8. Overføring av personopplysninger og helseforskningsdata til prosjekt utenfor egen virksomhet

HVL skal sikre rettmessig overføring av personopplysninger og helseforskningsdata fra prosjekter der HVL er/har vært behandlingsansvarlig, til bruk i prosjekt der en annen institusjon er behandlingsansvarlig.

  • HVL ved prosjektleder kan overføre personopplysninger og helseforskningsdata til ekstern virksomhet dersom det foreligger lovlig grunnlag.
  • Søknad om overføring av personopplysninger og helseforskningsdata person- og helseopplysninger skal rettes skriftlig til HVL ved prorektor for forskning, som fatter vedtak om overføring.
    • Bekreftelse på gyldig behandlingsgrunnlag, en spesifikasjon av hvilke personopplysninger som søkes utlevert og hvordan disse skal oppbevares skal legges ved.
    • HVL vurderer om opprinnelig informasjonsskriv og samtykkeerklæring rommer overføringen.
    • Spørsmål om overføring av registerdata som HVL har mottatt fra en ekstern virksomhet, skal rettes til det opprinnelige registeret.
    • Overføringen skal være avtalefestet i en samarbeidsavtale mellom institusjonene.
  • Prosjektleder sammenstiller personopplysningene og helseforskningdataene før overføring, evt. kan dette gjøres av databehandler etter avtale.
    • Personer som ikke er underlagt HVL sin instruksjonsmyndighet kan ikke gis tilgang til HVL sin forskningsserver for selv å hente ut opplysningene.
  • Ved overføring må prosjektleder påse at:
    • Dersom opplysningene skal overføres avidentifisert skal det opprinnelige koblingsnummeret erstattes med et nytt. De utleverte koblingsnumrene oppbevares sammen med koblingsnøkkelen.
    • Overføring av avidentifiserte data via minnepenn eller CD/DVD sendes rekommandert i to forsendelser med koblingsnøkkel og data hver for seg, fortrinnsvis kryptert.
    • Løsninger for utleveringer via skytjenester skal være risikovurdert og tilfredsstiller HVL sine krav til akseptabelt risikonivå, jf. skytjenester tilbudt av HVL.
    • Ved utlevering til land utenfor EØS (tredjestater eller internasjonale organisasjoner) skal dette skje i henhold til Artiklene 44-50 i personvernforordningen, og utlevering skal dokumenteres. Prosjektleder skal ha dialog med personvernombudet eller forskningsadministrasjonen for å sikre lovlig utlevering.
  • Dersom uautorisert utlevering av personopplysninger har skjedd skal prosjektleder omgående informere behandlingsansvarlig som må varsle Datatilsynet, se 9.b Håndtering av avvik og brudd på personopplysningssikkerheten.