Universitetet i Nordland Postboks 1490 8049 BODØ Deres referanse Vår referanse (bes oppgitt ved svar) Dato 2013/260//PRO 13/00091-8/MEP 7. juni 2013 Vedtak om pålegg - Endelig kontrollrapport for Universitetet i Nordland - Helseforskning Det vises til Datatilsynets kontroll hos Universitetet i Nordland den 20. februar 2013 og Datatilsynets varsel om vedtak av 18. april 2013. Datatilsynet har i brev av 3. mai 2013 mottatt bekreftelse på at virksomheten ikke har noen merknader til varsel eller kontrollrapport. Det fattes derfor vedtak i samsvar med varselet. Vedtak om pålegg Med hjemmel i helseforskningsloven 52 gir Datatilsynet følgende pålegg: 1. Virksomheten må etablere rutiner for ansvarsplassering og delegering av oppgaver i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 a). Det vises til tilsynsrapportens avsnitt 5.1.1 2. Virksomheten må etablere en funksjonell oversikt over helseforskningsprosjekter i henhold til krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c). Det vises til tilsynsrapportens avsnitt 5.1.2 3. Virksomheten må etablere rutine for oppstart av helseforskningsprosjekter i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d). Det vises til tilsynsrapportens avsnitt 5.2.1 4. Virksomheten må etablere rutine for oppfølging av de registrertes rettigheter i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d). Det vises til tilsynsrapportens avsnitt 5.2.2 5. Virksomheten må etablere rutine for oppfyllelse av informasjonsplikten i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d). Det vises til tilsynsrapportens avsnitt 5.2.3 6. Virksomheten må etablere rutine for avslutning av helseforskningsprosjekter i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d). Det vises til tilsynsrapportens avsnitt 5.2.4 Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
7. Virksomheten må etablere rutine for kontroll med forskningsprosjekter i samsvar med krav om internkontroll etter helseforskningslovens 6, jf. forskriften 3 og 4. Det vises til tilsynsrapportens avsnitt 5.3.1 8. Virksomheten må etablere et system for kontroll av prosjekters oppfyllelse av vilkår gitt av REK, jf. helseforskningslovens 6, jf. forskriften 4. Det vises til tilsynsrapportens avsnitt 5.3.2 9. Virksomheten må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens avsnitt 5.4.2. 10. Virksomheten må etablere tilfredsstillende informasjonssikkerhet ved behandling av innsamlede forskningsdata, jf. personopplysningsloven 13. Det vises til tilsynsrapportens avsnitt 5.4.4. 11. Virksomheten må etablere rutiner for tilstrekkelig opplæring av ansatte som skal anvende informasjonssystemet i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-8. Det vises til tilsynsrapportens avsnitt 5.4.5. Datatilsynet gir frist for gjennomføring av påleggene til 1. desember 2013. Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver 2
Kopi: REK Nord-Norge, TANN-bygget, Universitetet i Tromsø, 9037 TROMSØ Statens Helsetilsyn, Postboks 8128 Dep, 0032 OSLO Vedlegg: Endelig kontrollrapport 3
Saksnummer: 13/00091 Dato for kontroll: 20.02.2013 Rapportdato: 07.06.2013 Endelig kontrollrapport Kontrollobjekt: Universitetet i Nordland Sted: Bodø Utarbeidet av: Marius Engh Pellerud Eirin Oda Lauvset Dana Irina Jaedicke 1 Innledning Datatilsynet gjennomførte kontroll hos Universitetet i Nordland 20. februar 2013. Formålet med kontrollen var å vurdere virksomhetens behandling av helseopplysninger i helseforskningsprosjekter etter de krav som helseforskningsloven og personopplysningsloven med forskrifter oppstiller. Gjennomføringen av kontrollene fant sted med hjemmel i helseforskningslovens 47 og personopplysningsloven 42, tredje ledd og 44 med forskrifter. Kontrollen fant sted ved virksomhetens faste forretningsadresse. Datatilsynet ser behov for å følge opp utviklingen etter ikrafttredelsen av helseforskningsloven. Loven innførte prinsippet om én postkasse og de regionale etiske komiteer for medisin og helsefaglig forskningsetikk (REK) overtok 1. juli 2009 oppgaver som tidligere lå hos Helsedirektoratet og Datatilsynet. Datatilsynet gjennomførte i 2011 to kontroller ved to helseforskningsinstitusjoner. For å følge opp utviklingen på området har Datatilsynet gjennomført ytterligere to kontroller i februar 2013. Fokuset i de siste to kontrollene er hvordan internkontroll og informasjonssikkerhet ved to helseforskningsinstitusjoner ivaretas. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Gjennomføring av kontrollen 2.1 Oversendelse av dokumentasjon Datatilsynet ba i varslet av 28. januar 2013 om at Universitetet i Nordland oversendte følgende dokumentasjon: 1. oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, 2. virksomhetens styrende dokumentasjon for internkontroll, jf. helseforskningsloven 6 annet ledd, forskrift om organisering av helseforskning 4 og helseregisterlovens 17 med forskrifter. 3. virksomhetens styrende dokumentasjon for informasjonssikkerhet, jf helseregisterlovens 16, jf. personopplysningsforskriftens 2-3 og 2-7 (sikkerhetsmål, sikkerhetsstrategi og organisering), 4. virksomhetens rutiner r utarbeidet for helseforskning, jf. helseforskningsloven 6 jf. forskrift om organisering av helseforskning 4. 1 av 15
5. virksomhetens risikovurderinger etter helseregisterlovens 16, jf. personopplysningsforskriftens 2-4 omhandlende konfidensialitet, integritet og tilgjengelighet for helseforskningsprosjekter, 6. oversikt over helseforskningsprosjekter ved virksomheten, med følgende informasjon om: a. prosjektets formål, b. prosjektets rettslige grunnlag, c. antall registrerte, d. hvilke tillatelser er påkrevd og oppfølging av disse, e. identitetshåndtering og lagring av helseopplysningene i prosjektet f. hvorvidt det benyttes databehandler for prosjektet, g. hvorvidt opplysninger fra prosjektet utleveres, h. hvorvidt opplysninger fra prosjektet overføres til utlandet, i. eventuelle samarbeidsparter i prosjektet, og j. plassering av det daglige ansvaret for prosjektet, 7. navn og funksjon på de som deltar fra virksomheten under tilsynet, dersom det er avklart Dokumentasjon ble oversendt 14. februar 2013. 2.2 Agenda Virksomheten fikk på forhånd oversendt en agenda for kontrollen. Åpningsmøte Innledende presentasjon av UNN Internkontroll o Forskningsansvarlig o Hvilke behandlinger foretas oversikt over forskningsprosjekter o Formålet med behandlingen o Innsyn og informasjonsplikt o Sletting Informasjonssikkerhet o Sikkerhetsledelse o Teknisk infrastruktur og gjennomgang av systemer o Risikovurderinger o Sikkerhetsrevisjon o Avvik o Opplæring o Sikkerhet hos andre virksomheter databehandlere Verifikasjoner av forskningsprosjekter Sluttmøte 2.3 Fokusområder for kontrollen - Virksomhetens internkontroll med hensyn til helseforskningsprosjekter. 2 av 15
- Virksomhetens ivaretakelse av informasjonssikkerhet i helseforskningsprosjekter med blant annet fokus på kommunikasjon, lagring, identitetshåndtering og webbasert innhenting av sensitive opplysninger. - Virksomhetens ivaretakelse av informasjonsplikten til de registrerte i helseforskningsprosjekter. - Virksomhetens oppfølging av vilkår og forutsetninger gitt i tillatelser for helseforskningsprosjekter. - Eventuelt: Konkret ivaretakelse av regelverkets krav i utvalgte helseforskningsprosjekter. 2.4 Til stede fra virksomheten: - Jan Atle Toska, studie- og forskningsdirektør - Arne Brinchmann, organisasjonsrådgiver - Petter Román Øien, leder av forskningsadministrasjonen - Majken Paulsen, rådgiver forskningsadministrasjonen 2.5 Til stede fra Datatilsynet: - Eirin Oda Lauvset - Dana Irina Jaedicke - Marius Engh Pellerud 3 Om Universitetet i Nordland Universitetet i Nordland ble etablert 1. januar 2011 da flere høgskoler ble slått sammen. Universitetet har nærmere 20 mastergradsstudier og fire phd-er. UiN har ca 600 ansatte og 6000 studenter. UiN har fire fakulteter: fakultet for biovitenskap og akvakultur, fakultet for samfunnsvitenskap, Handelshøgskolen og Profesjonshøgskolen. Ca. halvparten av alle studentene ved UiN er tilknyttet Profesjonsskolen og er samtidig i jobb. UiN har hovedcampus i Bodø men har også lokasjoner i Mo i Rana og Stokmarknes. Forskningsadministrasjonen består av 5-6 ansatte. 4 Om regelverket Lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven) trådte i kraft 1. juli 2009. Samtidig trådte også forskrift 1. juli 2009 nr. 955 om organisering av medisinsk og helsefaglig forskning i kraft. Helseforskningslovens saklige virkeområde er regulert i lovens 2. Loven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger. Medisinsk og helsefaglig forskning er i helseforskningsloven 4 bokstav a definert som virksomhet som utføres med vitenskaplig metodikk for å skaffe til veie ny kunnskap om helse og sykdom. Hvilke forskningsprosjekter som faller innenfor og utenfor lovens vireområde skal baseres på en konkret vurdering av forskningsprosjektets art og natur. Denne vurderingen foretas av de regionale etiske komiteer (REK). 3 av 15
I den utstrekning ikke annet følger av helseforskningsloven, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser til helseforskningsloven, jf. helseforskningsloven 2 tredje ledd. I denne sammenheng er det lovens og forskriftens generelle krav om internkontroll som er mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. Dette følger av helseforskningslovens 6 2. ledd og forskriftens 4. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. Det bemerkes at tilsvarende bestemmelser om internkontroll og informasjonssikkerhet følger av helseregisterlovens 16 og 17 for behandling av helseopplysninger ved helseforetaket for andre formål enn helseforskning. Det er naturlig at det etableres felles internkontroll for etterlevelse av de ulike regelverkene, spesielt med hensyn til informasjonssikkerhet. Dette berøres imidlertid ikke nærmere i denne rapporten. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Overordnet internkontroll og sikkerhetsledelse helseforskning Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. Utfyllede bestemmelser er gitt i forskrift om organisering av helseforskning 3, 4, 5 og 6. I forskrift om organisering av helseforskning 3 fastsettes ledelsesansvaret for tilrettelegging og organisering arbeidet med helseforskning, herunder internkontroll og informasjonssikkerhet. Den forskningsansvarlige kan delegere oppgaver til andre, men ikke ansvar, jf. forskriftens 3 annet ledd. I forskriftens 4 stilles det, foruten krav til oversikt over hvilke regelverk som gjelder for helseforskning, krav til at det skal utarbeides og dokumenteres rutiner som setter prosjektleder og medarbeidere i virksomhetens forskningsprosjekter i stand til å overholde disse kravene. 4 av 15
Virksomheten skal videre føre oversikt over alle helseforskningsprosjekter som pågår i virksomheten og etablere system for håndtering av avvik. 5.1.1 Ledelsesforankring I følge helseforskningslovens 6, jf. forskriftens 4 a) skal forskningsansvarlig sørge for at ansvars- og myndighetsforhold er beskrevet i internkontrollen. Forskriftens 4 andre ledd fastslår dessuten at forskningsansvarlig kan delegere oppgaver til andre, men ikke ansvar. Dette betyr at helseforskning i en virksomhet må ha forankring i ledelsen. Av den dokumentasjonen som Universitetet i Nordland oversendte på forhånd fremgikk det ikke klart om, eller hvordan, virksomheten har søkt å sikre at den helseforskning som foregår ved universitetet er forankret i ledelsen. Under den stedlige kontrollen kom det imidlertid frem at mye av ansvaret for ivaretakelse av plikter etter helseforskningsloven er delegert til fakultetsnivå, ved dekan. Ledelsen mener at ansvaret for forhåndsgodkjenning av forskningsprosjekter bør tilligge de faglig ansvarlige. De overordnede oppgavene til forskningsansvarlig ved å tilrettelegge for og følge opp helseforskningen ivaretas av fakultetsadministrasjonen og/eller forskningsadministrasjonen. Forskningsadministrasjonen er sekretariat for forskningsutvalget, som er en rådgiverorgan for rektoren. Forskningsadministrasjonen har ansvar for forskningsformidling, er kontaktpunkt med eksterne og innad i sektoren, kontaktpunkt mellom fakultet og NSD. De leverer også informasjon til ledelsen om forskningspublikasjoner. Et prosjekt er alltid forankret i et fakultet, men det er ikke alltid at forskningsadministrasjonen blir involvert. Det var ingen konkrete planer om å synliggjøre forskningsavdelingen i internkontrollen for eksempel i form av å bygge internkontrollen rundt denne funksjonen. Forskningsavdelingen er å anse som en støttefunksjon som evt. kan veilede i administrative oppgaver rundt prosjektorganisering, men ansvaret for forskningen ligger hos det enkelte fakultet. Ledelsen ved Universitetet i Nordland har besluttet at oppgaven med å tillate oppstart og oppfølging av de konkrete prosjekt tilligger faglig ansvarlig ved det enkelte fakultet. Datatilsynet tar vurderingen og plasseringen av ansvar til etterretning. Datatilsynet er imidlertid spørrende til om plasseringen i tilstrekkelig grad sikrer ivaretakelse av oppfølging under og etter gjennomføring av et prosjekt. For eksempel om data slettes i samsvar med interne rutiner. De overordnede oppgaver, som å holde oversikt og tilrettelegge for helseforskning ivaretas i noen grad av forskningsavdelingen. Oppgaver og delegering er ikke dokumentert i internkontrollen. 5 av 15
Manglende ansvarsplassering og dokumentasjon av ansvarsplassering er et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 a). 5.1.2 Oversikt over helseforskning Helseforskningslovens 6, jf. forskriftens 4 b) fastslår at forskningsansvarlig skal føre en løpende oversikt over alle medisinske og helsefaglige forskningsprosjekter. Forskriftens 4 c) fastslår videre at forskningsansvarlig skal ha oversikt over de rettsregler som regulerer helseforskning, herunder vilkår som stilles for å kunne iverksette helseforskningsprosjekter. Universitetet i Nordland laget en oversikt over prosjekter som reguleres av helseforskningsloven i forbindelse med forberedelse til Datatilsynets kontroll. Oversikten som Universitetet i Nordland oversendte i forkant av kontrollen er basert på en oversikt fra NSD. Disse dokumentene inneholdt ikke en systematisk oversikt over vilkår stilt av REK ved godkjenning av de enkelte prosjektene. Videre heller ikke en oversikt over om det var nødvendig å innhente øvrige tillatelser (f. eks ved koblinger av registre hvor Datatilsynet skal involveres). Forskere og studenter oppfordres til å melde sine prosjekter inn til forskningsadministrasjonen, men det er ikke et formelt krav og det er ingen sanksjoner forbundet med ikke å melde sine prosjekter. Ledelsen kunne ikke utelukke at gamle registre og forskningsprosjekter eksisterer. Universitetet i Nordland har en oversikt over de prosjekter som er igangsatt etter helseforskningslovens ikrafttredelse i 2009. Oversikten er imidlertid ikke tilstrekkelig for kontroll med om vilkår stilt av REK følges opp av forsker. Datatilsynet tar i sin vurdering hensyn til at helseforskning er et relativt nytt felt for Universitetet i Nordland, og at det totale antall prosjekter er relativt oversiktlig. Tilsynet mener likevel at prosjektene ikke i tilstrekkelig grad er brakt inn under foretakets kontroll. Prosjektene er ikke fulgt opp eksplisitt, og ansvarlige er heller ikke bedt om å rapportere eksistensen av forskningsfiler utover gjennom informasjon på kurs. Utilstrekkelig oversikt over helseforskningsprosjekter, og på hvilke vilkår de er iverksatt, er et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 b) og c). 5.1.3 Multisenterstudier og utleveringer Universitetet i Nordland har ikke iverksatt multisenterstudier og dette ble derfor ikke tema under kontrollen. 6 av 15
5.2 Internkontroll gjennomførende del I forskrift om organisering av helseforskning 4 bokstav d stilles det krav om rutiner som setter prosjektleder og medarbeidere i virksomheten i stand til å overholde regleverkets krav. 5.2.1 Rutine for oppstart av forskningsprosjekt Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppstart av forskningsprosjekt som skal sikre at igangsetting er lovlig. Universitetet i Nordland har ingen skriftlig rutine for hvordan oppstart av et forskningsprosjekt bør foregå for å være i tråd med helseforskningsloven. Manglende rutine for oppstart av helseforskningsprosjekter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. 5.2.2 Rutine for oppfølging av den registrertes rettigheter Forskrift om organisering av helseforskning 4 bokstav d stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for oppfølging av de registrertes rettigheter som skal sikre at eventuell rett til informasjon, innsyn, retting, sletting etc blir ivaretatt. Universitetet i Nordland har ingen skriftlig rutine for hvordan de registrertes rettigheter skal ivaretas. Manglende rutine for oppfølging av de registrertes rettigheter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. 5.2.3 Informasjonsplikt Personopplysningslovens 20, som gjelder utfyllende etter helseforskningsloven, fastsetter at den behandlingsansvarlige (her forskningsansvarlig) som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i personopplysningslovens 19 første ledd så snart opplysningene er innhentet. Hovedregelen er at det skal varsles så snart opplysningene er samlet inn. Unntak følger av bestemmelsens annet ledd bokstav a til c, og personopplysningsloven 23. 7 av 15
Varslingen skal i utgangspunktet være individuell, dvs. at den skal rette seg mot hver enkelt registrert. Dersom dette ikke er mulig, kan det være aktuelt å varsle kollektivt, for eksempel gjennom annonsering. 1 Kravet til internkontroll etter helseforskningslovens 6, jf. helseforskningsforskriftens 4, medfører at det må etableres rutiner for ivaretakelse av relevante plikter, herunder informasjonsplikten. Universitetet i Nordland har ingen skriftlig rutine for hvordan informasjonsplikten etter personopplysningsloven 20 skal oppfylles. Manglende rutine for oppfyllelse av informasjonsplikten anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. 5.2.4 Rutine for avslutning av prosjekter Helseforskningsloven 6, jf. forskrift om organisering av helseforskning 4 bokstav d), jf. personopplysningsloven 28 stiller krav om at det skal utarbeides rutiner for helseforskning, herunder rutine for avslutning av forskningsprosjekt og evt. sletting av personidentifiserende opplysninger. Universitetet i Nordland har ingen skriftlig rutine for hvordan avslutning av et forskningsprosjekt bør foregå for å være i tråd med helseforskningsloven. Manglende rutine for avslutning av helseforskningsprosjekter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriftens 4 d) da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. 5.3 Internkontroll kontrollerende del 5.3.1 Rutine for kontroll av forskningsprosjekter Helseforskningsloven 6 stiller krav til organiseringen av medisinsk og helsefaglig forskning. Bestemmelsens andre ledd fastslår at det skal føres internkontroll tilpasset virksomhetens størrelse, egenart, aktiviteter og risikoforhold. 1 Se Ot.prp.nr92 (1998-1999) side 120. 8 av 15
Forskningsansvarlig plikter å sørge for at det foretas en systematisk overvåking og gjennomgang av internkontroll, for å sikre at den fungerer som forutsatt og bidrar til kontinuerlig forbedring av virksomheten, jf. forskriftens 4 bokstav g. Universitetet i Nordland har ingen skriftlig rutine som sier noe om hvem som skal føre kontroll med den helseforskningen som foregår innen virksomheten, eller hvordan en slik kontroll skulle foregå. Ledelsen ved Universitetet i Nordland har heller ingen klar formening om hvem som fyller rollen som behandlingsansvarlig eller forskningsansvarlig innen virksomheten. Under kontrollen kom det likevel frem at det i praksis er forutsatt at dekan, faglig ansvarlig ved hvert enkelt fakultet, har en viss kontroll med den forskning som foregår i regi av eget fakultet. Manglende rutine for kontroll med forskningsprosjekter anses som et avvik fra krav om internkontroll etter helseforskningslovens 6, jf. forskriften 3 og 4 da forskningsansvarlig ikke ivaretar sitt ansvar med å fastsette rutiner for prosjektleder m.fl. 5.3.2 Oppfylling av vilkår stilt av REK Helseforskningslovens 6, jf. forskriften 4 fastslår at forskningsansvarlig skal ha oversikt over hvilke rettsregler som gjelder for helseforskning, herunder på hvilke vilkår det enkelte forskningsprosjekt er igangsatt. Virksomhetens oversikt over forskningsprosjekter gir etter Datatilsynets vurdering ikke muligheter for å avdekke avvik dersom vilkår stilt av REK ikke er oppfylt. Dette gjelder særlig følgende forhold: - Tilbakemelding fra REK på innsendte søknader og oppfyllelse av evt. vilkår - Endelige samtykkeskjema (dersom REK har stilt vilkår om endring) - Avslutning av prosjekter UiN mangler system og rutiner for kontroll av prosjekters oppfyllelse av vilkår satt av REK. Virksomhetens representanter hevder at de bør kunne stole på prosjektleder i disse henseende. Manglende system for kontroll av oppfyllelse av vilkår fra REK er å anse som et avvik fra helseforskningslovens 6, jf. forskriften 4. 5.4 Informasjonssikkerhet For informasjonssikkerhet gjelder personopplysningsloven 13 og personopplysningsforskriftens kapittel 2 utfyllende. Dette følger av helseforskningslovens 2 3. ledd. 9 av 15
I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. 5.4.1 Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. personopplysningsforskriften 2-7. Virksomhetens sikkerhetsmål er nedfelt i dokumentet Informasjonssikkerhet og forskningsdata og i Policy for informasjonssikkerhet ved Høgskolen i Bodø. Det første dokumentet framstår som en blanding av overordnet policy-dokument og veiledning til fysisk sikkerhet. Her står det for eksempel at man skal benyttes passord, at skjermer skal låses etter 15 minutter og at man helst skal benytte minnepinner for overføring av data. Policydokumentet inneholder sikkerhetsmål og sikkerhetsstrategi. Her beskrives blant annet roller og ansvarsområder, samt prinsipper for informasjonssikkerhet. Dokumentet tar opp mange av de forholdene som kreves, men dokumentet drøfter ikke behandling av forskningsdata. Det framkommer ikke hvor gammelt dokumentet er, men ettersom det benytter UiNs tidligere navn er det minst fra før 1. januar 2011. Datatilsynet vil ikke påvise avvik på dette området. Vi vil likevel påpeke at det trolig er hensiktsmessig å gjennomgå virksomhetens styrende dokumenter for personvern og informasjonssikkerhet. Spesielt for å inkludere forskningsaspektet i virksomheten. 5.4.2 Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Den forskningsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den forskningsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal 10 av 15
sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. UiN har ikke oversendt risikovurderinger av sitt forskningsarbeid. UiN skriver i sitt oversendelsesbrev at de anser risikoen knyttet til helseforskningsprosjekter som liten. UiN skriver også at lovgivningen i helseregisterloven 16 (informasjonssikkerhet), jf. personopplysningsforskriften 2-4 (risikovurderinger) følges godt opp. Mangel på rutiner for risikovurderinger av forskningsprosjekter og manglende gjennomføring av slike rutiner er et avvik, jf. personopplysningsforskriften 2-4, 2. ledd, ref. personopplysningsloven 13. 5.4.3 Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. personopplysningsforskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. UiN har ikke et eget avvikssystem, men en funksjon på egne hjemmesider (Ris og ros) ivaretar noen sider av kravene til avvikssystem. Alle ansatte og studenter kan benytte Ris og ros-knappen til å melde inn forhold som bør følges opp. Alle meldinger som kommer inn blir kategorisert og distribuert for videre oppfølging. Datatilsynet har kun sett overfladisk på løsningen for avvikshåndtering. Ingen avvik konstatert. 5.4.4 Sikkerhetstiltak Den forskningsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsloven 13, ref. personopplysningsforskriften 2-11, 2-12 og 2-13. Sikkerhetstiltakene skal stå i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd, jf. personopplysningsforskriften 2-1. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 3. ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Som ledd i implementering av sikkerhetstiltak skal det etableres klare ansvarsforhold for bruk av informasjonssystem, jf. personopplysningsforskriften 2-7. 11 av 15
UiN har ingen egen infrastruktur for lagring av forskningsdata eller koblingsnøkler ved avidentifiserte data. Lagring av forskningsopplysninger er overlatt til hvert enkelt forskningsprosjekt. Føringer fra REK når det gjelder sikring av personopplysninger skal etterleves av hver enkelt prosjekt. UiN hevder at REK for eksempel har gitt pålegg om at forskningsdata kun kan lagres på stasjonær PC på innelåst kontor uten tilgang til Internett. Se for eksempel prosjektet beskrevet i avsnitt 6.1. UiN har ikke gjort vurderinger av sikkerhetsbehovet til egne forskningsopplysninger og det er ikke iverksatt tekniske eller organisatoriske tiltak for å ivareta tilfredsstillende informasjonssikkerheten. Dette er å anse som et avvik, jf. personopplysningsloven 13. 5.4.5 Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf personopplysningsforskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. UiN har ingen systematisk opplæring av studenter og ansatte innen personvern og informasjonssikkerhet i forskningsdata. Det er i følge UiN mye kompetanse på området i virksomheten, men dette er i liten grad et resultat av systematisk arbeid fra virksomhetens ledelse. Manglede rutiner for opplæring av medarbeidere og studenter er å anse som et avvik, jf. personopplysningsforskriften 2-8. 6 Gjennomgang av konkrete forskningsprosjekt Datatilsynet gjennomgikk to konkrete prosjekter for å verifisere hvorvidt virksomhetens rutiner for ivaretakelse av pliktene etter helseforskningsloven og personopplysningsloven med forskrift er kjent og blir fulgt. 6.1 Prosjektet Fotball, Zumba og helse Navn: Svein Barene Avdeling: Profesjonshøgskolen REK-ref.: 2010/2385 Varighet: 2.9.2010 19.11.2015 12 av 15
6.1.1 Generelt om prosjektet Prosjektet skal gjøre en intervensjonsstudie på en arbeidsplass ved å innføre ulike treningsformer (henholdsvis fotball og Zumba) i ulike grupper. Effekten av ulik trening måles. Utvalgets størrelse er 120. 6.1.2 Funn Informasjon og samtykke Alle de registrerte har fått informasjon om de helseopplysninger som lagres, hva hver deltaker eventuelt får ut av prosjektet og negative konsekvenser. Personopplysninger En rekke fysiologiske faktorer ved deltakerne i undersøkelsen måles før og etter intervensjonen (innføring av trening). Disse faktorene er blant annet O2-opptak, isometri, spenst, bevegelighet, glukose og kolesterol. Det er tatt blodprøver av deltakerne. Disse lagres i en biobank i Nordlandssykehuset. Ut fra REKs godkjenning skal det ikke etableres en biobank. Prosjektleder oppga at han tror blodprøvene er destruert. Prosjektleder kjenner ikke til rutine for sikring av destruksjon av blodprøvene. Lagring Data fra respondentene er avidentifisert og oppbevares på stasjonær PC uten tilgang til Internett på prosjektleders kontor. Slik lagring er, etter prosjektleders oppfatning, i tråd med vilkårene i REKs godkjenning. De avidentifiserte data kan knyttes til respondentenes identitet ved hjelp av koblingsnøkkel. Prosjektleder oppbevarer koblingsnøkkelen på en CD i en låst safe på eget kontor. Prosjektleder sier koblingsnøkkel ikke lenger er nødvendig, og kan slettes. Dette var imidlertid ikke gjort ved kontrolltidspunktet. Tilgang Det er kun prosjektleder som har tilgang til koblingsnøkkel og avidentifiserte data. Avidentifiserte data tas også med til veileder i København for diskusjon. Programvare Avidentifiserte data behandles av prosjektleder ved hjelp av statistikkverktøyet SPSS. Avslutning og sletting Prosjektleder kjenner ikke til virksomhetens rutine for sletting. Nødvendige tillatelser Prosjektet er godkjent av REK og dataene skal anonymiseres ved prosjektslutt i november 2015 (REK-referanse 2010/2385). Kjennskap til helseforskningsrutiner 13 av 15
Prosjektleder har i liten grad fått støtte fra UiN hva gjelder oppfyllelse av krav i lov og godkjenning. 6.1.3 Vurdering og konklusjon Opprettelse av biobank skal kun skje etter godkjenning fra REK, jf. helseforskningsloven 25, 1. ledd. Det framkom under kontrollen at prosjektleder antar at biobanken til prosjektet er terminert. Datatilsynet forutsetter at dette har skjedd. Koblingsnøkler skal slettes når behov for kobling ikke lenger er til stede, jf. personopplysningsloven 28, 1. ledd. Prosjektleder sa under den stedlige kontrollen at koblingsnøkkel skulle slettes umiddelbart. Datatilsynet forutsetter at dette har skjedd. 6.2 Prosjektet Sykepleiekonsultasjonens betydning for pasienter med nyoppdaget revmatisk sykdom en kvalitativ studie Navn: Wenche Sørfonden Avdeling: Profesjonshøgskolen REK-ref: 2012/1910 Varighet: 1.1.2013 31.12.2013 6.2.1 Generelt om prosjektet Studien undersøker hvilken betydning konsultasjon med sykepleier kan ha for revmatiske pasienter. Prosjektet baserer seg på pasienter med påvist revmatisme fra Universitetssykehuset i Nord-Norge (UNN). Prosjektlederen opplyser at datainnsamlingen ikke er påbegynt, i påvente av en endelig godkjennelse fra REK. Selv om prosjektlederen fikk informasjon om at prosjekter som ligger innenfor REKs kompetanse ikke trenger å bli sendt over til NSD i tillegg, valgte hun å gjøre dette, for sikkerhets skyld. 6.2.2 Funn Informasjon og samtykke Prosjektleder har gjenbrukt informasjonsskriv og samtykkedokument fra tidligere forskningsarbeid. Personopplysninger Respondentene er et uttrekk blant alle pasienter som har fått sykepleiekonsultasjon etter påvist revmatisme. UNN trekker ut 40 respondenter blant disse. Det er en forskningssekretær fra UNN som velger ut og etablerer første kontakt med pasienter og informerer om prosjektet. UNN sender disse informasjonsskriv og samtykkeskjema. Når respondentene har godtatt å delta i prosjektet oversendes informasjon til UiN. Selv om prosjektet virker å være en samarbeidsprosjekt mellom UiN og UNN med det formålet å kvalitetssikre en rutine som er innført ved universitetssykehuset, kunne ikke prosjektlederen svare med 100% sikkerhet hvilken institusjon som skulle betraktes som hadde forskningsansvarlig i medhold av helseforskningsloven, utover de konkrete, operative forskningsoppgavene som prosjektlederen selv gjennomførte. Forskningslederen fra UiN sies å ha godkjent forskningen både faglig og administrativ. Samtidig opplyses det at universitetet 14 av 15
ikke er informert om det praktiske forskningsrelaterte arbeidet, men ble bare informert om utarbeidelse av søknaden og fremskaffelse av forskningsmidlene. UiN gjennomfører fokusgruppeintervju med de samtykkende deltakere. Det gjennomføres 5 slike intervju med 8 respondenter i hver. Det foretas ingen lydopptak mens presentasjonsrunden pågår. Intervjuene transkriberes. Intervjuene lagres også som lydopptak. Det lagres ikke andre personopplysninger og det etableres ingen biobank. Lagring Samtykkeskjema oppbevares i låst skap på forskers kontor. Når samtykke trekkes makuleres samtykkeskjema. Tilgang Siden datainnsamlingen ikke hadde påbegynt på kontrolltidspunktet, ble spørsmålene om tilgang til opplysninger diskutert på generelt grunnlag og med utgangspunkt i forskerens tidligere erfaring. Forskeren får bare avidentifiserte opplysninger til analyseformål. Identitetsopplysninger som fremgår av samtykkeskjemaene oppbevares som fremstilt over. Pasientens øvrige helseopplysninger, utover det som de selv opplyser om i intervjusituasjonen fremgår bare av pasientjournalen, som forskeren ikke har befatning med. Avslutning og sletting Det er uklart hva som skjer om samtykket trekkes tilbake. Ettersom forskningsdata er basert på gruppeintervju er det uklart om kun deler av intervjuet kan slettes eller om hele gruppeintervjuet må slettes ved tilbaketrekking av samtykke. Nødvendige tillatelser Prosjektet er godkjent av REK (REK-referanse 2012/1910). Kjennskap til helseforskningsrutiner Prosjektleder har fått lite hjelp fra UiN og Forskningsavdelingen når det gjelder behandling av helseopplysninger og oppfyllelse av helseforskningsloven. 6.2.3 Vurdering og konklusjon Prosjektet mangler rutine for håndtering av tilbaketrekking av samtykke. Det framsto som om det er noe uklarhet i rolle og ansvarsforhold mellom prosjekt og UiN. Det ble ikke vist til noen skriftlige samarbeidsavtaler med UNN. 6.3 Gjennomgangen av de konkrete prosjektene bekrefter inntrykket fra virksomhetsdelen av kontrollen. Det fins flere nyttige og nødvendige tjenester, støttefunksjoner og rutiner for forskerne, men det framstår som noe tilfeldig i hvilken grad forskere og prosjektledere kjenner til dette. 15 av 15