Hva betyr den nye personvernlovgivning for forskningen?

Etter at den nye personvernlovgivning (også kjent under navnet GDPR – General Data Protection Regulation) har trådt i kraft 20.juli 2018 har det vært en del endringer i hvordan helseforskningsdata må behandles. Det er ikke nok med REK godkjenning! Det er fremdeles nødvendig med en etisk forhåndsgodkjenning fra REK for medisinsk og helsefaglige forskningsprosjekter. Det nye er at REK sin godkjenning ikke lenger gir rettslig grunnlag (lovhjemmel) for å behandle personopplysningene i forskningsprosjekt. I tillegg kreves det et lovmessig grunnlag etter personvernforordningen artikkel 6 og artikkel 9 for å behandle personopplysninger. Fortsatt skal alle forskningsprosjekter som omfattes av helseforskningsloven altså forhåndsgodkjennes av REK, men egen institusjon har ansvar for at behandlingen av personopplysninger skjer i henhold til personvernforordningen.

Det betyr at behandlingsgrunnlaget for personopplysninger må være vurdert av prosjektleder, og fremgå av REKs vedtak. Behandlingsgrunnlag er enten samtykke eller dispensasjon fra samtykkekravet i henhold til helselovene. Prosjektledere må vise at behandlingen av personopplysninger oppfyller de generelle prinsippene i personvernforordningen, som blant annet formålsbegrensing, dataminimering, lagringsbegrensning og ansvarlighet.

I og med at konsesjonsordningen er opphevet, får behandlingsansvarlige et forsterket internkontrollansvar. Dette innebærer å bekrefte overfor registereiere at behandlingen av personopplysninger skjer i henhold til personvernforordningen, og å gjennomføre en personvernkonsekvensvurdering (Data Protection Impact Assessment – DPIA) der dette kreves.

Det betyr også at det er nødvendig å være påpasselig med at ansvaret i samarbeidsprosjekter er avklart og fordelt, som i prosjekter der pasientdata deles mellom samarbeidende institusjoner, og inngå skriftlige samarbeidsavtaler. Dette er ikke et nytt krav, men det er viktigere enn noensinne å følge regelverket.

Både UiB og Haukeland universitetssykehus har ansatt personvernombud – Janecke Veim og Christer Kleppe. Hvis du er i tvil om du trenger en avtale, ta kontakt med Janecke (janecke.veim@uib.no eller personvernombudet@helse-bergen.no).

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *