Aarhus Universitet får kritik for håndtering af personoplysninger i tre forskningsprojekter

Dato: 22-05-2024

Datatilsynet har afsluttet to tilsyn med fokus på Aarhus Universitets behandling af personoplysninger på forskningsområdet.

Journalnummer: 2023-421-0001.

Resumé

Datatilsynet havde i det ene tilsyn udvalgt tre forskningsprojekter som genstand for et skriftligt tilsyn inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”.

Datatilsynet fandt, at der var uklarhed om hjemmelsgrundlaget i to af projekterne. I et andet projekt var der tvivl om, hvorvidt der var indgået en fyldestgørende databehandleraftale. Endelig fandt tilsynet, at der i to projekter ikke var ført tilstrækkeligt tilsyn med universitetets databehandlere.

Tilsynet udtalte derfor kritik af, at Aarhus Universitets behandling af personoplysninger i de tre projekter ikke var sket i overensstemmelse med de databeskyttelsesretlige regler.

Under det andet tilsyn havde Datatilsynet været på fysisk tilsynsbesøg hos Aarhus Universitet, hvor genstanden for tilsynet var en tilladelse til at videregive biologisk materiale fra et forskningsprojekt. Datatilsynet besluttede efterfølgende at udvide tilsynet til at omfatte alle forskningsprojekter baseret på databeskyttelseslovens § 10, og hvor der inden for de seneste to år var sket videregivelse omfattet af tilladelseskravet i § 10, stk. 3.

Datatilsynet fandt i sagen grundlag for at udtale kritik af Aarhus Universitet, fordi universitetet ikke havde sikret sig et overførselsgrundlag i forbindelse med videregivelse af personoplysninger fra et forskningsprojekt.

Endelig udtalte tilsynet alvorlig kritik af, at universitetet i flere tilfælde ikke havde indhentet Datatilsynets tilladelse til videregivelse af personoplysninger.

Afgørelse 

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet den 9. oktober 2020 iværksatte et skriftligt tilsyn med Aarhus Universitet med fokus på Aarhus Universitets behandling af personoplysninger til forskningsbrug.

Datatilsynet udvalgte efterfølgende tre projekter inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller (dataansvar)”, som denne afgørelse vedrører.

Som følge af et skift af journalperiode i Datatilsynets journalhåndteringssystem har sagen nu fået j.nr. 2023-421-0001 (tidligere j.nr. 2020-421-0086).

1. Afgørelse

Sammenfattende finder Datatilsynet, at der er flere forhold i forbindelse med behandlingen af personoplysninger i de tre udvalgte projekter, som ikke ligger inden for rammerne af de databeskyttelsesretlige regler, idet der i projekt 1 og projekt 2 er uklarhed om hjemmelsgrundlaget, at der i projekt 1 er tvivl om, hvorvidt der er indgået en fyldestgørende databehandleraftale, og at der ikke er ført tilstrækkeligt tilsyn med databehandlere i projekt 1 og projekt 3.

Datatilsynet finder i den forbindelse, at der er grundlag for at udtale kritik af, at Aarhus Universitets behandling af personoplysninger i forbindelse med de tre udvalgte forskningsprojekter ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen[1].

Datatilsynet skal i den forbindelse anmode Aarhus Universitet om en redegørelse for, hvad universitetet – i lyset af de i sagen adresserede forhold – har foretaget og fremadrettet vil foretage sig med henblik på at sikre, at forskning på Aarhus Universitet udføres i overensstemmelse med de databeskyttelsesretlige regler. Datatilsynet skal anmode om denne redegørelse inden 2 måneder fra dags dato.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1.

Datatilsynet varslede den 9. oktober 2020 Aarhus Universitet om, at Datatilsynet ville føre skriftligt tilsyn med universitetets behandling af personoplysninger til forskningsbrug. Datatilsynet anmodede i den forbindelse bl.a. om at modtage en oversigt over universitetets igangværende forskningsprojekter og en oversigt over universitetets politikker, procedurer og retningslinjer.

Aarhus Universitet sendte den 1. december 2020 bl.a. en oversigt over universitetets igangværende forskningsprojekter, og på den baggrund udvalgte Datatilsynet følgende tre projekter inden for emnerne ”behandlingsgrundlag” og ”dataansvar og roller”:

  1. “The Aarhus Bereavement Study (TABs)”, opstartet den 1. september 2016
  2. “Lungefunktion blandt danske tvillinger”, opstartet den 1. november 2017
  3. “Risk of Cancer among women with prior cervical cancer: a register-based study”, opstartet den 26. november 2016

Det fremgik af den pågældende oversigt, at der i forbindelse med alle tre projekter blev behandlet oplysninger om bl.a. helbredsforhold, samt at der blev benyttet databehandlere.

Datatilsynet anmodede herefter den 26. februar 2021 Aarhus Universitet om en række oplysninger angående de tre projekter, herunder navnlig oplysninger vedrørende grundlaget for behandlingen af oplysningerne i projekterne, hvorvidt og i givet fald hvornår der var indgået databehandleraftaler, om der senere var sket en opdatering af aftalerne, samt hvorvidt der var ført tilsyn med de pågældende databehandlere.

Datatilsynet anmodede endvidere om at modtage kopi af de respektive databehandleraftaler, dokumentation for senest udførte tilsyn med databehandlerne samt Aarhus Universitets procedure med titlen ”Databehandleraftaler mm.”, som var opført på universitets oversigt over politikker, procedurer mv. (BILAG B.1).

Den 13. juni 2022 anmodede Datatilsynet om at få tilsendt yderligere oplysninger i form af kopi af Aarhus Universitets procedure for tilsyn med databehandlere eller – i mangel af en skriftlig procedure – en redegørelse for universitetets procedure for tilsyn med databehandlere.

2.2.

Det fremgår af oversigten af 1. december 2020, at behandlingen af personoplysninger i forskningsprojekt nr. 1 ”The Aarhus Bereavement Study (TABs)” blev foretaget med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a. Ifølge det oplyste indhentede universitetet i 2018 de registreredes samtykke til behandling af personoplysninger i forbindelse med projektet.

Aarhus Universitet har efterfølgende oplyst, at behandlingen af personoplysninger i projektet rettelig er baseret på databeskyttelsesforordningens artikel 6, stk. 1, litra e, og databeskyttelseslovens § 10, stk. 1, jf. artikel 9, stk. 2, litra j. For så vidt angår behandling af personnumre henviser universitetet til databeskyttelseslovens § 11, stk. 1.

Universitetet har bemærket, at komitélovens regler om indhentelse af et etisk samtykke skaber usikkerhed vedrørende behandlingsgrundlaget, og at der er risiko for, at det etiske samtykke forveksles med et databeskyttelsesretligt samtykke. Aarhus Universitet har anført, at det er denne usikkerhed, der har bevirket, at man i forbindelse med forskningsprojektet har indhentet et samtykke til behandling af personoplysninger, på trods af at behandlingen er baseret på udførelsen af en opgave i samfundets interesse.

Aarhus Universitet har benyttet the University of Queensland i Australien som databehandler i projektet. Af sagens materiale fremgår det, at universitetet i den forbindelse har anvendt Kommissionens Standard Contractual Clauses (SCC’s)[2] som overførselsgrundlag, jf. databeskyttelsesforordningens artikel 46, stk. 2, litra c. Aarhus Universitet har endvidere oplyst, at der ikke foreligger anden kontrakt med the University of Queensland, men at der er (opstået) tvivl om, hvorvidt SCC’en kan stå alene.

Følgende fremgår af Clause 5 i Standardbestemmelserne vedrørende tilsyn:

” The data importer agrees and warrants. […]

(f)   At the request of the data exporter to submit its processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority.”

Aarhus Universitet har endvidere oplyst, at der er ført et fysisk tilsyn med the University of Queensland i foråret 2019. Universitetet oplyste den 26. marts 2021, at universitetet ikke har ført yderligere fysiske tilsyn med databehandleren i perioden som følge af Covid-19, men at man havde planlagt et tilsyn i foråret 2022. Universitetet har videre oplyst, at der løbende er ført tilsyn med databehandleren ”online”, men at disse tilsyn er ikke blevet tilstrækkeligt dokumenteret.

Aarhus Universitet har i forbindelse med Datatilsynets tilsyn berigtiget sin fortegnelse, således at Danmarks Statistik ikke længere fremgår som databehandler, idet universitetet ikke har anvendt Danmarks Statistik som databehandler i forbindelse med forskningsprojektet.

2.3.

Aarhus Universitet har vedrørende forskningsprojekt nr. 2 ”Lungefunktion blandt danske tvillinger” oprindeligt i oversigten af 1. december 2020 oplyst, at behandlingen af personoplysninger i projektet foretages med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a. Desuden fremgik det af oversigten, at Det Danske Tvillingeregister var databehandler i forbindelse med projektet.

Den 11. marts 2021 oplyste Aarhus Universitet, at Det Danske Tvillingeregister ikke er databehandler i projektet. Det er herefter Datatilsynets forståelse, at universitetet ikke har benyttet databehandlere i projektet.

Aarhus Universitet har samtidig oplyst, at behandlingshjemlen for behandling af personoplysninger i projektet reelt er databeskyttelseslovens § 10, og at behandlingen således ikke var baseret på de registreredes samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a.

Behandlingen af personoplysninger i projektet sker således ifølge universitetet med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, og databeskyttelseslovens § 10, stk. 1, jf. artikel 9, stk. 2, litra j. Behandlingen af oplysninger om personnummer sker med hjemmel i databeskyttelseslovens § 11, stk. 1.

2.4.

Aarhus Universitet har vedrørende forskningsprojekt nr. 3 ”Risk of Cancer among women with prior cervical cancer: a register-based study” oplyst, at personoplysninger i projektet behandles med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, og databeskyttelseslovens § 10, stk. 1, jf. artikel 9, stk. 2, litra j. Oplysninger om personnumre behandles med hjemmel i databeskyttelseslovens § 11, stk. 1.

Ifølge sagens oplysninger har universitetet benyttet to databehandlere i forbindelse med forskningsprojektet.

Der er indgået en databehandleraftale med Danmarks Statistik på institutniveau den 31. maj 2018, og aftalen blev opdateret den 2. oktober 2019.  Databehandleraftalen dækker de behandlinger af personoplysninger, som udføres på instituttets autorisationer og på instituttets vegne.

For så vidt angår aftalen med Danmarks Statistik har Aarhus Universitet den 26. marts 2021 oplyst, at der ikke er gennemført tilsyn med databehandleren. Af databehandleraftalen af 2. oktober 2019 fremgår følgende vedrørende tilsyn:

”Databehandleren indhenter årligt en revisionserklæring fra en uafhængig tredjepart angående databehandlerens overholdelse af kravene i Databeskyttelsesforordningen.

Revisionserklæringen gøres tilgængelig på databehandlerens hjemmeside.”

Der er herudover indgået en databehandleraftale med Region Syddanmark den 6. september 2018.

Aarhus Universitet har den 26. marts 2021 oplyst, at der ikke er ført tilsyn med Region Syddanmark. Følgende fremgår af databehandleraftalen vedrørende tilsyn:

”3.5. Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige alle nødvendige oplysninger til, at denne kan påse, at Databehandleren overholder sine forpligtelser under Aftalen, herunder at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

3.6. Databehandleren skal hvert år i december for egen regning indhente en erklæring fra en uafhængig ekspert angående Databehandlerens overholdelse af sine forpligtelser under Aftalen. Erklæringen skal udarbejdes på grundlag af en anerkendt standard for sådanne erklæringer. Erklæringen skal sendes til den Dataansvarlige senest den 31. december det pågældende år.

3.7. Derudover har den Dataansvarlige ret til for egen regning at udpege en uafhængig ekspert, som skal have adgang til Databehandlerens fysiske faciliteter til behandling af personoplysninger samt modtage de nødvendige informationer til udførelse af undersøgelsen af, hvorvidt Databehandleren overholder sine forpligtelser under Aftalen. Eksperten skal på Databehandlerens anmodning underskrive en sædvanlig fortrolighedserklæring og behandle enhver information indhentet hos eller modtaget direkte fra Databehandleren fortroligt, og må alene dele informationen med den Dataansvarlige.”

2.5.

Aarhus Universitet har på Datatilsynets anmodning fremsendt en procedure med titlen ”Databehandleraftaler mm.” og i den forbindelse oplyst, at proceduren indeholder information om databehandleraftaler, herunder en beskrivelse af, hvad en databehandleraftale er, hvornår en databehandleraftale skal indgås, samt hvem der kan bistå med udarbejdelsen af databehandleraftaler på universitetet. Proceduren indeholder endvidere en henvisning til Datatilsynets vejledning om dataansvarlige og databehandlere.

Universitetet har endvidere den 23. juni 2022 oplyst, at universitetet ikke har en skriftlig procedure for tilsyn med databehandlere, men at tilsynsniveauet fastlægges efter en konkret vurdering af de konkrete risici, hvor bl.a. samarbejdspartneren, oplysningstypen og dataflowet indgår i vurderingen.

Universitetet har endvidere oplyst, at universitetet i forbindelse med registrering af et forskningsprojekt på universitetets fortegnelse fremsender et bekræftelsesbrev – inklusiv et bilag, der indeholder en række instrukser vedrørende behandlingen af personoplysninger – til den ansvarlige forsker.

3. Begrundelse for Datatilsynets afgørelse

3.1. Behandlingsgrundlag

Det følger af databeskyttelsesforordningens artikel 6, stk. 1, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandlingen af sine personoplysninger til et eller flere specifikke formål.

Det følger endvidere af databeskyttelsesforordningens artikel 9, stk. 1, at der som udgangspunkt gælder et forbud mod behandling af oplysninger omfattet af forordningens artikel 9, herunder helbredsoplysninger. Forbuddet finder imidlertid ikke anvendelse, hvis en af undtagelserne i databeskyttelsesforordningens artikel 9, stk. 2, litra a-j, er opfyldt.

Efter databeskyttelsesforordningens artikel 9, stk. 2, litra j, er behandling af oplysninger omfattet af artikel 9, stk. 1, lovlig, bl.a. hvis behandlingen er nødvendig til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes  grundlæggende rettigheder og interesser.

Regler herom er fastsat i databeskyttelseslovens § 10, stk. 1, hvorefter oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelserne.

Det fremgår af databeskyttelsesforordningens artikel 9, stk. 2, litra a, at behandling af personoplysninger er lovlig, hvis den registrerede har givet samtykke til behandling af oplysninger. Et samtykke fra den registrerede defineres i databeskyttelsesforordningens artikel 4, nr. 11, som:

”Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.”

Den registrerede skal endvidere have mulighed for at trække sit samtykke tilbage, uden at det er til skade for den registrerede.

Et databeskyttelsesretligt samtykke er – efter Datatilsynets opfattelse – udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres personoplysninger behandles. Når en dataansvarlig vælger at anvende samtykke som behandlingsgrundlag, skal den dataansvarlige derfor, hvis den registrerede trækker sit samtykke tilbage, respektere dette valg og stoppe den del af behandlingen, der var baseret på samtykket.

Datatilsynet har forstået det således, at der i projekt nr. 1 blev indhentet et yderligere samtykke ud over det etiske samtykke efter komitéloven.

Datatilsynet bemærker i den forbindelse, at den omstændighed, at der er givet den registrerede det indtryk, at behandlingen af personoplysninger i projektet er baseret på et (databeskyttelsesretligt) samtykke, vil kunne give den registrerede den opfattelse, at samtykket kan trækkes tilbage med den virkning, at behandlingen ikke skal fortsætte.

Aarhus Universitet har derved skabt en usikkerhed om hjemmelsgrundlaget for behandlingen af personoplysninger i projektet.

Heller ikke i forhold til forskningsprojekt nr. 2 står det tilsynet klart, hvorvidt universitetet har indhentet samtykke, eller om der alene har været tale om en fejl i universitetets fortegnelse. Uagtet heraf skal Datatilsynet imidlertid understrege vigtigheden af, at den dataansvarlige – inden behandlingen af personoplysninger påbegyndes – identificerer det rigtige behandlingsgrundlag.

I forhold til forskningsprojekt nr. 3 har Aarhus Universitet vurderet, at behandlingen af oplysningerne i projektet kunne ske på baggrund af databeskyttelseslovens § 10, stk. 1, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, og artikel 9, stk. 2, litra j.

3.2. Databehandleraftaler

Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, at en databehandlers behandling af personoplysninger på vegne af den dataansvarlige skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens  karakter  og  formål,  typen  af  personoplysninger  og  kategorierne  af  registrerede samt den dataansvarliges forpligtelser og rettigheder, herunder navnlig de i bestemmelsens litra a-h nævnte betingelser.

For så vidt angår forskningsprojekt nr. 1 fremgår det af sagens materiale, at Aarhus Universitet har benyttet Kommissionens SCC’er[3] som overførselsgrundlag, samt at universitetet ikke har indgået en særskilt databehandleraftale med databehandleren the University of Queensland. Aarhus Universitet har oplyst, at universitetet er (kommet) i tvivl om, hvorvidt SCC’en kan stå alene.

Datatilsynet bemærker hertil, at det ikke er tilstrækkeligt alene at etablere et overførselsgrundlag, når en dataansvarlig inden for EU benytter sig af en databehandler, der er etableret uden for EU og eller EØS. Den dataansvarlige skal også indgå en kontrakt eller andet retligt bindende dokument med databehandleren, der indholdsmæssigt opfylder de minimumskrav, der fremgår af forordningens artikel 28, stk. 3.

Det er efter Datatilsynets opfattelse ikke et krav, at den dataansvarlige udarbejder to forskellige kontrakter. Kommissionens standardbestemmelser må fx gerne indarbejdes i en databehandleraftale, så man nøjes med ét samlet aftaledokument[4]. Hvis den dataansvarlige vælger at anvende en enkelt kontrakt, skal kontrakten både adressere de forhold, som er påkrævet for at udgøre et tilstrækkeligt overførselsgrundlag, og de minimumskrav, der gælder for indholdet af en databehandleraftale i forordningens artikel 28, stk. 3.

Datatilsynet bemærker imidlertid samtidig, at den dataansvarlige skal være opmærksom på ikke at ændre kommissionens standardbestemmelser i strid med deres indhold, da de herved kan ændre karakter og blive en såkaldt ad hoc aftale, som kræver godkendelse fra Datatilsynet.

Det står ikke tilsynet klart, hvorvidt Aarhus Universitet i forbindelse med udarbejdelsen af SCC’en har overvejet at iagttage minimumskravene i databeskyttelsesforordningens artikel 28, stk. 3. Det er Datatilsynets umiddelbare opfattelse, at universitetet i SCC’erne ikke med den fornødne tydelighed har adresseret samtlige minimumskrav i overensstemmelse med forordningens artikel 28, stk. 3.

Aarhus Universitet har i forbindelse med forskningsprojekt nr. 2 oplyst, at der ikke – som oprindeligt angivet – anvendes databehandlere i projektet.

Vedrørende forskningsprojekt nr. 3 har Aarhus Universitet indgået to databehandleraftaler i 2018, hvoraf den ene efter det oplyste er opdateret i 2019.

3.3. Tilsyn

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af de registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynets opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Vedrørende forskningsprojekt nr. 1 har Datatilsynet noteret sig, at universitetet har ført et fysisk tilsyn med databehandleren i foråret 2019. Universitetet har endvidere oplyst, at der løbende er ført tilsyn med databehandleren ”online”, men at disse tilsyn ikke er blevet tilstrækkeligt dokumenteret.

Datatilsynet bemærker hertil, at Aarhus Universitet ikke i en retligt bindende kontrakt har beskrevet tilsynsniveauet nærmere. Det fremgår af standardbestemmelserne, at databehandleren kan blive pålagt tilsyn, men hvordan tilsynet skal foregå samt hvor hyppigt, er ikke nærmere beskrevet.

Det er på den baggrund Datatilsynets opfattelse, at Aarhus Universitet ikke har fastsat et tilstrækkeligt tilsynsniveau eller i øvrigt ført tilstrækkeligt tilsyn med databehandleren i overensstemmelse med universitetets retningslinjer herfor.

Vedrørende forskningsprojekt nr. 3 har Aarhus Universitet vurderet, at de to databehandlere én gang årligt skulle stille en ekstern revisionserklæring til rådighed henholdsvis indhente en erklæring fra en uafhængig ekspert for at påvise, at databehandleren overholder forordningens artikel 28 og databehandleraftalen i øvrigt. Idet universitetet samtidig har oplyst, at der ikke er ført tilsyn med de pågældende databehandlere, må Datatilsynet lægge til grund, at der ikke er ført tilstrækkeligt tilsyn i overensstemmelse med de fastsatte rammer herfor.

3.4. Konklusion

Sammenfattende finder Datatilsynet, at der er flere forhold i forbindelse med behandlingen af personoplysninger i de tre udvalgte projekter, som ikke ligger inden for rammerne af de databeskyttelsesretlige regler, idet der i projekt 1 og projekt 2 er uklarhed om hjemmelsgrundlaget, at der i projekt 1 er tvivl om, hvorvidt der er indgået en fyldestgørende databehandleraftale, og at der ikke er ført tilstrækkeligt tilsyn med databehandlere i projekt 1 og projekt 3.

Datatilsynet finder i den forbindelse, at der er grundlag for at udtale kritik af, at Aarhus Universitets behandling af personoplysninger i forbindelse med de tre udvalgte forskningsprojekter ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen[5].

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Kommissionens standardkontraktbestemmelser fra 2010.

[3]   Kommissionens standardkontraktbestemmelser fra 2010

[4]   Datatilsynets vejledning om overførsel af personoplysninger til tredjelande, s. 34

[5] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).