Social-, Indenrigs- og Børneudvalget 2016-17
L 136
Offentligt
1760590_0001.png
Økonomi- og Indenrigsministeriet
Slotsholmsgade 10-12
1216 København K
Sendt til:
[email protected]
Kopi til:
[email protected]
og
[email protected]
22. maj 2017
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
[email protected]
www.datatilsynet.dk
J.nr. 2017-112-0698
Dok.nr. 430062
Sagsbehandler
Signe Vestergård Abild-
skov
Direkte 3319 3212
Vedrørende Økonomi- og Indenrigsministeriets sagsnr.: 2017-2278
Ved e-mail af 18. maj 2017 har Økonomi- og Indenrigsministeriet sendt æn-
dringsforslag til forslag til lov om ændring af lov om et analyse- og forsk-
ningsinstitut for kommuner og regioner (Oprettelse af Det Nationale Forsk-
nings- og Analysecenter for Velfærd) (L136) til Datatilsynet sammen med
spørgsmål nr. 25 fra Folketingets Social-, Indenrigs- og Børneudvalg. Mini-
steriet har anmodet om at modtage en udtalelse fra Datatilsynet senest den 22.
maj 2017.
Det fremgår af spørgsmålet fra Social-, Indenrigs- og Børneudvalget, at æn-
dringsforslaget er udarbejdet af Økonomi- og Indenrigsministeriet med fagli-
ge input fra Sundheds- og Ældreministeriet, og at det også har været i høring
ved Beskæftigelsesministeriet, Finansministeriet og Børne- og Socialministe-
riet. Datatilsynet ses ikke at være hørt over ændringsforslaget forud for frem-
sættelsen.
Datatilsynet kan på denne baggrund udtale følgende:
1.
Af ændringsforslagets nr. 2 fremgår, at der i § 11, stk. 5 i lov om apoteks-
virksomhed, indsættes følgende som 2. og 3. pkt.:
”Sundhedsdatastyrelsen
kan efter samme regler, som er fastsat i medfør af 1.
pkt., videregive de oplysninger fra Lægemiddelstatistikregisteret, som frem-
går af 1. pkt., til forskere, der er ansat ved Det Nationale Forsknings- og Ana-
lysecenter for Velfærd, Danmarks Statistik og Det Nationale Forskningscen-
ter for Arbejdsmiljø, til brug for statistiske eller videnskabelige undersøgelser
af væsentlig samfundsmæssig betydning, når videregivelsen er nødvendig af
hensyn til udførelsen af undersøgelserne. Sundhedsministeren kan fastsætte
nærmere regler herom.”
Det er Datatilsynets forståelse, at den personkreds, der kan få adgang til op-
lysninger fra Lægemiddelstatistikregisteret, dermed udvides.
Datatilsynet skal gøre opmærksom på persondatalovens § 10, stk. 3, hvorefter
oplysninger, der behandles udelukkende i videnskabeligt eller statistisk øje-
med, jf. § 10, stk. 1 og 2, kun må videregives til tredjemand
dvs. en ny data-
ansvarlig
efter forudgående tilladelse fra Datatilsynet.
L 136 - 2016-17 - Endeligt svar på spørgsmål 25: Spm., om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, til økonomi- og indenrigsministeren
1760590_0002.png
2
Sundhedsdatastyrelsen har i forbindelse med, at de har tilsluttet sig fællesan-
meldelsen ”Videnskabelige og statistiske undersøgelser hos statslige myndig-
heder”
modtaget en udtalelse fra Datatilsynet, som bl.a. indeholder en generel
tilladelse til videregivelse af personoplysninger til brug for undersøgelser i
statistisk eller videnskabeligt øjemed til dataansvarlige, der er etableret i
Danmark.
1
Tilladelsen er givet på vilkår, som Sundhedsdatastyrelsen har ansvaret for at
overholde. Herunder er det et vilkår, at modtageren af oplysningerne inden
videregivelsen skriftligt skal have bekræftet over for styrelsen, at oplysnin-
gerne alene vil blive brugt i statistisk eller videnskabeligt øjemed.
2.
Til Social-, Indenrigs- og Børneudvalgets spørgsmål om sikkerheden i for-
bindelse med videregivelse af personoplysninger kan Datatilsynet oplyse, at
det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de
fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at op-
lysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt
behandles i strid med loven.
Når personoplysningerne behandles for den offentlige forvaltning, skal der
endvidere iværksættes sikkerhedsforanstaltninger i overensstemmelse med
Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (sikkerhedsbe-
kendtgørelsen).
Det følger af § 14 i denne bekendtgørelse, at der kun må etableres eksterne
kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at
sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til
personoplysninger. Af Datatilsynets vejledning
2
til bekendtgørelsen fremgår
herom bl.a.:
”For
transmission af personoplysninger over
åbne net
(f.eks. Internet) gælder
konkret nedenstående minimumskrav om sikkerhedsforanstaltninger:
Ved transmission af oplysninger over det åbne Internet er der generelt en ri-
siko for, at oplysningerne undervejs læses og endog ændres af uvedkommen-
de. Derudover er der en risiko for, at parterne i kommunikationen ikke er
dem, de udgiver sig for.
Disse risici må vurderes af den dataansvarlige i den konkrete situation, såle-
des at der kan træffes de fornødne sikkerhedsforanstaltninger.
1
2
Datatilsynets j.nr. 2016-57-0144
Vejledning nr. 37 af 02. april 2001til bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den of-
fentlige forvaltning (sikkerhedsvejledningen)
L 136 - 2016-17 - Endeligt svar på spørgsmål 25: Spm., om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, til økonomi- og indenrigsministeren
1760590_0003.png
3
Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de
transmitterede oplysninger. Hvis der er tale om transmission af fortrolige op-
lysninger, herunder personnummer, skal der som minimum foretages en
kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfat-
tet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal der anvendes en stærk
kryptering,
baseret på en anerkendt algoritme.”
For så vidt angår sikkerhed ved behandling af oplysninger efter den 25. maj
2018, hvor databeskyttelsesforordningen
3
finder anvendelse, kan Datatilsynet
særligt henlede opmærksomheden på forordningens artikel 25 (om databe-
skyttelse gennem design og standardindstillinger) og artikel 32 (om sikker-
hed).
3.
I forhold til bemyndigelsesbestemmelsen i den foreslåede § 11, stk. 5, i lov
om apoteksvirksomhed, hvorefter Sundhedsministeren kan fastsætte nærmere
regler, skal Datatilsynet for god ordens skyld henlede opmærksomheden på
persondatalovens § 57. Det følger heraf, at der skal indhentes en udtalelse fra
Datatilsynet i forbindelse med udfærdigelse af bekendtgørelser, cirkulærer
eller lignende generelle retsforskrifter, der har betydning for beskyttelse af
privatlivet i forbindelse med behandling af oplysninger.
Kopi af dette brev er sendt til Sundheds- og Ældreministeriet samt til Justits-
ministeriet, Lovafdelingen, til orientering.
Med venlig hilsen
Helle Ginnerup-Nielsen
Specialkonsulent
3
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger og om ophævelse af direktiv 95/46/EF