Bekendtgørelse om behandling af personoplysninger i den digitale løsning Coronapas

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 30 af 11. januar 2022

I medfør af § 53 i epidemiloven, lov nr. 285 af 27. februar 2021, og efter forelæggelse for Epidemiudvalget i henhold til § 9, stk. 1, i epidemiloven, fastsættes:

Der er ingen senere ændringer til denne bekendtgørelse.

  • Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse
Formål og anvendelsesområde
0
§ 1

Statens Serum Institut er ansvarlig for at stille en digital løsning til rådighed for de borgere, der har downloadet den digitale løsning ”Coronapas”, samt at formidle oplysninger om en brugers vaccine-, test- og restitutionsstatus m.v., herunder om en bruger af løsningen har opnået et gyldigt Coronapas, jf. § 3.

Stk. 2 Løsningens overordnede formål er at forebygge og hindre udbredelse og smitte af Coronavirussygdom 2019 (COVID-19). Løsningen har i den forbindelse til formål at bidrage til at sikre epidemikontrol ved, at brugere af løsningen kan fremvise pålidelige digitale beviser for en brugers vaccine-, test- og restitutionsstatus med henblik på, at brugere via kontrol af passets gyldighed kan få adgang til bestemte lokaliteter eller rejse til andre lande på en måde, hvor risikoen for smitte forbundet hermed minimeres.

Stk. 3 En kontrollør kan få verificeret, at de fremviste oplysninger er korrekte ved at scanne en QR-kode, der er dannet på baggrund af data, som er digitalt signeret med en signatur, der er ejet af myndighederne.

Stk. 4 Statens Serum Institut sikrer, at brugere af løsningen har adgang til detaljerede oplysninger om deres vaccine-, test- og restitutionsstatus m.v. via løsningen.

Stk. 5 I tillæg til egne oplysninger kan forældremyndighedsindehavere, i det omfang relationen er registreret i det centrale personregister, tilgå test- og vaccinationsoplysninger om børn under 15 år i den digitale løsning, medmindre barnet har fået registreret navne- og adressebeskyttelse i det centrale personregister.

0
§ 2

Statens Serum Institut har adgang til oplysninger i Det Danske Vaccinationsregister, når det er nødvendigt med henblik på at formidle oplysninger som nævnt i § 1, stk. 1.

Definitioner
0
§ 3

Ved et gyldigt Coronapas i denne bekendtgørelse forstås dokumentation for, at en bruger af løsningen har opnået:

  • 1) et negativt resultat af en PCR-test, jf. stk. 3, der er højst 72 timer gammel regnet fra tidspunktet, hvor testen er foretaget,

  • 2) et negativt resultat af en antigentest, jf. stk. 4, der er højst 48 timer gammel regnet fra tidspunktet, hvor testen er foretaget,

  • 3) et positivt resultat af en PCR-test, jf. stk. 3, der er mindst 11 dage og højst 5 måneder gammel regnet fra tidspunktet, hvor testen blev foretaget,

  • 4) et påbegyndt vaccinationsforløb mod covid-19, jf. stk. 5,

  • 5) et gennemført primært vaccinationsforløb mod covid-19, jf. stk. 6, som er givet til en person, der er under 18 år,

  • 6) et gennemført primært vaccinationsforløb mod covid-19, jf. stk. 6, som er givet til en person, der er 18 år eller derover, og hvor det højst er 5 måneder siden, at den afsluttende dosis blev givet, eller

  • 7) et gennemført primært vaccinationsforløb mod covid-19, jf. stk. 6, samt en revaccination, som er givet til en person, der er 18 år eller derover, jf. stk. 7.

Stk. 2 Ved en covid-19-test forstås en test, der er foretaget som en PCR-test, jf. stk. 3, eller en antigentest, jf. stk. 4, og hvor offentlige og private behandlingssteder, regionsråd, kommunalbestyrelser samt offentlige og private skoler og uddannelsesinstitutioner forestår eller foretager testen og er omfattet af anmeldepligten til Statens Serum Institut, jf. bekendtgørelse om anmeldelse af covid-19.

Stk. 3 Ved en PCR-test forstås en polymerase chain reaction-test.

Stk. 4 Ved en antigentest forstås en test, der på kort tid viser, om der er immunkemisk påvisning af virusproteiner (antigener).

Stk. 5 Et vaccinationsforløb mod covid-19 anses for påbegyndt mindst 14 dage og højst 42 dage efter den første dosis.

Stk. 6 Kræver et vaccinationsforløb mod covid-19 to doser, anses det primære vaccinationsforløb for gennemført umiddelbart efter den afsluttende dosis. Kræver et vaccinationsforløb mod covid-19 alene én dosis, anses det for gennemført 14 dage efter denne ene dosis.

Stk. 7 Ved revaccination forstås en anden eller tredje dosis efter et gennemført primært vaccinationsforløb, jf. stk. 6.

Behandling herunder sletning af personoplysninger
0
§ 4

Statens Serum Institut er dataansvarlig for den behandling af personoplysninger, der er omfattet af denne bekendtgørelse. Statens Serum Institut udarbejder forud for denne behandling af personoplysninger en konsekvensanalyse i overensstemmelse med artikel 35 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) og implementerer i forlængelse heraf foranstaltninger for at imødegå de identificerede risici.

Stk. 2 Statens Serum Institut og eventuelle databehandlere, der på instituttets vegne varetager driften af løsningen kan, når det nødvendigt med henblik at formidle oplysninger som nævnt i § 1, stk. 1, træffe afgørelser omfattet af artikel 22 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen) over for alle brugere af løsningen, herunder unge mellem 15 og 18 år, der har installeret løsningen.

0
§ 5

Lagring af og adgang til oplysninger på brugerens telefon er efter artikel 5, stk. 3 i Europa-Parlamentets og Rådets direktiv nr. 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), betinget af, at brugeren har afgivet samtykke i overensstemmelse med artikel 4, nr. 11, og artikel 7, jf. artikel 94-95, i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), efter at have modtaget fyldestgørende information om lagringen af oplysninger på brugerens terminaludstyr. Øvrig behandling af personoplysninger, der foretages i forbindelse med drift og anvendelse af løsningen, er reguleret af denne bekendtgørelse.

Stk. 2 Der lagres følgende oplysninger på den telefon eller mobile enhed, som den enkelte bruger har installeret løsningen på:

  • 1) AccessToken: Kortlevende adgangsbillet, der kan veksles til et ID-token, og som angiver brugerens identitet og cpr-nummer.

  • 2) NemID token: Et token fra NemId, der repræsenterer brugerens identitet via en PID.

  • 3) RefreshToken: Langlevende token, der kan veksles til et AccessToken. Denne gemmes på brugerens mobile enhed, indtil den udløber, men slettes først, når brugeren åbner løsningen.

  • 4) Coronapas: En række signerede tokens, der indeholder information om brugerens test- og vaccinestatus.

  • 5) Offentlig nøgle.

  • 6) JobID: Et unikt ID, der modtages fra webservicen, såfremt data ikke er klar til at blive hentet, samt fra NAS (National Adviserings Service), når data efterfølgende bliver klar til at blive hentet fra webservicen. Dette sendes til løsningen, således at denne kan spørge, om data er klar. Denne slettes senest efter 24 timer, når brugeren åbner løsningen næste gang.

Stk. 3 Oplysninger, der er lagret på den telefon eller mobile enhed, som den enkelte bruger har installeret løsningen på, slettes på følgende måde:

  • 1) Når brugeren sletter løsningen fra enheden, eller trækker sit samtykke som nævnt i stk. 1 tilbage.

  • 2) Ved indrullering på tredje device.

  • 3) Når brugeren logger ud.

  • 4) Hvis brugeren har glemt sin pinkode og derfor logger ud.

  • 5) Efter at brugeren logger ind næste gang, efter at refresh token, som nævnt i stk. 2, nr. 3, er udløbet.

0
§ 6

Følgende kategorier af personoplysninger behandles i løsningen:

  • 1) Navn og fødselsdato.

  • 2) CPR-nummer.

  • 3) Oplysninger om gyldighed som nævnt i § 3, stk. 1.

  • 4) Oplysninger om gennemført vaccination, herunder oplysninger om vaccinelægemiddel, vaccineproducent, dato for vaccination, målsygdom, medlemsstat, hvor vaccinen er givet m.v.

  • 5) Oplysninger om udført test, herunder oplysninger om testtype, testresultat, testnavn, testproducent, målsygdom, dato og klokkeslæt for prøveudtagning, testcenter eller –facilitet, medlemsstat, hvor testen er taget m.v.

  • 6) Oplysninger om restitution, herunder oplysninger om sygdom, som brugeren er kommet sig over, dato for første positive testresultat, medlemsstat, hvor testen er taget m.v.

Stk. 2 Statens Serum Institut og eventuelle databehandlere, der på instituttets vegne varetager driften af løsningen, behandler de i stk. 1 nævnte oplysninger i løsningen, når det nødvendigt med henblik på at varetage de formål, der er omfattet af denne bekendtgørelse, jf. § 1, stk. 1-3, og når det er påkrævet af driftstekniske grunde eller følger af Statens Serum Instituts forpligtelser som dataansvarlig.

Ikrafttræden
0
§ 7

Bekendtgørelsen træder i kraft den 16. januar 2022.

Stk. 2 Bekendtgørelsen ophæves den 31. marts 2022.

Stk. 3 Bekendtgørelse nr. 2130 af 25. november 2021 om behandling af personoplysninger i den digitale løsning Coronapas ophæves.