Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 24.04.17

Journalnummer: 2016-611-0027

Rockwool Fondens Forskningsenhed (herefter Rockwoolfonden) er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har Rockwoolfonden udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der er stillet spørgsmål om. Der er således tale om en stikprøvevis undersøgelse af udvalgte spørgsmål. Vilkår og emner, som ikke har været genstand for tilsynet, kan således ikke anses for godkendt eller accepteret af Datatilsynet.

Sammenfattende kan Datatilsynet konkludere

  1. at Rockwoolfonden har 35 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til 13 af disse projekter
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at Rockwoolfonden iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at Rockwoolfonden iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at Rockwoolfonden har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, og
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra Rockwoolfonden, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
    4.3. Det fremgår af besvarelserne i sagen, at Rockwoolfonden tillige opbevarer oplysninger på en server hos Danmarks Statistik.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at Rockwoolfonden ikke i fuldt tilstrækkeligt omfang har levet op til persondatalovens1 krav om, at sikkerheden hos databehandlerne skal påses.

Datatilsynet finder det samlet set beklageligt, at Rockwoolfonden som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
Rockwoolfonden har oplyst, at fondens databehandlere er blevet gjort bekendt med vilkårene i de relevante tilladelser fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
Rockwoolfonden skulle for fire af fondens verserende projekter oplyse, om identifikationsoplysninger, der behandles elektronisk, er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger på baggrund af Rockwoolfondens besvarelser til grund, at organisationen iagttager dette vilkår.

Datatilsynets vilkår for sikkerhed – krav om passwords
Rockwoolfonden skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:
Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Rockwoolfondens besvarelse viser, at der i de fire undersøgte projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, og at passwords udskiftes hver sjette måned.

Rockwoolfonden har endvidere svaret på nærmere spørgsmål fra Datatilsynet om de tildelte passwords, herunder at der er stillet krav om, at de anvendte passwords holdes fortroligt/hemmeligt.

Databehandleraftaler
Datatilsynets tilsyn med Rockwoolfonden omfattede en stikprøvevis undersøgelse af fondens efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Rockwoolfonden har oplyst, at der benyttes to databehandlere, som der er indgået en skriftlig databehandleraftale med, jf. persondatalovens § 42, stk. 2.

Datatilsynet har anmodet om at få en kopi af en databehandleraftale indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra Rockwoolfonden. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.

Datatilsynet kan konstatere, at den fremsendte aftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra Rockwoolfonden. Datatilsynet har herudover ikke taget stilling til, hvorvidt aftalen udgør en databehandleraftale i medfør af persondatalovens § 42, stk. 2.

Den dataansvarliges kontrol med databehandlere
Rockwoolfonden har i oplysningsskemaet om databehandlere (Epinion) svaret nej til, at Rockwoolfonden har påset3, at Epinion har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven. Rockwoolfonden har begrundet dette med, at fonden ikke vidste, at dette var et krav. Rockwoolfonden har imidlertid oplyst, at fonden vil anmode Epinion om at redegøre for de foranstaltninger, de har truffet for at overholde persondatalovens § 41, stk. 3-5.

Rockwoolfonden har i oplysningsskemaet i forhold til Danmarks Statistik svaret ja til, at Rockwoolfonden har påset, at Danmarks Statistik har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven. Rockwoolfonden henviser til, at Danmarks Statistik løbende udgiver dokumentation for datasikkerhed og datafortrolighed, og at seneste udgivelse er fra 2015.

Datatilsynet vil ikke afvise, at Rockwoolfonden som dataansvarlig vil kunne påse, at sikkerheden hos Danmarks Statistik er tilstrækkelig, ved hjælp af dokumentation herfor, som Danmarks Statistik har stillet til rådighed for Rockwoolfonden og offentligheden. Dette kunne eksempelvis være tilfældet, hvis Danmarks Statistik giver Rockwoolfonden adgang til (eller offentliggør) en årlig revisionserklæring fra en uafhængig tredjepart, som også dækker de behandlinger, som Rockwoolfonden får udført hos Danmarks Statistik.

Rockwoolfondens henvisninger til Danmarks Statistiks hjemmeside-udgivelse fra 2015 kan imidlertid ikke antages at udgøre tilsyn fra Rockwoolfondens side. 

På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at Rockwoolfonden ikke i fuldt tilstrækkeligt omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

  1. at Rockwoolfonden har 35 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til 13 af disse projekter
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at Rockwoolfonden iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at Rockwoolfonden iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at Rockwoolfonden har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, og
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra Rockwoolfonden, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at Rockwoolfonden ikke i fuldt tilstrækkeligt omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

Datatilsynet finder det samlet set beklageligt, at Rockwoolfonden som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Rockwoolfonden bedes oplyse, hvilke skridt fonden vil tage med henblik på at sikre efterlevelse af persondataloven fremover.

Rockwoolfondens svar bedes være Datatilsynet i hænde senest fire uger fra dette brevs dato.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside.

___________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.  
2Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

 

 

 

Afgørelser efter emneord:


Fritekstsøgning i afgørelser