Verklagsreglur nr. 340/2003 um afgreiðslu umsókna um aðgang að sjúkraskrám
I. kafli
Gildissvið og leyfisumsókn
1. gr.
Gildissvið
Meginreglan er sú að þegar unnið er með persónuupplýsingar við vísindarannsóknir á heilbrigðissviði skal vinnsla upplýsinganna byggjast á samþykki þátttakenda í rannsókninni. Þessar verklagsreglur gilda um nokkrar undantekningar frá framangreindri meginreglu sem byggjast á 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga.
Þessar verklagsreglur gilda einvörðungu um umsóknir lækna, annarra heilbrigðisstarfsmanna og háskólanema á sviði heilbrigðisfræða um leyfi til aðgangs að sjúkraskrám vegna aftursýnna vísindarannsókna og um afgreiðslu Persónuverndar á þeim umsóknum.
Með aftursýnni vísindarannsókn er hér ekki átt við rannsókn þar sem gert er ráð fyrir virkri þátttöku sjúklings, s.s. með því að hann gefi upplýsingar eða láti lífsýni í té, heldur aðeins rannsókn sem uppfyllir bæði eftirfarandi skilyrði:
1. er vísindarannsókn í skilningi 4. mgr. 2. gr. laga nr. 74/1997 um réttindi sjúklinga,
2. byggist einungis á vinnslu upplýsinga úr fyrirliggjandi skrám og sjúkraskrám sem færðar hafa verið í samræmi við fyrirmæli 14. gr. laga nr. 74/1997 um réttindi sjúklinga.
Þessar verklagsreglur gilda ekki um aðgang að lífsýnum í þágu vísinda-rannsókna á heilbrigðissviði.
Umsókn
Ábyrgðaraðila aftursýnnar vísindarannsóknar ber að leggja fyrir Persónuvernd undirritaða umsókn þar sem sótt er um leyfi til þess að fá aðgang að sjúkraskrám vegna rannsóknarinnar.
Umsóknin skal vera á þar til gerðu eyðublaði sem er að finna á heimasíðu Persónuverndar (personuvernd.is). Skila ber útfylltri umsókn til skrifstofu stofnunarinnar.
Í umsókninni skal m.a. taka fram:
1. hvernig verður staðið að gerð vísindarannsóknarinnar (rannsóknaráætlun),
2. hvernig rannsóknarþýðið verður fundið,
3. hjá hvaða stofnun eða sjálfstætt starfandi heilbrigðisstarfsmanni óskað er eftir að fá aðgang að sjúkarskrám,
4. hvaða tegundum heilsufarsupplýsinga óskað er eftir að mega safna úr sjúkraskrám,
5. hvort fyrirhugað sé að skrá persónuauðkenni og þá hvaða,
6. hvernig fyrirhugað sé að vinna með heilsufarsupplýsingarnar.
Samþykki ábyrgðaraðila sjúkraskrár
Með umsókn, skv. 2. gr., skal fylgja undirrituð yfirlýsing ábyrgðaraðila þeirra sjúkraskráa sem óskað er aðgangs að. Þar skal koma fram hvort viðkomandi ábyrgðaraðili sé samþykkur því fyrir sitt leyti að veita aðgang að sjúkraskránum vegna viðkomandi vísindarannsóknar, fáist til þess leyfi Persónuverndar og siðanefndar, eða eftir atvikum vísindasiðanefndar.
Aðgangur að upplýsingum úr
öðrum skrám en sjúkraskrám
Ef óskað er aðgangs að persónuupplýsingum úr öðrum skrám en sjúkraskrám verður ábyrgðarmaður þeirra að veita sérstaka skriflega yfirlýsingu um að hann sé reiðubúinn að láta af hendi persónuupplýsingar í því skyni að unnið verði með þær vegna viðkomandi vísindarannsóknar, eins og henni er lýst í umsókn til Persónuverndar. Slík yfirlýsing verður að fylgja umsókninni til Persónuverndar. Þar verður að koma fram á hvaða lagaheimild ábyrgðaraðili byggir afstöðu sína.
1. mgr. gildir ekki um samkeyrslu við nöfn, kennitölur, heimilisföng eða aðrar slíkar almennar lýðskrárupplýsingar.
Leyfisskilmálar
Skilmálar sem Persónuvernd setur
Persónuvernd bindur þau samþykki sem hún veitir fyrir aðgangi að sjúkraskrám þeim skilyrðum sem hún metur nauðsynleg hverju sinni, sbr. 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga, enda uppfylli rannsóknin skilyrði vísindarannsóknar, sbr. 4. mgr. 2. gr. sömu laga. Þetta gildir hvort heldur sjúkraskrá er í vörslum heilbrigðisstofnunar, sjálfstætt starfandi heilbrigðisstarfsmanns eða Þjóðskjalasafns Íslands.
Lögbundnir leyfisskilmálar
Þegar ábyrgðaraðili rannsóknar fer þess á leit við ábyrgðarmann sjúkraskráa, sbr. reglugerð nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, að fá aðgang að sjúkraskrá skal hann framvísa leyfi Persónuverndar til slíks aðgangs.
Leyfi Persónuverndar eru bundin því skilyrði að ábyrgðarmaður sjúkraskráa veiti ekki aðgang að sjúkraskrá nema fyrir liggi að siðanefnd, eða eftir atvikum vísindasiðanefnd, hafi lagt mat á rannsóknina og látið í té skriflegt álit þess efnis að hvorki vísindaleg og siðfræðileg sjónarmið mæli gegn framkvæmd hennar, sbr. 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga, sbr. 4. mgr. 2. gr. sömu laga.
Þegar veittur er aðgangur að sjúkraskrá á grundvelli leyfis Persónuverndar ber að skrá það í sjúkraskrána, sbr. 4. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga.
7. gr
Söfnun og skráning persónuupplýsinga
úr sjúkraskrám
Einvörðungu er heimilt að safna úr sjúkraskrám þeim heilsufarsupplýsingum sem tilgreint er í leyfi Persónuverndar að nota megi við viðkomandi rannsókn.
Í rannsóknargögn má einungis skrá upplýsingar um fæðingarmánuð, fæðingarár og kyn hvers sjúklings. Persónuvernd getur þó, sé sýnt fram á sérstaka nauðsyn þess, heimilað skráningu kennitalna og tímabundna varðveislu þeirra. Þær má þó ekki varðveita lengur en á meðan verið er að undirbúa rannsóknargögn.
Óheimilt er að skrá í rannsóknargögn upplýsingar um nöfn sjúklinga, nafnnúmer, heimilisfang, símanúmer, fax-númer, tölvupóstfang eða aðrar sambærilegar upplýsingar um sjúklinga.
Eyðing kennitalna
Þegar þær heilbrigðisupplýsingar sem leyfi Persónuverndar tekur til hafa verið skráðar í rannsóknargögn, og eftir atvikum verið staðreynt að þær séu réttar, og gögnin að öðru leyti verið fullgerð, skal eyða úr þeim öllum kennitölum og tryggja að ekki verði lengur unnt að rekja heilsufarsupplýsingarnar til einstakra nafngreindra manna. Þegar þetta hefur verið gert má hefja frekari úrvinnslu á heilbrigðisupplýsingum í þágu rannsóknarinnar, sbr. þó 2. mgr. 12. gr.
Dulritun kennitalna
Ef ábyrgðaraðili rannsóknar telur mikilvæga hagsmuni standa í vegi fyrir eyðingu kennitalna, skv. 8. gr., s.s. ef stefnt er að framhaldsrannsókn, getur hann sótt um það til Persónuverndar að kennitölur verði í þess stað dulritaðar. Persónuvernd setur þá sérstök öryggisskilyrði, þ. á m. um það hver skuli annast dulritunina og bera ábyrgð á tímabundinni varðveislu greiningarlykils.
Þagnarskylda aðstoðarfólks
Taki háskólanemar eða aðrir, sem ekki teljast til löggiltra heilbrigðisstétta, þátt í framkvæmd vísindarannsóknar skuli þeir undirrita þagnarskylduyfirlýsingu. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift hlutaðeigandi og dagsetningu slíkrar yfirlýsingar og koma henni til Persónuverndar innan tilskilins frests frá útgáfu leyfis.
Þagnarskylduyfirlýsingin er byggð á 3. mgr. 35. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með síðari breytingum. Á heimasíðu Persónuverndar (personuvernd.is) er að finna staðlað eyðublað fyrir slíka þagnarskylduyfirlýsingu.
Ef þagnarskylduyfirlýsingunum er ekki skilað innan tilskilins frests getur Persónuvernd afturkallað útgefið leyfi til aðgangs að sjúkraskrám.
Tilsjónarmaður Persónuverndar
Persónuvernd getur afgreitt umsókn með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst, sbr. 3. mgr. 35. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Sérákvæði um vísindarannsóknir
sem eru hluti af námi háskólanema
Háskólanemi í heilbrigðisfræðum getur því aðeins verið ábyrgðarmaður vísindarannsóknar að fyrir liggi staðfesting þess efnis að rannsóknin sé hluti af skipulögðu háskólanámi hans. Þeir sem veitt geta slíka staðfestingu eru leiðbeinandi nemans, formaður rannsóknarnámsnefndar deildar eða skorar, eða aðrir til þess bærir starfsmenn háskólans.
Ef ábyrgðaraðili er háskólanemi má úrvinnsla ekki hefjast fyrr en leiðbeinandi hans hefur staðreynt að rannsóknargögn hafi verið gerð ópersónugreinanleg í samræmi við ákvæði 8. gr.
Ákvæði 9. gr. gildir ekki um vísindarannsókn ef háskólanemi í heilbrigðisfræðum er ábyrgðaraðili hennar.
Leyfi sem Persónuvernd veitir háskólanema í heilbrigðisfræðum er bundið þeim skilmála að hann undirriti þagnarskylduyfirlýsingu, sem byggð er á 3. mgr. 35. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með síðari breytingum. Þagnarskylduyfirlýsingin skal fylgja umsókninni, en á heimasíðu Persónuverndar (personuvernd.is) er að finna staðlað form fyrir slíka þagnarskylduyfirlýsingu.
Framkvæmd vísindarannsóknar
Eftirlits og stjórnunarskyldur
ábyrgðaraðila vísindarannsóknar
Hverjum þeim er starfar í umboði ábyrgðaraðila vísindarannsóknar eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila innan skilyrða leyfis Persónuverndar nema lög mæli fyrir á annan veg, sbr. 3. mgr. 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, með síðari breytingum.
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónu-upplýsinga, með síðari breytingum.
14. gr.
Áhættumat og öryggi persónuupplýsinga
Ábyrgðaraðili vísindarannsóknar skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 11. og 12. gr. laga nr. 77/2000, með síðari breytingum. Þar er m.a. áskilið að:
1. beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra og
2. að ábyrgðaraðili beri ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
Eftirlit o.fl.
15. gr.
Eftirlit Persónuverndar
Á grundvelli 38. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, getur Persónuvernd fyrirvaralaust krafið ábyrgðaraðila rannsóknar um aðgang að rannsóknargögnum í því skyni að sannreyna að farið sé að settum skilmálum Persónuverndar.
Heimild
Verklagsreglur þessar eru settar á grundvelli 1. og 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.