Behandlingsregler og behandlingssikkerhed i forbindelse med statistiske og videnskabelige undersøgelser.
Behandlingsregler
- Personoplysninger, der er omfattet af databeskyttelseslovens § 10 vedrørende statistiske og videnskabelige undersøgelser, må ikke indgå i administrativ eller konkret sagsbehandling.
- Personoplysningerne må heller ikke anvendes som grundlag for konkrete retlige eller faktiske foranstaltninger over for de omhandlede personer eller andre personer. Det er kun resultatet af den videnskabelige eller statistiske bearbejdning af personoplysninger, der kan bruges i administrativ sammenhæng, og kun under forudsætning af, at anvendelsen af resultaterne sker på en sådan måde, at det ikke er muligt at identificere enkeltpersoner.
- Personoplysningerne skal i videst muligt omfang behandles i en form, hvor de ikke er umiddelbart personhenførbare, fx i krypteret form eller under et løbenummer i stedet for under personnummer.
- Formidling af undersøgelsernes resultater skal ske på en sådan måde, at det ikke er muligt for udenforstående at identificere enkeltpersoner.
- Personoplysningerne (herunder biologisk materiale) skal ved en undersøgelses afslutning slettes, anonymiseres eller tilintetgøres, således at det efterfølgende ikke er muligt at identificere enkeltpersoner, der indgår i undersøgelsen, med mindre fortsat opbevaring kræves efter anden lovgivning. Alternativt kan oplysninger overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.
Behandlingssikkerhed
Kravene til behandlingssikkerhed fremgår bl.a. af databeskyttelsesforordningens artikel 32, dvs. at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
- Pseudonymisering og kryptering af personoplysninger.
- Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester.
- Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
- En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Det skal sikres, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige.
Instruktion
Medarbejdere, der håndterer personoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysninger/materiale, og hvordan de skal beskytte oplysningerne/materialet.
Adgang og autorisationer
Adgang til personoplysningerne skal begrænses til personer, der har et sagligt behov for adgang. Det skal være så få personer som muligt. Der bør være tale om medarbejdere, som ikke samtidig beskæftiger sig med almindelig administrativ sagsbehandling vedrørende personer, om hvem der behandles oplysninger i statistisk eller videnskabeligt øjemed. Autorisationer skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
Der skal mindst hvert halve år foretages kontrol af, at de autoriserede personer fortsat opfylder betingelserne for at have adgang til oplysningerne.
Der skal etableres en teknisk adgangskontrol i IT-systemerne, således at autoriserede personer skal identificere sig over for systemet for at få adgang til at foretage behandlinger i overensstemmelse med autorisationen.
Det skal registreres, hvis der er forgæves forsøg på at få adgang til IT-systemerne. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
Der skal foretages maskinel registrering (logning) af alle anvendelser af følsomme personoplysninger.
Databehandlere
Ved brug af eksterne databehandlere til håndtering af personoplysninger skal der foreligge skriftlige databehandleraftaler. Aftalernes indhold skal leve op til artikel 28 og 29 i databeskyttelsesforordningen. Det skal bl.a. fremgå, at databehandlerne udelukkende handler efter instruks fra den dataansvarlige. Det gælder eksempelvis, når der anvendes en ekstern part til statistisk bearbejdning af oplysningerne eller til analyse af biologisk materiale. Hvis den eksterne part også benytter databehandlere ved opgavens løsning, er disse også databehandlere for den dataansvarlige (underdatabehandlere), og der kræves aftaler mv.
Den dataansvarlige skal aktivt sikre, at kravene til behandlingssikkerhed overholdes hos alle databehandlere og eventuelle underdatabehandlere.
Eksterne kommunikationsforbindelser
Hvis behandling af personoplysninger finder sted på IT-udstyr uden for Professionshøjskolen Absalons lokaliteter (eller på udstyr, som ikke er en del af Professionshøjskolen Absalons almindelige systemer), skal der sikres de fornødne sikkerhedsforanstaltninger og fastsættes særlige retningslinjer herom.
Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
Sikring mod uvedkommendes adgang
På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne. Hvis personoplysningerne lagres på udtageligt og mobilt dataudstyr, f.eks. på USB-nøgler, skal der sikres mod, at uvedkommende kan tilgå oplysningerne på det bærbare dataudstyr i tilfælde af, at det mistes/stjæles. Alternativt skal bærbart dataudstyr opbevares forsvarligt aflåst, så uvedkommende er fysisk afskåret fra at tilgå mediet eller fjerne det fra den fysiske lokalitet. Samme forholdsregler skal træffes i forhold til sikkerhedskopier af data.
I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger for at sikre, at personoplysninger ikke kan komme til uvedkommendes kendskab.
Materiale skal opbevares og håndteres på en sådan måde, at uvedkommende ikke kan få adgang til at gøre sig bekendt med de personoplysninger, som er indeholdt heri.
Sletning
Materiale skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, hvortil det er indsamlet og behandlet, dog senest efter en af Professionshøjskolen Absalons nærmere fastsat frist. Ved tilintetgørelse skal det sikres, at materialet ikke misbruges eller kommer til uvedkommendes kendskab.
Biologisk materiale
Biologisk materiale skal opbevares forsvarligt aflåst, således at uvedkommende – herunder rengøringspersonale og andet personale, som ikke er involveret i den videnskabelige/statistiske behandling af materialet – ikke har adgang til det.
Biologisk materiale skal opbevares på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres. Der skal fx i nødvendigt omfang temperatur-alarm på frysere med det biologiske materiale.
Biologisk materiale skal i videst muligt omfang behandles i en form, hvor det ikke er umiddelbart personhenførbart, fx mærket med et løbenummer i stedet for navn eller personnummer.