"Overvejer man at bruge personlige adgangskoder?"
Det er allerede et krav efter den gældende § 12 i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), at der skal etableres en teknisk adgangskontrol i elektroniske systemer, som f.eks. elektroniske patientjournaler. Autoriserede brugere skal således identificere sig over for systemet for at få adgang til at foretage opslag m.m. i overensstemmelse med autorisationen.
I vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsvejledningen), er under omtalen af § 12 og § 16 i sikkerhedsbekendtgørelsen anført, at den mest almindelige form for adgangskontrol er brugeridentifikation med tilhørende password. Når den tekniske adgangskontrol til systemets oplysninger er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password. Det personlige og fortrolige password er knyttet til den tilhørende bruger identifikation og må kun anvendes af den pågældende bruger. Der kan således ikke anvendes en fælleskode, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere.
Det fremgår af sikkerhedsvejledningens omtale af sikkerhedsbekendtgørelsens § 12, at en anden form for adgangskontrol end brugeridentifikation med tilhørende password, hvorved brugeren identificerer sig overfor systemet, ikke er udelukket.
Datatilsynet har bekræftet ovenstående over for Indenrigs- og Sundhedsministeriet.
I Sundhedsstyrelsens IT-vejledning for sygehuse fra 2002 nævnes som eksempler magnetkort med tilhørende pinkode, chipkort med pinkode og biometriske metoder f.eks. fingeraftryk.