SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren

Sundhedsudvalget 2020-21
SUU Alm.del
Offentligt

Sundheds- og Ældreudvalget 2020-21

SUU Alm.del - endeligt svar på spørgsmål 712

Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 25-02-2021

Enhed: JURPEM

Sagsbeh.: DEPMHT

Sagsnr.: 2102185

Dok. nr.: 1594032

Folketingets Sundheds- og Ældreudvalg har den 28. januar 2021 stillet følgende

spørgsmål nr. 712 (Alm. del) til sundhedsministeren, som hermed besvares. Spørgs-

målet er stillet efter ønske fra Stinus Lindgreen (RV).

Spørgsmål nr. 712:

Ifølge artikle Kviktestfir a beder u også tidligere a satte o at slette oplys i -

ger på obile fra Politike de 27. ja uar 2021

har firmaet, der ulovligt anvendte

WhatsApp på de ansattes private mobiltelefoner til deling af resultater fra corona-

tests, nu ændret praksis og også bedt tidligere ansatte slette billeder. Hvordan bliver

der fulgt op på dette, hvis ansvar er det at denne praksis blev anvendt, og hvilke kon-

sekvenser får det? Et lignende brud på ansvarlig omgang med personlige sundheds-

data indenfor andre områder

–

både privat og offentligt - ville ikke blive accepteret.

Svar:

Sundhedsministeriet har bedt Justitsministeriet om bidrag til besvarelsen af spørgs-

målet herunder med inddragelse af Datatilsynet. Datatilsynet oplyser på den bag-

grund følgende:

Den 24. januar 2021 bragte bl.a. BT en historie1 om, at medarbejdere hos Medicals

Nordic, som udfører kviktest, var blevet instrueret i at benytte en WhatsApp-gruppe

til at håndtere oplysninger om de borgere, der var blevet testet positive.

På baggrund af medieomtalen og en række henvendelser til Datatilsynet besluttede

tilsynet den 25. januar 2021 at starte en sag af egen drift over for Medicals Nordic

med henblik på at undersøge en række forhold omkring Medicals Nordics brug af

WhatsApp til behandling af personoplysninger, som er indsamlet i forbindelse med

Covid-19 test. Datatilsynet offentliggjorde samme dato en nyhed om dette på tilsy-

nets hjemmeside2.

Med henblik på at belyse ansvaret for behandlingen af personoplysninger anmodede

Datatilsynet Medicals Nordic om at redegøre for eventuelle kontraktforhold mellem

Medicals Nordic, SOS international, regionerne i Danmark eller andre, såvel private

som offentlige aktører.

Som led i sagens behandling vil Datatilsynet tage stilling til, om denne behandling er

sket inden for rammerne af databeskyttelsesreglerne, og om der har været fastsat

passende sikkerhedsforanstaltninger i forbindelse med udveksling af oplysninger via

WhatsApp. Sagen er på nuværende tidspunkt fortsat under behandling.

https://www.bt.dk/samfund/bt-afslorer-testskandale-dybt-private-oplysninger-flyder-frit

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jan/datatilsynet-ser-paa-

haandtering-af-testresultater

SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren

Det kan i tilknytning hertil nævnes, at Datatilsynet har en række reaktionsmuligheder,

hvis tilsynet finder, at behandlingen af personoplysninger ikke er sket i overensstem-

melse med databeskyttelsesreglerne. Det følger af databeskyttelsesforordningens ar-

tikel 58, stk. 2, at tilsynet bl.a. har beføjelse til, at:

at udstede advarsler til en dataansvarlig eller en databehandler om, at plan-

lagte behandlingsaktiviteter sandsynligvis vil være i strid med denne forord-

ning

b) at udtale kritik af en dataansvarlig eller en databehandler, hvis behandlings-

aktiviteter har været i strid med denne forordning

c) at give den dataansvarlige eller databehandleren påbud om at imødekomme

den registreredes anmodninger om at udøve sine rettigheder i henhold til

denne forordning

d) at give den dataansvarlige eller databehandleren påbud om at bringe be-

handlingsaktiviteter i overensstemmelse med bestemmelserne i denne for-

ordning og, hvis det er hensigtsmæssigt, på en nærmere angivet måde og in-

den for en nærmere angivet frist

e) at give den dataansvarlige påbud om at underrette den registrerede om et

brud på persondatasikkerheden

f) midlertidigt eller definitivt at begrænse, herunder forbyde, behandling

g) at give påbud om berigtigelse eller sletning af personoplysninger eller be-

grænsning af behandling i henhold til artikel 16, 17 og 18 og meddelelse af

sådanne handlinger

Overtrædelse af databeskyttelsesreglerne kan efter omstændighederne således sank-

tioneres ved bl.a. at udtale kritik og/eller meddele den dataansvarlige påbud eller for-

bud i forhold til en given handling eller undladelse. Efter omstændighederne kan det

også komme på tale at sanktionere overtrædelsen med en bøde. De forskellige sank-

tioner kan enten anvendes alene eller kombineres afhængigt af de konkrete omstæn-

digheder3.

Ved vurderingen heraf indgår i henhold til databeskyttelsesforordningens artikel 83,

stk. 2, bl.a.:



Overtrædelsens karakter, alvor og varighed

Om overtrædelsen blev begået forsætligt eller uagtsomt

Eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databe-

handleren for at begrænse den skade

Eventuelle relevante tidligere overtrædelser

Graden af samarbejde med tilsynsmyndigheden

De kategorier af personoplysninger, der er berørt af overtrædelsen

Den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen

Overholdelse af godkendte adfærdskodekser

Om der er andre skærpende eller formildende faktorer ved sagens omstæn-

digheder, såsom opnåede økonomiske fordele eller undgåede tab som di-

rekte eller indirekte følge af overtrædelsen

Datatilsynet kan i den forbindelse oplyse, at det generelt er tilsynets opfattelse, at so-

ciale medier, grupper herpå, eller lignende fora ikke bør benyttes til journalisering,

udveksling, sagsbehandling eller dokumentation af helbredsoplysninger. Situationer

som disse vil

–

alt efter de faktiske omstændigheder, de udøves under

–

normalt

Databeskyttelsesforordningens præambelbetragtning nr. 148

Side 2

SUU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 785: Spm. om, hvorvidt Styrelsen for Patientsikkerheds databehandling og opbevaring af data lever op til GDPR, til sundhedsministeren

medføre et påbud om at bringe behandlingen i overensstemmelse med databeskyt-

telsesreglerne eller et decideret forbud mod den pågældende behandling. Datatilsy-

net kan oplyse, at Medicals Nordic den 26. januar 2021 underrettede tilsynet om, at

brugen af WhatsApp var ophørt den 24. januar 2021.

Sundhedsministeriet henholder sig til bidraget fra Justitsministeriet og Datatilsynet.

Sundhedsministeriet kan derudover oplyse, at det er Region Midtjylland, der på

vegne af regionerne, har indgået aftale med SOS International, hvortil Medicals Nor-

dic er en underleverandør.

Sundhedsministeriet bad den 25. januar Danske Regioner og Region Midtjylland om

e redegørelse for sage . Regio Midtjylla d oplyste i de forbi delse, at i alle de

gældende aftaler med leverandørerne indestår leverandøren for, at de persondata-

retlige

regler efterleves .

Da det er Region Midtjylland på vegne af regionerne, som har forestået udbuddet, er

de ansvarlige for at sikre at kontrakten med leverandøren overholdes.

Region Midtjylland har sidenhen opsagt kontrakten med SOS international og under-

leverandøren Medicals Nordic.

Med venlig hilsen

Magnus Heunicke

Malte Harbou Thyssen

Side 3