L 136 - 2016-17 - Endeligt svar på spørgsmål 25: Spm., om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, til økonomi- og indenrigsministeren

Social-, Indenrigs- og Børneudvalget 2016-17
L 136
Offentligt

Økonomi- og Indenrigsministeriet

Slotsholmsgade 10-12

1216 København K

Sendt til:

[email protected]

Kopi til:

[email protected]

22. maj 2017

Datatilsynet

Borgergade 28, 5.

1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200

Fax 3319 3218

E-mail

[email protected]

www.datatilsynet.dk

J.nr. 2017-112-0698

Dok.nr. 430062

Sagsbehandler

Signe Vestergård Abild-

skov

Direkte 3319 3212

Vedrørende Økonomi- og Indenrigsministeriets sagsnr.: 2017-2278

Ved e-mail af 18. maj 2017 har Økonomi- og Indenrigsministeriet sendt æn-

dringsforslag til forslag til lov om ændring af lov om et analyse- og forsk-

ningsinstitut for kommuner og regioner (Oprettelse af Det Nationale Forsk-

nings- og Analysecenter for Velfærd) (L136) til Datatilsynet sammen med

spørgsmål nr. 25 fra Folketingets Social-, Indenrigs- og Børneudvalg. Mini-

steriet har anmodet om at modtage en udtalelse fra Datatilsynet senest den 22.

maj 2017.

Det fremgår af spørgsmålet fra Social-, Indenrigs- og Børneudvalget, at æn-

dringsforslaget er udarbejdet af Økonomi- og Indenrigsministeriet med fagli-

ge input fra Sundheds- og Ældreministeriet, og at det også har været i høring

ved Beskæftigelsesministeriet, Finansministeriet og Børne- og Socialministe-

riet. Datatilsynet ses ikke at være hørt over ændringsforslaget forud for frem-

sættelsen.

Datatilsynet kan på denne baggrund udtale følgende:

Af ændringsforslagets nr. 2 fremgår, at der i § 11, stk. 5 i lov om apoteks-

virksomhed, indsættes følgende som 2. og 3. pkt.:

”Sundhedsdatastyrelsen

kan efter samme regler, som er fastsat i medfør af 1.

pkt., videregive de oplysninger fra Lægemiddelstatistikregisteret, som frem-

går af 1. pkt., til forskere, der er ansat ved Det Nationale Forsknings- og Ana-

lysecenter for Velfærd, Danmarks Statistik og Det Nationale Forskningscen-

ter for Arbejdsmiljø, til brug for statistiske eller videnskabelige undersøgelser

af væsentlig samfundsmæssig betydning, når videregivelsen er nødvendig af

hensyn til udførelsen af undersøgelserne. Sundhedsministeren kan fastsætte

nærmere regler herom.”

Det er Datatilsynets forståelse, at den personkreds, der kan få adgang til op-

lysninger fra Lægemiddelstatistikregisteret, dermed udvides.

Datatilsynet skal gøre opmærksom på persondatalovens § 10, stk. 3, hvorefter

oplysninger, der behandles udelukkende i videnskabeligt eller statistisk øje-

med, jf. § 10, stk. 1 og 2, kun må videregives til tredjemand

–

dvs. en ny data-

ansvarlig

–

efter forudgående tilladelse fra Datatilsynet.

L 136 - 2016-17 - Endeligt svar på spørgsmål 25: Spm., om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, til økonomi- og indenrigsministeren

Sundhedsdatastyrelsen har i forbindelse med, at de har tilsluttet sig fællesan-

meldelsen ”Videnskabelige og statistiske undersøgelser hos statslige myndig-

heder”

modtaget en udtalelse fra Datatilsynet, som bl.a. indeholder en generel

tilladelse til videregivelse af personoplysninger til brug for undersøgelser i

statistisk eller videnskabeligt øjemed til dataansvarlige, der er etableret i

Danmark.

Tilladelsen er givet på vilkår, som Sundhedsdatastyrelsen har ansvaret for at

overholde. Herunder er det et vilkår, at modtageren af oplysningerne inden

videregivelsen skriftligt skal have bekræftet over for styrelsen, at oplysnin-

gerne alene vil blive brugt i statistisk eller videnskabeligt øjemed.

Til Social-, Indenrigs- og Børneudvalgets spørgsmål om sikkerheden i for-

bindelse med videregivelse af personoplysninger kan Datatilsynet oplyse, at

det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de

fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at op-

lysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt

mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt

behandles i strid med loven.

Når personoplysningerne behandles for den offentlige forvaltning, skal der

endvidere iværksættes sikkerhedsforanstaltninger i overensstemmelse med

Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (sikkerhedsbe-

kendtgørelsen).

Det følger af § 14 i denne bekendtgørelse, at der kun må etableres eksterne

kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at

sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til

personoplysninger. Af Datatilsynets vejledning

til bekendtgørelsen fremgår

herom bl.a.:

”For

transmission af personoplysninger over

åbne net

(f.eks. Internet) gælder

konkret nedenstående minimumskrav om sikkerhedsforanstaltninger:

Ved transmission af oplysninger over det åbne Internet er der generelt en ri-

siko for, at oplysningerne undervejs læses og endog ændres af uvedkommen-

de. Derudover er der en risiko for, at parterne i kommunikationen ikke er

dem, de udgiver sig for.

Disse risici må vurderes af den dataansvarlige i den konkrete situation, såle-

des at der kan træffes de fornødne sikkerhedsforanstaltninger.

Datatilsynets j.nr. 2016-57-0144

Vejledning nr. 37 af 02. april 2001til bekendtgørelse nr. 528 af 15. juni 2000 om

sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den of-

fentlige forvaltning (sikkerhedsvejledningen)

L 136 - 2016-17 - Endeligt svar på spørgsmål 25: Spm., om at indhente en udtalelse fra Datatilsynet om konsekvenserne af ændringsforslaget, til økonomi- og indenrigsministeren

Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de

transmitterede oplysninger. Hvis der er tale om transmission af fortrolige op-

lysninger, herunder personnummer, skal der som minimum foretages en

kryptering. Hvis de transmitterede oplysninger er af følsom karakter (omfat-

tet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal der anvendes en stærk

kryptering,

baseret på en anerkendt algoritme.”

For så vidt angår sikkerhed ved behandling af oplysninger efter den 25. maj

2018, hvor databeskyttelsesforordningen

finder anvendelse, kan Datatilsynet

særligt henlede opmærksomheden på forordningens artikel 25 (om databe-

skyttelse gennem design og standardindstillinger) og artikel 32 (om sikker-

hed).

I forhold til bemyndigelsesbestemmelsen i den foreslåede § 11, stk. 5, i lov

om apoteksvirksomhed, hvorefter Sundhedsministeren kan fastsætte nærmere

regler, skal Datatilsynet for god ordens skyld henlede opmærksomheden på

persondatalovens § 57. Det følger heraf, at der skal indhentes en udtalelse fra

Datatilsynet i forbindelse med udfærdigelse af bekendtgørelser, cirkulærer

eller lignende generelle retsforskrifter, der har betydning for beskyttelse af

privatlivet i forbindelse med behandling af oplysninger.

Kopi af dette brev er sendt til Sundheds- og Ældreministeriet samt til Justits-

ministeriet, Lovafdelingen, til orientering.

Med venlig hilsen

Helle Ginnerup-Nielsen

Specialkonsulent

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse

af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling

af sådanne oplysninger og om ophævelse af direktiv 95/46/EF