Sundhedsudvalget 2020-21, Sundhedsudvalget 2020-21, Sundhedsudvalget 2020-21
L 63 , L 63 A , L 63 B
Offentligt
2281536_0001.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Folketingets Sundheds- og Ældreudvalg
Dato: 16-11-2020
Enhed: DAICY
Sagsbeh.: DEPTR
Sagsnr.: 2007648
Dok. nr.: 1454939
Folketingets Sundheds- og Ældreudvalg har den 26. oktober 2020 stillet følgende
spørgsmål nr. 7 (L 63) til sundheds- og ældreministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Liselott Blixt (DF).
Spørgsmål nr. 7:
”Vil
ministeren med henvisning til spørgerens ordførertale under 1. behandling
oplyse, hvordan ministenen vil sikre beskyttelse af persondata i forbindelse med,
at det digitale sundhedskort kan opbevares på og anvendes fra mobiltelefoner?”
Svar:
Det fremgår af Datatilsynets og Justitsministeriets Vejledning om Konsekvensanalyse
af marts 2018, at en privat virksomhed, offentlig myndighed, fysisk person, institution
eller ethvert andet organ, som har ansvaret for behandling af personoplysninger, er
ansvarlig for, at de oplysninger, de har ansvaret for behandlingen af, beskyttes i til-
strækkelig grad. Det er i den forbindelse et krav, at den dataansvarlige gennemfører
passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i
stand til at påvise, at behandlingen af personoplysninger er i overensstemmelse med
databeskyttelsesforordningen. Derfor skal den dataansvarlige foretage en konse-
kvensanalyse, når der kan være høj risiko for, at behandlingen kan krænke den regi-
streredes rettigheder og frihedsrettigheder. Formålet med konsekvensanalysen er at
fastsætte foranstaltninger, der kan imødegå disse risici og dermed skabe bedre data-
beskyttelse og leve op til forordningens princip om ansvarlighed.
En konsekvensanalyse skal udarbejdes i medfør af databeskyttelsesforordningens ar-
tikel 35, stk. 1 og 3. Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at
den dataansvarlige rådfører sig med databeskyttelsesrådgiveren, hvis en sådan er ud-
peget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Det føl-
ger endvidere af artikel 35, stk. 7, litra a - d, at konsekvensanalysen mindst skal om-
fatte en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene
med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den
dataansvarlige. Konsekvensanalysen skal indeholde en vurdering af, om behandlings-
aktiviteterne er nødvendige og står i rimeligt forhold til formålene og en vurdering af
risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk.
1, og de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garan-
tier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af person-
oplysninger og påvise overholdelse af denne forordning, under hensyntagen til de re-
gistreredes og andre berørte personers rettigheder og legitime interesser.
Herudover er ”Databeskyttelse i desig et” et ge erelt krav efter Databeskyttelsesfor-
ordningen med henblik på at sikre en effektiv implementering af de grundlæggende
databeskyttelsesprincipper. Det er f.eks. lovlighed, rimelighed og gennemsigtighed.
Databeskyttelse i designet er baseret på principper og kan derfor ikke beskrives ud-
tømmende på forhånd. Eksempler på databeskyttelse gennem design kan f.eks. være
L 63b - 2020-21 - Endeligt svar på spørgsmål 7: Spm. om at sikre beskyttelse af persondata, i forbindelse med at det digitale sundhedskort kan opbevares på og anvendes fra mobiltelefoner, til sundheds- og ældreministeren
”data i i eri g” og ”krypteri g”. Det be ærkes, at krave e til beha dli gssikker-
hed nævnes på lovforslagets afsnit 3.1 på side 21. Her nævnes, at foranstaltninger til
sikri g af beha dli gssikkerhede ekse pelvis ka være ”pseudo y iseri g”, ”kryp-
teri g” sa t ”log i g” .fl.
Det fremgår endvidere af Datatilsynets og Justitsministeriets vejledning, punkt 7.1., at
der ved udarbejdelse af lovforslag, bekendtgørelser, cirkulærer eller lignende gene-
relle retsforskrifter, som omhandler behandling af personoplysninger, skal indhentes
en udtalelse fra Datatilsynet med henblik på at sikre, at den planlagte behandling
overholder forordningen, og navnlig for at begrænse risiciene for den registrerede.
Med venlig hilsen
Magnus Heunicke
/
Thomas Richter
Side 2