Besvarelse af spørgsmål nr. 244 (Alm. del), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 31. januar 2006

 

Spørgsmål 244:

"Med henvisning til Systematic Software Engineering A/S foretræde for udvalget den 19. januar 2006 om EPJ, jf. alm. del – bilag 211 og 243, bedes ministeren tilsende udvalget et notat, der udførligt redegør for, hvilke juridiske og praktiske problemstillinger der er forbundet med det gældende lovgrundlag i bl.a. patientdataloven, lov om patienters retsstilling og persondataloven i forhold til videregivelse af oplysninger i patientjournaler, samkøring af registre m.v. Det bedes herunder også oplyst, hvilke problemstillinger det giver anledning til, at patientoplysninger fremover kan indhentes elektronisk i forhold til den situation, hvor det er en læge, der konkret beslutter hvilke oplysninger i en patientjournal, der kan videregives. I notatet bedes bl.a. også redegjort for

 

-          i hvilket omfang gældende regler er til hinder for udveksling af relevante oplysninger,

-          afgrænsningen af hvem, der skal have adgang til hvilke oplysninger,

-          hvem der træffer afgørelse herom, og

-          hvem der har ansvaret for registreringer i EPJ, herunder registreringer om, hvem som har adgang til hvilke oplysninger.”

                   

 

Svar:

Udvalgets spørgsmål rummer en række problemstillinger, der er relevante og aktuelle.

 

Patientretsstillingsloven og persondataloven

Helt generelt kan jeg oplyse, at de to centrale love på området er patientretsstillingsloven og persondataloven. Patientretsstillingsloven regulerer blandt andet, i hvilket omfang sundhedspersoner må videregive helbredsoplysninger m.v. til andre sundhedspersoner i forbindelse med behandling af patienter. Persondataloven fastlægger krav om sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger.

 

Patientretsstillingslovens krav er teknologiuafhængige, dvs. de skal opfyldes, uanset hvilken teknologi der anvendes ved behandling af oplysningerne.

 

Jeg kan oplyse, at hovedreglen i patientretsstillingslovens § 24, stk. 1, er, at videregivelse af helbredsoplysninger og andre fortrolige oplysninger mellem sundhedspersoner i forbindelse med behandling kræver patientens samtykke. Der er tre undtagelser hertil, som følger af patientretsstillingslovens § 24, stk. 2.

 

Den væsentligste undtagelse er, at fortrolige oplysninger kan videregives uden samtykke, når det er nødvendigt af hensyn til et aktuelt behandlingsforløb for patienten, og videregivelsen sker under hensyntagen til patientens interesse og behov. Dette følger af lovens § 24, stk. 2, nr. 1. Patienten kan dog på ethvert tidspunkt af det aktuelle behandlingsforløb frabede sig, at oplysninger videregives (sige-fra-adgang). I § 24, stk. 2, nr. 2 er fastsat en anden undtagelse fra hovedreglen i stk. 1, om at patienten skal give samtykke til videregivelse af helbredsoplysninger. Efter bestemmelsen kan der ske videregivelse af oplysninger, såfremt videregivelsen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af patientens eget eller andres tarv. Efter § 24, stk. 2, nr. 3, kan der ske videregivelse af oplysninger uden patientens samtykke til patientens praktiserende læge fra en læge, der virker som stedfortræder for denne.

 

Hvem træffer afgørelse om videregivelse af oplysninger

De gældende regler i patientretsstillingslovens § 24 bygger på, at der altid er to sundhedspersoner involveret, hvis der er behov for, at fortrolige oplysninger, herunder helbredsoplysninger, videregives fra f.eks. en læge til en anden læge. Den læge, der allerede har behandlet en patient, har kompetencen i henhold til lovens § 24, stk. 4, til at tage stilling til, om en fortrolig oplysning kan videregives til en ny behandlende læge. Den ”oprindelige” læge har herunder kompetencen til at tage stilling til, præcis hvilke oplysninger der er nødvendige for den nye læge til den aktuelle behandling af patienten. Der er tale om et regelsæt, der er møntet på en situation, hvor helbredsoplysninger findes i papirbaserede patientjournaler.

 

I Sundhedsstyrelsens bekendtgørelse nr. 665 af 14. september 1998 om information og samtykke og om videregivelse af helbredsoplysninger mv. er der fastsat nærmere regler om videregivelse af helbredsoplysninger m.v. efter patientretsstillingslovens § 24, stk. 6.

 

Det følger af bekendtgørelsens § 17, stk. 1, at ansvaret for, at der foreligger det nødvendige informerede samtykke til behandling og til videregivelse af helbredsoplysninger m.v., påhviler den for behandlingen ansvarlige sundhedsperson. Efter bekendtgørelsens § 19 skal den for behandlingen ansvarlige sundhedsperson sørge for, at det af patientjournalen fremgår, hvilken information, der er givet, og hvad patienten på denne baggrund har tilkendegivet i relation til behandling eller til videregivelse af helbredsoplysninger mv. til behandling eller til andre formål. Det skal også af patientjournalen fremgå, hvilke helbredsoplysninger, der er behandlet, til hvilket formål, hvem der har modtaget oplysningerne og tilgængelig information om, hvorfra disse oplysninger stammer.

 

Journalføringspligten påhviler den for undersøgelsen, behandlingen mv. ansvarlige læge. Den enkelte læge er ansvarlig for sine og en eventuel medhjælps optegnelser i journalen. Dette følger af § 18 i bekendtgørelse nr. 846 af 13. oktober 2003 om lægers pligt til at føre ordnede optegnelser.

 

Persondataloven og datasikkerhed

For så vidt angår persondatalovens regler kan jeg oplyse, at lovens regler om datasikkerhed supplerer patientretsstillingsloven.

 

Det fremgår af persondatalovens § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Persondatalovens § 5, stk. 2, indeholder blandt andet et krav om, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål. Lovens § 5, stk. 3, indeholder et krav om, at oplysninger, som behandles skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles og de formål, hvortil oplysningerne senere behandles. Det er således afgørende, at der er tale om et sagligt og anerkendelsesværdigt formål med behandlingen af oplysningerne for at leve op til persondatalovens regler. Behandlingen af oplysningerne må ikke omfatte mere, end hvad der kræves for at kunne leve op til formålene med EPJ. Der skal være proportionalitet mellem indsamling og registrering af helbredsoplysninger og formålene med EPJ, som blandt andet er forbedret patientsikkerhed samt en hurtigere og mere effektiv patientbehandling.

 

Efter persondatalovens § 7, stk. 1, må der ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Efter lovens § 7, stk. 5, kan der dog undtagelsesvis behandles sådanne oplysninger, hvis behandlingen er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt. Persondatalovens § 7, stk. 5 stiller således ikke krav om, at patientens samtykke skal indhentes for at helbredsoplysninger kan udveksles til for eksempel behandlingsformål.

 

Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Hvis EPJ er teknisk indrettet sådan, at alle sundhedspersoner i princippet har teknisk adgang til alle oplysninger vedrørende patienter, der er registreret i EPJ, rejser det spørgsmål om foreneligheden med § 41, stk. 3.

 

De nærmere regler om kravene til sikkerhedsforanstaltninger er fastsat i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Reglerne i sikkerhedsbekendtgørelsen §§ 11 og 19 vedrørende autorisation og adgangskontrol samt maskinel registrering af anvendelsen af personoplysninger (logning) er centrale for EPJ.

Det følger af sikkerhedsbekendtgørelsens § 11, stk. 1, at kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Efter bestemmelsens stk. 2, må der kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.

 

Det følger af bestemmelsen i § 19, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.

 

For så vidt angår den fremadrettede proces afventes Datatilsynets varslede stillingtagen efter Datarådets møde den 21. juni 2006 vedrørende Amtsrådsforeningens e-journal projekt, som rejser nogle af de samme spørgsmål vedrørende databeskyttelse og sikkerhed som elektroniske patientjournaler. Ministeriet vil naturligvis forholde sig til de juridiske og tekniske aspekter i den forbindelse og inddrage dem i den videre løsningsorienterede proces i tæt samarbejde med Datatilsynet og regionerne.