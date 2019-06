Først viste det sig, at det amerikanske firma bag den omdiskuterede IT-system Sundhedsplatformen kan få adgang til danskernes sundhedsdata. Nu viser det sig, at det amerikanske firma ikke er godkendt af EU.

Sundhedsplatformens amerikanske udvikler, Epic, er ikke godkendt efter EU’s og USA’s såkaldte Privacy Shield-ordning. Dermed er selskabets danske kunder ikke beskyttet af de garantier, der skal sikre høj datasikkerhed og begrænse efterretningstjenesters adgang, når EU-borgeres oplysninger overføres til USA.

Det kan være folketingspolitikeres, rige forretningsfolks eller statsministerens sundhedsoplysninger. Det kan virkelig misbruges. Kirsten Normann Andersen (SF)

Selskaber kan frivilligt tilmelde sig ordningen. Men Epic er ikke på listen over certificerede firmaer på Privacy Shield-ordningens hjemmeside.

Det er bekymrende, mener lektor i sundhedsret Kent Kristensen fra Syddansk Universitet efter Politikens afsløring af, at Epics amerikanske it-udviklere har adgang til op mod 2,5 millioner danskeres patientjournaler.

»Privacy Shield-ordningen pålægger amerikanske virksomheder nogle pligter, som ikke følger af amerikansk lovgivning, og giver samtidig mulighed for at tage retlige skridt mod de virksomheder, som bryder aftalen. Når Epic ikke er har tilsluttet sig ordningen, kan selskabet heller ikke garantere borgere den beskyttelse, der følger af ordningen«, siger Kent Kristensen.

EU og USA indgik Privacy Shield-ordningen i 2017, efter whistlebloweren Edward Snowden havde afsløret amerikanske efterretningstjenesters globale masseovervågning. Aftalen pålægger USA’s efterretningstjenester at begrænse deres indsamling af europæiske persondata og forbyder vilkårlig masseovervågning.

Privacy Shield er blevet kritiseret af blandt andet Human Rights Watch for ikke at sikre tilstrækkelig beskyttelse af EU-borgerne mod de amerikanske efterretningstjenester. Men ordningen er bedre end ingenting, fastholder Kent Kristensen.

»EU har kategoriseret USA som et ’ikke-sikkert tredjeland’, fordi USA’s lovgivning er meget liberal og tillader masseovervågning. Privacy Shield yder en vis beskyttelse, som Epic ikke kan garantere, når selskabet står uden for aftalen«, siger han.

Politiken har ingen viden om, at danskeres sundhedsoplysninger skulle være blevet kompromitteret via Sundhedsplatformen. Men Epics manglende godkendelse bekymrer politikere hos Dansk Folkeparti, SF og Enhedslisten. De er i forvejen kritiske over, at danske patientoplysninger kan tilgås fra USA.

»Det kan være folketingspolitikeres, rige forretningsfolks eller statsministerens sundhedsoplysninger. Det kan virkelig misbruges. Og man kan jo købe sig til meget nu om dage«, siger sundhedsordfører Kirsten Normann Andersen (SF).

Eva Flyvholm (EL) kalder det »absurd«:

»USA har en skidt forhistorie med at snage i danske, tyske og andre europæiske borgeres oplysninger. Hvis det er rigtigt, at Epic ikke er omfattet af den her grundlæggende garanti, så er det jo bare ekstra absurd«, siger hun.

Politiken har fremsendt spørgsmål om Epics manglende Privacy Shield-certificering til både Epic og Region Hovedstaden, som forvalter kontrakten om Sundhedsplatformen. De havde ved deadline ikke svaret.