"Ministeren bedes kommentere materiale modtaget af Råd for IT- og Persondatasikkerhed ved møde den 22. november 2006, jf. L 50 - bilag 25."
Indenrigs- og Sundhedsministeriet har forstået materialet modtaget fra Råd for IT- og Persondatasikkerhed således, at rådet finder, at man bør sigte efter en national IT- og EPJ-strategi, samt at rådet udtrykker bekymring for datasikkerheden i overgangsfasen, til der er fastlagt en national IT- og EPJ-strategi.
Indenrigs- og Sundhedsministeriet deler ikke denne bekymring.
Der eksisterer allerede i dag elektroniske patientjournaler i sundhedsvæsenet, og datasikkerheden for disse journaler er allerede i dag reguleret.
Â
Der er således i de allerede gældende persondataretlige regler krav om, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysning hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondataloven, jf. lov om behandling af personoplysninger § 41, stk. 3.
Den dataansvarlige er i lov om behandling af personoplysninger § 3, nr. 4, defineret som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller samme med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
I den gældende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelse) er der fastsat en lang række sikkerhedskrav, herunder krav om autorisation, adgangskontrol og logning, som den dataansvarlige skal iagttage. Jeg kan i den forbindelse henvise til besvarelse af spørgsmål 15 og 16.
Lovgivningen om behandling af personoplysninger henhører under Justitsministeriets ressort. Datatilsynet administrerer reglerne og fører tilsyn med deres overholdelse.
Problemstillingen vedrørende centrale sikkerheds- og brugerstyringsløsninger er et emne, som den nye centrale EPJ-organisation skal behandle som en del af arbejdet med udviklingen og implementeringen af en ny samlet IT- og EPJ-strategi for sundhedsvæsenet. Når den centrale EPJ-organisation har færdiggjort sine overvejelser, vil der blive taget stilling til, hvorvidt der er behov for, at indenrigs- og sundhedsministeren som foreslået i lovforslagets § 1, nr. 31 (§ 193 a) fastsætter krav til sundhedsvæsenets IT-anvendelse, herunder IT-sikkerhed, samt til godkendelse heraf, eksempelvis i form af en certificeringsprocedure som styringsredskab, såfremt der er behov herfor for f.eks. at sikre effektiv gennemførelse.