Tilsyn med Region Hovedstadens behandling af personoplysninger til forskningsbrug

Dato: 16-02-2022

Datatilsynet har gennemført et planlagt skriftligt tilsyn hos Region Hovedstaden med fokus på emnerne behandlingsgrundlag og dataansvar.

Journalnummer: 2020-422-0025

Resume

I efteråret 2020 besluttede Datatilsynet at føre tilsyn med en række aktiviteter på forskningsområdet. Region Hovedstaden var blandt de myndigheder, Datatilsynet udvalgte til et skriftligt tilsyn.

I forbindelse med tilsynet modtog Datatilsynet en fortegnelse over igangværende forskningsprojekter hos Region Hovedstaden samt regionens politikker, procedurer og retningslinjer vedrørende databeskyttelse. Datatilsynet udvalgte på den baggrund tre forskningsprojekter som genstand for undersøgelsen inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller (dataansvar)”. 

Datatilsynet fandt ikke grundlag for at tilsidesætte Region Hovedstadens vurdering af grundlaget for behandlingen af personoplysninger i de tre projekter. Desuden konstaterede tilsynet, at der var indgået databehandleraftaler.

Tilsynet udtalte imidlertid kritik af, at Region Hovedstaden i et af projekterne ikke havde ført et tilstrækkeligt tilsyn inden for rammerne af det tilsynsniveau, regionen havde fundet passende. Tilsynet fandt det endvidere kritisabelt, at regionen i et andet projekt ikke havde fulgt regionens egen model for fastsættelse af tilsynsniveau.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at behandlingen af personoplysninger i forbindelse med forskningsprojekterne kunne ske inden for rammerne af reglerne i databeskyttelsesforordningen[1].

Region Hovedstaden har indgået databehandleraftaler med databehandlerne for forskningsprojekterne, og disse er ikke senere opdateret. Dette giver ikke Datatilsynet anledning til bemærkninger.

Datatilsynet finder imidlertid anledning til at udtale kritik af, at Region Hovedstaden for så vidt angår databehandleren for 2. forskningsprojekt ikke har ført tilsyn inden for rammerne af det tilsynsniveau, som regionen havde fundet passende, samt at regionen for så vidt angår databehandleraftalen for 3. forskningsprojekt ikke har fulgt regionens model for fastsættelse af tilsynsniveau, og at det i øvrigt ikke er påvist, at der var taget stilling til tilsynsniveauet.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet varslede den 9. oktober 2020 Region Hovedstaden om, at Datatilsynet ville føre skriftligt tilsyn med regionens behandling af personoplysninger til forskningsbrug. Datatilsynet anmodede i den forbindelse bl.a. om at modtage en oversigt over regionens igangværende forskningsprojekter og en oversigt over regionens politikker, procedurer og retningslinjer.

Region Hovedstaden fremsendte den 27. november 2020 bl.a. en oversigt over regionens igangværende forskningsprojekter, og på den baggrund udvalgte Datatilsynet følgende tre projekter inden for emnerne ”behandlingsgrundlag” og ”dataansvar og roller”

  1. “Efficacy of seven and fourteen days of antibiotic treatment in uncomplicated Staphy-lococcus aureus infection”, opstartet den 23. august 2017
  2. “Health predictors and consequences of inflammatory bowel disease and microscopic colitis”, opstartet den 1. oktober 2018
  3. ”Screening for epigenetiske forandringers betydning for T1D udvikling”, opstartet den 1. marts 2018

Det fremgik af regionens oversigt, at der blev behandlet oplysninger om bl.a. helbredsforhold i forbindelse med alle tre projekter, samt at der blev benyttet databehandlere.

I forbindelse med de tre forskningsprojekter anmodede Datatilsynet regionen om oplysninger vedrørende det lovlige grundlag for behandlingen af oplysninger i projekterne, hvorvidt der var indgået databehandleraftaler, herunder hvornår, om der senere var sket opdatering, samt hvorvidt der var ført tilsyn med databehandlerne.

Datatilsynet anmodede desuden om at modtage en kopi af databehandleraftalerne, dokumentation for eventuelle tilsyn med databehandlerne samt Region Hovedstadens politik kaldet ”Model for tilsyn med eksterne databehandlere”.

Dokumentet ”Model for tilsyn med eksterne databehandlere” er en beskrivelse af regionens fremgangsmåde ved vurderingen af, hvilket tilsynsniveau en databehandler skal være underlagt. Det beskrives, at tilsynsniveauet skal vurderes ud fra en risikovurdering, hvor der lægges vægt på følgende parametre: tilsynskompleksitet, oplysningernes personhenførbarhed (dvs. bl.a. om oplysningerne er pseudonymiserede), antallet af registrerede og fortrolighedsniveauet (dvs. oplysningernes karakter og om der er tale om almindelige eller følsomme oplysninger).

Regionen har udarbejdet et excel-ark, hvor databehandleren scores fra 1 (lav) til 5 (høj) på de forskellige parametre, og på baggrund heraf udregnes en samlet risikoscore. Ud fra risikoscoren tildeles et tilsynsniveau på enten, lav, mellem, høj eller meget høj, som angiver, hvilken form for tilsyn, der skal føres, og hvor hyppigt der skal føres tilsyn. Hvis den tilsynsansvarlige har grund til at stille spørgsmålstegn ved dette tilsynsniveau, skal der imidlertid foretages en konkret risikovurdering.

2.1.

Region Hovedstaden har vedrørende 1. forskningsprojekt oplyst, at forskningsprojektet er et klinisk lægemiddelforsøg, der udføres med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra j, samt komitéloven og lægemiddelloven.

Det fremgår af afsnit 2.4.1.2.1 til forslag til lov om videnskabsetisk behandling af kliniske afprøvninger af medicinsk udstyr m.v. (L 159), at lægemiddelloven, komitéloven, samt GCP-bekendtgørelsen udgør hjemmelsgrundlaget for forskernes behandling, herunder indsamling  af personoplysninger i forbindelse med kliniske forsøg med lægemidler til brug for forskningsformål og med henblik på opfyldelse af de retlige forpligtelser, der påhviler forskeren, uanset  at de nævnte retsgrundlag ikke indeholder egentlige databeskyttelsesretlige regler.

Nærværende kliniske lægemiddelforsøg er omfattet af lægemiddelloven, komitéloven og GCP-bekendtgørelsen, idet der er tale om et klinisk forsøg med lægemidler, hvor det pågældende lægemiddel testes på mennesker. Det fremgår af de konkrete nationale hjemmelsgrundlag, at sådanne forsøg er omfattet af lovenes anvendelsesområde – og for både komiteloven og lægemiddellovens vedkommende gælder, at der er en decideret anmeldelsespligt.

Det er derfor Region Hovedstadens opfattelse, at lægemiddelloven, komitéloven samt GCP-bekendtgørelsen tilsammen udgør det nationale retsgrundlag, som i sammenhæng med artikel 9, stk. 2, litra j, udgør grundlaget for behandlingen af personoplysninger i forbindelse med det pågældende kliniske lægemiddelforsøg.

Forskningsprojektet påbegyndtes den 23. august 2017, og regionen har oplyst, at der generelt er tale om et projekt, hvor der løbende bliver tilføjet nye inklusionssteder og eksterne parter.

Efter projektets opstart blev der inkluderet et center i Brasilien – Pontifícia Universidade Católica do Parana, som skulle bidrage til databehandlingen. Det brasilianske site blev først tilføjet til projektet, da det blev relevant og tilladt at inkludere patienter fra Brasilien i projektet, og databehandleraftalen blev derfor også først indgået den 3. november 2020. Aftalen er ikke opdateret efterfølgende.

Region Hovedstaden har videre oplyst, at regionen endnu ikke har ført tilsyn med databehandleren. Niveauet for tilsyn er fastsat i overensstemmelse med Region Hovedstadens model for tilsyn med eksterne databehandlere, og der vil således løbende og som minimum hvert tredje år blive sendt et spørgeskema, som databehandleren skal svare på.

Følgende er indsat i databehandleraftalen om tilsyn:

“The Data Processor shall at the request from the Data Controller complete a questionnaire regarding the compliance of the Data Processing Agreement. The questionnaire will contain approximately 10 questions, drawn up by the Data Controller. The agreed audit level does not prevent the Data Controller from carrying out a separate audit in accordance with the Data Processing Agreement clause 7.1.”

2.2.

Region Hovedstaden har vedrørende 2. forskningsprojekt oplyst, at der er tale om et registerforskningsprojekt, der udføres med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel, 9, stk. 2, litra j, og databeskyttelseslovens[2] § 10, stk. 1.

Region Hovedstaden har den 19. juni 2019 indgået en rammedatabehandleraftale med Danmarks Statistisk, som erstattede den tidligere rammeaftale, der var indgået mellem parterne den 23. februar 2015. Der er tale om en overordnet aftale vedrørende Region Hovedstadens brug af forskermaskinen hos Danmarks Statistik. Aftalen er ikke senere opdateret.

Af hensyn til regionernes ressourcer og for at sikre, at alle fem regioner ikke samtidig fører tilsyn med samme leverandør, besluttede regionerne at udføre fælles tilsyn med en række databehandlere, som alle regionerne anvendte. Én region blev derfor udpeget som tilsynsførende på vegne af de andre regioner for de udvalgte systemer.

Da alle fem regioner anvender Danmarks Statistisks forskerservice har Region Syddanmark på vegne af regionerne udført tilsynet med Danmarks Statistisks forskerservice. Tilsynet blev udført i perioden 27. november 2020 til den 4. marts 2021 som et skriftligt tilsyn i form af indhentelse af en ekstern revisionserklæring af typen ISAE 3000 i overensstemmelse med databehandleraftalen. Region Hovedstaden har fremsendt dokumentation herfor.

Følgende fremgår af databehandleraftalen vedrørende tilsyn:

”Databehandleren stiller alle oplysninger, der er nødvendige for at påvise databehandlerens overholdelse af databeskyttelsesforordningens artikel 28 og denne aftale, til rådighed for den dataansvarlige. Dette sker ved, at databehandler årligt stiller en ekstern revisionserklæring til rådighed for den dataansvarlige.”

Tilsynsniveauet var fastsat før Region Hovedstadens model for tilsyn med eksterne databehandlere blev udarbejdet.

2.3.

Region Hovedstaden har vedrørende 3. forskningsprojekt oplyst, at forskningsprojektet er et sundhedsvidenskabeligt interventionsstudie, der udføres med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra j, databeskyttelseslovens § 10, stk. 1, og komitéloven.

Region Hovedstaden har den 30. januar 2020 indgået en databehandleraftale med Lunds Universitet Diabetes Centre. Aftalen er ikke senere opdateret.

Databehandlerens opgave var først relevant efter, at dataindsamlingen for forskningsprojektet var færdiggjort, idet databehandlerens opgave var at analysere det biologiske materiale fra projektet. Databehandleraftalen blev derfor først indgået den 30. januar 2020, selv om selve projektet startede den 1. marts 2018.

Region Hovedstaden har ikke ført tilsyn med databehandleren. Formuleringen af tilsynsniveauet i databehandleraftalen følger ikke regionens model for tilsyn med eksterne databehandlere, da databehandleraftalen er indgået på en ældre version af regionens databehandleraftaleskabelon. Følgende er indsat i databehandleraftalen om tilsyn:

“At the request of the Data Controller, the Data Processor shall provide the Data Controller with necessary information to enable the Data Controller to supervise the obligations according to the present Data Processing Agreement, including whether the above technical and organisational security measures, etc., have been taken. Furthermore, the Data Processor shall document that identified vulnerabilities are met on the basis of a risk-based assessment.

If the Data Controller and/or the relevant public authorities, in particular the Data Protection Agency, wants/want to carry out a physical inspection (audit) of the measures taken by the Data Processor according to the Data Processing Agreement, the Data Processor undertakes – with a reasonable notice – to make time and resources available for this purpose. Similarly, the Data Processor undertakes to ensure that such audits can also be carried out by the Data Processor at his Sub-Processors.”

3. Begrundelse for Datatilsynets afgørelse

3.1. Behandlingsgrundlag

Det følger af databeskyttelsesforordningens artikel 9, stk. 1, at der som udgangspunkt gælder et forbud mod behandling af oplysninger omfattet af forordningens artikel 9, herunder helbredsoplysninger. Forbuddet finder imidlertid ikke anvendelse, hvis en af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, litra a-j, er opfyldt.

Efter databeskyttelsesforordningens artikel 9, stk. 2, litra j, er behandling af følsomme oplysninger omfattet af artikel 9, stk. 1, lovlig, bl.a. hvis behandling er nødvendig til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

Følgende fremgår af bemærkningerne til forslag til lov om videnskabsetisk behandling af kliniske afprøvninger af medicinsk udstyr m.v.[3]:

”Det følger af komitélovens § 3, stk. 3, at forsøgspersonens samtykke til deltagelse i et klinisk forsøg med lægemidler giver sponsor, sponsors repræsentanter og investigator direkte adgang til at indhente oplysninger i patientjournaler m.v., herunder elektroniske journaler, med henblik på at se oplysninger om forsøgspersonens helbredsforhold, som er nødvendige som led i gennemførelse af forskningsprojektet, herunder kvalitetskontrol og monitorering, som disse er forpligtet til at udføre.

Det følger endvidere af lægemiddellovens § 89, stk. 3, at et samtykke afgivet efter persondataloven (i dag databeskyttelsesloven) giver sponsor og sponsors repræsentanter og investigator direkte adgang til at indhente oplysninger i patientjournaler m.v., herunder i elektroniske journaler, med henblik på at se oplysninger om forsøgspersonens helbredsforhold, som er nødvendige som led i gennemførelsen af forskningsprojektet, herunder kvalitetskontrol og monitorering, som disse er forpligtet til at udføre.

Sponsor er en fysisk eller juridisk person, der påtager sig ansvaret for igangsætning, ledelse eller finansiering af et sundhedsvidenskabeligt forskningsprojekt, der bl.a. angår kliniske forsøg med lægemidler, jf. komitélovens § 2, nr. 6.

Sponsors repræsentant er en monitor, der i henhold til komitélovens § 2, nr. 14, § 5, nr. 3, samt §§ 15 og 16 i bekendtgørelse nr. 695 af 12. juni 2013 om god klinisk praksis i forbindelse med kliniske forsøg med lægemidler på mennesker (herefter GCP-bekendtgørelsen), skal sikre, at data indsamlet i forsøget er robuste og pålidelige. Sponsor udpeger monitor.

Investigator (i medfør af komitélovens § 2, nr. 6, defineret som forsøgsansvarlig) er en person, som er ansvarlig for den praktiske gennemførelse af forsøget på et bestemt forsøgssted.

Komitélovens § 3, stk. 3, og lægemiddellovens § 89, stk. 3, regulerer alene, hvornår sponsor, sponsors repræsentanter og investigator kan indhente patientjournaloplysninger – dvs. selve den elektroniske indhentelsesadgang, og ikke den øvrige behandling af personoplysninger, der sker i forbindelse med et klinisk forsøg med lægemidler.

Det følger endvidere af komitélovens § 3, stk. 4, at samtykket til deltagelse i et sundhedsvidenskabeligt forskningsprojekt, der bl.a. angår kliniske forsøg med lægemidler, på ethvert tidspunkt kan tilbagekaldes, uden at det er til skade for forsøgspersonen. En tilbagekaldelse berører ikke adgangen til at behandle personoplysninger, der allerede er indgået i forskningsprojektet, om den pågældende forsøgsperson. 

Derudover indeholder lægemiddelloven og komitéloven bestemmelser om, hvornår sponsor/investigator vil være retligt forpligtet til at behandle personoplysninger.

Det følger eksempelvis af komitélovens § 30, stk. 1, at sponsor eller den forsøgsansvarlige omgående skal underrette den tilsynsførende komité, hvis der under gennemførelsen af et sundhedsvidenskabeligt forskningsprojekt, der bl.a. angår kliniske forsøg med lægemidler, opstår formodede alvorlige uventede bivirkninger som følge af projektet. Det følger endvidere af lægemiddellovens § 89, stk. 2, nr. 1, at sponsor omgående skal underrette Lægemiddelstyrelsen, hvis der under forsøget optræder uventede og alvorlige formodede bivirkninger.

Det følger endvidere af §§ 17 og 18 i GCP-bekendtgørelsen, at sponsor og investigator skal udarbejde og opbevare en masterfil for det kliniske forsøg. Formålet med masterfilen er at gennemføre det kliniske forsøg og for Lægemiddelstyrelsen løbende at vurdere kvaliteten af de data, der frembringes, herunder hvorvidt sponsor og investigator har overholdt principperne og retningslinjerne for god klinisk praksis.

Masterfilen indeholder eksempelvis oplysninger om forsøgspersonerne i form af underskrevne samtykke- og fuldmagtserklæringer samt rapportering af bivirkninger fra investigator til sponsor, jf. bilag 2 i GCP-bekendtgørelsen.

Lægemiddelloven, GCP-bekendtgørelsen og komitéloven forudsætter således behandling af personoplysninger om forsøgspersonerne som led i deltagelse i et klinisk forsøg, og derved udgør de nævnte love og GCP-bekendtgørelsen hjemmelsgrundlaget for forskerens behandling, herunder indsamling af personoplysninger i forbindelse med kliniske forsøg med lægemidler til brug for forskningsformål og med henblik på opfyldelse af de retlige forpligtigelser, der påhviler forskeren, uanset at de nævnte retsgrundlag ikke indeholder egentlige databeskyttelsesretlige regler. Lægemiddelloven, GCP-bekendtgørelsen og komitéloven er opretholdt inden for rammerne af databeskyttelsesforordningens artikel 9, stk. 2, litra j, jf. Justitsministeriets betænkning nr. 1565 om databeskyttelsesforordningen, del II, side 61 f. For en nærmere gennemgang af de databeskyttelsesretlige regler henvises til afsnit 2.4.1.1. ovenfor om databeskyttelsesloven og databeskyttelsesforordningen.”

Datatilsynet finder på baggrund heraf ikke anledning til at tilsidesætte Region Hovedstadens vurdering af, at behandlingen af oplysningerne i forbindelse med det kliniske forsøg med lægemidler (1. forskningsprojekt) kunne ske på baggrund af artikel 9, stk. 1, litra j, jf. lægemiddelloven, GCP-bekendtgørelsen og komitéloven og samtidig databeskyttelsesforordningens artikel 6, stk. 1, litra e.

Det følger af databeskyttelseslovens § 10, stk. 1, at oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

Idet oplysningerne blev behandlet i forbindelse med forskningsprojekter hos Region Hovedstaden og således må betragtes som videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, finder Datatilsynet, at behandlingen af oplysninger i forbindelse med 2. og 3. forskningsprojekt kunne ske inden for rammerne af databeskyttelsesforordningens artikel 9, stk. 2, litra j, jf. databeskyttelseslovens § 10, stk. 1, og samtidig databeskyttelsesforordningens artikel 6, stk. 1, litra e.

3.2. Databehandleraftaler

Region Hovedstaden har i forbindelse med alle tre forskningsprojekter indgået databehandleraftaler i enten 2019 eller 2020 med de forskellige databehandlere, og aftalerne er ikke senere er opdateret. Dette giver ikke Datatilsynet anledning til bemærkninger.

3.3. Tilsyn med databehandlere

Det er Datatilsynets opfattelse, at en dataansvarlig skal påse behandlingssikkerheden hos sine databehandlere. Dette skyldes, at den dataansvarlige skal leve op til kravet om ansvarlighed i databeskyttelsesforordningens artikel 5 og derved skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen. Den dataansvarlige vil – efter Datatilsynets opfattelse – ikke kunne leve op til ovenstående krav ved blot at indgå en databehandleraftale med databehandleren. Den dataansvarlig må således også føre et (større eller mindre) tilsyn med, at den indgåede databehandleraftale overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.

Vedrørende 1. forskningsprojekt bemærker Datatilsynet, at regionen ud fra sin model for tilsyn med databehandlere har vurderet, at der skal føres tilsyn hvert tredje år, og det giver derfor ikke tilsynet anledning til bemærkninger, at der ikke er ført tilsyn med databehandleren, idet databehandleraftalen først blev indgået den 3. november 2020.

Vedrørende 2. forskningsprojekt har Region Hovedstaden ud fra sin model for tilsyn med databehandlere vurderet, at den dataansvarlige én gang årligt skulle stille en ekstern revisionserklæring til rådighed for at vise, at databehandleren overholdt forordningens artikel 28 og databehandleraftalen i øvrigt.

Datatilsynet bemærker, at regionerne har valgt at udføre tilsyn i fællesskab, og at Region Syddanmark i perioden fra den 27. november 2020 til den 4. marts 2021 førte skriftligt tilsyn med databehandleren på vegne af alle regionerne. Der ses således ikke for Region Hovedstadens vedkommende at være ført årligt tilsyn med databehandleren, idet Region Hovedstaden indgik databehandleraftalen den 19. juni 2019.

Vedrørende 3. forskningsprojekt bemærker Datatilsynet, at Region Hovedstaden har oplyst, at formuleringen af tilsynsniveauet i databehandleraftalen ikke følger regionens model for tilsyn med eksterne databehandlere, da databehandleraftalen er indgået på en ældre version af regionens databehandleraftaleskabelon. Der er i øvrigt ikke oplyst nærmere om tilsynsniveauet, hverken i databehandleraftalen eller i forbindelse med nærværende tilsyn. Datatilsynet finder det således ikke påvist, at der er taget stilling til tilsynsniveauet. 

Sammenfattende finder Datatilsynet anledning til at udtale kritik af, at Region Hovedstaden for så vidt angår databehandleren for 2. forskningsprojekt ikke har ført tilsyn inden for rammerne af det tilsynsniveau, som regionen havde fundet passende, samt at regionen for så vidt angår databehandleraftalen for 3. forskningsprojekt ikke har fulgt regionens model for fastsættelse af tilsynsniveau, og at det i øvrigt ikke er påvist, at der var taget stilling til tilsynsniveauet.

Datatilsynet har ved ovenstående afgørelse ikke i øvrigt taget nærmere stilling til, om det af Region Hovedstaden fastsatte tilsynsniveauet for databehandlerne var passende.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]  L 159 Forslag til lov om videnskabsetisk behandling af kliniske afprøvninger af medicinsk udstyr m.v., afsnit 2.4.1.2.1 (Genfremsat ved L 62 Forslag til lov om videnskabsetisk behandling af kliniske afprøvninger af medicinsk udstyr m.v., afsnit 2.4.1.2.1)