9. januar  2007	Vedrørende høring over forslag til lov om ændring af lov om arbejdsskadesikring mv.

 

 

1. Ved e-post af 14. december 2006 har Arbejdsskadestyrelsen fremsendt udkast til forslag til lov om ændring af lov om arbejdsskadesikring og lov om retssikkerhed og administration på det sociale område (opfølgning af anbefalinger fra arbejdsskadeudvalgene mv.), og anmodet om Datatilsynets bemærkninger hertil.

 

Der er den 4. januar 2007 afholdt et møde mellem Arbejdsskadestyrelsen og Datatilsynet.

 

Ved e-post af 5. januar 2007 har Arbejdsskadestyrelsen fremsendt et revideret udkast til lovforslaget.

 

Datatilsynet har herefter følgende bemærkninger:

 

2. Lovforslagets § 1, nr. 8.

2.1. Det fremgår af lovforslagets § 1, nr. 8, at ”[a]rbejdsskadestyrelsen skal underrettes af Landspati­entregisteret og et register i Sundhedsstyrelsen om anmeldelser af særlige kræft­diagnoser, hvor sygdommen må formodes at være erhvervsbetinget kræft. Direktøren for Arbejdsskadestyrelsen fastsætter regler om underretningen, herunder om hvilke diagnoser, der er omfattet af underretningen. Det kan ved disse bestemmelser fastsættes, at underretningen kan ske digitalt og uden samtykke fra den, som underretningen vedrører.”

 

Det følger bl.a. af de almindelige bemærkninger, at ”[r]egeringen finder det vigtigt at de skader, der giver ret til erstatning og godtgørelse efter loven anmeldes. Det er derfor vigtigt, at de gældende anmeldelsesregler understøttes af andre tiltag, der kan sikre, at skaderne anmeldes.”

 

Det foreslås derfor, ”at løse problemet med underanmeldelse af de pågældende kræftformer ved, at Arbejdsskadestyrelsen automatisk underrettes om anmeldelser af lungehindekræft og kirtelkræft i næse og bihuler til Landspatientregisteret og et nyt administrativt register i Sundhedsstyrelsens regi.” 

 

Det oplyses, at ”[d]et nye register forudsættes oprettet med udgangspunkt i register over Lands­dækkende Patologi, der er et eksisterende administrativt register, der i dag blandt andet er grundlag for Patologiregisteret, der er et forskningsregister.”

 

Det oplyses endvidere, at den underretning Arbejdsskadestyrelsen modtager, kun vil indeholde de oplysninger, der gør det muligt for styrelsen at oprette en sag. Det vil sige oplysning om personnummer og diagnose.

 

Ar­bejds­ska­desty­rel­sen har således mulighed for at rette henvendel­se til den tilskadekomne for at få oplyst, om denne ønsker sagen behandlet som en mulig arbejdsskade, når underretningen modtages. Dette sikrer efter bemærkningerne, at der ikke er tilskadekomne, der mister deres ret til erstatning i levende live, da Arbejdsskadestyrelsen har tilrettelagt en særlig hurtig behandling af disse sager

 

Det følger ligeledes af bemærkningerne, at ”[d]er […] ikke [er] tilsigtet en fravigelse af persondatalovens regler. Det indebærer, at Arbejdsskadestyrelsen alene vil blive underrettet om de oplysninger, der er nødvendige, for at Arbejdsskadestyrelsen kan rette henvendelse til pågældende, der skal oplyse, om sagen ønskes behandlet med henblik på eventuel erstatning og godtgørelse.

 

Det er vurderingen, at underretningen er inden for rammerne af reglen i persondatalovens § 7, stk. 2, nr. 4, da det sikrer tilskadekomnes krav på erstatning.”

 

2.2. Persondataloven[1] gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

 

Persondatalovens § 5 indeholder en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt.

 

Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål (finalité-princippet).

 

Af § 5, stk. 3, fremgår, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

 

Ifølge lovens § 7, stk. 1, må der ikke behandles oplysninger om bl.a. helbredsforhold.

 

Forbudet i § 7, stk. 1, gælder imidlertid bl.a. ikke, hvis behandlingen af oplysninger er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.

 

2.3 Datatilsynet har noteret sig, at det af de almindelige bemærkninger til lovforslaget fremgår, at behandlingen af oplysninger vil skulle ske i overensstemmelse med reglerne i persondataloven.

 

Tilsynet har endvidere noteret sig, at Arbejdsskadestyrelsen har vurderet, at videregivelsen af helbredsoplysninger fra Sundhedsstyrelsen vil ske inden for rammerne af persondatalovens § 7, stk. 2, nr. 4.

 

Under henvisning til drøftelserne på mødet den 4. januar 2007 lægger Datatilsynet til grund, at der for så vidt angår netop de to kræftformer, som påtænkes omfattet af indberetningsordningen, gør sig helt særlige forhold, f.eks. med hensyn til tidsfaktoren, gældende, og at det derfor anses for helt nødvendigt at indføre en direkte indberetningsordning som beskrevet.

 

På denne baggrund finder Datatilsynet ikke grundlag for at tilsidesætte Arbejdsskadestyrelsens vurdering af, at videregivelsen kan ske inden for rammerne af persondatalovens § 7, stk. 2, nr. 4.

 

Datatilsynet forudsætter herved, at de oplysninger, der vil blive videregivet til og registreret hos Arbejdsmarkedsstyrelsen, alene vil være oplysninger, der bl.a. er indsamlet med det formål, at der kan oprettes en sag hos Arbejdsskadestyrelsen.

 

Datatilsynet forudsætter endvidere, at der ikke sker videregivelse af oplysninger fra registre, som alene er oprettet med henblik på forskning og statistik.

 

Datatilsynet forudsætter endelig, at behandlingen af personoplysninger i øvrigt vil ske inden for rammerne af såvel persondataloven såvel som databeskyttelsesdirektivet.[2]

 

Datatilsynet skal særligt henlede opmærksomheden på reglerne i persondatalovens kapitel 8 om oplysningspligt over for de registrerede samt sikkerhedsreglerne i lovens kapitel 11.

 

Det bemærkes, at det følger af persondatalovens § 57, at der ved udarbejdelse af bekendtgørelser, cirkulærer eller lignede generelle retsforskrifter, der har betydning for beskyttelse af privatlivet i forbindelse med behandling af personoplysninger, skal indhentes en udtalelse fra Datatilsynet.

 

Datatilsynet skal i øvrigt gøre opmærksom på, at såfremt lovforslaget giver anledning til ændringer i Arbejdsdirektoratets anmeldelser hos Datatilsynet, skal dette meddeles tilsynet, inden behandlingen iværksættes.

3. Lovforslagets § 1, nr. 10.

3.1. Det fremgår af lovforslagets § 1, nr. 10, at ”[a]rbejdsskadestyrelsen kan videregive nødvendige oplysninger om enkeltpersoners rent private forhold til Arbejdsdirektoratet, skatteforvaltning og kommuner, hvor dette er nødvendigt for at kontrollere, om der sker fejl eller misbrug i forbindelse med udbetaling af ydelser eller beskatning af indkomst.”

 

Det følger af de almindelige bemærkninger, at de tiltag der ønskes gennemført bl.a. vedrører en adgang for Arbejdsskadestyrelsen til at videregive oplysninger om enkeltpersoners private forhold til andre myndigheder, når det må anses for nødvendigt af hensyn til pågældende myndigheds kontrolbeføjelser.

 

Det følger endvidere, at adgangen for Arbejdsskadestyrelsen til at videregive oplysningerne for eksempel kan blive aktuel, når styrelsen til brug for fastsættelse af den årsløn, der skal anvendes til beregning af erstatning for tab af erhvervsevne og tab af forsørger, konstaterer, eller det med høj grad af sikkerhed må antages, at skaden er indtrådt under udførelse af sort arbejde. Det er således ikke tilstrækkeligt, at der blot er mistanke om sort arbejde.

 

Det følger tillige af bemærkningerne, at lovforslaget indebærer, at Arbejdsskadestyrelsen på eget initiativ kan videregive oplysninger til Arbejdsdirektoratet, skat­teforvaltninger­ne og kommunerne i kontroløjemed. Videregivelse af oplysninger vil kun ske, når det er nødvendigt for at kontrollere, om der sker fejl eller misbrug i forbindelse med udbetaling af ydelser eller korrekt beregning af skat.

 

Forslaget fraviger persondatalovens § 8, stk. 3, da arbejdsskadesikringsloven er en del af det sociale område, men forslaget vurderes at være inden for rammerne af databeskyttelsesdirektivet (95/46/EF af 24. oktober 1995).

 

3.2. Datatilsynet kan konstatere, at lovforslaget bl.a. giver mulighed for, at der kan videregives oplysninger fra en forvaltningsmyndighed på det sociale område til andre offentlige myndigheder, og at der derved påtænkes at fravige persondatalovens § 8, stk. 3.

 

Persondataloven er i vidt omfang en implementering af databeskyttelsesdirektivet. Lovens § 8, stk. 3, er imidlertid ikke direktivbestemt.

 

Af persondatalovens § 2, stk. 1, følger, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven. Ifølge persondatalovens forarbejder følger det omvendt af bestemmelsen, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Dette gælder dog ikke, hvis den dårligere retsstilling har været tilsigtet og i øvrigt ikke strider mod direktivet om behandling af personoplysninger.

 

Af forarbejderne til persondataloven fremgår endvidere, at såfremt der er tale om ”nye særlovsbestemmelser” – dvs. om særlovsbestemmelser der træder i kraft efter ikrafttrædelsen af persondataloven – bør der i forslaget til særloven eller i bemærkningerne hertil udtrykkeligt tages stilling til, om den registrerede skal have en dårligere retsstilling end den, der er fastsat i persondataloven.

 

Datatilsynet skal anbefale, at det udtrykkeligt præciseres i lovforslaget, at der med bestemmelsen gives en dårligere retsstilling for de registrerede end efter persondataloven, og at der redegøres for baggrunden for, at dette vurderes at være nødvendigt på dette område.

 

Det er således Datatilsynets opfattelse, at en særskilt hjemmel til registrering og videregivelse af oplysninger i videre omfang end, hvad der følger af persondataloven, kun bør tilvejebringes, hvis vægtige samfundsmæssige hensyn taler herfor. Hvorvidt dette er tilfældet, finder Datatilsynet ikke at burde udtale sig om.

 

4. Lovforslagets § 1, nr. 13.

4.1. Af lovforslagets § 1, nr. 13 følger, at ”[f]orsikringsselskabet kan til brug for administrationen af denne lov få terminaladgang til oplysninger i indkomstregisteret, jf. lov om et indkomstregister § 7.”

 

Af stk. 2 fremgÃ¥r: ”Stk. 1 omfatter de oplysninger, der er nødvendige til brug for beregning og opkrævning af præmie hos sik­rings­plig­tige arbejdsgivere og udbetaling af ydelser til tilskadekomne.”

 

Det fremgår af de almindelige bemærkninger, at arbejdsskadeforsikringsselskaber skal vurdere og prisfastsætte den ri­si­ko, som den enkelte arbejdsgiver repræ­senterer, for så vidt angår arbejdsulykker. Det er derfor af betydning, at arbejdsskadeforsikringsselskabet har så på­lidelige beskæftigelsesoplysninger som muligt med hensyn til antal ansatte hos forsikringstageren (arbejdsgiveren) og branche.

 

Det foreslås at udvide Arbejdsmarkedets Erhvervssygdomssikrings adgang til oplysninger i indkomstregisteret m.v. til arbejdsskadeforsikringsselskaberne. Udvidelsen til oplysningerne i indkomst­registeret bidrager til en effektivisering af arbejdsskadesikringsområdet, som blandt andet indebærer, at arbejdsgivernes administrative byrder vil blive lettet.

 

Det fremgår ligeledes, at ”der ikke i forbindelse med terminaladgangen til Indkomstregisteret [er] tilsigtet nogen fravigelse af reglerne i lov om behandling af personoplysninger. Forsikringsselskaberne vil derfor alene få adgang til oplysninger i Indkomstregisteret i det omfang, det efter en konkret vurdering er nødvendigt og sagligt. Herunder kan adgangen teknisk begrænses til de oplysninger, det er nødvendigt for forsikringsselskaberne at få adgang til.”

 

4.2. Det er Datatilsynets generelle opfattelse, at videregivelse af personoplysninger fra indkomstregistret til private virksomheder mv. vil forringe mulighederne for at føre kontrol med, hvordan oplysningerne anvendes, og det kan ligeledes frygtes at medføre større risiko for uberettiget brug af eller adgang til oplysningerne. Dette skyldes bl.a. det forhold, at der ikke er fastsat detaljerede regler med krav til datasikkerheden i den private sektor, svarende til, hvad der gælder for den offentlige forvaltning.

 

Hertil kommer, at såvel anmeldelsespligten til Datatilsynet som tilsynets mulighed for at foretage inspektioner er af mindre omfang i forhold til private virksomheder end for den offentlige forvaltning.

 

I Datatilsynets høringssvar af 13. oktober 2005 til Skatteministeriet understregede tilsynet vigtigheden af, at det konkret overvejes, hvorvidt det er sagligt og nødvendigt at give adgang til indkomstregistret, og om der inden for det enkelte område kan gives alene en begrænset adgang.

 

Kopi af Datatilsynets høringssvar af 13. oktober 2005 til Skatteministeriet vedhæftes til orientering.

 

Det fremgår af bemærkningerne til det reviderede forslag, at der alene påtænkes adgang til oplysninger med hensyn til antal ansatte hos forsikringstageren (arbejdsgiveren) og branche.

 

Det anføres endvidere, at adgangen ifølge bemærkningerne vil blive etableret således, at forsikringsselskaberne alene vil få adgang til oplysninger i Indkomstregisteret i det omfang, det efter en konkret vurdering er nødvendigt og sagligt, og herunder at adgangen teknisk kan begrænses hertil.

 

Det er Datatilsynets opfattelse, at spørgsmålet om forsikringsselskabernes adgang til indkomstregistret giver anledning til overvejelser i forhold til persondataloven, bl.a. i lyset af hvad der har været det primære formål med etablering af e-indkomstregistret.

 

Det må således bero på en konkret vurdering af hvilke oplysninger i registret, der gives adgang til, sammenholdt med de formål, som oplysningerne skal anvendes til.

 

Under forudsætning af, at adgangen for det enkelte forsikringsselskab kun omfatter oplysninger om antallet af ansatte hos de arbejdsgivere, som allerede er kunder hos det pågældende forsikringsselskab, er det Datatilsynets umiddelbare vurdering, at en sådan adgang ikke kan anses for at være i strid med persondatalovens regler, herunder § 5 om saglighed og proportionalitet.

 

Datatilsynet finder imidlertid, at det bør fremgå direkte af lovbestemmelsen (§ 52 a), hvilke oplysninger der er tale om.

 

Endvidere fører persondatalovens regler om bl.a. sikkerhed[3] til, at selve adgangen til oplysninger i indkomstregistret skal understøttes systemteknisk. Det vil sige, at adgangen må ikke i teknisk henseende omfatte flere oplysninger end de nødvendige.

 

Dette forhold bør klart fremgå af lovforslagets bemærkninger.

 

Som nævnt er det tilsynets opfattelse, at selve spørgsmålet om nødvendigheden for at etablere en adgang for private virksomheder til indkomstregistret som den i lovforslaget indeholdte, må bero på en politisk vurdering af, om vægtige samfundsmæssige hensyn taler herfor.

 

4.3. Ved gennemgangen af lovforslaget har Datatilsynet konstateret, at det følger af den gældende lovs § 56 a, at Arbejdsmarkedets Erhvervssygdomssikring til brug for administrationen af loven kan få terminaladgang til oplysninger i indkomstregisteret, jf. lov om et indkomstregister § 7.

 

Datatilsynet har endvidere konstateret, at det fremgÃ¥r af § 56 a, stk. 2, at stk. 1 omfatter de oplysninger, der er nødvendige til brug for beregning og opkrævning af AES-bidrag hos sikringspligtige arbejdsgivere og udbetaling af ydelser til tilskadekomne. Der kan herunder ske samkøring og sammenstilling af oplysninger til brug for kontrol af beskæftigelses- og indkomstoplysninger i forbindelse hermed, jf. § 55, stk. 4.

  

Datatilsynet skal gøre opmærksom på, at tilsynet ikke ses at være blevet hørt over denne bestemmelse, inden den blev indført.

 

Under henvisning til Datatilsynets ovenfor anførte overvejelser om privates adgang til e-indkomstregistret, finder tilsynet, at bestemmelsen forekommer vidtgående og rejser principielle spørgsmål i forhold til persondatalovens regler.

 

Ud fra de oplysninger, som Datatilsynet har på nuværende tidspunkt, kan tilsynet ikke endeligt udtale sig om, hvorvidt denne eksisterende bestemmelse kan anses for forenelig med persondatalovens og databeskyttelsesdirektivets regler. Datatilsynet skal imidlertid anbefale, at bestemmelsen undergives fornyet overvejelse og eventuelt forelægges Datatilsynet til vurdering.

 

5. Kopi af dette brev er dags dato sendt til Justitsministeriets Lovafdeling.

 

Med venlig hilsen

 

Janni Christoffersen

Direktør

 

 

 

 

 

 

Bilag: Datatilsynets høringssvar af 13. oktober 2005 til Skatteministeriet