Kapitel 1 Formål og anvendelsesområde
Styrelsen for Patientsikkerhed er ansvarlig for at stille en digital løsning til rådighed for de borgere, der har downloadet den digitale løsning ”Smittestop” samt formidle oplysninger om, at en bruger af løsningen har været i elektronisk kontakt med andre brugere af kontaktopsporings- og advarselsmobilapplikationer, som nævnt i § 3, nr. 5, der har fået bekræftet, at de har Coronavirussygdom 2019 (COVID-19). Styrelsen for Patientsikkerhed er dataansvarlig for den behandling af personoplysninger, der er omfattet af denne bekendtgørelse, jf. § 2, stk. 2. Styrelsen for Patientsikkerhed udarbejder forud for denne behandling af personoplysninger en konsekvensanalyse i overensstemmelse med artikel 35 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og fastsætter i forlængelse heraf foranstaltninger for at imødegå de identificerede risici.
Stk. 2 Løsningens overordnede formål er at forebygge og hindre udbredelse og smitte af Coronavirussygdom 2019 (COVID-19). Løsningen har i den forbindelse til formål at bidrage til at bryde smittekæder ved at give mulighed for, at brugere af løsningen kan få elektronisk meddelelse om, at de har været i elektronisk kontakt med andre brugere af løsningen, der er bekræftet smittet med Coronavirussygdom 2019 (COVID-19), og dermed er i risiko for at være blevet smittet med Coronavirussygdom 2019 (COVID-19).
Stk. 3 Lagring af og adgang til oplysninger på brugerens telefon er efter bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (cookiebekendtgørelsen) betinget af, at brugeren har afgivet samtykke i overensstemmelse med artikel 4, nr. 11, og artikel 7 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), efter at have modtaget fyldestgørende information om lagringen af oplysninger på brugerens terminaludstyr. Øvrig behandling af personoplysninger, der foretages i forbindelse med drift og anvendelse af løsningen, er reguleret af denne bekendtgørelse.
Stk. 4 Styrelsen for Patientsikkerhed må ikke behandle de personoplysninger, der behandles i medfør af denne bekendtgørelse til andre formål, end de formål der er nævnt i stk. 2, medmindre der er tale om anonymisering med henblik på viderebehandling til videnskabelige eller statistiske formål, eller behandlingen af personoplysningerne følger af reglerne i arkivloven. Styrelsen for Patientsikkerhed må alene behandle personoplysninger nævnt i 1. pkt. i det omfang, det er nødvendigt for at varetage de formål, der er nævnt i 1. pkt. eller i stk. 2. Styrelsen for Patientsikkerheds behandling af personoplysninger er herudover underlagt de begrænsninger, der følger af § 5.
Styrelsen for Patientsikkerhed tilslutter sig i overensstemmelse med artikel 7a, stk. 4, i Kommissionens gennemførelsesafgørelse (EU) 2019/1765 en fælleseuropæisk gateway-facilitet.
Stk. 2 Styrelsen for Patientsikkerhed og de øvrige udpegede nationale myndigheder eller officielle organer, der behandler personoplysninger i den fælles gateway-facilitet, er fælles dataansvarlige for de data, der udveksles gennem og behandles i den fælles gateway-facilitet.
Stk. 3 EU-Kommissionen er databehandler for de fælles dataansvarlige og stiller IT infrastruktur til rådighed.
Kapitel 2 Definitioner
I denne bekendtgørelse forstås ved:
-
1) Elektronisk kontakt: Registreret kontakt på baggrund af radiokontakt (bluetooth) mellem to telefoner, hvor en kontaktopsporings- og advarselsmobilapplikation er installeret. Kontakten registreres, når der er uafbrudt radiokontakt mellem to telefoner, hvor løsningen er installeret. Kontaktregistreringen indeholder oplysning om kontaktens skiftende systemgenererede elektroniske nøgle, signalstyrke, tidspunkt og varighed af kontakten.
-
2) Smittenotifikation: Besked til en bruger om, at vedkommende har været i elektronisk kontakt med en bruger af en kontaktopsporings- og advarselsmobilapplikation, der er bekræftet smittet med Coronavirussygdom 2019 (COVID-19). Besked efter 1. pkt. gives alene, hvis der på grundlag af varigheden af kontakten, signalstyrke og den tidsmæssige afstand mellem kontakten og smittedebut sandsynligvis ud fra en epidemiologisk vurdering er en kvalificeret risiko for, at vedkommende kan være blevet smittet med Coronavirussygdom 2019 (COVID-19).
-
3) Smitteverifikation: Kontrol af, at en bruger, der ønsker at notificere sine elektroniske kontakter, er bekræftet smittet med Coronavirussygdom 2019 (COVID-19).
-
4) Fælleseuropæisk gateway-facilitet: En elektronisk opbevarings- og oplysningsudvekslingsfacilitet, der drives af EU-Kommissionen via et sikkert IT-værktøj, og som modtager, lagrer og giver adgang til personoplysninger i medlemsstaternes backend-servere med henblik på at sikre interoperabilitet mellem nationale kontaktopsporings- og advarselsmobilapplikationer.
-
5) Kontaktopsporings- og advarselsmobilapplikation: En softwareapplikation godkendt på nationalt plan, som kører på intelligente enheder, navnlig smartphones, og som sædvanligvis er udviklet til omfattende og målrettet samspil med webressourcer og behandler nærhedsdata og andre kontekstafhængige oplysninger, der indsamles af flere sensorer i de intelligente enheder med det formål at opspore personkontakter, der er smittet med Coronavirussygdom 2019 (COVID-19), og advare personer, der kan være blevet eksponeret for Coronavirussygdom 2019 (COVID-19). Disse mobilapplikationer er i stand til at opdage andre enheder i nærheden, der anvender Bluetooth, og udveksle oplysninger med backend-servere over internettet.
Kapitel 3 Behandling, herunder sletning, af personoplysninger på brugerens telefon
Følgende kategorier af personoplysninger behandles på den telefon, som den enkelte bruger har installeret løsningen på:
-
1) Antal elektroniske kontakter, som den enkelte bruger har haft i de forgangne 14 døgn.
-
2) Smittenotifikationer modtaget de forgangne 14 døgn.
-
3) Beregning af om brugeren på grundlag af varigheden af kontakten, signalstyrke, den tidsmæssige afstand mellem kontakten og smittedebut sandsynligvis ud fra en epidemiologisk vurdering er i kvalificeret risiko for at kunne være smittet med Coronavirussygdom 2019 (COVID-19).
Stk. 2 Oplysninger lagret på brugerens telefon efter stk. 1 slettes automatisk på følgende måde:
-
1) Elektroniske kontakter registreret på brugerens telefon slettes automatisk 14 dage efter registreringen på telefonen.
-
2) Oplysning om hvilke systemgenererede nøgler der er knyttet til en bruger, der har Coronavirussygdom 2019 (COVID-19), slettes automatisk efter 14 dage.
-
3) Oplysning om at brugeren på grundlag af varighed af kontakten, signalstyrke, den tidsmæssige afstand mellem kontakten og smittedebut sandsynligvis ud fra en epidemiologisk vurdering er i kvalificeret risiko for at kunne være smittet med Coronavirussygdom 2019 (COVID-19), slettes automatisk 14 dage efter, at brugeren har modtaget notifikationen på telefonen.
-
4) Alle oplysninger registreret i løsningen slettes, når brugeren afinstallerer løsningen.
Kapitel 4 Behandling, herunder sletning, af personoplysninger hos sundhedsmyndighederne
Følgende kategorier af personoplysninger behandles, i det omfang det er nødvendigt for at sikre driften af løsningen:
-
1) Brugerens NemID-oplysninger i forbindelse med verifikation af, om brugeren har Coronavirussygdom 2019 (COVID-19).
-
2) Oplysning om hvor mange smittestatusverifikationer der er udstedt for en given bruger inden for de seneste 24 timer.
-
3) Oplysning om brugere, der har Coronavirussygdom 2019 (COVID-19), til brug for smitteverifikation og -notifikation:
-
a) CPR-nummer.
-
b) Smittestatus.
-
c) Tidspunkt for test.
-
d) Tidspunkt for symptomdebut (oplyst af brugeren eller beregnet af løsningen).
-
e) Oplysninger om, hvilke lande brugeren har opholdt sig i de seneste 14 dage, hvis dette er angivet af brugeren.
-
-
4) Oplysning om, hvilke systemgenererede nøgler der er anvendt af brugere, der har gennemført positiv smitteverifikation.
Stk. 2 Statens Serum Institut videregiver oplysninger om personnummer, smittestatus, tidspunkt for test og beregnet tidspunkt for symptomdebut til Styrelsen for Patientsikkerhed om personer, der aktuelt er bekræftet smittet med Coronavirussygdom 2019 (COVID-19) til brug for verifikation af, om en bruger af løsningen, der ønsker at foretage smittenotifikation, er bekræftet smittet med Coronavirussygdom 2019 (COVID-19).
Stk. 3 Styrelsen for Patientsikkerhed og en eventuel databehandler, der på styrelsens vegne varetager driften af registrerede kontakter, har adgang til de i stk. 2 nævnte oplysninger, når det er påkrævet af driftstekniske grunde eller følger af Styrelsen for Patientsikkerheds forpligtelser som dataansvarlig.
Stk. 4 Styrelsen for Patientsikkerheds behandling af personoplysninger er herudover underlagt følgende begrænsninger:
-
1) Oplysninger om brugerens NemID-oplysninger må alene anvendes af styrelsen i forbindelse med verifikation af, om brugeren har Coronavirussygdom 2019 (COVID-19).
-
2) Oplysninger om antallet af udsendte smittestatusverifikationer må alene anvendes af styrelsen til at begrænse brugerens udsendelser af smittenotifikationer.
-
3) Oplysninger om borgere, der har Coronavirussygdom 2019 (COVID-19), som Styrelsen for Patientsikkerhed har modtaget fra Statens Serum Institut i medfør af stk. 2, må alene anvendes af styrelsen til smittenotifikation og -verifikation gennem løsningen.
-
4) Oplysninger om hvilke systemgenerede nøgler der er anvendt af brugere, der har gennemført positiv smitteverifikation, må alene anvendes af styrelsen til smittenotifikation gennem løsningen.
Stk. 5 De i § 5, stk. 1, nr. 4, nævnte oplysninger kan overføres til den fælles gateway-facilitet i et pseudonymiseret format. Oplysningerne behandles i den fælles gateway-facilitet og udveksles mellem de nationale myndigheder, der har tilladelse til at tilgå den.
Oplysninger, der er registreret hos Styrelsen for Patientsikkerhed, slettes automatisk på følgende måde:
-
1) Brugerens NemID-oplysninger slettes senest 24 timer efter, at Styrelsen for Patientsikkerhed har foretaget verifikation af, om en bruger har Coronavirussygdom 2019 (COVID-19).
-
2) Oplysning om hvor mange smittestatusverifikationer der er udstedt for en given bruger, slettes efter 24 timer.
-
3) Oplysning om borgere der er bekræftet smittet med Coronavirussygdom 2019 (COVID-19), som Styrelsen for Patientsikkerhed har modtaget fra Statens Serum Institut i medfør af § 4, stk. 2, slettes løbende i takt med, at Statens Serum Institut vurderer, at smittestatus ikke længere er relevant.
-
4) Oplysning om hvilke systemgenererede nøgler der er anvendt af brugere, der har gennemført positiv smitteverifikation, slettes automatisk efter 14 dage.
Kapitel 5 Behandling, herunder sletning, af personoplysninger i den fælleseuropæiske gateway-facilitet
Følgende kategorier af personoplysninger behandles i den fælleseuropæiske gateway-facilitet i pseudonymiseret format:
-
1) De systemgenerede nøgler der er anvendt af brugere, der har gennemført positiv smitteverifikation, som de nationale kontaktopsporings- og advarselsmobilapplikationer har sendt, op til 14 dage før nøglerne blev uploadet.
-
2) Logdata i tilknytning til nøglerne i overensstemmelse med den protokol for tekniske specifikationer, der anvendes i nøglernes oprindelsesland.
-
3) Typen af smitteverifikation (laboratorieverificeret).
-
4) De berørte lande og nøglernes oprindelsesland.
Stk. 2 Oplysninger i den fælleseuropæiske gateway-facilitet må kun behandles til formål, der vedrører fremme af interoperabiliteten mellem nationale kontaktopsporings- og advarselsmobilapplikationer inden for den fælles gateway-facilitet og kontinuiteten i kontaktopsporing på tværs af grænserne.
Kapitel 6 Ikrafttræden
Bekendtgørelsen træder i kraft den 26. oktober 2021.
Stk. 2 Bekendtgørelsen ophæves den 31. marts 2022.
Stk. 3 Bekendtgørelse nr. 1840 af 21. september 2021 om behandling af oplysninger om elektronisk registrerede kontakter med henblik på at forebygge og inddæmme udbredelsen af Coronavirussygdom 2019 (COVID-19) ophæves.