L 146 - svar på spm. 68 om kommentar til henvendelsen af 3/5-18 fra Patientdataforeningen, fra sundhedsministeren

Folketingets Sundheds- og Ældreudvalg har den 8. maj 2018 stillet følgende spørgs-
mål nr. 68 (L 146 – forslag til lov om ændring af sundhedsloven (Organiseringen i
Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares.
Spørgsmål nr. 68:
”Mi istere bedes ko e tere he ve delse af . aj fra Patie tdataforenin-
gen, jf. L 146 - bilag .”
Svar:
Nedenfor følger svar på de specifikke anbefalinger angivet i henvendelsen.
”1) Vi skal på den baggrund anbefale, at der fortages en opdeling af dataansvaret så
regionen er dataansvarlig for den kliniske del af infrastrukturen med Nationalt Ge-
nom Center som databehandler og Nationalt Genom Center dataansvarlig for den
forskningsbaserede del af infrastrukturen.”
Som det fremgår af lovforslagets afsnit 2.2, bliver oplysninger af bl.a. genetisk karak-
ter allerede i dag behandlet i sundhedsvæsenet og forskningsverdenen i sammen-
hæng med andre oplysninger, f.eks. andre helbredsoplysninger, til brug for behand-
ling samt i forbindelse med forskning og statistik.
Der er i vid udstrækning tale om forskellige typer af lokale infrastrukturelle løsninger i
regi af de enkelte afdelinger, sygehuse, regioner eller universiteter. Disse lokale infra-
strukturelle løsninger er ikke bygget med henblik på anvendelse på tværs af sund-
hedsvæsenet eller efter fælles standarder, sikkerhedsløsninger m.v.
Der findes således ikke i dag en fælles, landsdækkende informationsinfrastruktur,
der kan understøtte sundhedsvæsenets behov for at kunne behandle oplysninger til
brug for at kunne tilbyde patienterne en mere tilpasset diagnostik og behandling.
Med lovforslaget foreslås det, at Nationalt Genom Center skal have ansvar for at ud-
vikle og drive fælles, landsdækkende informationsinfrastruktur for Personlig Medicin.
Denne informationsinfrastruktur skal bl.a. omfatte en national genomdatabase, der
indeholder en landsdækkende infrastruktur dels til udførelse af genomsekventering,
dels til opbevaring af oplysningerne.
Nationalt Genom Center vil være dataansvarlig for behandlingen af personoplysnin-
ger i den fælles landsdækkende informationsinfrastruktur i Nationalt Genom Center.
Det dataretlige ansvar for behandlingen af personoplysninger i den fælles landsdæk-
kende informationsinfrastruktur placeres således med lovforslaget hos en offentlig
myndighed. På denne måde vil det kunne sikres, at udviklingen af Personlig Medicin
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 14-05-2018
Enhed: DAICY
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 608470
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
Side 2
sker i offentligt regi under iagttagelse af bl.a. fortrolighed og individets ret til selvbe-
stemmelse samt høj databeskyttelse.
Det bemærkes i den forbindelse, at det fremgår af lovforslagets afsnit 2.2.1, at den
fælles, landsdækkende informationsinfrastruktur vil skulle drage nytte af og spille
sammen med de allerede eksisterende centrale og lokale infrastrukturer i sundheds-
væsenet og i forskningsverdenen.
I situationer, hvor en sundhedsperson i en region i medfør af sundhedslovens regler
om indhentning af helbredsoplysninger m.v. og inden for rammerne af den foreslå-
ede formålsbegrænsning i § 223 b, indhenter et resultat af en genetisk analyse i Nati-
onalt Genom Center til brug for diagnosticering og behandling, og hvor resultatet ef-
terfølgende noteres i patientens journal, vil den pågældende region i denne situation
være dataansvarlig for denne lokale behandling af personoplysninger.
”2) Vi skal på den baggrund videre anbefale, at der med lovforslaget indføres en
reel samtykkemodel for den forskningsbaserede del af infrastrukturen i Nationalt
Genom Center.”
Med lovforslagets § 1, nr. 5, foreslås det, at en patient skal kunne beslutte, at geneti-
ske oplysninger, som er udledt af biologisk materiale i forbindelse med behandling,
og som opbevares af Nationalt Genom Center, kun må anvendes til behandling af den
pågældende og til formål, der har en umiddelbar tilknytning hertil.
For at sikre, at patienten informeres om denne selvbestemmelsesret foreslås det
med lovforslagets § 1, nr. 7, at den behandlende sundhedsperson skal informere pati-
enten om vedkommendes selvbestemmelsesret forud for indhentning af patientens
samtykke til en behandling, der omfatter genetisk analyse.
”3) Vi skal på den baggrund anbefale, at formålet med Nationalt Genom Center be-
grænses til aktuel behandling af sygdom og forskning, og at formål siden kun kan
udvides efter beslutning af Folketinget.”
Som det fremgår af L 146 endeligt svar på spørgsmål 10, svarer formålene forebyg-
gende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling
eller forvaltning af læge- og sundhedstjenester til de formål, der er nævnt i § 7, stk. 3,
i forslag til databeskyttelsesloven. Fælles for de nævnte formål er, at de omhandler
behandling af oplysninger på sundhedsområdet.
Derudover skal det bemærkes, at det fremgår af bemærkningerne til lovforslagets §
1, nr. 22, at den foreslåede lovbestemte formålsbegrænsning ikke vil være til hinder
for, at Nationalt Genom Center videregiver oplysninger til brug for behandling af
klage- og erstatningssager i medfør af lov om klage- og erstatningsadgang inden for
sundhedsvæsenet eller til brug for Styrelsen for Patientsikkerheds varetagelse af til-
synsopgaver efter autorisationsloven eller sundhedsloven.
Der er således tale om behandling af klage- og erstatningssager og varetagelse af til-
synsopgaver inden for sundhedsvæsenet.
Endelig skal det bemærkes, at der den 1. maj 2018 blev stillet et ændringsforslag,
hvorefter oplysninger, der opbevares i Nationalt Genom Center, kun vil kunne udle-
veres til politiet til brug for efterforskning af terrorisme og terrorlignende handlinger,
. / .
. / .
Side 3
og det vil alene kunne ske i henhold til retsplejelovens regler om edition, hvilket inde-
bærer, at der som udgangspunkt vil skulle indhentes en retskendelse, der pålægger
Nationalt Genom Center at udlevere oplysningerne.
”4) Vi anbefaler, at der vælges en sikkerhedsmodel, hvor DNA-profiler ikke kan
fremsøges personidentificerbart uden den fremsøgtes godkendelse.”
For så vidt angår datasikkerhed i forhold til Nationalt Genom Center henvises der til L
146 endeligt svar på spørgsmål 15.
Det kan uddybende oplyses, at Nationalt Genom Center – i samarbejde med Sund-
hedsdatastyrelsen – løbende vil foretage vurdering af forskellige sikkerhedsmodeller,
herunder i forhold til privatlivsbeskyttelse, realiserbarhed i forhold til brugsscenarier
(fx anvendelighed i konkrete patientforløb), teknologimodenhed og leverandøraf-
hængighed.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen
. / .


Folketingets Sundheds- og Ældreudvalg har den 26. februar 2018 stillet følgende
spørgsmål nr. 15 (L 146 – forslag til lov om ændring af sundhedsloven (Organiserin-
gen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Li-
selott Blixt (DF).
Spørgsmål nr. 15:
”Ministeren bedes oplyse, om danskeres genetiske oplysninger vil blive sendt
til udlandet uden at der informeres om det. I bekræftende fald bedes ministeren
oplyse, om der sker inspektion af databehandlerne i udlandet.”
Svar:
Det er netop et af formålene med Nationalt Genom Center og opbygningen af en na-
tional infrastruktur til Personlig Medicin at nedbringe behovet for fysisk at sende op-
lysninger eller biologiske prøver til udlandet. Der arbejdes således på en løsning, hvor
data ikke kan tages ud af systemet. Der vil blive arbejdet udelukkende med data i der-
til dedikerede sikre analysemiljøer, hvorfra data ikke skal kunne downloades eller ek-
sporteres.
Spørgsmålet om datasikkerhed er helt afgørende for Nationalt Genom Center, og det
uddybes derfor nedenfor.
For at patientens data håndteres ansvarligt skal der oprettes et lukket system med
højest mulig sikkerhed. Det betyder bl.a., at der skal være fuld kontrol over hvilke
personer, der har adgang til oplysningerne. Der skal være automatiseret logning for
at overvåge brugernes adgange og handlinger og potentielle risici. Der skal arbejdes
med kryptering på alle niveauer i systemet. Det inkluderer bl.a. netværk og filsyste-
mer.
Nationalt Genom Center skal, som beskrevet i National Strategi for Personlig Medicin
2017-2020, være med til at sikre det overordnede formål med Personlig Medicin,
som er at kunne diagnosticere og klassificere sygdomme bedre, så behandlingen kan
tilpasses den enkelte patient.
Data opbevares derfor på en måde, så man ikke direkte kan identificere den enkelte
patient i databasen. Formålet betyder dog samtidigt, at man skal kunne gennemføre
patientspecifikke analyser, hvilket inkluderer, at man skal kunne opbevare data til
selve analyseafviklingen, og til eksempelvis patientens fremtidige behandlingsforløb, i
en national genomdatabase. Det er derfor nødvendigt at kunne tilbageføre de opbe-
varede data til den patient, som data omhandler, for at kunne bruge det i behandlin-
gen igen, når det er relevant.
Som anført i lovforslagets afsnit 2.1.5.2, så fremgår kravene til databeskyttelse bl.a. af
databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og data-
beskyttelse gennem standardindstillinger, databeskyttelsesforordningens artikel 32
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 13-04-2018
Enhed: SPOLD
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 560290
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 15
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
Side 2
om behandlingssikkerhed og databeskyttelsesforordningens artikel 35 om konse-
kvensanalyse vedrørende databeskyttelse. Kravene skal tilpasses risikoen, og når der
bl.a. samles store datamængder på dette område er risikoen, og dermed kravene,
større.
Der er ikke fastlagt en endelig sikkerhedsmodel for den foreslåede oprettelse af Nati-
onalt Genom Center. Som det fremgår af lovforslaget, vurderer Sundheds- og Ældre-
ministeriet, at Nationalt Genom Center vil skulle foretage en konsekvensanalyse i
overensstemmelse med reglerne i databeskyttelsesforordningens artikel 35. Denne
skal foretages forud for den endelige tilrettelæggelse af sikkerhedsløsningen. Som
det i øvrigt fremgår af lovforslaget, vil sikkerhedsniveauet løbende skulle tilpasses de
aktuelle risici.
Indretningen af sikkerhedsløsningen kan derfor ikke ses som en statisk model, men
som et område, der løbende skal tilpasses, også for at imødegå nye sikkerhedstrusler.
Desuden er det centralt at være opmærksom på, at en af årsagerne til, at der foreslås
oprettet et Nationalt Genom Center er, at det giver mulighed for at indrette de nye
systemer og sikkerhedsmodeller efter principperne om databeskyttelse gennem de-
sign og databeskyttelse gennem standardindstillinger. Det giver netop mulighed for
at sikre, at der findes en løsning, hvor sikkerhed er et bærende element i modsætning
til, hvis man alene videreanvender ældre løsninger, hvor sikkerhedsmodellen ikke har
haft det primære fokus.
Den samlede løsning vil blive underlagt et meget højt sikkerhedsniveau. Sikkerheden
for Nationalt Genom Center vil skulle opretholdes gennem en lang række initiativer.
Løsningen vil blive baseret på internationale og nationale erfaringer på området. Løs-
ningen kommer til at bygge på de nyeste teknologier og sikkerhedsparadigmer. Løs-
ningen bliver således underlagt et allerede stærkt reguleret område. Det inkluderer
fra aj 8 EU’s databeskyttelsesforord i g, forslag til databeskyttelseslove sa t
sundhedsloven. Derudover vil Nationalt Genom Center skulle følge internationale sik-
kerhedsstandarder. Desuden vil Nationalt Genom Center i samarbejde med Sund-
hedsdatastyrelsen løbende skulle følge udviklingen af forskellige sikkerhedsmodeller
Ud over privatlivsbeskyttelse skal realiserbarhed i forhold til brugsscenarier, teknolo-
gimodenhed og leverandørafhængighed også vurderes. Endelig undersøges mulighe-
den for at se på sikkerhedsmodeller fællesoffentligt. Der henvises i øvrigt til det uddy-
bende notat i bilag om sikkerhed i forbindelse med etablering og drift af den fælles
nationale teknologiske infrastruktur for Personlig Medicin.
Fsva. datastrømsanalyse skal det bemærkes, at det fremgår af betænkning nr. 1565 om
databeskyttelsesforordningen, at forordningens artikel 30 om fortegnelser ikke i sig
selv medfører et krav om større analyser af datastrømme m.v. Men Nationalt Genom
Center vil som dataansvarlig naturligvis skulle føre en fortegnelse over behandlingsak-
tiviteter i centeret, jf. databeskyttelsesforordningens artikel 30.
Hvad angår spørgsmålet om overførsel af personoplysninger til udlandet kan føl-
gende oplyses:
Nationalt Genom Center kan kun overføre personoplysninger til et land uden for EU –
et såkaldt tredjeland – hvis Nationalt Genom Center har et lovligt grundlag for at be-
handle, herunder videregive, oplysningerne. Herudover skal Nationalt Genom Center
sikre, at de særlige regler om overførsel af personoplysninger til tredjelande, dvs.
lande uden for EU, i databeskyttelsesforordningens kapitel V iagttages.
. / .
Side 3
Systemet vil dog teknisk betyde, at data ikke fysisk overføres til det andet land, men i
stedet betyde, at det vil være muligt fra EU-lande og tredjelande at få kontrolleret ad-
gang til data til fx forskning eller patientbehandling. Det vil ske på en måde, hvor data
ikke tages ud af systemet og dermed ikke fysisk forlader Danmark.
Det skal dog be ærkes at begrebet ”overførsel” juridisk også kan bestå af en såkaldt
”se adga g”. Det betyder, at selvom oplysningerne ikke fysisk forlader Danmark, så kan
situationen være omfattet af reglerne om overførsel til tredjelande og kravene, der
knytter sig hertil.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen


Folketingets Sundheds- og Ældreudvalg har den 26. februar 2018 stillet følgende
spørgsmål nr. 10 (L 146 – forslag til lov om ændring af sundhedsloven (Organiserin-
gen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra
Liselott Blixt (DF).
Spørgsmål nr. 10:
”Ministeren bedes oplyse, hvordan ministeren vil sikre, at borgerne blive informeret
tilstrækkeligt om Nationalt Genom Center og mulighederne for at kunne frasige sig
retten til at lade sine genetiske oplysninger anvende til andet end den pågældendes
behandling.”
Svar:
Patienters selvbestemmelsesret og information herom er helt centrale elementer i
lovforslaget.
Med lovforslaget får patienterne en særskilt ret til selvbestemmelse over vedkom-
mendes genetiske oplysninger, som er udledt af biologisk materiale, og som opbeva-
res i Nationalt Genom Center. Det vil sige, at patienten kan frabede sig, at vedkom-
mendes genetiske oplysninger behandles til andre formål end behandling af den på-
gældende og formål, der har en umiddelbar tilknytning hertil.
Det skal bemærkes, at patienten til enhver tid vil kunne ændre denne beslutning.
Patienten vil forud for den behandlende sundhedspersons indhentelse af samtykke til
en behandling, der omfatter genetisk analyse, blive informeret om sin selvbestem-
melsesret over genetiske oplysninger i Nationalt Genom Center. Patienten vil dermed
blive gjort opmærksom på, at vedkommendes genetiske oplysninger vil blive opbeva-
ret i Nationalt Genom Center, hvis der samtykkes til en behandling, der omfatter ge-
netisk analyse.
Patienten samtykker altså til selve behandlingen, der omfatter en genetisk analyse.
Det bemærkes i den forbindelse, at der vil blive fastsat regler om, at at sådant sam-
tykke skal være skriftligt. Der henvises i den forbindelse til samtidigt svar på SUU
spørgsmål nr. 16 (L 146 – forslag til lov om ændring af sundhedsloven (Organiserin-
gen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)).
Patienten vil i den forbindelse være fuldt ud informeret om, at oplysningerne efter-
følgende vil blive opbevaret og behandlet i Nationalt Genom Center. Det fremgår så-
ledes klart af lovforslaget, at lovforslaget indebærer, at den behandlende sundheds-
person forpligtes til, forud for at patienten meddeler informeret samtykke til en be-
handling, der omfatter en genetisk analyse, at informere patienten om patientens ret
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 13-04-2018
Enhed: SPOLD
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 559119
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 10
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
Side 2
til at træffe beslutning om, at genetiske oplysninger, der er udledt af biologisk materi-
ale, og som opbevares i Nationalt Genom Center, kun må anvendes til behandling af
den pågældende og til formål, der har en umiddelbar tilknytning hertil.
Det fremgår af lovforslaget, at der kan fastsættes regler om, hvordan denne informa-
tion skal foregå, så den bliver ensartet på tværs af landet. Der vil derfor blive fastsat
krav om, at informationen skal indeholde oplysninger, der klart og tydeligt beskriver,
at patienternes genetiske oplysninger opbevares i Nationalt Genom Center bl.a. til
brug for evt. senere behandling af patienten.
For at belyse nogle af de krav, som der med lovforslaget foreslås til den føromtalte
information, har Sundheds- og Ældreministeriet udarbejdet et udkast til eksempel på
blanket til brug for informeret samtykke til genetisk analyse, jf. bilaget Udkast til ek-
sempel på blanket om informeret samtykke til genetisk analyse.
Det skal understreges, at der er tale om et udkast til eksempel på en sådan blanket.
En endelig udarbejdelse af blanketten vil skulle ske med inddragelse af relevante fag-
lige personer samt det etiske udvalg og borger- og patientudvalget, der er nedsat un-
der bestyrelsen for National Strategi for Personlig Medicin 2017-2020 samt vigtige
kommunikative hensyn.
I det følgende vil selvbestemmelsesretten blive uddybet.
Med den i lovforslaget foreslåede § 1, nr. 5, sikres patienten en særskilt ret til selvbe-
stemmelse over vedkommendes genetiske oplysninger, som er udledt af biologisk ma-
teriale, og som opbevares i Nationalt Genom Center.
Det foreslås således, at en patient kan beslutte, at vedkommendes genetiske oplysnin-
ger, som er udledt af biologisk materiale i forbindelse med behandling, og som opbe-
vares af Nationalt Genom Center, kun må anvendes til behandling af den pågældende
og til formål, der har en umiddelbar tilknytning hertil.
Patientens beslutning om, at vedkommendes genetiske oplysninger kun må anvendes
til behandling af patienten selv og til formål, der har en umiddelbar tilknytning hertil,
skal registreres i Vævsanvendelsesregisteret.
Det fremgår af bemærkningerne til den foreslåede § 1, nr. 5, at der ved anvendelse til
formål, der har en umiddelbar tilknytning til behandlingen, skal forstås: Kvalitetssik-
ring, metodeudvikling, undervisning af sundhedspersoner på behandlingsstedet og
lignende rutinemæssige funktioner, der har direkte tilknytning til og sammenhæng
med behandlingsindsatsen.
Registrerer en patient – i Vævsanvendelsesregisteret – sin beslutning om, at vedkom-
mendes genetiske oplysninger kun må anvendes til egen behandling og formål, der har
en umiddelbar tilknytning hertil, vil vedkommendes genetiske oplysninger ikke kunne
blive behandlet til andre end disse formål.
Det fremgår endvidere af bemærkningerne til lovforslagets § 1, nr. 5, at dette ikke er
til hinder for, at Nationalt Genom Center kan videregive oplysninger til brug for be-
handling af klage- og erstatningssager i medfør af lov om klage- og erstatningsadgang
inden for sundhedsvæsenet eller til brug for Styrelsen for Patientsikkerheds vareta-
gelse af tilsynsopgaver efter autorisationsloven eller sundhedsloven.
. / .
Side 3
Det betyder bl.a., at behandling af patientens genetiske oplysninger til formål, som
vedrører statistiske eller videnskabelige undersøgelser, er udelukket.
For at sikre, at patienten informeres om denne selvbestemmelsesret foreslås det med
lovforslagets § 1, nr. 7, at den behandlende sundhedsperson skal informere patienten
om vedkommendes selvbestemmelsesret forud for indhentning af patientens sam-
tykke til en behandling, der omfatter genetisk analyse.
Den forslåede ordning indebærer, at patienten forud for et eventuelt samtykke til en
genetisk analyse vil blive informeret om muligheden for at frabede sig, at vedkommen-
des genetiske oplysninger i Nationalt Genom Center anvendes til andet end behandling
af den pågældende og formål, der har en umiddelbar tilknytning hertil, og i den forbin-
delse få tilbudt vejledning og hjælp til registrering i Vævsanvendelsesregisteret, hvis
det ønskes.
Det skal bemærkes, at der med den foreslåede ordning er tale om en informationspligt
for den behandlende sundhedsperson.
Med den foreslåede bestemmelse bemyndiges sundhedsministeren endvidere til at
kunne fastsætte nærmere regler om, hvordan patienten skal informeres om sin selv-
bestemmelsesret.
Det fremgår af lovforslagets afsnit 2.2.4 og af bemærkningerne til § 1, nr. 7, at det er
hensigten at udmønte bemyndigelsen ved at fastsætte regler, der sikrer, at informa-
tion til patienter om deres selvbestemmelsesret over genetiske oplysninger gives på
en ensartet måde på tværs af landet. Desuden skal reglerne sikre, at patienten infor-
meres om muligheden for, at patienten enten kan tilmelde sig Vævsanvendelsesregi-
steret via en blanket, som eventuelt kan udfyldes i forbindelse med patientbehandlin-
gen eller ved, at patienten selv kan tilmelde sig Vævsanvendelsesregisteret senere,
f.eks. via en elektronisk NemID løsning.
Det er klart, at der forudsættes et kendskab til Vævsanvendelsesregisteret for at en
patient reelt kan benytte sig af sin selvbestemmelsesret over genetiske oplysninger og
biologisk materiale. Derfor vil det som led i udmøntningen af den foreslåede § 1, nr. 7,
blive sikret, at der sker en væsentlig forbedring af den generelle information om pati-
enters selvbestemmelsesret over henholdsvis genetiske oplysninger, som er udledt af
biologisk materiale i forbindelse med behandling, og som opbevares af Nationalt Ge-
nom Center, samt biologisk materiale, som opbevares i det øvrige sundhedsvæsen.
Derudover fremgår det af Politisk aftale om Forslag til Lov om ændring af sundhedslo-
ven (Organiseringen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom
Center m.v.) af den 22. januar 2018, at Sundheds- og Ældreministeriet vil undersøge
mulighederne for, at selvbestemmelsesretten kan gælde forskellige anvendelser af de
genetiske oplysninger (differentieret selvbestemmelse/frabedelsesmodel).
Med det lovforslag, som er fremsat, vil en patients beslutning om, at vedkommendes
genetiske oplysninger, som er udledt af biologisk materiale, og som opbevares i Natio-
nalt Genom Center, kun må anvendes til behandling og formål, der har en umiddelbar
tilknytning hertil betyde, at brug af oplysninger til alle andre formål afskæres.
For så vidt angår mindreåriges retsstilling i forbindelse med patientbehandling, er
denne reguleret af sundhedsloven.
Side 4
Det følger i dag af sundhedslovens § 17, stk. 1, at en patient, der er fyldt 15 år, som
udgangspunkt selv kan give informeret samtykke til behandling, men forældremyndig-
hedsindehaveren skal tillige have information og inddrages i den mindreåriges stilling-
tagen.
Det foreslås med lovforslagets § 1, nr. 1, at fastsætte, at en patient, der er fyldt 15 år,
kan træffe beslutning om anvendelse af biologisk materiale og genetiske oplysninger,
der er udledt af biologisk materiale, efter bestemmelserne i sundhedslovens §§ 28-35.
Den foreslåede ordning indebærer, at en patient, der er fyldt 15 år, selv kan træffe
beslutning om anvendelse af biologisk materiale, som patienten afgiver eller har afgi-
vet i forbindelse med patientbehandling. Den foreslåede ordning indebærer endvi-
dere, at en patient, der er fyldt 15 år selv kan træffe beslutning om anvendelse af ge-
netiske oplysninger, der er udledt af biologisk materiale, og som opbevares i Nationalt
Genom Center.
En patient, der er fyldt 15 år, kan således beslutte, at vedkommendes genetiske oplys-
ninger, som er udledt af biologisk materiale i forbindelse med behandling, og som op-
bevares af Nationalt Genom Center, kun må anvendes til behandling af den pågæl-
dende og til formål, der har en umiddelbar tilknytning hertil.
Der vil endvidere blive fastsat regler om, at den behandlende sundhedsperson skal in-
formere en patient, der er fyldt 15 år, om vedkommendes selvbestemmelsesret forud
for indhentning af patientens samtykke til en behandling, der omfatter genetiske ana-
lyse
For børn under 15 år er det forældremyndighedsindehaveren, der giver informeret
samtykke til behandling på barnets vegne. Barnet skal informeres og inddrages i drøf-
telserne af behandlingen, hvis barnet forstår behandlingssituationen, medmindre det
kan skade barnet.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen


FORSLAG
Informeret samtykke til genomsekventering
Rekvirerende læge, afdeling, hospital: ___________________________________________________________
Jeg, _________________________, har informeret denne patient/forælder/værge om de mulige resultater og
begrænsninger ved genom sekventering. Vi har diskuteret de konsekvenser dette kan have og de procedurer der
bruges ved analyse og opbevaring af patientdata.
1. Jeg ønsker at DNA fra mig/mit barn/den person jeg er værge for bliver analyseret for følgende sygdom:
___________________________________________________________________________
2. Jeg er informeret om, at der ved genomsekventering er en risiko for fund af genfejl, som giver risiko for andre
sygdomme, end den undersøgelsen er udført for at belyse.
Jeg forholder mig således til tilfældige fund (sæt kun ét kryds):
 Jeg ønsker information om fund af sundhedsmæssig betydning, hvor der er mulighed for
forebyggelse/behandling.
 Jeg ønsker information om alle fund af sundhedsmæssig betydning, også dem hvor der ikke er mulighed for
forebyggelse/behandling.
 Jeg ønsker som hovedregel ikke information om tilfældige fund. Jeg accepterer dog, at der i meget sjældne
tilfælde kan være fund af en sådan sundhedsmæssig værdi for mig selv eller min familie, at min læge vil være
forpligtet til at informere mig om fundet.
3. Viden om genetiske sygdomme vil sandsynligvis blive større i fremtiden.
[Behov for formulering: Om hvorvidt patienten vil kontaktes yderligere, hvis der kommer kendskab til yderligere
information i forbindelse med aktuelle sygdom]
4. Jeg er informeret om, at data fra sekventeringen opbevares i Nationalt Genom Center.
5. Jeg er informeret om, at jeg altid kan frabede mig, at mine genetiske oplysninger i National Genom Center
bliver anvendt til andet end min egen behandling og formål umiddelbart knyttet hertil. Det kan ske på en blanket
eller gennem Vævsanvendelsesregistreret via NemID. Det er altid muligt at ændre mening. Hvis jeg benytter mig
af min selvbestemmelsesret, så betyder det bl.a., at mine genetiske oplysninger ikke må anvendes til forskning.
Jeg har modtaget materiale om min ret til at bestemme over mine genetiske oplysninger i Nationalt Genom
Center.
 Jeg ønsker at begrænse anvendelse af mine genetiske oplysninger ved at registrere mig i
Vævsanvendelsesregisteret nu, hvad angår de genetiske oplysninger, der tilgår Nationalt Genom Center. Jeg
udfylder i den sammenhæng relevant blanket eller anvender NemID løsning og ønsker hjælp hertil af personalet.
Navn patient
CPR
Adresse
By
Udfyldes af personale
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 10
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
__________________________________ ______________________________
Underskrift af patient /forælder/værge Patientens navn med blokbogstaver
______________________________________ ___________________________________
Underskrift af personale Dato


Ændringsforslag
til
Forslag til lov om ændring af sundhedsloven (Organiseringen i Sundheds- og
Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)
(L 146)
Af sundhedsministeren, tiltrådt af (…):
Til § 1
1) I den under nr. 22 foreslåede § 223 b indsættes som stk. 2:
”Stk. 2. Oplysninger som nævnt i stk. 1 er ikke genstand for edition efter retsplejelovens § 804, medmindre der er
tale om efterforskning af en overtrædelse af straffelovens § 114 eller § 114 a.”
B e m æ r k n i n g e r
Til nr. 1
Efter lovforslagets § 223 b må oplysninger, herunder genetiske oplysninger og oplysninger
om helbredsmæssige forhold, der tilgår Nationalt Genom Center, kun behandles i to situa-
tioner. For det første hvis det er nødvendigt med henblik på forebyggende sygdomsbekæm-
pelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sund-
hedstjenester, og behandlingen af oplysningerne foretages af en person inden for sund-
hedssektoren, der efter lovgivningen er undergivet tavshedspligt. For det andet hvis be-
handlingen alene sker med henblik på at udføre statistiske eller videnskabelige undersøgel-
ser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn
til udførelsen af undersøgelserne.
Som anført i bemærkningerne til lovforslaget betyder det eksempelvis, at Nationalt Genom
Center ikke vil kunne behandle oplysninger med hjemmel i databeskyttelsesforordningens
artikel 9, stk. 2, litra f, hvoraf det fremgår, at behandling af følsomme oplysninger kan ske,
hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller for-
svares.
Dog vil den foreslåede lovbestemte formålsbegrænsning ikke være til hinder for, at Natio-
nalt Genom Center videregiver oplysninger til brug for behandling af klage- og erstatnings-
sager i medfør af lov om klage- og erstatningsadgang inden for sundhedsvæsenet eller til
brug for Styrelsen for Patientsikkerheds varetagelse af tilsynsopgaver efter autorisationslo-
ven eller sundhedsloven.
Sundheds- og Ældreministeriet
Enhed: JURPSYK
Sagsbeh.: SUMKFH
Koordineret med:
Sagsnr.: 1707223
Dok. nr.: 580530
Dato: 01-05-2018
Sundheds- og Ældreudvalget 2017-18
L 146 Bilag 16
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
Side 2
Som det ligeledes fremgår af bemærkningerne, vil den foreslåede lovbestemte formålsbe-
grænsning heller ikke være til hinder for, at Nationalt Genom Center foretager anmeldelse
til politiet, hvis Nationalt Genom Center har mistanke om, at sundhedspersoner eller andre
personer uberettiget har indhentet eller videregivet oplysninger, der er opbevaret i Natio-
nalt Genom Center.
Den foreslåede formålsbegrænsning vil derimod eksempelvis indebære, at oplysninger, der
opbevares i Nationalt Genom Center i den fælles landsdækkende informationsinfrastruktur,
ikke kan behandles, herunder videregives, til brug for fastlæggelse af et retskrav i en forsik-
rings- eller pensionssag. Som et andet eksempel kan nævnes, at den foreslåede formålsbe-
grænsning vil indebære, at oplysninger, der opbevares i Nationalt Genom Center i den fæl-
les landsdækkende informationsinfrastruktur ikke vil kunne videregives til arbejdsgivere
med det formål at få belyst en lønmodtagers arbejdsdygtighed, herunder f.eks. om en løn-
modtager lider eller har lidt af en sygdom eller er i risiko for at udvikle en sygdom, der kan
få betydning for lønmodtagerens arbejdsdygtighed
En patient vil heller ikke kunne meddele samtykke til, at Nationalt Genom Center behandler
genetiske oplysninger eller oplysninger om helbredsmæssige forhold til formål, der ligger
uden for de formål, der er nævnt i bestemmelsen.
Der har som led i debatten om lovforslaget været rejst tvivl om, i hvilket omfang politiet i
henhold til retsplejelovens regler om edition vil kunne få udleveret oplysninger, der opbe-
vares i Nationalt Genom Center, til brug for efterforskning af kriminalitet. Dette spørgsmål
er ikke omtalt i bemærkningerne til lovforslaget.
Det følger af retsplejelovens § 804, stk. 1, at der som led i efterforskning af en
lovovertrædelse, der er undergivet offentlig påtale, kan meddeles en person, der ikke er
mistænkt, pålæg om at forevise eller udlevere genstande (edition), hvis der er grund til at
antage, at en genstand, som den pågældende har rådighed over, kan tjene som bevis, bør
konfiskeres eller ved lovovertrædelsen er fravendt nogen, som kan kræve den tilbage.
Det følger af retsplejelovens § 804, stk. 4, at der ikke kan meddeles pålæg om edition,
såfremt der derved vil fremkomme oplysning om forhold, som den pågældende ville være
udelukket fra eller fritaget for at afgive forklaring om som vidne, jf. retsplejelovens §§ 169-
172.
Det følger endvidere af retsplejelovens § 805, stk. 1, at pålæg om edition ikke må meddeles,
såfremt indgrebet står i misforhold til sagens betydning og det tab eller den ulempe, som
indgrebet kan antages at medføre.
Det følger endvidere af retsplejelovens § 806, stk. 1 og 2, at afgørelse om pålæg om edition
træffes efter politiets begæring, og at afgørelsen som udgangspunkt træffes af retten ved
kendelse.
Det er Sundheds- og Ældreministeriets vurdering, at der i almindelighed ikke med hjemmel
i retsplejelovens regler om edition vil kunne foretages en søgning i Nationalt Genom Center
med henblik på ud fra et dna-spor at identificere en person.
Det vil dog ikke kunne afvises, at der vil kunne opstå en så ekstraordinær situation, at det
efter retsplejelovens regler om edition vil være et proportionalt indgreb at pålægge Natio-
nalt Genom Center ud fra et dna-spor at søge i centrets genomoplysninger for at søge at
identificere en person. Som eksempel kan nævnes, at politiet er i besiddelse af dna-spor på
en formodet terrorist, hvor en identifikation forventes at kunne bidrage til at forebygge et
forestående terrorangreb.
Side 3
Med henblik på at udelukke enhver tvivl om, hvilket resultat domstolene konkret vil kunne
nå frem til, findes det hensigtsmæssigt – ved indsættelsen af et nyt stk. 2 til den foreslåede
bestemmelse i § 223 b – at fastsætte, hvornår oplysninger, som opbevares i Nationalt Ge-
nom Center, kan kræves udleveret til politiet i henhold til retsplejelovens regler om edition.
Det foreslås derfor, at oplysninger, som opbevares i Nationalt Genom Center, ikke kan ud-
leveres til politiet efter retsplejelovens regler om edition, medmindre der er tale om efter-
forskning af en overtrædelse af straffelovens § 114 eller § 114 a om terrorisme og terrorlig-
nende handlinger.
Med den foreslåede indsættelse af et nyt stk. 2 i § 223 b vil oplysningerne således kun kunne
udleveres til politiet til brug for efterforskning af terrorisme og terrorlignende handlinger,
og det vil alene kunne ske i henhold til retsplejelovens regler om edition, hvilket indebærer,
at der som udgangspunkt vil skulle indhentes en retskendelse, der pålægger Nationalt Ge-
nom Center at udlevere oplysningerne, jf. ovenfor.
Bestemmelsen i det foreslåede § 223 b, stk. 2, beskriver således udtømmende adgangen til
at pålægge Nationalt Genom Centers at udlevere oplysninger som nævnt i bestemmelsen i
§ 223 b (som med ændringsforslaget bliver § 223 b, stk. 1) efter retsplejelovens regler om
edition til politiet til brug for efterforskning af kriminalitet.
Det vil betyde, at oplysningerne, der opbevares i Nationalt Genom Center, ikke vil kunne
udleveres til politiet til brug for efterforskning af anden kriminalitet end terrorisme og ter-
rorlignende handlinger, herunder eksempelvis efterforskning af en sag om (almindeligt)
drab.


NOTAT
Sikkerhed i forbindelse med etablering og drift af den fælles
nationale teknologiske infrastruktur for Personlig Medicin
Personlig Medicin omfatter bl.a. brugen af genomdata til behandling af patienter og til
forskningsformål. Disse data indeholder helbredsoplysninger og tilhører derfor følsomme
personhenførbare sundhedsdata. Der kræves derfor et højt sikkerhedsniveau. Den fælles
nationale teknologiske infrastruktur for Personlig Medicin, der skal understøtte
genomsekventering og sikker anvendelse af disse data, skal derfor etableres og drives i
overensstemmelse med de krav og retningslinjer, der er for håndtering af følsomme
personhenførbare sundhedsdata.
Den fælles nationale teknologiske infrastruktur for Personlig Medicin indeholder bl.a. Den
Nationale Genomdatabase, High Performance Computing-faciliteter (HPC-faciliteter),
genomsekventeringsfaciliteter samt en tværgående teknisk infrastruktur på tværs af disse
elementer.
Informationssikkerhed og fysisk sikkerhed skal leve op til gældende love og regler,
herunder for nuværende Persondataloven og Sikkerhedsbekendtgørelsen og EU's
databeskyttelsesdirektiv. Efter maj 2018 gælder databeskyttelsesforordningen fra EU og i
tillæg hertil relevant national lovgivning samt nationale og regionale retningslinjer,
vejledninger m.v.
Indeværende notat opsummerer de væsentligste elementer, som arbejdet med sikkerhed
i forbindelse med etablering og drift af den fælles nationale teknologiske infrastruktur for
Personlig Medicin baseres på:
1. Sundhedsloven og Vejledning om informationssikkerhed
2. EU’s Databeskyttelsesforordningen (GDPR)
3. Privacy by Design (Data Protection by Design)
4. International standard til styring af informationssikkerhed
5. Internationale retningslinjer for fysisk sikkerhed
1. Sundhedsloven og Vejledning om informationssikkerhed i sundhedsvæsenet
Arbejdet med at etablere og efterfølgende drive den fælles nationale teknologiske
infrastruktur for Personlig Medicin, skal ske inden for rammerne af de principper og
retningslinjer vedr. håndtering af følsomme personhenførbare sundhedsdata, der er
fastlagt i Sundhedsloven.
Sundhedsdatastyrelsens Vejledning om informationssikkerhed i sundhedsvæsenet (2016)
konkretiserer derudover, hvordan dansk lovgivning – herunder Sundhedsloven – skal
fortolkes, og kommer med forslag til, hvordan gældende krav og regler samt best practise
kan implementeres og efterleves i dette regi.
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 15
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 68
Offentligt
Side 2
En central del af arbejdet med sikkerhed omkring den fælles nationale teknologiske
infrastruktur for Personlig Medicin baseres derfor både på Sundhedsloven og på
yderligere detaljer i Vejledningen om informationssikkerhed i sundhedsvæsenet.
2. EU’s Databeskyttelsesforordning (GDPR) samt persondataloven og
sikkerhedsbekendtgørelsen og anden relevant lovgivning
På nuværende tidspunkt er det især Persondataloven og tilhørende
sikkerhedsbekendtgørelse, der regulerer spørgsmålet om databeskyttelse af
personoplysninger i Danmark.
Fra maj 2018 vil det være EU's Databeskyttelsesforordning og tilhørende implementering i
dansk lovgivning, herunder det fremsatte forslag til databeskyttelseslov og evt. yderligere
relevant dansk lovgivning, der gælder på området.
Alle tekniske komponenter og aktører i samarbejdet om den fælles nationale teknologiske
infrastruktur for Personlig Medicin udarbejdes i regi af, og er fremadrettet underlagt
Databeskyttelsesforordningen.
Fra Justitsministerens side er der som fortolkningsbidrag udarbejdet en betænkning, der
gennemgår konsekvenserne af Databeskyttelsesforordningen i forhold til den gældende
retstilstand efter Persondataloven og Databeskyttelsesdirektivet. Krav og retningslinjer i
Databeskyttelsesforordningen er endnu ikke indarbejdet i Vejledning om
informationssikkerhed i sundhedsvæsenet og vil derfor skulle iagttages særskilt.
En række aktører vil på forskellig vis være involveret i den fælles nationale teknologiske
infrastruktur for Personlig Medicin, for at arbejdet med at genomsekventere, analysere og
fortolke resultater kan realiseres, og de vil tilsvarende på forskellig vis skulle anvende
relateret data. Dette kan både inkludere leverandører af software, hardware og lign.,
klinikere der fortolker resultaterne, teknisk personale ansat af universiteterne, der
vedligeholder HPC-faciliteterne (af GDPR benævnt ’controllers’ og ’processors’, og i dansk
regi eksisterende retningslinjer for arbejdet omkring dataansvarlige og databehandlere).
Ved inddragelse af tredjepart vil arbejdet baseres på en struktureret tilgang til at
minimere de risici der er forbundet med at inddrage en tredjepart. Som minimum skal
tredjeparter overholde de samme retningslinjer og principper, som er opstillet i
indeværende notat, men der kan være tilfælde, hvor kravene skærpes yderligere.
3. Databeskyttelse gennem design (Privacy/Data Protection by Design)
Princippet i Databeskyttelsesforordningen om ’Privacy by Design’ er nyt i forhold til i dag.
Det vil være dog være centralt for designet af den fælles nationale teknologiske
infrastruktur for Personlig Medicin.
Som en del af den vedtagne Databeskyttelsesforordning (GDPR) arbejdes der under
princippet ’Privacy by Design’, som alle nuværende og fremadrettede løsninger og
relaterede teknisk infrastruktur skal designes under. Det gælder derfor også for etablering
og drift af den fælles nationale teknologiske infrastruktur for Personlig Medicin til
varetagelse af området inden for genomsekventering og Personlig Medicin.
Målet er at sikre, at personfølsomme data ikke i sig selv kan henføres direkte til en
identificeret eller identificerbar fysisk person. Hermed er koblingen mellem eksempelvis
rådata og analyseresultater fra en genomsekventering og personen, disse data vedrører,
Side 3
beskyttet med en nøgle, som sikrer, at alene den der kontrollerer nøglerne, kan
identificere den registrerede. Målet er kritisk i både forventede anvendelsesscenarier,
men også, og især, ved eventuelle utilsigtede brug af data, ved generelle brud på
datasikkerhed eller mulige cyberangreb.
Ved ’Privacy by Design’ forstås, at beskyttelsen af følsomme personhenførbare data kan
forbedres ved som udgangspunkt at designe sin teknologi således, at den reducerer
graden af indgriben i de registreredes privatliv. Dette sker typisk ved dels at begrænse
både adgangs- og anvendelsesmulighederne for behandling af følsomme
personhenførbare data, og dels at sikre en tidlig pseudonymisering af følsomme
personhenførbare data.
Pseudonymisering betyder, at data der kan identificere en given person holdes adskilt fra
de følsomme data om samme person på en sådan måde, at de ikke længere kan henføres
til personen uden brug af supplerende oplysninger og sikkerhed. De supplerende
oplysninger skal derfor opbevares separat og skal være underlagt tydelige og
gennemsigtige snitflader ift. selve løsningen og den relaterede teknisk infrastruktur samt
tilhørende governancestruktur. Disse tiltag er derfor yderst kritiske for beskyttelsen af
især følsomme personhenførebare sundhedsdata for området for Personlig Medicin.
Justitsministeriets vejledning om sikkerhed gennem design og standardindstillinger
forventes i december 2017.
I tillæg til ovenstående lovgivning vil sundhedsområdet også fra maj 2018 være reguleret
af EU’s NIS-direktiv, der vedrører beskyttelsen af cybersikkerheden for kritisk
infrastruktur. Dette kan også blive relevant for den fælles nationale teknologiske
infrastruktur for Personlig Medicin.
4. International standard til styring af informationssikkerhed
Arbejdet med at etablere og drive den fælles nationale teknologiske infrastruktur for
Personlig Medicin, skal følge de principper og retningslinjer, der er fastlagt i standarden
ISO27001 (international standard til styring af informationssikkerhed). Det inkluderer de
særlige forhold, der gælder i relation til følsomheden af personhenførbare sundhedsdata.
Der lægges særlig vægt på standardens fokus på afvejning af de indgående parters
risikoprofil versus rette sikkerhedsforanstaltninger og kontrolprocedurer, standardens
strenge krav til kontroller versus muligheden for løbende tilpasning i takt med ændringer i
organisationen, teknologi og trusselsbilledet, og sidst, at standarden har en fleksibilitet i
forhold til, at den kan anvendes sammen med andre rammeværk for
informationssikkerhed.
Alle parter, der indgår i den fælles nationale teknologiske infrastruktur for Personlig
Medicin, skal således kunne leve op til ISO27001, og dette skal dokumenteres gennem
løbende auditeringer.
ISO27001 understøtter et højt niveau for sikkerhed, hvor risikotolerancen for etablering og
drift af den fælles nationale teknologiske infrastruktur for Personlig Medicin er 0 og
sikkerheds- og databrud ikke kan accepteres. Dette indebærer eksempelvis, at alle
sikkerhedskontroller dokumenteres, og skal kunne fremskaffes ved forespørgsel således,
at al historik vedr. håndtering af drift og vedligehold ift. blandt andet
informationssikkerhed til alle tider kan revideres.
Side 4
5. Internationale retningslinjer for fysisk sikkerhed
I relation til den fysiske sikkerhed omkring den fælles nationale teknologiske infrastruktur
for Personlig Medicin baseres arbejdet på alle ISO27001-sikkerhedskontroller, der
vedrører fysisk sikkerhed. Den gælder i særdeleshed de steder, hvor de enkelte
involverede HPC-faciliteter og Den National Genomdatabase huses.
Derudover baseres arbejdet på at anvende yderligere sikkerhedskontroller fra NIST-
standard (amerikansk standardiseringsorganisation National Institute of Standards and
Technology). Kombinationen af ISO27001 og NIST giver en fordel ved beskyttelse af
højrisikodata og indebærer blandt andet minimering af adgange, dokumenteret
vedligeholdelse af udstyr, kontroller mod katastrofer m.v.