Pearson og GDPR
Pearson overholder GDPR
Senest verificeret 29-06-2023
Der verserer for nærværende en del snak på sociale medier om, at Pearson (producent af WPPSI og WISC) ikke skulle overholde GDPR, idet de skulle opbevare data fra de to programmer Q-interactive og Q-global på en ikke-lovmedholdelig måde.
Vi har undersøgt dette forhold hos både Datatilsynet og Pearson selv og kan afvise denne påstand.
Til at starte med, vil vi gerne aflive en række myter, hvorefter vi beskriver, hvad vi skal gøre som klinik for at sikre os selv i forhold GDPR.
MYTE: Pearson har flyttet deres data til USA
Det er misinformation!
Pearson opbevarer sin data i datacentre i Canada og Irland.
Verificeret per mail ved Pearson d. 28-06-2023.
Data fra Q-interactive og Q-global opbevares hos deres driftsleverandør Amazon Web Services (AWS) som er et datterselskab af Amazon.
Pearson har indgået en databehandleraftale med AWS, hvor det stipuleres, at data til alle tider befinder sig i datacentre i Canada eller Irland. Forholdet fremgår i bilag 2 og 3:
“Q-global and Q-interactive data are hosted at Amazon Web Service (AWS) Canada Central region in Montreal, QC, Canada. Some data within Q-global are also hosted at AWS Europe West 1 region in Ireland.”
Databehandleraftalen er blevet fremsendt til os af Pearson d. 28-06-2023 og dens gyldighed og aktualitet er ved den lejlighed blevet bekræftet.
En databehandleraftale er juridisk bindende for databehandleren – i dette tilfælde AWS. Amazon er en virksomhed som har meget på spil, hvis de skulle misligeholde en sådan aftale. AWS har gigantiske kunder i Europa med langt mere personfølsomt data end Pearson. Vi kan i flæng nævne SAP, BMW og Siemens.
Pearson opbevarer ikke sin data i USA!
MYTE: Personfølsomt data må ikke befinde sig uden for Europa
Det er misinformation!
En dataansvarlig må indgå databehandleraftaler med leverandører i visse tredjelande.
Verificeret per telefon ved Datatilsynet d. 29-06-2023.
Jf. Datatilsynets hjemmeside må data gerne befinde sig i flere tredjelande som opfylder lovkrav der er i sin esssens er ækvivalente med databeskyttelsesforordningen (2016/679 af 27. april).
Canada, hvor Pearson opbevarer data fra Q-interactive og Q-global, er godkendt af EU-Kommissionen som et sikkert tredjeland til overførsel og opbevaring af persondata, når den pågældende dataasnvarlige, i samarbejde med sin databehandler, overholder PIPEDA (Personal Information Protection and Electronic Documents Act) som er Canadas egen lov for databeskyttelse.
Pearson forklarer at de ligger under for PIPEDA jf. en mail af 28-06-2023:
“Grunnen til at vi har valgt Canada er at landet har et omfattende lovverk (PIPEDA – Personal Information Protection and Electronic Documents Act) for håndtering og prosessering av persondata. Dette lovverket er godkjent av EU-kommisjonen som sikkert, når det gjelder beskyttelse av individuelle rettigheter og friheter av personer i Europa, herunder også Danmark.”
Mens PIPEDA primært udstikker etiske regler for håndtering af personfølsomt data, er det endvidere vores opfattelse, at man også har lagt sig an på en teknisk ansvarlig løsning idet:
- AWS er ISO-27001 certificeret som er en mere omfattende datasikkerhedsstandard end GDPR. Vi har undersøgt deres certifikat og kan konstatere, at deres AWS datacentre i Canada og Irland er omfattet heraf.
- Pearson sender sit data til AWS over en linje som er krypteret med AES-128 og TLS.
- Når data ligger hos AWS i Canada er det krypteret at rest med AES-256 og FIPS.
Dette er en ansvarlig og lovmedholdelig løsning!
MYTE: Datatilsynet bestemmer GDPR-reglerne i Danmark
Det er misinformation!
Det afgøres af EU-Kommissionen.
Verificeret per telefon ved Datatilsynet d. 29-06-2023.
Mens der i Danmark findes undtagelser for visse forhold i databeskyttelseforordningen som gør sig gældende under forvaltningsloven og arkivloven, har EU-Kommissionen ansvaret for at planlægge, forberede og foreslå ny europæisk lovgivning.
Datatilsynet er en tilsynsførende myndighed. De har ingen bestemmelse over den europæiske databeskyttelsesforordning.
Hvad er vores ansvar i klinikken?
Der hvor vi har et ansvar som dataansvarlig overfor vores klienter er på følgende punkter:
- Jf. Datatilsynets vejledning om dataansvarlige og databehandlere, afsnit 3.2.1., skal vi sørge for at få en databehandleraftale på plads med Pearson, for de er vores databehandler idet vi benytter Q-interactive og Q-global (altså den elektroniske del af WISC og WPPSI).
- Vi skal opbevare data der er relateret til vores klienters journaler i mindst 5 år jf. bekendtgørelsen om autoriserede sundhedspersoners patientjournaler artikel 14, stk. 2. Vi må således ikke slette data fra Q-interactive inden da, med mindre vi opbevarer data i en kopi i vores eget journalsystem.
- Mens vi har pligt til at opbevare en klients journaler i mindst 5 år har vi OGSÅ pligt til at slette data når de ikke længere er nødvendige jf. databeskyttelsesforordningens artikel 5, stk. 1 – så medmindre der verserer en sag på klienten, skal vi slette deres data fra Q-interactive/Q-global, samt vores eget journalsystem, efter 5 år.
- I fald vi var en myndighed som er omfattet af forvaltningsloven (f.eks. PPR i en kommune) ville vi have pligt til at arkivere jf. arkivloven som beskrevet i bekendtgørelse 128 af 2020. Vi måtte i så fald aldrig slette data fra f.eks. Kingo, WinPPR eller kommunens centrale ESDH-system før data er afleveret til Rigsarkivet eller kommunens eget §7-godkendte arkiv.
Stefan Franck
Jeg er det tekniske ben hos Psykolog Dea Franck. Læs mere om os i klinikken her.
Min erhvervserfaring tæller mange år som hhv. digitalarkivar hos Københavns Kommune og systemudvikler hos KMD A/S.
Jeg har udviklet vores eget journalsystem og sørger for, vi gebærder os digitalt ansvarligt og overholder GDPR, slettefrister og grundlæggende principper for datadisciplin og sikkerhed.
Du er velkommen til at spørge mig om hvad helst angående nærværende artikel og kan kontakte mig her.