Rutine 6: H?ndtering og lagring av forskningsdata (datakvalitet og informasjonssikkerhet)

Versjon 5, godkjent av universitetsdirekt?ren 01.02.2022

MEDISINSK OG HELSEFAGLIG FORSKNING

Virksomhet som utf?res med vitenskapelig metodikk for ? skaffe til veie ny kunnskap om helse og sykdom.

1. Hensikt

Hensikten med denne rutinen er ? sikre at helseforskningsdata:

  • Innhentes
  • Registreres
  • H?ndteres
  • Bearbeides
  • Lagres

p? en slik m?te at personopplysningslovens krav og bestemmelser oppfylles i forskningsprosjekter som ogs? omfattes av helseforskningsloven og at mellomlagring og kvalitetskontroll av

  • Kildedata
  • Metadata
  • Resultatdata

muliggj?r en rekonstruksjon av datainnsamling og -h?ndtering.

2. Omfang

Denne rutinen gjelder data fra alle forskningsprosjekter som omfattes av helseforskningsloven, herunder klinisk utpr?ving av legemidler og medisinsk utstyr. Rutinen gjelder ikke for prosjekter som var avsluttet ved implementering av tidligere versjoner av denne rutinen. Dersom data fra avsluttede prosjekter hentes ut for gjentatt bruk, omfattes de av kravene i denne rutinen.

Dersom data lagres etter avtale med informasjonsleverand?rer, som helseforetak, helseforvaltning og prim?rhelsetjenesten, skal rutiner og systemer for h?ndtering, lagring og utlevering v?re beskrevet i 亚博娱乐官网_亚博pt手机客户端登录savtale for det aktuelle prosjektet eller i separat databehandleravtale.

Dersom forskningsdataene for UiO skal lagres/bearbeides hos en tredjepart skal det inng?s en databehandleravtale se vedlegg 6.4. Avtalen skal inneholde krav til kvalitetskontroll og beskrivelse av metoder for bearbeiding.   

3. Ansvar

IT - direkt?r

  • har ansvar for etablering og vedlikehold av internkontrollsystemet for informasjonssikkerhet
  • er ut?ver av databehandleransvaret
  • kan p? vegne av forskningsansvarlige vurdere og beslutte unntak fra kravene i denne rutinen
  • har ansvar for vedlikehold og utvikling av TSD

Den som skriftlig har f?tt delegert ansvar som forskningsansvarliges representant eller sponsors representant (Jfr. Rutinebeskrivelse 1, 3 og 4)

  • har ansvar for at alle prosjekter har en plan for forsvarlig innhenting, kvalitetskontroll, mellomlagring, bearbeiding/analyse, sluttlagring og annen h?ndtering av data
  • har ansvar for at instituttet/enheten har et tilfredsstillende system for sikker oppbevaring av koblingsn?kler fra p?g?ende og avsluttede prosjekter
  • skal s?rge for at n?dvendig programvare for statistisk analyse og annen bearbeiding er tilgjengelig i UiOs systemer

Den enkelte prosjektleder eller hovedutpr?ver

  • er ansvarlig for at de personopplysningene som inng?r i et medisinsk og helsefaglig forskningsprosjekt behandles forsvarlig (registreres, h?ndteres, kvalitetskontrolleres og lagres i henhold til gjeldende lovverk og godkjennelser) med muliggj?ring av rekonstruksjon av datagrunnlaget, for at n?dvendige avtaler foreligger og at dette dokumenteres, jfr. Vedlegg 6.1 Sjekkliste for h?ndtering og lagring av data i det enkelte prosjekt.

4. Beskrivelse av oppgaver

UiO har ikke et enhetlig system for h?ndtering og lagring av forskningsdata.

Data kan lagres etter ulike systemer, i forskjellige formater og p? forskjellige medier, men f?lgende retningslinjer skal overholdes:

4.1 Avgrensning

De data som h?ndteres og lagres skal v?re relevante og n?dvendige for forskningsprosjektets form?l og for n?dvendig rekonstruksjon, slik det er godkjent av REK og andre relevante myndigheter og anbefalt av Sikt (omfatter tidligere NSD, Norsk senter for forskningsdata). Eventuelle endringer i innsamling eller bearbeiding av data skal ikke iverksettes uten endringss?knad med dertil h?rende godkjennelse/anbefaling fra samme instans(er) som ga den opprinnelige godkjenningen/anbefalingen.

4.2 Lagring og bearbeiding av sensitive forskningsdata

All bearbeiding og lagring av forskningsdata skal foreg? i UiOs godkjente systemer, og i henhold til vedtak fra REK.

亚博娱乐官网_亚博pt手机客户端登录sdata skal kun lagres og h?ndteres i henhold til UiOs lagringsguide: www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagringsguide.html

亚博娱乐官网_亚博pt手机客户端登录sdata skal klassifiseres i henhold til UiOs rutine for klassifisering av data og informasjon: www.uio.no/tjenester/it/sikkerhet/lsis/tillegg/lagring/infoklasser.html

亚博娱乐官网_亚博pt手机客户端登录sdata i medisinsk og helsefaglig forskningsprosjekter er klassifisert som r?de eller svarte data. Det er kun Tjenester for sensitive data – TSD  som er godkjent for lagring og h?ndtering av svarte data.

4.3 Personidentifikasjon

Graden av personidentifikasjon skal ikke v?re st?rre enn n?dvendig for ? oppfylle form?let (Jfr. Veiledning til helseforskningsloven pkt. 4.3. og 4.5).       

4.4 Utlevering av helseopplysninger

Utlevering til eller fra 亚博娱乐官网_亚博pt手机客户端登录ende institusjon skal ikke foretas uten at REK-godkjennelse og signert datautleveringsavtale foreligger.

4.5 Personidentifiserbare helseopplysninger

Helseopplysninger som er direkte identifiserbare skal ikke lagres og bearbeides i andre av UiOs systemer enn TSD 2.0.

4.6 Utlevering av pseudonymiserte helseopplysninger

Helseopplysninger som er pseudonymiserte skal ikke utleveres til andre institusjoner sammen med koblingsn?kkel. Selv om mottaker ikke har tilgang til koblingsn?kkel, er ikke opplysningene ? anse som anonymiserte s? lenge koblingsn?kkel er i behold.

Ved utlevering av helseopplysninger m? prosjektleder, i tillegg til ? s?ke REK, skriftlig forsikre seg om at databehandlingsansvarlig som dataene blir overf?rt til f?lger personvernforordningen. Se vedlegg 6.3 Dataoverf?ringsavtale.

Ved utlevering av helseopplysninger til land utenfor E?S m? prosjektleder i tillegg til ? s?ke REK, skriftlig forsikre seg om at databehandlingsansvarlig og/eller databehandler i landet dataene blir overf?rt  kan garantere samme beskyttelsesniv? for opplysningene som etter personvernforordningen, samt at forskningsdeltaker er informert om at opplysningene skal utleveres til land utenfor EU/E?S og har samtykket til en slik utlevering, eventuelt at det foreligger et annet gyldig overf?ringsgrunnlag i henhold til personvernfordningen kap. 5. ?Overf?ring av personopplysninger til tredjestater eller internasjonale organisasjoner?

4.7 Koblingsn?kkel

Koblingsn?kkel skal oppbevares med begrenset tilgang, under adgangskontroll og separat fra helseopplysningene, se Vedlegg 6.2 Skjema for koblingsn?kkel og oversikt over fors?kspersoner. Etter avsluttet prosjekt skal fakultet- eller institutt/enhetsniv? p?se at koblingsn?kkel oppbevares sikkert. Dette kan gj?res i TSD. Koblingsn?kkelen skal klassifiseres med samme farge som forskningsdataene.

Se for ?vrig UiOs:

5. Lovmessig grunnlag

  • LOV 2008-06-20 nr. 44        Lov om medisinsk og helsefaglig forskning
  • FOR 2009-07-01 nr. 955       Forskrift om organisering av medisinsk- og helsefaglig forskning
  • LOV-2018-06-15-38              Lov om behandling av personopplysninger

6. Vedlegg

Enhetenes lokale tilleggsrutiner

Publisert 3. feb. 2022 13:45 - Sist endret 7. feb. 2023 05:39