Sundheds- og Ældreudvalget 2016-17
SUU Alm.del Bilag 5
Offentligt
København, den 4. oktober 2016.
TIL SUNDHEDS- OG ÆLDREUDVALGET (SUU)
Patientdataforeningen tillader endnu engang at henvende sig angående det
såkaldte ”Sygdomsbyrdestudie”. Det var som bekendt personfølsomme data
beregnet til brug i Sygdomsbyrdestudiet, som var indholdet på de to ukrypterede
CDer, der i 2015 blev fejlafleveret til en kinesisk virksomhed.
I Patientdataforeningen er vi, som tidligere omtalt, bekymrede vedrørende flere
aspekter af overholdelse af lovgivningen omkring persondatasikkerhed i forhold
til Sygdomsbyrdestudiet. Vi præciserer disse nedenfor, og håber at SUU vil
forholde sig til nedenstående spørgsmål, som vores bekymringer rejser:
(1)
Hvordan kan man sikre, også mere generelt, at der sker en konkret og
saglig vurdering af om forskning er af væsentlig samfundsmæssig
betydning, når data udleveres efter undtagelsen i §10 i Persondataloven,
og at væsentlighedsvurderingen kan dokumenteres senere?
(2)
Hvordan sikres det at ånden i Persondataloven revitaliseres, således at
personfølsomme helbredsoplysninger, som absolut hovedregel, kun deles
og behandles efter samtykke? (for eksempel i form af metasamtykke som
foreslået af Etisk Råd)
(3)
Hvordan sikrer man, også mere generelt for andre projekter og registre,
at data slettes i henhold til Persondataloven, når det saglige formål med
databehandling ophører?
MANGLENDE DOKUMENTATION AF VÆSENTLIGHED
Når personfølsomme helbredsdata behandles og deles i Danmark er
hovedprincippet i Persondataloven at der skal foreligge samtykke. Oftest sker
deling og behandling dog uden samtykke.
Hjemlen til at videregive data til forskningsformål, uden samtykke, følger af
undtagelsen i persondatalovens § 10, hvorefter personfølsomme data kan
anvendes til at udføre statistiske eller videnskabelige undersøgelser af væsentlig
samfundsmæssig betydning. Brugen af undtagelsen i §10 fordrer naturligvis, at
der er foretaget en vurdering af, om den konkrete forskning er af væsentlig
samfundsmæssig betydning.
Patientdataforeningen har søgt aktindsigt hos Sundhedsdatastyrelsen (SDS)
vedrørende ”Sygdomsbyrden i Danmark - udvalgte risikofaktorer og sygdomme
med fokus på social ulighed". Vi har søgt indsigt i alle dokumenter, som
vedrører den væsentlighedsvurdering, der angiveligt blev lavet inden
udlevering af data til ovennævnte projekt, og kan på den baggrund konstatere,
SUU, Alm.del - 2016-17 - Bilag 5: Henvendelse af 4/10-16 fra Patientdataforeningen vedr. persondatasikkerhed i forhold til Sygdomsbyrdestudiet
at der ikke findes dokumenter, der kan dokumentere
væsentlighedsvurderingen. SDS skriver:
”Vi forstår din anmodning om aktindsigt således, at du ønsker
aktindsigt i de dokumenter, der omhandler SDS' Forskerservices
vurdering af, om projektet opfyldte persondatalovens § 10, hvoraf det
fremgår, at behandling af følsomme oplysninger efter denne
bestemmelse kræver, at formålet med behandlingen er at udføre
statistiske eller videnskabelige undersøgelser af væsentlig
samfundsmæssig betydning.
Det følger af offentlighedslovens § 7, at enhver som udgangspunkt kan
forlange at blive gjort bekendt med dokumenter, der er indgået til
eller oprettet af en myndighed m.v. som led i administrativ
sagsbehandling i forbindelse med dens virksomhed.
Vi har undersøgt vores journalsystemer i SDS. Vi har ikke identificeret
nogle dokumenter, der er omfattet af din forespørgsel.” (1, 2).
BEVARING AF DATA FREM TIL 2029 UDEN SAGLIGT FORMÅL
Når personfølsomme data behandles, kræves det, at der er et sagligt formål.
Sygdomsbyrdestudiet er for indeværende ved at blive afsluttet. Alligevel fremgår
det af anmeldelse til Datatilsynet, at data kan bevares frem til 2029.
Af svar på SUU spørgsmål 829 fremgår det:
”Det er den dataansvarlige forsker der angiver, hvornår de enkelte
forskningsprojekter skal slettes i Danmarks Statistiks Forskningsservice. I
det konkrete tilfælde har forskeren, efter godkendelse fra Datatilsynet,
besluttet at forskningsprojektet slettes i 2029. Danmarks Statistik er
databehandler og handler derfor alene på instruks fra den
dataansvarlige.”
Det betyder at der ikke er nogen kontrol med om data behandles efter at det
saglige formål med behandlingen ophører. Den dataansvarlige bestemmer altså i
realiteten selv hvor længe data kan bevares.
Morten Grønbæk fra Statens Institut for Folkesundhed ved SDU har på
Radio24syv udtalt at han godt kan se at det er lang tid at beholde data frem til
2029. Han gav ligeledes udtryk for at det kunne give mening at bevare data i 3-5
år for at kunne rette eventuelle fejl i Sygdomsbyrdestudiet.
MVH
Formand for Patientdataforeningen, Thomas Birk Kristiansen
SUU, Alm.del - 2016-17 - Bilag 5: Henvendelse af 4/10-16 fra Patientdataforeningen vedr. persondatasikkerhed i forhold til Sygdomsbyrdestudiet
1673040_0003.png
REFERENCER
1. Bilag 1: ”Scanned-from-a-Xerox-Multifunction-Printer.pdf” er vedhæftet
og kan også genfindes på dette link:
https://www.dropbox.com/s/8z3hmttqx7ulqax/Scanned-from-a-Xerox-
Multifunction-Printer.pdf?dl=0
2. Bilag 2: ”FSEID-1141-Samlet-pakke-med-aktliste-akt-2-3-19-20-
faktura.pdf” er vedhæftet og kan også genfindes på dette link:
https://www.dropbox.com/s/30py1velpqo6v1m/FSEID%201141%20-
%20Samlet%20pakke%20med%20aktliste%20-%20akt%202%20-
%203%20-%2019%20-%2020%20-%20faktura.pdf?dl=0