Indenrigs- og Sundhedsministeriet

Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 99 L50 besvarelse

 

Besvarelse af spørgsmål nr. 99 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 22. november 2006

 

Spørgsmål 99:

"Ministeren bedes kommentere materiale modtaget af Michael Erichsen, PROSA ved ekspertmøde den 22. november 2006, jf. L 50 – bilag 27."

 

Svar:

Indenrigs- og Sundhedsministeriet har forstået materialet således, at PROSA finder, at en rollebaseret adgang til data vil være en god måde at regulere adgang til personoplysninger til elektroniske patientjournaler.

 

Sundhedsstyrelsen har oplyst, at styrelsen er positiv overfor at anvende rollebaseret sikkerhed i forbindelse med adgang til personoplysninger i elektroniske patientjournaler. Sundhedsstyrelsen har oplyst, at informationerne kan gøres tilgængelige for sundhedspersonerne, efter hvilken rolle de har i patientbehandlingen. Sundhedsstyrelsen har endvidere oplyst, at en gradueret adgang efter denne model imidlertid kræver veldefinerede og standardiserede roller. Dette er ikke altid tilfældet, idet en sundhedsperson kan have flere roller (f.eks. praktiserende læge, vagtlæge). Sundhedsstyrelsen har desuden oplyst, at skal der anvendes rollebaseret sikkerhed i forbindelse med adgang til personoplysninger, kræver det endvidere, at informationerne er typificeret, og at data er struktureret. Sundhedsstyrelsen har udarbejdet en datastruktur for elektroniske patientjournaler (GEPJ) bl.a. af denne årsag.

 

Sundhedsstyrelsen har endvidere med glæde noteret sig PROSA’s anbefaling om at læse ”IT-sikkerhedsvejledningen for sygehuse fra 2002”.

 

Sikkerheds- og brugerstyringsproblematikker er et vedvarende tema i overvejelserne for den fremtidige EPJ-udvikling. Jeg er opmærksom på, at kravene til EPJ-løsningernes samlede IT-sikkerhed, særligt i form af systemtekniske adgangsbegrænsninger, øges med målsætningen om styrkelse af en elektronisk patientjournal, der understøtter et sammenhængende patientforløb på tværs af sundhedsvæsenets sektorer, baseret på pålidelige og opdaterede patientdata. Det er imidlertid den nye centrale EPJ-organisation, der i første omgang skal behandle denne problemstilling, herunder spørgsmålet om de tekniske muligheder og begrænsninger. Ligeledes vil det også i første omgang være op til den centrale EPJ-organisation at drøfte behovet for en central sikkerheds- og brugerstyringsløsning.

 

Når den centrale EPJ-organisation har færdiggjort sine overvejelser, vil der blive taget stilling til, hvorvidt der er behov for, at indenrigs- og sundhedsministeren som foreslået i lovforslagets § 1, nr. 31 (§ 193 a) fastsætter krav til sundhedsvæsenets IT-anvendelse, herunder IT-sikkerhed, samt til godkendelse heraf, eksempelvis i form af en certificeringsprocedure som styringsredskab, såfremt der er behov herfor for f.eks. at sikre effektiv gennemførelse.