Vår referanse (bes oppgitt ved svar)
|
|
- Julie Aasen
- 8 år siden
- Visninger:
Transkript
1 Folkehelseinstituttet Postboks 4404 Nydalen 0403 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 10/497/EPLE/LUBI 10/ /MOF 21. desember 2011 Dato Avslutning av sak - Endelig kontrollrapport fra MoBa Vi viser til Deres brev 28. juni 2011 med redegjørelse i forbindelse med endelig kontrollrapport med Den norske mor og barn-undersøkelsen (MoBa). Det vises også til senere korrespondanse i saken. I forbindelse med oppfølging av kontrollen av MoBa (Datatilsynets ref. 10/ ) vurderte Datatilsynet at avviket knyttet til gjennomføring av risikoanalyse for behandling av helseopplysninger etter helseregisterloven 16, jf personopplysningsforskriften 2-4 kun delvis var oppfylt. Videre ba Datatilsynet om en redegjørelse knyttet til rutiner for håndtering av innsyn i DNA-analyser og forholdet til bioteknologiloven. Folkehelseinstituttet (FHI) redegjør i brev av 27. juni 2011 for rutine for håndtering av innsynsbegjæringer, inkludert analyseresultater fra blodprøver, samt at FHI må gjennomføre risikoanalyser for behandling av helseopplysninger i MoBa og at disse skal ferdigstilles innen 30. september Datatilsynet atilsynet mottok en bekreftelse på at slik risikovurdering er utført den 31. oktober 2011 fra Personvernombudet. Når det gjelder rutiner for oppfølging av bioteknologilovens krav legger Datatilsynet til grunn at FHI følger opp Helsedirektoratets brev av 17. oktober 2011 i forbindelse prosjektet Helgenomanalyser av utviklingsforstyrrelser i MoBa. Bioteknologinemnda ba Helsedirektoratet om å foreta en etisk og juridisk vurdering av genetiske undersøkelser i prosjektet og prosjektet ble stoppet i påvente av direktoratets avklaringer. Datatilsynet viser særlig til direktoratets uttalelser knyttet til bruk av helgenomsekvensering, spesielt om genomsekvensering nsering på materiale fra barn og bioteknologilovens krav når det gjelder biobankforskning ing og samtykkebaserte befolkningsundersøkelser helt avslutningsvis i brevet. Datatilsynet legger til grunn at FHI har eller utarbeider gode rutiner for å følge bioteknologilovens krav og at prosjekter blir vurdert av Helsedirektoratet og Bioteknologinemnda nda når det er nødvendig. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:
2 I forbindelse med prosjektet Helgenomanalyser av utviklingsforstyrrelser i MoBa. Legger Datatilsynet til grunn FHIs redegjørelse i e-post av 20. desember 2011 til Datatilsynet, hvor det fremgår at FHI skal svare Helsedirektoratet ved at ny søknad sendes til REK. Det skal spesifikt søkes om å gjøre helgenomsekvensering av DNA fra barn med autismediagnose og deres foreldre, som et eget prosjekt, hvor Datatilsynet, Bioteknologinemnda, Helse- og omsorgsdepartementet og andre vil være kopimottaker. Søknaden skal sendes videre fra REK til Helsedirektoratet som skal vurdere om prosjektet omfattes av bioteknologiloven. Datatilsynet finner ovennevnte redegjørelser for tilfredsstillende og avslutter med dette tilsynssaken med MoBa. Med vennlig hilsen Kim Ellertsen avdelingsdirektør Monica Fornes seniorrådgiver Vedlegg: Helsedirektoratets brev av 17. oktober 2011 (ref.. 11/3874) Kopi: Statens Helsetilsyn Helsedirektoratet Bioteknologinemnda 2
3 + Saksnummer: 10/00146 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Nasjonalt Folkehelseinstitutt (FHI), Den norske mor og barn-undersøkelsen (MoBa) Utarbeidet av: Helge Veum Monica Fornes Bård Soløy Ødegaard 1 Innledning Datatilsynet gjennomførte kontroller hos Folkehelseinstituttet i perioden 4. mars til 10. mars 2010 i virksomhetens lokaler i Oslo, samt den 18. mars 2010 i Bergen. Kontrollen ble gjennomført i medhold av helseregisterlovens 31 annet jf. første ledd. Temaet for kontrollen som denne rapporten omhandler var virksomhetens behandling av helseopplysninger i Den norske mor og barnundersøkelsen (heretter MoBa) med underprosjekter. Formålet var å kontrollere om behandlingen av person- og helseopplysninger var i overensstemmelse med de bestemmelser som følger av helseregisterloven og konsesjon gitt fra Datatilsynet i medhold av helseregisterloven 5, jf. personopplysningsloven 33, jf. 34. Datatilsynet innvilget konsesjon for MoBa den (Datatilsynets saksreferanse er 01/4325-6), og konsesjonen er forlenget og utvidet en rekke ganger. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen med behandling av helseopplysninger hos FHI i Den norske Mor og Barn- undersøkelsen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra FHI den 5. mars 2010 i Oslo: Camilla Stoltenberg, Ass. direktør Tor-Åsmund Martinsen, personvernombud Per Magnus, dir. divisjon isjon for epidemiologi, prosjektleder MoBa Peder Utne, avd. direktør avdeling for prosjektstøtte Charlotte Birke, adm. leder MoBa Kristine Vejrup, saksbehandler MoBa Anita Haugan, saksbehandler MoBa 2.2 Fra FHI den 18. mars 2010 i Bergen: Stein-Emil Vollset, avd. direktør avdeling for medisinsk fødselsregister Patricia Schreuder, enhetsleder Charlotte Birke, adm. leder MoBa Unni Aagedal, kvalitetsdirektør Arild Sunde, ADIT-Bergen Ole-Martin Kvinge, ADIT-Bergen 1 av 13
4 Elin Alsaker, statistiker Ingunn Riise, QLM 2.3 Fra Datatilsynet: Helge Veum, senioringeniør Monica Fornes, seniorrådgiver Bård S. Ødegaard, rådgiver (kun 5. mars) 3 Generelt 3.1 FHIs avdeling for Medisinsk Fødselsregister (MFR) Kontrollen fant sted ved FHIs avdeling for Medisinsk Fødselsregister i Bergen. Avdelingen hører til under divisjon for epidemiologi ved FHI. Det er omtrent 40 fulltidsansatte ved avdelingen og enkelte bistillinger. Ved avdelingen drives i tillegg til MFR, register over svangerskapsavbrudd og biobankregisteret. Datahåndteringsenheten for MoBa er organisert ved FHI i Bergen. 3.2 Behandling av personopplysninger i MoBa MoBa er en samtykkebasert studie av årsaker til sykdom hos mor og barn. Kvinner rekrutteres under graviditeten, og fedre inviteres også til å delta. MoBa startet opp i juni 1999 i Hordaland, og ble nasjonal fra Det overordnede formålet er bedre forebygging og behandling av alvorlige sykdommer. For å finne årsaker til sykdom benyttes et kohortdesign der svangerskap inkluderes. I april 2008 var svangerskap rekruttert, og rekruttering ble avsluttet den Administrasjon og de fleste forskningsprosjektene gjennomføres ved FHI i Oslo. Datainnsamlingen og drift av registeret gjennomføres i Bergen. Innsynsbegjæringer, slettebegjæringer, samt utmeldelse håndteres i Bergen. Det er kun noen få ansatte i Bergen, som har tilgang på direkte identifiserende opplysninger. 3.3 Generelt om kontrollen Datatilsynets kontroll er begrenset til Folkehelseinstituttets ivaretakelse av behandlingsansvaret i henhold til helseregisterlovens og personopplysningslovens bestemmelser, samt vilkår gitt i medhold av konsesjon fra Datatilsynet. Formålet med kontrollen var å gjennomgå de mest sentrale rutinene for ivaretakelse av kravene i helseregisterloven, personopplysningsloven, personopplysningsforskriften, samt vilkår gitt i konsesjon for MoBa. En del av kontrollen ble gjort i Oslo, mens hoveddelen av kontrollen ble gjennomført i Bergen hvor datahåndteringen foretas. 2 av 13
5 3.4 Forholdet til helseregisterloven og helseforskningsloven MoBa har per i dag en konsesjon gitt i medhold av helseregisterloven 5, jf. personopplysningslovens 33 og 34. Rammekonsesjonen ble gitt den , og har saksreferanse 01/ Den er forlenget og utvidet en rekke ganger. Etter ikrafttredelsen av lov om medisinsk og helsefaglig forskning (helseforskningsloven), ble det vurdert og klarert at MoBa fortsatt faller innenfor helseregisterlovens saklige virkeområde, jf. helseregisterlovens 3, men at konkrete forskningsprosjekter som bruker data fra MoBa må vurderes konkret hvorvidt de anses å falle inn under helseforskningslovens saklige virkeområde, jf. helseforskningslovens 2. Rammekonsesjonen for MoBa vil imidlertid regulere hvordan og på hvilke vilkår MoBa data kan brukes, utleveres, rekkevidden av samtykke, informasjonsplikt og lignende. Det er viktig at både de som er registerforvaltere og de instansene som godkjenner forskningsprosjekter etter helseforskningsloven er bevisst på at rammekonsesjonen setter betingelser og vilkår for bruk av dataene. Dette i tillegg til blant annet helseforskningslovens bestemmelser. Konsesjonen til MoBa er ikke revidert etter ikrafttredelsen av helseforskningsloven. 4 Mottatt dokumentasjon Se liste over mottatte dokumenter vedlagt den generelle kontrollrapporten (Datatilsynets 10/ ). 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Kontrollene gjennomført hos Folkehelseinstituttet i perioden 4. mars til 10. mars 2010, samt 18. mars 2010, var omfattende og alle forhold som ble berørt er ikke omtalt i rapportene. Rapporten er begrenset til de forhold som tilsynet har tilbakemeldinger på, og til forhold som anses å være avvik fra lovbestemte krav til behandling av personopplysninger. 5.1 Internkontroll planlagte og systematiske tiltak Helseregisterlovens 17 stiller krav om internkontroll gjennom planlagte og systematiske tiltak. Internkontroll etter helseregisterlovens 17 ble behandlet i den generelle rapporten for FHI. Her ble bruk av den forløpsbaserte kvalitetsportalen ved MoBa fremhevet som en positiv tilnærming for å ivareta internkontrollplikten. Datatilsynet har ikke øvrige generelle merknader i forhold til internkontroll. Videre i denne rapporten vil det imidlertid henvises til internkontrollplikten for konkrete forhold, spesielt i relasjon til ivaretakelse av konsesjonskrav. 3 av 13
6 5.2 Informasjonssikkerhet Krav i regelverket Helseregisterlovens 16 stiller krav om tilfrestillende informasjonssikkerhet. Utfyllende bestemmelser er gitt i personopplysningsforskriftens kapittel 2. Forskriftens 2-4 stiller krav om at informasjonssystemet vurderes med hensyn til risiko. Det er her krav om at virksomheten vurderer sannsynligheten for, og konsekvens av sikkerhetsbrudd. Risikoen skal sammenlignes med kriterier for akseptabel risiko. Det skal etableres sikkerhetstiltak for sikring av konfidensialitet, tilgjengelighet og integritet jf. personopplysningsforskriftens 2-11 til 2-13, slik at tilfredstillende informasjonssikkerhet oppnås, jf. krav om risikovurderinger Funn Det ble kun utført en begrenset gjennomgang i forhold til informasjonssikkerhet ved MoBa. For generelle forhold henvises det til den generelle kontrollrapporten Risikovurderinger Datatilsynet ba om at risikovurderinger for informasjonssystemet ble fremlagt. Dette ble konkretisert ved at tilsynet ba om virksomhetens vurderinger for hhv. personell med anledning til å egenhendig ta ut store datasett, sikkerhetskopier, og løsning for innhenting av spørreskjema over Internett. Slike risikovurderinger kunne ikke fremlegges. Det gikk også frem at virksomheten ikke hadde dokumenterte risikovurderinger for informasjonssystemet Sikkerhetskopier Virksomhetens løsning og rutiner for sikkerhetskopiering ble diskutert under kontrollen. Rutiner for sikkerhetskopiering ble oversendt etter kontrollen. Det fremkom ikke forhold vedrørende sikring av tilgjengelighet som tilsynet finner nødvendig å bemerke utover manglende bruk av risikovurderinger, som beskrevet ovenfor. Det fremgår ikke klart, verken under kontrollen eller i den ettersendte dokumentasjonen, hvor lenge sikkerhetskopier lagres. Dette kan fremstå som problematisk i forhold til ivaretakelse av slettekravet etter helseregsiterlovens Konklusjon Risikovurderinger Manglende risikovurderinger er et avvik fra kravet i helseregisterlovens 16, jf. personopplysningsforskriftens Sikkerhetskopier Ingen negative merknader i forhold til sikring av tilgjengelighet. Vedrørende sletting av sikkerhetskopier viser Datatilsynet til beskrivelse i generell kontrollrapport, avsnitt 6.4, og det legges til grunn at virksomheten på selvstendig grunnlag 4 av 13
7 vurderer om oppbevaringen er i samsvar med regelverket. Det bemerkes at det ikke ble fastslått at det forelå avvik under kontrollen med MoBa. 5.3 Skille mellom identifiserende opplysninger fra de øvrige opplysninger i MoBa Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 5, 6. kulepunkt oppstiller følgende vilkår: Personopplysningene skal behandles i avidentifisert form. Respondentene tillates identifisert ved et tilfeldig valgt referansenummer, som knytter seg til en navneliste. Navnelisten skal bare forefinnes hos FHI Funn I oversendt dokumentasjon og under kontrollen ble det gjort rede for en ryddig deling gjennom uavhengige systemer og tilgangsbegrensninger i den sammenheng. Det var ikke grunnlag for å revidere løsningen nærmere Konklusjon Ingen negative merknader. 5.4 Skille mellom de ulike deler av MoBa etter formål/prosjekt Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 5, 7. kulepunkt oppstiller følgende vilkår: De enkelte deler av registeret skal oppbevares adskilt etter formål/prosjekt og individuell tilgangskontroll skal ivaretas for hver del Funn FHIs representanter under kontrollmøtet i Bergen kunne ikke gjøre rede for at hvorledes instituttet ivaretok dette kravet, og kravet fremstod i begrenset grad som kjent. De ulike datainnsamlingene, herunder delstudiene, lagres i separate tabeller og filer i MoBaData (databasebasert administrasjonsgrensesnitt for innsamlede data). Disse kan imidlertid behandles samtidig gjennom MoBaData, og det var ikke etablert differensiert tilgangskontroll for de ulike delene av datasettet Konklusjon Det er ikke er etablert tilstrekkelige skiller mellom de enkelte delene av registeret. Dette er et avvik fra personopplysningslovens 35, jf. vilkår satt i konsesjon av 15. september Datatilsynet ser det som naturlig at FHI og Datatilsynet har en nærmere dialog om hvorledes et slikt skille skal etableres. 5 av 13
8 5.5 Håndtering av utlevering til eksterne og uttak til interne studier Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 6 oppstiller vilkår for behandling av helseopplysninger, herunder nye studier. Det er fastsatt i konsesjonen at sammenstilling av opplysninger for statistikk kan gjøres uten nærmere godkjenning av Datatilsynet. Videre er det i konsesjonens kapittel 6, 2. til 4. kulepunkt stilt følgende vilkår: Utlevering av anonyme sammenstilte datafiler til forskning Opplysninger som omfattes av denne konsesjon kan sammenstilles (kobles) og utleveres til forskningsformål, dersom resultatet av sammenstillingen fremkommer i anonymisert form, jf. helseregisterloven 3 nr 3. Dette kan gjøres uten nærmere godkjenning av Datatilsynet. Behandling av opplysninger til forskningsformål hvor FHI er behandlingsansvarlig Opplysninger som er omfattet av konsesjonen kan, i avidentifisert form, behandles til uttrykkelige angitte forskningsformål innen rammen av konsesjonens formål. Dette gjelder også sammenstilling (kobling) av opplysninger omfattet av denne konsesjonen, dersom resultatet av sammenstillingen fremkommer i avidentifisert form. Behandlingen forutsetter at det sendes melding til Datatilsynet. Det er en forutsetning at FHI er databehandlingsansvarlig og at det fastsettes tidspunkt for prosjektavslutning, hvoretter materialet anonymiseres/slettes. Meldingen skal minst inneholde opplysninger om prosjektets tittel og formål, hvem som skal ha det daglige ansvar, hvilken del av materialet som skal brukes og tidspunkt for prosjektavslutning. Utlevering og annen behandling av opplysninger Personidentifiserbare opplysninger kan, med mindre annet følger av denne konsesjonen, bare behandles (sammenstilles, utleveres etc) etter særskilt tillatelse fra Datatilsynet. Dette innebærer blant annet at dersom helseopplysninger omfattet av denne konsesjonen skal sammenstilles med andre registre, eller det på andre måter skal suppleres av opplysninger utenfor registeret, er det nødvendig med egen konsesjon. I brev av 3. desember 2007 (Datatilsynets ref. 03/ SVE) er det presisert at vilkåret i andre kulepunkt ovenfor (konsesjonens 3. kulepunkt) også kan oppfylles med en melding til personvernombudet ved FHI, da dette ligger i selve ordningen med personvernombud Funn Anonyme opplysninger på mottakers hånd Det ble opplyst at opplysninger er utlevert til interne underprosjekter, og at opplysningene er utlevert i en slik form at de er anonyme på mottakers hånd. Det ble vist til at begrepet fulgte av en veileder FHI har utarbeidet. FHI påpekte at det ikke har vært utlevert data som ikke har vært anonyme på mottakers hånd. 6 av 13
9 Anonymt på mottakers hånd er nærmere omhandlet i den generelle kontrollrapporten. Det fremgikk under kontrollene at dette begrepet ikke er synonymt med anonyme opplysninger som definert i helseregisterloven Prosjektløpenumre 1 Datatilsynet forsto innledningsvis under kontrollene at det ved MoBa var etablert et system slik at det systematisk ble tildelt unike prosjektspesifikke løpenumre ved utleveringer fra registeret (med utlevering her menes også uttak til nye behandlinger / prosjekter hvor FHI er behandlingsansvarlig). Dette ble blant annet lagt til grunn i rapport om tvillingregisteret. Denne overordnede forståelsen med hvorledes løpenumrene var innrettet stemte ikke med faktum revidert ved MoBa i Bergen. Datatilsynet forstår bruken av løpenumre ved MoBa slik: Der hvor data fra MoBa koples med eksterne data, så utleveres data på et prosjektspesifikt løpenummer (study-id). Der hvor kun MoBa-data utleveres, så uleveres de på standard MoBa id. Dette gjelder både uttak til interne prosjekter og utleveringer til eksterne. Denne praksisen medfører at ulike begrensede datasett fra MoBa kan kobles sammen utenfor MoBa-administrasjonens kontroll, og i enkelte tilfeller utenfor FHI sin kontroll. Videre har ikke MoBa-administrasjonen mulighet til å anonymisere utleverte datasett ved å slette referansenumrene. I dokumentgjennomgangen har Datatilsynet forholdt seg til arbeidsbeskrivelsen Kobling og utlevering av data fra MoBa ved EPMA. Denne refererer igjen til arbeidsinstruksen EPMA- UT2 Anonymisering av data fra MoBa, som Datatilsynet ikke har hatt tilgang til 2. Rutinen som tilsynet har forholdt seg til skaper ikke klarhet i praksisen vedrørende bruk av referansenumre Ivaretakelse av meldeplikten etter konsesjonen Datatilsynet har ikke mottatt melding om behandling av opplysninger til forskningsformål hvor FHI er behandlingsansvarlig. Det ble også opplyst at personvernombudet heller ikke hadde mottatt slike meldinger. En slik melding som omtalt ovenfor skulle blant annet inneholde en fastsatt dato for prosjektavslutning med påfølgende anonymisering eller sletting. Instituttet kunne ikke gjøre rede for en slik oversikt. Etter det opplyste var det heller ikke gjennomført slik anonymisering eller sletting av underprosjekter som nevnt ovenfor. Det vises i denne sammenheng til rapportens Ved gjennomgang av foreløpig rapport bes det om at FHI spesielt vurderer om beskrivelsen under funn her er i samsvar med faktum. Det vises til merknad i oversendelsesbrev. 2 Datatilsynet har heller ikke etterspurt rutinen spesielt 7 av 13
10 Oppbevaring av datasett som kobles med MoBa I redegjørelsen av datahåndteringen fremgikk det dessuten at FHI lagrer filer som kobles med MoBa og som leveres ut, for eksempel Kreftregisterfil og Berte. FHI var oppmerksomme på problemstillingen, men kunne ikke redegjøre for behovet og hjemmelsgrunnlaget for ikke å slette utleverte filer Konklusjon Internkontroll Det ble avdekket et fravær av systematiske tiltak for å sikre at kravene oppstilt i konsesjonen av Dette knytter seg til krav om melding for underprosjekter, fastsettelse av tidspunkt for prosjektavslutning og oppfølging av sletting etter prosjektavslutning. Dette er avvik fra kravet om internkontroll etter helseregisterlovens 17, jf. vilkår satt i konsesjon Ivaretakelse av meldeplikten etter konsesjonen Det er ikke er sendt melding til hverken Datatilsynet eller personvernombudet med blant annet informasjon om tidspunkt for prosjektavslutning i henhold til konsesjonen. Dette er et avvik fra personopplysningslovens 35, jf. vilkår satt i konsesjon av 15. september Anonyme opplysninger på mottakers hånd FHI har lagt til grunn definisjonen anonymt på mottakers hånd på en slik måte at regelverket og konsesjonens krav ikke følges. Det vises til videre omtale i generell kontrollrapport, og avvik konstatert generelt for FHI som også vil gjelde behandlingene ved MoBa Prosjektløpenumre Bruk av felles referansenummer for data som tas ut av registeret fremstår ikke som forsvarlig. Dette forholdet representerer en vesentlig koblingsfare mellom delstudier utenfor MoBa administrasjonens kontroll, samt at eventuell anonymisering i enkeltprosjekt, ved at koblingsdata hos MoBa slettes, umuliggjøres. Datatilsynet anser bruk av prosjektspesifikke løpenumre som nødvendig for at FHI skal ha tilstrekkelig kontroll med at bruken av opplysningene er innenfor det tillatte, at opplysningene er reelt avidentifiserte, og at sletteplikten på betryggende vis kan ivaretas. Et aktivt hinder mot at ulike datasett som skal behandles uavhengig, ikke kan kobles mot hverandre, er et sikkerhetstiltak for å sikre konfidensialitet slik det må forstås etter personopplysningsforskriftens Gjennom kravet om internkontroll etter helseregisterlovens 17 skal det etableres rutiner som sikrer at behandlingen foregår i samsvar med regelverket og krav stilt i medhold av dette. Vilkåret satt i konsesjonens kapittel 5, 7. kulepunkt om atskillelse mellom delprosjekter kan videre legges til grunn ved skille mellom data for ulike formål. Datatilsynet anser manglende bruk av prosjektspesifikke løpenumre ved utleveringer for å være et avvik fra helseregisterlovens 16, jf. personopplysningsforskriftens 2-11 og helseregisterlovens av 13
11 Det bemerkes at kravet ikke er satt eksplisitt i konsesjonen som er gitt til MoBa. 5.6 Informasjonsplikt Krav i regelverket og konsesjonen Helseregisterloven 23 pålegger den databehandlingsansvarlige en plikt til å informere den registrerte om forhold rundt behandlingen når det samles inn opplysninger fra den registrerte selv. Informasjonsplikten skal ivareta kjernen i personvernet, som er den enkeltes rett til å utøve kontroll med opplysninger om en selv. Den enkelte må vite at det behandles personopplysninger for å kunne ta i bruk de andre personvernrettighetene som retten til innsyn, retting, sletting m.v. Det følger av helseregisterlovens 23 første ledd nr 3 at databehandlingsansvarlig skal av eget tiltak informere den registrerte om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Unntak fra informasjonsplikten følger av helseregisterloven 23, annet ledd,og helseregisterloven 25. Denne problemstillingen har tidligere vært vurdert av Datatilsynet knyttet til MoBa i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN). Det ble her lagt til grunn at denne informasjonsplikten kunne oppfylles ved at det i MoBa s årlige nyhetsbrev per post til alle deltakerne informeres om at opplysningene utleveres og hvem som er mottakere. I tillegg må det gir informasjon om at en oversikt over institusjoner/prosjekter som behandler data fra MoBa finnes på FHIs hjemmesider. Videre følger det av helseregisterlovens 24 første ledd første punktum at en databehandlingsansvarlig som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 23 første ledd. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak fra informasjonsplikten følger av 24 annet ledd nr 1 til 3, og helseregisterloven 25. Et unntak fra varslingsplikten følger av helseregisterloven 24 annet ledd nr 2 og personopplysningsloven 20 annet ledd bokstav b når; varsling er umulig eller uforholdsmessig vanskelig. Varslingen skal i utgangspunktet være individuell, dvs at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering Funn Oppfyllelse av informasjonsplikten er, som nevnt tidligere, tatt opp med FHI i forhold til MoBa i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN). I brevet ba Datatilsynet om å bli holdt orientert om den videre prosessen, samt om å få tilsendt et utkast til informasjon som skulle sendes til utvalget. Datatilsynet kan ikke se å ha mottatt slik informasjon. 3 Se Ot.prp.nr92 ( ) side av 13
12 Under tilsynet fremgikk det at det ikke er blitt gitt informasjon i henhold til helseregisterlovens 23 første ledd nr 3 i noe nyhetsbrev og det fremgikk heller ikke av FHIs hjemmeside på kontrolltidspunktet. FHI hadde heller ikke dokumenterte rutiner for ivaretakelse av informasjonsplikt etter helseregisterloven 23 25, jf helseregisterloven 17, jf 36, jf. personopplysningsforskriften 3-1, tredje ledd bokstav d) Konklusjon Det anses som avvik at FHI ikke har dokumenterte rutiner for ivaretakelse av informasjonsplikten, jf personopplysningsloven 14, jf. 20 og helseregisterloven 17, jf. FHI må foreta en gjennomgang av sine utleveringer fra MoBa og iverksette tiltak, som skissert i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN) slik at informasjonsplikten oppfylles i praksis. 5.7 Forbud mot å lagre unødvendige helseopplysninger Regelverkets krav Helseregisterlovens 27 oppstiller et forbud mot å lagre helseopplysninger lengre enn det som er nødvendig. Dersom det ikke forefinnes et rettslig grunnlag for oppbevaringen av opplysningene skal disse slettes. Etter helseregisterlovens krav om internkontroll etter 17 skal det utarbeides rutiner for sletting, og virksomheten skal følge opp at slik sletting faktisk gjennomføres. Det påpekes at utvidet lagringsadgang etter helseregisterloven 27 annet ledd ikke gjelder for behandling av helseopplysninger som skjer med hjemmel i helseregisterloven Funn Sletting etter forespørsel fra deltaker MoBa rutine nr 56 beskriver sletting av opplysninger og prøver etter forespørsel fra deltakeren. Håndtering av henvendelser om sletting og utmelding omhandles i rutinene nr. 03 og 43. Det skilles mellom respondenter som ber seg utmeldt og respondenter som ber seg slettet. En utmelding innebærer at deltakeren (med barn) ikke blir spurt om å delta i flere datainnsamlinger. Allerede innsamlede data vil fortsatt bli benyttet. Sletting innebærer at dataene faktisk slettes ved MoBa sentralt, dette medfører at knytning til identitet slettes også for underprosjekter. I følge rutinen for sletting skal i opplysningene i utgangspunktet også slettes i underprosjekter. Det ble bedt om at rutiner for dette ble fremlagt. Slike kunne ikke fremlegges. Totalt i MoBa var det gjort ca 2400 stk utmeldinger og et 50-talls slettinger. 10 av 13
13 Det gikk ikke frem at det var fastsatt klare vurderingskriteria for å vurdere når en uklar henvendelse fra publikum skulle tolkes som en utmelding, og når den skulle tolkes som en sletteanmodning. Det ble videre ikke gitt systematisk tilbakemelding etter utmeldinger som sikret at respondenten var informert om at opplysningene ikke var slettet Sletting av avsluttede forskingsprosjekter Datatilsynet forstod at sletting eller anonymisering av underprosjekter ikke hadde vært en aktuell problemstilling siden de ikke hadde nådd prosjektsluttdato. Det kunne ikke fremlegges noen rutiner for å sikre at sletting ble gjennomført på tilfredstillende vis. Problemstilingen må ses i sammenheng med diskusjonen i generell rapport om sikker sletting og anonymisering hos forsker Lagring av utleverte koblede filer og mottatte data fra andre kilder Det gikk under kontrollen frem at FHI ved MoBa lagret data fra eksterne datakilder hvor det ble gjennomført koblinger av disse med data fra MoBa. Det gikk ikke klart frem hva som var hensikten bak lagringen, og det fremstod som uklart hvorvidt det foreslå et rettslig grunnlag for lagringen av data fra andre datakilder ved MoBa Konklusjon Sletting etter forespørsel fra deltaker Datatilsynet anser rutinene og vurderingskriteriene for å skille mellom utmelding og sletting for å være utilstrekkelige. Dette er et avvik fra krav om internkontroll etter helseregisterlovens 17 krav om internkontroll. For henvendelser som ikke kan tolkes klart som en utmelding, ses det som naturlig at FHI informerer deltakeren om at de fremdeles er registrert. Dette for å ivareta informasjonsplikten i helseregisterlovens 23, 1. ledd nr. 5. Datatilsynet forstod at dette delvis var ivaretatt ved MoBa, men det legges til grunn at FHI selv vurderer praksisen Sletting av avsluttede forskingsprosjekter Manglende rutiner for å ivareta sletting er at avvik fra krav om internkontroll etter helseregisterlovens 17, jf. 27. Det vises forøvrig til funn i generell rapport Lagring av utleverte koblede filer og mottatte data fra andre kilder Manglende klarhet om de rettslige rammene for oppbevaring av data fra andre kilder, er et avvik fra kravet om internkontroll etter helseregisterlovens 17. Dersom det etter FHIs selvstendige gjennomgang viser seg at oppbevaringen ikke har rettslig grunnlag, legges det til grunn at disse slettes i samsvar med helseregisterlovens 27, samt at Datatilsynet gis en avviksmelding i samsvar med personopplysningsforskriftens av 13
14 5.8 Rutiner innsyn i DNA- analyser forholdet til bioteknologiloven Krav i regelverket Retten til innsyn følger av helseregisterlovens 22. Unntak fra retten til innsyn er nedfelt i helseregisterlovens 25. Det er en forutsetning for lovlig behandling av helseopplysninger er at behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag, jf. helseregisterloven 5. Bioteknologiloven setter skranker for lovlig behandling av helseopplysninger. Datatilsynet har lagt til grunn at det ikke er anledning til å avtale seg bort fra retten til innsyn på generelt grunnlag etter helseregisterloven og personopplysningsloven. Deltakere som har samtykket til at han eller hun ikke skal bli meddelt resultatene, har senere anledning til å benytte seg av innsynsretten. Et samtykke skal være frivillig for å være gyldig, og det kan trekkes tilbake, så en slik avtale har uansett begrenset betydning Funn Datatilsynet la til grunn i foreløpig rapport av at FHI avskjærer innsynsrett i DNA-analyser. Dersom det gis innsynsrett vil krav i bioteknologiloven kunne gjøre seg gjeldende. FHI mener det gjør seg gjeldende unntak fra retten til innsyn. Datatilsynet fikk ikke en nærmere rettslig begrunnelse for dette. FHI gir en tilbakemelding på dette punktet i brev av hvor det uttales følgende: Folkehelseinstituttet antar at dette kravet må bero på en misforståelse knyttet til at man ikke systematisk utleverer informasjon avledet fra biologisk materiale. Dette fremgår blant annet av informasjonsskrivet til MoBa. Men alle som ber om det har fått og vil fortsatt få tilgang til informasjon utledet av ens eget biologiske materiale. Så langt har ingen bedt om å få innsyn i DNA-analyser, men MoBa kan også tilby kyndig veiledning av en genetiker dersom det blir aktuelt. MoBa avskjærer således ikke innsynsretten til deltakerne Konklusjon Datatilsynet legger til grunn at deltakere i MoBa ikke gyldig kan samtykke seg bort fra innsynsretten i opplysninger om en selv inkludert resultat av DNA-analyser. Samtykkeerklæringen kan på dette punktet misforstås. Det er fortsatt uklart for Datatilsynet i hvilken grad innsyn i DNA-analyser i MoBa kan medføre brudd på særlige skranker for behandling av helseopplysninger etter bioteknologiloven og hvorvidt FHI anser seg for å være omfattet av bioteknologilovens virkeområdet jf bioteknologiloven 1-2 annet ledd første punktum. Datatilsynet trenger en nærmere klargjøring av hvorvidt FHI anser MoBa for å være omfattet av bioteknologilovens virkeområde og om FHI har rutiner for å følge bioteknologilovens bestemmelser om blant annet 5-3 godkjenning av genetiske undersøkelser, 5-4 om samtykke, 5-5 om genetisk veiledning, 7-1 om godkjenning av virksomhet og 7-2 om rapporteringsplikt. 12 av 13
15 Etter å ha mottatt en nærmere klargjøring fra FHI vil Datatilsynet oversende problemstillingen til Helsedirektoratet, som er fagmyndighet på helselovgivningen og bioteknologiloven. 6 Andre forhold 6.1 Redegjørelse for ABC-studien I forbindelse med kontrollen ble en hendelse knyttet til ABC-studien ( The Autism Birth Cohort Study ) i desember 2007, samt oppfølging av denne redegjort for. Studien er et delprosjekt i MoBa, hvor formålet er å finne årsaker til autismespekterforstyrrelser, samt å følge forløpet av slike tilstander hos barn. I forbindelse med prosjektet registersøk for å finne barn med autismeforstyrrelser ble det utlevert flere opplysninger om diagnoser fra Ullevål universitetssykehus og Nic Waals Institutt til FHI enn det man hadde tillatelse til. Pasientgruppen var heller ikke blitt informert om utleveringen, som var en viktig forutsetning i konsesjon fra Datatilsynet og i vedtaket om dispensasjon fra taushetsplikt fra Helsedirektoratet. Folkehelseinstituttet ble bedt om gi en gjennomgang av ABC-studien i lys av episoden i Datatilsynet ønsket en gjennomgang dels fordi hendelsen var alvorlig, dels for å vurdere faren for gjentakelse og hvordan rutinene er blitt forbedret i etterkant. Datatilsynet fikk en grundig gjennomgang av hendelsen og tar denne til etterretning. 13 av 13
Vår referanse (bes oppgitt ved svar)
Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for
DetaljerVår referanse (bes oppgitt ved svar)
Bring Dialog Norge AS Drammensveien 145 a 0277 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 11/00589-10/ABE Dato 4. juli 2012 Vedtak - kontrollrapport for Bring Dialog Norge AS Det vises til
DetaljerOmgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge
"'~ Datatilsynet Helse Midt-Norge RHF Postboks 464 7501 STJØRDAL HELSE o: MIDT-NORGE Saksdok.: Mottatt: 2 B AUG. 2013 Saksbeh ---Unnt.off.: Arkiv: -. Deres referanse 2010/121-1653/2013 Vår referanse (bes
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerEndelig kontrollrapport Kreftregisteret / Janusbanken
Endelig kontrollrapport Kreftregisteret / Janusbanken Saksnummer: 15/01357 Dato for kontroll: 09.02.2016 Rapportdato: 30.06.2017 Kontrollobjekt: Oslo Universitetssykehus HF v/ Kreftregisteret Sted: Oslo
DetaljerEks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde
Eks7 Pics DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT Adressater i henhold til liste Deres ref Vår ref Dato 201001748 27.08.2010 Helseforskningslovens virkeområde Helse- og omsorgsdepartementet har ved
DetaljerHelseforskningsloven - lovgivers intensjoner
Helseforskningsloven - lovgivers intensjoner Sverre Engelschiøn Oslo, 30. mars 2011 Intensjonen Fremme god og etisk forsvarlig medisinsk og helsefaglig forskning Ivareta hensynet til forskningsdeltakere
DetaljerEndelig kontrollrapport
Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerVår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012
Norsk karkirurgisk register - NORKAR St Olavs Hospital HF Postboks 3250 Sluppen 7006 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/00382-12/CBR 26. april 2012 NORKAR - varsel om
DetaljerEndelig kontrollrapport
Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014
Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato
Datatilsynet TELE AS Deres ref Vår ref (bes oppgitt ved svar) Dato XXXX XXXXXX KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER BEHANDLING AV OPPLYSNINGER OM ABONNENTERS BRUK AV TELETJENESTER I medhold av Lov
DetaljerOppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26
Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven
DetaljerKontroll av reseptformidleren 11122013 endelig kontrollrapport
Helsedirektoratet Postboks 7000 St Olavs plass 0130 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/10134-6 13/01268-8/MEP 27. februar 2014 Kontroll av reseptformidleren 11122013 endelig
Detaljer13/01091-8/MEP 26. mars 2014. Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune
Kongsvinger kommune Fjellg 2 2226 KONGSVINGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato ARI/14/4710/K2- G90, K3-&40/ 13/01091-8/MEP 26. mars 2014 Vedtak om pålegg og endelig kontrollrapport
DetaljerUNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)
UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest) Randi Rolvsjord randi.rolvsjord@grieg.uib.no Griegakademiet - Institutt for musikk Universitetet
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerKontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal
Saksnummer: 15/01666 Dato for kontroll: 24.11.2015 Rapportdato: 05.01.2016 Kontrollrapport Kontrollobjekt: Nittedal kommune Sted: Nittedal Utarbeidet av: Knut Kaspersen og Hallstein Husand 1 Innledning
DetaljerDatatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.
Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 200902492-/STL 11/00288-2 /MOF 5. april 2011 Kommentarer til forprosjektrapport om nasjonal
DetaljerEndelig kontrollrapport
Saksnummer: 10/01153-3 Dato for kontroll: 05.10.2010 Rapportdato: 18.01.2012 Endelig kontrollrapport Kontrollobjekt: Stiftelsen SUSS-telefonen Sted: Gøteborggata 23, Oslo Utarbeidet av: Henok Tesfazghi
DetaljerBrevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
TVNorge AS Postboks 4800 Nydalen 0422 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00442-5/FUE 2. august 2011 Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak
DetaljerDeres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014
Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til
DetaljerEndelig kontrollrapport
Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand
DetaljerHøringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret
c Helse- og omsorgsdepartementet Postboks 8011 Dep. 0030 Oslo Vår ref.: 2014/4 Deres ref.: 13/443 Dato: 25.03.2014 Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret Bioteknologinemnda
DetaljerMOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.
MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT HELSEDIREKTORATET Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO Deres ref Vår ref Dato 10/2494 200800923-/OS 10.10.2011 Uttalelse
DetaljerMed forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.
Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for
DetaljerHvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?
Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene? Kari Jansdotter Husabø, Seniorrådgiver, Folkehelseinstituttet 5.3.2019 Helseregistre ved FHI NORM RAVN NOIS Abortregisteret
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerKontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler
Saksnummer: 15/00500 Dato for kontroll: 28.05.2015 Rapportdato: 28.07.2015 Kontrollrapport Kontrollobjekt: Våler kommune Sted: Våler Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand 1 Innledning
DetaljerKlage på vedtak om pålegg - informasjonsplikt i medhold av helseforskningsloven
Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: 12/01084-21/EOL Vår ref.: 2012/4266-6 Saksbehandler/dir.tlf.: Trude Johannessen, 77 62 76 69 Dato: 09.04.2013 Klage på vedtak om pålegg - informasjonsplikt
DetaljerHelseforskningsloven - intensjon og utfordringer
Helseforskningsloven - intensjon og utfordringer Sverre Engelschiøn Gardermoen, 25. oktober 2010 Intensjonen Fremme god og etisk forsvarlig medisinsk i og helsefaglig forskning Ivareta hensynet til forskningsdeltakere
DetaljerAvslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak
Vestre Viken HF c/o Sykehuset Buskerud 3004 Drammen Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01080-5/MEP 19. april 2013 Avslutning av sak - Foreløpig kontrollapport for Vestre Viken
DetaljerForskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,
Page 1 of 11 HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerHjemmelsgrunnlag for anonymiseringsprosess i forbindelse med etablering av nasjonal, anonym sekvensvariantdatabase
v4-29.07.2015 Returadresse: Helsedirektoratet, Postboks 220 Skøyen, 0213 Oslo, Norge HDIR Innland 30483247 Universitetet i Oslo - Det matematisk-naturvitenskapelige fakultet Eivind Hovig Postboks 1032
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Blålys
Blålys Postboks 70 7201 KYRKSÆTERØRA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/01053-4/SEV 12. mars 2013 Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys Det vises
DetaljerVår referanse (bes oppgitt ved svar)
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift
DetaljerKlage fra SpareBank 1 Markets AS på Datatilsynets vedtak
Personvernnemnda Postboks 423 3201 SANDEFJORD Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00864-17/HTE 22. oktober 2013 Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak Datatilsynet
DetaljerNORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.
NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 2. mai 2018 kl. 13.55 PDF-versjon 14. mai 2018 27.04.2018 nr. 645 Forskrift om befolkningsbaserte
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerEndelig kontrollrapport
Saksnummer: 14/00490 Dato for kontroll: 27.05.2014 Rapportdato: 30.04.2015 Endelig kontrollrapport Kontrollobjekt: Vardø kommune Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand og Rannveig
DetaljerEndelig kontrollrapport
Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi
DetaljerDet vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.
NextGenTel AS Postboks 3 Sandsli 5861 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00257-7/FUE 2. august 2011 Kontroll hos NextGenTel AS 27042011 - Vedtak Det vises til Datatilsynets
DetaljerLagring av advarsler i personalmapper - Datatilsynets veiledning
DET KONGELIGE ARBEIDSDEPARTEMENT Se vedlagte adresseliste Deres ref Vår ref 201002004-/ISF Dato 1 7 2010 Lagring av advarsler i personalmapper - Datatilsynets veiledning Arbeidsdepartementet mottok nylig
DetaljerEndelig kontrollrapport
Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh
DetaljerKontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport
Advokatfirma Ræder DA v/adv. Vebjørn Søndersrød Postboks 2994 Solli 0230 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01153-11/HTE 18. januar 2012 Kontroll hos SUSS - Senter for ungdomshelse
DetaljerKontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre
Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte
DetaljerVår referanse (bes oppgitt ved svar)
Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104748-/RAGS 11/01336-2/EOL 16. mars 2012 Dato Datatilsynets høringsuttalelse - Forskrift
DetaljerKontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger
Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerAvslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS 26092011
Boots Norge AS Postboks 413 Skøyen 0213 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00938-7/SEV 28. februar 2012 Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots
DetaljerRettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no
Rettslig regulering av helseregistre Dana Jaedicke juridisk rådgiver E-post: dij@datatilsynet.no Innhold Mål og strategier Verdier Holdninger Vurderingstemaer 20.03.2014 Side 2 Datatilsynets strategi i
DetaljerHelseforskningsrett med fokus på personvern
Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett
DetaljerVår referanse (bes oppgitt ved svar)
Scanstat Norway AS avdeling CATI Sjøfartsgata 14 7725 STEINKJER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00720-6/MHN 29. august 2011 Vedtak - Endelig kontrollrapport for Scanstat i
DetaljerVedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS 28092011
Norsk Medisinaldepot AS Postboks 183 Kalbakken 0903 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00939-8/SEV 28. februar 2012 Vedtak om pålegg og endelig kontrollrapport - Kontroll
DetaljerVedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet
Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund
DetaljerJuridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål
Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål HEL-8020-1 Analyse av registerdata i forskning 25. april 2018 Seniorrådgiver/jurist Heidi Talsethagen, SKDE Formål med
DetaljerKontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig kontrollrapport
Oppegård Kommune Postboks 510 1411 KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/137-11 13/01092-10/MEP 21. mai 2014 Kontroll av Follo legevakt 22112013 - Vedtak om pålegg og endelig
DetaljerHøringssvar - Forslag til ny pasientjournallov og ny helseregisterlov
Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00064 Dato for kontroll: 02.02.2012 Rapportdato: 23.05.2012 Foreløpig kontrollrapport Kontrollobjekt: Rekruttering AS Sted: Klokkeveien 9, 1440 Drøbak Utarbeidet av: Maria Bakke Andreas
DetaljerVedtak om pålegg - endelig kontrollrapport
Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 07/01455-9 /CBR 25. januar 2008 Vedtak om pålegg - endelig kontrollrapport Det vises
DetaljerVedrørende publisering av personopplysninger på nettstedet www.iam.no - Varsel om vedtak
Wiersholm Mellbye & Bech advokatfirma AS Att.: Advokat Line Coll Postboks 1400 Vika 0115 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato M1596276/1/126907-001/LCO 09/01240-11 /HSG 19. januar
DetaljerHøringsuttalelse - Forslag til endringer i sprøyteromsordningen
HELSE- OG OMSORGSDEPARTEMENTET Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 18/2194 18/00891-2/CDG 27.08.2018 Høringsuttalelse - Forslag til endringer i sprøyteromsordningen Vi viser
DetaljerKontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger
Saksnummer: 16/00327 Dato for kontroll: 09.11.2015 Rapportdato: 13.04.2016 Kontrollrapport Kontrollobjekt: Verdal kommune Sted: Levanger Utarbeidet av: Knut Kaspersen, Hallstein Husand og Gullik Gundersen
DetaljerVår referanse (bes oppgitt ved svar)
Smart Club AS v/ Advokatene Kjetil Bull og Bjørn Tore Flaatten Postboks 1173 Sentrum 0107 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00831-9/HVE 21. desember 2011 Vedtak om pålegg
DetaljerRettslig regulering av helseregistre
Rettslig regulering av helseregistre HEL-8020 Analyse av registerdata i forskning 27. april 2016 Juridisk rådgiver Heidi Talsethagen SKDE Senter for klinisk dokumentasjon og evaluering/ FIKS Felles innføring
DetaljerEndelig Kontrollrapport
Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning
DetaljerKontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik
Saksnummer: 16/00074 Dato for kontroll: 14.01.2016 Rapportdato: 08.03.2016 Kontrollrapport Kontrollobjekt: Svelvik kommune Sted: Svelvik Utarbeidet av: Knut Kaspersen, Alf Ole Synstad og Hallstein Husand
DetaljerHvilken betydning har personvernforordningen på helseområdet
Helse- og omsorgsdepartementet Hvilken betydning har personvernforordningen på helseområdet Sverre Engelschiøn Oslo 7. desember 2018 Et eksempel - bivirkningsarbeid q Med bivirkning forstås skadelig og
DetaljerVedtak om pålegg - Endelig kontrollrapport for Bindal kommune
Bindal kommune - Rådmannenn Oldervikveien 5 7980 TERRÅK Deres referanse Vår referanse (bes oppgitt ved svar) 2010/2733-11 13/00455-6/KBK 28. august 2013 Dato Vedtak om pålegg - Endelig kontrollrapport
DetaljerVi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.
Lier kommune Postboks 205 3401 LIER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00141-9/MEI 22. oktober 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll
Detaljerom konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.
Treningssenter AS Postboks OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00001-34/KBK 10. september 2013 Konsesjon til å behandle personopplysninger - Treningssenter - Dopingkontroll
DetaljerFYLKESMANNEN I OSLO OG AKERSHUS Helseavdelingen
Helseavdelingen Det Kongelige Helse- og Omsorgsdepartement Postboks 8011 Dep 0030 Oslo Deres ref.: Deres dato: Vår ref.: Saksbehandler: Dato: 200405796-/NF 06.10.2005 2005/21027-2 FM-H Guro Merethe Breien
DetaljerHøring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser
Helse- og omsorgsdepartementet Pb. 8011 Dep 0030 Oslo Deres ref: 201101355-/SVE Vår ref: 2011/64 Dato: 12. oktober 2011 Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i
DetaljerHelsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven
Skattedirektoratet Postboks 9200 Grønland 0134 OSLO Deres ref Vår ref Dato 14/1258 SL JGA/MAV 04.02.2015 Helsepersonells taushetsplikt og plikten til å medvirke ved kontroll etter ligningsloven Departementet
DetaljerPERSONVERN OG DELING FRA KVALITETSREGISTRE
PERSONVERN OG DELING FRA KVALITETSREGISTRE Christer Kleppe Personvernombud for Helse Bergen HF INNHOLD Personopplysningsvern Sentrale regler og forskrifter Personvernprinsippene De registrertes rettigheter
DetaljerVår referanse (bes oppgitt ved svar) 12/ /CBR
Arbeids- og velferdsdirektoratet - Styringsenheten IKT Postboks 5200 Nydalen 0426 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/00116-8/CBR Dato 24. september 2012 Vedtak om pålegg - endelig
DetaljerForskningsfil for generasjonsstudier - årsaker og konsekvenser av helseproblemer i forbindelse med svangerskap og fødsel
Nasjonalt folkehelseinstitutt Postboks 4404 Nydalen 0403 Oslo Att. Vivi Opdal Vår ref: Deres ref: Dato: 2008/89 06.10.2008 Forskningsfil for generasjonsstudier - årsaker og konsekvenser av helseproblemer
DetaljerNORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.
NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 21. juni 2019 kl. 17.35 PDF-versjon 2. juli 2019 21.06.2019 nr. 789 Forskrift om medisinske
DetaljerGentester del II: hvordan skal REK forholde seg til bruk av genetiske undersøkelser i forskningsprosjekter? Jakob Elster REK sør-øst
Gentester del II: hvordan skal REK forholde seg til bruk av genetiske undersøkelser i forskningsprosjekter? Jakob Elster REK sør-øst Oppsummering: etiske utfordringer ved genetiske undersøkelser Gentester
DetaljerVedtak - registrering av brukermønster - IP-TV endelig kontrollrapport
Telenor Norge AS Snarøyveien 30 1331 FORNEBU Deres referanse Vår referanse (bes oppgitt ved svar) 11/00339-14/MAB Dato 7. mars 2012 Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport
DetaljerVår referanse (bes oppgitt ved svar)
Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/3404 12/01097-2/DIJ 16. januar 2013 Dato Datatilsynets høringssvar- Regulering av epikriseutsending
DetaljerVår referanse (bes oppgitt ved svar)
NorgesGruppen ASA Postboks 2775 Solli 0203 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/00832-9/MAB 1. februar 2012 Vedtak om pålegg - Endelig kontrollrapport for Trumf AS Det vises
DetaljerKontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten
Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerVedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet
Averøy kommune - Rådmannen Bruhagen Postboks 152 6538 AVERØY Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00904-6/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Averøy
DetaljerVedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi
Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi
DetaljerSamtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)
[Sett inn databehandlingsansvarliges logo) Samtykkeerklæring Forespørsel om registrering i [sett inn navn på register]. Gi en kort beskrivelse av registeret [sett inn informasjon om bakgrunn, når registeret
DetaljerForeløpig kontrollrapport
Saksnummer: 12/00275 Dato for kontroll: 11.04.2012 Rapportdato: 08.01.2013 Foreløpig kontrollrapport Kontrollobjekt: WiMP MUSIC AS Sted: Oslo Utarbeidet av: Atle Årnes Jørgen Skorstad 1 Innledning Datatilsynet
Detaljer14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet
DetaljerEndelig kontrollrapport
Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet
DetaljerKontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund
Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning
DetaljerHelse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO
Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104360-/JB 11/01264-2/EOL 28. februar 2012 Dato Datatilsynets høringsuttalelse - Forslag
DetaljerDeres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015
Se mottakerliste Deres referanse Vår referanse Dato 15/01099-1/JSK 22.10.2015 Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene
DetaljerEndelig kontrollrapport
Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh
DetaljerKommentarer til bestemmelser og temaer i vernepliktsforskriften
Forsvarsdepartementet Postboks 8126 Dep 0032 OSLO Deres referanse Vår referanse Dato 2015/3350-7 16/01335-3/SDK 28.11.2016 Høringsuttalelse - Forslag til tre nye forskrifter til lov om verneplikt og tjeneste
DetaljerSaksdokumenter - sak PS 0255/17. Høring - forskrift om befolkningsbaserte helseundersøkelser
Saksdokumenter - sak PS 0255/17 Høring - forskrift om befolkningsbaserte helseundersøkelser Saksprotokoll Trondheim kommune PS 0255/17 Saksprotokoll - Høring - forskrift om befolkningsb... Saksprotokoll
Detaljer