Innføring av ny personvernforordning (GDPR) på universitetet Styringsdokument Styringsgruppemøte 21. juni 2018
Innhold Side Agendapunkter 3 Sak 1: Godkjenning av referat 4-6 Sak 2: Leveransene i prosjektet 7-8 Sak 3:Kvalitetssystem for behandling av personopplysninger i forskning 9-10 Sak 4: Status systemkartlegging og tilbakemelding til enhetene 11-12 Sak 5: Prosjektrapporten 13 Sak 6: Eventuelt Styringsdokument Side 2
Sak 1: Godkjenning av referat Godkjenning av referat fra 24.5.18 Styringsdokument Side 3
Sak 2: Leveransene i prosjektet Milepælsplanen 22.06.2018 4
Oppsummering Intensive måneder med mye godt arbeid Alle baller i luften landet én etter én God sammensetning av prosjektmedlemmer Burde vært egne arbeidsgrupper, særlig innenfor forskning Svært utfordrende å møte informasjonsbehovet samtidig som vi skulle levere godt innhold 22.06.2018 5
Resultatet: Vi har levert på alle leveransene Vi har sett leveransene i sammenheng Vi har basert på oss på en veldig god og omstendelig kommunikasjonsplan Nådd frem til «alle» på UiO Oppnådd svært god ledelsesforankring Oppnådd mye høyere bevissthet enn tidligere Personvern er ikke lenger bare et eget fagområde, det er blitt en del av alle fagområder 22.06.2018 6
Sak 3: Kvalitetssystem for behandling av personopplysninger i forskning GDPR i forskning må sees i sammenheng med andre rutiner og retningslinjer forskere skal følge
Beholder kvalitetssystemets struktur Styrende delegasjon av oppgaver fra behandlingsansvarlig Gjennomførende prosjektleders oppgaver Kontrollerende Internrevisjon og avvikshåndtering Eksisterende kvalitetssystem følger Datatilsynets veileder for internkontroll
Rutiner og retningslinjer ved Universitetet i Oslo Kvalitetssystem for forskning Personvern i forskning Retningslinjer for eksternt finansierte forskningsprosjekter Etiske retningslinjer for veiledere ved UiO Politikk for håndtering av immaterielle rettigheter Politikk for Open Access Rutine for ivaretakelse av dyrevelferd Regler for sidegjøremål
Prinsippene i praksis - dokumentasjon Kvalitetssystem for medisinsk og helsefaglig forskning: Oversikt over prosjekter: Helseforsk Forskningsprotokoll Datahåndteringsplan Godkjenninger Samarbeidsavtaler Databehandleravtale Ledelsens oppmerksomhet Intern forankring/godkjenning Dialog forsker ledelse om forskningsetikk Opplæring på forskjellige arenaer Registrering av sidegjøremål
Forskningsetikk og personvern i forskning Autonomi - Forskningsdeltaker Personlig autonomi samtykke basert på informasjon. Respekt for enkeltmenneskers integritet og verdighet. GDPR krever at samtykket er dokumenterbart, som også er et krav i helseforskningsloven
Innmeldte behov til nye rutiner - Registerkoblinger med nytt regelverk informasjon om microdata - Bruk av data fra arkiv - Prosedyre for muntlig samtykke - Forskningsdata som er arkivverdige OD og PSI har klinikker som skal følge Hdirs retningslinjer behov for tydelige rutiner for pasientbehandling og bruk av disse dataene til forskning
Nettside med rutinesett https://www.uio.no/foransatte/arbeidsstotte/personvern/kvalitetssystem-utkast/# 6. desember 2017 Styringsdokument Side 13
Sak 4:Status systemkartlegging og tilbakemelding til enhetene USIT: 44 systemer kartlagt Hovedfunn: manglende ROS-analyser, formål- og hjemmelsvurderinger og vurdering av lovlig lagringstid, dokumentasjon SKAIT: 38 systemer kartlagt Hovedfunn: noen få ROS analyser, formål- og hjemmelsvurderinger, vurdering av lagringstid av data i systemene Forskning og undervisning: 38 systemer kartlagt Hovedfunn: noen få ROS analyser, formål- og hjemmelsvurderinger, vurdering av lagringstid av data i systemene, manglende databehandler avtaler, manglende lenke til dokumentasjon
Systemkartlegging: oppfølging USIT Bestilling er sendt i linja Det er gjennomført workshop for databehandleravtaler, ROS og formål- og hjemmelsvurdering Frist for ROS ut august 2018 SKAIT Behandlet i systemgruppeforum 11. juni ROS under kontroll manglet på småsystemer Formål- og hjemmelsvurderinger bestilles fortløpende Startet vurdering av lagringstid, må følges opp til høsten. Må vurderes opp mot annen lovgiving Sendt ut forslag til brev som kan sendes eksterne databehandlere for å be de om å oppdatere avtalene Forskning og utdanning Sender tilbakemelding til fakultetene med lister over systemer Tilbud om workshop 20. august Bedt om at systemene som mangler registreres i meldeapp en, at det gjennomføres ROS og utarbeides databehandleravtaler der det er relevant
Sak 5: Prosjektrapporten Lenke til rapporten Inneholder: Sammendrag Anbefalte oppfølgingspunkter Bakgrunn for prosjektet Prosjektets viktigste leveranser Personvernstrategi Prosedyrer for etterlevelse Personvernkonsekvensvurdering (DPIA) Personvernombud Informering og opplæring Tilleggleveranse håndtering av forskningsprosjekter Oppnåelse av prosjektets mål Evaluering av prosjektet Parkeringsplass med forslag til tiltak og ansvar 6. desember 2017 Styringsdokument Side 16
Sak 5: Prosjektets anbefalinger Etableres en arbeidsgruppe for personvern i forskning Etablering av overordnet kvalitetssystem for behandling av personopplysninger i forskning Medlemmer bør være forskere fra forskjellige forskningsdisipliner/-områder Sekretariat med kompetanse på personvern og etikk i forskning UiO har behov for intern oversikt over forskningsprosjekter Etterlevelse av lovkrav Dokumentasjonsforvaltning Interne godkjenninger Opplæring Obligatorisk opplæring i personvern og etikk for forskere ph.d-kandidater og master- /bachelorstudenter Personvern og informasjonssikkerhet må inn i eksisterende opplæringstilbud for fagavdelingene Generelle e-læringskurs innen personvern og informasjonssikkerhet 6. desember 2017 Styringsdokument Side 17
Sak 6: Eventuelt 6. desember 2017 Styringsdokument Side 18