Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk
Program Præsentation og formål Kort om persondataloven Anmeldelse forskningsprojekter 2 www.regionmidtjylland.dk
Annette Sand Kommuneassistent Socialformidler Cand. Jur. Advokatbestalling 1998 Juridisk konsulent, Juridisk enhed, Regionssekretariatet,Region Midtjylland 2009 3 www.regionmidtjylland.dk
Anmeldelse af forskningsprojekter Krav herom i persondataloven (eu-reglerdirektivbestemt) 4 www.regionmidtjylland.dk
Persondatalovens baggrund og formål Trådte i kraft den 1. juli 2000 Gennemfører EU-direktiv 95/46/EF Tilsvarende lovgivning i andre medlemslande Reglerne regulerer al behandling af personoplysninger om fysiske personer (også afdøde) Formål: Skal beskytte og sikre: den enkelte borgers retssikkerhed privatlivets fred/personlig integritet for borgerne (også på arbejdspladsen) gode rammer for, at myndigheder og virksomheder kan anvende personoplysninger et højt niveau af databeskyttelse lovlig og nem adgang for udveksling af oplysninger i EU 5 www.regionmidtjylland.dk
Lovens anvendelsesområder Al elektronisk behandling af personoplysninger Ikke et krav at produktet er elektronisk, men nok at fremgangsmåden er elektronisk Oplysninger i manuelle registre Udveksling af manuelle oplysninger mellem off. myndigheder Personoplysninger omfatter: tekst, billeder, stemmer, fingeraftryk, væv, blod- og sædbanker, stamceller m.v. 6 www.regionmidtjylland.dk
Begreber og definitioner 3 Omfatter personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person Ved afgørelse om, at en person er identificerbar, skal alle midler, der kan tænkes anvendt, tages i betragtning Ikke anonyme oplysninger: Når alt, der kan identificere: Direkte eller indirekte identifikation / - nummer / - kendetegn (fysiske, fysiologiske, genetiske / psykiske, økonomiske, kulturelle, sociale, geografiske) - er slettet! 7 www.regionmidtjylland.dk
Samtykke Hovedregel: Al behandling kan alene ske hvis der foreligger samtykke ( 3 nr. 8, 6 stk. 1 nr. 1, 7 stk. 2 nr. 1 og 8 stk. 2 nr. 1) - et samtykke er en viljestilkendegivelse - et samtykke kan tilbagekaldes ( 38) - Særligt om data fra patientjournaler (VEK eller sundhedslovens 46 stk. 2) 8 www.regionmidtjylland.dk
Behandlingsregler 5 Grundlæggende Pligter Den dataansvarlige har følgende forpligtigelser: God databehandlingsskik, stk. 1 Kun til udtrykkeligt angivne, saglige formål, stk. 2 Kun relevante og tilstrækkelige (ikke flere end nødvendigt), stk. 3 Pligt til oplysning (til den registrerede) Pligt til kontrol af oplysninger (urigtige/ vildledende opl. skal slettes/ berigtiges- det vil sige krav til ajourføring), stk. 4 Pligt til sletning (når opl. ikke længer skal benyttes), stk. 5 Pligt til sikkerhed Pligt til anmeldelse til Datatilsyn 9 www.regionmidtjylland.dk
Pligt til af Anmelde 1 43-47 Anmeldelsespligten omfatter: Enhver behandling af personoplysninger - Navn og adresse på dataansvarlig - Formål og betegnelse - Kategori af registrerede - Kategori af modtagere - Påtænkt overførsel til tredjeland - Beskrivelse af sikkerhed - Tidspunkt for påbegyndelse og for sletning 10 www.regionmidtjylland.dk
Pligt til Anmeldelse til Datatilsyn Standardanmeldelser: Regionerne har anmeldt flg.: - Personaleadministration i RM - Sundhedsvidenskabelig forskning i RM - Kliniske Kvalitetsdatabaser i RM - Psyk. og Sociale tilbud i RM - Patientbehandling i regionalt regi i RM - Kontrol af medarb. anvendelse af e-mail og internet - Regionsrådsvalg 11 www.regionmidtjylland.dk
Anmeldelse af forskningsprojekter Offentlig eller privat projekt Anmeldelse til Region eller Datatilsynet Indhold af anmeldelse Overgang af dataansvar fra privat til offentlig 12 www.regionmidtjylland.dk
Godkendelse fra Datatilsynet/Regionen m. standardvilkår Sikker opbevaring/behandling af data Databehandleraftale Krav om sletning ved projektafslutning Årlig indberetning til Datatilsynet Mulighed for forlængelse Anmeldelse af væsentlige ændringer Forskningsdatabaser fremtidig forskning 13 www.regionmidtjylland.dk
Indhentelse af oplysninger til brug for projektet - Fra patientjournaler sundhedslovens 46 stk. 2 Fra registre Sundhedsstyrelsen Direkte fra patienter spørgeskema mv. Kliniske kvalitetsdatabaser 14 www.regionmidtjylland.dk
Videregivelse af data Til andre forskningsprojekter i Region Midtjylland Til private projekter Til andre offentlige projekter Fra private projekter 15 www.regionmidtjylland.dk
Informationssikkerhed og data sikkerhed www.regionmidtjylland.dk
Informationssikkerhed Tilgængelighed Tilgængelighed betyder, at information kan tilgås af de personer og systemer, der har behov for det, når de har behov for det. Integritet Integritet vil sige, at information er korrekt og dermed ikke bliver ændret utilsigtet. Fortrolighed Fortrolighed vil sige, at følsom information ikke kommer uvedkommende i hænde. 17 www.regionmidtjylland.dk
Informationssikkerhed i RM Informationssikkerhedspolitik Informationssikkerhedsudvalget Informationssikkerhedskoordinator It-sikkerhed, It-afdelingen, It-sekretariatet Men ansvaret for informationssikkerhed ligger i organisationen. 18 www.regionmidtjylland.dk
Sikkerhedshåndbog Standard for informationssikkerhed (DS484) Retningslinjer på Intranet under Organisation -> Informationssikkerhed Lokale retningslinjer der lemper krav, jf. DS484, skal godkendes af Informationssikkerhedsudvalget Brud på informationssikkerheden 19 www.regionmidtjylland.dk