Sundheds- og Ældreudvalget 2018-19 (1. samling)
L 127
Offentligt
2013623_0001.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Folketingets Sundheds- og Ældreudvalg
Dato: 07-02-2019
Enhed: DAICY/JURA
Sagsbeh.: DEPANBK
Sagsnr.: 1810035
Dok. nr.: 808386
Folketingets Sundheds- og Ældreudvalg har den 10. januar 2019 stillet følgende spørgs-
mål nr. 7 (L 127 - Forslag til lov om ændring af sundhedsloven m.v. - Bedre digitalt
samarbejde i sundhedsvæsenet, påmindelser til forældre vedrørende børnevaccina-
tion og bestemmelser om territorial gyldighed for Færøerne og Grønland) til sundheds-
ministeren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Peder Hvelp-
lund (EL).
Spørgsmål nr. 7:
”Ministeren
bedes redegøre for, hvad relationen er mellem de sundhedsretlige regler
og den generelle databeskyttelsesregulering i forslaget? Herunder oplyse følgende:
hvad er begrundelsen for at udvide personkredsen, der får adgang til data, og hvorfor
udvides omfanget af data, der kan tilgås, så det både er aktuelle og historiske data?
hvordan sikrer Sundheds- og Ældreministeriet sig, at den fælles digitale infrastruktur
lever op til databeskyttelsesforordningen, når infrastrukturen endnu ikke er etablere-
ret?
hvilke sundhedsdatabaser regulerer lovforslaget? Og hvordan forventer ministeriet,
at dataflowet på tværs i sundhedsvæsenet bliver?
hvordan vil Sundheds- og Ældreministeriet sikre, at denne ændring af sundhedsloven
understøtter regeringens principper om mere gennemsigtighed i hvilke data, der ind-
samles om borgerne, hvad disse data må bruges til og hvilke personer, der må få ad-
gang til data?
Svar:
Sundhedslovens § 42 a om indhentning af helbredsoplysninger m.v. i elektroniske sy-
stemer blev første gang indført i 2007, hvor læger og sygehusansatte tandlæger fik
adgang til at indhente både historiske og aktuelle helbredsoplysninger m.v. ved opslag
i elektroniske systemer, når det er nødvendigt i forbindelse med aktuel patientbehand-
ling, jf. lov nr. 431 om ændring af sundhedsloven af 8. maj 2007 ((Udvidet adgang til
offentlige registre og elektroniske patientjournaler m.v.).
Ved en ændring af sundhedsloven i 2011 (lov nr. 605 af 14. juni 2011) blev gruppen af
sundhedspersoner udvidet til også at omfatte andre tandlæger end sygehusansatte
tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassi-
stenter, radiografer og ambulancebehandlere med særlig kompetence.
Ved samme lovændring fik sundhedsministeren desuden adgang til ved bekendtgø-
relse at fastsætte regler om, at andre sundhedspersoner, der som led i deres virksom-
hed deltager i behandling af patienter, kan indhente både aktuelle og historiske hel-
bredsoplysninger, når det er nødvendigt i forbindelse med aktuel behandling af pati-
enten. Det følger af den gældende bestemmelse i sundhedslovens § 42 a, stk. 1, 2. pkt.
Denne bemyndigelse er udmøntet i bekendtgørelse nr. 13 af 11. januar 2013, hvor ki-
ropraktorer fik adgang til at indhente både historiske og aktuelle helbredsoplysninger.
L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 7: Spm. om, hvad relationen er mellem de sundhedsretlige regler og den generelle databeskyttelsesregulering i forslaget, til sundhedsministeren
I praksis samarbejder sundhedsfaglige personalegrupper tværfagligt i teams, og det
opleves i den sammenhæng som en unødig barriere
også i forhold til ønsket om at
fremme muligheden for opgaveglidning
at de sundhedspersoner, der har patienten i
aktuel behandling, ikke kan tilgå de nødvendige helbredsoplysninger.
Arbejdet med afdækning af barrierer for det sammenhængende patientforløb, som
blev aftalt i økonomiaftalen for 2018, og som både regioner og kommuner har bidraget
til, har også vist, at de gældende regler for indhentning af helbredsoplysninger m.v.
ikke fuldt ud understøtter behovet i sundhedsvæsenet i dag for at arbejde på tværs.
Lovgivningen sikrer således ikke i tilstrækkelig grad, at de sundhedspersoner, som del-
tager aktivt i patientbehandlingen, kan tilgå de nødvendige helbredsoplysninger, lige-
som lovgivningen heller ikke tager højde for den opgaveglidning, der sker mellem fag-
grupper og sektorer.
Flere organisationer, herunder bl.a. organisationer, som repræsenterer fysioterapeu-
ter og ergoterapeuter, har desuden tilkendegivet, at de nuværende begrænsninger er
uhensigtsmæssige i forhold til deres daglige arbejde med patientbehandling. Datatil-
synet har herudover gjort opmærksom på, at det kan være praktisk vanskeligt at fore-
tage en opdeling af oplysninger om aktuel behandling og historiske oplysninger, idet
dette vil bero på en løbende konkret vurdering af de pågældende oplysninger.
De forenklede regler om sundhedspersoners og andre personers indhentning af hel-
bredsoplysninger og andre fortrolige oplysninger har også til formål at understøtte den
fælles digitale infrastruktur, som netop skal sikre, at sundhedspersoner kan få adgang
til de rette oplysninger på det rigtige tidspunkt - til gavn for patienten.
Hertil kommer, at databeskyttelsesforordningen, der har været gældende siden 25.
maj 2018, pålægger både offentlige og private dataansvarlige at fastlægge et sikker-
hedsniveau, der passer til de risici, der er forbundet med behandlingen af personop-
lysningerne. Databeskyttelsesforordningen lægger således vægt på en risikobaseret til-
gang, der indebærer, at det er den dataansvarliges ansvar at fastsætte sikkerhedsni-
veauet. Den dataansvarlige region, kommune, privatpraktiserende læge m.v. er såle-
des forpligtet til
gennem systemtekniske og organisatoriske foranstaltninger
at
sikre, at det kun er de sundhedspersoner, der har brug for helbredsoplysninger m.v.
om en patient, der rent faktisk må have teknisk adgang til oplysningerne.
Det er efter Sundheds- og Ældreministeriets opfattelse helt i tråd med de databeskyt-
telsesretlige regler, at det er de dataansvarlige, der skal tage stilling til og fastlægge,
hvilke sundhedspersoner der som led i aktuel patientbehandling har behov for at have
adgang til patienters helbredsoplysninger, i stedet for
som reglerne er i dag
at der
er fastsat detaljerede begrænsninger i sundhedsloven, som i mange tilfælde ikke un-
derstøtter den måde, som regionerne, privatpraktiserende læger m.fl. har tilrettelagt
opgaveløsningen på.
Sammenhængen med de databeskyttelsesretlige regler betyder bl.a., at selvom sund-
hedsloven giver mulighed for, at alle sundhedspersoner kan få adgang, er det ikke det
samme som, at det vil være i overensstemmelse med de databeskyttelsesretlige regler
at give alle sundhedspersoner adgang til at indhente helbredsoplysninger. Det vil bero
på den dataansvarliges vurdering.
Det hører også med til det samlede billede, at der med databeskyttelsesforordningen
og databeskyttelsesloven er indført et andet sanktionsniveau, der bl.a. betyder, at
Side 2
L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 7: Spm. om, hvad relationen er mellem de sundhedsretlige regler og den generelle databeskyttelsesregulering i forslaget, til sundhedsministeren
både private og offentlige dataansvarlige vil kunne ifalde bødestraf for overtrædelser
af de databeskyttelsesretlige regler.
Det er på denne baggrund, at det foreslås, at alle sundhedspersoner ved opslag i elek-
troniske systemer i fornødent omfang skal kunne indhente oplysninger om en patients
helbredsforhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse
med aktuel behandling af patienter.
Med hensyn til spørgsmålet om, hvordan Sundheds- og Ældreministeriet vil sikre sig,
at den fælles digitale infrastruktur lever op til databeskyttelsesforordningen, når den
endnu ikke er etableret, bemærkes det, at Sundhedsdatastyrelsen vil skulle foretage
en konsekvensanalyse i overensstemmelse med reglerne i databeskyttelsesforordnin-
gens artikel 35. Sundhedsdatastyrelsen vil endvidere skulle sikre et højt databeskyttel-
sesniveau bl.a. gennem design og standardindstillinger og gennem anvendelse af rele-
vante informationssikkerhedsteknologier, herunder f.eks. pseudonymisering, anony-
misering og kryptering af oplysninger. Sundhedsdatastyrelsen vil skulle sikre sig, at der
gennem systemtekniske foranstaltninger kun gives adgang til den fælles digitale infra-
struktur til de personer, der efter den foreslåede § 42 a har retlig adgang hertil. Sund-
hedsdatastyrelsen vil endvidere skulle sikre sig, at de oplysninger, der udstilles på en
brugergrænseflade til den fælles digitale infrastruktur, gennem design er granuleret på
en måde, der sikrer, at der kun gives adgang til relevante oplysninger, og at der ikke
bliver udstillet oplysninger, der ikke er relevante i den pågældende behandlingssitua-
tion. Sikkerhedsniveauet vil i øvrigt løbende skulle tilpasses de aktuelle risici.
Det bemærkes endvidere, at sundhedsministeren med lovforslaget bemyndiges til at
kunne fastsætte tidspunktet for, hvornår § 193 a, som er bestemmelsen vedrørende
den fælles infrastruktur, skal træde i kraft.
Denne bestemmelse vil ikke blive sat i kraft, før de tekniske løsninger er udviklet og
afprøvet. De tekniske løsninger, der skal drive infrastrukturen, vil således virke og være
i drift på tidspunktet for ikrafttræden af lovens bestemmelser om den fælles digitale
infrastruktur.
Den tekniske løsning, der skal sikre logning og visning for patienten af log over opslag
i patientens oplysninger i den fælles digitale infrastruktur, er udviklet, og den vil derfor
også være klar til drift for tidspunktet for ikrafttræden af oprettelsen af den fælles di-
gitale infrastruktur.
Med hensyn til spørgsmålet om, hvilke sundhedsdatabaser lovforslaget regulerer, kan
det oplyses, at den foreslåede nyaffattelse af sundhedslovens § 42 a (jf. lovforslagets
§ 1, nr. 3) regulerer adgang til ”elektroniske
systemer”.
Elektroniske systemer omfatter systemer, hvor der er tale om en direkte on-linead-
gang. Det er endvidere en forudsætning, at oplysningerne i systemet oprindeligt er
indsamlet til det formål at understøtte den sundhedsfaglige behandling af de registre-
rede personer (patienter), eller er indsamlet til et formål, som ikke er uforeneligt med
sundhedsfaglig behandling, jf. databeskyttelsesforordningens artikel 5, stk. 2. Elektro-
niske systemer omfatter dermed bl.a. elektroniske patientjournalsystemer, som inde-
holder oplysninger, der noteres i forbindelse med behandling af patienter, og som er
nødvendige for en god og sikker patientbehandling, jf. journalføringspligten i § 22 i lov
om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed. Elektroniske
systemer omfatter også den fælles digitale infrastruktur.
Side 3
L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 7: Spm. om, hvad relationen er mellem de sundhedsretlige regler og den generelle databeskyttelsesregulering i forslaget, til sundhedsministeren
Det vil også principielt kunne være systemer med andre eller blandede formål, f.eks.
Landspatientregisteret, men det er forudsat, at der skal være tale om direkte on-line
adgang, hvilket der for så vidt angår Landspatientregisteret ikke er i dag. Det vil der-
med også principielt omfatte Det Fælles Medicinkort (FMK) og Det Danske Vaccinati-
onsregister (DDV). Det bemærkes dog i den forbindelse, at den særlige regulering, der
er for sundhedspersoners og andre personers adgang til disse to elektroniske systemer,
som begge vedrører lægemidler, opretholdes, jf. de gældende bestemmelser i sund-
hedslovens § 157 og § 157 a.
De kildesystemer
eller databaser - som vil blive koblet op på den fælles digitale in-
frastruktur, er f.eks. elektroniske patientjournaler, DDV og FMK. Endvidere kan nævnes
KIH-databasen, der benyttes til opsamling af telemedicinske hjemmemålinger og be-
svarelse af spørgeskemaer (PRO). Derimod vil f.eks. Landspatientregisteret ikke blive
anvendt som kildesystem. Dataflowet vil gå fra databasen via den fælles digitale infra-
struktur og videre til det sundhedsfaglige anvendersystem. Den fælles digitale infra-
struktur skal forstås som en samlet betegnelse for en række tekniske komponenter og
services, der tilsammen understøtter sikker deling af informationer i sundhedsvæse-
net.
Det er vigtigt, at borgerne ved, hvilke data der indsamles om dem, hvad disse data må
bruges til og hvilke personer, der må få adgang til data, og det er også min opfattelse,
at regeringens principper om mere gennemsigtighed i hvilke data, der indsamles om
borgerne, hvad disse data må bruges til og hvilke personer, der må få adgang til data
sikres med lovforslaget.
Registrering af, hvem der har foretaget opslag i den fælles digitale infrastruktur (log-
ning), er derfor en del af den tekniske løsning, og man vil som patient få direkte elek-
tronisk adgang til logoplysninger over opslag foretaget i den fælles digitale infrastruk-
tur. Det betyder, at patienten på bl.a. sundhed.dk vil få adgang til en let og overskuelig
oversigt over opslag, der er foretaget i den fælles digitale infrastruktur.
Det bemærkes i øvrigt, at der
som det også er anført i de specielle bemærkninger til
lovforslagets § 1, nr. 16, vedrørende den foreslåede § 193 b, stk. 3, nr. 1
ved fastsæt-
telsen af regler om, hvilke bestemte typer oplysninger, som vil skulle registreres og
kunne udveksles i den fælles digitale infrastruktur, vil blive lagt vægt på, om oplysnin-
gerne er relevante at indhente for andre sundhedspersoner inden for sundhedsvæse-
net til brug for fortsat patientbehandling.
Rent private oplysninger, som ikke er relevante for behandlingen, og som er givet til
en sundhedsperson (f.eks. patientens egen læge eller sygehuslægen) i fortrolighed, vil
således ikke skulle registreres i den fælles digitale infrastruktur.
De udvalgte relevante oplysninger vil blive registreret i infrastrukturen uden patientens
samtykke, men patienten vil kunne frabede sig, at en sundhedsperson indhenter hel-
bredsoplysninger om den pågældende i den fælles digitale infrastruktur. Patienter, der
ikke ønsker, at der indhentes oplysninger i den fælles digitale infrastruktur, vil få mu-
lighed for at frabede sig dette gennem spærring via patientoverblikket, f.eks. via sund-
hed.dk.
Endelig kan nævnes, at patienter har ret til aktindsigt efter sundhedslovens regler om
aktindsigt, jf. sundhedslovens § 37, og at de dataansvarlige herudover er forpligtet til
Side 4
L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 7: Spm. om, hvad relationen er mellem de sundhedsretlige regler og den generelle databeskyttelsesregulering i forslaget, til sundhedsministeren
at overholde databeskyttelsesforordningens kapitel III, som vedrører den registreredes
rettigheder, herunder f.eks. reglerne om oplysningspligt, den registreredes ret til ind-
sigt m.v., samt databeskyttelseslovens kapitel 6, som fastlægger visse begrænsninger i
den registreredes rettigheder.
Med venlig hilsen
Ellen Trane Nørby
/
Annette Baun Knudsen
Side 5