Ved brev af 27. juli 2002 har De rettet henvendelse til Datatilsynet. Tilsynet har forstået Deres henvendelse som en klage over manglende sikkerhed omkring det elektroniske journalsystem i læge L’s lægepraksis beliggende [adresse udeladt].
Sundhedsstyrelsen har endvidere ved brev af 31. januar 2003 oversendt Deres klage over, at L har udleveret Deres personnummer til databehandler D.
L er ved brev af 11. september 2002 samt ved telefonsamtale af 4. februar 2003 fremkommet med udtalelser i sagen. De har fremsat bemærkninger ved e-post af 16. august og 24. september 2002 samt ved telefax af 16. februar 2003.
Det fremgår herefter af sagen, at Datatilsynet tidligere har behandlet en klage fra Dem over, at læge L ikke havde slettet Deres elektroniske journal i forbindelse med, at De skiftede læge. Datatilsynet traf ved brev af 11. marts 2002 afgørelse i sagen. Datatilsynet udtalte bl.a., at tilsynet ikke fandt L’s opbevaring af Deres elektroniske journal i strid med persondatalovens § 5, stk. 5.
De har til sagen oplyst, at De ved brev af 17. juli 2002 til L har stillet en række spørgsmål vedrørende lægehusets journalsystem - især logfunktionen, og at L ikke har ønsket at besvare Deres henvendelse. De er derfor af den opfattelse, at journalsystemet ikke omfatter en logfunktion, og at alt personale har fri og uhindret adgang til oplysningerne i journalsystemet. De har således overfor Datatilsynet anmodet om en komplet logudskrift over, hvilke personer der har haft adgang til Deres journal.
De har anført, at den manglende datasikkerhed i L’s lægepraksis bekræftes af, at han har udleveret Deres personnummer til D.
D er leverandør af lægehusets elektroniske journalsystem [udeladt], ligesom D vedligeholder og opdaterer dette system. D har overfor Dem bl.a. oplyst, at det ikke er muligt for en bruger (læge) at slette oplysninger i systemet, og at systemet omfatter en logfunktion.
L har oplyst, at han valgte at få slettet Deres elektroniske journal efter, at han blev bekendt med, at han ved fremtidige klager fra Dem ville kunne få en udskrift af journalen fra Patientklagenævnet.
Efter anmodning fra lægehusets læger A, B og L er sletningen foretaget den 3. juli 2002 af en tekniker fra D. L har oplyst, at D i den forbindelse fik oplysning om Deres personnummer, idet det ikke er muligt at få adgang til en journal uden anvendelse heraf. D har ved brev af 10. september 2002 bekræftet, at sletning af Deres elektroniske journal er sket.
De har anført, at det er klart, at D skal bruge et personnummer for at få adgang til en specifik journal. De har imidlertid stillet spørgsmålstegn ved nødvendigheden af, at D efterfølgende har udstedt en bekræftelse, indeholdende Deres personnummer på, at sletning er sket. Datatilsynet har i forbindelse med oplysningen af denne sag modtaget en kopi af bekræftelsen fra sagens parter.
De har endvidere anført, at der kun er Dem med Deres navn i Danmark. De finder således, at det er ganske unødvendigt at videreformidle Deres personnummer til D eller til andre.
Endelig har De tilkendegivet, at De er meget tilfreds med, at Deres elektroniske journal nu er blevet slettet fra L’s journalsystem.
Datatilsynet skal i den anledning udtale følgende:
Udlevering af personnummer til D
I henhold til persondatalovens § 11, stk. 2, nr. 1, må private behandle oplysninger om personnummer, når det følger af lov eller bestemmelser fastsat i henhold til lov.
Det følger af lægelovens § 13, at læger er forpligtet til at føre ordnede optegnelser (journalføring). Sundhedsstyrelsen har i medfør heraf udstedt et cirkulære, der præciserer, hvilke krav der stilles til lægers journalføring. Cirkulærets bestemmelser gælder også for alment praktiserende læger. Det fremgår af cirkulærets § 6, stk. 1, nr. 1, at der for hver patient oprettes en journal, der indeholder oplysninger om patientens navn, alder (cpr.nr.) og bopæl.
På den baggrund er det Datatilsynets vurdering, at L’s behandling af oplysning om Deres personnummer ikke er i strid med persondataloven, jf. lovens § 11, stk. 2, nr. 1.
De har imidlertid klaget over, at L har overladt Deres personnummer til D.
Det følger af persondatalovens § 3, nr. 5, at en databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert organ, der behandler oplysninger på den dataansvarliges vegne. En databehandler kan på vegne af den dataansvarlige behandle samme personoplysninger, som den dataansvarlige, når det alene sker efter instruktion fra den dataansvarlige og oplysningerne ikke behandles til egne selvstændige formål.
Datatilsynet finder, at der foreligger en situation, hvor D må betragtes som databehandler for L. Datatilsynet har herved lagt vægt på, at D er leverandør af det elektroniske journalsystem, og at virksomhedens funktion er at vedligeholde og opdatere dette system.
Idet L i medfør af persondatalovens § 11, stk. 2, nr. 1, kan behandle oplysninger om Deres personnummer, kunne L ligeledes overlade denne oplysning til D i forbindelse med, at virksomheden skulle foretage sletning af Deres elektroniske journal.
Datatilsynet finder således ikke, at L’s overladelse af Deres personnummer til D er i strid med persondatalovens § 11, stk. 2. Datatilsynet har herved tillige lagt vægt på, at det efter det oplyste ikke er muligt at få adgang til en journal i journalsystemet uden anvendelse af vedkommende patients personnummer.
Datatilsynet finder endvidere, at D’s brug af oplysning om Deres personnummer i forbindelse med virksomhedens skriftlige bekræftelse på, at sletning af Deres elektroniske journal har fundet sted, er i overensstemmelse med virksomhedens opgave som databehandler i den pågældende situation.
At sagens parter har tilsendt Datatilsynet kopi af nævnte skriftlige bekræftelse i forbindelse med sagens behandling, finder Datatilsynet ikke stridende mod persondatalovens regler. Datatilsynet har herved lagt vægt på, at tilsynet efter lovens § 62, stk. 1, kan kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser.
Sikkerhed og logfiler
Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
I medfør af persondatalovens § 41, stk. 5, har Justitsministeren fastsat nærmere regler om de i § 41, stk. 3, anførte sikkerhedsforanstaltninger. Sikkerhedsbekendtgørelsen og den tilhørende vejledning gælder imidlertid alene for behandling af personoplysninger, som foretages for den offentlige forvaltning. Datatilsynet anbefaler, at private dataansvarlige så vidt muligt iagttager de i sikkerhedsbekendtgørelsen fastsatte retningslinjer med henblik på at overholde den generelle sikkerhedsbestemmelse i persondatalovens § 41, stk. 3.
Datatilsynet har ved brev af dags dato meddelt L, at Datatilsynet forudsætter, at han i forbindelse med behandling af personoplysninger i sin lægepraksis iagttager persondatalovens § 41, stk. 3, og principperne i sikkerhedsbekendtgørelsen.
I forbindelse med sagen har De anmodet Datatilsynet om en komplet logudskrift over, hvilke personer der har haft adgang til Deres journal.
Datatilsynet kan i den forbindelse oplyse, at tilsynet tidligere har udtalt, at den logfil, der dannes til opfyldelse af sikkerhedsbekendtgørelsens § 19, stk. 1, og som skal slettes efter 6 måneder, falder uden for persondatalovens behandlingsbegreb. Datatilsynet lagde herved vægt på, at der alene er tale om en systemmæssig facilitet. Sådanne logfiler er således efter Datatilsynets opfattelse ikke undergivet indsigtsret i henhold til persondataloven. Datatilsynet kan derfor ikke imødekomme Deres anmodning.
Datatilsynet foretager sig herefter ikke yderligere i sagen, der betragtes som afsluttet.
Afslutningsvis skal Datatilsynet beklage den lange sagsbehandlingstid, der skyldes travlhed i tilsynet.
Kopi af dette brev er dags dato sendt til L til orientering.