Søg
 

Dataansvar og databehandleraftaler

Få juridisk bistand til at få afklaret, hvem der er dataansvarlig for hvad i dit forskningsprojekt og hvilke databehandleraftaler m.v., der i den forbindelse er brug for. Bemærk, at det er et krav, at databehandleraftaler godkendes centralt.

​I forbindelse med etableringen af et forskningsprojekt er der typisk brug for flere typer aftaler. Det kan for eksempel være samarbejdsaftale(r), databehandleraftaler, videregivelsesaftaler og/eller aftaler om fælles dataansvar.
 
Samarbejdsaftaler er overordnede aftaler mellem de parter, der samarbejder i/om et forskningsprojekt (det kan for eksempel være forskellige universiteter, forskere fra andre regioner, private virksomheder etc.), og aftalerne indgås ofte tidligt i forløbet.
 
Vi anbefaler kraftigt, at du inden underskrift får alle samarbejdsaftaler vurderet juridisk, så der ikke senere opstår problemer med at få dataansvar og databehandleraftaler på plads på den rigtige måde. Det er SDU RIO, der bistår forskningsprojekter i Region Sjælland med at gennemgå samarbejdskontrakter. Læs mere om bistanden til at få kvalitetssikret samarbejdsaftalen her: Juridisk bistand til forskningskontrakter
 
Databehandleraftaler er nødvendige, hvis der i dit forskningsprojekt indgår en eller flere eksterne samarbejdspartnere (dvs. parter, der ikke organisatorisk er en del af Region Sjælland), som skal behandle personoplysninger på vegne af dig/projektet.

Er der i stedet tale om et fælles forskningsprojekt mellem flere ligestillede parter, herunder en eller flere eksterne samarbejdspartnere, har du i stedet brug for en aftale om fælles dataansvar. Der kan også være konstruktioner, hvor du har brug for begge typer aftaler.
 
Fremgangsmåden og den aftaletype, der skal anvendes til at regulere de databeskyttelsesretlige forhold, afhænger med andre ord af, hvilken type samarbejde der er tale om, herunder af om regionen – alene eller i fællesskab med andre – er dataansvarlig.
 
Afklaring af dataansvar
Hvis du er i tvivl om fordelingen af dataansvaret mellem forskningsprojektets parter, kan du udfylde dette skema og sende det til SDU RIO via mail til rio.rs@sdu.dk​ . Så hjælper de dig med at foretage en vurdering af de databeskyttelsesretlige roller i forskningsprojektet og vejleder om, hvilke typer aftaler du har brug for.
 
Brug af databehandler
Hvis du benytter en ekstern samarbejdspartner (databehandler), der skal hjælpe dig med at behandle data (personoplysninger, biologisk materiale etc.) i dit forskningsprojekt, skal du indgå en databehandleraftale med vedkommende.

Det kan eksempelvis være tilfældet, hvis et universitet skal hjælpe dig med at analysere biologisk materiale eller foretage statistiske beregninger for dig. Det kan ligeledes være, når du udfører et klinisk forsøg, der også skal foregå på andre hospitaler i andre regioner. Et andet hyppigt anvendt eksempel er, når en ekstern part skal hjælpe med en spørgeskemaundersøgelse eller interview. Ligeledes gælder, hvis forskningsprojektets data hostes hos en ekstern part, eller du skal have en virksomhed til at udvikle en app for dig.

Kort sagt vil det være alle de situationer, hvor en ekstern part skal behandle personoplysninger for dig som led i dit forskningsprojekt. Ofte benyttes en databehandler i et forskningsprojekt på baggrund af vedkommendes specialviden. Det afgørende er, at databehandleren behandler personoplysningerne til brug for dit forskningsprojekt.
Hvilken databehandleraftaleskabelon, du skal benytte, afhænger af databehandlerens geografiske placering.

Der findes følgende typer af databehandleraftale skabeloner:
• Type 1 - Databehandleraftale på dansk til brug inden for Danmarks grænser (regioner og private virksomheder)
• Type 2 - Databehandleraftale på engelsk til brug inden for EU og EØS
• Type 3 - Databehandleraftale på engelsk til brug uden for EU og EØS (tredjelande)
• Type 4 - Region Hovedstaden eller Region Midtjylland er databehandler: Se nedenfor​

Vær opmærksom på, at skabelonerne opdateres løbende. Vi anbefaler derfor, at du altid henter skabelonen fra hjemmesiden, når du skal indgå en databehandleraftale. På den måde risikerer du ikke at benytte en forældet version.

Download og udfyld det relevante udkast til databehandleraftale og send udkastet til SDU RIO via mail til rio.rs@sdu.dk for vurdering og kommentering. Det gør sagsbehandlingen hurtigere, hvis du samtidig medsender en kopi af din foreløbige anmeldelse af forskningsprojektet til Region Sjællands forskningsfortegnelse.

Hvis Region Hovedstaden eller Region Midtjylland er databehandler
Region Sjælland har indgået en overordnet databehandleraftale med Region Hovedstaden og Region Midtjylland vedr. brug af begge regioner som databehandler i forskningsprojekter.

For dig betyder det, at såfremt du ønsker at benytten enten Region Hovedstaden eller Region Midtjylland som databehandler i dit forskningsprojekt, så skal du tilføje dem som databehandler i din anmeldelse til forskningsfortegnelsen (punkt 19-23). 
Herudover skal du udfylde dette Bilag 3​ ​og sende det udfyldte bilag til rio.rs@sdu.dk for sagsbehandling sammen med en kopi af din ameldelse til forskningsfortegnelsen.

Vær opmærksom på, at der stadig skal indgås en separat samarbejdsaftale mellem parterne. Du kan få hjælp til denne del ved at kontakte SDU RIO på rio.rs@sdu.dk ​

 
Deltagelse i et forskningsprojekt med fælles dataansvar
Hvis du deltager i et fælles forskningsprojekt, hvor parterne i fællesskab har besluttet forskningsprojektets formål og hjælpemidler, skal der indgås en aftale om fælles dataansvar mellem parterne.
Hvis du vurderer, at du har brug for en sådan aftale, skal du med det samme kontakte SDU RIO via mail til rio.rs@sdu.dk​ for at få bistand til en sådan aftale. Det gør sagsbehandlingen hurtigere, hvis du samtidig medsender kopi af din foreløbige anmeldelse af forskningsprojektet til Region Sjællands forskningsfortegnelse.

Vi arbejder p.t. på et sæt retningslinjer og en skabelon til aftaler om fælles dataansvar. Dokumenterne vil blive offentliggjort på hjemmesiden, så snart de foreligger.
 
r du er databehandler for et eksternt forskningsprojekt
Hvis du skal deltage i et forskningsprojekt, hvor du skal behandle persondata på vegne af den projektansvarlige, og denne ikke er ansat i Region Sjælland, vil du som udgangspunkt være databehandler. Det kan for eksempel være tilfældet, hvis du deltager i et forskningsprojekt eller multicenterstudie, hvor den projektansvarlige er ansat på et hospital i en anden region, på et universitet eller i et andet land mv. Det kan også være, at du deltager i et lægemiddelsforsøg, hvor lægemiddelsvirksomheden er sponsor.

I juridisk forstand er du databehandler, hvis du behandler personoplysninger på vegne af den projektansvarliges projekt, er underlagt den projektansvarliges instruks og ikke må benytte personoplysningerne til egne/selvstændige formål.

Selvom du er underlagt instruks, betyder det ikke, at du ikke har indflydelse på den opgave, som du skal udføre. Ofte vil en databehandler være valgt på grund af vedkommendes ekspertise. Det kan også være, at der i forbindelse med et internationalt lægemiddelsforsøg er behov for sites fra forskellige lande, hvor du så kontaktes med henblik på at blive lokal investigator på en afdeling i Region Sjælland eller national koordinator på vegne af lokale sites i Danmark.

Hvis du er i tvivl om, hvorvidt du er dataansvarlig eller databehandler, kan du udfylde dette skema og sende det til SDU RIO via mail til rio.rs@sdu.dk. Så hjælper de dig med at foretage en vurdering af de databeskyttelsesretlige roller i forskningsprojektet.

Det vil som udgangspunkt være den dataansvarlige (det vil sige den eksterne projektansvarlige), der skal sørge for at udarbejde databehandleraftalen eller databehandlerafsnittet. Det skyldes, at det almindeligvis er den dataansvarlige, der har ansvaret for at sikre, at forskningsprojektet og eksterne parter, der skal behandle persondata i projektet, lever op til de databeskyttelsesretlige regler.

Du vil derfor som databehandler opleve, at du får tilsendt et udkast til databehandleraftale, som du bliver anmodet om at underskrive. Du bør i den forbindelse via mail til rio.rs@sdu.dk ​anmode SDU RIO om at vurdere aftalen, inden du underskriver den. Region Sjælland anbefaler altid, at du får juridisk vurdering af en databehandleraftale, inden du underskriver den.

Aftalen skal leve op til kravene i Databeskyttelsesforordningens § 28, stk. 3 og skal bl.a. indeholde oplysninger om den behandling, du skal varetage på projektet vegne; hvilken persongruppe du skal behandle oplysninger om; hvilke opgaver du skal udføre mv. Du skal også instrueres i, hvilke tekniske og organisatoriske foranstaltninger, du skal overholde. Dette sker typisk i den del af aftalen, man kalder en instruks.
I praksis kan der både udformes en særskilt databehandleraftale eller indgå et databehandlerafsnit i den overordnede forskningskontrakt, der regulerer jeres samarbejde.

Fik du svar på dit spørgsmål?


Oprettet
30.08.21
Opdateret
13.07.22
Link til denne side:
 

 Kontakt

 
SDU RIO

 

 Læs mere om