Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning"

Transkript

1 N O T A T Retningslinjer Sag nr. 09/2825 Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning i regionerne. Datatilsynet skelner ved anmeldelse af forskningsprojekter mellem forskning i regionen (offentlig forskning) og privat forskning se evt. Sundhedsforskning anmeldes som offentlig forskning Al forsker-initieret anmeldelsespligtig sundhedsforskning, der foretages i regi af regionen, skal anmeldes som offentlig forskning. Dermed registreres denne forskning, via regionernes kontaktperson, under regionens paraplyanmeldelse for sundhedsfaglig forskning ved Datatilsynet. Hvis et projekt foregår i flere regioner, udnytter data fra landsdækkende registre m.v., skal projektet anmeldes til den dataansvarlige region. Dette vil sædvanligvis være den region, hvor den koordinerende forsøgsansvarlige har sit virke. Offentlig forskning Offentlig forskning skal registreres i den dataansvarlige regions relevante system. Der er metodefrihed, og regionerne kan have forskellige fremgangsmåder. Forskeren skal sikre, at de nødvendige tiltag er gjort for at sikre data i henhold til sikkerhedsbekendtgørelsen (Bekg. nr. 528 af 15. juni 2000). De enkelte regioner bør have lokale regler, instrukser og/eller hjælpemidler, der letter den praktiske gennemførelse af dette. Såfremt der benyttes en ekstern

2 databehandler, skal der indgås en databehandleraftale mellem regionen og den pågældende databehandler. Side 2 Grundlæggende gælder det for offentlig forskning, at der skal benyttes et databehandlingsværktøj, der foretager transaktionslogning, såfremt det er nødvendigt at fastholde identifikationsoplysningerne i datamaterialet. Derimod anses det for tilstrækkeligt at foretage adgangslogning, hvis identifikationsoplysningerne forinden enten er krypteret eller erstattet med et løbenummer eller lignende. Denne krypterings-/kodenøgle opbevares adskilt og sikret fra datagrundlaget, således at kun enkelte personer kan få adgang til den. Privat forskning Anmeldelse af privat forskning skal foretages direkte til Datatilsynet. Datatilsynets vilkår, som de fremgår af Datatilsynets godkendelse, skal overholdes. Herunder skal der også, såfremt der benyttes en ekstern databehandler, udformes en databehandleraftale med den pågældende databehandler. Hvis regionens faciliteter (pc er, servere, drev, frysere, køleskabe etc.) benyttes til projekter, hvor regionen ikke er dataansvarlig, skal der indgås en databehandleraftale mellem den dataansvarlige for projektet og den pågældende region.

3 Supplerende information Side 3 Ikrafttrædelse og anvendelse Fra 01/01-11 er retningslinjerne gældende for al anmeldelsespligtig forskning i regi af alle fem regioner. Der henvises i øvrigt til regionernes og datatilsynets hjemmesider, hvad angår den konkrete anmeldelsesprocedure: Region Nordjylland: Link Region Midtjylland: Link Region Syddanmark: Link Region Hovedstaden: Link Region Sjælland: Link Datatilsynet: Link Bilag 1. Baggrund 2. Lovgivning 3. It-understøttelse

4 Anmeldelse til Datatilsynet af databehandling i forbindelse med forsker-initieret sundhedsforskning i regionerne N O T A T Bilag Sag nr. 09/2825 Dokumentnr /10 Baggrund Indledning Anmeldelse til Datatilsynet af databehandling i forbindelse med forskerinitieret sundhedsforskning i regionerne er regionernes ansvar. Dansk sundhedsforskning er i mange tilfælde i international topklasse og regionerne arbejder for at fjerne barrierer for sundhedsforskningen. Uklar eller ikke enslydende vejledning kan være en barriere for forskerne. Regionerne har ansvar for, at reglerne i persondataloven overholdes i de henseender, hvor de er dataansvarlige og databehandlere. Persondataloven handler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. En vejledning skal sikre, at rådgivning af danske sundhedsforskere i regionerne for så vidt angår anmeldelse til Datatilsynet sker på baggrund af enslydende retningslinjer. Den skal sikre, at sundhedsforskere i regionerne rådgives så enslydende som muligt om, hvorvidt et forskningsprojekt skal anmeldes som offentlig eller privat sundhedsforskning. Vejledningen skal også sikre, at data, som regionen har ansvar for, behandles efter lovens forskrifter. Anmeldelse af et forskningsprojekt som enten offentligt eller privat/personligt har forskellige konsekvenser for både region og forsker. Ved regionernes dannelse blev proceduren for anmeldelser til Datatilsynet ændret. Hovedtrækket i den ændrede procedure er, at anmeldelsen til Datatilsynet af den offentlige sundhedsforskning sker årligt fra centralt hold via en kontaktperson i regionerne. Regionernes rolle og ansvar forstærkes deraf.

5 Ordforklaring Regionerne er dataansvarlige, når det drejer sig om den offentlige sundhedsforskning, der foregår i regi af regionerne. Ansvaret for anmeldelse, anvendelse og omgang med data i den offentlige sundhedsforskning påhviler regionen. Side 2 Nedenstående ordforklaringer udspringer i videst muligt omfang af Datatilsynets ordforklaring - som kan findes på og andre officielle kilder. Sundhedsforskning: Sundhedsforskning bruges her som den bredeste term, inkluderende alle typer af sundhedsvidenskabelig forskning, herunder basalforskning, strategisk forskning, anvendelsesorienteret forskning, klinisk forskning, sundhedstjenesteforskning mv. Sundhedsforskning defineres her som forskning rettet mod sygdomsforståelse, diagnostik, behandling, pleje, rehabilitering og forebyggelse af sygdomme, herunder forskning omfattende organisering og finansiering af disse indsatser. Logning: Paragraf 19, stk. 1 i Sikkerhedsbekendtgørelsen siger, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Data: Ved data forstås oplysninger om identificerbare personer enten i form af biologiske prøver (eksempelvis i frysere); data i it-mæssig betydning, hvor oplysninger ligger på servere og i databaser; eller oplysninger på papir eller andre medier. Sletning af data: Når et forskningsprojekt er afsluttet, skal alle personoplysninger slettes eller anonymiseres. Det fremgår af Datatilsynets godkendelse, hvornår sletningen skal ske. Hvis projektet også omfatter blod- eller vævsprøver, videooptagelser el.lign., skal også dette materiale destrueres, slettes eller anonymiseres ved projektets afslutning. Elektroniske forskningsdata kan i stedet afleveres til Dansk Data Arkiv. Dansk Data Arkiv indhenter, bevarer og udleverer forskningsdata fra samfundsvidenskab, sundhedsvidenskab og historie. Se evt.

6 Anonyme data: Ved anonyme data forstås i modsætning til personhenførbare data - data, hvor nøglen til at gøre data personhenførbare uigenkaldeligt er slettet og det i øvrigt ikke på anden vis er muligt at identificere personen. Side 3 Pseudonymiserede data: Ved pseudonymiserede data forstås data, hvor nøglen til at gøre data personhenførbare er tilstede, men opbevares adskilt fra data. Dataansvarlig: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Databehandler: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Procedure for anmeldelse til Datatilsynet for den henholdsvis offentlige som private/personlige sundhedsforsker Procedure for anmeldelse offentlig sundhedsforsker Den enkelte forsker/den forskningsansvarlige/afdelingen tager kontakt til den/de medarbejdere i den pågældende region, som varetager opgaven med at vurdere og registrere regionens forskningsprojekter. Kontakten indledes typisk med en beskrivelse af projektet, og det drøftes, hvordan projektet gennemføres med fokus på behandling af data (opbevaring, adgang, logning, anonymisering/sletning m.v.). Der udleveres evt. en tjekliste med forhold, som den/de projektansvarlige skal være opmærksomme på. Herefter registreres projektet i regionens database/på listen med minimum følgende oplysninger: projektets titel (evt. formålsbeskrivelse), om der indgår biobank i projektet, på hvilket sygehus/afdeling projektet gennemføres, projektets start- og sluttidspunkt, samt oplysning om hvorvidt projektet er afsluttet og oplysninger er slettet/anonymiseret/overført til arkiv.

7 Et udtræk af regionens forskningsdatabase/-liste skal sendes til Datatilsynet én gang årligt. Alle projekter på listen er omfattet af paraplyanmeldelsen til Datatilsynet. Side 4 Procedure for anmeldelse privat sundhedsforsker Den enkelte forsker retter selv henvendelse til Datatilsynet via tilsynets hjemmeside. På Datatilsynets hjemmeside findes vejledning om, hvilke projekter der skal anmeldes og hvordan anmeldelse rent praktisk skal foregå via en blanket. Efter en gennemgang af anmeldelsen udsteder Datatilsynet en tilladelse til forskeren med vilkårene for projektet. Vilkårene fastsættes til beskyttelse af deltagernes privatliv og skal sikre, at personoplysningerne behandles i overensstemmelse med loven. Datatilsynets tilladelse er tidsbegrænset. Udløbsdatoen fremgår af tilladelsen. På Datatilsynets hjemmeside findes et link til tilsynets standardvilkår for forskningsprojekter. Disse standardvilkår er knyttet til tilladelsen.

8 Anmeldelse til Datatilsynet af databehandling i forbindelse med forsker-initieret sundhedsforskning i regionerne N O T A T Bilag Sag nr. 09/2825 Dokumentnr /10 Lovgivning Anmeldelsespligtig behandling (inkl. indsamling, opbevaring, håndtering og sletning) af data er underlagt lovgivning for blandt andet at beskytte følsomme personoplysninger. Lovgivning sikrer, at borgerne kan lade bl.a. sundhedspersonale og forskere anvende deres data i forskningsmæssigt og helbredelsesmæssigt øjemed, uden at uvedkommende får kendskab til deres følsomme oplysninger eller at data (mis)bruges til andet formål end det godkendte. Samtidigt sikrer lovgivningen, at bl.a. forskere og sundhedspersonale på sikker og reguleret vis har adgang til oplysninger, der kan bidrage til forskningen og til behandlingen af den enkelte borger. I dette bilag gives et sammenlignende overblik over central lovgivning, der har betydning for anmeldelsespligtig forskning i henholdsvis offentlig og privat regi. Følsomme personoplysninger I henhold til regionernes godkendelse fra Datatilsynet, er det tilladt, i nødvendigt omfang, at behandle følgende typer oplysninger: Racemæssig eller etnisk baggrund Religiøs overbevisning Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Seksuelle forhold Strafbare forhold Væsentlige sociale problemer

9 Der foreligger således ikke tilladelse til at behandle oplysninger om: Politisk overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Side 2 Sammenligning af regler Offentlig forskning Privat forskning Reference persondataloven, sikkerhedsbekendtgørelsen og vejledning til sikkerhedsbekendtgørelsen Det primære grundlag for problemstillingen, der behandles her er persondatalovens 41 Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Der er flere steder i sikkerhedsbekendtgørelsen henvisning til dennes 2 stk. 2. Sikkerhedsbekendtgørelsen 2. Behandling af personoplysninger skal ske i overensstemmelse med bestemmelserne i kapitel 1 og 2. Stk. 2. Behandling af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i lov om behandling af personoplysninger, skal tillige ske i overensstemmelse med bestemmelserne i denne bekendtgørelses kapitel 3. Dette gælder dog ikke for behandling af personoplysninger, der udelukkende sker med henblik på at føre et retsinformationssystem, i det omfang der er tale om oplysninger i den offentligt tilgængelige del af retsinformationssystemet. persondataloven og standardvilkår for forskningsprojekter Det primære grundlag for problemstillingen, der behandles her er persondatalovens 41 Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Generelt Personfølsomme data uden pseudonymisering og/eller kryptering Sikkerhedsbekendtgørelsen 3. Den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. Sikkerhedsbekendtgørelsen 19 Stk. 1. Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Det fremgår af lovens 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysningerne hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Må ikke behandles elektronisk Pseudonymiserede personfølsomme data Sikkerhedsbekendtgørelsen 19 Stk. 4. Der skal foretages maskinel logning af bruger og tidspunkt for behandlingen Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Alternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal opbevares forsvarligt og adskilt fra personoplysningerne.

10 Adgangen til projektdata må Side kun 3 finde sted ved benyttelse af et fortroligt password. Password skal udskiftes mindst én gang om året, og når forholdene tilsiger det. Fysiske vilkår Sikkerhedsbekendtgørelsen 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Sikkerhedsbekendtgørelsen 10 Inddatamateriale, som ikke indgår i en manuel sag eller i et manuelt register, må kun anvendes af personer, som er beskæftiget med inddatering. Inddatamateriale, som er omfattet af bestemmelsen i 2, stk. 2, skal opbevares aflåst, når det ikke anvendes. Lokaler, der benyttes til opbevaring og behandling af projektets oplysninger, skal være indrettet med henblik på at forhindre uvedkommende adgang. Behandling af oplysninger skal tilrettelægges således, at oplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Urigtige eller vildledende oplysninger eller oplysninger, som er behandlet i strid med loven eller disse vilkår, skal berigtiges eller slettes. Biologisk materiale Biologisk materiale er ikke specifikt nævnt, men der kan henvises til persondatalovens 41 stk. 3. Der skal, i virksomheden, laves retningslinjer der sikrer at denne overholdes. Rent praktisk skal disse retningslinjer ikke være ringere end dem, der gælder for privat forskning, hvorfor disse kan være et udgangspunkt for udformningen af de lokale regler. Prøver med biologisk materiale og biologisk materiale i biobanker skal opbevares forsvarligt aflåst, således at uvedkommende ikke har adgang til det, og på en sådan måde, at det sikres, at materialet ikke fortabes, forringes eller hændeligt eller ulovligt tilintetgøres. Biologisk materiale, der er mærket med personnummer eller navn, skal opbevares under iagttagelse af særlige sikkerhedshensyn. Der skal fastsættes interne retningslinjer i projektet for opbevaring af biologisk materiale. Retningslinjerne skal ajourføres mindst én gang om året. Adgangsstyring Sikkerhedsbekendtgørelsen 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til. 16. Autorisationer, jf. 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. 17. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Behandling af personoplysninger må kun foretages af den dataansvarlige eller på foranledning af den dataansvarlige og på dennes ansvar.

11 Stk. 2. Kontrol heraf skal foretages mindst en gang hvert halve år. Side 4 Sletning Persondatalovens 5: Stk. 5. Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Sikkerhedsbekendtgørelsen 10. Stk. 2. Inddatamateriale som nævnt i stk. 1 skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, dog senest efter en af den dataansvarlige myndighed nærmere fastsat frist. Stk. 3. Ved tilintetgørelse af inddatamateriale skal der træffes de fornødne sikkerhedsforanstaltninger mod, at materialet misbruges eller kommer til uvedkommendes kendskab. Der kan være tilfælde hvor det er relevant at overveje følgende: Persondataloven 41 Stk. 4. For oplysninger, som behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der muliggør bortskaffelse eller tilintetgørelse i tilfælde af krig eller lignende forhold. Senest ved projektets afslutning skal oplysningerne slettes, anonymiseres eller tilintetgøres, således at det efterfølgende ikke er muligt at identificere enkeltpersoner, der indgår i undersøgelsen. Alternativt kan oplysningerne overføres til videre opbevaring i Statens Arkiver (herunder Dansk Dataarkiv) efter arkivlovens regler. Sletning af oplysninger fra elektroniske medier skal ske på en sådan måde, at oplysningerne ikke kan genetableres. Databehandler Persondataloven 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Stk. 2. Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne. Datatilsynets vilkår gælder også ved behandling hos databehandler. Ved behandling hos databehandler skal der indgås en skriftlig aftale herom mellem den dataansvarlige og databehandleren. Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at oplysninger ikke må anvendes til databehandlerens egne formål. Databehandleren skal desuden give den dataansvarlige tilstrækkelige oplysninger til, at denne til enhver tid kan sikre sig, at Datatilsynets vilkår kan overholdes, og at de bliver overholdt. Hvis databehandleren er etableret i en anden medlemsstat, skal det desuden fremgå af aftalen, at de yderligere bestemmelser om sikkerhedsforanstaltninger for databehandlere, som eventuelt er fastsat i den medlemsstat, hvor databehandleren er etableret, også er gældende for databehandleren. Overførsel af oplysninger til tredjelande Persondataloven 27. Der må kun overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3. Stk. 2. Vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på grundlag af samtlige de forhold, der har indflydelse på en overførsel, herunder navnlig oplysningernes art, behandlingens formål og va- Overførsel af oplysninger til tredjelande, herunder til behandling hos databehandler samt til intern anvendelse i projektet, kræver forudgående tilladelse fra Datatilsynet. Overførsel kan dog ske uden tilladelse, hvis den registrerede har givet udtrykkeligt samtykke til dette. Den registrerede

12 righed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet. Stk. 3. Ud over de i stk. 1 nævnte tilfælde kan der overføres oplysninger til et tredjeland, såfremt 1) den registrerede har givet udtrykkeligt samtykke, 2) overførsel er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan aftale, 3) overførsel er nødvendig af hensyn til indgåelsen eller udførelsen af en aftale, der i den registreredes interesse er indgået mellem den dataansvarlige og tredjemand, kan tilbagekalde samtykket. Side 5 Overførsel af oplysninger skal ske med bud eller anbefalet post. Ved elektronisk overførsel skal der træffes de fornødne sikkerhedsforanstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab. Oplysningerne skal som minimum være forsvarligt krypteret under hele transmissionen. Datatilsynet fastsætter konkrete vilkår for overførsel ved hver tilladelse. 4) overførsel er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares, 5) overførsel er nødvendig for at beskytte den registreredes vitale interesser, 6) overførsel finder sted fra et register, der ifølge lov eller bestemmelser fastsat i henhold til lov er tilgængeligt for offentligheden eller for personer, der kan godtgøre at have en berettiget interesse heri, i det omfang de i lovgivningen fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde, 7) overførsel er nødvendig af hensyn til forebyggelse, efterforskning og forfølgning af strafbare forhold samt straffuldbyrdelse og beskyttelse af sigtede, vidner eller andre i sager om strafferetlig forfølgning eller 8) overførsel er nødvendig af hensyn til den offentlige sikkerhed, rigets forsvar eller statens sikkerhed. Stk. 4. Uden for de i stk. 3 nævnte tilfælde kan tilsynsmyndigheden give tilladelse til, at der overføres oplysninger til tredjelande, som ikke opfylder stk. 1, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. Der kan fastsættes nærmere vilkår for overførslen. Tilsynsmyndigheden underretter Europa-Kommissionen og de øvrige medlemsstater om tilladelser meddelt i henhold til denne bestemmelse. Stk. 5. Reglerne i denne lov finder i øvrigt anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4.

13 Anmeldelse til Datatilsynet af databehandling i forbindelse med forsker-initieret sundhedsforskning i regionerne N O T A T Bilag Sag nr. 09/2825 It-understøttelse Elektronisk behandling af data ved offentlig sundhedsforskning Der gælder forskellige krav til den elektroniske behandling af data, afhængig af om data er pseudonymiserede eller ej. Nedenfor gennemgås kravene til elektronisk behandling af data hhv. når data er pseudonymiserede, og når de ikke er det. Disse krav er ikke nye, men derimod en præcisering af allerede eksisterende krav til elektronisk behandling af data ved offentlig sundhedsforskning. Offentlig forskning på pseudonymiserede data For så vidt angår logningskravene til databehandlingen, skal der ved offentlig pseudonymiseret forskning finde maskinel logning af navn og tidspunkt sted. Dette betyder rent it-mæssigt, at det er nok at foretage en form for maskinel logning af, hvilke personer der har haft adgang til data, og hvornår. Der skal ikke logges, hvad forskeren foretager sig med sine data. Denne type forskning stiller således ikke voldsomme krav til itunderstøttelsen af forskerens arbejdsgange. Scenariet for denne løsning er, at forskeren arbejder med sine data, der ligger på en fil-server, som maskinelt logger hvem der har haft adgang til data, og hvornår det er sket. De data der ligger på fil-serveren er pseudonymiserede, og nøglen er forsvarligt adskilt fra data. Offentlig forskning på ikke-pseudonymiserede data Logningskravene til offentlig forskning på ikke-pseudonymiserede data er mere vidtgående. Der skal således finde transaktionslogning sted, hvilket

14 betyder, at det maskinelt både skal logges hvem der har haft adgang til data, hvornår de har haft det, og hvad de har foretaget sig med data. Side 2 Denne type forskning stiller betydeligt større krav til it-understøttelsen af forskerens arbejdsgange. Scenariet for denne løsning er, at forskeren arbejder med sine data, der ligger på en database, som dels maskinelt logger hvem der har haft adgang til data hvornår, og dels hvad vedkommende har foretaget sig i arbejdet med data. Denne løsning er således væsentlig mere teknisk avanceret end den første løsning. Ved begge løsninger henvises der til regionernes retningslinjer for arbejde med fortrolige data. Specifikt stiller Datatilsynet krav om, at hvis der sendes personhenførbare oplysninger over ubeskyttede net, herunder Internettet, skal data være krypteret med en stærk kryptering.

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren] DATABEHANDLERAFTALE Der er dags dato indgået følgende Databehandleraftale mellem

Læs mere

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik Vejledning om videregivelse af personoplysninger til brug for forskning og statistik 1 Indholdsfortegnelse 1. Baggrund 2. Definitioner 2.1. Personoplysning 2.2. Anonymiseret personoplysning (i persondatalovens

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN] Tekst markeret med GRØN, udfyldes inden udsendelse til leverandøren Tekst markeret med TURKIS, udfyldes af leverandøren Side 1/16 Side 2/16 DATABEHANDLERAFTALE

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Anmeldelse af behandling af data

Anmeldelse af behandling af data - 1. Skema udfyldt af: Dato: Anmeldelse af behandling af data 2. Databehandlingen er omfattet af Region Hovedstadens paraplyanmeldelse vedr.: OBS: kun 1 X 2007-58-0006 Patientbehandling 2012-58-0023 Kliniske

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet Afdeling: Direktionssekretariatet Udarbejdet af: Dorte Riskjær Larsen Sagsnr.: 13/1121 E-mail: dorte.riskjaer.larsen @ouh.regionsyddanmark.dk Dato: 26. september 2013 Telefon: 2128 4616 Vejledning til

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

7. Oktober Datatilsynet og forskningsregistrering

7. Oktober Datatilsynet og forskningsregistrering 7. Oktober 2015 Datatilsynet og forskningsregistrering Forskningsregistrering Rådgivning omkring datasikkerhed i forbindelse med forskningsdata Forskningsregistrering til regionens paraplyanmeldelse Registrering

Læs mere

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere. Dato Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2015-019-0014 Sagsbehandler Camilla Knutsdotter

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Anmeldelse af offentlige videnskabelige forskningsprojekter

Anmeldelse af offentlige videnskabelige forskningsprojekter Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Anmeldelse af offentlige videnskabelige forskningsprojekter VEJLEDNING om anmeldelse

Læs mere

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU Bemærk: Der henvises til vejledningen ved udfyldelsen af nedenstående anmeldelsesskema. 1. Dataansvarlig myndighed Myndighedens navn:

Læs mere

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Uddrag af Persondataloven, lov nr. 429 af 31. maj 2000 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem vedr. Indkøbsordning til visiterede borgere i eget hjem Mellem Hvidovre Kommune Hvidovrevej 278 2650 Hvidovre Glostrup Kommune Rådhusparken 2 2600 Glostrup (CVR nr. 65120119) Rødovre Kommune Rødovre Parkvej

Læs mere

Anmeldelse af behandlinger der foretages for den offentlige forvaltning.

Anmeldelse af behandlinger der foretages for den offentlige forvaltning. Blankettype: Offentlig forvaltning Journalnummer: Anmeldelse af behandlinger der foretages for den offentlige forvaltning. Bemærk! Hvor andet ikke udtrykkeligt er angivet, vil de oplysninger, der fremgår

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Skema til kortlægning af dataflow i STIL s produkter

Skema til kortlægning af dataflow i STIL s produkter Version 1.0 Skema til kortlægning af dataflow i STIL s produkter Dette skema anvendes til at kortlægge dataflowet i de STIL systemer, hvor der behandles personoplysninger. Skemaet skal udfyldes for alle

Læs mere

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Furesø Kommune Stiager 2 3500 Værløse CVR. nr.: 29188327 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er der

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig Gældende fra 2. marts 2015 og erstatter tidligere vejledninger Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig forskning i Region Syddanmark Generelt om anmeldelse Alle forskningsprojekter

Læs mere

Registerforskrifter. Den Centrale Venteliste

Registerforskrifter. Den Centrale Venteliste Dato: 25.04.2005. J.nr.: 42.20.05 Registerforskrifter Den Centrale Venteliste De foreliggende registerforskrifter er gældende for Registret Den Centrale Venteliste, som føres af Familiedirektoratet. Registerforskrifterne

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Incest, samleje eller anden kønslig omgang med børn under 15 år

Incest, samleje eller anden kønslig omgang med børn under 15 år [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]!"#!"$! % &&&$!"$! Du har fra Rigspolitiet modtaget en positiv børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration

Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU.

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU. Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU. 1. Dataansvarlig myndighed Myndighedens navn: Syddansk Universitet Campusvej 55 5230 Odense M Institut og fakultets navn: Fx Klinisk

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger

Persondataloven - regler og praksis for god databehandlingsskik. Forskning med personoplysninger Artikel til METODE & DATA november 2008 Persondataloven - regler og praksis for god databehandlingsskik Forskning med personoplysninger Specialkonsulent, mag. art. Camilla Daasnes, Datatilsynet Artiklen

Læs mere

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i

Læs mere

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling*

Der søges samtidig om Datatilsynets tilladelse. 1.Dataansvarlig Navn* (projektleder) Stilling* Blankettype: Privat forskning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig, og som udelukkende

Læs mere

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven)

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven) Behandling af personoplysninger i (i forhold til persondataloven) Version 1.3 1 Hvad er personoplysninger Personoplysninger (også kaldet persondata) er oplysninger, der kan henføres til en

Læs mere

Persondataloven kort fortalt

Persondataloven kort fortalt Persondataloven kort fortalt Den 27. februar 2013 Indhold Indledning... 2 Lov om behandling af personoplysninger... 3 På hvilke områder gælder loven?... 3 Hvilke typer behandling?... 3 Undtagelser fra

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen ) 25. november 2016 Versionshistorik Versionsnr. Dato Beskrivelse 0.8 25.11.2016 Høringsudkast til kombit.dk DATABEHANDLERAFTALE Mellem [XXXX Kommune adresse postnr. og by CVR. nr.: XXXX] (herefter Kommunen

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) Lov om behandling af personoplysninger 1) VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov: Afsnit I Indledende

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Advarselsregister Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at advare andre

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 919 Offentligt Retsudvalget 2016-17 REU Alm.del endeligt svar på spørgsmål 919 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 5. oktober 2017 Kontor: Databeskyttelseskontoret

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

Lov om behandling af personoplysninger 1)

Lov om behandling af personoplysninger 1) LOV nr 429 af 31/05/2000 Gældende (Persondataloven) Offentliggørelsesdato: 02 06 2000 Justitsministeriet Senere ændringer til forskriften LOV nr 280 af 25/04/2001 7 LOV nr 552 af 24/06/2005 6 LBK nr 158

Læs mere

Overblik over persondataforordningen

Overblik over persondataforordningen Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Sammenskrevet udgave af persondataloven

Sammenskrevet udgave af persondataloven Sammenskrevet udgave af persondataloven Lov nr. 429 af 31. maj 2000 som ændret ved 7 i lov nr. 280 af 25. april 2001, 6 i lov nr. 552 af 24. juni 2005, 2 i lov nr. 519 af 6. juni 2007, 1 i lov nr. 188

Læs mere

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S

Oplysningerne opbevares hos databehandler. Databehandlerens adresse Weidekampsgade 6, 2300 København S Benyt anmeldelse som kladde. Afkryds de felter, du ønsker at genbruge, eller genbrug hele blanketten. 1.Dataansvarlig myndighed Navn Haderslev Kommune Adresse Gåskærgade 26-28 Kommunekode (For kommuner

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Udkast. til. anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger

Udkast. til. anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger Skjal 1. Udkast anordning om ikrafttræden for rigsmyndighederne på Færøerne af lov om behandling af personoplysninger til I medfør af 83 i lov nr. 429 af 31. mai 2000 om behandling af personoplysninger

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos databehandler Benyt anmeldelse som kladde. Afkryds de felter, du ønsker at genbruge, eller genbrug hele blanketten. 1.Dataansvarlig myndighed Navn Haderslev Kommune Adresse Gåskærhade 26 Kommunekode (For kommuner og

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Journalnummer:

Journalnummer: Blankettype: Offentlig forvaltning Journalnummer: 2001-52-1157 Anmeldelse af behandlinger der foretages for den offentlige forvaltning. Bemærk! Hvor andet ikke udtrykkeligt er angivet, vil de oplysninger,

Læs mere

Deltagelse i indkøbsdatasamarbejdet:

Deltagelse i indkøbsdatasamarbejdet: Bilag 1 til Tilmeldingsskemaet til Deltagelse i indkøbsdatasamarbejdet: Databehandleraftale Dags dato er indgået nedenstående aftale mellem (Kommunenavn) (CVR nr.) (Adresse) (Postnummer og by) (Herefter

Læs mere

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger Lovafdelingen Dato: 20. juni 2012 Kontor: Statsretskontoret Sagsbeh: Christian Hesthaven Sagsnr.: 2011-766-0006 Dok.: 463181 U D K A S T Anordning om ikrafttræden for Grønland af lov om behandling af personoplysninger

Læs mere

PERSONDATALOVEN OG SUNDHEDSLOVEN

PERSONDATALOVEN OG SUNDHEDSLOVEN KIROPRAKTIK 2014 PERSONDATALOVEN OG SUNDHEDSLOVEN Kort om Persondataloven og Sundhedsloven Sundhedsloven 'Hovedloven' på området Relevant i ft. oplysninger er særligt:» Tavshedspligt, indhentelse og videregivelse

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Vejledning til den fællesregionale skabelon Databehandleraftale

Vejledning til den fællesregionale skabelon Databehandleraftale Vejledning til den fællesregionale skabelon Databehandleraftale Den fællesregionale skabelon Databehandleraftale er opbygget på den måde, at man skriver egen tekst i stedet for den eksisterende, hvor denne

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere