Krav om etisk forhåndsgodkjenning
Medisinsk og helsefaglig forskning krever etisk forhåndsgodkjenning av Regional komite for medisinsk og helsefaglig forskningsetikk (REK) før prosjektet kan starte, jf. helseforskningsloven § 33. Det samme gjelder forskning som omfatter pilotstudier og utprøvende behandling.
REK skal gjøre en forskningsetisk vurdering av alle sider av prosjektet, herunder personvernmessige hensyn.
Innholdet i den forskningsetiske vurderingen
Selv om REKs etiske forhåndsgodkjenning (etter GDPR) ikke utgjør et lovmessig grunnlag til å behandle personopplysningene, har REKs vurdering likevel en personvernmessig betydning. Dette har sammenheng med at REKs vurdering omfatter tilsvarende vurderingstemaer som skal være oppfylt etter personvernforordningen artikkel 5 - oppfyllelse av personvernprinsippene.
1. Lovlighet, rettferdighet og åpenhet
Herunder om kravene til et gyldig samtykke er oppfylt (hovedregelen ved medisinsk og helsefaglig forskning), eller om REK har adgang til å fatte vedtak om dispensasjon fra taushetsplikten.
2. Formålsbegrensning
Herunder at personopplysningene behandles i samsvar med formålet de er innsamlet for, og som er omfattet av et eventuelt samtykke.
3. Dataminimering
Herunder at personopplysningene er adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for.
4. Riktighet
Herunder at personopplysningene er korrekte og oppdaterte.
5. Lagringsbegrensning
Herunder at personopplysningene er lagret slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for å oppfylle formålet med behandlingen, eller, såfremt de skal lagres for lengre perioder for formål knyttet til vitenskapelig eller historisk forskning i samsvar med personvernforordningens artikkel 89 nr. 1, at det gjennomføres egnede tekniske og organisatoriske tiltak.
6. Integritet og konfidensialitet
Herunder at krav til informasjonssikkerhet er ivaretatt på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, som vern mot uautorisert eller lovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak.
7. Ansvar
Herunder at forskningen er forsvarlig organisert med en forskningsansvarlig og en prosjektleder. Den forskningsansvarlige institusjonen har det overordnede ansvaret for forskningsprosjektet, og må ha de nødvendige forutsetninger for å kunne oppfylle forskningsansvarliges plikter etter helseforskningsloven § 4 e.
Tillegg
For å kunne behandle særlige kategorier personopplysninger for forskningsformål, er hovedregelen i norsk lov at det er rådføringsplikt med personvernombud/rådgiver (NSD), jfr. personopplysningsloven § 9 og § 10. Men for helseforskningsprosjekter er det i helseforskningsloven § 33 tredje ledd (nytt etter GDPR) gjort unntak fra rådføringsplikten for helseforskningsprosjekter som har etisk forhåndsgodkjenning fra REK.
Krav til rettslig grunnlag etter personvernregelverket
Begrepet personopplysning omfatter helseopplysninger og genetiske opplysninger.
Behandlingen av helse- og personopplysninger i medisinsk og helsefaglig forskning må ha lovlig behandlingsgrunnlag (juridisk grunnlag) i personvernforordningen artikkel 6 (alminnelige personopplysninger) og artikkel 9 (særlige kategorier personopplysninger).
Minst ett av behandlingsgrunnlagene i artikkel 6 må være oppfylt for behandling av alminnelige personopplysninger. For helseforskning vil behandlingsgrunnlagene etter artikkel 6 være:
- artikkel 6 nr. 1 a) samtykke og/eller
- artikkel 6 nr. 1 e) allmennhetens interesse
For behandlinger som utføres i allmennhetens interesse kreves det etter artikkel 6 nr. 3 supplerende rettslig grunnlag etter nasjonale bestemmelser (lov, forskrift eller vedtak med hjemmel i lov eller forskrift).
Når REK har fattet vedtak om unntak fra taushetsplikt/fritak fra samtykkekravet, vil behandlingsgrunnlaget etter GDPR være artikkel 6 nr. 1 e) allmennhetens interesse, og REK sitt vedtak om dispensasjon utgjør det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9.
Når personopplysningene omfatter særlige kategorier personopplysninger, som helseopplysninger og genetiske opplysninger, må det i tillegg være rettsgrunnlag i personvernforordningens artikkel 9.
For helseforskning vil behandlingsgrunnlaget etter artikkel 9 være:
- artikkel 9 nr. 2 a) uttrykkelig samtykke
- artikkel 9 nr. 2 j) formål knyttet til vitenskapelig eller historisk forskning, i samsvar med artikkel 89 nr. 1, med supplerende grunnlag i nasjonal lovgivning.
Når REK har fattet vedtak om unntak fra taushetsplikt/fritak fra samtykkekravet, vil behandlingsgrunnlaget etter GDPR være artikkel 6 nr. 1 e) allmennhetens interesse, og REK sitt vedtak om dispensasjon utgjør det nødvendige supplerende rettsgrunnlaget både etter artikkel 6 og artikkel 9.
Behandling av helseopplysninger fra samtykkebaserte helseregistre vil også være basert på allmennhetens interesse, med supplerende rettsgrunnlag i forskrift om befolkningsbaserte helseundersøkelser, idet de registrerte ikke har gitt et spesifikt samtykke for det aktuelle forskningsprosjektet.
Vurdering av personvernkonsekvenser (DPIA)
Det er et generelt krav etter personvernforordningen artikkel 35 til å vurdere om det bør gjennomføres en personvernkonsekvensvurdering (DPIA) når det er sannsynlig at behandlingen kan innebære høy risiko for de registrertes rettigheter og friheter.
Rutiner for helseforskning
UIBs rutiner for medisinsk og helsefaglig forskning gir mer detaljerte forskningsadministrative rutiner og maler. Rutinene utgjør den gjennomførende del av internkontrollsystemet.
I forskningsrutinene finner du veiledning og henvisning til hvilke rutiner som er relevante i de ulike fasene av prosjektet.
Rutinene er utarbeidet i samarbeid med Helse Bergen. Rutinen om avklaring av ansvarsforhold i samarbeidsprosjekter og prosjekter der medarbeidere har tilsettingsforhold i begge virksomheter, har til hensikt å sikre at det er avklart hvilken institusjon er forskningsansvarlig, og at prosjektet er forsvarlig organisert.
Etter at forskningsprosjektet er forhåndsgodkjent av REK skal det godkjennes av forskningsansvarlig før prosjektet kan starte.
Prosjektleder skal sørge for at det blir sendt søknad med forskningsprotokoll til REK, via REKs søknadsportal i samsvar med de krav som REK stiller til søknaden. Forskningsansvarlig skal involveres før søknad sendes.