Bakgrunn
Ved oppstart av forsknings- og kvalitetsprosjekter i helse- og omsorgssektoren er det mange regler og instanser å forholde seg til. For en prosjektleder som har fokus på å “komme i gang” kan dette fort bli en krevende øvelse. For hvordan går man egentlig frem for å sikre personvern og informasjonssikkerhet i prosjektet på en effektiv måte? Og hvorfor må man i det hele tatt følge så mange regler for å gjennomføre et prosjekt som kan besvare viktige samfunnsspørsmål og bør være i alles interesse?
I forsknings- og kvalitetsprosjekter er det ofte nødvendig å behandle personopplysninger for å oppnå prosjektformålet. Dette innebærer et inngrep i privatlivet til “de registrerte”. For å ivareta deres behov og interesser, må prosjektene følge personvern- og helselovgivningen. Det kan være arbeidskrevende, særlig i planleggingsfasen. Men det er viktig å huske at alle prosjekter må følge regelverket, og at dette regelverket er utformet slik at det ikke bare ivaretar de registrerte, men også styrker forskningen og kvalitetssikringen.
Når forsknings- og kvalitetsprosjekter følger reglene og sikrer godt personvern og informasjonssikkerhet, gir det høy tillit i befolkningen. Høy tillit fører gjerne til at flere vil delta i prosjekter og at datakvaliteten øker. God planlegging bidrar også til at man får gjennomført forskningen eller kvalitetssikringen på lovlig måte.
Alle prosjekter som behandler personopplysninger må følge personvernforordningens prinsipper og ivareta de registrertes rettigheter. Prosjektene må blant annet sikre et tydelig og avgrenset formål, lovlig behandlingsgrunnlag, dataminimering, god informasjonssikkerhet og lagringsbegrensning.
Det er viktig med klarhet i roller og ansvar, særlig der flere institusjoner er involvert i prosjektet. Og det er viktig å identifisere “type prosjekt” og hvilke data man trenger, for å finne ut hvilke lover man må følge, hvilke rettigheter den registrerte har, og om man må innhente ulike tillatelser.
Denne veilederen beskriver hvordan en prosjektleder kan gå frem for å planlegge og gjennomføre et prosjekt med forsknings- eller kvalitetsformål i samsvar med lovpålagte krav til personvern og informasjonssikkerhet.
Formålet er å gi deg som prosjektleder praktisk veiledning som gjør deg bedre rustet til å ivareta kravene til personvern og informasjonssikkerhet, uavhengig av hvilken tilgang du har til forskningsstøtte og andre veiledningsressurser i virksomheten.
Denne veilederen har prosjektlederens perspektiv, og er bygget som en bruksanvisning eller sjekkliste, med utgangspunktet i det praktiske spørsmålet “Jeg skal starte opp et prosjekt, hva må jeg gjøre?”. Veilederen forklarer hvilke steg du som prosjektleder bør ta i planleggingen av prosjektet, i hvilken rekkefølge, og gir deg praktiske råd og anbefalinger.
Innledningsvis i veilederen finner du et flytskjema, og i vedlegg 2 finner du en steg-for-steg-veiledning til flytskjemaet. Flytskjemaet med steg-for-steg-veiledningen kan du bruke som sjekkliste etter å ha lest veilederen, ettersom flytskjemaet følger de samme stegene som veilederen.
Veilederen vil være nyttig ved oppstart av ulike prosjekttyper som helseforskning, annen forskning, kvalitetssikring og ved etablering av medisinske kvalitetsregistre eller befolkningsbaserte helseundersøkelser.
Målgruppe
Målgruppen for veilederen er prosjektledere i forsknings- og kvalitetsprosjekter i helsesektoren. Men den vil også være nyttig for prosjektledere i forskningsprosjekter utenfor helsesektoren, og for prosjektmedarbeidere, forskningsstøttefunksjoner, personvernressurser og ledere ved institusjoner som driver forskning og kvalitetssikring.
Videre er veilederen rettet mot virksomheter som omfattes av Normen og som skal sikre etterlevelse av Normens krav, herunder dataansvarlig.
Avgrensninger
Når anbefalingene i veilederen tas i bruk i virksomheten, må de tilpasses med utgangspunkt i virksomhetens kompleksitet og størrelse, samt konkrete behov og oppgaver.
Veilederen vil ikke behandle spørsmål knyttet til forskningsetikk eller immateriell rett, som f.eks. eierskap til data og resultater, forfatterskap og patentering mv.
Utvikling av veilederen
Både revisjonen av denne veilederen og flytskjema med steg-for-steg-veiledning er utarbeidet i samarbeid med Sikt – Kunnskapssektorens tjenesteleverandør, som på oppdrag fra Kunnskapsdepartementet leverer fellestjenester til kunnskapssektoren, blant annet innen personvern og informasjonssikkerhet.
I arbeidet med utviklingen av flytskjema med steg-for-steg-veiledningen, er det samlet inn verdifulle innspill fra en arbeidsgruppe bestående av en sammensatt gruppe med kompetanse og god kjennskap til helse- og omsorgssektoren, blant annet innen forskning og forskningsstøtte, samt helse- og personvernlovgivningen. Det er videre samlet inn gode innspill fra Datatilsynet, Helsedirektoratet, Helsedataservice, Statens legemiddelverk, REK/NEM og SKDE – Nasjonalt servicemiljø for medisinske kvalitetsregistre. Alle disse innspillene har også blitt brukt i arbeidet med revisjonen av veilederen.
Hvordan lese denne veilederen?
I denne veilederen henvender vi oss til deg som skal starte opp et forsknings- eller kvalitetsprosjekt innen helse- og omsorgssektoren.
Ved å følge stegene i forskningsveilederen får du oversikt over hva du må tenke på når det gjelder personvern og informasjonssikkerhet i prosjektet. Veilederen følger stegene i forskningsprosessen, slik at den skal være enkel å bruke.
Veilederen er ganske omfattende, men du kan bruke den som et oppslagsverk. Det kan være lurt å bruke innholdsfortegnelsen aktivt for å finne frem til det du trenger informasjon om. Du kan også bruke Ctrl+F for å søke i dokumentet. Videre er det gjennomgående vist til annet veiledningsmateriale der dette er relevant.
Du kan også bruke flytskjemaet i kapittel 2 sammen med «Steg-for-steg veiledningen til flytskjemaet» i vedlegg 2, som en sjekkliste eller leseveiledning.
Dersom du har spørsmål knyttet til veilederen, kan du sende spørsmål og kommentarer til sikkerhetsnormen@helsedirektoratet.no