Meldeskjema - for forsknings-/kvalitetsstudier og annen aktivitet som medfører behandling av personopplysninger som er melde- eller konsesjonspliktig i henhold til helseregisterloven og personopplysningsloven med forskrifter. Utfylt skjema sendes til personvernombudet for virksomheten. 1 INFORMASJON OM SØKEREN A. (DATA-)BEHANDLINGSANSVARLIG VIRKSOMHET Navn på virksomheten Organisasjonsnummer Postadresse Postnr. Sted Land Telefonnummer Telefaksnummer E-postadresse B. DIVISJON / AVDELING HVOR PROSJEKTET GJENNOMFØRES D. PROSJEKTETS KONTAKTPERSON Navn og stilling Telefonnummer E-postadresse E. MULTISENTERSTUDIE Er prosjektet en multisenterstudie? Dersom ja, angi øvrige virksomheter som deltar: Skal noen av disse også ha kopi av elektronisk database/informasjon som etableres i prosjektet? F. DERSOM ANNEN VIRKSOMHET HAR KONSESJON FOR PROSJEKTET Er prosjektet organisert fra et legemiddelfirma eller annen virksomhet som allerede har konsesjon? Dersom ja, angi virksomhetens navn (Kopi av konsesjonen skal sendes personvernombudet, og prosjektet skal meldes til personvernombudet som meldepliktig prosjekt, dvs skjemaet fylles ut med unntak av punktene 8.2, 8.3, 9 og 10.): Skal den eksterne også ha kodelisten/navnelisten over deltakere? Dekker denne meldingen utlevering av opplysninger fra virksomheten til firma/virksomhet som har konsesjon? 2 PROSJEKTETS NAVN/TITTEL 3 BESKRIV FORMÅLET MED BEHANDLINGEN/PROSJEKTET 1 1 Behovet for konsesjon/melding er knyttet opp til hvilket formål man har med behandlingen av personopplysningene. Pasientjournalsystemet er meldt i sin helhet, og har lovhjemlet formål. Når informasjon i journalsystemet skal benyttes til andre formål, kommer behovet for konsesjon, alternativt ny melding, opp, og man må angi formålet med den nye bruken/behandlingen av personopplysningene. Formulering av formålet er derfor viktig. Tilsvarende gjelder for annen innsamling og behandling av pasient-/personopplysninger. Formålet må samsvare med det som beskrives i samtykket fra hver enkelt person som deltar i studien. Datatilsynet, 20.11.2013 Side 1 av 7
4 BEHOV FOR KONSESJON ELLER MELDING 4.1 Meldepliktige prosjekter Siden virksomheten har personvernombud, vil de fleste studier kun være meldepliktige Ett av de tre hovedpunktene under må være oppfylt for at studien skal være meldepliktig, og unntatt fra konsesjon: 1. Prosjektet er omfattet av personopplysningsforskriften 7-27. (Punkt a må være oppfylt, samt enten b eller c) a) Prosjektet er tilrådd av personvernombud. For prosjekter med medisinsk eller helsefaglig forskning skal prosjektet i tillegg være godkjent av REK. b) Ikke stort omfang, men lang varighet og identifiserbart, eller c) store datasett og tilfredsstillende avidentifisert eller pseudonymisert. Frafallsanalyser (analyser av fordelinger over utdanning, inntekt og ytelser m.m. blant fremmøtte og ikke-fremmøtte for å beregne betydningen av frafallet) er også unntatt dersom de er basert på samtykke. 2. Prosjektet/behandlingen har hjemmel i lov og utføres i regi av organ i stat eller kommune (eks. kvalitetssikring etter helsepersonellovens 26) se personopplysningsloven 33, fjerde ledd. 3. Prosjektet er regulert i forskrift som spesielt angir at det er unntatt fra konsesjonsplikt eller underlag meldeplikt (f.eks. de sentrale helseregisterforskriftene) 4.1.1 Avklaringspunkter 1 a), det benyttes kobling mot andre personregistre, eks. fødselsregister, kreftregister, dødsårsaksregister eller tilsvarende. Dersom ja; er prosjektet fremleggingspliktig og tilrådd av REK? 1 b) Lang varighet Oppgi tidspunkt for når studien avsluttes og personopplysningene slettes eller anonymiseres (kodelisten slettes). Dersom det er vanskelig å angi tidspunkt, skriv en tekstforklaring sammen med antatt tidspunkt. NB! Husk å inkludere tid for innsamling, bearbeiding og publisering ved angivelse av tidspunkt: 1 c) Store datasett, opplysningene er tilfredsstillende avidentifisert eller pseudonymisert, studien inkluderer et stort omfang av personer og/eller data dvs mer enn 5000 og/eller opplysninger av svært inngripende karakter Angi totalt antall inkluderte: Angi hvilke type opplysninger som vurderes til å være av svært inngripende karakter: Gjelder prosjektet frafallsanalyser? Dersom ja, er de basert på samtykke? ELLER 4.1.2 Intern kvalitetsoppfølging ELLER, prosjektet oppfyller helsepersonelloven 26 (Opplysningene må være slettet eller anonymisert før eventuell publisering av resultater. Det kreves ikke samtykke (ref. punkt 8). Personopplysningsloven 33 4. ledd gir unntak for konsesjon, men krever melding. Pasienter som har reservert seg mot slik bruk av opplysningene, skal respekteres.) 4.1.3 Annet som hjemler melding, angi årsak/hjemmel: Dersom dette er en meldepliktig studie, besvares ikke punkt 10 4.2 Konsesjonspliktig prosjekt (Dette punktet benyttes av virksomhetens personvernombud dersom studien er konsesjonspliktig) Prosjektet tilfredsstiller ikke forutsetningene for melding (se punktene under 4.1), og må ha konsesjon Datatilsynet, 20.11.2013 Side 2 av 7
5 PROSJEKTPERIODE Angi dato for oppstart (dd.mm.åååå): Oppdatert melding (forutsetter samme formål som forrige melding), angi dato (dd.mm.åååå): Angi dato for prosjektavslutning (NB! Må inkludere innsamling, analyse/vurdering, artikkelskriving/konklusjon og eventuelt tid for oppbevaring etter ferdigstilling. Dette gir dato for sletting/anonymiseringer av personopplysningene.) 6 HUMANT, BIOLOGISK MATERIALE (dd.mm.åååå): Medfører prosjektet bruk av humant, biologisk materiale som tas kun for denne studien, dvs ikke i diagnostisk eller behandlingsmessig hensikt? Dersom ja, vil forskningsprosjekt vil alltid måtte etablere biobank. (Kvalitetssikringsprosjekt, ref HPL 26, vil benytte diagnostisk/behandlingsmessig biobank og trenger ikke melde forskningsbiobank.) Er det sendt inn søknad om opprettelse av forskningsbiobank? 7 DETALJER OM PROSJEKTETS INFORMASJONSBEHANDLING 7.1 Type personopplysninger behandlingen skal omfatte: 7.1.1 Ikke-sensitive personopplysninger 7.1.2 Sensitive personopplysninger (jf. personopplysningsloven 2 nummer 8) Identifikasjonsopplysninger Navn, adresse, fødselsdato Fødselsnummer (11 siffer) Fingeravtrykk, iris Annet Prosjektet omfatter opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling helseforhold seksuelle forhold Opplysninger om tredjepersoner Navn, adresse, fødselsdato Legg ved prosjektbeskrivelse Fødselsnummer (11 siffer) Annet 7.2 Informasjon om utvalget Behandlingen omfatter opplysninger om (beskriv også eventuell kontrollgruppe): Ansatte i egen virksomhet Elever/studenter/barnehagebarn Pasienter Tilfeldig utvalgte Adgangskontrollerte Medlemmer Kunder/klienter/brukere Seleksjonsutvalgte Andre: Angi størrelsesorden på utvalget: Inkluderer utvalget personer med begrenset samtykkekompetanse, eks mindreårige, demente eller annet? Dersom ja, forklar: 7.3 Innsamling av opplysningene Hvordan samles personopplysningene inn? Manuelt Annet (beskriv hvordan): Elektronisk (bilde og tekst) Videoopptak Lydopptak Datatilsynet, 20.11.2013 Side 3 av 7
Hvor innhentes personopplysningene fra? Fra den registrerte selv Annet (beskriv hvor fra): 7.4 Bruk og utlevering av opplysningene Hvordan skal opplysningene brukes? Registreres Lagres Sammenstilles. Angi med hva (eksterne registre eller interne konsesjonsbelagte registre): Utleveres. Angi til hvem: Annet. Forklar hvordan: Blir personopplysningene gjort tilgjengelige/utlevert til andre? (Dersom nei, gå videre til punkt 7.5.) Dersom ja, oppgi mottakeres navn og adresse, samt hvilken rolle mottakeren har i prosjektet: Overføres opplysningene til utlandet? (Dersom nei, gå videre til punkt 7.5) Dersom dette gjelder land utenfor EU / EØS, angi land: Hva blir overført? Informasjon med navn, personnummer eller annet som entydig angir det enkelte individ Anonymisert informasjon Avidentifisert informasjon. Forklar i så fall hvordan kryssreferanseliste beskyttes dersom dette ikke er likt som i pkt 7.7: Hvordan oversendes informasjonen? Overført til diskett eller tilsvarende og sendt i vanlig postgang Sendt over eksterne linjer Hvordan er informasjonen sikret mot uautorisert avlytting? Er det inngått avtale med mottaker, slik at personvernet er sikret ved oversendt informasjon? 7.5 Annen årsak til overføring i eksternt datanett Overføres opplysningene i eksternt datanett ut over det som er spurt om i 7.4? Datatilsynet, 20.11.2013 Side 4 av 7
Dersom ja, forklar: Datatilsynet, 20.11.2013 Side 5 av 7
7.6 Lagring og behandling av opplysninger Hvordan lagres opplysningene? Elektronisk; på server i virksomhetens nettverk. Angi navn på server: Elektronisk; på frittstående PC eiet av virksomheten (dvs ingen tilknytning til andre PC-er eller nettverk, interne eller eksterne) Forklar hvordan PC en er sikret: På papir. Forklar hvordan dette sikres mot uvedkommende: På video, tape eller annet opptak. Beskriv hva og hvordan dette er sikret mot uvedkommende, og om personen kan identifiseres: Annet. Forklar: 7.7 Gjenfinning av opplysningene Hvordan gjenfinnes opplysningene? (Bruk av direkte identifisering som personnummer og navn skal forsøkes unngått) Opplysningene lagres med navn, personnummer eller annet som entydig angir det enkelte individ Opplysningene lagres avidentifisert (ved bruk av krysslister, kodelister, løpenummer eller lignende) Hvordan er krysslister/kodelister beskyttet/lagret? Forklar: 8 RETTSLIG GRUNNLAG FOR BEHANDLING AV PERSONOPPLYSNINGENE Som hovedregel skal informert samtykke innhentes. Dersom personens helse eller annen tilstand umuliggjør dette, kan det likevel søkes konsesjon. Det må da utdypes hvordan ulempen for den enkelte og personvernet alternativt håndteres hvilke samfunnsmessig interesse gjennomføring av prosjektet innebærer Hva er grunnlag for behandlingen? (jf. personopplysningsloven 8 og 9) Kryss av for vilkår(ene) som ligger til grunn: Samtykke Hjemmel i lov eller behandlingen er nødvendig for å vareta en berettiget interesse Dersom behandlingen inneholder sensitive opplysninger, kryss av for vilkår(ene) som ligger til grunn: Samtykke Hjemmel i lov Det behandles utelukkende opplysninger som den registrerte selv frivillig har gjort alminnelig kjent 8.1 Oppfyllelse av informasjonsplikten Hvordan skal informasjonsplikten i POL 19 og 20 oppfylles? eller behandlingen er nødvendig for at den behandlingsansvarlige skal kunne gjennomføre sine arbeidsrettslige plikter eller rettigheter forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie, pasientbehandling, eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt historiske, statistiske eller vitenskaplige formål, og samfunnets interesse i at behandlingen finner sted Når opplysninger samles inn fra den registrerte Når opplysninger samles inn fra andre enn den registrerte Muntlig Muntlig Skriftlig Skriftlig Legg ved kopi av dokumentasjonen Datatilsynet, 20.11.2013 Side 6 av 7
8.2 Annet grunnlag for behandlingen? 8.3 Andre tillatelser Fremleggingsplikt for REK Dispensasjon fra taushetsplikten. Legg i så fall ved/ettersend dispensasjonen. Andre tillatelser, forklar og legg ved/ettersend: 9 OPPFYLLELSE AV ENKELTE BESTEMMELSER I PERSONOPPLYSNINGSLOVEN Hvor lenge må opplysningene være identifiserbare? Angis med måned og år (Til tiden for prosjektet må det inkluderes tiden det tar å gjennomføre innsamling av opplysninger, bearbeiding av opplysningene, konkludering, utforming av eventuelle artikler og eventuelle krav om oppbevaring etter publisering.) Skal opplysningene oppbevares etter at formålet er oppfylt? (dvs etter tidspunkt angitt ovenfor) Dersom ja, angi på hvilket grunnlag: i medhold av arkivloven annen lovgivning, angi lovhjemmel: (mm.åååå): historiske etter statistiske formål vitenskaplige formål Dersom opplysningene behandles for historiske, statistiske eller vitenskapelige formål, legg ved en beskrivelse av de samfunnsinteresser som vil oppveie personvernulempene. Det innsamlede materiale skal ved angitt tidspunkt (se punkt 5) slettes eller anonymiseres (kun et av alternativene anonymisering eller sletting skal avkrysses): Slettes ved prosjektavslutning Anonymiseres, forklar hvordan: Personopplysninger (inkludert avidentifiserte/kodede opplysninger) lagres kun på papir 10 INTERNKONTROLL OG INFORMASJONSSIKKERHET, virksomheten har sikkerhetsmål, sikkerhetsstrategi og sikkerhetsorganisering, virksomheten har foretatt risikovurdering innen forskning, virksomheten har etablert internkontrollsystem og tilpasset dette til forskning Utføres behandlingen i henhold til annet regelverk som regulerer sikkerheten? Dersom ja; hvilket regelverk? 11 UNDERSKRIFT Sted og dato Underskrift Datatilsynet, 20.11.2013 Side 7 av 7