Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 101 L50 besvarelse

 


Besvarelse af spørgsmål nr. 101 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 22. november 2006

 

Spørgsmål 101:

"Ministeren bedes kommentere materiale modtaget af Anne-Mette Oudrup, IT-Branchen ved ekspertmøde den 22. november 2006, jf. L 50 – bilag 29"

 

Svar:

 

Det fremgår af materialet, at IT-Branchen anbefaler, at der anvendes ”rollebaseret sikkerhed” i forbindelse med adgang til personoplysninger, og at EPJ-organisationen udarbejder et nationalt rollekatalog. 

 

Sundhedsstyrelsen har oplyst, at styrelsen er positiv overfor at anvende rollebaseret sikkerhed i forbindelse med adgang til personoplysninger i elektroniske patientjournaler. Sundhedsstyrelsen har oplyst, at informationerne kan gøres tilgængelige for sundhedspersonerne, efter hvilken rolle de har i patientbehandlingen. Sundhedsstyrelsen har endvidere oplyst, at en gradueret adgang efter denne model imidlertid kræver veldefinerede og standardiserede roller. Dette er ikke altid tilfældet, idet en sundhedsperson kan have flere roller (f.eks. praktiserende læge, vagtlæge). Sundhedsstyrelsen har desuden oplyst, at skal der anvendes rollebaseret sikkerhed i forbindelse med adgang til personoplysninger, kræver det endvidere, at informationerne er typificeret, og at data er struktureret. Sundhedsstyrelsen har udarbejdet en datastruktur for elektroniske patientjournaler (GEPJ) bl.a. af denne årsag.

 

Sikkerheds- og brugerstyringsproblematikker er et vedvarende tema i overvejelserne for den fremtidige EPJ-udvikling. Jeg er opmærksom på, at kravene til EPJ-løsningernes samlede IT-sikkerhed, særligt i form af systemtekniske adgangsbegrænsninger, øges med målsætningen om styrkelse af en elektronisk patientjournal, der understøtter et sammenhængende patientforløb på tværs af sundhedsvæsenets sektorer, baseret på pålidelige og opdaterede patientdata. Det er, som IT-Branchen også anfører, imidlertid den nye centrale EPJ-organisation, der i første omgang skal behandle denne problemstilling, herunder spørgsmålet om de tekniske muligheder og begrænsninger. Ligeledes vil det også i første omgang være op til den centrale EPJ-organisation at drøfte behovet for en central sikkerheds- og brugerstyringsløsning.

 

Når den centrale EPJ-organisation har færdiggjort sine overvejelser, vil der blive taget stilling til, hvorvidt der er behov for, at indenrigs- og sundhedsministeren som foreslået i lovforslagets § 1, nr. 31 (§ 193 a) fastsætter krav til sundhedsvæsenets IT-anvendelse, herunder IT-sikkerhed, samt til godkendelse heraf, eksempelvis i form af en certificeringsprocedure som styringsredskab, såfremt der er behov herfor for f.eks. at sikre effektiv gennemførelse.

 

For så vidt etablering af borgeradgang til egne data og egne logfiler skal jeg henvise til besvarelse af spørgsmål nr. 24 og 52.