Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 03.02.17

Journalnummer: 2016-611-0028

Du er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har du udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der er stillet spørgsmål om. Der er således tale om en stikprøvevis undersøgelse af udvalgte spørgsmål. Vilkår og emner som ikke har været genstand for tilsynet kan således ikke anses for godkendt eller accepteret af Datatilsynet.

Sammenfattende kan Datatilsynet konkludere

  1. at du har 15 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til 14 af disse projekter (et af projekterne er efter det oplyste undtaget fra anmeldelsespligten til Datatilsynet, da projektet er omfattet af lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter).
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at du har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, og
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
    4.3. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Kræftens Bekæmpelse. I dine besvarelser ses Kræftens Bekæmpelse imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at du ikke har levet op til persondatalovens1 krav om, at sikkerheden hos databehandlerne skal påses.

Datatilsynet finder det samlet set beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
Du har oplyst, at dine databehandlere er blevet gjort bekendt med vilkårene i de relevante tilladelser fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
Du skulle for fire af dine verserende projekter oplyse, om identifikationsoplysninger, der behandles elektronisk, er krypteret, erstattet af et kodenummer el. lign., eller om alle oplysninger lagres krypteret.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger på baggrund af dine besvarelser til grund, at du iagttager dette vilkår.
 
Datatilsynets vilkår for sikkerhed – krav om passwords
Du skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Din besvarelse viser, at der i de fire undersøgte projekter er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, og at passwords udskiftes hver sjette måned.

Du har endvidere svaret på nærmere spørgsmål fra Datatilsynet om de tildelte passwords, herunder at der er stillet krav om, at de anvendte passwords holdes fortroligt/hemmeligt.

Databehandleraftaler
Datatilsynets tilsyn med dig omfattede en stikprøvevis undersøgelse af din efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Du har oplyst, at der benyttes to databehandlere, som der er indgået en skriftlig databehandleraftale med, jf. persondatalovens § 42, stk. 2.

Datatilsynet har anmodet om at få en kopi af en databehandleraftale indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra dig. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.

Datatilsynet kan konstatere, at den fremsendte aftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra dig. Datatilsynet har herudover ikke taget stilling til, hvorvidt aftalen udgør en databehandleraftale i medfør af persondatalovens § 42, stk. 2.

Kræftens Bekæmpelses Forskningscenters rolle
Du har i oplysningsskemaet oplyst, at projektdata for visse forskningsprojekter opbevares på en server eller computer hos den dataansvarlige. Det er herefter anført, at data opbevares på en server hos Kræftens Bekæmpelses Forskningscenter.

Datatilsynet må derfor lægge til grund, at du tillige benytter Kræftens Bekæmpelse som databehandler.

I dine besvarelser ses Kræftens Bekæmpelse imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.

Datatilsynet skal anmode om, at du i din tilbagemelding til tilsynet redegør for, hvordan dette vil blive håndteret fremadrettet.

Den dataansvarliges kontrol med databehandlere
Du har i oplysningsskemaet svaret nej til, at du har påset3, at databehandlerne har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven, og at du har påset dette. Du har i et tilfælde begrundet dette med, at Danmarks Statistik som databehandler har truffet alle sikkerhedsforanstaltninger, og at al data, som behandles hos dem, kun kan tilgås i anonymiseret form af autoriserede forskere. I det andet tilfælde har du begrundet svaret nej med, at data er udleveret i anonymiseret form og bliver opbevaret på en sikker server hos IARC, der kun kan tilgås med password for de personer, som har adgang til data. IARC, i regi af WHO, efterlever strenge regulationer om datasikkerhed og adgang til data.

Datatilsynet vil ikke afvise, at du som dataansvarlig vil kunne påse, at sikkerheden hos Danmarks Statistik er tilstrækkelig, ved hjælp dokumentation herfor, som Danmarks Statistik måtte stille rådighed for de dataansvarlige og/eller offentligheden. Dette kunne eksempelvis være tilfældet, hvis Danmarks Statistik giver dig adgang til (eller offentliggør) en årlig revisionserklæring fra en uafhængig tredjepart, der også dækker de behandlinger, som du får udført hos Danmarks Statistik.

Dine henvisninger til Danmarks Statistiks generelle høje standard kan imidlertid ikke antages at udgøre tilsyn fra din side i forhold til databehandleren.

På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

Da du så vidt ses herudover benytter Kræftens Bekæmpelses Forskningscenter som databehandler, skal Datatilsynet bede dig redegøre for, hvorvidt og hvornår du agter at påse sikkerheden hos databehandleren Kræftens Bekæmpelses Forskningscenter.

For så vidt angår den omtalte udlevering af anonyme oplysninger til en databehandler i Frankrig, er dette ikke omfattet af persondataloven, hvis oplysningerne vitterligt er anonyme (for enhver) og ikke blot pseudonymiserede.

Hvis oplysningerne er pseudonymiserede, er der stadig tale om personoplysninger, og behandlingen ved databehandleren sker på dine vegne og på dit ansvar. I så fald har skal du som dataansvarlig leve op til persondatalovens § 42, stk. 1. Det er dit ansvar, at sikkerheden hos din databehandler lever op til persondatalovens krav og Datatilsynets vilkår.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

  1. at du har 15 verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til 14 af disse projekter (et af projekterne er efter det oplyste undtaget fra anmeldelsespligten til Datatilsynet, da projektet er omfattet af lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter).
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler må Datatilsynet konkludere:
    4.1. at du har oplyst, at der er indgået databehandleraftaler med de databehandlere, der anvendes, og
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
    4.3. Det fremgår af besvarelserne i sagen, at du tillige opbevarer oplysninger på en server hos Kræftens Bekæmpelse. I dine besvarelser ses Kræftens Bekæmpelse imidlertid ikke at være blevet betragtet som databehandler, og der foreligger ingen oplysninger om en databehandleraftale mellem dig som privat dataansvarlig for de omhandlede projekter og organisationen.
  5. Vedrørende kontrol med databehandlere må Datatilsynet lægge til grund:
    5.1. at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

Datatilsynet finder det samlet set beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Du bedes oplyse, hvilke skridt du vil tage med henblik på at sikre efterlevelse af persondataloven fremover. Herunder ønskes de specifikke spørgsmål, som i gennemgangen ovenfor er rejst i forhold til dine svar, tillige besvaret.

Dit svar bedes være Datatilsynet i hænde senest fire uger fra dette brevs dato.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside. Dette vil ske uden angivelse af dit navn.

 

 

 

_______________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Relaterede emneord og paragraffer

Arbejdsplads, Databehandler, Revisionserklæring

Afgørelser efter emneord:


Fritekstsøgning i afgørelser