Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 110 L50 besvarelse

 


Besvarelse af spørgsmål nr. 110 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 23. november 2006

 

Spørgsmål 110:

"Kan ministeren bekræfte, at man i Norge og England har haft tilsvarende debat om tekniske muligheder for begrænset/gradueret adgang til oplysninger i elektroniske patientjournaler, og at man i disse to lande skulle have fundet en løsning herpå? I givet fald bedes beskrevet de to landes løsningsmodeller. Vil ministeren herunder specifikt kommentere, at man i den norske lovgivning om EPJ skulle have løst problemet med social- og sundhedspersonalets adgang til EPJ?"

 

Svar:

 

Sundhedsstyrelsen har oplyst, at man i såvel Norge som England har diskuteret konfidentialitet i forbindelse med EPJ, herunder mulighederne for at begrænse adgangen til data der vedrører patienten

 

Sundhedsstyrelsen har oplyst, at der i Norge i august 2006 er vedtaget en ”norm for informasjonsikkerhet i helsesektoren”. Normen er en sammenskrivning af de love og bestemmelser, der findes på området. Normen udpeger ledelsen som havende ”databehandlingsansvaret” og ansvaret for at ansøge datatilsynet. Den stiller krav om dokumentation af gennemførte sikkerhedsrutiner. Den beskriver sammenhængen mellem konfidencialitet og tilgængelighed, liste over hvilke behandlinger af personoplysninger der udføres og risikovurdering. Normen beskriver tavshedspligt, teknisk og organisatorisk adgangsstyring og kontrollerende foranstaltninger. Adgang til sundhedsoplysninger gives til autoriseret personale, efter at det er besluttet, at patienten er taget i behandling. Adgangen skal styres således, at personoplysninger ikke gives til andre end dem, som har behov for det i forbindelse med udøvelsen af sit arbejde. Indholdet i den norske ”sikkerhedsnorm” svarer stort set til indholdet i den ”IT-sikkerhedsvejledning for sygehuse”, som Sundhedsstyrelsen udsendte i 2002.

 

For så vidt norsk lovgivnings regulering af social- og sundhedspersonalets adgang til EPJ har Sundhedsstyrelsen oplyst, at autorisation kun kan gives i det omfang, det er nødvendigt for vedkommendes arbejde, er begrundet i tjenstligt behov og i henhold til reglerne om tavshedspligt. Det er kun sådanne personer, der kan gives adgang til helbreds- og personoplysninger. For personer, som har forskellige ”roller”, skal autorisation ske for hver rolle uafhængig af vedkommendes øvrige roller. Kun en af it-systemet autoriseret person kan få adgang til sundheds- og personoplysninger. Adgang skal gives efter en konkret vurdering baseret på, at der er iværksat eller skal iværksættes tiltag til medicinsk behandling af patienten. Adgang skal styres således, at tavshedspligtsreglerne iagttages, og at adgang til helbreds- og personoplysninger ikke gives til andre den dem, der har tjenstligt behov.

 

Sundhedsstyrelsen har endvidere oplyst, at i England har NHS (National Health Service – det engelske sundhedsvæsen) behandlet problematikken i flere dokumenter fra hhv. 2003 og 2005. I ”The clinical development of the NHS care record service” beskrives, hvordan en rollebaseret adgang til patientdata kan indføres. I praksis udstyres ca. 880.000 sundhedsprofessionelle med et ”chipkort”, hvor den enkelte behandlers rolle(r) er lagt ind. Denne del af projektet er allerede påbegyndt. Rollen tager udgangspunkt i behandlerens relation til patienten, dels hvilken funktion behandleren har, hvilket typisk tager udgangspunkt i hans uddannelse (f.eks. læge, specialist). Dernæst kan f.eks. lægen som udgangspunkt kun få adgang til oplysninger om patienter, der er indlagt på den institution, hvor han er ansat eller tilknyttet. Det er yderligere beskrevet, at der skal kunne gives udvidet adgang i akutte situationer, og at behandlernes aktivitet skal ”logges”.

 

Herudover har man i England oprettet en hjemmeside (”HealthSpace”), hvor man fra 2008 skal kunne læse sin egen journal og angive, om muligheden for opslag i dele af journalen skal omfattes af skærpede begrænsninger. Man etablerer således en teknisk løsning, hvor man vil inddrage patientens egenforvaltning i reguleringen af adgang til følsomme data.