Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/ /MEP 20. juni 2013

Transkript

1 Universitetssykehuset Nord-Norge Norge HF Postboks TROMSØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/518 13/ /MEP 20. juni 2013 Vedtak om pålegg - endelig kontrollrapport- Universitetssykehuset i Nord- Norge - helseforskning Det vises til Datatilsynets kontroll hos Universitetssykehuset i Nord-Norge Norge HF den 21. februar 2013 og Datatilsynets varsel om vedtak av 18. april Vurdering av tilsvar Datatilsynet har i brev av 21. mai 2013 mottatt virksomhetens merknader til varselet. Vi har endret kontrollrapporten i tråd med UNNs kommentarer. Vi har også gjort noen ytterligere presiseringer i rapportens avsnitt UNN anfører følgende kommentarer til Datatilsynet varslede vedtak 6 (sikkerhet ved bruk av hjemmekontorløsning): 1. Sikkerhetsrisikoen for bruk av hjemmekontorløsning for dedikerte personer er vurdert som tilfredsstillende. 2. Forskningsdata er normalt lagret avidentifisert 3. Autentiseringsløsningen for hjemmekontortjenesten vil bedres i 2016 Til punkt 1 har Datatilsynet kommentert på Datatilsynets myndighet til å overprøve virksomheters s vurdering av risiko i endelig kontrollrapport, jf. rapportens avsnitt Det framgår av rapportens konklusjon at Datatilsynet ikke er enig med UNN i at denne risikoen er tilfredsstillende. Til punkt 2 vil det etter Datatilsynets standpunkt ikke være noe i veien for å tilgjengeliggjøre reelt anonyme data ved hjelp av hjemmekontorløsning med dagens autentiseringsregime. Dersom tilgjengeliggjorte forskningsdata derimot kan inneholde personopplysninger vil Datatilsynets vurderinger fullt ut være gjeldende. Til punkt 3 er Datatilsynets standpunkt at 2016 ikke er en akseptabel tidsramme for gjennomføring av Datatilsynets pålegg. Datatilsynet vil derfor vedta pålegg 6 i tråd med varselet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Vedtak om pålegg Med hjemmel i helseforskningsloven 52 gir Datatilsynet følgende pålegg: 1. UNN må utvide sin oversikt over helseforskningsprosjekter til å omfatte også opplysning om prosjektenes planlagte og faktiske sluttdato, vilkår stilt av REK, samt hva som er behandlingsgrunnlag for behandling av person- og/eller helseopplysninger. Dette for å få en reell oversikt og kontroll med helseforskningsprosjekt, jf. krav om til internkontroll etter helseforskningslovens 6, jf. forskriften 4 b) og c). Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter, jf. personopplysningsloven 20, jf. helseforskningslovens 6, jf. helseforskningsforskriften 4. Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for sletting / anonymisering av prosjektdata ved avslutning av prosjekter, jf. helseforskningslovens 6, jf. forskriften 4 d), jf. helseforskningsloven 38. Det vises til tilsynsrapportens avsnitt UNN må utarbeide rutine for kontroll med forskningsprosjekter, jf. helseforskningslovens 6, jf. forskriften 3 og 4. Det vises til tilsynsrapportens avsnitt UNN må etablere et system for kontroll av prosjekters oppfyllelse av vilkår gitt av REK, jf. helseforskningslovens 6, jf. forskriften 4. Det vises til tilsynsrapportens avsnitt UNN må etablere tilfredsstillende informasjonssikkerhet ved tilgjengeliggjøring av helseopplysninger ved bruk av hjemmekontorløsning, jf. personopplysningsloven 13, 1. ledd, ref. personopplysningsforskriften 2-11, 1. ledd. Det vises til tilsynsrapportens avsnitt Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. desember UNN må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 2

3 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen sju uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver Kopi: REK Nord-Norge, TANN-bygget, Universitetet i Tromsø, 9037 TROMSØ Statens Helsetilsyn, Postboks 8128 Dep, 0032 OSLO Vedlegg: Endelig kontrollrapport 3

4 Saksnummer: 13/00093 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Universitetssykehuset i Nord- Norge HF (UNN) Sted: Tromsø Utarbeidet av: Marius Engh Pellerud Dana Irina Jaedicke Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte kontroll hos Universitetssykehuset i Nord-Norge Norge HF (UNN) 21. februar Formålet med kontrollen var å vurdere virksomhetens behandling av helseopplysninger i helseforskningsprosjekter etter de krav som helseforskningsloven og personopplysningsloven med forskrifter oppstiller. Gjennomføringen av kontrollen fant sted med hjemmel i helseforskningslovens 47 og personopplysningsloven 42, tredje ledd og 44. Kontrollen fant sted ved virksomhetens faste forretningsadresse. Datatilsynet ser behov for å følge opp utviklingen etter ikrafttredelsen av helseforskningsloven. Loven innførte prinsippet om én postkasse og de regionale etiske komiteer for medisin og helsefaglig forskningsetikk (REK) overtok 1. juli 2009 oppgaver som tidligere lå hos Helsedirektoratet og Datatilsynet. Datatilsynet gjennomførte i 2011 to kontroller ved to helseforskningsinstitusjoner. For å følge opp utviklingen på området har Datatilsynet gjennomført kontroller av to andre forskningsinstitusjoner. Fokuset i disse to kontrollene er hvordan internkontroll og informasjonssikkerhet ivaretas ved to virksomheter som gjennomfører helseforskning. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Gjennomføring av kontrollen 2.1 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 28. januar 2013 om at UNN oversendte følgende dokumentasjon: 1. oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, 2. virksomhetens styrende dokumentasjon for internkontroll, jf. helseforskningsloven 6 annet ledd, forskrift om organisering av helseforskning 4 og helseregisterlovens 17 med forskrifter. 3. virksomhetens styrende dokumentasjon for informasjonssikkerhet, jf helseregisterlovens 16, jf. personopplysningsforskriftens 2-3 og 2-7 (sikkerhetsmål, sikkerhetsstrategi og organisering), 4. virksomhetens rutiner utarbeidet for helseforskning, jf. helseforskningsloven 6 jf. forskrift om organisering av helseforskning 4. 1 av 18

5 5. virksomhetens risikovurderinger etter helseregisterlovens 16, jf. personopplysningsforskriftens 2-4 omhandlende konfidensialitet, integritet og tilgjengelighet for helseforskningsprosjekter, 6. oversikt over helseforskningsprosjekter ved virksomheten, med følgende informasjon om: a. prosjektets formål, b. prosjektets rettslige grunnlag, c. antall registrerte, d. hvilke tillatelser er påkrevd og oppfølging av disse, e. identitetshåndtering og lagring av helseopplysningene i prosjektet f. hvorvidt det benyttes databehandler for prosjektet, g. hvorvidt opplysninger fra prosjektet utleveres, h. hvorvidt opplysninger fra prosjektet overføres til utlandet, i. eventuelle samarbeidsparter i prosjektet, og j. plassering av det daglige ansvaret for prosjektet, 7. navn og funksjon på de som deltar fra virksomheten under tilsynet, dersom det er avklart Dokumentasjon ble oversendt Datatilsynet i brev datert 8. februar Agenda Virksomheten fikk på forhånd oversendt en agenda for kontrollen. Åpningsmøte Innledende presentasjon av UNN Internkontroll o Forskningsansvarlig o Hvilke behandlinger foretas oversikt over forskningsprosjekter o Formålet med behandlingen o Innsyn og informasjonsplikt o Sletting Informasjonssikkerhet o Sikkerhetsledelse o Teknisk infrastruktur og gjennomgang av systemer o Risikovurderinger o Sikkerhetsrevisjon o Avvik o Opplæring o Sikkerhet hos andre virksomheter databehandlere Verifikasjoner av forskningsprosjekter Sluttmøte 2.3 Fokusområder for kontrollen - Virksomhetens internkontroll med hensyn til helseforskningsprosjekter 2 av 18

6 - Virksomhetens ivaretakelse av informasjonssikkerhet i helseforskningsprosjekter med blant annet fokus på kommunikasjon, lagring, identitetshåndtering og webbasert innhenting av sensitive opplysninger - Virksomhetens ivaretakelse av informasjonsplikten til de registrerte i helseforskningsprosjekter. - Virksomhetens oppfølging av vilkår og forutsetninger gitt i tillatelser for helseforskningsprosjekter. - Konkret ivaretakelse av regelverkets krav i utvalgte helseforskningsprosjekter. Dette ble gjennomført for å verifisere funn fra rutiner og informasjon fra virksomhetens ledelse. 2.4 Til stede fra virksomheten: - Einar Bugge, fungerende viseadministrerende direktør - Svein Ivar Bekkelund, fag- og forskningssjef - Sameline Grimsgaard, avdelingsleder, klinisk forskningsavdeling - Ole Martin R Sand, bioingeniør og biobankansvarlig - Trude Johannessen, rådgiver - Per Bruvold, sikkerhetssjef IKT og personvernombud - Annika Gustafsson, konstituert seksjonsleder - Trond Vegard Bjerke, forskningsleder klinisk psykiatrisk forskning - Dag Grønvoll, rådgiver/ monitor FFS 2.5 Til stede fra Datatilsynet: - Eirin Oda Lauvset - Dana Irina Jaedicke - Marius Engh Pellerud 3 Om Universitetssykehuset i Nord-Norge HF UNN er regionssykehus for Nordland, Troms, Finnmark og Svalbard og lokalsykehus for Troms og nordre Nordland. UNN har sykehusfunksjoner for over mennesker. UNN har 6000 ansatte på fire sykehus og flere andre lokasjoner. Årlig budsjett er på nesten seks milliarder kroner. UNN hadde i avlagte doktorgrader, 1600 studenter i praksis, publiserte 210 forskningsartikler og hadde 303 pågående forskingsprosjekter. 4 Om regelverket Lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1. juli Samtidig trådte også forskrift 1. juli 2009 nr. 955 om organisering av medisinsk og helsefaglig forskning i kraft. Helseforskningslovens saklige virkeområde er regulert i lovens 2. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Medisinsk og helsefaglig forskning er i helseforskningsloven 4 bokstav a definert som virksomhet som utføres med vitenskaplig metodikk for å skaffe til veie ny 3 av 18

7 kunnskap om helse og sykdom. Hvilke forskningsprosjekter som faller innenfor og utenfor lovens vireområde skal baseres på en konkret vurdering av forskningsprosjektets art og natur. Denne vurderingen foretas av de regionale etiske komiteer (REK). I den utstrekning ikke annet følger av helseforskningsloven, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser til helseforskningsloven, jf. helseforskningsloven 2 tredje ledd. I denne sammenheng er det lovens og forskriftens generelle krav om internkontroll som er mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. Dette følger av helseforskningslovens 6 2. ledd og forskriftens 4. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Det bemerkes at tilsvarende bestemmelser om internkontroll og informasjonssikkerhet følger av helseregisterlovens 16 og 17 for behandling av helseopplysninger ved helseforetaket for andre formål enn helseforskning. Det er naturlig at det etableres felles internkontroll for etterlevelse av de ulike regelverkene, spesielt med hensyn til informasjonssikkerhet. Dette berøres imidlertid ikke nærmere i denne rapporten. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Overordnet internkontroll og sikkerhetsledelse helseforskning Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 3 fastsettes ledelsesansvaret for tilrettelegging og organisering arbeidet med helseforskning, herunder internkontroll og informasjonssikkerhet. I 4 stilles det, foruten krav til oversikt over hvilke regelverk som gjelder for helseforskning, krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde 4 av 18

8 disse kravene. Virksomheten skal videre føre oversikt over alle helseforskningsprosjekter som pågår i virksomheten og etablere system for håndtering av avvik Ledelsesforankring I følge helseforskningslovens 6, jf. forskriftens 4 a) skal forskningsansvarlig sørge for at ansvars- og myndighetsforhold er beskrevet i internkontrollen. Forskriftens 4 andre ledd fastslår dessuten at forskningsansvarlig kan delegere oppgaver til andre, men ikke ansvar. Dette betyr at helseforskning i en virksomhet må ha forankring i ledelsen. Representantene for UNN er klare på at ansvaret for at virksomheten overholder helseforskningslovens bestemmelser (databehandlingsansvarlig / forskningsansvarlig) er UNNs øverste ledelse, representert ved administrerende direktør. Rollen som forskningsansvarlig i det daglige er imidlertid delegert ned til den enkelte klinikksjef. Fag- og forskningssenteret fungerer som en støttefunksjon i tidlig fase av prosjektplanleggingen. De kontrollmekanismer som foreligger før søknad, ligger på klinikksjef. Ingen avvik konstatert Oversikt over helseforskning Helseforskningslovens 6, jf. forskriftens 4 b) fastslår at forskningsansvarlig skal føre en løpende oversikt over alle medisinske og helsefaglige forskningsprosjekter. Forskriftens 4 c) fastslår videre at forskningsansvarlig skal ha oversikt over de rettsregler som regulerer helseforskning, herunder vilkår som stilles for å kunne iverksette helseforskningsprosjekter. Fag- og forskningsavdelingen har utarbeidet en intern oversikt over samtlige pågående prosjekter ved helseforetaket, inkludert prosjekter igangsatt før helseforskningslovens ikrafttreden og for multisenterstudier foretaket deltar i. Oversikten inkluderte ikke faktisk sluttdato eller vilkår stilt av REK. Godkjenninger fra REK og interne tillatelser blir arkivert i virksomhetens arkivsystem. Personvernombudet har en sentral rolle med hensyn til å sørge for at oversikten over pågående prosjekter er oppdatert. Med sin oversikt over helseforskningsprosjekter har UNN et godt utgangspunkt for oppfyllelse av helseforskningslovens krav til oversikt og kontroll over prosjekter som reguleres av denne loven. I tillegg til de variabler som på kontrolltidspunktet ble registrert, ser Datatilsynet behov for at minimum følgende informasjon er systematisk tilgjengelig i oversikten: - planlagt sluttdato 5 av 18

9 - faktisk sluttdato - vilkår stilt i tillatelse fra REK - behandlingsgrunnlag (samtykke/ dispensasjon fra taushetsplikt/ annet) Etter Datatilsynets vurdering er dette opplysninger som er nødvendige for å ha en reell oversikt og kontroll med forskningsprosjektene. Det legges til grunn at foretaket på selvstendig grunnlag vurderer om eventuelle øvrige parametre er nødvendig i oversikten. Utilstrekkelig oversikt og kontroll med helseforskningsprosjekt er avvik fra krav om til internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c) Multisenterstudier og utleveringer Forskrift om organisering av medisinsk og helsefaglig forskning 6 fastsetter en del vilkår for igangsetting av multisenterstudier, herunder at multisenterstudier kun skal ha en prosjektleder, og at denne skal ha en koordinerende rolle og sørge for at helseforskningsloven følges. Det er utarbeidet rutiner for rolle og ansvarsplassering ved multisenterstudier, dvs forskningsprosjekter som finner sted ved flere virksomheter samtidig og etter samme protokoll (dokumentnummer PR23513). Rutinene fastsetter, bl. annet utnevnelsen av en norsk prosjektleder for deler av internasjonale forskningsprosjekter som finner sted i Norge. Databehandleransvaret (forskningsansvaret) ved multisenterstudier vil være delt, hver institusjon har ansvar for den delen av studien som utføres ved egen institusjon. Det skal inngås avtale for multisenterstudier. Den oversendte avtalemalen gjelder imidlertid klinisk legemiddelutprøving (dokumentnummer SJ3177). Det er uklart for Datatilsynet om avtalen kan benyttes ved andre typer multisenterstudier, jf. forskrift om organisering av helseforskning 6. UNN og Det medisinske fakultetet ved Universitetet i Tromsø har i tillegg inngått en samarbeidsavtale for felles forskningsprosjekter. Avtalen er generelt utformet, den åpner imidlertid for utarbeidelse av særskilte avtaler, for enkelte samarbeidsprosjekter, innenfor hovedavtalens rammer. Det skal, i henhold til avtalen, utnevnes én prosjektleder (ansatt) og én forskningsansvarlig institusjon for hvert forskningsprosjekt, etter kriterier som er nærmere fastsatt i avtalen. Forskningsansvarlig institusjon har overordnet ansvar for forskningsprosjektet. Forvaltning av forskningsdata i samsvar med helseforskningsloven er prosjektlederens ansvar. Personvern i prosjektet regnes imidlertid som partenes felles ansvar. Ansvaret ivaretas gjennom forskningsvirksomhetens organisering, styringssystemer og instrukskontroll, gjennom rutiner, prosedyrer og opplæring samt ved fysisk tilrettelegging. 6 av 18

10 Datatilsynet stiller spørsmål ved om de generelle henvisningene til styringssystemer, rutiner og prosedyrer kan anses for å være tilstrekkelig for å avklare rolle og ansvarsforhold ved ivaretakelse av personvernet i felles forskningsprosjekter mellom UNN og UiT. Partene har imidlertid gjensidig rett til tilgang og bruk av forskningsdata som er fremskaffet i forbindelse med samarbeidsprosjekter innen medisinsk og helsefaglig forskning. Datatilsynet legger til grunn at denne bestemmelsen gjelder utelukkende anonyme forskningsdata og at tilgang til identifiserbare helseopplysninger styres i henhold til bestemmelsene i helseforskningsloven, herunder kravene om behandlingsgrunnlag, formålbestemthet og informasjon. Det er ikke konstatert avvik i ivaretakelse av personvernet i samarbeidsprosjekter ved UNN. Datatilsynet ønsker imidlertid en tydeliggjøring av partenes plikter og ansvar ved gjennomføring av multisenterstudier, herunder tilgang til personidentifiserende opplysninger, lagring av identifiserbare helseopplysninger og identitetsopplysninger og avslutning av samarbeidsprosjekter. 5.2 Internkontroll gjennomførende del I forskrift om organisering av helseforskning 4 bokstav d stilles det krav om rutiner som setter prosjektleder og medarbeidere i virksomheten i stand til å overholde regleverkets krav Rutine for oppstart av forskningsprosjekt Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppstart av forskningsprosjekt som skal sikre at igangsetting er lovlig. UNN bruker systemet Docmap for lagring av rutiner og sikkerhetsdokumentasjon. UNN har en skriftlig rutine for oppstart og forankring av forskningsprosjekter som er tilgjengelig for ansatte i systemet Docmap. Datatilsynet har ikke sett på det faktiske innholdet i rutinen. Ingen avvik konstatert Rutine for oppfølging av den registrertes rettigheter Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppfølging av de registrertes rettigheter som skal sikre at eventuell rett til informasjon, innsyn, retting, sletting etc blir ivaretatt. 7 av 18

11 UNN har en skriftlig rutine som tar for seg forskningsdeltakernes rettigheter, samt en egen rutine som omhandler informert samtykke. Rutinene er tilgjengelig for ansatte i Docmap. Datatilsynet har ikke sett på det faktiske innholdet i rutinen. Ingen avvik konstatert Informasjonsplikt Personopplysningslovens 20, som gjelder utfyllende etter helseforskningsloven, fastsetter at en forskningsansvarlig (her forskningsansvarlig) som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i personopplysningslovens 19 første ledd så snart opplysningene er innhentet. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak følger av bestemmelsens annet ledd bokstav a til c, og personopplysningsloven 23. Varslingen skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering. 1 Kravet til internkontroll etter helseforskningslovens 6, jf. helseforskningsforskriftens 4, medfører at det må etableres rutiner for ivaretakelse av relevante plikter, herunder informasjonsplikten. UNN har ingen skriftlig rutine som sier noe om forpliktelsen til å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter. Manglende rutine for å vurdere hvorvidt det foreligger en selvstendig informasjonsplikt overfor registrerte i forskningsprosjekter anses som et avvik fra helseforskningslovens 6, jf. helseforskningsforskriftens Rutine for avslutning av prosjekter Helseforskningsloven 6, jf. forskrift om organisering av helseforskning 4 bokstav d), jf. personopplysningsloven 28 stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for avslutning av forskningsprosjekt og evt. sletting av personidentifiserende opplysninger. 1 Se Ot.prp.nr92 ( ) side av 18

12 UNN har en rutine for avslutning av forskningsprosjekter, men denne omtaler ikke spesifikt rutine for sletting eller anonymisering av forskningsdata. Det ble opplyst under kontrollen at standard prosedyre er at koblingsnøkkel som kobler helseopplysninger med identitet slettes ved prosjektslutt. Etterlevelse av dette kravet er ansett for å være prosjektlederens ansvar. Den forskningsansvarlige institusjon etterspør ikke/ mottar ikke bekreftelse på at anonymisering etter prosjektslutt er gjennomført. Rutiner for anonymisering av forskningsdata og vurderinger med hensyn til de avidentifiserte/ identifiserbare data er ikke dokumentert, og dermed også lite tilgjengelig. Datatilsynet mener at rutine for sletting og anonymisering er en sentral del av en avslutningsrutine, og at en rutine for avslutning vil være mangelfull uten at dette er med. Mangel på rutine for sletting / anonymisering av prosjektdata ved avslutning av prosjekter er å anse som et avvik fra helseforskningslovens 6, jf. forskriftens 4 d), jf. helseforskningsloven Langtidsoppbevaring av prosjektdata Den forskningsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf. personopplysningsloven 28, 1. ledd. Langtidsoppbevaring av prosjektdata kan kun skje om slik lagring er vurdert som nødvendig. Ellers skal opplysninger slettes. UNN opplyser om at de pr i dag ikke har praksis for å langtidsoppbevare prosjektdata. Standard prosedyre er at koblingsnøkkel slettes ved prosjektslutt. UNN har planer om å lage en utfyllende rutine på langtidsoppbevaring av prosjektdata. Datatilsynet vil påpeke at slike rutiner trolig kan ivaretas ved oppdatering av rutiner for avslutning av prosjekter. Når langtidsoppbevaring av prosjektdata ikke har vært aktuelt kan ikke Datatilsynet se at fravær av en rutine på dette er avvik. Ingen avvik konstatert 5.3 Internkontroll kontrollerende del Rutine for kontroll av forskningsprosjekter 9 av 18

13 Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Forskningsansvarlig plikter å sørge for at det foretas en systematisk overvåking og gjennomgang av internkontroll, for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring av virksomheten, jf. forskriftens 4 bokstav g. UNN har en rutine for oppstart og forankring av forskningsprosjekter som skal sørge for at alle forskere innad i virksomheten forholder seg til regelverket som regulerer helseforskning. Det finnes imidlertid ingen skriftlig rutine som sier noe om hvem som skal føre kontroll med den helseforskningen som foregår innen virksomheten. I praksis er det forutsatt at hver enkelt klinikksjef har en viss kontroll med den forskning som foregår i regi av egen klinikk. Datatilsynet mener det er avgjørende for en reell kontroll med at helseforskningen foregår i tråd med loven at det går tydelig frem av internkontrollen hvem som har ansvar for å gjøre denne kontrollen og hvordan den skal gjøres. Manglende rutine for kontroll med forskningsprosjekter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriften 3 og 4 da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl Oppfylling av vilkår stilt av REK Helseforskningslovens 6, jf. forskriften 4 fastslår at forskningsansvarlig skal ha oversikt over hvilke rettsregler som gjelder for helseforskning, herunder på hvilke vilkår det enkelte forskningsprosjekt er igangsatt. Virksomhetens oversikt over forskningsprosjekter gir etter Datatilsynets vurdering ikke muligheter for å avdekke avvik dersom vilkår stilt av REK ikke er oppfylt, ref. kontrollrapportens avsnitt Dette gjelder særlig følgende forhold: - Tilbakemelding fra REK på innsendte søknader og vilkår som er stilt - Endelige samtykkeskjema (dersom REK har stilt vilkår om endring) - Informasjonsskriv - Utlevering av identifiserbare opplysninger eller biologisk materiale til utlanget - Avslutning av prosjekter UNN mangler også system og rutiner for kontroll av prosjekters oppfyllelse av vilkår satt av REK. I dag skjer dette kun etter initiativ fra prosjektleder. 10 av 18

14 Manglende system for kontroll av oppfyllelse av vilkår fra REK er å anse som et avvik fra helseforskningslovens 6, jf. forskriften Informasjonssikkerhet For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den forskningsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. personopplysningsforskriften 2-7. UNNs sikkerhetsmål, -policy og strategi er nedfelt i dokumentet Styringssystem for informasjonsystem. Virksomhetens sikkerhetsmål for informasjonssikkerhet er integrert med sikkerhetsmål på andre områder (for eksempel tyveri). Målene er klare og konkrete og bør være mulige å operasjonalisere. Sikkerhetsstrategien definerer roller og ansvar knyttet til informasjonssikkerhet. Dokumentet fastslår at det skal gjennomføres en ledelsesgjennomgang årlig. Dokumentet definerer en egen sikkerhetsledelse som består av administrerende direktør, stabsledere, sikkerhetssjef og ansattrepresentant. Styringssystemet for informasjonssystem framstår som først og fremst orientert mot behandlingsrettede behandlinger av personopplysninger. Forskningsdata, som ofte har andre karakteristika enn behandlingsrettede data, er ikke eksplisitt nevnt i dokumentet. Det kunne det med fordel vært. Ingen avvik konstatert 11 av 18

15 5.4.2 Risikovurdering Det skal det føres en oversikt over hvilke personopplysninger som behandles, jf. personopplysningsforskriften 2-4, ref. personopplysningsloven 13, 2. ledd. Den forskningsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. personopplysningsforskriften 2-4. På bakgrunn av dette skal den forskningsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. UNNs krav til gjennomføring av risikovurderinger er oppstilt i dokumentet Styringssystem for informasjonssikkerhet. Her framgår det blant annet hvilke endringer som skal utløse gjennomføringen av risikovurderinger. En veiledning i gjennomføring av ROS-analyser fins i UNNs dokumentsamling. UNN oversendte i forkant av kontrollen en samling dokumenter som beskriver gjennomført risikovurdering av elektronisk lagring av forskningsdata i UNN fra september Denne risikovurderingen er på virksomhetsnivå og gjelder behandlingen av alle helseopplysninger i virksomheten Gjennomgangen framstår som grundig, konkret og forståelig. UNN har derimot ikke utformet en plan for lukking av avvik. Datatilsynet har ikke fått oversendt risikovurderunger av konkrete forskningsprosjekt. Ingen avvik konstatert. Datatilsynet vil imidlertid likevel påpeke virksomhetens plikt til å lukke risiko som er avdekket i tidligere risikovurderinger. Dette bør skje ved utforming av plan for gjennomføring av tiltak. Datatilsynet ønsker også å bemerke at praksis for forvaltning av forskningsdata bør vurderes eksplisitt, da bruken og lagringen av slike data av naturlige grunner avviker fra øvrige helseopplysninger Sikkerhetsrevisjon Virksomheten plikter å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig, jf. personopplysningsforskriften 2-5. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften av 18

16 På grunn av tidspress ble sikkerhetsrevisjoner ikke diskutert med UNN. Ingen avvik konstatert Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. personopplysningsforskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. UNN har en funksjon for melding av avvik på eget intranett. Dette benyttes av ansatte hos UNN og studenter når de er tilknyttet prosjekter der UNN er forskningsansvarlig. De fleste meldinger om avvik vil bli sendt klinikksjef for oppfølging og lukking. Forskningsavdelingen mottar også alle avvik og følger opp lukkingen. Laboratoriemiljøet på UNN har en litt annen rutine for avvikshåndtering. Ingen avvik konstatert Sikkerhetstiltak Den forskningsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsloven 13, ref. personopplysningsforskriften 2-11, 2-12 og Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Forskningsdata lagres på egen virtuell server der hvert prosjekt har sitt eget område. Dette området har individuell tilgangsstyring. Pålogging skjer med brukernavn og passord. Koblingsnøkkelen for avidentifiserte helseopplysninger lagres på eget område for prosjektet på egen virtuell server. Tilgangen til dette nøkkelområdet omfatter normalt kun prosjektleder. Under innregistrering av data vil også de som registrerer inn data ha tilgang. Det kan åpnes for hjemmekontor. Ved hjelp av en Citrix-løsning kan forskere og ansatte få tilgang til forskningsdata, journal eller andre opplysninger hjemmefra. Autentisering skjer ved hjelp av vanlig brukernavn og passord. Tilgjengeliggjøring av helseopplysninger via hjemmekontorløsning kan sies å representere et potensielt sikkerhetsbrudd. 13 av 18

17 Virksomheter skal selv fastlegge kriterier for akseptabel risiko for behandling av personopplysninger, jf. personopplysningsforskriften 2-4, 1. ledd. Dette innebærer at det i første omgang er den databehandlingsansvarlige som fastlegger hva som er nødvendige og tilstrekkelige sikkerhetstiltak. Imidlertid kan Datatilsynet gi pålegg om sikring av personopplysninger, herunder fastlegge kriterier for akseptabel risiko, jf. personopplysningsforskriften 2-2. At Datatilsynet har anledning til å overprøve virksomheters vurdering av nødvendige sikkerhetstiltak er dermed klar. Datatilsynets vurderinger er at svak autentisering ikke gir tilfredsstillende sikkerhet med hensyn til konfidensialitet. Valgt løsning er et avvik ved at det ikke er etablert tilfredsstillende sikkerhetstiltak, jf. personopplysningsloven 13, 1. ledd, ref. personopplysningsforskriften 2-1, 2-2, 2-11 og Denne vurderingen gjelder også behandlingsrettede helseopplysninger, selv om dette er utenfor denne kontrollens omfang Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf personopplysningsforskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. UNN tilbyr flere kurs til sine ansatte, blant annet e-læringskurs innen helseforskningsloven. UNN er i ferd med å etablere en rutine der ansatte må dokumentere at de har tatt dette e- læringskurset før de får tilgang til UNNs IKT-system. Dette regimet har nå blitt testet og skal rulles ut. Under gjennomgangen med de konkrete prosjektene som ble gjennomført under kontrollen, framkom det at kjennskapen til UNNs rutiner og dokumenter er noe varierende. Datatilsynet vil likevel ikke påpeke avvik på dette området. Ingen avvik konstatert Databehandlere For forholdet til databehandlere gjelder personopplysningsloven 15. Dette følger av helseforskningslovens 2 3. ledd. Personopplysningslovens 15 stiller krav om at der hvor en databehandler behandler opplysninger på vegen av den behandlingsansvarlige (her forskningsansvarlige), skal dette gjennomføres i samsvar med en avtale mellom partene. Databehandleren kan ikke behandle opplysningene på annen måte enn hva som er avtalt. Og den forskningsansvarlige kan ikke overlate opplysningene uten at det er inngått en slik avtale. 14 av 18

18 UNN benytter ingen databehandlere på helseforskningsområdet. Ingen avvik konstatert. 6 Gjennomgang av konkrete forskningsprosjekt Datatilsynet gjennomgikk tre konkrete prosjekter for å verifisere hvorvidt virksomhetens rutiner for ivaretakelse av pliktene etter helseforskningsloven og personopplysningsloven med forskrift er kjent og blir fulgt. 6.1 Prosjektet Cardiac function and upper body blood flow in normal growth restricted fetuses and neonates: An observational study Navn: Ganesh Acharya REK-ref.: 105/2008 Varighet: Avsluttes Generelt om prosjektet Prosjektet studerer parametre for hjertefunksjon hos fostre fra andre halvdel av graviditet. Prosjektet gjør 3-5 undersøkelser i svangerskapet. Det måles både hjertefunksjon hos mor og barn. Gravide kvinner får informasjon om prosjektet ved ultralydscreening i uke 18. Ønsket populasjon i prosjektet er 120 kvinner. Datatilsynet har fått et tips om personopplysninger på avveie knyttet til dette prosjektet. Innholdet i dette tipset ble drøftet under kontrollen Funn Informasjon og samtykke Informasjon og samtykkeskjema gis gravide kvinner ved ultralydkontroll i uke 18. Personopplysninger Prosjektet lagrer informasjon om hjertefunksjonen til foster og mor. Prosjektomfanget er 120 respondenter. Personopplysninger er lagret avidentifisert. Prosjektet har en håndskrevet koblingsnøkkel på papir som er innlåst i skap. Prosjektet behandler avidentifiserte ultralydbilder på eget prosjektområde. Lagring Ultralydbilder lagres i første omgang på ultralydmaskinen, men kan overføres på prosjektets område på forskningsserveren på seinere tidspunkt. Bildene som er lagret på ultralydmaskinen kan fremvises fra forskningslabben. Øvrige målinger av hjertefunksjon lagres på serveren. Analyseresultater (målinger) etter gjennomgang av ultralydbilder lages på forskningsserveren. Tilgang 15 av 18

19 Prosjektmedarbeidere skal i utgangspunktet ha tilgang til data og bilder på eget prosjektområde på UNNs IT-løsning. Prosjektmedarbeidere får tildelt egen brukernavn og passord til prosjektområdet. I det ovenfor nevnte tips ble det hevdet at den utenlandske hospitanten ble gitt prosjektlederens brukernavn og passord, og fikk anledning til å hente ut personopplysninger fra ultralydmaskin. Under kontrollen kom det fram at den utenlandske hospitanten ved to anledninger fikk tilgang til en ultralydmaskin med avidentifiserte bilder med løpenummer. Her logget prosjektlederen på og overlot maskinen til den utenlandske forskeren. Egen brukernavn og passord ble ikke tildelt fordi det ble vurdert at gjesteforskerens befatning med bildene, til prosjektets formål, var av høyst midlertidig karakter. Datatilsynet og UNN er enige i at denne hendelsen må regnes som avvik fra virksomhetens rutiner for tilgangsstyring. Sikkerhetssjef i UNN tok i etterkant av hendelsen kontakt med prosjektleder og ga en orientering om hvordan rutiner og regler er for bruk av brukernavn og passord. UNN har i etterkant av meldte avvik iverksatt et nytt opplæringstiltak for medarbeidere ved UNN for å bedre kjennskapen til virksomhetens sikkerhetsinstruks. Datatilsynet konstaterer at dette tiltaket adresserer bakgrunnen for avviket. Avviket var heller ikke veldig inngripende, da det kun var ultralydbilder med løpenummer som var gjenstand for avviket, og fordi opplysningene ikke ble distribuert eller tatt med ut fra virksomheten. Datatilsynet konkluderer med at avviket er lukket. Avslutning og sletting Det må gjøres minst tre kontroller av alle deltakende respondenter. Ved tilbaketrekking av samtykke eller om respondent ikke møter til kontroll slettes alle tidligere undersøkelser om vedkommende. Ved prosjektets slutt i 2015 skal alle bilder være anomymisert. Prosjektleder føler et ansvar for å slette koblingsnøkkelen, men kjenner ingen rutiner for sletting/ makulering. Prosjektleder kjenner til at REK skal informeres ved prosjektavslutning. Nødvendige tillatelser Prosjektet er godkjent av REK (REK-referanse 105/2008). Kjennskap til helseforskningsrutiner Det framstår som om prosjektleder i liten grad kjenner UNNs rutiner for prosjektavslutning og sletting. Det at prosjektet likevel har en viss forståelse av rutiner for tilbaketrekking av samtykke og sletting ser ut til å være pga innholdet i tillatelsen fra REK og generell forskningskompetanse. 6.2 Prosjektet Kognitiv dysfunksjon og psykisk helse hos barn i skolealder Navn: Marianne Halvorsen REK-ref.: 2012/2009 Varighet: av 18

20 6.2.1 Generelt om prosjektet Prosjektet kartlegger psykisk helse blant barn fra seks til atten år. REK vurderer prosjektet som et kvalitetssikringsprosjekt, og dermed ikke omfattet av helseforskningsloven. Prosjektet innebærer heller ikke opprettelse av helseregister. Prosjektet faller dermed utenfor det kontrollen er ment å behandle, men Datatilsynet behandlet likevel prosjektet og prosjektets oppfyllelse av enkelte sider av helseregisterloven Funn Informasjon og samtykke Alle barn i målgruppa som er til utredning for psykiske forhold får informasjonsskriv og samtykkeskjema i posten etter utredningen. Det er foreldrene som fyller ut samtykkeskjema hvis barnet er under 11 år. Barn over 11 år signerer sammen med de(n) foresatte. Samtykkeskjema lagres i en egen hylle i et låst arkivrom. Personopplysninger Prosjektet ønsker ca 100 respondenter. Lagring Data lagres på et prosjektområdet som UNN har opprettet. En vitenskapelig assistent taster inn svar på spørreskjema. Opplysningene avidentifiseres ved tasting. Koblingsnøkkelen lagres på det sikre området. Prosjektleder, vitenskapelig assistent, to sekretærer og leder for avdelingen har tilgang til koblingsnøkkelen. Avslutning og sletting Prosjektleder kjenner ikke til rutiner for tilbaketrekking av samtykke. I det konkrete prosjektet har prosjektleder intensjon til å makulere samtykkeskjema og slette registrerte data på den konkrete respondenten. I praksis har ingen respondent trukket tilbake samtykket. Nødvendige tillatelser Prosjektet er vurdert av REK som ikke fremleggelsespliktig fordi det er kvalitetssikring. Prosjektet er meldt til personvernombud ved UNN på fastsatt skjema. Kjennskap til helseforskningsrutiner Prosjektleder sier hun kjenner til forskningsrutinene fra Forskningsavdelingen. Forskningsavdelingen oppleves som en støtte. 6.3 Prosjektet Seksualitet og klamydia blant elever i videregående skole i Finnmark Navn: Kirsten Gravningen REK-ref.: 23/2009 Varighet: Ukjent Generelt om prosjektet Prosjektet undersøker seksualitet og utbredelsen av klamydia blant elever på videregående skole i Finnmark. Undersøkelsen ble gjennomført i av 18