[:no]
Etter at den nye personvernlovgivning (også kjent under navnet GDPR – General Data Protection Regulation) har trådt i kraft 20.juli 2018 har det vært en del endringer i hvordan helseforskningsdata må behandles. Det er ikke nok med REK godkjenning! Det er fremdeles nødvendig med en etisk forhåndsgodkjenning fra REK for medisinsk og helsefaglige forskningsprosjekter. Det nye er at REK sin godkjenning ikke lenger gir rettslig grunnlag (lovhjemmel) for å behandle personopplysningene i forskningsprosjekt. I tillegg kreves det et lovmessig grunnlag etter personvernforordningen artikkel 6 og artikkel 9 for å behandle personopplysninger. Fortsatt skal alle forskningsprosjekter som omfattes av helseforskningsloven altså forhåndsgodkjennes av REK, men egen institusjon har ansvar for at behandlingen av personopplysninger skjer i henhold til personvernforordningen.
Det betyr at behandlingsgrunnlaget for personopplysninger må være vurdert av prosjektleder, og fremgå av REKs vedtak. Behandlingsgrunnlag er enten samtykke eller dispensasjon fra samtykkekravet i henhold til helselovene. Prosjektledere må vise at behandlingen av personopplysninger oppfyller de generelle prinsippene i personvernforordningen, som blant annet formålsbegrensing, dataminimering, lagringsbegrensning og ansvarlighet.
I og med at konsesjonsordningen er opphevet, får behandlingsansvarlige et forsterket internkontrollansvar. Dette innebærer å bekrefte overfor registereiere at behandlingen av personopplysninger skjer i henhold til personvernforordningen, og å gjennomføre en personvernkonsekvensvurdering (Data Protection Impact Assessment – DPIA) der dette kreves.
Det betyr også at det er nødvendig å være påpasselig med at ansvaret i samarbeidsprosjekter er avklart og fordelt, som i prosjekter der pasientdata deles mellom samarbeidende institusjoner, og inngå skriftlige samarbeidsavtaler. Dette er ikke et nytt krav, men det er viktigere enn noensinne å følge regelverket.
Både UiB og Haukeland universitetssykehus har ansatt personvernombud – Janecke Veim og Christer Kleppe. Hvis du er i tvil om du trenger en avtale, ta kontakt med Janecke (janecke.veim@uib.no eller personvernombudet@helse-bergen.no).[:en]After the new General Data Protection Regulation (GDPR) entered into force July 20, 2018, there are some changes on how data on patients’ health have to be treated. It is not enough to just have ethical approval! It is of course still a prerequisite to get REK approal before you start your project. New is that REK approval does not include the permission to handle personal data. In addition, it is required that you are allowed to personal data according to article 6 and article 9 of the personal data protection law. So you still need to get ethical approval prior to starting your research project, but the institution has the additional responsibility that handling of personal data occurs in accordance to the new regulation.
That means that the foundation to get access to personal data has to be evaluated by the project leader, and has to be included in the ethical approval. This foundation is either consent or dispensation of this consent requirement according to the health research laws. The project leader has to show that the treatment of personal data follow the general principles of the personal data protection regulation, for example definition of aims, minimizing the amount of data, limitation of storage and responsibility.
More internal control responsibility is given. We have to assure that treatment of the personal data is according to the regulations, and perform Data Protection Impact Assessments – DPIA when required.
This means that the responsibilities have in collaboration projects have to be well defined and agreed upon, which is of importance when you want to share patient data with your collaborators, and make written agreements. This is not a new requirement, but of more importance now with the new GDPR.
Both the University of Bergen and Haukeland University Hospital have a Personal Data and Privacy commissioner – Janecke Veim and Christer Kleppe. If you are in doubt if you need an agreement with the hospital, contact Janecke or/and Christer (janecke.veim@uib.no, personvernombudet@helse-bergen.no).
[:]