Vejledning. Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata. September 2018

Relaterede dokumenter
Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Regionen - Tværregionale dokumenter - 1. Ledelse Dokumentation og datastyring

Projektets titel. Projektets formål

Notat vedr. behandling af personoplysninger og anonymisering til forskning

Projektets titel. Projektets formål

Privatlivspolitik. Odense LMU

Fra jura til praksis

Retningslinje om fortegnelser over behandlingsaktiviteter

Anmeldelsesskema for Videnskabelige og statistiske undersøgelser på SDU.

Retningslinje om dataansvarlig/databehandler

7. Oktober Datatilsynet og forskningsregistrering

PERSONDATALOVEN OG SUNDHEDSLOVEN

! Databehandleraftale

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandlervilkår. 1: Baggrund, formål og definitioner

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Persondataforordningen

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

Sundhedslovens Kapitel 9

Behandling af personoplysninger

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Privatlivspolitik. for Odense LM

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Præsentation Tid +/- 25 minutter i praktik

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.

Retningslinje om fortegnelser over behandlingsaktiviteter

BILAG 14: DATABEHANDLERAFTALE

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Anmeldelse af behandling af data

Behandling af personoplysninger

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Hvem vi er - og hvordan du kan kontakte os Den dataansvarlige virksomheds identitet og kontaktoplysninger

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Projektanmeldelse. Projektets titel. Dataansvarlig / projektleder. Oplysninger opbevares her

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Retningslinje om fortegnelser over behandlingsaktiviteter

PERSONDATAPOLITIK FOR Slagelse Børneklub

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Privatlivspolitik i PPclinic

Privatlivspolitik Erhvervshus Midtjylland

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Oplysning om vores behandling af dine personoplysninger m.v.

Forskerservice. Vilkår under Persondataforordningen v/ Ane Dahl Jørgensen 24. maj 2018

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Behandling af personoplysninger

Sundheds- og Ældreudvalget L 184 endeligt svar på spørgsmål 36 Offentligt

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

Retningslinjer for videregivelse af personoplysninger fra de støttede, landsdækkende kliniske kvalitetsdatabaser (forskningsadgang)

Privatlivspolitik for patienter

Privatlivspolitik for Falck Healthcare A/S

Personoplysninger om kunder og forretningsforbindelser

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Persondatalovens dokumentationskrav

Iagttagelse af Datatilsynets vilkår, databehandleraftaler, og den dataansvarliges kontrol med databehandlere.

3 Omfattede typer af personoplysninger og kategorier af registrerede

Anmeldelse af Videnskabelig og statistisk undersøgelse/projekt hos UCL med personhenførbare data

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Persondata på Københavns Universitet

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 3. Databehandleraftale

Vejledning om databeskyttelsesreglerne i relation til forskningsområdet

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Privatlivspolitik KL s behandling af oplysninger om kommunalpolitikere og medarbejdere i kommunerne Version 1.0 maj 2018

3 Omfattede typer af personoplysninger og kategorier af registrerede

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om nuværende og tidligere kunder samt mulige kommende kunder.

Dansk Selskab for GCP. Persondatareglerne

Retningslinje om databeskyttelsesrådgivere

Persondatapolitik Vordingborg Gymnasium & HF

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

BILAG 5 DATABEHANDLERAFTALE

Behandling af personoplysninger

opfylde vores kontraktuelle forpligtelser over for dig, samt at


Anmeldelse til Datatilsynet i forbindelse med forsker-initieret sundhedsforskning

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

KERTEMINDE FORSYNING - VARME A/S Kohaven Kerteminde CVR-nr Kundeservice:

Transkript:

Vejledning Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata September 2018 Vejledningen er godkendt af universitetsrektorer og regionsdirektører

Vejledning Tværinstitutionelt samarbejde mellem regioner og universiteter vedrørende sundhedsdata Indhold 1. Formål... 2 1.1 Afgrænsning... 2 1.2 Forudsætning... 2 2. Definitioner/Begreber... 4 2.1 Dataansvarlig... 4 2.2 Databehandler... 4 2.3 Personoplysninger... 5 2.4 Pseudoanonymiserede oplysninger... 5 2.5 Anonymiserede oplysninger... 5 2.6 Deling af personoplysninger... 5 2.6.1 Videregivelse af personoplysninger... 6 2.6.2 Overladelse af personoplysninger... 6 3. Eksempler på samarbejdsscenarier... 7 Scenarie 1... 7 Scenarie 2a... 8 Scenarie 2b... 8 Scenarie 3a... 8 Scenarie 3b... 9 Scenarie 3c... 9 Scenarie 4... 10 Scenarie 5... 10 Scenarie 6a... 11 Scenarie 6b... 12 1

1. Formål Denne vejledning skal bidrage til en afklaring inden for lovgivningens rammer af det fælles arbejdsgrundlag for alle landets regioner og universiteter, når der er tværinstitutionelt samarbejde omkring sundhedsvidenskabelig forskning. Sundhedsvidenskabelig forskning involverer følsomme personoplysninger, hvor den enkelte patients personoplysninger kan opsøges enten direkte fra individet selv henholdsvis patientjournaler eller fra eksisterende sundhedsregistre/databaser. Det er meget almindeligt, at data skal bruges på flere institutioner, eller at forskere fra flere institutioner skal tilgå de samme personoplysninger. Vejledningen er udarbejdet af repræsentanter fra Region Nordjylland, Region Midtjylland, Region Syddanmark, Region Hovedstaden, Københavns Universitet, Syddansk Universitet, Aarhus Universitet og Aalborg Universitet med Dekan Lars Hvilsted Rasmussen, Aalborg Universitet som formand for arbejdsgruppen. Arbejdet er igangsat af og forankret i Ledelsesforum for Medicinsk Sundhedsforskning. 1.1 Afgrænsning Et samarbejde kan være omkring et forskningsprojekt med fysisk deltagelse af patienten, et forskningsprojekt med behandling af sundhedsdata i journaler uden patientens fysiske deltagelse, eller et forskningsprojekt med behandling af patientdata i eksisterende databaser og registre/biobanker. Adgang til personoplysninger i forbindelse med patientens fysiske deltagelse i et forskningsprojekt og adgang til personoplysninger i patientjournaler (EPJ) reguleres af Sundhedsloven. Adgang til personoplysninger i eksisterende registre/databaser reguleres af Databeskyttelsesloven/Databeskyttelsesforordningen. Fokus for denne vejledning er tværinstitutionelle samarbejder med behandling af personoplysninger fra eksisterende sundhedsregistre/databaser 1 og gældende regler i Databeskyttelsesloven/Databeskyttelsesforordningen. Skal man inddrage helbredsoplysninger fra patientjournaler, skal reglerne i sundhedsloven for indhentning og/eller videregivelse være iagttaget. 1.2 Forudsætning En grundlæggende forudsætning for enhver institution, som har registreret personoplysninger eller som skal tilgå personoplysninger fra andre institutioner, er, at gældende regler og myndighedskrav til behandling af personoplysninger er opfyldt. Afhængigt af de aktuelle projekter 1 Men ikke oplysninger fra patientjournaler 2

kan dette involvere tilladelser fra Datatilsynet, Sundhedsdatastyrelsen og de videnskabsetiske komiteer. 3

2. Definitioner/Begreber Følgende begreber er centrale ved håndtering af personoplysninger i samarbejdet mellem universiteter og regioner: Dataansvarlig Databehandler Personoplysninger Pseudonymiserede oplysninger Anonymiserede oplysninger Deling af personoplysninger Videregivelse af personoplysninger Overladelse af personoplysninger 2.1 Dataansvarlig Definition: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af oplysninger. Formål: Hvem iværksætter og bestemmer formål? Hvorfor finder den pågældende behandling af personoplysninger sted? Hvem er ansvarlig for at sikre retsgrundlaget for behandlingen af personoplysninger? Hjælpemidler: Tekniske og organisatoriske foranstaltninger. Skal indgå i afvejningen, men kan ikke stå alene. Formålet vil altid veje tungest. Bemærkninger Ansvaret ligger hos organisationen som helhed, som samtidig er ansvarlig for, at der er en hjemmel til/for formålet. Almindeligvis anbefales det, at det er organisationen, der er dataansvarlig frem for forskeren som person. Fortegnelser: Krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger. Fortegnelseskravet erstatter således den hidtil gældende anmeldelsesordning. Den dataansvarlige har indtil 25. maj 2018 skulle anmelde behandling af fortrolige personoplysninger til Datatilsynet under organisationens fællesanmeldelse. 2.2 Databehandler Definition: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne. Bemærkninger: Databehandler behandler personoplysninger for at varetage den dataansvarlige organisations formål. Databehandler efterlever den instruks, der er givet af den dataansvarlige i databehandleraftalen. 4

Databehandler skal destruere/slette/anonymisere/returnere personoplysninger, senest når opgaven er løst, herunder ophør af evt. krav til opbevaring af dokumentation. Der er ikke behov for databehandleraftaler inden for den enkelte dataansvarliges organisation men alene ved tilgåelse af oplysninger af en databehandler uden for organisationen. Fortegnelser: Krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger. Inden 25. maj 2018: Databehandler skulle ikke anmelde behandling af personoplysninger til Datatilsynet under organisationens fællesanmeldelse. 2.3 Personoplysninger Definition: Enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, fx ved navn eller cpr-nr. 2.4 Pseudonymiserede oplysninger Definition: Hvor der er en nøgle der kan henføre til personen, f.eks. at cpr-nr. er erstattet af et løbenummer eller, hvor oplysninger er krypterede. Oplysningerne er fortsat beskyttet af Databeskyttelsesloven/Databeskyttelsesforordningen, dvs. er fortsat at betragte som personoplysninger. 2.5 Anonymiserede oplysninger Definition: Hvor en person hverken direkte eller indirekte kan identificeres, dvs. oplysningerne kan på ingen måde føres tilbage til den fysiske person, som de vedrører. Oplysningerne er ikke beskyttet af Databeskyttelsesloven/Databeskyttelsesforordningen, dvs. er ikke længere at betragte som personoplysninger. 2.6 Deling af personoplysninger Når personoplysninger deles, kan det være enten videregivelse eller overladelse: Videregivelse er, når der gives personoplysninger til en anden. Overladelse er, når der sættes andre til at behandle personoplysninger for en. Deling er et begreb, der anvendes populært for at lette forståelsen. Det er ikke et begreb/en betegnelse, der anvendes i lovgivningen. Der skal alene indgås databehandleraftale i forbindelse med overladelse og ikke i forbindelse med videregivelse af personoplysninger. Ved videregivelse (inden for EU) kræves ikke Datatilsynets tilladelse. Den dataansvarlige afgør selv, om der er hjemmel til videregivelsen i Databeskyttelseslovens 10). Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved den for institutionens 5

ansvarlige, f.eks. juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Videregivelse efter 10, stk. 3 kræver godkendelse direkte ved Datatilsynet, såfremt videregivelsen sker til behandling i et tredjeland, det vedrører biologisk materiale eller med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign. Vær opmærksom på, at ved videregivelse og overladelse af personoplysninger til andre lande gælder i øvrigt særlige regler. Kontakt juridisk enhed for vejledning. 2.6.1 Videregivelse af personoplysninger Definition: Videregivelse er, når modtageren får overført personoplysninger og behandler personoplysninger på egne vegne til egne formål på baggrund af en selvstændig behandlingshjemmel, og hvor der afgives et ekstra sæt (kopi) af nødvendige personoplysninger eller gives en ekstern modtager adgang til personoplysninger. Omfatter også fjernadgang. Bemærkninger: Modtageren får selvstændigt dataansvar for de modtagne personoplysninger. Afgiveren afgør selv, om der er hjemmel til videregivelsen, med mindre videregivelsen er omfattet af Databeskyttelseslovens 10, stk. 3 og derfor kræver Datatilsynets tilladelse. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Afgiveren kan stille betingelser for at videregive personoplysninger. Afgiveren har ikke ansvar for modtagerens videre behandling af personoplysningerne. Ved kontraktindgåelse kan vilkår for eksempelvis behandling og sletning aftales mellem parterne. Note: med modtager menes eksempelvis studerende, anden juridisk enhed eller organisation, såsom region eller andet universitet, virksomheder etc. 2.6.2 Overladelse af personoplysninger Definition: Overladelse er, når modtageren får adgang til personoplysninger og behandler på afgiverens vegne til afgiverens formål, og hvor der sendes et ekstra sæt (kopi) af nødvendige personoplysninger enten til databehandler eller til anden intern brug (fx genbrug af udvalgte data til andet formål). Modtageren bliver således databehandler for afgiveren, der i dette tilfælde er dataansvarlig. Bemærkninger: Ved overladelse til databehandler skal der altid indgås databehandleraftale. Husk, at hvis overladelse er til anden intern brug, kræves der ikke databehandleraftale. En overladelse kræver ikke en selvstændig behandlingshjemmel, da alt hvad en databehandler foretager altid sker på grundlag af den dataansvarliges behandlingshjemmel. 6

En overladelse må ligesom enhver anden behandling ikke stride imod de grundlæggende behandlingsprincipper eller ske i videre omfang, end hvad den relevante behandlingshjemmel kan bære. Ved overladelse til en databehandler i et 3. land kan EUkommissionens standardkontrakter anvendes.

3. Eksempler på samarbejdsscenarier Organisationerne (regioner/universiteter) er dataansvarlige eller databehandlere for hvert enkelt projekt i kraft af arbejdsgiveransvaret for de enkelte forskere. Det juridiske ansvar påhviler derfor organisationen og således ikke den enkelte forsker. Data kan hentes fra en projektdatabase eller register til det anmeldte projekt, ligesom der kan indgå datasæt fra flere forskellige projektdatabaser eller registre. Alle projekter skal registreres gennem organisationens fortegnelse af både den dataansvarlige og databehandleren. Dette gælder som udgangspunkt også ændringer til projektet, medmindre der blot er tale om ændring af den personkreds inden for organisationen, der skal tilgå data. Nedenfor er gengivet 9 forskellige hyppigt forekommende samarbejdsscenarier for deling af data, hvor dataansvarlig og databehandler er identificeret ved anvendelse af følgende tjekliste: 1. Hvem afgør formålet med databehandlingen? 2. Er der tale om overladelse eller videregivelse af data*? 3. Hvem er dataansvarlig? 4. Hvem er databehandler? 5. Hvilke registreringer/tilladelser skal indhentes i relation til datadeling mellem organisationer? *ved "data" forstås personoplysninger enten direkte eller indirekte personhenførbare. Disse oplysninger kan være mere eller mindre strukturerede. Scenarie 1 En forsker i Region A skal analysere sine data på en computer tilhørende en privat organisation. Det kunne være tilgang til en supercomputer eller specialiseret computer. 1. Region A afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Den private organisation stiller udstyr til rådighed og får overladt data. 3. Region A er dataansvarlig. 4. Den private organisation er databehandler for Region A som dataansvarlig. 5. Region A skal registrere behandlingen af personoplysningeri Region As fortegnelse, og der skal indgås en databehandleraftale mellem Region A som dataansvarlig og den private organisation som databehandler. 7

Scenarie 2a En forsker med dobbeltansættelse i såvel Region A som Universitet B har sine data og et forskningsprojekt i Region A, men skal analysere data på udstyr på Universitet B. 1. Region A afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Universitet B stiller udstyr til rådighed og får overladt data. 3. Region A er dataansvarlig. 4. Universitet B er databehandler for Region A som dataansvarlig. 5. Region A skal registrere behandlingen af personoplysninger som dataansvarlig i Region As fortegnelse, mens Universitet B skal registrere behandlingen af personoplysninger som databehandler i Universitet Bs fortegnelse. Der skal indgås en databehandleraftale mellem Region A som dataansvarlig og Universitet B som databehandler, da det ikke påhviler den enkelte forsker at indgå aftalerne personligt. Scenarie 2b En forsker med dobbeltansættelse i såvel Region A som Universitet B har sine forskningsdata i Region A og sit forskningsprojekt på Universitet B, hvor data skal analyseres på udstyr på Universitet B. 1. Universitet B afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Forskningsprojektet hører under Universitet B, og universitetet får videregivet data fra Region A. 3. Universitet B bliver ved videregivelse dataansvarlig. 4. Universitet B får videregivet data, og der er derfor ingen databehandler. 5. Region A afgør, om der er hjemmel i Databeskyttelsesloven til at videregive data til Universitet B. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Universitet B skal registrere behandlingen af personoplysninger som dataansvarlig i Universitet Bs fortegnelse. Scenarie 3a Forskeren med dobbeltansættelse i Region A og Universitet B med data og forskningsprojekt i Region A og analyse på udstyr på Universitet B, jfr. Scenarie 2a, vil tilknytte et antal studerende og medarbejdere fra universitetet samt medarbejdere fra region A til projektet. 1. Region A afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Universitet B stiller udstyr til rådighed og de universitetstilknyttede studerende og medarbejdere får overladt data. 8

3. Region A er dataansvarlig. 4. Universitet B og de enkelte studerende er databehandlere for Region A som dataansvarlig. 5. Region A skal registrere behandlingen af personoplysninger som dataansvarlig i Region As fortegnelse, mens Universitet B skal registrere behandlingen af personoplysninger som databehandler i Universitet Bs fortegnelse. Der skal indgås en databehandler aftale mellem Region A som dataansvarlig og Universitet B som databehandler. Der skal også indgås en databehandleraftale med de enkelte studerende, da de ikke har en ansættelsesmæssig tilknytning til Universitet B. Tilknytning af yderligere medarbejdere fra Region A kræver ikke særlige tiltag, da Region A som helhed er dataansvarlig. Scenarie 3b Forskeren med dobbeltansættelse i Region A og Universitet B med data i Region A og forskningsprojekt på Universitet B samt analyse på udstyr på Universitet B, jfr. Scenarie 2b, vil tilknytte et antal studerende og medarbejdere Ira universitetet samt medarbejdere fra Region A til projektet. 1. Universitet B afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Forskningsprojektet hører under Universitet B og universitetet får videregivet data fra Region A. De enkelte studerende, som ikke har en ansættelsesmæssig tilknytning til Universitet B, og medarbejderne fra Region A får overladt data. 3. Universitet B er dataansvarlig. 4. De enkelte studerende og Region A er alle databehandlere for Universitet B som dataansvarlig. 5. Region A afgør, om der er hjemmel i Databeskyttelsesloven til at videregive data til Universitet B. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Universitet B skal registrere behandlingen af personoplysninger som dataansvarlig i Universitet Bs fortegnelse), mens Region A skal registrere behandlingen af personoplysninger som databehandler i Region As fortegnelse. Der skal indgås en databehandleraftale mellem Universitet B som dataansvarlig og Region A som databehandler. Der skal også indgås en databehandleraftale med de enkelte studerende, da de ikke har en ansættelsesmæssig tilknytning til Universitet B. Tilknytning af yderligere medarbejdere fra Universitet B kræver ikke særlige tiltag, da Universitet B som helhed er dataansvarlig. Scenarie 3c En ph.d. studerende, der er ansat på Universitet B, indhenter personoplysninger i Region A til sit ph.d. projekt. Den ph.d. studerende har en vejleder, der er ansat i Region A.

1. Universitet B afgør formålet med databehandlingen samt hvilke hjælpemidler, der anvendes. 2. Ph.d. projektet hører under Universitet B, og data videregives fra Region A. Herefter får vejleder fra Region A overladt data. 3. Universitet B er dataansvarlig. 4. Region A er databehandler for Universitet B som dataansvarlig. 5. Region A afgør om der er hjemmel i Databeskyttelsesloven til at videregive data til Universitet B. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Universitet B skal registrere behandlingen af personoplysninger som dataansvarlig i Universitet Bs fortegnelse, mens Region A skal registrere behandlingen af personoplysninger som databehandler i Region As fortegnelse. Der skal indgås en databehandleraftale mellem Universitet B som dataansvarlig og Region A som databehandler. Scenarie 4 Forskere fra 3 institutioner (der både kan være universiteter og regioner) overdrager på baggrund af et samtykke hver især data til en fælles database. Én institution er aftalt mellem institutionerne til at være dataansvarlig for den fælles database, og databasen er anmeldt af samme universitetet/region til Datatilsynet (fællesanmeldelse/fortegnelse) vedrørende registrering og opbevaring af data i projektet. Institutionen, der har anmeldt, er dataansvarlig for den fælles database, og alle institutioner skal arbejde med data indsamlet fra alle institutioner. Delt dataansvar anbefales p.t. ikke. 1. De 3 institutioner afgør hver især formålet med databehandlingen, som her er det samme formål, uanset at de 3 institutioner måtte have forskellige delmål, samt hvilke hjælpemidler, der anvendes. 2. De 3 institutioner får videregivet hinandens data. 3. Den mellem institutionerne aftalte institution er dataansvarlig for den fælles database. 4. Der er ingen databehandler, da ingen af forskerne arbejder under instruks fra de andre institutioner. 5. Hver af de 3 institutioner skal registrere deres behandling af personoplysninger som dataansvarlig i den respektive institutions fortegnelse, og hver institution skal afgøre om der er hjemmel i Databeskyttelsesloven til at videregive data. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker ved hver institution registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Scenarie 5 Forskere fra 3 institutioner (der både kan være universiteter og regioner) overdrager på baggrund af et samtykke hver især data til en fælles database. Én institution er aftalt mellem institutionerne til at være dataansvarlig for den fælles database, og den fælles database er anmeldt af samme 10

universitetet/region til Datatilsynet (fællesanmeldelse/fortegnelse) vedrørende registrering og opbevaring af data i projektet. Den fælles database ligger hos Danmarks Statistik. Institutionen, der har anmeldt er dataansvarlig og alle institutioner skal arbejde med data indsamlet fra alle institutioner på Danmarks Statistiks server. Delt dataansvar anbefales p.t. ikke. 1. De 3 institutioner afgør hver især formålet med databehandlingen, som her er det samme formål, uanset at de 3 institutioner måtte have forskellige delmål, samt hvilke hjælpemidler, der anvendes. 2. De 3 institutioner får videregivet hinandens data. Danmarks Statistik fungerer som hoster og får overladt data. 3. Den mellem institutionerne aftalte institution er dataansvarlig for den fælles database. 4. Danmarks Statistik er databehandler for den mellem institutionerne aftalte institution som dataansvarlig for den fælles database. 5. Hver af de 3 institutioner skal registrere deres behandling af personoplysninger som dataansvarlig i den respektive institutions fortegnelse, og hver institution skal afgøre, om der er hjemmel i Databeskyttelsesloven til at videregive data. Da videregivelsen af personoplysninger fortsat skal indgå som en del af fortegnelsen, skal den enkelte forsker registrere videregivelsen ved juridisk enhed, der ligeledes vil sætte betingelserne for en sådan videregivelse. Der skal indgås en databehandleraftale mellem den dataansvarlige for den fælles database og Danmarks Statistik som databehandler. Scenarie 6a Et par udenlandske forskere fra forskellige institutioner i EU skal tilknyttes et projekt og udføre analyser på vegne af forsker fra Universitet A i Danmark. 1. Universitet A afgør formålet med databehandlingen, samt hvilke hjælpemidler der anvendes. 2. De udenlandske forskere får overladt data. 3. Universitet A er dataansvarlig. 4. De udenlandske forskere er databehandlere for Universitet A som dataansvarlig. 5. Universitet A skal registrere behandlingen af personoplysninger som dataansvarlig i Universitet As fortegnelse, mens hver udenlandsk institution skal registrere behandlingen af personoplysninger som databehandler i den respektive institutions fortegnelse. Der skal indgås databehandleraftaler mellem Universitet A som dataansvarlig og hver udenlandsk institution som databehandler. Et par udenlandske forskere fra forskellige institutioner i EU skal tilknyttes et projekt og udføre analyser på vegne af forsker fra Region A i Danmark. 1. Region A afgør formålet med databehandlingen, samt hvilke hjælpemidler, der anvendes. 11

2. De udenlandske forskere får overladt data. 3. Region A er dataansvarlig. 4. De udenlandske forskere er databehandlere for Region A som dataansvarlig. 5. Region A skal registrere behandlingen af personoplysninger som dataansvarlig i Region As fortegnelse, mens hver udenlandsk institution skal registrere behandlingen af personoplysninger som databehandler i den respektive institutions fortegnelse. Der skal indgås databehandleraftaler mellem Region A som dataansvarlig og hver udenlandsk institution som databehandler Scenarie 6b Et par udenlandske forskere fra forskellige institutioner i USA skal tilknyttes et projekt og udføre analyser på vegne af forsker fra Universitet A i Danmark. 1. Universitet A afgør formålet med databehandlingen, samt hvilke hjælpemidler der anvendes. 2. De udenlandske forskere får overladt data. 3. Universitet A er dataansvarlig. 4. De udenlandske forskere er databehandlere for Universitet A som dataansvarlig. 5. Universitet A skal registrere behandlingen af personoplysninger som dataansvarlig i Universitet As fortegnelse, og der skal indgås EU standard kontrakter mellem Universitet A som dataansvarlig og hver institution som databehandler. 12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback