Værktøjer til at lette rejser inden for EU under covid‑19-pandemien Relevante initiativer med alt fra stor til begrænset virkning

Resumé

I I marts 2020, efter at de første tilfælde af covid‑19 var konstateret i EU, begyndte medlemsstaterne at indføre rejseforbud og andre restriktioner for borgernes frie bevægelighed. Kommissionen udviklede fire værktøjer for at lette rejser og bidrage til sporing af covid‑19-tilfælde:

• European Federation Gateway Service - en portal til at sikre EU-dækkende interoperabilitet mellem nationale kontaktopsporingsapps
• EU's digitale kontaktopsporingsformular - et værktøj, som anvendes i stedet for papirformularer til indhentning af kontaktsporingsoplysninger under rejser
• EU's digitale covidcertifikat - et certifikat, der bekræfter vaccination mod covid‑19, restitution eller en negativ test
• Platformen til udveksling af kontaktopsporingsformularer - en løsning for nationale myndigheder i forskellige medlemsstater til at udveksle kontaktsporingsdata.

II Formålet med denne revision var at vurdere, om Kommissionen havde udviklet effektive værktøjer til at gøre det lettere at rejse inden for EU under covid‑19-pandemien. Vores mål var derfor at udpege eksempler på god praksis og områder med behov for forbedringer i den måde, hvorpå Kommissionen udvikler IT-værktøjer til at lette den frie bevægelighed under sundhedskriser. Denne revision supplerer vores særberetning 13/2022, der vurderer, om Kommissionen traf effektive foranstaltninger til at beskytte personers ret til fri bevægelighed under covid‑19-pandemien.

III Samlet set konkluderer vi, at Kommissionen trods sine begrænsede beføjelser inden for folkesundhedspolitik reagerede hurtigt for at foreslå egnede teknologiske løsninger til at gøre det lettere at rejse inden for EU under covid‑19-pandemien. Medlemsstaternes brug af disse værktøjer varierede dog betydeligt, så værktøjernes virkning med hensyn til at gøre det lettere at rejse var uensartet.

IV Kommissionen mobiliserede hurtigt 71 millioner euro til værktøjernes udvikling ved at kombinere flere finansieringskilder og anvende eksisterende rammeaftaler i stedet for offentlige udbud. Portalen til kontaktopsporing blev stillet til rådighed kort efter pandemiens udbrud, og EU's digitale covidcertifikat kunne tages i brug, da vaccinationsindsatsen tog fart på hele kontinentet. Det tekniske og det lovgivningsmæssige arbejde vedrørende disse værktøjer gik hurtigt. Flere medlemsstater havde dog allerede udviklet deres egne digitale kontaktopsporingsformularer, inden EU's kontaktopsporingsformular forelå.

V Kommissionen tog hensyn til databeskyttelseskrav og god IT-sikkerhedspraksis i sin udvikling af værktøjerne. Kommissionen har dog ikke beføjelser til at kontrollere, at de lande, der bruger EU's digitale covidcertifikat, opfylder IT-sikkerhedskravene.

VI EU's digitale covidcertifikat var effektivt med hensyn til at gøre det lettere at rejse og forbedrede informationsudveksling og koordinering i forbindelse med rejserestriktioner. Medlemsstaterne og mange ikke-EU-lande gjorde omfattende brug af ordningen vedrørende EU's digitale covidcertifikat, og i marts 2022 var der udstedt mere end 1,7 milliarder certifikater i EU og Det Europæiske Økonomiske Samarbejdsområde (EØS). Endvidere havde medlemsstaterne inden for én måned fra ikrafttrædelsen af forordningen om EU's digitale covidcertifikat harmoniseret deres rejserestriktioner betydeligt. Vi konstaterede dog, at landenes ordninger for underretning af hinanden om andre hændelser, som krævede en hurtig reaktion (f.eks. falske certifikater), var tidskrævende på grund af vanskeligheder med at finde de rette modparter i andre lande.

VII De andre værktøjer, vi undersøgte, havde ikke den tilsigtede virkning, fordi deres brug var begrænset. EU's digitale kontaktopsporingsformular blev kun anvendt af fire medlemsstater, mens andre lande foretrak at fortsætte med nationale løsninger. Den samlede anvendelse af platformen til udveksling af formularer og portalen til kontaktopsporing forblev begrænset.

VIII På grundlag af disse konklusioner anbefaler vi, at Kommissionen:

• analyserer og afhjælper årsagerne til den lave anvendelse af EU's digitale kontaktopsporingsformular
• strømliner kommunikation om hændelser knyttet til EU's digitale covidcertifikat
• forbereder relevante EU-værktøjer med henblik på fremtidige kriser.

Indledning

01 EU's frie bevægelighed for personer betyder, at EU-borgere og deres familiemedlemmer har ret til at færdes og opholde sig frit på medlemsstaternes område. Den er en af EU's fire grundlæggende frihedsrettigheder (sammen med den frie bevægelighed for varer, tjenesteydelser og kapital) og har været central for det europæiske projekt, siden det blev udtænkt¹. Direktivet om fri bevægelighed² fastlægger de gældende betingelser og begrænsninger.

02 Beskyttelse af folkesundheden henhører under medlemsstaternes kompetence³. Europa-Kommissionen spiller derfor en begrænset rolle på sundhedspolitikområdet og fokuserer primært på koordinering⁴ Den kan støtte og supplere de foranstaltninger, der træffes af medlemsstaterne, der har betydelige beføjelser til at fastsætte deres egne sundhedspolitikker⁵.

03 I marts 2020, efter at de første tilfælde af covid‑19 var konstateret, begyndte medlemsstaterne i et forsøg på at begrænse pandemiens spredning at indføre grænsekontrol og restriktioner for borgernes frie bevægelighed. Kommissionen var dog ansvarlig for at overvåge, om disse restriktioner var i overensstemmelse med EU-lovgivningen om den frie bevægelighed. For at begrænse virkningen af covid‑19-relaterede foranstaltninger på den frie bevægelighed tog Kommissionen forskellige initiativer med henblik på at støtte koordinering mellem medlemsstaterne.

04 Kommissionen udviklede også følgende værktøjer for at lette rejser og bidrage til sporing af covid‑19-tilfælde (jf. bilag I for en detaljeret beskrivelse af værktøjerne):

• en portal til kontaktopsporing: European Federation Gateway Service (EFGS)
• EU's digitale kontaktopsporingsformular (EU dPLF)
• EU's digitale covidcertifikat (EU DCC)
• en platform til udveksling af kontaktopsporingsformularer (ePLF).

05 Kontaktopsporingsapps, der i anonym form underretter brugerne om, at de kan have været i kontakt med en smittet person, var et af de første værktøjer, der blev stillet til rådighed. Kommissionen koblede forskellige medlemsstaters kontaktopsporingsapps sammen og øgede dermed deres anvendelighed, så de også kunne gøre det lettere at rejse inden for EU.

06 Under pandemien blev passagerer med henblik på at lette kontaktopsporing under rejser anmodet om at give kontakt- og lokaliseringsoplysninger via kontaktopsporingsformularer, der blev sendt til de relevante nationale myndigheder. I tilfælde af en positiv test anvendte myndighederne disse formularer til at kontakte de passagerer, der havde siddet i nærheden af den positivt testede person, og opfordre dem til at tage en covid‑19-test og træffe forebyggende foranstaltninger. Kommissionen udviklede EU's digitale kontaktopsporingsformular for at forenkle anvendelsen af nationale formularer under grænseoverskridende sundhedskriser såsom covid‑19. EU's tredje sundhedsprogram (2014-2020) omfattede en fælles aktion kaldet "EU Healthy Gateways", under hvilken udviklingen af papirformularer til sø- og landtransport ved hjælp af internationale skabeloner allerede var begyndt inden covid‑19-pandemiens udbrud. Den fælles aktion "EU Healthy Gateways" blev senere anvendt til at støtte digitaliseringen af kontaktopsporingsformularen.

07 Kommissionen udviklede også EU's digitale covidcertifikat, der var kontrollerbar og gensidigt anerkendt dokumentation for, at indehaveren var vaccineret mod, for nylig var testet negativ for eller var restitueret efter covid‑19. Medlemsstaterne er forpligtet til at godkende disse certifikater, når de under covid‑19-pandemien beslutter at kræve dokumentation for, at rejsende er vaccineret, har fået et negativt testsvar eller er restitueret.

08 Det sidste værktøj, som Kommissionen udviklede, var en platform, som medlemsstaterne kunne anvende til at udveksle kontaktopsporingsformularer. Platformen gjorde det muligt for kontaktopsporingsteam at udveksle formularer direkte med hinanden, hvilket reducerede den tid, det tog at underrette rejsende i risiko for smitte.

09 Udviklingen af disse værktøjer involverede flere tjenestegrene i Kommissionen. Generaldirektoratet for Sundhed og Fødevaresikkerhed samt Generaldirektoratet for Kommunikationsnet, Indhold og Teknologi var systemejere af portalen til kontaktopsporing. Disse to generaldirektorater styrede også udviklingen af EU's digitale covidcertifikat sammen med Generaldirektoratet for Retlige Anliggender og Forbrugere og Generaldirektoratet for Migration og Indre Anliggender. Derudover stillede Generaldirektoratet for Informationsteknologi den nødvendige IT-infrastruktur til rådighed.

10 Medlemsstaterne var primært involveret i udviklingen af disse værktøjer via e-sundhedsnetværket (jf. tekstboks 1). EU-agenturer som f.eks. Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme og Det Europæiske Lægemiddelagentur bidrog også. Udviklingen af værktøjer til kontaktopsporing blev koordineret af medlemsstaterne - som en fælles aktion med finansiering fra EU's tredje sundhedsprogram - Den Europæiske Unions Luftfartssikkerhedsagentur og Generaldirektoratet for Mobilitet og Transport.

11 EU-værktøjerne havde et unikt formål, hvilket betyder, at de på tidspunktet for deres udvikling ikke kunne sammenlignes med eksisterende systemer. For at de ovenfor beskrevne EU-værktøjer kunne være så effektive som muligt med hensyn til at gøre det lettere at rejse under covid‑19-pandemien, var det vigtigt, at alle medlemsstaterne indførte dem for at sikre, at deres anvendelse af sundhedsdata til håndtering af rejser i EU var ensartet, og at deres rejserestriktioner var koordineret.

12 Kommissionen stillede ud over 71 millioner euro i støtte til udviklingen af IT-værktøjerne 100 millioner euro til rådighed for at hjælpe medlemsstaterne med at bære den finansielle byrde forbundet med covid‑19-testning. Det stigende antal test og vaccinationer øgede til gengæld antallet af udstedte digitale covidcertifikater. Grænseoverskridende rejser inden for EU kan involvere alle eller nogle af disse værktøjer som vist i figur 1.

Revisionens omfang og revisionsmetoden

13 Denne revision supplerer vores tidligere særberetning⁷, der vurderede, om Kommissionen havde truffet effektive foranstaltninger til at beskytte personers ret til fri bevægelighed under covid‑19-pandemien. Den første beretning omfattede Kommissionens kontrol ved Schengenområdets indre grænser, de relaterede rejserestriktioner og koordineringsbestræbelserne på EU-plan.

14 Formålet med denne anden revision var at vurdere, om Kommissionen havde udviklet effektive værktøjer til at gøre det lettere at rejse inden for EU under covid‑19-krisen. Med denne revision var vores mål at udpege eksempler på god praksis og områder med behov for forbedringer i den måde, hvorpå Kommissionen udvikler IT-værktøjer til at lette den frie bevægelighed under sundhedskriser. For at besvare det overordnede revisionsspørgsmål søgte vi svar på tre underspørgsmål:

• Sikrede Kommissionen en hensigtsmæssig udvikling af EU-værktøjerne til at lette rejser?
• Gjorde medlemsstaterne omfattende brug af EU-værktøjerne, og førte dette i givet fald til bedre koordinering af og informationsudveksling om deres rejserestriktioner?

15 Revisionen dækker perioden fra oktober 2020 til juni 2022 og fokuserer på de fire EU-værktøjer, der er anført i punkt 04, og den relevante EU-finansiering. Den dækker ikke EU-finansieringen til covid‑19-vaccination, som vi tidligere har analyseret i vores særberetning om EU's covid‑19-vaccineindkøb⁸.

16 Vi udførte revisionen via skrivebordsgennemgange, skriftlige spørgeskemaer og interview med relevante interessenter. Vi gennemgik og analyserede:

• relevant EU-lovgivning med henblik på at identificere de centrale lovkrav og de forskellige aktørers ansvarsområder
• interne dokumenter fra Kommissionen om den tekniske udvikling og formelle indførelse af EU's digitale covidcertifikat, European Federation Gateway Service, den digitale kontaktopsporingsformular og platformen til udveksling af kontaktopsporingsformularer
• publikationer fra Kommissionen om rejser under covid‑19-pandemien, f.eks. vejledninger, meddelelser, forslag til anbefalinger og forslag til retsakter
• værktøjernes tekniske specifikationer, sikkerheds- og risikovurderinger, rapporter om indtrængningstest og IT-sikkerhedsplaner for at give vores IT-eksperter mulighed for at kontrollere, om værktøjerne opfyldte sikkerhedskravene.

17 Med henblik på at opnå revisionsbevis, bekræfte fakta og verificere data indhentet fra andre kilder gennemførte vi revisionssamtaler med:

• fire generaldirektorater i Kommissionen: GD for Retlige Anliggender og Forbrugere, GD for Mobilitet og Transport, GD for Sundhed og Fødevaresikkerhed og GD for Kommunikationsnet, Indhold og Teknologi
• Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme, som er ansvarligt for at udarbejde risikokort og vejledning vedrørende covid‑19
• sundhedsmyndigheder i medlemsstater og ikke-EU-lande
• repræsentanter for luftfartsselskaber, rejsebranchen og forbrugerorganisationer.

18 Vi gennemførte også en spørgeundersøgelse for at indhente feedback om brugen af værktøjerne i hver medlemsstat. Af de 27 delegerede fra medlemsstaterne, der udgør Rådets integrerede mekanisme for politisk kriserespons, svarede 13 på vores undersøgelse. Dette giver en svarprocent på 48 %. Vi anvendte denne spørgeundersøgelse til at understøtte vores analyser og verificere vores bemærkninger.

Bemærkninger

Kommissionen udviklede egnede teknologiske løsninger, men de blev ikke altid anvendt af medlemsstaterne

19 I dette afsnit ser vi på, om Kommissionen sikrede en hensigtsmæssig udvikling af værktøjerne til at lette rejser under covid‑19-pandemien, og navnlig om den:

1. hurtigt mobiliserede EU-midler efter pandemiens udbrud
2. stillede værktøjerne til rådighed rettidigt
3. tog hensyn til medlemsstaternes behov og vilje til at bruge værktøjerne
4. tog højde for IT-sikkerhed og privatlivets fred i forbindelse med følsomme sundhedsdata.

20 Vi undersøgte, om Kommissionens valg af finansieringskilder og tjenesteydere havde givet den mulighed for at begynde arbejdet med at udvikle værktøjerne umiddelbart efter pandemiens udbrud. Vi undersøgte også høringsprocessen med henblik på at vurdere, om værktøjerne var afstemt efter medlemsstaternes prioriteter. Endelig vurderede vi, om værktøjerne fulgte bedste praksis vedrørende beskyttelse af personoplysninger og IT-sikkerhed.

Kommissionen mobiliserede hurtigt EU-midler til værktøjerne

21 Kommissionen mobiliserede EU-finansiering fra forskellige kilder, f.eks. nødhjælpsinstrumentet og programmet for et digitalt Europa. EU tildelte 71 millioner euro til udviklingen af værktøjerne. Figur 2 giver et visuelt overblik over EU-finansieringen til værktøjerne.

22 EU-finansieringen til EU's digitale covidcertifikat udgjorde i alt 50 millioner euro (43 millioner fra nødhjælpsinstrumentet og 7 millioner euro fra programmet for et digitalt Europa). Pr. marts 2022 var 77 % af dette budget blevet bevilget til arbejdet med at udvikle og tilpasse nationale løsninger og tilslutte dem portalen for EU's digitale covidcertifikat: Der blev afsat 21,9 millioner euro til en privat kontrahent, og 16,7 millioner euro blev udbetalt i tilskud til medlemsstaterne.

23 EU-finansieringen til portalen til kontaktopsporing udgjorde i alt 16,8 millioner euro (hvoraf 13 millioner kom fra nødhjælpsinstrumentet). Kommissionen begrundede denne finansiering med behovet for at fremme udvekslingen af data mellem lande, så der gives mulighed for, at nationale apps kan underrette brugere, der har været i nærheden af en bruger, som via en anden national applikation har oplyst, at vedkommende er testet positiv for covid‑19.

24 Platformen til udveksling af kontaktopsporingsformularer og EU's digitale kontaktopsporingsformular krævede langt mindre EU-finansiering: Udvekslingsplatformen blev tildelt omkring 2,9 millioner euro (størstedelen fra nødhjælpsinstrumentet) og den digitale formular 1,3 millioner euro (med finansiering fra EU-sundhedsprogrammet). Den finansiering, der blev tildelt udvekslingsplatformen, blev anvendt til at finansiere et pilotprojekt vedrørende platformens gennemførlighed og til at opskalere den til at dække flere medlemsstater og transportformer. Finansieringen til den digitale udgave af kontaktopsporingsformularen blev anvendt til udvikling, cloud hosting og værktøjets integration med Europa-Kommissionens IT-miljø.

25 Efter lanceringen af EU's digitale covidcertifikat afsatte EU endvidere 100 millioner euro til at støtte covid‑19-testning i medlemsstaterne⁹. Denne finansiering var et resultat af den politiske aftale af 20. maj 2021 mellem Europa-Parlamentet og Rådet vedrørende forordningen om EU's digitale covidcertifikat. Medlemsstaterne anvendte langt størstedelen (90 %) af denne tildeling, der gav dem mulighed for at udstede yderligere certifikater baseret på testning for at gøre det lettere at rejse.

26 Vi konstaterede, at Kommissionen havde mobiliseret denne finansiering hurtigt og anlagt en pragmatisk tilgang til udviklingen af værktøjerne, som afspejlede behovet for at stille dem til rådighed hurtigt. Værktøjerne blev udviklet under tidspres, uden at der blev indhentet tilbud fra forskellige kontrahenter. Med hensyn til indkøb af licenser og udvikling af portalen til kontaktopsporing, EU's digitale covidcertifikat og platformen til udveksling af kontaktopsporingsformularer anvendte Kommissionen rammeaftaler, som den allerede havde indgået med en leverandør af IT-tjenester den 30. oktober 2019 og den 24. februar 2020, i stedet for at anvende konkurrencebaserede udbud. Rammeaftaler fastsætter de generelle forretningsbetingelser og danner grundlag for indgåelsen af specifikke kontrakter vedrørende individuelle leverancer. For så vidt angår EU's digitale kontaktopsporingsformular blev den første finansiering mobiliseret i juli 2020 inden for rammerne af den fælles aktion "EU Healthy Gateways" ved omfordeling af midler fra aktiviteter, der ikke længere kunne gennemføres på grund af pandemien.

27 Med hensyn til EU's digitale covidcertifikat udvalgte Kommissionen leverandøren ved hjælp af en rammeaftale, der var tildelt efter en procedure med forhandling, som blev iværksat i 2019 uden offentliggørelse af en udbudsbekendtgørelse. Ifølge Kommissionen havde den udvalgte leverandør erfaring fra udvikling af portalen til kontaktopsporing og var den eneste, der havde den nødvendige ekspertise vedrørende den software, der skulle anvendes til EU's digitale covidcertifikat.

Kommissionen udviklede portalen til kontaktopsporing og ordningen vedrørende EU's digitale covidcertifikat rettidigt, men med hensyn til kontaktopsporingsformularer var nationale løsninger til rådighed tidligere end EU's

28 Da Verdenssundhedsorganisationen i marts 2020 erklærede covid‑19 for en pandemi, begyndte medlemsstaterne at indføre restriktioner for den frie bevægelighed¹⁰, og Kommissionen begyndte at udsende retningslinjer for at lette koordineringen mellem medlemsstaterne¹¹. Portalen til kontaktopsporing begyndte at fungere syv måneder efter pandemierklæringen, og EU's digitale covidcertifikat og kontaktopsporingsformularen blev taget i brug 15 måneder efter erklæringen. Figur 3 indeholder en tidslinje over udformningen og indførelsen af værktøjerne. Under hensyntagen til de retlige og tekniske krav, der var forbundet med værktøjerne, jf. nedenfor, mener vi, at portalen til kontaktopsporing og EU's digitale covidcertifikat blev udviklet rettidigt, men dette var ikke tilfældet for værktøjerne vedrørende kontaktopsporingsformularer.

29 Det første værktøj, der blev udviklet, var portalen til kontaktopsporing, et EU-dækkende system, der skulle sikre interoperabilitet mellem nationale kontaktopsporingsapps. Den 13. maj 2020 udsendte Kommissionen et sæt retningslinjer og anbefalinger med henblik på en gradvis ophævelse af de rejserestriktioner¹², medlemsstaterne havde indført. Retningslinjerne tilskyndede til anvendelse af teknologi til dette formål. Portalen blev taget i brug i oktober 2020, fem måneder efter udsendelsen af Kommissionens retningslinjer.

30 Ved udgangen af april 2020, blot én måned efter indførelsen af de første restriktioner, blev der inden for rammerne af den fælles aktion "EU Healthy Gateways" fremsat et forslag til Kommissionen om digitalisering af kontaktopsporingsformularer. Drøftelserne mellem Kommissionen og medlemsstaterne varede dog flere måneder, og forslaget blev først godkendt i august 2020. Rådet anbefalede¹³ i oktober 2020 at udvikle en fælles digital kontaktopsporingsformular. På dette tidspunkt var flere medlemsstater allerede kommet langt med udviklingen af deres egne nationale løsninger (jf. tabel 1).

31 I forlængelse af Rådets henstilling begyndte Kommissionen i november 2020 arbejdet med platformen til udveksling af kontaktopsporingsformularer. Kommissionens gennemførelsesafgørelse¹⁴ om udvekslingen af formularer blev dog først vedtaget den 27. maj 2021. Medlemsstaterne kunne først begynde reelt at udveksle digitale formularer på platformen i juli 2021.

32 EU's digitale covidcertifikat var det fjerde værktøj, som Kommissionen udviklede. Arbejdet med dette værktøj startede senere end arbejdet med de andre, da det var tæt knyttet til EU's vaccinationsproces. Der havde været drøftelser om et covid‑19-vaccinationscertifikat mellem Kommissionen og medlemsstaterne siden november 2020 i e-sundhedsnetværket¹⁵ (jf. tekstboks 1), hvor Estland præsenterede det første pilotprojekt vedrørende et digitalt kontrollerbart vaccinationscertifikat.

33 Den 21. december 2020 indstillede Det Europæiske Lægemiddelagentur den første vaccine til godkendelse, og få dage senere begyndte de første vaccinationer i hele EU. En måned senere, den 28. januar 2021, vedtog EU-landene grundlæggende retningslinjer for et interoperabelt vaccinationsbevis til medicinske formål¹⁶, en unik certifikatidentifikator og principperne for en tillidsramme.

34 Den politiske aftale af 20. maj 2021 mellem Europa-Parlamentet og Rådet vedrørende forordningen om EU's digitale covidcertifikat fastsatte slutningen af juni som frist for ordningens indførelse. Kommissionen måtte derfor arbejde på den tekniske udvikling sideløbende med lovgivningsarbejdet vedrørende forordningen¹⁷. Ved udformningen af den tekniske arkitektur gjorde Kommissionen brug af sine erfaringer med portalen til kontaktopsporing, hvilket gav den mulighed for at fremskynde værktøjets udvikling. Den 17. marts 2021 lagde Kommissionen sidste hånd på sit lovgivningsforslag¹⁸. Syv lande begyndte at anvende EU's digitale covidcertifikat den 1. juni 2021, én måned før ikrafttrædelsen af forordningen, hvilket gav EU-borgere og bosiddende i EU mulighed for at få deres certifikater udstedt, kontrolleret og godkendt i hele EU. Pr. 1. juli var alle EU- og EØS-medlemsstater tilsluttet portalen for EU's digitale covidcertifikat (undtagen Irland, som først tilsluttede sig den 14. juli, efter at dets sundhedsvæsen var udsat for et cyberangreb i maj 2021).

35 Europa-Parlamentet og Rådet vedtog forordningen den 14. juni 2021, mindre end tre måneder efter det oprindelige forslag¹⁹. Dette var meget hurtigt i betragtning af, at den gennemsnitlige varighed af en lovgivningsprocedure vedrørende EU-love, der vedtages ved første behandling, er lige knap 18 måneder²⁰. Det betød, at EU's digitale covidcertifikat kunne tages i brug, netop som sommerferieperioden startede, og vaccinationsindsatsen tog fart på hele kontinentet: Den 10. juli 2021 havde EU modtaget nok vacciner til at vaccinere 71 % af den voksne befolkning.

Ved udviklingen af nogle af værtøjerne lykkedes det ikke Kommissionen at overvinde visse medlemsstaters forbehold

36 Behovet for at stille værktøjerne til rådighed hurtigt og gøre det lettere at rejse under covid‑19-pandemien fik Kommissionen til at gå i gang med deres udvikling uden på forhånd at foretage konsekvensanalyser. Sådanne analyser anvendes til at vurdere den sandsynlige effekt af offentlige politikker og behovet for EU-tiltag. Ifølge EU's retningslinjer for bedre regulering²¹ skal Kommissionen under normale omstændigheder foretage konsekvensanalyser af politiktiltag før enhver ny regulering. I retningslinjerne anerkendes det dog også, at det under ekstraordinære omstændigheder, f.eks. i en nødsituation, som kræver en hurtig reaktion, ikke er muligt eller relevant at følge alle de anbefalede trin.

37 Kommissionen foretog ikke en konsekvensanalyse, men hørte medlemsstaterne om portalen til kontaktopsporing og det digitale covidcertifikat via arbejdsgrupper. Allerede i december 2020 analyserede en teknisk undergruppe i e-sundhedsnetværket mulighederne for at støtte digitale vaccinationscertifikater og lette informationsudvekslingen mellem medlemsstaterne. Kommissionen foretog ikke sådanne detaljerede høringer inden udviklingen af de andre værktøjer. Vores spørgeundersøgelse bekræftede, at ikke alle medlemsstater var interesserede i at bruge de EU-værktøjer, vi undersøgte.

38 I vores spørgeundersøgelse angav næsten halvdelen af de 11 medlemsstater, der rapporterede, at de ikke havde brugt værktøjerne vedrørende kontaktopsporingsformularer, at de tøvede med at bruge dem på grund af databeskyttelseshensyn og andre juridiske betænkeligheder. Tre medlemsstater påpegede, at de allerede havde udviklet deres egne kontaktopsporingsformularer, som imødekom deres egne individuelle behov, og at de ikke så nogen fordel i at gå over til EU's løsning.

39 Det kom endvidere til udtryk i de "Healthy Gateways"-høringer, der fandt sted i oktober 2021 og marts 2022, at medlemsstaternes synspunkter om nytteværdien af værktøjerne vedrørende kontaktopsporingsformularer var delte. Fem medlemsstater brugte mindst ét af værktøjerne, og 10 udtrykte interesse i at gøre det, men 12 medlemsstater angav, at de sandsynligvis ikke ville bruge dem, og to (Danmark og Sverige) angav, at de ikke var interesserede i at bruge dem.

40 Med hensyn til portalen til kontaktopsporing var det ikke alle medlemsstater, der tilsluttede sig, da den blev stillet til rådighed i september 2020. Medlemsstaterne tilsluttede sig gradvis, afhængigt af, om de havde lyst til at deltage, og om deres apps var klar. I midten af november 2020 havde seks medlemsstater tilsluttet deres apps. Flere tilsluttede sig løbende, og pr. juli 2021 var 19 medlemsstater tilsluttet.

Kommissionen tog højde for databeskyttelse og anvendte gode IT-sikkerhedspraksis

41 To af de vigtige risici, som skal imødegås ved udviklingen af værktøjer til forvaltning af sundhedsdata²², er knyttet til:

1. databeskyttelse: Sundhedsdata er meget følsomme og anerkendes af EU's generelle forordning om databeskyttelse som en særlig kategori af data²³. Derfor skal de værktøjer, der anvendes til forvaltning af sådanne data, omfatte specifikke sikkerhedsforanstaltninger og kontroller til beskyttelse af de oplysninger, der lagres og sendes. Vi undersøgte de konsekvensanalyser vedrørende databeskyttelse, der var udført for værktøjerne, og så på, om de indførte processer minimerede behandlingen af personoplysninger
2. IT-sikkerhed: Digitaliseringen af sundhedsydelser og adgangen til digitale patientjournaler øger risikoen for cybersikkerhedshændelser, da der skabes nye potentielle adgangspunkter for cyberkriminelle. Vi vurderede derfor, om værktøjerne var blevet udviklet og blev brugt i overensstemmelse med gode sikkerhedspraksis²⁴.

42 Ud fra et databeskyttelsesperspektiv er de deltagende medlemsstater "fælles dataansvarlige" (som omhandlet i den generelle forordning om databeskyttelse) for EU-dækkende applikationer såsom portalen til kontaktopsporing og en række specifikke elementer i EU's digitale covidcertifikat. De deler ansvaret for at afgøre, hvordan og til hvilket formål personoplysninger behandles, og for at indføre relevante kontroller. De skal alle udarbejde konsekvensanalyser vedrørende databeskyttelse med henblik på at identificere og imødegå risici, der følger af anvendelsen af disse applikationer til at behandle personoplysninger. Kommissionen, der fungerer som "databehandler" på deres vegne, bistod medlemsstaterne i udarbejdelsen af deres konsekvensanalyser vedrørende databeskyttelse for EU-værktøjerne, ved at formidle dokumentation og skabeloner²⁵. Anvendelsen af disse skabeloner var frivillig, og Kommissionen var ikke ansvarlig for at overvåge, hvorvidt en medlemsstat anvendte dem.

43 Både EU's digitale covidcertifikat og portalen til kontaktopsporing havde en teknisk arkitektur, der minimerede indsamlingen af personoplysninger via EU's centrale portaler. Med hensyn til EU's digitale covidcertifikat var EU-borgernes personoplysninger i de nationale systemer fortsat de respektive medlemsstaters ansvar. Den centrale portal modtog kun de kryptografiske oplysninger (og senere listerne over tilbagekaldte certifikater), der var nødvendige for, at de nationale myndigheder kunne kontrollere certifikaters gyldighed. For så vidt angår portalen til kontaktopsporing behandlede den kun pseudonymiserede personoplysninger i form af tilfældige identifikatorer, kaldet "nøgler", der blev genereret af kontaktopsporingsappsene. Denne tilgang reducerede databeskyttelsesrisiciene betydeligt.

44 Forordningen om EU's digitale covidcertifikat fastsætter ikke en standardprocedure for tilbagekaldelse af certifikater, hvis de f.eks. viser sig at være falske. De deltagende lande kunne frit vælge deres egne tekniske løsninger. Kommissionen var ikke ansvarlig for at vurdere forsvarligheden af disse løsninger ud fra et databeskyttelsesperspektiv.

45 For at sikre, at et tilbagekaldt certifikat kunne identificeres i andre lande, skulle medlemsstaterne udveksle bilaterale oplysninger i form af lister over tilbagekaldte certifikater. Under vores revision blev det nævnt som en bekymring, at denne form for bilateral udveksling, som involverede forskellige aktører og tilbagekaldelsesløsninger, ikke var effektiv, navnlig fordi antallet af nye certifikater var stigende.

46 For at imødekomme denne bekymring offentliggjorde Kommissionen den 30. marts 2022, otte måneder efter indførelsen af EU's digitale covidcertifikat, tekniske specifikationer og regler med henblik på indførelse af en mere effektiv mekanisme til udveksling af lister over tilbagekaldte certifikater via den centrale portal. I specifikationerne anbefaledes der også tre typer teknologier til at distribuere listerne over tilbagekaldte certifikater fra de nationale databaser til de apps, der bruges til at kontrollere certifikater. Hvis disse foreslåede løsninger anvendes korrekt, kan de anses for at beskytte privatlivets fred. Den ene af dem (bloom filters) tager dog meget større hensyn til privatlivets fred end de to andre²⁶. Anvendelsen af disse løsninger var ikke desto mindre frivillig, og Kommissionen havde ikke beføjelser til at overvåge, om medlemsstaterne anvendte dem.

47 IT-sikkerhedsrisici kan imødegås og mindskes med en struktureret IT-sikkerhedsramme²⁷. Den indeholder normalt flere elementer såsom ledelsesordninger, sikkerhedspolitikker, krav og standarder. Den omfatter også gode praksis, f.eks. aktiv søgning efter svagheder ("sårbarhedsscanninger") og aktiv testning af et systems forsvar ("indtrængningstest").

48 Kommissionen har sin egen IT-sikkerhedsramme²⁸, der gælder for alle de informationssystemer, den hoster i sine datacentre, herunder i portalen til kontaktopsporing og portalen for EU's digitale covidcertifikat. Denne ramme følger internationale standarder²⁹. Den kræver, at Kommissionen foretager en risikovurdering af hvert IT-system, imødegår relevante risici med en IT-sikkerhedsplan og anvender et sæt formelle sikkerhedspolitikker og ‑standarder.

49 Kommissionen tog rimelige skridt til at sikre IT-sikkerheden i forbindelse med portalen til kontaktopsporing. En specialiseret virksomhed foretog en sikkerhedsevaluering af portalens udformning og kildekode, da systemet gik online (oktober 2020) og konstaterede ingen relevante svagheder. Der blev udført tre forsøg med etisk hacking for at yderligere at få bekræftet portalens sikkerhed.

50 Kommissionen fastsatte også minimumssikkerhedskrav for de nationale kontaktopsporingsapps, der skulle tilsluttes portalens udvekslingsplatform. Vi konstaterede på baggrund af vores analyse af denne sikkerhedsarkitektur og medlemsstaternes svar på vores spørgeundersøgelse, at den tekniske proces med at tilslutte nationale systemer til EU's portal ("onboarding") havde været struktureret og taget højde for IT-sikkerhedsaspekter.

51 Med hensyn til EU's digitale covidcertifikat foretog Generaldirektoratet for Informationsteknologi sårbarhedsvurderinger af portalen, og en uafhængig kontrahent udførte yderligere indtrængningstest. Testene bekræftede, at den centrale portal var udformet på en måde, der sikrede et højt sikkerhedsniveau. De fleste af de konstaterede problemer vedrørte infrastrukturen, ikke kildekoden. Der blev fulgt op på de konstaterede svagheder. De konsulenter, der udførte indtrængningstest på portalen, anbefalede at foretage en fuldstændig revision vedrørende flere komponenter, herunder dem, der kan anvendes på nationalt niveau, f.eks. certifikatudstedelsestjenesten og mobilappsene. Denne yderligere revision afsluttedes i april 2022 og rejste ikke tvivl om værktøjets sikkerhedsarkitektur.

52 De medlemsstater og ikke-EU-lande, der deltog i ordningen vedrørende EU's digitale covidcertifikat, genererede certifikaterne i deres nationale systemer. Hvis de nationale systemer var blevet kompromitteret, og uautoriserede parter havde fået adgang, kunne ondsindede brugere have udstedt gyldige, men falske certifikater. Hvis sådanne certifikater havde fået stor udbredelse, kunne det have påvirket den frie bevægelighed ved at undergrave tilliden til EU's digitale covidcertifikat og dermed have øget risikoen for, at medlemsstaterne genindførte yderligere restriktioner. Det var derfor vigtigt at sikre, at de nationale systemer indeholdt tilstrækkelige sikkerhedskontroller.

53 Med hensyn til sikkerhedskontroller i de deltagende staters systemer baserede Kommissionen sig også på de selvevalueringsspørgeskemaer, landene havde udfyldt, da den ikke havde beføjelser til at kontrollere den faktiske overholdelse (f.eks. ved at gennemgå rapporter om sårbarhedsscanninger, revisionsrapporter, handlingsplaner eller internationale certifikater). Dette begrænsede visheden med hensyn til de nationale systemers sikkerhedsstatus.

54 Vores interview bekræftede, at der havde været én IT-sikkerhedshændelse i et ikke-EU-land. Landets nationale løsning havde en sårbarhed, hvilket gjorde det muligt for uautoriserede brugere at få adgang til applikationen og generere ulovlige certifikater på nationalt niveau, indtil hændelsen blev opdaget og løst. Ifølge hændelsesrapporten fra det pågældende land berørte dette kun en håndfuld certifikater.

55 Ingen teknisk løsning kan imødegå alle risici, og selv de mest avancerede sikkerhedskontroller kan f.eks. ikke forhindre autoriseret personale med legitim adgang til nationale systemer i at misbruge deres beføjelser til at generere falske certifikater.

56 Rapportering om og håndtering af hændelser med f.eks. falske certifikater kræver derfor hurtig informationsudveksling mellem de kompetente myndigheder. De medlemsstater og ikke-EU-lande, vi talte med, fortalte os, at det tog tid at rapportere om sådanne forhold på grund af vanskeligheder med at finde de rette modparter i andre lande.

57 Med hensyn til EU's digitale kontaktopsporingsformular og udvekslingsplatformen blev følgende anbefalede IT-sikkerhedspraksis³⁰ anvendt: tofaktorgodkendelse, sikre kommunikationsprotokoller, webapplikationsfirewalls og fysisk adgangssikkerhedskontrol. Kontrahenten foretog også en IT-risikovurdering og indførte en struktureret procedure for onboarding af lande i systemet.

58 De første indtrængningstest blev dog først udført i marts 2022, ét år efter tilslutningen af det første land. Efter testen udarbejdede den eksterne tjenesteyder en gennemførelsesplan som reaktion på konstateringerne. Det vil sige, at systemet blev brugt i ét år med uopdagede sårbarheder.

EU-værktøjernes virkning med hensyn til at lette rejser under covid‑19-pandemien var uensartet

59 I dette afsnit ser vi på, om EU-værktøjerne gjorde det lettere at rejse i EU i de første år af covid‑19-pandemien. Vi undersøgte navnlig, om værktøjerne:

1. blev brugt i omfattende grad af medlemsstaterne, da dette var nødvendigt for at gøre dem effektive
2. forbedrede koordineringen og informationsudvekslingen mellem medlemsstaterne i forbindelse med indførelse af rejserestriktioner og dermed adresserede de mangler, vi tidligere har påpeget som hæmmende for rejser inden for EU³¹.

60 Vi indsamlede og analyserede data vedrørende medlemsstaternes brug af værktøjerne. Vi sammenlignede også de rejserestriktioner, som medlemsstaterne indførte før og efter indførelsen af EU's digitale covidcertifikat.

EU's værktøjer vedrørende kontaktopsporingsformularer og portalen til kontaktopsporing havde ikke den tilsigtede virkning på grund af deres begrænsede brug i medlemsstaterne

61 EU-værktøjerne skulle bruges i omfattende grad, hvis de skulle have den tilsigtede virkning. Tabel 2 viser en oversigt over brugen af værktøjerne i hver medlemsstat. Den viser, at det kun var EU's digitale covidcertifikat, der blev anvendt i alle medlemsstater.

62 EU's digitale kontaktopsporingsformular og udvekslingsplatformen anvendtes ikke tilstrækkeligt af medlemsstaterne til effektivt at inddæmme spredningen af covid‑19 og gøre det lettere at rejse sikkert.

63 EU's digitale kontaktopsporingsformular³² blev kun anvendt af fire medlemsstater, mens 17 medlemsstater foretrak at fortsætte med nationale løsninger. Af de næsten 27 millioner formularer, der var udstedt pr. februar 2022, var 91,6 % (24,7 millioner) italienske.

64 Anvendelsen af udvekslingsplatformen var også meget begrænset. I teorien kunne platformen anvendes til udveksling af oplysninger fra enhver national platform, men den blev i de fleste tilfælde anvendt af de lande, der allerede anvendte EU-formularen. Den samlede anvendelse af platformen forblev ubetydelig med kun tre udvekslede formularer i 2021 og 253 i de første to måneder af 2022. Alle de 256 udvekslede formularer på nær én var fra Spanien.

65 Anvendelsen af kontaktopsporingsapps varierede betydeligt i medlemsstaterne. Nogle medlemsstater indførte slet ikke nogen kontaktopsporingsapps. I de medlemsstater, der gjorde det, var den faktiske udbredelse blandt borgerne begrænset. EU-borgerne foretog i alt 74 millioner downloads af kontaktopsporingsapps (status pr. oktober 2021). Der er dog ingen statistikker på EU-plan om, hvor mange der rent faktisk anvendte dem.

66 Det samlede antal bekræftede covid‑19-tilfælde var over 522 millioner³³ pr. 22. maj 2022, hvor 55 millioner nøgler var blevet uploadet. Dataene fra portalen til kontaktopsporing viser, at anvendelsen af værktøjerne til kontaktopsporing var uensartet blandt medlemsstaterne - f.eks. kom 83 % af de uploadede nøgler fra brugere i Tyskland (jf. bilag II).

67 Samlet set blev de værktøjer, vi undersøgte, udviklet til at imødekomme nye behov, hvilket gjorde det vanskeligere konsekvent at skabe synergier mellem dem. EU's digitale kontaktopsporingsformular og platformen til udveksling af disse formularer blev, selv om de hang uløseligt sammen, f.eks. udviklet særskilt (henholdsvis under den fælles aktion "EU Healthy Gateways" og af Den Europæiske Unions Luftfartssikkerhedsagentur). Tilsvarende blev retningslinjerne for kombination af EU's digitale covidcertifikat og kontaktopsporingsformularen først udstedt på EU-plan efter værktøjernes udrulning, og endnu har ingen gennemført retningslinjerne.

68 Eftersom værktøjerne blev udformet til at blive brugt på kort sigt, er der ingen fleksible procedurer på plads til at bruge dem på længere sigt eller til at genaktivere dem hurtigt, hvis der bliver behov for dem i fremtiden. Det aktuelle retsgrundlag for EU's digitale covidcertifikat udløber f.eks. i juni 2023 og skal fornys af Europa-Parlamentet og Rådet på grundlag af et forslag fra Kommissionen. Under vores revision påpegede Kommissionen, at det ville være meget vanskeligt, både juridisk og teknisk, at genindføre certifikatet med kort varsel.

Medlemsstaterne gjorde omfattende brug af EU's digitale covidcertifikat, hvilket gjorde det lettere at rejse

69 Portalen for EU's digitale covidcertifikat gik online den 1. juni 2020 med syv tilsluttede medlemsstater. Inden for halvanden måned var alle 27 EU-medlemsstater tilsluttet. Kommissionens foreslåede løsning vakte også stor interesse uden for EU. Pr. juli 2022 havde 45 lande og territorier uden for EU tilsluttet sig ordningen vedrørende EU's digitale covidcertifikat.

70 Medlemsstaterne havde udstedt 585 millioner certifikater pr. 13. oktober 2021. Fem måneder senere var der udstedt 1,7 milliarder certifikater, der for størstedelens vedkommende (1,1 milliard) var baseret på vaccination. Dette tal er højere end EU's befolkning, fordi en person kunne have flere certifikater (en person kunne f.eks. få to testcertifikater, inden vedkommende blev vaccineret). Der blev genereret et digitalt covidcertifikat efter hver vaccination, restitution eller test. I tillæg til at gøre det lettere at rejse blev EU's digitale covidcertifikat også anvendt i medlemsstaterne til at kontrollere adgangen til offentlige steder såsom restauranter eller teatre. Figur 4 giver en oversigt over de 1,7 milliarder covidcertifikater fordelt på medlemsstaterne.

71 Formålet med de værktøjer, der er omfattet af denne beretning, var at gøre det lettere at rejse sikkert. Mange medlemsstater havde på grund af pandemien besluttet at indføre forskellige rejserestriktioner. I vores særberetning om fri bevægelighed i EU under covid‑19-pandemien³⁴ konkluderede vi, at der pr. juni 2021 stadig var mange ukoordinerede rejserestriktioner på plads i medlemsstaterne, herunder krav om PCR-test, karantænebestemmelser og indrejseforbud.

72 Frem til indførelsen af EU's digitale covidcertifikat var indrejserestriktioner for rejsende nemlig baseret på sundhedsrisikoen i det geografiske område, de rejste fra. Dette ændrede sig i juli 2021 med indførelsen af forordningen om EU's digitale covidcertifikat, hvorefter restriktionerne gradvis begyndte at gælde enkeltpersoner snarere end geografiske områder og hovedsagelig var baseret på, om rejsende havde et gyldigt certifikat.

73 I tillæg til dette hurtige skift i rejserestriktionernes art blev der med forordningen om EU's digitale covidcertifikat også indført en ny formel mekanisme til forbedring af informationsudvekslingen om disse restriktioner. Siden forordningens ikrafttrædelse har medlemsstaterne skullet underrette Kommissionen og de andre medlemsstater, hvis de har til hensigt at indføre nye restriktioner. I disse underretninger skal årsagerne til, anvendelsesområdet for og varigheden af de yderligere restriktioner angives. Pr. marts 2022 havde 13 medlemsstater indgivet oplysninger i medfør af denne bestemmelse.

74 I juli 2021 viste Kommissionens høring om rejserestriktioner, at alle medlemsstater (undtagen Grækenland, Ungarn og Italien, der først svarede senere) havde ophævet deres restriktioner for indehavere af EU's digitale covidcertifikat. Figur 5 viser forskellene i rejserestriktioner før og efter indførelsen af certifikatsystemet (juni og juli 2021). 12 af de 13 respondenter i vores spørgeundersøgelse var enige i, at EU's digitale covidcertifikat havde medvirket til at koordinere rejserestriktionerne mellem medlemsstaterne.

Konklusioner og anbefalinger

75 Vi konkluderer, at Kommissionen trods sine begrænsede beføjelser inden for folkesundhedspolitik reagerede hurtigt for at foreslå egnede teknologiske løsninger til at gøre det lettere at rejse inden for EU under covid‑19-pandemien. Virkningen af nogle af disse værktøjer afhænger dog af medlemsstaternes vilje til at bruge dem. EU's digitale covidcertifikat fik stor støtte og var effektivt med hensyn til at gøre det lettere at rejse, men de andre værktøjers virkning var beskeden på grund af deres begrænsede brug.

76 Kommissionen mobiliserede hurtigt 71 millioner euro til værktøjernes udvikling ved at kombinere flere finansieringskilder og anvende eksisterende rammeaftaler i stedet for offentlige udbud. EU-værktøjerne havde et unikt formål, hvilket betyder, at de ikke kan sammenlignes med eksisterende systemer (punkt 21-27).

77 Kommissionen stillede portalen til kontaktopsporing og EU's digitale covidcertifikat til rådighed rettidigt. Portalen til kontaktopsporing, der var udformet til at sikre interoperabilitet mellem kontaktopsporingsapps, gik online i oktober 2020, syv måneder efter at Verdenssundhedsorganisationen erklærede covid‑19 for en pandemi. Den tekniske udvikling af EU's digitale covidcertifikat drog fordel af tidligere erfaringer med portalen til kontaktopsporing og var gennemført, inden medlemsstaterne havde afsluttet gennemførelsen af deres vaccinationsplaner. Lovgivningsprocessen for vedtagelsen af EU's digitale covidcertifikat gik også meget hurtigere end normalt (punkt 28-35).

78 Det lykkedes ikke Kommissionen at overvinde nogle medlemsstaters forbehold med hensyn til anvendelsen af EU's løsninger vedrørende kontaktopsporingsformularer, som blev leveret, efter at flere medlemsstater allerede havde udviklet deres egne værktøjer. Dette medførte, at EU's løsninger kun blev anvendt af fem medlemsstater (punkt 36-40).

Anbefaling 1 - Afhjælpning af årsagerne til den lave anvendelse af EU's digitale kontaktopsporingsformular

Kommissionen bør afhjælpe årsagerne til den lave anvendelse af EU's digitale kontaktopsporingsformular og udvekslingsplatformen og fremme øget brug af disse værktøjer blandt medlemsstaterne i de kommende faser af covid‑19-pandemien.

Måldato for gennemførelsen: december 2023.

79 Samlet set tog Kommissionen hensyn til databeskyttelseskrav og god IT-sikkerhedspraksis i sin udvikling af værktøjerne. EU-værktøjerne minimerede anvendelsen af personoplysninger (punkt 42 og 43). Generelt blev der systematisk foretaget sikkerhedsrisikovurderinger og udført indtrængningstest - den eneste undtagelse var en række sikkerhedstest vedrørende EU's digitale kontaktopsporingsformular, der blev forsinket, hvilket betød, at værktøjet blev brugt i ét år med uopdagede sårbarheder (punkt 47-51 og 57 og 58).

80 Med hensyn til EU's digitale covidcertifikat skulle de deltagende lande udveksle lister over falske certifikater bilateralt via forskellige kommunikationskanaler. Denne tilgang gør blokering af falske certifikater mindre effektiv. Pr. marts 2022 havde Kommissionen foreslået brugbare løsninger til at håndtere denne udfordring, men de er frivillige (punkt 44-46). Landenes ordninger for underretning af hinanden om hændelser, som kræver en hurtig reaktion (f.eks. falske certifikater), er endvidere tidskrævende (punkt 55 og 56).

Anbefaling 2 - Strømlining af kommunikation om hændelser knyttet til EU's digitale covidcertifikat

Kommissionen bør lette den direkte kommunikation mellem officielle kontaktpersoner i de lande, der deltager i ordningen vedrørende EU's digitale covidcertifikat, med henblik på at strømline kommunikation i nødsituationer knyttet til certifikatet.

Måldato for gennemførelsen: juni 2023

81 Eftersom koderne i EU's digitale covidcertifikat blev genereret i de deltagende landes nationale systemer, var det vigtigt, at disse systemer indeholdt tilstrækkelige sikkerhedskontroller. Kommissionen baserede sig på de deltagende landes egenerklæringer vedrørende IT-sikkerhed, da den ikke havde beføjelser til at kontrollere, om de rent faktisk opfyldte sikkerhedskravene. Dette begrænser visheden med hensyn til de nationale systemers sikkerhedsstatus (punkt 52-54).

82 EU's kontaktopsporingsformular og portalen til kontaktopsporing havde ikke den tilsigtede virkning, fordi deres brug var begrænset. EU's digitale kontaktopsporingsformular blev kun anvendt af fire medlemsstater, mens andre lande foretrak at fortsætte med nationale løsninger. Den samlede anvendelse af platformen til udveksling af kontaktopsporingsformularer er forblevet ubetydelig: Der blev kun udvekslet tre formularer i 2021 og 253 i de første to måneder af 2022. Anvendelsen af portalen til kontaktopsporing var hæmmet af medlemsstaternes begrænsede indførelse af kontaktopsporingsapps, og langt størstedelen af portalens aktivitet blev genereret af ét land (punkt 61-67).

83 De værktøjer, vi undersøgte, blev udviklet til at imødekomme nye behov og fungere uafhængigt af hinanden. Dette gjorde det sammen med de forskellige nationale løsninger vedrørende kontaktopsporingsformularer vanskeligere at sikre en ensartet indførelse af EU-værktøjerne. Værktøjerne blev også udformet til at blive brugt på kort sigt som reaktion på sundhedskrisen. Der er ingen specifikke procedurer på plads, som gør det muligt at bruge dem på længere sigt eller at genaktivere dem hurtigt, hvis der bliver behov for dem i fremtiden. Det aktuelle retsgrundlag for EU's digitale covidcertifikat udløber i juni 2023 og skal fornys efter EU's standardlovgivningsprocedure (punkt 68).

84 Vi konstaterede, at EU's digitale covidcertifikat havde været effektivt med hensyn til at gøre det lettere at rejse under covid‑19-pandemien. Medlemsstaterne og flere ikke-EU-lande gjorde omfattende brug af certifikatet, og i marts 2022 var der udstedt mere end 1,7 milliarder digitale covidcertifikater i EU- og EØS-landene. Vi konstaterede endvidere, at medlemsstaterne inden for én måned fra ikrafttrædelsen af forordningen om EU's digitale covidcertifikat havde harmoniseret deres rejserestriktioner betydeligt. Mere konkret havde alle medlemsstater fjernet rejserestriktionerne for de EU-borgere, der var indehavere af et digitalt covidcertifikat, fordi de var fuldt vaccineret mod, for nylig var testet negativ for eller var restitueret efter covid‑19.

85 EU's digitale covidcertifikat forbedrede endvidere informationsudveksling og koordinering i forbindelse med rejserestriktioner, da medlemsstaterne i henhold til den gældende forordning skal oplyse om og begrunde indførelsen af rejserestriktioner (punkt 69-74).

Anbefaling 3 - Forberedelse af relevante EU-værktøjer med henblik på fremtidige kriser

Kommissionen bør:

1. identificere, hvilke af EU-værktøjerne fra covid‑19-pandemien der har været mest nyttige for borgerne og medlemsstaterne, og udarbejde procedurer for at genaktivere dem hurtigt i tilfælde af fremtidige nødsituationer
2. ved hjælp af synergier eller forenklinger gøre det nemmere for EU-borgerne at tilgå de EU-værktøjer, der bruges til at lette kontaktopsporing på tværs af grænserne i krisesituationer
3. sammen med medlemsstaterne analysere behovet for eventuelle yderligere værktøjer med henblik på at håndtere potentielle fremtidige kriser.

Måldato for gennemførelsen: september 2023 for anbefaling a) og c) og september 2024 for anbefaling b)

Vedtaget af Afdeling III, der ledes af Bettina Jakobsen, medlem af Revisionsretten, i Luxembourg den 22. november 2022.

Bilag

Bilag I - Beskrivelse af EU-værktøjerne til at lette sikre rejser under covid‑19-pandemien

European Federation Gateway Service

European Federation Gateway Service er et system, der sikrer interoperabilitet mellem nationale kontaktopsporingsapps. De nationale kontaktopsporingsapps blev udviklet til at underrette borgerne om mulige risikokontakter og bidrage til at bryde covid‑19-smittekæderne.

En kontaktopsporingsapp registrerer løbende kontakt med personer i nærheden, der også anvender kontaktopsporingsapps. Den genererer en nøgle (en identifikator) for sin bruger hvert 15. minut for at beskytte privatlivets fred. Appen anvender bluetooth til at finde andre smartphones i nærheden og udveksle nøgler. Enhver kontakt med en anden bruger medfører, at der udveksles nøgler mellem brugerne. Disse nøgler lagres i begge brugeres telefoner.

Når en bruger tester positiv for covid‑19, angiver vedkommende det i appen, der sender alle brugerens nøgler fra de seneste 14 dage til backend-serveren i det land, hvor vedkommende er hjemmehørende. Serveren sender den smittede brugers nøgler til alle andre brugeres apps, hvor de sammenlignes med de nøgler, der er lagret i telefonen. Hvis der er et match, har brugeren været i nærheden af den smittede person og modtager derfor en advarsel.

De fleste medlemsstater anvender denne decentraliserede tilgang, hvor kombinationen af de smittede personers nøgler sendes til brugernes apps, og sammenligningen foretages på brugernes telefoner. Andre medlemsstater har valgt en mere centraliseret tilgang, hvor sammenligningen af nøgler og matchingen med brugernes enheder foretages i centrale nationale servere.

Nationale platforme til kontaktopsporing, der anvender den decentraliserede tilgang og bruger kompatible digitale teknologier, kan udveksle smittede personers anonymiserede nøgler med hinanden via EU's portal til kontaktopsporing. Portalen til kontaktopsporing giver derfor en rejsende mulighed for at anvende sin nationale kontaktopsporingsapp under rejser i andre lande, der er tilsluttet EU's portal.

Digital kontaktopsporingsformular

De offentlige sundhedsmyndigheder anvender kontaktopsporingsformularer til at lette kontaktopsporing, når rejsende med fly, tog, skib eller bus er udsat for en smitsom sygdom. Verdenssundhedsorganisationen og Organisationen for International Civil Luftfart begyndte allerede at udarbejde disse formularer under tidligere sygdomsudbrud (navnlig ebola).

De lande, hvor der er krav om udfyldelse af kontaktopsporingsformularer, anvendte traditionelt mest papirformularer. Papirformularer har dog betydelige begrænsninger - de kan være vanskelige at læse, og de data, de indeholder, skal indtastes manuelt i computersystemer med henblik på automatisk behandling. Disse begrænsninger fik mange lande til at udvikle elektroniske udgaver. EU's digitale kontaktopsporingsformular er en webapplikation, der blev udviklet til at forenkle anvendelsen af kontaktopsporingsformularer i forbindelse med grænseoverskridende sundhedstrusler såsom covid‑19.

Den rejsende udfylder formularen online med oplysninger om rejsen og modtager en unik Quick Response-kode ("QR-kode"). Denne kode kan scannes af de kompetente myndigheder i bestemmelseslandene med henblik på at kontrollere, at passageren har givet de ønskede oplysninger. Formålet med det digitale format er at gøre dataindsamling og dataudveksling mellem interessenter nemmere og hurtigere med det mål at gøre kontaktopsporing mere effektiv.

Udveksling af kontaktopsporingsformularer

Når en rejsende tester positiv for covid‑19, kan der opstå et behov for på sikker vis at overføre de kontaktopsporingsformulardata, der er indhentet i ét land, til andre berørte lande med det ene formål at lette covid‑19-kontaktopsporing. På grund af begrænsningerne i det eksisterende europæiske system til udveksling af sundhedsoplysninger (systemet for tidlig varsling og reaktion) besluttede Kommissionen at udvikle en særlig platform til udveksling af kontaktopsporingsformulardata mellem forskellige nationale systemer.

Platformen til udveksling af kontaktopsporingsformularer muliggør overførsel af data, der er krypteret på sikker vis, mellem kompetente nationale myndigheder og omfatter ikke lagring af nogen data. Medlemsstaternes myndigheder kan tilslutte sig via enten EU's system for digitale kontaktopsporingsformularer eller de nationale systemer.

EU's digitale covidcertifikat

EU's digitale covidcertifikat er dokumentation for, at indehaveren er vaccineret mod, for nylig er testet negativ for eller er restitueret efter covid‑19. Certifikatet udstedes af de kompetente nationale myndigheder.

Certifikatet kan udstedes både i papirform og i elektronisk form. Det indeholder i begge tilfælde en QR-kode, der beskytter det mod forfalskning. Løsningens sikkerhed er baseret på anvendelsen af offentlige og private kryptografiske nøgler. Der er to nøgler: private, der anvendes til at underskrive QR-koden digitalt, og offentlige, der gør det muligt at kontrollere den digitale underskrift.

Hver udstedende myndighed har sin egen private nøgle og en tilsvarende offentlig nøgle. De private nøgler lagres sikkert, og de offentlige nøgler udveksles i en central national database. Myndigheden stiller sit udstedelsessystem til rådighed for relevante sundhedsaktører (f.eks. hospitaler og testcentre) efter tilladelse, så de kan underskrive certifikaterne digitalt.

De apps, der anvendes til at kontrollere ægtheden af EU's digitale covidcertifikat, indhenter de offentlige nøgler fra de nationale databaser. De nationale databaser udveksler offentlige nøgler med andre lande via portalen for EU's digitale covidcertifikat. Derfor muliggør portalen gensidig kontrol af certifikater på tværs af forskellige lande.

Bilag II - Anvendelse af kontaktopsporingsapps i EU

Indførelsen af kontaktopsporingsapps var ikke ensartet i hele EU. Kun i to medlemsstater udgjorde antallet af downloads af kontaktopsporingsapps over 50 % af befolkningstallet. Figuren nedenfor viser den forskellige situation i de medlemsstater, der anvendte decentraliserede kontaktopsporingsapps.

Det at downloade appen betyder ikke nødvendigvis, at kontaktopsporingen rent faktisk finder sted, da det forudsætter, at appen er aktiv, og at borgerne frivilligt angiver deres positive covid‑19-testresultater. Når brugerne angiver, at de er testet positive, uploades de relevante nøgler til portalen til kontaktopsporing. Dataene fra portalen viser, at anvendelsen af kontaktopsporing varierede på tværs af medlemsstaterne. Et overvældende flertal af de nøgler, der blev uploadet til portalen, kom fra ét land.

Glossar

Dataansvarlig: I henhold til EU's generelle forordning om databeskyttelse den person eller organisation, der afgør, hvordan og til hvilke formål personoplysninger må behandles.

Grænsekontrol: Kontrol og overvågning ved en grænse vedrørende de personer, der passerer eller har til hensigt at passere den.

Indtrængningstest: Metode til vurdering af sikkerheden i et IT-system ved at forsøge at trænge igennem dets sikkerhedsforanstaltninger ved hjælp af de værktøjer og teknikker, der typisk anvendes af personer med onde hensigter.

Schengenområdet: Gruppe bestående af 26 europæiske lande, der har afskaffet pas- og indrejsekontrol ved deres fælles grænser.

Sårbarhedsscanning: Undersøgelse af netværksudstyr, computersystemer og applikationer med henblik på at identificere eventuelle problemer og svage punkter.

Europa-Kommissionens svar

https://www.eca.europa.eu/da/Pages/DocItem.aspx?did=62947

Tidslinje

https://www.eca.europa.eu/da/Pages/DocItem.aspx?did=62947

Revisionsholdet

Revisionsrettens særberetninger præsenterer resultaterne af dens revisioner vedrørende EU-politikker og ‑programmer eller forvaltningsspørgsmål i forbindelse med specifikke budgetområder. Med henblik på at opnå maksimal effekt udvælger og udarbejder Revisionsretten sine revisionsopgaver under hensyntagen til de risici, der knytter sig til forvaltningens resultatopnåelse eller regeloverholdelsen, de pågældende indtægters eller udgifters omfang, den fremtidige udvikling samt den politiske og offentlige interesse.

Denne forvaltningsrevision blev udført af Afdeling III - Foranstaltninger udadtil, sikkerhed og retfærdighed, der ledes af Bettina Jakobsen, medlem af Revisionsretten. Arbejdet blev udført under ledelse af Baudilio Tomé Muguruza, medlem af Revisionsretten, med støtte fra kabinetschef Daniel Costa de Magalhães, attaché Ignacio García de Parada Miranda, ledende administrator Alejandro Ballester Gallardo, opgaveansvarlig Piotr Senator og revisorerne João Coelho, Mirko Iaconisi, Ioanna Topa og Andrej Minarovic. Michael Pyper ydede sproglig støtte.

Fra venstre til højre: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi og Michael Pyper.

Slutnoter

¹ Artikel 20, stk. 2, litra a), og artikel 21, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde.

² Direktiv 2004/38/EF.

³ Artikel 168, stk. 7, i traktaten om Den Europæiske Unions funktionsmåde.

⁴ Artikel 17 i traktaten om Den Europæiske Union (TEU).

⁵ Artikel 4, stk. 2, litra k), artikel 6, litra a), og artikel 168 i TEUF.

⁶ Direktiv 2011/24/EU om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser.

⁷ Særberetning 13/2022.

⁸ Særberetning 19/2022.

⁹ Kommissionens erklæring af 15. juni 2021.

¹⁰ Figur 4 i særberetning 13/2022.

¹¹ Covid‑19 - Retningslinjer for grænseforvaltningsforanstaltninger for at beskytte sundheden og sikre adgangen til varer og vigtige tjenesteydelser, C(2020) 1753 final (EUT C 86I af 16.3.2020).

¹² Kommissionens meddelelser C(2020) 3250, C(2020) 3251 og C(2020) 3139.

¹³ Rådets henstilling (EU) 2020/1475.

¹⁴ Kommissionens gennemførelsesafgørelse (EU) 2021/858.

¹⁵ E-sundhed og covid‑19, Europa-Kommissionens websted.

¹⁶ E-sundhedsnetværket,"Guidelines on verifiable vaccination certificates - basic interoperability elements", 12.3.2021.

¹⁷ Forordning (EU) 2021/953.

¹⁸ Forslag til forordning COM(2021) 130 final.

¹⁹ Procedure 2021/0068 (COD).

²⁰ Aktivitetsrapport "Development and Trends of the Ordinary legislative Procedure", Europa-Parlamentet.

²¹ "Better Regulation Guidelines", SWD(2017) 350 af 7. juli 2017.

²² ENISA, Taking Care of Health Data.

²³ Europa-Parlamentets og Rådets forordning (EU) 2016/679.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; Den Internationale Standardiseringsorganisation/International Electrotechnical Commission, standard 27001.

²⁵ Udkast til vurdering af databeskyttelsesrisiko (DPRA-DRAFT).

²⁶ E-sundhedsnetværket,"EU DCC Revocation - B2A Communication between the Backend and the Applications", afsnit 4.6.3.

²⁷ ISACA, Certified Information System Auditor - Review Manual, 2019.

²⁸ Kommissionens afgørelse (EU, Euratom) 2017/46 om kommunikations- og informationssystemernes sikkerhed i Europa-Kommissionen, og gennemførelsesreglerne C(2017) 8841 final.

²⁹ Den Internationale Standardiseringsorganisation/International Electrotechnical Commission, standard 27001, 27002, 27005 og 27035.

³⁰ Den Internationale Standardiseringsorganisation/International Electrotechnical Commission, standard 27001.

³¹ Særberetning 13/2022, punkt 69-75.

³² EU's digitale kontaktopsporingsformular.

³³ Weekly epidemiological update on COVID-19 - 25 May 2022, Verdenssundhedsorganisationen.

³⁴ Særberetning 13/2022.

Kontakt

DEN EUROPÆISKE REVISIONSRET
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tlf. +352 4398-1
Kontakt: eca.europa.eu/da/Pages/ContactForm.aspx
Websted: eca.europa.eu
Twitter: @EUAuditors

Yderligere oplysninger om EU fås på internet via Europaserveren (https://europa.eu)

Luxembourg: Den Europæiske Unions Publikationskontor, 2023

PDF	ISBN 978-92-847-9204-7	ISSN 1977-5636	doi:10.2865/687891	QJ-AB-22-027-DA-N
HTML	ISBN 978-92-847-9226-9	ISSN 1977-5636	doi:10.2865/049166	QJ-AB-22-027-DA-Q

MEDDELELSE OM OPHAVSRET

© Den Europæiske Union, 2023

Den Europæiske Revisionsrets politik for videreanvendelse er fastsat i Revisionsrettens afgørelse nr. 6-2019 om den åbne datapolitik og videreanvendelse af dokumenter.

Medmindre andet er oplyst (f.eks. i individuelle meddelelser om ophavsret), er det af Revisionsrettens indhold, der ejes af EU, licenseret i henhold til Creative Commons Attribution 4.0 International (CC BY 4.0). Det betyder, at videreanvendelse generelt er tilladt med korrekt angivelse af kilde og eventuelle ændringer. Ved videreanvendelse af Revisionsrettens indhold må den oprindelige betydning eller det oprindelige budskab ikke fordrejes. Revisionsretten er ikke ansvarlig for eventuelle konsekvenser af videreanvendelsen.

Yderligere tilladelse skal indhentes, hvis specifikt indhold afbilder identificerbare privatpersoner, f.eks. på billeder af ansatte i Revisionsretten, eller omfatter tredjeparts værker.

Hvis en sådan tilladelse opnås, erstatter denne tilladelse ovenstående generelle tilladelse, og den skal klart anføre eventuelle begrænsninger i anvendelsen.

Tilladelse til at anvende eller gengive indhold, der ikke ejes af EU, skal eventuelt indhentes direkte hos indehaveren af ophavsretten.

Software og dokumenter, der er omfattet af industriel ejendomsret, såsom patenter, varemærker, registrerede design, logoer og navne, er ikke omfattet af Revisionsrettens videreanvendelsespolitik.

EU-institutionernes websteder på europa.eu-domænet har links til websteder uden for europa.eu-domænet. Da Revisionsretten ikke har kontrol over disse websteder, anbefales det at gennemse deres privatlivspolitik og ophavsretspolitik.

Anvendelse af Revisionsrettens logo

Revisionsrettens logo må ikke anvendes uden Revisionsrettens forudgående samtykke.

SÅDAN KONTAKTER DU EU

Personligt fremmøde
Der findes flere hundrede Europe Direct-centre i hele EU. Find adressen på dit nærmeste center online (european-union.europa.eu/contact-eu/meet-us_da).

Kontakt via telefon eller skriftligt
Europe Direct er en tjeneste, der besvarer spørgsmål om EU. Kontakt Europe Direct:

• på gratisnummer: 00 800 6 7 8 9 10 11 (visse operatører tager betaling for disse opkald)
• på følgende nummer: +32 22999696
• skriftligt: european-union.europa.eu/contact-eu/write-us_da.

SÅDAN FINDER DU OPLYSNINGER OM EU

Online
Oplysninger om EU er tilgængelige på alle EU’s officielle sprog på Europawebstedet (european-union.europa.eu).

EU-publikationer
Du kan finde eller bestille EU-publikationer på op.europa.eu/da/web/general-publications/publications. Du kan bestille flere eksemplarer af de gratis publikationer ved at kontakte Europe Direct eller dit lokale kontaktcenter (european-union.europa.eu/contact-eu/meet-us_da).

EU-ret og relaterede dokumenter
Du kan nemt få adgang til EU’s juridiske oplysninger (herunder al EU-ret siden 1951) på alle officielle EU-sprog i EUR-Lex-databasen (eur-lex.europa.eu).

Åbne data fra EU
Portalen data.europa.eu giver adgang til åbne datasæt fra EU’s institutioner, organer og agenturer. Dataene kan downloades og genanvendes gratis til både kommercielle og ikkekommercielle formål. Portalen giver også adgang til en stor mængde datasæt fra de europæiske lande.