EU-kommissionen presenterade ett förslag på lagstiftning om covidbevis i våras. Förordningen antogs sedan, efter vissa justeringar, av Parlamentet och Rådet den 14 juni. Med anledning av denna nya lagstiftning utreder vi i detta blogginlägg: Hur uppfyller de digitala vaccinationsbevisen dataskyddsreglerna och hur funkar egentligen de digitala covidbevisen?
Hur fungerar de digitala covidbevisen?
Bevisen kommer att kunna läsas, bedömas och verifieras vid gränskontroller och därmed underlätta resande. Covidbevisen är inte tänkta att användas inom Sverige för att till exempel enskilda individer ska undantas från vissa restriktioner. Fokus ligger alltså på att underlätta för resande inom EU.1
EU-kommissionens förslag om digitala vaccinationsbevis
Under våren 2021 ökade efterfrågan på digitala vaccinationsbevis för covid-19, så kallade Covidbevis. Bevisen syftar till att underlätta fri rörlighet inom EU, och säkerställer ett gemensamt tillvägagångssätt för att kontrollera och intyga vaccinationer. EU-kommissionen lade våren 2021 fram ett förslag om regler för digitala vaccinationsbevis för covid-19. Eftersom behovet var stort att genomföra regleringen snabbt, gjordes en provisorisk överenskommelse mellan EU-parlamentet och rådet, den 20 maj, gällande att det ska finnas ett digitalt vaccinationsintyg. Den provisoriska överenskommelsen anger att det digitala Covidbeviset ska gälla i 12 månader.2 14 juni nåddes en slutlig överenskommelse och då antogs den nya förordningen (EU) 2021/ 953 (EU:s digitala covidintyg). Förordningen ska gälla från 1 juli 2021 till 30 juni 2022 (artikel 17).3
Enligt förordningen finns det tre olika sorters intyg som berättigar utfärdande av EU:s digitala covidintyg:
- Vaccinationsintyg (artikel 5).
Ett vaccinationsintyg ska innehålla personuppgifter i form av: innehavarens identitet (namn och födelsedatum), information om det covid-19-vaccin och det antal doser som administrerats till innehavaren samt metadata för intyg (såsom intygets utfärdare eller en unik identifierare för intyget). - Testintyg (artikel 6).
Ett testintyg ska innehålla personuppgifter om innehavarens identitet, information om det NAAT-test eller antigentest i form av snabbtest som innehavaren genomgått samt metadata för intyget. - Intyg om tillfrisknande (artikel 7).
Intyget om tillfrisknande ska innehålla personuppgifter om innehavarens identitet, information om tidigare SARS-CoV-2 infektion hos innehavaren samt metadata för intyget.
Dataskyddsbestämmelser
Ett gemensamt EU-ramverk gör det möjligt för medlemsländerna att utfärda intygen som sedan kommer att accepteras i andra EU-länder. Intygen kommer att kontrolleras noggrant för att förhindra bedrägerier och förfalskningar. Äktheten kommer även att kontrolleras och de elektroniska stämplarna som ingår i dokumentet kommer att granskas. De personuppgifter som ingår i intygen får inte lagras i destinationsmedlemsländerna, och det kommer inte heller att upprättas någon central databas på EU-nivå. Det kommer även finnas en förteckning över vilka enheter som kommer att behandla och ta emot personuppgifter. Förteckningen kommer vara offentlig så att EU:s medborgare kan utöva sina dataskyddsrättigheter enligt GDPR.4
Vid framtagande av ett vaccinationsbevis måste den ansvariga säkerställa att behandlingen av personuppgifter sker i enlighet med GDPR. Detta innebär exempelvis att inte fler personuppgifter än vad som är nödvändigt för ändamålet får behandlas. Extra personuppgifter får alltså inte sparas för att exempelvis underlätta vid resor. Den personuppgiftsansvarige måste också se till att uppgifterna skyddas av lämpliga säkerhetsåtgärder.5
Sverige har också antagit en förordning om digitala covidbevis.6 Förordning (2021:708) om digitala covidbevis kompletterar EU-förordningen. I den svenska förordningen 8 § regleras bland annat att Folkhälsomyndigheten på begäran av en enskild och efter den enskildes samtycke till E-hälsomyndigheten ska lämna ut de uppgifter som registrerats om den enskilde när det gäller vaccinationer mot sjukdomen covid-19 enligt lagen (2012:452) om register över nationella vaccinationsprogram m.m., och som behövs för att ett digitalt covidbevis ska kunna utfärdas.
Viktigt ur integritetssynpunkt
Sveriges tillsynsmyndighet, IMY, har tillsammans med de andra dataskyddsmyndigheterna i EU och den Europeiska dataskyddsmannen antagit ett yttrande och vad som är viktigt att tänka på ur integritetssynpunkt i fortsatt arbete med Covidbevis. Det har uttalats att förslaget med Covidbevis inte får leda till att det skapas någon form av central databas över personuppgifter på EU-nivå. Viktigt är också att säkerställa att personuppgifterna inte behandlas under längre tid än vad som är absolut nödvändigt och att vidare användning av och tillgång till uppgifterna inte får finnas när pandemin har upphört. EDPB (European Data Protection Board) och EDPS ( European Data Protection Supervisor) anser att principerna om ändamålsenlighet, nödvändighet, proportionalitet och icke – diskriminering upprätthålls.7
I enlighet med principen om uppgiftsminimering bör intygen endast innehålla de personuppgifter som är nödvändiga för att underlätta utövandet av rätten till fri rörlighet inom unionen under Covid-19.8 I Bilaga I till EU:s covidintygförordning framgår vilka uppgifter som ska anges på intyget. Det är exempelvis: namn, födelsedatum, vaccinationsdatum vid vaccinationsintyg, datum och tidpunkt för test vid testintyg eller sjukdom/smittämne som innehavaren tillfrisknat från vid intyg om tillfrisknande.
Ansvariga i Sverige – hur det går till här?
Enligt 4§ i förordning (2021:708) om digitala covidbevis ska E-hälsomyndigheten ansvara för att utfärda covidbevis. E-hälsomyndigheten har tagit fram en e-tjänst för att ta fram Covidbevis. Tjänsten går ut på att enskilda personer ska kunna beställa ett utdrag ur det Nationella vaccinationsregistret som sedan digitalt läggs in i beviset. Informationen i beviset kommer att innehålla information om vaccinet, datum för när vaccinet togs samt personuppgifter. Själva covidbeviset visar att du har fått vaccin mot covid-19, att du har tillfrisknat från covid-19 eller att du har testat negativt mot covid-19.9
För att få ett covidbevis som intygar att du fått vaccin krävs det att du:
- Vaccinerar dig. Inom sju dagar kommer vaccinationen rapporteras in till Nationella vaccinationsregistret.
- Sedan kan du logga in med e-legitimation på covidbevis.se
- Det går sedan att spara, hämta samt skriva ut vaccinationsbeviset. När beviset är uthämtat skickas det även automatiskt till din digitala brevlåda, om du har en.
- Vaccinationsbeviset är sedan redo för att användas. Det är dock viktigt att komma ihåg att undersöka vilka regler som gäller för just ditt resmål.10
Om du inte har e – legitimation kan du i stället skriva ut blanketten, fylla i den och posta den via brev till E-hälsomyndigheten.11
I samband med beställandet av ett vaccinationsbevis, kommer du också få lämna samtycke till att uppgifterna hämtas från det nationella vaccinationsregistret, vilket regleras i 8 § i den svenska förordningen.12
EU:s tillsynsmyndigheter har antagit ett gemensamt yttrande om covidintyg.13 Genom det gemensamma yttrandet uppmanar Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) med lagstiftarna att bland annat se till att det digitala gröna intyget ska uppfylla kraven i EU:s lagstiftning om skydd av personuppgifter.
Sammanfattning
Sammanfattningsvis kan alltså konstateras att GDPR – reglerna spelar en viktig roll i utformningen och användandet av digitala vaccinationsbevis, men att det är också något som tagits i beaktande både inom EU, i förordning 2021/953 samt i Sverige i förordning 2021:708, som innehåller bestämmelser om skydd för personuppgifter och personuppgiftsansvar.
Det är viktigt att beakta GDPR:s grundläggande principer så som att endast de uppgifter som är nödvändiga används, att uppgifterna inte får lagras längre än nödvändigt samt att personuppgifterna inte används för andra syften än till vaccinationsbevis. I Sverige har E-hälsomyndigheten tagit fram en digital tjänst som hjälper dig att hämta ut ett covidbevis efter vaccinering.
Är du intresserad av att läsa mer om Covid-19 kopplat till personuppgifter, kan du spana in detta blogginlägg. Vi arbetar uteslutande med frågor kring personuppgiftshantering och dataskydd, så behöver ni hjälp med något – tveka inte att kontakta oss!
Fotnoter
- https://www.regeringen.se/artiklar/2021/06/digitala-vaccinationsbevis-for-resande-inom-eu-klara-fran-1-juli/
- https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/covid-19-och-personuppgifter/digitala-vaccinationspass/
- https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32021R0953#ntr18-L_2021211SV.01000101-E0018
- https://www.europarl.europa.eu/news/sv/press-room/20210517IPR04111/digitala-covid-intyget-for-eu-overenskommelse-mellan-parlamentet-och-radet
- https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/covid-19-och-personuppgifter/digitala-vaccinationspass/
- https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/forordning-2021708-om-digitala-covidbevis_sfs-2021-708
- https://edpb.europa.eu/news/news/2021/eu-data-protection-authorities-adopt-joint-opinion-digital-green-certificate_sv
- https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/covid-19-och-personuppgifter/digitala-vaccinationspass/
- https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-olika-omraden/covid-19-och-personuppgifter/digitala-vaccinationspass/
- https://www.ehalsomyndigheten.se/covidbevis/
- https://www.ehalsomyndigheten.se/tjanster/covidbevis/bevis-pa-vaccination-for-att-resa/fa-ditt-vaccinationsbevis-pa-ett-apotek/
- https://www.regeringen.se/artiklar/2021/06/digitala-vaccinationsbevis-for-resande-inom-eu-klara-fran-1-juli/
- https://edpb.europa.eu/news/news/2021/eu-data-protection-authorities-adopt-joint-opinion-digital-green-certificate_sv