Personuppgifter i forskning
För att få hantera personuppgifter för forskningsändamål behöver man följa de lagar som är applicerbara på de personuppgifter som skall användas. Forskare hanterar personuppgifter inom ramen för Dataskyddsförordningen-GDPR. Tillsynsmyndighet för efterlevnaden av GDPR är Integritetsskyddsmyndigheten.
Personuppgifter i forskning samt personuppgiftsbiträdesavtal (PuB)
Integritetsskyddsmyndigheten har information och definitioner kring personuppgiftshantering och GDPR.
Om en annan organisation eller myndighet ska lagra eller behandla data än den som är personuppgiftsansvarig (PuA) ska ett PuB-avtal upprättas. PuB avtal är ett avtal mellan personuppgiftsansvarig (PuA) samt personuppgiftsbiträde (PuB). Rutiner kring PuB-avtal kan se olika ut beroende på vem som är PuA. Se Vägledning vid uppstart av forskningsstudie.
Generellt gäller att PuA behöver godkänna lagring och hantering (säkerhetsaspekter) hos PuB. När SLSO är PuA används SLSO:s mallar. Dataskyddsombudet inom SLSO (gdpr.slso@regionstockholm.se) ska granska alla PuB-avtal där SLSO är PuA.
På insidan finns information om SLSO:s arbete med GDPR samt mall och instruktioner för personuppgiftsbiträdesavtal. Din FoU-koordinator kan ge dig SLSOs PuB-mall samt den bilaga som behöver fyllas i. Se även Personuppgifter i forskning – riktlinje SLSO, dokumentet heter RIK-11023-v.3.0 Personuppgifter i forskning – riktlinje för SLSO.docx.
När KI är PuA används KIs mallar. På KI:s hemsida finns mer information kring GDPR på KI samt en webbutbildning. Kontakta avtal@ki.se för PuB-avtal. Se även En vägledning i forskningsprocessen och texten kring PuB avtal samt steg för steg information i flödesschemat.
Använda data från patientjournaler för forskning
Patientjournaler upprättas i journalsystem inom ramen för vård och behandling enligt lagrummet Patientdatalagen. För att du som forskare skall få använda dessa uppgifter för forskningsändamål behöver du göra en ansökan om utlämning av uppgifterna till lagrummet GDPR / dataskyddsförordningen. Respektive vårdgivare formulerar egna rutiner och instruktioner kring hur utlämningsförfarandet går till. SLSO har egna riktlinjer och instruktioner.
För att få använda patientdata i SLSO:s journalsystem måste du ansöka om utlämning av journaldata för forskning. Ansökningsblanketten kan du få av din FoU-koordinator eller genom att maila fouu.slso@regionstockholm.se Kontakta din FoU-koordinator för stöd i hur man fyller i blanketten. Se även En vägledning i forskningsprocessen och texten kring Ansökan om uttag samt steg för steg information i flödesschemat. Skicka blanketten (inklusive aktuella bilagor) till registrator.slso@regionstockholm.se varefter en menprövning görs av VS FoUU. När utlämningen godkänns skickar VS FoUU ett beslut som undertecknas i enlighet med SLSO:s delegationsordning. Därefter delges du beslutet.
Lagring och hantering, SLSO
I dagsläget finns en filarea för lagring av forskningsdata för forskare inom CPF, SLSO. För mer information, läs dokumentet Information om CPF filarea. Om du har ytterligare frågor, kontakta cpfsupport@cns.ki.se.
Om SLSO är PuA behöver SLSO IT godkänna lagringen (säkerhetsaspekter) som ska beskrivas utförligt i PuB-avtalet med den organisation som ska vara personuppgiftsbiträde för uppgifterna. För att beställa en filarea eller ändra behörigheter i en befintlig, fyll i ansökningsformuläret.
Lagring och hantering, KI
När KI är PuA finns olika tjänster för att lagra data och dela filer. Se uppdaterade riktlinjer här. När KI är PuA behöver ett PuB-avtal upprättas om annan organisation / myndighet ska behandla och lagra data. För mer information läs här.
När KI är PuB (SLSO är PuA) ska dokumentation (inbegriper även forskningsdata) alltid göras i ELN. Aktuella mallar för PuB-avtal med KI finns i ELN.