L 146 - svar på spm. 69 om kommentar til henvendelsen af 13/5-18 fra Patientdataforeningen, fra sundhedsministeren

Folketingets Sundheds- og Ældreudvalg har den 14. maj 2018 stillet følgende spørgs-
mål nr. 69 (L 146 – forslag til lov om ændring af sundhedsloven (Organiseringen i
Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares.
Spørgsmål nr. 69:
”Mi istere bedes ko e tere he vendelsen af 13. maj 2018 fra Patientdatafor-
eningen, jf. L 146 - bilag 22.”
Svar:
Som anført i L 146 endeligt svar på spørgsmål 30, underlægges behandling af oplys-
ninger i Nationalt Genom Center mere restriktive regler, end de regler, der gælder for
behandling af sådanne oplysninger i lokalt regi.
Lovforslaget regulerer ganske rigtigt ikke rekruttering af forsøgspersoner. Området
for rekruttering af forsøgspersoner vil følge af gældende ret.
Lovforslaget regulerer heller ikke kravene til databeskyttelse. Disse vil fremgå af data-
beskyttelsesforordningen.
Det skal understreges, at der i Nationalt Genom Center vil blive arbejdet med pseu-
donymiserede data i dertil dedikerede sikre analysemiljøer, hvorfra data ikke skal
kunne downloades eller eksporteres. Der henvises i øvrigt til L 146 endeligt svar på
spørgsmål 15.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen
Folketingets Sundheds- og Ældreudvalg
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 17-05-2018
Enhed: DAICY
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 611403
. / .
. / .
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 69
Offentligt


Folketingets Sundheds- og Ældreudvalg har den 26. februar 2018 stillet følgende
spørgsmål nr. 30 (L 146 – forslag til lov om ændring af sundhedsloven (Organiserin-
gen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Kir-
sten Normann Andersen (SF).
Spørgsmål nr. 30:
”Ministeren bedes bekræfte, at data fra Nationalt Genom Center udelukkende
kan anvendes til de i lovforslaget fastsatte formål, og at ingen andre myndigheder
– herunder f.eks. politiet – kan gives adgang til dataene.”
Svar:
Oplysninger i Nationalt Genom Center vil kun kunne behandles til de formål, der følger
af den foreslåede lovbestemte formålsbegrænsning, og politiet vil ikke i almindelighed
kunne få adgang til oplysningerne i Nationalt Genom Center.
Med det lovforslag som er fremsat, vil det dog ikke kunne afvises, at en dommer i en
ekstraordinær situation, fx til brug for forebyggelse af et forestående terrorangreb, vil
kunne give politiet en retskendelse, der pålægger Nationalt Genom Center at oplyse
identiteten på en person med en bestemt dna-profil.
For at sikre fuld gennemsigtighed med formålet med Nationalt Genom Centers be-
handling af oplysninger, herunder genetiske oplysninger og helbredsoplysninger, fore-
slås det med lovforslaget, at Nationalt Genom Centers behandling underlægges en lov-
bestemt formålsbegrænsning.
Det fremgår således af lovforslagets § 1, nr. 22, vedrørende den foreslåede § 223 b, at
oplysninger, der tilgår Nationalt Genom Center, herunder genetiske oplysninger og op-
lysninger om helbredsmæssige forhold, kun må behandles, hvis det er nødvendigt med
henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, pati-
entbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af op-
lysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen
er undergivet tavshedspligt, eller hvis behandlingen alene sker med henblik på at ud-
føre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig be-
tydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgel-
serne.
Formålene forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, pati-
entbehandling eller forvaltning af læge- og sundhedstjenester svarer til de formål, der
er nævnt i § 7, stk. 3, i forslag til databeskyttelsesloven. Fælles for de nævnte formål
er, at de omhandler behandling af oplysninger på sundhedsområdet.
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 13-04-2018
Enhed: SPOLD
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 567173
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 30
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 69
Offentligt
Side 2
Statistiske eller videnskabelige undersøgelser svarer til de formål, der følger dels af §
10 i forslag til databeskyttelsesloven, dels de bestemmelser i sundhedsloven, komité-
loven og i lov om kliniske forsøg med lægemidler, der vedrører behandling til forsk-
ningsmæssige formål.
Den lovbestemte formålsbegrænsning indebærer således, at Nationalt Genom Center
alene kan behandle oplysninger, som er tilgået centeret, til formål, der vedrører sund-
hedsvæsenet eller til videnskabelige eller statistiske formål.
Som det fremgår af bemærkningerne til § 1, nr. 22, underlægges oplysninger i Nationalt
Genom Center mere restriktive regler, end de regler, der i øvrigt gælder for behandling
af sådanne oplysninger i lokalt regi.
Det betyder bl.a., at oplysninger, herunder genetiske oplysninger og oplysninger om
helbredsmæssige forhold, kun må videregives til de formål, der fremgår af førnævnte
bestemmelse.
Nationalt Genom Center vil eksempelvis ikke kunne behandle oplysninger med hjem-
mel i databeskyttelsesforordningens artikel 9, stk. 2, litra f, hvorefter behandling af
følsomme oplysninger kan ske, hvis behandlingen er nødvendig for, at et retskrav kan
fastlægges, gøres gældende eller forsvares. Det følger samtidigt af lovforslagets afsnit
2.2.3, at den lovbestemte formålsbegrænsning dog ikke vil være til hinder for, at Nati-
onalt Genom Center videregiver oplysninger til brug for behandling af klage- og erstat-
ningssager i medfør af lov om klage- og erstatningsadgang inden for sundhedsvæsenet
eller til brug for Styrelsen for Patientsikkerheds varetagelse af tilsynsopgaver efter au-
torisationsloven eller sundhedsloven. Det skal i den forbindelse bemærkes, at behand-
ling af klage- og erstatningssager inden for sundhedsvæsenet er væsentlig i forhold til
at sikre patienternes retsstilling.
Oplysningerne i Nationalt Genom Center vil dermed ikke kunne videregives til brug for
fastlæggelse af et retskrav i en forsikringssag- eller pensionssag. Derudover vil oplys-
ninger i Nationalt Genom Center ikke kunne videregives til arbejdsgivere med henblik
på, at de kan få belyst en lønmodtagers arbejdsdygtighed.
En patient vil heller ikke kunne meddele samtykke til, at Nationalt Genom Center be-
handler genetiske oplysninger eller oplysninger om helbredsmæssige forhold til for-
mål, der ligger uden for de formål, der er nævnt i bestemmelsen.
Derudover vil den foreslåede lovbestemte formålsbegrænsning heller ikke være til hin-
der for, at Nationalt Genom Center foretager anmeldelse til politiet, hvis Nationalt Ge-
nom Center har mistanke om, at sundhedspersoner eller andre personer uberettiget
har indhentet eller videregivet oplysninger, der er opbevaret i Nationalt Genom Cen-
ter, jf. bemærkningerne til den foreslåede § 1, nr. 22.
Som det fremgår af ovenstående, er Nationalt Genom Centers behandling, herunder
indsamling af oplysninger, således underlagt en række retlige begrænsninger.
For så vidt angår oplysninger i Nationalt Genom Center vil sundhedspersoner i den kli-
niske del af den fælles landsdækkende informationsinfrastruktur være omfattet af
rammerne i sundhedslovens kapitel 9. Der henvises i den forbindelse til lovforslagets
afsnit 2.1.1.2 og 2.1.1.3 og bemærkningerne til § 1, nr. 22.
Side 3
Derudover vil Nationalt Genom Centers videregivelse af oplysninger til forskere fra den
del af den fælles landsdækkende informationsinfrastruktur, hvori der opbevares data
med henblik på at varetage forskningsformål og statistiske formål navnlig være regu-
leret af § 10 i forslag til databeskyttelsesloven.
Der henvises i den forbindelse til lovforslagets afsnit 2.1.5 og bemærkningerne til § 1,
nr. 22.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen


Folketingets Sundheds- og Ældreudvalg har den 26. februar 2018 stillet følgende
spørgsmål nr. 15 (L 146 – forslag til lov om ændring af sundhedsloven (Organiserin-
gen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)) til
sundhedsministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Li-
selott Blixt (DF).
Spørgsmål nr. 15:
”Ministeren bedes oplyse, om danskeres genetiske oplysninger vil blive sendt
til udlandet uden at der informeres om det. I bekræftende fald bedes ministeren
oplyse, om der sker inspektion af databehandlerne i udlandet.”
Svar:
Det er netop et af formålene med Nationalt Genom Center og opbygningen af en na-
tional infrastruktur til Personlig Medicin at nedbringe behovet for fysisk at sende op-
lysninger eller biologiske prøver til udlandet. Der arbejdes således på en løsning, hvor
data ikke kan tages ud af systemet. Der vil blive arbejdet udelukkende med data i der-
til dedikerede sikre analysemiljøer, hvorfra data ikke skal kunne downloades eller ek-
sporteres.
Spørgsmålet om datasikkerhed er helt afgørende for Nationalt Genom Center, og det
uddybes derfor nedenfor.
For at patientens data håndteres ansvarligt skal der oprettes et lukket system med
højest mulig sikkerhed. Det betyder bl.a., at der skal være fuld kontrol over hvilke
personer, der har adgang til oplysningerne. Der skal være automatiseret logning for
at overvåge brugernes adgange og handlinger og potentielle risici. Der skal arbejdes
med kryptering på alle niveauer i systemet. Det inkluderer bl.a. netværk og filsyste-
mer.
Nationalt Genom Center skal, som beskrevet i National Strategi for Personlig Medicin
2017-2020, være med til at sikre det overordnede formål med Personlig Medicin,
som er at kunne diagnosticere og klassificere sygdomme bedre, så behandlingen kan
tilpasses den enkelte patient.
Data opbevares derfor på en måde, så man ikke direkte kan identificere den enkelte
patient i databasen. Formålet betyder dog samtidigt, at man skal kunne gennemføre
patientspecifikke analyser, hvilket inkluderer, at man skal kunne opbevare data til
selve analyseafviklingen, og til eksempelvis patientens fremtidige behandlingsforløb, i
en national genomdatabase. Det er derfor nødvendigt at kunne tilbageføre de opbe-
varede data til den patient, som data omhandler, for at kunne bruge det i behandlin-
gen igen, når det er relevant.
Som anført i lovforslagets afsnit 2.1.5.2, så fremgår kravene til databeskyttelse bl.a. af
databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og data-
beskyttelse gennem standardindstillinger, databeskyttelsesforordningens artikel 32
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M sum@sum.dk
W sum.dk
Dato: 13-04-2018
Enhed: SPOLD
Sagsbeh.: DEPPADL
Sagsnr.: 1707223
Dok. nr.: 560290
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 15
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 69
Offentligt
Side 2
om behandlingssikkerhed og databeskyttelsesforordningens artikel 35 om konse-
kvensanalyse vedrørende databeskyttelse. Kravene skal tilpasses risikoen, og når der
bl.a. samles store datamængder på dette område er risikoen, og dermed kravene,
større.
Der er ikke fastlagt en endelig sikkerhedsmodel for den foreslåede oprettelse af Nati-
onalt Genom Center. Som det fremgår af lovforslaget, vurderer Sundheds- og Ældre-
ministeriet, at Nationalt Genom Center vil skulle foretage en konsekvensanalyse i
overensstemmelse med reglerne i databeskyttelsesforordningens artikel 35. Denne
skal foretages forud for den endelige tilrettelæggelse af sikkerhedsløsningen. Som
det i øvrigt fremgår af lovforslaget, vil sikkerhedsniveauet løbende skulle tilpasses de
aktuelle risici.
Indretningen af sikkerhedsløsningen kan derfor ikke ses som en statisk model, men
som et område, der løbende skal tilpasses, også for at imødegå nye sikkerhedstrusler.
Desuden er det centralt at være opmærksom på, at en af årsagerne til, at der foreslås
oprettet et Nationalt Genom Center er, at det giver mulighed for at indrette de nye
systemer og sikkerhedsmodeller efter principperne om databeskyttelse gennem de-
sign og databeskyttelse gennem standardindstillinger. Det giver netop mulighed for
at sikre, at der findes en løsning, hvor sikkerhed er et bærende element i modsætning
til, hvis man alene videreanvender ældre løsninger, hvor sikkerhedsmodellen ikke har
haft det primære fokus.
Den samlede løsning vil blive underlagt et meget højt sikkerhedsniveau. Sikkerheden
for Nationalt Genom Center vil skulle opretholdes gennem en lang række initiativer.
Løsningen vil blive baseret på internationale og nationale erfaringer på området. Løs-
ningen kommer til at bygge på de nyeste teknologier og sikkerhedsparadigmer. Løs-
ningen bliver således underlagt et allerede stærkt reguleret område. Det inkluderer
fra aj 8 EU’s databeskyttelsesforord i g, forslag til databeskyttelseslove sa t
sundhedsloven. Derudover vil Nationalt Genom Center skulle følge internationale sik-
kerhedsstandarder. Desuden vil Nationalt Genom Center i samarbejde med Sund-
hedsdatastyrelsen løbende skulle følge udviklingen af forskellige sikkerhedsmodeller
Ud over privatlivsbeskyttelse skal realiserbarhed i forhold til brugsscenarier, teknolo-
gimodenhed og leverandørafhængighed også vurderes. Endelig undersøges mulighe-
den for at se på sikkerhedsmodeller fællesoffentligt. Der henvises i øvrigt til det uddy-
bende notat i bilag om sikkerhed i forbindelse med etablering og drift af den fælles
nationale teknologiske infrastruktur for Personlig Medicin.
Fsva. datastrømsanalyse skal det bemærkes, at det fremgår af betænkning nr. 1565 om
databeskyttelsesforordningen, at forordningens artikel 30 om fortegnelser ikke i sig
selv medfører et krav om større analyser af datastrømme m.v. Men Nationalt Genom
Center vil som dataansvarlig naturligvis skulle føre en fortegnelse over behandlingsak-
tiviteter i centeret, jf. databeskyttelsesforordningens artikel 30.
Hvad angår spørgsmålet om overførsel af personoplysninger til udlandet kan føl-
gende oplyses:
Nationalt Genom Center kan kun overføre personoplysninger til et land uden for EU –
et såkaldt tredjeland – hvis Nationalt Genom Center har et lovligt grundlag for at be-
handle, herunder videregive, oplysningerne. Herudover skal Nationalt Genom Center
sikre, at de særlige regler om overførsel af personoplysninger til tredjelande, dvs.
lande uden for EU, i databeskyttelsesforordningens kapitel V iagttages.
. / .
Side 3
Systemet vil dog teknisk betyde, at data ikke fysisk overføres til det andet land, men i
stedet betyde, at det vil være muligt fra EU-lande og tredjelande at få kontrolleret ad-
gang til data til fx forskning eller patientbehandling. Det vil ske på en måde, hvor data
ikke tages ud af systemet og dermed ikke fysisk forlader Danmark.
Det skal dog be ærkes at begrebet ”overførsel” juridisk også kan bestå af en såkaldt
”se adga g”. Det betyder, at selvom oplysningerne ikke fysisk forlader Danmark, så kan
situationen være omfattet af reglerne om overførsel til tredjelande og kravene, der
knytter sig hertil.
Med venlig hilsen
Ellen Trane Nørby / Anne-Sofie Duelund Lassesen


København den 13. maj 2018.
Til Sundheds- og Ældreudvalget
I Patientdataforeningen har vi med interesse læst en række af ministerens svar vedrørende
lovbehandlingsarbejdet om et kommende Nationalt Genom Center. Flere af svarene bekymrer os
stærkt, da de har meget vidtgående konsekvenser. Det fremgår af svarene:
• at data i Nationalt Genom Center kan bruges til at fremsøge og rekruttere egnede
forsøgspersoner til afprøvning af lægemidler.
• at lovforslaget ikke sætter nogle grænser for den fremtidige anvendelse af oplysninger og
at lovforslaget ikke regulerer hvem der kan få adgang til oplysningerne.
Lægemiddelindustrien har dermed også adgang til oplysningerne.
• at lovforslaget også tillader overførsel af rådata om borgenres genoplysninger til andre og
at det alene er teknikken, der er afgørende for, at det ikke er muligt.
• at lovforslaget ikke sætter grænser for at fremsøge og samkøre registrerede borgere.
Fremsøgning kan ske med brug af billedgenkendelse. Borgere får allerede i dag taget
ansigtsbilleder i forbindelse med blodprøveudtagning og hvor oplysninger om ansigtstræk
samkøres med genetiske oplysninger for at fremsøge borgere med risiko for psykisk
sygdom.
Uddybning
Det fremgår af ministerens svar på spørgsmål 49 at genetiske oplysninger i Nationalt Genom
Center kan bruges til at fremsøge egnede forsøgspersoner til lægemiddelafprøvning med henblik
på rekruttering.
http://www.ft.dk/samling/20171/lovforslag/L146/spm/1/svar/1480847/1880411.pdf
1. Konsekvens: Der kan tages kontakt til borgere for at høre om de vil deltage i
lægemiddelafprøvning på baggrund af en genetisk disposition. Det kan være en disposition
for tidligt indsættende Alzheimers sygdom. Eneste mulighed for selvbestemmelse er at
man som borger kan sige helt nej til genetisk forskning via registrering i
Vævsanvendelsesregister.
Det fremgår af ministerens svar på spørgsmål 20 at medicinalindustrien kan deltage i
forskningsprojekter under Nationalt Genom Center
http://www.ft.dk/samling/20171/lovforslag/L146/spm/1/svar/1480847/1880405.pdf
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 69
Offentligt
Det fremgår af ministerens svar på spørgsmål 32 at lovforslaget ikke regulerer hvilke aktører der
kan få adgang til oplysninger i Nationalt Genom Center
http://www.ft.dk/samling/20171/lovforslag/L146/spm/32/svar/1480809/1880222.pdf
2. Konsekvens: Lægemiddelfirma kan deltage i projekt hvor der sendes spørgeskema ud til
borgere med disposition til eksempelvis diabetes og derved få adgang til
kontaktoplysninger på deltagere. Det er alene den dataansvarlige myndighed, altså
Nationalt Genom Center, som skal godkende et sådant projekt.
Det fremgår af ministerens svar på spørgsmål 15 at rådata fra Nationalt Genom Center rent
juridisk kan overføres til udlandet. Det fremgår dog også at der med den foreslåede tekniske
løsning ikke kan trækkes rådata ud af center.
http://www.ft.dk/samling/20171/lovforslag/L146/spm/1/svar/1480847/1880404.pdf
3. Konsekvens: Hvis det tekniske set-up ændres, så kan rådata fra Genom Center rent juridisk
trækkes ud og overdrages til andre dataansvarlige endda i udlandet. Det vil alene være den
dataansvarlige myndighed, altså Nationalt Genom Center, som skal godkende en sådan
udlevering.
Det fremgår af ministerens svar på spørgsmål 3, at der ikke er konkrete rammer for hvilke typer
oplysninger, der kan samkøres med genetiske oplysninger hos Nationalt Genom Center i
forbindelse med forskning.
http://www.ft.dk/samling/20171/lovforslag/L146/spm/3/svar/1480781/1880126.pdf
4. Konsekvens: Der kan sammenkøres socio-økonomiske data fra Danmarks Statistik med
genetiske oplysninger, hvorefter der i forskningsøjemed kan udsendes spørgeskema til
arbejdsløse borgere med bestemte genetiske dispositioner. Det vil alene være den
dataansvarlige myndighed, altså Nationalt Genom Center, som skal godkende et sådant
projekt.
5. Konsekvens: Hele Danmarks befolknings register- og journaloplysninger, også fra borgere
der ikke indgår med genetiske oplysninger, kan sammenkøres i regi af Nationalt Genom
Center fra dag et uden begrænsninger. Endda oplysninger fra private aktører som
psykologer. Det er alene den dataansvarlige myndighed, altså Nationalt Genom Center,
som skal godkende dette.
Det fremgår af ministerens svar på spørgsmål 19 at L146 ikke regulerer muligheden at knytte
biometriske data til genetiske oplysninger i Nationalt Genom Center
http://www.ft.dk/samling/20171/lovforslag/L146/spm/19/svar/1480797/1880181.pdf
Ansigtsbilleder kan dog indgå som integreret del personlig medicin
http://ugeskriftet.dk/files/scientific_article_files/2018-03/V69884_1.pdf
Desuden er der allerede i Danmark i dag forskning, der forsøger at knytte 3D-ansigtsbilleder til
genetiske forhold
http://www.dbds.dk/print/3DBilledeindsamling.pdf
6. Konsekvens: 3D-ansigtsbilleder knyttes til genetiske oplysninger hos Nationalt Genom
Center og herefter kan billeder bruges til at fremsøge individer og derved deres genetiske
dispositioner til eksempelvis psykiatrisk sygdom hos Nationalt Genom Center.
7. Konsekvens: Ydermere umuliggør sammenknytning af de genetiske oplysninger med
billeder anonymisering af de genetiske oplysninger.
MVH
Formand for Patientdataforeningen, Thomas Birk Kristiansen


NOTAT
Sikkerhed i forbindelse med etablering og drift af den fælles
nationale teknologiske infrastruktur for Personlig Medicin
Personlig Medicin omfatter bl.a. brugen af genomdata til behandling af patienter og til
forskningsformål. Disse data indeholder helbredsoplysninger og tilhører derfor følsomme
personhenførbare sundhedsdata. Der kræves derfor et højt sikkerhedsniveau. Den fælles
nationale teknologiske infrastruktur for Personlig Medicin, der skal understøtte
genomsekventering og sikker anvendelse af disse data, skal derfor etableres og drives i
overensstemmelse med de krav og retningslinjer, der er for håndtering af følsomme
personhenførbare sundhedsdata.
Den fælles nationale teknologiske infrastruktur for Personlig Medicin indeholder bl.a. Den
Nationale Genomdatabase, High Performance Computing-faciliteter (HPC-faciliteter),
genomsekventeringsfaciliteter samt en tværgående teknisk infrastruktur på tværs af disse
elementer.
Informationssikkerhed og fysisk sikkerhed skal leve op til gældende love og regler,
herunder for nuværende Persondataloven og Sikkerhedsbekendtgørelsen og EU's
databeskyttelsesdirektiv. Efter maj 2018 gælder databeskyttelsesforordningen fra EU og i
tillæg hertil relevant national lovgivning samt nationale og regionale retningslinjer,
vejledninger m.v.
Indeværende notat opsummerer de væsentligste elementer, som arbejdet med sikkerhed
i forbindelse med etablering og drift af den fælles nationale teknologiske infrastruktur for
Personlig Medicin baseres på:
1. Sundhedsloven og Vejledning om informationssikkerhed
2. EU’s Databeskyttelsesforordningen (GDPR)
3. Privacy by Design (Data Protection by Design)
4. International standard til styring af informationssikkerhed
5. Internationale retningslinjer for fysisk sikkerhed
1. Sundhedsloven og Vejledning om informationssikkerhed i sundhedsvæsenet
Arbejdet med at etablere og efterfølgende drive den fælles nationale teknologiske
infrastruktur for Personlig Medicin, skal ske inden for rammerne af de principper og
retningslinjer vedr. håndtering af følsomme personhenførbare sundhedsdata, der er
fastlagt i Sundhedsloven.
Sundhedsdatastyrelsens Vejledning om informationssikkerhed i sundhedsvæsenet (2016)
konkretiserer derudover, hvordan dansk lovgivning – herunder Sundhedsloven – skal
fortolkes, og kommer med forslag til, hvordan gældende krav og regler samt best practise
kan implementeres og efterleves i dette regi.
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 15
Offentligt
Sundheds- og Ældreudvalget 2017-18
L 146 endeligt svar på spørgsmål 69
Offentligt
Side 2
En central del af arbejdet med sikkerhed omkring den fælles nationale teknologiske
infrastruktur for Personlig Medicin baseres derfor både på Sundhedsloven og på
yderligere detaljer i Vejledningen om informationssikkerhed i sundhedsvæsenet.
2. EU’s Databeskyttelsesforordning (GDPR) samt persondataloven og
sikkerhedsbekendtgørelsen og anden relevant lovgivning
På nuværende tidspunkt er det især Persondataloven og tilhørende
sikkerhedsbekendtgørelse, der regulerer spørgsmålet om databeskyttelse af
personoplysninger i Danmark.
Fra maj 2018 vil det være EU's Databeskyttelsesforordning og tilhørende implementering i
dansk lovgivning, herunder det fremsatte forslag til databeskyttelseslov og evt. yderligere
relevant dansk lovgivning, der gælder på området.
Alle tekniske komponenter og aktører i samarbejdet om den fælles nationale teknologiske
infrastruktur for Personlig Medicin udarbejdes i regi af, og er fremadrettet underlagt
Databeskyttelsesforordningen.
Fra Justitsministerens side er der som fortolkningsbidrag udarbejdet en betænkning, der
gennemgår konsekvenserne af Databeskyttelsesforordningen i forhold til den gældende
retstilstand efter Persondataloven og Databeskyttelsesdirektivet. Krav og retningslinjer i
Databeskyttelsesforordningen er endnu ikke indarbejdet i Vejledning om
informationssikkerhed i sundhedsvæsenet og vil derfor skulle iagttages særskilt.
En række aktører vil på forskellig vis være involveret i den fælles nationale teknologiske
infrastruktur for Personlig Medicin, for at arbejdet med at genomsekventere, analysere og
fortolke resultater kan realiseres, og de vil tilsvarende på forskellig vis skulle anvende
relateret data. Dette kan både inkludere leverandører af software, hardware og lign.,
klinikere der fortolker resultaterne, teknisk personale ansat af universiteterne, der
vedligeholder HPC-faciliteterne (af GDPR benævnt ’controllers’ og ’processors’, og i dansk
regi eksisterende retningslinjer for arbejdet omkring dataansvarlige og databehandlere).
Ved inddragelse af tredjepart vil arbejdet baseres på en struktureret tilgang til at
minimere de risici der er forbundet med at inddrage en tredjepart. Som minimum skal
tredjeparter overholde de samme retningslinjer og principper, som er opstillet i
indeværende notat, men der kan være tilfælde, hvor kravene skærpes yderligere.
3. Databeskyttelse gennem design (Privacy/Data Protection by Design)
Princippet i Databeskyttelsesforordningen om ’Privacy by Design’ er nyt i forhold til i dag.
Det vil være dog være centralt for designet af den fælles nationale teknologiske
infrastruktur for Personlig Medicin.
Som en del af den vedtagne Databeskyttelsesforordning (GDPR) arbejdes der under
princippet ’Privacy by Design’, som alle nuværende og fremadrettede løsninger og
relaterede teknisk infrastruktur skal designes under. Det gælder derfor også for etablering
og drift af den fælles nationale teknologiske infrastruktur for Personlig Medicin til
varetagelse af området inden for genomsekventering og Personlig Medicin.
Målet er at sikre, at personfølsomme data ikke i sig selv kan henføres direkte til en
identificeret eller identificerbar fysisk person. Hermed er koblingen mellem eksempelvis
rådata og analyseresultater fra en genomsekventering og personen, disse data vedrører,
Side 3
beskyttet med en nøgle, som sikrer, at alene den der kontrollerer nøglerne, kan
identificere den registrerede. Målet er kritisk i både forventede anvendelsesscenarier,
men også, og især, ved eventuelle utilsigtede brug af data, ved generelle brud på
datasikkerhed eller mulige cyberangreb.
Ved ’Privacy by Design’ forstås, at beskyttelsen af følsomme personhenførbare data kan
forbedres ved som udgangspunkt at designe sin teknologi således, at den reducerer
graden af indgriben i de registreredes privatliv. Dette sker typisk ved dels at begrænse
både adgangs- og anvendelsesmulighederne for behandling af følsomme
personhenførbare data, og dels at sikre en tidlig pseudonymisering af følsomme
personhenførbare data.
Pseudonymisering betyder, at data der kan identificere en given person holdes adskilt fra
de følsomme data om samme person på en sådan måde, at de ikke længere kan henføres
til personen uden brug af supplerende oplysninger og sikkerhed. De supplerende
oplysninger skal derfor opbevares separat og skal være underlagt tydelige og
gennemsigtige snitflader ift. selve løsningen og den relaterede teknisk infrastruktur samt
tilhørende governancestruktur. Disse tiltag er derfor yderst kritiske for beskyttelsen af
især følsomme personhenførebare sundhedsdata for området for Personlig Medicin.
Justitsministeriets vejledning om sikkerhed gennem design og standardindstillinger
forventes i december 2017.
I tillæg til ovenstående lovgivning vil sundhedsområdet også fra maj 2018 være reguleret
af EU’s NIS-direktiv, der vedrører beskyttelsen af cybersikkerheden for kritisk
infrastruktur. Dette kan også blive relevant for den fælles nationale teknologiske
infrastruktur for Personlig Medicin.
4. International standard til styring af informationssikkerhed
Arbejdet med at etablere og drive den fælles nationale teknologiske infrastruktur for
Personlig Medicin, skal følge de principper og retningslinjer, der er fastlagt i standarden
ISO27001 (international standard til styring af informationssikkerhed). Det inkluderer de
særlige forhold, der gælder i relation til følsomheden af personhenførbare sundhedsdata.
Der lægges særlig vægt på standardens fokus på afvejning af de indgående parters
risikoprofil versus rette sikkerhedsforanstaltninger og kontrolprocedurer, standardens
strenge krav til kontroller versus muligheden for løbende tilpasning i takt med ændringer i
organisationen, teknologi og trusselsbilledet, og sidst, at standarden har en fleksibilitet i
forhold til, at den kan anvendes sammen med andre rammeværk for
informationssikkerhed.
Alle parter, der indgår i den fælles nationale teknologiske infrastruktur for Personlig
Medicin, skal således kunne leve op til ISO27001, og dette skal dokumenteres gennem
løbende auditeringer.
ISO27001 understøtter et højt niveau for sikkerhed, hvor risikotolerancen for etablering og
drift af den fælles nationale teknologiske infrastruktur for Personlig Medicin er 0 og
sikkerheds- og databrud ikke kan accepteres. Dette indebærer eksempelvis, at alle
sikkerhedskontroller dokumenteres, og skal kunne fremskaffes ved forespørgsel således,
at al historik vedr. håndtering af drift og vedligehold ift. blandt andet
informationssikkerhed til alle tider kan revideres.
Side 4
5. Internationale retningslinjer for fysisk sikkerhed
I relation til den fysiske sikkerhed omkring den fælles nationale teknologiske infrastruktur
for Personlig Medicin baseres arbejdet på alle ISO27001-sikkerhedskontroller, der
vedrører fysisk sikkerhed. Den gælder i særdeleshed de steder, hvor de enkelte
involverede HPC-faciliteter og Den National Genomdatabase huses.
Derudover baseres arbejdet på at anvende yderligere sikkerhedskontroller fra NIST-
standard (amerikansk standardiseringsorganisation National Institute of Standards and
Technology). Kombinationen af ISO27001 og NIST giver en fordel ved beskyttelse af
højrisikodata og indebærer blandt andet minimering af adgange, dokumenteret
vedligeholdelse af udstyr, kontroller mod katastrofer m.v.