Kritik fra Datatilsynet hagler ned over forskere: De forsynder sig mod persondatalovgivningen

9. februar 2017 kl. 05:157
Forskere overholder for ofte ikke juridiske og tekniske krav, der skal beskytte bl.a. følsomme sundhedsdata, under forskningen, viser en 'razzia' fra Datatilsynet. I ét tilfælde er overtrædelserne så grelle, at en straffesag kan komme på tale.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Alt for mange danske forskere og forskningsvirksomheder forsømmer at passe godt nok på de persondata, de arbejder med i forskningsøjemed. Herunder følsomme persondata i form af sundhedsdata.

Det viser en række afgørelser, som Datatilsynet har offentliggjort på tilsynets web.

Tilsynet har i 2016 haft fokus på private forskere og virksomheder, der arbejder med personoplysninger i videnskabeligt eller statistisk øjemed.

Foreløbig er seks ud af 10 afgørelser offentliggjort – og samtlige får en påtale.

Artiklen fortsætter efter annoncen

Med andre ord er billedet, at tommelfingeren generelt vender nedad i forhold til forskernes overholdelse af Persondatalovgivningen.

»Der tegner sig en tendens med kritik,« siger kontorchef Lena Andersen, Datatilsynet.

Et gennemgående kritikpunkt er forskernes manglende sikring af, at data opbevares og behandles i overensstemmelse med reglerne.

Altså beskyttes godt når, når de får hostet deres data hos en databehandler.

Artiklen fortsætter efter annoncen

I afgørelserne fra Datatilsynet er bl.a. Danmarks Statistik, Region H, Aarhus Universitet, Danmarks Nationale Biobank og Kræftens Bekæmpelse nævnt som steder, som har lagt servere til forskernes data. Og altså dermed har adgang til de følsomme data.

»Her er det den dataansvarliges forskers ansvar, at de eksterne parter lever op til persondataloven og Datatilsynets vilkår. Og der kommer lovens krav om, at der skal være aftaler og instruks ind i billedet. Der skal være en skriftlig aftale, der lever op til persondataloven, hvis du som dataansvarlig forsker vil lade en ekstern løsningsudbyder – eller en anden forsker – behandle personoplysninger på dine vegne,« siger Lena Andersen.

Og det er ikke bare formalia, understreger hun.

»Det handler om, at når man overgiver data til andre, så har man et ansvar for, at sikkerheden er i orden. Man kan ikke bare forlade sig på tillid – der skal en klar aftale til,« siger Lena Andersen.

Erklæring kan ikke komme efter databehandling

Man er altså som dataansvarlig forsker ansvarlig for, at loven overholdes, og at sikkerheden er på plads, både når man selv står for behandlingen, og når man lader en databehandler gøre det på sine vegne, påpeger Lena Andersen.

»Der har man også pligt til at påse, at de eksterne databehandlere lever op til kravene om sikkerhed. Her har vi f.eks. set, at man ville bede om en erklæring om, at data er slettet eller tilbageleveret, ved afslutningen af databehandlingen hos databehandleren. Men det siger jo ikke noget om, hvorvidt sikkerheden hos databehandleren er tilstrækkelig under behandlingen,« siger Lena Andersen.

Udover forskernes forsømmelse af kontrol med om data opbevares sikkert nok, er der i ét tilfælde også svigtet i forhold til de mere specifikke og tekniske krav, såkaldte vilkår, for databehandling, som Datatilsynet stiller.

En forsker på Dansk BørneAstma Center får således som den eneste forsker ud af seks offentliggjorte afgørelser prædikatet ’samlet set meget kritisabelt’, fordi forskeren hverken har efterlevet persondatalovens bestemmelser om krav til databehandlere eller de specifikke vilkår fra Datatilsynet.

Forskeren har ifølge afgørelsen bl.a. ikke levet op til krav om kryptering af den simple grund, at projektdatabasen pt. er placeret hos Region Hovedstaden, hvor det ikke har været muligt at få data krypteret.

Artiklen fortsætter efter annoncen

Men forskeren på Dansk BørneAstma Center kritiseres også for, at rådata til et projekt er tilsendt fra Forskerservice ved Statens Seruminstitut på en CD-rom, som opbevares i et aflåst arkiv på centret. Det er ikke godt nok.

Desuden ligger data på servere, som ikke automatisk regelmæssigt kræver udskiftning af password, hvilket ikke lever op til reglerne.

Også i det forskeren har forsømt sig med databehandleraftaler, vækker det kritik, at han får opbevaret data hos en række udenlandske databehandlere.

»Dette er særligt bekymrende, i lyset af det store antal databehandlere der benyttes, herunder databehandlere i Norge, Canada, Nederlandene, Italien og Frankrig,« skriver Datatilsynet.

»Det giver særlig bekymring, at der er så mange databehandlere, også uden for EU, involveret. I EU har vi beskyttelseslovgivning, men her er data altså spredt rundt omkring i verden,« siger Lena Andersen.

I forhold til kritikken af Dansk BørneAstma Center har Datatilsynet bedt om en redegørelse. Men tilsynet rasler også med sablen i forhold til om forskeren fortsat får lov til at arbejde med persondata:

»Datatilsynet skal i den forbindelse oplyse, at en eventuel fortsat mangelfuld iagttagelse af persondataloven og Datatilsynets vilkår må give tilsynet anledning til overvejelser om, hvorvidt tilladelserne til behandling af følsomme personoplysninger i de omhandlede projekter kan opretholdes,« skriver tilsynet i et brev til forskeren på Dansk BørneAstma Center.

Tilsynet vil heller ikke udelukke et forbud eller et påbud eller at der er grundlag for at rejse en straffesag i sagen mod Centret.

Lena Andersen håber, at de private forskere bruger stikprøverne som en lejlighed til at få deres databehandlinger arrangeret på en måde, hvor persondataloven i højere grad bliver efterlevet.

»Vores undersøgelse har vist, at der flere steder er brug for, at forskerne øger fokus på databeskyttelsen både hos dem selv og deres databehandlere. Der vil også være krav på dette område, når den nye databeskyttelsesforordning finder anvendelse fra 25. maj 2018. Til den tid vil konsekvenserne af brud på reglerne være langt mere alvorlige som følge af forordningens regler om skrappe sanktioner.«

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
9. februar 2017 kl. 18:35

Personlig håber jeg på at der bliver strammet voldsomt op fordi enhver omgang med mine sundhedsdata, på ingen måde sker med min tilladelse uanset den såkaldte forsknings formål. Så enhver afvigelse, er i min optik en alvorlig forbrydelse.

Det er blandt forskere en udbredt misforståelse at mine sundhedsdata tilhører offentligheden. Det er forkert, for jeg har betalt for mine sundhedsydelser via sygesikringen i min region, som i praksis sker ved opkrævning af skat.

Det er dybt private oplysninger vi taler om og jeg er helt uforstående overfor at de data fysisk kan udleveres fordi det i min optik er indelysende af en forsker har en betydelig interesse i at offentligøre mine sundhedsdata som dokumentation for sin forskning.

Den slags data skal opbevares centralt og bør aldrig forlade bygningen til den myndighed som har opsamlet dataene - på samme vis som en medarbejder i efterretningstjenesten heller ikke kan tage "arbejdet med hjem".

Det skal ikke være let at arbejde med mine sundhedsdata og jeg ser helst at den forsker havde en CD liggende i et usikret skab kom en årrække i fængsel. Det ville få forskermiljøet til at stramme op, men det bedste af alle verdener ville være, hvis forskere kun fik adgang til sundhedsdata, hvis individet havde givet lov til dette på forhånd.

5
9. februar 2017 kl. 09:03

Personligt håber jeg at de får styr på formalia så penge og ressourcer kan bruges på forskning...

3
9. februar 2017 kl. 07:35

Hvor meget er der egentlig tænkt over en regel som denne:

Men forskeren på Dansk BørneAstma Center kritiseres også for, at rådata til et projekt er tilsendt fra Forskerservice ved Statens Seruminstitut på en CD-rom, som opbevares i et aflåst arkiv på centret.

Uden at kende den konkrete sag: Hvis alt hvad der er personhenførbart ligger på en CD, som opbevares i et aflåst arkiv til enhver tid når data ikke er i brug, og skal isættes af forskeren personligt når den skal bruges, hvorfor er det så ikke godt nok? Da kan det kan ikke tilgås fra netværket af pilfingre (air gap). Jeg kan ikke se, at det kan blive bedre.

Det lyder af fremstillingen som om der er sket meget mere end dette, men isoleret set kan jeg ikke se problemet med en sådan opbevaring.

2
9. februar 2017 kl. 07:00

Det på den ene side glædeligt, at Datatilsynet her faktisk ser ud til at have gjort et godt stykke arbejde (dog kun stikprøver - dvs. toppen af isbjerget) - applaus herfra. På den anden side er det jo trist at måtte se sine værste bekymringer (og påstande) om manglende sikkerhed og respekt omkring sundhedsdata bekræftet.

"I afgørelserne fra Datatilsynet er bl.a. Danmarks Statistik, Region H, Aarhus Universitet, Danmarks Nationale Biobank og Kræftens Bekæmpelse nævnt som steder, som har lagt servere til forskernes data. Og altså dermed har adgang til de følsomme data."

Kan man få et bud på, om dette anses kritisabelt (det lyder lidt sådan), eller om der blot er tale om, at aftalerne ikke er tilstrækkelige? Er der placeringer, der ville være bedre?

Mht. Kræftens Bekæmpelse så mener jeg ikke, at data har noget at gøre der overhovedet, med mindre "data-malkekøerne" udtrykkeligt har givet tilsagn om udlevering af data dertil. Men mit gæt er, at man kan finde noget lignende i Hjerteforeningen, Scleroseforeningen, Diabetesforeningen osv. De fleste af disse store lobbyorganisationer har tætte bånd til medicinalindustrien, og udfører forskning på vegne af eller finansieret af denne.

"»Dette er særligt bekymrende, i lyset af det store antal databehandlere der benyttes, herunder databehandlere i Norge, Canada, Nederlandene, Italien og Frankrig,« skriver Datatilsynet."Jeg går ud fra, at der er kædeansvar, således at forskeren faktisk skal sikre datasikkerheden i alle leddene? Det ansvar kan vel ikke blot videredelegeres? Man kan vel ikke finde historier i Danmark som denne fra Norge?https://www.nrk.no/norge/driftet-nodnettet-ulovlig-fra-india-1.13358591

Historien er jo ekstra beskæmmende, fordi vi stort set ugentligt hører ministre og andre aktører på området berømme den danske datasikkerhed på sundhedsområdet som et højt prioritere område, som der er helt styr på. Så disse aktører troværdighed får lige et hak i tuden af historier som denne. hvorfor skal vi overhovedet ro på dem mere?

1
9. februar 2017 kl. 06:12

Hvor EU dataforordning træder i kraft.

Dansk BørneAstma Center er en selvejende institution, så de er ikke undtaget straf.