet opplysninger?
  • fra den registrerte selv: gjennom intervju, spørreskjema, notater, observasjon etc.
  • og/eller fra andre kilder: pasientjournal, helseregister, SSB, institusjon, annet forskningsprosjekt, medisinsk utstyr, etc.
• Dataomfang og innhold. Beskriv ca. antall personer, antall og detaljgrad på variabler, hvor ofte opplysninger skal innhentes, og om data fra ulike kilder skal kobles på personnivå. Og beskriv hvilke opplysninger som skal innhentes (via intervjuguide, spørreskjema, observasjonsguide, variabelliste, medisinske forsøk, biologiske prøver, måleinstrumenter, teknologisk utstyr etc.)

Husk:

• Dataminimering: prosjektet kan kun samle inn opplysninger som er adekvate og relevante for formålet.
• Hvis du henter data fra andre kilder enn direkte fra den registrerte må:
  • den som utleverer ha rettslig grunnlag (personvernforordningen, samt supplerende rettsgrunnlag i norsk lov eller unionsretten)
  • og utleveringen må følge regler om taushetsplikt (samtykke fra den registrerte, dispensasjon eller annet unntak fra taushetsplikten)
• Hvis prosjektet skal bruke/utvikle innovativ teknologi, eller hente data fra tekniske løsninger, medisinsk utstyr el. bør du rådføre deg med ressurser ved din institusjon (IT, jurister, medisinskteknisk personell) for å avklare om – og på hvilken måte - prosjektet er teknisk/juridisk mulig å gjennomføre.

For mer om dataminimering se Normens faktaark om personvernprinsippene,.

Personopplysninger

Vurder om prosjektdataene er å anse som personopplysninger, og i så fall hvilken type.

Vurder:

• Tenk på alle data som skal brukes i prosjektet fra start til slutt, uavhengig av format. Og les definisjonene under.
• Skal prosjektet behandle personopplysninger?
• Hvis nei, trenger du ikke gå videre. Merk at du likevel må avklare med REK om prosjektet er søknadspliktig dersom formålet er å fremskaffe ny kunnskap om helse og sykdom (helseforskning), selv om prosjektet kun skal behandle anonyme opplysninger (f.eks. tester/forsøk som innebærer helserisiko der du innhenter samtykke, men ikke knytter data til forsøksperson).
• Hvis ja, vurder om prosjektet skal behandle:
  • særlige kategorier personopplysninger
  • personopplysninger om straffedommer eller lovovertredelser
  • og/eller taushetsbelagte personopplysninger

Viktige definisjoner

• Personopplysninger behandles hvis det på noen måte vil være mulig å knytte dataene til en enkeltperson, f.eks. via:
  • navn, fødselsnummer, adresse, telefonnummer, epost, samtykkeerklæring osv.
  • bakgrunnsinformasjon som tid, sted, institusjon, alder, kjønn, stilling, diagnose osv.
  • kode som viser til en koblingsnøkkel hos deg eller andre (f.eks. liste med prosjekt-ID og navn, eller pasientnummer og fødselsnummer)
  • bilde, video, lydopptak
  • IP-adresse, nettidentifikator
  • lokasjonsdata, bevegelses-/adferdsmønstre
  • biometri (f.eks. iris, fingeravtrykk, ansikt, ganglag)
  • humant biologisk materiale eller genetiske analyser (av arvestoff)

• Særlige kategorier personopplysninger er data om rasemessig/etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetikk, biometri, helseforhold og/eller seksuelle forhold/orientering.
• Personopplysninger om straffedommer/lovovertredelser er data om at en person er mistenkt, siktet, tiltalt eller dømt for straffbar handling.
• Taushetsbelagte personopplysninger er data om personer fra kilder som har lovpålagt eller avtalefestet taushetsplikt om opplysningene.

Husk:

• Begrepet «helseopplysninger» skal tolkes vidt. Det omfatter enhver opplysning som avdekker noe om en persons tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Det kan være opplysninger om sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, helsehjelp/behandling, fysiologisk/biomedisinsk tilstand, genetikk, biologiske prøver, tester/undersøkelser av kroppsdel-/substans mm. Det gjelder uavhengig av hvor opplysningene kommer fra, f.eks. pasientjournal, helsepersonell, medisinsk utstyr, den registrerte selv eller andre.
• Prosjektet behandler personopplysninger selv om data kun kan knyttes til enkeltpersoner gjennom en kode og koblingsnøkkel. Det gjelder også dersom prosjektet ikke selv har tilgang til koblingsnøkkelen, men lagrer den ved andre institusjoner.

Vær også oppmerksom på at flere variabler sett i sammenheng kan være egnet til å bakveisidentifisere de registrerte, selv om du ikke har tilgang til direkte identifiserbare opplysninger eller koblingsnøkkel.

Roller og ansvar

Avklar hvem som bestemmer og har ansvar for databehandlingen i prosjektet.
Hvilken institusjon(er) bestemmer hvorfor og hvordan personopplysninger behandles?

Vurder:

• Er din institusjon:
  • Dataansvarlig alene – bestemmer formål og midler alene ved behandlingen av personopplysninger (evt. samarbeidspartnere har liten/ingen innflytelse)
  • Felles dataansvarlig – bestemmer formål og midler ved behandling av personopplysninger (helt eller delvis) sammen med en eller flere andre institusjoner
  • Databehandler – bestemmer ikke/lite over formål og midler, men behandler personopplysninger på instruksjon fra dataansvarlig

Husk:

• Det er institusjonen, ikke den enkelte forsker, som bestemmer over databehandlingen og hvilken rolle institusjonen har.
• Hvis rollen til din institusjon er uklar, kontakt ressurser ved din institusjon i god tid før oppstart av datainnsamling.
• Roller og ansvar må kartlegges for å finne ut hva din institusjon må sikre/dokumentere, og hvilke avtaler dere må ha med evt. samarbeidspartnere.
• Ved felles behandlingsansvar: ta en felles gjennomgang av flytskjemaet, se hvilke aktiviteter knyttet til personvern den enkelte institusjon skal ha ansvar for å gjennomføre i prosjektet og dokumenter stegene sammen.
• Med «midler» mener vi her hvordan vi behandler personopplysninger, f. eks hvordan de skal analyseres og lagres

Tips:

• Vi anbefaler å lese Datatilsynets veileder om roller og ansvar, som gir gode forklaringer og eksempler, se Behandlingsansvarlig og databehandler (datatilsynet.no)

For mer om roller og ansvar, se Normens veileder om internkontroll og Normens faktaark om bruk av databehandler

Type prosjekt og behandlingsgrunnlag

Basert på formålet, kartlegg hvilken type prosjekt du/dere etablerer.

Finn deretter ut hva som gir prosjektet lov (rettslig grunnlag) til å behandle personopplysninger.

Denne kartleggingen av prosjekttype er nødvendig for å finne ut hvilke lover prosjektet må følge, og hvilke tillatelser man må ha før oppstart.

All behandling av personopplysninger reguleres av EUs personvernforordning og den norske personopplysningsloven. For noen formål (type prosjekt) vil helselover gjelde i tillegg. Hver behandling av personopplysninger må ha behandlingsgrunnlag i personvernforordningen artikkel 6 (behandling av personopplysninger i alminnelig kategori) og artikkel 9 (unntak fra forbudet om behandling av personopplysninger i særlig kategori), og oppfylle vilkår i aktuelle lover og forskrifter, for å være lovlig.

I tabellen "Tabell type prosjekt og behandlingsgrunnlag er det laget en oversikt over de mest aktuelle behandlingsgrunnlagene for de ulike prosjekttypene hentet fra personvernforordningen, personopplysningsloven og helselovgivningen. Merk at dette ikke er en uttømmende oversikt, og det kan være andre behandlingsgrunnlag, blant annet EU/EØS-regelverk, som kan være relevant for ditt prosjekt. 

Vurder:

• Definer først prosjekttype ut fra formålet. Og velg deretter det rettslige grunnlaget som passer for ditt prosjekt.
• Vær oppmerksom på at prosjektet ditt kan ha formål i “gråsonen” mellom ulike prosjekttyper. Les derfor nøye på definisjonene av alle prosjekttypene, slik at du får plassert prosjektet ditt i rett kategori. Er du i tvil, rådfør deg med din institusjon.
• Det kan være vanskelig å skille forskning og kvalitetssikring. Kvalitetssikring innebærer å undersøke/evaluere om diagnostikk, behandling og annen helsehjelp faktisk gir forventede resultater og om kravene til kvalitet er oppfylt. Hvis prosjektet bruker vitenskapelig metodikk for å evaluere, undersøke eller fremskaffe kunnskap om andre forhold, vil det trolig falle inn under kategorien forskning (ikke kvalitetssikring).
• Vær oppmerksom på at prosjektet må følge vilkårene i det rettslige grunnlaget, og lovene som gir det rettslige grunnlaget.
• Du bør beskrive og dokumentere konkret hvordan prosjektet oppfyller vilkårene, og hvorfor du mener det aktuelle rettslige grunnlaget skal brukes.
• Merk at hvis behandlingen av personopplysninger i prosjektet skal ha rettslig grunnlag i samtykke, er det flere vilkår som må være oppfylt. Samtykket må være spesifikt, frivillig, aktivt og utvetydig. Samtykket må også kunne dokumenteres og skal enkelt kunne trekkes tilbake av den registrerte. Hvis det er vanskelig å oppfylle disse kriteriene, kan ikke samtykke brukes som rettslig grunnlag, og du må vurdere om et annet alternativ til rettslig grunnlag kan benyttes i ditt prosjekt.

Husk:

• Merk at et samtykke fra den registrerte kan ha ulike funksjoner. Samtykke kan:
  • være rettslig grunnlag for behandling av personopplysninger (som vist i tabellen over)
  • være et tiltak som ivaretar den registrertes rettigheter og friheter (når rettslig grunnlag er allmennhetens interesse, se tabellen over)
  • oppheve taushetsplikt (for opplysninger prosjektet henter fra datakilder med taushetsplikt)
• Samtykke når de registrerte er barn:
  • Hvis barn skal delta i prosjektet, må du vurdere hvem som skal samtykke for barnet. Hovedregelen er at foreldre eller andre med foreldreansvar må gi samtykke frem til barnet er 18 år. I helseforskning og helseregistre er hovedregelen at ungdom kan samtykke selv fra 16 år.
  • For annen forskning enn helseforskning, faller man tilbake på hovedregelen om at foreldre med foreldreansvar samtykker på vegne av barnet frem til barnet er 18 år. Det er viktig å påpeke i den forbindelse at barn har en gradvis medvirknings- og selvråderett, hjemlet i barnelova § 31 og 33. Medvirkningsretten innebærer at barnet skal ha informasjon tilpasset sin alder og få muligheten til å si sin mening, i tråd med alder og modenhet. Det må også vurderes hvor inngripende forskningen anses å være for barnet. Hva som anses som det beste for (det enkelte) barnet, skal alltid være et grunnleggende hensyn, og som vil være avgjørende for om barn i det hele tatt skal delta i forskningsprosjekt eller ikke. De ovennevnte momentene må vurderes før foreldrene beslutter å avgi et samtykke, eller ikke, til forskningen.
  • Dersom foreldre eller andre med foreldreansvar har samtykket på vegne av et barn til deltakelse i forskning eller kvalitetssikring, skal barnet når det blir 16 år få informasjon om behandlingen av personopplysninger i prosjektet/registeret, og retten til å trekke samtykke tilbake eller motsette seg behandling.
• Hvis voksne uten samtykkekompetanse skal delta, rådfør deg med din institusjon om hvordan prosjektet kan gjennomføres på lovlig måte.
• Hvis prosjektet behandler personopplysninger i flere omganger (f.eks. for flere utvalg, eller først for å rekruttere deltagere, og deretter for intervju), må prosjektet ha rettslig grunnlag for hver aktivitet.

• Ved etablering av medisinske kvalitetsregistre skal du følge kravene som stilles i forskrift om medisinske kvalitetsregistre. Flytskjemaet og forskningsveilederen kan likevel hjelpe deg i vurderingene du må gjennomføre etter forskriften. Hvis du skal etablere medisinsk kvalitetsregister anbefaler vi å søke veiledning hos Nasjonalt servicemiljø for medisinske kvalitetsregistre

Tips:

• Hvis du er usikker på type prosjekt, rådfør deg med din institusjon i god tid før datainnsamling.
• Hvis du er usikker på om prosjektet er helseforskning, kan du sende fremleggelsesvurdering til REK og få svar ila. kort tid.
• Det kan være vanskelig å skille større helseforskningsprosjekt fra befolkningsbasert helseundersøkelse. Rådfør deg med din institusjon eller REK.
• Se også NEMs veileder helseforskningslovens saklige virkeområde, som avgrenser helseforskning mot hhv. kvalitetssikring og helseregistre.
• Resultater fra intern kvalitetssikring kan publiseres anonymt (se boks 8).
• Hvis du skal forske på, utvikle produkter eller ta i bruk utstyr som er basert på kunstig intelligens innenfor helse anbefaler vi å ta i bruk veiledningssiden til Koordineringsprosjektet for kunstig intelligens. Her kan det også søkes om kostnadsfri regulatorisk veiledning. Les mer på Kunstig intelligens i helsetjenesten.
• Merk at helsepersonelloven § 29 gir adgang til å søke om dispensasjon fra taushetsplikten i prosjekter der formålet er å utvikle og ta i bruk klinisk beslutningsstøtteverktøy. Søknaden sendes til Helsedirektoratet.

Se også Normens faktaark om formål og behandlingsgrunnlag

Dataflyt og sikkerhet

Beskriv dataflyt og sett inn sikkerhetstiltak.

Beskriv og vurder:

• Lag en konkret plan for hvordan prosjektet skal samle inn, analysere, koble, lagre, dele og sikre data. Illustrer gjerne i et flytskjema.
• Få med følgende i beskrivelse av dataflyt:
  • alle datakilder
  • alle enheter og kanaler dataene skal innom
  • om/hvordan data om enkeltpersoner fra ulike datakilder kobles
  • om personopplysninger lagres sammen med eller adskilt fra datasettet
  • hvor eventuell koblingsnøkkel lagres
  • hvem som får tilgang til personopplysninger (institusjon og rolle)
  • hvilke opplysninger de ulike mottakerne skal ha tilgang til og til hvilket tidspunkt
  • hvorfor de får tilgang
  • om publikasjoner vil inneholde anonyme eller personidentifiserende data
  • hvordan prosjektet avslutter behandlingen av personopplysninger (sletting, anonymisering eller viderebehandling).
• Beskriv og vurder sikkerhetstiltakene:
  • vurderes for hver enhet og kanal som dataene flyter gjennom
  • kan være tekniske og/eller organisatoriske
  • skal være egnet til å sikre dataene mot uautorisert deling, endring og sletting
  • må være bedre jo høyere personvernrisikoen er (se boks 11)

Husk:

• Du må følge lagringsguide og retningslinjer for informasjonssikkerhet ved din institusjon.
• Beskrivelsen av dataflyt og vurderingen av sikkerhetstiltak må være god og riktig. Det kan være hensiktsmessig (og i noen tilfeller nødvendig), å be om bistand fra IT-ressurser fra din institusjon for å sikre dette, særlig når dataflyten er kompleks og/eller innebærer høy risiko.
• Rådfør deg med din institusjon hvis du er usikker eller prosjektet bruker nytt utstyr/løsning/leverandør som ikke er godkjent ved din institusjon.
• Prosjektleder må sørge for at det finnes en løpende oversikt over hvilke navngitte personer som til enhver tid har tilgang til hvilke personopplysninger og hvorfor slik tilgang er nødvendig. Husk å oppdatere tilganger ved endringer i prosjektgruppen.
• Du må sørge for at det er samsvar mellom dataflyten i prosjektet og den informasjonen du gir til den registrerte og REK, Helsedataservice, Helsedirektoratet, Direktoratet for medisinske produkter mv.

Se også Normens faktaark om lagringstid og sletting og Normens veileder om risiko

Dele data

Avklar om prosjektet skal dele data med andre, underveis eller etterpå.

Hvis ja, avklar om mottaker trenger personopplysninger.

Hvis ja, avklar hva som er formålet med delingen og hva mottakers rolle er?

Vurder:

• Hvilke tilganger som er nødvendig for prosjektformålet:
  • Hvilke personer skal få tilgang til personopplysningene i prosjektet?
  • Hvorfor trenger de tilgang til personopplysninger for å oppfylle formålet/sine oppgaver i prosjektet?
• Hvilken rolle har de som får tilgang (kategori mottaker)? 
  • ansatte ved din institusjon (dataansvarlig)
  • ansatte hos fellesansvarlig institusjon
  • ansatte hos databehandler
• Om personopplysninger skal brukes til andre formål enn prosjektet:
  • Skal du eller andre bruke personopplysninger fra prosjektet til andre formål enn prosjektformålet (underveis eller etterpå)?
• Før deling/ny bruk må du i samråd med din institusjon:
  • Sikre rettslig grunnlag for delingen. Hvilke vilkår datadelingen må oppfylle finner du i lover/forskrifter som gjelder ditt prosjekt (boks 5).
  • Ta stilling til hvilken dokumentasjon mottaker må gi til prosjektet, for at din institusjon skal kunne påvise at delingen er lovlig.
• Hvis prosjektet skal dele data systematisk til nye formål:
  • Lag en skriftlig rutine som viser hvilke momenter dere må vurdere og hvilken dokumentasjon dere må ha før hver utlevering.
  • Sjekk at utleveringsrutinen er i samsvar med de lover/forskrifter som gjelder ditt prosjekt.
  • Det er særlig viktig før oppstart av befolkningsbaserte helseundersøkelser og medisinske kvalitetsregistre, der formålet er gjenbruk av data.
• Institusjonen din må føre skriftlig protokoll over alle utleveringer av personopplysninger fra prosjektet. For hver utlevering må dere dokumentere mottakers rettslige grunnlag og momentene i sjekklisten under Protokoll (nederst i flytskjema).

Husk:

• Personer som jobber i prosjektet, kan bare få tilgang til personopplysninger hvis de trenger det for å utføre sine oppgaver.
• Hvis prosjektet benytter leverandører som får tilgang til personopplysninger uten å bruke dem til egne formål (f.eks. nettskjema, videosamtale, analyseinfrastruktur, lagringstjeneste, skytjeneste), definerer du disse mottakerne som databehandlere
• Enhver deling – og enhver ny bruk – av personopplysningene til nytt formål er en egen behandling. Det gjelder også hvis du selv eller andre ved din institusjon skal bruke opplysningene videre til andre formål. Følg da flytskjemaet fra start for den nye behandlingen.
• Rådfør deg alltid med din institusjon før deling/ny bruk til andre formål enn prosjektet. Da forankrer du vurderingen av at viderebehandling er lovlig.
• Hvis dere utleverer til annen institusjonen, er mottaker dataansvarlig for den videre behandlingen. Hovedoppgaven for dere er da å sikre at selve utleveringen er lovlig. Men sjekk rutiner ved din institusjon. Noen ønsker å inngå utleveringsavtale med mottaker som gir vilkår/begrensninger for videre bruk.
• Det kan være vanskelig å vurdere om prosjektendring innebærer nytt formål/prosjekt. Rådfør deg med din institusjon, eller REK hvis helseforskning.

Varighet. Hva skjer med personopplysningene etterpå?

Anslå hvor lenge prosjektet trenger å behandle personopplysninger for å oppnå formålet.

Vurder:

• Hvor lenge det er nødvendig å behandle personopplysninger for å oppnå formålet. Sett dato eller angi kriterier for når behandlingen skal opphøre.
• Avklar hva som skal skje med personopplysninger i datamaterialet når prosjektet er fullført:
  • Slette: Sjekk først om dere trenger opplysningene videre pga. arkiveringsplikt eller behov for videre forskning
  • Anonymisere: Lag en plan for hvilke tiltak prosjektet må gjøre for at opplysningene faktisk er anonyme etterpå
  • Viderebehandle: Avklar til hvilke formål, og hvem som er dataansvarlig
• Avklar hva som skal skje med personopplysninger i publikasjoner fra prosjektet:
  • Publisere anonyme opplysninger: Lag en plan for hvilke tiltak prosjektet må gjøre for at opplysningene faktisk er anonyme
  • Publisere personopplysninger: Avklar lovlig grunnlag for denne behandlingen av personopplysninger (samtykke er hovedregel)

Husk:

• Personopplysninger skal ikke lagres lenger enn det som er nødvendig for formålet. Når du planlegger sluttdato er det likevel lurt å ta høyde for at det kan skje uplanlagte forsinkelser, og at det kan ta tid å innhente tillatelser, få på plass avtaler, få tilgang til data og publisere.
• Det kan også oppstå uplanlagte endringer i prosjektopplegget som kan kreve nye personvernvurderinger/tillatelser, evt. ny informasjon til de registrerte.
• Hovedregelen er at personopplysninger skal slettes når formålet er oppfylt. Men før du legger en plan om å slette, må du sjekke om prosjektet omfattes av lovfestede krav og standarder for arkivering/lagring/viderebehandling, som f. eks vilkår fra REK om 5 års lagring for etterkontroll iht. helseforskningsloven og Good Clinical Practice (GCP) i helseforskning og klinisk forskning, eller 25 år i legemiddelstudier.
• For helseforskningsprosjekter med vilkår om lagring for etterkontroll, kan data kun lagres av hensyn til kontroll og etterprøvbarhet, og ikke brukes av prosjektleder eller andre, i perioden mellom prosjektslutt- og slettedato.
• Det er også mulig å lagre opplysningene videre for gjenbruk i forskning på visse vilkår. Hvis det er aktuelt, er det best å planlegge dette ved prosjektstart. Rådfør deg med personvernressurser i din institusjon.
• Anonymisering innebærer at alle personopplysninger (definert i boks 3) må slettes eller omskrives, slik at det ikke er mulig for noen å gjenkjenne enkeltpersoner i datasettet, verken direkte eller indirekte. Anonyme data kan brukes fritt. Men vær klar over at selve anonymiseringen er en behandling av personopplysninger der du må følge personvernregelverket. Rådfør deg med din institusjon. 

Se også Normens faktaark om lagringstid og sletting.

Info om den registrerte

De registrerte har rett til informasjon. Utarbeid informasjon til de registrerte om behandling av deres personopplysninger i prosjektet. Eller dokumenter at vilkår for unntak er til stede.

Vurder:

Hovedregel om informasjon:

• De du behandler personopplysninger om har rett på informasjon.
• Hvis du samler inn data direkte fra den registrerte (f. eks intervju, spørreskjema og observasjon), må du gi informasjonen før datainnsamlingen
• Hvis du samler data om den registrerte fra andre datakilder uten samtykke, må du informere den registrerte senest en måned etter datainnsamlingen starter.
• Informasjonen skal være kortfattet og lett forståelig, og må gis individuelt via kanaler der den når frem.
• Den kan gis skriftlig eller muntlig, men du må dokumentere at – og hvilken – informasjon som er gitt. Derfor vil det i de fleste tilfeller være fordelaktig å gi informasjonen skriftlig.
• Du må informere om:
  • Hvem som er forsknings- og dataansvarlig institusjon (kontaktopplysninger- og personer i alle deltakende institusjoner) 
  • Hvorfor (formål), hvor lenge, og på hvilket lovgrunnlag opplysningene behandles,
  • Hvem som vil få tilgang til personopplysningene (mottakere),
  • Hvilke datakilder opplysningene hentes fra
  • Hvilke rettigheter den registrerte har: innsyn/kopi, retting, sletting, protest/trekke samtykke, klage til Datatilsynet
  • Kontaktopplysninger til personvernombudet ved din institusjon
  • Lovlig grunnlag for å overføre personopplysningene ut av EU/EØS (hvis aktuelt)
  • Planer om utlevering/viderebehandling til andre formål (hvis aktuelt)

Unntak:

• Loven åpner for at du i enkelte situasjoner kan behandle personopplysninger uten å gi informasjon.
• Du må da dokumentere unntakshjemmel og at vilkårene er oppfylt. Rådfør deg med din institusjon.
• Her er de aktuelle unntakene for forskning/kvalitetssikring:
  • Den registrerte har allerede fått informasjonen
  • Utilrådelig å informere, av hensyn til den registrertes helse eller forhold til nærpersoner
  • Det er umulig eller krever uforholdsmessig stor innsats å informere
  • Informasjon vil sannsynligvis ødelegge for formålet (forskning/kvalitetssikring)
  • Dataansvarlig er lovpålagt å behandle personopplysningene

Hvis prosjektet ikke gir individuell informasjon fordi det er umulig, uforholdsmessig vanskelig, og/eller kan ødelegge forskningsformålet, må dere gi kollektiv informasjon. En måte er å publisere informasjon om prosjektet i kanaler/nettsider som det er sannsynlig at de registrerte leser, f.eks. en interesseorganisasjon.

Tips:

• Sikt personverntjenester har utarbeidet maler for informasjonsskriv i forskning: Informasjon til deltakarane i forskingsprosjekt (sikt.no)
• REK har utarbeidet maler for informasjonsskriv i helseforskning: Hjem - Insights (rekportalen.no)
• Vent med å sende ut informasjonsskrivene til du har fullført flytskjema.

Se også Normens veileder om de registrertes rettigheter.
 

Registrertes rettigheter

De registrerte har rett til innsyn (kopi), retting og sletting, og rett til å trekke samtykket, eller reservasjon. Organiser prosjektet slik at de registrerte kan utøve sine rettigheter.

Vurder og legg en plan:

Hvordan legger prosjektet til rette for at de registrerte kan utøve sine rettigheter:

• Har den registrerte fått kontaktinformasjon til prosjektansvarlige og personvernombud, så de vet hvor de kan henvende seg?
• Lagres data slik at prosjektet lett kan finne opplysningene om den registrerte (f.eks. via koblingsnøkkel prosjektet har tilgang til)?
• Vet du og andre kontaktpersoner (ved egen eller samarbeidende institusjoner) hva dere skal gjøre hvis registrerte henvender seg, slik at de får rett svar innen tidsfristen?

Husk:

• Rettighetene gjelder så lenge de registrerte kan identifiseres i datamaterialet.
• Prosjektet skal ikke lagre flere personopplysninger enn nødvendig for formålet, bare for å kunne innfri rettighetene.
• Loven åpner for unntak fra rettighetene i enkelte situasjoner, men avslag må ikke gis uten begrunnelse og lovhjemmel.
• Innsyn må kun gis til den som personopplysningene gjelder, ikke til andre (f.eks. når du har data om deltager/tredjeperson og foreldre/barn).
• Feilvurdering av rettigheter kan føre til ulovlig behandling. Rådfør deg med din institusjon, særlig før du gir innsyn eller gir avslag.
• Institusjonen din har plikt til å vurdere om rettighetene skal/kan innfris, og svare den registrerte innen en måned.

Se også Normens veileder om de registrertes rettigheter.
 

DPIA

Vurder om den planlagte behandlingen av personopplysninger medfører høy risiko for den registrerte. Hvis ja, gjennomfør DPIA.

DPIA er et verktøy for å kartlegge og håndtere risikoer knyttet til behandling av personopplysninger. DPIA kreves før behandlinger som sannsynligvis gir “høy risiko for de registrertes rettigheter og friheter”. Datatilsynet og EUs personvernråd (EDPB) har publisert veiledere om hva som er høy risiko.

Vurder:

• Se på kartleggingen du har gjort over. Vil behandlingen av personopplysninger i prosjektet medføre høy risiko for de registrertes rettigheter og friheter?
• Hvis prosjektet oppfyller et eller flere av kriteriene under, eller du er usikker, bør du rådføre deg med din institusjon eller personvernombud (følg interne rutiner ved din institusjon).
• Jo flere av kriteriene som gjelder, desto mer sannsynlig at prosjektet må ha DPIA :
  • Behandling sensitive personopplysninger (særlige kategorier, straffedommer/lovovertredelser, eller svært personlig karakter)
  • Behandling av personopplysninger i stor skala (mht. utvalgsstørrelse, mengde opplysninger, varighet, frekvens)
  • Behandling av personopplysninger om sårbare registrerte 
  • Sammenstilling av datasett (f.eks. datakilder med ulike formål/dataansvarlige) som overstiger den registrertes rimelige forventninger 
  • De registrerte hindres i å utøve sine rettigheter 
  • Innovativ bruk av ny teknologi eller organisatorisk løsning 
  • Evaluering (profilering/kartlegging av personopplysninger for å analysere eller forutsi personers adferd, helseforhold, preferanser, interesser, evner, behov el.)
  • Systematisk monitorering (ulike former for observasjon/sporing av personer, bl.a. på internett/offentlig område, f.eks. kameraovervåking, observasjon av internettaktivitet, lokasjonssporing og helseovervåking ved hjelp av sensorer og applikasjoner. ) Hvis prosjektet trenger DPIA, følg prosedyrer ved din institusjon.
• Vær oppmerksom på at Datatilsynet har utarbeidet en liste over behandlinger av personopplysninger som krever DPIA. Hvis prosjektet faller inn under noen av punktene på denne listen, må prosjektet ha DPIA. Se mer om dette i Veiledning om DPIA | Datatilsynet

I prosjekter der flere institusjoner deltar, f. eks multisenterstudier, er det viktig å identifisere hvem som er dataansvarlig for behandlingen av personopplysninger som utgjør høy risiko. Hvis flere er ansvarlige for behandlingen, bør DPIA forankres (med eventuelle lokale tilpasninger) hos alle dataansvarlige ved at ledelsen signerer, selv om utkast til DPIA evt. skrives av en av partene.

Husk:

• DPIA er en prosess, der dere beskriver den planlagte behandlingen, vurderer om den er lovlig og forholdsmessig, kartlegger risikoer, og foreslår risikoreduserende tiltak. Personvernombudet skal rådføres, før resultatet av DPIA fremlegges i et dokument for ledelsen ved din institusjon. Ledelsen vurderer om DPIA er godt nok utført, og om risikoen er akseptabel, slik at prosjektet kan starte. Hvis ikke, kan ledelsen bestemme at DPIA må revideres (dvs. å vurdere ytterligere tiltak for å redusere risikoen), eller at behandlingen må forhåndsdrøftes med Datatilsynet, eventuelt stoppes.
• Forhåndsdrøfting med Datatilsynet er påkrevd hvis personvernkonsekvensene fortsatt er for høye etter DPIA, og institusjonen ønsker å gjennomføre behandlingen av personopplysninger. Datatilsynet kan gi råd og/eller sette vilkår for behandlingen. 

Tips:

• Direktoratet for e-helse har utgitt Mal og veiledning for utfylling av personvernkonsekvensvurdering (DPIA)
• Hvis du skal melde prosjekt til Sikt, utarbeider Sikt en DPIA for prosjektet i samarbeid med deg, basert på Sikt sin DPIA-mal
• Det kan være nyttig å undersøke om det er gjennomført DPIA i lignende prosjekter som har brukt samme metodikk og behandling av personopplysninger, med vurderinger du kan gjenbruke. Det er imidlertid viktig at vurderingene i DPIA tilpasses ditt prosjekt.

Tillatelser

Søk nødvendige tillatelser

Vurder:

Basert på kartleggingen du har gjort over, sjekk om prosjektet trenger godkjenning fra en eller flere instanser:

• Helseforskning: Forhåndsgodkjenning fra REK
• Klinisk utprøving av legemidler og medisinsk utstyr og ytelsesstudier av in-vitro diagnostisk utstyr: Godkjenning fra Direktoratet for medisinske produkter, inkludert godkjenning fra REK KULMU
• Humant biologisk materiale:
  • til Helseforskning, Annen forskning, Kvalitetssikring på tvers og Medisinsk kvalitetsregister: Godkjenning fra REK
  • til Intern kvalitetssikring og Befolkningsbasert helseundersøkelse: Melding til Biobankregisteret ved FHI
• Helseopplysninger fra pasientjournal eller andre behandlingsrettede helseregistre, uten samtykke:
  • til forskningsformål (helseforskning og annen forskning): Dispensasjon fra taushetsplikten fra REK
  • til kvalitetssikringsformål på tvers av virksomheter: Dispensasjon fra taushetsplikten fra Helsedirektoratet
• Helseopplysninger fra helseregistre omfattet av Forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata:
  • Vedtak fra om tilgjengeliggjøring av helseopplysninger fra Helsedataservice
  • Vedtak om dispensasjon fra taushetsplikten for helseopplysninger fra helseregistre, eventuelt sammenstilt med helseopplysninger fra pasientjournal eller andre behandlingsrettede registre
  • I tilfeller der FHI søker om dispensasjon fra taushetsplikten er det Helsedirektoratet som fatter dette vedtaket.

• Helseopplysninger fra registre som ikke er omfattet av forskriften over:
  • Vedtak fra registerforvalter om tilgjengeliggjøring
  • til forskningsformål (helseforskning og annen forskning): Dispensasjon fra taushetsplikten fra REK
  • til kvalitetssikringsformål: Dispensasjon fra taushetsplikten fra Helsedirektoratet
• Andre taushetsbelagte personopplysninger uten samtykke: Vedtak fra aktuelt fagdepartement- eller direktorat (f. eks NAV, Bufdir, UDI, SSB mv.)
• Helseopplysninger til intern kvalitetssikring: Dokumentere at prosjektet og behandlingen av personopplysninger er forankret hos institusjonens ledelse.

Husk:

• Med “samtykke” menes samtykke fra den enkelte registrerte (den som opplysningene gjelder) i forkant av behandlingen av personopplysninger.
• Tillatelsene over gjelder for alle typer prosjekt, med mindre annet er spesifisert.
• I noen tilfeller må du sende søknader til flere instanser. Merk da at alt du søker til REK om, sendes i samme søknad, f. eks (vedtak om forhåndsgodkjenning for helseforskning, dispensasjon fra taushetsplikt og forskningsbiobank)
• Hvis oppslag i pasientjournal er nødvendig for å rekruttere deltagere, må prosjektet ha dispensasjon fra taushetsplikt for dette, selv om de registrerte samtykker etterpå til deltagelse i prosjektet (f.eks. intervju).
• Hvis prosjektet skal samle data ved observasjon i helse- og omsorgstjenesten, må taushetsplikten først oppheves ved samtykke fra den enkelte pasient eller dennes pårørende. Helsepersonelloven § 29 åpner ikke for at REK, Helsedirektoratet eller Helsedataservice kan gi dispensasjon for observasjon.
• For intern kvalitetssikring gir helsepersonelloven § 26 og pasientjournalloven § 6 unntak fra taushetsplikten. Du trenger derfor ikke vedtak om dispensasjon. Det er likevel viktig å dokumentere at gjennomføringen av prosjektet og behandlingen av personopplysninger er forankret hos institusjonens ledelse. Vi anbefaler at du følger interne rutiner ved din institusjon mht. dette.
• Direktoratet for e-helse v/Helsedataservice har vedtaksmyndighet for følgende helseregistre: Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldingssystem for smittsomme sykdommer (MSIS), System for vaksinasjonskontroll (SYSVAK), Norsk pasientregister (NPR), Nasjonalt register over hjerte- og karlidelser, System for bivirkningsrapportering, Kommunalt pasient- og brukerregister (KPR), Legemiddelregisteret, Helsearkivregisteret.

Tips:

• Send søknader i god tid før datainnsamling. Send gjerne søknadene samtidig.
• Vær nøye med å beskrive prosjektet på samme måte i alle søknader.
• Hvis du er usikker på hvilke godkjenninger og tillatelser prosjektet trenger, kontakt din institusjon i god tid før datainnsamling.

Avtaler

Etabler nødvendige avtaler.

Vurder:

• Vurder hvilke avtaler prosjektet må ha for behandling av personopplysninger, basert på kartleggingen av ansvar og datadeling (se boks 4 og 7 over):
  • Avtale om felles dataansvar - når din institusjon er felles dataansvarlig sammen med en eller flere institusjoner
  • Databehandleravtale med leverandør - når din institusjon er dataansvarlig og bruker databehandler
  • Databehandleravtale med dataansvarlig - når din institusjon er databehandler
• Sjekk om din institusjon pålegger prosjektet å inngå andre typer avtaler i tillegg, f.eks.:
  • Avtale om utlevering av personopplysninger til ny dataansvarlig/nytt formål (uten felles dataansvar)
  • Avtale om utlevering av humant biologisk materiale - din institusjon skal utlevere eller motta humant biologisk materiale
  • Samarbeidsavtale – regulerer avtalepartenes rettigheter og plikter vedrørende andre forhold ved prosjektet, som finansiering, oppgavefordeling, publiseringspoeng, rettigheter til forskningsresultater og data mv.
• Følg prosedyrer og maler for avtaleinngåelse ved din institusjon.

Husk:

• Hvis prosjektet kun bruker leverandører i tråd med lagringsguiden ved din institusjon, kan du gå ut fra at institusjonens avtaler med databehandlere er dekkende. Bruker prosjektet leverandører som ikke står på listen, må du be din institusjon inngå prosjektspesifikk databehandleravtale.
• Rådfør deg med din institusjon hvis du er usikker på hvilke avtaler som bør inngås i prosjektet.
• Avtale om felles dataansvar/databehandler må inngås før behandling av personopplysninger starter.
• En samarbeidsavtale som ikke regulerer behandlingen av personopplysninger er ikke tilstrekkelig, hvis partene har tilgang til personopplysninger.
• Deling av humant biologisk materiale innebærer ofte behandling av personopplysninger. Materialet kan være merket med et ID-nummer eller det skal foretas analyser som gir helseopplysninger. Da kan det være nødvendig med avtaler som også dekker behandling av personopplysninger.

Tips:

• Helsedirektoratet har utgitt mal for standard databehandleravtale med veileder: Standard databehandleravtale med veileder

Se også Normens faktaark om bruk av databehandler.

Dokumentasjon

Sørg for at din institusjon protokollfører prosjektet og arkiverer dokumentasjon på at behandlingen av personopplysninger er lovlig.

Beskriv:

• I protokollen trenger institusjonen din følgende informasjon om hvordan prosjektet behandler personopplysninger:
  • hvem som er dataansvarlig
  • formålet/ene (hvorfor personopplysningene behandles)
  • kategorier registrerte og typer personopplysninger,
  • hvilke mottakere som får tilgang (hvis utenfor EU/EØS - oppgi land og garantier)
  • tidspunkt/kriterier for når dere skal slette personopplysningene
  • og sikkerhetstiltak ved behandlingen

Husk:

• Din institusjon trenger også mer dokumentasjon for å sikre at behandlingen av personopplysninger er i samsvar med personvernregelverket. Spør din institusjon om hvor og hvordan du skal dokumentere dette for ditt prosjekt.

Klar for datainnsamling

Etter at du nå har fullført alle stegene i malen over, og innhentet alle nødvendige tillatelser, kan du starte prosjektet og datainnsamlingen.

Vær oppmerksom på at hvis prosjektet endres underveis (mht. punktene over), må du foreta ny vurdering av relevante punkter.