Valikkonäyttö
Tutkimuksen tietosuojan vaikutustenarviointilomakkeen täyttöohje
Tutkimuksen tietosuojan vaikutustenarviointilomakkeen täyttöohje
Tutkimuksen tietosuojan vaikutustenarviointilomakkeen täyttöohje
Yleistä
Täytä Tieteellisen tutkimuksen vaikutustenarviointilomake aina, jos tutkimuksessa käsitellään henkilötietoja. Jos tutkimusaineisto anonymisoidaan, eikä sitä voida millään keinoa palauttaa henkilötiedoksi tai jos tutkimuksessa käsitellään ainoastaan kuolleiden henkilöiden henkilötietoja, lomaketta ei tarvitse täyttää.
Huomaa, että pseudonymisoitu aineisto, jossa henkilöt voidaan tunnistaa koodiavaimen tai minkä tahansa muun suoran tai epäsuoran asiayhteyden tai keinon perusteella, katsotaan EU:n yleisessä tietosuoja-asetuksessa henkilötiedoiksi.
Kohta 1.
Kirjaa tähän kohtaan tutkimuksen nimi, tutkimuksen toimeksiantaja Suomessa ja hänen yhteystietonsa. Toimeksiantaja voi olla muu kuin Taysin johtava tutkija, esimerkiksi monikeskustutkimuksissa.
Jos kyseessä on monikeskustutkimus, jossa toimeksiantaja on muusta keskuksesta, kirjaa myös Taysin johtavan tutkijan tiedot. Vanhat nimikkeet TVH (=tutkimuksesta vastaava henkilö) ja päätutkija poistuvat ja niiden tilalle tulee uuden tutkimuslain mukaiset nimikkeet
- TVH= Toimeksiantaja
- Päätutkija = Johtava tutkija
Kohta 2.
Kirjaa tähän kohtaan yhteyshenkilö tietosuojaa ja riskiarviointia koskevissa asioissa (esimerkiksi toimeksiantaja tai johtava tutkija Pirhassa). Kohdassa tulisi ilmoittaa sellaisen henkilön nimi ja yhteystiedot, joka pystyy antamaan lisätietoja tämän nimenomaisen tutkimuksen tietosuojaa koskeviin kysymyksiin.
Kohta 3.
Luettele kaikki Pirhassa henkilötietoja käsittelevät henkilöt. Ilmoita myös esimerkiksi avustava henkilökunta, joka tekee rutiiniluonteista tietojen keräämistä tai tallentamista. Henkilötietoja ovat myös biologiset näytteet, geneettiset näytteet ja geneettiset tiedot. Myös koodatut tai pseudonymisoidut tiedot ovat henkilötietoja.
Kohta 4.
Luettele tässä kohdassa kaikki ne organisaatiot, jotka osallistuvat tutkimukseen. (organisaation nimi, sijaintipaikka ja yhteystiedot). Monikeskustutkimuksissa kaikki keskukset, yksiköt joihin esimerkiksi näytteitä lähetetään analysoitavaksi, sponsori, CRO, monitorointi. Sidosryhmiä ovat kaikki sellaiset tahot, jotka osallistuvat tutkimukseen tai tutkittavien henkilötietojen käsittelyyn toimeksiantajan lukuun. Esimerkiksi Fimlab, kuvantamiskeskus, sairaala-apteekki.
Kohta 5.
Kirjaa tähän ovatko kaikki henkilötietoja käsittelevät tutkimukseen osallistuvat henkilöt perehdytetty salassapitovelvoitteisiin ja tietosuoja- ja tietoturvaohjeisiin.
Kohta 6.
Kirjaa tähän, ovatko kaikki tutkimukseen osallistuvat henkilöt täyttäneet ja allekirjoittaneet tietosuojasitoumuksen. Sähköinen ”Tietojen ja tietojärjestelmien käyttö- ja salassapitositoumus” hyväksytään, kun kirjaudutaan ensimmäisen kerran Pirhan verkkoon.
Ilmoita ovatko tutkimuksessa henkilötietoja Pirhan konsernissa käsittelevät Pirhan ulkopuoliset henkilöt allekirjoittaneet tai tulevat allekirjoittamaan lomakkeet: ”Henkilökuntaan kuulumattoman tutkijan rekisteröinti” tai ”Tutkimuksen monitoroijan henkilörekisteröinti ja lupa potilastietojen tarkistamiseen”.
Kohta 7.
Kuvaa tähän, jos tutkimusaineistosta häivytetään henkilöiden suorat tunnistetiedot koodaamalla, kuka tai mikä taho vastaa koodiavaimista, joiden avulla aineistosta on mahdollista tunnistaa henkilöt ja missä koodiavain säilytetään ja kenellä kaikilla on pääsy siihen. Jos tietoja siirretään, kuvaa tähän myös, pystyykö vastaanottaja muuttamaan pseudonymisoidun tiedon takaisin henkilötiedoksi.
Kohta 8.
Ilmoita tässä kohdassa tutkimukseen osallistuvien tutkittavien lukumäärä.
Kohta 9.
Kuvaa tähän käsitelläänkö yksilön terveystietoja ja geneettisiä tietoja. Kaikki yksilön terveystiedot ja geneettiset tiedot katsotaan tietosuojalainsäädännössä arkaluonteisiksi tai erityisiksi henkilötiedoiksi. Arvioi käytetäänkö erityissuojattuja sairaskertomustekstejä. Arvioi onko tieto rakenteista vai suoraa sairauskertomustekstiä.
Kohta 10.
Ilmoita, miten ja missä sekä sähköinen että paperinen tutkimusaineisto, esimerkiksi suostumuslomake, käytännössä säilytetään. Kirjaa tähän kohtaan käytätkö tutkimusaineiston keruuseen ja säilytykseen sähköistä eCRF-järjestelmää. Ja, jos käytät, niin mitä järjestelmää.
Kirjaa, missä aineistoa analysoidaan tutkimuksen aikana ja kuka analysointia tekee. Miten aineistoa mahdollisesti siirretään eri osapuolten välillä, esimerkiksi näytteitä. Kirjaa myös mitä aineistolle tai näytteille tapahtuu analysoinnin jälkeen, esimerkiksi palautetaanko ylijääneet näytteet tai aineisto, vai hävitetäänkö ne.
Kohta 11.
Ilmoita, onko aineistosta tarkoitus luovuttaa tietoja ja mille taholle. Ilmoita erityisesti, luovutetaanko tietoja EU tai ETA-alueen ulkopuolelle.
Luettele tässä kohdassa kaikki ne organisaatiot (organisaation nimi, sijaintipaikka, yhteystiedot), joihin luovutetaan henkilötietoa (myös pseudonymisoitu henkilötieto, tutkimusnäytteet, rtg-kuvat).
Luettele tässä kohdassa kaikki ne organisaatiot, joihin luovutetaan henkilötietoa. Kirjaa organisaation nimi, sijaintipaikka ja yhteystiedot. Henkilötiedoiksi luetaan myös pseudonymisoitu henkilötieto, tutkimusnäytteet ja rtg-kuvat.
Kuvaa tässä kohdassa myös, mitä henkilötietoja organisaatioille luovutetaan ja mitä tarkoitusta varten. Kuvaa myös käytettävät siirtotavat. Kuvaa erikseen datan siirtomekanismit ja se, millä tavalla näytteet lähetetään Pirhan ulkopuolelle. Huomioi tarvittavat sopimukset tietojen siirrosta.
Kohta 12.
Kuvaa tähän missä muodossa (sähköinen, paperinen ja esimerkiksi tutkimusnäytteet), missä ja kuinka kauan aineisto säilytetään tutkimuksen päätyttyä. Kirjaa myös tutkimuksen suunniteltu päättymisaika. Jos aineisto arkistoidaan mahdollista tulevaa käyttöä varten pitkäaikaisesti tai pysyvästi, kuvaa mikä taho vastaa aineiston säilyttämisestä ja missä aineisto säilytetään, sekä säilytetäänkö aineisto suorilla henkilötiedoilla varustettuna, koodattuna vai anonyyminä. Katso tarkemmat ohjeet säilytysajoista niiden omilta sivuilta.
Kohta 13.
Kuvaa tähän kuka tai ketkä vastaavat tutkimusaineiston tietoturvallisesta hävittämisestä, kun säilytysvelvollisuus päättyy.
Kohta 14.
Valitse tutkimukseesi liittyvät tutkittavan näkökulmasta merkittävät tietoturva- ja tietosuojariskit. Arvioi riskin toteutumisen todennäköisyys ja vakavuus. Määrittele toimenpiteet riskien ehkäisemiseksi. Valitse tai täydennä puuttuvat riskit ja ratkaisuehdotukset niiden ehkäisemiseksi. Arvioi lopuksi riskien kokonaisvaikutus suunniteltujen toimenpiteiden jälkeen.
Kohta 15.
Lomakkeen hyväksyy joko tutkimuksen toimeksiantaja tai johtava tutkija tai tutkimusryhmän jäsen, ei kuitenkaan opiskelija. Allekirjoitusta ei tarvita. Tietoa henkilötietojen käsittelyyn ja tutkimuksen tietosuojaan liittyvistä riskien vaikutusten arvioinnista löydät lisää niiden omilta sivuilta.
Päivitetty 6.10.2023