Udvalget for Digitalisering og It 2022-23 (2. samling)
DIU Alm.del
Offentligt
2747364_0001.png
Slotsholmsgade 10-12
DK-1216 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Folketingets Udvalg for Digitalisering og It
Dato: 07-09-2023
Enhed: PEM
Sagsbeh.: DEPASHL
Sagsnr.: 2307199
Dok. nr.: 2710015
Folketingets Udvalg for Digitalisering og It har den 10. maj 2023 stillet følgende
spørgsmål nr. 51 (Alm. del) til indenrigs- og sundhedsministeren, som hermed
besvares. Spørgsmålet er stillet efter ønske fra Kirsten Normann Andersen (SF).
Spørgsmål nr. 51:
”Hvordan
sikrer man, at sundhedsdata anvendt til forskning ikke kan henføres til
bestemte personer? Hvilke metoder anvendes der til anonymisering?”
Svar:
Til brug for besvarelsen har jeg indhentet bidrag fra Datatilsynet, der har oplyst føl-
gende:
”Det følger af databeskyttelsesforordningens artikel 4, nr. 1, at enhver form for infor-
mation om
en identificeret eller identificerbar fysisk person (”den registrerede”) an-
ses som en personoplysning. Ved en identificerbar fysisk person forstås en fysisk per-
son, der direkte eller indirekte kan identificeres, ”navnlig ved en identifikator som
f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator el-
ler et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologi-
ske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”
Man kan på forskellige måder søge at sløre, hvilken fysisk person en personoplysning
angår, f.eks. ved at erstatte oplysninger om personens navn med en kode.
Denne kode vil dog stadig være en personoplysning, hvis den kan føres tilbage til den
fysiske person, f.eks. via
en oversigt eller en ”nøgle”. Det gælder også, selv om det
kun er meget få personer, der kan foretage afkodningen og dermed identificere den
person, som oplysningerne drejer sig om. I sådanne tilfælde er der ikke tale om ano-
nymisering, men om pseudonymisering, der er defineret i databeskyttelsesforordnin-
gen artikel 4, nr. 5.
Hvis koden ikke kan føres tilbage til den fysisk person
heller ikke ved at kombinere
koden med andre oplysninger
er der tale om anonymiserede oplysninger, som ikke
er omfattet af databeskyttelsesreglerne. Det skyldes, at databeskyttelsesreglerne kun
finder anvendelse, hvis oplysningerne netop kan føres tilbage til en identificeret eller
identificerbar fysisk person. Det er en betingelse, at anonymiseringen er uigenkalde-
lig.
Det må vurderes konkret, om en oplysning er anonymiseret eller kun pseudonymise-
ret, hvilket beror på, om den fysiske person bag oplysningerne reelt er identificerbar.
I denne vurdering skal man tage alle hjælpemidler, der med rimelighed kan tænkes
bragt i anvendelse for at identificere den pågældende person, i betragtning. Man skal
også have for øje, om andre er i besiddelse af oplysninger, der gør det muligt at iden-
tificere den pågældende.
DIU, Alm.del - 2022-23 (2. samling) - Endeligt svar på spørgsmål 51: Spm. om, hvordan man sikrer, at sundhedsdata anvendt til forskning ikke kan henføres til bestemte personer
Pseudonymisering og anonymisering er nærmere omtalt i data-beskyttelsesforord-
ningens præambelbetragtning nr. 26. Heraf fremgår det bl.a., at forordning ikke ved-
rører ”behandling af (…) anonyme oplysninger, herunder til statistiske eller forsk-
ningsmæssige formål.”
Datatilsynet kan i øvrigt oplyse, at anonymisering og pseudonymisering også er be-
skrevet i bl.a. tilsynets vejledningstekst ”Hvad er personoplysninger?” på tilsynets
hjemmeside og i tilsynets podcastepisode med samme titel.
Derudover har Datatilsynet i 2022 nedsat et specialudvalg med fokus på behandling
af personoplysninger i forbindelse med forskning. Specialudvalget arbejder med for-
skellige spørgsmål vedrørende behandling af personoplysninger på forskningsområ-
det, herunder anonymisering og pseudonymisering. Aktuelt indsamles der bidrag fra
udvalgets medlemmer med henblik på at udarbejde en vejledning om anonymisering
og pseudonymisering af personoplysninger.
Datatilsynet forventer, at der i den kommende vejledning kan gives klarere retnings-
linjer om anonymisering og pseudonymisering.”
Med venlig hilsen
Sophie Løhde
Side 2