Indenrigs- og Sundhedsministeriet

Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 109 L50 besvarelse

 

Besvarelse af spørgsmål nr. 109 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 23. november 2006

 

Spørgsmål 109:

"Hvad er ministerens kommentar til, at ministeren i sine svar til udvalget oplyser, at det i dag ikke er teknisk muligt at give begrænset adgang til oplysninger i EPJ, når bl.a. Råd for IT og Persondatasikkerhed oplyser, at der i dag eksisterer sådanne tekniske løsninger, ligesom Sundhedsstyrelsen helt tilbage i 2002 skriftligt skulle have udmeldt, at man skulle kvalificere elektronisk data til begrænset adgang. Kan ministeren bekræfte rigtigheden af, at Sundhedsstyrelsen skulle have udmeldt dette?"

 

Svar:

 

Jeg har i svarene til udvalgets spørgsmål nr. 7, 9 og 21 oplyst, at Sundhedsstyrelsen over for mig har oplyst, at de elektroniske patientjournaler, der findes i dag, typisk er inddelt efter kilde. Dette betyder, at den fagperson/kliniske afdeling, der har dokumenteret i journalen, står som ”kilde” til informationen. De elektroniske journaler er typisk indrettet således, at man kan sortere informationerne efter, hvem der har dokumenteret, eller historisk, hvilket tidspunkt der er dokumenteret. Der er ikke i dag en gennemført en standard for ”typificering” af den enkelte information, således at der kan sorteres/gives adgang efter informationstype. Det er således ikke i dag en teknisk løsningsmulighed, at sundhedspersonalet afskæres adgang til visse typer af oplysninger.  Derimod er det som oplyst af Sundhedsstyrelsen i dag typisk muligt, at sortere efter ”kilden”, og da ”kilden” kan være den fagperson/kliniske afdeling, der har dokumenteret i journalen, er det således muligt at sortere informationerne efter fagperson/kliniske afdeling.

 

Til brug for besvarelsen af spørgsmål nr. 7 oplyste Sundhedsstyrelsen endvidere, at det uden væsentlig systemudvikling vil være muligt at håndtere medicinoplysninger forskelligt fra resten af journaloplysningerne, således at der – efter en sundhedsfaglig vurdering af de enkelte personalegruppers rolle i patientbehandlingen - kan gives muligheder for variationer i omfanget af de enkelte sundhedsfaglige gruppers adgang til medicinoplysninger. Dette skyldes, at sygehusvæsenet er langt med at indføre elektroniske medicinordinations- og administrationssystemer (medicinmoduler), og at disse kun delvis er integreret med de øvrige IT-systemer (EPJ).

 

Sundhedsstyrelsen har til brug for besvarelse af dette spørgsmål nr. 109 gentaget, at det er muligt at begrænse adgangen til de personer, der er ansat i en afdeling på et sygehus. Det er også muligt at begrænse adgangen til enkelte personalegrupper. Sundhedsstyrelsen har endvidere gentaget, at det imidlertid ikke – i de mange forskellige epj-it-systemer, der p.t. anvendes i sygehusvæsenet - er muligt at begrænse adgangen til forskellige typer informationer. Dels fordi journalerne ikke er struktureret på samme måde på alle sygehuse, og dels fordi det er en omfattende opgave at vurdere i detaljer, hvilken faggruppe der har brug for hvilke informationer i forskellige situationer. Først på dette tidspunkt kan man unddrage de informationer, som der ikke er brug for.

 

Sundhedsstyrelsen har i IT-sikkerhedsvejledning for sygehuse i 2002 angivet, at det skal være muligt at tildele brugerne rettigheder, som kan styres på et niveau, der er mere detaljeret end patientniveau. Sundhedsstyrelsen har oplyst, at dette betyder, at man i IT-systemet skal have mulighed for at begrænse adgangen, så man kun får adgang til de informationer og funktionaliteter, man har brug for i forhold til den rolle man har i patientbehandlingen.

 

Indenrigs- og Sundhedsministeriet kan hertil tilføje, at det følger af den gældende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelse) § 11, at kun autoriserede personer må have adgang til de personoplysninger, som behandles, og at der kun må autoriseres personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Det vil sige, at også i forhold til eksisterende elektroniske patientjournaler er der behov for, at den dataansvarlige foretager en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til.

 

Desuden skal der efter sikkerhedsbekendtgørelsens § 12 træffes foranstaltninger som sikrer, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelse, som de er autoriserede til. 

 

Jeg kan i den forbindelse henvise til min besvarelse af spørgsmål nr. 15.