Sundhedsudvalget 2010-11 (1. samling)
L 171 Bilag 7
Offentligt
1001147_0001.png
1001147_0002.png
1001147_0003.png
1001147_0004.png
1001147_0005.png
1001147_0006.png
1001147_0007.png
1001147_0008.png
Til lovforslag nr.L forslagsnummer
Folketinget -NaN (x. samling)
Betænkning afgivet af Sundhedsudvalget den 18. maj 2011
Betænkningover
Forslag til lov om ændring af sundhedsloven(Udvidet adgang til offentlige registre og elektroniske patientjournaler m.v.)[af indenrigs- og sundhedsministeren (Bertel Haarder)]1. ÆndringsforslagIndenrigs- og sundhedsministeren har stillet 1 ændrings-forslag til lovforslaget.2. UdvalgsarbejdetLovforslaget blev fremsat den 23. marts 2011 og var til 1.behandling den 31. marts 2011. Lovforslaget blev efter 1.behandling henvist til behandling i Sundhedsudvalget.MøderUdvalget har behandlet lovforslaget i 3 møder.HøringEt udkast til lovforslaget har inden fremsættelsen væretsendt i høring, og indenrigs- og sundhedsministeren sendteden 11. februar 2011 dette udkast til udvalget, jf. SUU alm.del – bilag 166. Den 25. marts 2011 sendte indenrigs- ogsundhedsministeren de indkomne høringssvar og et notatherom til udvalget.SpørgsmålUdvalget har stillet 19 spørgsmål til indenrigs- og sund-hedsministeren til skriftlig besvarelse, som denne har besva-ret. Et af udvalgets spørgsmål og ministerens svar er optryktsom bilag 2 til betænkningen.3. Indstillinger og politiske bemærkningerEtflertali udvalget (udvalget med undtagelse af EL) ind-stiller lovforslaget tilvedtagelsemed det stillede ændrings-forslag.Flertallet ser frem til, at hele landet er dækket af et vel-fungerende elektronisk patientjournalsystem, der kan korre-spondere på tværs af sundhedsinstitutionerne til gavn for pa-tientbehandlingen og til lettelse for de sundhedspersoner,der er omkring den enkelte patient.Flertallet har noteret sig, at der i det notat, der er omdeltpå bilag 5, er skrevet en tydeliggørelse af, at det ikke er sig-tet med de elektroniske patientjournaler, at alle aktører, derhar en uddannelse inden for medicin og sundhed, skal kunneindhente oplysninger i disse. Det er således et krav, at den,der indhenter oplysninger ved opslag i et EPJ-system, skalvære sundhedsperson, der deltager i patientbehandling. Derkræves endvidere en patient-behandler-relation mellem pa-tienten og vedkommende sundhedsperson.Inden for flere behandlingsformer deltager ikkesundheds-personer i den helhedsbehandling, patienten har brug for.Det er derfor vigtigt, at de har den fornødne konkrete videnom den pågældende patient, til at de kan gennemføre deresdel arbejdet med patienten. Det egentlige sundhedspersonaleskal derfor være bekendt med, at de har et særligt ansvar forat gøre ansatte fra andre faggrupper bekendt med journalfør-te oplysninger, der har betydning patientens samlede be-handling.Etmindretali udvalget (EL) indstiller lovforslaget tilfor-kastelseved 3. behandling. Mindretallet stemmer imod detstillede ændringsforslag.Liberal Alliance, Kristendemokraterne, Inuit Ataqatigiit,Siumut, Tjóðveldi og Sambandsflokkurin var på tidspunktetfor betænkningens afgivelse ikke repræsenteret med med-lemmer i udvalget og havde dermed ikke adgang til at kom-me med indstillinger eller politiske udtalelser i betænknin-gen.En oversigt over Folketingets sammensætning er optrykti betænkningen.4. Ændringsforslag med bemærkningerÆndringsforslagAfindenrigs- og sundhedsministeren,tiltrådt af etflertal(udvalget med undtagelse af EL):
DocIDJournalnummer
2
Til § 11)Efter nr. 6 indsættes som nye numre:»01.I§ 42 aindsættes somstk. 10:»Stk. 10.Uden for de i stk. 1-9 nævnte tilfælde kan lægerog sygehusansatte tandlæger under disses ansvar med pa-tientens samtykke lade andre, der er tilknyttet samme be-handlingsenhed, hvor patienten er i behandling, i fornødentomfang indhente oplysninger om patienten som nævnt i stk.1, 1. pkt., når det er nødvendigt i forbindelse med aktuel be-handling af patienten som led i den samlede sundhedsfagligeindsats.«02.I§ 42 b, stk. 1, 1. pkt.,ændres »§ 42 a, stk. 6« til: »§ 42a, stk. 6 og 10«.03.I§ 42 b, stk. 1, 2. pkt.,indsættes efter »oplysningerne«:», eller under hvis ansvar oplysningerne indhentes«.«[Andre sygehusansatte m.fl.’s adgang til elektronisk ind-hentning af patientoplysninger]BemærkningerTil nr. 1Ad nr. 01Andre personer end sundhedspersoner, som er ansat isundhedsvæsenet, kan f.eks. yde en særlig pædagogisk ogpsykologisk støtte i forbindelse med aktuel behandling af enpatient som led i den samlede sundhedsfaglige indsats. I denforbindelse vil der i nogle tilfælde kunne opstå situationer,hvor de pågældende kan have behov for oplysninger fra pa-tientjournalen. Lovforslaget tilsigter på nærmere betingelserat give dem adgang til elektronisk indhentning af oplysnin-ger fra patientjournalen for i sådanne situationer at lette de-res arbejde og dermed understøtte sammenhæng, høj kvali-tet, vidensdeling og sikkerhed i patientbehandlingen.Det er for lovforslaget helt grundlæggende, at der på denene side tages behørigt hensyn til, at der er tale om adgangtil særligt personfølsomme oplysninger, og at der på den an-den side tages hensyn til at sikre det bedst mulige behand-lingsgrundlag.Udgangspunktet er, at der ikke gives ikkesundhedsperso-ner ansat i sundhedsvæsenet adgang til elektronisk indhent-ning af helbredsoplysninger m.v. om enkelte patienter i pa-tientjournaler.I det omfang sådanne ikkesundhedspersoner undtagelses-vis deltager i den sundhedsfaglige behandling på en autori-seret sundhedspersons vegne, vil de optræde som sundheds-personer og dermed være omfattet af adgangen efter dengældende regel i sundhedslovens § 42 a, stk. 2, til elektro-nisk indhentning af aktuelle helbredsoplysninger m.v. omden pågældende patient, der er tilknyttet samme behand-lingsenhed som vedkommende ansatte, når det er nødven-digt til brug for aktuel behandling af patienten.Til brug for sådanne ansattes indsats i tilknytning tilsundhedsfaglig patientbehandling, f.eks. pædagogisk ogpsykologisk arbejde, der må ses som et led i den samledesundhedsfaglige indsats, vil der i nogle tilfælde, uagtet at de
pågældende ansatte derved ikke optræder som sundhedsper-soner, i begrænset omfang kunne opstå situationer, hvor depågældende ansatte måtte have behov for oplysninger frapatientjournalen. En adgang til elektronisk indhentning afoplysningerne fra patientjournalen vil i så fald kunne lettede pågældendes arbejde.Det må imidlertid anses for tvivlsomt, om sådanne fag-grupper, der ikke selv udfører egentlige sundhedsfaglige op-gaver inden for sundhedsvæsenet, men alene opgaver i til-knytning hertil, kan anses som værende omfattet af undta-gelsesbestemmelsen i persondatalovens § 7, stk. 5, om data-behandling, der foretages af en person inden for sundheds-sektoren, der efter lovgivningen er undergivet tavshedspligt.Sådanne faggruppers adgang til helbredsoplysninger m.v.om patienter kan finde sted efter de øvrige databehandlings-regler i persondatalovens § 7, som forudsætter samtykke fraden, oplysningerne vedrører, og i øvrigt forudsætter, at op-lysningerne er nødvendige til brug for den opgave, den på-gældende skal varetage.Den foreslåede ændring af § 42 a imødekommer det be-grænsede behov, som andre faggrupper end sundhedsperso-ner måtte have for at kunne indhente oplysninger fra en pa-tientjournal til brug for deres ikkesundhedsfaglige arbejde,ved at give disse andre faggrupper mulighed for – på en læ-ges eller sygehusansat tandlæges ansvar og efter dennes be-myndigelse – at indhente de fornødne såvel aktuelle som hi-storiske oplysninger, som er nødvendige for deres indsats tilstøtte for den sundhedsfaglige behandling af patienten. Op-lysningerne vil for at sikre overensstemmelse med personda-tarettens regler i givet fald skulle indhentes med patientenssamtykke. For en patient, der ikke selv kan varetage sine in-teresser, indtræder efter sundhedslovens § 14 den eller de,som efter lovgivningen er bemyndiget hertil, i patientensrettigheder efter samme lovs §§ 15-51, i det omfang det ernødvendigt for at varetage patientens interesser i den pågæl-dende situation. Eksempelvis skal der ved børn under 15 årindhentes samtykke fra forældremyndighedens indehaver.Den foreslåede ændring af § 42 a vil tillige – på en lægeseller en sygehusansat tandlæges ansvar og efter dennes be-myndigelse – omfatte de grupper af sundhedspersoner, somikke er omfattet af den foreslåede udvidelse af § 42 a, stk. 1,jf. lovforslagets § 1, nr. 1. – medmindre de pågældende haren aktuel ret til opslag i de nævnte oplysninger i henhold tilministerens udnyttelse af bemyndigelsen i § 42 a, stk. 1, 2.pkt., i henhold til behandlingsstedets ledelses udnyttelse afbemyndigelsen i § 42 a, stk. 4, eller i henhold til de øvrigebestemmelser i § 42 a, jf. ordene »Uden for de i stk. 1-9nævnte tilfælde … lade andre … indhente oplysninger«. Enpotentiel ret til opslag, hvis bemyndigelserne i § 42 a, stk. 1,2. pkt., eller stk. 4, måtte blive udnyttet, er altså ikke til-strækkelig til at udelukke anvendelsen af den foreslåede §42 a, stk. 10. Det er heller ingen betingelse for at være om-fattet af § 42 a, at sundhedspersonen forinden har foretagetden i § 42 a, stk. 5, forudsatte afvejning af, om vedkommen-de har ret til opslag efter denne bestemmelse (»vær-dispringsreglen«).Det betyder, at også kiropraktorer, ergoterapeuter, fysio-terapeuter, bioanalytikere, kliniske diætister, bandagister,
3
social- og sundhedsassistenter eller andre sundhedspersonerunder de ovennævnte forudsætninger – på en læges eller sy-gehusansat tandlæges ansvar og efter dennes bemyndigelse– får samme adgang til elektroniske opslag som de nævnteandre faggrupper end sundhedspersoner, det vil sige, at depågældende faggrupper får, hvis de er tilknyttet samme be-handlingsenhed som patienten, adgang til såvel aktuelle somhistoriske oplysninger i en patientjournal, i det omfang deter nødvendigt til brug for en aktuel behandling af patienten.Den foreslåede ændring af § 42 a vil kun omfatte perso-ner, der er »tilknyttet samme behandlingsenhed, hvor pa-tienten er i behandling«. Om forståelsen af dette udtryk hen-vises til den gældende bestemmelse i sundhedslovens § 42 a,stk. 2. Den foreslåede ændring af § 42 a omfatter med andreord alene personer ansat i sundhedsvæsenet.I og med at den omhandlede elektroniske indhentning afhelbredsoplysninger vil skulle finde sted under ansvar af ogefter bemyndigelse af en læge eller en sygehusansat tandlæ-ge, sikres det, at såvel patienten som Sundhedsstyrelsen kanindbringe en sag for Sundhedsvæsenets Disciplinærnævn,hvis der i et konkret tilfælde findes at være grundlag for kri-tik af eller sanktion over for vedkommende sundhedsperson,jf. §§ 2 og 2 a i lov om klage- og erstatningsadgang inden
for sundhedsvæsenet (lovbekendtgørelse nr. 24 af 21. januar2009 som ændret ved lov nr. 706 af 25. juni 2010).En lignende ordning kendes fra sundhedslovens § 42 a,stk. 8, hvorefter læger og sygehusansatte tandlæger underdisses ansvar kan lade medicinstuderende indhente oplys-ninger som nævnt i § 42 a, stk. 1, i forbindelse med behand-ling af patienter.Ad nr. 02Som en konsekvens af den foreslåede § 42 a, stk. 10,foreslås § 42 b ændret, således at et samtykke til indhent-ning af elektroniske helbredsoplysninger efter § 42 a, stk.10, omfattes af samme formkrav som samtykke efter sund-hedslovens § 42 a, stk. 6. Det betyder, at samtykket kan væ-re mundtligt eller skriftligt og skal indføres i patientjourna-len.Ad nr. 03Som en konsekvens af den foreslåede § 42 a, stk. 10,foreslås § 42 b ændret, således at et samtykke til indhent-ning af elektroniske helbredsoplysninger efter § 42 a, stk.10, omfattes af samme formkrav som samtykke efter sund-hedslovens § 42 a, stk. 6. Det betyder, at samtykket skalmeddeles til den læge eller sygehusansatte tandlæge, underhvis ansvar indhentningen foretages.
Louise Schack Elholm (V) Preben Rudiengaard (V)fmd.Birgitte Josefsen (V) Sophie Løhde (V) Flemming Møller (V)Liselott Blixt (DF) Karin Nødgaard (DF) Vivi Kier (KF) Pia Christmas-Møller (UFG)nfmd.Sophie Hæstorp Andersen (S)Flemming Møller Mortensen (S) Karen J. Klint (S) Julie Skovsby (S) Karl H. Bornhøft (SF) Jonas Dahl (SF)Lone Dybkjær (RV) Per Clausen (EL)Liberal Alliance, Kristendemokraterne, Inuit Ataqatigiit, Siumut, Tjóðveldi og Sambandsflokkurin havde ikke medlemmer iudvalget.
Venstre, Danmarks Liberale Parti (V)Socialdemokratiet (S)Dansk Folkeparti (DF)Socialistisk Folkeparti (SF)Det Konservative Folkeparti (KF)Radikale Venstre (RV)Enhedslisten (EL)
474524231794
Liberal Alliance (LA)Kristendemokraterne (KD)Inuit Ataqatigiit (IA)Siumut (SIU)Tjóðveldi (T)Sambandsflokkurin (SP)Uden for folketingsgrupperne (UFG)
3111112
4
Bilag 1Oversigt over bilag vedrørende L 171Bilagsnr. Titel1Høringssvar og høringsnotat, fra indenrigs- og sundhedsministe-ren2Udkast til tidsplan for udvalgets behandling af lovforslaget3Tidsplan for udvalgets behandling af lovforslaget41. udkast til betænkning5Ændringsforslag og notat om visse spørgsmål i forbindelse medSundhedsudvalgets behandling af lovforslaget, fra indenrigs- ogsundhedsministeren62. udkast til betænkningOversigt over spørgsmål og svar vedrørende L 171Spm.nr.12345TitelSpm. om at sikre mod misbrug af fortrolige oplysninger, til in-denrigs- og sundhedsministeren, og ministerens svar herpåSpm. om den elektroniske patientjournal, til indenrigs- og sund-hedsministeren, og ministerens svar herpåSpm. om opslag foretaget i den elektroniske patientjournal, til in-denrigs- og sundhedsministeren, og ministerens svar herpåSpm. om at frabede sig elektronisk indhentning af informationer,til indenrigs- og sundhedsministeren, og ministerens svar herpåSpm. om minimumskrav for at frabede sig elektronisk indhent-ning af informationer, til indenrigs- og sundhedsministeren, ogministerens svar herpåSpm., om fællesregistrene omfattes af en Privacy by Design-løs-ning, til indenrigs- og sundhedsministeren, og ministerens svarherpåSpm. om kommunernes og regionernes adgang til offentligesundhedsregistre, til indenrigs- og sundhedsministeren, og mini-sterens svar herpåSpm. om at sikre, at borgeren får bedre adgang til indsigt i egneoplysninger, til indenrigs- og sundhedsministeren, og ministerenssvar herpåSpm. om sikkerhedsforanstaltninger som krævet af Datatilsynet,til indenrigs- og sundhedsministeren, og ministerens svar herpåSpm. om at indhente personfølsomme oplysninger, til indenrigs-og sundhedsministeren, og ministerens svar herpåSpm., om retten til at frabede sig elektronisk indhentning af infor-mationer respekteres, til indenrigs- og sundhedsministeren, ogministerens svar herpåSpm. om at få »privatmarkeret« visse oplysninger i den elektroni-ske patientjournal, til indenrigs- og sundhedsministeren, og mini-sterens svar herpåSpm. om kontrol af den dataansvarlige myndighed, til indenrigs-og sundhedsministeren, og ministerens svar herpå
6
7
8
91011
12
13
5
14151617
18
19
Spm. om opslag i lokale elektroniske patientjournaler, til inden-rigs- og sundhedsministeren, og ministerens svar herpåSpm. om regeringens afbureakratiseringsplaner, til indenrigs- ogsundhedsministeren, og ministerens svar herpåSpm. om kontrol i den elektroniske patientjournal, til indenrigs-og sundhedsministeren, og ministerens svar herpåSpm. om kommune og region hver for sig skal foretage analyserog udarbejde statistikker, til indenrigs- og sundhedsministeren, ogministerens svar herpåSpm. om, i hvilke tilfælde oplysninger vil kunne behandles i per-sonhenførbar form, til indenrigs- og sundhedsministeren, og mini-sterens svar herpåSpm. om, hvilke sundhedspersoner der med lovforslaget får ad-gang til patientens journal, til indenrigs- og sundhedsministeren,og ministerens svar herpå
6
Bilag 2Et af udvalgets spørgsmål til indenrigs- og sundhedsministeren og dennes svar herpåSpørgsmålet og indenrigs- og sundhedsministeren svar herpå er optrykt efter ønske fra udvalget medundtagelse af EL.Spørgsmål 1:Ministeren bedes oplyse, hvordan han vil sikre, at det ikke fører til øget misbrug af fortrolige oplysnin-ger, når langt flere får adgang til disse oplysninger set i lyset af, at der er flere eksempler på misbrug i»Redegørelse om indhentning af elektroniske helbredsoplysninger i forbindelse med patientbehandling«fra 2010.Svar:I afsnit 3.4. i Indenrigs- og Sundhedsministeriets redegørelse af 21. september 2010 om indhentning afhelbredsoplysninger i forbindelse med behandling, jf. SUU alm. del bilag 511 (Folketingsåret 2009-2010)er der omtalt følgende to eksempler på misbrug:»Ministeriet har i forhold til spørgsmålet om uberettiget indhentning af elektroniske helbredsoplysnin-ger i de øvrige tilfælde, hvor patienten ikke har afgivet negativt samtykke, noteret sig, at der har væretenkelte konkrete eksempler herpå.I februar 2009 blev en it-medarbejder ved et sygehus bortvist og politianmeldt for uberettiget at haveindhentet og videregivet oplysninger om abort fra en kvindes patientjournal.I oktober 2006 – det vil sige før vedtagelsen af sundhedslovens §§ 42 a-c – blev to læger politianmeldtfor at have søgt oplysninger i den Personlige Elektroniske Medicinprofil om 15 andre læger, der alle hav-de tilknytning til professionelle fodboldklubber her i landet.«I redegørelsens afsnit 3.4. er endvidere anført følgende:»På spørgsmålet om, hvorvidt indhentning af elektroniske helbredsoplysninger bliver logget i regioner-ne, og om der i givet fald foretages stikprøvekontroller af logningen, har Danske Regioner oplyst, at alleregioner i dag foretager logning af opslagene på de elektroniske patientjournaler, men at det ikke medsikkerhed kan siges, om stikprøvekontrol finder sted i samtlige regioner. Det er dog Danske Regionersformodning, at stikprøvekontrol er en fast del af regionernes sikkerhedsforanstaltninger, hvilket tilligefremgår af enkelte af regionernes bidrag, jf. ovenfor.«Sammenholdt med den omfattende og rutinemæssige brug af elektroniske patientjournaler gennemflere år må det på den baggrund formodes, at der kun i begrænset omfang foretages indhentning i stridmed reglerne. Jeg har grundlæggende tiltro til, at landets sundhedspersoner er deres ansvar bevidst og ret-ter sig efter, hvad de må, i stedet for hvad de kan.I den forbindelse er det vigtigt for mig at fremhæve, at lovforslaget har stort fokus på beskyttelse afoplysninger om patienternes privatliv. Det er min opfattelse, at der – også ved den foreslåede udvidelse afde grupper af sundhedspersoner, som kan indhente såvel aktuelle som historiske oplysninger om en pa-tient – i det allerede eksisterende regelsæt er et gennemgående præventivt værn mod misbrug og uberetti-get indhentning af oplysninger samt tilstrækkeligt alvorlige sanktionsmuligheder i eventuelle tilfælde he-raf.Den sundhedsretlige beskyttelseDe materielle krav til elektronisk indhentning af helbredsoplysninger m.v. i sundhedslovens § 42 a, stk.1, hvorefter sundhedspersonen til enhver tid konkret skal vurdere, om opslaget – der kun må foretages ifornødent omfang – er nødvendigt for den pågældendes aktuelle behandling af patienten, foreslås således
7
videreført. Det er med andre ord ikke tilladt at søge efter oplysninger om patienten, som ikke er relevantefor den konkret omhandlede behandling.I den forbindelse vil jeg minde om, at patienten grundlæggende har mulighed for selv at sikre sig modelektronisk indhentning af den pågældendes helbredsoplysninger m.v. – såvel konkret i forhold til enkelteoplysninger eller sundhedspersoner som generelt – ved at udnytte sin ret til at frabede sig indhentning afelektroniske helbredsoplysninger, som nævnt i min besvarelse af spørgsmål nr. 4 (L 171).Hertil kommer, at Sundhedsstyrelsen skal føre tilsyn med den sundhedsfaglige virksomhed, der udføresaf personer inden for sundhedsvæsenet, jf. sundhedslovens § 215, stk. 1. Sundhedsstyrelsens tilsyn omfat-ter også sundhedspersoner på private behandlingssteder. Sundhedsstyrelsen kan iværksætte skærpet tilsynmed den nævnte personkreds, såfremt styrelsen har en begrundet formodning om, at den pågældendesundhedspersons virksomhedsudøvelse vil udgøre en forringet sikkerhed for patienter, jf. sundhedslovens§ 215, stk. 2, 1. pkt.Sundhedsstyrelsen kan endvidere indbringe en sag for Sundhedsvæsenets Disciplinærnævn, hvis derfindes at være grundlag for kritik af eller sanktion over for en sundhedsperson, jf. § 2 a i lov om klage- ogerstatningsadgang inden for sundhedsvæsenet (lovbekendtgørelse nr. 24 af 21. januar 2009 som ændretved lov nr. 706 af 25. juni 2010)(klage- og erstatningsloven). Disciplinærnævnet behandler endvidere kla-ger fra patienter over autoriserede sundhedspersoners forhold omfattet af sundhedslovens kapitel 4–7 og 9om patienters retsstilling. Disciplinærnævnet afgiver i de nævnte sager en udtalelse om, hvorvidt sund-hedspersonen har handlet i strid med sundhedspersonens forpligtelser efter sundhedslovens kapitel 4–7 og9 om patienters retsstilling, jf. klage- og erstatningslovens § 3, herunder hvorvidt sundhedspersonen harforetaget opslag i elektroniske systemer i strid med reglerne i sundhedslovens § 42 a. Disciplinærnævnetkan herunder udtale kritik med indskærpelse eller i meget alvorlige tilfælde indbringe sagen for anklage-myndigheden. Dette følger af klage- og erstatningslovens § 3.Sundhedsstyrelsen har efter kapitel 3 i lov om autorisation af sundhedspersoner og om sundhedsfagligvirksomhed (autorisationsloven) (lovbekendtgørelse nr. 1350 af 17. december 2008 som ændret ved lovnr. 140 af 9. februar 2010, lov nr. 706 af 25. juni 2010 og lov nr. 155 af 26. februar 2011) forskelligereaktionsmuligheder overfor konkrete autoriserede sundhedspersoner, hvis virksomhedsudøvelse efterSundhedsstyrelsens vurdering udgør en forringet sikkerhed for patienterne.Den mest vidtgående sanktionsmulighed er permanent autorisationsfratagelse, som helt afskærer denpågældende fra at udføre det hverv, som autorisationen vedrører. Sundhedsstyrelsen kan også tage initia-tiv til permanent virksomhedsindskrænkning, iværksættelse af midlertidig autorisationsfratagelse ellervirksomhedsindskrænkning, give en sundhedsperson fagligt påbud eller sætte vedkommende under skær-pet tilsyn.Såfremt en sundhedsperson – som jo er undergivet en lovbestemt tavshedspligt, jf. sundhedslovens §40, stk. 1 – uberettiget indhenter helbredsoplysninger m.v. i strid med sundhedslovens § 42 a, vil den på-gældende desuden, medmindre højere straf er forskyldt efter anden lovgivning, kunne ifalde straf i formaf bøde eller fængsel indtil 4 måneder i medfør af sundhedslovens § 271, stk. 1, nr. 2.Der henvises i det hele til lovforslagets afsnit 2.1.1. om gældende regler i sundhedsloven samt afsnit2.1.3.2. om datasikkerhed.Den dataretlige beskyttelseHertil kommer den dataretlige beskyttelse af oplysninger om patienters privatliv. Offentlige og privatedataansvarlige skal – under ansvar over for Datatilsynet – træffe de fornødne tekniske og organisatoriskesikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forrin-
8
ges, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid medloven, jf. persondatalovens § 41, stk. 3.For offentlige dataansvarlige gælder ydermere kravene i Justitsministeriets bekendtgørelse nr. 528 af15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for denoffentlige forvaltning (sikkerhedsbekendtgørelsen). Kun de personer, der er autoriseret hertil, må have ad-gang til de personoplysninger, der behandles for den offentlige forvaltning, jf. sikkerhedsbekendtgørel-sens § 11, stk. 1. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoply-sningerne behandles, jf. sikkerhedsbekendtgørelsens § 11, stk. 2. De enkelte brugere må ikke autoriserestil anvendelser, som de ikke har behov for, jf. ligeledes sikkerhedsbekendtgørelsens § 11, stk. 2. Det erden dataansvarlige myndighed, der udsteder autorisationerne, og som sikrer overholdelsen af de nævnteautorisationskrav, jf. herved sikkerhedsbekendtgørelsens §§ 5 og 6. Ud over, at betingelserne i sundheds-lovens § 42 a skal være opfyldt for lovligt at foretage opslag, skal den dataansvarlige myndighed såledesaltid have tildelt en brugerautorisation til den pågældende sundhedsperson for, at vedkommende kan fåteknisk adgang til et elektronisk system, som benyttes af flere. Og en sådan brugerautorisation må kungives sundhedspersoner, der er beskæftiget med de formål, hvortil personoplysninger behandles, og om-fatte opslag, vedkommende har behov for.Ydermere er der for offentlige dataansvarlige en logningspligt. Der skal som udgangspunkt foretagesmaskinel registrering (logning) af alle anvendelser af en række fortrolige personoplysninger og følsommeoplysninger i den offentlige forvaltning. Registreringen skal mindst indeholde oplysning om tidspunkt,bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det an-vendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med etsærligt behov kan dog opbevare loggen i op til 5 år. Der henvises nærmere til sikkerhedsbekendtgørelsens§ 19. Der skal således foretages en registrering af, hvem der inden for de sidste 6 måneder har foretagetopslag i en patientjournal, og på hvilket tidspunkt opslaget foretages. Den dataansvarlige myndighed erforpligtet til ved forskellige kontrolforanstaltninger, herunder ved logning af, hvem der har foretaget op-slag, at sikre, at disse ikke uberettiget har gjort brug af den adgang, som de er autoriserede til, og kan somfølge heraf foretage stikprøvekontroller.