Klikk her for å gå til Forskningsstøttes nye nettsider!

Intern melding til PVO/informasjonssikkerhetsleder

Fyll inn elektronisk skjema «Melding til Personvernombudet». I skjemaet skal man laste opp protokoll, kopi av REK-søknad og pasientinformasjon, samt andre relevante vedlegg. Man vil også bli bedt om å oppgi påloggingslenke til eventuelle elektroniske løsninger for datafangst (eCRF), spørreskjema osv. der slike skal benyttes, for å kunne teste om webløsningen oppfyller krav til informasjonssikkerhet.

For datafangstløsninger og andre tekniske løsninger for innsamling av helse- og persondata gjelder følgende:

  1. Sponsor er dataansvarlig i oppdragsstudier iht. GDPR art. 24. I dette ligger at det er sponsor som er ansvarlig for å vurdere datasikkerhet i eget prosjekt, jf. GDPR art. 32.
  2. Som ledd i dataansvarliges ansvar iht. GDPR tilligger det sponsor å vurdere behovet for en Data Protection Impact Assessment (DPIA), jf. GDPR art. 35.
  3. For oppdragsstudier som ønskes gjennomført ved OUS må sponsor kunne dokumentere hvilke datasikkerhetsvurderinger som ligger til grunn for valg av IKT-løsninger (art. 32) og dokumentere DPIA der dette er nødvendig (art. 35).
  4. Nevnte dokumentasjon skal følge med i forbindelse med at PI melder inn oppdragsstudien internt, se eHåndboken. Du kan også finne informasjon om intern melding på vår nettside om formalisering av helseforskningsprosjekter.

For å sikre en rask og effektiv intern behandling av meldingen, anbefales at sponsor gir PI tilgang til all relevant dokumentasjon som bekrefter at sponsor har ivaretatt sitt ansvar iht. ovennevnte bestemmelser. For å bidra ytterligere til en effektiv saksbehandling – særlig i kompliserte studier med stor datainnsamling og ved bruk av flere datafangstløsninger – anbefales at det utarbeides en plan for dataflyt i studien der data og datafangstverktøy beskrives i nærmere detalj. Er det utarbeidet en datahåndteringsplan for studien iht. GCP, kan denne legges til grunn sammen med dokumentasjon på datasikkerhetsvurderinger som er foretatt (GDPR art. 32 og/eller art. 35).

De ansvarlige for informasjonssikkerhet har et ansvar for å melde tilbake til PI og/eller sponsor om det er behov for ytterligere avklaringer/dokumentasjon.