"'~ Datatilsynet Helse Midt-Norge RHF Postboks 464 7501 STJØRDAL HELSE o: MIDT-NORGE Saksdok.: Mottatt: 2 B AUG. 2013 Saksbeh ---Unnt.off.: Arkiv: -. Deres referanse 2010/121-1653/2013 Vår referanse (bes oppgitt ved svar) 06/011 07-20/CGN Dato 26. august 2013 Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge Datatilsynet viser til klage på avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge, datert 5. mars 2013. Datatilsynet beklager sterkt at det har tatt uforholdsmessig lang tid å behandle denne saken. Videre oppfølging av saken vil bli prioritert av Datatilsynet. Sakens opplysninger Regional Forskningsbiobank Midt-Norge (RFB) fikk konsesjon fra Datatilsynet i vedtak av 6. februar 2007. Formålet til registeret var avgrenset til behandling av personopplysninger knyttet til Regional Forskningsbiobank Midt-Norge. Selve biobanken hadde godkjenning fra Sosial- og helsedirektoratet, og etter helseforskningsloven trådde i kraft fra REK. I brev av 13. desember 2012 søkte Helse Midt-Norge om endring av den eksisterende konsesjonen til å omfatte: l. Inkludering av flere personer 2. Utvidelse av mengden data i helseregisteret. Slik Datatilsynet forstår søknaden, ønsker Helse Midt-Norge HF å inkludere opplysningene som fremkommer i de enkelte forskningsprosjektene som er utledet fra biobankmaterialet. Datatilsynet vurderte søknaden og ga med hjemmel i helseregisterloven 5, jf. personopplysningsloven 33, jf. 34, delvis avslag på søknad om utvidelse konsesjon i vedtak av 24. januar 2013. Avslaget gjaldt den delen av søknaden som omhandler tilbakeføring av data fra enkeltprosjekter. Begrunnelsen for avslaget var manglende behandlingsgrunnlag, jf. helseregisterloven 5, jf. personopplysningsloven 11 a, jf 8 og 9. Postadresse: Kontoradresse: Postboks 8177 Dep Tollbugt 3 0034 OSLO Telefon: 22 39 69 00 Telefaks: 22 42 23 50 Org.nr. 974 761 467 Hjemmeside: www.datatilsynet.no
Datatilsynet påpekte også i avslaget at en organisering av registeret som medfører at det blir utvidet gjennom enkeltstående forskningsprosjekter ikke vil være en tilfredsstillende løsning informasjonssikkerhetsmessig. Klagens anførsler Helse Midt-Norge har påklaget det delvise avslaget, og ber om at Datatilsynet omgjør sitt vedtak. Klagen gjelder for det første Datatilsynets konklusjon om at det ikke foreligger behandlingsgrunnlag for den omsøkte utvidelsen. For det andre knytter klagen seg til Datatilsynets vurdering av informasjonssikkerheten. Datatilsynets vurdering- delvis omgjøring av avslaget Datatilsynet har vurdert sakens opplysninger på nytt, og har kommet til at vedtak om delvis avslag av 13. desember 2012 omgjøres i samsvar med forvaltningsloven 33 a!ulet ledd. l) Helseregisterloven og helseforskningsloven Tilsynet ønsker å knytte noen kommentarer til hvilke regelsett som gjelder for de forskjellige behandlingene av opplysninger som beskrives i tilknytning til Regional Forskningsbiobank Midt-Norge. Datatilsynets konsesjon av 6. februar 2007 ble gitt i medhold av helseregisterlovens bestemmelser. Helseforskningsloven trådte i kraft den l. juli 2009, og godkjenning av forsknings bi o banker er regulert av denne loven. Behandling av helseopplysninger i tilknytning til forsknings bi o banker reguleres av helseregisterloven, eventuelt av helseforskningsloven dersom det er i forbindelse med konkrete forskningsprosjekter. For Regional Forskningsbiobank Midt-Norge er situasjonen derfor slik at det er helseforskningsloven som gjelder selve biobanken, mens helseregisterloven regulerer registeret som er opprettet i tilknytning til biobanken. I tillegg er det helseforskningsloven som regulerer enkelte prosjekter som gjennomføres på materialet i biobanken. Enkelte prosjekter må godkjennes av REK i medhold av helseforskningsloven, og de må også være i overensstemmelse med Datatilsynets konsesjon som er gitt i medhold av helseregisterloven. Endringer av registeret kan kun gjøres dersom dette er i samsvar med konsesjonen, og eventuelt etter søknad om utvidelse eller endring. Il) Behandlingsgrunnlag Enhver behandling av helseopplysninger må ha gyldig behandlingsgrunnlag, jf. helseregisterloven 5, jf. personopplysningsloven 8 og 9. Datatilsynets konsesjon til behandling av opplysninger i RFB er gitt under forutsetning av at de registrerte samtykker til behandlingen, og det foreligger dermed behandlingsgrunnlag etter personopplysningsloven 8 a) og 9 første alternativ. 2
Datatilsynet kom i avslag av 13. desember 2012 til at de samtykkene som var avgitt fra de registrerte i RFB ikke var dekkende for den omsøkte utvidelsen. Begrunnelsen for avslaget var at registeret ville være av et helt annet omfang og ha et annet bruksområde enn det oppri1melige registeret, og at samtykkene dermed ikke ville være et gyldig behandlingsgrunnlag. Helse Midt-Norge anfører i klagen at inkludering til registeret vil skje i gjennom enkeltprosjekter som i all hovedsak er samtykkebaserte i samsvar med kravene i helseforskningsloven. Kun i unntakstilfeller vil prosjektene gjennomføres uten samtykke, men de vil da ha nødvendige dispensasjoner fra taushetsplikt. Datatilsynet har kommet til at den omsøkte utvidelsen og endringen er basert på samtykke i større grunn enn det som først ble lagt til grunn. Vedtak om avslag omgjøres derfor delvis som følge av dette. Omgjøringen knytter seg til de tilfellene hvor inkluderingen i registeret er basert på samtykke. For de tilfellene registreringen ikke er samtykkebaserte, opprettholdes tilsynets avslag. Datatilsynets kompetanse etter helseregisterloven er begrenset, jf. 7 og 8. Etter disse bestemmelsene går det frem at sentrale helseregistre ikke kan opprettes uten gjennom forskrift. Datatilsynet har i sin praksis lagt til grunn at sentrale registre ikke kan opprettes med hjemmel i konsesjon uten at de er samtykkebaserte. Videre legges det i vurderingen av om det kreves forskrift vekt på registrenes omfang, sensitivitet og varighet. En utvidelse av Regional Forskningsbiobank Midt-Norge som ikke er basert på samtykke, vil etter tilsynets oppfatning trolig kreve forskriftsregulering i henhold til helseregisterloven 7 eller 8. Datatilsynet ønsker å presisere at kravene til samtykke etter helseregisterloven ikke alltid samsvarer med helseforskningslovens krav. Helseforskningsloven tillater for eksempel brede samtykker i kombinasjon med krav om informasjon i større grad enn helseregisterloven gjør. Det forutsettes at samtykker i enkeltprosjekter er dekkene også for inkludering i registeret i samsvar med bestemmelsene i helseregisterloven. Ill) Tilbakeføring av data fra forskningsprosjekter Datatilsynets avslag var også knyttet til den organisatoriske løsningen Helse Midt-Norge søkte om konsesjon for. Etter Datatilsynets forståelse var det i søknaden om utvidelse av registeret ønskelig å inkludere informasjon utover det opprinnelige formålet, som var etablering av en forholdsvis rendyrket bi o bank. Det var ønskelig å inkludere en del klinisk informasjon om personen materialet stammer fra. Opplysningene som ble søkt inkludert skal genereres i de enkelte forskningsprosjektene som gjennomføres på materialet. Det ble søkt om utvidelse av konsesjonen til å omfatte "lagring av alle personopplysninger som REK tillater behandlet". Søknad om utvidelse ble begrunnet i følgende momenter: 3
Forskerne ønsker å lagre opplysningene om prosjektdeltakerne innenfor samme system som prøveopplysningene, først og fremst fordi de vil slippe de tekniske utfordringene med å lage sine egne systemer, men også for å slippe en del av de formelle pliktene og ansvaret med et helseregister. En samling av data vil innebære fordeler ved senere sammenstilling og statistisk bearbeidelse av innsamlede data, særlig ved behov for søk etter prøver som tilfredsstiller visse kriterier. Det er ønskelig å benytte RFBs database i rent kliniske prosjekter. Det ble anført at et avslag på søknad om utvidelse av konsesjonen ville medføre at forskningsprosjektene blir gjennomført med mindre sikre datalagringssystemer og med høyere nivå av personidentifikasjon. Datatilsynet la ikke vekt på dette argumentet, da det må forutsettes at prosjekter som godkjennes tilfredsstiller helseforskningslovens og helseregister lovens krav til informasjonssikkerhet. Følgende vurdering ble gjort i avslaget: «Tilsynet er enige i at det kan være mer praktisk for forskningen som skal gjennomføres at opplysningene samles på ett sted, men dette kan ikke tillegges avgjørende vekt. Etter Datatilsynets oppfatning og praksis, vil en organisering i mindre proojekter som hovedregel ivareta personvernet på en bedre måte. Datatilsynet kan ikke se at forsker mener at en annen organisering ville ha redusert forskningens nytteverdi. Tilsynet opplever at begrunnelsen for organiseringen er i hovedsak av praktisk art. Tilsynet presiserer at økonomiske hensyn ikke tillegges vekt i interesseavveiningen som skal foretas etter 8 dog 9 h.!! Helse Midt-Norge er ikke enige i at en organisering i mindre prosjekter gir et bedre personvern enn samling i større prosjekter, men at det avgjørende er sikkerhetstiltakene i organiseringen. Datatilsynet støtter denne slutningen, men fastholder vurderingen om at det må forutsettes at informasjonssikkerheten er tilfredsstillende i alle prosjekter. Datatilsynet har kommet til at avslaget på dette punktet delvis omgjøres. Opplysninger fra enkeltprosjekter kan under visse forutsetninger tilbakeføres til helseregisteret Regional Forskningsbiobank Midt-Norge. Datatilsynet stiller følgende forutsetninger: l. Samtykkene fra de registrerte dekker behandlingen. 2. Opplysninger fra enkeltprosjekter må organiseres på en slik måte at det ikke er mulig å koble data på tvers av prosjektene. Dette innebærer f eks at det benyttes spesifikke løpenumre i enkeltprosjektene. 4
3. Tilbakeføring av data til registeret medfører en endring av registeret som må omfattes av Datatilsynets konsesjon, og det forutsettes at den til enhver tid gjeldende konsesjonen omfatter behandlingen. 4. Det forutsettes av tillatelser gitt i enkeltprosjekter også omfatter tilbakeføringen til registeret. 5. Ved bruk av databehandlere forutsettes det at nødvendige databehandleravtaler inngås, og at disse avtalene omfatter alle aktuelle behandlinger. 6. Det forutsettes at Datatilsynet og Helse Midt-Norge har funnet en løsning på hvordan tilbakeføring av opplysninger til registeret kan gjennomføres, se eget avsnitt under. Praktisk gjennomføring Når opplysninger generert i enkeltprosjekter kan tilbakeføres til helseregisteret i Regional Forskningsbiobank Midt-Norge, skjer det i realiteten en utvidelse og endring av registeret. Slike endringer medfører krav om endringer i konsesjonen fra Datatilsynet, slik at den aktuelle behandlingen av opplysninger er omfattet. Konsesjonsendringene må vurderes ut fi-a helseregister! oven. Det er imidlertid lite praktisk å sende søknad om konsesjonsendring hver gang det skal tilføyes nye opplysninger i registeret. Det er derfor ønskelig å finne en alternativ løsning som er mer praktisk gjennomførbar. Et eksempel er en såkalt tematisk konsesjon, hvor Datatilsynet får underretning om endringer gjennom meldinger. Datatilsynet finner det hensiktsmessig å diskutere hvilken løsning som er mest hensiktsmessig for Helse Midt-Norge, og ber om at saksbehandler kontaktes for å avtale videre saksgang. Konsesjonen anses ikke gyldig før disse prosedyrene er nærmere avtalt og inkludert i konsesjonen. Oppsummering Datatilsynet omgjør avslag av 13. desember 2012 på følgende punkter: l. Utvidelse og endring av Regional Forskningsbiobank Midt-Norge som er basert på samtykke i samsvar med kravene i helseregisterloven, tillates i medhold av helseregisterloven 5, jf. personopplysningsloven 33 og 8 og 9. 2. Tilbakeføring av data fra enkeltprosjekter til helseregisteret Regional Forskningsbiobank Midt-Norge tillates under gitte forutsetninger. Datatilsynet opprettholder avslag av 13. desember 2012 på følgende punkter: 5
l. Endring og utvidelse av Regional Forskningsbiobank Midt-Norge som ikke er basert på samtykke tillates ikke. Begrunnelsen for avslaget er manglende behandlingsgrunnlag og Datatilsynets manglende kompetan se til å gi konsesjon til regionale/sentrale helseregistre uten samtykke. 2. Datatilsynet gir avslag på søknad om konsesjon i den grad det er ønskelig å registrere og behandle personopplysninger på tvers av enkeltprosjekter og mellom enkeltprosjekter og registeret. Videre saksbehandling Datatilsynet har delvis omgjort vedtak om avslag på søknad om konsesjon av 13. desember 2012, samtidig som avslaget opprettholdes for enkelte punkter. Datatilsynet ønsker Helse Midt-Norges tilbakemeldinger på endringene før saken eventuelt oversendes Personvernnemnda for endelig avgjørelse. Tilsynet vil prioritere behandlingen av eventuell videre behandling av klagen så snart den er mottatt for å unngå videre forsinkelse i den videre behandlingen av saken. Ta gjerne kontakt med saksbehandler pr telefon ved eventuelle uklarheter, telefonnummer 22 39 69 29. Datatilsynet inviterer samtidig til kontakt for å komme fram til en praktisk løsning på hvordan tilbakeføring av data kan gjennomføres uten å måtte søke om endring av konsesjon i hvert tilfelle dersom Helse Midt-Norge ikke ønsker å påklage Datatilsynets konsesjon videre. Dette vedtak kan påklages til Personvernnemnda i medhold av forvaltningslovens kapittel VI. Eventuell klage må sendes til Datatilsynet senest tre uker etter mottaket av dette brev. avdelingsdirektør /".. :2m{t~ /Jf!M( Camilla N ervik seniorrådgiver 6