Ny Databeskyttelseslov medfører tvangsregistrering

Politik

18/8/17 1:46

Thomas Birk Kristiansen

En ny Databeskyttelseslov er i høring. Den muliggør massiv datadeling af stærkt følsomme sundhedsdata uden samtykke. Det er et demokratisk problem. Derfor har Patientdataforeningen skrevet til Folketingets Sundheds- og Ældreudvalg.

 

Henvendelse om Databeskyttelsesloven

Det er med stor bekymring at Patientdataforeningen skriver til Sundheds- og Ældreudvalget vedrørende Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Databeskyttelsesloven kan ses som en dansk fortolkning af EU Persondataforordningen, og er beregnet til at eksistere parallelt med Forordningen. Overordnet kan man sige, at man med Databeskyttelsesloven til fulde udnytter alle Forordningens muligheder for datadeling uden samtykke i sin mest ekstreme udfoldelse. Modsatrettet kunne man have valgt at modernisere den danske praksis ved i stedet, at udnytte Forordningens potentiale for anstændig datadeling hvor borgernes ret til selvbestemmelse og privatliv respekteres.   

Ånden i EU Forordningen er ganske klar, og principperne for databehandling af personhenførbare data kan formuleres kort: Databehandling af følsomme personoplysninger er ulovlig medmindre der foreligger et samtykke eller en af de helt særlige undtagelsesregler i forordningen er opfyldt. Det er særligt, når der behandles følsomme oplysninger helt afgørende, at oplysningerne behandles med en udtalt grad af sikkerhed og gennemsigtighed. Meningen med Persondataforordningen er at sikre borgerne beskyttelse i forhold til utidig behandling af følsomme persondata. Det kan blandt andet sikres ved i dansk lovgivning at udnytte mulighederne for at fastsætte klare regler, der i langt højere grad forpligter myndighederne til at inddrage patienter i beslutninger om hvem der har adgang til deres oplysninger og at give borgerne ret til gennemsigtighed i hvem, der behandler oplysninger og til hvilke formål.

Den danske fortolkning er dog alt andet end simpel og klar. Den består i stedet af over 300 siders kompleks lovtekst og er i praksis nærmest i modstrid med det formål, der var tiltænkt forordningen. Det kan lade sig gøre, fordi teksten i Forordningen giver mulighed for en række undtagelser og nationale fortolkninger. Ved at inddrage over 300 sider får man i den danske fortolkning rum til at udnytte al elasticitet udelukkende med det formål at udvande privatlivsbeskyttelsen. Patienter er med den danske fortolkning af Forordningen retsløse. Der er i dansk lovgivning indført adskillige underretningspligter og det gælder særligt sundhedsområdet hvor patienter tvinges ud i et valg mellem at underkaste sig registreringstvang eller fravælge behandling.

EU Persondataforordning er direkte gældende for enhver, også for den enkelte borger. I en digital tid hvor omgang med følsomme personoplysninger bliver tiltagende almindeligt er det grænsende til det uanstændige at regulere databehandlingen ved hjælp af over 300 siders kompliceret lovtekst. Det betyder, at teksten i praksis er ubrugelig for det store flertal af danskere, inklusiv dem, der arbejde med IT og persondata.

LÆS OGSÅ: Patientdataforeningens høringssvar og kommentar.

Derudover vil de øvrige EU-lande næppe kunne spejle sig i den danske fortolkning, som igen understreger den danske enegang når det gælder registreringstvang og manglende demokratisk selvbestemmelse over persondata. Spørgsmålet må være hvor længe denne danske enegang kan gå, inden dansk registerforskning vil blive betegnet som uetisk og derfor uanvendelig. Såfremt man i Danmark ikke ønsker at følge den internationale trend med at give borgerne samtykke i forhold til brug af følsomme helbredsdata til forskning, bør man gennemtvinge en etisk vurdering af alle forskningsprojekter, i forhold til om de reelt er af væsentlig samfundsmæssig betydning.

Når vi i Danmark udnytter alle muligheder for undtagelser for selvbestemmelse, bør der som modvægt gælde helt klare retlige krav, for at sikre at principperne om dataminimering, privacy-by-design og privacy-by-default overholdes stringent. Ellers er faren, at disse principper vil udvandes og svækkes i administration. Databeskyttelsesloven mangler derfor en præcisering af disse principper.

Som det ser ud lige nu, vil der ikke være sanktioner overfor offentlige myndigheder, der overtræder databeskyttelsesloven. Det synes helt uforståeligt særligt i lyset af at det er offentlige myndigheder, som har ressourcerne til at efterleve den komplicerede tekst, og fordi borgerne i særdeleshed når det gælder offentlige myndigheder har en forventning om at loven overholdes. Nu kommer der i realiteten til at være fri leg for det offentlige med danskernes følsomme personoplysninger. Det kan for eksempel give store skævvridninger i et dansk sundhedsvæsen hvor man både har private og offentlige aktører.

Den danske fortolkning af Forordningen åbner i vid udstrækning op for, at data kan indsamles med et formål og siden bruges med at andet formål. Det strider mod det persondataretlige finalité-princip om formålsbestemthed. Det kan især give problemer hvis adskillelsen mellem somatiske, psykiatriske og sociale data nedbrydes og samkøring tillades med alverdens formål såsom behandling, administration og kontrol. Det hører sig ikke hjemme i et demokrati som det danske.

MVH

Thomas Birk Kristiansen, Formand for Patientdataforeningen som repræsenterer ca. 100 læger og 900 patienter.

Annonce