27. APPENDIKS 10: Beskyttelse Af Personfølsomme Oplysninger

A10.300 Databehandleraftale

 

A10.300 Databehandleraftale
A10.310  Vurderingen af om en anden part er databehandler, og om der
dermed skal udarbejdes en databehandleraftale, skal træffes
på baggrund af to overordnede spørgsmål, se figur A10.1

  • hvem bestemmer formålet med behandlingen?
  • hvad drejer aftalen sig om?

Figur A10.1§

§ kilde: Region Syddanmark
*Ikke alle regioner er enige om denne fortolkning (jf. Vejledning om dataansvarlige og databehandlere fra
Data-tilsynet november 2017)

A10.320  Hvis formålet er at videregive data til en anden part, og denne
part ikke skal behandle data på vegne af dataansvarlige, men
derimod benytte data til egne formål uden instruks fra datansvarlige, foreligger der en ny selvstændig dataansvarlig. Der
skal således ikke udarbejdes databehandleraftale. I denne situation har den oprindelige part ikke længere rådighed over data. Der skal foreligge lovhjemmel til at videregive personoplysningerne til en anden dataansvarlig. Det kan fx være informeret samtykke, eller at kravet kan henføres til en anden lovgivning.
A10.321  Hvis en aftale mellem den dataansvarlige og en anden part (databehandler) går ud på, at den anden part skal behandle personoplysninger efter instruks fra og på vegne af den dataansvarlige, foreligger der en databehandlersituation (fx indsamle,
registrere, opbevare, videregive eller slette personoplysninger), og der skal i så fald foreligge en databehandleraftale, se
tabel A10.1 for en vurdering af, i hvilke situationer dette gælder.
A10.322 Hvis aftalen først og fremmest drejer sig om levering af en anden ydelse end behandling af personoplysninger (fx en håndværkerydelse eller IT-support), hvor der ikke er behov for at give instruks om behandling af personoplysninger, vil den anden
part ikke være databehandler, og der skal ikke oprettes en databehandleraftale jf. Vejledning om dataansvarlige og databehandlere fra Datatilsynet november 2017. Vær opmærksom på
at ikke alle regioner er enige i denne fortolkning.

Tabel A10.1

Kategori Formål med behandling af data Implikation
Adgang for ansatte til ITsystemer med personnumre, testresultater
samt transfusions- og
transplantationsoplysninger
Almindelig drift Der skal være en regelmæssig kontrol af personers adgang til ITsystemer eller laboratorieudstyr med personfølsomme data.
Adgang for leverandører
til IT-systemer med personnumre, testresultater
samt transfusions- og
transplantationsoplysninger
Servicering, opgradering, fejlløsninger af software fra leverandør
on-site eller via sikker forbindelse.
Aftalen vedrører leverance af anden ydelse end behandling af personoplysninger
Om der skal foreligge
fortrolighedserklæring
eller databehandleraftale
afhænger af den enkelte
region (se også 10.322 og
figur 10.1)
Adgang for leverandører
til IT-systemer med personnumre, testresultater
samt transfusions- og
transplantationsoplysning
Konvertering, migrering og anden
databehandling on-site eller via
sikker forbindelse
Databehandleraftale omhandlende den specifikke
aktivitet
Opkobling til analyseinstrumenter med pseudoanonymiserede data og
analyseresultater
Servicering, opgradering, fejlløsninger af apparatur og software fra
leverandør on-site eller via sikker
forbindelse. Aftalen vedrører leverance af anden ydelse end behandling af personoplysninger
Om der skal foreligge
fortrolighedserklæring
eller databehandleraftale
afhænger af den enkelte
region (se også 10.322 og
figur 10.1)
Adgang til analyseinstrumenter med pseudoanonymiserede data og analyseresultater for eksterne
parter
Reparationer og regelmæssige serviceringer samt opgradering af
software. Aftalen vedrører leverance af anden ydelse end behandling af personoplysninger
Om der skal foreligge
fortrolighedserklæring
eller databehandleraftale
afhænger af den enkelte
region (se også 10.322 og
figur 10.1)
Registrering i Excel ark
med personfølsomme
oplysninger
Anvendes internt på afdelingen
under udredning af sygdomsforløb
og hvor der ikke pt. findes andre
egnede IT-systemer
Det skal sikres, at data er
beskyttet tilstrækkeligt
mod risiko for at data
stjæles, mistes, skades
eller behandles ulovligt.
Data bør slettes inden for
30 dage efter afsluttet
patientforløb
Registrering i Excel ark
med pseudoanonymiserede data
Kvalitetskontrol af komponenter
eller analyser internt på afdelingen
Det skal sikres, at data er
beskyttet tilstrækkeligt
mod risiko for at data
stjæles, mistes, skades
eller behandles ulovligt.
Data skal i henhold til
blodforsyningsloven og vævsloven opbevares i 10
år (se også kapitel 2)
Opbevaring af biologisk
materiale fra donorer
Arkivglas til evt. smitteopsporing.
DNA/celler fra stamcelle- og organdonorer til supplerende udredninger forud for transplantation
eller efter specifik transplantation
Hvis opbevaring sker eksternt, fx i frysehuse, skal
der foreligge en databehandleraftale
Opbevaring af biologisk
materiale fra patienter
Biologisk materiale fra diagnostiske
prøver
Må opbevares og anvendes til behandlingsrelaterede formål herunder
kvalitetssikring
Udførelse af analyser på
donorprøver på andre
laboratorier på pseudoanonymiserede data (laboratorienummer)
Analyser som skal udføres rutinemæssigt i forbindelse med donationen eller på komponenten. Efter
særskilt aftale med donor for at
udrede et afvigende resultat
Ingen databehandleraftale
Analyser på donorprøver i
3. lande på pseudoanonymiserede data
Vævstyper udført på donorprøver
fra stamcelledonorer
Databehandleraftale
Kunder, der får foretaget
patientanalyser på kliniske immunologiske afdelinger
Udføres altid efter modtagelse af
rekvisition, derfor led i patientbehandling
Ingen databehandleraftale
Kunder, der får foretaget
donoranalyser på klinisk
immunologiske afdelinger
(fx andre vævsbanker)
Led i patientbehandlingen eller
foretages som beskrevet i skriftlig
aftale i henhold til blodforsyningsloven eller vævsloven og tilhørende bekendtgørelser
Ingen databehandleraftale
Videregivelse af personfølsomme data på donor
til andre blodbanker
Flytning af bloddonorer fra blodbanker imellem regioner Videregivelse af data til
ny dataansvarlig. Der skal
foreligge samtykke fra
donor
Videregivelse af personfølsomme data på patienter til andre hospitaler Overflytning af patienter til andre
hospitaler i regionen og udenfor
regionen og derfor led i patientbehandlingen
Ingen databehandleraftale
Videregivelse af pseudoanonymiseret data til
plasmaaftager
Tilbagekaldelse af blodkomponenter ved afvigende analyseresultater
på komponenten eller pga helbredsinformation fra donor (postdonations-information)
Data videregives til en ny
dataansvarlig. Ingen databehandleraftale
Videregivelse af pseudoanonymiseret data til eksterne databaser Overvågning af sikkerheden for
patient og donor i forhold til blodkomponenter, celle/væv og organer, fx Dansk Register for Transfusionskomplikationer, Dansk Transfusionsdatabase, Bloddonorerne i
Danmark (Patienterstatningen)
Data videregives til en ny
dataansvarlig. Der foreligger lovhjemmel i blodforsyningsloven og vævsloven
Videregivelse af pseudoanonymiserede data på
patienter og stamcelledonorer til EU og 3. lande
Søgning efter ubeslægtede stamcelledonorer til patienter som skal
stamcelletransplanteres. Registrering af stamcelledonorer og patienter hos Search and Match, WMDA
(Leiden)
Data videregives til en ny
dataansvarlig. Ingen databehandleraftale. Der
skal foreligge informeret
samtykke fra donor eller
patient
Forsendelse inkl. rørpost
inden for samme hospital
af blodprøver med pseudoanonymiserede data
(laboratorie- eller tappenummer) eller personnummer samt forsendelse
af blodkomponenter celler/væv og organer med
pseudonymiserede data
(tappenummer eller ID-nr)
eller personnummer
Transport fra tappested/udtagningssted/prøvetagningssted til analysested/fraktioneringssted/opbevarin
gssted/procederingssted/klinisk
afdeling
Ingen databehandleraftaler
Forsendelse til andre hospitaler inden for samme
region af blodprøver med
pseudoanonymiserede
data (laboratorie- eller
tappenummer) eller personnummer samt forsendelse af blodkomponenter
celler/væv og organer
med pseudoanonymiserede data (tappenummer
eller ID-nr) eller personnummer
Sikre forsyning af blodkomponenter, væv/celler og organer, sikre
patientbehandling.
Transport fra tappested/udtagningssted/prøvetagningssted til analysested/fraktioneringssted/opbevarin
gssted/procederingssted/klinisk
afdeling
Transport fra blodbank/cellevævsbank til behandlende afdeling eller
anden blodbank/cellevævsbank
Ingen databehandleraftale
Prøver, blod og væv betragtes som data. Det skal
sikres, at data er beskyttet tilstrækkeligt mod
risiko for at data stjæles,
mistes, skades eller behandles fx ved anvendelse af plomberet transportkasse
Forsendelse til hospitaler i
andre regioner af blodprøver med pseudoanonymiserede data (laboratorie- eller tappenummer)
eller personnummer samt
forsendelse af blodkomponenter celler/væv og
organer med pseudoanonymiserede data (tappenummer eller ID-nr) eller
personnummer
Sikre forsyning af blodkomponenter, væv/celler og organer, sikre
patientbehandling.
Transport fra tappested/udtagningssted/prøvetagningssted til analysested/fraktioneringssted/opbevarin
gssted/procederingssted/klinisk
afdeling
Transport fra blodbank/cellevævsbank til behandlende afdeling eller
anden blodbank/cellevævsbank
Ingen databehandleraftale
Prøver, blod og væv betragtes som data. Det skal
sikres at data er beskyttet
tilstrækkeligt mod risiko
for at data stjæles, mistes, skades eller behandles fx ved anvendelse af
plomberet transportkasse
Forsendelse af blodkomponenter med pseudonymiserede data til lægemiddelfabrikant Fraktionering af plasma med henblik på at lave lægemidler til danske patienter og sikre forsyning af
disse
Videregivelse af data til
ny dataansvarlig. Ingen
databehandleraftale
Forsendelse af medlemsblad for Bloddonorerne i
Danmark med PostNord
Donorer giver accept ved
tilmelding. Ingen databehandleraftale
Forsendelse af medlemsblad for Bloddonorerne i
Danmark med PostNord
Kvalitetssikring/validering af ITsystemer af ekstern partner Om der skal foreligge
fortrolighedserklæring
eller databehandleraftale
afhænger af den enkelte region (se også 10.322 og
figur 10.1)

A10.200 Personoplysninger og behandling af personoplysninger

 

 

A10.200 Personoplysninger og behandling af personoplysninger
A10.210  Personoplysninger er enhver form for information, der kan
henføres til bestemte personer. Fingeraftryk, billeder eller biologisk materiale er også personoplysninger. Selv om oplysningerne er erstattet af et laboratorie- eller tappenummer, er det
stadig personoplysninger, hvis nummeret kan føres tilbage til
den oprindelige personoplysning (pseudonymiserede oplysninger).
A10.220 Følsomme personoplysninger er race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige
forhold samt behandling af genetiske data, helbredsoplysninger eller oplysning om seksuel orientering. Almindelige personoplysninger er fx navn og adresse.
A10.230 Behandling af personoplysninger må ske

  • når den person, der behandles oplysning om, har fået oplyst, hvem der er ansvarlig for behandlingen og formålet
    med denne
  • når formålet er beskrevet og sagligt velbegrundet
  • når det begrænses til det nødvendige for at opfylde formålet
  • når oplysningerne er rigtige og ajourførte
  • så længe, det er nødvendigt for at opfylde formålet. Data
    skal slettes eller gøres anonyme, når der ikke længere er etformål med data. Dette skal defineres af den dataansvarlige
  • når oplysningerne beskyttes mod uautoriseret eller ulovlig
    adgang, og det sikres, at oplysningerne ikke kan gå tabt eller blive beskadiget
A10.240 Har man ret til at foretage en bestemt form for databehandling, fx indsamling af oplysninger, medfører det ikke nødvendigvis, at man også har ret til at foretage andre former for behandling fx videregivelse af de samme oplysninger. Dette skal
vurderes særskilt.
A10.250 Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko
for, at oplysningerne stjæles, mistes, beskadiges eller behandles ulovligt.
A10.260 Der skal foretages en konsekvensanalyse forud for databehandlinger, som kan indebære en høj risiko. Analysen skal omfatte

  • systematisk beskrivelse af aktiviteterne og formålet
    med disse
  • en vurdering af, om de er nødvendige og om formålene
    er rimelige
  • en vurdering af de risici, som behandlingen indebærer
    for de personer, der behandles oplysninger om
  • garantier, sikkerhedsforanstaltninger og mekanismer,
    der skal sikre beskyttelse af personoplysninger og sikre
    overholdelse af persondataforordningen.

A10.100 Baggrund

 

A10.100  Baggrund
A10.101 Beskyttelse af personfølsomme oplysninger er beskrevet i LOV
nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med
behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven). Loven gælder behandling af personoplysninger, der er eller vil blive indeholdt i
et register. Behandlingen kan foregå automatisk eller ikkeautomatisk. Datatilsynet har på deres hjemmeside
(www.datatilsynet.dk) udgivet vejledninger om databeskyttelse, bla. Vejledning om dataansvarlige og databehandlere fra
Datatilsynet november 2017, Vejledning om persondataforordningen fra Datatilsynet oktober 2017.
Dette appendiks kan anvendes som en vejledning til konsekvensanalyse af funktioner i klinisk immunologi. Regionale juridiske beslutninger underkender teksten i dette appendiks.
A10.110  Databeskyttelsesloven har til formål at beskytte den enkelte
persons retsstilling bl.a. ved at skabe åbenhed omkring behandlingen af oplysningerne. Dette sikres ved retten til

  • at få besked om, at der behandles personoplysninger
  • at se oplysninger
  • at få oplysninger slettet eller rettet (hvis de ikke længere er nødvendige til at opfylde det formål, hvortil de
    blev indsamlet), idet der skal tages hensyn til lovgivningens krav om dokumentation, fx sundhedsloven, blodforsyningsloven og vævsloven
  • at modtage oplysningerne i et læsevenligt format og
    overføre til anden myndighed.
A10.120 Begrebet behandling defineres i databeskyttelsesloven meget
bredt, og det omfatter enhver aktivitet eller række af aktiviteter, som personoplysninger gøres til gengæld for. Det kan for
eksempel være indsamling, registrering, opbevaring, tilpasning,
søgning, brug og videregivelse eller sletning af personoplysninger.
A10.130 En dataansvarlig er i databeskyttelsesloven defineret som den
fysiske eller juridiske person, offentlige myndighed eller lignende, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling
af personoplysninger.
A10.140 En databehandler er i databeskyttelsesloven defineret som den
fysiske eller juridiske person, offentlige myndighed eller lignende, der behandler personoplysninger på den dataansvarliges vegne. En databehandler er altid en ekstern fysisk eller juridisk person, som ikke har et ansættelsesforhold hos den dataansvarlige. Databehandleren behandler dataoplysninger efter instruks fra den dataansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige, hverken hvordan eller
med hvilke formål der må behandles personoplysninger.