Retningslinjer for håndtering af databehandleraftaler på forskningsområdet


Retningslinjer for håndtering af databehandleraftaler på forskningsområdet

Indholdsfortegnelse

1. Indledende bemærkninger 3

1.1. Formål 3

1.2. Definitioner 3

2. Indgåelse af databehandleraftaler 4

2.1. Sagsgang for indgåelse af databehandleraftaler 4

2.1.1. Vurdering af behov 4

2.1.2. Funktionspostkasse og kontaktoplysninger 4

2.1.3. Dokumentation af sikkerhedsforanstaltninger 4

2.1.4. Underskrivning og arkivering 4

3. Løbende drift og kontrol 5

3.1. Sagsgang for løbende drift og kontrol 5

3.1.1. Kontrolmåder 5

3.1.2. Kontrol mindst hver 12. måned 5

3.1.3. Håndtering af kontrolskema eller revisionserklæring 5

3.2. Sikkerhedsbrud og andre hændelser 5

4. Afslutning af databehandlingsopgaven 6

4.1. Sagsgang for afslutning af databehandlingsopgaven 6

4.1.1. Tilbagelevering af data 6

4.1.2. Sletning af data 6

1. Indledende bemærkninger

Hvis der i forbindelse med et AAU forskningsprojekt overlades en behandling (herunder indsamling, opbevaring, transskribering mv.) af persondata til en databehandler, skal der indgås en databehandleraftale mellem den dataansvarlige og databehandleren, inden behandlingen påbegyndes.


På forskningsområdet er der to standardskabeloner til databehandleraftaler:

- Generel databehandleraftale til forskningsområdet

Denne standard skal bruges, når en projektleder overlader en behandling (herunder indsamling, opbevaring, undersøgelse mv.) af personoplysninger til en samarbejdspart eller underleverandør.

- Studenter databehandleraftale i forbindelse med forskning

Denne standard kan bruges til studerende, som skal udføre enkeltstående mindre databehandlingsopgaver (f.eks. transskribering af interview) på vegne af en projektleder.


For yderligere uddybning af reglerne og eksempler se 'Vejledning om databeskyttelsesregler i relation til forskningsområdet'.


1.1. Formål

Formålet med retningslinjerne er at beskrive sagsgangen for indgåelse, løbende drift, samt håndtering efter databehandleren har afsluttet databehandlingsopgaven. Herudover er formålet at beskrive, hvem der har ansvaret for at sikre, at retningslinjerne følges.


1.2. Definitioner


Dataansvarlig: En dataansvarlig bestemmer, til hvilket formål og hvordan personoplysninger skal behandles. AAU er dataansvarlig for den forskning, som en AAU-ansat projektleder foretager i regi af Aalborg Universitet.


Databehandler: En databehandler behandler persondata på vegne af og efter instruks fra en dataansvarlig. Eksempler på databehandlere og databehandlingsopgaver:

- Studerende, der ikke er ansat på AAU, som skal transskribere et interview.

- Et hospital, der foretager scanninger til brug for et forskningsprojekt.

- Rambølls SurveyXact platform, der bruges af en projektleder til at indsamle (spørgeskema)data.

- Gallup, der indsamler data efter aftale med projektlederen.

- Danmarks Statistik, der opbevarer eller samkører data.


Behandling: Enhver form for håndtering (herunder indsamling, opbevaring, analyse, sletning mv.) af persondata eller personoplysninger.


Personoplysninger/persondata: Enhver oplysning om en person, der enten er identificeret eller identificerbar. Det behøver ikke at være den dataansvarlige eller databehandleren, der kan foretage identificeringen.

Eksempler:

- Data fra Danmarks Statistik (Danmarks Statistik kan identificere enkeltpersoner)

- Navne, e-mails, telefonnumre

- Helbredsoplysninger

- CPR-numre


Databehandleraftale: En databehandleraftale er en aftale, hvor databehandleren påtager sig at behandle personoplysninger på vegne af og efter instruks fra den dataansvarlige.


Projektleder: Den AAU-forsker, der har det faglige ansvar for forskningsprojektet.


AAU’s registreringsordning: AAU’s registreringsordning er et set-up, hvor AAU-forskere skal registrere deres projekter for at overholde en række centrale regler i databeskyttelsesforordningen.


De registrerede: De personer, hvis oplysninger behandles i forbindelse med forskningsprojektet.


Delegationsinstruksen: Rektors Delegationsinstruks af 1. februar 2017 xxxx://xxx.xxxxxx.xxx.xx/xxxxxxx/xxxxxxxx/xxx/xxxxxxxxxx-xx-xxxxxxx-xxxxxxxxxx.xxx000000


2. Indgåelse af databehandleraftaler

2.1. Sagsgang for indgåelse af databehandleraftaler


2.1.1. Vurdering af behov

Når en forsker har registreret et nyt projekt i AAU’s registreringsordning eller registreret en ændring i en eksisterende registrering, foretager Kontraktenheden en vurdering af, hvorvidt der er behov for en eller flere databehandleraftaler på baggrund af de oplysninger, som forskeren har givet. Hvis det er tilfældet, orienterer Kontraktenheden projektlederen herom, og i et samarbejde med projektlederen udarbejdes et udkast til en databehandleraftale.


Kontraktenheden vil også være behjælpelig med at udarbejde udkast til databehandleraftaler på forskningsområdet, ifald en forsker eller et institut anmoder herom.


2.1.2. Funktionspostkasse og kontaktoplysninger

Hvert institut skal have en funktionspostkasse, der kan modtage henvendelser vedrørende databehandlingen og eventuelle sikkerhedsbrud.


I databehandleraftalens afsnit 12 skal der indsættes:

- Projektlederens navn og kontaktoplysninger

- En administrativ medarbejders navn og kontaktoplysninger

- Instituttets e-mailadresse (funktionspostkasse)


2.1.3. Dokumentation af sikkerhedsforanstaltninger

Når databehandleraftalen indgås, bliver databehandleren anmodet om at dokumentere, at vedkommende har iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger. Her skal det også afklares med databehandleren, hvordan denne dokumentation skal foreligge. I praksis skal der vælges mellem to mulige vilkår i databehandleraftaleskabelonens afsnit 8, revisionserklæring eller kontrolskema.


2.1.4. Underskrivning og arkivering

Kontraktenheden vil bistå projektlederen eller instituttet med at få databehandleraftalen indgået og underskrevet. Derudover arkiverer Kontraktenheden databehandleraftalen og databehandlerens dokumentation for sikkerhedsforanstaltninger på aftaleindgåelsestidspunktet.


Databehandleraftaler på forskningsområdet skal underskrives af:

- Institutlederen, der jf. Delegationsinstruksen har kompetencen til at tegne universitetet vedrørende forskningsprojekter indenfor instituttets eget område

- Projektlederen, der har et fagligt ansvar for projektet

- Kontraktchefen, der påser at aftalen er legalitetskontrolleret1


Hvis projektlederen ikke bidrager til at få udarbejdet og indgået databehandleraftalen, orienterer Kontraktenheden vedkommendes institutleder, der herefter er ansvarlig for at sikre,

- enten at databehandleraftalen indgås,



1 I forbindelse med at Kontraktenheden generelt skifter sagsstyringssystem fra Inteum til Workzone, arbejdes der på en simplificering. Nærværende retningslinjer vil blive opdateret, når dette er på plads.

- eller at projektlederen ikke overlader behandling af personoplysninger til den påtænkte databehandler.


3. Løbende drift og kontrol

Når databehandleraftalen er indgået, skal der være en løbende sikring af, at aftalen er ajour. Derudover skal der sikres, at den dataansvarlige og databehandleren overholder de pligter, som er fastsat i aftalen.


3.1. Sagsgang for løbende drift og kontrol

Projektlederen og instituttet skal i samarbejde overholde de konkrete pligter, der er beskrevet i databehandleraftalens afsnit 3 ’Den Dataansvarliges Forpligtelser’. Databehandleren skal f.eks. oplyses om, hvordan data skal håndteres, efter databehandleropgaven er afsluttet.


Eventuelle ændringer af databehandlerens databehandlingsopgave skal aftales skriftligt, og instituttet skal arkivere de aftalte xxxxxxxxx.


3.1.1. Kontrolmåder

Udover den dataansvarliges pligter i medfør af databehandleraftalen, har den dataansvarlige også pligt til løbende at føre kontrol med databehandleren.


I forbindelse med indgåelsen af databehandleraftalen er der to mulige kontrolmåder:

- Revisionserklæring

- Udfyldelse af kontrolskema


3.1.2. Kontrol mindst hver 12. måned

Projektlederen og instituttet skal mindst hver 12. måned anmode databehandleren om at aflevere dokumentation for vedkommendes tekniske og organisatoriske sikkerhedsforanstaltninger enten i form af en revisionserklæring eller et udfyldt kontrolskema (databehandleraftalens bilag 1). Første kontrol er senest 12 måneder efter, at databehandleraftalen er underskrevet.


I særlige tilfælde, f.eks. hvor risikoen for de registrerede vurderes at være høj, eller hvor dataene er meget følsomme, skal der føres kontrol hver 6. måned. Hvis det er tilfældet, skal Kontraktenheden oplyse projektlederen og instituttet herom.


3.1.3. Håndtering af kontrolskema eller revisionserklæring

Projektlederen og instituttet skal sørge for, at databehandleren sender et udfyldt kontrolskema eller en revisionserklæring retur. Herefter skal instituttet eller projektlederen læse kontrolskemaet eller revisionserklæringen.


Hvis der enten er svaret 'ja' til alle punkter i kontrolskemaet, eller der i revisionserklæringen ikke er taget forbehold eller givet udtryk for usikkerhed, skal instituttet eller projektlederen ikke fortage sig yderligere i forbindelse med kontrollen af databehandleren.


I tilfælde af at der er svaret 'nej' til et eller flere punkter i kontrolskemaet, eller at der i revisionserklæringen er taget forbehold eller givet udtryk for usikkerhed, skal instituttet eller projektlederen kontakte Kontraktenheden, der herefter kan hjælpe med at finde ud af, hvordan dette skal håndteres.


Instituttet arkiverer revisionserklæringerne eller de udfyldte kontrolskemaer.


3.2. Sikkerhedsbrud og andre hændelser

Hvis projektlederen eller instituttet modtager besked fra databehandleren om, at der er sket en afvigelse fra databehandleraftalen (f.eks. en utilsigtet offentliggørelse af personoplysninger, brud på sikkerheden el.lign.) skal projektlederen eller instituttet straks anmelde hændelsen ved at udfylde denne formular der findes på denne side xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxxxxxxxxxxxxxxxxx/

4. Afslutning af databehandlingsopgaven

Når databehandleren har afsluttet den opgave, som projektlederen har instrueret databehandleren i, skal databehandleren tilbagelevere eller slette persondataene. Det er den dataansvarliges ansvar at sikre, at dette sker.


4.1. Sagsgang for afslutning af databehandlingsopgaven

Senest 4 uger før databehandleren afslutter databehandleropgaven, skal projektlederen orientere databehandleren om, hvorvidt data skal tilbageleveres eller slettes.


AAU ITS er behjælpelig med vejledning både i forhold til at få data sendt sikkert og hjælp med at vurdere, om databehandlerens sletningsmetode er tilstrækkelig sikker.


Instituttet skal sikre at korrespondancer og aftaler om, hvordan persondataene skal håndteres, efter databehandlingsopgaven er afsluttet, arkiveres.


4.1.1. Tilbagelevering af data

Hvis data ønskes tilbageleveret, skal projektlederen anvise hvilken metode, som databehandleren skal benytte. Der skal sikres, at metoden har et passende sikkerhedsniveau i forhold til dataenes karakter (følsom, fortrolig, almindelige persondata, pseudonymisering mv.).


4.1.2. Sletning af data

Hvis projektlederen vælger, at persondataene skal slettes, skal databehandleren oplyse, hvordan vedkommende vil slette persondataene. Senest 2 uger efter projektlederen har modtaget beskrivelsen, skal projektlederen vurdere, hvorvidt den slettemetode, databehandleren har skitseret, er tilstrækkelig.

Document Metadata

Filed: November 20th, 2019