Det vises til Datatilsynets varsel om vedtak av 13. juli 2012, og deres tilsvar av 5. september 2012.

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Begynne med side:

Download "Det vises til Datatilsynets varsel om vedtak av 13. juli 2012, og deres tilsvar av 5. september 2012."

Transkript

1 Helse Stavanger HF Stavanger universitetssykehus Postboks STAVANGER Deres referanse 2011/ /2012 Vår referanse (bes oppgitt ved svar) Dato 11/ /EOL 23. oktober 2012 Avslutning av sak - endelig kontrollrapport Det vises til Datatilsynets varsel om vedtak av 13. juli 2012, og deres tilsvar av 5. september I deres brev orienteres det om at de varslede pålegg er fulgt opp. Datatilsynet tar virksomhetens orientering til etterretning og anser saken som avsluttet. Med vennlig hilsen Helge Veum avdelingsdirektør Eirin Oda Lauvset seniorrådgiver Vedlegg: Endelig kontrollrapport Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Saksnummer: 11/00882 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Helse Stavanger HF (Helseforskning) Utarbeidet av: Eirin Oda Lauvset, rådgiver Helge Veum, avdelingsdirektør 1 Innledning Datatilsynet gjennomførte 1. og 2. desember 2011 kontroll med Helse Stavanger HF. Formålet med kontrollen var å vurdere virksomhetens behandling av helseopplysninger i helseforskningsprosjekter etter ter de krav som helseforskningsloven og personopplysningsloven med forskrifter oppstiller. Gjennomføringen av kontrollen fant sted med hjemmel i helseforskningslovens 47 og personopplysningsloven 42, tredje ledd og 44 med forskrifter. Datatilsynet ser behov for å følge opp utviklingen etter ikrafttredelsen av helseforskningsloven. Loven innførte prinsippet om én postkasse og de regionale etiske komiteer for medisin og helsefaglig forskningsetikk (REK) overtok 1. juli 2009 oppgaver som tidligere lå hos Helsedirektoratet og Datatilsynet. Datatilsynet har med denne bakgrunn valgt å gjennomføre kontroller med fokus på hvordan internkontroll og informasjonssikkerhet ved to helseforetak ivaretas. Videre verifisere hvordan regelverket og tillatelser er fulgt opp i konkrete helseforskningsprosjekter. Det bemerkes innledningsvis at den praktiske tilretteleggingen fra Helse Stavanger HF i forbindelse med kontrollen har vært svært god. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket et under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 1 av 19

3 2 Rapportens innhold 1 Innledning Rapportens innhold Gjennomføring av kontrollen Agenda Fokusområder for kontrollen Tilstede fra Helse Stavanger (representert under ulike deler av kontrollen) Tilstede fra Datatilsynet Om Helse Stavanger Om regelverket Funn og avvik fra lovbestemte krav til behandling av personopplysninger Overordnet internkontroll Internkontroll gjennomførende del Internkontroll kontrollerende del Informasjonssikkerhet i helseforskningsprosjekter Funn og avvik - gjennomgang av konkrete forskningsprosjekt Prosjekt 1 Fødekomplikasjoner Prosjekt 2 Overvekt og selvfølelse Prosjekt 3 Å leve med Huntingtons sykdom Prosjekt 4 Pterygium studert ved genekspresjonsprofilering Andre forhold Web-basert innsamling av 19

4 3 Gjennomføring av kontrollen 3.1 Agenda Torsdag 1. desember Åpningsmøte. Presentasjon og orientering om gjennomføringen av kontrollen - Internkontroll og informasjonssikkerhet på et ledelsesforankret nivå - Informasjonssikkerhet og teknisk infrastruktur - Avviksbehandling / verifikasjoner - Oversikt over forskningsprosjekter Fredag 2. desember Støttesystem for forskning - Koordinering og utsjekk av tema fra dag 1 - Verifikasjon i 4 utvalgte prosjekter - Sluttmøte / oppsummering 3.2 Fokusområder for kontrollen - Virksomhetens internkontroll med hensyn til helseforskningsprosjekter - Virksomhetens ivaretakelse av informasjonssikkerhet i helseforskningsprosjekter med blant annet fokus på kommunikasjon, lagring, identitetshåndtering og webbasert innhenting av sensitive opplysninger - Virksomhetens ivaretakelse av informasjonsplikten til de registrerte i helseforskningsprosjekter. - Virksomhetens oppfølging av vilkår og forutsetninger gitt i tillatelser for helseforskningsprosjekter. - Konkret ivaretakelse av regelverkets krav i utvalgte helseforskningsprosjekter. 3.3 Tilstede fra Helse Stavanger (representert under ulike deler av kontrollen) - Stein Tore Nilsen, forskningsdirektør - Sølve Braut, fagsjef EPJ - Ivar Terje Solberg, fagsjef IKT - Margot Viste, sekretær forskningsavdelingen - Fredrik Feyling, spesialkonsulent forskningsavdelingen - Irene Mathisen, personvernombud - Brad Folsom, IT sikkerhetsleder - Kevin Bradley, - Forskere enkeltprosjekt 3.4 Tilstede fra Datatilsynet - Helge Veum, senioringeniør - Eirin Lauvset, rådgiver 3 av 19

5 4 Om Helse Stavanger Helse Stavanger er med sine 4700 årsverk, 6000 medarbeidere, innleggelser og polikliniske konsultasjoner Norges fjerde største helseforetak med et budsjett på ca 5 mrd. NOK. Helseforetaket skal dekke en populasjon på mennesker. På tidspunktet for kontrollen hadde Helse Stavanger 100 medarbeidere med doktorgrad. I løpet av 2011 har det blitt publisert 140 artikler og gjennomført 15 doktordisputaser. Helse Stavanger er å regne som et kompetansesenter på følgende fagområder: - bevegelsessykdommer (nasjonalt) - rusforskning (regionalt) - indremedisin (regionalt) - samhandling (regionalt) Også på fagområder som kreft, akutt, kardiologi, nevrologi og psykiatri har helseforetaket spesialkompetanse. Medisinsk og helsefaglig forskning foregår i stor grad i samarbeid med Helse Bergen. Dette fordi den medisinske utdanningen i regionen er lagt til Universitetet i Bergen. 5 Om regelverket Lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1. juli Samtidig trådte også forskrift 1. juli 2009 nr. 955 om organisering av medisinsk og helsefaglig forskning i kraft. Helseforskningslovens saklige virkeområde er regulert i lovens 2. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Medisinsk og helsefaglig forskning er i helseforskningsloven 4 bokstav a definert som virksomhet som utføres med vitenskaplig metodikk for å skaffe til veie ny kunnskap om helse og sykdom. Hvilke forskningsprosjekter som faller innenfor og utenfor lovens vireområde skal baseres på en konkret vurdering av forskningsprosjektets art og natur. Denne vurderingen foretas av de regionale etiske komiteer (REK). I den utstrekning ikke annet følger av helseforskningsloven, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser til helseforskningsloven, jf. helseforskningsloven 2 tredje ledd. I denne sammenheng er det lovens og forskriftens generelle krav som er mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. Dette følger av helseforskningsloven 6, 2. ledd og forskriftens 4. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. 4 av 19

6 Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Det bemerkes at tilsvarende bestemmelser om internkontroll og informasjonssikkerhet følger av helseregisterlovens 16 og 17 for behandling av helseopplysninger ved helseforetaket for andre formål enn helseforskning. Det er naturlig at det etableres felles internkontroll for etterlevelse av de ulike regelverkene, spesielt med hensyn til informasjonssikkerhet. Dette berøres imidlertid ikke nærmere i denne rapporten. 5 av 19

7 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Overordnet internkontroll Krav i regelverket Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskningen. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 3 fastsettes ledelsesansvaret for tilrettelegging og organisering arbeidet med helseforskning, herunder internkontroll og informasjonssikkerhet. I 4 stilles det, foruten krav til oversikt over hvilke regelverk som gjelder for helseforskning, krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde disse kravene. Virksomheten skal videre føre oversikt over alle helseforskningsprosjekter som pågår i virksomheten og etablere system for håndtering av avvik Funn Ledelsesforankring Etter helseforskningslovens ikrafttredelse i juli 2009 fulgte et halvår med etablering av en forskningsavdeling ved Helse Stavanger. Det ble etablert kontakt med personvernombud ved Helse Bergen for samarbeid om etablering av system for internkontroll. Det videre arbeidet med etablering av system for internkontroll avdekket at det ikke fantes noen oversikt over forskningsprosjekter i Helse Stavanger. Som et resultat av dette utarbeidet forskningsavdelingen en database for slik oversikt høsten Når det gjelder rollen som forskningsansvarlig er ansvaret delegert til leder for forskningsavdelingen. Før godkjenning av prosjekter som innebærer tilgang til pasientjournal konfererer forskningsdirektør med fagsjef for EPJ. På tidspunkt for kontrollen var rutine for oppstart av prosjekter følgende: 1. Prosjektleder innhenter alle nødvendige tillatelser 2. Forskningsdirektør får prosjektet fremlagt 3. Ansvarlig for EPJ får prosjektet fremlagt (tilgang pasientjournal) Forskningsdirektøren er åpen for at personvernombudet kan få en mer aktiv rolle etter hvert. Forskningsdirektør er av den oppfatning at oppegående prosjektledere er i stand til å foreta forberedelsene til igangsetting av prosjekter på egen hånd. Det er tatt beslutning om at ledelsen involveres først etter at tillatelser er gitt fra REK m.m. Forskningsavdelingen fungerer i praksis som en støttefunksjon i en tidlig fase av prosjektplanleggingen. De kontrollmekanismer som foreligger før søknad, ligger på divisjonsdirektør. 6 av 19

8 Oversikt over helseforskning I løpet av 2011 har Helse Stavanger foretatt to store ryddeprosjekter. Et med fokus på å sikre biologisk materiale, og et for å sikre at det som er registrert i forskningsprosjektdatabasen er korrekt. Forskningsavdelingen har utarbeidet en intern oversikt over samtlige pågående prosjekter ved helseforetaket, inkludert prosjekter igangsatt før helseforskningslovens ikrafttreden og for multisenterstudier foretaket deltar i. Oversikten inkluderte ikke forventet sluttdato eller vilkår stilt av REK. På tidspunkt for kontrollen mente forskningsavdelingen at de hadde fått kontroll på gamle prosjekter, og i prosessen hadde de avdekket to avvik. Det ene avviket gjaldt et prosjekt hvor prosjektledelsen var av den oppfatning at prosjekt oppstartet i utlandet er unntatt helseforskningsloven på generelt grunnlag. Det andre avviket gjaldt et prosjekt hvor prosjektledelsen mente at prosjekt i sen fase (publisering) ikke er å anse som aktive prosjekt, og dermed heller ikke prosjekt som skal innordnes helseforskningslovens bestemmelser. I begge sakene er personopplysninger blitt anonymisert. Godkjenninger fra REK og interne tillatelser blir arkivert i virksomhetens arkivsystem. Gitte tillatelser gjennomgås av forskningsdirektøren, men det er ikke etablert noen rutine for verifikasjon av at eventuelle vilkår stilt av REK er oppfylt. Personvernombudet har fått i oppgave å holde oversikt over kvalitetssikringsprosjekt. Den nye ordningen med personvernombud innad i Helse Stavanger er blitt godt kjent i organisasjonen. Siste halvår 2011 ble det meldt inn ca 1 prosjekt i uka. Kvalitetssikringsprosjekt var ikke tema for Datatilsynets kontroll Implementering av internkontroll i virksomheten Helse Stavanger har arrangert kurs for leger/forskere hvor man blant annet har foretatt en gjennomgang av internkontrollsystemet. I tillegg til dette har de ulike divisjonsledelsene i ansvar å sørge for informasjon om internkontroll til sine forskere, og det er gitt informasjon til hele organisasjonen på informasjonsmøter. REK har dessuten drevet noe informasjonsarbeid om helseforskningsloven overfor helseforetakene. På sikt er det meningen at alle rutiner skal ligge i dokumentstyringssystemet EQS. Alle ansatte skal få intensiv opplæring i bruk av denne databasen. Pr. i dag fungerer ikke dette optimalt som system på forskningsområdet det vil ta tid å innarbeide bruk. EQS inneholder ingen allmenne rutiner for informasjonssikkerhet. Divisjon EPJ har imidlertid dokumenter for informasjonssikkerhet som de selv har definert som globale (dvs tilgjengelige for alle divisjoner). 7 av 19

9 6.1.3 Vurdering og konklusjon Ledelsesforankring Ivaretakelse av ansvaret til den forskningsansvarlige er delegert til forskningsavdelingen ved forskningsdirektøren. Avdelingen er videre tilgjengelig for forsker i forbindelse med evt. veiledning under søknadsprosessen til REK. Når et prosjekt har fått tillatelse til oppstart av REK mottar forskningsavdelingen kopi av godkjenningen. Forskningsprosjekt kan ikke igangsettes før forskningsdirektøren har gitt sin eksplisitte tillatelse til igangsetting. Før intern tillatelse blir aktuell divisjonsdirektør og fagsjef konsultert med spørsmål om det er hindre for at prosjektet kan igangsettes. Datatilsynet har ingen særlige kommentarer til denne organiseringsmåten Oversikt over helseforskning På tidspunkt for kontrollen fantes følgende kilder til informasjon om helseforskningsprosjekter i Helse Stavanger: - Intern oversikt i forskningsavdelingen - Registering av forskningsprosjekter i saksbehandlersystemet (Ephorte) - Personvernombudets oversikt over kvalitetssikringsprosjekt Helse Stavanger har, med utarbeidelsen av forskningsdatabasen, et godt utgangspunkt for oppfyllelse av helseforskningslovens krav til oversikt og kontroll over helseforskningsprosjekt. I tillegg til de variabler som på kontrolltidspunktet ble registrert, ser Datatilsynet behov for at følgende informasjon er systematisk tilgjengelig i oversikten: - planlagt sluttdato - faktisk sluttdato - vilkår stilt i tillatelse fra REK Etter Datatilsynets vurdering er dette opplysninger som er nødvendige for å ha en reell oversikt og kontroll med forskningsprosjektene. Det legges til grunn at foretaket på selvstendig grunnlag vurderer om eventuelle øvrige parametre som er nødvendig i oversikten. Utilstrekkelig oversikt og kontroll med helseforskningsprosjekt er avvik fra krav om til internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c). Det bemerkes at regelverkets krav i det vesentlige var oppfylt, og at avviket knyttes til en forbedring av eksisterende oversikt Implementering av internkontroll i virksomheten Helse Stavanger har utarbeidet rutiner som skal sette prosjektledere og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde kravene i helseforskningsloven. Det er imidlertid uklart i hvilken grad ledelsen har lykkes med å gjøre disse rutinene kjent i organisasjonen. 8 av 19

10 Verktøyet EQS fremstod som svært hensiktsmessig. Dette var imidlertid i en implementeringsfase. Datatilsynet anbefaler at dette også benyttes til å tilgjengeliggjøre sentrale dokumenter for helseforskning som: - Helse- og omsorgsdepartementets veileder for helseforskningsloven - Helseforskningsveileder etter Norm for informasjonssikkerhet, og - Kommende veileder om helseinformasjonssikkerhetsforskriften. Det konstateres ikke avvik på dette punkt da organisasjonen er i en modningsfase og virksomheten har en hensiktsmessig plan fremover. Det bemerkes at funn knyttet til konkrete forskningsprosjekter synliggjør at det er et forbedringspotensial i implementeringen av internkontrollen. 6.2 Internkontroll gjennomførende del Krav i regelverket Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskningen. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 4 stilles det krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde kravene etter helseforskningsloven Funn Rutine for oppstart av forskningsprosjekter På tidspunkt for kontrollen var rutine for oppstart av prosjekter følgende: 1. Prosjektleder innhenter alle nødvendige tillatelser 2. Forskningsdirektør får prosjektet fremlagt 3. Ansvarlig for EPJ får prosjektet fremlagt (tilgang pasientjournal) Lagring av data har det vært en del ulik praksis på, men fra sommer 2011 var forskningsserver på plass. På tidspunkt for kontrollen skulle alle forskningsdata lagres på forskningsserver Rutine for å oppfylle informasjonsplikten Helseforskningsloven inneholder ingen bestemmelser om informasjonsplikt, men personopplysningsloven gjelder utfyllende på dette området. Personopplysningsloven regulerer informasjonsplikten. Det er i denne sammenheng viktig å presisere at informasjonsplikten vil gjelde uavhengig av om behandling av helse- og personopplysninger i et forskningsprosjekt er basert på samtykke eller ikke. Dersom gjennomføringen av et forskningsprosjekt skal unntas informasjonsplikt i tillegg til å unntas krav om samtykke, må dette begrunnes særskilt. Rutine for å sikre at virksomheten oppfyller informasjonsplikten i henhold til personopplysningsloven fremkommer ikke av Helse Stavangers internkontroll. 9 av 19

11 Rutine for oppfølging av registrertes rettigheter Datatilsynet har ved kontroll av rutine for oppfølging av registrertes rettigheter spesielt fokus på hva virksomheten foretar seg for å sikre retten til innsyn, retting og sletting. Datatilsynet presiserte at informasjon om disse rettighetene er sentrale for oppfylle informasjonsplikten etter personopplysningsloven 19 og 20. (Se pkt ). Rutine for informasjon til registrerte bør således også inn her. Helse Stavanger har en rutine for ivaretakelse av de registrertes rettigheter, men denne fremstår som overordnet og lite konkret. Forskningsavdelingen er av den oppfatning at prosjektlederne er i stand til å ivareta disse rettighetene på en god måte, men har ingen erfaring med at pasienter ber om innsyn, retting eller sletting Rutine for avslutning av prosjekter Datatilsynet har ved kontroll av rutine for avslutning av prosjekter spesielt fokus på hva virksomheten foretar seg for å sikre at helse- og personopplysningene som innhentes i forskningsprosjekt blir slettet eller anonymisert når prosjektet avsluttes. Helse Stavanger skal i følge forskningsavdelingen gjennomføre en årlig oppfølging av alle igangsatte prosjekter. Slik rutine vil iverksettes fra og med I en slik gjennomgang vil det være naturlig å undersøke om prosjekter i avslutningsfase har planlagt hvordan sletting/anonymisering skal foregå. Oversikten over forskningsprosjekter som foreligger i dag har ikke noe felt for registrering av planlagt sluttdato. Etter Datatilsynets mening ville et slikt felt ville vært nyttig for oppfølgingsformål. I de tilfeller hvor anonymisering er mer aktuelt enn sletting presiserer Datatilsynet at det ikke alltid er tilstrekkelig for anonymisering å slette for eksempel koblingsnøkkel. Det er nødvendig å gjennomgå datamaterialet for å undersøke om det inneholder så mange variabler at det kan være bakveisidentifiserbart/indirekte identifiserbart. På tidspunkt for kontrollen forelå det ingen rutine i internkontrollsystemet for å sikre at sletting/anonymisering blir foretatt. Foretakets representanter ga uttrykk for at det var hensiktsmessig med slike rutiner Vurdering og konklusjon Rutine for oppstart av forskningsprosjekter Ingen avvik konstatert Rutine for å oppfylle informasjonsplikten overfor registrerte Personopplysningslovens 20, som gjelder utfyllende etter helseforskningsloven, fastsetter at en handlingsansvarlig (her forskningsansvarlig) som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i personopplysningslovens 19 første ledd så snart opplysningene er innhentet. 10 av 19

12 Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak følger av bestemmelsens annet ledd bokstav a til c, og personopplysningsloven 23. Varslingen skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering. 1 Rutiner for ivaretakelse av informasjonsplikten var ikke etablert. Dette anses som et avvik fra krav om internkontroll helseforskningslovens 6, jf. forskriftens 4 d), jf. personopplysningslovens Rutine for oppfølging av registrertes rettigheter Helse Stavanger har en rutine for ivaretakelse av de registrertes rettigheter, men denne fremstår som overordnet og lite konkret. Plikter knyttet til oppfølging av registrertes rettigheter er tillagt prosjektleder. Usikkerhet omkring hvordan dette blir håndtert i praksis da man pr. i dag ikke hatt noen innsynsbegjæringer eller krav om retting/sletting. Forskningsavdelingen har tillit til at prosjektlederne er i stand til å ivareta disse rettighetene på en god måte. Etter Datatilsynets vurdering må rutinene konkretiseres med hensyn til hvilke rettigheter som er relevante, hva de innebærer, og hvordan de skal saksbehandles. Utforming av maler, som det er lagt til rette for i rutinen, vil være et bidrag i denne sammenhengen. Praksisen innebærer at forskningsansvarlig ikke setter tilstrekkelige rammer for sikring og behandling av forskningsdata. Dette anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl Rutine for avslutning av prosjekter Helseforetaket har ikke etablert rutiner som sikrer at anonymisering av forskningsdata ved prosjektslutt gjennomføres på en forsvarlig måte. Datatilsynet ser behov for at det fastsettes nærmere kriterier og kvalitetssikring av anonymisering etter prosjektslutt. For å sikre oppfølgingen av slike rutiner kan det være hensiktsmessig å innføre et krav om å beskrive hvordan anonymiseringen er foretatt det ved arkivering av anonymisert datasett i Ephorte. Manglende rutiner er et avvik fra helseforskningslovens 6, jf. forskriftens 4 d), jf. lovens Se Ot.prp.nr92 ( ) side av 19

13 6.3 Internkontroll kontrollerende del Det bemerkes at bare deler av rutinene og aktivitetene som forventes ivaretatt under internkontrollens kontrollerende del ble gjennomgått under kontrollen Krav i regelverket Det vises generelt til rapportens I forskrift om organisering av helseforskning 4 bokstav f og g stilles det krav om avviksbehandling og oppfølging av internkontrollen Funn Gitte tillatelser gjennomgås av forskningsdirektøren, men det er ikke etablert noen rutine for verifikasjon av om eventuelle vilkår stilt av REK er oppfylt. Det er en mulighet for å kontrollere at tillatelsen er blitt fulgt når sluttrapporten foreligger. Vanlige vilkår som stilles til prosjektgjennomføring fra REK er: - krav til sikker oppbevaring av samtykkeerklæringer, informasjonsskriv - krav til revidering av samtykkeerklæringer, informasjonsskriv - vilkår for bruk av helseopplysninger etter helseforskningsloven 35 (uten samtykke) Forskningsavdelingen opplyser at underskrevne samtykkeerklæringer oppbevares hos prosjektledere. Dersom REK stiller krav om at samtykkeskriv må endres gjøres dette av prosjektleder. Rutinen for kontroll med forskningsprosjekt (501A) var ikke gjennomført. Det ble gjort rede for at det var planlagt årlige kontroller, men at det inntil tidspunktet for kontrollen hadde vært prioritert å etablere rutiner og sikre oversikt over forskningsprosjekter Vurdering og konklusjon Kontroll med, og tilretteleggelse for kontroll med, at prosjektleder ivaretar eventuelle vilkår stilt av REK kan bedres ved at vilkår registreres i databasen på en slik måte at de kan følges opp. Det anses ikke som tilstrekkelig at sluttrapporten gir mulighet til å kontrollere at tillatelsen er blitt fulgt. Bestemmelsene som skal sikre de registrertes rettigheter etter helseforskningsloven tar sikte på forhåndskontroll og ivaretakelse av rettigheter underveis i forskningsprosjekt. Mulighet for etterkontroll er mer å anse som en kvalitetssikring enn sikring av de registrertes rettigheter. Endelig mal for samtykkeskriv som benyttes i studien bør arkiveres slik at dette er tilgjengelig for forskningsavdelingen. For helseforetakets del fremstår det som naturlig om dette gjøres i Ephorte. 12 av 19

14 Manglende systematisk kontroll med om forskningsprosjekter føler kravene i regelverket og vilkår stilt av REK er et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens Informasjonssikkerhet i helseforskningsprosjekter Krav i regelverket Personopplysningsloven 13 stiller krav om tilfredsstillende informasjonssikkerhet. Utfyllende bestemmelser er gitt i personopplysningsforskriftens kapittel 2. Forskriftens 2-4 stiller krav om at informasjonssystemet vurderes med hensyn til risiko. Det er her krav om at virksomheten vurderer sannsynligheten for, og konsekvens av sikkerhetsbrudd. Risikoen skal sammenlignes med kriterier for akseptabel risiko. Forskriftens 2-8 og 2-14 stiller krav om at autorisert og uautorisert bruk av informasjonssystemet registreres (logging). Personopplysningsforskriftens 2-11 stiller krav om tilfredsstillende konfidensialitetssikring, og 2-14 stiller krav om sikkerhetstiltak som inkluderer tiltak den ansatte ikke kan omgå Funn Styrende dokumenter De dokumenter som er styrende for informasjonssikkerheten ved helseforetaket er fra Ansvar, rammer og strategiske valg hva gjelder forskningsdata fremgikk ikke av dokumentene Bruk av forskningsserver Forskningsdata lagres på Helse Stavangers område av en forskningsserver driftet av Helse Vest IKT, samt en kvalitetsserver internt i virksomheten. Forskningsdata blir lagret enten på forskningsserveren eller en kvalitetsserver. To separate løsninger begrunnes med at bruk av forskningsserveren er under innfasing. Eldre prosjekter kan ha godkjennelse til lagring andre steder enn forskningsserver, og på kvalitetsserveren er det lagret data som er mer eller mindre identifiserbare, kvalitative studier og gamle data. Nye forskningsprosjekter får tildelt lagringsplass på forskningsserveren. Det var etablert en rutine for lagring av forskningsdata (rutine 403). Det gikk her frem at opplysningene skal lagres på forskningsserver. Detaljerte føringer gis når filområdene opprettes av Helse vest IKT. Det fremgår av rutinen at forskningsdata som en hovedregel skal lagres avidentifisert. Om og hvordan direkte identifiserende opplysninger skal lagres fremgår ikke. Koplingsnøkkel og datafil(er) skal etter rutinen lagres hver for seg. Tilgang til koplingsnøkkel er drøftet senere i rapporten. I en del forskningsprosjekter blir det brukt lydfiler. Disse vil være vanskelige å anonymisere. 13 av 19

15 Identifiserbare data, som for eksempel lydfiler, lagres på forskningsserver. Ansvar for mottak og utlevering av forskningsdata er delegert til prosjektleder i henhold til rutine nr Slik Datatilsynet fikk forklart rutinene for mottak/utlevering er det ingen tekniske hindre for å ta ut og/eller utlevere data. Serveren er etablert som en filserver, og bruk av filene til forskning og kopling foregår på medarbeidernes PC. Det var ikke etablert eller vurdert etablere nettverksovervåking for å hindre at forskningsfiler kunne tas ut av foretakets informasjonssystem Logging Det var ikke etablert logging av tilgang til mappene på forskningsserveren Risikovurdering Helse Stavanger har ikke vært involvert i risikovurderingen for bruk og konfigurasjon av forskningsserver, og Helse Vest IKT sin behandling av personopplysninger på vegne av helseforetaket. Helse Bergens risikovurdering var lagt til grunn, og Helse Stavanger forutsatte på bakgrunn av denne at opplysninger ble behandlet forsvarlig av databehandleren. Helse Bergens risikovurdering av Helse Vest IKT sine lagringsområder var basert på at opplysningene som lagres er avidentifiserte. Datatilsynet etterlyste en bevissthet omkring lagring av ulike typer data. Det er en forskjell på om forskningsdata lagres avidentifiserte (reelt), pseudonymisert eller om de er direkte identifiserbare. Det var ikke gjort nærmere vurderinger om hvorvidt forskningsserveren er en egnet lagringsform for alle disse typene data. Risikovurderingen som foreligger bærer preg av å være en vurdering sett fra IKTleverandørens ståsted. Vurderingen tar ikke hensyn til at filer blir lastet ned lokalt og lagret lokalt Koblingsnøkler og langtidsoppbevaring av prosjektdata Helseforetakets rutine for oppbevaring av koblingsnøkkel tilsier at tilgang sperres etter datainnsamling, og at prosjektleder må søke tilgang for bestemte formål (rutinene 403 og 408). Det var ikke knyttet kontroll eller tidsbegrensing til de tilgangene som ble gitt. I praksis hadde prosjektlederen en statisk og vedvarende tilgang til både forskningsfiller og koblingsnøkkel. Dette gjaldt også for forskningsdata hvor det ikke var aktiv forskning, men som var underlagt langtidsoppbevaring. Dette med mindre det var særskilte vilkår stilt av REK knyttet til langtidsoppbevaringen. På bakgrunn av diskusjon under kontrollen ville forskningsavdelingen vurdere praksisen for langtidsoppbevaring av forskningsfiler. 14 av 19

16 6.4.3 Vurdering og konklusjon Styrende dokumenter Det konstateres ikke avvik, men bemerkes at det er behov for revisjon av de styrende dokumenter for informasjonssikkerhet. I dette tilfellet med henblikk på helseforskning etter helseforskningsloven Bruk av forskningsserver Vurdering av om bruk av forskningsserveren gir tilfredsstillende informasjonssikkerhet følger under risikovurderinger. Det bemerkes positivt at foretaket setter rammer for hvor forskningsdata skal lagres, og at det benyttes en dedikert server for dette formålet. Rutiner for lagring av forskningsdata som ikke er avidentifisert fremstår imidlertid som mangelfull. Dette kom også frem under intervju med prosjektledere. Mangelfulle rutiner for oppbevaring av forskningsdata som ikke er avidentifisert er et avvik fra krav om fastlagte rutiner etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-7, 5. ledd Logging Manglende logging av bruk av forskningsserver er et avvik fra krav om registrering av autorisert og uautorisert bruk av informasjonssystemet etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-8 og Risikovurdering Virksomheten kunne i begrenset grad gjøre rede for sikkerheten i forskningsserveren under kontrollen. Til grunn for foretakets aksept av løsningen låg en risikovurdering foretatt av Helse Bergen. Styrken i skillet mellom identifiserende data og forskningsfiler i forskningsserveren gikk ikke frem av risikovurderingen. Det gikk heller ikke frem hvordan opplysninger tilhørende ulike forskningsansvarlige var skilt fra hverandre. Den faktiske bruken av koplingsdata vil skje i helseforetakets alminnelig informasjonssystem når filer fra forskningsserveren åpnes. Dette inkluderer bruk av koplingslister og gjennomføringer av eventuelle koplinger. I praksis innebærer det at identifiserbare forskingsdata behandles på det alminnelige informasjonssystemet. Dette er ikke berørt i den fremlagte risikovurderingen. Mangelfulle risikovurderinger av lagring og behandling av forskningsdata er et avvik fra personopplyningslovens 13, jf personopplysningsforskriftens 2-4. Avviket knyttes konkret til skille mellom koplingsfiler og forskningsfiler, skille opplysninger tilhørende ulike databehandlingsansvarlige, og faktisk behandling av forskningsdata (forskningsfiler og koplingsfiler) i helseforetakets alminnelige informasjonssystem. 15 av 19

17 Det bemerkes at Datatilsynet er spørrende til om helseforetaket oppnår tilfredsstillende informasjonssikkerhet for opplyningene med hensyn til konfidensialitet uten at det etablerers sterkere nettverksmessige skiller eller innholdsmarkering av forskningsfiler og/eller koplingsfiler. Dette må imidlertid foretaket vurdere på selvstendig grunnlag Koblingslister og langtidsoppbevaring av prosjektdata Helseforskningsloven 32 første ledd tredje punktum fastslår prinsippet om at graden av personidentifikasjon for helseopplysninger ikke skal være større enn nødvendig for å nå formålene med forskningen. Praksis ved foretaket var at prosjektleder har tilgang til koblingslistene til enhver tid, uavhengig av om det er bruk for dem i prosjektet. Etter Datatilsynets vurdering blir graden av personidentifikasjon for helseopplysningene i slike tilfeller større enn nødvendig for å nå formålene med forskningen. Praksisen var delvis i konflikt med de nedfelte rutinene ved foretaket. Datatilsynet legger til grunn at foretaket følger opp revisjon etterlevelse av egne rutiner på selvstendig grunnlag. Det vises for øvrig til avvik knyttet til internkontroll under rapportens kapittel 6.2 og 6.3. Praksis ved foretaket fremstår også som problematisk med hensyn til informasjonssikkerhet ved at tilgangen fremstår som unødvendig. Det anbefales her at praksis vurderes mot personopplysningslovens 13, jf. personopplysningsforksriftens av 19

18 7 Funn og avvik - gjennomgang av konkrete forskningsprosjekt 7.1 Prosjekt 1 Fødekomplikasjoner Kort om prosjektet Prosjektets fulle navn er Serious adverse outcomes in pregnancies after caesarean deliveries and severe acute maternal morbidity ID139 i forskningsdatabasen. Opplysninger om enhver fødsel registreres i den fødendes pasientjournal så vel som i Medisinsk fødselsregister (MFR) ved Folkehelseinstituttet. Opplysningene som skal til MFR følger av et standardskjema. Dette forskningsprosjektet er en studie av fødsler hvor det oppstår uvanlige fødselskomplikasjoner, og det registreres da flere opplysninger enn ved en ordinær fødsel. Opplysningene registreres i pasientens journal, men også på et skjema (elektronisk eller manuelt) som blir utlevert til FHI og videre til en database i Danmark. I Danmark innsamles liknende opplysninger fra hele Norden. Fagsjef for EPJ har godkjent utleveringen av pasientopplysninger Funn - Det fremgår ikke av forskningsdatabasen hvorvidt prosjektet er å regne som helseforskning eller kvalitetssikring. - Helse Stavanger HF utleverer pasientopplysninger til FHI, men har ingen reell oversikt/kontroll over om, og tilfelle hvor, pasientopplysningene blir utlevert videre. - Prosjektdata lagres ikke på Helse Stavangers forskningsserver. Data fra pasientjournaler tilhørende Helse Stavanger registreres direkte inn i utleveringsløsning. - Behandlingen av helseopplysninger er ikke basert på samtykke. Det er ikke foretatt noen vurdering av om foretaket har en informasjonsplikt overfor de registrerte. - Folkehelseinstituttet (FHI) har delvis tillatelse fra REK. Det fremstår ikke som klart hva prosjektet går ut på nå. I prosjektbeskrivelsen fremgår det at et viktig tilleggsmål ved prosjektet er å validere MFRs informasjon om de aktuelle komplikasjonene, og at alle opplysningene i prosjektet derfor vil bli koblet med MFR. Det fremstod som uklart om dette innebar en kvalitetssikring av Medisinsk fødselsregister (MFR), og hva som eventuelt hva foretakets hjemmel for utlevering Vurdering og konklusjon Mangelfull oversikt/kontroll over om, og tilfelle hvor, data fra forskningsprosjekt blir utlevert er et avvik fra krav om til internkontroll etter helseforskningslovens 6, jf. forskriftens 4 bokstavene b), c) og d). 17 av 19

19 Datatilsynet ser det som naturlig at det konkrete prosjektet også følges opp dirkete med FHI. Det FHI er ansvarlig for innsamlingen, er det klart at det ikke i tilstrekkelig grad er lagt til rette for god internkontroll ved de utlevrende helseforetakene. 7.2 Prosjekt 2 Overvekt og selvfølelse Kort om prosjektet Prosjektet er en undersøkelse av de helsetjenester som blir gitt personer med overvekt eller overspisingslidelse. Fokus er behandling, omsorg og individuell kompleksitet av å leve med overvekt og/eller overspisingslidelse. Utvalgets størrelse var 50 personer hvorav 40 ble inkludert. REK har vurdert studien til ikke å være regulert av helseforskningsloven. Datainnsamling var ikke igangsatt på tidspunktet for kontrollen. ID162 i forskningsdatabasen Funn - REK har vurdert prosjektet som ikke helseforskning. Forskningsavdelingen har gitt tillatelse til oppstart av et forskningsprosjekt. Uklart hva det rettslige grunnlaget for studien er. - Prosjektledelsen arbeider med å endre protokoll og har en plan om å kontakte REK på nytt. Prosjektledelsen mener at formålet med prosjektet tilsier at det er medisinsk og helsefaglig forskning, og at de således bør kunne få godkjenning fra REK. - Helseopplysninger var ikke samlet inn i prosjektet Vurdering og konklusjon Forskningsavdelingen har gitt tillatelse til oppstart av et forskningsprosjekt uten å klarlegge hva som er det rettslige grunnlaget for studien. Datatilsynet kan ikke ta stilling til hvorvidt prosjektet er å anse som medisinsk og helsefaglig forskning eller kvalitetssikring, men det kreves at virksomheten har tatt stilling til dette før oppstart av et prosjekt. Da det ikke er behandlet helse- /personopplysninger i prosjektet enda konstateres det ikke avvik på dette punktet, men Datatilsynet påpeker virksomhetenes plikt til å sørge for at nødvendige tillatelser innhentes i tråd med det regelverket som regulerer henholdsvis helseforskningsprosjekt og kvalitetssikringsprosjekt. 7.3 Prosjekt 3 Å leve med Huntingtons sykdom Kort om prosjektet Dette er en studie av pårørendes hjelpebehov, mestringsstrategier og erfaringer med helsetjenesten. Helse Stavanger HF er kun formidler av kontakt mellom forsker ved Helse Fonna HF og respondentene. Godkjenning fra REK. 18 av 19

20 7.3.2 Funn - Det var uklart hvorvidt studien er en multisenterstudie. - Intet negativt å bemerke om Helse Stavangers opptreden i saken. Ryddig nivå på kontrollen, og veldig positivt at veien å gå ble fanget opp i linja og dirigert inn under helseforskningsavdelingen. Dette indikerer at internkontrollsystemet fungerer. - Saken er et eksempel på at eldre prosjekter blir meldt inn. Dette er positivt Vurdering og konklusjon Det legges til grunn at helseforetaket avklarer om hvorvidt prosjektet er en multisenterstudie. Datatilsynet har ingen øvrige merknader til prosjektet. 7.4 Prosjekt 4 Pterygium studert ved genekspresjonsprofilering Kort om prosjektet Prosjektet tar sikte på å kartlegge den molekylære mekanismen som ligger bak utviklingen av pterygium, som er en øyesykdom Funn - Prosjektgjennomføringen fremstår som ryddig. - Forskere gav nyttige perspektiver på bruk av genmateriale og opplysningane som utledes av disse - Begrenset mengde med personopplysninger - Samarbeid om gjennomsnittsdata med flere andre universitetssykehus Vurdering og konklusjon Gjennomføringen av prosjektet fremstod som ryddig. Datatilsynet har ingen særlige merknader. 8 Andre forhold 8.1 Web-basert innsamling Forskningsavdelingen kjenner ikke til at det har vært gjennomført web-baserte innsamlinger av personopplysninger for forskning ved foretaket. Datatilsynet visert til sak for personvernnemnda (PVN ) som kan være relevant for utforming av rutine dersom det er behov for dette. 19 av 19

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Universitetet i Nordland - Helseforskning

Vedtak om pålegg - Endelig kontrollrapport for Universitetet i Nordland - Helseforskning Universitetet i Nordland Postboks 1490 8049 BODØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/260//PRO 13/00091-8/MEP 7. juni 2013 Vedtak om pålegg - Endelig kontrollrapport for Universitetet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104748-/RAGS 11/01336-2/EOL 16. mars 2012 Dato Datatilsynets høringsuttalelse - Forskrift

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for

Detaljer

Kontroll av reseptformidleren 11122013 endelig kontrollrapport

Kontroll av reseptformidleren 11122013 endelig kontrollrapport Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig

Detaljer

Forskrift om organisering av medisinsk og helsefaglig forskning

Forskrift om organisering av medisinsk og helsefaglig forskning Forskrift om organisering av medisinsk og helsefaglig forskning Fastsatt av Helse- og omsorgsdepartementet 1. juli 2009 med hjemmel i lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning 6 tredje

Detaljer

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/01084 Dato for kontroll: 13.-26 november 2012 11.desember 2012 Rapportdato: 19.03.2013 Endelig kontrollrapport Kontrolltema: Helseforskning, register for biologisk forskningsreservasjon

Detaljer

Det vises til Datatilsynets kontroll med Helse Førde den 23. og 24. november 2011,

Det vises til Datatilsynets kontroll med Helse Førde den 23. og 24. november 2011, Helse Førde HF Postboks 1000 6807 FØRDE Deres referanse 2011/1843-14338/2012 Vår referanse (bes oppgitt ved svar) Dato 11/00871-10/EOL 15. mars 2013 Status i kontrollsaken Endelig kontrollrapport Helse

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Endelig kontrollrapport Kreftregisteret / Janusbanken

Endelig kontrollrapport Kreftregisteret / Janusbanken Endelig kontrollrapport Kreftregisteret / Janusbanken Saksnummer: 15/01357 Dato for kontroll: 09.02.2016 Rapportdato: 30.06.2017 Kontrollobjekt: Oslo Universitetssykehus HF v/ Kreftregisteret Sted: Oslo

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til

Detaljer

UiO : Universitetet i Oslo Universitetsdirektøren

UiO : Universitetet i Oslo Universitetsdirektøren UiO : Universitetet i Oslo lav Gyldig fra: l 15.05.2012 Gj k K ^/^vt r4 ' Gunn-Elin Aa. Bjomeboe MEDISINSK OG HELSEFAGLIG FORSKNING Virksomhet som utføres med vitenskapelig metodikk for å skaffe til veie

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014

Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand

Detaljer

Orientering om arbeidsgruppe - implementering av ny helseforskningslov

Orientering om arbeidsgruppe - implementering av ny helseforskningslov Orientering om arbeidsgruppe - implementering av ny helseforskningslov IT-forum 20.05.2010 IT-forum 20. mai 2010 Arbeidsgruppens sammensetning Prorektor Berit Rokne (leder) Prodekan Robert Bjerknes, MOF

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/00093-9/MEP 20. juni 2013

Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/00093-9/MEP 20. juni 2013 Universitetssykehuset Nord-Norge Norge HF Postboks 6060 9038 TROMSØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/00093-9/MEP 20. juni 2013 Vedtak om pålegg - endelig kontrollrapport-

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Helseforskningsloven - lovgivers intensjoner

Helseforskningsloven - lovgivers intensjoner Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014. Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Detaljer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011 Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) Randi Rolvsjord randi.rolvsjord@grieg.uib.no Griegakademiet - Institutt for musikk Universitetet

Detaljer

Opplæringsbehov etter helseforskningsloven

Opplæringsbehov etter helseforskningsloven Opplæringsbehov etter helseforskningsloven Juridisk seniorrådgiver Jannicke Hudson Seksjon for forskningstjenester Det helsevitenskapelige fakultet Universitetet i Tromsø Kort om helseforskningsloven Legger

Detaljer

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011. NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets

Detaljer

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby Saksnummer: 15/01603 Dato for kontroll: 04.11.2015 Rapportdato: 06.01.2016 Kontrollrapport Kontrollobjekt: Vestby kommune Sted: Vestby Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning Datatilsynet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde Eks7 Pics DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT Adressater i henhold til liste Deres ref Vår ref Dato 201001748 27.08.2010 Helseforskningslovens virkeområde Helse- og omsorgsdepartementet har ved

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00179 Dato for kontroll: 28.03.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: Storfjord kommune Sted: Storfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Saksnummer: 15/00437 Dato for kontroll: 15.06.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Steinkjer kommune Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises

Detaljer

DEL I TILRÅDING ELLER KONSESJON?

DEL I TILRÅDING ELLER KONSESJON? Veileder: Bruk av sensitive personopplysninger i forskning DEL I TILRÅDING ELLER KONSESJON? Versjon 2.0 publisert 28.03.2017 Innhold Bakgrunn... 3 Målgruppe for veilederen... 3 Ordliste... 4 Hvilken lov

Detaljer

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning

Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Merknader til de enkelte bestemmelsene i forskrift om organisering av medisinsk og helsefaglig forskning Til 1: Formål Bestemmelsen slår fast forskriftens formål. Formålet er å fremme forsvarlig organisering

Detaljer

Helseforskningsloven - intensjon og utfordringer

Helseforskningsloven - intensjon og utfordringer Helseforskningsloven - intensjon og utfordringer Sverre Engelschiøn Gardermoen, 25. oktober 2010 Intensjonen Fremme god og etisk forsvarlig medisinsk i og helsefaglig forskning Ivareta hensynet til forskningsdeltakere

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/7350-AHA 14/00130-7/HHU 30.04.2015 Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Hovedredningssentralen for Nord-Norge Postbpoks 1016 8001 BODØ Deres referanse Vår referanse Dato 2014/01692-2 010 14/00492-7/KBK 30.04.2015 Vedtak - Endelig kontrollrapport for Hovedredningssentralen

Detaljer

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å. T DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil AVDn~ffinr --..- V 2 NUV 7!1n DOK NR ARKA/KODE: cr0 Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres ref 200904400 Vår ref 200903789-/EMS

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune Vega kommune - Rådmannen Gladstad 8980 VEGA Deres referanse Vår referanse (bes oppgitt ved svar) 2013/1601-4 13/00451-8/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Detaljer

RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE

RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 26. november 2007 RUTINER FOR BEHANDLING AV PERSONOPPLYSNINGER I FORSKNINGS- OG STUDENTPROSJEKTER VED NORGES IDRETTSHØGSKOLE 0. Kontaktpersoner ved spørsmål Spørsmål vedrørende denne rutine kan rettes

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Sømna kommune - Rådmannen Vik 8920 SØMNA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00454-7/KBK 3. september 2013 Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune Det vises

Detaljer

UNIVERSITETET 7 % I OSLO

UNIVERSITETET 7 % I OSLO 7 % Helse- og omsorgsdepartementet Helserettsavdelingen Postboks 8011 Dep. 0030 OSLO Oslo, 4. mai 2009 Postboks 1072 Blindern 0316 Oslo Besøksadresse: Administrasjonsbygningen, 9. et. Deres ref: 200900781-/LTH

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter

Høringsnotat. Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Helse- og omsorgsdepartementet Høringsnotat Forslag til forskrift om barns rett til å samtykke til deltakelse i medisinske og helsefaglige forskningsprosjekter Høringsfrist 20. april 2017 Side 1 av 9 Innhold

Detaljer

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport

Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig

Detaljer

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet Flekkefjord kommune Kirkegaten 50 4400 FLEKKEFJORD Deres referanse Vår referanse Dato 15/3356 14/00404-9/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet

Detaljer

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge "'~ Datatilsynet Helse Midt-Norge RHF Postboks 464 7501 STJØRDAL HELSE o: MIDT-NORGE Saksdok.: Mottatt: 2 B AUG. 2013 Saksbeh ---Unnt.off.: Arkiv: -. Deres referanse 2010/121-1653/2013 Vår referanse (bes

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00933 Dato for kontroll: 11.10.2013 Foreløpig rapport: 06.12.2013 Endelig rapport: 01.07.2014 1 Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted:

Detaljer

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011 Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen

Detaljer

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO. MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse

Detaljer

Rettslig regulering av helseregistre

Rettslig regulering av helseregistre Rettslig regulering av helseregistre HEL-8020 Analyse av registerdata i forskning 27. april 2016 Juridisk rådgiver Heidi Talsethagen SKDE Senter for klinisk dokumentasjon og evaluering/ FIKS Felles innføring

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Folkehelseinstituttet Postboks 4404 Nydalen 0403 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 10/497/EPLE/LUBI 10/00146-9/MOF 21. desember 2011 Dato Avslutning av sak - Endelig kontrollrapport

Detaljer

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 14/3724-14/01084-2/EOL 14. november 2014 Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00120 Dato for kontroll: 3.3.2014 Foreløpig rapport: 22.4.2014 Endelig rapport: 08.08.14 Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL

Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN 2 PROSJEKTETS NAVN/TITTEL Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven

Detaljer

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven

Klage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i

Detaljer