Del 3 - Informasjonssikkerhet

Datainnsamling og -behandling

​Planlegging av datainnsamling og databasebygging

Bør være grundig, rasjonell, logisk og ryddig

Ved rekruttering av forsøkspersoner, kan regelmessig oppdatering være nødvendig for å motivere alle. Vær positiv!

Innhenting av datakilder fra kvalitetsregistre/helseregistre på pasientopplysninger og prøver fra biobanker tar tid!  Vær tilgjengelig for saksbehandleren, vær også foreberedt på å endre rammene etter juridisk vurdering.  Databasebygging kan være kompleks – kan kreve egne forskningsservere. Hvem skal vedlikeholde og ha tilgang? Hvordan lage en Masterfile med all rådata? Her er lenke til info om det å søke tilgang til forskningsdata fra Helsedata.no

​Normens innspill på kartlegging av data og datamateriale

Normen har definert et flytskjema i Personvern og informasjonssikkerhet i forsknings- og kvalitetsprosjekter(v3.0,  Juni 2023)  for å sikre og påvise at personvern- og helselovgivningen er fulgt i prosjektet.

Her kan du laste ned flytskjemaet (pdf)​​

Ett av trinnene er å kartlegge hvilke data prosjektet trenger for å oppnå formålet.  Beskriv og vurder datamaterialet du vil samle inn:

  • Utvalgskriterier. Hvilke kategorier av personer skal prosjektet ha opplysninger om
  • Sårbare personer? Kan noen i utvalget ha vansker med å ivareta rettighetene sine, pga. sykdom, livssituasjon, skjev maktrelasjon til deg/institusjon el.? F.eks. barn, pasienter, asylsøkere og ansatte.
  • Datakilder. Hvor og hvordan innhenter prosjektet opplysninger? 
    • fra den registrerte selv: gjennom intervju, spørreskjema, notater, observasjon etc. 
    • og/eller fra andre kilder: journal, helseregister, SSB, institusjon, annet forskningsprosjekt, medisinsk utstyr, etc. 
  • Dataomfang og innhold. Beskriv ca. antall personer, antall og detaljgrad på variabler, hvor ofte opplysninger skal innhentes, og om data fra ulike kilder skal kobles på personnivå. Og beskriv hvilke opplysninger som skal innhentes (via intervjuguide, spørreskjema, observasjonsguide, variabelliste, medisinske forsøk, biologiske prøver, måleinstrumenter, teknologisk utstyr etc.)
Husk:
  • Dataminimering: prosjektet kan kun samle inn opplysninger som er adekvate og relevante for formålet.
  • Hvis du henter data fra andre kilder enn direkte fra den registrerte må:
    • den som utleverer ha rettslig grunnlag (personvernforordningen og norsk lov)
    • og utleveringen må følge regler om taushetsplikt (samtykke fra den registrerte, dispensasjon eller annen lovhjemmel)
  • Hvis prosjektet skal bruke/utvikle innovativ teknologi, eller hente data fra tekniske løsninger, medisinsk utstyr el. bør du rådføre deg med ressurser ved din institusjon (IT, jurister, medisinskteknisk personell) for å avklare om – og på hvilken måte - prosjektet er teknisk/juridisk mulig å gjennomføre. 

Behandling av data

Trenges diskusjon med IT/statistiker om hvordan en variabelliste med koder skal lages og analyseres med innhenting av data? Sjekk tilpasning med statistikkprogram. Klinisk forskningsavdeling på UNN  har kompetente fagpersoner for planleggingen av din studie. De har bl.a. egne datahåndterere som kan hjelpe forsker å designe elektroniske pasientskjema (eCRF). Datahåndtereren starter med studieprotokollen og etter den er lest og kommunisert med studiegruppen begynner arbeidet med å bygge databasen som skal samle ('fange') ønsket data

Dataanalyse og statistikk: Det finnes mange ulike programmer som kan brukes. Mange bruker SPSS.

En databehandlingsplan er et verktøy som hjelper deg å planlegge hvordan forskningsdataene skal håndteres fra start til slutt i prosjektet. Datahåndtering er et essensielt aspekt ved kliniske studer og krever nøye planlegging for å sikre at en samler inn nødvendig data med god kvalitet. Alle forskningsprosjekter som samler inn forskningsdata skal ha en plan som blant annet beskriver hvilke systemer som skal benyttes, hvordan det skal sikres at data har ønsker kvalitet, samt hvordan data skal arkiveres og eventuelt deles. Verktøyet er også kjent som Data Management Plan (DMP), eller bare dataplan/datahåndteringsplan.  Mal for dataplan kan fås ved å kontakte informasjonssikkerhetsgruppen. Infosikkerhet gir videre innspill til prosjektleder om å lage en databehandlingsplan. Det er krav om at prosjektleder utarbeider dette for prosjektet. PVO avklarer videre med informasjonssikkerhetsgruppen  vedrørende behov for en databehandleravtale. Mal for databehandleravtale kan fås ved å kontakte informasjonssikkerhetsgruppen.  Sjekk også: 

Registrering av forsknings- og kvalitetsprosjekter - [PR58033]​

(NB: lenken til PR58033 prosedyren krever innlogging på sykehusets intranett)

Norcrin har for eksempel både Data Management Plan, Data Management Report og Data Verification Plan templater.Sjekk Norcrin sin søkeside for prosedyrer.
 

Normens innspill på dataflyt og sikkerhet 

Normen har i sitt flytskjema (se tidligere) et punkt om dataflyt og sikkerhet. 

Beskriv dataflyt og sett inn sikkerhetstiltak. 

Beskriv og vurder:
  • Lag en konkret plan for hvordan prosjektet skal samle inn, analysere, koble, lagre, dele og sikre data. Illustrer gjerne i et flytskjema. 
  • Få med følgende i beskrivelse av dataflyt: 
    • alle datakilder
    • alle enheter og kanaler dataene skal innom
    • om/hvordan data om enkeltpersoner fra ulike datakilder kobles
    • om personopplysninger lagres sammen med eller adskilt fra datasettet
    • hvor eventuell koblingsnøkkel lagres
    • hvem som får tilgang til personopplysninger (institusjon og rolle) 
    • hvilke opplysninger de ulike mottakerne skal ha tilgang til og til hvilket tidspunkt
    • hvorfor de får tilgang
    • om publikasjoner vil inneholde anonyme eller personidentifiserende data
    • hvordan prosjektet avslutter behandlingen av personopplysninger (sletting, anonymisering eller viderebehandling).
  • Beskriv og vurder sikkerhetstiltakene:
    • vurderes for hver enhet og kanal som dataene flyter gjennom
    • kan være tekniske og/eller organisatoriske
    • skal være egnet til å sikre dataene mot uautorisert deling, endring og sletting
    • må være bedre jo høyere personvernrisikoen er (se boks 11)
Husk:
  • Du må følge lagringsguide og retningslinjer for informasjonssikkerhet ved din institusjon. 
  • Beskrivelsen av dataflyt og vurderingen av sikkerhetstiltak må være god og riktig. Det kan være hensiktsmessig (og i noen tilfeller nødvendig), å be om bistand fra IT-ressurser fra din institusjon for å sikre dette, særlig når dataflyten er kompleks og/eller innebærer høy risiko.
  • Rådfør deg med din institusjon hvis du er usikker eller prosjektet bruker nytt utstyr/løsning/leverandør som ikke er godkjent ved din institusjon.
  • Prosjektleder må sørge for at det finnes en løpende oversikt over hvilke navngitte personer som til enhver tid har tilgang til hvilke personopplysninger og hvorfor slik tilgang er nødvendig. Husk å oppdatere tilganger ved endringer i prosjektgruppen.
  • Du må sørge for at det er samsvar mellom dataflyten i prosjektet og den informasjonen du gir til den registrerte og REK, Helsedataservice, Helsedirektoratet, SLV mv. 
 
 
​Prosessering og lagring av aktive ​forskningsdata 
Det er regjeringens ambisjon å øke deling av data innad i næringslivet og partene oppfordres til å dele data, der dette er mulig. Økt deling av data innad i offentlig sektor, næringslivet og mellom offentlig og privat sektor er ønskelig. Bedre utnyttelse av data kan øke konkurranseevne, bidra til økt innovasjon og stimulere til utvikling av nye tjenester.​

Partene bør ha et klart forhold til deling av data som følge av det aktuelle forskningsoppdraget. Typiske tema som partene bør vurdere, er:
  • Hvilke merkostnader påløper, og hvordan skal de fordeles?
  • Hva må det tas hensyn til ved oppstart, for eksempel for utforming av samtykker, personvernregler?
  • Hva må det tas hensyn til under utførelsen av oppdraget, for eksempel valg av lagringsformat, sammenstillinger, rettigheter til innhenting fra kilder?
  • Hva må det tas hensyn til etter at oppdraget er utført, for eksempel å gjøre data gjenfinnbare og søkbare, betydning for rettighetene til dataene.)
Les mer på Regjeringen.no sin side om Nasjonal strategi for tilgjengeliggjøring og deling av forskningsdata
Trenger du å lagre data som FAIR data (for gjenbruk av data). ​FAIR-prinsippene​ er et sett med veiledende arkitekturprinsipper som skal tilrettelegge for
deling og gjenbruk av data gjennom at dataene er søkbare (Findable), tilgjengelige
(Accessible), understøtter interoperabilitet (Interoperable) og er gjenbrukbare (Reusable).​
Dette er nyttig å vite om FAIR fra Direktoratet for e-helse.​
 
Ved samarbeid med eksterne om databehandling på vegne av forskningsansvarlig foretak (Helgelandssykehuset), skal det lages en slik avtale, eventuelt kan data overføres til andre foretak ved bruk av en webtjeneste ved en dataoverføringsavtale.  Mal for dataoverføringsavtale fås her (AV0992 – Mal for Avtale om overføring av personopplysninger; NB: krever innlogging på sykehusets intranettsider) Avtalene skal godkjennes av medisinsk direktør.
 
I mange tilfeller sendes data som en kryptert minnepenn i posten med et passord til denne separat på SMS. Stemmer datautrekket? Inneholder datane de variablene du søkte om? Kvitter for mottak.​
 

Normens innspill på deling av data 

Normen har i tillegg i sitt flytskjemaet referert til tidligere i teksten, et punkt om prosjektet skal dele data med andre, underveis eller etterpå

Hvis ja, avklar om mottaker trenger personopplysninger.  Hvis ja, avklar hva som er formålet med delingen og hva mottakers rolle er?

Vurder:
  • Hvilke tilganger som er nødvendig for prosjektformålet:
    • Hvilke personer skal få tilgang til personopplysningene i prosjektet?
    • Hvorfor trenger de tilgang til personopplysninger for å oppfylle formålet/sine oppgaver i prosjektet?
  • Hvilken rolle har de som får tilgang (kategori mottaker)?  
    • ansatte ved din institusjon (dataansvarlig) 
    • ansatte hos fellesansvarlig institusjon
    • ansatte hos databehandler 
  • Om personopplysninger skal brukes til andre formål enn prosjektet:
    • Skal du eller andre bruke personopplysninger fra prosjektet til andre formål enn prosjektformålet (underveis eller etterpå)? 
  • Før deling/ny bruk må du i samråd med din institusjon: 
    • Sikre rettslig grunnlag for delingen. Hvilke vilkår datadelingen må oppfylle finner du i lover/forskrifter som gjelder ditt prosjekt (boks 5). 
    • Ta stilling til hvilken dokumentasjon mottaker må gi til prosjektet, for at din institusjon skal kunne påvise at delingen er lovlig. 
  • Hvis prosjektet skal dele data systematisk til nye formål: 
    • Lag en skriftlig rutine som viser hvilke momenter dere må vurdere og hvilken dokumentasjon dere må ha før hver utlevering. 
    • Sjekk at utleveringsrutinen er i samsvar med de lover/forskrifter som gjelder ditt prosjekt. 
    • Det er særlig viktig før oppstart av befolkningsbaserte helseundersøkelser og medisinske kvalitetsregistre, der formålet er gjenbruk av data. 
  • Institusjonen din må føre skriftlig protokoll over alle utleveringer av personopplysninger fra prosjektet. For hver utlevering må dere dokumentere mottakers rettslige grunnlag og momentene i sjekklisten under Protokoll (nederst i flytskjema). 
Husk:
  • Personer som jobber i prosjektet, kan bare få tilgang til personopplysninger hvis de trenger det for å utføre sine oppgaver.
  • Hvis prosjektet benytter leverandører som får tilgang til personopplysninger uten å bruke dem til egne formål (f.eks. nettskjema, videosamtale, analyseinfrastruktur, lagringstjeneste, skytjeneste), definerer du disse mottakerne som databehandlere 
  • Enhver deling – og enhver ny bruk – av personopplysningene til nytt formål er en egen behandling. Det gjelder også hvis du selv eller andre ved din institusjon skal bruke opplysningene videre til andre formål. Følg da flytskjemaet fra start for den nye behandlingen.
  • Rådfør deg alltid med din institusjon før deling/ny bruk til andre formål enn prosjektet. Da forankrer du vurderingen av at viderebehandling er lovlig.
  • Hvis dere utleverer til annen institusjonen, er mottaker dataansvarlig for den videre behandlingen. Hovedoppgaven for dere er da å sikre at selve utleveringen er lovlig. Men sjekk rutiner ved din institusjon. Noen ønsker å inngå utleveringsavtale med mottaker som gir vilkår/begrensninger for videre bruk.
  • Det kan være vanskelig å vurdere om prosjektendring innebærer nytt formål/prosjekt. Rådfør deg med din institusjon, eller REK hvis helseforskning.
 

Eksterne lenker for informasjon om data og datadeling

 

Tilbake til Planlegge forskningsprosjekt​ - del 3

Sist oppdatert 07.11.2024