Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 03.02.17

Journalnummer: 2016-611-0032

Du er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har du udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der ved brug af diverse oplysningsskemaer er stillet spørgsmål om. Der er således ikke foretaget en gennemgang af samtlige vilkår fra Datatilsynet eller krav efter persondataloven1 i denne sag.

Sammenfattende kan Datatilsynet konkludere

  1. at du har ét verserende projekt, hvor der behandles personoplysninger, samt et projekt, der er under forberedelse, og
  2. at Datatilsynet har givet tilladelse til begge projekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du for det verserende projekt iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler:
    4.1. at du har indgået databehandleraftaler med de databehandlere, som benyttes, samt
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
  5. Vedrørende kontrol med databehandlere:
    5.1. at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandler skal påses.

Datatilsynet finder det samlet set beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
Du har oplyst, at dine databehandlere er blevet gjort bekendt med vilkårene i den relevante tilladelse fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
Du har oplyst, at dine databehandlere har erstattet personnummer med et løbenummer.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger til grund, at du iagttager dette vilkår.

Datatilsynets vilkår for sikkerhed – krav om passwords
Du skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Din besvarelse viser, at der for det verserende projekt er udstedt et personligt password til hver enkelt person, som skal have adgang til personoplysninger, at der er stillet krav om, at de anvendte passwords er holdes fortroligt/hemmeligt, og at passwords automatisk udskiftes hver sjette måned.

Databehandleraftaler
Datatilsynets tilsyn med dig omfattede en stikprøvevis undersøgelse af din efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Du har oplyst, at alene projektet med titlen ”Almen medicinsk epidemiologi”, Datatilsynets j.nr. 2016-611-0032 er igangværende.

Du har endvidere oplyst, at der benyttes to databehandlere, som der er indgået en skriftlig databehandleraftale med, jf. persondatalovens § 42, stk. 2.

Datatilsynet har anmodet om at få en databehandleraftale indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra dig. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.

Den fremsendte aftale indeholder formuleringer om, at databehandleren (Sundhedsdatastyrelsen) alene handler efter instruks fra dig, og kan efter Datatilsynets opfattelse umiddelbart anses for en databehandleraftale.

På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at
du lever op til persondatalovens krav om en skriftlig databehandleraftale, jf. persondatalovens § 42, stk. 2.

Den dataansvarliges kontrol med databehandlere
Du har i oplysningsskemaet svaret ja til, at du har påset3, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven.

Under beskrivelsen af, hvordan sikkerheden er påset hos Sundhedsdatastyrelsen og Danmarks Statistik, har du anført følgende:

”Jeg er som dataansvarlig tryg ved at databehandleren overholder alle krav i Persondataloven, samt dennes sikkerhedsvejledning. Idet jeg har sikret mig at:

1) databehandlerne garanterer at kun særligt bemyndigede personer har adgang til personoplysningerne og kun til oplysninger, som på forhånd er godkendt af rette myndigheder (Datatilsynet, Sundhedsdatastyrelse, Videnskabsetisk Komite, Danmarks Statistik, andre dataansvarlige).
2) For alle behandlede oplysninger gælder, at personnummeret er erstattet at et unikt de-identificeret løbenummer.
3) Databehandlerne logger al adgang til oplysninger med angivelse af person og tidspunkt for login og logout.
4) Alle persondata behandles og opbevares udelukkende af databehandlerne på særligt sikrede servere, hvorfra persondata hverken kan eller må downloades.
5) Det er muligt at sende resultater af analyserne til forskerens egen PC, forudsat at de ikke indeholder personoplysninger. Databehandlerne udfører løbende kontrol af sådanne eksporterede oplysninger mht indhold af persondata.”

Datatilsynet vil ikke afvise, at du som dataansvarlig vil kunne påse, at sikkerheden hos Sundhedsdatastyrelsen og Danmarks Statistik er tilstrækkelig, ved hjælp dokumentation herfor, som Sundhedsdatastyrelsen og Danmarks Statistik måtte stille rådighed for de dataansvarlige og/eller offentligheden. Dette kunne eksempelvis være tilfældet, hvis Sundhedsdatastyrelsen og Danmarks Statistik giver dig adgang til (eller offentliggør) en årlig revisionserklæring fra en uafhængig tredjepart, som også dækker de behandlinger, som du får databehandlet hos Sundhedsdatastyrelsen og Danmarks Statistik.

Dine henvisninger til Sundhedsdatastyrelsens og Danmarks Statistiks generelle høje standard og godkendelser fra andre kan imidlertid ikke antages at udgøre tilsyn fra din side i forhold til databehandleren. På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at du ikke har levet op til persondataloven krav om, at sikkerheden hos databehandlerne skal påses.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

  1. at du har ét verserende projekt, hvor der behandles personoplysninger, samt et projekt, der er under forberedelse, og
  2. at Datatilsynet har givet tilladelse til begge projekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du for det verserende projekt iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler:
    4.1. at du har indgået databehandleraftaler med de databehandlere, som benyttes, samt
    4.2. at et fremsendt eksempel på en databehandleraftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således umiddelbart kan anses som en databehandleraftale.
  5. Vedrørende kontrol med databehandlere:
    5.1. at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandler skal påses.

Datatilsynet finder det samlet set beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Du bedes oplyse, hvilke skridt du vil tage med henblik på at sikre efterlevelse af persondataloven og Datatilsynets vilkår fremover.

Dit svar bedes være Datatilsynet i hænde senest fire uger fra dette brevs dato.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside. Dette vil ske uden angivelse af dit navn.

 

___________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.  
2Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
3Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

 

 

Relaterede emneord og paragraffer

Databehandler, Revisionserklæring

Afgørelser efter emneord:


Fritekstsøgning i afgørelser