Gå til innhold

Lov&Data

4/2024: Jubileumsartikler 1984–2024
17/12/2024

Modsætninger i EU’s Digital Age: Balancen mellem Databeskyttelse og Datadeling

Av Søren Sandfeld Jakobsen, professor, ph.d., advokat, ssj.law@cbs.dk, CBS LAW, Copenhagen Business School og co-author Laura Hovgaard Rasmussen, advokatfuldmægtig, Gorrissen Federspiel, lara@gorrissenfederspiel.com

1 Indledning

2024 rinder ud, og vi har nu over seks års erfaring med Databeskyttelsesforordningens glæder og sorger.

Databeskyttelsesforordningen, i daglig tale også kaldet GDPR, har ikke kun fremhævet den betydelige værdi der ligger i persondata, men også hvad adgang til og brug af persondata har af betydning i vores moderne samfund. Vi har, som afledning heraf, lært, at det er afgørende at passe særdeles godt på disse data.

Ved indgangen til 2025 befinder os midt i EU’s digitale tidsalder, hvor nye lovgivningsinitiativer konstant dukker op inden for den digitale udvikling, og det kan være en udfordring at holde trit med dem alle.

Hvordan kan vi balancere disse i udgangspunktet modsatrettede hensyn om databeskyttelse og behov for datadeling, uden at det har negative konsekvenser for både fysiske personer, men også innovationen i EU?

Med de mange teknologiske fremskridt er mulighederne for dataanvendelse næste ubegrænsede og nye koncepter og anvendelser opstår kontinuerligt. Dette medfører dog også nogle hidtil uafklarede problematikker og problemstillinger, som EU og Kommissionen, men også private aktører, står over for – nemlig udfordringer, hvor ønsket om at beskytte fysiske personer og deres privatliv kolliderer med behovet for at udvide adgangen til data og datadeling for at øge vækst og innovation på det europæiske marked – for at sikre Europas konkurrencedygtighed på globalt plan.

Et netværksdiagram bestående af sekskanter med forskellige ikoner indeni, såsom en hængelås, tandhjul, globus og mere, digital illustration.

Illustrasjon: Colourbox.com

EU har udviklet et omfattende sæt af regler med henblik på at beskytte fysiske personer; På den ene side blandt andet EU’s Charter om Grundlæggende Rettigheder og GDPR, der sætter individets rettigheder i centrum. På den anden side nye lovgivningstiltag som for eksempel EU’s Data Act og European Health Data Space, der tilskynder til bredere datadeling.

Hvordan kan vi balancere disse i udgangspunktet modsatrettede hensyn om databeskyttelse og behov for datadeling, uden at det har negative konsekvenser for både fysiske personer, men også innovationen i EU?

2 Modsætninger i lovgivningen

2.1 Databeskyttelse og retten til privatliv

Beskyttelse af individets rettigheder er en grundsten i EU-retten. I EU-kontekst har dette mundet sig ud i flere reguleringer, der har til formål at stille regler for beskyttelsen af fysiske personer og deres rettigheder.

2.1.1 Den Europæiske Unions Charter om Grundlæggende Rettigheder (»Charteret«)

Den Europæiske Unions Charter om Grundlæggende Rettigheder blev udarbejdet af Det Europæiske Konvent og blev vedtaget den 7. december 2000 af Europa-Parlamentet, Europa-Kommissionen og Ministerrådet. Med Lissabon-traktaten fik Charteret retskraft på traktatniveau den 1. december 2009. Charteret er EU’s pendant til Menneskerettighedskonventionen (EMRK), der er vedtaget af Europarådet i 1950.

Charteret lægger vægt på vigtigheden af menneskets værdighed, som er ukrænkelig, og som skal beskyttes og værnes om.(1)Charter 2016/C 202/02 Den Europæiske Unions Charter om grundlæggende rettigheder, artikel 1. Charteret understreger betydningen af frihed, privatliv og sikkerhed.

Artikel 7 i Charteret fastlægger, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation.(2)Ibid, artikel 7. Artikel 8 i Charteret bestemmer retten til beskyttelse af personoplysninger, og disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf.(3)Ibid, artikel 8.

2.1.2 Traktaten om Den Europæiske Unions funktionsmåde (»TEUF«)

Traktaten om Den Europæiske Unions funktionsmåde udgør, sammen med EU-traktaten, det primære retsgrundlag for det politiske sammenhold i Den Europæiske Union. Traktaten, der dannede grundlag for EU-samarbejdet, blev oprindeligt underskrevet i Rom i 1957, men er ændret adskillige gange efter, senest i 2007 i Lissabon. Formålet med TEUF er at skabe grundlag for en tæt sammenslutning mellem de europæiske folk.

TEUF artikel 16 fastslår, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv, og at Europa-Parlamentet og Rådet fastsætter regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. (4)2016/C 202/01 – Konsolideret udgave af traktaten om Den Europæiske Unions funktionsmåde, artikel 16.

2.1.3 Databeskyttelsesforordningen - GDPR

GDPR blev indført for at styrke og harmonisere databeskyttelse for alle individer i EU, og blev vedtaget i 2016. Forordningen erstatter EU’s persondatadirektiv fra 1995. (5)Direktiv 95/46/EF. Forordningen fastlægger beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger som en grundlæggende rettighed efter Charterets artikel 8 og TEUF artikel 16. (6)EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 1. Den skal give enkeltpersoner kontrol over deres personlige data og forpligter organisationer og virksomheder til at beskytte disse data, ved at opstille klare principper for behandling af personoplysninger, herunder at behandlingen skal være lovlig, rimelig og gennemsigtig, og ikke gå ud over hvad der er nødvendigt. Forordningen har til formål at skabe et område med frihed, sikkerhed og retfærdighed samt at fremme økonomisk og social fremgang inden for det indre europæiske marked. (7)Ibid, præambelbetragtning nr. 2.

Forordningen fastsætter derudover skrappe regler for sikkerhedsforanstaltninger og videredeling af personoplysninger, og såfremt der er høj risiko for fysiske personers rettigheder, er der endnu strengere krav til behandlingen.

Charteret, TEUF og GDPR er særligt vigtige i en digital tidsalder, hvor data er en ressource, men samtidig også en kilde til potentielle krænkelser af privatliv og fysiske personers rettigheder.

2.2 EU’s Digital Decade - Datadeling

EU’s digitale tidsalder, eller digitale årti, er EU’s vision for at skabe et integreret digitalt samfund og økonomi, og fremme den digitale omstilling. Det har til formål at forbedre dataadgang og datadeling på tværs af EU’s indre marked, og sigter mod at udnytte fordelene ved digital teknologi samtidig med, at man beskytter borgernes rettigheder og fremmer innovation. Hensynet bag dette tiltag er den hurtige udvikling inden for især teknologien, som allerede er anerkendt i Charteret (8)Charter 2016/C 202/02 Den Europæiske Unions Charter om grundlæggende rettigheder, præambel. , i TEUF (9)2016/C 202/01 – Konsolideret udgave af traktaten om Den Europæiske Unions funktionsmåde, bl.a. artikel 4 og 173. og i GDPR (10)EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 6. .

I kølvandet heraf, er der vedtaget eller stillet forslag om en bred vifte af forordninger og direktiver, herunder, men ikke begrænset til, EU’s Data Act og European Health Data Space.

2.2.1 EU’s Data Act

Det digitaliserede samfund producerer et hav af data, ikke kun persondata, men også data om for eksempel brugen af digitale produkter og enheder, som kan være værdifulde for værdiskabelse og innovation. EU’s Data Act, også kaldet Dataforordningen, har til formål at fastsætte et harmoniseret regelsæt for deling af data inden for EU’s indre marked, og sikre fair adgang til og anvendelse af data indenfor Europa. Data Act skal fremme datadeling, innovation og konkurrenceevne ved at skabe en fælles ramme for dataudveksling, og åbner adgangen for anvendelse og videreanvendelse af data i ubegrænset omgang og dermed fremme en effektiv dataøkonomi. Hindringer for delingen af data udgør nemlig en hæmsko for en optimal datadeling til gavn for samfundet, da usikkerhed omkring deling af data, men også rettigheder og forpligtelser vedrørende data, afskrækker mange dataindehavere for at indgå aftaler om udveksling af data.(11)EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 020/1828 (dataforordningen), præambelbetragtning nr. 1 og 2. Med EU Data Act sigtes der altså mod at udnytte data som en ressource for økonomisk vækst og teknologisk udvikling.

Dataforordningen tilskynder til datadeling ved at kræve, at dataindehavere (dette vil i praksis ofte være produktudviklere) forsyner brugerne med data genereret af produktet og deler disse data med tredjeparter på brugerens anmodning. Brugere af forbundne produkter og relaterede tjenester har dermed ret til at få adgang til og anvende de data, der genereres ved brugen, og kan dele dem med tredjeparter. (12)Ibid, præambelbetragtning nr. 5 og 6. Brugerne har ret til at dele data med tredjeparter til både kommercielle og ikke-kommercielle formål, og der er dermed fastsat et grundlag for en retfærdig fordeling af værdien af data. (13)https://digital-strategy.ec.europa.eu/da/policies/data-act

Data Act trådte i kraft 11. januar 2024 og finder anvendelse fra september 2025.

2.3 European Health Data Space (»EHDS«)

Forslaget til Forordningen om det europæiske sundhedsdataområde, EHDS, har til formål at give fysiske personer i EU større kontrol over deres elektroniske sundhedsdata og sikre en retlig ramme med pålidelige styringsmekanismer og et sikkert databehandlingsmiljø. Især området omkring sundhedsdata er et utroligt vigtig område, men er svært for fysiske personer at navigere i. Medlemsstaterne har implementeret uensartede lovgivninger på området, hvilket hindrer den sekundære anvendelse af digitale sundhedsdata. (14)Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, baggrund for forslaget. EHDS har dermed til formål at skabe en fælles ramme for deling og brug af sundhedsdata på tværs af medlemslandene, og at give enkeltpersoner adgang til og kontrol over deres sundhedsdata (primær brug) og muliggøre sikker genbrug af data til forskning, innovation og politisk beslutningstagning (sekundær brug).

For at beskytte de følsomme personoplysninger, som sundhedsdata er, bygger EHDS på GDPR, og indfører sektorspecifikke regler for at sikre både datasikkerhed og privatlivets fred. De fysiske personer bevarer retten til at fravælge datadeling, hvilket afbalancerer individuel autonomi med den bredere offentlige interesse. EHDS tager også fat i covid-19-pandemien og fastslår betydningen af sundhedsdata for udviklingen af politikker som reaktion på sundhedskriser, samt at det er afgørende for menneskers liv og sundhed, at der er adgang til effektiv deling af data, både i forbindelse med behandling her og nu, men også i forhold til forskning på sundhedsområdet, innovation, patientsikkerhed, statistik, og meget mere. (15)Ibid.

Forslaget til forordningen blev fremlagt i 2022. Forslaget er stadig under behandling.

3 Konflikt mellem databeskyttelse og datadeling

GDPR bygger på en anerkendelse af, at teknologien udvikler sig hurtigt og skaber udfordringer i forhold til beskyttelsen af fysiske personer. Derfor er det i præamblen til GDPR også antaget, at forordningen ikke skal være til hinder for innovation. Der redegøres i GDPR ikke nærmere for, hvordan vi skal imødekomme disse hensyn, men blot at EU skal have en stærk og sammenhængende databeskyttelsesramme. (16)EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 6, 7 og 159. EU’s efterfølgende reguleringer, herunder Data Act og EHDS, søger at imødekomme begge hensyn, men er det lykkes?

EU’s forskellige reguleringer har gennemgående samme hensyn, men så alligevel ikke; Charteret, TEUF og GDPR fokuserer på at beskytte fysiske personers rettigheder, og sætter individet i fokus, mens Data Act og EHDS fremmer datadeling, hvilket sætter tredjeparter i fokus. Dette skaber en iboende konflikt og en mulig disharmoni mellem regelsættene, da øget datadeling kan kompromittere privatlivets fred.

Selvom Data Act og EHDS fremhæver GDPR som det bærende element for behandling af personoplysninger, stiller GDPR stadigt andre eller strengere krav til dokumentationen og detaljerne for behandlingen end Data Act og EHDS gør. Disse uoverensstemmelser gør det svært for både fysiske personer og juridiske personer at navigere rundt i de forskellige rettigheder og forpligtelser. Samtidig hermed er implementeringen og fortolkningen af databeskyttelsesforordningen i EU-medlemslandene ligeledes forskelligartede, og der er en betydelig juridisk usikkerhed for alle omfattet af forordningerne og regelsættene, og det er svært at navigere i. (17)Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, baggrund for forslaget. Hvad der gælder i ét medlemsland, gælder ikke nødvendigvis i et andet på grund af det nationale råderum fastsat i GDPR.

Dertil udvider Data Act anvendelsesområdet til også at omfatte non-personal data (ikke-personoplysninger), og giver adgangsrettigheder til alle brugere, ikke kun datasubjekterne – Dette kan give anledning til tvivl om hjemlen for databehandlingen under GDPR artikel 6, også i forbindelse med videregivelse til tredjeparter. (18)Clocker, Dr. Felix, 2023, »Disharmony between Data Act and GDPR«, CMS Law-NowTM. Det udvidede anvendelsesområde stiller samtidig store krav til, hvordan data klassificeres i behandlingen – om det reelt er personoplysninger eller ikke personoplysninger, og det er vigtigt for dataindehaveren at klassificere oplysningerne korrekt.

4 Anonymisering som løsning?

4.1 Anonymisering: En løsning, der ikke holder?

Er personoplysninger gjort anonyme, altså på en sådan måde, at det ikke længere er muligt at identificere en fysisk person ud fra oplysningerne, gælder beskyttelsen under GDPR ikke. (19)EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 26. Data Act og EHDS angiver ligeledes, at personoplysninger som udgangspunkt skal anonymiseres, medmindre de anonyme data ikke er tilstrækkeligt til at opfylde det formål, de skal anvendes til. (20) Se f.eks. Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, præambelbetragtning nr. 49.

Det virker umiddelbart som en lige til løsning på problemet – Hvis vi ikke længere kan identificere den fysiske person bag dataene, er der ikke et beskyttelseshensyn at tage, og dataene kan frit flyde på EU’s indre marked til ubegrænset anvendelse til innovation og forskning med videre.

Men problemerne opstår, når det ikke helt er muligt at anonymisere data – eksempelvis når data kan »de-anonymiseres«, fordi rådataene fortsat bliver opbevaret.

Den tidligere Artikel 29-gruppe (nu erstattet af Det Europæiske Databeskyttelsesråd (»EDPB«)) udstedte i 2014 retningslinjer og teknikker for anonymisering, men mange af teknikkerne er forældede. Set i forhold til den hurtigt udviklende teknologi medfører anonymisering altså tekniske udfordringer, som der ikke helt er taget stilling til på nuværende tidspunkt.

Et vigtig konfliktpunkt, som også adresseres i EHDS, er, når der efter anonymisering af personoplysninger er en tilbageværende risiko for de-anonymisering; Når der, på trods af brugen af avancerede anonymiseringsteknikker, stadig er en restrisiko for genidentifikation af den fysiske person, for eksempel i tilfælde af sjældne sygdomme, der kun rammer et meget snævert antal personer. Her vil der være tale om en afgrænset personkreds, og det kan være muligt at genidentificere en person bag dataene. (21)Ibid, præambelbetragtning nr. 64.

Et andet konfliktpunkt er, når en tredjepart eller en bruger under for eksempel EDHS modtager anonymiseret data, men der stadig ét sted i datakæden findes en krypteringsnøgle, der reelt gør det muligt at de-anonymisere dataene – rådataene findes altså stadig. EHDS åbner også mulighed for, at ansøgere kan anmode om de de-anonymiserede data, (22)Ibid, præambelbetragtning nr. 49. og i disse tilfælde, vil der netop ikke være tale om, at dataene reelt er anonymiseret, som defineret i GDPR præambelbetragtning nr. 26. Denne adgang til brug af ikke-anonymiserede data, som lovligt kan behandles ved for eksempel at have tilstrækkelige sikkerhedsforanstaltninger på plads, ville medføre at man undgår at miste den analytiske værdi af dataene til forskningsformål, hvilket jo netop er det som EHDS søger at imødegå, men selv med tilstrækkelige sikkerhedsforanstaltninger er der en stor risiko for den registrerede i kraft af de meget følsomme oplysninger, som sundhedsdata er. (23)European Commission: Directorate-General for Research and Innovation, European Group on Ethics in Science and New Technologies, Biller-Andorno, N., Céu Patrão Neves, M., Laukyte, M. et al., Opinion on democracy in the digital age, Publications Office of the European Union, 2023, https://data.europa.eu/doi/10.2777/078780

4.2 Syntetiske datasæt: En alternativ løsning?

Syntetiske datasæt genereres til at efterligne reelle data, men uden at indeholde personlige oplysninger – altså en simulation af mønstre fra virkelige data. Syntetiske datasæt kan bruges til blandt andet at træne AI-modeller, de kan bruges til forskning og de kan anvendes til udvikling af nye produkter og koncepter, uden at kompromittere privatlivet. Dog kan syntetiske datasæt, i og med at de ikke er virkelige data, variere i nøjagtighed og anvendelighed.

Da der ikke i realiteten anvendes personoplysninger om fysiske personer, kan man argumentere for, at syntetiske datasæt er anonyme data uden den iboende risiko for de-anonymisering. På den anden side kan man også modargumentere med, at syntetiske datasæt, hvis det bevarer egenskaber fra det oprindelige datasæt, vil have en sammenkædningsmulighed den oprindelige data, og dermed kan det være muligt at udlede en fysisk person. Ifølge den, om muligt forældede, vejledning fra Artikel 29-gruppen,(24)https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_da.pdf skal det være helt umuligt nogensinde at kunne knytte data tilbage til en person, før end data er anonym i ordets forstand.(25)López, César Augusto Fontanillo, and Abdullah Elbi, 2022, »On Synthetic Data: A Brief Introduction for Data Protection Law Dummies.« European Law Blog, September.

4.3 AI og anonymisering?

I takt med den teknologiske udvikling, er AI-systemer også blevet mere udbredt, mere effektive og mere anvendte. Dette stiller spørgsmålet, om det vil være muligt at få et AI-system til effektivt at anonymisere data på den dataansvarlige og dataindehaverens vegne. Ved at indføre persondata i et AI-system specifikt udviklet til at anonymisere, og slette inputtet, vil persondataene i AI-systemets black box blive gjort anonymt, og der vil ikke sidde en dataansvarlig/dataindehaver tilbage med en krypteringsnøgle, da persondataene i praksis vil forsvinde i systemets black box.

Med AI vil der være risiko for, at et andet AI-system kan krydskombinere data og derigennem re-identificere personoplysningerne,(26)Buckley, Gerard and Caulfield, Tristan and Becker, Ingolf, How might the GDPR evolve? A question of politics, pace and punishment (May 16, 2024). Accepted in Computer Law & Security Review: http://dx.doi.org/10.2139/ssrn.4830619 og der vil i dette tilfælde ikke være tale om en effektiv anonymisering, selvom der ikke findes en krypteringsnøgle til re-identifikationen.

5 Konklusion: Kan balancen skabes?

EU står over for en fundamental udfordring: Hvordan sikrer vi, at innovation og økonomisk vækst ikke underminerer EU-borgernes privatliv og databeskyttelse? En af løsningerne til dette er anonymisering af data, da der hermed ikke vil opstå risiko for krænkelse af borgernes rettigheder, samtidig med at der så kan ske fri anvendelse af den anonymiserede data på det indre europæiske marked, til gavn for forskning, udvikling og innovation. Men er dette en reel mulig løsning på nuværende tidspunkt?

En anden løsning er at gøre brug af syntetiske datasæt, og dermed skabe »anonym« data, men selv med syntetiske datasæt kan man risikere, at der vil opstå situationer, hvor det er muligt at udlede en fysisk person bag, såfremt den syntetiske data bevarer egenskaber fra det oprindelige datasæt.

Dette er blot nogle af de udfordringer vi står overfor i EU’s digitale tidsalder, og vi må kontant være i udvikling for at følge med og for at finde balancen til hensynene – også på lovgivningens side.

Noter

  1. Charter 2016/C 202/02 Den Europæiske Unions Charter om grundlæggende rettigheder, artikel 1.
  2. Ibid, artikel 7.
  3. Ibid, artikel 8.
  4. 2016/C 202/01 – Konsolideret udgave af traktaten om Den Europæiske Unions funktionsmåde, artikel 16.
  5. Direktiv 95/46/EF.
  6. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 1.
  7. Ibid, præambelbetragtning nr. 2.
  8. Charter 2016/C 202/02 Den Europæiske Unions Charter om grundlæggende rettigheder, præambel.
  9. 2016/C 202/01 – Konsolideret udgave af traktaten om Den Europæiske Unions funktionsmåde, bl.a. artikel 4 og 173.
  10. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 6.
  11. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 020/1828 (dataforordningen), præambelbetragtning nr. 1 og 2.
  12. Ibid, præambelbetragtning nr. 5 og 6.
  13. https://digital-strategy.ec.europa.eu/da/policies/data-act
  14. Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, baggrund for forslaget.
  15. Ibid.
  16. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 6, 7 og 159.
  17. Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, baggrund for forslaget.
  18. Clocker, Dr. Felix, 2023, »Disharmony between Data Act and GDPR«, CMS Law-NowTM.
  19. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), præambelbetragtning nr. 26.
  20. Se f.eks. Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om det europæiske sundhedsdataområde (COM(2022)) 197 final, præambelbetragtning nr. 49.
  21. Ibid, præambelbetragtning nr. 64.
  22. Ibid, præambelbetragtning nr. 49.
  23. European Commission: Directorate-General for Research and Innovation, European Group on Ethics in Science and New Technologies, Biller-Andorno, N., Céu Patrão Neves, M., Laukyte, M. et al., Opinion on democracy in the digital age, Publications Office of the European Union, 2023, https://data.europa.eu/doi/10.2777/078780
  24. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_da.pdf
  25. López, César Augusto Fontanillo, and Abdullah Elbi, 2022, »On Synthetic Data: A Brief Introduction for Data Protection Law Dummies.« European Law Blog, September.
  26. Buckley, Gerard and Caulfield, Tristan and Becker, Ingolf, How might the GDPR evolve? A question of politics, pace and punishment (May 16, 2024). Accepted in Computer Law & Security Review: http://dx.doi.org/10.2139/ssrn.4830619
Søren Sandfeld Jakobsen
Portrett av Soren Jakobsen
Laura Hovgaard Rasmussen
Portrett av Laura Rasmussen