Datatilsynet anser att det finns skäl att framföra kritik mot att Region Syddanmark, när det gäller personuppgiftsbiträdesavtal för ett forskningsprojekt och personuppgiftsbiträdesavtal med en av personuppgiftsbiträdena för ett annat forskningsprojekt, inte har visat att beslut fattats om kontrollnivån och att regionens riktlinjer för att fastställa kontrollnivån i det sammanhanget har följts.
Av beslutet framgår att Datatilsynet genomfört en skriftlig granskning av Region Syddanmark med fokus på behandlingen av personuppgifter inom forskningsområdet. Som en del av granskningen fick Datatilsynet bland annat en förteckning över pågående forskningsprojekt vid Region Syddanmark, en mer allmän förteckning över behandlingsverksamheter inom forskningsområdet i regionen samt regionens riktlinjer för personuppgiftsbiträdesavtal och kontroll av personuppgiftsbiträden. Datatilsynet valde ut tre forskningsprojekt som föremål för tillsynen inom områdena behandlingsgrund och ansvar och roller.
Datatilsynet fann ingen anledning att överpröva Region Syddanmarks bedömning av grunden för behandlingen av personuppgifter i de tre projekten. Datatilsynet kritiserade dock det faktum att regionen inte visat att den, i samband med två avtal om personuppgiftsbiträden, tagit ställning till på vilken nivå regionen, i egenskap av personuppgiftsansvarig, skulle kontrollera sina personuppgiftsbiträden. I detta sammanhang har Region Syddanmark enligt Datatilsynet inte heller lyckats visa att dess riktlinjer för kontroll av personuppgiftsbiträden följts.