Vår referanse (bes oppgitt ved svar)

Transkript

1 Folkehelseinstituttet Postboks 4404 Nydalen 0403 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 10/497/EPLE/LUBI 10/ /MOF 21. desember 2011 Dato Avslutning av sak - Endelig kontrollrapport fra MoBa Vi viser til Deres brev 28. juni 2011 med redegjørelse i forbindelse med endelig kontrollrapport med Den norske mor og barn-undersøkelsen (MoBa). Det vises også til senere korrespondanse i saken. I forbindelse med oppfølging av kontrollen av MoBa (Datatilsynets ref. 10/ ) vurderte Datatilsynet at avviket knyttet til gjennomføring av risikoanalyse for behandling av helseopplysninger etter helseregisterloven 16, jf personopplysningsforskriften 2-4 kun delvis var oppfylt. Videre ba Datatilsynet om en redegjørelse knyttet til rutiner for håndtering av innsyn i DNA-analyser og forholdet til bioteknologiloven. Folkehelseinstituttet (FHI) redegjør i brev av 27. juni 2011 for rutine for håndtering av innsynsbegjæringer, inkludert analyseresultater fra blodprøver, samt at FHI må gjennomføre risikoanalyser for behandling av helseopplysninger i MoBa og at disse skal ferdigstilles innen 30. september Datatilsynet atilsynet mottok en bekreftelse på at slik risikovurdering er utført den 31. oktober 2011 fra Personvernombudet. Når det gjelder rutiner for oppfølging av bioteknologilovens krav legger Datatilsynet til grunn at FHI følger opp Helsedirektoratets brev av 17. oktober 2011 i forbindelse prosjektet Helgenomanalyser av utviklingsforstyrrelser i MoBa. Bioteknologinemnda ba Helsedirektoratet om å foreta en etisk og juridisk vurdering av genetiske undersøkelser i prosjektet og prosjektet ble stoppet i påvente av direktoratets avklaringer. Datatilsynet viser særlig til direktoratets uttalelser knyttet til bruk av helgenomsekvensering, spesielt om genomsekvensering nsering på materiale fra barn og bioteknologilovens krav når det gjelder biobankforskning ing og samtykkebaserte befolkningsundersøkelser helt avslutningsvis i brevet. Datatilsynet legger til grunn at FHI har eller utarbeider gode rutiner for å følge bioteknologilovens krav og at prosjekter blir vurdert av Helsedirektoratet og Bioteknologinemnda nda når det er nødvendig. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 I forbindelse med prosjektet Helgenomanalyser av utviklingsforstyrrelser i MoBa. Legger Datatilsynet til grunn FHIs redegjørelse i e-post av 20. desember 2011 til Datatilsynet, hvor det fremgår at FHI skal svare Helsedirektoratet ved at ny søknad sendes til REK. Det skal spesifikt søkes om å gjøre helgenomsekvensering av DNA fra barn med autismediagnose og deres foreldre, som et eget prosjekt, hvor Datatilsynet, Bioteknologinemnda, Helse- og omsorgsdepartementet og andre vil være kopimottaker. Søknaden skal sendes videre fra REK til Helsedirektoratet som skal vurdere om prosjektet omfattes av bioteknologiloven. Datatilsynet finner ovennevnte redegjørelser for tilfredsstillende og avslutter med dette tilsynssaken med MoBa. Med vennlig hilsen Kim Ellertsen avdelingsdirektør Monica Fornes seniorrådgiver Vedlegg: Helsedirektoratets brev av 17. oktober 2011 (ref.. 11/3874) Kopi: Statens Helsetilsyn Helsedirektoratet Bioteknologinemnda 2

3 + Saksnummer: 10/00146 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Nasjonalt Folkehelseinstitutt (FHI), Den norske mor og barn-undersøkelsen (MoBa) Utarbeidet av: Helge Veum Monica Fornes Bård Soløy Ødegaard 1 Innledning Datatilsynet gjennomførte kontroller hos Folkehelseinstituttet i perioden 4. mars til 10. mars 2010 i virksomhetens lokaler i Oslo, samt den 18. mars 2010 i Bergen. Kontrollen ble gjennomført i medhold av helseregisterlovens 31 annet jf. første ledd. Temaet for kontrollen som denne rapporten omhandler var virksomhetens behandling av helseopplysninger i Den norske mor og barnundersøkelsen (heretter MoBa) med underprosjekter. Formålet var å kontrollere om behandlingen av person- og helseopplysninger var i overensstemmelse med de bestemmelser som følger av helseregisterloven og konsesjon gitt fra Datatilsynet i medhold av helseregisterloven 5, jf. personopplysningsloven 33, jf. 34. Datatilsynet innvilget konsesjon for MoBa den (Datatilsynets saksreferanse er 01/4325-6), og konsesjonen er forlenget og utvidet en rekke ganger. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen med behandling av helseopplysninger hos FHI i Den norske Mor og Barn- undersøkelsen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra FHI den 5. mars 2010 i Oslo: Camilla Stoltenberg, Ass. direktør Tor-Åsmund Martinsen, personvernombud Per Magnus, dir. divisjon isjon for epidemiologi, prosjektleder MoBa Peder Utne, avd. direktør avdeling for prosjektstøtte Charlotte Birke, adm. leder MoBa Kristine Vejrup, saksbehandler MoBa Anita Haugan, saksbehandler MoBa 2.2 Fra FHI den 18. mars 2010 i Bergen: Stein-Emil Vollset, avd. direktør avdeling for medisinsk fødselsregister Patricia Schreuder, enhetsleder Charlotte Birke, adm. leder MoBa Unni Aagedal, kvalitetsdirektør Arild Sunde, ADIT-Bergen Ole-Martin Kvinge, ADIT-Bergen 1 av 13

4 Elin Alsaker, statistiker Ingunn Riise, QLM 2.3 Fra Datatilsynet: Helge Veum, senioringeniør Monica Fornes, seniorrådgiver Bård S. Ødegaard, rådgiver (kun 5. mars) 3 Generelt 3.1 FHIs avdeling for Medisinsk Fødselsregister (MFR) Kontrollen fant sted ved FHIs avdeling for Medisinsk Fødselsregister i Bergen. Avdelingen hører til under divisjon for epidemiologi ved FHI. Det er omtrent 40 fulltidsansatte ved avdelingen og enkelte bistillinger. Ved avdelingen drives i tillegg til MFR, register over svangerskapsavbrudd og biobankregisteret. Datahåndteringsenheten for MoBa er organisert ved FHI i Bergen. 3.2 Behandling av personopplysninger i MoBa MoBa er en samtykkebasert studie av årsaker til sykdom hos mor og barn. Kvinner rekrutteres under graviditeten, og fedre inviteres også til å delta. MoBa startet opp i juni 1999 i Hordaland, og ble nasjonal fra Det overordnede formålet er bedre forebygging og behandling av alvorlige sykdommer. For å finne årsaker til sykdom benyttes et kohortdesign der svangerskap inkluderes. I april 2008 var svangerskap rekruttert, og rekruttering ble avsluttet den Administrasjon og de fleste forskningsprosjektene gjennomføres ved FHI i Oslo. Datainnsamlingen og drift av registeret gjennomføres i Bergen. Innsynsbegjæringer, slettebegjæringer, samt utmeldelse håndteres i Bergen. Det er kun noen få ansatte i Bergen, som har tilgang på direkte identifiserende opplysninger. 3.3 Generelt om kontrollen Datatilsynets kontroll er begrenset til Folkehelseinstituttets ivaretakelse av behandlingsansvaret i henhold til helseregisterlovens og personopplysningslovens bestemmelser, samt vilkår gitt i medhold av konsesjon fra Datatilsynet. Formålet med kontrollen var å gjennomgå de mest sentrale rutinene for ivaretakelse av kravene i helseregisterloven, personopplysningsloven, personopplysningsforskriften, samt vilkår gitt i konsesjon for MoBa. En del av kontrollen ble gjort i Oslo, mens hoveddelen av kontrollen ble gjennomført i Bergen hvor datahåndteringen foretas. 2 av 13

5 3.4 Forholdet til helseregisterloven og helseforskningsloven MoBa har per i dag en konsesjon gitt i medhold av helseregisterloven 5, jf. personopplysningslovens 33 og 34. Rammekonsesjonen ble gitt den , og har saksreferanse 01/ Den er forlenget og utvidet en rekke ganger. Etter ikrafttredelsen av lov om medisinsk og helsefaglig forskning (helseforskningsloven), ble det vurdert og klarert at MoBa fortsatt faller innenfor helseregisterlovens saklige virkeområde, jf. helseregisterlovens 3, men at konkrete forskningsprosjekter som bruker data fra MoBa må vurderes konkret hvorvidt de anses å falle inn under helseforskningslovens saklige virkeområde, jf. helseforskningslovens 2. Rammekonsesjonen for MoBa vil imidlertid regulere hvordan og på hvilke vilkår MoBa data kan brukes, utleveres, rekkevidden av samtykke, informasjonsplikt og lignende. Det er viktig at både de som er registerforvaltere og de instansene som godkjenner forskningsprosjekter etter helseforskningsloven er bevisst på at rammekonsesjonen setter betingelser og vilkår for bruk av dataene. Dette i tillegg til blant annet helseforskningslovens bestemmelser. Konsesjonen til MoBa er ikke revidert etter ikrafttredelsen av helseforskningsloven. 4 Mottatt dokumentasjon Se liste over mottatte dokumenter vedlagt den generelle kontrollrapporten (Datatilsynets 10/ ). 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Kontrollene gjennomført hos Folkehelseinstituttet i perioden 4. mars til 10. mars 2010, samt 18. mars 2010, var omfattende og alle forhold som ble berørt er ikke omtalt i rapportene. Rapporten er begrenset til de forhold som tilsynet har tilbakemeldinger på, og til forhold som anses å være avvik fra lovbestemte krav til behandling av personopplysninger. 5.1 Internkontroll planlagte og systematiske tiltak Helseregisterlovens 17 stiller krav om internkontroll gjennom planlagte og systematiske tiltak. Internkontroll etter helseregisterlovens 17 ble behandlet i den generelle rapporten for FHI. Her ble bruk av den forløpsbaserte kvalitetsportalen ved MoBa fremhevet som en positiv tilnærming for å ivareta internkontrollplikten. Datatilsynet har ikke øvrige generelle merknader i forhold til internkontroll. Videre i denne rapporten vil det imidlertid henvises til internkontrollplikten for konkrete forhold, spesielt i relasjon til ivaretakelse av konsesjonskrav. 3 av 13

6 5.2 Informasjonssikkerhet Krav i regelverket Helseregisterlovens 16 stiller krav om tilfrestillende informasjonssikkerhet. Utfyllende bestemmelser er gitt i personopplysningsforskriftens kapittel 2. Forskriftens 2-4 stiller krav om at informasjonssystemet vurderes med hensyn til risiko. Det er her krav om at virksomheten vurderer sannsynligheten for, og konsekvens av sikkerhetsbrudd. Risikoen skal sammenlignes med kriterier for akseptabel risiko. Det skal etableres sikkerhetstiltak for sikring av konfidensialitet, tilgjengelighet og integritet jf. personopplysningsforskriftens 2-11 til 2-13, slik at tilfredstillende informasjonssikkerhet oppnås, jf. krav om risikovurderinger Funn Det ble kun utført en begrenset gjennomgang i forhold til informasjonssikkerhet ved MoBa. For generelle forhold henvises det til den generelle kontrollrapporten Risikovurderinger Datatilsynet ba om at risikovurderinger for informasjonssystemet ble fremlagt. Dette ble konkretisert ved at tilsynet ba om virksomhetens vurderinger for hhv. personell med anledning til å egenhendig ta ut store datasett, sikkerhetskopier, og løsning for innhenting av spørreskjema over Internett. Slike risikovurderinger kunne ikke fremlegges. Det gikk også frem at virksomheten ikke hadde dokumenterte risikovurderinger for informasjonssystemet Sikkerhetskopier Virksomhetens løsning og rutiner for sikkerhetskopiering ble diskutert under kontrollen. Rutiner for sikkerhetskopiering ble oversendt etter kontrollen. Det fremkom ikke forhold vedrørende sikring av tilgjengelighet som tilsynet finner nødvendig å bemerke utover manglende bruk av risikovurderinger, som beskrevet ovenfor. Det fremgår ikke klart, verken under kontrollen eller i den ettersendte dokumentasjonen, hvor lenge sikkerhetskopier lagres. Dette kan fremstå som problematisk i forhold til ivaretakelse av slettekravet etter helseregsiterlovens Konklusjon Risikovurderinger Manglende risikovurderinger er et avvik fra kravet i helseregisterlovens 16, jf. personopplysningsforskriftens Sikkerhetskopier Ingen negative merknader i forhold til sikring av tilgjengelighet. Vedrørende sletting av sikkerhetskopier viser Datatilsynet til beskrivelse i generell kontrollrapport, avsnitt 6.4, og det legges til grunn at virksomheten på selvstendig grunnlag 4 av 13

7 vurderer om oppbevaringen er i samsvar med regelverket. Det bemerkes at det ikke ble fastslått at det forelå avvik under kontrollen med MoBa. 5.3 Skille mellom identifiserende opplysninger fra de øvrige opplysninger i MoBa Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 5, 6. kulepunkt oppstiller følgende vilkår: Personopplysningene skal behandles i avidentifisert form. Respondentene tillates identifisert ved et tilfeldig valgt referansenummer, som knytter seg til en navneliste. Navnelisten skal bare forefinnes hos FHI Funn I oversendt dokumentasjon og under kontrollen ble det gjort rede for en ryddig deling gjennom uavhengige systemer og tilgangsbegrensninger i den sammenheng. Det var ikke grunnlag for å revidere løsningen nærmere Konklusjon Ingen negative merknader. 5.4 Skille mellom de ulike deler av MoBa etter formål/prosjekt Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 5, 7. kulepunkt oppstiller følgende vilkår: De enkelte deler av registeret skal oppbevares adskilt etter formål/prosjekt og individuell tilgangskontroll skal ivaretas for hver del Funn FHIs representanter under kontrollmøtet i Bergen kunne ikke gjøre rede for at hvorledes instituttet ivaretok dette kravet, og kravet fremstod i begrenset grad som kjent. De ulike datainnsamlingene, herunder delstudiene, lagres i separate tabeller og filer i MoBaData (databasebasert administrasjonsgrensesnitt for innsamlede data). Disse kan imidlertid behandles samtidig gjennom MoBaData, og det var ikke etablert differensiert tilgangskontroll for de ulike delene av datasettet Konklusjon Det er ikke er etablert tilstrekkelige skiller mellom de enkelte delene av registeret. Dette er et avvik fra personopplysningslovens 35, jf. vilkår satt i konsesjon av 15. september Datatilsynet ser det som naturlig at FHI og Datatilsynet har en nærmere dialog om hvorledes et slikt skille skal etableres. 5 av 13

8 5.5 Håndtering av utlevering til eksterne og uttak til interne studier Krav i regelverket og konsesjonen Rammekonsesjonen for MoBa-undersøkelsen kapittel 6 oppstiller vilkår for behandling av helseopplysninger, herunder nye studier. Det er fastsatt i konsesjonen at sammenstilling av opplysninger for statistikk kan gjøres uten nærmere godkjenning av Datatilsynet. Videre er det i konsesjonens kapittel 6, 2. til 4. kulepunkt stilt følgende vilkår: Utlevering av anonyme sammenstilte datafiler til forskning Opplysninger som omfattes av denne konsesjon kan sammenstilles (kobles) og utleveres til forskningsformål, dersom resultatet av sammenstillingen fremkommer i anonymisert form, jf. helseregisterloven 3 nr 3. Dette kan gjøres uten nærmere godkjenning av Datatilsynet. Behandling av opplysninger til forskningsformål hvor FHI er behandlingsansvarlig Opplysninger som er omfattet av konsesjonen kan, i avidentifisert form, behandles til uttrykkelige angitte forskningsformål innen rammen av konsesjonens formål. Dette gjelder også sammenstilling (kobling) av opplysninger omfattet av denne konsesjonen, dersom resultatet av sammenstillingen fremkommer i avidentifisert form. Behandlingen forutsetter at det sendes melding til Datatilsynet. Det er en forutsetning at FHI er databehandlingsansvarlig og at det fastsettes tidspunkt for prosjektavslutning, hvoretter materialet anonymiseres/slettes. Meldingen skal minst inneholde opplysninger om prosjektets tittel og formål, hvem som skal ha det daglige ansvar, hvilken del av materialet som skal brukes og tidspunkt for prosjektavslutning. Utlevering og annen behandling av opplysninger Personidentifiserbare opplysninger kan, med mindre annet følger av denne konsesjonen, bare behandles (sammenstilles, utleveres etc) etter særskilt tillatelse fra Datatilsynet. Dette innebærer blant annet at dersom helseopplysninger omfattet av denne konsesjonen skal sammenstilles med andre registre, eller det på andre måter skal suppleres av opplysninger utenfor registeret, er det nødvendig med egen konsesjon. I brev av 3. desember 2007 (Datatilsynets ref. 03/ SVE) er det presisert at vilkåret i andre kulepunkt ovenfor (konsesjonens 3. kulepunkt) også kan oppfylles med en melding til personvernombudet ved FHI, da dette ligger i selve ordningen med personvernombud Funn Anonyme opplysninger på mottakers hånd Det ble opplyst at opplysninger er utlevert til interne underprosjekter, og at opplysningene er utlevert i en slik form at de er anonyme på mottakers hånd. Det ble vist til at begrepet fulgte av en veileder FHI har utarbeidet. FHI påpekte at det ikke har vært utlevert data som ikke har vært anonyme på mottakers hånd. 6 av 13

9 Anonymt på mottakers hånd er nærmere omhandlet i den generelle kontrollrapporten. Det fremgikk under kontrollene at dette begrepet ikke er synonymt med anonyme opplysninger som definert i helseregisterloven Prosjektløpenumre 1 Datatilsynet forsto innledningsvis under kontrollene at det ved MoBa var etablert et system slik at det systematisk ble tildelt unike prosjektspesifikke løpenumre ved utleveringer fra registeret (med utlevering her menes også uttak til nye behandlinger / prosjekter hvor FHI er behandlingsansvarlig). Dette ble blant annet lagt til grunn i rapport om tvillingregisteret. Denne overordnede forståelsen med hvorledes løpenumrene var innrettet stemte ikke med faktum revidert ved MoBa i Bergen. Datatilsynet forstår bruken av løpenumre ved MoBa slik: Der hvor data fra MoBa koples med eksterne data, så utleveres data på et prosjektspesifikt løpenummer (study-id). Der hvor kun MoBa-data utleveres, så uleveres de på standard MoBa id. Dette gjelder både uttak til interne prosjekter og utleveringer til eksterne. Denne praksisen medfører at ulike begrensede datasett fra MoBa kan kobles sammen utenfor MoBa-administrasjonens kontroll, og i enkelte tilfeller utenfor FHI sin kontroll. Videre har ikke MoBa-administrasjonen mulighet til å anonymisere utleverte datasett ved å slette referansenumrene. I dokumentgjennomgangen har Datatilsynet forholdt seg til arbeidsbeskrivelsen Kobling og utlevering av data fra MoBa ved EPMA. Denne refererer igjen til arbeidsinstruksen EPMA- UT2 Anonymisering av data fra MoBa, som Datatilsynet ikke har hatt tilgang til 2. Rutinen som tilsynet har forholdt seg til skaper ikke klarhet i praksisen vedrørende bruk av referansenumre Ivaretakelse av meldeplikten etter konsesjonen Datatilsynet har ikke mottatt melding om behandling av opplysninger til forskningsformål hvor FHI er behandlingsansvarlig. Det ble også opplyst at personvernombudet heller ikke hadde mottatt slike meldinger. En slik melding som omtalt ovenfor skulle blant annet inneholde en fastsatt dato for prosjektavslutning med påfølgende anonymisering eller sletting. Instituttet kunne ikke gjøre rede for en slik oversikt. Etter det opplyste var det heller ikke gjennomført slik anonymisering eller sletting av underprosjekter som nevnt ovenfor. Det vises i denne sammenheng til rapportens Ved gjennomgang av foreløpig rapport bes det om at FHI spesielt vurderer om beskrivelsen under funn her er i samsvar med faktum. Det vises til merknad i oversendelsesbrev. 2 Datatilsynet har heller ikke etterspurt rutinen spesielt 7 av 13

10 Oppbevaring av datasett som kobles med MoBa I redegjørelsen av datahåndteringen fremgikk det dessuten at FHI lagrer filer som kobles med MoBa og som leveres ut, for eksempel Kreftregisterfil og Berte. FHI var oppmerksomme på problemstillingen, men kunne ikke redegjøre for behovet og hjemmelsgrunnlaget for ikke å slette utleverte filer Konklusjon Internkontroll Det ble avdekket et fravær av systematiske tiltak for å sikre at kravene oppstilt i konsesjonen av Dette knytter seg til krav om melding for underprosjekter, fastsettelse av tidspunkt for prosjektavslutning og oppfølging av sletting etter prosjektavslutning. Dette er avvik fra kravet om internkontroll etter helseregisterlovens 17, jf. vilkår satt i konsesjon Ivaretakelse av meldeplikten etter konsesjonen Det er ikke er sendt melding til hverken Datatilsynet eller personvernombudet med blant annet informasjon om tidspunkt for prosjektavslutning i henhold til konsesjonen. Dette er et avvik fra personopplysningslovens 35, jf. vilkår satt i konsesjon av 15. september Anonyme opplysninger på mottakers hånd FHI har lagt til grunn definisjonen anonymt på mottakers hånd på en slik måte at regelverket og konsesjonens krav ikke følges. Det vises til videre omtale i generell kontrollrapport, og avvik konstatert generelt for FHI som også vil gjelde behandlingene ved MoBa Prosjektløpenumre Bruk av felles referansenummer for data som tas ut av registeret fremstår ikke som forsvarlig. Dette forholdet representerer en vesentlig koblingsfare mellom delstudier utenfor MoBa administrasjonens kontroll, samt at eventuell anonymisering i enkeltprosjekt, ved at koblingsdata hos MoBa slettes, umuliggjøres. Datatilsynet anser bruk av prosjektspesifikke løpenumre som nødvendig for at FHI skal ha tilstrekkelig kontroll med at bruken av opplysningene er innenfor det tillatte, at opplysningene er reelt avidentifiserte, og at sletteplikten på betryggende vis kan ivaretas. Et aktivt hinder mot at ulike datasett som skal behandles uavhengig, ikke kan kobles mot hverandre, er et sikkerhetstiltak for å sikre konfidensialitet slik det må forstås etter personopplysningsforskriftens Gjennom kravet om internkontroll etter helseregisterlovens 17 skal det etableres rutiner som sikrer at behandlingen foregår i samsvar med regelverket og krav stilt i medhold av dette. Vilkåret satt i konsesjonens kapittel 5, 7. kulepunkt om atskillelse mellom delprosjekter kan videre legges til grunn ved skille mellom data for ulike formål. Datatilsynet anser manglende bruk av prosjektspesifikke løpenumre ved utleveringer for å være et avvik fra helseregisterlovens 16, jf. personopplysningsforskriftens 2-11 og helseregisterlovens av 13

11 Det bemerkes at kravet ikke er satt eksplisitt i konsesjonen som er gitt til MoBa. 5.6 Informasjonsplikt Krav i regelverket og konsesjonen Helseregisterloven 23 pålegger den databehandlingsansvarlige en plikt til å informere den registrerte om forhold rundt behandlingen når det samles inn opplysninger fra den registrerte selv. Informasjonsplikten skal ivareta kjernen i personvernet, som er den enkeltes rett til å utøve kontroll med opplysninger om en selv. Den enkelte må vite at det behandles personopplysninger for å kunne ta i bruk de andre personvernrettighetene som retten til innsyn, retting, sletting m.v. Det følger av helseregisterlovens 23 første ledd nr 3 at databehandlingsansvarlig skal av eget tiltak informere den registrerte om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Unntak fra informasjonsplikten følger av helseregisterloven 23, annet ledd,og helseregisterloven 25. Denne problemstillingen har tidligere vært vurdert av Datatilsynet knyttet til MoBa i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN). Det ble her lagt til grunn at denne informasjonsplikten kunne oppfylles ved at det i MoBa s årlige nyhetsbrev per post til alle deltakerne informeres om at opplysningene utleveres og hvem som er mottakere. I tillegg må det gir informasjon om at en oversikt over institusjoner/prosjekter som behandler data fra MoBa finnes på FHIs hjemmesider. Videre følger det av helseregisterlovens 24 første ledd første punktum at en databehandlingsansvarlig som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i 23 første ledd. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak fra informasjonsplikten følger av 24 annet ledd nr 1 til 3, og helseregisterloven 25. Et unntak fra varslingsplikten følger av helseregisterloven 24 annet ledd nr 2 og personopplysningsloven 20 annet ledd bokstav b når; varsling er umulig eller uforholdsmessig vanskelig. Varslingen skal i utgangspunktet være individuell, dvs at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering Funn Oppfyllelse av informasjonsplikten er, som nevnt tidligere, tatt opp med FHI i forhold til MoBa i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN). I brevet ba Datatilsynet om å bli holdt orientert om den videre prosessen, samt om å få tilsendt et utkast til informasjon som skulle sendes til utvalget. Datatilsynet kan ikke se å ha mottatt slik informasjon. 3 Se Ot.prp.nr92 ( ) side av 13

12 Under tilsynet fremgikk det at det ikke er blitt gitt informasjon i henhold til helseregisterlovens 23 første ledd nr 3 i noe nyhetsbrev og det fremgikk heller ikke av FHIs hjemmeside på kontrolltidspunktet. FHI hadde heller ikke dokumenterte rutiner for ivaretakelse av informasjonsplikt etter helseregisterloven 23 25, jf helseregisterloven 17, jf 36, jf. personopplysningsforskriften 3-1, tredje ledd bokstav d) Konklusjon Det anses som avvik at FHI ikke har dokumenterte rutiner for ivaretakelse av informasjonsplikten, jf personopplysningsloven 14, jf. 20 og helseregisterloven 17, jf. FHI må foreta en gjennomgang av sine utleveringer fra MoBa og iverksette tiltak, som skissert i brev av 17. Mars 2009 (Datatilsynets ref. 01/ MHN) slik at informasjonsplikten oppfylles i praksis. 5.7 Forbud mot å lagre unødvendige helseopplysninger Regelverkets krav Helseregisterlovens 27 oppstiller et forbud mot å lagre helseopplysninger lengre enn det som er nødvendig. Dersom det ikke forefinnes et rettslig grunnlag for oppbevaringen av opplysningene skal disse slettes. Etter helseregisterlovens krav om internkontroll etter 17 skal det utarbeides rutiner for sletting, og virksomheten skal følge opp at slik sletting faktisk gjennomføres. Det påpekes at utvidet lagringsadgang etter helseregisterloven 27 annet ledd ikke gjelder for behandling av helseopplysninger som skjer med hjemmel i helseregisterloven Funn Sletting etter forespørsel fra deltaker MoBa rutine nr 56 beskriver sletting av opplysninger og prøver etter forespørsel fra deltakeren. Håndtering av henvendelser om sletting og utmelding omhandles i rutinene nr. 03 og 43. Det skilles mellom respondenter som ber seg utmeldt og respondenter som ber seg slettet. En utmelding innebærer at deltakeren (med barn) ikke blir spurt om å delta i flere datainnsamlinger. Allerede innsamlede data vil fortsatt bli benyttet. Sletting innebærer at dataene faktisk slettes ved MoBa sentralt, dette medfører at knytning til identitet slettes også for underprosjekter. I følge rutinen for sletting skal i opplysningene i utgangspunktet også slettes i underprosjekter. Det ble bedt om at rutiner for dette ble fremlagt. Slike kunne ikke fremlegges. Totalt i MoBa var det gjort ca 2400 stk utmeldinger og et 50-talls slettinger. 10 av 13

13 Det gikk ikke frem at det var fastsatt klare vurderingskriteria for å vurdere når en uklar henvendelse fra publikum skulle tolkes som en utmelding, og når den skulle tolkes som en sletteanmodning. Det ble videre ikke gitt systematisk tilbakemelding etter utmeldinger som sikret at respondenten var informert om at opplysningene ikke var slettet Sletting av avsluttede forskingsprosjekter Datatilsynet forstod at sletting eller anonymisering av underprosjekter ikke hadde vært en aktuell problemstilling siden de ikke hadde nådd prosjektsluttdato. Det kunne ikke fremlegges noen rutiner for å sikre at sletting ble gjennomført på tilfredstillende vis. Problemstilingen må ses i sammenheng med diskusjonen i generell rapport om sikker sletting og anonymisering hos forsker Lagring av utleverte koblede filer og mottatte data fra andre kilder Det gikk under kontrollen frem at FHI ved MoBa lagret data fra eksterne datakilder hvor det ble gjennomført koblinger av disse med data fra MoBa. Det gikk ikke klart frem hva som var hensikten bak lagringen, og det fremstod som uklart hvorvidt det foreslå et rettslig grunnlag for lagringen av data fra andre datakilder ved MoBa Konklusjon Sletting etter forespørsel fra deltaker Datatilsynet anser rutinene og vurderingskriteriene for å skille mellom utmelding og sletting for å være utilstrekkelige. Dette er et avvik fra krav om internkontroll etter helseregisterlovens 17 krav om internkontroll. For henvendelser som ikke kan tolkes klart som en utmelding, ses det som naturlig at FHI informerer deltakeren om at de fremdeles er registrert. Dette for å ivareta informasjonsplikten i helseregisterlovens 23, 1. ledd nr. 5. Datatilsynet forstod at dette delvis var ivaretatt ved MoBa, men det legges til grunn at FHI selv vurderer praksisen Sletting av avsluttede forskingsprosjekter Manglende rutiner for å ivareta sletting er at avvik fra krav om internkontroll etter helseregisterlovens 17, jf. 27. Det vises forøvrig til funn i generell rapport Lagring av utleverte koblede filer og mottatte data fra andre kilder Manglende klarhet om de rettslige rammene for oppbevaring av data fra andre kilder, er et avvik fra kravet om internkontroll etter helseregisterlovens 17. Dersom det etter FHIs selvstendige gjennomgang viser seg at oppbevaringen ikke har rettslig grunnlag, legges det til grunn at disse slettes i samsvar med helseregisterlovens 27, samt at Datatilsynet gis en avviksmelding i samsvar med personopplysningsforskriftens av 13

14 5.8 Rutiner innsyn i DNA- analyser forholdet til bioteknologiloven Krav i regelverket Retten til innsyn følger av helseregisterlovens 22. Unntak fra retten til innsyn er nedfelt i helseregisterlovens 25. Det er en forutsetning for lovlig behandling av helseopplysninger er at behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag, jf. helseregisterloven 5. Bioteknologiloven setter skranker for lovlig behandling av helseopplysninger. Datatilsynet har lagt til grunn at det ikke er anledning til å avtale seg bort fra retten til innsyn på generelt grunnlag etter helseregisterloven og personopplysningsloven. Deltakere som har samtykket til at han eller hun ikke skal bli meddelt resultatene, har senere anledning til å benytte seg av innsynsretten. Et samtykke skal være frivillig for å være gyldig, og det kan trekkes tilbake, så en slik avtale har uansett begrenset betydning Funn Datatilsynet la til grunn i foreløpig rapport av at FHI avskjærer innsynsrett i DNA-analyser. Dersom det gis innsynsrett vil krav i bioteknologiloven kunne gjøre seg gjeldende. FHI mener det gjør seg gjeldende unntak fra retten til innsyn. Datatilsynet fikk ikke en nærmere rettslig begrunnelse for dette. FHI gir en tilbakemelding på dette punktet i brev av hvor det uttales følgende: Folkehelseinstituttet antar at dette kravet må bero på en misforståelse knyttet til at man ikke systematisk utleverer informasjon avledet fra biologisk materiale. Dette fremgår blant annet av informasjonsskrivet til MoBa. Men alle som ber om det har fått og vil fortsatt få tilgang til informasjon utledet av ens eget biologiske materiale. Så langt har ingen bedt om å få innsyn i DNA-analyser, men MoBa kan også tilby kyndig veiledning av en genetiker dersom det blir aktuelt. MoBa avskjærer således ikke innsynsretten til deltakerne Konklusjon Datatilsynet legger til grunn at deltakere i MoBa ikke gyldig kan samtykke seg bort fra innsynsretten i opplysninger om en selv inkludert resultat av DNA-analyser. Samtykkeerklæringen kan på dette punktet misforstås. Det er fortsatt uklart for Datatilsynet i hvilken grad innsyn i DNA-analyser i MoBa kan medføre brudd på særlige skranker for behandling av helseopplysninger etter bioteknologiloven og hvorvidt FHI anser seg for å være omfattet av bioteknologilovens virkeområdet jf bioteknologiloven 1-2 annet ledd første punktum. Datatilsynet trenger en nærmere klargjøring av hvorvidt FHI anser MoBa for å være omfattet av bioteknologilovens virkeområde og om FHI har rutiner for å følge bioteknologilovens bestemmelser om blant annet 5-3 godkjenning av genetiske undersøkelser, 5-4 om samtykke, 5-5 om genetisk veiledning, 7-1 om godkjenning av virksomhet og 7-2 om rapporteringsplikt. 12 av 13

15 Etter å ha mottatt en nærmere klargjøring fra FHI vil Datatilsynet oversende problemstillingen til Helsedirektoratet, som er fagmyndighet på helselovgivningen og bioteknologiloven. 6 Andre forhold 6.1 Redegjørelse for ABC-studien I forbindelse med kontrollen ble en hendelse knyttet til ABC-studien ( The Autism Birth Cohort Study ) i desember 2007, samt oppfølging av denne redegjort for. Studien er et delprosjekt i MoBa, hvor formålet er å finne årsaker til autismespekterforstyrrelser, samt å følge forløpet av slike tilstander hos barn. I forbindelse med prosjektet registersøk for å finne barn med autismeforstyrrelser ble det utlevert flere opplysninger om diagnoser fra Ullevål universitetssykehus og Nic Waals Institutt til FHI enn det man hadde tillatelse til. Pasientgruppen var heller ikke blitt informert om utleveringen, som var en viktig forutsetning i konsesjon fra Datatilsynet og i vedtaket om dispensasjon fra taushetsplikt fra Helsedirektoratet. Folkehelseinstituttet ble bedt om gi en gjennomgang av ABC-studien i lys av episoden i Datatilsynet ønsket en gjennomgang dels fordi hendelsen var alvorlig, dels for å vurdere faren for gjentakelse og hvordan rutinene er blitt forbedret i etterkant. Datatilsynet fikk en grundig gjennomgang av hendelsen og tar denne til etterretning. 13 av 13