Forskning og statistik

Forskning og statistik

Der må under visse betingelser behandles personoplysninger i forbindelse med udførelse af statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.

Det følger af databeskyttelsesforordningen, at medlemsstaterne har mulighed for at fastsætte nationale regler, som opstiller betingelser, der skal sikre fornødne garantier for de registreredes rettigheder og frihedsrettigheder ved behandling af følsomme oplysninger til historiske eller videnskabelige forskningsformål eller statistiske formål.

Vi har i Danmark benyttet os af dette nationale råderum ved fastsættelse af databeskyttelseslovens § 10, der tillader behandling af følsomme personoplysninger uden den registreredes samtykke, hvis behandlingen udelukkende sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.

For så vidt angår almindelige personoplysninger kan disse bl.a. behandles efter databeskyttelsesforordningens artikel 6, stk. 1, litra e (opgave i samfundets interesse).  

Behandlingen af de indsamlede oplysninger efter databeskyttelseslovens § 10, må udelukkende ske til statistiske og videnskabelige undersøgelser, og behandlingen skal være nødvendig for gennemførelsen af undersøgelsen/projektet, som oplysningerne er indsamlet til. Oplysningerne kan derfor ikke anvendes til andre formål for eksempel til patientbehandling, i journalistisk øjemed eller til administrativ sagsbehandling. Denne formålsbegrænsning gælder under hele behandlingen og kan ikke senere fraviges ved eksempelvis at indhente samtykke fra den registrerede. Formålsbegrænsningen indebærer således, at når oplysningerne først er blevet indsamlet til forsknings- og statistiske formål, kan oplysningerne ikke senere anvendes til andre formål end forskning og statistik.

For så vidt angår selve resultaterne af undersøgelsen/projektet kan disse anvendes til andre formål end forskning og statistik, hvis det ud fra resultaterne ikke er muligt at identificere enkeltpersoner. Der må med andre ord ikke indgå personoplysninger, hvis resultaterne fra undersøgelsen/projektet skal anvendes til andre formål.

Undersøgelsens/projektets ”rå-data” kan også anvendes til andre formål end forskning og statistik i det omfang oplysningerne er fuldstændigt anonymiserede. En reel anonymisering forudsætter, at man hverken ud fra selve oplysningerne eller ved brug af supplerende oplysninger vil kunne identificere den registrerede, og at anonymiseringen er uigenkaldelig.  Du kan læse mere om pseudonymisering og anonymisering i Datatilsynets foranstaltningskatalog - Pseudonymisering og anonymisering og EDPBs vejledning om pseudonymisering.

Det er Datatilsynets opfattelse, at der ofte sker en forveksling af reglerne i databeskyttelseslovens § 10 og databeskyttelsesforordningen artikel 6, stk. 1, litra a, om samtykke, der begge udgør lovlige grundlag for behandling af personoplysninger.

Hvis der behandles personoplysninger på baggrund af databeskyttelseslovens § 10, skal der ikke også indhentes et databeskyttelsesretligt samtykke fra den registrerede. Databeskyttelseslovens § 10 udgør således i sig selv et behandlingsgrundlag.

Kravet om indhentelse af et samtykke fra den registrerede i forbindelse med undersøgelsen/projektet, kan dog følge af særlovgivning eller af etiske standarder. Det er her vigtigt at understrege, at der dermed ikke er tale om et samtykke i databeskyttelsesretlig forstand, men en viljeserklæring fra den registrerede om at deltage i det pågældende projekt. Et sådant samtykke vil som regel ikke opfylde kriterierne for et gyldigt samtykke i databeskyttelsesretlig forstand, og udgør dermed ikke det lovlige grundlag for behandlingen af personoplysninger i forbindelse med det pågældende projekt. 

Inden et forskningsprojekt påbegyndes, skal de involverede parter afklare, hvilken databeskyttelsesretlig rolle de har i forbindelse med projektet, herunder om den enkelte part er henholdsvis selvstændigt dataansvarlig eller databehandler i det pågældende projekt. Endvidere kan der også være tale om et fælles dataansvar mellem de involverede parter. Dette er nødvendigt for at fastslå, hvilke forpligtelser de deltagende parter har i forbindelse med det pågældende projekt.

Som udgangspunkt er det den dataansvarlige, som har ansvaret for, at behandlingen af personoplysninger sker i overensstemmelse med de databeskyttelsesretlige regler. Hvis man som dataansvarlig har overladt personoplysninger til en databehandler, er man ansvarlig for, at databehandleren behandler oplysningerne forsvarligt og efter instruks fra den dataansvarlige. Man skal desuden sikre sig, at der er indgået en databehandleraftale med databehandleren og føre tilsyn.

Du kan læse mere om, hvilke forpligtelser man har som henholdsvis dataansvarlig og databehandler i Datatilsynets vejledning om dataansvarlige og databehandlere.

Du kan læse mere om rollefordelingen i forskningsprojekter i Datatilsynets vejledning om rollefordelingen i forskningsprojekter.

Skal forskningsprojekter anmeldes til Datatilsynet?

Nej. Den generelle anmeldelsespligt for forskningsprojekter ophørte den 25. maj 2018, da databeskyttelsesforordningen fik virkning, og der stilles derfor ikke længere krav om forudgående anmeldelse til Datatilsynet.

Videregivelse i forbindelse med forskningsprojekter

Personoplysninger omfattet af databeskyttelseslovens § 10, der er indsamlet til statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning må alene videregives – f.eks. til et andet forskningsinstitut – med henblik på modtagerens udførelse af en undersøgelse eller projekt til samme formål.

Datatilsynet har fastsat bekendtgørelse om videregivelse af personoplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, der handler om, hvornår og hvordan en videregivelse af oplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, må finde sted. Du kan finde videregivelsesbekendtgørelsen her og den tilhørende vejledning til bekendtgørelsen her.

Videregivelsesbekendtgørelsen finder ikke anvendelse, i det omfang Datatilsynet har fastsat vilkår i forbindelse med en tilladelse til videregivelse i medfør af databeskyttelseslovens § 10, stk. 3. I henhold til databeskyttelseslovens § 10, stk. 3 skal Datatilsynets tilladelse til videregivelse indhentes i følgende tre tilfælde:

  • Når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde – eksempelvis til USA (databeskyttelseslovens § 10, stk. 3, nr. 1).
  • Når videregivelsen vedrører biologisk materiale – eksempelvis blod- eller vævsprøver (databeskyttelseslovens § 10, stk. 3, nr. 2).
  • Når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende (databeskyttelseslovens § 10, stk. 3, nr. 3).

Datatilsynet kan fastsætte nærmere vilkår for videregivelsen af oplysninger efter databeskyttelsesloven § 10, stk. 3. Du kan anmode om Datatilsynets tilladelse til videregivelse af personoplysninger i medfør af databeskyttelseslovens § 10, stk. 3, her.

Konsekvensanalyse vedrørende databeskyttelse

Hvis behandlingsaktiviteterne vil medføre en høj risiko for de registreredes rettigheder og frihedsrettigheder, er man forpligtet til at udarbejde en konsekvensanalyse inden behandlingen påbegyndes.  Konsekvensanalysen er en proces, der har til formål at identificere risici og fastlægge foranstaltninger til at afhjælpe risiciene. I henhold til forordningens artikel 35, stk. 3, er det i en række tilfælde særligt påkrævet at udarbejde en konsekvensanalyse bl.a. når der behandles et stort omfang af oplysninger omfattet af databeskyttelsesforordningens art. 9 og 10.

 Du kan læse mere om konsekvensanalyse her.

De registreredes rettigheder 

Oplysningspligten efter de databeskyttelsesretlige regler gælder som udgangspunkt ved videnskabelige eller statistiske projekter. Der gælder dog en række undtagelser til oplysningspligten, for eksempel hvis det viser sig umuligt eller vil kræve en uforholdsmæssig stor indsats at underrette de registrerede. Hvornår dette anses for at være tilfældet, vil bero på en konkret vurdering, men tilgængeligheden og validiteten af relevante kontaktoplysninger spiller en stor rolle heri.

Det følger af databeskyttelseslovens § 22, stk. 5, at følgende rettigheder ikke finder anvendelse for undersøgelser eller projekter, hvor personoplysninger udelukkende behandles i videnskabeligt eller statistisk øjemed: 

  • Den registreredes indsigtsret
  • Retten til berigtigelse
  • Retten til begrænsning af behandling
  • Retten til indsigelse

Endvidere indeholder databeskyttelsesforordningens artikel 17, stk. 3, litra d, en undtagelse fra den registreredes ret til sletning i henhold til artikel 17, stk. 1, som finder anvendelse i det omfang sletning af oplysningerne kan gøre det umuligt eller i alvorlig grad hindre opfyldelsen af formålet med den videnskabelige undersøgelse.

Ved forskningsprojektets afslutning

Når formålet med behandling af oplysninger til statistiske eller videnskabelige undersøgelser er ophørt, skal alle personoplysninger som udgangspunkt slettes eller anonymiseres. Fuldstændigt anonymiserede oplysninger er ikke omfattet af de databeskyttelsesretlige regler, og oplysningerne må derfor fortsat opbevares og anvendes. En reel anonymisering forudsætter, at man hverken ud fra selve oplysningerne eller ved brug af supplerende oplysninger vil kunne identificere den registrerede, og at anonymiseringen er uigenkaldelig.  

Hvis projektet omfatter blod- og vævsprøver, videooptagelser el.lign., skal også dette materiale destrueres, slettes eller anonymiseres.

Formålet med en statistisk eller videnskabelig undersøgelse kan være mere end blot gennemførelsen af selve undersøgelsen. Formålet kan også være at opbevare personoplysningerne i en periode efter, at undersøgelsen er afsluttet med henblik på f.eks. fagfællebedømmelse (såkaldt peer review proces) eller imødegåelse af anklager om videnskabelig uredelighed.

Den dataansvarlige for et forskningsprojekt skal som hovedregel overholde de almindelige databeskyttelsesregler og er ansvarlig for at påvise, at personoplysningerne behandles i overensstemmelse med disse. Du kan læse mere om disse her.

Det indebærer blandt andet, at:

  • Alle, der arbejder med forskningsprojektet, skal være oplyst om databeskyttelsesreglerne og den dataansvarliges retningslinjer herefter.

  • Personoplysninger i både manuel og elektronisk form skal opbevares på en måde, der sikrer at uvedkommende ikke får adgang til personoplysningerne. Det omfatter interne netværk, udtagelige lagringsmedier, sikkerhedskopier af data, udskrifter, fejl- og kontrollister, biologisk materiale m.v.

  • Personoplysninger skal opbevares på en måde, der sikrer mod hændeligt tab, tilintetgørelse eller beskadigelse af personoplysningerne.

  • Den dataansvarlige må ikke behandle flere oplysninger, end hvad der nødvendigt af hensyn til undersøgelsen.

  • Den dataansvarlige skal i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3, indgå en skriftlig aftale med en eller flere eventuelle databehandlere.

  • Ved overførsel af personhenførbare oplysninger via internettet eller andet eksternt netværk skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab, eventuelt ved kryptering

Den dataansvarlige skal desuden foretage en kortlægning over risikoen for de registreredes rettigheder afvejet med de forholdsregler, der bliver truffet for at sikre denne beskyttelse. Du kan læse mere herom under i vejledning om behandlingssikkerhed.

Skal forskningsprojekter anmeldes til Datatilsynet?

Nej. Der stilles ikke længere krav om forudgående tilladelse fra Datatilsynet.

Videregivelse i forbindelse med forskningsprojekter

Personoplysninger omfattet af databeskyttelseslovens § 10, stk. 1 og 2, må alene videregives – f.eks. til et andet forskningsinstitut – med henblik på modtagerens udførelse af en undersøgelse i statistisk eller videnskabeligt øjemed af væsentlig samfundsmæssig betydning. 

Datatilsynet har fastsat en bekendtgørelse om, hvornår og hvordan en sådan videregivelse må finde sted. Du kan læse bekendtgørelsen her og den tilhørende vejledning til bekendtgørelsen her.

Bekendtgørelsen om videregivelse finder ikke anvendelse, hvis Datatilsynet har fastsat vilkår i forbindelse med en tilladelse til videregivelse.

Der skal som udgangspunkt ikke indhentes tilladelse til videregivelse af personoplysninger hos Datatilsynet. Dog skal Datatilsynets forudgående tilladelse til videregivelse indhentes i følgende tre tilfælde: 

  • Når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde – eksempelvis til USA.

  • Når videregivelsen vedrører biologisk materiale – eksempelvis blod- eller vævsprøver.

  • Når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende.

I de tilfælde, hvor Datatilsynets forudgående tilladelse skal indhentes, vil de bekendtgørelsen om videregivelse suppleres med de særlige vilkår Datatilsynet fastsætter i tilladelsen.

Under Blanketter finder du den blanket, du skal bruge for at anmode om tilladelse fra Datatilsynet til videregivelse.

Registreredes rettigheder 

Oplysningspligten efter de databeskyttelsesretlige regler gælder som udgangspunkt ved videnskabelige eller statistiske projekter. Dog vil undtagelsen i databeskyttelsesforordningens artikel 14, stk. 5, litra b – om umulighed eller uforholdsmæssighed – ofte finde anvendelse ved behandling af personoplysninger, der sker til videnskabelige eller historiske eller til statistiske formål. 

Følgende rettigheder finder ikke anvendelse for undersøgelser, hvor oplysningerne udelukkende behandles i videnskabeligt eller statistisk øjemed: 

  • Den registreredes indsigtsret.

  • Retten til berigtigelse.

  • Retten til begrænsning af behandling.

  • Retten til indsigelse.

Ved forskningsprojektets afslutning

Når formålet med behandling af oplysninger til statistiske eller videnskabelige undersøgelser er ophørt, skal alle personoplysninger slettes eller anonymiseres. Fuldstændigt anonymiserede oplysninger er ikke omfattet af de databeskyttelsesretlige regler, og oplysningerne må derfor fortsat opbevares og anvendes. Med fuldstændigt anonymiserede oplysninger menes oplysninger, som ikke af nogen kan tilbageføres til enkelte personer.

Hvis projektet også omfatter blod- og vævsprøver, videooptagelser el.lign., skal også dette materiale destrueres, slettes eller anonymiseres.

Datatilsynet skal bemærke, at formålet med en statistisk eller videnskabelig undersøgelse kan være mere end blot gennemførelsen heraf. Formålet kan også omfatte opbevaring af personoplysningerne i en periode efter, at undersøgelsen har nået sin ende, med henblik på f.eks. peer review eller imødegåelse af anklager om videnskabelig uredelighed.

Særligt om sundhedsområdet

Udover de databeskyttelsesretlige regler gælder der særlige regler i anden lovgivning, når der behandles personoplysninger i forbindelse med f.eks. sundhedsvidenskabelige forskningsprojekter.

Videnskabelige og statistiske undersøgelser skal ikke længere anmeldes til Datatilsynet. Dog kan der være særlovgivning, der stiller krav om f.eks. anmeldelse og indhentelse af tilladelse hos andre myndigheder. Selv om en behandling af personoplysninger er omfattet af særlovgivning i forbindelse med udførelse af forskningsprojekter, skal de databeskyttelsesretlige regler stadig overholdes.

Som eksempel på særlovgivning kan nævnes, at der efter komitéloven er krav om, at visse sundhedsvidenskabelige forskningsprojekter skal anmeldes til det videnskabsetiske komitésystem. Læs mere her.

Kliniske forsøg med lægemidler er reguleret af lægemiddelloven, mens afprøvning af medicinsk udstyr er omfattet af lov om medicinsk udstyr. Der er i lovgivningen bl.a. krav om pligtmæssig sikkerhedsovervågning (bivirkningsrapportering) af lægemidler og medicinsk udstyr.

Behandling af personoplysninger omfattet af bl.a. de ovennævnte eksempler på lovgivning – på nær komitéloven – kan ikke ske i medfør af databeskyttelseslovens § 10, bl.a. fordi særlovgivningen indeholder regler om indberetninger om bivirkninger og alvorlige uønskede hændelser, hvilket indebærer behandling af oplysningerne til andre formål end udelukkende forskning og statistik, som er anvendelsesområdet for § 10. Det medfører bl.a., at der ikke kan ske videregivelse af personoplysninger fra et klinisk forsøg med lægemidler eller afprøvning af medicinsk udstyr med hjemmel i databeskyttelseslovens § 10.

Der er i sundhedslovens kapitel 9 særlige regler om f.eks. videregivelse af oplysninger om enkeltpersoners helbredsforhold, øvrige private forhold og andre fortrolige oplysninger fra patientjournaler.

 

Ofte stillede spørgsmål om forskning

Ved afgørelsen af hvem der er dataansvarlig for personoplysninger i et forskningsprojekt, kan der bl.a. lægges vægt på:

  • Hvem har taget initiativ til projektet?
  • Hvem finansierer projektet?
  • Aflønnes forskeren af f.eks. den offentlige myndighed?
  • På hvilket it-udstyr vil der ske behandling af forskningsoplysningerne?
  • Hvem har instruktionsbeføjelser i projektet?
  • Hvad vil der ske, hvis forskeren finder et nyt job – vil den pågældende fortsætte projektet efterfølgende?
  • Hvem kan tage skridt til sletning?
  • Hvem deltager i projektet?
  • Hvor længe skal forskningsprojektet forløbe?

Læs meget mere i vejledningen om databeskyttelsesretlig rollefordeling i forskningsprojekter.

Nej. Oplysninger, der behandles med henblik på at udføre en undersøgelse eller projekt af væsentlig samfundsmæssig betydning (forskningsdata), må udelukkende ske i statistisk eller videnskabeligt øjemed.

Det betyder, at oplysningerne ikke kan anvendes til for eksempel markedsføring, sagsbehandling eller patientbehandling.

Sundhedsministeren har dog mulighed for – efter forhandling med justitsministeren – at fastsætte regler om viderebehandling af oplysninger fra forskningsprojekter, hvis behandlingen er nødvendig af hensyn til varetagelse af den registreredes vitale interesse.

Oftest ja. Videregivelse af personoplysninger forudsætter dog, at databeskyttelsesreglerne overholdes, herunder at der er hjemmel til videregivelsen, og at de grundlæggende behandlingsregler om saglighed, nødvendighed og proportionalitet er overholdt. I visse tilfælde skal Datatilsynets tilladelse indhentes forud for videregivelsen. Du kan læse mere herom ovenfor.

Nej, databeskyttelsesreglerne fastlægger kun, hvornår offentlige myndigheder, private virksomheder m.v. kan og må behandle personoplysninger.

Reglerne siger ikke noget om, hvornår en offentlig myndighed, privat virksomhed m.v. er forpligtet til at udlevere personoplysninger til andre.

I sundhedsloven er der regler om videregivelse af oplysninger fra patientjournaler m.v. til en forsker til brug for et konkret sundhedsvidenskabeligt forskningsprojekt.

Regionsrådene skal under visse omstændigheder godkende en videregivelse fra patientjournaler m.v.

Du bedes kontakte regionsrådene, hvis du har spørgsmål herom.

Databeskyttelsesreglerne skal overholdes i forbindelse med gennemførelse af multinationale forskningsprojekter.

Det er i den forbindelse afgørende at få afklaret den databeskyttelsesretlige rollefordeling for at fastslå, hvilke forpligtelser de deltagende parter har i forbindelse med det pågældende projekt.

Oplysningerne i et projekt skal slettes, når formålet med behandlingen af personoplysningerne er ophørt.

Det betyder, at oplysningerne skal slettes, når en undersøgelse er afsluttet, når en statistik er udarbejdet, eller når der ikke længere er et konkret og sagligt formål med den fortsatte behandling af oplysningerne i personhenførbar form. Sidstnævnte kan f.eks. være, hvis den dataansvarlige er nødsaget til at opbevare oplysningerne i en periode efter undersøgelsens afslutning for at kunne muliggøre fagfællebedømmelse eller for at imødegå anklager om videnskabelig uredelighed.

Som alternativ til sletning af oplysningerne kan den dataansvarlige vælge at anonymisere oplysningerne, så det ikke længere er muligt at identificere de registrerede personer eller overføre oplysningerne til arkiv efter arkivlovens regler.