Til stede: Vilde S?rb? Nenseth, Thomas ?sterhaug, Rikke Julie Foss-Pedersen, Ingvild Sollund (ref.)
Forfall: Maren Magnus Voll
Bakgrunn for dagens diskusjon
Rikke og Ingvild har foretatt brukertester med tre forskere. Forskerne ble vist skisser av godkjenninger-fanen og en hjelpetekst om behandlingsansvar. De ble bedt om ? markere hva de syns var uklart eller uforst?elig.
Tilbakemelding p? forslaget
Les referat fra brukertestene her.
To av tre forskere syns f?lgende var uklart:
- Hva "intern" godkjenning betyr
- Hva de m?tte gj?re for ? f? det
- Hvem som skulle gi det
Forskerne vi snakket med var alle opptatt av at det tok for lang tid n?r man f?rst m?tte s?ke REK, vente p? vedtak, deretter vente opptil fire m?neder p? UiOs godkjenning f?r man kunne begynne. Alle tre fortalte om prosjekter som hadde blitt flere m?neder forsinket p? grunn av dette.
Slik foreg?r intern godkjenning i dag
IT-juridisk gruppe ved USIT mottar REK-vedtak for et forskningsprosjekt. De vurderer behandlingsgrunnlaget for personopplysninger, ettersp?r eventuelt mer informasjon fra forskeren ( f. eks databehandleravtale, hvor dataene skal lagres etc). N?r de godkjenner s? sender de et brev med UiOs godkjenning av behandlingsgrunnlag og ber forskeren ? laste det opp i Helseforsk. (B?r det ogs? arkiveres i ephorte eller noe?) I m?nedene som har g?tt siden juni har det ikke v?rt noen rutinen, s? de har ikke noen oversikt p? hvem som har f?tt intern godkjenning forel?pig.
Ulike l?sninger p? UiOs godkjenning av behandlingsansvar
a) Ikke la forskeren starte prosjektet f?r IT-juridisk gruppe ved USIT har sendt offisiell godkjenning per e-post eller brev ( slik er det i dag)
b) Samme som (a), men at ansvaret for ? gj?re en offisiell godkjenning per e-post eller brev delegeres til fakultetene eller instituttene (som Katrine Ori gj?r i dag, hun ansl?r at ca. 20% av stillingen hennes er avsatt til dette).
c) la forskeren starte p? prosjektet, ta den risikoen i den perioden det tar for IT-juridisk gruppe ? godkjenne.
c) Delegere ansvaret til enten forskningsansvarliges representant p? instituttet eller en forskningsr?dgiver p? instituttet som kanskje kan ta en slags vurdering av personvernet i forbindelse med intern fremleggelse. Og at vi da, sammen med REK-vedtaket, kan tenke at det er greit ? ta den risikoen.
d) La REK-vedtaket v?re eneste dokument, og satse p? at den vurderingen de tross alt fortsatt gj?r, er god nok. En risiko, men kanskje en risiko som ikke er s? stor?
I skjemaet
Ta bort intern godkjenning feltet igjen? Legge det som et kulepunkt under REK. Kalle det: "UiOs godkjenning av behandlingsgrunnlag for personopplysninger" Dette gjelder n?r UiO er behandlingsansvarlig, se retningslinjer for ...
I teksten
Vilde tar det videre med Asbj?rn hvordan de g?r fram for ? endre teksten.
Skriptejobben og mailen
trenger ikke lenger si noe om at det er opprettet et nytt felt under godkjenninger. og ikke at alle prosjekter skal settes som ikke gjennomf?rt enda.
Annet
Uklart p? web
p? denne siden st?r det:
Avgrensning: Personopplysninger som behandles i medisinsk og helsefaglig forskning omfattes ikke av retningslinjene i denne veiledningen. Denne forskningen har sine egne rutiner og retningslinjer for behandling av personopplysninger.
Den lenken som her g?r til kvalitetssystemet, burde v?rt til den nye rutinen.
OUS
Hva med de prosjektene hvor OUS er forskningsansvarlig? Da er det OUS som er ansvarlig for behandlingsgrunnlaget. HVordan synliggj?r man det i skjemaet og i hjelpeteksten?
Vi vet ikke hva OUS sitt personvernombud gj?r og om helseforsk m? p?legge forskeren ? laste opp godkjenningen fra OUS. Sp?r Maren hva som er rutinene til personvernombudet til OUS.
Delt behandlingsansvar
Under "Å·ÖÞ±ÔÚÏßÂòÇò_Å·ÖޱͶעÍøÕ¾ÍƼö@" i helseforsk-skjemaet. "Delt behandlingsansvar"? Skj?nner folk hva dette betyr? Og er det egentlig s? f? at man ikke burde hatt det? Vi m? ha oversikt over det i f?lge GDPR. Endre til "avtale om delt behandlingsansvar av personopplysninger". Legge til noe i "Å·ÖÞ±ÔÚÏßÂòÇò_Å·ÖޱͶעÍøÕ¾ÍƼö@savtale" som klargj?r litt / binder sammen med det der oppe.