Tilsyn med Region Syddanmarks brug af personoplysninger til forskning

Dato: 20-07-2022
Afgørelse Offentlige myndigheder Kritik Tilsyn / egendriftssag Databehandler Følsomme oplysninger

Datatilsynet udvalgte tre forskningsprojekter som genstand for tilsynet inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”. Datatilsynet fandt ikke anledning til at udtale kritik af regionens vurdering af behandlingsgrundlaget i projekterne, men udtalte til gengæld kritik af to af regionens databehandleraftaler.

Journalnummer: 2020-422-0026

Resume

Datatilsynet har afsluttet et skriftligt tilsyn med Region Syddanmark med fokus på behandling af personoplysninger på forskningsområdet.

Som led i tilsynet modtog Datatilsynet blandt andet en fortegnelse over igangværende forskningsprojekter hos Region Syddanmark, en mere generel fortegnelse over behandlingsaktiviteter på forskningsområdet i regionen samt regionens retningslinje for databehandleraftaler og tilsyn med databehandlere. Datatilsynet udvalgte tre forskningsprojekter som genstand for tilsynet inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”.

Datatilsynet fandt ikke anledning til at tilsidesætte Region Syddanmarks vurdering af grundlaget for behandlingen af personoplysninger i de tre projekter.

Imidlertid udtalte Datatilsynet kritik af, at regionen for så vidt angik to databehandleraftaler ikke havde påvist, at de havde taget stilling til, på hvilket niveau regionen som dataansvarlig ville føre tilsyn med deres databehandlere. I den forbindelse havde regionen heller ikke påvist, at deres retningslinje for tilsyn med databehandlere var blevet fulgt.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 9. oktober 2020 iværksatte et skriftligt tilsyn med Region Syddanmark med fokus på regionens behandling af personoplysninger til forskningsbrug.

Datatilsynet udvalgte efterfølgende tre forskningsprojekter inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”, som nedenstående afgørelse vedrører.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at behandlingen af personoplysninger i forbindelse med forskningsprojekterne kunne ske inden for rammerne af reglerne i databeskyttelsesforordningen[1].

Datatilsynet finder imidlertid anledning til at udtale kritik af, at Region Syddanmark for så vidt angår databehandleraftalen for forskningsprojekt nr. 1 og databehandleraftalen med en af databehandlerne for forskningsprojekt nr. 3 ikke har påvist, at der er taget stilling til tilsynsniveauet, og at regionens retningslinje for fastsættelse af tilsynsniveauet i den forbindelse er blevet fulgt.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet varslede den 9. oktober 2020 Region Syddanmark om, at tilsynet ville føre skriftligt tilsyn med regionens behandling af personoplysninger til forskningsbrug. Datatilsynet anmodede i den forbindelse om at modtage en oversigt over regionens igangværende forskningsprojekter og en oversigt over regionens politikker, procedurer og retningslinjer.

Region Syddanmark fremsendte den 30. november 2020 en oversigt over regionens igangværende sundhedsvidenskabelige forskningsprojekter og en mere generel fortegnelse over forskningsområdet i regionen ført i overensstemmelse med databeskyttelsesforordningens artikel 30. Endvidere fremsendte Region Syddanmark en liste over videregivelser af oplysninger til andre sundhedsvidenskabelige forskningsprojekter uden for regionen.

På den baggrund udvalgte Datatilsynet følgende tre projekter inden for emnerne ”behandlingsgrundlag” og ”dataansvar og roller”:

  1. ”Molekylær screening for arvelig tarmkræft i Danmark” (lokalt journalnummer 18/56894 i bilag 1), opstartet den 1. januar 2013,
  2. ”DaneSpine – Livskvalitet og tekniske resultater efter rygkirurgisk indgreb” (lokalt journalnummer 18/22987 i bilag 1), opstartet den 1. november 2016 og
  3. ”Undersøgelse af cerebrale aneurismers karvæg med henblik på trækstyrke og korrelation til computerberegnet trækstyrke” (lokalt journalnummer 17/44503 i bilag 1), opstartet den 1. januar 2018.

Det fremgik af regionens oversigt, at der blev behandlet oplysninger om bl.a. helbredsforhold i forbindelse med alle tre projekter, samt at der blev benyttet databehandlere.

Datatilsynet anmodede den 19. februar 2021 Region Syddanmark om en række oplysninger angående de tre projekter, herunder oplysninger om lovgrundlaget for behandlingen af oplysningerne i projekterne, hvorvidt der var indgået databehandleraftaler, herunder hvornår, om der senere var sket opdatering, hvorvidt der var ført tilsyn med databehandlerne, samt om tilsynet var blevet udført i overensstemmelse med regionens retningslinje ”Indgåelse af databehandleraftaler og tilsyn med databehandlere”.

Endvidere anmodede Datatilsynet om at modtage kopi af databehandleraftalerne, dokumentation for eventuelle tilsyn med databehandlerne samt retningslinjen ”Indgåelse af databehandleraftaler og tilsyn med databehandlere”, som var opført på regionens liste over politikker, procedurer og retningslinjer (i forbindelse med en revision af retningslinjen i april 2021 er dennes titel ændret til ”Databehandleraftaler, tilsyn med databehandler og fortrolighedserklæringer”, jf. nedenfor afsnit 2.4.).

2.1.

Region Syddanmark har vedrørende forskningsprojekt nr. 1 (”Molekylær screening for arvelig tarmkræft i Danmark”) oplyst, at personoplysningerne i projektet behandles med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra j, og databeskyttelseslovens[2] § 10.

Region Syddanmark har i sit høringssvar af 19. marts 2021 oplyst, at der blev indgået en databehandleraftale den 15. november 2018 med HNPCC-registret. Databehandleraftalen er fortsat gældende, men er ikke blevet opdateret. Der er endnu ikke ført tilsyn med HNPCC-registret.

Følgende er indsat i databehandleraftalen om tilsynsmyndigheder, audits og revisorerklæringer:

”7.1. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige nødvendige oplysninger til, at denne kan påse forpligtelserne i henhold til denne aftale, herunder om de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger m.v.  er truffet. Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering.

7.2. I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion (audit) af de foranstaltninger, som Databehandleren foretager i medfør af Databehandleraftalen, forpligter Databehandleren sig til – med et rimeligt varsel – at stille tid og ressourcer til rådighed herfor. Databehandleren forpligter sig på samme måde til at sikre, at sådanne audits også kan gennemføres hos dennes Underdatabehandlere af Databehandleren.

7.3. Som supplement eller alternativ til de ovenfor nævnte audits kan der indgås aftale om, at Databehandleren og eventuelle Underdatabehandlere for egen regning sørger for, at en uafhængig ekspert årligt udarbejder en revisionserklæring på grundlag af en anerkendt standard angående Databehandlerens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Erklæringen skal være formuleret i forhold til den opgave, som Databehandleren løser for den Dataansvarlige. En aftale herom skal fremgår af pkt. 15, medmindre andet fremgår af hovedaftalen.”

Det bemærkes, at en aftale om en årlig revisionserklæring ikke ses vedtaget i databehandleraftalens pkt. 15.

2.2.

Region Syddanmark har vedrørende forskningsprojekt nr. 2 (”DaneSpine – Livskvalitet og tekniske resultater efter rygkirurgisk indgreb”) oplyst, at personoplysningerne i projektet behandles med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, og databeskyttelseslovens § 6. Derudover behandles helbredsoplysningerne med hjemmel i databeskyttelseslovens artikel 9, stk. 2, litra j, og databeskyttelseslovens § 10. Behandlingen af CPR-nummer har hjemmel i databeskyttelsesforordningens artikel 87 og databeskyttelseslovens § 11.

Endvidere har Region Syddanmark i marts 2019 oplyst, at der ikke længere er eksterne databehandlere tilknyttet forskningsprojektet, således som det ellers fremgår af regionens interne fortegnelse over igangværende sundhedsvidenskabelige forskningsprojekter. Systemet, hvori oplysningerne opbevares, er hjemtaget fra databehandleren til regionen for flere år siden. Region Syddanmark har i den forbindelse oplyst, at fortegnelsen vil blive opdateret i overensstemmelse hermed.

2.3.

Region Syddanmark har vedrørende forskningsprojekt nr. 3 (”Undersøgelse af cerebrale aneurismers karvæg med henblik på trækstyrke og korrelation til computerberegnet trækstyrke”) oplyst, at personoplysningerne i projektet behandles med hjemmel i komitéloven og databeskyttelseslovens § 10.

Region Syddanmark har oplyst, at der er to databehandlere tilknyttet forskningsprojektet. En databehandleraftale blev indgået med HD-Support ApS i april 2018, mens en databehandleraftale med Syddansk Universitet blev indgået i november 2020. For begge databehandleraftaler gælder, at de ikke siden indgåelsen er blevet opdateret.

For så vidt angår HD-Support ApS har Region Syddanmark oplyst, at der endnu ikke er udført tilsyn, men at der påtænkes udført et tilsyn i foråret 2021. Følgende er indsat i databehandleraftalen om tilsynsmyndigheder, audits og revisionserklæringer:

”Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger m.v. er truffet. Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering.

I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion (audit) af de foranstaltninger, som Databehandler foretager i medfør af Databehandleraftalen, forpligter Databehandleren sig til – med et rimeligt varsel – at stille tid og ressourcer til rådighed herfor. Databehandleren forpligter sig på samme måde til at sikre, at sådanne audits også kan gennemføres hos dennes Underdatabehandlere.

Som supplement eller alternativ til de ovenfor nævnte audits kan der indgås aftale om, at Databehandler og eventuelle Underdatabehandlere for egen regning sørger for, at en uafhængig ekspert årligt udarbejder en revisionserklæring på grundlag af en anerkendt standard angående Databehandlerens overholdelse af kravene til sikkerhedsforanstaltninger fastsat i Databehandleraftalen. Erklæringen skal være formuleret konkret i forhold til den opgave, som Databehandleren løser for den Dataansvarlige. En aftale herom kan fremgå af punkt 15.”

Det bemærkes, at en aftale om en årlig revisionserklæring ikke ses vedtaget i databehandleraftalens pkt. 15.

For så vidt angår Syddansk Universitet har Region Syddanmark oplyst, at det i databehandleraftalen er aftalt, at der skal føres tilsyn hvert tredje år, og at dette endnu ikke er udført. Følgende er indsat i databehandleraftalen om tilsyn og revision:

”7.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise Databehandlerens overholdelse af Databeskyttelseslovgivningen og Databehandleraftalen, til rådighed for den Dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

7.2. Der er i Databehandleraftalen aftalt følgende tilsyn Databehandleren skal hvert 3. år vederlagsfrit besvare og udfylde et spørgeskema udarbejdet af den Dataansvarlige. Den dataansvarlige eller en repræsentant for den dataansvarlige har herunder adgang til på et hvert tidspunkt at stille yderligere spørgsmål til Databehandleren, når der efter den dataansvarliges saglige vurdering opstår et behov herfor.”.”

2.4.

Region Syddanmark har udarbejdet retningslinjen ”Databehandleraftaler, tilsyn med databehandler og fortrolighedserklæringer”, hvoraf det fremgår, at fastsættelse af form og hyppighed for tilsyn med databehandleren skal ske på baggrund af en risikovurdering, som også skal ligge til grund for indgåelsen af databehandleraftalen. Tilsyn bør ifølge retningslinjen som udgangspunkt udføres en gang årligt.

Retningslinjen er senest blevet revideret i april 2021 ifølge dokumentets ændringslog. Region Syddanmark har oplyst, at det primært er retningslinjens ordlyd og udseende, som blev revideret. Datatilsynet må herefter lægge til grund, at afsnittet om fastsættelse af tilsynsniveau også var angivet i retningslinjen før april 2021.

Region Syddanmark har generelt vedrørende databehandleraftaler oplyst, at regionen iværksætter et arbejde i forhold til udarbejdelse af specifikt tilsynsmateriale til de pågældende projektansvarlige ud over det allerede eksisterende materiale i regionen. Tilsynsmaterialet målrettes forskningsområdet, idet regionen er bekendt med, at tilsyn er en stor opgave at løfte for de pågældende projektansvarlige. Tilsynsmaterialet kommer både til at regulere skriftlige og fysiske tilsyn.

3. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 9, stk. 1, at der som udgangspunkt gælder et forbud mod behandling af oplysninger omfattet af forordningens artikel 9, herunder helbredsoplysninger. Forbuddet finder imidlertid ikke anvendelse, hvis en af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, litra a-j, er opfyldt.

Efter databeskyttelsesforordningens artikel 9, stk. 2, litra j, er behandling af følsomme oplysninger omfattet af artikel 9, stk. 1, lovlig, bl.a. hvis behandling er nødvendig til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.

Det følger desuden af databeskyttelseslovens § 10, stk. 1, at oplysninger som nævnt i databeskyttelsesforordningens artikel 9, stk. 1, må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

3.1. Vedrørende forskningsprojekt nr. 1 og nr. 2

Idet oplysningerne blev behandlet i forbindelse med forskningsprojekter hos Region Syddanmark, der således må betragtes som videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, finder Datatilsynet, at behandlingen af oplysninger i forbindelse med forskningsprojekt nr. 1 og nr. 2 kunne ske inden for rammerne af databeskyttelsesforordningens artikel 9, stk. 2, litra j, jf. databeskyttelseslovens § 10, stk. 1, og databeskyttelsesforordningens artikel 6, stk. 1, litra e.

For så vidt angår forskningsprojekt nr. 2 angives hjemlen for behandling af CPR-nummer at være databeskyttelsesforordningens artikel 87 og databeskyttelseslovens § 11, hvilket ikke giver Datatilsynet anledning til bemærkninger.

3.2. Vedrørende forskningsprojekt nr. 3

Datatilsynet finder ikke grundlag for at tilsidesætte Region Syddanmarks vurdering af, at behandlingen af oplysningerne i forskningsprojekt nr. 3 kunne ske på baggrund af komitéloven, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra j, samt databeskyttelseslovens § 10.

3.3. Databehandleraftaler

For så vidt angår forskningsprojekt nr. 2 har Region Syddanmark oplyst, at der ikke længere er eksterne databehandlere tilknyttet forskningsprojektet, idet systemet, hvor oplysningerne opbevares, er hjemtaget for flere år siden.

Datatilsynet finder det uhensigtsmæssigt, at det på tidspunktet for høringen af regionen fremgik af regionens interne fortegnelse over igangværende sundhedsvidenskabelige forskningsprojekter, at der blev anvendt databehandlere. Tilsynet går ud fra, at fortegnelsen nu er opdateret.

Region Syddanmark har i forbindelse med forskningsprojekt nr. 1 og nr. 3 indgået databehandleraftaler med tre forskellige databehandlere i henholdsvis 2018 og 2020, og aftalerne er ikke senere opdateret. Dette giver ikke Datatilsynet anledning til bemærkninger.

3.4. Tilsyn med databehandlere

Det er Datatilsynets opfattelse, at en dataansvarlig skal påse behandlingssikkerheden hos sine databehandlere. Dette skyldes, at den dataansvarlige skal leve op til kravet om ansvarlighed i databeskyttelsesforordningens artikel 5 og derved skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen. Den dataansvarlige vil – efter Datatilsynets opfattelse – ikke kunne leve op til ovenstående krav ved blot at indgå en databehandleraftale med databehandleren. Den dataansvarlige må således også føre et (større eller mindre) tilsyn med, at den indgåede databehandleraftale overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.

Vedrørende forskningsprojekt nr. 1 bemærker Datatilsynet, at et tilsynsniveau ikke er fastsat i databehandleraftalen med HNPCC-registret, men at Region Syddanmark i sin retningslinje ”Databehandleraftaler, tilsyn med databehandler og fortrolighedserklæringer” har angivet, at tilsyn med databehandleren som udgangspunkt bør udføres en gang årligt. Region Syddanmark har imidlertid i marts 2021 oplyst, at der ikke er ført tilsyn med databehandleren.

Vedrørende forskningsprojekt nr. 3 bemærker Datatilsynet, at et tilsynsniveau ikke er fastsat i databehandleraftalen med HD-Support ApS, men at Region Syddanmark har oplyst, at et tilsyn var påtænkt udført i foråret 2021.

Vedrørende forskningsprojekt nr. 3 har Region Syddanmark ifølge databehandleraftalen med Syddansk Universitet én gang hvert tredje år skullet foretage et tilsyn af databehandleren. Det giver ikke tilsynet anledning til bemærkninger, at der ikke er ført tilsyn med databehandleren, idet databehandleraftalen først blev indgået i november 2020.

Datatilsynet finder imidlertid anledning til at udtale kritik af, at Region Syddanmark for så vidt angår databehandleraftalen for forskningsprojekt nr. 1 og databehandleraftalen med HD-Support ApS for forskningsprojekt nr. 3 ikke har påvist, at der er taget stilling til tilsynsniveauet, og at regionens retningslinje for fastsættelse af tilsynsniveauet i den forbindelse er blevet fulgt.

Datatilsynet har ved ovenstående afgørelse ikke i øvrigt taget nærmere stilling til, om det af Region Syddanmark fastsatte tilsynsniveau for databehandlere var passende.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).