Retsudvalget 2016-17
REU Alm.del Bilag 369
Offentligt
1782749_0001.png
Patientdataforeningen, 20. august 2017.
Til Retsudvalget
Angående: Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer
i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
(databeskyttelsesloven).
Patientdataforeningen tillader sig hermed at indsende høringssvar uden at være på den offentlige
høringsliste. Det gør vi grundet den omfattende betydning lovforslaget, hvis det vedtages, vil få for den
danske befolkning og retten til beskyttelse af helt private og intime persondata.
Databeskyttelsesloven kan ses som en dansk fortolkning af EU Persondataforordningen, og er beregnet til
at eksistere parallelt med Forordningen. Patientdataforening finder suppleringsloven alt for vidtgående og,
trods den fine titel, stort set i direkte modstrid med det oprindelige formål med Persondataforordningen.
Men kan sat på spidsen sige, at danskerne med Databeskyttelsesloven vil blive noget nær retsløse på
persondataområdet
Baggrund og perspektiv
Danmarks tilgang til tvungen dataregistrering og deling af følsomme persondata uden samtykke er forældet
og udemokratisk, og lande som Estland giver nu Danmark baghjul (1). Danmark har i snart mange år, i et
utvivlsomt velment forsøg på at gøre Danmark attraktiv for medicinalvirksomheder og førende indenfor
registerforskning, i høj grad tilsidesat borgernes ret til privatlivsbeskyttelse, i sådan en grad at man
tilsyneladende ikke har bemærket, at der i stigende grad internationalt er fokus på nye og tidssvarende
løsninger i forbindelse med digitalisering af persondata.
Lande som Estland har til gengæld længe været i front med implementering af nye borgernære løsninger
for datadeling, omend esterne med deres block-chain løsning ikke er helt i mål med privacy-by-design (2). I
forhold til infrastruktur og demografi ligner Estland og Danmark hinanden. Men i Danmark er vi netop nu
ved at vedtage en Databeskyttelseslov, der gør at vi lynhurtigt vil sakke bagud. Vi har altså med stor
sandsynlighed tabt det digitale kapløb, inden det rigtigt kom i gang.
I stedet burde vi være visionære og udnytte særlige danske styrker. I Danmark har vi 50 års erfaring med
offentlig dataindsamling, en befolkning som har stor tillid til dataindsamling og endnu ikke har udviklet den
helt store aversion mod ”big-brother”, et moderne digitaliseret sundhedsvæsen og en stærk
medicinalindustri. Danmark har derfor alle muligheder for lynsnart, at lægge sig forrest når det gælder brug af
følsomme persondata og sundhedsdata især. Men det kræver at vi forlader et forældet princip om
registreringstvang.
Lægeforeningen har modigt tiltrådt Taipei deklarationen (3) om moderne håndtering af sundhedsdata og
biomateriale. Det er i deklarationen et hovedprincip, at patienternes værdighed, autonomi og privatliv bedst
beskyttes ved at inddrage patienterne i beslutning om brug af deres sundhedsdata. Taipei-deklarationen
åbner i modsætning til den danske suppleringslov ikke op for, at myndighederne kan udhule og ophæve de
grundlæggende patientrettigheder om inddragelse og selvbestemmelse. Det er Patientdataforeningens store
bekymring at Folketinget med suppleringsloven er ved at skrive Danmark ud af en international
forskningstradition.
Danske forskere vil fremover risikere ikke at kunne dokumentere, at de overholder Taipei Deklarationens
grundlæggede rettigheder, hvorfor dansk forskning i andre lande vil blive betragtes som uetisk og fremover
ikke vil kunne publiceres internationalt. Der er allerede i dag i international sammenhæng samtykkebaserede
Side 1 af 4
REU, Alm.del - 2016-17 - Bilag 369: Henvendelse af 20/8-17 fra Patientdataforeningen vedr. Databeskyttelsesloven
1782749_0002.png
Patientdataforeningen, 20. august 2017.
forskningsdatabaser med mere end 5 millioner registrerede, som udsætter de danske registre for betydelig
etisk konkurrence.
Overordnede kommentarer til den foreslåede suppleringslov
1. Kompliceret og uanvendelig
Lovforslag er meget langt og kompliceret og breder sig over 324 sider. Det er et indlysende
problem, fordi mange helt almindelige borgere skal kunne forholde sig til loven. Ved at inddrage
324 sider får man i den danske suppleringslov plads til at udnytte hele Forordningens elasticitet
udelukkende med det formål at udvande privatlivsbeskyttelsen.
2. Manglende samtykke og beskyttelse af privatliv
Forordningen tillader ikke behandling af følsomme personoplysninger, med mindre der foreligger
et samtykke, eller data er omfattet af nogle konkrete undtagelser. Det fremgår af Forordningens
artikel 9. Det er samtidig klart, at forordningen ikke kun tillader, men også tilskynder til, at man i
national lovgivning indbygger retsgarantier, der beskytter den enkelte borger. Samtykke giver en
langt stærkere borgerbeskyttelse end de andre undtagelser.
Hver gang man lader et område for persondatabehandling regulere af andre undtagelser end
samtykke, så bevæger man sig væk fra borgernes ret til selvbestemmelse og beskyttelse af
privatlivet. I Danmark har vi over 100 sundhedsregistre, som tilsammen duplikerer indholdet af
borgernes patientjournal. Der er for langt størstedelen af registrene tvang når det gælder
indberetning, idet hverken fagpersoner eller patienter kan modsætte sig indberetning.
Når data først ligger i et register kan data i personhenførbar form deles videre. Man kunne med
Databeskyttelsesloven have valgt at regulere datatrafikken med samtykke. I stedet har man valgt at
regulere vha. en konkret undtagelse. Derved ophører retten til privatliv og selvbestemmelse. I
demokratiske lande vi normalt sammenligner os med findes registreringstvang ikke. Her tillader
man samtykke inden brug af behandlingsdata til sekundære formål så som forskning.
Med den nye EU Persondataforordning og den danske Databeskyttelseslov havde der været en
oplagt mulighed for at sikre danske borgere den demokratiske ret til selvbestemmelse, men igen
vælger vi i Danmark forældet og paternalistisk registreringstvang. De øvrige EU-lande vil næppe
kunne spejle sig i den danske suppleringslov, som understreger den danske enegang, når det
gælder manglende demokratisk selvbestemmelse over persondata. Det grundlæggende spørgsmål
er derfor, hvorfor skal danske borgere stilles dårligere end borgere i andre demokratiske lande?
3. Principper for dataminimering, privacy-by-design og privacy-by-default er elastik i metermål
Principperne, der sikrer dataminimering, privacy-by-default og privacy-by-design, bør defineres og
stadfæstes detaljeret og tydeligt i Databeskyttelsesloven, ellers bliver de, især i forhold til
dataansvarliges egen risikovurdering, alt for elastiske og giver ingen reel beskyttelse for borgerne.
På disse områder fremstår suppleringsloven ufærdig.
Der har i dansk lovgivningen været en årelang og beklagelig tradition for at udelade tekniske krav til
at behandle personoplysninger, der bedst sikre privatlivsbeskyttelse. Det har været en sovepude
Side 2 af 4
REU, Alm.del - 2016-17 - Bilag 369: Henvendelse af 20/8-17 fra Patientdataforeningen vedr. Databeskyttelsesloven
1782749_0003.png
Patientdataforeningen, 20. august 2017.
for myndighederne, som i deres systemudvikling har undladt at tænke i beskyttelse af borgernes
integritet. Konsekvenserne har været at telefonmedarbejdere i sygehusets reception, ansatte
lærere og socialrådgivere har haft adgang til patientjournalerne på lige fod med det
sundhedsfaglige personale, og at adgang til logning i de fleste sammenhænge ikke har været mulig.
4.
Offentlige myndigheder sættes over loven
Det fremgår af lovforslagets § 41, stk. 5, at afklaring i forhold til sanktioner for offentlige
myndigheder udestår. Er der ikke risiko for sanktion for offentlige myndigheder forstærkes
problemerne i forhold til den i forvejen ret ekstreme danske fortolkning af Forordningen, og det
offentligt kan i realiteten lade persondata sejle.
Konkrete bemærkninger i relation til paragraffer
5. Formålsskred
Der er som nyt i §5 i forslag til suppleringslov åbnet op for, at myndighederne, i administrativt
fastsatte regler, selv kan sætte rammerne for hvornår oplysninger indsamlet til behandling kan
viderebehandles til andre formål.
Det gør at problemerne om at overholde det såkaldte finalité-princip – princippet om
formålsbestemthed – i dansk retspraksis forværres. Det har gennem en årrække været en uskik i
Danmark først at indsamle data med et formål for siden at udvide formålet til noget helt andet. Det
så man blandt andet i forbindelse med den ulovlige DAMD database, hvor et af problemerne var et
formålsskred. I en rapport fra SSI dokumenteredes det, at alle centrale aktører og myndigheder var
bekendt med, at oplysninger ulovligt blev behandlet til andre formål end de oprindelige og
fortsatte uagtet det massive misbrug af danskernes helbredsoplysninger. En sådan praksis kan nu
lovliggøres med en administrativ bekendtgørelse. Patientdataforeningen skal minde om, at mere
end 30.000 danskere aktivt bad om at blive slettet fra databasen.
Formålsfordrejning umuliggør gennemsigtighed, for hvordan skal borgerne kunne informeres om
formålet med indsamling af data hvis formålet siden ændres? Muligheden for formålsskred
formaliseres nu og endda så det kan reguleres rent administrativt. Det åbner for uhørte
frihedsgrader for at samkøre data, hvor der tidligere var helt vandtætte skotter. I realiteten er
Danmark, når det gælder persondata, reduceret til et teknokrati.
6. Kontrolformål
Der er som nyt i §6 og §9 i forslag til suppleringslov åbnet op for, at myndighederne kan samkøre
og sidestille oplysninger om borgernes private, økonomiske, sociale og helbredsmæssige forhold til
brug for kontrolformål. Det kan i modsætning til hvad, der gælder i dag ske uden udtrykkelig
hjemmel i lov, uden patienten informeres og uden Datatilsynets godkendelse. Suppleringsloven
åbner derved op for vidtgående samkøring af oplysninger, samtidig med at det er op til
myndighederne selv at afgøre, hvad der skal kontrolleres og hvordan.
7. Samfundsmæssig interesse
Der er som noget nyt i suppleringslovens §9 foreslået, at myndighederne kan behandle og dele
oplysninger af hensyn til væsentlige samfundsmæssige interesser. Det er som noget nyt
Side 3 af 4
REU, Alm.del - 2016-17 - Bilag 369: Henvendelse af 20/8-17 fra Patientdataforeningen vedr. Databeskyttelsesloven
1782749_0004.png
Patientdataforeningen, 20. august 2017.
myndigheden selv, der afgør, om deres eget formål har en væsentlige samfundsmæssig interesse,
og der er heller ikke her krav om udtrykkelig hjemmel i lov, oplysningspligt eller forudgående
godkendelse fra Datatilsynet. De særlige indtagelser gælder kun for offentlige myndigheder. Det er
patientdataforeningens opfattelse, at suppleringsloven gør urimelig forskel på private
virksomheder og offentlige myndigheder, og der er endelig patientdataforeningens opfattelse, at
kravene om noget bør være skærpet for offentlige myndigheder, der er de suverænt største data-
behandlere og de databehandlere med flest sager om misbrug af oplysninger.
MVH
Formand for Patientdataforeningen, Thomas Birk Kristiansen (Repræsenterer ca. 100 læger og 1000
patienter)
Referencer
1)
http://pwc.blogs.com/health_matters/2017/03/estonia-prescribes-blockchain-for-healthcare-data-
security.html
2)
https://www.corda.net/2017/02/corda-way-thinking/
3)
https://www.wma.net/policies-post/wma-declaration-of-taipei-on-ethical-considerations-
regarding-health-databases-and-biobanks/
Side 4 af 4