Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 10.02.17

Journalnummer: 2016-611-0034

Du er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har [udeladt] på vegne af dig udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på: 

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der ved brug af diverse oplysningsskemaer er stillet spørgsmål om. Der er således ikke foretaget en gennemgang af samtlige vilkår fra Datatilsynet eller krav efter persondataloven1 i denne sag.

Sammenfattende kan Datatilsynet konkludere

1. at du har 55 verserende projekter, hvor der behandles personoplysninger,

2. at Datatilsynet har givet tilladelse til behandlingen af personoplysninger i alle projekterne.

3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
3.2. at du iagttager Datatilsynets vilkår om passwords,
3.3. Datatilsynet ønsker imidlertid klarlagt, hvor mange personer der har adgang til personoplysningerne i de fire projekter. 

4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
4.1. at du har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, men
4.2. at den fremsendte databehandleraftale er indgået mellem Department of Clinical Epidemiology, Aarhus University Hospital og databehandleren og dermed ikke kan anses som en databehandleraftale i forhold til databehandlinger, som du er dataansvarlig for som privat forsker.
4.3. Den omhandlede databehandler befinder sig i USA, og svarene i sagen viser, at EU Kommissionens standardaftale er indgået mellem Aarhus Universitets Hospital og databehandleren. Da det er dig personligt og ikke universitetshospitalet, der er dataansvarlig for forskningsprojektet, kan den fremsendte aftale efter Datatilsynets opfattelse ikke udgøre et grundlag for tredjelandsoverførsel fra projektet til en databehandler i USA.
4.4. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Aarhus Universitet. I dine besvarelser ses Aarhus Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og universitetet.

5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
5.1. at du i hvert fald i et tilfælde ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
Din repræsentant i sagen har oplyst, at dine databehandlere er blevet gjort bekendt med vilkårene i de relevante tilladelser fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
Du skulle for fire af dine verserende projekter oplyse, om identifikationsoplysninger, der behandles elektronisk er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger på baggrund af de besvarelser, som tilsynet har modtaget vedrørende dine behandlinger, til grund, at du iagttager dette vilkår.

Datatilsynets vilkår for sikkerhed – krav om passwords
Du skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Din repræsentants besvarelse viser, at der i de fire undersøgte projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, og at password udskiftes efter højst 180 dage.

På Datatilsynets spørgsmål om antal personlige passwords er der for alle de fire udvalgte projekter svaret: ”Bruger har et personligt password. ”

Datatilsynet skal anmode om at få præciseret, om der dermed menes, at der alene er udstedt ét password til disse projekter, og om dette er udstedt til den dataansvarlige, dvs. [udeladt], eller om der tillige er andre personer, som har password.

Datatilsynet ønsker således klarlagt, hvor mange personer der har adgang til personoplysningerne i de fire projekter.  Se tillige nedenfor om Aarhus Universitet som databehandler for den dataansvarlige.

Databehandleraftaler
Datatilsynets tilsyn med dig omfattede en stikprøvevis undersøgelse af din efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Din repræsentant har oplyst, at der anvendes fire databehandlere, som der på tidspunktet for anvendelse er indgået skriftlige databehandleraftaler med, jf. persondatalovens § 42, stk. 2.

Datatilsynet har desuden anmodet om at få én databehandleraftale indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra dig. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven. Datatilsynet har anmodet [udeladt] om at fremsende databehandleraftalen med [udeladt].

Det fremgår af den fremsendte aftale, at databehandleren ([udeladt]) ”acts solely according to instructions from the data responsible authority” og kan som udgangspunkt anses for en databehandleraftale.

Imidlertid er det Department of Clinical Epidemiology, Aarhus University Hospital, som ifølge kontrakten er den dataansvarlige, og ikke dig. Efter Datatilsynets opfattelse kan kontrakten derfor ikke anses for en databehandleraftale mellem dig og den databehandler, som du anvender som led i de forskningsprojekter, som du er privat dataansvarlig for.

Den omhandlede databehandler befinder sig i USA, og svarene i sagen viser, at EU Kommissionens standardaftale er indgået mellem Aarhus Universitet og databehandleren.

Når det er dig personligt og ikke universitetet, der er dataansvarlig for forskningsprojektet, kan den fremsendte aftale efter Datatilsynets opfattelse ikke udgøre et grundlag for tredjelandsoverførsel fra projektet til en databehandler i USA. Du må derfor efter Datatilsynets opfattelse stoppe overførslerne eller benytte et andet grundlag for overførsel, herunder indgå en ny kontrakt.

Da Datatilsynets stikprøve kun omfattede en enkelt af dine databehandlere, skal tilsynet anmode dig om at gennemgå samtlige databehandleraftaler, som du har indgået i forbindelse med de projekter, du er dataansvarlig for, med henblik på at sikre, at der foreligger databehandleraftaler, der lever op til persondataloven, samt grundlag for tredjelandsoverførsel, hvor dette er relevant.

Aarhus Universitets rolle
Det fremgår af besvarelserne vedrørende de fire udvalgte projekter, at alle data er lagret på krypteret disk på Aarhus Universitets platform under AU-IT.

Datatilsynet må derfor lægge til grund, at du tillige benytter Aarhus Universitet som databehandler.

I dine besvarelser ses Aarhus Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og universitetet.

Datatilsynet skal anmode om, at du i din tilbagemelding til tilsynet redegør for, hvordan dette vil blive håndteret fremadrettet.

Den dataansvarliges kontrol med databehandlere
Der fremgår af besvarelserne, at en del af de anvendte databehandlere er kommet til i 2015. En enkelt databehandler har været benyttet siden 2009.

Din repræsentant har i oplysningsskemaerne tilkendegivet, at du har påset3, at databehandlerne har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven.

For den databehandler, der har været benyttet siden 2009 er følgende oplyst som svar på Datatilsynets spørgsmål 11, om hvorvidt den dataansvarlige har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og Datatilsynets vilkår:
”Ved aftalens indgåelse sikrer KEA, at databehandleren er bekendt med bl.a. vilkår for udlevering, brug, og opbevaring af data og KEA har tillid til at vilkårene efterleves”.

Under punkt 12 i spørgeskemaet har Datatilsynet anmodet om en beskrivelse af, hvordan den dataansvarlige har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og Datatilsynets vilkår, og anføre dato for, hvornår dette sidst skete. Hertil er svaret ”Se punkt 11”.

Der ses herved ikke at være beskrevet nogen form for tilsyn fra din side i forhold til databehandleren. På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandleren skal påses.

Da du herudover benytter Aarhus Universitet som databehandler, skal Datatilsynet bede dig redegøre for, hvornår du agter at påse sikkerheden hos Aarhus Universitet samt de databehandlere, der er kommet til i 2015.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

1. at du har 55 verserende projekter, hvor der behandles personoplysninger,

2. at Datatilsynet har givet tilladelse til behandlingen af personoplysninger i alle projekterne.

3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
3.2. at du iagttager Datatilsynets vilkår om passwords,
3.3. Datatilsynet ønsker imidlertid klarlagt, hvor mange personer der har adgang til personoplysningerne i de fire projekter. 

4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
4.1. at du har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, men
4.2. at den fremsendte databehandleraftale er indgået mellem Department of Clinical Epidemiology, Aarhus University Hospital og databehandleren og dermed ikke kan anses som en databehandleraftale i forhold til databehandlinger, som du er dataansvarlig for som privat forsker.
4.3. Den omhandlede databehandler befinder sig i USA, og svarene i sagen viser, at EU Kommissionens standardaftale er indgået mellem Aarhus Universitets Hospital og databehandleren. Da det er dig personligt og ikke universitetshospitalet, der er dataansvarlig for forskningsprojektet, kan den fremsendte aftale efter Datatilsynets opfattelse ikke udgøre et grundlag for tredjelandsoverførsel fra projektet til en databehandler i USA.
4.4. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Aarhus Universitet. I dine besvarelser ses Aarhus Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og universitetet.

5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
5.1. at du i hvert fald i et tilfælde ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Du bedes oplyse, hvilke skridt du vil tage med henblik på at sikre efterlevelse af persondataloven fremover. Herunder ønskes de specifikke spørgsmål, som i gennemgangen ovenfor er rejst i forhold til dine svar, tillige besvaret.

Dit svar bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato

Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside. Dette vil ske uden angivelse af dit navn.

_______________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

 

 

 

Afgørelser efter emneord:


Fritekstsøgning i afgørelser