L 171 - 2010-11 (1. samling) - Endeligt svar på spørgsmål 9: Spm. om sikkerhedsforanstaltninger som krævet af Datatilsynet, til indenrigs- og sundhedsministeren

Folketingets Sundhedsudvalg har den 8. april 2011 stillet følgende spørgsmålnr. 9 (L 171) til indenrigs- og sundhedsministeren, som hermed besvares.Spørgsmålet er stillet på udvalgets vegne af formand Preben Rudiengaard (V).Spørgsmål nr. 9 (L 171):’’Hvordan vil ministeren sikre de fornødne sikkerhedsforanstaltninger hos alleaktører i patientbehandlingen, som krævet af Datatilsynet i dets høringssvar.”Svar:Af Datatilsynets høringssvar fremgår følgende (side 2):”Hvis forslaget om udvidelse af personkredsen gennemføres, er der efter Datatilsynetsopfattelse også et meget væsentligt behov for at sikre de fornødne sikkerhedsforan-staltninger hosalleaktører i patientbehandlingen. Af det foreliggende udkasts pkt.2.1.3.2. fremgår alene, at regeringen vil ”undersøge behovet og de økonomiske mulig-heder” for noget sådant.Datatilsynet finder, at bemyndigelsen i sundhedslovens § 42 c, stk. 1, bør benyttes til atfastsætte de fornødne sikkerhedsforanstaltninger i forhold til alle aktører, der behandlerfølsomme patientoplysninger.”

Som det fremgår af afsnit 2.1.2. i lovforslagets bemærkninger, følger det afpersondatalovens § 41, stk. 3, at det påhviler såvel offentlige som private da-taansvarlige og databehandlere at træffe de fornødne tekniske og organisato-riske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt til-intetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommen-des kendskab, misbruges eller i øvrigt behandles i strid med loven.De offentlige dataansvarlige har endvidere i medfør af § 19 i Justitsministerietsbekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til be-skyttelse af personoplysninger, som behandles for den offentlige forvaltning(den såkaldte sikkerhedsbekendtgørelse), pligt til at foretage logning (maskinelregistrering) af bl.a., hvem der har foretaget opslag i en patients elektroniskepatientjournal, samt hvornår opslaget er foretaget.Af redegørelsen, som jeg sendte til udvalget den 23. september 2010, jf. SUUbilag 511, Folketingsåret 2009-2010, fremgår følgende:”Danske Regioner har i forbindelse med udarbejdelsen af redegørelsen om indhentningaf elektroniske helbredsoplysninger, oplyst, at alle regioner i overensstemmelse her-med foretager logning af opslagene på de elektroniske patientjournaler, ligesom det

Regeringen anerkender blandt andet på baggrund af de indkomne høringssvarbehovet for sådanne sikkerhedsforanstaltninger. Regeringen har derfor til hen-sigt at undersøge, hvorledes bemyndigelsen i sundhedslovens § 42 c, stk. 1,kan udnyttes til – som Datatilsynet ligeledes finder hensigtsmæssigt – at fast-sætte nærmere regler om private dataansvarliges pligt til at registrere oplys-ninger om, hvem der har foretaget opslag i en patients elektroniske patient-journal, samt om loggens indhold, opbevaring og sletning. Regeringen har til-svarende til hensigt at undersøge, hvorledes der kan fastsættes nærmere reg-ler om patientens elektroniske adgang til oplysninger hos offentlige og privatedataansvarlige om, hvem der har foretaget opslag i patientens elektroniske pa-tientjournal, og på hvilket tidspunkt opslagene er foretaget, jf. sundhedslovens§ 42 c, stk. 2. Såvel de juridiske og tekniske som de økonomiske aspekter iden tiltænkte udnyttelse af sundhedslovens § 42 c, stk. 1 og 2, vil indgå i disseundersøgelser.Endelig vil hensynet til privatlivsbeskyttelse af patienternes helbredsoplysnin-ger m.v. indgå i de kommende overvejelser om udnyttelse af den foreslåedebemyndigelsesbestemmelse i sundhedslovens § 193 a om fastsættelse af fæl-les, nationale krav til it-anvendelsen på sundhedsområdet, herunder krav tilelektroniske patientjournaler og til anvendelsen af standarder.