RAPPORT Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning Distribuert til: Forskningsdirektør Kopi: Universitetsdirektør Gjennomført av: Seniorkonsulent Hilde Tanggaard Rådgiver Cecilie Thorberg Blindern, 26.februar 2013
Innhold 1. OPPDRAGET... 3 2. VURDERINGER... 3 2.1. Roller, ansvar og oppgaver... 3 2.2. Løpende oversikt over helseforskningsprosjekter og biobanker... 5 2.3. Informasjonssikkerhet på prosjektnivå... 5 2.4. Internkontroll på prosjektnivå... 6 2.5. Kvalitetssystemets hensiktsmessighet... 7 3. KONKLUSJON... 7 2
1. OPPDRAGET Ny lov om medisinsk og helsefaglig forskning (helseforskningsloven, heretter forkortet HFL) trådte i kraft 1. juli 2009. Forskningsadministrativ avdeling har utarbeidet et kvalitetssystem med rutiner for hvordan roller, oppgaver og ansvar skal ivaretas ved UiO slik at lovens krav blir fulgt. Kvalitetssystemet for medisinsk og helsefaglig forskning (heretter omtalt som «kvalitetssystemet») ble gjort gjeldende 1.7.2012. Formålet med revisjonen er å se etter at kvalitetssystemet ved UiO er tilfredsstillende implementert, og at det er hensiktsmessig i forhold til målsettingen om at UiO skal etterleve HFL. Revisjonen avgrenser seg til fakultetene, dvs. at museer, sentre og tverrfakultært satsningsområde som også har fått delegert oppgaver ihht. HFL ikke har vært gjenstand for revisjon. I tillegg er revisjonen avgrenset til rutiner og prosesser i forbindelse med etterlevelse av kvalitetssystemet og HFL, og ikke en kontroll for alle elementer som må være oppfylt i de forskjellige prosjektene. Revisjonen er basert på samtaler strukturert etter elementene i kvalitetssystemet. Vi har snakket med samtlige fakultetsledelser og flere instituttledere. I tillegg har vi hatt samtaler med 24 prosjektledere på til sammen åtte aktuelle institutter. 2. VURDERINGER 2.1 Roller, ansvar og oppgaver Universitetsdirektøren er ihht. HFL forskningsansvarlig på UiO. Oppgaver knyttet til denne rollen er gjennom kvalitetssystemet fast delegert til dekanene. Da revisjonen startet, hadde noen av fakultetene signert skjema for fast delegering av oppgaver til instituttnivå (som instituttleder, kontorsjef m.m.). I løpet av revisjonen har samtlige fakulteter gjort dette. Det foreligger dermed en tydelig delegering av oppgaver til instituttnivå. Kvalitetssystemet inneholder en oversikt over hvilke stillinger som har hvilke roller, med ansvar og oppgaver. I denne oversikten har stillingen IS-direktør ansvar for «Internkontrollsystem for informasjonssikkerhet». Stillingen har ikke vært besatt siden 30.juni 2012, noe som kan skape usikkerhet om hvem som har ansvaret. Tidligere ISdirektør har fått ansvar for oppfølgingen, uten at dette er formalisert. Universitetsdirektøren har det overordnede ansvaret for tilrettelegging av helseforskning, mens forskningsdirektøren er ansvarlig for kvalitetssystemet. Revisjonen viser at forventningene i organisasjonen for tilrettelegging er langt høyere enn det som tilbys idag. Dette gjelder spesielt følgende punkter: Felles IT-system som støtter kvalitetssystemet: Vi har konstatert et behov for et felles helhetlig IT-system der tidsaktuell informasjon kan tas ut og hvor kontroller fanger opp avvik. Mangelen på et slikt system fører til at unødig store ressurser brukes lokalt for å løse problemer av felles art. Det vil kreve et tettere samarbeid 3
mellom UiO sentralt, USIT og fakultetene. Målsetningen bør være at et felles system skal kunne utveksle data med REK og Cristin. Et forskningsadministrativt system som støtter alle forskning ved UiO, ikke bare helseforskning, vil om mulig være enda bedre. Det odontologiske fakultet (OD) er selv i gang med utvikling av et system, University Health Network (UHN). Det vil bli arbeidet konkret for å få til en integrasjon mellom TSD 2.0 og UHN når det gjelder sikring av sensitive data. Det er klare forventninger om at man gjennom integrasjonen både vil kunne ivareta ledelsens behov for å ha kontroll med prosjektporteføljen, samt oppfylle helseforskningslovens krav. Dessuten vil det være et attraktivt verktøy for forskerne fordi registrering og oversikt over egne prosjekter vil bli forenklet. Det er dialog mellom utviklere tilknyttet UHN og Cristin for å se på muligheten for integrasjon slik at data registrert i UHN automatisk kan synkroniseres mot Cristin. I dag vil mange forskere oppleve utvidet rapportering til Cristin som unødvendig byråkrati. Felles opplærings- og støttefunksjon: Det etterlyses en opplæringspakke for helseforskningsprosjekter, samt en støttefunksjon der man kan henvende seg med temaer relatert til helseforskning. Vår observasjon er at det stort sett er prosjektleder selv som står ansvarlig for å søke informasjon og sørge for opplæring av prosjektmedarbeidere. For UiO totalt sett ville det være ressursbesparende å tilby, eller å koordinere dette sentralt. I notat av 28.02.2012 fra universitetsdirektøren, tilbys enhetene opplæring og bistand til implementeringen av kvalitetssystemet. Tilbudet er i liten grad benyttet. Sikker lagring av forskningsdata: Mangelen på en felles løsning for lagring av forskningsdata har i lang tid bidratt til frustrasjon i organisasjonen. Inntil den felles forskningsserveren TSD 2.0 er på plass, er det risiko for at informasjonssikkerheten ikke blir godt nok ivaretatt. Prosjektet TSD 2.0 har hatt en stram økonomi og prosjektet trenger god finansiering for å få all helseforskning over på denne serveren. Risikoen ligger i fremvekst av løsninger utenfor TSD 2.0., og det er noe vi også har sett eksempler på. Finansieringsmodellen for drift av TSD 2.0 er ikke på plass ennå. En uttalt bekymring er at infrastruktur for sikker lagring av sensitive data ikke leveres fra sentralt hold som en standardtjeneste, og at den heller ikke er finansierbar på linje med annet vitenskapelig utstyr. Dette faller dermed mellom to stoler, og for enkelte enheter vil investeringsbeløpet utgjøre en uoverkommelig del av basis driftsbudsjett. Roller og ansvar i kvalitetssystemet er formalisert og forstått, men hva oppgaven går ut på, blant annet å sikre at prosjektledere er satt in stand til å bruke kvalitetssystemet, er ikke utført. Tidligere IS-direktør sin rolle er ikke formelt ivaretatt eller videreført. Det er i dette avsnittet pekt på forhold og oppgaver hvor ansvaret bør ligge sentralt. Anbefaling: Oppgavene til IS-direktør bør delegeres formelt og gjøres kjent i organisasjonen. 4
Et felles IT-system som støtter kvalitetssystemet, bør implementeres. Hvor omfattende et slikt IT-system bør være må undersøkes nærmere, og som et minimum inneholde en løpende oversikt over helseforskningsprosjekter. Nytteverdien av UHN for andre fakulteter bør i den forbindelse bli vurdert. Kartlegge behovet for opplæring og støttefunksjon. Tilstrekkelig finansiering for fremdrift av forskningsserveren TSD 2.0. 2.2. Løpende oversikt over helseforskningsprosjekter og biobanker UiO har etter forskriften til HFL plikt til å ha en løpende oversikt over alle medisinske og helsefaglige forskningsprosjekter og biobanker. Den operative oppgaven er lagt til enhetene som pr idag håndteres dette på forskjellige måter i word, excel, via nettskjema, uttrekk fra REK sine sider, eller ved uttrekk fra økonomisystemet. Felles er det at listene er til dels mangelfulle. Kravet om at alle studentprosjekter skal med, gir en ekstra utfordring. Kun få enheter har komplett oversikt over sine biobanker, men ingen oppfyller kravet om nummerering slik kvalitetssystemet krever. Uten et felles system for registrering av prosjekter, vil det være tidkrevende å ha en løpende oversikt slik HFL krever. Også her er det risiko for at ressursbruken ikke er effektiv, ved at enhetene hver for seg utvikler egne løsninger. Ved tilsyn fra henholdsvis Helsetilsynet eller Datatilsynet vil UiO ikke kunne fremskaffe en samlet løpende oversikt over egne prosjekter som faller inn under HLF Anbefaling: EIR anbefaler at UiO søker å få på plass et felles system for å håndtere løpende oversikt over prosjekter og biobanker. Systemet kan med fordel også inkludere forskningsprosjekter som ikke er helseforskning. 2.3. Informasjonssikkerhet på prosjektnivå Prosjektlederne har i stor grad et bevisst forhold til lagring av sensitive data, og praksis stemmer overens med kvalitetssystemets krav. Inntil TSD 2.0. er klar for bruk, vil det kreve stor bevissthet blant prosjektmedarbeidere for å sikre trygg lagring. USIT presiserer at videoopptak, som naturlig nok ikke kan avidentifiseres, er spesielt utsatt før USIT har fått på plass en løsning for dette. MR og DNA er også mer sensitive enn annen forskningsdata. Revisjonen viser at kravene fra kvalitetssystemet i stor grad blir fulgt. Det er likevel uheldig at det er opp til hver enkelt medarbeider hvor bevisst man er på sikker lagring i praksis. 5
Anbefaling: All data fra helseforskning legges over på felles forskningsserver når denne er klar. 2.4. Internkontroll på prosjektnivå Kvalitetssystemet er et godt verktøy for å sikre overholdelse av HFL i prosjektet, men systemet er i liten grad kjent blant prosjektledere. Vi hadde forventet at dette var bedre kjent, og det kan synes som om kvalitetssystemet ikke er implementert ned i forskermiljøene. Ansvaret for å følge opp at så skjedde synes å ha falt mellom flere stoler som følge av at roller, ansvar og myndighet ikke er ivaretatt. EIR har ikke funnet noen andre strukturerte systemer for internkontroll. Vår observasjon er at prosjektledere har papirene sine i orden overfor offentlige instanser. For øvrig er det opp til hver enkelt hvordan prosjektforløpet struktureres og dokumenteres. Det er positivt at det eksisterer god kontakt mellom forskerne, og at de utveksler informasjon seg imellom ved behov. I tillegg opplever mange at REK er en god samtalepartner ved uklarheter. I og med at det er et redaktørkrav at man ikke får publisert helsefaglig forskning uten REK-godkjenning, vurderer vi risikoen som liten for at offentlige godkjenninger ikke er i orden. Det er mangelfull kunnskap og usikkerhet i deler av organisasjonen mht hva som kreves av avtaler med samarbeidende institusjoner. Sammen med øvrige revisjonsfunn gir dette oss grunn til å anta at UiO ikke har kopi av alle avtaler slik kvalitetssystemet krever. Hva gjelder håndtering av forhåndsfremleggelse av prosjekter, har vi funnet varierende, og stort sett udokumentert praksis. Vi har ikke støtt på noen erfaringer om at forskningsprosjekter har blitt avvist. Dette forklares med at en idé normalt er diskutert uformelt med kollegaer før man kommer så langt som til en eventuell fremleggelse eller prosjektstart. Redaktørkravet om registrering av prosjektet i for eksempel portalen clinicaltrials.gov, er ikke kjent i alle miljøer som driver klinisk forskning. Dette er uheldig da registrering er avgjørende for å få publisert forskningen. For avsluttede prosjekter skal instituttets rutiner for arkivering følges. Prosjektledere kjenner ikke til eventuelle rutiner som instituttene måtte ha. Når det gjelder arkivering og destruksjon av forskningsdata, forholder prosjektlederne seg til krav fra offentlige instanser som f.eks. REK. Vi har likevel funn som tyder på at det ligger forskningsdata på instituttene som skulle vært destruert. I og med at HFL også gjelder masterstudenter, vil det uten et IT-system være enda vanskeligere for helseforskningstunge institutter å følge opp slik HFL krever. De biobankene vi har sett på tilfredsstiller kravene fra kvalitetssystemet. Det er mange som har adgang til lokalene hvor biobankene oppbevares, men det er ikke rapportert om problemer i den forbindelse. Alle biobanker er avidentifisert. De formelle kontrollmekanismene som skal ivareta den interne kontrollen for et prosjekt er ikke gode nok. Likevel ser vi at uformell sparring mellom kollegaer, sammen med visse rutiner er positivt for kontrollmiljøet. 6
Anbefaling: Rutinene i kvalitetssystemet er tilfredsstillende med tanke på å sikre god internkontroll i prosjektene. Instituttledere må følge opp at disse er implementert og etterlevd. 2.5. Kvalitetssystemets hensiktsmessighet Vi anser kvalitetssystemet som et nyttig verktøy for prosjektledere. At det ikke foreligger på engelsk og at det ikke følger med felles opplæringspakke, fører til frustrasjon og at samme oppgaver løses mange steder. De som jobber opp mot OUS ønsker seg en samordning av OUS og UiOs sitt kvalitetssystem. EIR har ingen forutsetninger for å vurdere om en slik samordning er hensiktsmessig. Dette bør undersøkes. I rutinebeskrivelse 6, pkt.4.4 står det at direkte identifiserbare helseopplysninger ikke skal lagres på UiOs systemer. Dersom dette punktet skal følges, kan f.eks. ikke videoopptak lagres på UiO. En endring i teksten bør foretas for å unngå uklarheter. For øvrig vises her til pkt. 2.1 i rapporten om et helhetlig system for å støtte prosessen og internkontrollen. Ved bruk av kvalitetssystemet vil HFLs krav ivaretas og internkontrollen i prosjektene bli bedre. For å sikre bruken, øke mulighetene for å oppdage avvik, samt effektivisere hverdagen for prosjektleder og instituttleder, mener vi et tilhørende felles IT-system er en nødvendighet. Anbefaling: Vi viser til pkt. 2.1. vedr. felles IT-system. Engelsk versjon av kvalitetssystemet bør utarbeides sentralt. Enhetene må få beskjed når dette vil skje, slik at dobbeltarbeid unngås. Teksten i rutinebeskrivelse 6, pkt. 4.4, bør endres. 3. KONKLUSJON Kvalitetssystemet for medisinsk og helsefaglig forskning er et godt verktøy for prosjektledere, men det er i liten grad kjent. Det er heller ingen tidligere formelle strukturer som ivaretar en interkontrollfunksjon på dette området. For at kvalitetssystemet også skal bli et godt verktøy for UiO som institusjon, må en felles IT infrastruktur på plass, og god opplæring må tilbys. Videre er det et savn at UiO p.t. ikke har en felles forskningsserver, samt at kvalitetssystemet ikke foreligger på engelsk. Disse forholdene skaper en betydelig frustrasjon ute i organisasjonen. Bedre tilrettelegging fra sentralt hold må til for at fakultetene på en kostnadseffektiv måte skal kunne utføre det ansvaret som er gitt gjennom kvalitetssystemet. Hilde Tanggaard (sign.) Cecilie Thorberg (sign.) Sveinung Svanberg (sign.) 7