"Ministeren bedes kommentere henvendelse af 1. november 2006 fra Forbrugerrådet, jf. L 50 – bilag 4."
Forbrugerrådet rejser i henvendelsen af 1. november 2006 flere problemstillinger.
a) Rådet anfører bl.a., at der med lovforslaget lægges op til en radikal ændring af patienternes mulighed for at beskytte egne helbredsoplysninger, da lovforslaget bygger på en sige-fra-model og ikke en samtykkemodel. Patientens adgang efter lovforslaget til at frabede sig sundhedspersoners adgang til helbredsoplysninger m.v., vil efter rådets opfattelse være illusorisk uden en it-sikkerhedsmæssig regulering, da data ligger elektronisk og vil være tilgængelige.
b) § 42a i lovforslaget er efter rådets opfattelse meget vidtgående, idet der lægges op til, at læger og sygeplejersker ikke blot skal kunne indhente oplysninger om helbredsforhold, men også om private forhold og andre fortrolige oplysninger.
c) Endelig fremhæver Forbrugerrådet, at lovforslaget ikke forholder sig til datasikkerheden, hverken med hensyn til datakvalitet, datatilgængelighed eller uautoriseret adgang til data.
Ad a.
Lovforslaget ændrer ikke ved, at patienten stadig skal give et informeret samtykke til, at selve behandlingen kan foretages, jf. sundhedslovens § 15.
Såfremt patienten ikke ønsker, at der indhentes helbredsoplysninger af f.eks. den behandlende læge, når det er nødvendigt i forbindelse med en aktuel behandling, kan patienten efter lovforslagets § 1, nr.13 ( § 42 a, stk. 4), frabede sig dette. Patienten skal informeres om sige-fra-adgangen. Patienten vil således efter forslaget selv regulere, hvem der skal have adgang til oplysninger om patienten i en elektronisk patientjournal.
Denne sige-fra-adgang er i naturlig forlængelse af den gældende regel i § 24, stk. 2, nr. 1, i lov om patienters retsstilling, der videreføres i sundhedslovens § 41, stk. 2, nr. 1, hvorefter der uden patientens samtykke kan videregives helbredsoplysninger m.v., når det er nødvendigt af hensyn til et aktuelt behandlingsforløb for patienten, og videregivelsen sker under hensyntagen til patientens interesse og behov.
Â
Den foreslÃ¥ede adgang i lovforslaget til uden patientens samtykke at indhente oplysninger i forbindelse med aktuel behandling omhandler situationer, hvor patienter mÃ¥ antages at finde det naturligt – og ofte ligefrem forventer – at lægen, sygeplejersken eller jordemoderen genbruger de oplysninger fra patientens tidligere kontakter med sygehusvæsenet, som er nødvendige for at kunne give den bedst mulige behandling. I disse situationer vil et samtykkekrav kunne virke formalistisk og unødvendigt. Patienten har med sige-fra-adgangen fortsat â€nøglen†til egne oplysninger. LÃ¥sen er med en sige-fra-model imidlertid blot Ã¥ben, indtil patienten vælger at lÃ¥se den. I modsætning hertil indebærer en samtykke-model, at lÃ¥sen først Ã¥bnes, nÃ¥r patienten konkret lÃ¥ser op. Det er min opfattelse, at lÃ¥sen i udgangspunkt skal være Ã¥ben, da langt de fleste patienter som nævnt mÃ¥ antages at finde dette naturligt og ogsÃ¥ ligefrem forventer dette.
Patienten vil efter lovforslaget have ret til at sige fra over for elektronisk indhentning af helbredsoplysninger både generelt i forhold til alle læger, sygeplejersker og jordemødre og konkret i forhold til en enkelt bestemt læge, sygeplejerske eller jordemoder.
Sundhedsstyrelsen har oplyst, at det principielt er teknisk muligt på det enkelte sygehus at blokere fuldstændig for, at alle sundhedspersoner på det pågældende sygehus ved et almindeligt opslag i sygehusets elektroniske systemer kan få adgang til helbredsoplysninger om en bestemt patient. Det vil i dag ofte forudsætte en systemteknisk nedlukning i forskellige elektroniske systemer på det pågældende sygehus. Sundhedsstyrelsen har endvidere oplyst, at en systemteknisk nedlukning i den situation, hvor en patient konkret frabeder sig at en enkelt læge, sygeplejerske eller jordemoder elektronisk indhenter patientens helbredsoplysninger vil kræve en nyudvikling af brugerstyringen på sygehusene.
Jeg er ikke enig i, at retten til at frabede sig indhentning af oplysninger er illusorisk, blot fordi den systemtekniske adgang ikke i alle tilfælde lukkes som følge af en tilkendelse om, at en patient frabeder sig indhentning af oplysninger. Hvor der ikke systemteknisk blokeres for oplysninger, hviler systemet på tillid og en efterfølgende mulighed for logning, kontrol og straf i forhold til den læge, sygeplejerske og jordemoder som, trods en patient frabeder sig det, indhenter oplysninger alligevel.
Jeg kan i den forbindelse henvise til besvarelse af spørgsmål nr. 15, hvori de persondataretlige krav til logning og kontrol er beskrevet, samt beskrivelse af lovforslagets strafbestemmelser i besvarelse af spørgsmål nr. 25.
Ad b.
Afgrænsningen af, hvilke typer oplysninger der efter lovforslagets § 1, nr. 13 (§ 42 a) kan indhentes, er hverken mere eller mindre vidtgående, end tilfældet er i den allerede gældende lovgivning. I den gældende § 24 i lov om patienters retsstilling – der videreføres i § 41 i sundhedsloven – er samme afgrænsning dvs. oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.
Der vil, når der er tale om andre oplysninger end om helbredsforhold, typisk være tale om oplysninger, som patienten eller patientens pårørende selv har givet en sundhedsperson i forbindelse med en behandling. Andre oplysninger end helbredsoplysninger kan for eksempel være oplysninger om sociale forhold eller misbrugsforhold.
Det kan ikke udelukkes, at det for en sundhedsperson kan være nødvendigt at få kendskab til allerede givne oplysninger om andet end helbredsforhold i forbindelse med en aktuel behandling for at give patienten den optimale behandling.
En sundhedsperson må selvsagt ikke anmode en patient om andre oplysninger end helbredsoplysninger, hvis der ikke er et sagligt behov herfor.
Ad c.
For så vidt datasikkerhed, herunder krav om autorisation og adgangskontrol, er dette reguleret i den persondataretlige lovgivning. Således findes der i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning § 11 og § 12 regler om autorisation og adgangskontrol. Efter § 11 må kun autoriserede personer have adgang til de personoplysninger, som behandles, og der må kun autoriseres personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Efter § 12 skal der træffes foranstaltninger som sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
De elektroniske patientjournal-systemer, der allerede findes i dag, skal således respektere de gældende regler herom.
Lovgivningen om behandling af personoplysninger henhører under Justitsministeriets ressort. Datatilsynet administrerer reglerne og fører tilsyn med deres overholdelse.
Selv om lovforslaget ikke direkte regulerer spørgsmålet om teknisk adgang og den sikkerhedsmæssige forebyggelse af misbrug, er det således på ingen måde udtryk for, at der er tale om et ureguleret område.