Retsudvalget 2016-17
REU Alm.del Bilag 368
Offentligt
København den 18. august 2017.
Henvendelse om Databeskyttelsesloven
Det med stor bekymring at Patientdataforeningen skriver til Retsudvalget vedrørende
Forslag til
lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
(databeskyttelsesloven) (1).
Databeskyttelsesloven kan ses som en dansk fortolkning af EU Persondataforordningen, og er
beregnet til at eksistere parallelt med Forordningen. Overordnet kan man sige, at man med
Databeskyttelsesloven til fulde udnytter alle Forordningens muligheder for datadeling uden
samtykke i sin mest ekstreme udfoldelse. Modsatrettet kunne man have valgt at modernisere den
danske praksis ved i stedet at udnytte Forordningens potentiale for anstændig datadeling hvor
borgernes ret til selvbestemmelse og privatliv respekteres.
Ånden i EU Persondataforordningen er ganske klar, og principperne for databehandling af
personhenførbare data kan formuleres kort: Databehandling af følsomme personoplysninger er
ulovlig, medmindre der foreligger et samtykke eller en af de helt særlige undtagelsesregler i
forordningen er opfyldt. Det er særligt, når der behandles følsomme oplysninger helt afgørende,
at oplysningerne behandles med en udtalt grad af sikkerhed og gennemsigtighed. Meningen med
Persondataforordningen er at sikre borgerne beskyttelse i forhold til utidig behandling af
følsomme persondata. Det kan blandt andet sikres ved i dansk lovgivning at udnytte mulighederne
for at fastsætte klare regler, der i langt højere grad forpligter myndighederne til at inddrage
patienter i beslutninger om hvem der har adgang til deres oplysninger og at give borgerne ret til
gennemsigtighed i hvem, der behandler oplysninger og til hvilke formål.
Den danske fortolkning er dog alt andet end simpel og klar. Den består i stedet af over 300 siders
kompleks lovtekst og er i praksis nærmest i modstrid med det formål, der var tiltænkt
forordningen. Det kan lade sig gøre, fordi teksten i Forordningen giver mulighed for en række
undtagelser og nationale fortolkninger. Ved at inddrage over 300 sider får man i den danske
fortolkning rum til at udnytte al elasticitet udelukkende med det formål at udvande
privatlivsbeskyttelsen. Patienter er med den danske fortolkning af Forordningen retsløse. Der er i
dansk lovgivning indført adskillige underretningspligter og det gælder særligt sundhedsområdet
hvor patienter tvinges ud i et valg mellem at underkaste sig registreringstvang eller fravælge
behandling.
EU Persondataforordning er direkte gældende for enhver, også for den enkelte borger. I en digital
tid hvor omgang med følsomme personoplysninger bliver tiltagende almindeligt er det grænsende
til det uanstændige at regulere databehandlingen ved hjælp af over 300 siders kompliceret
lovtekst. Det betyder, at teksten i praksis er ubrugelig for det store flertal af danskere, inklusiv
dem, der arbejde med IT og persondata.
REU, Alm.del - 2016-17 - Bilag 368: Henvendelse af 18/8-17 fra Patientdataforeningen vedr. Databeskyttelsesloven
1782746_0002.png
Derudover vil de øvrige EU-lande næppe kunne spejle sig i den danske fortolkning, som igen
understreger den danske enegang når det gælder registreringstvang og manglende demokratisk
selvbestemmelse over persondata. Spørgsmålet må være hvor længe denne danske enegang kan
gå, inden dansk registerforskning vil blive betegnet som uetisk og derfor uanvendelig. Såfremt
man i Danmark ikke ønsker at følge den internationale trend med at give borgerne samtykke i
forhold til brug af følsomme helbredsdata til forskning, bør man gennemtvinge en etisk vurdering
af alle forskningsprojekter, i forhold til om de reelt er af væsentlig samfundsmæssig betydning.
Når vi i Danmark udnytter alle muligheder for undtagelser for selvbestemmelse, bør der som
modvægt gælde helt klare retlige krav, for at sikre at principperne om
dataminimering, privacy-by-
design
og
privacy-by-default
overholdes stringent. Ellers er faren, at disse principper vil udvandes
og svækkes i administration. Databeskyttelsesloven mangler derfor en præcisering af disse
principper.
Som det ser ud lige nu, vil der ikke være sanktioner overfor offentlige myndigheder, der
overtræder databeskyttelsesloven. Det synes helt uforståeligt særligt i lyset af at det er offentlige
myndigheder, som har ressourcerne til at efterleve den komplicerede tekst, og fordi borgerne i
særdeleshed når det gælder offentlige myndigheder har en forventning om at loven overholdes.
Nu kommer der i realiteten til at være fri leg for det offentlige med danskernes følsomme
personoplysninger. Det kan for eksempel give store skævvridninger i et dansk sundhedsvæsen
hvor man både har private og offentlige aktører.
Den danske fortolkning af Forordningen åbner i vid udstrækning op for, at data kan indsamles med
et formål og siden bruges med at andet formål. Det strider mod det persondataretlige
finalité-
princip om formålsbestemthed. Det kan især give problemer hvis adskillelsen mellem somatiske,
psykiatriske og sociale data nedbrydes og samkøring tillades med alverdens formål såsom
behandling, administration og kontrol. Det hører sig ikke hjemme i et demokrati som det danske.
MVH
Thomas Birk Kristiansen, Formand for Patientdataforeningen
Repræsenterer ca. 100 læger og 900 patienter.
Reference
1)
http://prodstoragehoeringspo.blob.core.windows.net/a81f6ce8-956b-4f4b-9d94-
44411f0e615f/Forslag%20til%20lov%20om%20supplerende%20bestemmelser%20til%20forordnin
g%20om%20beskyttelse%20af%20fysiske%20personer%20i%20forbindelse%20med%20behandlin
g%20af%20personoplysninger%20og%20om%20fri%20udveksling%20af%20sådanne%20oplysning
er%20(databeskyttelseslo%20[DOK2365818].pdf