7. Oktober 2015 Datatilsynet og forskningsregistrering
Forskningsregistrering Rådgivning omkring datasikkerhed i forbindelse med forskningsdata Forskningsregistrering til regionens paraplyanmeldelse Registrering muligt hver måned: 11. november 2015 13. januar 2016 3. februar 2016 2. marts 2016 6. april 2016 4. maj 2016 1. juni 2016 Sebastian Stray Jørgensen Datasikkerhed Forskningsregistrering Direkte: 23 35 10 44 2 stray@rsyd.dk
Hvorfor? - Og hvorfor igennem regionens paraplyanmeldelse? Loven siger det. Omdømme, anerkendelse af forskning, statistik, sygehusets Ansøgning, fondsansøgninger etc. Følsomme personoplysninger 3
Hvad? Anmeldelse til Datatilsynet igennem regionens paraplyanmeldelse Al forskning inkl. ph.d. studier 4 Ikke: BA (dog ved: vævsprøver etc.) Skoleopgaver
Ja, ja men hvilke oplysninger? Følsomme personoplysninger Afgørende for om en oplysning anses for fortrolig er, om oplysningen er af en sådan karakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges undtaget fra offentlighedens kendskab. Alle oplysninger på sygehuset som kan relateres til en specifik patient er følsomme 5 Anonymiseret er at det ikke er muligt at finde frem til person via oplysningerne.
Hvordan? Processen: 1. Registrering 2. Samtykke 3. Dataindsamling 4. Databehandling (forskning) 5. Sletning Nyt system i det nye år 6
Registrering 1. Personligt fremmøde: 11. november 2015 13. januar 2016 3. februar 2016 2. marts 2016 6. april 2016 4. maj 2016 1. juni 2016 2. Gå glad (= godkendt) derfra 7
Find forskningsregistreringsskemaer Intranettet Organisation It-afdelingen Vejledninger og manualer Øvrige vejledninger Datatilsynet Anmeldelsesskema Sundhedsvidenskabelige forskning i Region Syddanmark Databehandleraftale
Der træffes sikkerhedsforanstaltninger, som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 1 og 2: Anmeldelse af sundhedsvidenskabelige forskning i regionen Sundhedsvidenskabelige forskning i Region Syddanmark Blankettype: Offentlig forvaltning Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1. Dataansvarlig myndighed Skemaet Myndighedens navn: Region Syddanmark Damhaven 12 7100 Vejle Institutionens navn og afdeling: Evt. J.nr./ID.nr. Kontaktperson: Kontaktpersonens direkte tlf.nr. (opdateres ved ny kontaktperson): Kontaktpersonens e-post adresse (opdateres ved ny kontaktperson): [ ] Oplysningerne opbevares hos den dataansvarlige og/eller [ ] Oplysningerne opbevares hos databehandler 1. Dataansvarlig myndighed 2. Betegnelse og formål 3. Generel beskrivelse 4. Kategorier af registrerede og oplysningstyper 5. Modtagere 6. Tredjelande 7. Sikkerhed 8. Påbegyndelse 9. Sletning 10. Underskrift Navn på faste databehandlere: (Fx et Kompetence center, Danmarks Statistik, eksterne laboratorier ) Adresser på faste databehandlere: 2. Betegnelse og formål Behandlingens betegnelse: Behandlingens formål og evt. delformål: Behandlingen skal udelukkende finde sted i videnskabeligt eller statistisk øjemed: [ ] Ja [ ] Nej Behandlingen skal udelukkende finde sted med henblik på at føre et retsinformationssystem: [ ] Ja [ ] Nej 3. Generel beskrivelse Følgende typer af behandling indgår: Der vil blive foretaget samkøring/sammenstilling af oplysninger i kontroløjemed: [ ] Nej [ ] Ja, med hjemmel i følgende lov: Der indgår manuelle registre i behandlingen: [ ] Ja [ ] Nej Der påtænkes truffet afgørelser udelukkende på grundlag af elektronisk databehandling: [ ] Ja [ ] Nej Der behandles følgende følsomme oplysninger: [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andet 4. Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer: oplysningstyper: A) B) C) D) E) F) Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer: ad A) ad B) ad C) ad D) ad E) ad F) 5. Modtagere Oplysningerne kan overføres til følgende modtagere eller kategorier af modtagere: 6. Tredjelande Der påtænkes overført oplysninger til tredjelande: [ ] Nej [ ] Ja, overførslen sker med følgende formål: 7. Sikkerhed
Dataansvarlig myndighed Skriv det center og den klinik du forsker for på. Du er dataansvarlig. Skal du også have databehandler, skal du skrive dem her. Det er en person som er fra en anden datamyndighed (altså ikke ansat i regionen) som skal arbejde med DINE data. Der SKAL foreligge databehandleraftale Databehandleraftalen siger at den der arbejder for dig kun må gøre hvad du beder om 10
Betegnelse og formål Betegnelsen = navn på forskningen. Den titel du også selv bruger. Formål: KORT beskrivelse af formålet med forskningen. Det er dette formål du får lov til at bruge data til og ikke andet. Skal skrives så det kan forstås af mig og Datatilsynets inspektører 11
Generel beskrivelse Der vil blive foretaget samkøring/sammenstilling af oplysninger i kontroløjemed: [ x ] Nej / [ ] Ja, med hjemmel i følgende lov: Der indgår manuelle registre i behandlingen: [ ] Ja / [ x ] Nej Der påtænkes truffet afgørelser udelukkende på grundlag af elektronisk databehandling: [ ] Ja / [ x ] Nej Der behandles følgende følsomme oplysninger: [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ x ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold 12 Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andet
Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer: A) En type person der bliver undersøgt B) En anden type person der bliver undersøgt C) En tredje D) E) 13 Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer: ad A) Hvilke data/oplysninger man bruger om den første persontype ad B) ad C) ad D) ad E) Hvilke data/oplysninger man bruger om den anden persontype Hvilke data/oplysninger man bruger om den tredje
Modtagere Normalt er der ingen. Hvis der er aftale om at der skal ske en overførsel af data til videre forskning i andet regi eller til andet brug, skal det påføres her. 14
Tredjelande Der er specielle forhold der gør sig gældende hvis man ønsker at samarbejde med lande uden for EU. Kontakt mig konkret. 15
Sikkerhed Der træffes sikkerhedsforanstaltninger, som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 1 og 2: bekendtgørelsen [ ] Ja [ ] Nej Der træffes sikkerhedsforanstaltninger som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 3: [ ] Ja [ ] Nej Evt. yderligere sikkerhedsforanstaltninger: Brug Sikkert Sharepoint Brug Survey Exact Opbevar vævsprøver sikret 16 Lad være med at gemme lokalt
Påbegyndelse Startdato 17
Sletning Sletningsdato Kan være en del tid efter endt databehandling Data skal virkelig slettes inden denne dato. 18 Sletning kan også være overførsel til arkiv.
Underskrift Dit ansvar, din underskrift 19
Samtykke Selvindsamlet: Samtykke Indsamlet fra EPJ + kliniske systemer: Samtykke Videnskabsetiske komite ved patientinvolvering, væv Tilladelse fra Sundhedsstyrelsen ved registerforskningsprojekt Lovhjemmel Hvornår må man søge samtykke? 20
Behandling af data At behandle data er bl.a, men ikke udelukkende, at: Åbne, Læse, Indsamle, Ajourføre, Rette, Registrere Maile, Nedfælde, Statistisk at bearbejde, Kopiere Dele, Sende, Systematisere, Opbevare, Videregive, Samkøre og Slette
Opbevaring af data Ifølge loven skal vi opbevare følsomme personoplysninger med fornøden sikkerhed og under logning. Open (http://www.sdu.dk/om_sdu/institutter_centre/klinisk_institut/forskning/f orskningsenheder/open) Regionens databasenhed (http://databaseenheden.dk/wm341265) Sikkert Sharepoint fra regionen (http://intranet.regionsyddanmark.dk/wm379703) Andre databehandlere (Databehandleraftale) Hvad står der ikke på denne liste?
Behandling af data - HUSK Kun e-mails der ender på @rsyd.dk eller @...regionsyddanmark.dk (Ellers skal du spørge mig hver eneste gang.) Ikke til og fra @fadl, @gmail, @hotmail, @facebook etc. At have en e-mail med følsomme personoplysninger i sin indbakke, er at opbevare dem og det må man ikke. De skal slettes når de er brugt og senest efter 30 dage.
Sletning (aflevering) At arkivere er bedre end at slette. Dansk Data Arkiv (Statens Arkiver)
Ansvar Regionen er dataansvarlig myndighed Forskeren er delegeret dataansvarlig. 25