Oversigt (indholdsfortegnelse)

Bilag 1

Bilag 2

Den fulde tekst

Betænkning afgivet af Sundhedsudvalget den 18. maj 2011

Betænkning

over

Forslag til lov om ændring af sundhedsloven

(Udvidet adgang til offentlige registre og elektroniske patientjournaler m.v.)

[af indenrigs- og sundhedsministeren (Bertel Haarder)]

1. Ændringsforslag

Indenrigs- og sundhedsministeren har stillet 1 ændringsforslag til lovforslaget.

2. Udvalgsarbejdet

Lovforslaget blev fremsat den 23. marts 2011 og var til 1. behandling den 31. marts 2011. Lovforslaget blev efter 1. behandling henvist til behandling i Sundhedsudvalget.

Møder

Udvalget har behandlet lovforslaget i 3 møder.

Høring

Et udkast til lovforslaget har inden fremsættelsen været sendt i høring, og indenrigs- og sundhedsministeren sendte den 11. februar 2011 dette udkast til udvalget, jf. SUU alm. del – bilag 166. Den 25. marts 2011 sendte indenrigs- og sundhedsministeren de indkomne høringssvar og et notat herom til udvalget.

Spørgsmål

Udvalget har stillet 19 spørgsmål til indenrigs- og sundhedsministeren til skriftlig besvarelse, som denne har besvaret. Et af udvalgets spørgsmål og ministerens svar er optrykt som bilag 2 til betænkningen.

3. Indstillinger og politiske bemærkninger

Et flertal i udvalget (udvalget med undtagelse af EL) indstiller lovforslaget til vedtagelse med det stillede ændringsforslag.

Flertallet ser frem til, at hele landet er dækket af et velfungerende elektronisk patientjournalsystem, der kan korrespondere på tværs af sundhedsinstitutionerne til gavn for patientbehandlingen og til lettelse for de sundhedspersoner, der er omkring den enkelte patient.

Flertallet har noteret sig, at der i det notat, der er omdelt på bilag 5, er skrevet en tydeliggørelse af, at det ikke er sigtet med de elektroniske patientjournaler, at alle aktører, der har en uddannelse inden for medicin og sundhed, skal kunne indhente oplysninger i disse. Det er således et krav, at den, der indhenter oplysninger ved opslag i et EPJ-system, skal være sundhedsperson, der deltager i patientbehandling. Der kræves endvidere en patient-behandler-relation mellem patienten og vedkommende sundhedsperson.

Inden for flere behandlingsformer deltager ikkesundhedspersoner i den helhedsbehandling, patienten har brug for. Det er derfor vigtigt, at de har den fornødne konkrete viden om den pågældende patient, til at de kan gennemføre deres del arbejdet med patienten. Det egentlige sundhedspersonale skal derfor være bekendt med, at de har et særligt ansvar for at gøre ansatte fra andre faggrupper bekendt med journalførte oplysninger, der har betydning patientens samlede behandling.

Et mindretal i udvalget (EL) indstiller lovforslaget til forkastelse ved 3. behandling. Mindretallet stemmer imod det stillede ændringsforslag.

Liberal Alliance, Kristendemokraterne, Inuit Ataqatigiit, Siumut, Tjóðveldi og Sambandsflokkurin var på tidspunktet for betænkningens afgivelse ikke repræsenteret med medlemmer i udvalget og havde dermed ikke adgang til at komme med indstillinger eller politiske udtalelser i betænkningen.

En oversigt over Folketingets sammensætning er optrykt i betænkningen.

4. Ændringsforslag med bemærkninger

Ændringsforslag

Til § 1

Af indenrigs- og sundhedsministeren, tiltrådt af et flertal (udvalget med undtagelse af EL):

1) Efter nr. 6 indsættes som nye numre:

»01. I § 42 a indsættes som stk. 10:

»Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige indsats.«

02. I § 42 b, stk. 1, 1. pkt., ændres »§ 42 a, stk. 6« til: »§ 42 a, stk. 6 og 10«.

03. I § 42 b, stk. 1, 2. pkt., indsættes efter »oplysningerne«: », eller under hvis ansvar oplysningerne indhentes«.«

[Andre sygehusansatte m.fl.’s adgang til elektronisk indhentning af patientoplysninger]

Bemærkninger

Til nr. 1

Ad nr. 01

Andre personer end sundhedspersoner, som er ansat i sundhedsvæsenet, kan f.eks. yde en særlig pædagogisk og psykologisk støtte i forbindelse med aktuel behandling af en patient som led i den samlede sundhedsfaglige indsats. I den forbindelse vil der i nogle tilfælde kunne opstå situationer, hvor de pågældende kan have behov for oplysninger fra patientjournalen. Lovforslaget tilsigter på nærmere betingelser at give dem adgang til elektronisk indhentning af oplysninger fra patientjournalen for i sådanne situationer at lette deres arbejde og dermed understøtte sammenhæng, høj kvalitet, vidensdeling og sikkerhed i patientbehandlingen.

Det er for lovforslaget helt grundlæggende, at der på den ene side tages behørigt hensyn til, at der er tale om adgang til særligt personfølsomme oplysninger, og at der på den anden side tages hensyn til at sikre det bedst mulige behandlingsgrundlag.

Udgangspunktet er, at der ikke gives ikkesundhedspersoner ansat i sundhedsvæsenet adgang til elektronisk indhentning af helbredsoplysninger m.v. om enkelte patienter i patientjournaler.

I det omfang sådanne ikkesundhedspersoner undtagelsesvis deltager i den sundhedsfaglige behandling på en autoriseret sundhedspersons vegne, vil de optræde som sundhedspersoner og dermed være omfattet af adgangen efter den gældende regel i sundhedslovens § 42 a, stk. 2, til elektronisk indhentning af aktuelle helbredsoplysninger m.v. om den pågældende patient, der er tilknyttet samme behandlingsenhed som vedkommende ansatte, når det er nødvendigt til brug for aktuel behandling af patienten.

Til brug for sådanne ansattes indsats i tilknytning til sundhedsfaglig patientbehandling, f.eks. pædagogisk og psykologisk arbejde, der må ses som et led i den samlede sundhedsfaglige indsats, vil der i nogle tilfælde, uagtet at de pågældende ansatte derved ikke optræder som sundhedspersoner, i begrænset omfang kunne opstå situationer, hvor de pågældende ansatte måtte have behov for oplysninger fra patientjournalen. En adgang til elektronisk indhentning af oplysningerne fra patientjournalen vil i så fald kunne lette de pågældendes arbejde.

Det må imidlertid anses for tvivlsomt, om sådanne faggrupper, der ikke selv udfører egentlige sundhedsfaglige opgaver inden for sundhedsvæsenet, men alene opgaver i tilknytning hertil, kan anses som værende omfattet af undtagelsesbestemmelsen i persondatalovens § 7, stk. 5, om databehandling, der foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Sådanne faggruppers adgang til helbredsoplysninger m.v. om patienter kan finde sted efter de øvrige databehandlingsregler i persondatalovens § 7, som forudsætter samtykke fra den, oplysningerne vedrører, og i øvrigt forudsætter, at oplysningerne er nødvendige til brug for den opgave, den pågældende skal varetage.

Den foreslåede ændring af § 42 a imødekommer det begrænsede behov, som andre faggrupper end sundhedspersoner måtte have for at kunne indhente oplysninger fra en patientjournal til brug for deres ikkesundhedsfaglige arbejde, ved at give disse andre faggrupper mulighed for – på en læges eller sygehusansat tandlæges ansvar og efter dennes bemyndigelse – at indhente de fornødne såvel aktuelle som historiske oplysninger, som er nødvendige for deres indsats til støtte for den sundhedsfaglige behandling af patienten. Oplysningerne vil for at sikre overensstemmelse med persondatarettens regler i givet fald skulle indhentes med patientens samtykke. For en patient, der ikke selv kan varetage sine interesser, indtræder efter sundhedslovens § 14 den eller de, som efter lovgivningen er bemyndiget hertil, i patientens rettigheder efter samme lovs §§ 15-51, i det omfang det er nødvendigt for at varetage patientens interesser i den pågældende situation. Eksempelvis skal der ved børn under 15 år indhentes samtykke fra forældremyndighedens indehaver.

Den foreslåede ændring af § 42 a vil tillige – på en læges eller en sygehusansat tandlæges ansvar og efter dennes bemyndigelse – omfatte de grupper af sundhedspersoner, som ikke er omfattet af den foreslåede udvidelse af § 42 a, stk. 1, jf. lovforslagets § 1, nr. 1. – medmindre de pågældende har en aktuel ret til opslag i de nævnte oplysninger i henhold til ministerens udnyttelse af bemyndigelsen i § 42 a, stk. 1, 2. pkt., i henhold til behandlingsstedets ledelses udnyttelse af bemyndigelsen i § 42 a, stk. 4, eller i henhold til de øvrige bestemmelser i § 42 a, jf. ordene »Uden for de i stk. 1-9 nævnte tilfælde … lade andre … indhente oplysninger«. En potentiel ret til opslag, hvis bemyndigelserne i § 42 a, stk. 1, 2. pkt., eller stk. 4, måtte blive udnyttet, er altså ikke tilstrækkelig til at udelukke anvendelsen af den foreslåede § 42 a, stk. 10. Det er heller ingen betingelse for at være omfattet af § 42 a, at sundhedspersonen forinden har foretaget den i § 42 a, stk. 5, forudsatte afvejning af, om vedkommende har ret til opslag efter denne bestemmelse (»værdispringsreglen«).

Det betyder, at også kiropraktorer, ergoterapeuter, fysioterapeuter, bioanalytikere, kliniske diætister, bandagister, social- og sundhedsassistenter eller andre sundhedspersoner under de ovennævnte forudsætninger – på en læges eller sygehusansat tandlæges ansvar og efter dennes bemyndigelse – får samme adgang til elektroniske opslag som de nævnte andre faggrupper end sundhedspersoner, det vil sige, at de pågældende faggrupper får, hvis de er tilknyttet samme behandlingsenhed som patienten, adgang til såvel aktuelle som historiske oplysninger i en patientjournal, i det omfang det er nødvendigt til brug for en aktuel behandling af patienten.

Den foreslåede ændring af § 42 a vil kun omfatte personer, der er »tilknyttet samme behandlingsenhed, hvor patienten er i behandling«. Om forståelsen af dette udtryk henvises til den gældende bestemmelse i sundhedslovens § 42 a, stk. 2. Den foreslåede ændring af § 42 a omfatter med andre ord alene personer ansat i sundhedsvæsenet.

I og med at den omhandlede elektroniske indhentning af helbredsoplysninger vil skulle finde sted under ansvar af og efter bemyndigelse af en læge eller en sygehusansat tandlæge, sikres det, at såvel patienten som Sundhedsstyrelsen kan indbringe en sag for Sundhedsvæsenets Disciplinærnævn, hvis der i et konkret tilfælde findes at være grundlag for kritik af eller sanktion over for vedkommende sundhedsperson, jf. §§ 2 og 2 a i lov om klage- og erstatningsadgang inden for sundhedsvæsenet (lovbekendtgørelse nr. 24 af 21. januar 2009 som ændret ved lov nr. 706 af 25. juni 2010).

En lignende ordning kendes fra sundhedslovens § 42 a, stk. 8, hvorefter læger og sygehusansatte tandlæger under disses ansvar kan lade medicinstuderende indhente oplysninger som nævnt i § 42 a, stk. 1, i forbindelse med behandling af patienter.

Ad nr. 02

Som en konsekvens af den foreslåede § 42 a, stk. 10, foreslås § 42 b ændret, således at et samtykke til indhentning af elektroniske helbredsoplysninger efter § 42 a, stk. 10, omfattes af samme formkrav som samtykke efter sundhedslovens § 42 a, stk. 6. Det betyder, at samtykket kan være mundtligt eller skriftligt og skal indføres i patientjournalen.

Ad nr. 03

Som en konsekvens af den foreslåede § 42 a, stk. 10, foreslås § 42 b ændret, således at et samtykke til indhentning af elektroniske helbredsoplysninger efter § 42 a, stk. 10, omfattes af samme formkrav som samtykke efter sundhedslovens § 42 a, stk. 6. Det betyder, at samtykket skal meddeles til den læge eller sygehusansatte tandlæge, under hvis ansvar indhentningen foretages.

Louise Schack Elholm (V) Preben Rudiengaard (V) fmd. Birgitte Josefsen (V) Sophie Løhde (V) Flemming Møller (V) Liselott Blixt (DF) Karin Nødgaard (DF) Vivi Kier (KF) Pia Christmas-Møller (UFG) nfmd. Sophie Hæstorp Andersen (S) Flemming Møller Mortensen (S) Karen J. Klint (S) Julie Skovsby (S) Karl H. Bornhøft (SF) Jonas Dahl (SF) Lone Dybkjær (RV) Per Clausen (EL)

Liberal Alliance, Kristendemokraterne, Inuit Ataqatigiit, Siumut, Tjóðveldi og Sambandsflokkurin havde ikke medlemmer i udvalget.

Venstre, Danmarks Liberale Parti (V) 47
Socialdemokratiet (S) 45
Dansk Folkeparti (DF) 24
Socialistisk Folkeparti (SF) 23
Det Konservative Folkeparti (KF) 17
Radikale Venstre (RV) 9
Enhedslisten (EL) 4
Liberal Alliance (LA) 3
Kristendemokraterne (KD) 1
Inuit Ataqatigiit (IA) 1
Siumut (SIU) 1
Tjóðveldi (T) 1
Sambandsflokkurin (SP) 1
Uden for folketingsgrupperne (UFG) 2


Bilag 1

Oversigt over bilag vedrørende L 171

Bilagsnr.
Titel
1
Høringssvar og høringsnotat, fra indenrigs- og sundhedsministeren
2
Udkast til tidsplan for udvalgets behandling af lovforslaget
3
Tidsplan for udvalgets behandling af lovforslaget
4
1. udkast til betænkning
5
Ændringsforslag og notat om visse spørgsmål i forbindelse med Sundhedsudvalgets behandling af lovforslaget, fra indenrigs- og sundhedsministeren
6
2. udkast til betænkning

Oversigt over spørgsmål og svar vedrørende L 171

Spm.nr.
Titel
1
Spm. om at sikre mod misbrug af fortrolige oplysninger, til indenrigs- og sundhedsministeren, og ministerens svar herpå
2
Spm. om den elektroniske patientjournal, til indenrigs- og sundhedsministeren, og ministerens svar herpå
3
Spm. om opslag foretaget i den elektroniske patientjournal, til indenrigs- og sundhedsministeren, og ministerens svar herpå
4
Spm. om at frabede sig elektronisk indhentning af informationer, til indenrigs- og sundhedsministeren, og ministerens svar herpå
5
Spm. om minimumskrav for at frabede sig elektronisk indhentning af informationer, til indenrigs- og sundhedsministeren, og ministerens svar herpå
6
Spm. , om fællesregistrene omfattes af en Privacy by Design-løsning, til indenrigs- og sundhedsministeren, og ministerens svar herpå
7
Spm. om kommunernes og regionernes adgang til offentlige sundhedsregistre, til indenrigs- og sundhedsministeren, og ministerens svar herpå
8
Spm. om at sikre, at borgeren får bedre adgang til indsigt i egne oplysninger, til indenrigs- og sundhedsministeren, og ministerens svar herpå
9
Spm. om sikkerhedsforanstaltninger som krævet af Datatilsynet, til indenrigs- og sundhedsministeren, og ministerens svar herpå
10
Spm. om at indhente personfølsomme oplysninger, til indenrigs- og sundhedsministeren, og ministerens svar herpå
11
Spm. , om retten til at frabede sig elektronisk indhentning af informationer respekteres, til indenrigs- og sundhedsministeren, og ministerens svar herpå
12
Spm. om at få »privatmarkeret« visse oplysninger i den elektroniske patientjournal, til indenrigs- og sundhedsministeren, og ministerens svar herpå
13
Spm. om kontrol af den dataansvarlige myndighed, til indenrigs- og sundhedsministeren, og ministerens svar herpå
14
Spm. om opslag i lokale elektroniske patientjournaler, til indenrigs- og sundhedsministeren, og ministerens svar herpå
15
Spm. om regeringens afbureakratiseringsplaner, til indenrigs- og sundhedsministeren, og ministerens svar herpå
16
Spm. om kontrol i den elektroniske patientjournal, til indenrigs- og sundhedsministeren, og ministerens svar herpå
17
Spm. om kommune og region hver for sig skal foretage analyser og udarbejde statistikker, til indenrigs- og sundhedsministeren, og ministerens svar herpå
18
Spm. om, i hvilke tilfælde oplysninger vil kunne behandles i personhenførbar form, til indenrigs- og sundhedsministeren, og ministerens svar herpå
19
Spm. om, hvilke sundhedspersoner der med lovforslaget får adgang til patientens journal, til indenrigs- og sundhedsministeren, og ministerens svar herpå


Bilag 2

Et af udvalgets spørgsmål til indenrigs- og sundhedsministeren og dennes svar herpå

Spørgsmålet og indenrigs- og sundhedsministeren svar herpå er optrykt efter ønske fra udvalget med undtagelse af EL.

Spørgsmål 1:

Ministeren bedes oplyse, hvordan han vil sikre, at det ikke fører til øget misbrug af fortrolige oplysninger, når langt flere får adgang til disse oplysninger set i lyset af, at der er flere eksempler på misbrug i »Redegørelse om indhentning af elektroniske helbredsoplysninger i forbindelse med patientbehandling« fra 2010.

Svar:

I afsnit 3.4. i Indenrigs- og Sundhedsministeriets redegørelse af 21. september 2010 om indhentning af helbredsoplysninger i forbindelse med behandling, jf. SUU alm. del bilag 511 (Folketingsåret 2009-2010) er der omtalt følgende to eksempler på misbrug:

»Ministeriet har i forhold til spørgsmålet om uberettiget indhentning af elektroniske helbredsoplysninger i de øvrige tilfælde, hvor patienten ikke har afgivet negativt samtykke, noteret sig, at der har været enkelte konkrete eksempler herpå.

I februar 2009 blev en it-medarbejder ved et sygehus bortvist og politianmeldt for uberettiget at have indhentet og videregivet oplysninger om abort fra en kvindes patientjournal.

I oktober 2006 – det vil sige før vedtagelsen af sundhedslovens §§ 42 a-c – blev to læger politianmeldt for at have søgt oplysninger i den Personlige Elektroniske Medicinprofil om 15 andre læger, der alle havde tilknytning til professionelle fodboldklubber her i landet.«

I redegørelsens afsnit 3.4. er endvidere anført følgende:

»På spørgsmålet om, hvorvidt indhentning af elektroniske helbredsoplysninger bliver logget i regionerne, og om der i givet fald foretages stikprøvekontroller af logningen, har Danske Regioner oplyst, at alle regioner i dag foretager logning af opslagene på de elektroniske patientjournaler, men at det ikke med sikkerhed kan siges, om stikprøvekontrol finder sted i samtlige regioner. Det er dog Danske Regioners formodning, at stikprøvekontrol er en fast del af regionernes sikkerhedsforanstaltninger, hvilket tillige fremgår af enkelte af regionernes bidrag, jf. ovenfor.«

Sammenholdt med den omfattende og rutinemæssige brug af elektroniske patientjournaler gennem flere år må det på den baggrund formodes, at der kun i begrænset omfang foretages indhentning i strid med reglerne. Jeg har grundlæggende tiltro til, at landets sundhedspersoner er deres ansvar bevidst og retter sig efter, hvad de må, i stedet for hvad de kan.

I den forbindelse er det vigtigt for mig at fremhæve, at lovforslaget har stort fokus på beskyttelse af oplysninger om patienternes privatliv. Det er min opfattelse, at der – også ved den foreslåede udvidelse af de grupper af sundhedspersoner, som kan indhente såvel aktuelle som historiske oplysninger om en patient – i det allerede eksisterende regelsæt er et gennemgående præventivt værn mod misbrug og uberettiget indhentning af oplysninger samt tilstrækkeligt alvorlige sanktionsmuligheder i eventuelle tilfælde heraf.

Den sundhedsretlige beskyttelse

De materielle krav til elektronisk indhentning af helbredsoplysninger m.v. i sundhedslovens § 42 a, stk. 1, hvorefter sundhedspersonen til enhver tid konkret skal vurdere, om opslaget – der kun må foretages i fornødent omfang – er nødvendigt for den pågældendes aktuelle behandling af patienten, foreslås således videreført. Det er med andre ord ikke tilladt at søge efter oplysninger om patienten, som ikke er relevante for den konkret omhandlede behandling.

I den forbindelse vil jeg minde om, at patienten grundlæggende har mulighed for selv at sikre sig mod elektronisk indhentning af den pågældendes helbredsoplysninger m.v. – såvel konkret i forhold til enkelte oplysninger eller sundhedspersoner som generelt – ved at udnytte sin ret til at frabede sig indhentning af elektroniske helbredsoplysninger, som nævnt i min besvarelse af spørgsmål nr. 4 (L 171).

Hertil kommer, at Sundhedsstyrelsen skal føre tilsyn med den sundhedsfaglige virksomhed, der udføres af personer inden for sundhedsvæsenet, jf. sundhedslovens § 215, stk. 1. Sundhedsstyrelsens tilsyn omfatter også sundhedspersoner på private behandlingssteder. Sundhedsstyrelsen kan iværksætte skærpet tilsyn med den nævnte personkreds, såfremt styrelsen har en begrundet formodning om, at den pågældende sundhedspersons virksomhedsudøvelse vil udgøre en forringet sikkerhed for patienter, jf. sundhedslovens § 215, stk. 2, 1. pkt.

Sundhedsstyrelsen kan endvidere indbringe en sag for Sundhedsvæsenets Disciplinærnævn, hvis der findes at være grundlag for kritik af eller sanktion over for en sundhedsperson, jf. § 2 a i lov om klage- og erstatningsadgang inden for sundhedsvæsenet (lovbekendtgørelse nr. 24 af 21. januar 2009 som ændret ved lov nr. 706 af 25. juni 2010)(klage- og erstatningsloven). Disciplinærnævnet behandler endvidere klager fra patienter over autoriserede sundhedspersoners forhold omfattet af sundhedslovens kapitel 4–7 og 9 om patienters retsstilling. Disciplinærnævnet afgiver i de nævnte sager en udtalelse om, hvorvidt sundhedspersonen har handlet i strid med sundhedspersonens forpligtelser efter sundhedslovens kapitel 4–7 og 9 om patienters retsstilling, jf. klage- og erstatningslovens § 3, herunder hvorvidt sundhedspersonen har foretaget opslag i elektroniske systemer i strid med reglerne i sundhedslovens § 42 a. Disciplinærnævnet kan herunder udtale kritik med indskærpelse eller i meget alvorlige tilfælde indbringe sagen for anklagemyndigheden. Dette følger af klage- og erstatningslovens § 3.

Sundhedsstyrelsen har efter kapitel 3 i lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed (autorisationsloven) (lovbekendtgørelse nr. 1350 af 17. december 2008 som ændret ved lov nr. 140 af 9. februar 2010, lov nr. 706 af 25. juni 2010 og lov nr. 155 af 26. februar 2011) forskellige reaktionsmuligheder overfor konkrete autoriserede sundhedspersoner, hvis virksomhedsudøvelse efter Sundhedsstyrelsens vurdering udgør en forringet sikkerhed for patienterne.

Den mest vidtgående sanktionsmulighed er permanent autorisationsfratagelse, som helt afskærer den pågældende fra at udføre det hverv, som autorisationen vedrører. Sundhedsstyrelsen kan også tage initiativ til permanent virksomhedsindskrænkning, iværksættelse af midlertidig autorisationsfratagelse eller virksomhedsindskrænkning, give en sundhedsperson fagligt påbud eller sætte vedkommende under skærpet tilsyn.

Såfremt en sundhedsperson – som jo er undergivet en lovbestemt tavshedspligt, jf. sundhedslovens § 40, stk. 1 – uberettiget indhenter helbredsoplysninger m.v. i strid med sundhedslovens § 42 a, vil den pågældende desuden, medmindre højere straf er forskyldt efter anden lovgivning, kunne ifalde straf i form af bøde eller fængsel indtil 4 måneder i medfør af sundhedslovens § 271, stk. 1, nr. 2.

Der henvises i det hele til lovforslagets afsnit 2.1.1. om gældende regler i sundhedsloven samt afsnit 2.1.3.2. om datasikkerhed.

Den dataretlige beskyttelse

Hertil kommer den dataretlige beskyttelse af oplysninger om patienters privatliv. Offentlige og private dataansvarlige skal – under ansvar over for Datatilsynet – træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. persondatalovens § 41, stk. 3.

For offentlige dataansvarlige gælder ydermere kravene i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Kun de personer, der er autoriseret hertil, må have adgang til de personoplysninger, der behandles for den offentlige forvaltning, jf. sikkerhedsbekendtgørelsens § 11, stk. 1. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, jf. sikkerhedsbekendtgørelsens § 11, stk. 2. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for, jf. ligeledes sikkerhedsbekendtgørelsens § 11, stk. 2. Det er den dataansvarlige myndighed, der udsteder autorisationerne, og som sikrer overholdelsen af de nævnte autorisationskrav, jf. herved sikkerhedsbekendtgørelsens §§ 5 og 6. Ud over, at betingelserne i sundhedslovens § 42 a skal være opfyldt for lovligt at foretage opslag, skal den dataansvarlige myndighed således altid have tildelt en brugerautorisation til den pågældende sundhedsperson for, at vedkommende kan få teknisk adgang til et elektronisk system, som benyttes af flere. Og en sådan brugerautorisation må kun gives sundhedspersoner, der er beskæftiget med de formål, hvortil personoplysninger behandles, og omfatte opslag, vedkommende har behov for.

Ydermere er der for offentlige dataansvarlige en logningspligt. Der skal som udgangspunkt foretages maskinel registrering (logning) af alle anvendelser af en række fortrolige personoplysninger og følsomme oplysninger i den offentlige forvaltning. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan dog opbevare loggen i op til 5 år. Der henvises nærmere til sikkerhedsbekendtgørelsens § 19. Der skal således foretages en registrering af, hvem der inden for de sidste 6 måneder har foretaget opslag i en patientjournal, og på hvilket tidspunkt opslaget foretages. Den dataansvarlige myndighed er forpligtet til ved forskellige kontrolforanstaltninger, herunder ved logning af, hvem der har foretaget opslag, at sikre, at disse ikke uberettiget har gjort brug af den adgang, som de er autoriserede til, og kan som følge heraf foretage stikprøvekontroller.