Úrlausnir
Fyrirmæli Persónuverndar vegna vísindarannsókna Íslenskrar erfðagreiningar
Reykjavík, 26. júní 2015
Fyrirmæli
um verklag til að tryggja öryggi við vinnslu persónuupplýsinga
í þágu vísindarannsókna á heilbrigðissviði hjá Íslenskri erfðagreiningu ehf.
I.
Almenn ákvæði
Almenn ákvæði
1. Ábyrgðaraðilar að vinnslu persónuupplýsinga
1.1. Persónuvernd hefur ákveðið, með vísan til 3. málsl. 3. mgr. 13. gr. laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði og 3. mgr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, að gefa út fyrirmæli um verklag til að tryggja upplýsingaöryggi sem fylgt skal við vinnslu persónuupplýsinga í þágu rannsókna á vegum Íslenskrar erfðagreiningar ehf. og samstarfsaðila. Telst Íslensk erfðagreining ehf. vera ábyrgðaraðili að umræddri vinnslu í skilningi 4. tölul. 2. gr. laga nr. 77/2000 og í samræmi við það er fyrirtækið nefnt „ábyrgðaraðili“ hér eftir í fyrirmælunum. Einnig taka fyrirmælin til vinnulags lækna sem eiga samstarf við ábyrgðaraðila um rannsóknir, þ.e. í því skyni að bjóða fólki að taka þátt í rannsókninni. Nefnast þeir læknar hér eftir „ábyrgðarlæknar“.
1.2. Ábyrgðaraðili ber ábyrgð á vinnslu persónuupplýsinga í þágu rannsókna sem fram fara á hans vegum og ber réttindi og skyldur samkvæmt fyrirmælum laga, reglna og fyrirmælum þessum. Ber hann ábyrgð á því að sérstakt áhættumat fari fram sem verði endurskoðað með reglubundnum hætti og ef þörf krefur. Hann ber einnig ábyrgð á því að gerðar séu viðeigandi öryggisráðstafanir í samræmi við niðurstöður áhættumats og að unnið sé að öðru leyti í samræmi við ákvæði reglna nr. 299/2001 um öryggi persónuupplýsinga. Skal ábyrgðaraðili samkvæmt því halda skrár yfir áhættumat og öryggisráðstafanir sem fram hafa farið og skal Persónuvernd hafa aðgang að þeim hvenær sem er. Ábyrgðaraðili ber og ábyrgð á því að unnið sé í samræmi við reglur nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 8. tölul. 1. mgr. 5. gr. og 1. mgr. 8. gr. laga nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga.
2. Skilmálar fyrirmælanna
Fyrirmæli Persónuverndar eru bundin því skilyrði að ábyrgðaraðili ábyrgist að við alla vinnslu persónuupplýsinga við rannsóknir á hans vegum verði farið að öllum skilmálum fyrirmælanna. Persónuvernd getur hvenær sem er gefið frekari fyrirmæli um umræddar rannsóknir og tekið vinnslu persónuupplýsinga í þágu einstakra rannsókna til frekari athugunar, s.s. þegar yfirlit yfir vinnslu í þágu rannsóknar á vegum ábyrgðaraðila berst stofnuninni frá vísindasiðanefnd, sbr. 2. mgr. 13. gr. laga nr. 44/2014.
3. Gildistími fyrirmælanna
Fyrirmæli þessi gilda til 26. júní 2017.
1.1. Persónuvernd hefur ákveðið, með vísan til 3. málsl. 3. mgr. 13. gr. laga nr. 44/2014 um vísindarannsóknir á heilbrigðissviði og 3. mgr. 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, að gefa út fyrirmæli um verklag til að tryggja upplýsingaöryggi sem fylgt skal við vinnslu persónuupplýsinga í þágu rannsókna á vegum Íslenskrar erfðagreiningar ehf. og samstarfsaðila. Telst Íslensk erfðagreining ehf. vera ábyrgðaraðili að umræddri vinnslu í skilningi 4. tölul. 2. gr. laga nr. 77/2000 og í samræmi við það er fyrirtækið nefnt „ábyrgðaraðili“ hér eftir í fyrirmælunum. Einnig taka fyrirmælin til vinnulags lækna sem eiga samstarf við ábyrgðaraðila um rannsóknir, þ.e. í því skyni að bjóða fólki að taka þátt í rannsókninni. Nefnast þeir læknar hér eftir „ábyrgðarlæknar“.
1.2. Ábyrgðaraðili ber ábyrgð á vinnslu persónuupplýsinga í þágu rannsókna sem fram fara á hans vegum og ber réttindi og skyldur samkvæmt fyrirmælum laga, reglna og fyrirmælum þessum. Ber hann ábyrgð á því að sérstakt áhættumat fari fram sem verði endurskoðað með reglubundnum hætti og ef þörf krefur. Hann ber einnig ábyrgð á því að gerðar séu viðeigandi öryggisráðstafanir í samræmi við niðurstöður áhættumats og að unnið sé að öðru leyti í samræmi við ákvæði reglna nr. 299/2001 um öryggi persónuupplýsinga. Skal ábyrgðaraðili samkvæmt því halda skrár yfir áhættumat og öryggisráðstafanir sem fram hafa farið og skal Persónuvernd hafa aðgang að þeim hvenær sem er. Ábyrgðaraðili ber og ábyrgð á því að unnið sé í samræmi við reglur nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 8. tölul. 1. mgr. 5. gr. og 1. mgr. 8. gr. laga nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga.
2. Skilmálar fyrirmælanna
Fyrirmæli Persónuverndar eru bundin því skilyrði að ábyrgðaraðili ábyrgist að við alla vinnslu persónuupplýsinga við rannsóknir á hans vegum verði farið að öllum skilmálum fyrirmælanna. Persónuvernd getur hvenær sem er gefið frekari fyrirmæli um umræddar rannsóknir og tekið vinnslu persónuupplýsinga í þágu einstakra rannsókna til frekari athugunar, s.s. þegar yfirlit yfir vinnslu í þágu rannsóknar á vegum ábyrgðaraðila berst stofnuninni frá vísindasiðanefnd, sbr. 2. mgr. 13. gr. laga nr. 44/2014.
3. Gildistími fyrirmælanna
Fyrirmæli þessi gilda til 26. júní 2017.
II.
Fyrirmæli um verklag
Fyrirmæli um verklag
1. Lögmæti vinnslu persónuupplýsinga og þagnarskylda
Farið skal með persónuupplýsingar, sem skráðar eru vegna rannsókna sem fyrirmæli þessi taka til, í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, lög nr. 34/2012 um heilbrigðisstarfsmenn, lög nr. 44/2014 um vísindarannsóknir á heilbrigðissviði og lög nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga. Sé unnið með gögn tiltekins skrárhaldara, t.d. Landspítala, skal fylgja löglega settum reglum hans um meðferð þeirra heilsufarsupplýsinga sem þar eru varðveittar og heimildir til aðgangs að þeim. Upplýsingar um heilsufar teljast viðkvæmar persónuupplýsingar og hvílir því þagnarskylda á öllum sem vinna að rannsókn um þær. Þagnarskylda helst þótt látið sé af störfum við rannsókn.
2. Starfsmenn ábyrgðaraðila
Ábyrgðaraðila er heimilt að fela starfsmönnum sínum tiltekna þætti þeirrar vinnu sem hann ber ábyrgð á lögum samkvæmt og samkvæmt skilmálum fyrirmæla þessara. Sömu starfsmenn mega þó ekki bæði vinna með persónuauðkenndar upplýsingar og dulkóðaðar upplýsingar. Komið getur til stöðvunar vinnslu eða annars konar stjórnvaldsúrræða samkvæmt 40. og 41. gr. laga nr. 77/2000 ef í ljós kemur að það er gert eða ef fram kemur að fyrir hendi séu aðrar ástæður sem ætla má að raski forsendum fyrirmæla þessara um öryggi við vinnslu persónuupplýsinga.
Farið skal með persónuupplýsingar, sem skráðar eru vegna rannsókna sem fyrirmæli þessi taka til, í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, lög nr. 34/2012 um heilbrigðisstarfsmenn, lög nr. 44/2014 um vísindarannsóknir á heilbrigðissviði og lög nr. 110/2000 um lífsýnasöfn og söfn heilbrigðisupplýsinga. Sé unnið með gögn tiltekins skrárhaldara, t.d. Landspítala, skal fylgja löglega settum reglum hans um meðferð þeirra heilsufarsupplýsinga sem þar eru varðveittar og heimildir til aðgangs að þeim. Upplýsingar um heilsufar teljast viðkvæmar persónuupplýsingar og hvílir því þagnarskylda á öllum sem vinna að rannsókn um þær. Þagnarskylda helst þótt látið sé af störfum við rannsókn.
2. Starfsmenn ábyrgðaraðila
Ábyrgðaraðila er heimilt að fela starfsmönnum sínum tiltekna þætti þeirrar vinnu sem hann ber ábyrgð á lögum samkvæmt og samkvæmt skilmálum fyrirmæla þessara. Sömu starfsmenn mega þó ekki bæði vinna með persónuauðkenndar upplýsingar og dulkóðaðar upplýsingar. Komið getur til stöðvunar vinnslu eða annars konar stjórnvaldsúrræða samkvæmt 40. og 41. gr. laga nr. 77/2000 ef í ljós kemur að það er gert eða ef fram kemur að fyrir hendi séu aðrar ástæður sem ætla má að raski forsendum fyrirmæla þessara um öryggi við vinnslu persónuupplýsinga.
3. Um vinnsluaðila
Hyggist ábyrgðaraðili fela Þjónustumiðstöð rannsóknarverkefna (ÞR) eða öðrum vinnsluaðila að annast vinnslu persónuupplýsinga vegna rannsóknar, í heild eða að hluta til, skal fylgt 9. gr. reglna nr. 299/2001 þar sem fjallað er um trúnað, öryggi og innra eftirlit við vinnslu persónuupplýsinga, sbr. 13. gr. laga nr. 77/2000. Samkvæmt þessum ákvæðum ber ábyrgðaraðila m.a. að gera skriflegan samning við vinnsluaðila. Skal hann áður sannreyna að vinnsluaðili geti uppfyllt þær tæknilegu öryggis- og skipulagsráðstafanir sem um vinnsluna gilda og sjá til þess að þeim sé framfylgt. Í umræddum samningi skal koma fram að vinnsluaðili skuli aðeins starfa eftir fyrirmælum ábyrgðaraðila og að ákvæði reglna nr. 299/2001 gildi einnig um þá vinnslu sem vinnsluaðila er falin. Hjá hvorum tveggja ábyrgðaraðila og vinnsluaðila skal varðveita tryggilega eintak af samningnum. Skal Persónuvernd hafa aðgang að þessum samningseintökum hvenær sem hún kýs.
4. Upplýst samþykki
Þegar aflað er samþykkis fyrir vinnslu persónuupplýsinga á vegum ábyrgðaraðila, þ. á m. við veitingu fræðslu um rannsókn, skal farið eftir V. kafla laga nr. 44/2014, reglum sem settar eru á grundvelli sömu laga, sem og skilmálum sem mælt er fyrir um í leyfum vísindasiðanefndar fyrir einstökum rannsóknum. Óheimilt er að safna öðrum upplýsingum en þeim sem samþykki tekur til og sem tilgreint hefur verið í rannsóknaráætlun, samþykktri af vísindasiðanefnd, að þurfi til að ná settu rannsóknarmarkmiði.
Að fenginni heimild vísindasiðanefndar má afla rafræns samþykkis þeirra þátttakenda sem eingöngu svara rafrænum spurningalista vegna framkvæmdar rannsóknar. Skal þá fylgt eftirfarandi verklagi:
a. Þátttakendur fá sendan persónubundinn aðgangslykil með boðsbréfi sem þeir nota til að veita samþykki sitt á tiltekinni heimasíðu þar sem spurningalista er svarað.
b. Ef þátttakendur svara ekki innan ákveðins tíma skal aðgangslykillinn verða sjálfkrafa ógildur.
c. Aðeins dulkóðunarstjóri, sbr. grein 7.2 hér á eftir, má hafa aðgang að lykli á milli aðgangslykla og persónuauðkenna.
d. Notast skal við öruggar nettengingar við öflun rafræns samþykkis.
Samþykkisyfirlýsingar skal ávallt varðveita aðskildar frá öðrum rannsóknargögnum, en engu að síður skal fara með þær samkvæmt reglum um meðferð sjúkraskráa, sbr. lög nr. 55/2009 um sjúkraskrár. Þátttakanda skal afhent afrit veittrar samþykkisyfirlýsingar. Óheimilt er að safna öðrum upplýsingum en þeim sem tilgreint hefur verið í rannsóknaráætlun, samþykktri af vísindasiðanefnd, að þurfi til að ná settu rannsóknarmarkmiði, og aðeins þeim sem hið upplýsta samþykki tekur til.
5. Nánar um öflun samþykkis
Þegar leitað er samþykkis einstaklinga fyrir þátttöku í rannsókn og fyrir vinnslu persónuupplýsinga skal fylgt eftirfarandi verklagi:
5.1. Sjúklingar ábyrgðarlækna
Ábyrgðarlæknar rannsóknar mega, að fengnu leyfi vísindasiðanefndar, leita beint til sjúklinga með þá sjúkdóma eða þau einkenni sem viðkomandi rannsókn tekur til og hafa notið læknismeðferðar hjá þeim.
5.2. Aðrir sjúklingar
Við leit að öðrum sjúklingum en samkvæmt grein 5.1 mega ábyrgðarlæknar, að fengnu leyfi vísindasiðanefndar, snúa sér til sjálfstætt starfandi lækna eða heilbrigðisstofnana (er í leyfi þessu kallast „skrárhaldarar“) með ósk um að fá að vita um sjúklinga, sem greinst hafa með þá sjúkdóma eða þau einkenni sem viðkomandi rannsókn tekur til í þeim tilgangi einum að velja þátttakendur í rannsókn. Hér er aðeins átt við skrár með upplýsingum um nöfn sjúklinga, nöfn meðferðarlækna og sjúkdómaflokka/ICD-kóða, í fyrirmælum þessum kallaðar frumskrár. Viðkomandi skrárhöldurum er heimilað en ekki gert skylt að verða við slíkri ósk ábyrgðarlækna. Ef óskað er eftir frekari upplýsingum í sama tilgangi, þ.e. að kanna hversu réttar sjúkdómsgreiningar eru eða fá nákvæmari greiningar, mega ábyrgðarlæknar beina afmörkuðum spurningum til viðkomandi skrárhaldara. Þetta er háð því skilyrði að þá tilnefni skrárhaldari nafngreinda einstaklinga sem hann samþykkir að ábyrgjast og heimilar fyrir sitt leyti að skoði þær skrár sem hann heldur, enda sé það aðeins gert til að vinna úr þeim fyrirfram afmarkaðar upplýsingar, sbr. það er að framan segir, og senda þær til ábyrgðarlækna. Öll frekari öflun heilsufarsupplýsinga er háð upplýstu samþykki hins skráða.
Þegar ábyrgðarlæknar afla persónuupplýsinga frá skrárhaldara skal samtímis láta hina skráðu vita af því og greina þeim frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr. laga nr. 77/2000. Þessi skylda á þó ekki við ef einhver af undanþágum 4. mgr. sömu greinar er fyrir hendi, þ. á m. ef óframkvæmanlegt er að láta hinn skráða vita eða ef það leggur á ábyrgðarlækna þyngri byrðar en með sanngirni má krefjast, sbr. 1. tölul.
Ábyrgðarlæknum er skylt að beita viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum til að tryggja nægilegt öryggi þeirra upplýsinga sem þeir fá samkvæmt 1. mgr. þessa ákvæðis, m.t.t. þess hversu viðkvæmar þær eru, og vernda þær gegn óleyfilegum aðgangi, sbr. 11. gr. laga nr. 77/2000 og ákvæði reglna nr. 299/2001. Eru fyrirmæli þeirra reglna hluti leyfis þessa.
5.3. Makar, sambúðarfólk og ættingjar
Leita má eftir þátttöku maka/sambúðarfólks sjúklinga og einstaklinga úr hópi ættingja þeirra. Hér er átt við einstaklinga sem leitað er til að fengnu samþykki þeirra sem valdir verða samkvæmt greinum 5.1 og 5.2 hér að framan.
Þegar leitað er eftir þátttöku þessara einstaklinga skal þess gætt að rjúfa ekki þagnarskyldu um heilsufar sjúklings. Samkvæmt því er t.d. óheimilt að veita ættingjum upplýsingar um heilsufar sjúklings nema með samþykki hans. Viðhafa ber eftir því sem við á þær aðferðir við öflun samþykkis sem tilgreindar eru í reglum sem settar eru á grundvelli 3. mgr. 18. gr. laga nr. 44/2014.
5.4. Þjóðskrárúrtak
Biðja má einstaklinga, sem valdir hafa verið með slembiúrtaki úr Þjóðskrá eða annarri lögmætri aðferð, að taka þátt í rannsókn, enda hafi vísindasiðanefnd veitt til þess heimild sína. Skal þess gætt við vinnslu upplýsinga um þennan hóp að hlíta öllum sömu skilmálum um öryggi og vinnslugæði og þegar unnið er með upplýsingar um aðra þátttakendur. Veita skal þeim sem beðnir verða um að taka þátt í rannsókn með þessum hætti kost á að hafa samband við viðkomandi ábyrgðarlækni eða nafngreinda heilbrigðisstarfsmenn sem starfa á ábyrgð hans til að fá nánari kynningu á rannsókn, m.a. varðandi þau atriði sem lúta að vinnslu, meðferð og varðveislu persónuupplýsinga. Bréf til umræddra einstaklinga skal að lágmarki hafa að geyma fræðslu um þau atriði sem tilgreind eru í reglum samkvæmt 3. mgr. 18. gr. laga nr. 44/2014.
5.5. Um þá einstaklinga sem hafna þátttöku í rannsókn
Ef einstaklingur, sem fundinn er samkvæmt greinum 5.1, 5.2, 5.3 eða 5.4 hér að framan, vill ekki taka þátt í viðkomandi rannsókn skal, í því skyni að gæta lögboðins andmælaréttar, bjóða honum upp á tvo valkosti: (a) að nafn hans verði sett á lista yfir þá sem vilja ekki að aftur verði haft samband við sig eða (b) að nafni hans verði eytt sem þýði að honum verði e.t.v. boðin þátttaka síðar. Öll frekari upplýsingasöfnun um einstaklinga, sem hafna eða hætta þátttöku, er óheimil.
6. Upplýsingaöflun í þágu gagnarannsókna
Í þágu gagnarannsóknar, sbr. VI. kafla laga nr. 44/2014, má eingöngu afla þeirra upplýsinga sem tilteknar eru í rannsóknaráætlun, samþykktri af vísindasiðanefnd. Um rétt til andmæla við öflun upplýsinga fer eftir 1. mgr. 28. gr. laga nr. 77/2000. Hafi hinn skráði andmælt því með sannanlegum hætti að persónuupplýsingar um sig séu varðveittar til frambúðar í þágu gagnarannsókna. þ. á m. á grundvelli 17. gr. a í lögum nr. 55/2009 um sjúkraskrár, skulu þær ekki varðveittar umfram tvö ár frá öflun þeirra. Áskilji vísindasiðanefnd að samþykkis sé aflað fyrir vinnslu persónuupplýsinga skal farið eftir 4. gr. hér að framan við öflun samþykkisins og upplýsingasöfnun á grundvelli þess. Ber þá að fara eftir ákvæðum 5. gr. eftir því sem við á.
Hyggist ábyrgðaraðili fela Þjónustumiðstöð rannsóknarverkefna (ÞR) eða öðrum vinnsluaðila að annast vinnslu persónuupplýsinga vegna rannsóknar, í heild eða að hluta til, skal fylgt 9. gr. reglna nr. 299/2001 þar sem fjallað er um trúnað, öryggi og innra eftirlit við vinnslu persónuupplýsinga, sbr. 13. gr. laga nr. 77/2000. Samkvæmt þessum ákvæðum ber ábyrgðaraðila m.a. að gera skriflegan samning við vinnsluaðila. Skal hann áður sannreyna að vinnsluaðili geti uppfyllt þær tæknilegu öryggis- og skipulagsráðstafanir sem um vinnsluna gilda og sjá til þess að þeim sé framfylgt. Í umræddum samningi skal koma fram að vinnsluaðili skuli aðeins starfa eftir fyrirmælum ábyrgðaraðila og að ákvæði reglna nr. 299/2001 gildi einnig um þá vinnslu sem vinnsluaðila er falin. Hjá hvorum tveggja ábyrgðaraðila og vinnsluaðila skal varðveita tryggilega eintak af samningnum. Skal Persónuvernd hafa aðgang að þessum samningseintökum hvenær sem hún kýs.
4. Upplýst samþykki
Þegar aflað er samþykkis fyrir vinnslu persónuupplýsinga á vegum ábyrgðaraðila, þ. á m. við veitingu fræðslu um rannsókn, skal farið eftir V. kafla laga nr. 44/2014, reglum sem settar eru á grundvelli sömu laga, sem og skilmálum sem mælt er fyrir um í leyfum vísindasiðanefndar fyrir einstökum rannsóknum. Óheimilt er að safna öðrum upplýsingum en þeim sem samþykki tekur til og sem tilgreint hefur verið í rannsóknaráætlun, samþykktri af vísindasiðanefnd, að þurfi til að ná settu rannsóknarmarkmiði.
Að fenginni heimild vísindasiðanefndar má afla rafræns samþykkis þeirra þátttakenda sem eingöngu svara rafrænum spurningalista vegna framkvæmdar rannsóknar. Skal þá fylgt eftirfarandi verklagi:
a. Þátttakendur fá sendan persónubundinn aðgangslykil með boðsbréfi sem þeir nota til að veita samþykki sitt á tiltekinni heimasíðu þar sem spurningalista er svarað.
b. Ef þátttakendur svara ekki innan ákveðins tíma skal aðgangslykillinn verða sjálfkrafa ógildur.
c. Aðeins dulkóðunarstjóri, sbr. grein 7.2 hér á eftir, má hafa aðgang að lykli á milli aðgangslykla og persónuauðkenna.
d. Notast skal við öruggar nettengingar við öflun rafræns samþykkis.
Samþykkisyfirlýsingar skal ávallt varðveita aðskildar frá öðrum rannsóknargögnum, en engu að síður skal fara með þær samkvæmt reglum um meðferð sjúkraskráa, sbr. lög nr. 55/2009 um sjúkraskrár. Þátttakanda skal afhent afrit veittrar samþykkisyfirlýsingar. Óheimilt er að safna öðrum upplýsingum en þeim sem tilgreint hefur verið í rannsóknaráætlun, samþykktri af vísindasiðanefnd, að þurfi til að ná settu rannsóknarmarkmiði, og aðeins þeim sem hið upplýsta samþykki tekur til.
5. Nánar um öflun samþykkis
Þegar leitað er samþykkis einstaklinga fyrir þátttöku í rannsókn og fyrir vinnslu persónuupplýsinga skal fylgt eftirfarandi verklagi:
5.1. Sjúklingar ábyrgðarlækna
Ábyrgðarlæknar rannsóknar mega, að fengnu leyfi vísindasiðanefndar, leita beint til sjúklinga með þá sjúkdóma eða þau einkenni sem viðkomandi rannsókn tekur til og hafa notið læknismeðferðar hjá þeim.
5.2. Aðrir sjúklingar
Við leit að öðrum sjúklingum en samkvæmt grein 5.1 mega ábyrgðarlæknar, að fengnu leyfi vísindasiðanefndar, snúa sér til sjálfstætt starfandi lækna eða heilbrigðisstofnana (er í leyfi þessu kallast „skrárhaldarar“) með ósk um að fá að vita um sjúklinga, sem greinst hafa með þá sjúkdóma eða þau einkenni sem viðkomandi rannsókn tekur til í þeim tilgangi einum að velja þátttakendur í rannsókn. Hér er aðeins átt við skrár með upplýsingum um nöfn sjúklinga, nöfn meðferðarlækna og sjúkdómaflokka/ICD-kóða, í fyrirmælum þessum kallaðar frumskrár. Viðkomandi skrárhöldurum er heimilað en ekki gert skylt að verða við slíkri ósk ábyrgðarlækna. Ef óskað er eftir frekari upplýsingum í sama tilgangi, þ.e. að kanna hversu réttar sjúkdómsgreiningar eru eða fá nákvæmari greiningar, mega ábyrgðarlæknar beina afmörkuðum spurningum til viðkomandi skrárhaldara. Þetta er háð því skilyrði að þá tilnefni skrárhaldari nafngreinda einstaklinga sem hann samþykkir að ábyrgjast og heimilar fyrir sitt leyti að skoði þær skrár sem hann heldur, enda sé það aðeins gert til að vinna úr þeim fyrirfram afmarkaðar upplýsingar, sbr. það er að framan segir, og senda þær til ábyrgðarlækna. Öll frekari öflun heilsufarsupplýsinga er háð upplýstu samþykki hins skráða.
Þegar ábyrgðarlæknar afla persónuupplýsinga frá skrárhaldara skal samtímis láta hina skráðu vita af því og greina þeim frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr. laga nr. 77/2000. Þessi skylda á þó ekki við ef einhver af undanþágum 4. mgr. sömu greinar er fyrir hendi, þ. á m. ef óframkvæmanlegt er að láta hinn skráða vita eða ef það leggur á ábyrgðarlækna þyngri byrðar en með sanngirni má krefjast, sbr. 1. tölul.
Ábyrgðarlæknum er skylt að beita viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum til að tryggja nægilegt öryggi þeirra upplýsinga sem þeir fá samkvæmt 1. mgr. þessa ákvæðis, m.t.t. þess hversu viðkvæmar þær eru, og vernda þær gegn óleyfilegum aðgangi, sbr. 11. gr. laga nr. 77/2000 og ákvæði reglna nr. 299/2001. Eru fyrirmæli þeirra reglna hluti leyfis þessa.
5.3. Makar, sambúðarfólk og ættingjar
Leita má eftir þátttöku maka/sambúðarfólks sjúklinga og einstaklinga úr hópi ættingja þeirra. Hér er átt við einstaklinga sem leitað er til að fengnu samþykki þeirra sem valdir verða samkvæmt greinum 5.1 og 5.2 hér að framan.
Þegar leitað er eftir þátttöku þessara einstaklinga skal þess gætt að rjúfa ekki þagnarskyldu um heilsufar sjúklings. Samkvæmt því er t.d. óheimilt að veita ættingjum upplýsingar um heilsufar sjúklings nema með samþykki hans. Viðhafa ber eftir því sem við á þær aðferðir við öflun samþykkis sem tilgreindar eru í reglum sem settar eru á grundvelli 3. mgr. 18. gr. laga nr. 44/2014.
5.4. Þjóðskrárúrtak
Biðja má einstaklinga, sem valdir hafa verið með slembiúrtaki úr Þjóðskrá eða annarri lögmætri aðferð, að taka þátt í rannsókn, enda hafi vísindasiðanefnd veitt til þess heimild sína. Skal þess gætt við vinnslu upplýsinga um þennan hóp að hlíta öllum sömu skilmálum um öryggi og vinnslugæði og þegar unnið er með upplýsingar um aðra þátttakendur. Veita skal þeim sem beðnir verða um að taka þátt í rannsókn með þessum hætti kost á að hafa samband við viðkomandi ábyrgðarlækni eða nafngreinda heilbrigðisstarfsmenn sem starfa á ábyrgð hans til að fá nánari kynningu á rannsókn, m.a. varðandi þau atriði sem lúta að vinnslu, meðferð og varðveislu persónuupplýsinga. Bréf til umræddra einstaklinga skal að lágmarki hafa að geyma fræðslu um þau atriði sem tilgreind eru í reglum samkvæmt 3. mgr. 18. gr. laga nr. 44/2014.
5.5. Um þá einstaklinga sem hafna þátttöku í rannsókn
Ef einstaklingur, sem fundinn er samkvæmt greinum 5.1, 5.2, 5.3 eða 5.4 hér að framan, vill ekki taka þátt í viðkomandi rannsókn skal, í því skyni að gæta lögboðins andmælaréttar, bjóða honum upp á tvo valkosti: (a) að nafn hans verði sett á lista yfir þá sem vilja ekki að aftur verði haft samband við sig eða (b) að nafni hans verði eytt sem þýði að honum verði e.t.v. boðin þátttaka síðar. Öll frekari upplýsingasöfnun um einstaklinga, sem hafna eða hætta þátttöku, er óheimil.
6. Upplýsingaöflun í þágu gagnarannsókna
Í þágu gagnarannsóknar, sbr. VI. kafla laga nr. 44/2014, má eingöngu afla þeirra upplýsinga sem tilteknar eru í rannsóknaráætlun, samþykktri af vísindasiðanefnd. Um rétt til andmæla við öflun upplýsinga fer eftir 1. mgr. 28. gr. laga nr. 77/2000. Hafi hinn skráði andmælt því með sannanlegum hætti að persónuupplýsingar um sig séu varðveittar til frambúðar í þágu gagnarannsókna. þ. á m. á grundvelli 17. gr. a í lögum nr. 55/2009 um sjúkraskrár, skulu þær ekki varðveittar umfram tvö ár frá öflun þeirra. Áskilji vísindasiðanefnd að samþykkis sé aflað fyrir vinnslu persónuupplýsinga skal farið eftir 4. gr. hér að framan við öflun samþykkisins og upplýsingasöfnun á grundvelli þess. Ber þá að fara eftir ákvæðum 5. gr. eftir því sem við á.
7. Meðferð persónuupplýsinga og dulkóðun persónuauðkenna
7.1. Meðferð frumskráa
Við framkvæmd rannsókna skal þess vandlega gætt að vinna aldrei með persónumerkt gögn nema þegar það er óhjákvæmilegt. Við alla aðra vinnu skal unnið með gögn sem eru auðkennd með dulkóðuðum kennitölum. Sérstakur starfsmaður, er nefnist dulkóðunarstjóri, annast þá dulkóðun.
Að því marki sem nauðsynlegt er við sendingu þátttökuboða má dulkóðunarstjóri taka á móti og varðveita skrár yfir nöfn sjúklinga, nöfn meðferðarlækna og sjúkdómaflokka/ICD-kóða, sem og önnur sambærileg atriði samkvæmt afmörkuðum spurningum til skrárhaldara. Slíkar skrár, sem í fyrirmælum þessum eru nefndar frumskrár, skal senda með öruggum hætti frá skrárhaldara, t.d. með dulkóðuðum tölvupósti. Einnig má fela ábyrgðarlæknum að annast flutning upplýsinganna, en þá skal skrárhaldari áður hafa sett þau í umslög sem hefur verið lokað með „innsiglum“ sem einungis dulkóðunarstjóri má brjóta.
Frumskrár skulu ætíð varðveittar á öruggum stað, óaðgengilegar öðrum en dulkóðunarstjóra. Varðveita má þær á læstum möppum í tölvu eða dulkóðaðar. Hvenær sem því verður við komið skulu skrárnar varðveitast án beinna persónuauðkenna.
Frumskrár mega einungis vera til í tveimur eintökum, þ.e. eitt vinnslueintak og eitt öryggisafrit. Öryggisafrit skal varðveitt á öruggum stað aðskilið frá vinnslueintökum og vera óaðgengilegt öðrum en dulkóðunarstjóra.
7.2. Hlutverk dulkóðunarstjóra
Ábyrgðaraðili skal tilnefna sérstakan dulkóðunarstjóra. Áskilið er að hann geti unnið sjálfstætt. Dulkóðunarstjóri skal annast sendingu persónupplýsinga til ábyrgðaraðila og skal hann undirrita sérstakt trúnaðarheit. Óheimilt er að senda rannsóknarstofum ábyrgðaraðila sýni eða önnur gögn nema nöfn og önnur bein, persónugreinandi auðkenni hafi áður verið afmáð og kennitölur dulkóðaðar.
Dulkóðunarstjóri skal senda gögn til ábyrgðaraðila um sjálfvirkt dulkóðunar- og gagnaflutningskerfi (IPS) sem breytir kennitölum í p-númer. Uppsetning og rekstur þess er háður sérstöku samþykki Persónuverndar að undangenginni tæknilegri úttekt sérfræðings á hennar vegum, enda hafi slík úttekt ekki farið fram. Uppfylla skal ýtrustu kröfur um aðgang að kerfinu, skráningu aðgerða, öryggi í samskiptum og stjórnskipulegt öryggi. Endurræsing kerfisins er háð íhlutun Persónuverndar eða fulltrúa hennar.
Skal dulmálslykils tryggilega gætt og IPS-þjónninn geymdur í læstum skáp. Skal þurfa tvo lykla til að opna skápinn. Skal annar vera í vörslu dulkóðunarstjóra, hinn í vörslu Persónuverndar. Skulu báðir lyklarnir, sem og varalykill sem varðveittur er á ábyrgð Persónuverndar, hafðir í öruggri vörslu á aðskildum, tryggum stöðum.
Meðferð stýrikerfislykilorðs skal vera þannig háttað að dulkóðunarstjóri varðveiti fyrri hluta lykilorðsins en Persónuvernd seinni hluta þess. Dulkóðunarstjóri varðveitir notandaheiti og lykilorð gagnagrunns. Hann varðveitir einnig „ADMIN“-lykilorð fyrir IPS-þjóninn. Persónuvernd varðveitir PID-lykilorðið og skulu bæði dulkóðunarstjóri og Persónuvernd varðveita afrit af því. Þá varðveitir dulkóðunarstjóri eitt SSL-skírteini og Persónuvernd annað SSL-skírteini. Framangreind lykilorð, afrit af lykilorðum og skírteini skulu öll höfð í öruggri vörslu. Afrit lykilorða skulu varðveitt annars staðar en frumeintök.
Í samningi ábyrgðaraðila við vinnsluaðila skal m.a. koma fram að dulkóðunarstjóri beri ábyrgð á því að gögn verði ekki send um dulkóðunarkerfið nema heimild Persónuverndar standi til viðkomandi rannsóknar og að gögnin innihaldi ekki bein persónuauðkenni.
7.3. Dulkóðun og meðferð ættfræðigagnagrunns
Að fengnu leyfi vísindasiðanefndar og að því marki sem slíkt samrýmist rannsóknaráætlun og samþykki þátttakenda má samkeyra persónuupplýsingar, sem aflað er í þágu rannsókna, við ættfræðigagnagrunn ábyrgðaraðila (Íslendingabók). Við samkeyrsluna skal beitt því dulkóðunarkerfi sem tilgreint er í grein 7.2 hér að framan. Dulkóða má grunninn jafnóðum og nýjar uppfærslur Íslendingabókar verða til. Dulkóðaður ættfræðigagnagrunnur má ekki vera á sömu tölvu eða á sama tölvuneti og ódulkóðaður. Þá mega sömu einstaklingar ekki hafa aðgang bæði að dulkóðuðum og ódulkóðuðum grunni. Óheimilt er að tengja þessa grunna saman á nokkurn hátt. Til að draga úr möguleikum á að brjóta nafnleyndina með samanburði dulkóðaðra ættartrjáa og annarra gagna skal fella einstaklinga í hópa þannig að fæðingar- og dánarár séu rúnnuð af eða felld að næsta heila eða hálfa tug. Afmarkaðar, tímabundnar vinnsluaðgerðir, þar sem notast er við nákvæmari aldursupplýsingar, eru þó heimilar séu þær nauðsynlegar til að ná settum rannsóknarmarkmiðum samkvæmt rannsóknaráætlun og samrýmist leyfisveitingum vísindasiðanefndar. Skulu þá gerðar viðeigandi ráðstafanir til að ekki verði unnt að rekja rannsóknargögn til tiltekinna einstaklinga út frá samhengi upplýsinga. Sem dæmi um slíkar ráðstafanir má nefna takmörkun á því hvaða breytur unnið er með í umræddum vinnsluaðgerðum og því hverjir tilheyra þeim hópi sem nákvæmari aldursupplýsingar eru tengdar við hverju sinni. Skal Persónuvernd send lýsing á þessum ráðstöfunum eigi síðar en 1. desember nk. Getur hún hvenær sem er kallað eftir yfirliti yfir tilvik þar sem notast hefur verið við nákvæmari aldursupplýsingar og gert úttekt á umræddum ráðstöfunum.
Heimil er notkun Íslendingabókar við öflun þátttakenda á grundvelli greinar 5.2 hér að framan. Í því felst að dulkóðunarstjóri breytir kennitölum á þátttakendalistum í p-númer í samræmi við grein 7.2 og sendir listana ábyrgðaraðila. Hjá ábyrgðaraðila eru dulkóðaðir þátttakendalistar því næst samkeyrðir við dulkóðaða Íslendingabók. Við samkeyrsluna verða til ættartré með p-númerum þeirra sem valdir hafa verið til þátttöku. Listar yfir númerin eru sendir til dulkóðunarstjóra sem afkóðar þau. Í framhaldi af því má senda út þátttökuboð í samræmi við þær aðferðir sem mælt er fyrir um í reglum á grundvelli 3. mgr. 18. gr. laga nr. 44/2014 og leyfi vísindasiðanefndar, sbr. og grein 7.4. Niðurstöðum samkeyrslna skal eytt í samræmi við 12. gr. hér á eftir nema viðkomandi einstaklingur samþykki þátttöku í rannsókn.
Heimilt er að samkeyra upplýsingar um einstaklinga í úrtaki gagnarannsókna við Íslendingabók, sbr. VI. kafla laga nr. 44/2014, að því gefnu að vísindasiðanefnd hafi leyft samkeyrslurnar og þær samrýmist rannsóknaráætlun. Fylgt skal sömu aðferðum við dulkóðun og að framan greinir, sbr. og grein 7.2 hér að framan.
7.4. Vinnuferli við öflun lífsýna og heilsufarsupplýsinga
Þegar dulkóðaður listi berst frá ábyrgðaraðila samkvæmt grein 7.3 hér að framan skal dulkóðunarstjóri afkóða hann og vinna síðan þau gögn sem meðferðarlæknum, eða eftir atvikum heilbrigðisstarfsmönnum, sem starfa á þeirra ábyrgð, eru nauðsynleg til að rækja það hlutverk sitt að kynna viðkomandi rannsókn þeim sem beðnir verða um að taka þátt í henni, sbr. nánar 4. og 5. gr. Þá hefst öflun lífsýna og heilsufarsupplýsinga frá þátttakendum. Skal þess gætt að starfsmenn ábyrgðaraðila komi hvergi að þeim liðum í þessari upplýsingaöflun þar sem þekkja má einstaka þátttakendur, sbr. og 2. gr. hér að framan. Öflun upplýsinga skal haga sem hér segir:
a. Heilsufarsupplýsingar um einstaklinga í rannsóknarúrtaki skal skrá á þar til gerð eyðublöð, sem eru á pappír eða á tölvutæku formi, og má einungis afhenda ábyrgðaraðila upplýsingarnar á slíkum eyðublöðum. Séu þær skráðar á pappír má ekki auðkenna þær með kennitölum heldur einungis með s-númerum (sbr. b-lið). Séu þær tölvuskráðar má þó merkja þær með kennitölum, enda verði þær aldrei afhentar öðrum en ábyrgðaraðila og þá dulkóðaðar (gegnum IPS-kerfið, sbr. d-lið).
b. Lífsýni skal merkja með límmiðum sem prentaðir eru hjá ábyrgðaraðila. Á hverjum límmiða skal vera strikamerki (s-númer) sem valið er af handahófi. Númer strikamerkisins má ekki fela í sér neinar upplýsingar um viðkomandi einstakling.
c. Dulkóðunarstjóri vinnur tengiskrá. Þar kemur einungis fram kennitala einstaklings í rannsóknarúrtaki, auðkenni rannsóknar og s-númer. Rafræn færsla tengiskrár er heimil, en skrána má ekki tengja við neinar aðrar upplýsingar eða veita öðrum aðgang að henni.
d. Dulkóðunarstjóri sendir tengiskrána til ábyrgðaraðila gegnum framangreint IPS-kerfi, en við það breytast kennitölur í p-númer. Ábyrgðaraðili endurmerkir öll gögn þegar þau berast honum, þ.e. tengiskrána, upplýsingar af eyðublöðum og lífsýni, og fá þau þá m-númer í stað s-númera. Við það verður tengiskráin að tengitöflu ábyrgðaraðila milli p-númera og m-númera. Skal ábyrgðaraðili eyða skráðum s-númerum innan 30 daga frá því að gögnin berast honum.
Við öflun upplýsinga um einstaklinga í úrtaki gagnarannsókna, sbr. VI. kafla laga nr. 44/2014, skal fylgt sama verklagi og greinir í a–d-lið hér að framan.
7.5. Afkóðun
Ef ráð er fyrir því gert í samþykki hins skráða er heimilt að afla viðbótarsýnis, enda sé slíkt nauðsynlegt í þágu rannsóknar, s.s. þar sem sýni hafi eyðst eða glatast fyrir mistök. Er beiðni um nýtt sýni þá send dulkóðunarstjóra eða viðkomandi ábyrgðarlækni um framangreint IPS-kerfi, en við það afkóðast p-númer í kennitölu.
8. Málsmeðferð við aðgang að lífsýnum látinna sjúklinga
Leita má eftir lífsýnum úr látnum einstaklingum frá lífsýnasöfnum í þágu rannsókna á vegum ábyrgðaraðila, enda fáist til þess heimild vísindasiðanefndar. Afhending sýna úr lífsýnasöfnum er háð reglum viðkomandi lífsýnasafns. Einvörðungu er heimilt að fá lífsýni úr látnum einstaklingum frá lífsýnasöfnum sem hafa starfsleyfi samkvæmt lögum nr. 110/2000. Þá má eingöngu afhenda lífsýni úr lífsýnisgjöfum sem ekki hafa afturkallað ætlað samþykki sitt fyrir að sýni verði vistað í lífsýnasafni til notkunar samkvæmt 9. gr. laga nr. 110/2000 og tilkynnt landlækni það í samræmi við ákvæði 7. gr. þeirra laga. Sömu reglur og greinir í 7. gr. þessa leyfis gilda, eftir því sem við á, um sýni sem koma frá lífsýnasöfnum, nema annars sé sérstaklega getið.
9. Flutningur persónuupplýsinga úr landi
Séu persónuupplýsingar, sem aflað hefur verið í þágu rannsókna, fluttar úr landi, þ. á m. lífsýni, skal þess gætt að þær séu ekki merktar með persónuauðkennum. Það hvort afla þurfi samþykkis hinna skráðu fyrir slíkum flutningi fer samkvæmt skilmálum í leyfum vísindasiðanefndar. Flutningur upplýsinga til lands, sem ekki telst veita fullnægjandi persónuupplýsingavernd, verður ávallt að byggjast á samþykki viðkomandi einstaklinga, lagaheimild eða leyfi Persónuverndar, sbr. 1. og 3. tölul. 1. mgr. og 2. mgr. 30. gr. laga nr. 77/2000, sbr. 8. gr. laga nr. 44/2014.
10. Samtenging persónuupplýsinga úr mismunandi rannsóknum
Óheimilt er að tengja persónuupplýsingar, sem aflað hefur verið í þágu rannsóknar á tilteknum sjúkdómi, þ.m.t. um lífsýna- og erfðaefnismælingar, saman við persónuupplýsingar sem unnið hefur verið með við rannsókn á öðrum sjúkdómi, nema til þess standi áskildar heimildir lögum samkvæmt. Við samkeyrslur, sem fram fara í umræddu skyni, skal beitt því dulkóðunarkerfi sem lýst er í grein 7.2 hér að framan.
11. Meðhöndlun beiðna um úrsagnir úr rannsóknum
Ef einstaklingur, sem áður hefur samþykkt að taka þátt í rannsókn, ákveður að afturkalla samþykki sitt skal því komið á framfæri við dulkóðunarstjóra. Dulkóðunarstjóri færir úrsögnina inn í framangreint IPS-kerfi þannig að tryggt verði að allar gagnasendingar til ábyrgðaraðila varðandi viðkomandi einstakling stöðvist. Áður skal lífsýnum úr honum eytt.
12. Varðveisla persónuupplýsinga
Að hverri og einni rannsókn lokinni skal eyða upplýsingum sem aflað hefur verið í þágu hennar nema því aðeins að varðveisla upplýsinganna styðjist við samþykki viðkomandi einstaklinga eða aflað hafi verið annars konar varðveisluheimildar í samræmi við lög nr. 44/2014 eða, eftir atvikum, önnur lög. Upplýsingum um einstaklinga, sem fyrir liggur að ekki samþykkja þátttöku í rannsókn, sbr. grein 5.5 hér að framan, skal eytt án ástæðulauss dráttar þegar það hefur komið fram, þ.e. með því að þátttöku hafi verið synjað eða að þátttökuboði hafi ekki verið svarað og búið sé að fullnýta þann ramma sem reglur samkvæmt 3. mgr. 18. gr. laga nr. 44/2014 markar tilraunum til öflunar samþykkis.
1. Ábyrgðaraðili ber ábyrgð á því að farið sé með öll persónuauðkennd gögn sem sjúkragögn í samræmi við lög, reglur og ákvæði fyrirmæla þessara.
2. Persónuvernd getur tilnefnt aðila til að hafa eftirlit með eða gera úttekt á því hvort ábyrgðaraðili fullnægi skilyrðum laga nr. 77/2000 og reglna, sem settar eru samkvæmt þeim, eða einstökum fyrirmælum. Getur Persónuvernd ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem af því hlýst, sbr. 4. mgr. 37. gr. laga nr. 77/2000. Persónuvernd skal þá gæta þess að slíkur eftirlits-/úttektaraðili undirriti yfirlýsingu um að gæta þagmælsku um persónuupplýsingar og eftir atvikum um viðskiptaleyndarmál sem hann fær vitneskju um í starfsemi sinni. Þagnarskyldan helst að úttekt lokinni og þótt látið sé af starfi.
3. Auk þeirra öryggisráðstafana, sem skylt er að viðhafa samkvæmt fyrirmælum þessum, ber ábyrgðaraðili ábyrgð á því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar gegn óleyfilegri miðlun eða aðgangi og gegn allri annarri ólögmætri vinnslu.
4. Í samræmi við ákvæði 38. gr. laga nr. 77/2000 ber ábyrgðaraðila og öllum þeim sem koma að vinnslu persónuupplýsinga á hans vegum að veita Persónuvernd, starfsmönnum og fulltrúum hennar án tafar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað ráðstöfunum af hálfu Persónuverndar samkvæmt 40. og 41. gr. laga nr. 77/2000.
7.1. Meðferð frumskráa
Við framkvæmd rannsókna skal þess vandlega gætt að vinna aldrei með persónumerkt gögn nema þegar það er óhjákvæmilegt. Við alla aðra vinnu skal unnið með gögn sem eru auðkennd með dulkóðuðum kennitölum. Sérstakur starfsmaður, er nefnist dulkóðunarstjóri, annast þá dulkóðun.
Að því marki sem nauðsynlegt er við sendingu þátttökuboða má dulkóðunarstjóri taka á móti og varðveita skrár yfir nöfn sjúklinga, nöfn meðferðarlækna og sjúkdómaflokka/ICD-kóða, sem og önnur sambærileg atriði samkvæmt afmörkuðum spurningum til skrárhaldara. Slíkar skrár, sem í fyrirmælum þessum eru nefndar frumskrár, skal senda með öruggum hætti frá skrárhaldara, t.d. með dulkóðuðum tölvupósti. Einnig má fela ábyrgðarlæknum að annast flutning upplýsinganna, en þá skal skrárhaldari áður hafa sett þau í umslög sem hefur verið lokað með „innsiglum“ sem einungis dulkóðunarstjóri má brjóta.
Frumskrár skulu ætíð varðveittar á öruggum stað, óaðgengilegar öðrum en dulkóðunarstjóra. Varðveita má þær á læstum möppum í tölvu eða dulkóðaðar. Hvenær sem því verður við komið skulu skrárnar varðveitast án beinna persónuauðkenna.
Frumskrár mega einungis vera til í tveimur eintökum, þ.e. eitt vinnslueintak og eitt öryggisafrit. Öryggisafrit skal varðveitt á öruggum stað aðskilið frá vinnslueintökum og vera óaðgengilegt öðrum en dulkóðunarstjóra.
7.2. Hlutverk dulkóðunarstjóra
Ábyrgðaraðili skal tilnefna sérstakan dulkóðunarstjóra. Áskilið er að hann geti unnið sjálfstætt. Dulkóðunarstjóri skal annast sendingu persónupplýsinga til ábyrgðaraðila og skal hann undirrita sérstakt trúnaðarheit. Óheimilt er að senda rannsóknarstofum ábyrgðaraðila sýni eða önnur gögn nema nöfn og önnur bein, persónugreinandi auðkenni hafi áður verið afmáð og kennitölur dulkóðaðar.
Dulkóðunarstjóri skal senda gögn til ábyrgðaraðila um sjálfvirkt dulkóðunar- og gagnaflutningskerfi (IPS) sem breytir kennitölum í p-númer. Uppsetning og rekstur þess er háður sérstöku samþykki Persónuverndar að undangenginni tæknilegri úttekt sérfræðings á hennar vegum, enda hafi slík úttekt ekki farið fram. Uppfylla skal ýtrustu kröfur um aðgang að kerfinu, skráningu aðgerða, öryggi í samskiptum og stjórnskipulegt öryggi. Endurræsing kerfisins er háð íhlutun Persónuverndar eða fulltrúa hennar.
Skal dulmálslykils tryggilega gætt og IPS-þjónninn geymdur í læstum skáp. Skal þurfa tvo lykla til að opna skápinn. Skal annar vera í vörslu dulkóðunarstjóra, hinn í vörslu Persónuverndar. Skulu báðir lyklarnir, sem og varalykill sem varðveittur er á ábyrgð Persónuverndar, hafðir í öruggri vörslu á aðskildum, tryggum stöðum.
Meðferð stýrikerfislykilorðs skal vera þannig háttað að dulkóðunarstjóri varðveiti fyrri hluta lykilorðsins en Persónuvernd seinni hluta þess. Dulkóðunarstjóri varðveitir notandaheiti og lykilorð gagnagrunns. Hann varðveitir einnig „ADMIN“-lykilorð fyrir IPS-þjóninn. Persónuvernd varðveitir PID-lykilorðið og skulu bæði dulkóðunarstjóri og Persónuvernd varðveita afrit af því. Þá varðveitir dulkóðunarstjóri eitt SSL-skírteini og Persónuvernd annað SSL-skírteini. Framangreind lykilorð, afrit af lykilorðum og skírteini skulu öll höfð í öruggri vörslu. Afrit lykilorða skulu varðveitt annars staðar en frumeintök.
Í samningi ábyrgðaraðila við vinnsluaðila skal m.a. koma fram að dulkóðunarstjóri beri ábyrgð á því að gögn verði ekki send um dulkóðunarkerfið nema heimild Persónuverndar standi til viðkomandi rannsóknar og að gögnin innihaldi ekki bein persónuauðkenni.
7.3. Dulkóðun og meðferð ættfræðigagnagrunns
Að fengnu leyfi vísindasiðanefndar og að því marki sem slíkt samrýmist rannsóknaráætlun og samþykki þátttakenda má samkeyra persónuupplýsingar, sem aflað er í þágu rannsókna, við ættfræðigagnagrunn ábyrgðaraðila (Íslendingabók). Við samkeyrsluna skal beitt því dulkóðunarkerfi sem tilgreint er í grein 7.2 hér að framan. Dulkóða má grunninn jafnóðum og nýjar uppfærslur Íslendingabókar verða til. Dulkóðaður ættfræðigagnagrunnur má ekki vera á sömu tölvu eða á sama tölvuneti og ódulkóðaður. Þá mega sömu einstaklingar ekki hafa aðgang bæði að dulkóðuðum og ódulkóðuðum grunni. Óheimilt er að tengja þessa grunna saman á nokkurn hátt. Til að draga úr möguleikum á að brjóta nafnleyndina með samanburði dulkóðaðra ættartrjáa og annarra gagna skal fella einstaklinga í hópa þannig að fæðingar- og dánarár séu rúnnuð af eða felld að næsta heila eða hálfa tug. Afmarkaðar, tímabundnar vinnsluaðgerðir, þar sem notast er við nákvæmari aldursupplýsingar, eru þó heimilar séu þær nauðsynlegar til að ná settum rannsóknarmarkmiðum samkvæmt rannsóknaráætlun og samrýmist leyfisveitingum vísindasiðanefndar. Skulu þá gerðar viðeigandi ráðstafanir til að ekki verði unnt að rekja rannsóknargögn til tiltekinna einstaklinga út frá samhengi upplýsinga. Sem dæmi um slíkar ráðstafanir má nefna takmörkun á því hvaða breytur unnið er með í umræddum vinnsluaðgerðum og því hverjir tilheyra þeim hópi sem nákvæmari aldursupplýsingar eru tengdar við hverju sinni. Skal Persónuvernd send lýsing á þessum ráðstöfunum eigi síðar en 1. desember nk. Getur hún hvenær sem er kallað eftir yfirliti yfir tilvik þar sem notast hefur verið við nákvæmari aldursupplýsingar og gert úttekt á umræddum ráðstöfunum.
Heimil er notkun Íslendingabókar við öflun þátttakenda á grundvelli greinar 5.2 hér að framan. Í því felst að dulkóðunarstjóri breytir kennitölum á þátttakendalistum í p-númer í samræmi við grein 7.2 og sendir listana ábyrgðaraðila. Hjá ábyrgðaraðila eru dulkóðaðir þátttakendalistar því næst samkeyrðir við dulkóðaða Íslendingabók. Við samkeyrsluna verða til ættartré með p-númerum þeirra sem valdir hafa verið til þátttöku. Listar yfir númerin eru sendir til dulkóðunarstjóra sem afkóðar þau. Í framhaldi af því má senda út þátttökuboð í samræmi við þær aðferðir sem mælt er fyrir um í reglum á grundvelli 3. mgr. 18. gr. laga nr. 44/2014 og leyfi vísindasiðanefndar, sbr. og grein 7.4. Niðurstöðum samkeyrslna skal eytt í samræmi við 12. gr. hér á eftir nema viðkomandi einstaklingur samþykki þátttöku í rannsókn.
Heimilt er að samkeyra upplýsingar um einstaklinga í úrtaki gagnarannsókna við Íslendingabók, sbr. VI. kafla laga nr. 44/2014, að því gefnu að vísindasiðanefnd hafi leyft samkeyrslurnar og þær samrýmist rannsóknaráætlun. Fylgt skal sömu aðferðum við dulkóðun og að framan greinir, sbr. og grein 7.2 hér að framan.
7.4. Vinnuferli við öflun lífsýna og heilsufarsupplýsinga
Þegar dulkóðaður listi berst frá ábyrgðaraðila samkvæmt grein 7.3 hér að framan skal dulkóðunarstjóri afkóða hann og vinna síðan þau gögn sem meðferðarlæknum, eða eftir atvikum heilbrigðisstarfsmönnum, sem starfa á þeirra ábyrgð, eru nauðsynleg til að rækja það hlutverk sitt að kynna viðkomandi rannsókn þeim sem beðnir verða um að taka þátt í henni, sbr. nánar 4. og 5. gr. Þá hefst öflun lífsýna og heilsufarsupplýsinga frá þátttakendum. Skal þess gætt að starfsmenn ábyrgðaraðila komi hvergi að þeim liðum í þessari upplýsingaöflun þar sem þekkja má einstaka þátttakendur, sbr. og 2. gr. hér að framan. Öflun upplýsinga skal haga sem hér segir:
a. Heilsufarsupplýsingar um einstaklinga í rannsóknarúrtaki skal skrá á þar til gerð eyðublöð, sem eru á pappír eða á tölvutæku formi, og má einungis afhenda ábyrgðaraðila upplýsingarnar á slíkum eyðublöðum. Séu þær skráðar á pappír má ekki auðkenna þær með kennitölum heldur einungis með s-númerum (sbr. b-lið). Séu þær tölvuskráðar má þó merkja þær með kennitölum, enda verði þær aldrei afhentar öðrum en ábyrgðaraðila og þá dulkóðaðar (gegnum IPS-kerfið, sbr. d-lið).
b. Lífsýni skal merkja með límmiðum sem prentaðir eru hjá ábyrgðaraðila. Á hverjum límmiða skal vera strikamerki (s-númer) sem valið er af handahófi. Númer strikamerkisins má ekki fela í sér neinar upplýsingar um viðkomandi einstakling.
c. Dulkóðunarstjóri vinnur tengiskrá. Þar kemur einungis fram kennitala einstaklings í rannsóknarúrtaki, auðkenni rannsóknar og s-númer. Rafræn færsla tengiskrár er heimil, en skrána má ekki tengja við neinar aðrar upplýsingar eða veita öðrum aðgang að henni.
d. Dulkóðunarstjóri sendir tengiskrána til ábyrgðaraðila gegnum framangreint IPS-kerfi, en við það breytast kennitölur í p-númer. Ábyrgðaraðili endurmerkir öll gögn þegar þau berast honum, þ.e. tengiskrána, upplýsingar af eyðublöðum og lífsýni, og fá þau þá m-númer í stað s-númera. Við það verður tengiskráin að tengitöflu ábyrgðaraðila milli p-númera og m-númera. Skal ábyrgðaraðili eyða skráðum s-númerum innan 30 daga frá því að gögnin berast honum.
Við öflun upplýsinga um einstaklinga í úrtaki gagnarannsókna, sbr. VI. kafla laga nr. 44/2014, skal fylgt sama verklagi og greinir í a–d-lið hér að framan.
7.5. Afkóðun
Ef ráð er fyrir því gert í samþykki hins skráða er heimilt að afla viðbótarsýnis, enda sé slíkt nauðsynlegt í þágu rannsóknar, s.s. þar sem sýni hafi eyðst eða glatast fyrir mistök. Er beiðni um nýtt sýni þá send dulkóðunarstjóra eða viðkomandi ábyrgðarlækni um framangreint IPS-kerfi, en við það afkóðast p-númer í kennitölu.
8. Málsmeðferð við aðgang að lífsýnum látinna sjúklinga
Leita má eftir lífsýnum úr látnum einstaklingum frá lífsýnasöfnum í þágu rannsókna á vegum ábyrgðaraðila, enda fáist til þess heimild vísindasiðanefndar. Afhending sýna úr lífsýnasöfnum er háð reglum viðkomandi lífsýnasafns. Einvörðungu er heimilt að fá lífsýni úr látnum einstaklingum frá lífsýnasöfnum sem hafa starfsleyfi samkvæmt lögum nr. 110/2000. Þá má eingöngu afhenda lífsýni úr lífsýnisgjöfum sem ekki hafa afturkallað ætlað samþykki sitt fyrir að sýni verði vistað í lífsýnasafni til notkunar samkvæmt 9. gr. laga nr. 110/2000 og tilkynnt landlækni það í samræmi við ákvæði 7. gr. þeirra laga. Sömu reglur og greinir í 7. gr. þessa leyfis gilda, eftir því sem við á, um sýni sem koma frá lífsýnasöfnum, nema annars sé sérstaklega getið.
9. Flutningur persónuupplýsinga úr landi
Séu persónuupplýsingar, sem aflað hefur verið í þágu rannsókna, fluttar úr landi, þ. á m. lífsýni, skal þess gætt að þær séu ekki merktar með persónuauðkennum. Það hvort afla þurfi samþykkis hinna skráðu fyrir slíkum flutningi fer samkvæmt skilmálum í leyfum vísindasiðanefndar. Flutningur upplýsinga til lands, sem ekki telst veita fullnægjandi persónuupplýsingavernd, verður ávallt að byggjast á samþykki viðkomandi einstaklinga, lagaheimild eða leyfi Persónuverndar, sbr. 1. og 3. tölul. 1. mgr. og 2. mgr. 30. gr. laga nr. 77/2000, sbr. 8. gr. laga nr. 44/2014.
10. Samtenging persónuupplýsinga úr mismunandi rannsóknum
Óheimilt er að tengja persónuupplýsingar, sem aflað hefur verið í þágu rannsóknar á tilteknum sjúkdómi, þ.m.t. um lífsýna- og erfðaefnismælingar, saman við persónuupplýsingar sem unnið hefur verið með við rannsókn á öðrum sjúkdómi, nema til þess standi áskildar heimildir lögum samkvæmt. Við samkeyrslur, sem fram fara í umræddu skyni, skal beitt því dulkóðunarkerfi sem lýst er í grein 7.2 hér að framan.
11. Meðhöndlun beiðna um úrsagnir úr rannsóknum
Ef einstaklingur, sem áður hefur samþykkt að taka þátt í rannsókn, ákveður að afturkalla samþykki sitt skal því komið á framfæri við dulkóðunarstjóra. Dulkóðunarstjóri færir úrsögnina inn í framangreint IPS-kerfi þannig að tryggt verði að allar gagnasendingar til ábyrgðaraðila varðandi viðkomandi einstakling stöðvist. Áður skal lífsýnum úr honum eytt.
12. Varðveisla persónuupplýsinga
Að hverri og einni rannsókn lokinni skal eyða upplýsingum sem aflað hefur verið í þágu hennar nema því aðeins að varðveisla upplýsinganna styðjist við samþykki viðkomandi einstaklinga eða aflað hafi verið annars konar varðveisluheimildar í samræmi við lög nr. 44/2014 eða, eftir atvikum, önnur lög. Upplýsingum um einstaklinga, sem fyrir liggur að ekki samþykkja þátttöku í rannsókn, sbr. grein 5.5 hér að framan, skal eytt án ástæðulauss dráttar þegar það hefur komið fram, þ.e. með því að þátttöku hafi verið synjað eða að þátttökuboði hafi ekki verið svarað og búið sé að fullnýta þann ramma sem reglur samkvæmt 3. mgr. 18. gr. laga nr. 44/2014 markar tilraunum til öflunar samþykkis.
[III]. kafli
Almenn skilyrði
Almenn skilyrði
1. Ábyrgðaraðili ber ábyrgð á því að farið sé með öll persónuauðkennd gögn sem sjúkragögn í samræmi við lög, reglur og ákvæði fyrirmæla þessara.
2. Persónuvernd getur tilnefnt aðila til að hafa eftirlit með eða gera úttekt á því hvort ábyrgðaraðili fullnægi skilyrðum laga nr. 77/2000 og reglna, sem settar eru samkvæmt þeim, eða einstökum fyrirmælum. Getur Persónuvernd ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem af því hlýst, sbr. 4. mgr. 37. gr. laga nr. 77/2000. Persónuvernd skal þá gæta þess að slíkur eftirlits-/úttektaraðili undirriti yfirlýsingu um að gæta þagmælsku um persónuupplýsingar og eftir atvikum um viðskiptaleyndarmál sem hann fær vitneskju um í starfsemi sinni. Þagnarskyldan helst að úttekt lokinni og þótt látið sé af starfi.
3. Auk þeirra öryggisráðstafana, sem skylt er að viðhafa samkvæmt fyrirmælum þessum, ber ábyrgðaraðili ábyrgð á því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar gegn óleyfilegri miðlun eða aðgangi og gegn allri annarri ólögmætri vinnslu.
4. Í samræmi við ákvæði 38. gr. laga nr. 77/2000 ber ábyrgðaraðila og öllum þeim sem koma að vinnslu persónuupplýsinga á hans vegum að veita Persónuvernd, starfsmönnum og fulltrúum hennar án tafar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað ráðstöfunum af hálfu Persónuverndar samkvæmt 40. og 41. gr. laga nr. 77/2000.