Opdatering 27. juni 2019: Artiklen er opdateret med svar fra Epic.
Sundhedsplatformens amerikanske udvikler, Epic, er ikke certificeret efter EU og USA’s såkaldte Privacy Shield-ordning. Dermed er selskabets danske kunder ikke beskyttet af ordningens garantier, der skal sikre høj datasikkerhed og begrænse efterretningstjenesters adgang, når EU-borgeres oplysninger overføres til USA.
Selskaber kan frivilligt tilmelde sig ordningen. Men Epic er ikke på listen over certificerede firmaer på Privacy Shield-ordningens hjemmeside.
Det er bekymrende, mener lektor i sundhedsret Kent Kristensen fra Syddansk Universitet efter Politikens afsløring af, at Epics amerikanske it-udviklere har adgang til op mod 2,5 millioner danskeres patientjournaler.
»Meget, meget problematisk«: Danske patientdata ender i USA»Privacy Shield-ordningen pålægger amerikanske virksomheder nogle pligter, som ikke følger af amerikansk lovgivning, og giver samtidig mulighed for at tage retlige skridt mod de virksomheder, som bryder aftalen. Når Epic ikke har tilsluttet sig ordningen, kan selskabet heller ikke garantere borgere den beskyttelse, der følger af ordningen«, siger Kent Kristensen.
Politiker efter ny sag om Sundhedsplatformen: »Hvad i alverden laver mine sundhedsoplysninger et mystisk sted i USA?«EU og USA indgik Privacy Shield-ordningen i 2017, efter at whistlebloweren Edward Snowden havde afsløret amerikanske efterretningstjenesters globale masseovervågning. Aftalen pålægger USA’s efterretningstjenester at begrænse deres indsamling af europæiske persondata og forbyder vilkårlig masseovervågning.
Privacy Shield er blevet kritiseret af blandt andet Human Rights Watch for ikke at sikre tilstrækkelig beskyttelse af EU-borgerne mod de amerikanske efterretningstjenester. Men ordningen er bedre end ingenting, fastholder Kent Kristensen.
»EU har kategoriseret USA som et ikkesikkert tredjeland, fordi USA’s lovgivning er meget liberal og tillader masseovervågning. Privacy Shield yder en vis beskyttelse, som Epic ikke kan garantere, når selskabet står uden for aftalen«, siger han.
Politiken har ingen viden om, at danskeres sundhedsoplysninger skulle være blevet kompromitteret via Sundhedsplatformen. Men Epics manglende certifiering bekymrer politikere hos Dansk Folkeparti, SF og Enhedslisten. De er i forvejen kritiske over for, at danske patientoplysninger kan tilgås fra USA.
»Det kan være folketingspolitikeres, rige forretningsfolks eller statsministerens sundhedsoplysninger. Det kan virkelig misbruges. Og man kan jo købe sig til meget nu om dage«, siger sundhedsordfører Kirsten Normann Andersen (SF).
Eva Flyvholm (EL) kalder det »absurd«:
»USA har en skidt forhistorie med at snage i danske, tyske og andre europæiske borgeres oplysninger. Hvis det er rigtigt, at Epic ikke er omfattet af den her grundlæggende garanti, så er det jo bare ekstra absurd«, siger hun.
Region Hovedstaden mener ikke, det er et problem, at Epic ikke er Privacy Shield-certificeret.
»Privacy Shield-ordningen er en ordning, som virksomheder kan melde sig til og fra uden varsel. Vi kender ikke baggrunden for, at EPIC ikke har tilmeldt sig ordningen, og igen må jeg understrege, at data ligger i Danmark og ejes af de to regioner – ikke af Epic og ikke i USA«, skriver vicedirektør Pia Kopke fra Region Hovedstadens Center for It, Medico og Telefoni i en mail.
Mener regionen, at jeres databehandleraftale med Epic står over den amerikanske efterretningslov, Foreign Intelligence Surveillance Act?
»På det spørgsmål må vi henvise til justitsministeriet«.
Epic: Ikke et problem
Ifølge den amerikanske it-udvikler Epic er det ikke et problem, at selskabet ikke er Privacy Shield-certificeret. Der er andre måder at sikre danske borgeres databeskyttelse, så det er i overensstemmelse med EUs persondataforordning, GDPR.
»Privacy Shield er bare en af flere mekanismer oplistet i GDPR, som kan bruges til at skabe den nødvendige beskyttelse om international overførsel af persondata.«, skriver Epics PR-chef Meghan Roh i en mail til Politiken.
I stedet har Epic underskrevet en dataaftale med de danske regioner, som gør det muligt at overføre data fra EU til USA, som Politiken tidligere har beskrevet.
Kan Epic-personale med adgang til danske patienters data blive retsforfulgt, hvis de bryder den indgåede aftale?
»Alle Epic-ansatte indgår bindende juridiske kontrakter med Epic om at behandle alle kundedata, herunder patientdata, med fuldstændig fortolighed. Overtrædelse af denne bestemmelse kan føre til fyring og juridiske sanktioner«, skriver Megan Roh.
Megan Roh afviser Kent Kristensens påstand, at selskaber, som er Privacy Shield-certificeret, kan tilbyde bedre beskyttelse end selskaber, som står uden for ordningen. Ifølge Epic er alle lovlige overførsler lige sikre:
»Amerikanske garantier omkring de lovlige begrænsninger for indsamlingen af data er blevet udlagt i flere forskellige breve fra den amerikanske regering til EU-kommissionen. De begrænsninger beskytter privatlivsinteresserne for EU-borgere uanset hvilken lovlig transfermekanisme, en organisation benytter«, skriver hun i mailen.
Har du aborteret, tager du medicin eller er du blevet opereret i knæet? Patienters helbredsoplysninger ender uden for dansk lov og retfortsæt med at læse
