AnthroConsults beskyttelse af personfølsomme oplysninger


I sit virke kan AnthroConsult komme i besiddelse af følsomme oplysninger om virksomheder, organisationer og privatpersoner. Ofte drejer det sig om personers helbred, arbejds-, sociale- og familieforhold. Dertil kommer kontaktoplysninger og personlige oplysninger fortalt i forskningsinterviews, der direkte eller indirekte kan identificere specifikke personer. I overensstemmelse med Persondataforordningen (GDPR) beskytter AnthroConsult personfølsomme data i alle led af vores undersøgelser. Databeskyttelse er tænkt ind i vore metodiske designs, tekniske og organisatoriske sikkerhedsforanstaltninger og -processer. I forbindelse med relevante undersøgelser indhentes desuden tilladelse fra Videnskabsetisk Komité og der foretages anmeldelse til Datatilsynet.


Dataansvarlig og databehandler

Afhængigt af projektet kan AnthroConsult både fungere som dataansvarlig og databehandler. AnthroConsult deler ikke personhenførbare data med samarbejdspartnere, opdragsgivere, ydere af forskningsmidler eller andre. Når vi samarbejder med eksterne databehandlere om f.eks. statistiske analyser, anonymiseres data inden deling og der indgås særskilt databehandlerkontrakt mellem AnthroConsult som dataansvarlig og databehandleren om den specifikke undersøgelse.

Placering af data

I forbindelse med kvantitative undersøgelser (surveys) kommer AnthroConsult typisk ikke i besiddelse af personfølsomme data. De personfølsomme data, vi behandler, stammer oftest fra kvalitative studier, bl.a. individuelle eller gruppeinterviews. Sådanne interviews bliver lydoptaget og derefter renskrevet (transskriberet). Umiddelbart derefter bliver transskriptionen anonymiseret, så personhenførbare oplysninger (f.eks. navne, bopæl eller arbejdssted) erstattes med koder i de tekstdokumenter, som skal analyseres, bl.a. ved hjælp af software som Nvivo International. Lydfiler, transskriptioner og kodeark opbevares sikret i projektets varighed og slettes ligesom øvrige personlige data derefter. AnthroConsult opbevarer personfølsomme data vedrørende igangværende projekter på ekstern harddisk samt eventuelt i papirformat i et aflåst skab. Data kan desuden opbevares elektronisk på platforme, som kun er tilgængelig for AnthroConsult med adgangskode og som lever op til Persondataforordningens krav om databeskyttelse. Ved projektforlængelse sikres fornyet deltagersamtykke og anmeldelse til Datatilsynet.

Samtykkekrav & oplysningsforpligtelse

AnthroConsult indhenter skriftligt samtykke fra alle relevante samarbejdsparter og privat-personer forud for undersøgelser, hvori der indgår personfølsomme data. AnthroConsult rekrutterer almindeligvis undersøgelsesdeltagere via medicinske klinikker (f.eks. hospitalsafdelinger), eksterne samarbejdspartnere (f.eks. rekrutteringsbureauer) eller via annoncering i trykte, elektroniske eller sociale medier.


Når interviewdeltagere inkluderes via medicinske samarbejdspartnere, aftales inklusionskriterier med ansvarshavende læge(r), som herefter inviterer relevante patienter og/eller medarbejdere i overensstemmelse med de videnskabsetiske retningslinjer og reglerne for persondatabeskyttelse. I sådanne tilfælde er den medicinske samarbejdspartner dataansvarlig og skal sikre sig at de har videre-givelseshjemmel. Videregivelsen sker her til AnthroConsult, der har behandlingshjemmel men som selvstændig dataansvarlig har ansvar for den efterfølgende behandling af personoplysningerne. Kun de for projektet nødvendige personlige oplysninger videregives til AnthroConsult og dette kun efter skriftligt samtykke fra patienten, der oplyses om hvilke data der overdrages, hvordan de beskyttes og hvor længe de opbevares.

Rekruttering via ikke-medicinske samarbejdspartnere/rekrutteringsbureauer indebærer typisk ikke indhentning af personfølsomme oplysninger. I så fald, sikrer AnthroConsult, at samarbejdspartnere overholder gældende regler for beskyttelse af persondata og der indgås særskilt databehandlerkontrakt.

Når AnthroConsult rekrutterer undersøgelsesdeltagere via annoncering, bedes interesserede deltagere selv kontakte AnthroConsult via telefon eller email. Al efterfølgende personfølsom kommunikation foregår via telefon eller – fra AnthroConsults side – via krypteret e-mail.

Udover ovenstående modtager AnthroConsult udelukkende personfølsomme oplysninger, som undersøgelsesdeltagere selv fortæller om, typisk i interviews. Forud herfor informeres deltagerere om undersøgelsens formål, hvilke typer personlige oplysninger der kan indgå, hvad de bruges til, af hvem, samt hvordan og hvor længe, de opbevares. Deltagere informeres også om retten til at trække sig fra en undersøgelse til enhver tid samt til få slettet, rettet eller flyttet deres personlige data. I så fald sikrer AnthroConsult, at dette foregår i et format, der sikrer persondatabeskyttelsen. Elektronisk udveksling af personfølsomme oplysninger foregår via krypteret e-mail eller fildeling.

De personlige oplysninger, som undersøgelsesdeltagere fortæller om til AnthroConsult, behandles udelukkende af Gitte Lee Mortensen og eventuelt en assistent. Personhenførbare data deles ikke med eksterne samarbejdspartnere, opdragsgivere, ydere af forsknings-midler eller andre. Deltagere modtager Gitte Lee Mortensens kontaktoplysninger og oplyses om deres klagemuligheder til Datatilsynet.

Konsekvensanalyse

De oplysninger AnthroConsult kommer i besiddelse af indebærer ikke en direkte risiko for deltagerne i tilfælde af en sikkerhedsbrist. Dog kan spredning af personfølsomme oplysninger være blufærdighedskrænkende. I tilfælde af at et databrud indebærer tab af frihed eller rettigheder for en registreret, underrettes vedkommende herom uden unødigt ophold. I tilfælde af databrud underretter AnthroConsult desuden Datatilsynet inden 72 timer, herunder om hvor mange personer og hvilke data, der kan berøres, eventuelle konsekvenser af databruddet og AnthroConsults tiltag til at beskytte personfølsomme data.