Retsudvalget 2014-15 (1. samling)
REU Alm.del Bilag 158
Offentligt
Region Midtjylland
Skottenborg 26
Postboks 21
8800 Viborg
Att.: Regionsrådet
v. regionsrådsformand Bent Hansen
30. januar 2015
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
www.datatilsynet.dk
J.nr.
2012-622-0004
2014-
632-0075
Sagsbehandler
Maiken Christensen
Direkte 3319 3224
Vedrørende Region Midtjyllands fælles elektroniske patientjournal
(MidtEPJ)
1.
Datatilsynet har gennem længere tid korresponderet med Region Midtjyl-
land om brugeradgangen i MidtEPJ til elektroniske patientoplysninger og om
opfølgningen på en inspektion, som tilsynet tidligere har gennemført på Regi-
onshospitalet Randers.
Datatilsynet skal – efter at sagen har været behandlet i Datarådet – sammen-
fattende udtale følgende:
1.1 Region Midtjylland har bevidst valgt at indrette MidtEPJ sådan, at
samtlige autoriserede personalegrupper, inden for de ”roller” de er
blevet tildelt, har adgang til oplysninger om alle patienter, der er eller
har været i behandling i Region Midtjylland. Der er således ikke etab-
leret tekniske foranstaltninger for nogen brugerroller, som begrænser
adgangen til patientoplysninger på tværs af regionens forskellige be-
handlingsenheder eller som på anden måde teknisk hindrer, at der kan
ske uberettigede opslag i systemet.
En sådan indretning af EPJ-systemet er efter Datatilsynets opfattelse
kritisabel og ikke i overensstemmelse med persondatalovens regler om
saglighed, proportionalitet og behandlingssikkerhed, jf. § 5 og § 41, li-
gesom kravene i sikkerhedsbekendtgørelsens § 11, stk. 2, ikke kan an-
ses for opfyldt. Efter de oplysninger, som Datatilsynet har kunnet få
fra regionen, er det således tilsynets vurdering, at i hvert fald nogle au-
toriserede personalegrupper har adgang til oplysninger, som de må an-
tages ikke at have behov for i deres opgaveløsning.
Datatilsynet skal i den forbindelse også pege på sundhedslovens § 42
a, stk. 2, som omhandler adgangen for andre sundhedspersoner end de,
der er omfattet af § 42 a, stk. 1
1
, til at indhente oplysninger ved ”op-
slag i elektroniske systemer, hvori adgangen for den pågældende
sundhedsperson teknisk er begrænset til de patienter, der er i behand-
1
§ 42 a, stk. 1, omfatter læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker,
social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence.