Spring til indhold

Behandling af personoplysninger

Styrelsen for Patientsikkerhed behandler personoplysninger om dig i forbindelse med driften af appen smitte|stop. Nedenfor finder du nærmere information om vores behandling af de personoplysninger, der indsamles, hvorfor vi indsamler oplysningerne, og hvad dine rettigheder er.

Styrelsen for Patientsikkerhed er dataansvarlig og kan kontaktes på følgende måder: Styrelsen for Patientsikkerhed

Islands Brygge 67
2300 København S.
Telefon: 72 66 28 00
E-mail: stps@stps.dk

1. FORMÅL OG FRIVILLIG BRUG

Formålet med appen er at give dig mulighed for at orientere personer, du har været i nærheden af, hvis du bliver smittet med ny coronavirus (COVID-19). Det er også muligt for dig at blive orienteret af andre om, at du har været i kontakt med en person, der er smittet med COVID-19. Formålet med appen er at gøre smitteopsporingen hurtigere og nemmere ved at:

  • Det er muligt at notificere kontakter, som du ikke kender.
  • Du kan notificere kontakter du ikke umiddelbart selv kan huske.
  • Processen er hurtigere, da notifikationen kan ske direkte fra den smittede til kontakterne uden anden menneskelig indblanding.

Smitte|stop er desuden en del af et europæisk fællesskab, som gør det muligt for de officielle kontaktsporingsapps i de øvrige europæiske lande at tale sammen. Dette fællesskab kaldes en europæiske gateway-facilitet (European Federation Gateway Service). Du kan finde mere information om gateway-faciliteten her.

Det er helt frivilligt, om du vil downloade og bruge smitte|stop. Du kan altså ikke tvinges til at bruge appen, og du vil ikke blive stillet dårligere, hvis du ikke bruger appen. Appen eller oplysninger, der behandles i den forbindelse, kan ikke anvendes til at iværksætte foranstaltninger som f.eks. karantæne mod brugerne af appen, og selv om du ikke bruger appen, kan Styrelsen for Patientsikkerhed stadig hjælpe dig med smitteopsporing. Når du bruger appen, kan andre borgere eller Styrelsen for Patientsikkerhed ikke se, hvem du er, hvor du har været, eller hvem du har været i kontakt med. Du kan heller ikke se eller få oplysninger om de borgere, som du har været i nærheden af.

2. SÅDAN FUNGERER SMITTESTOP

2.1 Kontaktregistrering

Når du bruger appen, anvendes Bluetooth-forbindelsen på din smartphone til at registrere og lagre ID’er på andre brugere med appen installeret, som du opholder dig i nærheden af. Appen er baseret på en teknologi (API’er), der er udviklet af Google og Apple. Du kan læse mere om teknologien her:

Hverken Styrelsen for Patientsikkerhed eller de andre brugere af appen kan se, hvem du er, hvem du har været i kontakt med, samt hvornår og hvor kontakten er sket.

For at sikre at andre borgere eller Styrelsen for Patientsikkerhed ikke kan se, hvem du er, opdateres dit ID løbende hvert 10. til 20. minut. Dette ID kaldes dit ”rullende systemgenererede ID”. Grunden til, at ID’et opdateres løbende, er for at gøre det ekstremt vanskeligt at foretage en sammenkobling mellem de registrerede ID’er på forskellige telefoner og dermed få indblik i kontaktmønstre. Dette skyldes, at appen er designet, så den ikke kan bruges til overvågning af de personer, der bruger appen, herunder de personer, som de er i kontakt med. Det er heller ikke muligt at se, hvor brugere af appen befinder sig.

Du kan læse mere om, hvordan appen fungerer på vores side med spørgsmål og svar.

2.2 Mulighed for frivilligt at oplyse om smitte (smittenotifikation)

Hvis du bliver testet positiv for ny coronavirus, har du frivilligt mulighed for at notificere de andre brugere af appen, som du har opholdt dig i nærheden af. Brugerne, som du har været i kontakt med, vil ikke få oplysninger om, at det er dig, der er smittet.

For at notificere andre, skal du logge ind med NemID i appen, hvorefter Styrelsen for Patientsikkerhed foretager en såkaldt smitteverifikation. Dette betyder, at Styrelsen for Patientsikkerhed på baggrund af dine NemID-oplysninger vil kontrollere, hvem du er, og at du faktisk er bekræftet positiv med ny coronavirus.

Til dette formål modtager vi oplysningerne fra Statens Serum Institut om, hvem der aktuelt er smittet med COVID-19. Når du er blevet smitteverificeret, vil brugere, der har været i kontakt med dig, og som opfylder de nedenfor angivne kriterier, derefter få en besked i appen om, at de har været i kontakt med en COVID-19-smittet.

Det er kun brugere, der opfylder følgende kriterier, der vil modtage en smittenotifikation:

  • Kontakten varede i mere end ca. 15 minutter (beregnet fra varigheden)
  • I var mindre end ca. 1 meter fra hinanden (beregnet ud fra styrken på Bluetooth-signalet)
  • Kontakten skete inden for det tidsrum, hvor den smittede person forventes at være smitsom dvs. inden for 2 dage før og indtil 8 dage efter, at symptomerne startede, eller at personen blev testet, hvis ikke personen har haft symptomer (beregnet ud fra dato for symptomdebut og tidspunkt for kontakten).

For at vurdere om kriterierne er opfyldt, foretager appen en beregning af oplysningerne fra den underliggende kontaktregistrering. Fx for at beregne, om afstanden var mindre end ca. en meter, oversættes målingerne af signalstyrken til en omtrentlig afstand.

I forbindelse med udsendelse af smittenotifikation, kan det i ganske særlige tilfælde være muligt at udlede, hvem der har udsendt en smittenotifikation. Dette kan ske, hvis en person kun opholder sig tæt på én eller meget få andre personer, og en af disse personer udsender en smittenotifikation. Derved er det muligt at udlede, at det er en specifik person, der har udsendt notifikationen. Dette vil dog ikke kunne finde sted under normal brug og kræver, at du opholder dig næsten helt isoleret fra andre mennesker, og kun har ganske få kontakter i løbet af en dag.

2.3 Mulighed for at modtage oplysning om smitterisiko

Du vil på samme måde kunne modtage en notifikation, hvis du har været i kontakt med en bruger af appen, der vælger at sende smittenotifikationer, og du opfylder ovenstående kriterier. Du vil ikke få oplysninger om, hvem du har været i kontakt med eller tidspunktet for kontakten.

Oplysningen om, at du har været i kontakt med en smittet, udgør ikke en diagnose af dig eller bekræftelse på, at du er smittet, men derimod at du har været udsat for en smitterisiko.

Modtager du en smittenotifikation, vil du samtidig modtage information om, hvordan du bør forholde dig. Den information, du modtager i notifikationen, vil følge de til enhver tid gældende anbefalinger fra sundhedsmyndighederne for, hvordan personer, der har været udsat for COVID-19 smitterisiko, bør forholde sig. Informationen er alene vejledende, og det er frivilligt for dig, om du vælger at følge den. Der kan således ikke blive iværksat foranstaltninger imod dig, hvis du ikke følger vejledningen. Styrelsen for Patientsikkerhed vil dog opfordre dig til at handle i overensstemmelse med den vejledende information.

Du kan læse mere om, hvordan smitte|stop fungerer og teknologien bag her.

2.4 Deling af information med den europæiske gateway-facilitet

Smitte|stop er en del af den europæiske gateway-facilitet. Det betyder, at når du melder dig smittet gennem appen, vil dit rullende systemgenererede ID blive videresendt til den europæiske gatewayy-facilitet. Smitte|stop modtager på samme måde ID’er fra andre europæiske lande fra gateway-faciliteten.

Gateway-faciliteten er en løsning, der gør det muligt for europæiske kontaktsporingsapps at dele information med hinanden, og løsningen stilles til rådighed af EU-Kommissionen. Styrelsen for Patientsikkerhed er fælles dataansvarlig sammen med andre deltagende EU-lande for den behandling af personoplysninger, der sker i gateway-faciliteten. En liste over de fælles dataansvarlige kan findes her.

3. HVAD ER FORMÅLET MED VORES BEHANDLING AF PERSONOPLYSNINGER?

Formålet med appen er at forebygge og inddæmme udbredelse af COVID-19 ved at bryde smittekæder, når en bruger af appen har fået bekræftet, at vedkommende har COVID-19. Appen skal bidrage til at bryde smittekæder ved at formidle advarsler til personer, der har været i tæt kontakt med brugere, der er bekræftet smittet med COVID-19, og dermed er i risiko for at være blive smittet med COVID-19.

Formålet med behandlingen af personoplysninger er beskrevet i § 1 i bekendtgørelse om behandling af oplysninger om elektronisk registrerede kontakter i forbindelse med forebyggelse og inddæmning af smitte med Covid-19 (herefter ”bekendtgørelsen”). Styrelsen for Patientsikkerhed kan også bruge oplysningerne til statistiske formål til på aggregeret og anonymiseret niveau at fortælle, hvor mange der har downloadet appen, og hvor mange der vælger i appen at give besked om smitte til nære kontakte. Vi bruger disse oplysninger til at evaluere effekten af appen.

Personoplysningerne kan ikke behandles til andre formål end til understøttelse af Styrelsen for Patientsikkerheds smitteopsporing og til brug for løbende evaluering af effekten af løsningen, jf. bekendtgørelsens § 1, stk. 2.

Dine personoplysninger vil ikke blive brugt til at indføre foranstaltninger mod dig. Det vil sige, at oplysninger, der er indsamlet gennem appen, ikke vil danne grundlag for påbud om karantæne eller andre afgørelser.

4. RETSGRUNDLAGET FOR BEHANDLINGEN AF PERSONOPLYSNINGER

Retsgrundlaget for lagringen af og adgang til de personoplysninger, der lagres på din telefon, følger af dit samtykke, jf. cookiebekendtgørelsens § 3, stk. 1-2. Dette samtykke dækker kun adgangens til at lagringen af og adgangen til oplysninger på din telefon. Retsgrundlaget for den yderligere behandling af personoplysninger, der foretages på telefonen i forbindelse med kontaktregistreringen og beregning af smitterisiko, samt vores behandling af personoplysninger i forbindelse med smitteverifikation og -notifikation, følger af bekendtgørelse om registrering af og adgang til oplysninger om elektronisk registrerede kontakter i forbindelse med forebyggelse og inddæmning af smitte med COVID-19, databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra i og g, samt databeskyttelseslovens § 7, stk. 4.

Vi behandler dit CPR-nummer med hjemmel i databeskyttelseslovens § 11, stk. 1, når du bruger dit NemID i forbindelse med smitteverifikation, for at vi entydigt kan identificere dig.

5. HVILKE PERSONOPLYSNINGER BEHANDLES, OG HVOR LÆNGE OPBEVARES DE?

Smitte|stop behandler følgende personoplysninger om dig: Følgende oplysninger behandles på din telefon i forbindelse med brug af appen:

  • Dit rullende systemgenerede ID (almindelig personoplysning)
  • Det rullende systemgenerede ID på telefoner, du har været tæt på (almindelig personoplysning)
  • Oplysninger om modtagne smittenotifikationer (almindelig personoplysning)
  • Hvis du i forbindelse med udsendelse af en smittenotifikation oplyser herom: Oplysninger om tilstedeværelsen af symptomer på COVID-19, herunder oplysninger om symptomdebut (almindelig personoplysning).

Følgende oplysninger behandles hos Styrelsen for Patientsikkerhed:

  • Ved udsendelse af smittenotifikation:

    • NemID-oplysninger: Dit CPR-nummer og dit PID-nummer (et tal, der kan ”oversættes” til dit CPR-nummer) (almindelig personoplysning)
    • Oplysninger om dine rullende systemgenerede ID’er for de sidste 14 dage (almindelig personoplysning)
    • Oplysninger om lande, du har opholdt dig i de seneste 14 dage, hvis du selv angiver dette ved udsendelse af smittenotifikation
    • Antallet af smittestatusverifikationer du har udsendt inden for de sidste 24 timer (almindelig personoplysning).

  • Ved indsamling af oplysninger fra Statens Serum Institut:

    • Dit CPR-nummer (almindelig personoplysning)
    • Oplysninger om positiv smitte med COVID-19 (følsom personoplysninger)
    • Tidspunkt for test (almindelig personoplysning)
    • Tidspunkt for symptomdebut (almindelig personoplysning).

Følgende oplysninger behandles i gateway-faciliteten:

  • Oplysninger om dine rullende systemgenerede ID’er for de sidste 14 dage (almindelig personoplysning)
  • Oplysninger om, hvilket land nøglen stammer fra
  • Oplysninger om lande, du har opholdt dig i de seneste 14 dage, hvis du selv angiver dette ved udsendelse af smittenotifikation

Oplysninger indsamlet ved login med NemID slettes efter 24 timer, jf. § bekendtgørelsens § 6, stk. 1, nr. 1. Oplysninger, der er indsamlet fra Statens Serum Institut, slettes løbende i takt med, at Statens Serum Institut vurderer, at smittestatus ikke længere er relevant, jf. bekendtgørelsens § 6, stk. 1, nr. 3. Oplysninger om antallet af smittestatusverifikation slettes efter 24 timer, jf. bekendtgørelsens § 6, stk. 1, nr. 2. Oplysninger behandlet i gateway-faciliteten slettes efter 14 dage, jf. bekendtgørelsens § 8.

Nødvendigheden af appen og de indsamlede oplysninger evalueres løbende. Hvis det viser sig, at appen ikke længere er nødvendig, vil alle de indsamlede oplysninger slettes.

6. HVOR STAMMER DINE OPLYSNINGER FRA?

Vi behandler både oplysninger, du selv indsender til os, og oplysninger, vi indhenter fra andre.

Styrelsen for Patientsikkerhed modtager fra Statens Serum Institut en liste over de personer, der aktuelt er smittet med COVID-19. Styrelsen modtager denne liste med det formål at kunne foretage en verifikation af smittestatus, hvis du melder dig smittet via appen.

Derudover modtager vi dine rullende systemgenerede ID’er, hvis du vælger at udsende en smittenotifikation. Disse ID’er er lagret på din telefon og genereres automatisk af appen, når den bruges.

Vi registrerer dine NemID-oplysninger (dit PID-nummer og dit CPR-nummer), når du logger ind med NemID i forbindelse med verifikation af smittestatus.

7. UDLEVERING AF PERSONOPLYSNINGER TIL ANDRE

Som led i understøttelsen af interoperabilitet videregiver vi oplysninger om de rullende systemgenerende ID’er til gateway-faciliteten, jf. bekendtgørelsen § 5, stk. 5. Herfra vil de øvrige deltagende lande være modtagere af oplysningerne.

Vi kan videregive dine oplysninger til Rigsarkivet i overensstemmelse med arkivloven.

Styrelsen for Patientsikkerhed benytter databehandlere til at behandle oplysningerne:

  • Digitaliseringsstyrelsen fungerer som databehandler for Styrelsen for Patientsikkerhed i forbindelse med opbevaringen af dine rullende systemgenerede ID’er, når du vælger at udsende en smittenotifikation. Digitaliseringsstyrelsen anvender underdatabehandleren Netcompany til behandling af personoplysninger.
  • Sundhedsdatastyrelsen fungerer som databehandler for modtagelsen af oplysninger fra Statens Serum Institut og den registrering, der sker, når du logger ind med NemID. Sundhedsdatastyrelsen benytter Trifork som underdatabehandler.

8. DINE RETTIGHEDER

Du har ret til at anmode om:

  • at se hvilke oplysninger, vi behandler om dig (indsigt)
  • at få rettet urigtige eller vildledende oplysninger (berigtigelse)
  • at få slettet oplysninger (ret til at blive glemt)
  • at få stoppet behandlingen af oplysninger (begrænsning af behandling)
  • at gøre indsigelse mod en ellers lovlig behandling (indsigelse).

Du har også ret til at trække dit samtykke til lagring af oplysninger på din telefon tilbage. Dette kan du gøre inde i appen ved at vælge Menu > Behandling af personoplysninger. Her kan du trække dit samtykke tilbage. Du kan også trække dit samtykke tilbage ved at afinstallere appen. Hvis du trækker samtykket tilbage, slettes alle de lagrede oplysninger fra din telefon.

Hvis du ønsker at gøre brug af dine rettigheder, skal du kontakte os ved at sende en mail til informationssikkerhed@stps.dk. Hvis du i den forbindelse har brug for at sende os følsomme eller fortrolige oplysninger, skal du i stedet kontakte os gennem eBoks. Her kan du sende en meddelelse og vælge Styrelsen for Patientsikkerhed som modtager.

Vi vil besvare din henvendelse hurtigst muligt og senest inden for 30 dage. I visse tilfælde kan det være nødvendigt at få bekræftet din identitet eller få yderligere oplysninger fra dig, før vi kan besvare din henvendelse. Dette gør vi for at sikre, at vi udleverer personoplysninger til den rette person og ikke til en person, der udgiver sig for at være dig.

Du også velkommen til at kontakte vores databeskyttelsesrådgiver ved at sende en mail til databeskyttelse@sum.dk. Vores databeskyttelsesrådgiver er fælles databeskyttelsesrådgiver for hele Sundheds- og Ældreministeriets koncern, og vi skal derfor bede om, at du i din henvendelse angiver, at henvendelsen vedrører Styrelsen for Patientsikkerhed.

9. KLAGE

Du kan klage over vores behandling af dine personoplysninger til Datatilsynet.

Datatilsynet er en uafhængig myndighed, der fører tilsyn med overholdelse af reglerne om databeskyttelse i Danmark. Du kan finde oplysninger om Datatilsynet, og om hvordan du klager på deres hjemmeside: https://www.datatilsynet.dk.

Hvis du ønsker at klage, bør du i første omgang kontakte os. Så har vi mulighed for at tage stilling til din henvendelse og eventuelt ændre den måde, vi behandler dine oplysninger på.

10. RELEVANT LOVGIVNING

Bekendtgørelse om registrering af og adgang til oplysninger om elektronisk registrerede kontakter i forbindelse med forebyggelse og inddæmning af smitte med Covid-19.

Databeskyttelsesloven og databeskyttelsesforordningen