Utlevering av personopplysninger eller biobankmateriale utenfor egen virksomhet

Formål

Utgangspunktet for utlevering av personopplysninger er samtykke fra prosjektdeltakeren.                                                                                                     

Utlevering av person-/helseopplysninger til en annen virksomhet i forbindelse med forskning, er en egen databehandling. Rekrutteringen, den tilhørende innsamlingen og selve utleveringen av opplysninger, er derfor en databehandling som forutsetter melding til personvernombudet (NSD/REK). En skrifltlig tilråding fra NSD/REK sakl være innhentet før slik utlevering kan starte. Den prosjektansvarlige skal sørge for at slik tilråding er innhentet.
 

Melding om utlevering av personopplysninger i forskning er oftest aktuelt ved samarbeidsprosjekter og legemiddelutprøvinger.

 
Selv om den eksterne parten har godkjenning fra REK, konsesjon fra Datatilsynet, eller har meldt databehandlingen til NSD, har NIH i tillegg til formalisering av selve utleveringen også en egen plikt til å kontrollere at personvernet er tilfredsstillende håndtert hos mottaker.
 

Aktiviteter

  • Personer som ikke er underlagt NIHs instruksjonsmyndighet kan ikke gis tilgang til helse- og personopplysninger for selv å hente ut opplysningen uten at det er inngått avtale med ikke tilsatt –NIH
  • For utlevering av personopplysninger for databehandling må det inngås en databehandleravtale.
  • Leder av IKT ved NIH skal godkjenne og signere databehandleravtaler
  • Prosjektleder må forsikre seg om at personopplysningene blir forsvarlig oppbevart etter at de er utlevert
  • Ved utlevering til land utenfor EØS må prosjektleder skriftlig forsikre seg om at den utenlandske databehandlingsansvarlig følger EU-direktiv 95/46/EF, at prosjektdeltaker har samtykket og er informert om at opplysningene skal utleveres til land utenfor EØS
  • Avidentifiserte eller pseudonyme data kan utleveres dersom kopling til personidentifikasjoner ikke kan skje så lenge opplysningene befinner seg i utlandet
  • Ved utlevering til ekstern mottaker: Utlevering av avidentifiserte data (datafil + nøkkelfil) på CD/DVD eller minnepenn: Rekommandert, og i to forsendelser; nøkkelfil og data sendes hver for seg, fortrinnsvis kryptert

For prosjekter som faller inn under Helseforskningsloven:

  • REK må bekrefte at den aktuelle institusjonen har tillatelse til å behandle de aktuelle helse- og personopplysningene
  • Dersom forskningsprosjektet ikke er samtykkebasert, må Regional komité for medisinsk og helsefaglig forskningsetikk (REK) ha innvilget dispensasjon fra taushetsplikten, eller det må foreligge annen lovhjemmel
  • Prosjektleder må oversende kopi av informasjonsskriv og samtykkeerklæring til virksomheten. Dersom forskningsprosjektet ikke er samtykkebasert, må kopi av dispensasjon fra taushetsplikten oversendes sammen med en spesifikasjon av hvilke forskningsdata som søkes utlevert
  • Utlevering av biobankmateriale følger i hovedsak samme regler, men med noen tilleggsbestemmelser, se Regler for forskningsbiobank
 

Dokumentasjon

Henvendelse med vedlegg og svar på henvendelse arkiveres etter gjeldende retningslinjer.