Det vises til Datatilsynets kontroll med Helse Førde den 23. og 24. november 2011,

Transkript

1 Helse Førde HF Postboks FØRDE Deres referanse 2011/ /2012 Vår referanse (bes oppgitt ved svar) Dato 11/ /EOL 15. mars 2013 Status i kontrollsaken Endelig kontrollrapport Helse Førde Det vises til Datatilsynets kontroll med Helse Førde den 23. og 24. november 2011, Datatilsynets varsel om vedtak av 15.juni 2012 og deres svar av 18. september Lang saksbehandlingstid beklages. Vurdering av tilsvar Datatilsynet har mottatt virksomhetens brev av 18. september 2012 hvor det fremkommer at avvik 3, 8 og 9 er lukket. Når det gjelder de resterende avvikene har Helse Førde lagt frem en fremdriftsplan for lukking. Avvikene 1, 2, 4, 6 og 10 er planlagt lukket innen 31. oktober 2012 Avvik 5 er planlagt lukket innen 30. november 2012 Avvik 7 er planlagt lukket innen 31. desember 2012 Datatilsynet legger til grunn deres vurdering om at avvik 3, 8 og 9 er lukket, og har for øvrig ikke merknader til virksomhetens foreløpige plan for å lukke avvik. Endelig kontrollrapport Rapporten fra kontrollen er gjort endelig uten materielle endringer, og følger vedlagt. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Status i saken Da alle avvik etter helseforetakets plan nå skulle vært lukket, ber Datatilsynet om en status i dette arbeidet. Dersom avvik fremdeles ikke er lukket, bes det om en plan for når dette vil kunne gjennomføres. Datatilsynet vil da fatte vedtak som varslet om i brev av 15. juni Vi ber om deres tilbakemelding innen 15. april Med vennlig hilsen Helge Veum avdelingsdirektør Eirin Oda Lauvset seniorrådgiver Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 11/00871 Dato for kontroll: november 2011 Rapportdato: Endelig kontrollrapport Kontrollobjekt: Helse Førde HF, Helseforskning Utarbeidet av: Rådgiver Eirin Oda Lauvset Avdelingsdirektør Helge Veum 1 Innledning Datatilsynet gjennomførte 23. og 24. november 2011 kontroll med Helse Førde HF. Formålet med kontrollen var å vurdere virksomhetens behandling av helseopplysninger i helseforskningsprosjekter etter de krav som helseforskningsloven og personopplysningsloven med forskrifter oppstiller. Gjennomføringen av kontrollene fant sted med hjemmel i helseforskningslovens 47 og personopplysningsloven 42, tredje ledd og 44 med forskrifter. Datatilsynet ser behov for å følge opp utviklingen etter ikrafttredelsen av helseforskningsloven. Loven innførte prinsippet om én postkasse og de regionale etiske komiteer for medisin og helsefaglig forskningsetikk (REK) overtok 1. juli 2009 oppgaver som tidligere lå hos Helsedirektoratet og Datatilsynet. Datatilsynet har med denne bakgrunn valgt å gjennomføre kontroller med fokus på hvordan internkontroll og informasjonssikkerhet ved to helseforetak ivaretas. Videree verifisere hvordan regelverket og tillatelser er fulgt opp i konkrete helseforskningsprosjekter. Det bemerkes innledningsvis at den praktiske tilretteleggingen fra Helse Førde HF i forbindelse med kontrollen har vært svært god. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 1 av 26

4 2 Rapportens innhold 1 Innledning Rapportens innhold Gjennomføring av kontrollen Agenda Fokusområder for kontrollen Tilstede fra Helse Førde HF Tilstede fra Datatilsynet Om Helse Førde HF Om regelverket Funn og avvik fra lovbestemte krav til behandling av personopplysninger Overordnet internkontroll og sikkerhetsledelse helseforskning Internkontroll gjennomførende del Internkontroll kontrollerende del Informasjonssikkerhet sikkerhet i forskningsserver Bruk av databehandler Funn og avvik gjennomgang av konkrete forskningsprosjekt Prosjektet Brukermedvirkende behandling Prosjektet Treningsprogram for angstmestring Prosjektet Thyreoidealhormonresistens Prosjektet Helse og livskvalitet før og etter kirurgisk behandling for sykelig overvekt Andre prosjekt Utsjekk av prosjekt som er beskrevet i materiale oversendt Datatilsynet av 26

5 3 Gjennomføring av kontrollen 3.1 Agenda Onsdag 23. november Åpningsmøte. Presentasjon og orientering om gjennomføringen av kontrollen - Internkontroll og informasjonssikkerhet på et ledelsesforankret nivå - Informasjonssikkerhet og teknisk infrastruktur - Avviksbehandling / verifikasjoner - Oversikt over forskningsprosjekter Torsdag 24. november Støttesystem for forskning - Koordinering og utsjekk av tema fra dag 1 - Verifikasjon i 4 utvalgte prosjekter - Sluttmøte / oppsummering 3.2 Fokusområder for kontrollen - Virksomhetens internkontroll med hensyn til helseforskningsprosjekter - Virksomhetens ivaretakelse av informasjonssikkerhet i helseforskningsprosjekter med blant annet fokus på kommunikasjon, lagring, identitetshåndtering og webbasert innhenting av sensitive opplysninger - Virksomhetens ivaretakelse av informasjonsplikten til de registrerte i helseforskningsprosjekter. - Virksomhetens oppfølging av vilkår og forutsetninger gitt i tillatelser for helseforskningsprosjekter. - Konkret ivaretakelse av regelverkets krav i utvalgte helseforskningsprosjekter. 3.3 Tilstede fra Helse Førde HF - Jon Bolstad, administrerende direktør - Runar Tengel Hovland, Adm. Leder for FoU, Senter for helseforskning - Tova Kristin Karlsdotter Kjæmpenes, avd. sjef servicesenteret, personvernombud - Simone Wiezer, konst. IKT-sjef - Frode Schanke, IKT-sjef - Hans Johan Breidablikk, fagdirektør - Svein Ove Alisøy, avd.sjef psykiatrisk klinikk - Per Helge Kvistad, overlege barneavdelingen - Villy Våge, overlege - Kirsten Flaten, prosjektleder - NN, prosjektleder 3.4 Tilstede fra Datatilsynet - Helge Veum, senioringeniør - Monica Fornes, seniorrådgiver - Eirin Oda Lauvset, rådgiver 3 av 26

6 4 Om Helse Førde HF Helse Førde HF har ansvaret for spesialisthelsetjenesten i Sogn og Fjordane, og eies av Helse Vest RHF. Foretaket er organisert i tversgående klinikker, og har ca 2400 ansatte. Virksomhetens fire kjerneområder er pasientbehandling, utdanning av helsepersonell, forskning og opplæring av pasienter og pårørende. Foretaket ga en innledende presentasjon av forskningsvirksomheten, og Senter for helseforskning i Sogn og fjordane som ble opprettet for 3 år siden. Senteret har ansatt en forskningsleder som er finansiert av Helse Førde og Høgskulen i Sogn og fjordane (HiSF). Helseforetaket har en kvalitetshåndbok som overordnet styrer hvordan man skal organisere seg på de enkelte områder. Helseforskning er et relativt nytt fagområde for Helse Førde HF, og virksomheten jobber nå med å integrere dette inn i kvalitetshåndboken. Helseforetaket har utnevnt personvernombud i oktober Om regelverket Lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1. juli Samtidig trådte også forskrift 1. juli 2009 nr. 955 om organisering av medisinsk og helsefaglig forskning i kraft. Helseforskningslovens saklige virkeområde er regulert i lovens 2. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Medisinsk og helsefaglig forskning er i helseforskningsloven 4 bokstav a definert som virksomhet som utføres med vitenskaplig metodikk for å skaffe til veie ny kunnskap om helse og sykdom. Hvilke forskningsprosjekter som faller innenfor og utenfor lovens vireområde skal baseres på en konkret vurdering av forskningsprosjektets art og natur. Denne vurderingen foretas av de regionale etiske komiteer (REK). I den utstrekning ikke annet følger av helseforskningsloven, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser til helseforskningsloven, jf. helseforskningsloven 2 tredje ledd. I denne sammenheng er det lovens og forskriftens generelle krav om internkontroll som er mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. Dette følger av helseforskningslovens 6 2. ledd og forskriftens 4. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. 4 av 26

7 Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Det bemerkes at tilsvarende bestemmelser om internkontroll og informasjonssikkerhet følger av helseregisterlovens 16 og 17 for behandling av helseopplysninger ved helseforetaket for andre formål enn helseforskning. Det er naturlig at det etableres felles internkontroll for etterlevelse av de ulike regelverkene, spesielt med hensyn til informasjonssikkerhet. Dette berøres imidlertid ikke nærmere i denne rapporten. 5 av 26

8 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Overordnet internkontroll og sikkerhetsledelse helseforskning Krav i regelverket Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskningen. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 3 fastsettes ledelsesansvaret for tilrettelegging og organisering arbeidet med helseforskning, herunder internkontroll og informasjonssikkerhet. I 4 stilles det, foruten krav til oversikt over hvilke regelverk som gjelder for helseforskning, krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde disse kravene. Virksomheten skal videre føre oversikt over alle helseforskningsprosjekter som pågår i virksomheten og etablere system for håndtering av avvik Funn Helse Førde HF sin internkontroll er basert på et felles arbeid for internkontroll med utgangspunkt i rutiner etablert ved Helse Bergen HF (og også Helse Fonna HF og Helse Stavanger HF). Før kontrollene sendte Helse Førde HF over sine styrende dokumenter for internkontroll Ledelsesforankring Oversendt dokumentasjon viser at mye ansvar for ivaretakelse av plikter etter helseforskningsloven er delegert ned til avdelingsleder. Datatilsynet stilte på kontrollen spørsmål ved at ansvaret er lagt såpass lang ned i organisasjonen. Ledelsen orienterte om at virksomhetens plan er at forskningsansvaret skal gå i linja t.o.m. nivå 4 (avdelingsleder). Ledelsen er av den oppfatning at før-forhåndsgodkjenning bør tilligge faglig ansvarlig. Ledelsen tolker rettledning til helseforskningsloven dit hen at dette er en ønskelig organisering. Avdelingsleders ansvar er i praksis ansvar for dokumentering det formelle ansvaret tilligger fortsatt øverste ledelse. De overordnede oppgavene til forskningsansvarlig ved å tilrettelegge for og følge opp helseforskningen ivaretas i praksis av Senter for helseforskning. Oppgavene var ikke delegert. Det var ikke planer om å synliggjøre Senter for helseforskning i internkontrollen for eksempel i form av å bygge internkontrollen rundt denne funksjonen. Senteret var primært ansett som en støttefunksjon, og ansvaret for forskningen burde tydelig ligge hos avdelingsleder. Det er foreløpig få personer som er involvert i forskningsorganisasjonen, og foretaket er klare på at de er en organisasjon i modning hva gjelder helseforskning. 6 av 26

9 Oversikt over helseforskning På spørsmål om øverste ledelse har kontroll med alle forskningsfiler er svaret nei, og at det heller ikke er behov for en slik kontroll. Helseforetaket ønsker å kunne bruke REK sin forskningsdatabase (SPREK) for å skaffe seg oversikt. Datatilsynet bemerket at SPREK-portalen alene ikke gir tilstrekkelig oversikt for internkontroll i den enkelte virksomhet. Det var enighet om at SPREK kan fungere som supplement til internkontrollen dersom søkefunksjonen tilpasses dette. Ledelsen utelukket ikke at gamle registre og forskningsprosjekter eksisterer, og det hadde vært tilfeller av at man har avdekket sådanne. Det har også vært avdekket tilfeller der forskningsprosjekter har konsesjoner etter gammelt regelverk. Oversikten som Helse Førde oversendte i forkant av kontrollen er basert på: - egen prosjektdatabase (etablert i 2010) for prosjekter godkjent etter helseforskningsloven - info til organisasjonen om tilsyn og oppfordring til å melde nye og eksisterende prosjekter - oversikt fra SPREK - oversikt fra NSD Det var ikke en systematisk oversikt over vilkår stilt av REK ved godkjenning av de enkelte prosjektene. Videre ikke en oversikt over om det var nødvendig å innhente øvrige tillatelser (f. eks ved koblinger av registre hvor Datatilsynet skal involveres) Multisenterstudier og utleveringer Helse Førde har pr. i dag ikke kompetanse til å ha ansvaret i multisenterstudier. Helse Førde har bidratt med datamateriale til multisenterstudier som andre forskningsinstitusjoner er ansvarlige for, men helseforetaket har ingen god oversikt over disse. På spørsmål om helseforetaket hadde oversikt over utleveringer pr. tidspunkt for kontrollen var svaret nei. Praksis har vært at opplysninger har gått direkte fra prosjektleder til mottaker. Virksomhetens plan er at personvernombudet for fremtiden skal føre oversikt over utleveringer av personopplysninger/helseopplysninger til andre foretak. Overføring av opplysninger fra pasientjournal skal også gjennom personvernombudet Implementering av internkontroll i virksomheten Helseforetaket hadde gjennomført følgende konkrete tiltak for å gjøre rutinene i internkontrollen kjent for ansatte: - kurs i informasjonssikkerhet gjennomført (ca 20 ledere og fagfolk har deltatt) - lagt plan om et fast opplegg for opplæring - kompendium lagt ut på helseforetakets nettportal 7 av 26

10 Intervju med avdelingsleder avd. psykisk helsevern Når det gjelder kontroll og oppfølging av helseforskningsprosjekter er avdelingsleders funksjon å motta søknader om forskningsprosjekter og gi sin tilslutning til disse. Avdelingsleder rådfører seg normalt med Senter for helseforskning og øverste ledelse. Ansvaret for videre oppfølging av plikter etter helseforskningsloven delegeres så til prosjektleder. Avdelingsleder opplyser om at det pr i dag er ett aktivt prosjekt på avdelingen og en søknad inne. På spørsmål om hvordan avdelingsleder sikrer at han involveres i prosjektstart opplyser avdelingsleder at finansiering av prosjektet, og nødvendig avsetting av arbeidstid, tilsier at igangsetting av prosjekter må gjennom leder. Vedkommende avdelingsleder har hittil ikke vært involvert i utlevering av opplysninger til andre foretak, men mener at han ville blitt involvert dersom en slik forespørsel skulle kommet. Avdelingsleder opplyser at han kjenner til virksomhetens internkontrollsystem og rutinene som følger av denne. Han antar videre at de ansatte på sin avdeling er kjent med det samme, men kjenner ikke til i hvilken grad de ansatte får opplæring i IKT / informasjonssikkerhet Vurdering og konklusjon Det bemerkes innledningsvis at Datatilsynet ser det som positivt at foretakene i regionen samarbeider om felles rammeverk og kunnskapsutveksling for å ivareta kravene etter helseforskningsloven. Videre er Datatilsynet positive til helseforetakets tilnærming ved å etablere en støttefunksjon som Senter for helseforskning. Sentralisert utarbeidelse av rutiner fremstår som ryddig og gir hensiktsmessige rammer for det fremtidige arbeidet Ledelsesforankring Ledelsen ved Helse Førde har tatt en beslutning om at oppgaven å tillate oppstart og oppfølging av de konkrete prosjekt tilligger leder av den enkelte avdeling. Datatilsynet tar vurderingen og plasseringen til etterretning. Datatilsynet er imidlertid spørrende til om plasseringen i tilstrekkelig grad sikrer ivaretakelse av oppfølging under og etter gjennomføring av et prosjekt. For eksempel om data slettes i samsvar med interne rutiner. De overordnede oppgaver, som å holde oversikt og tilrettelegge for helseforskning ivaretas i praksis av Senter for helseforskning. Oppgaver og delegering er ikke dokumentert i internkontrollen. Manglende delegering og regulering av de oppgaver som forestås av Senter for helseforskning er et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 a). 8 av 26

11 Oversikt over helseforskning Helse Førde har en oversikt over de prosjekter som er igangsatt etter helseforskningslovens ikrafttredelse i Oversikten er imidlertid ikke tilstrekkelig for kontroll med om vilkår stilt av REK følges opp av forsker. Det er ikke etablert en reell oversikt over prosjekter eller forskningsfiler for eldre prosjekter. Datatilsynet tar i sin vurdering hensyn til at helseforskning er et relativt nytt felt for Helse Førde, og at det totale antall prosjekter er relativt oversiktlig. Tilsynet mener likevel at prosjekter igangsatt før helseforskningslovens ikrafttreden ikke er i tilstrekkelig grad brakt inn under foretakets kontroll. Prosjektene er ikke fulgt opp eksplisitt, og ansvarlige er heller ikke bedt om å rapportere eksistensen av forskningsfiler utover gjennom informasjon på kurs. Utilstrekkelig oversikt over vilkår stilt i tillatelser fra REK, og fraværende oversikt og kontroll med eldre forskningsfiler er et avvik fra krav om til internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c). Det bemerkes imidlertid positivt at helseforetaket hadde iverksatt betydelig tiltak for å sørge for oversikt over prosjekter igangsatt etter helseforskningslovens ikrafttreden. Tilsvarende ble det avdekket mangelfull kontroll med utleveringer i følge med virksomhetens deltakelse i multisenterstudier. Det legges til grunn at dette dekkes under det ovenfor beskrevne, samt eventuell internkontrollplikt etter helseregisterloven Implementering av internkontroll i virksomheten Helse Førde har utarbeidet rutiner som skal sette prosjektledere og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde kravene i helseforskningsloven. Det er imidlertid uklart i hvilken grad ledelsen har lykkes med å gjøre disse rutinene kjent i organisasjonen. Det konstateres ikke avvik på dette punkt da organisasjonen er i en modningsfase og virksomheten har en hensiktsmessig plan fremover. Det bemerkes at funn knyttet til konkrete forskningsprosjekter synliggjør at det er et forbedringspotensial i implementeringen av internkontrollen. 6.2 Internkontroll gjennomførende del Krav i regelverket Det vises generelt til rapportens I forskrift om organisering av helseforskning 4 bokstav d stilles det krav om rutiner som setter prosjektleder og medarbeidere i virksomheten i stand til å overholde regleverkets krav. 9 av 26

12 6.2.2 Funn Rutine for oppstart av forskningsprosjekt Av rutinen fremgikk det at det er tillagt prosjektleder å lage prosedyrer for informasjonssikkerhet og etablere regler for bruk av data. Datatilsynet bemerket at man er enig i at det må være klart for forsker hvilke regler som gjelder for forskningen, men at utformingen av rutiner ikke bør være forskers oppgave. En slik praksis vil blant annet medføre fare for at den enkelte lager sine egne regler for informasjonssikkerhet. En alternativ tilnærming ble diskutert under kontrollen, hvor foretaket kunne vise til de sentrale retningslinjene som er ledelsesbesluttet Rutine for oppfølging av registrertes rettigheter Plikter knyttet til oppfølging av registrertes rettigheter er tillagt prosjektleder. På spørsmål om hva som er rutinen dersom en registrert ber om innsyn i egne opplysninger, er svaret at alle ansatte blir gitt opplæring i lovens krav, men det er usikkerhet omkring hvordan dette blir håndtert i praksis da man pr. i dag ikke hatt noen innsynsbegjæringer. Personvernombudet opplyser om at publisering av informasjon på helseforetakets nettsider vil bli igangsatt. Her vil man få en oversikt over helseforskningsprosjekter ved foretaket, samt informasjon om hvilke rettigheter man har som registrert Rutine for å oppfylle informasjonsplikten overfor registrerte Personopplysningslovens 20, som gjelder utfyllende etter helseforskningsloven, fastsetter at en handlingsansvarlig (her forskningsansvarlig) som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i personopplysningslovens 19 første ledd så snart opplysningene er innhentet. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak følger av bestemmelsens annet ledd bokstav a til c, og personopplysningsloven 23. Varslingen skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering. 1 Kravet til internkontroll etter helseforskningslovens 6, jf. helseforskningsforskriftens 4, medfører at det må etableres rutiner for ivaretakelse av relevante plikter, herunder informasjonsplikten. 1 Se Ot.prp.nr92 ( ) side av 26

13 Det ble underkontrollen stilt spørsmål til ledelsen om hvordan informasjonsplikten er tenkt ivaretatt i prosjekter som ikke er samtykkebasert. Det ble ikke gitt noe svar på dette, og noen rutine som løser spørsmålet fremkommer heller ikke av internkontrollsystemet Rutine for avslutning av prosjekter Det ble under kontrollen stilt spørsmål om hvilke rutiner som finnes vedrørende anonymisering og sletting av personopplysninger etter at forskningsprosjekter er avsluttet. Forskningsledelsen opplyser om at teksten i internkontrollen som omhandler dette tema er tatt fra veilederen til helseforskningsloven 2. De forutsetter at prosjektleder/forsker selv gjør en konkret vurdering av hva som skal til for at datasett er reelt anonyme. For helseforetaket er det en målsetting at forskningsdata skal kunne tilgjengeliggjøres for allmennheten. I dette lyset må man selvsagt være trygg på at datasettene er reelt anonyme. Datatilsynet bemerket at rutinen i internkontrollen er ufullstendig på dette punktet, og presiserte at det ikke er alltid er tilstrekkelig for anonymisering å slette f. eks koblingsnøkkel. Det anbefales at helseforetaket utarbeider en rutine for å sikre at datasett gjennomgås etter prosjektslutt, og at man sørger for de er reelt anonyme Rutine for langtidsoppbevaring av prosjektdata På spørsmål om hvor lenge prosjektleder innehar sin rolle svarer helseforetaket at dette avgjøres av REK. Ledelsen ved forskningssenteret mener for øvrig at langtidsoppbevaring av data bør knyttes til en person, og at det er naturlig at dette er prosjektleder Tilgang til dataene når de ikke er i aktiv bruk, besvares med at forskningens natur tilsier at det kan dukke opp nye problemstillinger som kan forskes på ved hjelp av dataene Konklusjon Innledningsvis bemerkes det at Helse Førde har utarbeidet et godt utgangspunkt for rutineverk. Det er imidlertid avdekket enkelte avvik. Disse vil beskrives i det følgende: Delegering til prosjektleder Nedfelt praksis i rutine for oppstart av forskningsprosjekt og rutine for oppfylling av de registrertes rettigheter som sier at prosjektleder skal etablere rutiner for og sørge for ivaretakelse av lovens krav, herunder for informasjonssikkerhet, fremstår ikke som forsvarlig. Praksisen innebærer at forskningsansvarlig ikke setter tilstrekkelige rammer sikring og behandling av forskningsdata. Dette anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. Konkret ble det undersøkt om det var etablert rutiner for ivaretakelse av informasjonsplikten etter personopplysningslovens 20. Det var det ikke. 2 Veileder til lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) 11 av 26

14 Dette anses som et avvik fra krav om internkontroll helseforskningslovens 6, jf. forskriftens 4 d), jf. personopplysningslovens Rutine for avslutning av prosjekter Helseforetaket har ikke etablert rutiner som sikrer at anonymisering ved prosjektslutt gjennomføres på en forsvarlig måte. Datatilsynet ser behov for at det fastsettes nærmere kriterier og kvalitetssikring av anonymisering etter prosjektslutt. Manglende rutiner er et avvik fra helseforskningslovens 6, jf. forskriftens 4 d), jf. lovens Langtidsoppbevaring av prosjektdata Datatilsynet slutter seg ikke til at langtidsoppbevaring av data hos prosjektleder er en hensiktsmessig tilnærming. Under kontrollen ble dette diskutert, og foretaket så muligheten for en løsning hvor prosjektleder ikke trenger å ha tilgang før nytt prosjekt er godkjent. Det bemerkes i denne sammenheng at praksisen slik den var etablert innebærer utfordringer med hensyn til informasjonssikkerhet (unødvendig tilgang), og til forskningsansvarligs kontroll med at opplysningene behandles i samsvar med regelverkets krav. Tilsynet legger til grunn at foretaket følger opp forholdet på selvstendig grunnlag. Praksis ved foretaket fremstår også som problematisk med hensyn til informasjonssikkerhet ved at tilgangen fremstår som unødvendig. Det anbefales her at praksis vurderes mot personopplysningslovens 13, jf. personopplysningsforksriftens Datatilsynet minner om kravet om formålsbestemthet i helseforskningsloven, og at eventuelle samtykkeerklæringer skal være dekkende for det opplysningene skal brukes til Generell merknad Det er ikke tilstrekkelig klart hvem rutinene i internkontrollen gjelder for. Det konkluderes ikke med avvik på dette punktet, men det presiseres at dette er avgjørende for at systemet skal fungere etter hensikten. 6.3 Internkontroll kontrollerende del Det bemerkes at bare deler av rutinene og aktivitetene som forventes under internkontrollens kontrollerende del ble gjennomgått under kontrollen Krav i regelverket Det vises generelt til rapportens I forskrift om organisering av helseforskning 4 bokstav f og g stilles det krav om avviksbehandling og oppfølging av internkontrollen. 12 av 26

15 6.3.2 Funn Rutine for kontroll av forskningsprosjekter I rutinene står det at ansvarlig enhet skal sørge for at bl.a. prosjektavslutning følger regelverket. På spørsmål fra Datatilsynet om hvem som er å anse som ansvarlig enhet ble det besvart at dette ikke er avklart, og at dette er noe som må drøftes i samråd med PVO og ny sikkerhetsleder. Inntil videre ivaretas dette av Senter for helseforskning Oppfylling av vilkår stilt av REK Rutinene eller virksomhetens oversikt over forskningsprosjekter gir etter Datatilsynets vurdering ikke muligheter for å avdekke avvik dersom vilkår stilt av REK ikke er oppfylt. Virksomhetens representanter hevder at de bør kunne stole på prosjektleder i dette henseende, og mener avveiningen alvorlighetsgrad/ressursbruk tilsier at man ikke skal ha noen som skal følge opp dette spesifikt Konklusjon Rutine for kontroll av forskningsprosjekter Manglede klarhet i hvem som skal etterleve Rutine for kontroll av forskningsprosjekter er et avvik fra helseforskningslovens 6, jf. forskriften 3 og Oppfylling av vilkår stilt av REK Datatilsynet konstaterer dessuten at manglende informasjonsflyt gjør at forskningsansvarlig ved helseforetaket ikke har reell kontroll og nødvendig oversikt over de helseforskningsprosjekter som faktisk iverksettes ved foretaket. Dette gjelder særlig følgende forhold: - Tilbakemelding fra REK på innsendte søknader og oppfyllelse av evt. vilkår - Endelige samtykkeskjema (dersom REK har stilt vilkår om endring) - Arkivering av endelige dokumenter og prosesser - Avslutning av prosjekter Dette er å anse som et avvik fra helseforskningslovens 6, jf. forskriften 4. Det ble bemerket fra Datatilsynet at oversikten over prosjekter kunne forbedres slik at den fremstod som et mer egnet verktøy for oppfølging av prosjekter for eksempel ved utløp av prosjektperioden. 13 av 26

16 6.4 Informasjonssikkerhet sikkerhet i forskningsserver Krav i regelverket For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Personopplysningsforskriftens 2-11 stiller krav om tilfredsstillende konfidensialitetssikring, og 2-14 stiller krav om sikkerhetstiltak som inkluderer tiltak den ansatte ikke kan omgå. Forskriftens 2-4 stiller krav om at informasjonssystemet vurderes med hensyn til risiko. Det er her krav om at virksomheten vurderer sannsynligheten for, og konsekvens av sikkerhetsbrudd. Risikoen skal sammenlignes med kriterier for akseptabel risiko Funn Bruk av forskningsserver Forskningsdata lagres på Helse Førdes område av en forskningsserver driftet av Helse Vest IKT. For å få opprettet lagringsplass må prosjektleder levere en søknad om opprettelse av lagringsområde. Dette er ikke en rutine som gjelder spesifikt for forskere, men det er inntatt i de generelle IKT-rutinene som gjelder for alle ansatte ved Helse Førde. Helse Førde er behandlingsansvarlig for helseopplysninger som behandles som et ledd i virksomheten. Helse Vest IKT er å anse som databehandler for Helse Førde. Helse Førde ser mappenivå på alle helseforetakene innenfor Helse Vest, men kan ikke gå inn på innholdet i disse Logging Foretakets rutiner fastslår at tilgang til mappene på forskningsserveren skal loggføres. Dette gjøres ikke pr. i dag, men arbeides med å få dette på plass Ivaretakelse av informasjonssikkerheten for prosjekter som er eldre enn helseforskningsloven (mai 2009) Helse Førde har avtale med NSD som personvernombud for forskning, og eldre prosjekter er følgelig blitt meldt til NSD. Lagringssted i prosjekter meldt NSD er oppført som institusjonsserver helseforetaket hadde ikke gått systematisk tilverks for å flytte eldre datasett til forskningsserveren. Det er ikke informert spesifikt til de ansatte at alle helseforskningsdata skal ligge på forskningsserver, men opplæringsmaterialet til informasjonssikkerhetskurset (som er obligatorisk) gjør det klart at all lagring skal foregå på sentral server og at det ikke er anledning til å lagre opplysninger lokalt. Lokalt nettverk er ikke ansett som tilstrekkelig trygt Koblingsnøkler/ Det opprettes en egen mappe for koblingsnøkler på forskningsserveren. På spørsmål fra Datatilsynet om det finnes manuelle (papirbaserte) register over koblingsnøkler svarer ledelsen ved forskningssenteret at dette ikke kan utelukkes. Virksomheten har ingen oversikt 14 av 26

17 over eventuelle manuelle registre, men bemerker at dette neppe er utbredt da slike er lite praktiske og blir raskt utdatert Oppbevaring av direkte identifiserbare personopplysninger Forskningsserver er ikke ansett for å være tilstrekkelig sikker for lagring av direkte identifiserbare personopplysninger. Det er kun avidentifiserte opplysninger som lagres her. Direkte identifiserbare personopplysninger finnes kun i Ephorte og DIPS Risikovurdering Helseforetaket hadde ikke vært involvert i risikovurderingen for bruk og konfigurasjon av forskningsserver og Helse Vest IKT sin behandling av personopplysninger på vegne av foretaket. Det var lagt til grunn at opplysninger blir behandlet forsvarlig av databehandleren. Videre at foretaket ved deltakelse i det regionale samarbeidet (inkl. sikkerhetsutvalg) ivaretar sin plikt til å påse at data blir behandlet forsvarlig. Helseforetaket kan gjennom dette samarbeidet komme med innspill til sikkerhetsvurderingene. Spørsmål om Helse Førde har gjennomgått risikovurderingen besvares med at ingen av de representerte har gjort dette. Det var uklart hvorvidt den som hadde ansvaret tidligere hadde gjorde dette. Datatilsynet fikk på slutten av kontrollen oversendt risikovurdering av løsningen Web-basert innsamling helseforetaket hadde et prosjekt hvor det ble vurdert å ta i bruk web-basert innhenting av personopplysninger. Dette var ikke igangsatt. Datatilsynet minner om sak behandlet i Personvernnemnda angående web-basert innhenting av sensitive personopplysninger, se sak PVN Lagring av data enkeltprosjekt Datatilsynet har sett nærmere på et enkeltprosjekt 3 hvor det i søknaden til REK står at data skal lagres på privat PC. REK ber i sin tilbakemelding om at forsker holder seg til forskningsinstitusjonens retningslinjer for lagring av data. Forskningsansvarlig har ikke fulgt opp dette. Foretakets prosjektoversikt viser at data ligger på institusjonens server, men forskningsledelsen er usikker på hva man baserer denne registreringen på. Nærliggende at dette er registrert enten etter informasjon fra forsker eller at man antar at REK sin anbefaling er blitt fulgt. 3 Prosjekt 2011/2724 Effekten av kontroller 15 av 26

18 6.4.3 Konklusjon Bruk av forskningsserver Ingen merknader Logging Manglende logging av bruk av forskningsserver er et avvik fra krav om registrering av autorisert og uautorisert bruk av informasjonssystemet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-8 og Ivaretakelse av informasjonssikkerheten for prosjekter som er eldre enn helseforskningsloven (mai 2009) Manglende kontroll med eldre forskningsfiler, og lagring av disse utenfor ansett trygge lagringsområde er et avvik fra krav om organisering av sikkerhetsarbeidet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-7. Videre er praksisen utfordrende med hensyn til sikring av konfidensialitet, integritet og tilgjengelighet, samt at praksisen reduserer forskningsansvarliges kontroll med data og dermed oppfølging av regelverkets krav (som sletteplikten) Oppbevaring av direkte identifiserbare personopplysninger Det vises til avvik knyttet til internkontroll. jf. rapportens Internkontrollsystemet inneholder ingen spesifikke rutiner som omhandler identifiserbare/ avidentifiserte/ pseudonyme /anonyme personopplysninger. Datatilsynet bemerker at helseforskningsloven fastslår at personopplysninger i bruk for forskning ikke skal være mer identifiserende enn nødvendig. Dette er et viktig prinsipp som bør nedfelles i internkontrollsystemet Risikovurdering Virksomheten kunne i begrenset grad gjøre rede for sikkerheten i forskningsserveren under kontrollen. Risikovurdering ble fremskaffet etter kontrollen. Datatilsynet stiller spørsmål ved om helseforetaket i tilstrekkelig grad forsikrer seg om at løsninger hos databehandleren er tifredsstillende sikker, jf. personopplysningsforskriftens Styrken i skillet mellom identifiserende data og forskningsfiler i forskningsserveren gikk ikke frem av risikovurderingen. Det gikk heller ikke frem hvordan opplysninger tilhørende ulike forskningsansvarlige var skilt fra hverandre. Den faktiske bruken av koplingsdata vil skje i helseforetakets alminnelig informasjonssystem når filer fra forskningsserveren åpnes. Dette inkluderer bruk av koplingslister og gjennomføringer av eventuelle koplinger. I praksis innebærer det at identifiserbare forskingsdata behandles på det alminnelige informasjonssystemet. Dette er ikke berørt i den fremlagte risikovurderingen. Mangelfulle risikovurderinger av lagring og behandling av forskningsdata er et avvik fra personopplyningslovens 13, jf personopplysningsforskriftens 2-4. Avviket knyttes konkret 16 av 26

19 til skille mellom koplingsfiler og forskningsfiler, skille opplysninger tilhørende ulike databehandlingsansvarlige, og faktisk behandling av forskningsdata (forskningsfiler og koplingsfiler) i helseforetakets alminnelige informasjonssystem. Det bemerkes at Datatilsynet er spørrende til om helseforetaket oppnår tilfredsstillende informasjonssikkerhet for opplyningene med hensyn til konfidensialitet uten at det etablerers sterkere nettverksmessige skiller eller innholdsmarkering av forskningsfiler og/eller koplingsfiler. Dette må imidlertid foretaket vurdere på selvstendig grunnlag Web-basert innsamling Ingen merknad Lagring av data enkeltprosjekt Manglende kontroll med hvor forskingsdata lagres er et avvik fra krav om organisering av sikkerhetsarbeidet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-7. Det vises i den sammenheng til rapportens om tilsvarende avvik for eldre forskningsfiler, og til om internkontroll. Manglende rutine for oppfølging av vilkår stilt av REK er nødvendig å følge opp i foretakets internkontroll. 17 av 26

20 6.5 Bruk av databehandler Krav i regelverket For forholdet til databehandlere gjelder personopplysningsloven 15. Dette følger av helseforskningslovens 2 3. ledd. Personopplysningslovens 15 stiller krav om at der hvor en databehandler behandler opplysninger på vegen av den behandlingsansvarlige (her forskningsansvarlige), skal dette gjennomføres i samsvar med en avtale mellom partene. Databehandleren kan ikke behandle opplysningene på annen måte enn hva som er avtalt. Og den behandlingsansvarlige kan ikke overlate opplysningene uten at det er inngått en slik avtale Funn Som øvrige informasjonssystem forestår Helse vest IKT drift av forskningsbasen til helseforetaket. I følge med kontrollen ble det fremlagt en kortversjon av SLA mellom Helse Vest IKT og Helse Førde HF, samt bilag 4 til avtalen. Bilag 4 regulerer databehandlerrelasjonen mellom partene. Under kontrollen ble helseforetaket forespurt om hvorledes sikkerhetskopiering håndteres, og følgelig hvordan slettekravet håndteres i praksis. Forholdet var ikke dokumentert i foretaket, eller i avtale med databehandleren. Det ble under kontrollen avklart at Helse Vest IKT har en rutine for sikkerhetskopiering som tilsier at data fra forskningsprosjektene lagres i 180 dager etter avslutning/sletting av prosjektet Konklusjon Manglende regulering av sletting hos databehandler er et avvik fra personopplysningslovens 15. Det er helseforetaket som er pliktsubjektet etter loven, og som har et ansvar for at personopplysninger for eksempel blir slettet på en betryggende måte når de ikke lengre skal lagres. Andre forhold i databehandlerrelasjonen ble ikke revidert. 18 av 26

21 7 Funn og avvik gjennomgang av konkrete forskningsprosjekt Datatilsynet gjennomgikk fire konkrete prosjekter for å verifisere hvorvidt virksomhetens rutiner for ivaretakelse av pliktene etter helseforskningsloven og personopplysningsloven med forskrift er kjent og blir fulgt. 7.1 Prosjektet Brukermedvirkende behandling Det første prosjektet Datatilsynet hadde ønske om å se nærmere på var et forskningsprosjekt ved psykiatrisk avdeling som hadde som formål å se på brukeropplevelse for å skape endringer i behandlingen. Prosjektet var imidlertid vurdert av REK til ikke å være fremleggelsespliktig for REK det vil si at prosjektet ikke reguleres av helseforskningsloven. Datatilsynet gjennomførte intervjuet med prosjektleder, men har i ettertid vurdert det slik at siden kontrollens formål var å føre tilsyn med etterlevelsen av helseforskningslovens regler faller dette prosjektet utenfor kontrollens tema. Det bemerkes imidlertid at det ikke er slik at prosjekter som ikke trenger tilråding fra REK befinner seg i et lovtomt rom. Forutsatt at det behandles sensitive personopplysninger må forskningsprosjekt enten ha konsesjon fra Datatilsynet, være kvalitetssikring som kan iverksettes i henhold til helsepersonelloven 26 evt. at det er forskning som omfattes av personopplysningsforskriften 7-27 og som er tilrådd av et personvernombud. Datatilsynet forutsetter at Helse Førde innhenter de tillatelser som er nødvendige også når forskningsprosjekt viser seg å ikke være regulert av helseforskningsloven og fremleggingspliktig for REK. 19 av 26

22 7.2 Prosjektet Treningsprogram for angstmestring Navn: Kirsten Flaten / Einar Heiervang Avdeling: Barne- og ungdomspsykiatrien Generelt om prosjektet Prosjektet består av et undervisningsopplegg hvor opplysningene som lagres er basert på samtaler med foreldre og barn før og etter undervisning. På tidspunktet for kontrollen var prosjektet er i sin avslutningsfase, og skulle være avsluttet Utvalgets størrelse: 18 av 37 barn i to klasser Funn Forsker informerte om at helseopplysninger og direkte identitet ikke ble lagret sammen, men at forsker har tilgang til både helseopplysninger og identitetsopplysninger. Spørreskjemaer er i følge forsker anonymisert, men inneholder kode. Spørreskjemaer lagres ved Helse Førde, mens kodeskjema lagres ved en annen virksomhet (forskers tidligere arbeidssted). Alle opplysningene er tilgjengelige for forsker. Forsker og prosjektleder, samt biostatistiker som har tilgang til alle avidentifiserende data som ligger på server. Biostatistiker har tilgang for å yte statistisk hjelp på regionalt nivå. Programvaren som brukes for statistisk analyse er XPSS. Statistikerne er tilknyttet Kompetansesenter for klinisk forskning. Forsker er usikker på hvor disse formelt er ansatt enten i Helse Bergen eller Helse Vest IKT. Så vidt forsker kjenner til foreligger det ingen avtale om instruksjonsmyndighet og heller ingen databehandleravtale som regulerer forholdet mellom Helse Førde og statistikerne. Forsker er av den oppfatning at dette ikke er nødvendig fordi det er tale om avidentifiserte personopplysninger, og at disse personene uansett er å anse som en fellestjeneste for Helse Vest. Nødvendige tillatelser Forskningsprosjektet har tillatelse fra REK. I tillatelsen er det stilt vilkår om: - utarbeidelse av beredskapsplan - kryptering av opplysningene På spørsmål fra Datatilsynet om hva prosjektledelsen forstått med kryptering i denne sammenheng svarer forsker at hun har lagt til grunn at kryptering er noe som foregår automatisk i serversystemet. Forsker har følgelig ikke gjort noe i forhold til dette kravet stilt av REK. Forsker er dessuten av den oppfatning at dataene ikke er identifiserbare for uvedkommende når de er kodede. Det innrømmes fra ledelsen i Helse Førde at det ikke er gode nok rutiner på dette området. Krypteringsrutiner og identitetsforvaltning er noe av det som skal på plass med det nye regimet. 20 av 26

23 Forsker forholder seg for øvrig til foretakets rutine som sier at forskningsdata og identifiserende opplysninger skal oppbevares fysisk adskilt. Når det gjelder oppfølging av at vilkår fra REK blir oppfulgt har dette blitt håndtert av forsker og prosjektleder. Nødvendig støtte er blitt gitt fra Senter for helseforskning dersom prosjektledelsen har bedt om det. Forsker mener det er en styrke for forskningen at forskere ikke blir fotfulgt av ledelsen ved Helse Førde i prosjektgjennomføringen. Kjennskap til rutiner for helseforskningsprosjekter Forsker er kjent med at dokumentene i forskningsprosjektet skal være utilgjengelige for uvedkommende. Forsker har selv gjort en vurdering av hva som er tilstrekkelig informasjonssikkerhet, og anså det ikke nødvendig å konferere med ledelsen på dette punktet. Forsker og veileder har selv tatt stilling til hvordan kodelister og datasett skal oppbevares. På spørsmål fra Datatilsynet om mapper kan flyttes over på lokal PC svarte forsker at hun tror dette er mulig, men er klar over at det ikke vil være i tråd med interne retningslinjer for behandling av dataene. På spørsmål om forsker har behov for kodelisten etter innsamling av datamateriale svarte forsker at det kun er behov for listen for å verifisere kobling foreldre/barn. Etter at denne operasjonen var gjort har kodelisten ikke vært nødvendig for bruk Vurdering og konklusjon Helseforskningsloven 32 første ledd tredje punktum fastslår prinsippet om at graden av personidentifikasjon for helseopplysninger ikke skal være større enn nødvendig for å nå formålene med forskningen. Krav om kryptering er gjerne et tiltak for å sikre oppfyllelsen av denne bestemmelsen. Slik Datatilsynet oppfatter et krav om kryptering av forskningsdata fra REK innebærer dette at forskningsansvarlig skal sørge for at helseopplysninger, identitetsopplysninger og koblingsnøkler skal oppbevares adskilt. God personvernpraksis er videre at ingen enhet har tilgang til mer enn en av delene. Når forsker legger til grunn at REK sitt vilkår om kryptering av data er ivaretatt gjennom at forskningsdata håndteres avidentifisert, når forsker samtidig til enhver tid har tilgang til kodelistene, må dette sies å være en grov misforståelse som virksomheten er ansvarlig for. Forsker har videre selv forklart at kodelistene ikke har vært nødvendige for bruk i prosjektet etter at koblingen foreldre/barn var gjort. Etter Datatilsynets vurdering har graden av personidentifikasjon for helseopplysningene i dette prosjektet vært større enn nødvendig for å nå formålene med forskningen. Dette er å anse som et brudd på helseforskningsloven 32 første ledd tredje punktum. Helseforskningsloven 33 fastslår at forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk er nødvendig og tilstrekkelig behandlingsgrunnlag for helseopplysninger i medisinsk og helsefaglig forskning, jfr. helseforskningsloven kap. 3. Etter helseforskningsloven 10 andre ledd andre punktum kan REK sette vilkår for 21 av 26

24 godkjenning. Datatilsynet legger til grunn at dersom slike vilkår stilles må de også være oppfylt for at godkjenningen skal være et gyldig behandlingsgrunnlag. I det foreliggende forskningsprosjektet er det stilt vilkår om kryptering av helseopplysninger. Etter Datatilsynets vurdering er dette vilkåret ikke oppfylt, og prosjektet har følgelig ikke et gyldig behandlingsgrunnlag. Dette er å anse som et brudd på helseforskningsloven 33, jfr helseforskningsloven 10. Det vises til rapportens hvor tilsvarende avvik er konstatert. Personopplysningsforskriften 2-7 første ledd sier at behandlingsansvarlig har en plikt til å etablere klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Slike ansvars- og myndighetsforhold skal videre dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder, jfr. personopplysningsforskriften 2-7 andre ledd. Forsker og veileder har selv tatt stilling til hvordan kodelister og datasett skal oppbevares i prosjektet, samt gjort en vurdering av hva som er tilstrekkelig informasjonssikkerhet. Etter Datatilsynets vurdering er rutiner for informasjonssikkerhet i kjernen av det som skal besluttes av ledelsen, og som det skal være enhetlige rutiner på. Når det avdekkes at den enkelte prosjektledelse selv tar stilling til sikkerhetsnivå hva gjelder helseopplysninger i forskningsprosjekt er dette å anse som et brudd på personopplysningsforskriften 2-7 første og andre ledd. Det vises til rapportens hvor tilsvarende avvik er konstatert. 22 av 26

25 7.3 Prosjektet Thyreoidealhormonresistens Navn: Per Helge Kvistad Avdeling: Barneavdelingen Generelt om prosjektet Samtykkebasert forskningsprosjekt som omhandler stoffskifte. Utvalget besto av familier geografisk plassert i området rundt Førde, og som hadde påvist at stoffskiftet ikke virket optimalt. Prosjektdata besto av kartlegging av familie og slekt, arvelige faktorer og mutasjoner, samt opplysninger om evt. feilbehandlinger. Utvalgets størrelse var på 50 stk hvorav 40 ble inkludert Funn Prosjektleder søkte REK i 1996 og datainnsamling startet samtidig. Prosjektet hadde tillatelse fra NSD i tillegg og konsesjon fra Datatilsynet for perioden Uklart hva som skjedde med dataene i tidsrommet Prosjektleder beskriver hvordan sletting/anonymisering er gjennomført i praksis NSD oppbevarte dataene på diskett (fjernarkivering) fra ca 2000 med tanke på gjenopptakelse. I forbindelse med overføring av data til NSD gjennomgikk prosjektleder de data som var lagret hos Helse Førde og makulerte disse. Prosjektleder søkte om langtidslagring for videre kontakt med de registrerte. REK gav avslag på dette. Prosjektleder ba NSD om å slette de personidentifiserte dataene som var lagret Prosjektleder sendte ny søknad om langtidslagring i mai 2011, og fikk på nytt avslag fra REK. Prosjektleder har mottatt bekreftelse fra NSD om at data nå er slettet ( ). Samtykkeerklæringer ble oppbevart hos prosjektleder. Prosjektleder opplyser om at disse er makulert, men husker ikke når Vurdering og konklusjon Etter de opplysninger som er fremkommet om forskningsprosjektet hadde prosjektleder tilgang til forskningsdataene da disse var gjenstand for langtidsoppbevaring. Det vises til rapportens hvor tilsvarende avvik er konstatert. Det fremstår som uklart for Datatilsynet på hvilket grunnlag prosjektleder søkte REK om langtidslagring for mulig ny kontakt med de registrerte i mai 2011, når han et halvt år tidligere hadde bedt om at personidentifiserbare data skulle slettes. Tilsynet mener imidlertid at dette ikke gir grunnlag for avvik, men at det er tilstrekkelig å peke på at dette er ulogisk. 23 av 26

26 7.4 Prosjektet Helse og livskvalitet før og etter kirurgisk behandling for sykelig overvekt Navn: Villy Våge Avdeling: Kirurgisk Generelt om prosjektet Samtykkebasert forskningsprosjekt med oppstart i Prosjektet har som formål å undersøke endring i helserelatert livskvalitet. Pasienter blir bedt om å fylle ut spørreskjema som omhandler hvordan pasienten har det før operasjon. Pasienten blir deretter fulgt opp med spørreskjema henholdsvis 1, 5 og 10 år etter operasjon. Utvalgets størrelse: Funn Samtykkeskjema I tillatelse fra REK ble det stilt krav om at samtykkeskjema og informasjonsskriv skulle korrigeres. Forsker oppgir at både samtykkeskjema og informasjonsskriv er korrigert i henhold til krav fra REK. Opprinnelig skjema ikke lagret i Ephorte, men lokalt. De fysiske samtykkeerklæringene er innelåst på kirurgisk poliklinikk. Hvordan oppbevares opplysningene Generelle opplysninger lagres i database fra 2001 (register) som i følge forsker er godkjent av Datatilsynet. Forsker fant frem referansenummer til konsesjonen. Forskningsdata er lagret på SQL-server som ligger i Bergen (ikke forskningsserver). Det foreligger en plan om å få prosjektet overført til den nye forskningsserveren. Helseopplysninger og direkte identitet Klinisk personell får tilgang til både helseopplysninger og fødselsnummer/navn. Prosjektleder er av den oppfatning at begrensningen i tilgang til helseopplysninger i forskningsprosjekt ikke gjelder klinisk personell når disse er involvert i behandling av pasientene. 2 klinikere har tilgang til disse dataene. Ledelsesforankring Forskningsprosjektet ble igangsatt før Senter for helseforskning var etablert. På tidspunkt for igangsettelse av dette aktuelle prosjektet forholdt forskere seg ikke til virksomhetens retningslinjer. Prosjektleder har fått kjennskap til rutiner for helseforskningsprosjekter i den senere tid. Tilgang for andre virksomheter Det er ingen andre virksomheter som har tilgang til forskningsmaterialet. For det tilfelle at materiale skal analyseres lages en duplikat, avidentifisert analysemateriale (Blodprøver + ID-nummer). Koblingsnøkkel finnes, og denne oppbevares hos Helse Førde. Nærmere om kvalitetsregisteret som er lagret i Helse Bergen Forskningsprosjektet utleder data fra det konsesjonsbaserte kvalitetsregisteret som er lagret i Helse Bergen. Data er lagret separat, men forsker er av den oppfatning at forskningsprosjektet og kvalitetsregisteret kan berike hverandre. Forskningsprosjektet baseres altså på opplysninger fra pasientjournaler i tillegg til spørreskjema. 24 av 26