Skip to main content
DA / EN
DA / EN

Søg

Legal Services

Sådan håndterer du personoplysninger i et forskningsprojekt

Håndtering af personoplysninger i dit forskningsprojekt er forbundet med visse juridiske forpligtelser. Legal Services hos SDU RIO er her for at yde dig støtte i alle GDPR-relaterede sager.

På denne side kan du læse om, hvordan du håndterer personoplysninger i alle faser af dit forskningsprojekt – fra planlægning og indsamling til opbevaring og færdiggørelse. Dette er med til at sikre, at dit projekt overholder databeskyttelsesreglerne gennem hele processen.

Brug for hjælp?

Kontakt GDPR teamet i SDU RIO.
Kontakt GDPR teamet

Registrer dit projekt

Alle forskningsprojekter, der involverer personoplysninger, skal registreres hos SDU RIO. Det er et lovkrav, der sikrer, at dit projekt bliver optaget i SDU’s register over behandlingsaktiviteter.

Registrer dit projekt så tidligt som muligt, inden dataindsamlingen begynder, så vi kan give dig den hjælp, du har brug for.

Registrer dit projekt - ENGELSK

Gå til engelsk registreringsformular

Registrer dit projekt - DANSK

Gå til dansk registreringsformular

  • Video guide

    Kom godt i gang med GDPR

    At registrere dit projekt hos SDU RIO er det første skridt mod at overholde GDPR-reglerne. I denne video får du tre tips til, hvordan du kan undgå, at GDPR bliver en forhindring for dig.

Vælg dit retsgrundlag for databehandling

Før du påbegynder dataindsamlingen, skal du vælge et passende retsgrundlag for behandling af personoplysninger. Dette vil forme, hvordan du indsamler, bruger og administrerer data gennem hele projektet. Der er to hovedmuligheder:

  • Databeskyttelseslovens § 10: Denne gælder, hvis dit projekt tjener offentlighedens interesse og ikke er afhængig af samtykke. I forskningssammenhæng kan dette ofte være det mest passende valg. Dette gælder også forskningsprojekter, der indhenter REC-samtykke.
  •  Databeskyttelsesforordningens artikel 6, stk. 1, litra a): Denne bruges, når du indsamler personoplysninger baseret på samtykke fra deltagerne.

Når du registrerer dit projekt hos SDU RIO, rådgiver vi dig om, hvilket retsgrundlag der er det rigtige for din forskning.

 

Planlæg din dataindsamling

Du skal beslutte, hvordan og hvorfra du vil indsamle dine data. Vil du:

  • Indsamle dem selv (f.eks. gennem interviews, undersøgelser eller eksperimenter) eller
  • Indhente dem fra et register eller en tredjepart (f.eks. Danmarks Statistik eller en hospitalsdatabase)?

Denne beslutning påvirker dine ansvarsområder og den dokumentation, du skal udarbejde.

 

Informer deltagere, og indhent samtykke

Du skal informere deltagerne om:

  • Hvem der indsamler dataene
  • Hvilke data der indsamles og hvorfor
  • Hvilket retsgrundlag data indsamles på
  • Hvordan dataene vil blive brugt og opbevaret
  • Deres rettigheder (f.eks. adgang, sletning)

Dette skal gøres før eller på indsamlingstidspunktet i et klart og enkelt sprog for målgruppen.

 

 

Samtykke skal være:

  • Frivilligt – intet pres og ingen negative konsekvenser
  • Specifikt – til et klart defineret formål
  • Informeret – deltagerne skal forstå, hvad de accepterer
  • Utvetydigt – f.eks. aktivt tilvalg, ikke tavshed

Samtykket kan til enhver tid trækkes tilbage. Bemærk, at samtykke kun bør anvendes, når det er det mest hensigtsmæssige retsgrundlag.

Kontakt Legal Services hos SDU RIO, hvis du har brug for hjælp til at udarbejde eller gennemgå en informationsskrivelse eller samtykkeerklæring.

Anmeld eventuelle ændringer til SDU RIO

Når dit projekt er i gang, skal du give SDU RIO besked, hvis der sker ændringer i dit projekt. Dette omfatter:

  • Tilføjelse af nye samarbejdspartnere eller institutioner
  • Ændring af den type data, du indsamler
  • Forlængelse af projektets tidsplan
  • Brug af nye systemer eller databehandlere
  • Ændringer i formål
  • Ændring af kontaktperson eller involverede personer
  • Større ændringer i antallet af registrerede personer
  • Ændring af databehandler
Ændringer skal godkendes, før de implementeres. Hvis du er usikker på, om en ændring er væsentlig, er det altid bedst at kontakte GDPR-teamet.
 

Anmeld ændringer

Gå til formular

Opbevar dine data

Du må kun behandle og opbevare personoplysninger i systemer, der er godkendt af SDU, f.eks.:

  • SharePoint
  • Nextcloud
  • UCloud

Disse systemer er sikre og lever op til universitetets standarder for databeskyttelse.

Se den fulde liste af godkendte systemer

Gå til liste

Begræns og gennemgå adgang til data

Kun personer, der har brug for adgang til personoplysninger, bør have adgang. Medarbejdere, der håndterer personoplysninger, skal modtage behørig instruktion og træning i databeskyttelse og -styring, og deres adgangsrettigheder bør revideres mindst hver sjette måned for at sikre overholdelse af reglerne.

Del dine data

Før du deler data, skal du overveje følgende spørgsmål:

  1. Modtager du data eller sender du data?
  2.  Er overførslen intern eller ekstern?
Dette er vigtigt for den type overførselsformular, du skal udfylde.

Overførsel af data eksternt

Du kan overføre personoplysninger til en tredjepart uden for SDU, f.eks. en regional myndighed, en anden forskningsinstitution, en privat virksomhed mv. For at overføre data skal der udfyldes en dataoverførselserklæring. Denne vil blive sendt til dig af din sagsbehandler, når sagen begynder.
Dette gælder kun for overførsler inden for EU. Hvis du overfører data uden for EU, skal du underrette Datatilsynet. Få mere at vide her.

Gå til ekstern formular

Overførsel af data internt / genbrug af data

Hvis du ønsker at overføre data til et andet SDU-projekt eller en SDU-kollega, skal dette godkendes af SDU RIO. Det er også nødvendigt at dokumentere dataenes oprindelse. Sørg for at have din samtykkeerklæring eller informationsskrivelse klar, inden du kontakter SDU RIO.

Det modtagende projekt skal være godkendt eller ved at blive godkendt i SDU RIOs sagsakter.

Gå til intern formular

Modtagelse af data fra eksterne eller interne parter

Hvis du modtager data fra eksterne parter, skal en aftale underskrives af SDU RIO. Du har formentlig modtaget denne aftale fra den eksterne part. Hvis ikke, kan vi hjælpe med at udarbejde en for dig.

Kontakt SDU RIO, hvis du ønsker at modtage data fra interne parter, f.eks. en SDU-kollega.

 

Kontakt Legal Services

Slet eller anonymiser dataene

Når dit projekt afsluttes, skal du beslutte, hvad du vil gøre med de personoplysninger, du har indsamlet. Du må ikke opbevare personoplysninger længere end nødvendigt. Du skal enten:

  • Slette dataene sikkert eller
  • Anonymisere dem, hvis du har til hensigt at bruge dem til fremtidig forskning.

Bemærk, at pseudonymisering ikke er tilstrækkeligt.

Dette trin er afgørende for at beskytte deltagernes privatliv og sikre overholdelse af lovgivningen.

Underret SDU RIO, når du har anonymiseret eller slettet dine data, så projektregistreringen kan opdateres med denne ændring.

Pseudonymisering vs. anonymisering

Anonymisering forveksles ofte med pseudonymisering. Her er forskellen:

Pseudonymisering erstatter identificerbare oplysninger (f.eks. navne eller id-numre) med koder eller pseudonymer. Dataene kan stadig knyttes tilbage til enkeltpersoner, hvis du har adgang til nøglen. Dette betragtes stadig som personoplysninger i henhold til GDPR.

Anonymisering fjerner alle identificerbare oplysninger, så det ikke længere er muligt at spore dataene tilbage til nogen person – heller ikke med en nøgle. Når data er virkeligt anonymiserede, er de ikke længere underlagt databeskyttelseslovgivningen.

Hvis vi ikke hører fra dig, efter at projektet er afsluttet, antager vi, at dataene er blevet slettet. Det betyder, at du ikke længere vil kunne genbruge dataene, foretage ændringer i projektet eller forlænge projektperioden.

Hvis du ønsker at genbruge dine data eller forlænge dit projekt, bedes du kontakte os inden projektet afsluttes. Hvis vi modtager din anmodning efterfølgende, kan vi desværre ikke hjælpe.

Bemærk, at nogle data er underlagt obligatoriske journaliseringsforpligtelser. Kontakt ESDH, hvis du har spørgsmål om journalisering. 

 

Det er vigtigt, at du kender din rolle i behandlingen af personoplysninger. Du kan enten være databehandler eller dataansvarlig. Som ansat på SDU er det ikke dig personligt, der har denne rolle, men SDU som din arbejdsgiver.

SDU RIO fastlægger fordelingen af roller i projektet. Følgende spørgsmål indgår i arbejdet med at identificere SDU’s rolle i projektet, når projektet er registreret hos SDU RIO:

  • Hvem definerede projektets formål eller opgave?
  • Hvem valgte værktøjerne, herunder hvordan og hvilken slags analyse der udføres?
  • Bliver du betalt for at udføre projektet?
  • Træffer du beslutninger inden for projektet?
  • Har SDU modtaget midlerne?
  • Vil SDU bruge dataene til egne formål (f.eks. i et andet projekt, publikation osv.)?

Bemærk, at du udover en databehandleraftale også skal sikre dig, at der foreligger en samarbejdsaftale. Du er velkommen til at oprette en sag ved at kontakte SDU RIO.

Billeder er personoplysninger, uanset om billedet er et portræt eller et billede af de omgivelser, hvor en person tilfældigvis optræder.

Det samme er tilfældet med lydoptagelser.

Hvis du bruger billeder eller lydoptagelser, skal du registrere dit projekt som alle andre forskningsprojekter, hvor der behandles personoplysninger.

SDU RIO kan vejlede om, hvorvidt der er behov for samtykke, eller om oplysningerne kan behandles efter et andet retsgrundlag.

For forskningsprojekter, der også kræver samtykke fra SDU’s Research Ethics Committee (REC), anbefales det at anvende forskningstilladelsen som behandlingsgrundlag – dvs. Databeskyttelseslovens § 10. Det skyldes, at GDPR-samtykke har meget strenge krav til form, indhold og frivillighed, hvilket gør det vanskeligt at udarbejde på en måde, der er både korrekt og forståelig for deltagere og forskere. I praksis har dette ofte resulteret i ugyldige samtykker og dermed ulovlig databehandling.

Som udgangspunkt bør GDPR-samtykke og REC-samtykke ikke blandes sammen, da de har forskellige formål og juridiske konsekvenser. REC-samtykke vedrører deltagelse i selve forskningsprojektet, mens GDPR-samtykke vedrører behandling af personoplysninger. Ved at bruge forskningstilladelsen undgår man en situation, hvor deltagernes tilbagetrækning af samtykke automatisk kræver sletning af allerede indsamlede data, hvilket kan bringe forskningens integritet i fare.

Studerende, der arbejder med forskningsdata, skal ikke nødvendigvis underskrive en dataaftale. Det afhænger af omstændighederne.

Kontakt Legal Services hos SDU RIO for at høre om mulighederne.

Anmeld et sikkerhedsbrud

Hvis du ved et uheld har delt personlige data, skal du rapportere det med det samme. Udfyld anmeldelsesformularen her.
Anmeld sikkerhedsbrud

Sidst opdateret: 27.10.2025