Planlegge forskningsprosjekt - del 3 - Etikk


Alle forskningsprosjekter som involverer mennesker, humant biologisk materiale eller helseopplysninger forutsetter en eller annen form for godkjenning. Dette omfatter også  godkjenning  fra relevante myndighetsorgan som Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK), eventuelt Datatilsynet / personvernombudet​ (NB: Dette er en lenke til en intranettside ved HSYK) ​/ (SIKT) / Statens legemiddelverk (SLV) og Helsedirektora​tet (HDIR)​, samt interne godkjenninger i egen institusjon og i samarbeidende institusjoner ved multisenterstudier.

Prosjektet kan ikke starte før Regionale komiteer for medisinsk og helsefaglig forskningsetikk  (REK) har gitt sin godkjenning (dersom studien er fremleggingspliktig). REK skal gjøre en etisk forhåndsvurdering av prosjektet ditt dersom du skal bruke personidentifiserbare helsedata for medisinsk forskning, men ikke for kun bruk av anonymiserte data​. Tips:  Reduser mengden av variabler så mye som mulig 

​Forskningsstøttefunksjoner på Helgelandssykehuset HF kontaktes for avklaring av regulatoriske forhold. Personvernombude​t (PVO) ​vurderer meldingen og gir anbefalinger etter gjeldende personvernlovgivning. 

Det er meldeplikt til PVO for forskning for forskning som omhandler personvernopplysninger. Prosjekter som tidligere måtte ha konsesjon fra Datatilsynet vil i de fleste tilfeller kreve en personvernkonsekvensvurdering (DPIA). Etter personvernlovgivningen skal prosjekter meldes før oppstart. I oppstartsfasen ber vi imidlertid også om at alle pågående prosjekter meldes. Melding til personvernombudet skal sendes etter godkjenning fra REK og før oppstart av prosjektet. For å forenkle prosessen mot PVO innføres det nå et elektronisk meldeskjema for alle prosjekter på Helgelandssykehuset (Redcap)


Normen har definert et flytskjema i "Personvern og informasjonssikkerhet i forsknings- og kvalitetsprosjekter" (v3.0,  Juni 2023)  for å sikre og påvise at personvern- og helselovgivningen er fulgt i prosjektet. ​​


Herunder inngår  en vurdering om den planlagte behandlingen av personopplysninger medfører høy risiko for den registrerte. Hvis ja, gjennomfør DPIA. DPIA er et verktøy for å kartlegge og håndtere risikoer knyttet til behandling av personopplysninger. DPIA kreves før behandlinger som sannsynligvis gir “høy risiko for de registrertes rettigheter og friheter”. Datatilsynet og EUs personvernråd (EDPB) har publisert veiledere om hva som er høy risiko.

Vurder:
  • Se på kartleggingen du har gjort over. Vil behandlingen av personopplysninger i prosjektet medføre høy risiko?
  • Hvis prosjektet oppfyller et eller flere av kriteriene under, eller du er usikker, bør du rådføre deg med din institusjon eller personvernombud (følg interne rutiner ved din institusjon).
  • Jo flere av kriteriene som gjelder, desto mer sannsynlig at prosjektet må ha DPIA :
    • Behandling sensitive personopplysninger (særlige kategorier, straffedommer/lovovertredelser, eller svært personlig karakter)
    • Behandling av personopplysninger i stor skala (mht. utvalgsstørrelse, mengde opplysninger, varighet, frekvens) 
    • Behandling av personopplysninger om sårbare registrerte  
    • Sammenstilling av datasett (f.eks. datakilder med ulike formål/dataansvarlige) som overstiger den registrertes rimelige forventninger   
    • De registrerte hindres i å utøve sine rettigheter   
    • Innovativ bruk av ny teknologi eller organisatorisk løsning   
    • Evaluering (profilering/kartlegging av personopplysninger for å analysere eller forutsi personers adferd, helseforhold, preferanser, interesser, evner, behov el.) 
    • Systematisk monitorering (ulike former for observasjon/sporing av personer, bl.a. på internett/offentlig område, f.eks. kameraovervåking, observasjon av internettaktivitet, lokasjonssporing og helseovervåking ved hjelp av sensorer og applikasjoner. ) Hvis prosjektet trenger DPIA, følg prosedyrer ved din institusjon. 
  • Vær oppmerksom på at Datatilsynet har utarbeidet en liste over behandlinger av personopplysninger som krever DPIA. Hvis prosjektet faller inn under noen av punktene på denne listen, må prosjektet ha DPIA. Se mer om dette i Veiledning om DPIA | Datatilsynet
I prosjekter der flere institusjoner deltar, f. eks multisenterstudier, er det viktig å identifisere hvem som er dataansvarlig for behandlingen av personopplysninger som utgjør høy risiko. Hvis flere er ansvarlige for behandlingen, bør DPIA forankres (med eventuelle lokale tilpasninger) hos alle dataansvarlige ved at ledelsen signerer, selv om utkast til DPIA evt. skrives av en av partene.
Husk:
  • DPIA er en prosess, der dere beskriver den planlagte behandlingen, vurderer om den er lovlig og forholdsmessig, kartlegger risikoer, og foreslår risikoreduserende tiltak. Personvernombudet skal rådføres, før resultatet av DPIA fremlegges i et dokument for ledelsen ved din institusjon. Ledelsen vurderer om DPIA er godt nok utført, og om risikoen er akseptabel, slik at prosjektet kan starte. Hvis ikke, kan ledelsen bestemme at DPIA må revideres, eller at behandlingen må forhåndsdrøftes med Datatilsynet, eventuelt stoppes.
  • Forhåndsdrøfting med Datatilsynet er påkrevd hvis personvernkonsekvensene fortsatt er for høye etter DPIA, og institusjonen ønsker å gjennomføre behandlingen av personopplysninger. Datatilsynet kan gi råd og/eller sette vilkår for behandlingen.   
​Tips: 
  • Direktoratet for e-helse har utgitt Mal og veiledning for utfylling av personvernkonsekvensvurdering (DPIA) - ehelse​
  • Hvis du skal melde prosjekt til Sikt, utarbeider Sikt en DPIA for prosjektet i samarbeid med deg, basert på Sikt sin DPIA-mal
  • Det kan være nyttig å undersøke om det er gjennomført DPIA i lignende prosjekter som har brukt samme metodikk og behandling av personopplysninger, med vurderinger du kan gjenbruke. Det er imidlertid viktig at vurderingene i DPIA tilpasses ditt prosjekt. 

Normens flytskjema går også ut på å vurdere om prosjektdataene er å anse som personopplysninger, og i så fall hvilken type:

Vurder:
  • Tenk på alle data som skal brukes i prosjektet fra start til slutt, uavhengig av format. Og les definisjonene under.
  • Skal prosjektet behandle personopplysninger?
  • Hvis nei, trenger du ikke gå videre. Merk at du likevel må avklare med REK om prosjektet er søknadspliktig dersom formålet er å fremskaffe ny kunnskap om helse og sykdom (helseforskning), selv om prosjektet kun skal behandle anonyme opplysninger (f.eks. tester/forsøk som innebærer helserisiko der du innhenter samtykke, men ikke knytter data til forsøksperson).
  • Hvis ja, vurder om prosjektet skal behandle:
    • særlige kategorier personopplysninger
    • personopplysninger om straffedommer eller lovovertredelser 
    • og/eller taushetsbelagte personopplysninger 
Viktige definisjoner
  • Personopplysninger behandles hvis det på noen måte vil være mulig å knytte dataene til en enkeltperson, f.eks. via: 
    • ​Navn, fødselsnummer, adresse, telefonnummer, epost, samtykkeerklæring osv. Bakgrunnsinformasjon som tid, sted, institusjon, alder, kjønn, stilling, diagnose osv. Kode som viser til en koblingsnøkkel hos deg eller andre (f.eks. liste med prosjekt-ID og navn, eller pasientnummer og fødselsnummer). Bilde, video, lydopptak.  IP-adresse, nettidentifikator. Lokasjonsdata, bevegelses-/adferdsmønstre. Biometri (f.eks. iris, fingeravtrykk, ansikt, ganglag). Humant biologisk materiale eller genetiske analyser (av arvestoff)
  • Særlige kategorier personopplysninger er data om rasemessig/etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetikk, biometri, helseforhold og/eller seksuelle forhold/orientering. 
  • Personopplysninger om straffedommer/lovovertredelser er data om at en person er mistenkt, siktet, tiltalt eller dømt for straffbar handling.
  • Taushetsbelagte personopplysninger er data om personer fra kilder som har lovpålagt eller avtalefestet taushetsplikt om opplysningene.
Husk:
  • Begrepet «helseopplysninger» skal tolkes vidt. Det omfatter enhver opplysning som avdekker noe om en persons tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand. Det kan være opplysninger om sykdom, funksjonshemning, sykdomsrisiko, sykehistorie, helsehjelp/behandling, fysiologisk/biomedisinsk tilstand, genetikk, biologiske prøver, tester/undersøkelser av kroppsdel-/substans mm. Det gjelder uavhengig av hvor opplysningene kommer fra, f.eks. pasientjournal, helsepersonell, medisinsk utstyr, den registrerte selv eller andre.
  • Prosjektet behandler personopplysninger selv om data kun kan knyttes til enkeltpersoner gjennom en kode og koblingsnøkkel. Det gjelder også dersom prosjektet ikke selv har tilgang til koblingsnøkkelen, men lagrer den ved andre institusjoner. 
Vær også oppmerksom på at flere variabler sett i sammenheng kan være egnet til å bakveisidentifisere de registrerte, selv om du ikke har tilgang til direkte identifiserbare opplysninger eller koblingsnøkkel.

Ett annet av trinnene i flytskjemaet til Normen  er å kartlegge hvilken type prosjekt du/dere etablerer og finne ut hva som gir prosjektet lov (rettslig grunnlag) til å behandle personopplysninger.

​Kartlegging av prosjekttype er nødvendig for å finne ut hvi​lke lover prosjektet må følge, og hvilke tillatelser man må ha før oppstart. 

All behandling av personopplysninger reguleres av EUs personvernforordning og den norske personopplysningsloven. For noen formål (type prosjekt) vil helselover gjelde i tillegg. Hver behandling av personopplysninger må ha behandlingsgrunnlag i personvernforordningen artikkel 6 (behandling av personopplysninger i alminnelig kategori) og artikkel 9 (unntak fra forbudet om behandling av personopplysninger i særlig kategori), og oppfylle vilkår i aktuelle lover og forskrifter, for å være lovlig. 

Normen har laget en oversikt  over de mest aktuelle behandlingsgrunnlagene for de ulike prosjekttypene hentet fra personvernforordningen, personopplysningsloven og helselovgivningen. 

Merk at dette ikke er en uttømmende oversikt, og det kan være andre behandlingsgrunnlag, blant annet EU/EØS-regelverk, som kan være relevant for ditt prosjekt. 

Vurder:
  • Definer først prosjekttype ut fra formålet. Og velg deretter det rettslige grunnlaget som passer for ditt prosjekt.
  • Vær oppmerksom på at prosjektet ditt kan ha formål i “gråsonen” mellom ulike prosjekttyper. Les derfor nøye på definisjonene av alle prosjekttypene, slik at du får plassert prosjektet ditt i rett kategori. Er du i tvil, rådfør deg med din institusjon. 
  • Det kan være vanskelig å skille forskning og kvalitetssikring. Kvalitetssikring innebærer å undersøke/evaluere om diagnostikk, behandling og annen helsehjelp faktisk gir forventede resultater og om kravene til kvalitet er oppfylt. Hvis prosjektet bruker vitenskapelig metodikk for å evaluere, undersøke eller fremskaffe kunnskap om andre forhold, vil det trolig falle inn under kategorien forskning (ikke kvalitetssikring). 
  • Vær oppmerksom på at prosjektet må følge vilkårene i det rettslige grunnlaget, og lovene som gir det rettslige grunnlaget.
  • Du bør beskrive og dokumentere konkret hvordan prosjektet oppfyller vilkårene, og hvorfor du mener det aktuelle rettslige grunnlaget skal brukes.
  • Merk at hvis behandlingen av personopplysninger i prosjektet skal ha rettslig grunnlag i samtykke, er det flere vilkår som må være oppfylt. Samtykket må være spesifikt, frivillig, aktivt og utvetydig. Samtykket må også kunne dokumenteres og skal enkelt kunne trekkes tilbake av den registrerte. Hvis det er vanskelig å oppfylle disse kriteriene, kan ikke samtykke brukes som rettslig grunnlag, og du må vurdere om et annet alternativ til rettslig grunnlag kan benyttes i ditt prosjekt.
Husk:
  • Merk at et samtykke fra den registrerte kan ha ulike funksjoner. Samtykke kan: 
    • være rettslig grunnlag for behandling av personopplysninger (som vist i tabellen over)
    • være et tiltak som ivaretar den registrertes rettigheter og friheter (når rettslig grunnlag er allmennhetens interesse, jf. tabellen over)
    • oppheve taushetsplikt (for opplysninger prosjektet henter fra datakilder med taushetsplikt)
  • Samtykke når de registrerte er barn:
    • Hvis barn skal delta i prosjektet, må du vurdere hvem som skal samtykke for barnet. Hovedregelen er at foreldre eller andre med foreldreansvar må gi samtykke frem til barnet er 18 år. I helseforskning og helseregistre er hovedregelen at ungdom kan samtykke selv fra 16 år. 
    • For annen forskning enn helseforskning, faller man tilbake på hovedregelen om at foreldre med foreldreansvar samtykker på vegne av barnet frem til barnet er 18 år. Det er viktig å påpeke i den forbindelse at barn har en gradvis medvirknings- og selvråderett, hjemlet i barnelova § 31 og 33. Medvirkningsretten innebærer at barnet skal ha informasjon tilpasset sin alder og få muligheten til å si sin mening, i tråd med alder og modenhet. Det må også vurderes hvor inngripende forskningen anses å være for barnet. Hva som anses som det beste for (det enkelte) barnet, skal alltid være et grunnleggende hensyn, og som vil være avgjørende for om barn i det hele tatt skal delta i forskningsprosjekt eller ikke. De ovennevnte momentene må vurderes før foreldrene beslutter å avgi et samtykke, eller ikke, til forskningen.
    • Dersom foreldre eller andre med foreldreansvar har samtykket på vegne av et barn til deltakelse i forskning eller kvalitetssikring, skal barnet når det blir 16 år få informasjon om behandlingen av personopplysninger i prosjektet/registeret, og retten til å trekke samtykke tilbake eller motsette seg behandling.
  • Hvis voksne uten samtykkekompetanse skal delta, rådfør deg med din institusjon om hvordan prosjektet kan gjennomføres på lovlig måte. 
  • Hvis prosjektet behandler personopplysninger i flere omganger (f.eks. for flere utvalg, eller først for å rekruttere deltagere, og deretter for intervju), må prosjektet ha rettslig grunnlag for hver aktivitet.
  • Ved etablering av medisinske kvalitetsregistre skal du følge kravene som stilles i forskrift om medisinske kvalitetsregistre. Flytskjemaet og forskningsveilederen kan likevel hjelpe deg i vurderingene du må gjennomføre etter forskriften. Hvis du skal etablere medisinsk kvalitetsregister anbefaler vi å søke veiledning hos Nasjonalt servicemiljø for medisinske kvalitetsregistre.
Tips:
  • Hvis du er usikker på type prosjekt, rådfør deg med din institusjon i god tid før datainnsamling. 
  • Hvis du er usikker på om prosjektet er helseforskning, kan du sende fremleggelsesvurdering til REK og få svar ila. kort tid. 
  • Det kan være vanskelig å skille større helseforskningsprosjekt fra befolkningsbasert helseundersøkelse. Rådfør deg med din institusjon eller REK.
  • Se også NEMs veileder Helseforskningslovens saklige virkeområde, som avgrenser helseforskning mot hhv. kvalitetssikring og helseregistre. 
  • Resultater fra intern kvalitetssikring kan publiseres anonymt (se boks 8). 
  • Hvis du skal forske på, utvikle produkter eller ta i bruk utstyr som er basert på kunstig intelligens innenfor helse anbefaler vi å ta i bruk veiledningssiden til Koordineringsprosjektet for kunstig intelligens. Her kan det også søkes om kostnadsfri regulatorisk veiledning. Les mer på Kunstig intelligens i helsetjenesten.
  • Merk at helsepersonelloven § 29 gir adgang til å søke om dispensasjon fra taushetsplikten i prosjekter der formålet er å utvikle og ta i bruk klinisk beslutningsstøtteverktøy. Søknaden sendes til Helsedirektoratet.
  • Se også Normens faktaark om formål og behandlingsgrunnlag​

​​

Relevant og sannferdig informasjon til deltakerne om vurdering av nytte, risiko og belastning.
  • Krav om informert samtykke fra den enkelte deltaker; alle myndige personer. Det er visse regler for barn, ungdom (16-18 år), personer i nødsituasjoner, og umyndige voksne, og dertil krav til prosjektet. Informert samtykke i forskning (DocMap PR44649)
  • Hovedregelen for medisinsk og helsefaglig forskning er at deltakelse skal være basert på et informert, frivillig, uttrykkelig og dokumenterbart samtykke. 
  • Dette innebærer at forskningsdeltakeren må forstå hva de samtykker til og hvilke konsekvenser det har å gi sitt samtykke. NB: Dersom det skal rekrutteres pasienter til forskning innen psykiatrien så skal Forskningsleder klarere dette før potensielle deltakere kontaktes.
  • Helseforskningsloven (§ 14) åpner for brede samtykker til et «nærmere bestemt, bredt definert forskningsformål» (flere forskningsfelt som f.eks. biobank for «kreftforskning»).
    • Prosjektleder og forskningsansvarlig er ansvarlig for at prosjektet ihht REK godkjenning kun utsetter deltakerne for en forsvarlig risiko.
    • Det finnes maler for informasjonsskriv og samtykkeerklæring. En mal for utprøving av legemidler og annen mal for deltakelse i forskning for barn og voksne. Sjekk også: info om barn Generelt skal informasjonsskriv holdes i en nøytral tone. Velg tittelen på studien og overskriften i informasjonsskrivet med omhu. Informasjon som gjør at pasientene kan benytte seg av sine rettigheter, som f.eks. innsyn eller tilbakekalle sitt samtykke. Forskningsdeltakernes rettigheter (Lenke).
  • I følge Helseforskningloven kan REK gi unntak for samtykke for prosjektsøknader
  • Dispensasjon fra taushetshetsplikt, for å forske uten samtykke fra pasient, må søkes til REK. For kvalitetsstudier bør det først diskuteres med PVO før søknad sendes til Helsedirektoratet. Unntak er aktuelt i to situasjoner: 1) ved forskning i kliniske nødsituasjoner og 2) ved forskning på personer som ikke har samtykkekompetanse. For forskning på anonymisert humant biologisk materiale og helseopplysninger kreves det ikke samtykke, men generell informasjonsplikt gjelder.
​​

Ett av den neste trinnene i flytskjemaet til Normen handler om informasjon til den registrerte.  
De registrerte har rett til informasjon. Utarbeid informasjon til de registrerte om behandling av deres personopplysninger i prosjektet. Eller dokumenter at vilkår for unntak er til stede.
Vurder:

Hovedregel om informasjon:
  • De du behandler personopplysninger om har rett på informasjon. 
  • Hvis du samler inn data direkte fra den registrerte (f. eks intervju, spørreskjema og observasjon), må du gi informasjonen før datainnsamlingen
  • Hvis du samler data om den registrerte fra andre datakilder uten samtykke, må du informere den registrerte senest en måned etter datainnsamlingen starter. 
  • Informasjonen skal være kortfattet og lett forståelig, og må gis individuelt via kanaler der den når frem. 
  • Den kan gis skriftlig eller muntlig, men du må dokumentere at – og hvilken – informasjon som er gitt. Derfor vil det i de fleste tilfeller være fordelaktig å gi informasjonen skriftlig.
  • Du må informere om:
    • Hvem som er forsknings- og dataansvarlig institusjon (kontaktopplysninger- og personer i alle deltakende institusjoner)  
    • Hvorfor (formål), hvor lenge, og på hvilket lovgrunnlag opplysningene behandles,
    • Hvem som vil få tilgang til personopplysningene (mottakere), 
    • Hvilke datakilder opplysningene hentes fra 
    • Hvilke rettigheter den registrerte har: innsyn/kopi, retting, sletting, protest/trekke samtykke, klage til Datatilsynet 
    • Kontaktopplysninger til personvernombudet ved din institusjon
    • Lovlig grunnlag for å overføre personopplysningene ut av EU/EØS (hvis aktuelt)
    • Planer om utlevering/viderebehandling til andre formål (hvis aktuelt)
​Unntak:
  • Loven åpner for at du i enkelte situasjoner kan behandle personopplysninger uten å gi informasjon. 
  • Du må da dokumentere unntakshjemmel og at vilkårene er oppfylt. Rådfør deg med din institusjon.
  • Her er de aktuelle unntakene for forskning/kvalitetssikring:
    • Den registrerte har allerede fått informasjonen
    • Utilrådelig å informere, av hensyn til den registrertes helse eller forhold til nærpersoner
    • Det er umulig eller krever uforholdsmessig stor innsats å informere
    • Informasjon vil sannsynligvis ødelegge for formålet (forskning/kvalitetssikring)
    • Dataansvarlig er lovpålagt å behandle personopplysningene
​Hvis prosjektet ikke gir individuell informasjon fordi det er umulig, uforholdsmessig vanskelig, og/eller kan ødelegge forskningsformålet, må dere gi kollektiv informasjon. En måte er å publisere informasjon om prosjektet i kanaler/nettsider som det er sannsynlig at de registrerte leser, f.eks. en interesseorganisasjon. 

Tips:

De registrerte har rett til innsyn (kopi), retting og sletting, og rett til å trekke samtykket, eller reservasjon. Organiser prosjektet slik at de registrerte kan utøve sine rettigheter.

Vurder og legg en plan:

Hvordan legger prosjektet til rette for at de registrerte kan utøve sine rettigheter:
  • Har den registrerte fått kontaktinformasjon til prosjektansvarlige og personvernombud, så de vet hvor de kan henvende seg?
  • Lagres data slik at prosjektet lett kan finne opplysningene om den registrerte (f.eks. via koblingsnøkkel prosjektet har tilgang til)?
  • Vet du og andre kontaktpersoner (ved egen eller samarbeidende institusjoner) hva dere skal gjøre hvis registrerte henvender seg, slik at de får rett svar innen tidsfristen?
Husk:
  • Rettighetene gjelder så lenge de registrerte kan identifiseres i datamaterialet.
  • Prosjektet skal ikke lagre flere personopplysninger enn nødvendig for formålet, bare for å kunne innfri rettighetene.
  • Loven åpner for unntak fra rettighetene i enkelte situasjoner, men avslag må ikke gis uten begrunnelse og lovhjemmel. 
  • Innsyn må kun gis til den som personopplysningene gjelder, ikke til andre (f.eks. når du har data om deltager/tredjeperson og foreldre/barn).
  • Feilvurdering av rettigheter kan føre til ulovlig behandling. Rådfør deg med din institusjon, særlig før du gir innsyn eller gir avslag.
  • Institusjonen din har plikt til å vurdere om rettighetene skal/kan innfris, og svare den registrerte innen en måned. 
​​​

​​

(for prosjekter som faller utenfor REKs mandat)
Elektronisk registrering av ALLE IKT-, kvalitets- og forskningsprosjekter (ikke medisinteknisk utstyr) i Redcap
Andre relevante prosedyrer i DocMap mappen DS12974 "Planleggings- og oppstartsfase" (og i del 4)

​​​


Tilbake til Planlegge forskningsprosjekt​ - ​del 3​

 

Sist oppdatert 24.04.2024