7. Oktober 2015 Datatilsynet og forskningsregistrering
Forskningsregistrering Rådgivning omkring datasikkerhed i forbindelse med forskningsdata Forskningsregistrering til regionens paraplyanmeldelse Registrering muligt hver måned: –11. november 2015 –13. januar 2016 –3. februar 2016 –2. marts 2016 –6. april 2016 –4. maj 2016 –1. juni Sebastian Stray Jørgensen Datasikkerhed Forskningsregistrering Direkte:
3 Hvorfor? Loven siger det. Omdømme, anerkendelse af forskning, statistik, sygehusets Ansøgning, fondsansøgninger etc. Følsomme personoplysninger - Og hvorfor igennem regionens paraplyanmeldelse?
4 Hvad? Anmeldelse til Datatilsynet igennem regionens paraplyanmeldelse Al forskning inkl. ph.d. studier Ikke: –BA (dog ved: vævsprøver etc.) –Skoleopgaver
Ja, ja… men hvilke oplysninger? Følsomme personoplysninger –Afgørende for om en oplysning anses for fortrolig er, om oplysningen er af en sådan karakter, at den efter den almindelige opfattelse i samfundet bør kunne forlanges undtaget fra offentlighedens kendskab. –Alle oplysninger på sygehuset som kan relateres til en specifik patient er følsomme Anonymiseret er at det ikke er muligt at finde frem til person via oplysningerne. 5
Hvordan? Processen: 1.Registrering 2.Samtykke 3.Dataindsamling 4.Databehandling (forskning) 5.Sletning 6 Nyt system i det nye år
Registrering 1.Personligt fremmøde: –11. november 2015 –13. januar 2016 –3. februar 2016 –2. marts 2016 –6. april 2016 –4. maj 2016 –1. juni Gå glad (= godkendt) derfra 7
Find forskningsregistreringsskemaer Intranettet Organisation It-afdelingen Vejledninger og manualer Øvrige vejledninger Datatilsynet Anmeldelsesskema ”Sundhedsvidenskabelige forskning i Region Syddanmark” Databehandleraftale
Skemaet 1.Dataansvarlig myndighed 2.Betegnelse og formål 3.Generel beskrivelse 4.Kategorier af registrerede og oplysningstyper 5.Modtagere 6.Tredjelande 7.Sikkerhed 8.Påbegyndelse 9.Sletning 10.Underskrift Anmeldelse af sundhedsvidenskabelige forskning i regionen ”Sundhedsvidenskabelige forskning i Region Syddanmark” Blankettype: Offentlig forvaltning Anmeldelse af behandlinger der foretages for den offentlige forvaltning 1. Dataansvarlig myndighed Myndighedens navn: Region Syddanmark Damhaven Vejle Institutionens navn og afdeling: Evt. J.nr./ID.nr. Kontaktperson: Kontaktpersonens direkte tlf.nr. (opdateres ved ny kontaktperson): Kontaktpersonens e-post adresse (opdateres ved ny kontaktperson): [ ] Oplysningerne opbevares hos den dataansvarlige og/eller [ ] Oplysningerne opbevares hos databehandler Navn på faste databehandlere: (Fx et Kompetence center, Danmarks Statistik, eksterne laboratorier…) Adresser på faste databehandlere: 2. Betegnelse og formål Behandlingens betegnelse: Behandlingens formål og evt. delformål: Behandlingen skal udelukkende finde sted i videnskabeligt eller statistisk øjemed: [ ] Ja [ ] Nej Behandlingen skal udelukkende finde sted med henblik på at føre et retsinformationssystem: [ ] Ja [ ] Nej 3. Generel beskrivelse Følgende typer af behandling indgår: Der vil blive foretaget samkøring/sammenstilling af oplysninger i kontroløjemed: [ ] Nej [ ] Ja, med hjemmel i følgende lov: Der indgår manuelle registre i behandlingen: [ ] Ja [ ] Nej Der påtænkes truffet afgørelser udelukkende på grundlag af elektronisk databehandling: [ ] Ja [ ] Nej Der behandles følgende følsomme oplysninger: [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andet 4. Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer: oplysningstyper: A) B) C) D) E) F) Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer: ad A) ad B) ad C) ad D) ad E) ad F) 5. Modtagere Oplysningerne kan overføres til følgende modtagere eller kategorier af modtagere: 6. Tredjelande Der påtænkes overført oplysninger til tredjelande: [ ] Nej [ ] Ja, overførslen sker med følgende formål: 7. Sikkerhed Der træffes sikkerhedsforanstaltninger, som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 1 og 2: [ ] Ja [ ] Nej Der træffes sikkerhedsforanstaltninger som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 3: [ ] Ja [ ] Nej Evt. yderligere sikkerhedsforanstaltninger: 8. Påbegyndelse Tidspunkt for påbegyndelse af behandling: 9. Sletning Tidspunkt for sletning af oplysningerne: 10. Underskrift Dato Navn **************************************************
Dataansvarlig myndighed Skriv det center og den klinik du forsker for på. Du er dataansvarlig. Skal du også have databehandler, skal du skrive dem her. –Det er en person som er fra en anden datamyndighed (altså ikke ansat i regionen) som skal arbejde med DINE data. –Der SKAL foreligge databehandleraftale 10 Databehandleraftalen siger at den der arbejder for dig kun må gøre hvad du beder om
Betegnelse og formål Betegnelsen = navn på forskningen. Den titel du også selv bruger. Formål: KORT beskrivelse af formålet med forskningen. –Det er dette formål du får lov til at bruge data til – og ikke andet. –Skal skrives så det kan forstås af mig og Datatilsynets inspektører 11
Generel beskrivelse Der vil blive foretaget samkøring/sammenstilling af oplysninger i kontroløjemed: [ x ] Nej / [ ] Ja, med hjemmel i følgende lov: Der indgår manuelle registre i behandlingen: [ ] Ja / [ x ] Nej Der påtænkes truffet afgørelser udelukkende på grundlag af elektronisk databehandling: [ ] Ja / [ x ] Nej Der behandles følgende følsomme oplysninger: [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ x ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andet 12
Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer: A) En type person der bliver undersøgt B) En anden type person der bliver undersøgt C) En tredje… D) E) Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer: ad A) Hvilke data/oplysninger man bruger om den første persontype ad B) Hvilke data/oplysninger man bruger om den anden persontype ad C) Hvilke data/oplysninger man bruger om den tredje… ad D) ad E) 13
Modtagere Normalt er der ingen. Hvis der er aftale om at der skal ske en overførsel af data til videre forskning i andet regi eller til andet brug, skal det påføres her. 14
Tredjelande Der er specielle forhold der gør sig gældende hvis man ønsker at samarbejde med lande uden for EU. Kontakt mig konkret. 15
Sikkerhed Der træffes sikkerhedsforanstaltninger, som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 1 og 2: bekendtgørelsen [ ] Ja [ ] Nej Der træffes sikkerhedsforanstaltninger som beskrevet i Justitsministeriets bekendtgørelse nr. 528 kapitel 3: [ ] Ja [ ] Nej Evt. yderligere sikkerhedsforanstaltninger: 16 Brug Sikkert Sharepoint Brug Survey Exact Opbevar vævsprøver sikret Lad være med at gemme lokalt
Påbegyndelse Startdato 17
Sletning Sletningsdato –Kan være en del tid efter endt databehandling –Data skal virkelig slettes inden denne dato. Sletning kan også være overførsel til arkiv. 18
Underskrift Dit ansvar, din underskrift 19
Samtykke Selvindsamlet: –Samtykke Indsamlet fra EPJ + kliniske systemer: –Samtykke –Videnskabsetiske komite ved patientinvolvering, væv –Tilladelse fra Sundhedsstyrelsen ved registerforskningsprojekt –Lovhjemmel 20 Hvornår må man søge samtykke?
Behandling af data At behandle data er bl.a, men ikke udelukkende, at: –Åbne, –Læse, –Indsamle, –Ajourføre, –Rette, –Registrere –Maile, –Nedfælde, –Statistisk at bearbejde, –Kopiere –Dele, –Sende, –Systematisere, –Opbevare, –Videregive, –Samkøre og –Slette
Opbevaring af data Ifølge loven skal vi opbevare følsomme personoplysninger med fornøden sikkerhed og under logning. Open ( orskningsenheder/open) orskningsenheder/open Regionens databasenhed ( Sikkert Sharepoint fra regionen ( Andre databehandlere (Databehandleraftale) Hvad står der ikke på denne liste?
Behandling af data - HUSK Kun s der ender (Ellers skal du spørge mig hver eneste gang.) Ikke til etc. At have en med følsomme personoplysninger i sin indbakke, er at opbevare dem og det må man ikke. De skal slettes når de er brugt og senest efter 30 dage.
Sletning (aflevering) At arkivere er bedre end at slette. Dansk Data Arkiv (Statens Arkiver)
Ansvar Regionen er dataansvarlig myndighed Forskeren er delegeret dataansvarlig. 25