Retningslinjer: 9. Internkontroll og håndtering av avvik
HVL skal som behandlingsansvarlig gjennomføre internkontroll i form av planlagte og systematiske tiltak som er nødvendig for å sikre at behandlingen av person og helseopplysninger i forskning er i samsvar med personvernregelverket, helseforskningsloven, forskningsetiske normer og HVL sine retningslinjer. Dersom brudd eller avvik oppstår skal det gjennomføres egnede tekniske og organisatoriske tiltak.
9.a Internkontroll av forskningsprosjekt
Internkontrollen gjennomføres av forskningsadministrasjonen. Kontrollen omfatter:
- Regelmessige stikkprøver av prosjekter som registreres på forskningsserveren.
- Årlig kontroll av et tilfeldig utvalg forskningsprosjekter. Prosjektene som kontrolleres skal omfatte alle typer prosjekt fra alle fakultet, inkludere forsker og studentprosjekter, prosjekter med ulik finansieringsform og representere ulike prosjektfaser (oppstart, under gjennomføring og avsluttet).
- Basert på protokoll/prosjektbeskrivelse, samtale med prosjektleder og evt. registreringsskjema til forskningsserver vurderer forskningsadministrasjonen særlig om prosjektet:
- Behandler person- og helseopplysninger, og om dette er vurdert og anbefalt av Sikt/REK før oppstart.
- Om behandling og lagring av person- og helseopplysningene er i tråd med HVL sine retningslinjer, og om det er samsvar mellom registrerte og faktisk lagrede opplysninger.
- Om prosjekter med personopplysninger og helseforskningsdata er avsluttet på riktig måte, evt. lagret i iht. andre avtaler om langtidslagring ved prosjektslutt, se 4.c Langtidsoppbevaring av forskningsdata.
- Dersom internkontrollen avdekker avvik skal forskningsadministrasjonen straks sette i verk egnede tekniske og organisatoriske tiltak for å sikre at person- og helseopplysninger behandles i samsvar med regelverket, se også 9.b Håndtering av avvik og brudd på personopplysningssikkerheten.
9.b Håndtering av avvik og brudd på personopplysningssikkerheten
- Den som oppdager eller gjøres kjent med avvik eller brudd på personopplysningssikkerheten, enten gjennom deltakelse i prosjektet, internkontroll eller annet skal umiddelbart melde dette til HVL ved prorektor for forskning. Avvik eller brudd kan være manglende tillatelser, tillatelser som ikke er dekkende, behandling av personopplysninger etter at tillatelser er utløpt, dårlig informasjonssikkerhet og i verste fall at uautoriserte personer eller virksomheter har fått tilgang til personidentifiserende forskningsdata.
- HVL ved forskningsadministrasjonen og ledelsen følger umiddelbart opp og begrenser konsekvens av avviket ved iverksetting av nødvendige strakstiltak.
- Forskningsadministrasjonen kartlegger hendelsen, vurderer om involverte parter skal varsles og innfører skadeopprettende tiltak. Om nødvendig involveres prosjektleder, Sikt/REK, IT-avdelingen, Datatilsynet, Helsetilsynet og evt. politiet.
- Så snart HVL får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten, bør nevnte brudd meldes til tilsynsmyndigheten uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til det, med mindre man i samsvar med ansvarlighetsprinsippet kan påvise at nevnte brudd på personopplysningssikkerheten sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom nevnte melding ikke kan gis innen 72 timer, bør årsaken til forsinkelsen oppgis i meldingen, og informasjonen gis trinnvis uten videre ugrunnet opphold.
- Meldingen til Datatilsynet gis fortrinnsvis av prorektor for forskning, Personvernombud eller ledelse ved AFII.
- For å hindre gjentakelse gjør forskningsadministrasjonen, sammen med HVL sin ledelse og personvernombud, en grundig analyse av hvorfor avviket skjedde og vurderer risikoen for gjentakelse. Ved behov skal eksisterende retningslinjer revideres og eventuelt nye utvikles. Det skal også vurderes om ytterligere opplæring av prosjektleder, prosjektmedarbeidere, samarbeidspartnere eller databehandlere er nødvendig.
- Avviket dokumenteres og lukkes.