Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 10.02.17

Journalnummer: 2016-611-0030

PenSam Liv Forsikringsaktieselskab (herefter "PenSam Liv") er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har PenSam Liv udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der ved brug af diverse oplysningsskemaer er stillet spørgsmål om. Der er således ikke foretaget en gennemgang af samtlige vilkår fra Datatilsynet eller krav efter persondataloven1 i denne sag.

Sammenfattende kan Datatilsynet konkludere

  1. at PenSam Liv har fire verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til alle disse projekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at PenSam Liv for halvdelen af projekterne iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret,
    3.2. at der er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger i de fire verserende projekter, som Datatilsynet har spurgt ind til, men
    3.3. at PenSam Liv ikke til fulde efterlevet kravet om, at passwords skal udskiftes mindst én gang årligt.
  4. Vedrørende databehandleraftaler:
    4.1. at PenSam Liv for de fleste databehandlere har levet op til persondatalovens krav om skriftlige databehandleraftale, men
    4.2. at et fremsendt eksempel på en databehandleraftale ikke er retvisende og skal forbedres, så der indgås en databehandleraftale, der lever op til persondataloven.
  5. Vedrørende kontrol med databehandlere:
    5.1. at PenSam Liv for de fleste databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses, men
    5.2. at der er et enkelt udestående, hvor PenSam Liv endnu ikke har påset, at sikkerheden er som krævet, men PenSam Liv påtænker efter det oplyste initiativer til at få dette på plads.

Datatilsynet finder det samlet set meget beklageligt, at PenSam Liv som beskrevet ovenfor ikke til fulde har efterlevet persondataloven og Datatilsynets vilkår.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
PenSam Liv har oplyst, at PenSam Livs databehandlere er blevet gjort bekendt med vilkårene i de relevante tilladelser fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
PenSam Liv skulle for hvert af de fire verserende projekter oplyse, om identifikationsoplysninger der behandles elektronisk er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

PenSam Livs besvarelse viser, at halvdelen af de udvalgte verserende projekter sker under iagttagelse af ovennævnte vilkår. PenSam Liv har som begrundelse for manglende iagttagelse vedrørende to projekter anført følgende:

”Adgang til data er beskyttet via personlige passwords.

Identifikationsoplysninger er ikke erstattet af kodenummer el.lign. da transmissionen af data forgår via en krypteret data transmission (HTTPS linje)”.

Datatilsynet skal anmode om at få oplyst, hvorvidt tilsynets vilkår vil blive iagttaget for de to projekter fremover, således at identifikationsoplysninger krypteres eller erstattes af et kodenummer el. lign., eller at alle oplysninger krypteres – ikke kun under transmission men også, når de er lagret.

Datatilsynets vilkår for sikkerhed – krav om passwords
PenSam Liv skulle endvidere for hvert af de 4 verserende projekter svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

PenSam Livs besvarelse viser bl.a., at der for alle verserende projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, at der er stillet krav om, at de anvendte passwords er personligt fortrolige, og at der i de fleste løsninger sker udskiftning af passwords.

Datatilsynet skal anmode PenSam Liv om at oplyse, om virksomheden vil indføre en procedure for udskiftning af passwords, hvor dette ikke sker, således at tilsynets vilkår efterleves fremover.

Databehandleraftaler
Datatilsynets tilsyn med PenSam Liv omfattede en stikprøvevis undersøgelse af PenSam Livs efterlevelse af persondatalovens krav om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

PenSam Liv har oplyst, at der anvendes fire databehandlere, og at der på tidspunktet for anvendelse af databehandlerne er indgået skriftlige databehandleraftaler med 3 af dem, jf. persondatalovens § 42, stk. 2.

Datatilsynet har anmodet om at få én databehandleraftale indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra PenSam Liv. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.

Datatilsynet har anmodet PenSam Liv om at fremsende databehandleraftalen med PenSam Livs underdatabehandler GlobalConnect A/S.

Den fremsendte aftale indeholder ingen formuleringer om, at databehandleren (GlobalConnect A/S) alene handler efter instruks fra PenSam Liv. Det fremgår derimod, at databehandleren handler efter instruks fra Sundhedsdoktor A/S, som i aftalen betegnes som dataansvarlig efter persondataloven. Sundhedsdoktor A/S er imidlertid databehandler for PenSam Liv.

Det er på denne baggrund Datatilsynets opfattelse, at kontrakten ikke er retvisende, da indholdet ikke er i overensstemmelse med de reelle forhold. Efter Datatilsynets opfattelse må PenSam Liv rette op på dette og sørge for, at der indgås en databehandleraftale, der lever op til persondataloven.

Den dataansvarliges kontrol med databehandlere
PenSam Liv har i flere oplysningsskemaer tilkendegivet, at PenSam Liv har påset2, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven. PenSam Liv har således indhentet årlige revisionserklæringer fra databehandlere.

Der er imidlertid et enkelt udestående, hvor PenSam Liv endnu ikke har påset, at sikkerheden er som krævet, idet databehandleren ikke får udarbejdet årlige revisionserklæringer.

Datatilsynet har imidlertid noteret sig, at PenSam Liv har oplyst, at det påtænkes at få databehandleren til at udarbejde revisionserklæringer. Alternativt vil PenSam Liv foretage egen audit hos databehandleren.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

  1. at PenSam Liv har fire verserende projekter, hvor der behandles at PenSam Liv har fire verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til alle disse projekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at PenSam Liv for halvdelen af projekterne iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret,
    3.2. at der er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger i de fire verserende projekter, som Datatilsynet har spurgt ind til, men
    3.3. at PenSam Liv ikke til fulde efterlevet kravet om, at passwords skal udskiftes mindst én gang årligt.
  4. Vedrørende databehandleraftaler:
    4.1. at PenSam Liv for de fleste databehandlere har levet op til persondatalovens krav om skriftlige databehandleraftale, men
    4.2. at et fremsendt eksempel på en databehandleraftale ikke er retvisende og skal forbedres, så der indgås en databehandleraftale, der lever op til persondataloven.
  5. Vedrørende kontrol med databehandlere:
    5.1. at PenSam Liv for de fleste databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses, men
    5.2. at der er et enkelt udestående, hvor PenSam Liv endnu ikke har påset, at sikkerheden er som krævet, men PenSam Liv påtænker efter det oplyste initiativer til at få dette på plads.

Datatilsynet finder det samlet set meget beklageligt, at PenSam Liv som beskrevet ovenfor ikke til fulde har efterlevet persondataloven og Datatilsynets vilkår.

PenSam Liv bedes oplyse, hvilke skridt virksomheden vil tage med henblik på at sikre efterlevelse af persondataloven og Datatilsynets vilkår fremover.

PenSam Livs svar bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside.

 

 

 

__________________________________

1 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

2 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser