Personoplysninger der indgår i forskning på Health Genetics, hvor Aarhus Universitet er dataansvarlig

---

Når Aarhus Universitet bruger personoplysninger til forskning, har vi, som dataansvarlig, ansvar for, at din ret til fortrolighed og privatliv sikres. 

 

Hvorfor behandler vi personoplysninger i den sundhedsgenetiske forskning, som del af forskningsprogrammet Health Genetics?

Behandlingen sker i forbindelse med forskningsaktiviteter, der har til formål at undersøge genetiske, kliniske og andre sundhedsrelaterede faktorer samt familiære og individuelle forholds betydning for: forekomst af og risiko samt prædiktorer for somatisk og psykisk sygdom og udviklingsforstyrrelser konsekvenser af somatisk og psykisk sygelighed og medicinsk behandling i relation hertil. Behandlingen vurderes at have væsentlig samfundsmæssig betydning. 

Passende åbenhed omkring forskningsaktiviteter i Health Genetics - bl.a. gennem løbende publikation af forskningsprojekter - skal desuden medvirke til at udbrede den almene forståelse for og viden om hvordan sundhedsgenetisk forskning positivt bidrager til at skabe vigtige forskningsresultater. Forskere tilknyttet Center for Registerforskning og Institut for Biomedicin ved Aarhus Universitet har et bredt forskningsprogram vedrørende forekomst, risiko og konsekvenser af somatisk og psykisk sygelighed og deres behandling, herunder genetiske faktorers og familiære forholds betydning for dette.

Formålet med Health Genetics er desuden at stille en sikker og fleksibel forskningsplatform for sundhedsgenetisk forskning til rådighed for forskere. Forskningsplatformen er implementeret på Aarhus Universitets GenomeDK High-performance Computing (HPC) Cluster i en isoleret zone, kaldet ’Health Genetics’: https://genome.au.dk/.

Der foretages altid en konkret vurdering af hvordan oplysningspligten skal opfyldes i det enkelte projekt under Health Genetics. Der kan i nogle tilfælde gives yderligere information om behandlingen af personoplysninger i et konkret forskningsprojekt, eller projektet kan have sin egen projektside svarende til denne side. I så fald er det oplysningerne om det konkrete projekt, der er gældende. Informationerne på denne side kan i de særlige tilfælde betragtes som et supplement.

 

Hvad er personoplysninger?

Personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.

Læs mere om definitionerne på Datatilsynets hjemmeside.

 

Kategorier af registrerede

• Alle registreret med et cpr-nummer i CPR-registreret (både børn og voksne).
• Afdøde
• Patienter
• Pårørende.
  
   

Hvilke personoplysninger behandles i den sundhedsgenetiske forskning i Health Genetics?

Almindelige personoplysninger: 

CPR-nummer (forskere har kun adgang til pseudonymiserede CPR-numre), alder, køn, fødselsdato, oplysninger om civilstand, socioøkonomiske faktorer herunder indkomst, uddannelse, familie- og hustandsforhold, beskæftigelse, arbejdstilknytning.

Følsomme personoplysninger: 

Helbredsoplysninger i form af diagnostiske og behandlingsrelaterede oplysninger, biologiske data, genetiske data, klinisk biokemiske markører og miljømæssige faktorer.

 

Hvor henter vi personoplysninger?

Health Genetics behandler CPR-oplysninger på alle personer registreret i CPR-registret, hvilket omfatter ca. 10 millioner personer. Projekter på platformen har alene adgang til disse oplysninger i pseudonymiseret form. Når data manager modtager udtræk fra registret, er denne ansvarlig for at der sker pseudonymisering. Helt konkret bliver CPR-nummeret erstattet af et tildelt forskningsnummer, som er dette, som forskerne arbejder med i projekterne. 

I registerforskning er det almindelig praksis at hele befolkningen indgår i undersøgelser, da det blandt andet er med til at sikre at estimater for sygdomsrisiko bliver mere præcise, retvisende og repræsentative. Ved en adgang til oplysninger på hele befolkningen, giver det mulighed for at beregne både hvor mange der udvikler en given sygdom, men også hvor mange der er i risiko for at udvikle sygdommen, hvilket er afgørende for at få et retvisende billede af sygdomsforekomsten. 

En fuld adgang til alle personer i befolkningen er derfor nødvendig for at gennemføre forskningsprojekter inden for formålet. Mange projekter under Health Genetics vil dog alene omfatte et mindre udsnit af befolkningen. Dette afhænger af det konkrete projekt og dets formål. 

 

Hvad er vores behandlingsgrundlag?

Vi behandler personoplysninger på baggrund af databeskyttelsesforordningens artikel 9, stk. 2, litra j sammenholdt med databeskyttelseslovens § 10, stk. 1 og samtidig artikel 6, stk. 1, litra e, da det er nødvendigt at behandle oplysningerne til videnskabelige forskningsformål. Her beder vi altså ikke om samtykke til behandlingen af personoplysninger.

 

Behandlingsgrundlag for personnummer (CPR)

Vi behandler udelukkende CPR-numre, hvor det er nødvendigt med henblik på entydig identifikation, jf. databeskyttelseslovens § 11, stk. 1.

 

Særlovgivningen

Nogle gange kan der være særlige regler, som gælder udover de almindelige databeskyttelsesregler. F.eks. vil vi i nogle forskningsprojekter være forpligtet til at efterleve sundhedslovens regler eller andre lovregler for at kunne behandle personoplysninger lovligt.

 

Hvem får adgang til personoplysningerne?

Deling af viden er essentielt i forskningen, og forskere samarbejder på tværs af fag, universiteter og landegrænser. Vi sikrer os, at vi kun deler personoplysninger på et lovligt grundlag. Hvis samarbejdspartnere befinder sig uden for EU/EØS, sørger vi for at etablere et overførselsgrundlag, sådan at registreredes rettigheder er sikret (i relation til beskyttelsen af personoplysninger), der i det væsentlige svarer til dem, registrerede har inden for EU/EØS. Som skrevet ovenfor gælder for alle projekter, at forskere alene har adgang til CPR-oplysninger i pseudonymiseret form.

Der bliver ikke eksporteret persondata fra platformen, som understøtter fjernadgang. Der gives udelukkende fjernadgang på baggrund af en konkret vurdering af de enkelte forskeres lovlige og legitime behov for en sådan adgang. Rent teknisk vil data kun videregives på GenomeDK eller Danmarks Statistisk, hvor der er stilles høje tekniske krav til sikkerhed og behov for adgang til data.

 

Hvor længe gemmer vi personoplysninger?

Vi behandler personoplysninger, så længe det er nødvendigt for at opnå et eller flere forskningsformål. Vi er f.eks. forpligtet til at opbevare forskningsdata, herunder personoplysninger, i mindst fem år efter den seneste forskningspublikation, for at kunne dokumentere forskningens redelighed. Men de enkelte delprojekter kan have behov for at opbevare data i længere perioder, f.eks. på grund af særregler eller vilkår i henhold til projektbevillinger og tidsskrifter. 

 

Hvordan er personoplysninger beskyttet?

Beskyttelsen af personoplysninger er vigtigt og handler bl.a. om sikre systemer, begrænsning af adgang og krav til den enkelte forsker. Aarhus Universitet er som dataansvarlig forpligtet til at overholde alle regler i databeskyttelsesforordningen (GDPR), databeskyttelsesloven og andre særregler om behandling af personoplysninger.

Al behandling af personoplysninger sker i overensstemmelse med vores informationssikkerhedspolitik og vores forskningsinstruks. 

For hver forsker, der har adgang til data, er der udpeget en Data Governance Expert, som er ansvarlig for at sikre uddannelse og awareness inden for informationssikkerhed og databeskyttelse. Det er desuden data governance-ekspertens ansvar at sikre, at brugere iagttager og efterlever AU's politik for Informationssikkerhed (https://medarbejdere.au.dk/informationssikkerhed/informationssikkerhedspolitik). For hvert delprojekt, er der tillige udpeget projektansvarlige, der har ansvaret for at sikre, at data kun anvendes indenfor formålet. 

Projektansvarlig skal godkende nye brugere samt al import og eksport af direkte og indirekte personhenførbare oplysninger til projekterne. Endvidere er der udpeget Data Managers for de enkelte del-projekter, der er ansvarlige for styring af projektdata i henhold til de til enhver tid gældende politikker og procedurer. 

Det bemærkes navnlig, at for så vidt angår eksport af data fra Health Genetics, er der udarbejdet klare retningslinjer herom. Det er som udgangspunkt ikke tilladt at eksportere individdata fra Health Genetics. Kun statistiske data opsummeret over flere individer må eksporteres. Alle brugere af Health Genetics er gjort bekendt med disse retningslinjer og med at overtrædelse sanktioneres. 

 

Hvad er dine rettigheder?

Når personoplysninger bliver brugt i forskningsøjemed, er der visse begrænsninger i de registreredes rettigheder, som ellers følger af GDPR og databeskyttelsesloven. Generelt har registrerede som udgangspunkt følgende rettigheder:

• Retten til at få personoplysninger slettet. Dog ikke i tilfælde, hvor sletningen vil gøre det umuligt at gennemføre eller i alvorlig grad hindre forskningen.
• Ret til, at vi underretter modtagere, hvis vi imødekommer en anmodning om berigtigelse, begrænsning i behandlingen af personoplysninger eller sletning. Det kan f.eks. være andre forskningsinstitutioner, som oplysningerne er blevet videregivet til i forbindelse med et forskningsprojekt.

Man kan gøre sine rettigheder gældende ved at rette henvendelse til biomed@au.dk.

Hvis man ønsker at klage

Behandlingen af personoplysninger og offentlighedens tillid er vigtig for os. Derfor håber, vi, at folk vil kontakte os, hvis de har spørgsmål eller er utilfreds med den måde, vi behandler oplysninger på.

Hvis man alligevel ønsker at klage over vores behandling af personoplysninger, kan man henvende sig til tilsynsmyndigheden i Danmark, Datatilsynet. Det sker via Datatilsynets hjemmeside, hvor man får en vejledning i at klage.