Anmeldelsesskema til fortegnelsen - dataansvarlig

Her kan du anmelde dit forskningsprojekt, hvor AU er dataansvarlig, til AU's fortegnelse over forskningsprojekter.


Indholdet er opdateret i maj 2021. 
Vær opmærksom på, at vi løbende opdaterer disse sider.  

AU som dataansvarlig

AU som dataansvarlig
Fakultet/Enhed*
Er det et hovedprojekt eller et substudie til et hovedprojekt?*
Angiv typen af personoplysninger, som du påtænker at behandle*
Påtænker du at dele (videregive/overlade) personoplysninger med eksterne?*
Sker der overførsel af personoplysninger til et land uden for EU/EØS?
Hvis ja, angiv hvilket grundlag du overfører personoplysninger på baggrund af
Påtænker du at videregive biologisk materiale?
Påtænker du at publicere personoplysninger?*
Er det indgået en samarbejdsaftale eller databeskyttelsesretlige aftaler?*
Oprettes der en forskningsdatabase eller en forskningsbiobank i forbindelse med forskningsprojektet?*
Hvis ja, vil der ske...
Hvilket lovligt grundlag baserer du din behandling af personoplysninger på?*

Forventet sagsbehandlingstider for forskningsfortegnelsen


  • Nye anmeldelser til fortegnelsen:  Inden for 3 uger fra modtagelse af anmeldelsen
  • Opdatering af eksisterende anmeldelser: Inden for 2 uger fra modtagelsen af ændringer 
  • Vejledning om anmeldelse til fortegnelsen: Inden for 1 uge fra modtagelse af anmodning 
  • Bistand til ansøgning til Datatilsynet: Inden for 2 uger fra modtagelsen af blanketten
  • Registrering af videregivelser: Inden for 2 uger fra modtagelsen af den interne anmeldelse  

 


FORKLARINGER

AU-ID, navn, AU-mailadresse, fakultet/enhed og institut/center

Oplysningerne bruges af Databeskyttelsesenheden, så de kan kontakte dig vedr. din registrering. Som kontaktperson skal du kunne svare på databeskyttelsesretlige spørgsmål vedr. dit forskningsprojekt.

Projektets titel

Du skal angive projektets titel, så det er klart, hvilket forskningsprojekt, der er tale om.

Formål med projektet

Du skal oplyse om projektets forskningsformål ift. behandling af personoplysninger. Overvej som minimum:

  • Hvad er forskningsformålet?
  • Hvorfor er behandlingen af personoplysninger nødvendig for at opnå mit/mine formål med forskningen?
  • Skal personoplysningerne anvendes i anden forskning inden for samme videnskabelige område?

Din formålsbeskrivelse behøver ikke være identisk med den, du har afgivet f.eks. i forbindelse med ansøgning til bevillinger, da fokus her er formålet med behandlingen af personoplysninger for at kunne opfylde dit forskningsformål.

Din formålsbeskrivelse skal være konkretiseret tilstrækkeligt, så det er tydeligt og gennemsigtigt for deltageren (den registrerede), hvad behandlingen af personoplysninger skal bidrage til i forskningen. Omvendt kan det være svært at fastlægge det præcise formål i forskning, da forskningsprojektet ofte ændrer karakter undervejs.

Er det et hovedprojekt eller et substudie til et hovedprojekt?

Når du skal tage stilling til, om dit projekt er et hovedprojekt eller et substudie, kan du bruge disse faktorer til at hjælpe dig:

  • Der er tale om et hovedprojekt, når du kun påtænker at behandle personoplysninger, som er inden for samme formål, og hvor der ikke inddrages nye aktører (f.eks. en anden databehandler).
  • Der er tale om et substudie, når du har et hovedprojekt, hvorfra der udspringer mindre projekter, der har selvstændige underformål til hovedprojektets formål, eller hvor der indgår andre aktører end i hovedprojektet. Hvis du anmelder et substudie, skal du oplyse løbenummeret på hovedprojektet, så projekterne kan ”kædes” sammen på fortegnelsen.      

Angiv antallet af fysiske personer (registrerede), hvis oplysninger du behandler

Du skal angive antallet af personer, hvis oplysninger du behandler i dit projekt. Hvis antallet er ukendt, skal du skrive, hvorfor det ikke er muligt at angive et præcist antal eller hvilke faktorer, der indgår i din ”optælling”.

Eksempel: Hele Danmarks befolkning i alderen 15-65 år i perioden 1980-2000    

Starttidspunkt for behandling af personoplysninger

Du skal angive, hvornår du påbegynder at behandle personoplysninger.

Husk, at indsamling også er en behandling. Det kan f.eks. være, at du modtager nogle mailadresser, som du skal bruge til at udsende spørgeskemaer. Udgangspunktet vil her være, at du påbegynder behandlingen af personoplysninger på det tidspunkt, hvor du modtager mailadresserne.

Sluttidspunkt for behandling af personoplysninger

Du skal angive, hvornår du ophører med at behandle personoplysninger.

Hvis du baserer din behandling på samtykke, er du forpligtet til at stoppe med at behandle personoplysninger på det tidspunkt, som du har angivet over for dine deltagere (de registrerede).

Hvis du baserer din behandling på forskningshjemlen, kan du ændre sluttidspunkt for behandling undervejs. Du skal dog huske at orientere Databeskyttelsesenheden ift. fortegnelsen.

Husk, at du er forpligtet til at opbevare data i minimum 5 år efter din seneste publikation i henhold til reglerne om ansvarlig forskningspraksis. Denne opbevaring er en del af forskningsformålet. Læs mere om opbevaring af personoplysninger.

Når dit projekt slutter, skal behandlingen af personoplysninger som udgangspunkt ophøre. Det kan ske på flere måder:

  • Du kan uigenkaldeligt anonymisere oplysningerne.
  • Du kan slette oplysningerne.
  • Du kan lade dem overføre til Rigsarkivet.
  • Du kan lovligt videregive dem under nogle bestemte omstændigheder. Vær opmærksom på, at du ikke selv må have en kopi af oplysningerne bagefter med mindre din kopi alene indeholder uigenkaldeligt anonymiserede oplysninger.

Typen af personoplysninger, som du påtænker at behandle

Der findes forskellige kategorier af personoplysninger. Du skal både angive kategorien af personoplysninger og uddybe (i overskrifter), hvilke typer af personoplysninger, du påtænker at behandle.

Eksempel 1: Almindelige personoplysninger: Kontaktoplysninger, køn, alder mv.

Eksempel 2: Følsomme/særlige kategorier af personoplysninger: Helbredsoplysninger, politisk orientering, fagforeningsmæssigt tilhørsforhold mv.     

Kategori af de fysiske personer (registrerede)

Du skal oplyse kategorien/kategorierne af personer, hvis oplysninger, du påtænker at behandle. Det er vigtigt at tage stilling til hvem, du behandler personoplysninger om, da det kan begrunde, at du f.eks. skal træffe særlige foranstaltninger til beskyttelse af personoplysningerne, eller at du skal anvende et andet sprogbrug, når du henvender dig til den registrerede.

Eksempler på kategorier:

  • Patienter
  • Pårørende
  • Børn og unge under 18 år
  • Børn
  • Voksne
  • Afdøde*
  • Lodsejere, mv.

*Husk, at personoplysninger om afdøde er beskyttet i 10 år.    

Deling af personoplysninger, herunder overførsel til tredjelande (uden for EU/EØS)

Deling af personoplysninger kræver, at der er en ekstern aktør, som ikke er ansat på AU.

Der er 3 typer deling:

  • Videregivelse: Sker, når du deler personoplysninger med andre dataansvarlige (både selvstændige dataansvarlige og fælles dataansvarlige).
  • Overladelse: Sker, når du deler personoplysninger med en databehandler.
  • Overførsel: Sker, når du deler personoplysninger med aktører uden for EU/EØS. En overførsel kan både være en videregivelse og/eller en overladelse

Husk, at det også gælder en såkaldt ”se-adgang”, hvor modtageren blot ser personoplysningerne via f.eks. en VPN-løsning.

AU’s fortegnelse skal indeholde oplysninger om, hvem du deler data med, og hvilken type deling, der er tale om (videregivelse, overladelse eller overførsel).

Hvis der er tale om en overførsel, skal du specificere, hvem der modtager personoplysningerne og med hvilket overførselsgrundlag). Denne information bruger Databeskyttelsesenheden desuden til at hjælpe dig med at vurdere, om overførslen kræver Datatilsynets forudgående tilladelse.

Der er særlige regler forbundet med deling af data, og det er nødvendigt, at der indgås skriftlige aftaler, udarbejdes skriftlig dokumentation eller skriftlige erklæringer. Derfor skal du kontakte TTO, hvis du samarbejder med eksterne aktører.

Videregivelse af biologisk materiale eller publicering af personoplysninger i et anerkendt videnskabeligt tidsskrift

Du skal svare på, om du skal videregive personoplysninger i form af biologisk materiale eller i forbindelse med publicering af personoplysninger i et anerkendt videnskabeligt tidsskrift, så Databeskyttelsesenheden kan hjælpe dig med at vurdere, om det kræver Datatilsynets forudgående tilladelse.    

Om der er indgået samarbejdsaftaler og/eller databeskyttelsesretlige aftaler (angiv aftalenummer)

Du skal svare på, om der er indgået de nødvendige aftaler med eksterne aktører, da mange af aftalerne er lovkrav i henhold til de databeskyttelsesretlige regler.   

Hvis der er indgået en samarbejdsaftale eller databeskyttelsesretslige aftaler, skal du angive aftalenummer eller hvor aftalen kan rekvireres. Aftalenummeret fås hos TTO (tto@au.dk). Hvis du ikke kender nummeret, bedes du angive det. 

Hvilke tiltag har du gjort for at beskytte personoplysningerne?

Hvordan du skal beskytte personoplysninger afhænger af typen af oplysninger, antallet, og om hvem du behandler dem.

Tekniske foranstaltninger: F.eks. opbevaring på en sikker server, kryptering, pseudonymisering, mv.

Organisatoriske foranstaltninger: F.eks. rettighedsstyring, uddannelse mv.     

Anvendte datakilder

Du skal angive, hvor du får personoplysningerne fra, om du indsamler oplysningerne hos den registrerede eller via andre aktører, som f.eks. registre, biobanker mv.     

Om der oprettes en forskningsbiobank/forsknings-database i forbindelse med projektet

Hvis du behandler biologisk materiale, skal du angive, om der oprettes en forskningsbiobank eller -database, eller om behandlingen er af så kort varighed, at det ikke er nødvendigt.

Du skal også angive, hvad der sker med det biologiske materiale, når forskningsprojektet er afsluttet.

Husk, at udgangspunktet for en forskningsbiobank er, at den knytter sig til et konkret forskningsprojekt, og at den ikke må anvendes til andre projekter.

Hvis personoplysningerne skal overgå til en biobank eller en database med det formål at blive anvendt til fremtidig uspecificeret forskning, skal du sikre dig, at biobanken/databasen er særskilt anmeldt til AU’s fortegnelse, hvis AU er dataansvarlig.    

Behandlingsgrundlag som du baserer din behandling af personoplysninger på

Når du skal behandle personoplysninger, skal du have et lovligt behandlingsgrundlag (hjemmel). 

Find information om de to behandlingsgrundlag, forskningshjemlen eller samtykke.

Husk, at du ikke kan skifte behandlingsgrundlag undervejs.