København den 18. august 2017.
Henvendelse om Databeskyttelsesloven
Det med stor bekymring at Patientdataforeningen skriver til Retsudvalget vedrørende
Forslag til
lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse
med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
(databeskyttelsesloven) (1).
Databeskyttelsesloven kan ses som en dansk fortolkning af EU Persondataforordningen, og er
beregnet til at eksistere parallelt med Forordningen. Overordnet kan man sige, at man med
Databeskyttelsesloven til fulde udnytter alle Forordningens muligheder for datadeling uden
samtykke i sin mest ekstreme udfoldelse. Modsatrettet kunne man have valgt at modernisere den
danske praksis ved i stedet at udnytte Forordningens potentiale for anstændig datadeling hvor
borgernes ret til selvbestemmelse og privatliv respekteres.
Ånden i EU Persondataforordningen er ganske klar, og principperne for databehandling af
personhenførbare data kan formuleres kort: Databehandling af følsomme personoplysninger er
ulovlig, medmindre der foreligger et samtykke eller en af de helt særlige undtagelsesregler i
forordningen er opfyldt. Det er særligt, når der behandles følsomme oplysninger helt afgørende,
at oplysningerne behandles med en udtalt grad af sikkerhed og gennemsigtighed. Meningen med
Persondataforordningen er at sikre borgerne beskyttelse i forhold til utidig behandling af
følsomme persondata. Det kan blandt andet sikres ved i dansk lovgivning at udnytte mulighederne
for at fastsætte klare regler, der i langt højere grad forpligter myndighederne til at inddrage
patienter i beslutninger om hvem der har adgang til deres oplysninger og at give borgerne ret til
gennemsigtighed i hvem, der behandler oplysninger og til hvilke formål.
Den danske fortolkning er dog alt andet end simpel og klar. Den består i stedet af over 300 siders
kompleks lovtekst og er i praksis nærmest i modstrid med det formål, der var tiltænkt
forordningen. Det kan lade sig gøre, fordi teksten i Forordningen giver mulighed for en række
undtagelser og nationale fortolkninger. Ved at inddrage over 300 sider får man i den danske
fortolkning rum til at udnytte al elasticitet udelukkende med det formål at udvande
privatlivsbeskyttelsen. Patienter er med den danske fortolkning af Forordningen retsløse. Der er i
dansk lovgivning indført adskillige underretningspligter og det gælder særligt sundhedsområdet
hvor patienter tvinges ud i et valg mellem at underkaste sig registreringstvang eller fravælge
behandling.
EU Persondataforordning er direkte gældende for enhver, også for den enkelte borger. I en digital
tid hvor omgang med følsomme personoplysninger bliver tiltagende almindeligt er det grænsende
til det uanstændige at regulere databehandlingen ved hjælp af over 300 siders kompliceret
lovtekst. Det betyder, at teksten i praksis er ubrugelig for det store flertal af danskere, inklusiv
dem, der arbejde med IT og persondata.