Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 24.04.17

Journalnummer: 2016-611-0026

Du er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har du udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der er stillet spørgsmål om. Der er således tale om en stikprøvevis undersøgelse af udvalgte spørgsmål. Vilkår og emner som ikke har været genstand for tilsynet kan således ikke anses for godkendt eller accepteret af Datatilsynet.

Sammenfattende kan Datatilsynet konkludere

  1. at du har 16 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til alle disse projekter (et af projekterne med j.nr. 2013-41-2234 er efter det oplyste afsluttet og data er blevet slettet).
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at du har oplyst, at der ikke benyttes databehandlere. Du har hertil oplyst, at du ikke opfatter dine samarbejdspartnere som databehandlere, men som modtagere af data.
    4.2. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Syddansk Universitet. I dine besvarelser ses Syddansk Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at du ikke har levet op til persondatalovens1 krav om, at sikkerheden hos databehandlerne skal påses.
  6. Vedrørende tilladelse til videregivelse af personoplysninger må Datatilsynet lægge til grund:
    6.1. at du ikke har levet op til kravet i persondatalovens § 10, stk. 3, om forudgående tilladelse til at videregive personoplysninger. 

Datatilsynet finder det samlet set meget beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår

Datatilsynets vilkår for sikkerhed – krav om kryptering
Du skulle for fire af dine verserende projekter oplyse, om identifikationsoplysninger, der behandles elektronisk, er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger på baggrund af dine besvarelser til grund, at du iagttager dette vilkår.

Datatilsynets vilkår for sikkerhed – krav om passwords
Du skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.
Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Din besvarelse viser, at der i de fire undersøgte projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, og at passwords udskiftes hvert minut, idet data tilgås via en token-løsning.

Du har endvidere svaret på nærmere spørgsmål fra Datatilsynet om de tildelte passwords, herunder at der er stillet krav om, at de anvendte passwords holdes fortroligt/hemmeligt.

Brug af databehandlere
Datatilsynets tilsyn med dig omfattede en undersøgelse af din efterlevelse af persondatalovens regler ved brug af databehandlere, herunder kravet2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Du har imidlertid oplyst, at der ikke benyttes databehandlere, idet du ikke opfatter dine samarbejdspartnere som databehandlere, men som modtagere af data.

Du har som svar på en række supplerende spørgsmål vedrørende brug af databehandlere anført følgende:

Jeg vil gerne fastholde, at korrespondancerne med Datatilsynet og tidligere Registertilsynet angående disse projekter kan tolkes som tilladelser til at levere pseudonymiserede data til de nævnte ”samarbejdspartnere” i kraft af videregivelser og ikke i kraft af overladelser til databehandlere, hvorfor der hidtil ikke er fundet anledning til at udarbejde databehandleraftaler i forbindelse med de nævnte projekter.

Som eksempel henviser jeg til en ældre anmeldelse af projekt 2016-41-4534 (bilag 1) samt Datatilsynets svarbrev (bilag 1a), hvoraf det fremgår under punkt 1, at ”oplysningerne opbevares og behandles hos deltagende centre/afdelinger” samt under punkt 6 at oplysningerne påtænkes overført til 3 samarbejdspartnere i tredjelande. Som det fremgår af Datatilsynets svarbrev (bilag1a) står der på side 1, lige under sætningen ”Oplysningerne vil endvidere blive behandlet ved de deltagende centre”, at Datatilsynet har givet ”Tilladelse”. Endvidere står der på side 5: ”Datatilsynet kan på denne baggrund meddele tilladelse til overførsel af projektdata til USA på følgende vilkår”. Projektet har været forlænget og udbygget af flere omgange, og i nyere anmeldelser har det, jeg har opfattet som ”samarbejdspartnere” været anført under ”Oplysningerne behandles og opbevares på ….” såvel som under ”Databehandlere” og senest kun under punktet ”Databehandlere”. Med den forståelse jeg nu har for anmeldelsessystemet, ser jeg, at det er en fejl fra min side, de gange hvor ”samarbejdspartneren” har været anført under ”Databehandlere”.

Gennem de sidste mange år, hvor et eller flere af disse projekter har været aktive, har jeg løbende anmeldt videregivelsen af pseudonymiserede data til Datatilsynet. Jeg har, ved alle anmeldelserne, opfattet udfyldelsen af det første punkt ”Oplysninger behandles og opbevares på følgende adresse” som en markering af, at data videregives. Derudover er der for nogle af anmeldelserne anført de samme ”samarbejdspartnere” i det næste punkt ”Databehandlerens navn og adresse”. Det er på den baggrund klart, at jeg ikke har forstået, at dette var to muligheder, der udelukkede hinanden, og jeg er mig bekendt heller ikke blevet gjort opmærksom på, at det forholdt sig sådan.  Der er således ikke blevet skelnet skarpt mellem videregivelse og overladelse til databehandler, hvilket naturligvis ikke ændrer ved, at anmeldelsen af projekterne skal bringes i overensstemmelse med persondataloven.

Jeg har derfor for projekterne 2012-41-1067, 2013-41-1673 samt 2016-41-4534 påbegyndt denne proces og er i gang med at informere vores ”samarbejdspartnere” om, at vi sletter nøglen, der forbinder de løbenumre, vores ”samarbejdspartnere” har tilknyttet deres pseudonymiserede data. Ved at jeg sletter nøglen som forbinder deres løbe-nummer med et CPR-nummer – en nøgle der befinder sig bag beskyttet firewall underlagt de lovpligtige logningskrav på Syddansk Universitet i Odense - er de videregivne data herefter helt anonyme (hvilket de også hidtil har været for ”samarbejdspartnerne”).

Med hensyn til projekt 2014-41-3616 er dette projekt stadig pågående med dataindsamling. Som nærmere beskrevet i punkt 2 nedenfor, er dette projekt ved at blive overført til Syddansk Universitets paraplyanmeldelse. Når dette i løbet af nogle få uger er på plads, vil Syddansk Universitets juridiske kontor (v/specialkonsulent, cand.jur. LE(cc.)) søge Datatilsynet om tilladelse til at videregive personoplysninger i medfør af persondatalovens § 10, stk. 3  – naturligvis som vanligt kun af pseudonymiserede data, som er anonyme for modtageren.”

Idet du fastholder, at du ikke benytter databehandlere, må Datatilsynet lægge til grund, at videregivelsen af oplysninger til tredjepart, herunder samarbejdspartnere i tredjelande, skal ske under iagttagelse af persondatalovens § 10, stk. 3.

Datatilsynet må i den forbindelse konstatere, at du ikke har levet op til kravet i persondatalovens § 10, stk. 3, om forudgående tilladelse til at videregive personoplysninger, herunder til modtagere i tredjelande. Datatilsynet bemærker i den forbindelse, at den tilladelse, du refererer til, omhandler overførsler af data til et land uden for EU og ikke en videregivelse efter § 10, stk. 3, i persondataloven. 

Datatilsynet har noteret sig det af dig oplyste om, at du for tre af projekternes vedkommende vil slette nøglen som forbinder deres løbe-nummer med et personnummer således, at de videregivne data herefter bliver helt anonyme.

Syddansk Universitets rolle
Du har i oplysningsskemaerne oplyst, at projektdata for visse forskningsprojekter opbevares på en server eller computer hos den dataansvarlige. Det er herefter anført, at data opbevares på en server hos Syddansk Universitet.

Datatilsynet må derfor lægge til grund, at du tillige benytter Syddansk Universitet som databehandler.

I dine første besvarelser ses Syddansk Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.

På denne baggrund anmodede Datatilsynet dig om en udtalelse vedrørende ovenstående problemstilling, hvortil du ved brev af 14. november 2016 har anført følgende:

Dette er meget overraskende for mig. Brevet er stilet til […], Syddansk Universitet. Da jeg startede de nævnte projekter blev jeg af Datatilsynet (og før dem af Registertilsynet) opfordret til at anmelde projekterne som private projekter. Jeg er mig bekendt aldrig i løbet af de mange år blevet gjort opmærksom på, at dette indebar, at jeg skulle lave en databehandleraftale med min institutleder eller arbejdsplads, og det er aldrig faldet mig ind, da det jo er mig, i kraft af min ansættelse på Syddansk Universitet, der har forestået analyserne af data på Syddansk Universitets computere efter de gældende regler. At projektet var ”privat” har mig bekendt aldrig været tolket, som at data skulle opbevares på min privatadresse og køres uden om universitetet, også jf. adressen på brevet. Men uanset hvad årsagen er til denne misforståelse, skal projekterne naturligvis bringes i overensstemmelse med persondataloven.

Jeg har derfor for de fire omtalte projekter påbegyndt arbejdet med at overføre dem til Syddansk Universitets paraplyanmeldelse - et arbejde der er i gang i samarbejde med specialkonsulent, cand.jur. LE, Juridisk Kontor, Syddansk Universitet (cc.) og som forventes afsluttet indenfor få uger.”

Datatilsynet har noteret sig dine bemærkninger om din tidligere dialog med tilsynet, herunder at du synes, du ikke er blevet gjort opmærksom på konsekvenserne af persondataloven ved den valgte konstruktion. Datatilsynet skal beklage, hvis tilsynet i sin sagsbehandling ikke har ydet tilstrækkelig vejledning om disse dele af persondataloven. Dette ændrer imidlertid ikke på, at loven skal overholdes, og at ansvaret herfor påhviler den dataansvarlige. 

Datatilsynet må konstatere, at du i forhold til Syddansk Universitet ikke har levet op til persondatalovens krav om, at der skal være indgået en skriftlig databehandleraftale. Datatilsynet må samtidig lægge til grund, at du ikke har efterlevet persondatalovens krav om kontrol med databehandlere3.

Datatilsynet har noteret sig det af dig oplyste om, at de omhandlede projekter vil blive overført til Syddansk Universitet.

Datatilsynet lægger herefter til grund, at dataansvaret for behandlingen af personoplysninger i forbindelse med de omhandlede projekter herefter overgår til Syddansk Universitet, og forudsætter i den forbindelse, at den fremtidige behandling af personoplysninger vil ske under behørig iagttagelse af den til enhver tid gældende lovgivning om behandling af personoplysninger.

Datatilsynet forudsætter herunder, at Syddansk Universitet som følge af den påtænkte omlægning af dataansvar tager initiativ til at få foretaget de nødvendige ændringer til de anmeldelser af behandling af personoplysninger, som vedrører de omhandlede projekter.   

Sammenfattende kan Datatilsynet konkludere

  1. at du har 16 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til alle disse projekter (et af projekterne med j.nr. 2013-41-2234 er efter det oplyste afsluttet og data er blevet slettet).
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at du har oplyst, at der ikke benyttes databehandlere. Du har hertil oplyst, at du ikke opfatter dine samarbejdspartnere som databehandlere, men som modtagere af data.
    4.2. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Syddansk Universitet. I dine besvarelser ses Syddansk Universitet imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at du ikke har levet op til persondatalovens4 krav om, at sikkerheden hos databehandlerne skal påses.
  6. Vedrørende tilladelse til videregivelse af personoplysninger må Datatilsynet lægge til grund:
    6.1. at du ikke har levet op til kravet i persondatalovens § 10, stk. 3, om forudgående tilladelse til at videregive personoplysninger.

Datatilsynet finder det samlet set meget beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Eftersom du har oplyst, at dataansvaret for behandlingen af personoplysninger i forbindelse med de omhandlede projekter herefter overgår til Syddansk Universitet, forudsætter Datatilsynet, at den fremtidige behandling af personoplysninger vil ske under behørig iagttagelse af den til enhver tid gældende lovgivning om behandling af personoplysninger.

Du bedes i den forbindelse oplyse, hvorvidt Syddansk Universitet fremover skal være dataansvarlig for alle de behandlinger af personoplysninger som du foretager udelukkende i videnskabeligt eller statistisk øjemed.

Hvis ikke dette er tilfældet, bedes du – i lyset af de overtrædelser af persondataloven, som er blevet identificeret i forbindelse med nærværende tilsyn – oplyse, hvilke skridt du vil tage med henblik på at sikre efterlevelse af persondataloven fremover.

Dit svar bedes være Datatilsynet i hænde senest den 22. maj 2017.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet eventuelt vil omtale denne sag på tilsynets hjemmeside. Dette vil ske uden angivelse af dit navn.

___________________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.  
2Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
4Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 

 

 

 

Afgørelser efter emneord:


Fritekstsøgning i afgørelser