Gjennomføring av forskningsprosjektet
Hovedinnhold
3.1 Behandling og lagring av aktive forskningsdata
Prosjektleder skal:
- sørge for at personopplysninger, og humant biobankmateriale, behandles forsvarlig og i henhold til UiBs retningslinjer.
- sørge for at dataene kun er tilgjengelig for de medarbeidere som skal delta i forskningsprosjektet.
- sørge for at dataene kun behandles i det tidsrom som er angitt i forskningsprotokollen og så lenge gyldig godkjenning fra REK foreligger, eller sluttdatoen satt av prosjektleder i RETTE. Oppbevaring ut over denne tidsperioden krever endringsmelding, se rutine for langtidsoppbevaring av forskningsdata, og Endring av forskningsprosjekter under.
Forsvarlig behandling av personopplysninger - informasjonssikkerhet
Prosjektleder skal sørge for at informasjon behandles i de løsninger UiB har godkjent, basert på en risikovurdring og klassifisering av informasjonsverdiene.
- Behandling og lagring skal skje i henhold til UiBs styringssystem for informasjonssikkerhet og personvern (SIP del II, kap 5 Kartlegging og klassifisering av informasjon) og UiBs Lagringsguide
- Ved UiB skal sensitive persondata i forskningsprosjekter som hovedregel lagres i SAFE, som er UiBs system for behandling av sensitive personopplysninger i forskningsprosjekter.
- Ovenstående plikt til å behandle data i UiBs systemer gjelder også ved bruk av private enheter, f.eks i studentoppgaver
Prinsippet om dataminimering
Prosjektleder skal sørge for at det behandles minst mulig personidentifiserende opplysninger gjennom prosjektets levetid og etter avslutning.
- Hovedregelen er at sensitive personopplysninger skal oppbevares avidentifisert, dvs. at forskningsdata og identifiserende elementer (koblingsnøkkel) skal lagres hver for seg.
- Papirbaserte forskningsdata som ikke er anonymiserte skal lagres i avlåste arkiv hvor kun personell underlagt virksomhetens instruksjonsmyndighet har tilgang. Dersom slike data skal lagres på prosjektleders kontor, skal dette låses når det ikke er personell tilstede. Kravet er at det skal være to sperrer for tilgang til personidentifiserbare opplysninger.
- Lagres både data og koblingsnøkkel digitalt, er det krav om at disse lagres på forskjellige områder, og koblingsnøkkelen må være spesielt sikret.
- Som hovedregel er det bare prosjektleder som skal ha tilgang til koblingsnøkkelen. Tilgang til koblingsnøkkelen for annet personell kan gis ved spesielle behov og i et avgrenset tidsrom (f.eks. for registrering av data).
- Tilgangen til koblingsnøkkelen skal sterkt begrenses etter at datainnsamling og kvalitetssikring er fullført. Etter at datainnsamling og kvalitetssikring er fullført skal prosjektleder sørge for at det ikke er tilgang til koblingsnøkkelen for andre enn prosjektleder med mindre det begrunnes i særlige behov.
- Prosjektleder kan etter endt datainnsamling bare bruke koblingsnøkkelen dersom hensikten er å:
- saksbehandle henvendelser etter rutine 3.2 Oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter
- kvalitetssikre data i den hensikt å rette uriktige registrerte eller mangelfulle personopplysninger
- gjennomføre sammenstilling av registre det eksplisitt er gitt tillatelse til
- utføre sine arbeidsoppgaver etter rutiner for forskningsprosjekter og helseforskningsprosjekter
- For oppbevaring etter avsluttet prosjekt, se rutine 4.2 Langtidsoppbevaring av forskningsdata
Tilgang til data
Prosjektleder skal
- sørge for at kun autoriserte personer kan få tilgang til forskningsdata, som prosjektleder, prosjektmedabreidere og eksterne samarbeidende forskere.
- autorisere prosjektmedarbeidere som skal ha tilgang til avidentifiserte forskningsdata
- dersom en forskningsmedarbeider som ikke er ansatt ved UiB skal det inngås avtale vedkommende før tilgang gis. Slik avtale sikrer taushetsplikt og at UiB har instruksjonsmyndighet over vedkommende i henhold til IKT-reglementet ved UiB.
- for helseforskningsprosjekter må det sendes endringsmeldling til REK dersom nye prosjektmedarbeidere skal ha tilgang til dataene, se 3.3 endring av forskningsprosjekter
- ha oversikt over hvem som har tilgang til forskningsdataene i det enkelte prosjekt. Opplysningene skal alltid være tilgjengelig for behandlingsansvarlig / forskningsansvarlig virksomhet.
3.2 Oppfyllelse av prosjektdeltakernes rettigheter i forskningsprosjekter
Deltakelse i forskningsprosjekter er som hovedregel basert på frivillighet og dokumentert samtykke. Enhver person som er inkludert i forskning kan kreve innsyn, retting av uriktige registrerte personopplysninger, trekke seg fra videre deltakelse eller tilbakekalle avgitt samtykke, herunder sletting av personopplysninger. Det er også mulig å reservere seg mot videre behandling av opplysninger og/eller biobankmateriale. Det er ikke nødvendig å oppgi noen begrunnelse for å be om innsyn, retting og sletting. Prosjektleder skal så langt det er mulig sikre at forskningsdeltakernes rettigheter kan oppfylles i forskningsprosjekter der personopplysninger behandles.
For at forskningsdeltakerne skal kunne utøve sine rettigeheter skal prosjektelder sørge for at deltakerne har nødvendig informasjon, se rutine 2.3 Informasjonsplikt og samtykke.
Prosjektleder skal
- av eget tiltak rette uriktige opplysninger, oppdatere foreldede opplysninger og supplere ufullstendige opplysninger
- slette eller endre uriktige og foreldede opplysninger på en måte som gjør at endringen kan spores
- fullstendig sletting av uriktige og foreldede opplysninger kan bare skje dersom det blir krevd av noen som opplysningene kan få direkte innvirkning på, og slettingen ikke får avgjørende innvirkning på forskningsresultatenes validitet eller representativitet.
- saksbehandle innkomne henvendelser fortløpende.
- sørge for at krav om innsyn, retting eller sletting besvares uten ugrunnet opphold, og senest innen 30 dager etter at virksomheten mottok henvendelsen
- Henvendelser om innsyn som ikke skjer skriftlig, skal nedtegnes og dateres, og navn på forskningsdeltaker eller dennes verge skal noteres.
- Forskningsdeltakeren har rett til innsyn i opplysninger om seg selv, samt sikkerhetstiltakene ved behandlingen av opplysningene så langt innsyn ikke svekker sikkerheten
- Ved innsyn skal informasjonen fremstilles på en måte som er tilpasset den enkeltes evner og behov
- Dersom forskningsdeltaker ikke lenger ønsker å delta i forskningsprosjektet må det avklares om forskningen på forskningsdeltakerens biologiske materiale og / eller helseopplysninger, eller andre personopplysninger, må opphøre (dvs. at samtykket trekkes tilbake) eller om forskningsdeltaker bare ikke ønsker å delta videre i prosjektet.
- vurdere hvorvidt innsyn skal begrenses eller avslås med en medisinsk eller annen begrunnelse. Dersom prosjektleder er i tvil, skal prosjektleder kontakte behandlingsansvarlig / forskningsansvarlig.
Hvis krav om innsyn,retting eller sletting ikke kan etterkommes må det begrunnes i de særlige unntakene som gjelder for vitenskapelig forskning. Ved avslag på krav om innsyn, retting og sletting, må det opplyses til forskningsdeltaker at avgjørelsen kan klages inn for Regional komité for medisinsk og helsefaglig forskningsetikk (REK)
Prosjektleder skal sørge for at henvendelser og svar på henvendelser kan dokumenteres.
3.3 Endring av forskningsprosjekter
Behandlingen av personopplysninger må stemme med det som er angitt i forskningsprotokollen godkjent av REK (helseforskningsprosjekter) og med opplysningene prosjektleder har registrert og bekreftet i RETTE.
Prosjektleder oppgaver
Prosjektleder skal
- løpende vurdere om det er endringer i prosjektets gjennomføring som har forskningsetiske implikasjoner eller personvernmessige konsekvenser, f.eks vesentlige endringer i forskningsprosjektets formål, metode (inkludert forsvarlighet), tidsløp eller organisering
- dersom endringen av forskningsprosjektet er så stor at det må anses å være et helt nytt prosjekt, må prosjektleder melde det som et nytt prosjekt. Se Oppstart av forskningsprosjekt
- For medisinsk og helsefaglig forskning
- ved vesentlige endringer i forskningsprosjektets formål, metode (inkludert forsvarlighet), tidsløp eller organisering (herunder nye prosjektmedarbeidere), eller ved andre endringer i prosjektopplegget som lå til grunn for REKs vurdering må det sendes endringsmelding til REK og eventuelt Statens legemiddelverk (SLV).
- Den omsøkte endringen må være godkjent av REK.
- sørge for å oppdatere opplysningene om prosjektet i RETTE
- vurdere om endringene vil medføre en endret personvernrisiko som gjør at
- det bør gjennomføres en ny eller oppdatere en eksisterende personvernkonsekvensvurdering jf, rutine 1.6 Vurdere behov for å gjennomføre personvernkonsekvensvurdering (DPIA)
- vurdere å oppdatere informasjonen til forskningsdeltakerne eller de registrerte, se rutine for 2.3 Informasjonsplikt og samtykke.