L 136 - svar på spm. 25 om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, fra økonomi- og indenrigsministeren

Slotsholmsgade 10
1216 København K
Telefon 72 28 24 00
oim@oim.dk
Folketingets Social-, Indenrigs- og Børneudvalg
Folketingets Social-, Indenrigs- og Børneudvalg har d. 18. maj 2017 stillet følgende
spørgsmål nr. 25 (L 136) til økonomi- og indenrigsministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Pernille Skipper (EL).
Spørgsmål nr. 25:
”Ministeren skriver i sit svar på spørgsmål nr. 24, at ændringsforslaget, der giver flere
personer adgang til personhenførbare oplysninger, er udarbejdet af Økonomi- og In-
denrigsministeriet med faglige input fra Sundheds- og Ældreministeriet, og at det også
har været i høring hos Beskæftigelsesministeriet, Finansministeriet og Børne- og So-
cialministeriet. Ændringsforslaget har således ikke været i høring hos andre myndig-
heder og organisationer forud for fremsættelsen. Vil ministeren indhente en udtalelse
fra Datatilsynet om konsekvenserne af ændringsforslaget, herunder en vurdering af
sikkerheden ifbm. videregivelsen af personoplysninger?”
Svar:
Jeg har på baggrund af spørgsmålet indhentet en udtalelse fra Datatilsynet vedrøren-
de de fremsatte ændringsforslag om adgang til lægemiddeldata. Udtalelsen vedlæg-
ges som bilag 1.
Jeg kan i det hele tilslutte mig Datatilsynets bemærkninger, herunder bemærkningerne
om de persondataretlige rammer for sikkerheden i forbindelse med videregivelse af
personoplysninger.
Bemærkningerne giver ikke anledning til at ændre i de fremsatte ændringsforslag.
Med venlig hilsen
Simon Emil Ammitzbøll
Bilag:
Bilag 1 – Datatilsynets brev af 22. maj 2017.
Sagsnr.
2017 - 2649
Doknr.
466987
Dato
22-05-2017
Social-, Indenrigs- og Børneudvalget 2016-17
L 136 endeligt svar på spørgsmål 25
Offentligt


Ved e-mail af 18. maj 2017 har Økonomi- og Indenrigsministeriet sendt æn-
dringsforslag til forslag til lov om ændring af lov om et analyse- og forsk-
ningsinstitut for kommuner og regioner (Oprettelse af Det Nationale Forsk-
nings- og Analysecenter for Velfærd) (L136) til Datatilsynet sammen med
spørgsmål nr. 25 fra Folketingets Social-, Indenrigs- og Børneudvalg. Mini-
steriet har anmodet om at modtage en udtalelse fra Datatilsynet senest den 22.
maj 2017.
Det fremgår af spørgsmålet fra Social-, Indenrigs- og Børneudvalget, at æn-
dringsforslaget er udarbejdet af Økonomi- og Indenrigsministeriet med fagli-
ge input fra Sundheds- og Ældreministeriet, og at det også har været i høring
ved Beskæftigelsesministeriet, Finansministeriet og Børne- og Socialministe-
riet. Datatilsynet ses ikke at være hørt over ændringsforslaget forud for frem-
sættelsen.
Datatilsynet kan på denne baggrund udtale følgende:
1. Af ændringsforslagets nr. 2 fremgår, at der i § 11, stk. 5 i lov om apoteks-
virksomhed, indsættes følgende som 2. og 3. pkt.:
”Sundhedsdatastyrelsen kan efter samme regler, som er fastsat i medfør af 1.
pkt., videregive de oplysninger fra Lægemiddelstatistikregisteret, som frem-
går af 1. pkt., til forskere, der er ansat ved Det Nationale Forsknings- og Ana-
lysecenter for Velfærd, Danmarks Statistik og Det Nationale Forskningscen-
ter for Arbejdsmiljø, til brug for statistiske eller videnskabelige undersøgelser
af væsentlig samfundsmæssig betydning, når videregivelsen er nødvendig af
hensyn til udførelsen af undersøgelserne. Sundhedsministeren kan fastsætte
nærmere regler herom.”
Det er Datatilsynets forståelse, at den personkreds, der kan få adgang til op-
lysninger fra Lægemiddelstatistikregisteret, dermed udvides.
Datatilsynet skal gøre opmærksom på persondatalovens § 10, stk. 3, hvorefter
oplysninger, der behandles udelukkende i videnskabeligt eller statistisk øje-
med, jf. § 10, stk. 1 og 2, kun må videregives til tredjemand – dvs. en ny data-
ansvarlig – efter forudgående tilladelse fra Datatilsynet.
Økonomi- og Indenrigsministeriet
Slotsholmsgade 10-12
1216 København K
Sendt til: mvo@oim.dk
Kopi til: jm@jm.dk og sum@sum.dk
22. maj 2017 Vedrørende Økonomi- og Indenrigsministeriets sagsnr.: 2017-2278
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
dt@datatilsynet.dk
www.datatilsynet.dk
J.nr. 2017-112-0698
Dok.nr. 430062
Sagsbehandler
Signe Vestergård Abild-
skov
Direkte 3319 3212
Social-, Indenrigs- og Børneudvalget 2016-17
L 136 endeligt svar på spørgsmål 25
Offentligt
2
Sundhedsdatastyrelsen har i forbindelse med, at de har tilsluttet sig fællesan-
meldelsen ”Videnskabelige og statistiske undersøgelser hos statslige myndig-
heder” modtaget en udtalelse fra Datatilsynet, som bl.a. indeholder en generel
tilladelse til videregivelse af personoplysninger til brug for undersøgelser i
statistisk eller videnskabeligt øjemed til dataansvarlige, der er etableret i
Danmark.1
Tilladelsen er givet på vilkår, som Sundhedsdatastyrelsen har ansvaret for at
overholde. Herunder er det et vilkår, at modtageren af oplysningerne inden
videregivelsen skriftligt skal have bekræftet over for styrelsen, at oplysnin-
gerne alene vil blive brugt i statistisk eller videnskabeligt øjemed.
2. Til Social-, Indenrigs- og Børneudvalgets spørgsmål om sikkerheden i for-
bindelse med videregivelse af personoplysninger kan Datatilsynet oplyse, at
det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de
fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at op-
lysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt
behandles i strid med loven.
Når personoplysningerne behandles for den offentlige forvaltning, skal der
endvidere iværksættes sikkerhedsforanstaltninger i overensstemmelse med
Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (sikkerhedsbe-
kendtgørelsen).
Det følger af § 14 i denne bekendtgørelse, at der kun må etableres eksterne
kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at
sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til
personoplysninger. Af Datatilsynets vejledning2
til bekendtgørelsen fremgår
herom bl.a.:
”For transmission af personoplysninger over åbne net (f.eks. Internet) gælder
konkret nedenstående minimumskrav om sikkerhedsforanstaltninger:
Ved transmission af oplysninger over det åbne Internet er der generelt en ri-
siko for, at oplysningerne undervejs læses og endog ændres af uvedkommen-
de. Derudover er der en risiko for, at parterne i kommunikationen ikke er
dem, de udgiver sig for.
Disse risici må vurderes af den dataansvarlige i den konkrete situation, såle-
des at der kan træffes de fornødne sikkerhedsforanstaltninger.
1
Datatilsynets j.nr. 2016-57-0144
2
Vejledning nr. 37 af 02. april 2001til bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den of-
fentlige forvaltning (sikkerhedsvejledningen)
3
Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de
transmitterede oplysninger. Hvis der er tale om transmission af fortrolige op-
lysninger, herunder personnummer, skal der som minimum foretages en
kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfat-
tet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal der anvendes en stærk
kryptering, baseret på en anerkendt algoritme.”
For så vidt angår sikkerhed ved behandling af oplysninger efter den 25. maj
2018, hvor databeskyttelsesforordningen3
finder anvendelse, kan Datatilsynet
særligt henlede opmærksomheden på forordningens artikel 25 (om databe-
skyttelse gennem design og standardindstillinger) og artikel 32 (om sikker-
hed).
3. I forhold til bemyndigelsesbestemmelsen i den foreslåede § 11, stk. 5, i lov
om apoteksvirksomhed, hvorefter Sundhedsministeren kan fastsætte nærmere
regler, skal Datatilsynet for god ordens skyld henlede opmærksomheden på
persondatalovens § 57. Det følger heraf, at der skal indhentes en udtalelse fra
Datatilsynet i forbindelse med udfærdigelse af bekendtgørelser, cirkulærer
eller lignende generelle retsforskrifter, der har betydning for beskyttelse af
privatlivet i forbindelse med behandling af oplysninger.
Kopi af dette brev er sendt til Sundheds- og Ældreministeriet samt til Justits-
ministeriet, Lovafdelingen, til orientering.
Med venlig hilsen
Helle Ginnerup-Nielsen
Specialkonsulent
3
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger og om ophævelse af direktiv 95/46/EF