Journalnummer: 2011-082-0234
1.
National Sundheds-it (NSI) og Danske Regioner rettede i 2011 henvendelse til Datatilsynet vedrørende it-sikkerhedsmæssige forhold i relation til Sundhedsjournalen og det Nationale Patient Indeks (NPI), som er under udvikling.
NSI og Danske Regioner har i notat af 24. februar 2012 beskrevet de sikkerhedsmæssige aspekter i Sundhedsjournal- og NPI-projekterne og bedt om Datatilsynets stillingtagen til disse.
NSI/Danske Regioner har i e-mails af 22., 24., 28. og 29. februar 2012 besvaret en række konkrete spørgsmål fra Datatilsynet om projekterne.
Datatilsynets konklusioner - som foreligger efter behandling i Datarådet - sammenfattes nedenfor under pkt. 2.
Pkt. 3 indeholder en sagsfremstilling baseret på NSI's/Danske Regioners notat og svar på Datatilsynets opfølgende spørgsmål. Datatilsynets konklusioner med hensyn til Sundhedsjournalen og NPI er baseret på denne sagsfremstilling. Pkt. 4 indeholder en kortfattet beskrivelse af retsgrundlaget for behandlingen af og adgangen til oplysninger i Sundhedsjournalen og NPI.
2. Sammenfatning af Datatilsynets konklusioner
Datatilsynet er indstillet på at acceptere den foreliggende sikkerhedsmæssige løsning under følgende forudsætninger:
2.1. Grundlæggende forudsætninger
- Det er afgørende, at der ikke kan rejses tvivl om hjemmelsgrundlaget for de mange forskellige sundhedsaktørers indhentning og videregivelse af følsomme oplysninger om størstedelen af befolkningen, som vil indgå i Sundhedsjournalen og NPI. De ansvarlige for projektet må således sikre sig, at det fornødne hjemmelsgrundlag er til stede, evt. ved at NSI/Danske Regioner har fået Ministeriet for Sundhed og Forebyggelses bekræftelse heraf, inden Sundhedsjournal-projektet iværksættes.
- Det er endvidere afgørende, at der sker en afklaring af, hvem der er dataansvarlig for de enkelte behandlinger af personoplysninger, herunder for opbevaring, indhentning og videregivelse af personoplysninger. Det er de enkelte dataansvarlige, der har ansvaret for, at de persondataretlige regler - herunder sikkerhedskravene - overholdes, jf. persondatalovens § 3, nr. 4.
2.2. Offentlige hospitalers og institutioners adgang
Datatilsynet forudsætter:
- at adgangen til Sundhedsjournalen/NPI kun kan ske via det lokale fagsystem,
- at adgangen kun kan ske på en patient, der er oprettet i det lokale fagsystem (EPJ/PAS), og på hvem der aktuelt er slået op,
- at den tekniske mulighed for at få adgang til oplysninger i Sundhedsjournalen er knyttet til og afhænger af brugerens autorisation i det lokale fagsystem,
- at det beror på en konkret behovsvurdering, hvem der autoriseres til Sundhedsjournalen, og at de, der er autoriseret til de lokale fagsystemer, ikke nødvendigvis også får adgang til Sundhedsjournalen,
- at der i overensstemmelse med det oplyste gives mulighed for, at borgere via sundhed.dk kan se, hvem (på institutions/afdelingsniveau) der har foretaget opslag på oplysninger om dem i Sundhedsjournalen/NPI,
- at der indtil videre gennemføres stikprøvekontrol/audits på minimum 1 % af samtlige opslag i Sundhedsjournalen,
- at der som oplyst i sagen senest ved udgangen af 2013 vil være implementeret NemID til medarbejdere, og
- at der implementeres behandlingsrelationsservice så hurtigt som muligt. Dvs. kontrol - eller sandsynliggørelse - af en behandlingsrelation, og at der arbejdes mod så vidt muligt en forudgående kontrol/sandsynliggørelse af behandlerrelation, jf. nedenfor under pkt. 2.4. Hvis ikke en behandlingsrelation kan kontrolleres/sandsynliggøres, skal der følges op på opslaget over for den pågældende sundhedsfaglige bruger.
2.3. Praktiserende lægers og speciallægers adgang
Datatilsynet forudsætter:
- at adgangen til Sundhedsjournalen/NPI kun kan ske via det lokale fagsystem,
- at adgangen kun kan ske på en patient, der er oprettet i det lokale fagsystem, og på hvem der aktuelt er slået op,
- at den tekniske mulighed for at få adgang til oplysninger i Sundhedsjournalen er knyttet til og afhænger af brugerens autorisation i det lokale fagsystem,
- at det beror på en konkret behovsvurdering, hvem der autoriseres til Sundhedsjournalen, og at de, der er autoriseret til de lokale fagsystemer, ikke nødvendigvis også får adgang til Sundhedsjournalen,
- når det for så vidt angår praktiserende læger er nødvendigt at søge oplysninger om en patient, der ikke er tilknyttet lægens yderregisternummer,
- når der for så vidt angår speciallæger ikke er sandsynliggjort en behandlingsrelation via Henvisningshotellet (RefHost),at der inden en brugers opslag i Sundhedsjournalen vises særlige advarsler for den pågældende:
- at der fremsendes månedlige opgørelser til de dataansvarlige over alle brugeres logins/opslag og anden relevant information, der gør det muligt for den dataansvarlige at vurdere, om der foreligger unormal adfærd. De dataansvarlige gennemgår informationen med henblik på at vurdere, om der forekommer unormal adfærd,
- at der i overensstemmelse med det oplyste gives mulighed for, at borgere via sundhed.dk kan se, hvem (på lægepraksisniveau) der har foretaget opslag på oplysninger om dem i Sundhedsjournalen /NPI,
- at borgerne orienteres pr. sikker e-post eller brev, når en praktiserende læge har gjort sig bekendt med oplysninger om en person, der ikke er tilknyttet lægens ydernummer, samt når en speciallæge har gjort sig bekendt med oplysninger om en person, og der ikke er sandsynliggjort en behandlingsrelation via Henvisningshotellet (RefHost),
- at der sker kontrol af minimum 1 % af alle normale opslag i Sundhedsjournalen,
- at der sker kontrol af 10 % af alle opslag, hvor en praktiserende læge har gjort sig bekendt med oplysninger om en person, der ikke er tilknyttet lægens ydernummer, og hvor en speciallæge har gjort sig bekendt med oplysninger om en person, og der ikke er sandsynliggjort en behandlingsrelation via Henvisningshotellet (RefHost), og
- at der implementeres behandlingsrelationsservice så hurtigt som muligt. Dvs. kontrol - eller sandsynliggørelse - af en behandlingsrelation, og at der arbejdes mod så vidt muligt en forudgående kontrol/sandsynliggørelse af behandlerrelation, jf. nedenfor under pkt. 2.4. Hvis ikke en behandlingsrelation kan kontrolleres/sandsynliggøres, skal der følges op på opslaget over for den pågældende sundhedsfaglige bruger.
Datatilsynet vil - når NSI/Danske Regioner er nået videre med Sundhedsjournal-projektet, herunder behandlingsrelationsservicen - være indstillet på at overveje, om der fortsat skal være krav om at foretage stikprøvekontrol og om orientering til borgeren.
2.4. Generelle forudsætninger
- Som Datatilsynet tidligere har tilkendegivet i forskellige sammenhænge, indebærer en optimeret sikkerhedsmæssig løsning efter tilsynets opfattelse, at Sundhedsjournalen teknisk indrettes således, at en sundhedsfaglig bruger alene har adgang til - dvs. teknisk mulighed for at se - de nødvendige oplysninger om en patient, der aktuelt er i behandling hos den sundhedsfaglige. Tilsynet har i den forbindelse peget på muligheden for, at patienten kunne være i besiddelse af et kort, som skal aflæses, før den sundhedsfaglige person får adgang til oplysningerne. Datatilsynet henstiller derfor, at der - eksempelvis i forbindelse med behandlingsrelationsservicen - søges udviklet effektive systemtekniske foranstaltninger, således at kun relevante sundhedsfaglige personer har den tekniske adgang til oplysninger om den pågældende patient.
Datatilsynet kan i den forbindelse henvise til Den Europæiske Menneskerettighedsdomstols afgørelse af 24. juni 2008 vedrørende en krænkelse af menneskerettighedskonventionens artikel 8 om privatlivets fred1. Domstolen har i denne afgørelse fastslået, at det, at lovgivningen gav klager mulighed for at søge erstatning for uberettiget adgang, ikke var nok til at beskytte hendes privatliv. Det, der var nødvendigt, var praktisk og effektiv beskyttelse mod muligheden for uberettiget adgang.
Datatilsynet forudsætter desuden generelt:
- at der gives information til de dataansvarlige (modtagere af oplysningerne) om, hvem der må autoriseres til Sundhedsjournalen, herunder at dette beror på en konkret behovsvurdering, og at de, der er autoriseret til de lokale fagsystemer, ikke nødvendigvis også skal have adgang til Sundhedsjournalen,
- at de enkelte dataansvarlige for videregivelserne - regionerne, lægerne, Sundhedsstyrelsen m.fl. - foretager kontrol med, at der ikke gives adgang til personer, som ikke bør autoriseres hertil,
- at offentligheden informeres generelt om Sundhedsjournalen, herunder om borgernes mulighed for indsigt i loggen og for at få spærret sundhedspersoners adgang til oplysninger i Sundhedsjournalen,
- at såvel anden lovgivning - herunder sundhedsloven - som de persondataretlige regler - herunder sikkerhedsreglerne i sikkerhedsbekendtgørelsen og den tilhørende vejledning - overholdes i forbindelse med Sundhedsjournalen/NPI, herunder
- at de dataansvarlige er opmærksomme på de grundlæggende principper for behandling af personoplysninger i persondatalovens § 5 om bl.a. saglighed, proportionalitet og god datakvalitet,
- at borgerne ved eventuel udbygning (udvidelse) af indholdet i Sundhedsjournalen/NPI selv får adgang til oplysningerne, og
- at der gives klar information til borgerne om, hvem der kan rettes henvendelse til ved eksempelvis spærring af adgang, berigtigelse af data mv.
Datatilsynets skal desuden særligt fremhæve, at der skal ske
- fastsættelse af uddybende sikkerhedsbestemmelser om overholdelse af sikkerhedsbekendtgørelsens krav, og
- tilsyn med overholdelse af sikkerhedsforanstaltningerne, jf. ovenfor under pkt. 2.1.
Det skal i den forbindelse understreges, at det er de enkelte dataansvarliges ansvar - dvs. de dataansvarlige for de enkelte registre/systemer - at der sker den fornødne overholdelse af de persondataretlige sikkerhedskrav om f.eks. logning, autorisation og kontrol. Denne opgave vil kunne overlades til en databehandler, f.eks. sundhed.dk, men det vil i sidste ende være den enkelte dataansvarliges ansvar efter persondatalovens regler.
2.5. Orientering af Datatilsynet mv.
Datatilsynet skal anmode om at blive orienteret om, hvem der i praksis vil stå for implementeringen af de forskellige sikkerhedsforanstaltninger, herunder udsendelse af breve og stikprøvekontrol.
De involverede dataansvarlige må i øvrigt overveje, om der skal foretages anmeldelse/ændres i eksisterende anmeldelser til Datatilsynet i overensstemmelse med persondatalovens afsnit V.
3. Sagsfremstilling
3.1. Formål og beskrivelse af Sundhedsjournalen og NPI
Det er oplyst, at Sundhedsjournalen og NPI skal understøtte, at patientdata kan deles effektivt på tværs af systemer og organisatoriske skel. Formålet er at give sundhedspersoner adgang til de væsentligste patientdata (journalnotater, medicin, laboratoriesvar, billeddiagnostik og cave), uanset hvor en patient tidligere har været behandlet. Dette vil være til gavn for både behandlingskvaliteten og effektiviteten i sundhedsvæsnet.
Sundhedsjournalen er ifølge det oplyste den brugergrænseflade, hvori data om patienten præsenteres. Det er tanken, at sundhedspersoner skal kunne bruge Sundhedsjournalen som et vigtigt element i beslutningerne vedrørende visitering, udredning og videre behandling af patienter. Sundhedsjournalen skal kunne vise data, men det vil ikke være muligt at skrive i den. Dette skal fortsat gøres i den lokale patientjournal, der anvendes på det enkelte sygehus eller i den pågældende lægepraksis/speciallægepraksis.
Det nationale patientindeks (NPI) er ifølge det oplyste et indeks over de data, som forefindes om patienten. NPI rummer derudover elektroniske pegepinde, som giver brugerne en nem og hurtig adgang til at få præsenteret konkrete og udvalgte data direkte fra kilden. Sundhedsjournalen planlægger at benytte NPI-funktionalitet til at give sundhedspersoner en hurtig og effektiv adgang til et klinisk overblik over aktuelle data, herunder nem adgang til mere detaljeret information om udvalgte data. I NPI er der tale om metadata.
Sundhedsjournalen og NPI skal ifølge det oplyste ikke være sundhedspersoners primære arbejdsværktøj. De er et supplement i de situationer, hvor de data, som findes lokalt, ikke giver de fornødne kliniske informationer. Det vil typisk være i situationer, hvor sundhedspersoner står over for en patient, som ikke i forvejen er registreret i den lokale elektroniske patientjournal, eller en patient, som siden sidste kontakt har modtaget behandling hos andre sundhedsaktører (f.eks. anden region eller anden sektor).
I de situationer vil det give stor værdi, hvis personalet via Sundhedsjournalen kan få et overordnet overblik over den pågældende patients aktuelle status - frem for at disse oplysninger enten skal rekvireres ved at udspørge patienten selv, via telefon/fax eller ved at slå op i flere forskellige separate datakilder.
Sundhedsjournalen og NPI skal ifølge det oplyste imødekomme et politisk højt prioriteret behov for, at sundhedspersoner hurtigt og effektivt skal kunne indhente relevante patientoplysninger på tværs af organisatoriske skel. Gevinsten er bl.a., at patientsikkerheden øges, og utilsigtede hændelser pga. kommunikationsproblemer og manglende viden om patienten nedbringes. Sundhedspersoner får med Sundhedsjournalen og NPI et redskab, der bl.a. kan anvendes i tidskritiske situationer, hvor kendskab til patientens tidligere behandling i andet regi er vigtigt.
3.2. To versioner af Sundhedsjournalen
I version 1.0 hentes data til brug for dannelse af patientoverblikket direkte i de enkelte kilder.
I version 1.1 henter Sundhedsjournalen metadata til dannelse af patientoverblikket i NPI.
Formålet med Sundhedsjournalen version 1.0 er ifølge det oplyste at etablere en national sundhedsjournal, der kan præsentere de nyeste, relevante data fra forskellige kilder, således at sundhedspersoner i regionerne samt praksis- og speciallæger får et overblik over de væsentligste data vedrørende igangværende og tidligere behandling af en konkret patient - uanset hvor i landet og i hvilken sektor patienten har været behandlet i/er i behandling. Dette gøres ved at gøre det overblik, der allerede findes på sundhed.dk - "Mit sundhedsoverblik" - tilgængeligt for sundhedsfaglige brugere og målrette brugergrænsefladen til sundhedspersoners behov.
Version 1.0 forventes at kunne lanceres i maj 2012.
Formålet med Sundhedsjournalen version 1.1 med NPI er ifølge det oplyste at opgradere den i version 1.0 etablerede nationale sundhedsjournal, således at overblik over data baserer sig på data hentet fra NPI. Den nationale sundhedsjounal vil fortsat præsentere data fra forskellige relevante kilder, således at sundhedspersoner får et overblik over de væsentligste data vedrørende igangværende og tidligere behandling af en konkret patient - uanset hvor i landet/hvilken sektor patienten har været behandlet i/er i behandling.
Opgraderingen til version 1.1 vil i udgangspunktet vise de samme data som i Sundhedsjournalen version 1.0. Version 1.1 vil fortrinsvis bidrage med forbedrede svartider og forbedrede søgemuligheder. Men der kan ifølge det oplyste evt. vises yderligere relevante data og/eller data fra yderligere datakilder, såfremt NPI har adgang til disse.
Dataoverblik i version 1.1 skabes på baggrund af metadata, der hentes i NPI på det tidspunkt, brugeren tilgår den konkrete patients Sundhedsjournal.
Version 1.1 forventes at kunne lanceres i august 2012.
3.3. Hvilke oplysninger vil der blive givet adgang til?
Sundhedsjournalprojektet er ved at afdække brugernes kliniske behov for oplysninger i oversigtsbilledet. Ved fastlæggelsen af overbliksbilledets indhold vil der ifølge det oplyste blive taget udgangspunkt i, hvilke data der er nødvendige og relevante i behandlingssituationen.
Det er oplyst, at overblikket over oplysninger konkret vil indeholde:
- Tidslinje med visuelt overblik over kontakter
- Caveoplysninger (under forudsætning af endelig fællesregional beslutning vedrørende kilde til cave)
- Seneste sygehuskontakter i e-journal2
- Seneste praksiskontakter i P-journal3 (under forudsætning af at denne er klar, inden Sundhedsjournalen færdiggøres)
- Laboratoriesvar i Laboratoriesvarportalen eller Laboratoriesvarløsningen på sundhed.dk
- Medicinoplysninger i Det Fælles Medicinkort (FMK)
- Donorregister-oplysninger
- Livstestamenteregister-oplysninger
Den sundhedsfaglige bruger vil på dette grundlag kunne vurdere, om det for behandlingen af den konkrete patient vil være relevant at søge information i de bagvedliggende kilder. Dette kan enten gøres via direkte links fra overblikket for at få detaljerede informationer om en relevant information - eller via faneblade med de kilder, der indgår i overblikket.
Den sundhedsfaglige bruger får i Sundhedsjournalen ikke fuld adgang til at se alle patientens data på én gang. Sundhedsjournalens oversigtsbillede (det først viste skærmbillede) indrettes ifølge det oplyste på en sådan måde, at brugerne kun kan se aktuelle og udvalgte oplysninger. Fra oversigtsbilledet kan sundhedspersonen klikke sig videre efter de informationer, som er relevante i den pågældende behandlingssituation.
De kilder, der påtænkes anvendt i begge versioner af Sundhedsjournalen er:
- E-journal (inkl. p-journal hvis klar)
- Labportal og/eller laboratoriesvarløsning
- Det Fælles Medicinkort (FMK) (inkl. Det Danske Vaccinationsregister DDV hvis klar)
- Donorregistret
- Landspatientregistret
3.4. Dataansvar
NSI/Danske Regioner har anført, at hver region er dataansvarlig for den indhentning og videregivelse af personoplysninger, som sker i forbindelse med Sundhedsjournalen på regionens enkelte sygehuse mv. De myndigheder, hvis medarbejdere foretager opslag i Sundhedsjournalen, er dataansvarlige for den behandling af personoplysninger, som de enkelte opslag udgør.
Det er desuden anført, at den privatpraktiserende læge er dataansvarlig for egne opslag.
Endvidere er det oplyst, at der er en dataansvarlig for hver af kildesystemerne. Der er ingen forskel på, hvem der er dataansvarlig i forhold til, om oplysningerne vises i overblikket eller i fanebladene med kilderne, da det er den dataansvarlige, der via databehandleraftalen med sundhed.dk bestemmer, hvilke data, der må vises, og for hvem.
Vedrørende dataansvar for de enkelte kilder i Sundhedsjournalen er det oplyst, at regionerne er dataansvarlige for e-journal, de enkelte laboratorier for egne laboratoriesvar, (pt.) Lægemiddelstyrelsen4 for Det Fælles Medicinkort, Statens Serum Institut for Det Danske Vaccinationsregister (DDV), Ministeriet for Sundhed og Forebyggelse for Donorregistret og Livstestamenteregistret samt Sundhedsstyrelsen5 for Landspatientregistret.
Det fremgår desuden, at bl.a. sundhed.dk vil være databehandler. Sundhed.dk benytter underleverandører (f.eks. CSC og T26). MedCom er databehandler for så vidt angår transmissionen via Sundhedsdatanettet.
Hvad angår NPI vil der ifølge det oplyste blive etableret én dataansvarlig myndighed. Dette vil ske ved en ændring af sundhedsloven.
3.5. Hvilke persongrupper vil kunne få adgang til oplysninger?
Ifølge det oplyste vil sundhedspersoner omfattet af sundhedslovens § 42 a, herunder sekretærer efter § 42 a, stk. 9, kunne få adgang til oplysninger i Sundhedsjournalen og NPI (ud over borgeren selv). Dette gælder på nuværende tidspunkt sådanne persongrupper på offentlige sygehuse og institutioner, hos praktiserende læger og speciallæger.
Ved "institutioner" skal der ifølge NSI/Danske Regioner forstås de decentrale dele af sygehusvæsnet, f.eks. distriktspsykiatri.
NSI/Danske Regioner har supplerende oplyst, at næsten alle sundhedsprofessionelle i Danmark er potentielle brugere af Sundhedsjournalen og NPI.
NSI/Danske Regioner har oplyst, at alle sundhedspersoner (dvs. alle autoriserede personer og personer, der handler på deres ansvar, jf. sundhedslovens § 6) er underlagt tavshedspligt, jf. sundhedslovens § 40.
3.6. Adgangsbegrænsninger
3.6.1. Offentlige hospitaler og institutioner
3.6.1.1. Autorisation
Ifølge det oplyste autoriseres brugeren i det lokale fagsystem - dvs. tildeles rettigheder - på baggrund af sin identitet og sin rolle (f.eks. læge A af type I på afsnit X). Dette danner grundlag for, om sundhedspersonen har adgang til Sundhedsjournal-knappen i fagsystemet. Dette betyder ikke, at alle medarbejdere, der har adgang til patientdata i fagsystemerne, også har adgang til Sundhedsjournal-knappen.
Som Datatilsynet har forstået det, går "knap-løsningen" i relation til Sundhedsjournalen ud på, at der tilføjes en knap eller tilsvarende i brugergrænsefladen, som muliggør en aktivering af Sundhedsjournalen for den patient, der er aktuel i det lokale system på forespørgselstidspunktet. Hermed menes den patient, for hvilken der aktuelt vises data i det lokale system, eller - hvis data for flere patienter - den patient, for hvilken data aktuelt er i fokus i det lokale system. Knappen gøres inaktiv for sundhedsfaglige grupper, der ikke tilhører en af de faggrupper, der må foretage eksternt opslag af patientdata.
Datatilsynet lægger således til grund, at man kun kan have adgang til oplysninger om en person i Sundhedsjournalen, hvis man også har adgang til oplysninger om vedkommende i det lokale system.
3.6.1.2. Behandlingsrelation
Det er oplyst, at i det lokale fagsystem på et hospital foretages tjek af behandlingsrelationen. Sundhedsjournalen stoler på denne relation. Det betyder, at Sundhedsjournalen baserer sig på, at klinikere med adgang til Sundhedsjour-naldata må se sådanne data på patienter, som de har adgang til i egne systemer.
NSI/Danske Regioner har anført, at dette ikke betyder, at alle medarbejdere, der har adgang til patientdata i fagsystemerne også har adgang til Sundhedsjournaldata. Adgang til Sundhedsjournalen vil basere sig på en konkret behovsvurdering for hver medarbejdergruppe og være begrænset til sundhedspersoner. Den enkelte sundhedsperson har pligt til at kunne redegøre for behandlingsrelationen på forespørgsel.
Desuden er det oplyst, at Sundhedsjournalen beror på, at regionerne sikrer behandlingsrelationen ved oprettelse af patienten i PAS/EPJ samt har etableret procedurer for at imødegå uberettigede adgange.
Lokale sundhedsfaglige systemer i en region eller på et hospital mv. kan kun foretage såkaldte kontekstbaserede opslag i Sundhedsjournalen. Det betyder i praksis, at når en sundhedsperson via sit fagsystem slår én patient op i Sundhedsjournalen, kan vedkommende kun se data på det personnummer, der er åbent i det lokale system. Det vil ikke være muligt herefter at få adgang til en anden eller andre patienter i Sundhedsjournalen, idet opslaget er tænkt som et "tunnelopslag", hvor brugeren kun kan tilgå oplysninger om én patient og kun kan afslutte opslaget ved at lukke browseren til slut. Det vil ikke være muligt at foretage andre opslag, uden at skulle tilgå systemet via det lokale fagsystem igen. Brugeren kan således kun se data på de personnumre, som brugeren har adgang til i det lokale system.
Det er supplerende oplyst, at for NPI (version 1.1) vil adgangen være knyttet til den behandlingsrelationsservice, der er udviklet til den nationale serviceplatform med det formål at kontrollere, om der bagudrettet kan sandsynliggøres en behandlingsrelation mellem den sundhedsprofessionelle og den borger, der er foretaget opslag på. Behandlingsrelationsservicen bygger på, at der enten findes en registrering, der angiver, at en kliniker på det tidspunkt, forespørgslen finder sted, har en aktuel behandlingsrelation til den borger, der forespørges på, eller at det er muligt efterfølgende at finde en registrering, der indikerer, at der var en behandlingsrelation på det tidspunkt, hvor forespørgslen fandt sted.
3.6.1.3. Spærring af adgang ved "negativt samtykke"
Efter sundhedslovens § 42 a, stk. 7, kan patienten frabede sig, at en sundhedsperson indhenter oplysninger efter bestemmelsens stk. 1-4 (om adgangen til at indhente elektroniske helbredsoplysninger mv.).
Sundhedsjournalen udvikles ifølge det oplyste, så den kan understøtte, at patienter kan anmode om at få spærret adgang til data, sådan at disse ikke videregives til sundhedspersonale, som slår op i Sundhedsjournalen.
Hvad angår version 1.1 med NPI vil der ifølge det oplyste på den nationale serviceplatform blive etableret en samtykkeservice, der giver borgeren eller en sundhedsperson på dennes vegne mulighed for at registrere oplysninger om, at man har frabedt sig elektronisk indhentning. NPI vil anvende denne service til at afskærme de oplysninger, patienten ikke ønsker videregivet.
3.6.1.4. Autentificering
Det er oplyst, at den sundhedsfaglige bruger autentificeres i det lokale fagsystem (f.eks. EPJ eller det patientadministrative system PAS). Dette kan f.eks. være ved indtastning af brugernavn og password i fagsystemet. Dog kræves MOCES-certifikatløsning ved adgang til Det Fælles Medicinkort (FMK) og Det Danske Vaccinationsregister (DDV).
Vedrørende version 1.1 med NPI er det supplerende oplyst, at NSI har etableret en såkaldt SOSI-infrastruktur, der etablerer en sikker kommunikation på tværs af sundhedsvæsnets systemer. SOSI-infrastrukturen indeholder i sin nuværende form en Security Token Service (STS), en sikkerhedskomponent, der udsteder sikkerhedsbilletter, der verificerer en given brugers identitet baseret på medarbejderens digitale signatur (MOCES-certifikat). I takt med, at SOSI-sikkerhedsinfrastrukturen (herunder NemID til medarbejdere og digital signatur) bliver udrullet på sygehusene, vil denne sikkerhedsinfrastruktur blive implementeret i Sundhedsjournalen.
SOSI-infrastrukturen forventes ifølge det oplyste implementeret i alle regioner senest ved udgangen af 2013. Dermed øges løsningens tekniske sikkerhedsniveau.
3.6.2. Praktiserende læger og speciallæger
3.6.2.1. Autorisation
Ligesom på de offentlige hospitaler og institutioner danner autorisationen i det lokale fagsystem ifølge det oplyste grundlag for, hvilke patienter den sundhedsfaglige bruger kan se data for.
I det lokale fagsystem autoriseres brugeren - dvs. tildeles rettigheder - på baggrund af sin identitet og sin rolle (f.eks. praksislæge, sygeplejerske, lægesekretær). Dette danner grundlag for, om sundhedspersonen har adgang til Sundhedsjournal-knappen i fagsystemet.
Brugeren logger via OCES-certifikat på sundhed.dk. Brugerens sundhedsfaglige autorisation verificeres af sundhed.dk via et opslag i Sundhedsstyrelsens autorisationsregister6. Brugeren afgiver tro og love erklæring om behandlingsrelation, og for de praktiserende læger verificeres behandlingsrelation via opslag i yderregistret.
3.6.2.2. Behandlingsrelation
I det lokale fagsystem i en lægepraksis foretages ifølge det oplyste tjek af behandlingsrelationen. Sundhedsjournalen stoler på denne relation. Det betyder, at Sundhedsjournalen baserer sig på, at klinikere med adgang til Sundhedsjournaldata må se sådanne data på patienter, som de har adgang til i egne systemer.
NSI/Danske Regioner har anført, at dette ikke betyder, at alle medarbejdere, der har adgang til patientdata i fagsystemerne også har adgang til Sundhedsjournaldata. Adgang til Sundhedsjournalen vil basere sig på en konkret behovsvurdering for hver medarbejdergruppe og være begrænset til sundhedspersoner. Den enkelte sundhedsperson har pligt til at kunne redegøre for behandlingsrelationen på forespørgsel.
Det er oplyst til sagen, at for praktiserende læger og speciallæger kan behandlingsrelationen til tider være vanskelig at fastslå, når opslaget sker. Der er ofte en legitim behandlingsrelation, uden at den kan fastslås, når opslaget sker, f.eks. hvis patientens egen læge holder ferie, og konsultationen derfor foregår hos en ferieafløser.
Det er vedrørende version 1.0 oplyst, at hos de praktiserende læger kan behandlingsrelationen sandsynliggøres via yderregistret. Foretager en praktiserende læge et opslag på en patient, der ikke er tilknyttet lægen i yderregistret, afgiver lægen en tro og love erklæring på behandlingsrelationen, og der sendes et brev til den pågældende patient. Hvad angår speciallæger kan behandlingsrelationen sandsynliggøres via Henvisningshotellet (RefHost)7. Der foretages et efterfølgende tjek, hvor de opslag, der ikke kan sandsynliggøres via en henvisning i Henvisningshotellet (dvs. hvor der ikke forud for opslaget eksisterer en henvisning til den type speciallæge), resulterer i et brev til den berørte borger.
Hvad angår version 1.1 med NPI er det oplyst, at der med implementeringen af behandlingsrelationsservicen på den nationale serviceplatform vil blive foretaget en automatisk opfølgning på de praktiserende lægers (inkl. vagtlægers) adgang til NPI ved, at behandlingsrelationen kan sandsynliggøres gennem efterfølgende sammenstilling med oplysninger i sygesikringssystemet, hvor man kan verificere, at der har været en ydelse på det tidspunkt, hvor opslaget blev foretaget. Tilsvarende vil behandlingsrelationen for speciallæger kunne sandsynliggøres ved en kontrol af, hvem der er modtager for de henvisninger, der er registreret i Henvisningshotellet (RefHost).
Praksis fra e-journal med at udsende breve til de borgere, hvor data i e-journal er blevet tilgået uden at behandlingsrelationen er sandsynliggjort, vil fortsætte i Sundhedsjournalen.
Hvis patienten ikke er tilknyttet lægen i yderregistret, vil lægen stadig kunne foretage opslag, men patienten vil efterfølgende få tilsendt et brev om opslaget.
Det er vedrørende version 1.1 anført, at med etableringen af behandlingsrelationsservicen på den nationale serviceplatform etableres der en automatiseret kontrol af behandlingsrelationen, som delvist vil kunne erstatte behovet for stikprøvekontrol og udsendelse af breve til borgerne.
3.6.2.3. Spærring af adgang ved "negativt samtykke"
Ved praktiserende læger og speciallæger gælder ifølge det oplyste det samme som ovenfor under pkt. 3.6.1.3. anførte om offentlige hospitaler og institutioner.
3.6.2.4. Autentificering
Den sundhedsfaglige bruger autentificeres i det lokale fagsystem (f.eks. praksissystem). Dette kan være ved indtastning af brugernavn og password i fagsystemet. Men for at komme videre til Sundhedsjournalen via sundhed.dk, skal brugeren ifølge det oplyste anvende et digitalt certifikat.
3.6.3. Generelt
3.6.3.1. Der indhentes som udgangspunkt ikke samtykke fra patienten, når en sundhedsfaglig bruger indhenter oplysninger fra Sundhedsjournalen/NPI.
3.6.3.2. Det er vedrørende version 1.0 oplyst, at adgang til Sundhedsjournalen baseres på de databehandleraftaler, der indgås med de dataansvarlige for datakilderne. De dataansvarlige for de enkelte kilder godkender, at der åbnes for adgangen. I praksis vil det foregå via tildeling af rettigheder i de lokale systemer, som verificeres af Sundhedsjournalen (sundhed.dk).
3.7. Kontrolforanstaltninger
3.7.1. Stikprøver
Det er oplyst til sagen, at der vil blive foretaget stikprøver på en mindre andel af alle opslag i Sundhedsjournalen. Aktuelt foretages stikprøver på 1 % af samtlige opslag i e-journal.
Vedrørende version 1.0 er det desuden oplyst, at der også foretages stikprøver på 10 % af de opslag, hvor behandlingsrelationen ikke har kunnet sandsynliggøres via yderregistret.
3.7.2. Logning
Opslag i Sundhedsjournalen logges ifølge det oplyste med de oplysninger om den sundhedsfaglige bruger, som følger med via det kontekstbaserede opslag, sådan at det til enhver tid er muligt at se, hvilke brugere der har set på hvilke data, og foretage den nødvendige opfølgning.
Logdata vil fremgå af "MinLog" på sundhed.dk, sådan at den enkelte borger kan følge med i, hvornår og fra hvilken hospitalsafdeling eller lægepraksis, der har været adgang til data, og kan kontakte den dataansvarlige, hvis borgeren mener, at der er sket uberettigede opslag. NSI/Danske Regioner har anført, at dermed er borgeren en del af kontrolapparatet og fungerer som en ekstra kontrolforanstaltning.
4. Retsgrundlag
Navnlig sundhedsloven8 og persondataloven9 er relevante i forbindelse med denne sag.
4.1. Sundhedsloven
Sundhedsloven indeholder i kapitel 9 særlige regler om tavshedspligt, videregivelse og indhentning af helbredsoplysninger mv., herunder regler om indhentning af elektroniske helbredsoplysninger mv. i forbindelse med behandling af patienter (§§ 42 a-42 c10).
Reglerne om videregivelse i sundhedsloven går i kraft af persondatalovens § 2, stk. 1, og efter almindelige principper for lovfortolkning forud for behandlingsreglerne i persondataloven. Omvendt er det reglerne i persondataloven, der regulerer en behandling af personoplysninger inden for sundhedssektoren, som ikke er omfattet af sundhedsloven, f.eks. registrering og opbevaring. De særlige regler i sundhedsloven gælder kun videregivelse fra patientjournaler og lignende, der anvendes ved patientbehandling11.
Sundhedslovens § 42 a vedrører indhentning af elektroniske helbredsoplysninger mv. i forbindelse med behandling af patienter. Af bestemmelsen fremgår, hvem der ved opslag i elektroniske systemer må indhente oplysninger om patienters helbredsforhold mv. og under hvilke forudsætninger.
Personkredsen for, hvem der kan foretage opslag i elektroniske systemer, i sundhedslovens § 42 a blev i 2011 udvidet12. Bl.a. blev § 42 a, stk. 1, udvidet fra at gælde for læger og sygehusansatte tandlæger til at gælde for læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence.
4.2. Persondataloven
Ved siden af sundhedslovens regler gælder persondatalovens regler om bl.a. saglighed og proportionalitet (§ 5) og behandlingssikkerhed (§§ 41-42), herunder sikkerhedsbekendtgørelsen13.
I det omfang, sundhedslovens regler om indhentning og videregivelse af oplysninger ikke finder anvendelse, vil persondataloven som udgangspunkt også regulere dette.
Af persondatalovens § 5, stk. 2, følger at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.
Det følger endvidere af § 5, stk. 3, at oplysninger, som behandles skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Efter persondatalovens § 41, stk. 1, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
For offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen og sikkerhedsvejledningen14.
Persondatalovens sikkerhedskrav omfatter - afhængigt af den konkrete behandling af personoplysninger - navnlig følgende:
- forpligtelsen til at fastsætte nærmere retningslinjer, der uddyber, hvordan de fornødne sikkerhedsforanstaltninger konkret er etableret i organisationen,
- kravet om instruktion af medarbejderne,
- kravet om skriftlige aftaler med databehandlere til sikring af, at datasikkerheden lever op til persondataloven, samt at den dataansvarlige påser dette,
- kravet om særlige retningslinjer ved adgang til personoplysninger ved brug af it-udstyr uden for den dataansvarliges lokaliteter (hjemmearbejdspladser o.l.),
- kravet om fysisk sikkerhed,
- kravet om iagttagelse af de fornødne sikkerhedsforanstaltninger i forbindelse med reparation og service samt ved salg og kassation af anvendte datamedier,
- kravet om formel autorisationsprocedure, der sikrer, at kun personer, som autoriseres hertil, har adgang til personoplysninger, og at der kun autoriseres personer, for hvem adgangen er nødvendig som led i deres jobfunktion, at disse tildeles et individuelt personligt login, samt at den udstedte autorisation ændres eller lukkes ved medarbejderens fratræden eller flytning inden for organisationen,
- kravene om, at der ved transmission via internettet (eller andre åbne net) foretages en risikovurdering omfattende alle elementer i løsningen, at der implementeres de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici, herunder brug af kryptering, hvis fortrolige eller følsomme personoplysninger overføres via internettet (eller andre åbne net), og om sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger,
- kravet om kontrol med afviste adgangsforsøg, herunder blokering for yderligere forsøg efter et antal afviste adgangsforsøg samt
- kravet om registrering (logning) af alle anvendelser af personoplysninger.
5. Datatilsynet påtænker at offentliggøre denne udtalelse på sin hjemmeside.
1 I v. Finland, application no. 20511/03. Sagen vedrører adgang til oplysninger om en HIV-positiv medarbejders helbredsoplysninger på det offentlige hospital, hvor hun var ansat. Domstolen udtalte bl.a., at "[w]hat is required in this connection is practical and effective protection to exclude any possibility of unauthorised access occurring in the first place." Dommen er omtalt af professor, dr.jur. Peter Blume i U.2008B.327 ("Datasikkerhed som menneskerettighed")
2 E-journal er af NSI/Danske Regioner beskrevet som et nationalt projekt, hvor patienter, praktiserende læger og speciallæger samt klinikere i regionerne får adgang til journaldata fra hospitalerne
3 P-journal er af NSI/Danske Regioner beskrevet som udbygningen af e-journal til også at indeholde data fra de praktiserende lægers journalsystemer
4 Sundhedsstyrelsen og Lægemiddelstyrelsen er pr. 1. marts 2012 fusioneret og fortsætter under navnet Sundhedsstyrelsen
5 Pr. 1. marts 2012 Statens Serum Institut
6 Lægesekretærer, der ikke har egen autorisation, kan ifølge det oplyste kun få adgang til Sundhedsjournalen, hvis vedkommende er oprettet som medhjælp - enten centralt eller lokalt. Den enkelte sundhedsperson, der opretter f.eks. en lægesekretær som medhjælp, har ifølge det oplyste ansvaret for oprettelsen samt ansvar for at instruere og kontrollere vedkommendes medhjælps handlinger.
7 Danske Regioner er ifølge det oplyste dataansvarlig for Henvisningshotellet (RefHost). Grundidéen bag Henvisningshotellet er, at de praktiserende lægers henvisninger til speciallægehjælp, fysioterapibehandling og psykologhjælp kan sendes elektronisk til RefHost. Patienterne har efterfølgende frit valg mellem de relevante behandlere. RefHost er nærmere beskrevet her: medcom.dk/wm111538.
8 Lovbekendtgørelse nr. 913 af 13. juli 2010 med senere ændring
9 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
10 §§ 42 a-42 c blev indsat i sundhedsloven ved lov nr. 431 af 8. maj 2007. §§ 42 a og b blev ændret ved lov nr. 605 af 14. juni 2011.
11 Se "Lov om behandling af personoplysninger" med kommentarer af Henrik Waaben og Kristian Korfits Nielsen, 2. udgave, Jurist- og Økonomforbundets Forlag 2008, s. 219 f
12 Ved lov nr. 605 af 14. juni 2011 om ændring af sundhedsloven
13 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer
14 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer