Datafortrolighedspolitik

Overordnede rammer

Grønlands Statistik behandler fortrolige oplysninger om personer og virksomheder med det formål at producere officiel statistik, analyser og dokumentation af samfundsforhold.

Vores retningslinjer skal sikre, at data anvendes ansvarligt, proportionalt og udelukkende til lovbestemte statistiske formål. Fortrolighed er en grundlæggende forudsætning for befolkningens og virksomhedernes tillid til den officielle statistik.

Fortrolighed gælder gennem hele datalivscyklussen – fra indsamling, registrering, behandling og analyse til offentliggørelse og arkivering.

Principper om fortrolighed

Fortrolighed i behandlingen af statistikdata skal sikre, at der ikke sker uberettiget videregivelse. Dette gælder både i forhold til offentligheden og internt blandt medarbejdere. Medarbejdere i Grønlands Statistik er underlagt tavshedspligt vedrørende fortrolige oplysninger, som de får kendskab til gennem deres arbejde. Tavshedspligten gælder også efter ansættelsesforholdets ophør.

Følgende grundprincipper er styrende:

Fortrolighed som udgangspunkt Oplysninger må aldrig kunne føres tilbage til identificerbare personer, husstande eller virksomheder – hverken direkte eller indirekte.
Statistisk formålsbegrænsning Oplysninger indsamles og behandles udelukkende til statistiske og analytiske formål. Data må ikke anvendes til administrative, kontrolmæssige, skattemæssige eller retlige afgørelser om enkeltpersoner eller virksomheder.
Dataminimering og proportionalitet Kun de oplysninger, der er nødvendige for at opfylde det statistiske formål, behandles.
Adgang efter behov (need-to-know) Kun medarbejdere med et dokumenteret arbejdsbetinget behov har adgang til fortrolige data. Adgange tildeles individuelt og revurderes løbende.
Sikker drift og teknisk beskyttelse Data behandles og lagres på sikre servere inden for Selvstyrets it-infrastruktur. Lokal lagring, kopiering til private medier eller uautoriseret overførsel er ikke tilladt.

Identifikationsrisiko og fortrolighedsvurdering

Beskyttelse mod identifikation er et centralt element i produktionen af statistik.

Der sondres mellem:

Direkte identifikation Oplysninger som CPR-nummer, virksomhedsnummer (CVR), navn eller adresse.
Indirekte identifikation Kombinationer af baggrundsvariable – fx alder, køn, bopælslokalitet, branche, indkomst – som samlet kan gøre en enhed genkendelig, selv når direkte identifikatorer er fjernet.

Fortrolighed vurderes altid konkret ud fra:

detaljeringsgrad
populationsstørrelse
små celleantal
sjældne karakteristika
mulighed for sammenkøring med eksterne datakilder

Der foretages således en helhedsvurdering af identifikationsrisikoen, ikke kun en teknisk fjernelse af direkte identifikatorer.

Dataopbevaring, zoner og adgangsstyring

Grønlands Statistik indgår i Selvstyrets fælles it-infrastruktur, stillet til rådighed af Digitaliseringsstyrelsen.

Filservere er opdelt i logiske zoner efter statistikområder.
Adgang styres via rollebaseret rettighedstildeling.
Logning og kontrol anvendes til overvågning af adgang og anvendelse.
Adgange vurderes løbende og justeres efter behov.

Organisatoriske og tekniske sikkerhedsforanstaltninger skal samlet sikre fortrolighed, integritet og tilgængelighed.

Offentliggørelse og diskretionering

Statistiske oplysninger offentliggøres i Statistikbanken og på hjemmesiden.

Inden offentliggørelse foretages en systematisk fortrolighedsvurdering, herunder vurdering af:

små celler (typisk < 3 observationer)
dominerende enheder
sjældne kombinationer
mulighed for indirekte identifikation
risiko ved sammenstilling med andre offentlige kilder

Ved identificeret risiko anvendes diskretioneringsmetoder, fx:

Primær undertrykkelse (fjernelse af følsomme celler)
Sekundær undertrykkelse (supplerende fjernelse for at forhindre indirekte identifikation)
Sammenlægning af kategorier, afrunding eller støjtilførsel

Målet er at opretholde analytisk værdi uden at kompromittere fortrolighed.

Fortrolige arbejdsmaterialer

Følgende materialer er fortrolige:

udkast og kladder
mellemregninger
ikke-offentliggjorte tabeller
interne dokumenter

Fortrolighed ophører ikke ved offentliggørelse af en statistik. Underliggende materiale forbliver fortroligt.

Behandling af personoplysninger

Alle personoplysninger behandles som fortrolige – uanset om de er følsomme eller ikke-følsomme.

Følsomme oplysninger behandles kun, når det er nødvendigt og lovligt.
Behandlingen sker udelukkende til statistikformål.
Der anvendes passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Personoplysninger må ikke anvendes til individuelle afgørelser.

Dataindsamling og tilbagemelding

Data indsamles primært fra administrative registre og andre offentlige kilder.

Grønlands Statistik kan ikke videregive oplysninger, der kan påvirke konkrete forvaltningssager. Eventuelle tilbagemeldinger til dataleverandører sker alene på aggregeret niveau og under hensyntagen til fortrolighed.

Udlevering

Som udgangspunkt udleveres kun:

aggregerede og diskretionerede tabeller
fortrolighedsvurderede analyseresultater

Der udleveres aldrig direkte identificerbare individ- eller virksomhedsdata.

Forskningsprojekter

For forskere fra autoriserede institutioner

Adgang til mikrodata forudsætter:

godkendt statistisk eller forskningsmæssigt formål
underskrevet fortroligheds- og tavshedserklæring
behandling på sikre systemer
outputkontrol før udlevering

Ved forskeradgang gælder:

Data opbevares kun på Grønlands Statistiks servere.
Forskere arbejder i et kontrolleret miljø.
Output kontrolleres før frigivelse.
Kun aggregerede og fortrolighedsvurderede analyseresultater må hjemsendes.

Lovforberedende analyser

Særlig adgang kan gives til afgrænsede analyser i lovforberedende arbejde.

Der etableres et særskilt datasæt til et konkret formål (projekt).
Datasættet må ikke genanvendes eller samkøres med andre projekter.
Samme krav om adgangskontrol, formålsbegrænsning og outputkontrol gælder.

Brugere med egne data

Ved samkøring med eksterne brugeres egne data:

Ansvar for lovlig indsamling og eventuel anmeldelse til Datatilsynet påhviler brugeren.
Grønlands Statistik udleverer kun aggregerede og fortrolighedsvurderede resultater.
Data håndteres, opbevares og destrueres i overensstemmelse med aftale og gældende regler.

Personstikprøver til forskning

Til godkendte forskningsformål kan der udtrækkes tilfældige stratifiserede stikprøver.

Der kan videregives:

navn, adresse, køn, alder
markering af fødested (født i Grønland/ikke født i Grønland)

Ved udsendelse via Digital Post anvendes personnummer teknisk til distribution, men videregives ikke til analytiske formål.

Stikprøver:

begrænses til nødvendige variable
må kun anvendes til det aftalte projekt
må ikke genbruges til andre formål

--- title: "Datafortrolighedspolitik" toc: true toc-title: "Fortrolighed" --- ## Overordnede rammer Grønlands Statistik behandler fortrolige oplysninger om personer og virksomheder med det formål at producere officiel statistik, analyser og dokumentation af samfundsforhold. Vores retningslinjer skal sikre, at data anvendes ansvarligt, proportionalt og udelukkende til lovbestemte statistiske formål. Fortrolighed er en grundlæggende forudsætning for befolkningens og virksomhedernes tillid til den officielle statistik. Fortrolighed gælder gennem hele datalivscyklussen – fra indsamling, registrering, behandling og analyse til offentliggørelse og arkivering. ## Principper om fortrolighed Fortrolighed i behandlingen af statistikdata skal sikre, at der ikke sker uberettiget videregivelse. Dette gælder både i forhold til offentligheden og internt blandt medarbejdere. Medarbejdere i Grønlands Statistik er underlagt tavshedspligt vedrørende fortrolige oplysninger, som de får kendskab til gennem deres arbejde. Tavshedspligten gælder også efter ansættelsesforholdets ophør. Følgende grundprincipper er styrende: * **Fortrolighed som udgangspunkt** Oplysninger må aldrig kunne føres tilbage til identificerbare personer, husstande eller virksomheder – hverken direkte eller indirekte. * **Statistisk formålsbegrænsning** Oplysninger indsamles og behandles udelukkende til statistiske og analytiske formål. Data må ikke anvendes til administrative, kontrolmæssige, skattemæssige eller retlige afgørelser om enkeltpersoner eller virksomheder. * **Dataminimering og proportionalitet** Kun de oplysninger, der er nødvendige for at opfylde det statistiske formål, behandles. * **Adgang efter behov (need-to-know)** Kun medarbejdere med et dokumenteret arbejdsbetinget behov har adgang til fortrolige data. Adgange tildeles individuelt og revurderes løbende. * **Sikker drift og teknisk beskyttelse** Data behandles og lagres på sikre servere inden for Selvstyrets it-infrastruktur. Lokal lagring, kopiering til private medier eller uautoriseret overførsel er ikke tilladt. {{< pagebreak >}} ### Identifikationsrisiko og fortrolighedsvurdering Beskyttelse mod identifikation er et centralt element i produktionen af statistik. Der sondres mellem: * **Direkte identifikation** Oplysninger som CPR-nummer, virksomhedsnummer (CVR), navn eller adresse. * **Indirekte identifikation** Kombinationer af baggrundsvariable – fx alder, køn, bopælslokalitet, branche, indkomst – som samlet kan gøre en enhed genkendelig, selv når direkte identifikatorer er fjernet. Fortrolighed vurderes altid konkret ud fra: * detaljeringsgrad * populationsstørrelse * små celleantal * sjældne karakteristika * mulighed for sammenkøring med eksterne datakilder Der foretages således en helhedsvurdering af identifikationsrisikoen, ikke kun en teknisk fjernelse af direkte identifikatorer. ### Dataopbevaring, zoner og adgangsstyring Grønlands Statistik indgår i Selvstyrets fælles it-infrastruktur, stillet til rådighed af Digitaliseringsstyrelsen. * Filservere er opdelt i logiske zoner efter statistikområder. * Adgang styres via rollebaseret rettighedstildeling. * Logning og kontrol anvendes til overvågning af adgang og anvendelse. * Adgange vurderes løbende og justeres efter behov. Organisatoriske og tekniske sikkerhedsforanstaltninger skal samlet sikre fortrolighed, integritet og tilgængelighed. ### Offentliggørelse og diskretionering Statistiske oplysninger offentliggøres i Statistikbanken og på hjemmesiden. Inden offentliggørelse foretages en systematisk fortrolighedsvurdering, herunder vurdering af: * små celler (typisk < 3 observationer) * dominerende enheder * sjældne kombinationer * mulighed for indirekte identifikation * risiko ved sammenstilling med andre offentlige kilder Ved identificeret risiko anvendes diskretioneringsmetoder, fx: * Primær undertrykkelse (fjernelse af følsomme celler) * Sekundær undertrykkelse (supplerende fjernelse for at forhindre indirekte identifikation) * Sammenlægning af kategorier, afrunding eller støjtilførsel Målet er at opretholde analytisk værdi uden at kompromittere fortrolighed. ### Fortrolige arbejdsmaterialer Følgende materialer er fortrolige: * udkast og kladder * mellemregninger * ikke-offentliggjorte tabeller * interne dokumenter Fortrolighed ophører ikke ved offentliggørelse af en statistik. Underliggende materiale forbliver fortroligt. ### Behandling af personoplysninger Alle personoplysninger behandles som fortrolige – uanset om de er følsomme eller ikke-følsomme. * Følsomme oplysninger behandles kun, når det er nødvendigt og lovligt. * Behandlingen sker udelukkende til statistikformål. * Der anvendes passende tekniske og organisatoriske sikkerhedsforanstaltninger. Personoplysninger må ikke anvendes til individuelle afgørelser. ### Dataindsamling og tilbagemelding Data indsamles primært fra administrative registre og andre offentlige kilder. Grønlands Statistik kan ikke videregive oplysninger, der kan påvirke konkrete forvaltningssager. Eventuelle tilbagemeldinger til dataleverandører sker alene på aggregeret niveau og under hensyntagen til fortrolighed. ### Udlevering Som udgangspunkt udleveres kun: * aggregerede og diskretionerede tabeller * fortrolighedsvurderede analyseresultater Der udleveres aldrig direkte identificerbare individ- eller virksomhedsdata. ## Forskningsprojekter For forskere fra autoriserede institutioner Adgang til mikrodata forudsætter: * godkendt statistisk eller forskningsmæssigt formål * underskrevet fortroligheds- og tavshedserklæring * behandling på sikre systemer * outputkontrol før udlevering Ved forskeradgang gælder: * Data opbevares kun på Grønlands Statistiks servere. * Forskere arbejder i et kontrolleret miljø. * Output kontrolleres før frigivelse. * Kun aggregerede og fortrolighedsvurderede analyseresultater må hjemsendes. ## Lovforberedende analyser Særlig adgang kan gives til afgrænsede analyser i lovforberedende arbejde. * Der etableres et særskilt datasæt til et konkret formål (projekt). * Datasættet må ikke genanvendes eller samkøres med andre projekter. * Samme krav om adgangskontrol, formålsbegrænsning og outputkontrol gælder. ## Brugere med egne data Ved samkøring med eksterne brugeres egne data: * Ansvar for lovlig indsamling og eventuel anmeldelse til Datatilsynet påhviler brugeren. * Grønlands Statistik udleverer kun aggregerede og fortrolighedsvurderede resultater. * Data håndteres, opbevares og destrueres i overensstemmelse med aftale og gældende regler. ## Personstikprøver til forskning Til godkendte forskningsformål kan der udtrækkes tilfældige stratifiserede stikprøver. Der kan videregives: * navn, adresse, køn, alder * markering af fødested (født i Grønland/ikke født i Grønland) Ved udsendelse via Digital Post anvendes personnummer teknisk til distribution, men videregives ikke til analytiske formål. Stikprøver: * begrænses til nødvendige variable * må kun anvendes til det aftalte projekt * må ikke genbruges til andre formål