Journalnummer: 2005-082-0230
1. Amtsrådsforeningen har ved e-post af 11. og 16. maj 2006 anmodet om Datatilsynets stillingtagen til privatpraktiserende lægers adgang til e-journal.
Forud herfor blev der den 21. april og 8. maj 2006 afholdt møder vedrørende e-journal mellem henholdsvis Amtsrådsforeningen, Sundhed.dk, MedCom, Indenrigs- og Sundhedsministeriet og Datatilsynet. Til brug for møderne havde Amtsrådsforeningen fremsendt notater af henholdsvis den 26. september 2005, 10. november 2005, 1. maj og 3. maj 2006.
Ved brev af 18. maj 2006 til Amtsrådsforeningen oplyste Datatilsynet bl.a., at tilsynet vil afgive en udtalelse i sagen efter forelæggelse for Datarådet.
Ved brev af 24. maj 2006 anmodede Datatilsynet Amtsrådsforeningen om yderligere oplysninger, hvilket Amtsrådsforeningen fremkom med ved e-post af 9. juni 2006.
Ved brev af 23. juni 2006 oplyste Datatilsynet, at Datarådet havde haft en foreløbig drøftelse af sagen, og anmodede Amtsrådsforeningen (herefter Danske Regioner) om supplerende oplysninger i sagen.
Ved e-post af 31. juli 2006 fremkom Danske Regioner med supplerende oplysninger, som på baggrund af Datatilsynets e-post af 15. august 2006 yderligere er blevet uddybet ved e-post af 24. august 2006.
2. Det fremgår herefter af sagen, at Danske Regioner m.fl. har iværksat et projekt – kaldet e-journal – der har til formål at give privatpraktiserende læger adgang til sygehusenes eksisterende elektroniske journaloplysninger via sundhed.dk. Dette skal ske ved, at der etableres adgang til ”udtræk” af patientdata fra de nuværende elektroniske systemer – herunder EPJ (elektroniske patientjournaler) og PAS (patientadministrative systemer). Udtrækkene vil bestå af såvel aktuelle som historiske data for patienter, der har været i behandling på et sygehus. Ifølge det oplyste vil der i et vist omfang indgå data helt tilbage fra starten af 1970’erne.
E-journal supplerer den nuværende elektroniske kommunikation mellem læge og sygehus ved at give hurtigere, flere og mere detaljerede oplysninger vedrørende behandlingen på sygehuset i form af adgang til de registrerede oplysninger i sygehusets systemer. E-journal omfatter beskrivelser af sygdomsforløb (notater/kontinuationsark), laboratoriesvar, sygehusets medicinoplysninger, diagnoser og de operative indgreb. Desuden findes oplysninger om overfølsomhedsreaktioner m.m. (Cave).
Projektet er en videreudvikling af det såkaldte SUP-projekt (Standardiseret Udtræk af Patientdata).
Forskellen på de to projekter (SUP og e-journal) ligger i den tekniske adgang, idet adgangen til e-journal hovedsageligt sker ved hjælp af digital signatur via sundhed.dk, hvorimod SUP alene kan tilgås via sundhedsdatanettet.
Danske Regioner har oplyst, at syv amter – Vejle, Viborg, Århus, Fyns, Nordjyllands, Sønderjyllands og Ribe amter – allerede deltager i SUP-projektet, men at det er hensigten, at e-journal skal udbredes til alle amter.
Det er det enkelte amt, der er dataansvarlig for oplysningerne fra det pågældende amt.
2.1. Formålet med videregivelsen af oplysningerne er ifølge det oplyste at understøtte sammenhængende patientforløb på tværs af behandlere i den primære og sekundære sundhedssektor og dermed sikre optimal kvalitet, service og effektivitet.
Danske Regioner har yderligere oplyst, at de sundhedsfaglige bevæggrunde for at give privatpraktiserende læger adgang til e-journal grundlæggende er følgende:
- krav om høj sikkerhed i behandlingen af patienterne – som fordrer at den nødvendige information er til rådighed
- krav til høj kvalitet i behandlingen – hvorfor adgang til relevant information er en forudsætning for at kunne yde den højeste kvalitet
- krav til planlægning og fornuftig ressourceudnyttelse – således at der eksempelvis ikke spildes unødvendig tid og ressourcer på gentagen prøvetagning m.v.
- krav fra patienterne om god information hos den praktiserende læge om den gennemførte behandling på sygehuset.
Det er endvidere oplyst, at i forbindelse med de ændrede strukturer i sundhedsvæsenet som følge af regionsdannelsen vil patienterne i fremtiden i højere grad end i dag skulle serviceres af klinikere, som er mere geografisk spredte og ikke kun placeret i én organisatorisk enhed.
Desuden er det oplyst, at behovet for bedre koordinering af patientforløb og overblik er stadigt voksende som følge af, at der udlægges flere og flere opfølgningsopgaver til almen praksis, og fordi patienter udskrives tidligere i forbindelse med nedskæring af sengeantal. Overleveringssituationer er et af sundhedsvæsenets svageste led, idet koordination og overblik ofte må ske på baggrund af for sparsomme informationer. Yderligere findes et særligt behov for adgang til e-journal, når den praktiserende læge konsulteres af patienter under egen læges fravær i forbindelse med ferier, kurser og akutte situationer uden for normal træffetid.
2.2. Kun privatpraktiserende læger får i første omgang adgang til e-journal, og selve adgangen forudsætter, at patienten har givet sit samtykke til den pågældende læge.
Adgangen gives til alle privatpraktiserende læger med et gyldigt medarbejdercertifikat og en autorisation som praktiserende læge.
Adgangen sker ved anvendelse af digital signatur og ved indtastning af patientens personnummer. E-journal følger den eksisterende log-løsning for digital signatur på sundhed.dk, således at der samles detaljerede oplysninger om, hvem der har set oplysninger i e-journalen, og hvornår søgningen har fundet sted. Der foretages logning af hvert enkelt skærmbillede, og den registrerede vil selv få adgang til disse log-oplysninger (dog ikke den mere detaljerede log om, hvilke specifikke oplysninger i e-journal lægen har set på).
I e-journal er det ligeledes muligt at delegere adgangsretten til oplysninger til lægens medhjælpere. I disse tilfælde er det af loggen på sundhed.dk muligt at se, hvilken medhjælper der er blevet tildelt adgangsretten fra hvilken læge, og hvornår medhjælperen har set oplysningerne i e-journalen.
Der er ved opslag reelt adgang til alle oplysninger i e-journal, og på det første skærmbillede ser man en oversigt over de sygehusforløb, som patienten har haft, herunder om der har været tale om somatisk eller psykiatrisk behandling. De mere detaljerede oplysninger ligger imidlertid i flere lag, således at lægen m.v. kan nøjes med at klikke ind på det forløb, der er relevant i forhold til den aktuelle behandlingssituation, og oplysningerne i hvert enkelt lag logges separat. Lægen m.v. skal efterfølgende kunne dokumentere, at han har haft et relevant behov for at se de pågældende oplysninger. Lægen m.v. skal endvidere specifikt anmode om patientens samtykke til de forskellige lag. Lægen m.v. skal dog alene krydse af i samtykkefeltet én gang.
På Datatilsynets forespørgsel om, hvorvidt det er muligt at foretage en yderligere lagdeling af oplysningerne i e-journal, har Danske Regioner bl.a. oplyst, at de eksisterende oversigtsbilleder er udviklet i tæt samarbejde med de kliniske brugere med henblik på at understøtte deres umiddelbare behov i forbindelse med anvendelse af e-journal. Det nuværende oversigtsbillede vil som udgangspunkt kunne omprogrammeres, men det vil nødvendiggøre en grundlæggende ændring af selve e-journal kompleksets dataopbygning, ligesom løsningen efterfølgende vil skulle underkastes kliniske brugertest.
Der vil ikke være adgang for privatpraktiserende læger m.v. til at lægge oplysninger ind i e-journal. Læger mv. kan endvidere ikke importere oplysningerne til eget journalsystem.
2.3. Om adgangsbegrænsende foranstaltninger har Danske Regioner bl.a. oplyst, at lægen ved e-journalens ibrugtagning ved samtlige opslag vil skulle svare bekræftende på, at han/hun accepterer § 6 i lov om patienters retsstilling, inden han/hun får adgang til patientens oplysninger. Lægen skal således tilkendegive, at han/hun har patientens informerede samtykke til at se oplysningerne, eller at der er klinisk grund til at se oplysningerne uden samtykke. Samtykket omfatter en præcisering over for patienten om, at samtykket omfatter oplysninger om samtlige nuværende og tidligere behandlinger. Derudover skal lægen acceptere, at hans/hendes indhentning af oplysninger skal være relevant i forhold til behandling af patienten, at lægen har tavshedspligt, samt at uberettiget indhentning, videregivelse eller udnyttelse af oplysninger er strafbart. Lægen gøres samtidig opmærksom på, at der foretages logning på alle opslag, således at disse kan gøres til genstand for nærmere analyse og auditering.
Ifølge Danske Regioner er det ikke på nuværende tidspunkt teknisk muligt at lave en ”fysisk” spærring af adgangen til oplysningerne, således at kun den læge, der (aktuelt) har patienten i behandling, kan få adgang til oplysningerne. Det vil sige, at udgangspunktet for systemet er, at alle landets ca. 3.500 læger (og deres medhjælpere) skal kunne få adgang til oplysninger om alle landets borgere, hvis de kender vedkommendes personnummer.
Danske Regioner har imidlertid oplyst, at det er muligt at supplere adgangsdifferentieringen med en ”adgangsbegrænsende foranstaltning” for de praktiserende læger baseret på Sygesikringens yderregister, hvorefter lægerne som udgangspunkt alene vil få adgang til de patienter, der er tilknyttet den pågældendes praksis. Sundhed.dk vil således for hver praksislæges opslag skulle foretage en validering af opslaget i yderregisteret, det vil sige, at der laves en kontrol af, om patienten er tilmeldt den givne læge.
Løsningen indebærer, at der både registreres og adviseres om ”adkomst” status: 1: patienten tilmeldt praksis, 2: advarsel om, at patienten ikke tilhører den pågældende praksis, og dermed ikke kan tilgås, medmindre situationen betragtes som akut og dermed berettiger til et ekstraordinært akut opslag.
Yderregisteret indeholder imidlertid alene oplysninger om gruppe 1 sikrede borgere, og løsningen tager således ikke højde for situationer, hvor borgeren ikke er gruppe 1 sikret. Endvidere tager en sådan løsning ikke højde for de tilfælde, hvor borgeren kontakter lægevagten, eller når den faste praktiserende er fraværende grundet sygdom, ferie, kursus osv.
Danske Regioner har oplyst, at der efter organisationens opfattelse ikke bør ske en fysisk begrænsning til ”egne” patienter.
”Yderregisterløsningen” vil derfor efter Danske Regioners opfattelse skulle suppleres med en mulighed for ”akut ekstraordinære opslag”, hvorefter der etableres nogle særlige – ekstra – advarsler, når en læge vil søge på en patient, der ikke er tilknyttet lægens yderregisternummer. Danske Regioner har skønnet, at sådanne opslag vil udgøre omkring en fjerdedel af samtlige opslag.
Datatilsynet har forstået det således, at ”yderregisterløsningen” i praksis vil indebære, at alle læger teknisk får mulighed for at se oplysninger om alle borgere.
Datatilsynet har endvidere forstået det således, at ”yderregisterløsningen” vil indebære, at alle opslag vedrørende gruppe 2 sikrede og opslag, der foretages ved besøg hos lægevagten, vil blive betragtet som ”akut ekstraordinære opslag”.
De adgangsbegrænsende foranstaltninger baseret på yderregisteret vil tidligst kunne være etableret ultimo 2006.
2.4. For så vidt angår kontrolforanstaltninger, har Danske Regioner bl.a. oplyst, at de kontrolforanstaltninger, som vil blive anvendt i forbindelse med ibrugtagningen af e-journal, er i overensstemmelse med de kontrolforanstaltninger, der er truffet i forbindelse med driften af Vejle, Århus og Sønderjyllands Amters eksisterende SUP-projekt. Disse består af fremsendelse af månedlige opgørelser til de deltagende amters administratorer over alle sygehus- og sundhed.dk-brugere. Opgørelserne viser antal foretagne logins, antal afgivne samtykker på specifikke personnumre samt antal skift fra egen amtsserver til anden amtsserver. Amterne gennemgår disse lister, og listerne holdes op mod hinanden for at se, om der sker en udvikling i adfærd for således at vurdere, om der har været unormal adfærd.
Ved iværksættelse af e-journal vil amterne blive anbefalet at gennemføre audits på 1 % af alle opslag, herunder akutopslag. Uretmæssig adgang rapporteres til videre opfølgning i amtet. Overvågningen vil efter det oplyste indtil ultimo 2006 ske manuelt.
Det er yderligere oplyst, at patienten har indsigt i loggen1 og dermed kan se, hvem der har set oplysningerne i e-journalen, og hvornår søgningen har fundet sted.
Danske Regioner har oplyst, at det vil være muligt på sigt at etablere en løsning med yderligere kontrolforanstaltninger f.eks. i form af en meddelelse tilborgere, hvis der er blevet foretaget et akutopslag i dennes oplysninger i ejournal. Løsningen forudsætter dog, at borgeren i forvejen har registreret sin e-mailadresse på sundhed.dk, hvilket kun ca. 100.000 har pr. 1. juni 2006 på landsplan.
Det er endelig oplyst, at e-journal alene er et midlertidigt projekt, indtil den såkaldte G-EPJ (Grundstruktur for EPJ) kommer i bred anvendelse på sygehusene.
2.5. Vedrørende hjemmel til videregivelse/indhentning af oplysningerne i ejournal har Danske Regioner oplyst, at videregivelsen er omfattet af reglerne om videregivelse af helbredsoplysninger mv. i lov om patienters retsstilling.
Danske Regioner har i den forbindelse oplyst, at Danske Regioner løbende er i dialog med Indenrigs- og Sundhedsministeriet omkring e-journalen i relation til lov om patienters retstilling. Denne dialog har ikke givet anledning til at tro, at e-journalen er i strid med gældende lovgivning, om end der fortsat udestår en formel tilbagemelding herom fra Indenrigs- og Sundhedsministeriet.
Datatilsynet skal – efter at sagen har været behandlet på et møde i Datarådet – udtale følgende:
3. Hjemmel til videregivelse
Datatilsynet er enig med Danske Regioner i, at sundhedspersoners videregivelse af fortrolige oplysninger om patienter skal vurderes efter reglerne i lov om patienters retsstilling og ikke efter behandlingsreglerne i persondatalovens §§ 6-8, jf. persondatalovens § 2, stk. 1.
Det bemærkes i den forbindelse, at persondatalovens øvrige regler, herunder grundbetingelserne i lovens § 5, finder anvendelse.
Ud fra de foreliggende oplysninger forekommer det efter Datatilsynets opfattelse tvivlsomt, om den videregivelse af oplysninger, der vil ske i e-journal, i alle tilfælde ligger inden for de rammer for videregivelse af helbredsoplysninger m.v., som lov om patienters retsstilling opstiller.
Datatilsynet henviser i den forbindelse til indenrigs- og sundhedsministerens besvarelse af 28. juni 2006 af spørgsmål nr. 244, stillet til ministeren den 31. januar 2006 af Folketingets Sundhedsudvalg, som bl.a. indeholder en redegørelse for reglerne i patientretsstillingslovens § 24.
Efter Datatilsynets opfattelse er det af afgørende betydning, at der ikke kan rejses tvivl om lovgrundlaget, når der påtænkes etableret et system, der er så omfattende som e-journal, og som indebærer behandling, herunder videregivelse, af følsomme oplysninger om størstedelen af befolkningen. Datatilsynet må derfor forudsætte, at e-journal projektet ikke iværksættes, før hjemmelsspørgsmålet er endeligt afklaret.
4. Privatpraktiserende lægers adgang til e-journal
Indledningsvis bemærkes, at Datatilsynet er enig med Danske Regioner i, at selve formålet med e-journal, herunder den udvidede og forenklede adgang til patientdata for de relevante privatpraktiserende læger, i sig selv er sagligt og anerkendelsesværdigt. At en høj behandlingskvalitet forudsætter et sammenhængende patientforløb, hvor den nødvendige information mellem de involverede parter er til rådighed, forekommer ganske oplagt.
E-journal-projektet, som det foreligger beskrevet, indebærer imidlertid, at der autoriseres en meget stor personkreds til den samlede mængde oplysninger i e-journal. Et meget stort antal personer gives således teknisk adgang til at se store mængder af følsomme oplysninger om (stort set) alle landets borgere, selv om der for mange af de autoriserede brugeres vedkommende kun er en hypotetisk mulighed for, at de vil få brug for oplysningerne.
Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. I sin hidtidige praksis vedrørende digital forvaltning har Datatilsynet anset det for et centralt element, at der alene gives adgang til de oplysninger, som den pågældende (myndigheds-)person har brug for i forbindelse med sin opgaveløsning.
Danske Regioner har oplyst, at det ikke på nuværende tidspunkt er teknisk muligt at lave sådanne tekniske adgangsbegrænsninger til oplysningerne i ejournal. Danske Regioner har i stedet henvist til den skitserede ”yderregistermodel”, hvorefter lægerne som udgangspunkt alene vil få adgang til de patienter, der er tilknyttet den pågældendes praksis.
Da der imidlertid er en række situationer, herunder i forbindelse med lægers ferier, kursusvirksomhed m.v., hvor en patient har behov for at konsultere en anden læge end den læge, hvis ydernummer den pågældende er tilknyttet, har Danske Regioner gjort gældende, at der ikke bør ske en fysisk begrænsning af adgangen til oplysninger til kun at angå oplysninger om ”egne” patienter. Danske Regioner har endvidere henvist til, at denne opfattelse tillige er gjort gældende af formanden for Dansk selskab for almen medicin.
Danske Regioner har derfor anført, at ”yderregisterløsningen” vil skulle suppleres med en mulighed for ”akut ekstraordinære opslag”, hvorefter der etableres nogle særlige – ekstra – advarsler, når det er nødvendigt for en læge at søge oplysninger om en patient, der ikke er tilknyttet lægens yderregisternummer.
Ud fra en samlet vurdering finder Datatilsynet, at de privatpraktiserende lægers adgang til e-journal efter omstændighederne kan anses for at være inden for rammerne af persondataloven, såfremt adgangen til e-journal sker ved etablering af ”yderregisterløsningen med mulighed for akut ekstraordinære opslag” og med følgende kontrolforanstaltninger:
- Fremsendelse af månedlige opgørelser til de deltagende amters administratorer over alle sygehus- og sundhed.dk-brugere, der viser antal foretagne logins, antal afgivne samtykker på specifikke personnumre samt antal skift fra egen amtsserver til anden amtsserver. Amterne gennemgår disse lister, og listerne holdes op mod hinanden for at se, om der sker en udvikling i adfærd for at vurdere, om der har været såkaldt unormal adfærd. (Dette er ifølge Danske Regioner i overensstemmelse med de kontrolforanstaltninger, der er truffet i forbindelse med driften af Vejle, Århus og Sønderjyllands amters eksisterende SUP-projekt).
- Borgerne skal – ud over den af Danske Regioner skitserede adgang til indsigt i loggen vedrørende egne oplysninger – orienteres pr. sikker e-post eller brev, når en læge i e-journal har gjort sig bekendt med oplysninger om en person, der ikke er tilknyttet lægens ydernummer.
Der kan i den forbindelse eventuelt etableres en ordning, hvorefter en borger over for den dataansvarlige kan frabede sig at modtage en sådan underretning.
- Som minimum gennemføres kontrol af 1 % af alle ”normale” opslag, det vil sige de privatpraktiserende lægers opslag i oplysninger om patienter tilhørende lægens yderregisternummer, og kontrol af 10 % af alle ”akut ekstraordinære opslag”.
Kontrollen af de ”akut ekstraordinære opslag ” kan eventuelt lempes, hvis den skærpede kontrol efter en periode ikke har afdækket tilfælde, hvor betingelserne for at indhente oplysninger i e-journal ikke har været opfyldt.
Datatilsynet har herved navnlig lagt vægt på, at e-journal er et midlertidigt system, der alene skal anvendes, indtil den såkaldte G-EPJ kommer i bred anvendelse på sygehusene.
Tilsynet har endvidere lagt vægt på, at det ifølge det oplyste ikke på nuværende tidspunkt er teknisk muligt at lave en systemteknisk adgangsbegrænsning af adgangen til oplysningerne i e-journal.
Datatilsynet skal samtidig understrege, at en optimeret sikkerhedsmæssig løsning efter tilsynets opfattelse indebærer, at e-journal teknisk indrettes således, at en praktiserende læge alene har adgang til – dvs. teknisk mulighed for at se – de nødvendige oplysninger om en patient, der aktuelt er i behandling hos lægen. Det kunne eksempelvis overvejes, om patienten kunne være i besiddelse af et kort, som skal aflæses, før lægen får adgang til oplysningerne.
Datatilsynet henstiller derfor, at e-journal bliver teknisk opgraderet, hvis det bliver systemteknisk muligt at spærre for adgangen til oplysningerne på en måde, så det kun er den læge, der aktuelt har en patient i behandling, som har adgang til oplysninger om den pågældende patient.
Som nævnt er det endvidere indgået som en forudsætning for tilsynet, at ejournal på sigt afløses af et landsdækkende elektronisk patientjournalprojekt, hvor det vil være muligt at tænke systemtekniske adgangsbegrænsende foranstaltninger ind i IT-løsningen.
5. For god ordens skyld bemærkes, at amternes deltagelse i e-journal forudsætter forudgående anmeldelse til samt forudgående udtalelse fra Datatilsynet i overensstemmelse med persondatalovens §§ 43 og 45, stk. 1.
6. Som oplyst i Datatilsynets brev af 18. maj 2006 til Amtsrådsforeningen, der er fremsendt til orientering til Sønderjyllands Amt, Århus Amt og Vejle Amt, vil Datatilsynet på baggrund af de nye oplysninger om adgangen til SUP/ejournal genoptage behandlingen af de pågældende amters anmeldelser af SUP.
7. Kopi af dette brev vil blive sendt til orientering til Sønderjyllands Amt, Århus Amt, Vejle Amt, Fyns Amt, Viborg Amt og Indenrigs- og Sundhedsministeriet.
Datatilsynet påtænker endvidere at offentliggøre brevet på tilsynets hjemmeside.