Sanktionsregler
Det er vigtigt, at du sætter dig ind i og følger Danmarks Statistiks hjemtagelses- og datasikkerhedsregler. Overtræder du reglerne, risikerer du, at du eller hele din institution suspenderes eller kommer i karantæne hos Danmarks Statistik. Læs her om vores sanktionsregler og sagsbehandling ved databrud.
Brugere af Danmarks Statistiks forskermaskiner er ansvarlige for at overholde vores hjemtagelses- og datasikkerhedsregler. Det betyder, at du som bruger har ansvar for:
- At dit arbejde på forskermaskinerne er i overensstemmelse med Danmarks Statistiks datasikkerhedsregler. Læs mere under Regler for arbejde med mikrodata
- At hjemtage analyseresultater og materialer i overensstemmelse med Danmarks Statistiks hjemtagsregler. Læs mere under Regler for hjemtagelse af analyseresultater, og
- At underrette Forskningsservice øjeblikkeligt, hvis du konstaterer, at du har overtrådt Danmarks Statistiks datasikkerheds- eller hjemtagelsesregler.
Læs mere i Danmarks Statistiks vejledningsmateriale:
Har du overtrådt Danmarks Statistiks regler eller mistanke om, at du har det, har du underretningspligt. Opfylder du underretningspligten i forbindelse med overtrædelse, vil det ses som en formildende omstændighed.
Du bedes underrette både den autorisationsansvarlige på din institution og Forskningsservice, sidstnævnte ved at sende en e-mail til FSEHjemtag@dst.dk med følgende:
- Din ident og autorisationsnummeret på den institution, du er tilknyttet
- Evt. projektnummer
- En beskrivelse af bruddet eller hvor du mistænker et brud
- Dato og tidspunkt for bruddet
Hvis bruddet involverer filer, for eksempel filer du har hjemtaget, billedfiler på din computer, i din mailboks eller lignende, skal du straks slette dem fra din PC, DDV, mailbakker mv. og informere om dette i din e-mail til Forskningsservice.
Danmarks Statistiks sanktionsregler
Hvis der sker brud på Danmarks Statistiks regler for hjemtagelse og datasikkerhed, har Danmarks Statistik mulighed for at sanktionere brugere og i værste fald hele institutioner. Danmarks Statistiks sanktionsregler træder i kraft, hvis:
- En bruger overtræder reglerne for arbejdet med mikrodata på Danmarks Statistiks forskermaskiner, for eksempel ved at tage et skærmbillede eller afskrive fra forskermaskinen, eller
- En bruger har hjemtaget data med mikrodata for eksempel hjemtaget en fil med pseudynomiseret nøglevariable fra BOPIKOM
Bemærk: En enkeltstående overtrædelse af diskretionsreglerne vil ikke medføre sanktioner. Ved gentagne overtrædelser kan det dog føre til sanktioner for institutionen.
Sanktioner ved brud – Vurdering af alvor og omfang
Det er Danmarks Statistik, der træffer afgørelse om en sanktion. Afsættet er et skel mellem milde og alvorlige brud:
- Milde brud: Ubetænksom handling eller uheld – for eksempel identifikation ved fejlsøgning
- Alvorlige brud: Bevidst handling – for eksempel bevidst forsøg på at identificere individer eller virksomheder i data
Det er Danmarks Statistik, der vurderer, om et brud skal betegnes som mildt eller alvorligt. I vurderingen af et bruds alvorlighed indgår følgende overvejelser:
- Er der tale om en ubetænksom eller bevidst handling?
- Har brugeren selv opdaget bruddet, og i så fald opfyldt sin underretningspligt?
- Ved hjemtagning: Hvor stor en mængde mikrodata har brugeren hjemtaget?
- Ved hjemtagning: Er hjemtagsværktøjet i DDV brugt til hjemtagelsen, og i så fald, har brugeren ignoreret hjemtagsmodulets advarsel?
Ved enkeltstående, milde brud vil sanktionen ramme brugeren og projektet, hvor bruddet er sket. Det betyder, at projektet, hvor bruddet fandt sted, midlertidigt lukkes for alle og brugerens adgang midlertidigt lukkes, så denne ikke kan tilgå sine projekter. Ved alvorlige eller gentagne brud, dvs. hvor der tidligere er registreret brud på institutionsnummeret, vil sanktionerne være strengere. Se oversigten over sanktioner nedenfor.
Bemærk: Hvis Danmarks Statistik tidligere har registreret brud for en institution, vil brud, der er mere end 2 år gamle, ikke tages i betragtning. Det betyder, at det nye brud vil blive behandlet som et førstegangsbrud.
Oversigt over sanktioner
Sanktionsystem for forskningsordningen
|
Sanktion mod bruger og projekt: |
Sanktion mod institution: |
|||
| Forekomst | 1. gang | 2. gang inden for 2 år |
3. gang inden for 2 år |
4. gang inden for 2 år |
|
Mildt brud |
Frem til redegørelse kan godkendes* |
1 mdrs. karantæne* |
3 mdrs. karantæne* |
Konkret |
|
Alvorligt brud |
3 mdrs. karantæne* |
3 mdrs. karantæne* |
6 mdrs. karantæne* |
Konkret evaluering af institutionens autorisations-aftale, samt mulighed for at opsige autorisations-aftale* |
Sanktionssystem for myndighedsordningen
|
Sanktion mod bruger: |
Sanktion mod ordning: |
|||
| Forekomst | 1. gang | 2. gang inden for 2 år |
3. gang inden for 2 år |
4. gang inden for 2 år |
|
Mildt brud |
Frem til redegørelse kan godkendes* |
1 mdrs. karantæne |
1 mdrs. karantæne |
Konkret vurdering |
|
Alvorligt brud |
3 mdrs. karantæne |
3 mdrs. karantæne |
3 mdrs. karantæne |
6 mdrs. karantæne |
* Når Danmarks Statistik konstaterer et brud, der falder ind under sanktionsreglerne, vil brugeren og det projekt, hvor bruddet har fundet sted, blive midlertidigt suspenderet, indtil Danmarks Statistik har behandlet sagen og truffet en afgørelse. Dette gælder uanset, om der er tale om et enkeltstående eller gentagne brud inden for 2 år.
Danmarks Statistiks afgørelse træffes på baggrund af en redegørelse og en plan, som den institution, brugeren er tilknyttet, skal forelægge for Danmarks Statistik. Behandlingen af sagen påbegyndes først i Danmarks Statistik, når en tilstrækkelig redegørelse og plan er modtaget. Det er Danmarks Statistik, der vurderer, om en institutions redegørelse og plan er tilstrækkelig eller skal omgøres.
Du kan læse mere om Danmarks Statistiks sagsbehandling samt de krav, der stilles til redegørelsen og planen under ”Sagsbehandling ved regelbrud i Danmarks statistik - vejledning”.
Når Danmarks Statistik modtager en underretning eller selv konstaterer, at en bruger har overtrådt Danmarks Statistiks datasikkerheds- og hjemtagsregler, vil den pågældende bruger og det projekt, hvor bruddet er sket, blive midlertidigt suspenderet. Suspensionen varer, indtil Danmarks Statistik har modtaget en tilstrækkelig redegørelse for hændelsesforløbet og plan for at forhindre lignende brud i fremtiden, og sagen er blevet behandlet og afgjort af Danmarks Statistik.
Sagsbehandlingen trin-for-trin
Processen foregår i følgende trin:
- Trin: Orientering og krav om redegørelse og plan
Når Forskningsservice modtager en underretning eller selv konstaterer, at en bruger har overtrådt Danmarks Statistiks regler, vil den pågældende bruger og den autorisationsansvarlige, tilknyttet institutionen, blive orienteret pr. mail.
Forskningsservice orienterer om datoen for suspensionen af projektet og pågældende bruger samt anmode om en tilstrækkelig redegørelse for hændelsen og bruddets omfang, samt en tilstrækkelig plan for at undgå lignende brud i fremtiden. Både redegørelsen og planen skal udfyldes i den standardskabelon som udleveres af Forskningsservice.
Det er den autorisationsansvarlige på institutionen, der har ansvaret for, at redegørelsen og planen udarbejdes og sendes til Forskningsservice.
Redegørelse og plan – krav om ”tilstrækkelighed”
Med kravet om tilstrækkelighed efterspørger Forskningsservice en tilstrækkelig redegørelse for hændelsesforløbet og bruddets omfang. Med en tilstrækkelig plan menes en redegørelse og eventuel dokumentation for passende tekniske, organisatoriske og/eller personalemæssige foranstaltninger, institutionen har implementeret i lyset af bruddet. Planen kan bl.a. bestå af: - En kort redegørelse for institutionens nuværende regler og praksis, som er relevante for sagen
- En redegørelse for, hvad institutionen har gjort i forbindelse med bruddet, for eksempel hvilke konsekvenser det har haft for bruger
- En plan for, hvad institutionen vil gøre for at forebygge lignende brud i fremtiden
- Har den autorisationsansvarlige afholdt møde med relevante nøglepersoner i institutionen om bruddet? (Angiv: Hvem? Hvornår? Hvilke forslag/ beslutninger blev vedtaget?). Vedhæft evt. beslutningsreferat.
- Har den autorisationsansvarlige indstillet forslag eller løsningsforslag til et relevant udvalg, direktionen, bestyrelsen eller lignende? (Angiv: Hvem? Hvornår? Hvad er/var på dagsordenen? Hvad blev besluttet?). Vedhæft evt. dagsorden og/eller beslutningsreferat.
- Har man på institutionen besluttet at styrke for eksempel kommunikationen, undervisningsmaterialer, kodeks for adfærd eller lignende? (Hvad? Hvordan? Hvornår? Hvem er målgruppen?).
- Har institutionen vedtaget eller gjort andet for at forebygge lignende brud i fremtiden? (Hvad? Hvordan? Hvornår? Hvem er målgruppen?).
- Trin: Sagsbehandling i Danmarks Statistik
Når Danmarks Statistik vurderer, at en tilstrækkelig redegørelse og plan er modtaget, vil Forskningsservice forberede sagen til Danmarks Statistiks Direktion og Rigsstatistiker. Sagsbehandlingen forventes at tage cirka 8 arbejdsdage fra modtagelsen af den tilstrækkelige redegørelse til afgørelsen sendes. - Trin: Afgørelse
Når Danmarks Statistik har truffet afgørelse i sagen, modtager den autorisationsansvarlige et afgørelsesbrev fra Danmarks Statistik pr. mail. Brevet indeholder den endelige afgørelse fra Danmarks Statistiks Rigsstatistiker, herunder begrundelsen for afgørelsen samt information om, hvorvidt den midlertidige suspension af projektet og brugeren ophæves, eller om der lægges yderligere sanktioner på brugeren eller institutionen.
Det er vigtigt, at der ikke fremsættes hensigtserklæringer. Det betyder, at institutionen skal redegøre for de indsatser, der allerede er gennemført eller vil blive gennemført, samt beskrive den proces, der ligger bag. Eksempler kunne være:
Hvis Forskningsservice vurderer, at redegørelsen, planen eller begge er utilstrækkelige, vil Danmarks Statistik orientere herom og anmode om en ny.