L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 1: Spm., om databehandlingen i sundhedsvæsenets kildesystemer er omfattet af journalføringsbekendtgørelsen, til sundhedsministeren

Sundheds- og Ældreudvalget 2018-19 (1. samling)
L 127
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 07-02-2019

Enhed: JURA/DAICY

Sagsbeh.: DEPANBK

Sagsnr.: 1810035

Dok. nr.: 796398

Folketingets Sundheds- og Ældreudvalg har den 8. januar 2019 stillet følgende spørgs-

mål nr. 1 (L 127 - Forslag til lov om ændring af sundhedsloven m.v. (Bedre digitalt sam-

arbejde i sundhedsvæsenet, påmindelser til forældre vedrørende børnevaccination og

bestemmelser om territorial gyldighed for Færøerne og Grønland)) til sundhedsmini-

steren, som hermed besvares. Spørgsmålet er stillet efter ønske fra Peder Hvelplund

(EL).

Spørgsmål nr. 1:

”Vil

ministeren oplyse, om databehandlingen i sundhedsvæsenets kildesystemer er

omfattet af journalføringsbekendtgørelsen?”

Svar:

Det følger af lov om autorisation af sundhedspersoner og om sundhedsfaglig virksom-

hed (autorisationsloven), at der skal føres patientjournal, når der som led i sundheds-

mæssig virksomhed foretages undersøgelse og behandling m.v. af patienter. Journal-

føringsbekendtgørelsen (bekendtgørelse nr. 530 af 24. maj 2018) indeholder nærmere

regler om pligten til at føre journal, patientjournalens indhold m.v.

Ved en patientjournal forstås bl.a. optegnelser, som oplyser om patientens tilstand,

den planlagte og udførte behandling m.v. herunder hvilken information, der er givet,

og hvad patienten på den baggrund har tilkendegivet.

Kildesystemer til den fælles digitale infrastruktur kan f.eks. være regionernes elektro-

niske patientjournaler. Registrering af oplysninger om patientens tilstand m.v. i en

elektronisk patientjournal skal føres i overensstemmelse med reglerne i journalførings-

bekendtgørelsen. Det skal bl.a. fremgå af patientjournalen, hvis patienten har tilken-

degivet, at bestemte oplysninger ikke må videregives eller indhentes, eller at bestemte

sundhedspersoner ikke må indhente eller videregive hele eller dele af patientjourna-

lens oplysninger, jf. journalføringsbekendtgørelsens § 13, stk. 2.

Kildesystemer til den fælles digitale infrastruktur kan også være f.eks. Fælles Medicin

Kort (FMK) og Det Danske Vaccinationsregister (DDV). Det bemærkes i den forbindelse,

at FMK og DDV ikke er patientjournaler, og registrering af oplysninger i disse systemer

er derfor ikke omfattet af reglerne i autorisationsloven og journalføringsbekendtgørel-

sen.

Reglerne i autorisationsloven og journalføringsbekendtgørelsen indeholder desuden

ikke regler om registrering af selve det forhold, at en sundhedsperson foretager et op-

slag i et kildesystem. Men registrering af, hvem der har foretaget opslag i et elektronisk

kildesystem (logning), er én blandt flere relevante sikkerhedsforanstaltninger, som den

dataansvarlige kan iværksætte.

L 127 - 2018-19 (1. samling) - Endeligt svar på spørgsmål 1: Spm., om databehandlingen i sundhedsvæsenets kildesystemer er omfattet af journalføringsbekendtgørelsen, til sundhedsministeren

Det bemærkes i den forbindelse, at pligten for offentlige dataansvarlige til logning hid-

til har fulgt af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

til beskyttelseaf personoplysninger, som behandles for den offentlige forvaltning (sik-

kerhedsbekendtgørelsen). Denne sikkerhedsbekendtgørelse blev imidlertid ophævet

med virkning fra 25. maj 2018 i forbindelse med vedtagelse af databeskyttelsesloven.

De krav til sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som be-

handles for den offentlige forvaltning, som fremgik af den nu ophævede bekendtgø-

relse, er afløst af databeskyttelsesforordningen, der ikke fastsætter helt præcise krav

til, hvordan den dataansvarlige løser opgaven med at sikre et tilstrækkeligt sikkerheds-

niveau. Der gælder f.eks. ikke et generelt krav om logning for alle offentlige dataan-

svarlige efter databeskyttelsesforordningen.

Det foreslås derfor i lovforslaget, at kravet om logning inden for sundhedsvæsenet ty-

deliggøres ved, at den bemyndigelsesbestemmelse, som sundhedsministeren i dag har

til at fastsætte nærmere regler om private dataansvarliges pligt til logning, udvides til

også at omfatte offentlige dataansvarliges pligt til at foretage logning, jf. lovforslagets

§ 1, nr. 7, vedrørende § 42 c, stk. 1.

Det er bl.a. hensigten, at der i første omgang vil blive fastsat regler om, at offentlige

dataansvarlige er forpligtet til at registrere oplysninger om, hvem der har foretaget

opslag i elektroniske patientjournaler.

Det skal i forlængelse heraf understreges, at regionerne m.fl. allerede i dag registrerer

oplysninger om, hvem der har foretaget opslag i elektroniske patientjournaler, og at

alle opslag i den fælles digitale infrastruktur ligeledes vil blive logget.

Med venlig hilsen

Ellen Trane Nørby

Annette Baun Knudsen

Side 2