Sundhedsudvalget 2020-21
SUU Alm.del
Offentligt
2359674_0001.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Folketingets Sundhedsudvalg
Dato: 22-03-2021
Enhed: JURPEM
Sagsbeh.: DEPBDH
Sagsnr.: 2103096
Dok. nr.: 1649792
Folketingets Sundheds- og Ældreudvalg har den 8. februar 2021 stillet følgende
spørgsmål nr. 785 (Alm. del) til sundhedsministeren, som hermed besvares. Spørgs-
målet er stillet efter ønske fra Kirsten Normann Andersen (SF).
Spørgsmål nr. 785:
”Med
henvisning til artiklen i Altinget af 29/1-
: ”Private data på oro as ittede lig-
ger å e t fre
e i å edsvis for a satte i s ittespori g”, edes i istere esvare
følgende:
a. Ministeren bedes redegøre for, hvorvidt Styrelsen for Patientsikkerheds databe-
handling og opbevaring af data lever op til GDPR.
b. Ministeren bedes redegøre for, hvorvidt de private testudbyderes databehandling
og opbevaring af data lever op til GDPR.
c. Ministeren bedes redegøre for, hvilken dialog regeringen har med hhv. Datatilsy-
net, Styrelsen for Patientsikkerhed og private testudbydere med henblik på, at opbe-
varing og behandling af data lever op til GDPR i forbindelse med både test og smitte-
opsporing.
d. Ministeren bedes redegøre for, hvilke initiativer regeringen vil iværksætte for at
sikre, at borgerne trygt kan blive testet uden at være bekymrede for, at deres data er
bredt tilgængelige eller deles uden samtykke, samt at alle databeskyttelsesregler
endvidere overholdes”
Svar:
Jeg har til brug for besvarelsen af spørgsmålet om, hvorvidt Styrelsen for Patientsik-
kerheds behandling og opbevaring af data lever op til databeskyttelsesforordningen,
indhentet bidrag fra Styrelsen for Patientsikkerhed, der har oplyst følgende:
”Generelt
Opsporing af smitsomme sygdomme er ikke en ny opgave for Styrelsen for Patientsik-
kerhed, og opgaven har været en del af vores ansvarsområde siden styrelsens oprin-
delse. Det er fx styrelsens opgave at smitteopspore et udbrud af mæslinger e. lign. Co-
vid-19 har naturligvis krævet en videreudvikling og en opskalering af den allerede ek-
sisterende aktivitet, herunder databehandlingsaktiviteter.
Det betyder også, at de allerede implementerede foranstaltninger for databeskyttel-
sesområdet, der tidligere har implementeret i forbindelse med dette arbejde, ligeledes
anvendes på opgaven med håndtering af COVID-19. Dette indebærer blandt andet
processer til behandling af anmodninger fra de registrerede, håndtering af sikker-
hedsbrud, orientering af de registrerede, opbevaringsbegrænsning samt afklaring af
behandlingens overordnede lovlighed, nødvendighed og proportionalitet.
Ud over de allerede eksisterende foranstaltninger, er der implementeret en række
yderligere tiltag for at sikre, at behandlingen på trods af den markante opskalering
fortsat lever op til databeskyttelsesforordningen.
 SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren
2359674_0002.png
Risikovurdering og konsekvensanalyse
I forbindelse med det indledende arbejde med smitteopsporingen blev der i juli 2020
igangsat en proces til vurdering, om smitteopsporingen udgjorde en høj risiko for de
registrerede, og derfor var omfattet af kravet om udarbejdelse af en konsekvensana-
lyse vedrørende databeskyttelse, jf. forordningens art. 35.
Vurderingen af risikoen for den registrerede havde i høj grad det samme formål som
en konsekvensanalyse: At være en systematisk gennemgang af databehandlingsakti-
viteten med henblik på at afdække overholdelse af lovlighed, nødvendighed og pro-
portionalitet, samt identificere risici for de registrerede, herunder dokumentation af
efterlevelse af de registreredes rettigheder og håndtering af risici.
Risikovurderingen er senest opdateret i marts 2021.
Hjemler
En af de grundlæggende betingelser for behandling af personoplysninger er, at be-
handlingen har hjemmel i databeskyttelsesforordningen og eventuelt national ret.
Styrelsen for Patientsikkerheds behandlinger af personoplysninger i forbindelse med
smitteopsporingen har hjemmel i databeskyttelsesforordningens art. 6, stk. 1, litra e,
og art. 9, stk. 2, litra i, jf. databeskyttelseslovens § 7, stk. 4, sundhedslovens § 212a
1
og epidemilovens § 44
2
. Derudover behandler STPS CPR-numre med hjemmel i data-
beskyttelseslovens § 11.
Registreredes rettigheder
Der bliver i forbindelse med smitteopsporing registreret en række oplysninger om den
smittede og dennes nære kontakter. Den registrerede (den smittede eller dennes nære
kontakter) skal efter lovgivningen som hovedregel oplyses om, hvilke oplysninger der
registreres om den pågældende.
Der er foretaget en afklaring af, hvordan opfyldelse af oplysningspligten i praksis
håndteres. Der er foretaget en afklaring af, både hvornår oplysningspligten gælder,
og hvornår en af undtagelserne til oplysningspligten finder anvendelse. Ud over, at
dette følger STPS’ allerede eksistere de pro esser for orie teri g af
de registrerede, er
der implementeret yderligere tiltag for at sikre, at borgere bliver gjort bekendt med
vores behandling af personoplysninger.
Supplerende organisatoriske foranstaltninger
Medarbejdere i andre myndigheder/virksomheder, der har adgang til styrelsens smit-
teopsporingssystemer har underskrevet individuelle tavshedserklæringer som forud-
sætning for brugeradgang. Ansatte i STPS er i kraft af deres ansættelsesforhold også
underlagt tavshedspligt.
Databehandleraftaler
Der er desuden indgået de relevante databehandleraftaler med de nye leverandører,
der har leveret bistand og som i den forbindelse har eller har haft adgang til person-
oplysninger.
1
2
LBK nr 903 af 26/08/2019
LOV nr 285 af 27/02/2021
Side 2
 SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren
Tekniske foranstaltninger
Som led i den løbende udvikling af arbejdet med smitteopsporing, har der været be-
hov for at få bistand fra eksterne leverandører i form af udvikling af nye IT-løsninger
eller bistand til udarbejdelse af processer. I de tilfælde, hvor eksterne leverandører har
eller har haft adgang til personoplysninger, er der indgået databehandleraftaler, som
sikrer, at også leverandørerne lever op til databeskyttelsesforordningen.
Styrelsen for Patientsikkerhed udviklede i sommeren 2020 selv en Access database,
der skulle tjene til understøttelse af arbejdet med smittesopsporingen.
Databasen har i perioden juni 2020
marts 2021 været det primære understøttende
værktøj til arbejdet med smitteopsporing. Databasen blev udarbejdet på et tidligt
tidspunkt i epidemien, og har været i løbende udvikling siden da, for at kunne hånd-
tere nye processer eftersom behovet opstod.
Der er i databasen implementeret logning på applikationsniveau af transaktioner fra
alle brugere. Dette gør det muligt at se, hvilke sager brugerne har været inde på, eller
hvilke søgekriterier brugerne har anvendt. Dette gøre det muligt efterfølgende at
følge op på, om opslag eller adgange har været berettiget, hvilket sker på stikprøve-
basis.
Systemet blev oprindeligt designet så få brugere havde adgang til oplysninger om
smittede og flere brugere havde adgang til oplysninger om nære kontakter. I forbin-
delse med udviklingen i smittetallet i fjerde kvartal var det nødvendigt at omlægge, så
alle brugere kunne ringe til smittede. Der er efterfølgende etableret skærmning af ad-
gangen til oplysningerne, så kun få udvalgte brugere kan se sager om smittede, der er
ældre end 3 uger.
Den egenudviklede Access-database er under udfasning og erstattes af en ny løsning
”Pa de i ”. De ye løs i g er risikovurderet i de i rugtag i g og ygget ud fra
principper om privacy by design. Pt. sameksisterer de to systemer, og vi forventer, at
Access databasen vil være fuldt udfaset inden udgangen af maj 2021.”
For så vidt angår spørgsmålet om, hvorvidt Styrelsen for Patientsikkerheds databe-
handling og opbevaring af data lever op til GDPR, henholder jeg mig til styrelsens re-
degørelse. Jeg kan i den forbindelse oplyse, at Sundhedsministeriet, på baggrund af
artikler bragt i dagspressen om Styrelsen for Patientsikkerheds behandling af person-
oplysninger, ved brev af 1. marts 2021, har bedt styrelsen om en række oplysninger
om de databeskyttelsesretlige forhold i relation til styrelsens smitteopsporing, som
ministeriet i øjeblikket ser nærmere på.
./.
For så vidt angår private testudbydere, henvises til tidligere svar på SUU alm. spm.
712.
Det er helt afgørende for vores testindsats og for smitteopsporingen, at borgerne kan
have tillid til, at der bliver passet på deres data. Det er derfor vigtigt, at der er fokus
på databeskyttelse i forbindelse med test og smitteopsporing.
I forlængelse heraf kan det oplyses, at Sundhedsministeriet den 25. januar 2021 bad
Danske Regioner og Region Nordjylland om en redegørelse vedrørende private leve-
Side 3
 SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren
randørers efterlevelse af databeskyttelsesreglerne i forbindelse med kviktest, herun-
der om regionerne havde overvejet at standse samarbejdet med den pågældende le-
verandør
indtil det kan dokumenteres, at de efterlever reglerne.
Herudover kan det oplyses, at der i Sundhedsministeriets koncern løbende arbejdes
på at sikre beskyttelsen af borgernes oplysninger i forbindelse med håndteringen af
COVID-19 epidemien. Dette gøres bl.a. ved, at der forud for behandling af personop-
lysninger, der indebærer en høj risiko for de registrerede, udarbejdes konsekvensana-
lyser med henblik på at identificere og begrænse risici forbundet med behandlingen.
Med venlig hilsen
Magnus Heunicke
/
Berit Dea Hvolby
Side 4