Opdatering 27. juni 2019: Artiklen er opdateret med svar fra Epic.

Sundhedsplatformens amerikanske udvikler, Epic, er ikke certificeret efter EU og USA’s såkaldte Privacy Shield-ordning. Dermed er selskabets danske kunder ikke beskyttet af ordningens garantier, der skal sikre høj datasikkerhed og begrænse efterretningstjenesters adgang, når EU-borgeres oplysninger overføres til USA.

Det kan være folketingspolitikeres, rige forretningsfolks eller statsministerens sundhedsoplysninger. Det kan virkelig misbruges Kirsten Normann Andersen (SF)

Selskaber kan frivilligt tilmelde sig ordningen. Men Epic er ikke på listen over certificerede firmaer på Privacy Shield-ordningens hjemmeside.

Det er bekymrende, mener lektor i sundhedsret Kent Kristensen fra Syddansk Universitet efter Politikens afsløring af, at Epics amerikanske it-udviklere har adgang til op mod 2,5 millioner danskeres patientjournaler.

»Privacy Shield-ordningen pålægger amerikanske virksomheder nogle pligter, som ikke følger af amerikansk lovgivning, og giver samtidig mulighed for at tage retlige skridt mod de virksomheder, som bryder aftalen. Når Epic ikke har tilsluttet sig ordningen, kan selskabet heller ikke garantere borgere den beskyttelse, der følger af ordningen«, siger Kent Kristensen.

EU og USA indgik Privacy Shield-ordningen i 2017, efter at whistlebloweren Edward Snowden havde afsløret amerikanske efterretningstjenesters globale masseovervågning. Aftalen pålægger USA’s efterretningstjenester at begrænse deres indsamling af europæiske persondata og forbyder vilkårlig masseovervågning.

Privacy Shield er blevet kritiseret af blandt andet Human Rights Watch for ikke at sikre tilstrækkelig beskyttelse af EU-borgerne mod de amerikanske efterretningstjenester. Men ordningen er bedre end ingenting, fastholder Kent Kristensen.

»EU har kategoriseret USA som et ikkesikkert tredjeland, fordi USA’s lovgivning er meget liberal og tillader masseovervågning. Privacy Shield yder en vis beskyttelse, som Epic ikke kan garantere, når selskabet står uden for aftalen«, siger han.

Politiken har ingen viden om, at danskeres sundhedsoplysninger skulle være blevet kompromitteret via Sundhedsplatformen. Men Epics manglende certifiering bekymrer politikere hos Dansk Folkeparti, SF og Enhedslisten. De er i forvejen kritiske over for, at danske patientoplysninger kan tilgås fra USA.

»Det kan være folketingspolitikeres, rige forretningsfolks eller statsministerens sundhedsoplysninger. Det kan virkelig misbruges. Og man kan jo købe sig til meget nu om dage«, siger sundhedsordfører Kirsten Normann Andersen (SF).

Eva Flyvholm (EL) kalder det »absurd«:

»USA har en skidt forhistorie med at snage i danske, tyske og andre europæiske borgeres oplysninger. Hvis det er rigtigt, at Epic ikke er omfattet af den her grundlæggende garanti, så er det jo bare ekstra absurd«, siger hun.

Region Hovedstaden mener ikke, det er et problem, at Epic ikke er Privacy Shield-certificeret.

»Privacy Shield-ordningen er en ordning, som virksomheder kan melde sig til og fra uden varsel. Vi kender ikke baggrunden for, at EPIC ikke har tilmeldt sig ordningen, og igen må jeg understrege, at data ligger i Danmark og ejes af de to regioner – ikke af Epic og ikke i USA«, skriver vicedirektør Pia Kopke fra Region Hovedstadens Center for It, Medico og Telefoni i en mail.

Mener regionen, at jeres databehandleraftale med Epic står over den amerikanske efterretningslov, Foreign Intelligence Surveillance Act?

»På det spørgsmål må vi henvise til justitsministeriet«.

Epic: Ikke et problem

Ifølge den amerikanske it-udvikler Epic er det ikke et problem, at selskabet ikke er Privacy Shield-certificeret. Der er andre måder at sikre danske borgeres databeskyttelse, så det er i overensstemmelse med EUs persondataforordning, GDPR.