Fra virkelighedens verden møder vores ekspertkonsulent Isabella Westh (cand.jur.) ofte, at organisationer har svært ved at finde rundt i krydsfeltet mellem Databeskyttelses­for­ord­ning­en (GDPR) og sundhedsretten når det gælder forskning.

Denne artikel behandler derfor praksis fra Datatilsynet som kan hjælpe din organisation med at forstå reglerne, når du behandler persondata til forsknings­formål.

Praksis fra Datatilsynet

Søger man på ”forskning” i Datatilsynets register over afgørelser fremkommer en række tilsyn, afgørelser og nyheder om forskning. De her fremhævede afgørelser og nyheder behandler bl.a.:

• Identifikation af roller og ansvar i forskningsprojekter
• Sletning ved afslutning af forskningsprojekter
• Hjemmelsgrundlag til videregivelse ifm. forskning
• Overblik over databehandlere og tilsyn med disse ved forskningsprojekter
• Korrigering af oplysninger om den registrerede ved frivillige undersøgelser

Juli 2023 – Vejledning om rollefordelingen i forskningsprojekter

Datatilsynet nedsatte sidste år et specialudvalg med fokus på behandling af personoplysninger i forbindelse med forskning. På baggrund af input fra interessenter i specialudvalget har Datatilsynet nu udarbejdet en vejledning om fordelingen af de databeskyttelsesretlige roller i forskningssammenhæng. Målgruppen for vejledningen er især forskere og andre, der arbejder med databeskyttelse i forskning.

Private virksomheder, offentlige myndigheder, fysiske personer, institutioner eller andre organer, som bidrager til et forskningsprojekt, kan have forskellige databeskyttelsesretlige roller i forskningsprojekter. Det afhænger af konteksten, hvilken rolle den enkelte part har i et forskningsprojekt, og en part kan i forskellige sammenhænge have forskellige – eller ingen – roller.

At tage stilling til aktører, roller og ansvar er relevant for ethvert forskningsprojekt på et tidligt stadie. Datatilsynets vejledning kan findes her.

Februar 2023 – Præcisering af regler for sletning af personoplysninger ved afslutning af forskningsprojekter

Med ændringen af videregivelsesbekendtgørelsen i januar 2023 kom i februar 2023 en præcisering af reglerne for sletning, når forskningsprojekter afsluttes. Det fremgår nu:

”Når formålet med behandling af personoplysninger er ophørt, skal oplysningerne slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger. Alternativt kan personoplysningerne overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.”

Derfor er det vigtigt for din organisation at holde for øje, hvornår forskningsprojektet kan anses for ”afsluttet”.

På nogle forskningsområder, arbejdes i højere grad med løbende afdækning af forskningsfelter, løbende opbygning af relationer eller løbende opbygning af datamateriale, hvor det ikke er meningsfuldt at tale om, at et projekt ”afsluttes”.

Din organisation bør også være opmærksom på, om formålet med behandlingen af personoplysninger efter undersøgelsens afslutning kan opnås ved at behandle oplysningerne i en anden – eksempelvis anonymiseret – form i overensstemmelse med det grundlæggende databeskyttelsesretlige princip om dataminimering. 

Januar 2023 – Ændring af videregivelsesbekendtgørelsen

Med virkning fra den 1. januar 2023 er der sket en ændring af videregivelsesbekendt­gørelsen, som angiver vilkårene for videregivelse af personoplysninger fra statistiske eller videnskabelige undersøgelser efter databeskyttelseslovens § 10. Med henblik på at tydeliggøre, at dataansvarlige kan have et berettiget behov for at behandle oplysninger i en periode efter undersøgelsens afslutning – f.eks. med henblik på peer review eller imødegåelse af anklager om videnskabelig uredelighed – er bekendtgørelsen ændret.

Dette er relevant for din organisation, hvis I videregiver personhenførbare data til andre organisationer. Se videregivelsesbekendtgørelsen her. Datatilsynets vejledning til bekendt­gørelsen kan findes her.

Juli 2022 – Behandlingsgrundlag, ansvar og roller hos Region Syddanmark

Er det vigtigt at holde overblik over systemleverandører til et forskningsprojekt? Datatilsynet foretog i juli 2022 et tilsyn med Region Syddanmark,[1] hvor tilsynet udvalgte tre forskningsprojekter som genstand for tilsynet inden for emnerne ”behandlingsgrundlag” og ”ansvar og roller”. Datatilsynet udtalte kritik af, at regionen for så vidt angik to databehandleraftaler ikke havde påvist, at de havde taget stilling til, på hvilket niveau regionen som dataansvarlig ville føre tilsyn med deres databehandlere. I den forbindelse havde regionen heller ikke påvist, at deres retningslinje for tilsyn med databehandlere var blevet fulgt.

Dette er relevant for din organisations overblik med brugen af databehandlere til understøttelse af forskningsprojekter.

 Februar 2022 – Anmeldelse af biobanker og forskningsprojekter til Datatilsynet

Skal mit projekt anmeldes til Datatilsynet? Den tidligere anmeldelsesordning bortfaldt, da GDPR og Databeskyttelsesloven trådte i kraft. Efter de nugældende regler er det kun i få tilfælde, at det er relevant med Datatilsynets tilladelse i forbindelse med forskning.

Datatilsynets tilladelse er udelukkende relevant, hvis du behandler personoplysninger på baggrund af Databeskyttelseslovens § 10, og du ønsker at videregive personoplysninger i følgende tre tilfælde:

1. Når videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde – eksempelvis til USA.
2. Når videregivelsen vedrører biologisk materiale – eksempelvis blod- eller vævsprøver.
3. Når videregivelsen sker med henblik på offentliggørelse af oplysninger i anerkendte videnskabelige tidsskrifter eller lignende.

Datatilsynet har udarbejdet en ansøgningsblanket (her), som du skal udfylde, hvis en af ovenstående tre situationer gør sig gældende.

Februar 2021 – Ajourføring af oplysninger i frivillige undersøgelser hos Danmarks Statistik

Skal man opdatere personoplysninger i forbindelse med frivillige undersøgelser? Når en borger henvender sig til forskningsenheden og frabeder sig kontakt, herunder deltagelse i et frivilligt forskningsprojekt, er det vigtigt at respektere den registreredes ønske. Datatilsynet udtalte i en sag fra februar 2021[2] kritik af, at Danmarks Statistik ikke havde ajourført oplysninger om, at en borger ikke ønskede at deltage i deres frivillige undersøgelser.

I sagen var borgerens oplysninger og ønske om ikke at deltage, grundet en intern fejl ikke noteret på Danmarks Statistiks liste. Datatilsynet udtalte kritik, eftersom borgeren (gentagende gange) havde frabedt sig deltagelse.

Mere viden om forskning & GDPR

Der er mange flere spændende emner, som kan være relevante for din forskning. Leder du efter mere teoretisk viden, kan du med fordel læse bogen ”Persondata og Forskning” af Kent Kristensen m.fl. samt besøge den dertil knyttede hjemmeside www.jurfast.dk, som indeholder relevante nyheder, regler og afgørelser. Desuden kan du tjekke Datatilsynets oversigt ud ”Generelt om forskning og statistik” eller ”Særligt om sundhedsområdet”.

Mangler din organisation en ekstern DPO som kan hjælpe med systematisering af fortegnelse over forskningsprojekter, risikovurdering af projekterne og generel rådgivning omkring GDPR efterlevelse? DPO Danmark hjælper dig gerne i mål med at få overblik over dine forskningsprojekter.

Mangler din organisation en rådgiver og ønsker I sparring vedrørende specifikke GDPR problemstillinger? Vores ”GDPR partner” ydelse er skræddersyet til dem, som fra tid til anden ønsker ekspertrådgivning på projektbasis.

Kontakt os gerne, hvis du vil høre mere.

[1] Datatilsynets Journalnummer: 2020-422-0026.

[2] Datatilsynets Journalnummer: 2020-32-1733.