Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 16 L 50 besvarelse

 


Besvarelse af spørgsmål nr. 16 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 13. november 2006

 

Spørgsmål 16:

"Har ministeren overvejet et jævnligt tilsyn fra administrerende overlæge, der checker, hvem der har været inden i en given journal?"

 

Svar:

 

Der findes allerede i dag elektroniske patientjournaler i sundhedsvæsenet.

 

For så vidt datasikkerhed, er dette reguleret i den persondataretlige lovgivning. Lovgivningen om behandling af personoplysninger henhører under Justitsministeriets ressort. Datatilsynet administrerer reglerne og fører tilsyn med deres overholdelse.

 

Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

 

Det følger af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) § 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af sikkerhedsbekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelse af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.

 

Det er således den enkelte dataansvarliges pligt at fastsætte en sikkerhedsorganisation.

 

I medfør af sikkerhedsbekendtgørelsen § 19, stk. 1, skal der ved behandling af følsomme oplysninger/anmeldelsespligtige behandlinger foretages maskinel registrering (logning). Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.

 

Loggen giver således den dataansvarlige mulighed for at checke, hvem der har været inde i en given journal.

 

For mig er det centralt, at den dataansvarlige iagttager reglerne på området og sikrer reglernes iagttagelse, hvorimod det ikke for mig er afgørende, om det er overlægen eller en anden kompetent person, der – når der er anledning dertil – checker, hvem der har været inde i en given journal.