Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med privat forskning

Brevdato: 03.02.17

Journalnummer: 2016-611-0031

Du er blandt de private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som tilsynet udvalgte til tilsyn i 2016. Efter anmodning fra Datatilsynet har Carsten Bøcker Pedersen på dine vegne udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med private forskere og virksomheder der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed fokuserede i 2016 navnlig på:

  • Iagttagelse af Datatilsynets vilkår,
  • databehandleraftaler, og
  • den dataansvarliges kontrol med databehandlere.

Datatilsynet har i forbindelse med tilsynet udvalgt specifikke spørgsmål og vilkår, som der ved brug af diverse oplysningsskemaer er stillet spørgsmål om. Der er således ikke foretaget en gennemgang af samtlige vilkår fra Datatilsynet eller krav efter persondataloven1 i denne sag.

Sammenfattende kan Datatilsynet konkludere

  1. at du har otte verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til syv af disse projekter, mens et projekt efter det oplyste er undtaget fra anmeldelsespligten til Datatilsynet, da projektet er omfattet af lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du for de fire undersøgte projekter iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du for de fire undersøgte projekter iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler:
    4.1. at du har oplyst, at der er indgået databehandleraftale med den databehandler, der anvendes, men
    4.2. at den fremsendte databehandleraftale ikke indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således ikke kan anses som en databehandleraftale.
    4.3. Datatilsynet er endvidere i tvivl om, hvorvidt du tillige opbevarer oplysninger på en server hos Aarhus Universitet, og tilsynet beder dig derfor oplyse, om der er tale om, at personoplysninger fra disse projekter, som du er privat dataansvarlig for, opbevares på Aarhus Universitets it-udstyr, og i givet fald, hvorvidt du har indgået – eller påtænker at indgå – en databehandleraftale med universitetet.
  5. Vedrørende kontrol med databehandleren:
    5.1. at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandler skal påses.

Datatilsynet finder det samlet set meget beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

En nærmere gennemgang af sagen følger nedenfor:

Iagttagelse af Datatilsynets vilkår
Du har oplyst, at din databehandler er blevet gjort bekendt med vilkårene i de relevante tilladelser fra Datatilsynet.

Datatilsynets vilkår for sikkerhed – krav om kryptering
Du har for fire undersøgte projekter oplyst, at personnummer er erstattet af et løbenummer. Database med link mellem personnummer og løbenummer opbevares særskilt.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.”

Datatilsynet lægger på baggrund af dine besvarelser til grund, at du iagttager dette vilkår.

Datatilsynets vilkår for sikkerhed – krav om passwords
Du skulle endvidere svare på spørgsmål om, hvor mange passwords der giver adgang til projektdataene, og hvem der har haft kendskab til disse passwords.

Det følger af Datatilsynets vilkår til private forskere og virksomheder, der foretager behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, at:

”Adgangen til projektdata må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det.”

Din besvarelse viser, at der for fire undersøgte projekter er udstedt personligt password til hver enkelt person, som skal have adgang til personoplysninger, at der er stillet krav om, at de anvendte passwords skal holdes fortrolige/hemmelige, og at passwords udskiftes mindst hver sjette måned. Dette administreres automatisk af it-systemet.

Databehandleraftaler
Datatilsynets tilsyn med dig omfattede en stikprøvevis undersøgelse af din efterlevelse af persondatalovens krav2 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.
 
Du har oplyst, at der benyttes én databehandler, som der er indgået en skriftlig databehandleraftale med, jf. persondatalovens § 42, stk. 2.

Datatilsynet har anmodet om at få en kopi af databehandleraftalen indsendt. Datatilsynet har ikke foretaget en detaljeret gennemgang af den tilsendte aftale, men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra dig. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven.

Den fremsendte aftale indeholder ingen formuleringer om, at databehandleren (Danmarks Statistik) alene handler efter instruks fra dig, og kan efter Datatilsynets opfattelse ikke anses for en databehandleraftale.

Herudover fremgår af din besvarelse, at data også opbevares på en server eller computer hos den dataansvarlige, altså hos dig. Ud fra beskrivelsen af opbevaringen er Datatilsynet imidlertid i tvivl om, hvorvidt oplysningerne i virkeligheden opbevares på en server hos Aarhus Universitet. Der omtales f.eks. en central PC placeret i printerrummet.

Datatilsynet skal derfor bede dig oplyse, om der er tale om, at personoplysninger fra disse projekter, som du er privat dataansvarlig for, opbevares på Aarhus Universitets it-udstyr. I givet fald ønskes det endvidere oplyst, hvorvidt du har indgået – eller påtænker at indgå – en databehandleraftale med universitetet.

Den dataansvarliges kontrol med databehandlere
Du har i oplysningsskemaet svaret ja til, at du har påset3, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven.

Under beskrivelsen af, hvordan sikkerheden er påset, har du anført, at:

”Det er den dataansvarliges opfattelse, at behandling af personoplysninger ved Danmarks Statistik til fulde overholder alle krav i Persondataloven, samt dennes sikkerhedsvejledning. Ydermere kan Danmarks Statistiks behandling af personoplysninger opfattes som gold-standard for behandling af personoplysninger. De væsentligste faktorer, som ligger til grund for denne vurdering, er:
1) Kun særligt bemyndigede personer har adgang til personoplysningerne ved Danmarks Statistik, og kun til oplysninger som på forhånd er godkendt af rette myndigheder (Datatilsynet, Sundhedsdatastyrelse, Videnskabsetisk Komite, Danmarks Statistik, andre dataansvarlige).
2) For alle behandlede oplysninger gælder, at personnummeret er erstattet at et unikt deidentificeret løbenummer.
3) Danmarks Statistik logger al adgang til oplysninger med angivelse af person og tidspunkt for login og logout.
4) Alle persondata behandles og opbevares udelukkende på Danmarks Statistiks særligt sikrede servere, hvorfra persondata hverken kan eller må downloades.
5) Det er muligt at sende resultater af analyserne til forskerens egen PC,  forudsat at det downloadede fylder højst 3 MB og ikke indeholder personoplysninger. Danmarks Statistik udfører efterfølgende stikprøvekontrol af sådanne eksporterede oplysninger mht indhold af persondata. Alle downloadede data opbevares i mindst 6 måneder. Disse kontrolinstanser skal sikre, at persondata ikke forlader de særligt sikrede servere. Kontrolinstanserne er meget ressourcekrævende at etablere og administrere. Ydermere, for data, der behandles af personer affilieret med Center for Registerforskning, har vi indført, at uerfarne brugere ikke selv kan sende resultater af analyserne til egen PC, for derigennem at sikre at persondata ikke fejlagtigt forlader Danmarks Statistiks særligt sikrede servere. For flere oplysninger henvises til vores manual til håndtering af persondata (kapitel 3).

Til trods for at undertegnede er dataansvarlig for personoplysningerne med Danmarks Statistik som databehandler, tager Danmarks Statstik også ansvar for behandling af alle personoplysninger jf datatilsynets j.nr 2015-54-0993.”

Datatilsynet vil ikke afvise, at du som dataansvarlig vil kunne påse, at sikkerheden hos Danmarks Statistik er tilstrækkelig, ved hjælp dokumentation herfor, som Danmarks Statistik måtte stille rådighed for de dataansvarlige og/eller offentligheden. Dette kunne eksempelvis være tilfældet, hvis Danmarks Statistik giver dig adgang til (eller offentliggør) en årlig revisionserklæring fra en uafhængig tredjepart, som også dækker de behandlinger, som du får udført hos Danmarks Statistik.

Dine henvisninger til Danmarks Statistiks generelle høje standard og Danmarks Statistiks anmeldelser til Datatilsynet kan imidlertid ikke antages at udgøre tilsyn fra din side i forhold til databehandleren. På grundlag af de modtagne oplysninger må Datatilsynet derfor konkludere, at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

Hvis du tillige benytter Aarhus Universitet som databehandler, skal du også iagttage kravet om at påse sikkerheden hos databehandleren i forhold til Aarhus Universitet.

Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere:

  1. at du har otte verserende projekter, hvor der behandles personoplysninger, og
  2. at Datatilsynet har givet tilladelse til syv af disse projekter, mens et projekter efter det oplyste er undtaget fra anmeldelsespligten til Datatilsynet, da projektet er omfattet af lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter.
  3. Vedrørende iagttagelse af Datatilsynets vilkår lægger tilsynet til grund:
    3.1. at du for de fire undersøgte projekter iagttager Datatilsynets vilkår om, at identifikationsoplysninger skal krypteres, erstattes af et kodenummer el. lign., eller at alle oplysninger lagres krypteret, og
    3.2. at du for de fire undersøgte projekter iagttager Datatilsynets vilkår om passwords.
  4. Vedrørende databehandleraftaler:
    4.1. at du har oplyst, at der er indgået databehandleraftale med den databehandler, der anvendes, men
    4.2. at det fremsendte eksempel på en databehandleraftale ikke indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra dig, og at denne aftale således ikke kan anses som en databehandleraftale.
    4.3. Datatilsynet er endvidere i tvivl om, hvorvidt du tillige opbevarer oplysninger på en server hos Aarhus Universitet, og tilsynet beder dig derfor oplyse, om der er tale om, at personoplysninger fra disse projekter, som du er privat dataansvarlig for, opbevares på Aarhus Universitets it-udstyr, og i givet fald, hvorvidt du har indgået – eller påtænker at indgå – en databehandleraftale med universitetet.
  5. Vedrørende kontrol med databehandleren:
    5.1. at du ikke har levet op til persondatalovens krav om, at sikkerheden hos databehandler skal påses.

Datatilsynet finder det samlet set meget beklageligt, at du som beskrevet ovenfor ikke til fulde har efterlevet persondataloven.

Du bedes oplyse, hvilke skridt du vil tage med henblik på at sikre efterlevelse af persondataloven og Datatilsynets vilkår fremover.

Dit svar bedes være Datatilsynet i hænde senest fire uger fra dette brevs dato.
 
Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at omtale denne sag på tilsynets hjemmeside. Dette vil ske uden angivelse af dit navn.

 

 

 

 

___________________________

1  Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

3 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Relaterede emneord og paragraffer

Databehandler, Revisionserklæring, Universitet

Afgørelser efter emneord:


Fritekstsøgning i afgørelser