Danske Regioner modtog den 10. juni 2020 en høring fra Justitsministeriet angående en national evaluering af databeskyttelsesreglerne. Formålet med evalueringen er at belyse konkrete situationer, hvor der opleves uklarhed, når databeskyttelsesreglerne skal efterleves i praksis. Desuden har høringen til hensigt at formidle mulige løsninger og vejledning om konkrete problemstillinger. Danske Regioner fremsender her et høringssvar på vegne af de fem regioner. Regionernes tekstnære juridiske bemærkninger og problemstillinger relateret til den praktiske udmøntning er vedlagt i et separat bilag.
Databeskyttelsesforordningens ikrafttræden har sat fornyet fokus på arbejdet med at beskytte borgernes personoplysninger i regionerne. Særligt på sundhedsområdet har regionerne ansvaret for mange følsomme oplysninger om borgerne. Det er et ansvar, regionerne tager dybt seriøst, og derfor bakker Danske Regioner op om, at databeskyttelse må og skal være en naturlig og integreret del af de offentlige myndighedernes opgaveløsning.
På en lang række områder har implementering af databeskyttelsesforordningen i Danmark dog været vanskeliggjort af, at det ikke altid har været muligt at få den nødvendige vejledning fra Datatilsynet. Yderligere mener Danske Regioner, at der fortsat – bl.a. på digitaliseringsområdet – er et arbejde med at skabe de rette rammer for udmøntningen af databeskyttelsesreglerne. Sammen med de øgede krav til dokumentation er konsekvensen af dette, at den nye databeskyttelseslovgivning har medført betydelige, administrative omkostninger i regionerne.
Derfor mener Danske Regioner, at den nationale evaluering bør fokusere på:
- At der bliver skabt klarhed om de juridiske rammer for tværoffentlige it-projekter, herunder databehandleraftaler, risikovurderinger, konsekvensanalyser og modeller for tilsyn på tværs af myndigheder.
- At form- og metodekrav til risikovurderinger bliver mere fleksible, så de bedre kan blive tilpasset de faktiske organisatoriske forhold og processer hos den enkelte region.
- At Datatilsynet udarbejder vejledning om, hvordan dataansvaret for et brud på persondatasikkerheden fastlægges i komplekse databehandlerkonstruktioner, f.eks. hvor en myndighed stiller et IT-system til rådighed for andre aktører i sundhedssektoren.
- At Datatilsynets rådgivning bliver bedre, så regionerne hurtigere kan få afklaret tvivlsspørgsmål og usikkerheder i fortolkningen af lovgivningen.
- At problematikker, som knytter sig til samspillet mellem databeskyttelseslovgivningen og sundhedslovgivningen, bliver håndteret, og at de ansvarlige myndigheders rådgivning i højere grad bliver koordineret på tværs.
- At hjemmelsgrundlaget i forbindelse med forskningsprojekter bliver tydeliggjort, f.eks. hvornår personoplysninger i forskningsprojekter kan behandles med hjemmel i databeskyttelsesforordningen eller skal behandles på baggrund af et samtykke
Læs også Danske Regioners høringssvar i pdf-format: