Journalnummer: 2014-632-0094
1. Datatilsynet vender hermed tilbage til Datatilsynets egen drift-sag vedrørende Danish Breast Cancer Cooperative Groups (herefter DBCG) videregivelse af personoplysninger.
Egen drift-sagen blev taget op på baggrund af en klage fra en borger (herefter klager) over DBCG’s videregivelse af hendes navn, adresse og diagnose til et forskningsprojekt på Syddansk Universitet.
2. Sagsfremstilling
Datatilsynet anmodede i brev af 2. maj 2014 Region Hovedstaden som dataansvarlig om en udtalelse i sagen. Datatilsynet henviste i den forbindelse til DBCG’s udtalelse af 11. marts 2014 til tilsynet i klagesagen, hvoraf bl.a. fremgår, at det ikke tidligere har været praksis at indhente særskilt tilladelse fra Datatilsynet til dataudlevering, men at der pr. 1. juli 2013 er ændret i denne praksis, således at der fra denne dato er søgt tilladelse fra Datatilsynet til udlevering af data, jf. persondatalovens § 10, stk. 3, for alle ansøgninger modtaget 1. juli 2013 og herefter, men ikke for ansøgninger modtaget før denne dato.
Region Hovedstaden er herefter ved brev af 28. maj 2014 kommet med en udtalelse i sagen.
Det fremgår bl.a. af Region Hovedstadens udtalelse, at der i perioden fra den 1. juli 2000 til den 30. juni 2013 er videregivet data til hospitalsafdelinger med henblik på kvalitetsarbejde og til forskergrupper med henblik på gennemførelse af forskningsprojekter. Udlevering af personhenførbare data til forskningsprojekter er sket under forudsætning af, at forskergruppen indhentede de fornødne tilladelser fra Videnskabsetisk Komité og Datatilsynet. Siden den 1. juli 2013 er data udleveret efter ansøgning til Regionernes Kliniske Kvalitetsudviklingsprogram (RKKP).
Region Hovedstaden har desuden oplyst, at data er udleveret til kvalitetskontrol (statistiske formål) samt til specifikke forskningsprojekter. Udlevering af data til forskningsbrug er sket med hjemmel i persondatalovens § 10, stk. 1 og 2, og under forudsætning af, at forskerne indhentede tilladelse til opbevaring af data fra Datatilsynet.
På Datatilsynets spørgsmål om, hvorvidt DBCG/Region Hovedstaden har sikret sig, at modtagere af oplysningerne i fornødent omfang har foretaget anmeldelse til Datatilsynet, har regionen oplyst, at i det ansøgningsskema, som DBCG afkrævede forskerne frem til den 30. juni 2013, gjorde DBCG tydeligt forskerne opmærksom på, at forskerne var forpligtet til at foretage anmeldelse til Datatilsynet. Der er ikke ført tilsyn eller kontrol.
Region Hovedstaden har desuden oplyst, at fra den 1. juli 2013 sker udlevering af data fra DBCG efter ansøgning til RKKP, som udarbejder ansøgningen til Datatilsynet om udlevering af data. DBCG afventer besked fra RKKP, før udlevering foretages.
Desuden har Region Hovedstaden oplyst, at RKKP via nyhedsbreve, informationsmøder og ved indførsel af retningslinjer har indskærpet, at udlevering af personhenførbare data til andre formål end det egentlige formål med databaserne kræver særskilt tilladelse fra Datatilsynet, jf. persondatalovens § 10, stk. 3. Regionen har desuden anført, at regionen nu lever op til kravene i persondataloven og i regionens paraplyanmeldelse af kliniske kvalitetsdatabaser.
3. Datatilsynets skal herefter udtale følgende
3.1. DBCG’s database er anmeldt til Datatilsynet som en klinisk kvalitetsdatabase i Region Hovedstadens anmeldelse ”Kliniske kvalitetsdatabaser, der er godkendt af Sundhedsstyrelsen”, Datatilsynets j.nr. 2012-58-00231.
Det fremgår af anmeldelsen, at behandlingen af oplysninger udelukkende finder sted i videnskabeligt eller statistisk øjemed, samt at oplysningerne alene kan videregives til brug for statistiske eller videnskabelige formål og kun efter forudgående tilladelse fra Datatilsynet, jf. persondatalovens § 10, stk. 3.
Desuden fremgår det af anmeldelsen, at Region Hovedstaden er dataansvarlig for behandlingen af oplysninger, herunder for eventuelle videregivelser af oplysninger fra de kliniske kvalitetsdatabaser.
3.2. Persondataloven2 gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
I persondatalovens § 10, stk. 1-3, er der fastsat særlige regler for behandling af personoplysninger, der udelukkende sker i statistisk eller videnskabeligt øjemed.
Efter persondatalovens § 10, stk. 1, må oplysninger som nævnt i § 7, stk. 1, eller § 8 (følsomme oplysninger), f.eks. helbredsoplysninger, behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig for udførelsen af undersøgelserne.
Efter § 10, stk. 2, må de af stk. 1 omfattede oplysninger ikke senere behandles i andet end statistisk eller videnskabeligt øjemed. Det samme gælder behandling af andre oplysninger, som alene foretages i statistisk eller videnskabeligt øjemed, jf. § 6 (dvs. ikke-følsomme oplysninger).
Ifølge § 10, stk. 3, må de af stk. 1 og 2 omfattede oplysninger kun videregives til tredjemand efter forudgående tilladelse fra Datatilsynet. Datatilsynet kan stille nærmere vilkår for videregivelsen.
I persondatalovens kapitel 12 og 13 er der regler om, at visse behandlinger af personoplysninger, som foretages for henholdsvis den offentlige forvaltning og private dataansvarlige, skal anmeldes til Datatilsynet. Desuden beskrives kravene om offentlige myndigheders indhentning af Datatilsynets forudgående udtalelse og om private dataansvarlige indhentning af tilsynets tilladelse.
3.3. Datatilsynet lægger til grund, at DBCG/Region Hovedstaden i perioden 1. juli 2000 til 30. juni 2013 har videregivet personoplysninger fra DBCG’s kliniske kvalitetsdatabase til konkrete forskningsprojekter uden Datatilsynets tilladelse hertil, jf. persondatalovens § 10, stk. 3.
Desuden lægger Datatilsynet til grund, at DBCG/Region Hovedstaden ikke inden videregivelsen har sikret sig, at modtagerne af oplysninger i fornødent omfang har anmeldt disses behandlinger af personoplysninger i forskningsprojektet til Datatilsynet og i forbindelse hermed indhentet eventuel fornøden udtalelse/tilladelse fra tilsynet.
Datatilsynet finder dette kritisabelt.
Datatilsynet skal anmode Region Hovedstaden om at klarlægge, hvem DBCG/regionen har videregivet personoplysninger til uden tilladelse fra Datatilsynet, samt om modtagerne i fornødent omfang har anmeldt behandlingen til Datatilsynet og indhentet eventuel fornøden udtalelse/tilladelse fra tilsynet.
Region Hovedstaden bedes senest 4 uger fra dags dato melde tilbage til Datatilsynet, hvad regionens undersøgelse er mundet ud i.
Datatilsynet har i øvrigt noteret sig, at Region Hovedstaden pr. 1. juli 2013 har ændret praksis, således at der nu kun sker videregivelse af personoplysninger efter indhentet tilladelse fra tilsynet.
4. Afsluttende bemærkninger
Vedlagt er kopi af Datatilsynets brev af dags dato til klager i anledning af hendes klage til tilsynet.
Kopi af dette brev er sendt til DBCG og klager.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Anmeldelsen kan fremsøges i Fortegnelsen på Datatilsynets hjemmeside www.datatilsynet.dk
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer