Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Standardvilkår for forskningsprojekter

(Projekter anmeldes på blanketten "Privat forskning")

Når Datatilsynet giver tilladelse til behandling af følsomme personoplysninger i et projekt til videnskabelige eller statistiske formål i henhold til persondatalovens1 § 10, jf. § 50, stk. 1, nr. 1, fastsættes en række vilkår for projektet. Vilkårene skal først og fremmest bevirke, at den dataansvarlige overholder reglerne i persondataloven og at databehandlingen lever op til lovens krav om datasikkerhed.

Det fremgår af lovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

På denne baggrund har Datatilsynet udformet en række standardvilkår, som alle projekter skal efterleve. Dette med henblik på at beskytte oplysningerne om de registrerede personer, der indgår i projektet.

Datatilsynets tilladelse til projektet er betinget af, at man følger Datatilsynets vilkår.

Standardvilkårene er gengivet nedenfor. I særlige tilfælde vil Datatilsynet også kunne fastsætte individuelle eller supplerende vilkår for et projekt.

 

DATATILSYNETS STANDARDVILKÅR:

Tilladelsen gives på følgende vilkår, som [DATAANSVARLIG] er ansvarlig for overholdelsen af:
 
Generelle vilkår
1. Personoplysningerne må kun anvendes til brug for projektets gennemførelse.
 
2. Behandling af personoplysninger må kun foretages af den dataansvarlige eller på foranledning af den dataansvarlige og på dennes ansvar.
 
3. Alle, der deltager i behandlingen af personoplysninger, skal være bekendt med de fastsatte vilkår.
 
4. Databehandleres behandling af oplysninger skal også leve op til de fastsatte vilkår.
 
5. Lokaler, der benyttes til opbevaring og anden behandling af oplysninger, skal være indrettet således, at uvedkommende ikke kan få adgang.

6. Den dataansvarlige skal træffe fornødne sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Dette gælder også for databehandlere. Den dataansvarlige skal desuden sikre, at der ikke behandles urigtige eller vildledende oplysninger. Urigtige eller vildledende oplysninger eller oplysninger, som er behandlet i strid med loven eller de fastsatte vilkår, skal berigtiges eller slettes. 
 
7. Personoplysninger må ikke opbevares på en måde, der giver mulighed for at identificere de personer, der behandles oplysninger om, længere end det, der er nødvendigt af hensyn til projektets gennemførelse.

8. Offentliggørelse af resultater fra projektet skal ske på en sådan måde, at det ikke er muligt at identificere enkeltpersoner.
 
9. Anden lovgivning med krav til behandling af oplysninger i forbindelse med projektet forudsættes overholdt.

Elektroniske oplysninger
10. Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer eller lignende. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle mv. skal opbevares forsvarligt og adskilt fra personoplysningerne. Dette gælder også for personoplysninger, som opbevares på bærbare enheder, f.eks. bærbare pc’er, tablets mv.

11. Adgangen til personoplysninger må kun finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når det i øvrigt er nødvendigt af hensyn til sikker behandling af oplysningerne.

12. Ved overførsel af personoplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Herunder skal der anvendes kryptering, hvis følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) skal ske i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger. Ved anvendelse af interne net skal det sikres, at uvedkommende ikke kan få adgang til oplysningerne.

13. Udtagelige lagringsmedier, sikkerhedskopier af data mv. skal opbevares forsvarligt aflåst og således, at uvedkommende ikke kan få adgang til oplysningerne. Oplysningerne skal desuden være beskyttet som angivet i vilkår 10 (kryptering mv.).
 
Manuelle (”papir”) oplysninger
14. Manuelt materiale, herunder udskrifter, fejl- og kontrollister mv. med oplysninger, der direkte eller indirekte kan henføres til bestemte personer, skal opbevares forsvarligt aflåst og på en sådan måde, at uvedkommende ikke kan gøre sig bekendt med indholdet.
 
Biobank og biologisk materiale
15. Prøver med biologisk materiale og biologisk materiale i biobanker skal opbevares forsvarligt aflåst, således at uvedkommende ikke har adgang til materialet, og på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres.

16. Biologisk materiale, der er mærket med personnummer eller navn, skal opbevares under iagttagelse af særlige sikkerhedshensyn.

17. Den dataansvarlige skal fastsætte interne retningslinjer i projektet for opbevaring af biologisk materiale. Retningslinjerne skal ajourføres mindst én gang om året. 

Oplysningspligt over for den registrerede
18. Ved indsamling af oplysninger hos den registererede/deltageren (f.eks. ved udtagning af blod eller væv, interview, spørgeskema, klinisk eller paraklinisk undersøgelse, behandling, observation m.v.) skal der uddeles/fremsendes nærmere information om projektet til den registrerede/deltageren i overensstemmelse med persondatalovens § 28, stk. 1.

Den registrerede/deltageren skal heri oplyses om den dataansvarliges og denne repræsentants identitet – herunder navn, adresse og andre kontaktoplysninger – formålet med projektet, at det er frivilligt at deltage, om identiteten på eventuelle modtagere af oplysningerne og formålet med at videregive oplysninger, samt eventuelle andre oplysninger, som er nødvendige for, at den registrerede/deltageren kan varetage sine interesser.  

Den registrerede/deltageren skal desuden oplyses om, at projektet er anmeldt til Datatilsynet efter persondataloven, samt at Datatilsynet har fastsat nærmere vilkår for projektet til beskyttelse af den registreredes privatliv.

Behandling ved databehandler
19. Ved behandling hos databehandler skal der i overensstemmelse med persondatalovens kapitel 11 indgås en skriftlig aftale herom mellem den dataansvarlige og databehandleren. Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at oplysningerne ikke må anvendes til databehandlerens egne formål. Den dataansvarlige skal desuden kræve tilstrækkelige oplysninger fra databehandleren til, at den dataansvarlige kan sikre sig, at den til enhver tid gældende lovgivning om beskyttelse af personoplysninger samt krav fra Datatilsynet kan overholdes, og at de bliver overholdt.
 
20. Hvis databehandleren er etableret i en anden EU-medlemsstat, skal det desuden fremgå af aftalen, at de yderligere bestemmelser om sikkerhedsforanstaltninger for databehandlere, som eventuelt er fastsat i den pågældende medlemsstat, også er gældende for databehandleren.
 
Ændringer i projektet
21. Væsentlige ændringer i projektet, f.eks. (nye) påtænkte overførsler af oplysninger til tredjelande, skal i overensstemmelse med persondatalovens § 51 anmeldes til Datatilsynet forud for iværksættelsen (som ændring af den eksisterende anmeldelse). Ændringer af mindre væsentlig betydning, f.eks. anvendelse af (ny) databehandler, kan anmeldes til Datatilsynet efterfølgende, dog senest 4 uger efter iværksættelsen.
 
Ved projektets afslutning
22. Oplysninger (herunder biologisk materiale) skal slettes, anonymiseres eller tilintetgøres senest ved projektets afslutning, medmindre en fortsat opbevaring kræves efter anden gældende lovgivning. Det må efterfølgende ikke være muligt at identificere enkeltpersoner i projektet.1 Alternativt kan oplysningerne overføres til arkiv efter arkivlovens regler.
 
23. Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres.2

2. Yderligere opmærksomhedspunkter
Videregivelse af oplysninger mv.
Videregivelse af oplysninger fra statistiske registre omfattet af persondatalovens § 10, stk. 1, må alene ske, hvis modtageren udelukkende skal anvende oplysningerne i statistisk eller videnskabeligt øjemed. Videregivelse af sådanne oplysninger forudsætter endvidere forudgående og særskilt tilladelse fra Datatilsynet. Datatilsynet kan stille nærmere vilkår for videregivelsen. Dette følger af persondatalovens § 10, stk. 1-3.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at der i sundhedslovens §§ 46-47 findes særlige regler om videregivelse af oplysninger fra patientjournaler til brug for forskning og statistik, herunder regler om Sundhedsstyrelsens godkendelse.

Advarsel – ved brug af Excel, PowerPoint mv.
Den dataansvarlige skal til enhver tid sikre sig, at dokumenter og andre præsentationer, som publiceres eller på anden måde gøres tilgængelige for andre på internettet, usb-nøgle eller på andet elektronisk medie, ikke indeholder personoplysninger.

Der skal vises særlig agtpågivenhed i forbindelse med brug af grafiske præsentationer i Excel og PowerPoint, da de uforvarende kan indeholde indlejrede persondata i tabeller mv. Det er den dataansvarliges ansvar, at sikre sig, at indlejrede personoplysninger er fjernet, inden præsentationer mv. gøres tilgængelige for andre.

Overførsel af oplysninger til tredjelande
Overførsel af personoplysninger til et tredjeland3 kræver et særskilt grundlag i persondatalovens § 27. Bestemmelsen gælder både ved videregivelse af personoplysninger til en anden dataansvarlig, ved overladelse af personoplysninger til en databehandler samt f.eks. ved overførsler inden for en koncern.

Persondatalovens § 27 skal ses i sammenhæng med persondatalovens 50, stk. 2, der sammen med lovens § 27, stk. 4 og 5, regulerer hvornår Datatilsynets tilladelse skal indhentes til overførsel af personoplysninger til et tredjeland.

For en nærmere gennemgang af reglerne for overførsel af personoplysninger til tredjelande henvises til vejledningen på Datatilsynets hjemmeside4.

Ny lovgivning på vej
Denne tilladelse er givet på baggrund af reglerne i persondataloven. Der tages således forbehold for en ændret retstilstand på området som følge af Europa-Parlamentets og Rådets generelle forordning om databeskyttelse5, der er trådt i kraft og finder anvendelse i Danmark fra den 25. maj 2018.

________________________________________

1Læs om anonymisering på Datatilsynets hjemmeside: www.datatilsynet.dk/erhverv/forskere-og-medicinalfirmaer/anonymisering/ 
2Læs om sletning/destruktion af datamedier på Datatilsynets hjemmeside: www.datatilsynet.dk/offentlig/sikkerhed/sletning-af-datamedier/
3Ved et tredjeland forstås en stat, der ikke indgår i EU, og som ikke er et såkaldt EØS-land
4www.datatilsynet.dk  Erhverv  Tredjelande
5Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)