20. maj Datatilsynet og forskningsregistrering – Forskernetværk SHS
Forskningsregistrering Rådgivning omkring datasikkerhed i forbindelse med forskningsdata Forskningsregistrering til regionens paraplyanmeldelse 2 Sebastian Stray Jørgensen Datasikkerhed Forskningsregistrering Direkte:
3 Hvorfor? Loven siger det. Omdømme, anerkendelse af forskning, statistik Ansøgning, fondsansøgninger etc. Følsomme personoplysninger –Afgørende for om en oplysning anses for fortrolig er, om oplysningen er af en sådan karakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges undtaget fra offentlighedens kendskab. –Alle oplysninger på sygehuset som kan relateres til en specifik patient er følsomme - Og hvorfor igennem regionens paraplyanmeldelse?
4 Hvad? Anmeldelse til Datatilsynet igennem regionens paraplyanmeldelse Al forskning inkl. ph.d. studier
Ja, ja… men hvilke oplysninger? Følsomme personoplysninger –Afgørende for om en oplysning anses for fortrolig er, om oplysningen er af en sådan karakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges undtaget fra offentlighedens kendskab. –Alle oplysninger på sygehuset som kan relateres til en specifik patient er følsomme Anonymiseret er at det ikke er muligt at finde frem til person via oplysningerne. Er cpr. nr. en fortrolig oplysning? Må du have cpr. nr. eller navne printet på et stykke papir i lommen? 5
Hvordan? Godkendelse Registrering Dataindsamling Databehandling (forskning) Sletning 6
Godkendelse Selvindsamlet: –Samtykke Indsamlet fra EPJ + kliniske systemer: –Samtykke –Videnskabsetiske komite ved patientinvolvering, væv –Tilladelse fra Sundhedsstyrelsen ved registerforskningsprojekt –Lovhjemmel 7 Hvornår må man søge samtykke?
Registrering Forskningsregistreringsprocessen 1. anmeldelsen til mig 2.Jeg tjekker anmeldelsen igennem og kommenterer eller godkender – helst via telefon 3. anmeldelsen underskrevet og i pdf til mig 4.Jeg melder den ind og sender bekræftelse til dig 5.Du kan gå i gang med din forskning. Forvent at det tager mindst 10 arbejdsdage. Suk! 8 Sebastian Stray Jørgensen Datasikkerhed Forskningsregistrering Direkte:
Forskningsregistrering Skemaer Intranettet Udvikling og Forskning Forskning Datatilsynet Anmeldelsesskema ”Sundhedsvidenskabelige forskning i Region Syddanmark” Databehandleraftale
Skemaet 1.Dataansvarlig myndighed 2.Betegnelse og formål 3.Generel beskrivelse 4.Kategorier af registrerede og oplysningstyper 5.Modtagere 6.Tredjelande 7.Sikkerhed 8.Påbegyndelse 9.Sletning 10.Underskrift Anmeldelse af sundhedsvidenskabelige forskning i regionen ”Sundhedsvidenskabelige forskning i Region Syddanmark” Blankettype: Offentlig forvaltning Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1. Dataansvarlig myndighed Myndighedens navn: Region Syddanmark Damhaven Vejle Institutionens navn og afdeling: Evt. J.nr./ID.nr. Kontaktperson: Kontaktpersonens direkte tlf.nr. (opdateres ved ny kontaktperson): Kontaktpersonens e-post adresse (opdateres ved ny kontaktperson): [ ] Oplysningerne opbevares hos den dataansvarlige og/eller [ ] Oplysningerne opbevares hos databehandler Navn på faste databehandlere: (Fx et Kompetence center, Danmarks Statistik, eksterne laboratorier…) Adresser på faste databehandlere: 2. Betegnelse og formål Behandlingens betegnelse: Behandlingens formål og evt. delformål: Behandlingen skal udelukkende finde sted i videnskabeligt eller statistisk øjemed: [ ] Ja [ ] Nej Behandlingen skal udelukkende finde sted med henblik på at føre et retsinformationssystem: [ ] Ja [ ] Nej 3. Generel beskrivelse Følgende typer af behandling indgår: Der vil blive foretaget samkøring/sammenstilling af oplysninger i kontroløjemed: [ ] Nej [ ] Ja, med hjemmel i følgende lov: Der indgår manuelle registre i behandlingen: [ ] Ja [ ] Nej Der påtænkes truffet afgørelser udelukkende på grundlag af elektronisk databehandling: [ ] Ja [ ] Nej Der behandles følgende følsomme oplysninger: [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andet 4. Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer: oplysningstyper: A) B) C) D) E) F) Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer: ad A) ad B) ad C) ad D) ad E) ad F) 5. Modtagere Oplysningerne kan overføres til følgende modtagere eller kategorier af modtagere: 6. Tredjelande Der påtænkes overført oplysninger til tredjelande: [ ] Nej [ ] Ja, overførslen sker med følgende formål: 7. Sikkerhed Der træffes sikkerhedsforanstaltninger, som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 1 og 2: [ ] Ja [ ] Nej Der træffes sikkerhedsforanstaltninger som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 3: [ ] Ja [ ] Nej Evt. yderligere sikkerhedsforanstaltninger: 8. Påbegyndelse Tidspunkt for påbegyndelse af behandling: 9. Sletning Tidspunkt for sletning af oplysningerne: 10. Underskrift Dato Navn **************************************************
Behandling af data At behandle data er bl.a, men ikke udelukkende, at: –Åbne, –Læse, –Indsamle, –Ajourføre, –Rette, –Registrere –Maile, –Nedfælde, –Statistisk at bearbejde, –Kopiere –Dele, –Sende, –Systematisere, –Opbevare, –Videregive, –Samkøre og –Slette
Opbevaring af data Ifølge loven skal vi opbevare følsomme personoplysninger med fornøden sikkerhed og under logning. Open ( orskningsenheder/open) orskningsenheder/open Regionens databasenhed ( Sikkert Sharepoint fra regionen ( Andre databehandlere (Databehandleraftale) Hvad står der ikke på denne liste?
Behandling af data - HUSK Kun s der ender (Ellers skal du spørge mig hver eneste gang.) Ikke til etc. At have en med følsomme personoplysninger i sin indbakke, er at opbevare dem og det må man ikke. De skal slettes når de er brugt og senest efter 30 dage.
Sletning (aflevering) At arkivere er bedre end at slette. Dansk Data Arkiv (Statens Arkiver)
Ansvar Regionen er dataansvarlig myndighed Forskeren er delegeret dataansvarlig. 15