Velkommen til eFORSK
eFORSK er en plattformuavhengig IKT-løsning utviklet for å bistå kliniske forskere i Helse Midt-Norge med å samle inn data fra studiedeltakere på en effektiv og sikker måte. Med støtte for utsending og mottak av elektroniske og fysiske skjemaer i posten, gir eFORSK muligheten til å administrere og overvåke forskningsprosjekter med minimal manuell innsats.
Funksjoner og fordeler med eFORSK
Effektiv datainnsamling
eFORSK er laget for å gjøre datainnsamling enkel, samtidig som informasjonssikkerhet er ivaretatt. Enten man benytter digitale løsninger gjennom Helsenorge eller Digipost, eller fysiske papirskjema i posten, sikrer eFORSK at informasjonen distribueres effektivt og sikkert i tråd med risikovurdering.
Digitale samtykker
Med eFORSK kan man enkelt innhente samtykke fra studiedeltakere gjennom digitale samtykkeprosedyrer. Dette forenkler prosessen uten å gå på bekostning av reglement og forskrifter for personvern og etiske prinsipper.
Randomisering
Det er i samarbeid med superbrukere mulig å sette opp randomisering av studiedeltakere i forskningsprosjektene i eFORSK.
Monitorering
eFORSK har en brukervennlig og enkel monitoreringsfunksjon som gir oversikt over dataene som samles inn. Denne funksjonen er per i dag under utvikling for å bli mer avansert, og vil på sikt oppfylle GCP-krav slik at eFORSK kan benyttes i kliniske legemiddelutprøvingsstudier.
«På vegne av»-funksjonalitet
eFORSK har en integrert “på vegne av”-funksjon som gjør det mulig å kommunisere med relasjoner av et forskningsobjekt direkte, noe som forenkler kommunikasjonssløyfa for aktuelle studiedeltakere.
Avtale om bruk
Databehandleravtaler (DBA) knyttet til overordnet avtale om IT-tjenester er allerede inngått med alle helseforetak i Helse Midt-Norge samt NTNU. Dermed reduseres nødvendig administrativt arbeid i forkant av datainnsamling, da det avtalemessige allerede er på plass. Det eneste som må fylles ut av hver enkelt forskergruppe før man kan få tilgang til sin egen database i eFORSK er et vedlegg til DBA. I tillegg til å være et juridisk dokument, kan forskere velge oppsett og hvilke funksjonaliteter man ønsker å aktivere i sin database. Det er derfor å fylle ut vedlegg til DBA så nøyaktig som mulig.
Alle prosjekter som opprettes i eFORSK må ha hjemmel for datainnsamling fra eksempelvis REK, PVO eller annet.
Finansiering
eFORSK blir finansiert gjennom tjenestebudsjettet til Helse Midt-Norge og det er derfor ikke behov for finansiering av de enkelte interne forskningsprosjektene som har databaser i eFORSK. Det som imidlertid kan bli kostnadselementer, og som blir fakturert brukere av eFORSK, er distribuering av skjema og brev i papirformat (krever eget oppsett), samt bruk av eSignering (les mer om dette her). Videre kan det medføre kostnader for prosjektet dersom studiedeltaker som mottar skjema eller brev benytter sikker digital postkasse og ikke er aktiv i Helsenorge (les mer her). På grunn av dette krever vi faktureringsinformasjon ved opprettelse av samtlige nye databaser i eFORSK.
Strategi og videreutvikling
eFORSK er en del av Helse Midt-Norges overordnede strategi for IKT-støtte til forskning, og har sammen med andre strategiske tiltak som målsetning å skape en datadrevet kultur som sikrer ressurs- og kostnadseffektive beslutningsgrunnlag for drift og utvikling av helsetjenesten. I tråd med den besluttede strategien, er videreutviklingen av eFORSK sterkt forankret i de behovene og prioriteringene som er definert i IKT-styringsstrukturen i Helse Midt-Norge. Dette innebærer at eFORSK på en smidig måte tilpasses for å møte både forskernes behov for effektive verktøy samt forskningsinstitusjonenes målsetninger. Utviklingsarbeidet har alltid fokus på de strenge kravene til datasikkerhet, personvern og forskningsetikk. Samlet gir dette en helhetlig tilnærming hvor både teknologiske løsninger og forskningskrav blir ivaretatt på en målrettet måte og eFORSK jobbes kontinuerlig med for at det skal være en fremtidsrettet plattform som kan bidra til en mer effektiv og sikker datainnsamling i klinisk forskning.
Alle nye oppdrageringer blir nøye validert, testet og dokumentert før produksjonssetting. Dette gjennomføres av egen testleder i Hemit Systemutvikling, som benytter flere sett med testdata for å validere at den endrede koden fungerer og at arbeidsflyten er i tråd med forventningene. Se gjerne Endringsloggen for detaljer om utvikling.
Teknisk løsning
Overordnet arkitektur
eFORSK har en overordnet arkitektur basert på medisinsk registreringssystem (MRS), som en trelagsapplikasjon med lignende sikkerhetsmodell (se under). Applikasjonen består av flere databaser; en felles, Common, samt egne databaser tilegnet hvert enkelt forskningsprosjekt, eller register. eFORSK er skrevet i .NET, benytter MS sql-database og driftes på virtuelle miljø hos Norsk Helsenett (NHN).
Sikkerhet
eFORSK er risikovurdert og all data i programvaren behandles i henhold til gjeldende regler for personvern og datasikkerhet. Programvaren bruker sikker digital kommunikasjon gjennom plattformer som Helsenorge og Digipost, og kommuniserer med FALK og ePROM, som i likhet med eFORSK er bygget på nasjonal infrastruktur.
eFORSK tilbys som en installasjon i NHN infrastruktur og tilbys helseforetak og universiteter med internett som bærer. Sikkerhetsnivået er tilpasset slik eksponering (all data og kommunikasjon er kryptert og sterk autentisering ved bruk av HelseID). eFORSK er utformet i tråd med kravene som stilles i Norm for informasjonssikkerhet helse- og omsorgstjenesten (Normen) samt tilpasset kravene i GDPR.
Det tas backup av de virtuelle serverne i forkant av større endringer, samt backup av databasene hver natt.
Personvern ivaretas i alle ledd og eFORSK har en robust sikkerhetsmodell egnet for å håndtere sensitive personopplysninger. Sikkerhetsmodellen deles grovt i fire deler:
Autentisering, brukertilgang og rollestyring:
eFORSK baserer seg på claims-basert autentisering der pålogging og tildeling av informasjon om roller og rettigheter er eksternt. Denne informasjonen benyttes til å styre hvilke data brukeren har lov til å se og hvilke operasjoner de ulike har lov til å utføre. Forsøk på å få tilgang til eFORSK uten å være autentisert og autorisert vil avvises og brukeren videresendes til den integrerte løsningen FALK for pålogging. Alle brukertilganger i systemet er personlige.
eFORSK benytter OIDC for autentisering mot FALK og henter identitet og tilgangsinformasjon derifra, hvor brukeren selv velger enhet og rolle før det gis tilgang til eFORSK. Informasjon om brukerens claims videreformidles så til eFORSK. All informasjonen om brukerrettigheter vil følge alle operasjoner brukeren gjennomfører.
Tilgangstre:
Et register i eFORSK kan definere sitt eget hierarkisk tilgangstre som styrer hvilke data en pålogget bruker har tilgang til. Dette er en nyttig funksjon for multisenterstudier.
Lagdeling:
eFORSK har en horisontal og vertikal lagdeling. De horisontale lagene skiller mellom web-laget, som er det brukeren ser, service-laget, som inneholder forretningslogikken og database-laget. Bare web-laget er tilgjengelig for brukerne. De vertikale lagene skiller mellom de ulike registrene, eller forskningsprosjektene, i løsningen. All data for et register lagres i registerets egen database og deles ikke med noen av de andre registrene Kryptering: Sensitive data som kan brukes for å identifisere en person lagres kryptert i databasen. Hver database, eller register, i systemet har sin egen krypteringsnøkkel som brukes for dette området. Krypteringsalgoritme som benyttes er AES128 med modus ECB.
Pseudonymisering:
I eFORSK kan data samles inn på personer fra folkeregisteret (per i dag Personregisteret, som i løpet av 2025 skal erstattes av Persontjenesten). Personers identitet er aldri direkte tilgjengelig i eFORSKs database. Ved første gangs oppslag i en persons data opprettes et pseudonym for denne i databasen. Personens fødselsnummer lagres kryptert i en database separert fra de andre opplysningene. Det brukes egne krypteringsnøkler for hvert register. Alle andre personopplysninger lastes ned fra Personregisteret ved behov, disse lagres ikke. Unntaket her er når et register skal samle inn informasjon om pasienten (som kjønn, demografi) på sine skjema. Selve skjemadataene lagres kryptert med overnevnte krypteringsnøkkel.
Logging
Logging skal sørge for komplett sporbarhet over hva som har skjedd i applikasjonen og skal ikke inneholde sensitiv data. Det skilles mellom to typer logging:
Serverlogger benyttes for det meste til å logge kjøring av bakgrunnsjobber og feil i applikasjonen. Logger til windows event-log plukkes opp av SPLUNK.
Datalogger benyttes for å logge brukeraktiviteter mot data i applikasjonen og lagrer til databasen.
Det er automatisk loggføring av innloggingsforsøk og endring i studiedata i systemet i tillegg til Audit Trail av studiedata som lagres i databasens tabeller. For hver slik hendelse registreres tidspunkt, operasjonsnavn og om operasjon var mislykket eller vellykket.
Innsyn
En person skal kunne spørre applikasjonen om den har data om personen, hvilke data, hvem som har behandlet/sett dataene og kunne be om å få seg slettet.
Integrasjoner
ePROM:
Pasientrapporterte resultater (ePROM) inkluderer spørreskjemaer som vurderer helse og livskvalitet fra pasientens perspektiv. Disse tilbakemeldingene inngår i registre som har til formål å vurdere og forbedre kvaliteten på behandling som gis på norske sykehus. eFORSK sender ut pasientskjema til pasientene via ePROM. ePROM-løsningen distribuerer skjemaene via Helsenorge, digital postkasse eller fysisk brev i posten. Pasientens utfylte skjema returneres til eFORSK for dataanalyse.
Personregisteret (skal erstattes av Persontjenesten i løpet av 2025):
Personregisteret er et API for søk etter personer i folkeregisteret. Personregisteret støtter søk etter personnummer og kombinasjoner av navn og hjemkommune.
eFORSK bruker personregisteret som kilde til personinformasjon, dette for å unngå å lagre mer informasjon om pasienten enn nødvendig. eFORSK lagrer kun en kryptert kopi av pasientens personnummer, all annen personinformasjon lastes ned fra personregisteret ved behov.
Personregisteret eksponerer følgende API-er: HL7, WCF og Rest. eFORSK bruker WCF-grensesnittet.
Data i applikasjonen
Forskningsdata som legges inn i systemet registreres med brukernavn og tidspunkt. Alle dataendringer foretatt av brukere er sporbare. Personlige opplysninger om studiedeltagere skal være begrenset til det minimum som er nødvendig for å skille deltagere fra hverandre. Et minimumskrav til identifiseringsinformasjon er unik nøkkel. Studiedeltagerdata for identifikasjon låses med en gang for å unngå ombytting av pasienter.
Randomiseringsresultater er ikke manipulerbare for brukere av systemet uansett studie, men kan omgås ved å opprette skjemaet på nytt (dette logges).
Hvert enkelt prosjekt har sin egen database, men er tilgjengelig gjennom en felles applikasjon. Dette sikrer tilstrekkelig adskillelse av data prosjektene i mellom. Hver database har sin egen krypteringsnøkkel. Prosjektet benytter en GUID (Global Unique Identifier) som en referanse til forskningsobjektet i stedet for fødselsnummer/ID-nummer.
Hemit har ingen eierrettigheter til data som systemet forvalter.
Hvorfor velge eFORSK?
Brukervennlighet: Oversiktlig tilgang til data og enkelt brukergrensesnitt
Plattformuavhengig: Tilgjengelig på alle enheter
Sikkerhet: Streng beskyttelse av sensitive data. Risikovurdert løsning.
Kostnadseffektivitet: Reduserer tid brukt på manuelle prosesser og administrasjon.
Skalerbarhet: Tilpasset både små og store forskningsprosjekter.
Digital samtykkehåndtering: Enkel og digital innsamling av samtykker fra studiedeltakere.
Publisering av resultater oppnådd ved bruk av eFORSK
Kreditering ved publisering
For å sikre korrekt kreditering ved publisering av forskningsresultater oppnådd ved bruk av eFORSK, ber vi om at følgende formulering benyttes i metodekapitlet:
Norsk versjon: «Datainnsamling (og randomisering, dersom relevant) ble gjennomført ved hjelp av eFORSK, en web-basert applikasjon utviklet og administrert av Hemit HF.»
Engelsk versjon: «Data collection (and randomization if relevant) was performed using eFORSK, a web-based application developed and maintained by Central Norway Regional Health Authority’s IT department, Hemit.»
Support og brukerstøtte
Forskningsavdelingen ved St Olavs Hospital ivaretar førstelinjesupport for brukere av eFORSK. Ta kontakt på forskningsstotte@stolav.no for å komme i gang eller ved spørsmål om tjenesten.