"Kan ministeren bekræfte, at der foreligger statistikker fra Datatilsynet, der viser at de har ressourcer til at føre konkrete tilsyn på givne områder hvert 10. år, og hvordan kan ministeren i lyset heraf sikre, at Datatilsynet har ressourcer til at føre det fornødne tilsyn med EPJ?"
Jeg har til brug for besvarelse af spørgsmål nr. 13 og 14 indhentet bidrag fra Datatilsynet.
Datatilsynet har oplyst, at efter lov nr. 429 af 31. maj 2000 om behandling af personoplysninger påser Datatilsynet af egen drift eller efter klage fra en registreret, at behandlingen af personoplysninger finder sted i overensstemmelse med loven og de regler, der er udstedt i medfør heraf, jf. lovens § 58, stk. 1.
Endvidere har Datatilsynet oplyst, at tilsynets inspektionskompetence er nærmere reguleret i lovens § 62. Af denne bestemmelse følger bl.a. at tilsynets medlemmer og personale til enhver tid mod behørig legitimation uden retskendelse har adgang til alle lokaler, hvorfra en behandling, som foretages for den offentlige forvaltning, administreres, eller hvorfra der er adgang til de oplysninger, som behandles, samt til lokaler, hvor, oplysningerne eller tekniske hjælpemidler opbevares eller anvendes.
Â
Datatilsynet har desuden oplyst, at det ikke fremgår klart af persondataloven eller forarbejderne til loven, i hvilket omfang Datatilsynet skal udøve sin inspektionskompetence. Det er alene forudsat i bemærkningerne til loven, at der løbende skal foretages inspektionsvirksomhed.
For så vidt Datatilsynets opgaver og antallet af inspektioner har Datatilsynet oplyst, at tilsynet har bidraget til Justitsministeriets besvarelse af spørgsmål nr. 98 og 99 (Alm. del – bilag 300) fra Folketingets Retsudvalg. Der henvises i den forbindelse til Justitsministeriets besvarelse af spørgsmål nr. 98 og 99 omdelt i februar 2004 (Alm. del – bilag 476).
Det fremgår af besvarelsen, at tilsynet - for at gennemføre én inspektion hos hver af de anmeldte dataansvarlige og databehandlere inden for en periode på 10 år - skulle foretage ca. 360 inspektioner årligt. Desuden fremgår det, at Datatilsynet har udtalt, at dette selvsagt ikke var muligt. Siden 2004 er antallet af dataansvarlige mv., hvor tilsynet har inspektionskompetence, efter tilsynets vurdering steget.
Det fremgår af Justitsministeriets besvarelse, at Datatilsynet i perioden fra 2000 til 2003 foretog henholdsvis 23, 76, 111 og 71 inspektioner årligt.
Datatilsynet har til Indenrigs- og Sundhedsministeriet endvidere oplyst, at der i 2004 og 2005 er gennemført henholdsvis 67 og 62 inspektioner. I 2006 forventer tilsynet at gennemføre ca. 60 inspektioner.
Datatilsynet har oplyst, at tilsynet hvert år gennemfører i størrelsesordenen 4-6 inspektioner af sygehuse. Disse inspektioner omfatter en række emner og således ikke kun forhold vedrørende patientjournaler. Datatilsynet har oplyst, at tilsyn med fremtidige EPJ-systemer vil indgå som et element i inspektionerne, men at tilsynet ikke har mulighed for – inden for sine nuværende ressourcer – at føre særskilt kontrol med EPJ eller generelt at forøge antallet af inspektioner.
Jeg kan derfor tilføje, at Datatilsynet således allerede foretager inspektioner på sygehuse, herunder også vedrørende elektroniske patientjournaler. Elektroniske patientjournaler er således ikke et nyt område for Datatilsynet.
Lovforslagets § 1, nr. 13, (§ 42 a) om sundhedspersoners adgang til at indhente oplysninger om en patients helbredsforhold m.v. i elektroniske systemer indebærer ikke, at der skal eller vil være etableret elektroniske patientjournaler overalt i sundhedsvæsenet pr. 1. januar 2007.
Som det fremgår af min besvarelse af spørgsmål nr. 16 og nr. 22, har også den enkelte dataansvarlige allerede i dag en central rolle i forhold til datasikkerhed. Dette vil fortsat være tilfældet efter lovforslagets ikrafttræden.