Fra jura til praksis

Transkript

1 Fra jura til praksis SHS Centermøde 29. november 2017 Janni Brødbæk funktionsleder for projektkoodinering, administration & personale

2 Persondataloven (PDL), Databeskyttelsesforordningen (GDPR) og Datatilsynet og artikler Anmeldelse og andre godkendelser Videregivelse/overladelse af data/biologisk materiale Databehandlere It-systemer Aflevering og sletning af data

3 Hvad er personoplysninger (iht. GDPR)? enhver form for information om en identificeret eller identificerbar fysisk person. Personen kan identificeres direkte eller indirekte via: navn, CPR, id-nr., lokaliseringsdata, onlineidentitet Andre identifikatorer: fysisk, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

4 Typer af personoplysninger (iht. GDPR) almindelig personoplysninger (alt undtaget Art. 9 og Art. 10) Art. 9: Særlige kategorier af personoplysninger (følsomme): race, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforening, genetiske og biometriske data mhp. identifikation, helbredsoplysninger, oplysninger om seksuelle forhold og seksuelle orientering ( 7 PDL)

5 Typer af personoplysninger (iht. GDPR) Art. 10 : Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser ( 8 PDL) Tidl. fortrolige persondata fx økonomiske forhold er ikke defineret i GDPR og høre dermed under almindelige personoplysninger

6 Anmeldelse til Datatilsynet frem til 25. maj 2018 Behandling af følsomme personoplysninger, skal indhente forudgående tilladelse fra Datatilsynet Ved behandling forstås: registrering, systematisering, sammenstilling, søgning, opbevaring, videregivelse, sletning m.v. Identificeret eller identificerbar fysisk person en person, der direkte eller indirekte kan identificeres

7 Fortegnelse over behandlingsaktiviteter efter 25. maj 2018 Dataansvarlig (Region Syddanmark) skal føre fortegnelser over behandlingsaktiviteter Fortegnelsen skal indeholde de samme informationer som anmeldelsen skulle tidligere: Kontaktinfo, formål, kategorier af registrerede (pt., pårørende mv.) og oplysninger, videregivelse, overførsel, slettefrist, tekniske sikkerhedsforanstaltninger (systemer), databehandlere

8 Fortegnelse over behandlingsaktiviteter efter 25. maj 2018 Derfor. Forventes fortsat anmeldelse til RSD eller lokal kontaktperson af al sundhedsvidenskabelig forskning (og kvalitetsprojekter)

9 Hvornår er data anonym - pseudonym Anonyme data - individet kan ikke længere identificeres Pseudonymisering er ikke tilstrækkelig! Pseudonyme data - individet kan identificeres via en nøglefil Hvert individ tildeles et id-nr. Nøglefilen indeholder id-nr., cpr-nr. og navn Datafilen indeholder id-nr. og datavariabler (fx højde, vægt, diagnose, blodprøvesvar osv.

10 Biologisk materiale er også data Opbevaring, registrering, behandling osv. af biologisk materiale er også reguleret af Persondataloven og Databeskyttelsesforordningen

11 Krav til it-systemer - Sikkerhedsbekendtgørelsen Anonyme data ingen krav Persondata: log on procedure Kryptering Firewalls Back-up Dataminimering Brugeradministration

12 Krav til it-systemer - Sikkerhedsbekendtgørelsen Pseudonyme data logning på filniveau Direkte personhenførbare data logning på transaktionsniveau GDPR Art. 25 og Art. 32 passende tekniske og organisatoriske foranstaltninger

13 Hvornår er forskning privat kontra offentlig? Privat forskning Hvis et forsknings- eller statistikprojekt foretages for en privat virksomhed Ved indtægtsdækket virksomhed eller sponsoreret forskning - kontakt: Juridisk Kontor, SDU ift. samarbejdsaftalen

14 Offentlig forskning Hvis et forsknings- eller statistikprojekt foretages for en offentlig myndighed Afgørende kriterier: Projektledelsen foretages af ansat/daglig virke på offentlig institution Patienter på et offentligt sygehus

15 Hvem er dataansvarlig? Følgende forhold er afgørende for hvem der er dataansvarlig: Hvor er patienterne fra? Hvem har formuleret og initieret projektet? Finansiering, aflønning, instruktionsbeføjelse? Hvilket it-udstyr (hardware, software)?

16 Hvordan anmeldes projekter i RSD Til ansvarlig enhed/person på den enkelte sygehusenhed, se RSDs Intranet Region Syddanmark fremsender årligt en samlet oversigt til Datatilsynet over regionens projekter Husk at anmelde væsentlige ændringer inden ikrafttrædelse: Ændring af fx projektansvarlig eller formål Ændring ift. dataindsamling Forlængelse af studiet

17 Hvad giver Datatilsynet tilladelse til? Behandling og opbevaring af data/biologisk materiale, under passende sikkerhedsforanstaltninger Du skal sørger for at have hjelm til at modtage data! Patientsamtykke (journaldata 1 år) eller Styrelsen for Patientsikkerhed (retrospektive journaldata) RKKP, Danmarks Statistik, Sundhedsdatastyrelsen (registerdata)

18 Kliniske forsøg, hvor man ændre procedure ift. standard eller analysere biologisk materiale kræver yderligere godkendelser fra fx Lægemiddelstyrelsen og/eller Videnskabsetisk Komite Umiddelbart uændret efter 25. maj 2018 bortset fra at der ikke bliver tale om anmeldelse til Datatilsynet.

19 Videregivelse/overladelse af data før 25. maj 2018 Hvis et projekt ønsker at videregive data/biologisk materiale til et andet projekt, kræver det som minimum Datatilsynet godkendelse. Desuden skal det projekt, som skal modtage data også have de rette godkendelser Datatilsynet og for biologisk materiale - Videnskabsetisk Komité

20 Data/biologisk materiale formidles til et projekt under samme paraplygodkendelse (RSD) Kaldes overladelse Ansøges ved den enhed/person hvorfra man fik sin oprindelige godkendelse Benyt skema fra RSDs Intranet

21 Data formidles til et projekt under en anden paraply-/datatilsynsgodkendelse (tredjemand) Kaldes videregivelse Ansøgningsskema findes på RSDs Intranet og mailes til juristerne i Regionshuset Godkendelse modtages fra juristerne i Regionshuset

22 Biologisk materiale formidles til et projekt under en anden paraply-/datatilsynsgodkendelse (tredjemand), Data/biologisk materiale formidles til et projekt i udlandet Kaldes videregivelse Ansøgningsskema findes på: -fra-forskning-og-statistik/videregivelse-til-og-frastatistiske-og-videnskabelige-undersoegelservejledning/

23 Videregivelse til et projekt under et andet dataansvar end RSD (tredjemand) efter 25. maj Videregivelse af både data og biologisk materiale skal godkendes af Datatilsynet iht. Databeskyttelsesloven Datatilsynet kan dog fastsætte nærmere generelle og nærmere vilkår Dette kan betyde en videreførsel af tidligere procedure hvor videregivelse af data godkendes af Regionshuset.

24 Databehandlere Hvis et projekt benytter en ekstern person/ firma/institution til at behandle data/biologisk materiale er en databehandleraftale påkrævet Databehandlere kan være: Medicinstuderende uden ansættelse, statistiker, laboratorium, sygehus udenfor RSD osv. Databehandler skal være påført anmeldelsesskemaet (Datatilsyn/fortegnelse)

25 Skabelon til databehandleraftale kan findes på: /databehandleraftale/sider/default.aspx Det er den ansvarlige enhed/person hvorfra man fik sin oprindelige godkendelse der skriver under på RSDs (projektets) vegne

26 It-systemer som lever op til loven REDCap database ved OPEN OPEN Analyse OPEN Randomise Regionalt secure SharePoint/SDU SharePoint med logning Topica database ved Databaseenheden DataDeic (dataopbevaring)

27 Fillogning = pseudoanonymiserede data Adskillelse af datafil og nøglefil Se OPENs vejledning vedr. SharePoint her: inisk_institut/forskning/forskningsenheder/ope n/vejledninger Hvis data er i Lister (og ikke som datafiler), er der transaktionslogning (små projekter) Individuelle brugerrettigheder Deling af filer fx på tværs af afdelinger/sygehuse

28 It-systemer som lever op til GCPbekendtgørelsen ift. ecrf REDCap database ved OPEN OPEN Randomise Topica database ved Databaseenheden Løsninger fra eksterne firmaer

29 Aflevering og sletning af data Inden datatilsynsgodkendelsen udløber skal data slettes. Nogle data anmeldes og afleveres til Rigsarkivet Data som ikke umiddelbart kan reproduceres anmeldes til Rigsarkivet Rigsarkivet modtager følsomme personhenførbare data (datavariabler inkl. cpr og navn) Rigsarkivet arbejder pt. med regler for arkivering af regionale data

30 Online anmeldelse sker via Data bevares for eftertiden Data kan genbruges til fx follow-up studier Efter aflevering af data til Rigsarkivet, slettes alle personhenførbare forskningsdata i alle systemer

31 Relevante links Databeskyttelsesloven inkl. Præambel og Databeskyttelsesforordningen: 8/20171_l68_som_fremsat.pdf Datatilsynets pjece om Persondataloven: /dokumenter/persondatalovspjece/persondatalovsp jece.pdf Datatilsynets vejl. til forordningen: ger-databeskyttelsesforordningen/

32

33 HUSK I er altid velkomne hos! open@rsyd.dk Tlf.: