Del via:
Hvis du behandler personoplysninger i dit projekt, så skal du registrere din forskning til fortegnelsen over databehandlinger på den institution, hvor du udfører din forskning. Datatilsynet fører tilsyn med, hvordan du behandler og opbevarer dine forskningsdata, og om institutionen fører en opdateret fortegnelse. Behandlingen af persondata er reguleret af EU General Data Protection Regulation (GDPR) og Databeskyttelsesloven.
Er du i tvivl om, hvor og hvornår du skal anmelde din behandling af data på en fortegnelse? Er du ansat ved en offentlig institution, så er der tale om offentlig forskning. Offentlig forskning skal altid fremgå af den konkrete institutions fortegnelse over databehandlinger og derfor skal du anmelde ved den institution, hvor du og dit projekt er tilknyttet. Til højre finder du blandt andet links til, hvordan du anmelder dit projekt, og nedenfor kan du forhåbentlig finde svar på mange af dine spørgsmål i forbindelse med behandlingen af persondata.
Det er stort set altid relevant for sundhedsvidenskabelige forskningsprojekter at anmelde til en fortegnelse. Undtaget er kun projekter, hvor data og/eller biologisk materiale er 100 % anonyme og den type projekter, vil du sjældent støde på.
Du skal anmelde til den institution, hvor du eller din vejleder er ansat. Region Syddanmark er oftest dataansvarlig, når data fra regionen anvendes i forbindelse med et forskningsprojekt, en biobank, et kvalitetsprojekt eller en database med sundhedsdata fra regionen. Hvis du er i tvivl om, hvor du skal anmelde dit projekt, kan du læse mere via linkene i højre side.
Data/biologisk materiale er anonymt, når hverken du eller individet selv kan identificere individet, hverken direkte eller indirekte. Der er sjældent tale om anonyme data i sundhedsforskningen. Data er pseudonyme, når du kan identificere individet i datasættet via et ID-nummer, som kobler til navn og CPR-nummer i en nøglefil eller på baggrund af andre oplysninger om individet. Du skal også anmelde dine pseudonyme personhenførbare persondata til din institutions fortegnelse. Du kan læse mere om pseudonyme - og anonyme data her.
Data som ikke er pseudomiseret ved at blive opdelt i en nøglefil og en datafil, er direkte personhenførbare, data kan også være direkte personhenførbare via en IP-adresse, mailadresse eller lignende. Typiske er navn, CPR og forskningsdata opbevaret i en samlet fil eller database.
Anonyme data – ingen krav
Pseudonyme data – passende tekniske og organisatoriske foranstaltninger
Direkte personhenførbare data – passende tekniske og organisatoriske foranstaltninger
I Databeskyttelsesforordningen er der ikke opstillet specifikke krav, fordi kravene kan variere alt efter typen af data. Jo mere følsomme data er, jo større krav skal systemerne opfylde. Tekniske foranstaltninger handler eksempelvis om systemernes sikkerhed, muligheden for at genskabe data og logning af brugere. De organisatoriske foranstaltninger, handler blandt andet om adgangen til data reguleret af brugerrettigheder. Din institution stiller systemer til rådighed, som du kan benytte til din databehandling. Du kan finde en liste over systemer godkendt til opbevaring af personoplysninger i Region Syddanmark på Regionens Intranet her.
For at du må modtage data/biologisk materiale kræver det andre godkendelser:
Patientens samtykke
For at indhente journaldata til forskningsbrug eller kvalitetssikring. Samtykke til indhentning/videregivelse af journaldata er gyldigt i maks. et år. Medmindre der er tale om et forskningsprojekt med en godkendelse fra det videnskabsetiske komitesystem med længere varighed.
Regionens godkendelse
For at få videregivet retrospektive journaldata til forskning uden patientens samtykke. Medmindre du har en godkendelse fra det videnskabsetiske Komitesystem til videregivelse af journaldata.
RKKP, Sundhedsdatastyrelsen eller Danmarks Statistik godkendelse
For at få videregivet data fra et nationalt register og Sundhedsdatastyrelsen samt for at arbejde med data på forskermaskinerne ved Sundhedsdatastyrelsen og Danmarks Statistik.
Videnskabsetisk Komite
For at indhente data og biologisk materiale fra patienten og få videregivet journaldata i projektets levetid.
Lægemiddelstyrelsen
For at indhente data og biologisk materiale fra patienten og få videregivet journaldata ved lægemiddelforsøg og afprøvning af medicinsk udstyr.
Du skal desuden være opmærksom på at der gælder andre regler for kvalitetssikringsprojekter. Du kan finde mere om både godkendelse af kvalitetssikringsprojekter og opslag i patientjournaler på Region Syddanmarks Infonet.
Hvis du ønsker at bruge data/biologisk materiale fra et andet projekt eller database, så skal projektet videregive eller overlade data til dit projekt. Den som videregiver data/biologisk materiale skal søge om godkendelse til dette. Læs mere på Region Syddanmarks Intranet.
Hvis du bruger en ekstern person/firma/institution til at behandle data/biologisk materiale efter din instruks, skal du indgå en databehandleraftale. Databehandlere kan være:
Husk, der er indgået rammedatabehandleraftaler mellem de danske regioner for forskningsprojekter, så der alene skal udfyldes et ”bilag 3” til disse.
Find skabeloner til databehandleraftaler og ”bilag 3” til rammedatabehandleraftaler på Region Syddanmarks Intranet, hvor du også kan læse om, hvornår en databehandleraftale er nødvendig. Husk også, at det kan være nødvendigt at indgå en samarbejdsaftale.
Hvis du og dine samarbejdspartnere fra andre institutioner i fællesskab har besluttet formål og metode til jeres projekt, så kan der være tale om fælles dataansvar. Hvis du er i tvivl, kan du tale med OPEN eller de ansvarlige for fortegnelsen over databehandlinger i din institution. Ved fælles dataansvar skal alle institutionerne registrere projektet på deres interne fortegnelse over databehandlinger og herefter laver i den fælles dataansvarsaftale. I skal også lave en samarbejdsaftale, det kan du læse mere om her.
Hvis du ikke er færdig med dit projekt, skal lave yderligere opfølgning eller afventer publicering, kan du registrere en forlængelse ved den interne fortegnelse. Du skal henvende dig samme sted, som hvor du oprindeligt fik registreret dit projekt. Kontaktoplysninger finder du på Region Syddanmarks intranetside Intern fortegnelse.
Du skal have en forskningsmæssig eller juridisk grund til at søge om forlængelse. Hvis du ikke længere har et formål med at behandle data, skal du undersøge, om dine data skal afleveres eller anmeldes til Rigsarkivet før de må slettes. Du kan læse mere om reglerne for at aflevere eller anmelde på Rigsarkivet hjemmeside.