Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Statslige forskningsbiobanker

En biobank kan være omfattet af persondataloven
En struktureret samling af menneskeligt biologisk materiale, der er tilgængeligt efter bestemte kriterier, og hvor oplysninger, der er bundet i det biologiske materiale, kan henføres til enkeltpersoner, kan anses for omfattet af persondatalovens definition af et manuelt register, jf. lovens § 1, stk. 1, og dermed være omfattet af loven.

Biologisk materiale, som indsamles til et videnskabeligt formål, udgør en biobank, når materialet (prøverne) opbevares ud over den tid, det tager at indsamle og analysere prøverne. Prøver, der umiddelbart destrueres efter endt analyse, vil ikke være omfattet af biobankbegrebet.

En biobank til forskningsformål kaldes ofte en forskningsbiobank.

Biologisk materiale indeholder følsomme personoplysninger, der med forskellige teknikker kan bestemmes og beskrives. Biologisk materiale indeholder desuden altid flere oplysninger end de oplysninger, der skal indgå i den aktuelle forskning. Dette forhold gør biologisk materiale særlig beskyttelsesværdigt. Materiale i en biobank skal altid behandles og opbevares med dette forhold for øje.

Klik her for at læse om biobanker i private sundhedsvidenskabelige forskningsprojekter.

Anmeldelse til Datatilsynet
Når statslige myndigheder har biobanker, skal det anmeldes til Datatilsynet. Tilsynet har i sommeren 2015 indført en ny og forenklet fremgangsmåde for anmeldelse af behandling af personoplysninger i forbindelse med statslige forskningsbiobanker.

Statslige myndigheder, som behandler personoplysninger i forbindelse med biobanker udelukkende i videnskabeligt eller statistisk øjemed, skal nu kun foretage én samlet anmeldelse af denne behandling. Der skal altså ikke ske anmeldelse for hver enkelt forskningsbiobank.

Anmeldelse sker rent praktisk ved, at myndigheden tilslutter sig fællesanmeldelsen ”Forskningsbiobank(er) ved statslig myndighed”. I fællesanmeldelsen udfylder den dataansvarlige kun et begrænset antal individuelle felter. De øvrige felter er udfyldt i forvejen og er låste. Vær opmærksom på, at pkt. 8 ikke er låst – punktet må imidlertid ikke ændres.

Klik her for at gå til udfyldelse af fællesanmeldelsen ”Forskningsbiobank(er) ved statslig myndighed”.

Når Datatilsynet har modtaget fællesanmeldelsen, afgiver tilsynet en udtalelse til den dataansvarlige myndighed. Efterfølgende bliver fællesanmeldelsen offentliggjort i Datatilsynets fortegnelse over anmeldte behandlinger. Klik her for at søge i fortegnelsen.

Hvis der ændres i de forhold, som myndigheden har oplyst om i anmeldelsen, skal anmeldelsen ændres via funktionen ”Anmeld ændring” på Datatilsynets hjemmeside. Det gælder f.eks., hvis der anvendes en (ny) databehandler, eller hvis der udpeges en ny kontaktperson.

Bemærk at statslige myndigheders behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed, som ikke sker i forbindelse med biobanker, skal anmeldelse til Datatilsynet via fællessanmeldelsen ”Videnskabelige og statistiske undersøgelser hos statslige myndigheder”.

Klik her for at gå til udfyldelse af fællesanmeldelsen ”Videnskabelige og statistiske undersøgelser hos statslige myndigheder”.

Myndigheden har ansvaret for overholdelse af lovgivningen
Myndigheden har uanset anmeldelsen til Datatilsynet selv ansvaret for, at persondataloven og regler udstedt i medfør heraf, herunder sikkerhedsbekendtgørelsen, overholdes i forbindelse med den anmeldte behandling af personoplysninger. Selv om en behandling – f.eks. opbevaring – er beskrevet i en anmeldelse, skal persondatalovens betingelser stadig være opfyldt for hver enkelt behandling.

Der skal føres løbende oversigter over biobanker
Når den statslige myndighed har anmeldt sin behandling af forskningsbiobanker til Datatilsynet, vil tilsynet i sin udtalelse stille krav om, at myndigheden fører oversigter over eksisterende biobanker.
 
Oversigten skal på Datatilsynets anmodning udleveres til tilsynet. Myndigheden skal desuden på Datatilsynets anmodning skriftligt oplyse nærmere om aktiviteter i forbindelse med den anmeldte behandling i øvrigt, herunder f.eks. om eventuelle sikkerhedshændelser.

Forskningsbiobanker må kun bruges til forskning og statistik
Når behandlingen af oplysninger i forbindelse med en biobank udelukkende skal finde sted i videnskabeligt eller statistisk øjemed, indebærer persondatalovens § 10, at de personoplysninger, der indgår, ikke må indgå i administrativ eller konkret sagsbehandling.

Oplysningerne må heller ikke anvendes som grundlag for konkrete retlige eller faktiske foranstaltninger over for de omhandlede personer eller andre personer. F.eks. må oplysningerne ikke anvendes til patientbehandling.

Det er kun resultatet af den videnskabelige eller statistiske bearbejdning af personoplysninger, der kan bruges i administrativ sammenhæng, og kun under forudsætning af, at anvendelsen af resultaterne sker på en sådan måde, at det ikke er muligt for udenforstående at identificere enkeltpersoner.

Videregivelse af biologisk materiale fra forskningsbiobanker
Videregivelse af biologisk materiale fra en forskningsbiobank til brug i andre videnskabelige projekter kan kun ske med særlig tilladelse fra Datatilsynet. Dette gælder også, selv om materialet skal indgå i projekter, der ikke kræver anmeldelse til Datatilsynet. Tilsvarende gælder, hvis hele biobanken ønskes overdraget til en anden forsker/ønskes benyttet i anden videnskabelig sammenhæng.

Der kan kun ske videregivelse fra en forskningsbiobank med henblik på udførelsen af andre statistiske eller videnskabelige undersøgelser (og kun med Datatilsynets tilladelse). Det følger af persondatalovens § 10, stk. 3.

Klik her for at læse mere om videregivelse til og fra statistiske og videnskabelige undersøgelser.

Sikkerhedskrav i forbindelse med forskningsbiobanker
Opbevaring af biologisk materiale kræver ofte særlige tekniske foranstaltninger. Materiale i en biobank skal derfor opbevares på en teknisk forsvarlig måde, der sikrer, at materialet ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Det skal desuden sikres, at materialet ikke kommer til uvedkommendes kendskab eller i øvrigt misbruges eller benyttes i strid med lovgivningen.

Når et konkret forskningsprojekt er afsluttet (eller materiale ikke længere skal anvendes videnskabeligt), skal biobankens materiale destrueres eller anonymiseres.

En statslig myndighed, som har anmeldt sine forskningsbiobanker til Datatilsynet, vil i udtalelsen fra tilsynet modtage et bilag med krav om bl.a. sikkerhed, som myndigheden skal sikre, at håndteringen af oplysninger lever op til. Kravene kan ses nedenfor.

Krav til behandling af personoplysninger udelukkende i videnskabeligt eller statistisk øjemed i forbindelse med statslige myndigheders forskningsbiobanker

Behandlingsregler:

  1. Personoplysninger, der er omfattet af persondatalovens § 10, må ikke indgå i administrativ eller konkret sagsbehandling. Oplysningerne må heller ikke anvendes som grundlag for konkrete retlige eller faktiske foranstaltninger over for de omhandlede personer eller andre personer. Det er kun resultatet af den videnskabelige eller statistiske bearbejdning af personoplysninger, der kan bruges i administrativ sammenhæng, og kun under forudsætning af, at anvendelsen af resultaterne sker på en sådan måde, at det ikke er muligt at identificere enkeltpersoner. (Persondatalovens § 10, stk. 2)

  2. Personoplysninger, der er omfattet af persondatalovens § 10, må kun videregives/udleveres til tredjemand, hvis oplysningerne hos modtageren udelukkende skal bruges i statistisk eller videnskabeligt øjemed. Videregivelse/udlevering må kun ske efter forudgående tilladelse fra Datatilsynet. (Persondatalovens § 10, stk. 2 og 3)

  3. Der må ikke behandles personoplysninger om politiske forhold i edb-registre. (Persondatalovens § 7, stk. 8)

  4. Oplysningerne skal i videst muligt omfang behandles i en form, hvor de ikke er umiddelbart personhenførbare, f.eks. mærket med et løbenummer i stedet for med navn eller personnummer, og for så vidt angår elektroniske oplysninger f.eks. i krypteret form. (Persondatalovens § 5, stk. 3)

  5. Formidling af undersøgelsernes resultater skal ske på en sådan måde, at det ikke er muligt for udenforstående at identificere enkeltpersoner.

  6. Personoplysningerne – herunder biologisk materiale – skal ved en undersøgelses afslutning slettes/destrueres, anonymiseres eller tilintetgøres, medmindre fortsat opbevaring kræves efter anden lovgivning. Det må ikke efterfølgende være muligt at identificere enkeltpersoner, der indgår i undersøgelsen. Alternativt kan oplysninger overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen. (Persondatalovens § 5, stk. 5, og § 14)

Behandlingssikkerhed:

Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Behandlingen af personoplysninger, som i medfør af persondataloven foretages alene med henblik på at udføre statistiske eller videnskabelige undersøgelser, skal ske på en måde, der sikrer, at de personoplysninger, som indgår i undersøgelserne, holdes adskilt fra myndighedens almindelige administrative sagsbehandling. Det indebærer bl.a., at man ved opslag eller søgninger i forbindelse med administrativ sagsbehandling ikke må kunne tilgå oplysninger, som udelukkende behandles i videnskabeligt eller statistisk øjemed.

Ved behandling af biologisk materiale i biobanker, skal myndigheden overholde nedenstående mindstekrav:

  1. Den dataansvarlige skal fastsætte interne retningslinjer for opbevaring af biologisk materiale. Retningslinjerne skal ajourføres mindst én gang årligt.

  2. Medarbejdere, der håndterer biologisk materiale i forbindelse med statistiske og videnskabelige undersøgelser, skal have instruktion og oplæring i, hvad de må gøre med materialet, og hvordan de skal beskytte materialet. Myndigheden skal bl.a. gøre medarbejderne bekendt med de retningslinjer, der er fastsat i medfør af punkt 1.

  3. Biologisk materiale skal opbevares forsvarligt aflåst, således at uvedkommende – herunder rengøringspersonale og andet personale, som ikke er involveret i den videnskabelige/statistiske behandling af materialet – ikke har adgang til det.

  4. Biologisk materiale skal opbevares på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres. Der skal således f.eks. i fornødent omfang temperatur-alarm på frysere med det biologiske materiale.

  5. Biologisk materiale skal i videst muligt omfang behandles i en form, hvor det ikke er umiddelbart personhenførbart, f.eks. mærket med et løbenummer i stedet for med navn eller personnummer.

  6. Ved brug af eksterne databehandlere til håndtering af det biologiske materiale skal der foreligge skriftlige databehandleraftaler. Aftalernes indhold skal leve op til § 42, stk. 2, i persondataloven. Det skal bl.a. fremgå, at databehandlerne udelukkende handler efter instruks fra den dataansvarlige.

    Det gælder eksempelvis, når der anvendes en ekstern part til analyse af det biologiske materiale. Hvis den eksterne part også benytter databehandlere ved opgavens løsning, er disse også databehandlere for den dataansvarlige (såkaldte underdatabehandlere), og der kræves aftaler mv.

  7. Den dataansvarlige skal aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos alle databehandlere og eventuelle underdatabehandlere. (Persondatalovens § 42, stk. 1).

Ved behandling af elektroniske personoplysninger i forbindelse med førelsen af biobanker, skal der etableres sikkerhedsforanstaltninger, som beskrevet i sikkerhedsbekendtgørelsen1.

Kravene, der er nærmere beskrevet i Datatilsynets sikkerhedsvejledning af 2. april 2001, hvortil der henvises i sin helhed, omfatter bl.a. følgende:

  1. Den dataansvarlige myndighed skal selv fastsætte uddybende sikkerhedsregler, der beskriver hvordan myndigheden i praksis har implementeret de krævede sikkerhedsforanstaltninger. De uddybende bestemmelser skal som minimum omfatte de forhold, som fremgår af sikkerhedsbekendtgørelsens § 5. Desuden skal der fastsættes retningslinjer for myndighedens eget tilsyn med overholdelsen af sikkerhedsforanstaltningerne. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. (Sikkerhedsbekendtgørelsens § 5)

  2. Medarbejdere, der håndterer personoplysninger i forbindelse med statistiske og videnskabelige undersøgelser, skal have instruktion og oplæring i, hvad de må gøre med oplysninger, og hvordan de skal beskytte oplysningerne. Myndigheden skal bl.a. gøre medarbejderne bekendt med de regler, der er fastsat i medfør af punkt 1. (Sikkerhedsbekendtgørelsens § 6)

  3. Adgang til personoplysningerne skal begrænses til personer, der har et sagligt behov for adgang. Det skal være så få personer som muligt. Der bør være tale om medarbejdere, som ikke samtidig beskæftiger sig med almindelig administrativ sagsbehandling vedrørende personer, om hvem der behandles oplysninger i statistisk eller videnskabeligt øjemed. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. (Sikkerhedsbekendtgørelsens § 11 og § 16)

  4. Der skal mindst hvert halve år foretages kontrol af, at de autoriserede personer fortsat opfylder betingelserne for at have adgang til oplysningerne. (Sikkerhedsbekendtgørelsens § 17)

  5. Der skal etableres en teknisk adgangskontrol i it-systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen. (Sikkerhedsbekendtgørelsens § 12 med tilhørende vejledning2)

  6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemerne. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. (Sikkerhedsbekendtgørelsens § 18)

  7. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger efter reglerne i sikkerhedsbekendtgørelsens § 19.

  8. Ved brug af eksterne databehandlere til håndtering af personoplysninger skal der foreligge skriftlige databehandleraftaler. Aftalernes indhold skal leve op til § 42, stk. 2, i persondataloven. Det skal bl.a. fremgå, at databehandlerne udelukkende handler efter instruks fra den dataansvarlige.

    Det gælder eksempelvis, når der anvendes en ekstern part til statistisk bearbejdning af oplysningerne. Hvis den eksterne part også benytter databehandlere ved opgavens løsning, er disse også databehandlere for den dataansvarlige (såkaldte underdatabehandlere), og der kræves aftaler mv.

  9. Den dataansvarlige skal aktivt sikre, at de krævede sikkerhedsforanstaltninger overholdes hos alle databehandlere og eventuelle underdatabehandlere. (Persondatalovens § 42, stk. 1, og sikkerhedsbekendtgørelsens § 7, stk. 1, med tilhørende vejledning).

  10. Hvis behandling af personoplysninger finder sted på it-udstyr uden for den dataansvarlige myndigheds lokaliteter (eller på udstyr, som ikke er en del af myndighedens almindelige system), skal myndigheden sikre de fornødne sikkerheds-foranstaltninger og fastsætte særlige retningslinjer herom. (Sikkerhedsbekendtgørelsens § 7, stk. 2)

  11. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. (Sikkerhedsbekendtgørelsens § 14 med tilhørende vejledning)

  12. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Hvis personoplysningerne lagres på udtagelige og mobile datamedier, f.eks. på USB-nøgler, skal der sikres mod, at uvedkommende kan tilgå oplysningerne på det bærbare datamedie i tilfælde af, at det mistes/stjæles. Alternativt skal bærbare datamedier opbevares forsvarligt aflåst, så uvedkommende er fysisk afskåret fra at tilgå mediet eller fjerne det fra den fysiske lokalitet. Samme forholdsregler skal træffes i forhold til sikkerhedskopier af data. (Sikkerhedsbekendtgørelsens § 8 og persondatalovens § 41, stk. 3)

  13. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger for at sikre, at personoplysninger ikke kan komme til uvedkommendes kendskab. (Sikkerhedsbekendtgørelsens § 9)

  14. Ind- og uddatamateriale skal opbevares og håndteres på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri. Medarbejdere, som samtidig beskæftiger sig med almindelig administrativ sagsbehandling vedrørende personer, om hvem der behandles oplysninger i statistisk eller videnskabeligt øjemed, bør herunder ikke have adgang til materialet.

    Ind- og uddatamateriale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, hvortil det er indsamlet og behandlet, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Ved tilintetgørelse skal det sikres, at materialet ikke misbruges eller kommer til uvedkommendes kendskab. (Sikkerhedsbekendtgørelsens § 10 og § 13)

1Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001)

2Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning