Forslag til forskrift om en nasjonal løsning for tilgjengeliggjøring av helsedata
Her følger en oversikt over spørsmål og uklarheter som bør adresseres, og synspunkter fra Universitetet i Agders perspektiv.
Høringssvaret er forfattet av seniorrådgiver Johanne Warberg Lavold, som har en koordinerende rolle og fagansvar for personvern og etisk godkjenning i forskning, samt forskningsdatahåndtering ved UiA. Innspill og kommentarer er innhentet fra juridiske rådgivere og Senter for e-helse.
Det er ønskelig fra UiAs som forskningsinstitusjon at kostnader og ressursbruk ved å få tilgang til data gjennom helseanalyseplattformen, er på et nivå som gjør at det naturlig vil være en foretrukket kilde, framfor selvstendig datainnsamling med innhenting av særlige kategorier av data. Det må også være en pris på å benytte analyserom som gir insentiver til å ikke flytte data ut av løsningen.
Når det gjelder økonomi og tilgjengelighet har UiA følgende spørsmål:
· Planlegges det noen lokal tilgangsstyring per institusjon, eller håndterer Helsedataservice hele prosessen?
· Er det kostnader per person som har tilgang, eller ut fra hvor mye data som skal benyttes? Eller andre faktorer?
· Faktureres enkeltforskere eller institusjonen?
· Dataansvarlig kan be om betaling for tilrettelegging av statistikk. Gjelder det også mellom registerforvaltere som leverer data inn i Helseanalyseplattformen, og Helsedataservice?
· Det skisseres i punkt 10.11. at oversikt over tilgjengeliggjøring ivaretas av Helsedataservice, men vår institusjon vil også ha behov for tilgang til en protokoll over de prosjektene vi har databehandlingsansvar for. Vil slik tilgang gis?
Institusjonen vil ha et behov for kostnadskontroll og oversikt til internkontroll. Dette innebærer at tilgang kan måtte begrenses og gis basert på intern søknad, eller basert på driftsmidler i enkeltprosjekter. Dette igjen kan gjøre studenters nytte av plattformen veldig begrenset. Det bør derfor utredes en mulighet for at relativt enkle uttrekk og sammenstillinger til masterprosjekter som dekkes av en abonnementstjeneste for institusjonen, noe likt Microdata. Betalingsmodellen som eksisterer for TSD (fast beløp per prosjekt per år, uavhengig av om det er 5 intervjuer eller stordata på mange TB og behov for superdatamaskiner), oppleves i dag til hinder for at studenter får benytte helsedata i sine prosjekter, og det er essensielt at Helseanalyseplattformen ikke organiseres med et tilsvarende hinder. Det ville også stride mot formålet med lovendringen.
Tilgang til anonyme data:
Muligheten til å gjøre uttrekk av fullstendig anonyme data må være i hovedfokus, da det vil være svært nyttig tiltak for å ivareta personvern både med hensyn til stordata-prosjekter, og studentprosjekter. Lavere kostnader for anonyme data, kan være nyttig for å gi insentiver til dataminimering, samtidig er det ønskelig å oppfordre studenter til å benytte anonyme data fra tilgjengelige kilder.
Lagringsområde for personsensitive data må tydeliggjøres – kan alle ønskede og nødvendige analyser foretas i plattformen, med tilstrekkelig kapasitet, eller forutsetter det i noen tilfeller overføring til TSD eller andre cluster/superdatamaskiner? For at plattformens egne lagringsløsninger skal være hensiktsmessige, må det ha tilsvarende kapasitet som TSD tilbyr. Vi gjør oppmerksom på at en identifisert utfordring med TSD, er å sikre at tilgang opphører når ansatte/studenter slutter. Siden også informasjonssikkerhet hos mottakeren omtales, forstås det som at særlige kategorier og alminnelige kategorier av data også kan utleveres utenfor plattformens egne løsninger, gitt en tilstrekkelig beskrivelse av sikkerhet hos mottakeren. For UiA er det her viktig at TSD gis en godkjenning som tilstrekkelig sikkerhet, og at det etableres sluser mellom løsningene. For alminnelige kategorier av personopplysninger, benytter vi andre løsninger, og vil ha behov for smidige overføringsmuligheter.
Videre må løsningen finne en egnet måte å håndheve kravet fra REK om at helsedata må lagres i 5 år etter prosjektslutt for etterrettelighet. Denne lagringen kan ikke alltid ivaretas av forsker selv, som kan være en midlertidig stipendiat, og det må derfor være et institusjonsansvar.
Unntak fra taushetsplikt og likebehandling:
Det er behov for en tydelig avklaring for hvordan institusjoner med sekundærbruk av data skal sikre og dokumentere taushetsplikt. Det ideelle bør være at det er et elektronisk skjema som rutinemessig må signeres før man får tilgang til dataene, og ikke en oppgave institusjonen selv må følge opp for enkeltpersoner, slik SSBs Microdata organiserer det.
Det er positivt at det tas sikte på å kunne få unntak fra taushetsplikt godkjent fra Helsedataservice. Det må også fremkomme tydelig hvilke unntak fra taushetsplikt som skal søkes Helsedataservice, og hvilke som eventuelt fortsatt skal søkes til REK. Det er viktig å tenke på brukernes opplevelse, f.eks. bør man ved å søke REK og søke Helsedataservice om unntak fra taushetsplikten, oppleve samme grensesnitt, og følge samme retningslinjer, men at REK og Helsedataservice sorterer henvendelsene etter en hensiktsmessig måte på baksiden, og at likebehandling er mulig etter gitte mandater.
Det beskrives at en REK-godkjenning vil være en dokumentasjon på at et prosjekt er ubetenkelig og kan gjennomføres trygt. En utfordring er at mange prosjekter som kan ønske å benytte data fra helseanalyseplattformen, ikke vil være fremleggingspliktig for REK. REK vurderer en god del prosjekter som benytter helsedata til å ikke være fremleggingspliktig (for eksempel helsetjenesteforskning og kvalitetssikring), og man vil da ikke ha dokumentasjon på denne ubetenkeligheten. Vi oppfordrer derfor til at eksterne etiske vurderinger ikke skal tillegges avgjørende vekt før utlevering, da det ikke finnes et system for å ivareta at alle prosjekter får tilgang til denne vurderingen. Alternativt bør det iverksettes tiltak for å gi mulighet til ekstern etisk vurdering i alle prosjekter som etterspør dette, også prosjekter som ikke omfattes av Helseforskningsloven. For de tilfeller der et forskningsprosjekt faller utenfor REKs mandat etter helseforskningsloven, kan det være hensiktsmessig at man kan forholde seg til de samme standarder og strukturer som følger ved REK behandling og godkjenning.
Det er svært positivt at det foreslås å håndtere REK-søknad gjennom en felles postkasse hos Helsedataservice. Her bør en også tenke samkjøring med NSD, som også bidrar inn med godkjenning i de samme prosjektene for mange institusjoner.
Tilgjengeliggjøring av data UiA har samlet inn:
Vi kunne ønsket mer informasjon om hvordan vi evt. skal avdekke og planlegge riktig om det ved vår institusjon skal gjennomføres befolkningsundersøkelser av et omfang som bør tilgjengeliggjøres i helseanalyseplattformen.
Per i dag eksisterer ulike løsninger for tilgjengeliggjøring av innsamlede data til forskning gjennom Dataverse og NSD Arkiv. Avklaringer mellom hvilke løsninger som skal benyttes til hvilke data er viktig. Per i dag skal Dataverse kun inneholde åpne data helt uten personopplysninger, mens NSD Arkiv også tillater noe identifiserende data, under forutsetning av samtykke. Hvis vi skal forstå det slik at Helseanalyseplattformen blir løsningen som gjør det mulig å arkivere og tilgjengeliggjøre personidentifiserende datasett for forskning, må vi også ta høyde for koblinger og sammenstillinger mellom løsningene.
Databehandleravtaler:
Ordningen med en databehandleravtale reiser flere spørsmål:
· Må hvert enkelt forskningsprosjekt som skal basere seg på helsedata fra plattformen inngå en separat avtale med helseanalyseplattformen, eller kan UiA inngå en overordnet avtale for sine forskere og evt. studenter? Prosjektene vil jo ha ulike formål, varighet og ulike data med ulikt sikkerhetsbehov.
· Kan aktuelle avtaler standardiseres og digitaliseres i løsningen, uavhengig av om det inngås på prosjektnivå eller institusjonsnivå?
Ideelt sett bør det også være mulig med mal for DPIA og kobling til NSD meldeskjema i de tilfellene det er aktuelt.
Praktiseringen av samtykke som rettslig grunnlag reiser flere spørsmål:
· Dersom samtykke skal benyttes som rettslig grunnlag, må det da gis nye samtykker til hver separate bruk av dataene?
· Er data med alminnelige personopplysninger som hovedregel tilgjengeliggjort med et generelt samtykke, mens særlige kategorier av data krever nye samtykker per prosjekt?
· Hvordan kontakter man personene, må forsker selv sende ut infoskriv og samtykkeskjema til hver enkelt, eller planlegges det en digital løsning for dette, som ikke gjør det nødvendig for forsker å forholde seg til alle navn og adresser?
· Hvordan forholder Helseanalyseplattformen seg til den ikke-digitale delen av befolkningen, som ikke har tilgang til helsenorge.no eller bank-id?
· Hvordan forholder Helseanalyseplattformen seg til personer uten samtykkekompetanse? Vil helseopplysninger fra disse gruppene kunne være tilgjengelige etter særskilt tillatelse, uten dokumentert informert samtykke?
· Dersom det i enkelte prosjekter kan benyttes andre behandlingsgrunnlag enn samtykke, er det noe som i dag vurderes av NSD. Vil det kreve en ytterligere godkjenning hos helsedataservice, eller er andre behandlingsgrunnlag uaktuelt?
Oversikt over tilgjengeliggjøring:
Slik vi forstår kravet om oversikt over tilgjengeliggjøring så ligger det inne som en oversikt over tilganger i systemet. Institusjonen har også et behov for å holde oversikt over hvilke tilganger som gis, for å sikre riktig on- og offboarding av ansatte. Det bør fremgå tydelig hvilke oppgaver som evt. må ivaretas hos mottakerens institusjon.
Informasjonssikkerhet:
Det gjentas at mottaker må beskrive informasjonssikkerhet i mange sammenhenger. Er det vurdert tilstrekkelig at institusjonen tilgjengeliggjør en beskrivelse av overordnet kvalitetssystem for informasjonssikkerhet, som kan vedlegges i alle slike etterspørsler? De ulike forskerne som mottar data, vil i begrenset grad være i stand til å gi gode tekniske beskrivelser, slik at standardisering bør være foretrukket. Organisatorisk informasjonssikkerhet ser vi kan være hensiktsmessig at håndteres for hvert enkelt prosjekt, da det avhenger av involvering av studenter, eksterne samarbeidsparter i og evt. utenfor EU.
Sammenstilling med andre registre:
«Departementet fremmer ikke konkret forslag i dette høringsnotatet, men ber om
høringsinstansenes vurdering av om direktoratet bør få myndighet eller en
koordinerende rolle til å fatte vedtak om tilgjengeliggjøring av opplysninger som ikke
omfattes av løsningen, når opplysningene skal sammenstilles med opplysninger i
dataprodukter som er overført til plattformen.»
Ut fra en brukersentrert tilnærming, at de som skal forske skal oppleve én vei inn til tilganger, bør dette kunne håndteres av Helsedataservice, men kanskje med behov for at disse igjen skaffer godkjenning fra registerforvalter i de tilfeller der det kan være særlige utfordringer med å gi tilgang.
Andre sekundærformål enn forskning:
«Departementet ber om høringsinstansenes syn på hvilken rolle Helsedataservice bør ha
når det gjelder bruk av helsedata fra helseregistre til andre formål enn forskning. Dette
gjelder både registerforvalternes bruk av egne data og tilgjengeliggjøring for andre
brukere utenfor registerforvalterens virksomhet. Dersom registerforvaltere skal kunne
bruke og tilgjengeliggjøre data til slike formål uten å søke om dette fra
Helsedataservice, ber vi også om høringsinstansenes syn på om "virksomhetens
oppgaver i henhold til lov, forskrift eller instruks" er en dekkende avgrensning for de
ulike typene helseregistre.»
Som forskningsinstitusjon har vi ingen sterke synspunkter på annen sekundærbruk av data. Kvalitetssikring, kvalitetsutvikling og undervisning kan være relevant.
Her følger en oversikt over spørsmål og uklarheter som bør adresseres, og synspunkter fra Universitetet i Agders perspektiv.
Høringssvaret er forfattet av seniorrådgiver Johanne Warberg Lavold, som har en koordinerende rolle og fagansvar for personvern og etisk godkjenning i forskning, samt forskningsdatahåndtering ved UiA. Innspill og kommentarer er innhentet fra juridiske rådgivere og Senter for e-helse.
Det er ønskelig fra UiAs som forskningsinstitusjon at kostnader og ressursbruk ved å få tilgang til data gjennom helseanalyseplattformen, er på et nivå som gjør at det naturlig vil være en foretrukket kilde, framfor selvstendig datainnsamling med innhenting av særlige kategorier av data. Det må også være en pris på å benytte analyserom som gir insentiver til å ikke flytte data ut av løsningen.
Når det gjelder økonomi og tilgjengelighet har UiA følgende spørsmål:
· Planlegges det noen lokal tilgangsstyring per institusjon, eller håndterer Helsedataservice hele prosessen?
· Er det kostnader per person som har tilgang, eller ut fra hvor mye data som skal benyttes? Eller andre faktorer?
· Faktureres enkeltforskere eller institusjonen?
· Dataansvarlig kan be om betaling for tilrettelegging av statistikk. Gjelder det også mellom registerforvaltere som leverer data inn i Helseanalyseplattformen, og Helsedataservice?
· Det skisseres i punkt 10.11. at oversikt over tilgjengeliggjøring ivaretas av Helsedataservice, men vår institusjon vil også ha behov for tilgang til en protokoll over de prosjektene vi har databehandlingsansvar for. Vil slik tilgang gis?
Institusjonen vil ha et behov for kostnadskontroll og oversikt til internkontroll. Dette innebærer at tilgang kan måtte begrenses og gis basert på intern søknad, eller basert på driftsmidler i enkeltprosjekter. Dette igjen kan gjøre studenters nytte av plattformen veldig begrenset. Det bør derfor utredes en mulighet for at relativt enkle uttrekk og sammenstillinger til masterprosjekter som dekkes av en abonnementstjeneste for institusjonen, noe likt Microdata. Betalingsmodellen som eksisterer for TSD (fast beløp per prosjekt per år, uavhengig av om det er 5 intervjuer eller stordata på mange TB og behov for superdatamaskiner), oppleves i dag til hinder for at studenter får benytte helsedata i sine prosjekter, og det er essensielt at Helseanalyseplattformen ikke organiseres med et tilsvarende hinder. Det ville også stride mot formålet med lovendringen.
Tilgang til anonyme data:
Muligheten til å gjøre uttrekk av fullstendig anonyme data må være i hovedfokus, da det vil være svært nyttig tiltak for å ivareta personvern både med hensyn til stordata-prosjekter, og studentprosjekter. Lavere kostnader for anonyme data, kan være nyttig for å gi insentiver til dataminimering, samtidig er det ønskelig å oppfordre studenter til å benytte anonyme data fra tilgjengelige kilder.
Lagringsområde for personsensitive data må tydeliggjøres – kan alle ønskede og nødvendige analyser foretas i plattformen, med tilstrekkelig kapasitet, eller forutsetter det i noen tilfeller overføring til TSD eller andre cluster/superdatamaskiner? For at plattformens egne lagringsløsninger skal være hensiktsmessige, må det ha tilsvarende kapasitet som TSD tilbyr. Vi gjør oppmerksom på at en identifisert utfordring med TSD, er å sikre at tilgang opphører når ansatte/studenter slutter. Siden også informasjonssikkerhet hos mottakeren omtales, forstås det som at særlige kategorier og alminnelige kategorier av data også kan utleveres utenfor plattformens egne løsninger, gitt en tilstrekkelig beskrivelse av sikkerhet hos mottakeren. For UiA er det her viktig at TSD gis en godkjenning som tilstrekkelig sikkerhet, og at det etableres sluser mellom løsningene. For alminnelige kategorier av personopplysninger, benytter vi andre løsninger, og vil ha behov for smidige overføringsmuligheter.
Videre må løsningen finne en egnet måte å håndheve kravet fra REK om at helsedata må lagres i 5 år etter prosjektslutt for etterrettelighet. Denne lagringen kan ikke alltid ivaretas av forsker selv, som kan være en midlertidig stipendiat, og det må derfor være et institusjonsansvar.
Unntak fra taushetsplikt og likebehandling:
Det er behov for en tydelig avklaring for hvordan institusjoner med sekundærbruk av data skal sikre og dokumentere taushetsplikt. Det ideelle bør være at det er et elektronisk skjema som rutinemessig må signeres før man får tilgang til dataene, og ikke en oppgave institusjonen selv må følge opp for enkeltpersoner, slik SSBs Microdata organiserer det.
Det er positivt at det tas sikte på å kunne få unntak fra taushetsplikt godkjent fra Helsedataservice. Det må også fremkomme tydelig hvilke unntak fra taushetsplikt som skal søkes Helsedataservice, og hvilke som eventuelt fortsatt skal søkes til REK. Det er viktig å tenke på brukernes opplevelse, f.eks. bør man ved å søke REK og søke Helsedataservice om unntak fra taushetsplikten, oppleve samme grensesnitt, og følge samme retningslinjer, men at REK og Helsedataservice sorterer henvendelsene etter en hensiktsmessig måte på baksiden, og at likebehandling er mulig etter gitte mandater.
Det beskrives at en REK-godkjenning vil være en dokumentasjon på at et prosjekt er ubetenkelig og kan gjennomføres trygt. En utfordring er at mange prosjekter som kan ønske å benytte data fra helseanalyseplattformen, ikke vil være fremleggingspliktig for REK. REK vurderer en god del prosjekter som benytter helsedata til å ikke være fremleggingspliktig (for eksempel helsetjenesteforskning og kvalitetssikring), og man vil da ikke ha dokumentasjon på denne ubetenkeligheten. Vi oppfordrer derfor til at eksterne etiske vurderinger ikke skal tillegges avgjørende vekt før utlevering, da det ikke finnes et system for å ivareta at alle prosjekter får tilgang til denne vurderingen. Alternativt bør det iverksettes tiltak for å gi mulighet til ekstern etisk vurdering i alle prosjekter som etterspør dette, også prosjekter som ikke omfattes av Helseforskningsloven. For de tilfeller der et forskningsprosjekt faller utenfor REKs mandat etter helseforskningsloven, kan det være hensiktsmessig at man kan forholde seg til de samme standarder og strukturer som følger ved REK behandling og godkjenning.
Det er svært positivt at det foreslås å håndtere REK-søknad gjennom en felles postkasse hos Helsedataservice. Her bør en også tenke samkjøring med NSD, som også bidrar inn med godkjenning i de samme prosjektene for mange institusjoner.
Tilgjengeliggjøring av data UiA har samlet inn:
Vi kunne ønsket mer informasjon om hvordan vi evt. skal avdekke og planlegge riktig om det ved vår institusjon skal gjennomføres befolkningsundersøkelser av et omfang som bør tilgjengeliggjøres i helseanalyseplattformen.
Per i dag eksisterer ulike løsninger for tilgjengeliggjøring av innsamlede data til forskning gjennom Dataverse og NSD Arkiv. Avklaringer mellom hvilke løsninger som skal benyttes til hvilke data er viktig. Per i dag skal Dataverse kun inneholde åpne data helt uten personopplysninger, mens NSD Arkiv også tillater noe identifiserende data, under forutsetning av samtykke. Hvis vi skal forstå det slik at Helseanalyseplattformen blir løsningen som gjør det mulig å arkivere og tilgjengeliggjøre personidentifiserende datasett for forskning, må vi også ta høyde for koblinger og sammenstillinger mellom løsningene.
Databehandleravtaler:
Ordningen med en databehandleravtale reiser flere spørsmål:
· Må hvert enkelt forskningsprosjekt som skal basere seg på helsedata fra plattformen inngå en separat avtale med helseanalyseplattformen, eller kan UiA inngå en overordnet avtale for sine forskere og evt. studenter? Prosjektene vil jo ha ulike formål, varighet og ulike data med ulikt sikkerhetsbehov.
· Kan aktuelle avtaler standardiseres og digitaliseres i løsningen, uavhengig av om det inngås på prosjektnivå eller institusjonsnivå?
Ideelt sett bør det også være mulig med mal for DPIA og kobling til NSD meldeskjema i de tilfellene det er aktuelt.
Praktiseringen av samtykke som rettslig grunnlag reiser flere spørsmål:
· Dersom samtykke skal benyttes som rettslig grunnlag, må det da gis nye samtykker til hver separate bruk av dataene?
· Er data med alminnelige personopplysninger som hovedregel tilgjengeliggjort med et generelt samtykke, mens særlige kategorier av data krever nye samtykker per prosjekt?
· Hvordan kontakter man personene, må forsker selv sende ut infoskriv og samtykkeskjema til hver enkelt, eller planlegges det en digital løsning for dette, som ikke gjør det nødvendig for forsker å forholde seg til alle navn og adresser?
· Hvordan forholder Helseanalyseplattformen seg til den ikke-digitale delen av befolkningen, som ikke har tilgang til helsenorge.no eller bank-id?
· Hvordan forholder Helseanalyseplattformen seg til personer uten samtykkekompetanse? Vil helseopplysninger fra disse gruppene kunne være tilgjengelige etter særskilt tillatelse, uten dokumentert informert samtykke?
· Dersom det i enkelte prosjekter kan benyttes andre behandlingsgrunnlag enn samtykke, er det noe som i dag vurderes av NSD. Vil det kreve en ytterligere godkjenning hos helsedataservice, eller er andre behandlingsgrunnlag uaktuelt?
Oversikt over tilgjengeliggjøring:
Slik vi forstår kravet om oversikt over tilgjengeliggjøring så ligger det inne som en oversikt over tilganger i systemet. Institusjonen har også et behov for å holde oversikt over hvilke tilganger som gis, for å sikre riktig on- og offboarding av ansatte. Det bør fremgå tydelig hvilke oppgaver som evt. må ivaretas hos mottakerens institusjon.
Informasjonssikkerhet:
Det gjentas at mottaker må beskrive informasjonssikkerhet i mange sammenhenger. Er det vurdert tilstrekkelig at institusjonen tilgjengeliggjør en beskrivelse av overordnet kvalitetssystem for informasjonssikkerhet, som kan vedlegges i alle slike etterspørsler? De ulike forskerne som mottar data, vil i begrenset grad være i stand til å gi gode tekniske beskrivelser, slik at standardisering bør være foretrukket. Organisatorisk informasjonssikkerhet ser vi kan være hensiktsmessig at håndteres for hvert enkelt prosjekt, da det avhenger av involvering av studenter, eksterne samarbeidsparter i og evt. utenfor EU.
Sammenstilling med andre registre:
«Departementet fremmer ikke konkret forslag i dette høringsnotatet, men ber om
høringsinstansenes vurdering av om direktoratet bør få myndighet eller en
koordinerende rolle til å fatte vedtak om tilgjengeliggjøring av opplysninger som ikke
omfattes av løsningen, når opplysningene skal sammenstilles med opplysninger i
dataprodukter som er overført til plattformen.»
Ut fra en brukersentrert tilnærming, at de som skal forske skal oppleve én vei inn til tilganger, bør dette kunne håndteres av Helsedataservice, men kanskje med behov for at disse igjen skaffer godkjenning fra registerforvalter i de tilfeller der det kan være særlige utfordringer med å gi tilgang.
Andre sekundærformål enn forskning:
«Departementet ber om høringsinstansenes syn på hvilken rolle Helsedataservice bør ha
når det gjelder bruk av helsedata fra helseregistre til andre formål enn forskning. Dette
gjelder både registerforvalternes bruk av egne data og tilgjengeliggjøring for andre
brukere utenfor registerforvalterens virksomhet. Dersom registerforvaltere skal kunne
bruke og tilgjengeliggjøre data til slike formål uten å søke om dette fra
Helsedataservice, ber vi også om høringsinstansenes syn på om "virksomhetens
oppgaver i henhold til lov, forskrift eller instruks" er en dekkende avgrensning for de
ulike typene helseregistre.»
Som forskningsinstitusjon har vi ingen sterke synspunkter på annen sekundærbruk av data. Kvalitetssikring, kvalitetsutvikling og undervisning kan være relevant.