Sundheds- og Ældreudvalget 2018-19 (2. samling)
SUU Alm.del Bilag 89
Offentligt
2076640_0001.png
Sundheds- og Ældreministeriet
Att. Sundheds- og ældreminister Magnus Heunicke
16. september 2019
Nationalt Genom Center –
Privacy by design og dataminimering
Tak for dit brev
1
og din grundige besvarelse af vores spørgsmål
2
, hvor du indled-
ningsvist skriver, at Nationalt Genom Center ikke har eksisteret i årevis. For en
god ordens skyld så har DSAM heller ikke påstået dette. I nedenstående vil vi
gerne benytte lejligheden til i stedet at tale om de faktuelle emner tilknyttet cen-
teret.
DSAM har fulgt med i udmeldinger om centeret i flere år og har deltaget i hørin-
ger vedrørende lovgivningen om centeret siden efteråret 2017, hvor forberedel-
serne til centeret allerede havde stået på i nogen tid, hvilket bekræftes af direktør
i Nationalt Genom Center Peter Løngren i P1 Orientering den 17. juli 2019.
3
Af dit brev og af tidligere udmeldinger fra Sundhedsministeriet fremgår det, at
formålet med Nationalt Genom Center er at opbygge en fælles, landsdækkende
infrastruktur for at kunne tilbyde genetiske analyser. Det fremgår også af be-
mærkninger til loven
4
på side 35:
“Med begrebet fælles, landsdækkende informationsinfrastruktur skal forstås hen-
holdsvis en klinisk infrastruktur til brug for opbevaring af genetiske oplysninger og
oplysninger om helbredsmæssige forhold til behandlingsformål/kliniske formål, der
kan tilgås af sundhedspersoner, uanset hvor i landet patienten er i behandling, og
en forskningsinfrastruktur.”
Du skriver i dit brev, at du finder spørgsmålet om sikkerhed “
helt afgørende
”, og
at en del af baggrunden for oprettelsen af Nationalt Genom Center er at give mu-
lighed for at have en fælles, sikker teknologisk infrastruktur i Danmark, så sikker-
hed og løsninger er ensartede, uanset hvor i landet man bor og har behov for
behandling. DSAM har siden beslutningen om oprettelse af et genomcenter
adresseret spørgsmålet om sikkerhed, og hvilke aspekter begrebet sikkerhed i
denne sammenhæng bør indeholde, for at det giver mening at tale om data-
sikkerhed i moderne forstand og for at sikre, at vi taler om det samme, når vi
https://www.ft.dk/samling/20182/almdel/suu/spm/1/svar/1585261/2068283.pdf
https://www.ft.dk/samling/20182/almdel/suu/spm/1/svar/1585261/2068282.pdf
3
https://www.dr.dk/radio/p1/orientering/orientering-2019-07-17#!00:21:07
4
https://www.ft.dk/ripdf/samling/20171/lovforslag/l146/20171_l146_som_fremsat.pdf
1
2
Stockholmsgade 55, st.
2100 København Ø
T: 7070 7431
[email protected]
www.dsam.dk
 SUU, Alm.del - 2018-19 (2. samling) - Bilag 89: Henvendelse af 16/9-19 fra Dansk Selskab for Almen Medicin om Nationalt Genom Center
2076640_0002.png
Side 2 / 4
taler om sikkerhed.
Det vil vi gerne uddybe i nedenstående.
Med oprettelsen af Nationalt Genom Center har man desværre ikke sik-
ret, hvad vi vil betegne som én fælles infrastruktur for opbevaring af ge-
netiske oplysninger i Danmark. Det fremgår således af dit svar og af for-
arbejder til loven, at genetiske oplysninger fortsat vil blive opbevaret i
mange infrastrukturer.
Som nævnt fra forarbejdet ovenfor kan de samme genetiske oplysninger opbeva-
res både i en klinisk og i en forskningsinfrastruktur. På samme måde kan de
samme genetiske oplysninger, som vi forstår dit svar
1
, stadig opbevares både re-
gionalt i en journal og centralt i den kliniske infrastruktur i centeret. Og endelig
bevares en separat femte infrastruktur, hvor eksempelvis medicinalindustrien kan
opbevare deres egne genetiske oplysninger.
1
Derudover findes en helt sjette in-
frastruktur, hvor danske vævsprøver i forbindelse med forskning kan sendes til
udlandet, eksempelvis Island, hvor genetiske oplysninger også kan lagres
5
, og en
syvende infrastruktur, hvor genetiske oplysninger udledt før centerets oprettelse
kan opbevares. Der er altså langtfra tale om én fælles lagring med den sikring af
data, der følger deraf, men derimod tale om lagring af genetiske data mange ste-
der.
Problemet med lagring mange steder er, at det i sig selv øger muligheden for
lovlig såvel som ulovlig adgang til data.
Derfor er opbevaring af samme følsomme
oplysning mange steder dårlig datasikkerhed. Den dårlige datasikkerhed i Natio-
nalt Genom Center har vi og andre organisationer påpeget ad flere omgange.
6,7,8,9
I DSAM mener vi, at en løsning, hvor de samme genetiske oplysninger kan lagres
og ophobes mange steder, ikke er i overensstemmelse med formålet om
datami-
nimering
i GDPR. Særligt ikke, når der rent faktisk findes tekniske løsninger, hvor
samme genetiske oplysninger lagres færrest mulige steder, og som uden de store
problemer ville kunne føres ud i livet.
DSAM bifalder lille åbning for selvbestemmelse
Med lovgivningen og med ministersvaret står det klart, at borgerne ikke kan fra-
vælge, at deres genetiske oplysninger via en lovpligt indberettes og lagres i cente-
ret til mange forskellige formål. Borgerne kan dog fravælge/spærre for, at geneti-
ske data udledt til egen sygdomsbehandling efterfølgende må bruges i forsknings-
øjemed. DSAM bifalder, at der i det mindste er en lille åbning for selvbestemmelse
i form af en såkaldt
opt-out
, men finder løsningen unuanceret, fordi man risikerer,
at nogle borgere på et dårligt informeret grundlag bredt vælger al forskning fra.
Derudover er selvbestemmelsen fraværende, idet borgerne ikke kan fravælge, at
de genetiske data kan tilgås med henblik på andre forskelligrettede formål såsom
https://bloddonor.dk/det-danske-bloddonorstudie/
https://www.ft.dk/samling/20171/lovforslag/L146/bilag/8/1873747.pdf
7
https://www.ft.dk/samling/20171/lovforslag/L146/bilag/28/1898593.pdf
8
https://prodstoragehoeringspo.blob.core.windows.net/81652d79-47ce-417e-989a-f28ef5ce9a13/Hø-
ringssvar%20vedr.%20national%20genom%20centermarts%202019%20-%20Ingeniørforeningen.pdf
9
https://prodstoragehoeringspo.blob.core.windows.net/81652d79-47ce-417e-989a-f28ef5ce9a13/H18-
2019%20Høringssvar%20-%20DSAM.pdf
5
6
 SUU, Alm.del - 2018-19 (2. samling) - Bilag 89: Henvendelse af 16/9-19 fra Dansk Selskab for Almen Medicin om Nationalt Genom Center
2076640_0003.png
Side 3 / 4
forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbe-
handling, forvaltning af læge- og sundhedstjenester, klagesager, erstatningssa-
ger, tilsynssager, undervisning, kvalitetsudvikling, kvalitetssikring og undtagelses-
vis politiets opklaringsarbejde.
Helt konkret betyder det, at selvbestemmelsen for borgerne i forbindelse med Na-
tionalt Genom Center er så begrænset, at danske borgere med centeret ikke kan
være sikre på, hvordan deres genetiske oplysninger vil blive brugt i fremtiden.
Med de mange formål vil det for den enkelte patient og sundhedsperson, som skal
informere patienten, være fuldstændigt uigennemsigtigt og uforudsigeligt, hvorle-
des genetiske oplysninger kan anvendes fremover. Derudover er der intet, der
forhindrer et fremtidigt folketing i med tiden via ændringer i lovgivning at udvide
de i forvejen vidtgående formål for brugen af genetiske oplysninger i centeret.
Det betyder, at Folketinget uden om borgeren kan bestemme, om oplysningerne i
centeret kan tilgås eksempelvis af forsikringsselskaber, socialforvaltninger og me-
dicinalvirksomheder. Danske borgere har derfor ingen sikkerhed for at vide, hvad
de går ind til, når deres genetiske oplysninger lagres i centeret. Det betragter
DSAM som dårlig sikkerhed.
I DSAM mener vi, at borgernes sikkerhed vedrørende brug af genetiske oplysning
skal sikres i bredest mulige forstand, for eksempel med moderne tekniske løsnin-
ger, som vi fremlagde i 2017-2018 for den daværende sundhedsminister.
10
Mo-
derne
privacy by design
er ligeledes blevet foreslået af andre.
11,12
I DSAM mener vi fortsat, at danskerne bedst sikres med
privacy by design
, hvor
borgeren selv styrer koblingen mellem genetiske oplysninger og identitet. Når
koblingen mellem genetiske oplysninger og identitet overlades suverænt til borge-
ren selv, opnås langt større sikkerhed for, hvad data i fremtiden kan bruges til.
Finder borgeren, at de genetiske data kan anvendes til uønskede formål, kan bor-
geren nemlig blot undlade at åbne for koblingen til egen identitet, hvorved data
kun kan bruges anonymt, men ikke kobles til andre data på personniveau. Løsnin-
gen betyder også, at der ved ulovlige databrud ikke findes en fælles nøgle, som
kan re-identificere borgeren bag de genetiske oplysninger. Endelig kan
privacy by
design
sikre, at et fremtidigt Folketing ikke uden om borgernes godkendelse kan
ændre for brugen af de genetiske data.
Med nuværende sikkerhedsmodel for Nationalt Genom Center har man valgt, at
genetiske oplysninger lagres mange steder og med uhyre sparsom kontrol over
dataanvendelse til borgerne. Det er ikke en sikkerhedsmodel, som DSAM kan
støtte, og det synes heller ikke at være en sikkerhedsmodel, som er i overens-
stemmelse med GDPR-artikel 25, hvor moderne
privacy by design-
løsninger er et
krav, og artikel 5, hvor
dataminimering
er et krav. Det er desuden alvorlig mangel
på brugerinddragelse i sundhedsvæsenet.
Privacy by design
den bedste løsning
https://www.ft.dk/samling/20171/lovforslag/L146/bilag/28/1898593.pdf
https://www.altinget.dk/digital/artikel/debat-opgrader-cpr-systemet-og-giv-borgerne-kontrol-over-
egne-data
12
https://www.itpol.dk/hoeringssvar/nationalt-genom-center
10
11
 SUU, Alm.del - 2018-19 (2. samling) - Bilag 89: Henvendelse af 16/9-19 fra Dansk Selskab for Almen Medicin om Nationalt Genom Center
2076640_0004.png
Side 4 / 4
Hvis borgerne via en sådan tidssvarende sikkerhedsmodel for Nationalt Genom
Center både blev garanteret størst mulig sikkerhed mod ulovlige databrud og sik-
kerhed for selvbestemmelse over den lovlige brug af egne genetiske oplysninger i
Nationalt Genom Center, ville DSAM kunne bakke fuldt op om Nationalt Genom
Center. En sådan løsning ville på samme tid sikre reel patientinddragelse og data
til den nødvendige forskning. Samtidig ville en sådan model overflødiggøre beho-
vet for samtykke til lagring af genetiske oplysninger ved at overlade kontrollen
over databrugen efter lagring af disse til patienten selv.
Over de sidste mange år har Folketinget ved en række ændringer af sundhedslo-
ven undermineret tavshedspligten. Det har DSAM forsøgt at forholde sig konstruk-
tivt kritisk til i en række høringssvar.
Tavshedspligten er beskrevet som sundheds-
lovens hovedprincip for databehandling af patienternes sundhedsdata. Det bør så-
ledes være patienten selv, og ikke hverken læger, politikere eller patientorganisa-
tioner, som sætter grænser for fortroligheden.
Derfor bør principperne for
privacy by design
og
dataminimering,
som skitseret
ovenfor, gælde for sundhedsdata overalt i sundhedsvæsenet, helt i overensstem-
melse med GDPR.
I DSAM har vi forståelse for, at det tager tid at modernisere, og Nationalt Genom
Center var og er en oplagt chance for i et lukket system at lave en tidssvarende
state of the art-
løsning, som kan være forbillede for databehandling af sundheds-
data overalt i Danmark, og i bedste fald endda forbillede for databehandling af
alle typer personhenførbare oplysninger. Det er også noget som efterlyses overalt
i verden.
Med venlig hilsen
Anders Beich
formand for Dansk Selskab for Almen Medicin