Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Like dokumenter
Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Rettslig regulering av helseregistre

Hvilken betydning har personvernforordningen på helseområdet

Personvernforordningen og utfordringer i dagens helsetjeneste

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Det juridiske rammeverket for helseregistre

Tilgang til data fra Reseptregisteret. Olaug Sveinsgjerd Fenne, Seniorrådgiver, Folkehelseinstituttet

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Beskrivelse av prosjektet Formålet med det omsøkte prosjektet er todelt:

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Christian Jonasson, NTNU. Viktige elementer for å lykkes med en søknad om helsedata

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)

Pasientjournalloven og helseregisterloven

Hva kan vi bruke NSD til?

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

Høring - Rapport fra Helsedatautvalget - Et nytt system for enklere og sikrere tilgang til helsedata

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

PERSONVERN OG DELING FRA KVALITETSREGISTRE

PERSONVERN I C-ITS

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Personvernperspektivet og oppbevaring av intervjumateriale

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Saksdokumenter - sak PS 0255/17. Høring - forskrift om befolkningsbaserte helseundersøkelser

HØRING Tilgjengeliggjøring av helsedata - forslag om endringer i helseregisterloven m.m.

GDPR General Data Protection Regulativ

Helseforskningsloven - intensjon og utfordringer

DEL I TILRÅDING ELLER KONSESJON?

Helseforskningsloven - lovgivers intensjoner

Høringssvar Rapport Helsedatautvalget : Et nytt system for enklere og sikrere tilgang til helsedata

Helse- og omsorgsdepartementet. Statsråd: Bent Høie Saksnr.: 19/2403. Fastsettelse av forskrift om medisinske kvalitetsregistre

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Mal for Vedtekter for nasjonale medisinske kvalitetsregistre

Personvern - behandlingsgrunnlag etter personopplysningsloven

Ny lov nye muligheter for deling av pasientopplysninger

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Rollefordeling og begrepsforståelse ved UiO etter nytt personvernregelverk

REK-vurderinger etter GDPR

Personvernerklæring Stendi

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Nye personvernregler

Hvilke muligheter og begrensninger gir den nye personvernlovgivingen? Universitetet i Oslo 3. Mai 2019

Overordnet vurdering av personvernspørsmål

Behandlingsprotokoll og behandlingsgrunnlag

Helsedatautvalget. Marta Ebbing, leder. HelseOmsorg21-rådet, 23. januar 2017

Endelig kontrollrapport Kreftregisteret / Janusbanken

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Helse-og omsorgsdepartementet. Høring: Forslag til endringer i egenandelsregisterforskriften

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Ny personvernforordning i EU/EØS GDPR (General Data Protection Regulations)

Retningslinjer for utlevering av data fra Kreftregisteret

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Høringsuttalelse om utkast til ny personopplysningslov

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Personvern, studentoppgaver og undervisning. Johannes Elgvin April 2019

Høringssvar til utkast til ny personopplysningslov gjennomføring av personvernforordning i norsk rett

Retningslinjer for utlevering av data fra Kreftregisteret

Helsedatautvalget og Helsedataprogrammet

Lovvedtak 76. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

102 Definisjoner og forklaringer

Forslag til ny lov om behandling av personopplysninger

Personidentifiserbart Norsk pasientregister

Ny statistikklov: Utlevering av statistikk til forskning

Hva betyr GDPR for forskere. Livet etter GDPR. Camilla Nervik Seniorrådgiver, Datatilsynet

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Taushetspliktens bakgrunn og begrunnelse hvilke interesser skal taushetsplikten beskytte? Ved førsteamanuensis Bente Ohnstad

Norsk hjertestansregister forventninger

PERSONVERN ARKIVKONFERANSE

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

RETNINGSLINJER FOR UTLEVERING AV DATA FRA NORSK PASIENTREGISTER

Forskning og kvalitetssikring to sider av samme sak? Georg Høyer Institutt for Samfunnsmedisin, Universitetet i Tromsø

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

VEILEDER FOR TEST AV HELSELØSNINGER OG VELFERDSTEKNOLOGI

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Helsedatautvalgets arbeid og veien videre

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

REKRUTTERING OG GDPR

Implementering av det nye personvernregelverket ved UiB

Eksempel fra helseregistre

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Ny personvernforordning trer i kraft i mai 2018

Vedtekter for Norsk Register for Analinkontinens - NRA revidert mars 2017.

Helsedirektoratet. Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Hjemmelsgrunnlag for anonymiseringsprosess i forbindelse med etablering av nasjonal, anonym sekvensvariantdatabase

Personidentifiserbart Norsk pasientregister. DRG-forum, 6. mars 2007

Transkript:

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning HEL-8020-1e av registerdata i forskning 24. april 2019 Seniorrådgiver/jurist Heidi Talsethagen, SKDE

Disposisjon Nye personvernregler og rettskildebildet Sentrale begreper og rettslig utgangspunkt Lovlig adgang å gi fra seg helseopplysninger (unntak fra taushetsplikt) Lovlig adgang til å behandle helseopplysninger (behandlingsgrunnlag) Pågående arbeid for enklere tilgang helsedataprogrammet Avgrensning: Gjennomgangen omfatter ikke de særlige reglene som gjelder forskning som involverer mennesker, samt forskningsbiobanker og forskning som involverer humant biologisk materiale 2

Nye personvernregler Personvernforordning 2016/679 General Data Protection Regulation: GDPR Direkte gjeldende i EU 25. mai 2018 Norsk rett f.o.m. 20. juli 2018 Begrenset spillerom for nasjonale tilpasninger Nasjonale lovendringer: ny personopplysningslov i særlovgivningen for helsesektoren er det i hovedsak gjort tekniske endringer

Rettskildebildet GDPR går foran norsk lov ved konflikt Alle norske regler må passe inn i personvernforordningens system for å være gyldige Helseregisterloven Spesialisthelsetjenesteloven Helseforskningsloven Helsepersonellloven Personvernforordningen (GDPR) Personopplysningsloven Psykisk helsevernloven Pasient- og brukerrettighetsloven Pasientjournalloven

Definisjoner GDPR artikkel 4 Personopplysninger enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte») o direkte og indirekte identifiserbare Anonyme opplysninger Helseopplysninger personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder også ytelse av helsetjenester som gir informasjon om personens helsetilstand Helseregister Enhver strukturert samling av personopplysninger som er tilgjengelig etter særskilte kriterier og som inneholder helseopplysninger

Definisjoner GDPR artikkel 4 Behandlingsansvarlig Den som alene eller sammen med andre bestemmer formålet med databehandlingen og hvilke midler som skal benyttes Behandlingsansvaret er en råderett ikke eiendomsrett I helselovene i Norge brukes begrepet «dataansvarlig» Databehandler Den som behandler opplysninger på vegne av den dataansvarlige Behandling enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger (f.eks. innsamling, registrering, strukturering, lagring, bruk, utlevering, sammenstilling, sletting etc.) Behandlingsgrunnlag = rettslig grunnlag/hjemmel (for databehandlingen) Har du ikke rettslig grunnlag i forordningen så har du ikke lovlig databehandling

Primærbruk sekundærbruk - forskning Yte, administrere, eller kvalitetssikre helsehjelp til enkeltpersoner Statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap Medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger Formålet med behandlingen bestemmer hvilken lov du skal anvende

Rettslig utgangspunkt Taushetsplikt gjelder alle som behandler helseopplysninger i klinisk praksis (pasientjournalloven 15) helseregister (helseregisterloven 17) forskningsprosjekt (helseforskningsloven 7) Utlevering og annen tilgjengeliggjøring Registrering, sammenstilling, lagring Den som har personopplysninger må ha lovlig adgang for å levere dem ut Den som mottar opplysningene må ha adgang til å behandle dem (behandlingsgrunnlag)

Utlevering/tilgjengeliggjøring

Aktuelle rettslige grunnlag Fra pasientjournaler Samtykke Dispensasjon fra taushetsplikt etter helsepersonelloven 29, helseforskningsloven 35 eller forvaltningsloven 13d til forskning (søknad til REK) Dispensasjon fra taushetsplikt etter helsepersonelloven 29 b til kvalitetssikring (søknad til Helsedirektoratet) Meldeplikt til sentrale helseregistre - helseregisterloven 13 og registerforskriftene Fra helseregistre Samtykke Dispensasjon fra taushetsplikt etter helsepersonelloven 29, helseforskningsloven 35 eller forvaltningsloven 13d (søknad til REK) Unntak fra taushetsplikt for utlevering av indirekte identifiserbare opplysninger etter helseregisterloven 20 (gjelder kun for helseregistre hjemlet i helseregisterloven 11) Sammenstillingsbestemmelser i de enkelte registerforskriftene Foreslått meldeplikt til nasjonale medisinske kvalitetsregistre i ny forskrift under utarbeiding Til virksomhetens ledelse for kvalitetssikring - helsepersonelloven 26

Informert Samtykke Dersom samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk Frivillig Skal kunne trekkes tilbake til enhver tid Uttrykkelig Bekreftende handling eller en erklæring Formkrav helseregisterloven - ingen formkrav, men bevishensyn tilsier at det bør være skriftlig helseforskningsloven krav om dokumenterbart GDPR «ved en erklæring eller en tydelig bekreftelse» og den behandlingsansvarlige skal «kunne påvise» at den registrerte har samtykket til behandlingen av personopplysninger om vedkommende Helseregisterloven 2 bokstav f, helseforskningsloven 13, GDPR artikkel 4 nr. 11 (grunnkrav) og artikkel 7 (vilkår for samtykke)

Adgang til å behandle opplysningene (behandlingsgrunnlag)

Rettslig grunnlag «Forordningen krever at all behandling av personopplysninger har rettslig grunnlag i forordningen og eventuelt i norsk lov. Dersom det etter norske regler er lov å behandle opplysningene, kan det legges til grunn at dette gir tilstrekkelig grunnlag også etter forordningen.» Helse- og omsorgsdepartementet: Rundskriv I-3/2019

Behandlingsgrunnlag i GDPR Artikkel 6 personopplysninger a) Samtykke b) Avtale som den registrerte er part i c) Å oppfylle en rettslig forpliktelse d) Vitale interesser e) Oppgave av allmenn interesse eller utøve offentlig myndighet f) Berettiget interesse Nødvendig med supplerende rettsgrunnlag i nasjonal rett eller i unionsretten for grunnlagene i - artikkel 6 bokstav c) og e) - artikkel 9 bokstav b), g), h), i) og j) Artikkel 9 særlige kategorier personopplysninger a) Samtykke b) Behandlinger på arbeidsrettens, trygderettens og sosialrettens område c) Vitale interesser d) Opplysninger av politisk, religiøs eller fagforeningsmessig art e) Opplysninger den registrerte har gjort offentlig kjent f) Fastsette, gjøre gjeldende eller forsvare et rettskrav g) Viktige allmenne interesser h) Yting av helsetjenester i) Allmenne folkehensyn j) Arkiv, forskning og statistikk (følger av artikkel 6 nr. 3 og artikkel 9 nr. 2)

Helseregisterloven De fleste nasjonale medisinske kvalitetsregistrene Forskrift om befolkningsbaserte undersøkelser Reseptregisteret, IPLOS, Abortregisteret m.fl. Ny forskrift for medisinske kvalitetsregistre forventet i løpet av 2019 10 helseregistre med egne forskrifter pr. register (NPR, Dødsårsaksregisteret, Kreftregisteret m.fl.) Helsearkivforskriften 7 Konsesjon Etter vedtak fra Datatilsynet NB! Bestemmelsen opphørt med den nye personopplysningsloven og GDPR etter 20.07.18 9 Samtykkebasert eller uten direkte personidentifiserende kjennetegn 10 Ikke samtykkebasert, men med reservasjonsrett 11 Lovbestemte helseregistre uttømmende opplistet i bestemmelsen - ikke krav om samtykke 8 Vilkår for etablering av helseregistre ved forskrift (krav til innholdet i forskriften) 12 Helsearkivregisteret -Avdøde pasienter 6 Alminnelige vilkår

Vedtak om dispensasjon fra taushetsplikt som supplerende rettsgrunnlag til forskningsformål til kvalitetssikringsformål Medisinsk og helsefaglig forskning Helsetjenesteforskning Kvalitetssikring, helseanalyse mv. Behandlingen omfattes av helseforskningsloven Behandlingen omfattes av helseregisterloven Behandlingen omfattes av helseregisterloven Søknad til REK Vedtak om dispensasjon fra taushetsplikt - helsepersonelloven 29 - helseforskningsloven 35 - forvaltningsloven 13d Søknad til Helsedirektoratet Vedtak om dispensasjon fra taushetsplikt - helsepersonelloven 29b Vedtakene om dispensasjon fra taushetsplikt gir supplerende rettsgrunnlag og adgang til behandling av helseopplysninger jf. krav etter GDPR i artikkel 6 og 9

Helseforskningsloven krav om forhåndsgodkjenning Behandling av helseopplysninger i medisinsk og helsefaglig forskning krever forhåndsgodkjenning fra REK ( 33) Praktisk viktig unntak: Tilgang til og forskning på avidentifiserte opplysninger fra forskriftsbaserte helseregistre (etter helseregisterloven 8 til 11) avgjøres av den registeransvarlige krever ikke tillatelse fra REK med mindre annet følger av forskriftene til registrene Dvs. forskningsetisk forhåndsgodkjenning

Supplerende rettsgrunnlag i personopplysningsloven Personopplysningsloven 8 og 9 gir supplerende rettsgrunnlag for behandling av henholdsvis personopplysninger og helseopplysninger til arkiv-, forskning- og statistikkformål kommer i tillegg til bestemmelsene i særlovgivningen «sikkerhetsnett» i overgangen til ny personvernlovgivning der vi ikke har tilstrekkelige bestemmelser i særlovgivningen i dag

Eksempel behandlingsgrunnlag forskningsprosjekt i SKDE Type opplysninger Rettslig grunnlag GDPR Supplerende rettslig grunnlag i nasjonal rett Kvalitativ studie i AP2 Opplysninger fra: Registrerte pasienter i Ledddproteseregisteret Helsepersonell Personopplysninger (fra pasienter og helsepersonell) Helseopplysninger (fra pasienter) Artikkel 6 nr. 1. bokstav a samtykke Artikkel 9 nr. 2 bokstav a - samtykke Ikke nødvendig Ikke nødvendig Kvantitative studier i AP2, AP3 og AP4 Opplysninger fra: NPR, HKR, DÅR, Leddproteseregisteret, Hoftebruddregisteret, KUHR SSB Personopplysninger Helseopplysninger Artikkel 6 nr. 1 bokstav e - behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse Artikkel 9 nr. 2 bokstav j - behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål Vedtak om dispensasjon fra taushetsplikt fra følgende: REK (for utlevering fra NPR, KPR, DÅR HKR og kvalitetsregistrene), jf. helsepersonelloven 29 og forvaltningsloven 13 d (Vedtak gitt 06.11.18 med endringer 20.12.18 og 11.02.18) Helsedirektoratet (for KUHR), jf. forvaltningsloven 13 d (ikke søkt pr. dato) SSB, jf. statistikkloven 2-5 og evt. personopplysningsloven 8 dersom SSB ikke anser vedtaket som tilstrekkelig (ikke søkt pr. dato)

Vurdering av personvernkonsekvenser Data Protection Impact Assessment (DPIA) krav etter artikkel 35 Prosess som bl.a skal Beskrive behandlingen av personopplysningene Vurdere om behandlingen er nødvendig og proporsjonal Bidra til å håndtere risikoen for brudd på den registrertes rettigheter DPIA er ikke et behandlingsgrunnlag dvs. å gjennomføre en DPIA reparerer ikke en ulovlig behandling av personopplysninger

Trinnene i en prosess for DPIA Ref.: Artikkel 29-arbeidsgruppen for beskyttelse av personopplysninger: Retningslinjer for vurdering av personvernkonsekvenser ( ) WP 248 rev. 01 https://www.regjeringen.no/contentassets/1b6b0aebf624465f9704cadeaa320269/veileder_vurder ing_personvernkonsekvenser_norsk_versjon.pdf

GDPR - krav om forhåndsdrøftinger med Datatilsynet Krav om forhåndsdrøftelse (rådføre seg med Datatilsynet) dersom personvernkonsekvensanalysen (etter art 35) viser at behandlingen gir høy risiko (art 36) mulighet for Datatilsynet å stille ytterligere vilkår til behandlingen eller pålegge tiltak har i utgangspunktet frist på 8 uker for tilbakemelding kan forlenges med 6 uker - art 36 (2)

Tidsbruk i helseregisterforskning

Helsedataprogrammet Utklipp fra Direktoratet for e-helse sin brosjyre om «Helsedataprogrammet, Konseptvalgutredning for Helseanalyseplattformen»

Enklere og sikrere tilgang til helsedata Utklipp fra Kunnskapsdepartementets «Nasjonal strategi for tilgjengeliggjøring og deling av forskningsdata», s. 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding