Nye vejledninger om apps til støtte for bekæmpelse af COVID-19

I de nye vejledninger belyser EU-Kommissionen og det Europæiske Databeskyttelsesråd, hvordan sundhedsmyndigheder og udviklere af applikationer/apps til mobile enheder skal forholde sig til databeskyttelsesreglerne i forbindelse med udviklingen og anvendelsen af apps til brug i bekæmpelsen af COVID-19. 

Både EU-Kommissionen og det Europæiske Databeskyttelsesråd fastslår først og fremmest, at databeskyttelsesreglerne ikke er til hinder for at anvende disse apps.
Databeskyttelsesreglerne er derimod ganske fleksible, når det gælder balancen mellem henholdsvis behandling til saglige formål, såsom bekæmpelsen af COVID-19, og effektiv beskyttelse af de registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder. Af hensyn til sidstnævnte er det særligt vigtigt at overholde databeskyttelsesreglernes generelle principper. 

Vejledningernes anvendelsesområde  

Vejledningerne tager alene afsæt i den gennerelle databeskyttelsesforordning (GDPR) og e-databeskyttelsesdirektivet. Vejledningerne tager derfor ikke hensyn til nationale betingelser eller begrænsninger. Vejledningerne er ej heller juridisk bindende. Den endelige fortolkning af EU-lovgivningen hører under EU-domstolen. 

Vejledningerne omhandler alene frivillige apps, der downloades, installeres og anvendes på frivillig basis af brugerne. Kravet om frivillighed indebærer, at det ikke må få negative konsekvenser for borgere, som beslutter ikke at downloade eller bruge applikationen. 

Vejledningerne angår endvidere alene applikationer, der indeholder advarsels-, kontaktsporings-, symptomverificerings- og diagnosticeringsfunktioner. Med disse funktioner kan applikationerne blandt andet advare personer, der i en vis periode har været i nærheden af en smittet person, og dermed oplyse vedkommende, om vedkommende bør tilse en læge, blive testet eller gå i karantæne. Dertil kan applikationen levere nøjagtige oplysninger til brugerne om COVID-19 pandemien og vejlede den enkelte bruger.

Vejledningerne angår ikke apps med funktioner, der har til formål at håndhæve obligatoriske karantænekrav. 

Dataansvar og tryghed 

Kommissionen angiver først og fremmest, at det bør være de nationale sundhedsmyndigheder, der agerer dataansvarlige for behandlingen af personoplysninger i de pågældende applikationer, og dermed ikke private virksomheder. Det er den dataansvarliges ansvar at sikre overholdelse af GDPR. Det bør i tråd hermed være de nationale sundhedsmyndigheder, der koordinerer og samordner udarbejdelsen af de underliggende politikker, krav og kontroller. Det vil efter EU-Kommissionens opfattelse biddrage til en højere grand af tillid blandt applikationens brugere og den underliggende behandling af personoplysninger. Herved vil det være med til at sikre, at behandlingen af personoplysninger opfylder det tilsigtede mål om at beskytte folkesundheden. 

De generelle principper  

Databeskyttelsesreglernes generelle principper er en essentiel rettesnor for de nationale sundhedsmyndigheder. Det gælder blandt andet principperne om ansvarlighed, formålsbegrænsning, dataminimering, lovlighed, rimelighed og gennemsigtighed. 

Det er i forbindelse med anvendelse af disse apps vigtigt at sikre, at personoplysningerne ikke anvendes til andre formål end de saglige formål, der er oplyst over for brugerne. Såfremt de nationale sundhedsmyndigheder ønsker at anvende de indsamlede personoplysninger til eksempelvis forskningsbrug, skal dette altså oplyses over for brugerne på forhånd. 

Dertil er det vigtigt, at den dataansvarlige begrænser behandlingen af personoplysninger til, hvad der er nødvendigt i forhold til at opnå det sagligt fastlagte formål med behandlingsaktiviteten. Hvis formålet med en behandling f.eks. er at opdage sygdom, er det ikke nødvendigt at behandle oplysninger om brugerens kontaktliste. Ved at sikre en sådan dataminimering opnås der ligeledes større sikkerhedsgarantier. Efter samme princip bør sundhedsmyndighederne også overveje behovet for henholdsvis geolokationsdata (GNSS/GPS eller data for mobillokaliseringsdata) fremfor eksempelvis brugen af Bluetooth Low Energy -kommunikation mellem enheder (BLE). Det er nemlig ikke muligt at spore sidstnævnte enhed. Kommissionen anbefaler i den forbindelse sidstnævnte. 

Princippet om gennemsigtighed sikrer, at brugerne af app'en bliver oplyst om, hvilke personoplysninger der behandles om dem, til hvilket formål og med hvilket retsgrundlag. Gennemsigtigheden skal endvidere sikre, at brugerne kender til deres rettigheder i henhold til GDPR, herunder navnlig retten til indsigt, berigtigelse og sletning. 

Retsgrundlaget for behandling

For så vidt angår installationen af appen, følger det af e-databeskyttelsesdirektivet, at det kun er tilladt at lagre oplysninger om brugerens enhed eller at få adgang til allerede lagrede oplysninger, hvis brugeren har givet sit samtykke, eller hvis lagringen og/eller adgangen er strengt nødvendig for applikationen, som brugeren udtrykkeligt har anmodet om (dvs. installeret og aktiveret). Det følger ligeledes af direktivet, at brugeren skal have mulighed for at give sit samtykke særskilt til de forskellige applikationsfunktioner, herunder f.eks. informations-, symptomverifikations-, kontaktopsporings- og advarselsfunktioner. 

Afhængigt af de enkelte funktioner vil der efter omstændighederne blive behandlet både almindelige og følsomme personoplysninger. Oplysninger om brugernes lokation er eksempelvis almindelige personoplysninger, som kun kan behandles, såfremt der foreligger et gyldigt retsgrundlag i forordningens artikel 6, mens oplysninger om, hvorvidt en bruger eksempelvis er smittet med COVID-19, er en følsom personoplysning, der i udgangspunktet ikke kan behandles, med mindre der findes en undtagelse til dette forbud i forordningens artikel 9. 

Brugernes samtykke kan anvendes som et gyldigt retsgrundlag for behandling af henholdsvis almindelige og følsomme personoplysninger. Der gælder dog en række krav for, hvornår et samtykke er gyldigt i henhold til GDPR. Både EU-Kommissionen og det Europæiske Databeskyttelsesråd lægger i sine vejledninger vægt på, at den blotte omstændighed, at brugerne frivilligt har downloaded selve applikationen ikke er ensbetydende med, at brugerne har givet deres samtykke til behandlingen af deres personoplysninger. Endvidere er det ej heller et gyldigt samtykke, hvis de forskellige behandlingsformål ikke granuleres, sådan at brugeren skal give samtykke til hver behandling. Hvis nationale sundhedsmyndigheder derfor udvikler applikationer, der har flere formål, skal det altså sikres, at brugeren har mulighed for at samtykke til disse enkeltvis. 

Samtykke er imidlertid ikke det eneste mulige behandlingsgrundlag for behandlingen af personoplysninger i forbindelse med bekæmpelsen af COVID-19. Både EU-Kommissionen og det Europiske Databeskyttelsesråd har foretaget vurderinger af, hvilke retsgrundlag der efter givne omstændigheder vil tænkes at kunne anvendes til behandlingen, som den nysgerrige læser kan læse mere om i de to vejledninger:

Det Europæiske Databeskyttelsesråds vejledning.

Sikkerhed og kontrol 

Vejledningerne lægger ikke skjul på vigtigheden i, at brugerne kan bevare kontrollen over behandlingen af deres personoplysninger. 

Ud over at sundhedsmyndighederne selvsagt er underlagt strenge krav for så vidt angår tekniske såvel som organisatoriske sikkerhedsforanstaltninger, lægger både EU-Kommissionen og det Europæiske Databeskyttelsesråd særligt vægt på, at dataminimeringsprincippet og begrænset deling spiller en vigtig rolle i spørgsmålet om brugernes kontrol og sikkerhed. 

Særligt beskrives behovet for en nødvendigheds- og proportionalitetsvurdering af behandlingen af persondata i forhold til de forskellige behandlingsformål og funktioner, som applikationerne har. Kommissionen beskriver eksempelvis, at deling af sundhedsoplysninger til sundhedsmyndigheder alene bør ske, efter at det er blevet bekræftet, at en bruger er smittet med COVID-19 og på betingelse af, at vedkommende vælger at dele disse oplysninger. 

Hvis der anvendes nærhedsdata (data genereret ved udveksling af Bluetooth Labit Energy-signaler (BLE)  mellem enheder inden for en epidemiologisk relevant afstand og i en epidemiologisk relevant periode), skal disse oplysninger ifølge EU-Kommissionen opbevares på brugerens enhed og dermed ikke deles eksternt.

Dertil understreges det, at brugeren nemt skal kunne udøve sine rettigheder i henhold til GDPR, herunder retten til indsigt, berigtigelse og sletning. Enhver begrænsning af de rettigheder, der følger af GDPR og e-databeskyttelsesdirektivet, bør være i overensstemmelse med disse retsakter og være nødvendig, proportionel og fastsat i lovgivningen. 

Slutteligt skal opbevaringsperioderne for personoplysningerne iagttages. I den forbindelse bliver det fastslået, at applikationerne senest bør deaktiveres, når pandemien erklæres under kontrol.

Dansk app på vej

De danske myndigheder har udmeldt, at der i løbet af de kommende uger vil blive lanceret en dansk app, der skal understøtte de danske sundhedsmyndigheders løbende epidemiologiske overvågning af smitteudbredelsen i Danmark. 

Datatilsynet har i forbindelse med de danske myndigheders udmelding om den kommende app blandt andet understreget, at sundhedsmyndighedernes indsamling skal foregå på frivillig basis, være gennemsigtig for brugerne og under iagttagelsen af et mindste-middels-princip. Sidstnævnte skal sikre, at der ikke implementeres tiltag, der kunne have været opnået ved brug af løsninger, der er mindre indgribende for den enkelte borger. Læs Datatilsynets udmelding.

De danske sundhedsmyndigheder skal endvidere iagttage EU-Kommissionens og det Europiske Databeskyttelsesråds vejledninger som beskrevet i denne nyhed. Det er på nuværende tidspunkt ukendt, hvilke tekniske løsninger de danske myndigheder vælger at gå videre med i forbindelse med den nationale app, men Kromann Reumert følger naturligvis udviklingen tæt.