Kritik fra Datatilsynet hagler ned over forskere: De forsynder sig mod persondatalovgivningen
Alt for mange danske forskere og forskningsvirksomheder forsømmer at passe godt nok på de persondata, de arbejder med i forskningsøjemed. Herunder følsomme persondata i form af sundhedsdata.
Det viser en række afgørelser, som Datatilsynet har offentliggjort på tilsynets web.
Tilsynet har i 2016 haft fokus på private forskere og virksomheder, der arbejder med personoplysninger i videnskabeligt eller statistisk øjemed.
Foreløbig er seks ud af 10 afgørelser offentliggjort – og samtlige får en påtale.
Med andre ord er billedet, at tommelfingeren generelt vender nedad i forhold til forskernes overholdelse af Persondatalovgivningen.
»Der tegner sig en tendens med kritik,« siger kontorchef Lena Andersen, Datatilsynet.
Et gennemgående kritikpunkt er forskernes manglende sikring af, at data opbevares og behandles i overensstemmelse med reglerne.
Altså beskyttes godt når, når de får hostet deres data hos en databehandler.
I afgørelserne fra Datatilsynet er bl.a. Danmarks Statistik, Region H, Aarhus Universitet, Danmarks Nationale Biobank og Kræftens Bekæmpelse nævnt som steder, som har lagt servere til forskernes data. Og altså dermed har adgang til de følsomme data.
»Her er det den dataansvarliges forskers ansvar, at de eksterne parter lever op til persondataloven og Datatilsynets vilkår. Og der kommer lovens krav om, at der skal være aftaler og instruks ind i billedet. Der skal være en skriftlig aftale, der lever op til persondataloven, hvis du som dataansvarlig forsker vil lade en ekstern løsningsudbyder – eller en anden forsker – behandle personoplysninger på dine vegne,« siger Lena Andersen.
Og det er ikke bare formalia, understreger hun.
»Det handler om, at når man overgiver data til andre, så har man et ansvar for, at sikkerheden er i orden. Man kan ikke bare forlade sig på tillid – der skal en klar aftale til,« siger Lena Andersen.
Erklæring kan ikke komme efter databehandling
Man er altså som dataansvarlig forsker ansvarlig for, at loven overholdes, og at sikkerheden er på plads, både når man selv står for behandlingen, og når man lader en databehandler gøre det på sine vegne, påpeger Lena Andersen.
»Der har man også pligt til at påse, at de eksterne databehandlere lever op til kravene om sikkerhed. Her har vi f.eks. set, at man ville bede om en erklæring om, at data er slettet eller tilbageleveret, ved afslutningen af databehandlingen hos databehandleren. Men det siger jo ikke noget om, hvorvidt sikkerheden hos databehandleren er tilstrækkelig under behandlingen,« siger Lena Andersen.
Udover forskernes forsømmelse af kontrol med om data opbevares sikkert nok, er der i ét tilfælde også svigtet i forhold til de mere specifikke og tekniske krav, såkaldte vilkår, for databehandling, som Datatilsynet stiller.
En forsker på Dansk BørneAstma Center får således som den eneste forsker ud af seks offentliggjorte afgørelser prædikatet ’samlet set meget kritisabelt’, fordi forskeren hverken har efterlevet persondatalovens bestemmelser om krav til databehandlere eller de specifikke vilkår fra Datatilsynet.
Forskeren har ifølge afgørelsen bl.a. ikke levet op til krav om kryptering af den simple grund, at projektdatabasen pt. er placeret hos Region Hovedstaden, hvor det ikke har været muligt at få data krypteret.
Men forskeren på Dansk BørneAstma Center kritiseres også for, at rådata til et projekt er tilsendt fra Forskerservice ved Statens Seruminstitut på en CD-rom, som opbevares i et aflåst arkiv på centret. Det er ikke godt nok.
Desuden ligger data på servere, som ikke automatisk regelmæssigt kræver udskiftning af password, hvilket ikke lever op til reglerne.
Også i det forskeren har forsømt sig med databehandleraftaler, vækker det kritik, at han får opbevaret data hos en række udenlandske databehandlere.
»Dette er særligt bekymrende, i lyset af det store antal databehandlere der benyttes, herunder databehandlere i Norge, Canada, Nederlandene, Italien og Frankrig,« skriver Datatilsynet.
»Det giver særlig bekymring, at der er så mange databehandlere, også uden for EU, involveret. I EU har vi beskyttelseslovgivning, men her er data altså spredt rundt omkring i verden,« siger Lena Andersen.
I forhold til kritikken af Dansk BørneAstma Center har Datatilsynet bedt om en redegørelse. Men tilsynet rasler også med sablen i forhold til om forskeren fortsat får lov til at arbejde med persondata:
»Datatilsynet skal i den forbindelse oplyse, at en eventuel fortsat mangelfuld iagttagelse af persondataloven og Datatilsynets vilkår må give tilsynet anledning til overvejelser om, hvorvidt tilladelserne til behandling af følsomme personoplysninger i de omhandlede projekter kan opretholdes,« skriver tilsynet i et brev til forskeren på Dansk BørneAstma Center.
Tilsynet vil heller ikke udelukke et forbud eller et påbud eller at der er grundlag for at rejse en straffesag i sagen mod Centret.
Lena Andersen håber, at de private forskere bruger stikprøverne som en lejlighed til at få deres databehandlinger arrangeret på en måde, hvor persondataloven i højere grad bliver efterlevet.
»Vores undersøgelse har vist, at der flere steder er brug for, at forskerne øger fokus på databeskyttelsen både hos dem selv og deres databehandlere. Der vil også være krav på dette område, når den nye databeskyttelsesforordning finder anvendelse fra 25. maj 2018. Til den tid vil konsekvenserne af brud på reglerne være langt mere alvorlige som følge af forordningens regler om skrappe sanktioner.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
