Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Standardvilkår for forskningsprojekter

(Projekter anmeldes på blanketten "Privat forskning")

Når Datatilsynet giver tilladelse til behandling af følsomme personoplysninger i et projekt til videnskabelige eller statistiske formål i henhold til persondatalovens § 10, jf. § 50, stk. 1, nr. 1, fastsættes en række vilkår for projektet. Vilkårene skal først og fremmest bevirke, at den dataansvarlige (projektlederen) overholder reglerne i persondataloven og at databehandlingen lever op til lovens krav om datasikkerhed.

Det fremgår af lovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

På denne baggrund har Datatilsynet udformet en række standardvilkår, som alle projekter skal efterleve. Hermed garanteres, at databehandlingen sker med den nødvendige sikkerhed, og at alle personer, der indgår i projekter til videnskabelige eller statistiske formål (de registrerede), omfattes af den samme beskyttelse.

Datatilsynets tilladelse til projektet er betinget af, at man følger Datatilsynets vilkår.

Standardvilkårene er gengivet nedenfor. Vilkår markeret "Specialvilkår" fastsættes efter behov, de øvrige vilkår fastsættes for alle projekter. I særlige tilfælde vil Datatilsynet også kunne fastsætte individuelle eller supplerende vilkår for et projekt.

DATATILSYNETS STANDARDVILKÅR:

 

TILLADELSE

Datatilsynet meddeler hermed tilladelse til projektets gennemførelse, jf. persondataloven, § 50, stk. 1, nr. 1. Datatilsynet fastsætter i den forbindelse nedenstående vilkår:

Generelle vilkår

Tilladelsen gælder indtil: (dato)

Ved tilladelsens udløb skal De særligt være opmærksom på følgende:

Hvis De ikke inden denne dato har fået tilladelsen forlænget, går Datatilsynet ud fra, at projektet er afsluttet, og at personoplysningerne er slettet, anonymiseret, tilintetgjort eller overført til arkiv, jf. nedenstående vilkår vedrørende projektets afslutning. Anmeldelsen af Deres projekt fjernes derfor fra fortegnelsen over anmeldte behandlinger på Datatilsynets hjemmeside.

Datatilsynet gør samtidig opmærksom på, at al behandling (herunder også opbevaring) af personoplysninger efter tilladelsens udløb er en overtrædelse af persondataloven, jf. § 70.

  • (Den dataansvarliges navn) er ansvarlig for overholdelsen af de fastsatte vilkår.
  • Oplysningerne må kun anvendes til brug for projektets gennemførelse.
  • Behandling af personoplysninger må kun foretages af den dataansvarlige eller på foranledning af den dataansvarlige og på dennes ansvar.
  • Enhver, der foretager behandling af projektets oplysninger, skal være bekendt med de fastsatte vilkår.
  • De fastsatte vilkår skal tillige iagttages ved behandling, der foretages af databehandler.
  • Lokaler, der benyttes til opbevaring og behandling af projektets oplysninger, skal være indrettet med henblik på at forhindre uvedkommende adgang.
  • Behandling af oplysninger skal tilrettelægges således, at oplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Urigtige eller vildledende oplysninger eller oplysninger, som er behandlet i strid med loven eller disse vilkår, skal berigtiges eller slettes.
  • Oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til projektets gennemførelse.
  • En eventuel offentliggørelse af undersøgelsens resultater må ikke ske på en sådan måde, at det er muligt at identificere enkeltpersoner.
  • Eventuelle vilkår, der fastsættes efter anden lovgivning, forudsættes overholdt.

Elektroniske oplysninger

  • Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.
  • Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.
  • Ved overførsel af personhenførbare oplysninger via Internet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret under hele transmissionen. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne.
  • Udtagelige lagringsmedier, sikkerhedskopier af data m.v. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne.

Manuelle oplysninger

  • Manuelt projektmateriale, udskrifter, fejl- og kontrollister, m.v., der direkte eller indirekte kan henføres til bestemte personer, skal opbevares forsvarligt aflåst og på en sådan måde, at uvedkommende ikke kan gøre sig bekendt med indholdet.

Biobank og biologisk materiale (Specialvilkår)

  • Prøver med biologisk materiale og biologisk materiale i biobanker skal opbevares forsvarligt aflåst, således at uvedkommende ikke har adgang til det, og på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres.
  • Biologisk materiale, der er mærket med personnummer eller navn, skal opbevares under iagttagelse af særlige sikkerhedshensyn.
  • Der skal fastsættes interne retningslinjer i projektet for opbevaring af biologisk materiale. Retningslinjerne skal ajourføres mindst én gang om året.

Oplysningspligt over for den registrerede

  • Hvis der skal indsamles oplysninger hos den registrerede (ved interview, spørgeskema, klinisk eller paraklinisk undersøgelse, behandling, observation m.v.) skal der uddeles/fremsendes nærmere information om projektet. Den registrerede skal heri oplyses om den dataansvarliges navn, formålet med projektet, at det er frivilligt at deltage, og at et samtykke til deltagelse til enhver tid kan trækkes tilbage. Hvis oplysningerne skal videregives til brug i anden videnskabelig eller statistisk sammenhæng, skal der også oplyses om formålet med videregivelsen samt modtagerens identitet.
  • Den registrerede skal endvidere oplyses om, at projektet er anmeldt til Datatilsynet efter persondataloven, samt at Datatilsynet har fastsat nærmere vilkår for projektet til beskyttelse af den registreredes privatliv.

Indsigtsret

  • Den registrerede har ikke krav på indsigt i de oplysninger, der behandles om den pågældende.

Videregivelse

  • Videregivelse af personhenførbare oplysninger til tredjepart må kun ske til brug i andet statistisk eller videnskabeligt øjemed.
  • Videregivelse må kun ske efter forudgående tilladelse fra Datatilsynet. Datatilsynet kan stille nærmere vilkår for videregivelsen samt for modtagerens behandling af oplysningerne.
  • (Specialvilkår) Oplysninger kan herudover videregives, hvis det fremgår af anden lovgivning, at oplysningerne skal videregives.

Behandling ved databehandler (Specialvilkår)

  • Datatilsynets vilkår gælder også ved behandling hos databehandler.
  • Ved behandling hos databehandler skal der indgås en skriftlig aftale herom mellem den dataansvarlige og databehandleren. Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at oplysninger ikke må anvendes til databehandlerens egne formål. Databehandleren skal desuden give den dataansvarlige tilstrækkelige oplysninger til, at denne til enhver tid kan sikre sig, at Datatilsynets vilkår kan overholdes, og at de bliver overholdt.
  • Hvis databehandleren er etableret i en anden medlemsstat, skal det desuden fremgå af aftalen, at de yderligere bestemmelser om sikkerhedsforanstaltninger for databehandlere, som eventuelt er fastsat i den medlemsstat, hvor databehandleren er etableret, også er gældende for databehandleren.

Ændringer i projektet

  • Væsentlige ændringer i projektet skal anmeldes til Datatilsynet (som ændring af eksisterende anmeldelse). Ændringer af mindre væsentlig betydning kan meddeles Datatilsynet.
  • Ændring af tidspunktet for projektets afslutning skal altid anmeldes.

Ved projektets afslutning

  • Senest ved projektets afslutning skal oplysningerne slettes, anonymiseres eller tilintetgøres, således at det efterfølgende ikke er muligt at identificere enkeltpersoner, der indgår i undersøgelsen.
  • Alternativt kan oplysningerne overføres til videre opbevaring i Statens Arkiver (herunder Dansk Dataarkiv) efter arkivlovens regler.
  • Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres.

Overførsel af oplysninger til tredjelande (Specialvilkår)

  • Overførsel af oplysninger til tredjelande, herunder til behandling hos databehandler samt til intern anvendelse i projektet, kræver forudgående tilladelse fra Datatilsynet.
  • Overførsel kan dog ske uden tilladelse, hvis den registrerede har givet udtrykkeligt samtykke til dette. Den registrerede kan tilbagekalde samtykket.
  • Overførsel af oplysninger skal ske med bud eller anbefalet post. Ved elektronisk overførsel skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret under hele transmissionen.

Ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig senere at tage vilkårene op til revision, hvis der skulle vise sig behov for det.