Besvarelse af spørgsmål nr. 43 (L 50), som Sundhedsudvalget har stillet til indenrigs- og sund­heds-ministeren den 14. november 2006

 

Spørgsmål 43:

"Finder ministeren ikke det af hensyn til patientsikkerheden er nødvendigt med en mere specifik lovregulering af de it-sikkerhedsmæssige forhold, og at bl.a. patientens frabedelsesbeskyttelse er illusorisk, hvis der ikke stilles krav om, at systemerne teknisk skal udformes således, at der i sådanne tilfælde systemteknisk kan ”låses for adgang”? Eller finder ministeren det er tilstrækkelig patientsikkerhed at basere det alene på tillid til, at ingen sundhedspersoner i sådanne tilfælde vil kunne finde på at søge oplysninger?"

 

Svar:

 

Patienten vil efter lovforslaget § 1, nr. 13 (§ 42 a, stk. 4) have ret til at sige fra over for elektronisk indhentning af helbredsoplysninger både generelt i forhold til alle læger, sygeplejersker og jordemødre og konkret i forhold til en enkelt bestemt læge, sygeplejerske eller jordemoder.

 

I min besvarelse af spørgsmål nr. 3, 37 og 38 er adgangen nærmere beskrevet. Jeg kan henvise hertil.

 

Som det fremgår af min besvarelse af spørgsmål nr. 3, er jeg ikke enig i, at retten til at frabede sig indhentning af oplysninger er illusorisk, blot fordi den systemtekniske adgang ikke i alle tilfælde lukkes som følge af en tilkendelse om, at en patient frabeder sig indhentning af oplysninger. Hvor der ikke systemteknisk blokeres for oplysninger, hviler systemet, udover på tillid, på en efterfølgende mulighed for logning, kontrol og straf i forhold til den læge, sygeplejerske og jordemoder, som, trods en patient frabeder sig det, indhenter oplysninger alligevel.

 

Jeg kan i den forbindelse henvise til besvarelse af spørgsmål nr. 15, hvori de persondataretlige krav til logning og kontrol er beskrevet, samt beskrivelse af lovforslagets strafbestemmelser i besvarelse af spørgsmål nr. 25.

 

Som jeg har redegjort for i min besvarelse af spørgsmål nr. 15 og 16, er de it-mæssige forhold, der gør sig gældende for såvel nutidige som fremtidige elektroniske patientjournaler, på ingen måde ureguleret. Persondatalovgivningen regulerer specifikt dette område.

 

Jeg er samtidig opmærksom på, at kravene til EPJ-løsningernes samlede IT-sikkerhed, særligt i form af systemtekniske adgangsbegrænsninger, stiger med målsætningen om styrkelse af en elektronisk patientjournal, der baseret på pålidelige og opdaterede patientdata, som understøtter et sammenhængende patientforløb på tværs af sundhedsvæsenets sektorer.

 

Sikkerheds- og brugerstyringsproblematikker er endvidere et vedvarende tema i overvejelserne for den fremtidige EPJ-udvikling. Det er imidlertid den nye centrale EPJ-organisation, der i første omgang skal behandle denne problemstilling, herunder spørgsmålet om de tekniske muligheder og begrænsninger. Ligeledes vil det også i første omgang være op til den centrale EPJ-organisation at drøfte behovet for en central sikkerheds- og brugerstyringsløsning.

 

Når den centrale EPJ-organisation har færdiggjort sine overvejelser, vil der blive taget stilling til, hvorvidt der er behov for, at indenrigs- og sundhedsministeren som foreslået i lovforslagets § 1, nr. 31 (§ 193 a) fastsætter krav til sundhedsvæsenets IT-anvendelse, herunder IT-sikkerhed, samt til godkendelse heraf, eksempelvis i form af en certificeringsprocedure som styringsredskab, såfremt der er behov herfor for f.eks. at sikre effektiv gennemførelse.