L 127 Forslag til lov om ændring af sundhedsloven.

(Bedre digitalt samarbejde i sundhedsvæsenet, påmindelser til forældre vedrørende børnevaccination og bestemmelser om territorial gyldighed for Færøerne og Grønland).

Af: Sundhedsminister Ellen Trane Nørby (V)
Udvalg: Sundheds- og Ældreudvalget
Samling: 2018-19 (1. samling)
Status: Stadfæstet

Lovforslag som fremsat

Fremsat: 13-12-2018

Fremsat: 13-12-2018

Fremsat den 13. december 2018 af sundhedsministeren (Ellen Trane Nørby)

20181_l127_som_fremsat.pdf
Html-version

Fremsat den 13. december 2018 af sundhedsministeren (Ellen Trane Nørby)

Forslag

til

Lov om ændring af sundhedsloven m.v.

(Bedre digitalt samarbejde i sundhedsvæsenet, påmindelser til forældre vedrørende børnevaccination og bestemmelser om territorial gyldighed for Færøerne og Grønland)

§ 1

I sundhedsloven, jf. lovbekendtgørelse nr. 1286 af 2. november 2018, som ændret ved § 39 i lov nr. 620 af 8. juni 2016, § 1 i lov nr. 254 af 6. april 2018 og lov nr. 728 af 8. juni 2018, foretages følgende ændringer:

1. I § 17, stk. 3, indsættes efter »videregivelse«: »og indhentning«, og »§§ 41-49« ændres til: »§ 41, stk. 1, § 42 a, stk. 3, § 42 d, stk. 1, § 43, stk. 1, og § 51, stk. 4«.

2. I § 40, stk. 1, § 41, stk. 1, § 42 d, stk. 1, § 43, stk. 1, og § 51, stk. 4, 1. pkt., udgår: », øvrige rent private forhold«, og i § 45 a, stk. 1, og § 198, stk. 3, udgår: »og øvrige rent private forhold«.

3. § 42 a affattes således:

»§ 42 a. Sundhedspersoner kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten.

Stk. 2. Sundhedspersoner kan endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre.

Stk. 3. Uden for de i stk. 1 og 2 nævnte tilfælde kan sundhedspersoner og andre personer, der efter lovgivningen er undergivet tavshedspligt, med patientens samtykke ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter.

Stk. 4. Andre personer, der efter lovgivningen er undergivet tavshedspligt, kan ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1, hvis det er nødvendigt af hensyn til den samlede aktuelle behandling af patienten, eller hvis det er nødvendigt med henblik på at yde teknisk bistand til sundhedspersoner omfattet af stk. 1, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.

Stk. 5. Patienten kan frabede sig, at der indhentes oplysninger efter stk. 1 og 4.

Stk. 6. Sundhedsministeren kan fastsætte nærmere regler for autoriserede sundhedspersoners adgang til at indhente oplysninger i elektroniske systemer om helbredsforhold og andre fortrolige oplysninger om en patient, der aktuelt er i behandling, og om andre patienter med henblik på at støtte sundhedspersonen i at træffe sundhedsfaglige beslutninger som led i patientbehandling. Sundhedsministeren kan endvidere fastsætte nærmere regler om de pågældende autoriserede sundhedspersoners mulighed for at anvende teknisk bistand i forbindelse med indhentning af de oplysninger, der er nævnt i 1. pkt.«

4. I § 42 b, 1. pkt., ændres »stk. 6 og 10« til: »stk. 3«, og »stk. 7« ændres til: »stk. 5«.

5. § 42 b, 2. pkt., affattes således:

»Samtykket eller tilkendegivelsen skal meddeles til behandlingsstedet eller til den sundhedsperson, der har patienten i behandling.«

6. I § 42 b indsættes som stk. 2 og 3:

»Stk. 2. En tilkendegivelse om frabedelse af indhentning af helbredsoplysninger og andre fortrolige oplysninger i et elektronisk system, som drives af en central sundhedsmyndighed, skal ske til denne myndighed, som sikrer, at tilkendegivelsen registreres i det elektroniske system.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om det samtykke, der er nævnt i § 42 a, stk. 3, og den frabedelse, der er nævnt i § 42 a, stk. 5.«

7. I § 42 c, stk. 1, indsættes efter »private«: »og offentlige«, og »en patients elektroniske patientjournal« ændres til: »elektroniske systemer inden for sundhedsvæsenet«.

8. I § 42 d, stk. 1, ændres »elektroniske systemer« til: »elektroniske patientjournaler og andre systemer, som supplerer patientjournalen,«.

9. I § 42 d indsættes efter stk. 2 som nyt stykke:

»Stk. 3. Andre personer, der efter lovgivningen er undergivet tavshedspligt, kan yde teknisk bistand til den autoriserede sundhedsperson i forbindelse med indhentning af oplysninger efter § 42 d, stk. 1, og § 42 d, stk. 2, nr. 1 og 2, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.«

Stk. 3 bliver herefter stk. 4.

10. § 42 d, stk. 3, der bliver stk. 4, 3. og 4. pkt., ophæves, og i stedet indsættes: »Tilkendegivelsen meddeles til den sundhedsperson, der er ansvarlig for oplysningerne, eller til behandlingsstedet.«

11. I § 42 e, stk. 3, indsættes efter »§ 42 d, stk. 1«: », og den tilkendegivelse, der er nævnt i § 42 d, stk. 3«.

12. I § 157 a, stk. 6, 2. pkt., ændres »påmindelser ved manglende vaccination« til: »påmindelser om vaccination«.

13. I § 157 a, stk. 11, 1. pkt., ændres »påmindelser ved manglende vaccination« til: »påmindelser om vaccination«.

14. I § 158 indsættes efter stk. 2 som nyt stykke:

»Stk. 3. Sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af stk. 2, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling, samt hvilke oplysninger regionerne skal indberette til de centrale sundhedsmyndigheder i forbindelse med refusion for afholdte udgifter til vaccinationer.«

Stk. 3 bliver herefter stk. 4.

15. I § 158 a indsættes efter stk. 4 som nyt stykke:

»Stk. 5. Sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af stk. 1, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling.«

16. § 193 b affattes således:

»§ 193 b. Sundhedsdatastyrelsen er ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold og andre fortrolige oplysninger.

Stk. 2. Oplysninger, der opbevares i den fælles digitale infrastruktur, må kun behandles, hvis det er nødvendigt med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.

Stk. 3. Sundhedsministeren fastsætter nærmere regler om driften m.v. af den i stk. 1 nævnte digitale infrastruktur og fastsætter herunder nærmere regler om

1) typen af oplysninger, der må registreres i den digitale infrastruktur,

2) pligt til opbevaring og sletning af registrerede oplysninger,

3) den registreredes direkte elektroniske adgang til de elektroniske oplysninger, der er registreret om vedkommende i den digitale infrastruktur,

4) den registreredes direkte elektroniske adgang til registrering (logning) af anvendelser af de registrerede oplysninger,

5) den dataansvarliges adgang og pligt til indberetning til den digitale infrastruktur, herunder pligt til at opdatere oplysninger hidrørende fra den digitale infrastruktur og korrigere urigtige oplysninger, herunder tekniske krav og formkrav til sådanne indberetninger, opdateringer og korrektioner,

6) tekniske og forretningsmæssige krav vedrørende sundhedspersoners og myndigheders tilslutning til den digitale infrastruktur, og

7) hvilke systemer der skal tilknyttes den digitale infrastruktur som kildesystemer.«

17. I § 195, stk. 1, udgår »efter nærmere af sundhedsministeren fastsatte regler.«

18. § 195, stk. 3, affattes således:

»Stk. 3. Sundhedsministeren fastsætter nærmere regler om, hvilke oplysninger regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger og speciallæger, samt de private personer eller institutioner, der driver sygehuse m.v., skal give til de centrale sundhedsmyndigheder m.fl. efter stk. 1. Sundhedsministeren fastsætter endvidere nærmere regler om, hvilke oplysninger alment praktiserende læger skal give til regionsrådene efter stk. 2.«

19. I § 271, stk. 1, nr. 2, ændres »stk. 1-9« til: »stk. 1-4«, og »§ 42 d« ændres til: »§ 42 d, stk. 1-3,«.

20. I § 271, stk. 3, indsættes efter » § 41, stk. 8,«: »og § 42 a, stk. 6,«.

21. I § 278, stk. 2, indsættes efter »266-268,«: »271, stk. 1, nr. 1-3, og stk. 2 og 3,«.

§ 2

I lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundheds­personer og om sundhedsfaglig virksomhed (Ændring af regler om patienters retsstilling, nedlæggelse af Lægemiddel­skade­ankenævnet, oplysningspligt ved erstatningsud­betalinger i patientskadesager, afbrydelse af forældelse i sager om patient- og lægemiddelskadeerstatninger, offentliggørelse af Sundhedsstyrelsens tilsynsrapporter ved tilbagevendende tilsyn m.v.) foretages følgende ændringer:

1. I § 5, stk. 1, udgår »og 3«.

2. § 5, stk. 3, ophæves.

§ 3

I lov nr. 430 af 3. maj 2017 om ændring af sundhedsloven (Bedre brug af helbredsoplysninger til kvalitetsarbejde og retslægeligt ligsyn og obduktion samt særligt om samtykke ved behandling af børn og unge) foretages følgende ændring:

1. I § 3 udgår »§ 1, nr. 1-17,«.

§ 4

Stk. 1. Loven træder i kraft den 1. juli 2019, jf. dog stk. 2.

Stk. 2. Sundhedsministeren fastsætter tidspunktet for ikrafttrædelse af lovens § 1, nr. 16.

§ 5

Loven gælder ikke for Færøerne og Grønland, men § 1, nr. 1-11, og nr. 19-20, kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.

Bemærkninger til lovforslaget

Almindelige bemærkninger
 
1.
Indledning og formål
 
1.1.
Lovforslagets formål
 
1.2.
Lovforslagets baggrund
2.
Bedre digitalt samarbejde i sundhedsvæsenet
 
2.1.
Gældende ret
  
2.1.1.
Videregivelse og indhentning af helbredsoplysninger m.v. til behandlingsformål (sundhedslovens §§ 41-42 c)
  
2.1.2.
Indhentning af helbredsoplysninger m.v. til andre formål end behandling (sundhedslovens § 42 d)
  
2.1.3.
Nationalt patientindeks (sundhedslovens § 193 b)
  
2.1.4.
Regler om krav til indberetning af data til centrale sundhedsmyndigheder (sundhedslovens § 195)
  
2.1.5.
Databeskyttelsesretlige regler
   
2.1.5.1.
Regler om behandling af personoplysninger
   
2.1.5.2.
Regler om behandlingssikkerhed
   
2.1.5.3.
Databehandleraftaler
   
2.1.5.4.
Tilsyn og sanktioner
   
2.1.5.5.
Forholdet mellem sundhedslovens regler og databeskyttelsesloven
 
2.2.
Sundheds- og Ældreministeriets overvejelser og den foreslåede ordning
  
2.2.1.
Etablering af en fælles digital infrastruktur til brug for patientbehandling
  
2.2.2.
Forenkling af reglerne om sundhedspersoners adgang til at indhente helbredsoplysninger m.v. i elektroniske systemer til brug for patientbehandling
  
2.2.3.
Forenkling af reglerne om adgang til at indhente helbredsoplysninger m.v. til brug for kvalitetssikring m.v.
  
2.2.4.
Styrkelse af rammerne for indberetning af oplysninger fra almen praksis til brug for patientbehandling, planlægning, kvalitetssikring m.v.
 
2.3.
Lovforslagets forhold til databeskyttelsesforordningen
3.
Påmindelser om anbefalede børnevaccinationer
 
3.1.
Gældende ret
  
3.1.1.
Påmindelser om vaccinationer
  
3.1.2.
Betaling for vaccinationer
 
3.2.
Sundheds- og Ældreministeriets overvejelser og den foreslåede ordning
4.
Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
5.
Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6.
Administrative konsekvenser for borgerne
7.
Miljømæssige konsekvenser
8.
Forholdet til EU-retten
9.
Hørte myndigheder og organisationer m.v.
10.
Sammenfattende skema


1. Indledning og formål

1.1. Lovforslagets formål

Lovforslaget har til formål at understøtte et bedre digitalt samarbejde, der giver lettere mulighed for at dele relevante oplysninger om patientens forløb mellem de sundhedspersoner, der har patienten i behandling. I dag bruger sundhedspersoner i kommunerne, i regionerne og i almen praksis unødvendig tid og ressourcer på at indhente oplysninger hos hinanden om patienter, der er i aktuel behandling. Samtidig oplever patienter, at der mangler sammenhæng i deres forløb, og at de sundhedspersoner, der har dem i behandling, ikke altid har adgang til den information, som de har brug for. Dertil kan det være vanskeligt som patient eller som pårørende at få overblik over, hvad der er sket eller skal ske i en behandling. Det skaber frustration og utryghed.

Med lovforslaget skabes en tidssvarende lovgivning, der modsvarer de faktiske arbejdsgange i sundhedsvæsenet, hvor sundhedspersoner på tværs af kommuner, regioner og i almen praksis varetager sundhedsfaglige opgaver i relation til patientbehandlingen i det samme forløb. Det handler om at sikre, at den rigtige viden er i de rigtige hænder på det rette tidspunkt til gavn for patienten.

Brugen af sundhedsoplysninger skal ske med respekt for den enkeltes ret til fortrolighed og privatliv. Patienter er forskellige og har forskellige ønsker og behov, og et mere borgerrettet sundhedsvæsen skal i højere grad kunne håndtere de forskellige holdninger uden at gå på kompromis med kvaliteten i den direkte patientbehandling. Hensigten med lovforslaget er derfor også at gøre det lettere for borgere at få overblik over og administrere hvem, der har adgang til deres sundhedsoplysninger til brug for patientbehandling.

Borgernes tillid til at sundhedsvæsenet behandler sundhedsoplysninger sikkert og ansvarligt, er en central forudsætning for, at der fortsat kan ske en udvikling i, hvordan sundhedsoplysninger kan deles til gavn for patientbehandling. Grundprincippet efter sundhedsloven er, at når man som patient giver informeret samtykke til at modtage behandling i sundhedsvæsenet, må sundhedspersoner gerne behandle oplysninger, når det er nødvendigt i forbindelse med patientbehandlingen. Det grundprincip ændres der ikke ved. Men lovforslaget forbedrer rammerne for at dele oplysninger mellem de sundhedspersoner, der har patienten i behandling. Patienter vil som i dag kunne frabede sig, at oplysninger bliver indhentet, og patienten vil på en enkel måde kunne frabede sig indhentning af oplysninger i den fælles digitale infrastruktur, jf. nedenfor. Herudover tydeliggøres det med lovforslaget, at patienten har mulighed for at kunne give samtykke til, at sundhedspersoner f.eks. i forbindelse med tilbud om forebyggende indsatser, kan indhente helbredsoplysninger m.v. om patienten.

Lovforslaget udmønter den lovgivningsmæssige del af den politiske aftale af 26. juni 2018 om bedre brug af sundhedsdata, som alle Folketingets partier står bag, og hvoraf det fremgår, at partierne er enige om at modernisere lovgivningen.

Dele af sundhedsloven, som regulerer anvendelse af sundhedsoplysninger, er fra en tid, hvor oplysninger om patienten kun fandtes i papirjournaler, og patienten kun var i behandling ét sted af gangen. Sådan er det langt fra i dag, hvor patientbehandlingen ofte foregår på tværs af sundhedsvæsenet, og hvor patienten både er i kontakt med sin praktiserende læge, sygehuset, speciallæge og de kommunale sundhedstilbud. For at kunne understøtte et sammenhængende patientforløb er der behov for en høj grad af vidensdeling mellem sektorerne i sundhedsvæsenet. Borgere skal kunne forvente, at de sundhedspersoner, de møder, kender relevante oplysninger for behandlingen, som bl.a. journaloplysninger om prøvesvar, aktuel medicin og øvrige praktiske oplysninger, som skal til for at skabe tryghed og give oplevelsen af et sammenhængende sundhedsvæsen. Samtidig er det vigtigt, at borgerne selv skal kunne skaffe sig et overblik over de behandlinger, de modtager, og de aftaler de har i sundhedsvæsenet. Lovgivningen skal følge med tiden, så den understøtter frem for begrænser den måde, sundhedsvæsenet i dag arbejder digitalt sammen med og om patienten.

Med lovforslaget etableres en ny fælles digital infrastruktur, der samler og udstiller udvalgte oplysninger om patienten med henblik på at skabe overblik over patientens behandlingsforløb. Overblikket vil kunne bruges af patienten selv og eventuelt af pårørende og af de sundhedspersoner, som har patienten i behandling. Patienter vil kunne bruge overblikket til at få overblik over deres patientforløb, og der vil blandt andet via overblikket være forskellige muligheder for at begrænse adgangen til oplysninger. Det er hensigten, at det skal være muligt for patienten selv at kunne registrere tilkendegivelser om frabedelse direkte i overblikket på samme måde, som patienter i dag har mulighed for at frabede sig indhentning af medicinoplysninger i Fælles Medicinkort (FMK) via sundhed.dk. Borgere vil kunne se logoplysninger i patientoverblikket. Det vil således være muligt at se, hvem der har tilgået ens journaloplysninger.

Det er hensigten, at sundhedspersoner, der er involveret i patientbehandlingen på sygehuset, i praksissektoren, i de kommunale sundhedstilbud og andre behandlingssteder, som f.eks. privathospitaler eller bosteder, hvor eller hvorfra sundhedspersoner udfører sundhedsfaglige opgaver, skal kunne tilgå overblikket.

For at understøtte forslaget om etablering af en fælles digital infrastruktur, foreslås det samtidig at forenkle reglerne for sundhedspersoners adgang til at indhente oplysninger i elektroniske systemer til brug for patientbehandling, således at det sikres, at sundhedspersoner kan få adgang til helbredsoplysninger m.v., når det er nødvendigt i forbindelse med patientbehandling. I de gældende bestemmelser i sundhedsloven er der fastsat detaljerede begrænsninger i forhold til hvilke grupper af sundhedspersoner, der må få adgang til hvilke oplysninger i patientjournalerne. Formålet med lovforslaget er at sikre, at alle sundhedspersoner har mulighed for at få adgang til patientjournaler, hvis det er nødvendigt i forbindelse med aktuel behandling af patienten. Det understreges samtidig i lovforslaget, at sundhedslovens regler suppleres af databeskyttelsesforordningens regler om behandlingssikkerhed, ligesom patientens ret til at frabede sig, at der indhentes oplysninger opretholdes i opdateret form.

Det foreslås desuden at forbedre mulighederne for, at autoriserede sundhedspersoner kan anvende teknisk bistand i forbindelse med indhentning af helbredsoplysninger m.v. til brug for bl.a. kvalitetsarbejde.

Lovforslaget tydeliggør endvidere krav til indberetning af relevante strukturerede data fra almen praksis og speciallægepraksis til brug for patientbehandling, planlægning, kvalitetsudvikling m.v. Baggrunden herfor er et ønske om at styrke praksissektorens rolle i fremtidens sundhedsvæsen ved at få større viden om den del af patienternes forløb, der varetages i praksissektoren med henblik på at skabe bedre sammenhæng i patientbehandlingen. Med lovforslaget foreslås en pligt til at indberette data fra almen praksis og speciallægepraksis, der svarer til de krav, der gælder for regioner og sygehuse i dag. Og som på sigt vil gælde for kommunerne.

Lovforslaget skal derudover give et klarere hjemmelsgrundlag for behandling af helbredsoplysninger m.v. fra elektroniske systemer til brug for beslutningsstøtte i forbindelse med patientbehandling. Det kan f.eks. være oplysninger fra elektroniske patientjournaler, Landspatientregisteret eller Sygehusmedicinregisteret.

Lovforslaget har endelig til formål at forbedre tilslutningen til det danske børnevaccinationsprogram ved at udvide muligheden for at sende påmindelser til forældre om anbefalede børnevaccinationer. Herudover foreslås det at etablere en præcis hjemmel til at fastsætte bestemmelser om betaling til læger, der udfører vaccinationer, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling, samt hvilke oplysninger regionerne skal indberette til de centrale sundhedsmyndigheder i forbindelse med refusion for afholdte udgifter til vaccinationer.

Regeringen finder det hensigtsmæssigt, at der foretages en evaluering af den foreslåede ordning vedrørende etablering af den fælles digitale infrastruktur inden for fem år efter dennes ikrafttræden. Evalueringen skal danne grundlag for overvejelser om eventuelle behov for at præcisere eller ændre reguleringen heraf.

1.2. Lovforslagets baggrund

I februar 2017 indgik alle Folketingets partier en aftale om syv principper for moderne og sikker brug af sundhedsdata. Principperne sætter rammen for det videre arbejde med sundhedsdata i det danske sundhedsvæsen.

I januar 2018 lancerede Sundheds- og Ældreministeriet, Finansministeriet, Danske Regioner og KL strategien »Ét sikkert og sammenhængende sundhedsnetværk for alle - Strategi for digital sundhed 2018-2022«. Strategien følger af økonomiaftalen mellem regeringen, Danske Regioner og KL for 2018 og skal sikre den fortsatte bevægelse mod en mere helhedsorienteret indsats, hvor hospitaler, kommunale sundhedstilbud, praksissektor og andre offentlige og private aktører i hele sundhedsvæsenet kan samarbejde i et integreret netværk om og med borgeren i centrum.

I juni 2018 lancerede regeringen udspillet »Sundhed i Fremtiden- ansvarlig brug af data til gavn for patienten«. Her fremgår det, at regeringen vil omsætte de syv principper for moderne og sikker brug af sundhedsdata til handling. Udspillet har blandt andet fokus på nødvendigheden af at sikre en moderne og tryg lovgivningsramme, som både tager højde for nye digitale løsninger til deling af oplysninger mellem relevante aktører og for borgerens sikkerhed om egne data.

Konkret har regeringen en målsætning om at skabe en tryg, digitaliseringsklar og tidssvarende lovgivning. Lovgivningen skal blandt andet sikre et bedre lovgrundlag for digitalt samarbejde i sundhedsvæsenet og sikre klare rammer for brug af nationale sundhedsdata i sundhedsvæsenet.

En tidssvarende lovgivning skal tage højde for den fælles afdækning af barrierer for sammenhængende patientforløb, som regeringen og Danske Regioner aftalte i økonomiaftalen for 2018. Afdækningsarbejdet, som både regioner og kommuner har bidraget til, pegede blandt andet på, at der er juridiske rammer for deling af data, som ikke er tidssvarende og som derfor udgør barrierer for det sammenhængende patientforløb. Det drejer sig blandt andet om begrænsninger i forhold til at kunne tilgå relevante oplysninger fra eksempelvis patientjournaler på tværs af sundhedsvæsenet i den direkte patientbehandling. Og det drejer sig om begrænsninger i forhold til at indhente patientoplysninger til brug for kvalitetsarbejdet i sundhedsvæsenet.

Senest har regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti), Socialdemokratiet, Dansk Folkeparti, Enhedslisten, Alternativet, Radikale Venstre og Socialistisk Folkeparti indgået en politisk aftale om bedre brug af sundhedsdata af 26. juni 2018. Heraf fremgår det, at aftalepartierne er enige om, at sikker og tidssvarende brug af sundhedsdata er afgørende for en stadig bedre og mere sammenhængende behandlingsindsats. Med aftalen er parterne enige om at modernisere sundhedslovgivningen, så den både giver mulighed for - og krav om - digital deling af sundhedsdata og oplysninger i og om behandlingsforløbene, herunder krav om at praksissektoren skal dele relevante strukturerende data og oplysninger til brug for det samlede patie?ntforløb med det øvrige sundhedsvæsen.

Aftalen bygger oven på den tidligere politiske aftale om de syv principper for moderne og sikker brug af sundhedsdata, og moderniseringen af lovgivningsrammen skal derfor tage udgangspunkt i principperne. Konkret er aftalepartierne enige om at modernisere lovgivningen på fire områder. Det drejer sig om: at sikre bedre lovgrundlag for digitalt samarbejde i sundhedsvæsnet, at sikre klare rammer for brug af nationale sundhedsdata i sundhedsvæsenet, at sikre klare rammer for dataindberetningen i praksissektoren, samt at skabe bedre lovgrundlag for opfølgning på børnevaccinationsprogrammet.

Lovforslaget udmønter den lovgivningsmæssige del af den politiske aftale af 26. juni 2018 om bedre brug af sundhedsdata.

2. Bedre digitalt samarbejde i sundhedsvæsenet

2.1. Gældende ret

2.1.1. Videregivelse og indhentning af helbredsoplysninger m.v. til behandlingsformål (sundhedslovens §§ 41-42 c)

I sundhedslovens § 41 fastsættes rammerne for, hvornår en sundhedsperson kan videregive helbredsoplysninger m.v. til andre sundhedspersoner i forbindelse med behandling af patienter. Efter § 41, stk. 1, kan en sundhedsperson med samtykke fra patienten videregive oplysninger til andre sundhedspersoner om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger i forbindelse med behandling af patienten eller behandling af andre patienter. Uden patientens samtykke kan sundhedspersoner efter stk. 2 videregive oplysninger i en række situationer forbundet med behandling, herunder eksempelvis når det er nødvendigt af hensyn til et aktuelt behandlingsforløb for patienten, og videregivelsen sker under hensyntagen til patientens interesse og behov.

Efter sundhedslovens § 42 a kan sundhedspersoner i et vist omfang ved opslag i elektroniske systemer indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med behandling af patienten.

En forudsætning for, at et elektronisk system er omfattet af sundhedslovens § 42 a er bl.a., at oplysningerne i det pågældende system oprindeligt er indsamlet til det formål at understøtte den sundhedsfaglige behandling af de registrerede personer (patienter), eller at de er indsamlet til et formål, som ikke er uforeneligt med sundhedsfaglig behandling, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra b. Dette er i hvert fald tilfældet for så vidt angår elektroniske patie?ntjournalsystemer, som indeholder oplysninger, der noteres i forbindelse med behandling af patienter, og som er nødvendige for en god og sikker patientbehandling, jf. journalføringspligten i § 22 i lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed. Den kliniske del af den fælles informationsinfrastruktur, der oprettes i Nationalt Genom Center, vil ligeledes være omfattet af begrebet elektronisk systemer efter § 42 a, stk. 1. Det vil også kunne være tilfældet for systemer med andre eller blandede formål, f.eks. patientadministrative systemer eller Landspatientregisteret, som både har administrative og behandlingsunderstøttende formål.

Efter sundhedslovens § 42 a, stk. 1, 1. pkt., kan læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når dette er nødvendigt i forbindelse med aktuel behandling af patienten. Adgangen til at indhente oplysninger efter § 42 a, stk. 1, 1. pkt., omfatter såvel historiske som aktuelle helbredsoplysninger m.v.

Efter sundhedslovens § 42 a, stk. 1, 2. pkt., kan der fastsættes nærmere regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i patientbehandling, kan indhente oplysninger efter reglerne i 1. pkt.

Bemyndigelsesbestemmelsen er på nuværende tidspunkt udmøntet i bekendtgørelse nr. 13 af 2. november 2013, som giver kiropraktorer adgang til at indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 1. pkt.

I medfør af § 42 a, stk. 2, kan andre sundhedspersoner end de i stk. 1 nævnte ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1, om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten.

Adgangen til at indhente oplysninger efter sundhedslovens § 42 a, stk. 2, er således begrænset til oplysninger om aktuel behandling (aktuelle helbredsoplysninger). Ved oplysninger om aktuel behandling forstås oplysninger, der er registreret eller indhentet efter et bestemt tidspunkt, f.eks. indlæggelsesdatoen eller datoen for iværksættelsen af et ambulant forløb. Ved genindlæggelser inden for en kortere periode for samme helbredsproblem, hvor indlæggelserne må betragtes som en del af et sammenhængende behandlingsforløb, vil oplysninger om de tidligere indlæggelser ligeledes være oplysninger om aktuel behandling. Sundhedspersoner, der foretager opslag i elektroniske systemer efter sundhedslovens § 42 a, stk. 2, må således foretage en vurdering af, om de elektroniske helbredsoplysninger, der søges indhentet, vil være oplysninger om aktuel behandling. Oplysninger, som efter patientens indlæggelse på behandlingsstedet, er registreret eller indhentet på en anden afdeling eller et andet afsnit om den aktuelle behandling på behandlingsstedet, vil også være omfattet af begrebet aktuelle oplysninger.

Adgangen til at indhente oplysninger efter sundhedslovens § 42 a, stk. 2, stiller herudover krav om, at de elektroniske systemer, hvori disse sundhedspersoner indhenter patientens helbredsoplysninger m.v., er teknisk begrænset for de pågældende sundhedspersoner til de patienter, som er i behandling på samme behandlingsenhed, som sundhedspersonen er tilknyttet. Ved udtrykket behandlingsenhed forstås sygehus, sygehusafdeling, afsnit, klinik eller lign., idet kravet om organisatorisk tilknytning datasikkerhedsmæssigt skal administreres så snævert, som det teknisk er muligt.

Det følger af § 42 a, stk. 3, at andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., som er ansat på behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, ved opslag i elektroniske systemer i fornødent omfang kan indhente oplysninger som nævnt i stk. 1 (hvilket vil sige både aktuelle og historiske oplysninger), når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har en sundhedsperson, som er nævnt i § 42 a, stk. 1, ansat. Sundhedslovens § 42 a, stk. 3, omfatter dermed visse steder inden for sundhedsvæsenet, hvor der føres sundhedsfaglige optegnelser i egne, afgrænsede systemer, og hvor sundhedspersoner, som nævnt i § 42 a, stk. 1, ikke er involveret i behandling eller pleje. Det kan f.eks. være hos en psykolog, fodterapeut, på et plejehjem, i hjemmeplejen eller lignende.

I medfør af § 42 a, stk. 4, kan ledelsen på et behandlingssted endvidere give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. En sådan tilladelse kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, som vedkommende er beskæftiget med. Beslutningen skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Det er endvidere et krav efter bestemmelsen, at sådanne beslutninger skal gøres offentligt tilgængelige.

Det er efter § 42 a, stk. 1-4, en fælles betingelse, at den elektroniske indhentning alene må foretages i fornødent omfang. Heri ligger, at sundhedspersonen kun må foretage opslag i de konkrete oplysninger, som sundhedspersonen vurderer, at der er et fagligt behov for at gøre sig bekendt med. Det er herudover en fælles betingelse, at det er nødvendigt for sundhedspersonen i forbindelse med den aktuelle behandling af patienten at få adgang til den enkelte konkrete oplysning.

Sundhedslovens § 42 a, stk. 5, giver herudover mulighed for at indhente oplysninger i elektroniske systemer efter en såkaldt værdispringsregel. Det følger således af denne bestemmelse, at sundhedspersoner, som er omfattet af § 42 a, stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4, samt andre sundhedspersoner ved opslag i elektroniske systemer omfattet af stk. 2 og 3, på det behandlingssted, sundhedspersonen er ansat. Bestemmelsen kan eksempelvis anvendes i situationer, hvor en sundhedsperson gør sig bekendt med specifikke helbredsoplysninger om en tidligere patient, som har haft en sammenlignelig helbredstilstand, til brug for diagnosticeringen af en anden patient, som sundhedspersonen aktuelt har i behandling. Det vil kunne være nødvendigt og væsentligt at indhente sådanne oplysninger om sammenlignelige tilfælde eksempelvis i tilfælde af sjældent forekommende, alvorlige sygdomme.

Sundhedslovens § 42 a, stk. 6, giver desuden mulighed for, at sundhedspersoner, som er omfattet af sundhedslovens § 42 a, stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan indhente oplysninger med patientens samtykke uden for de tilfælde, som er nævnt i § 42 a, stk. 1 og 5. En indhentning af personoplysninger med samtykke skal være lovlig og rimelig og ske til udtrykkeligt angivne og legitime formål, så indhentningen ligeledes opfylder databeskyttelsesforordningens regler.

Læger og sygehusansatte tandlæger kan under disses ansvar tillige lade medicinstuderende indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 5 og 6, jf. sundhedslovens § 42 a, stk. 8, og en sundhedsperson kan endvidere under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv i medfør af sundhedslovens § 42 a, stk. 1-8, har adgang til, jf. sundhedslovens § 42 a, stk. 9.

Reglerne i § 42 a, stk. 1-5, giver adgang til indhentning af oplysninger uden patientens samtykke. Bortset fra de tilfælde, hvor der indhentes oplysninger efter § 42 a, stk. 5, kan patienten frabede sig, at der indhentes oplysninger. Det følger således af sundhedslovens § 42 a, stk. 7, at patienten til enhver tid kan frabede sig, at der indhentes oplysninger efter § 42 a, stk. 1-4.

§ 42 a, stk. 5, er den bestemmelse, som er beskrevet ovenfor, der giver mulighed for at indhente helbredsoplysninger m.v., hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Da §? 42 a, stk. 5, er en såkaldt værdispringsregel, er det ikke muligt at frabede sig indhentning af oplysninger efter denne bestemmelse.

Det forudsættes, at patienten informeres om sin ret til at frabede sig en sådan indhentning. En sådan information kan enten gives direkte af den pågældende sundhedsperson eller i mere generel form, f.eks. som skriftligt patientinformationsmateriale i form af brochurer eller anden skriftlig vejledning i forbindelse med at patienten giver informeret samtykke til selve behandlingen.

Oplysninger kan derudover indhentes af den sundhedsperson, der har ansvaret for oplysningerne, hvis indhentningen er en forudsætning for at kunne videregive oplysninger efter sundhedslovens § 41.

Udgangspunktet er, at der ikke gives ikke-sundhedspersoner ansat i sundhedsvæsenet adgang til elektronisk indhentning af helbredsoplysninger m.v. om enkelte patienter i patientjournaler. Sundhedslovens § 42 a, stk. 10, giver imidlertid mulighed for, at læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke kan lade andre personer end sundhedspersoner, som er ansat i sundhedsvæsenet, f.eks. for at yde en særlig pædagogisk og psykologisk støtte i forbindelse med aktuel behandling af en patient, indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 1. pkt., når det er nødvendigt som led i den samlede sundhedsfaglige indsats.

Adgangen til at indhente oplysninger i elektroniske systemer efter sundhedslovens § 42 a, skal herudover begrænses af systemtekniske sikkerhedsforanstaltninger, idet de grundlæggende principper i databeskyttelsesforordningens artikel 5 om saglighed og proportionalitet og reglerne om behandlingssikkerhed i databeskyttelsesforordningen forudsætter, at der alene gives den enkelte bruger adgang til de oplysninger, som brugeren har behov for i sin opgaveløsning. Der er således en selvstændig forpligtelse for den dataansvarlige til at sikre, at der kun tildeles brugerautorisation til personer, som er beskæftiget med de formål, hvortil personoplysningerne behandles, ligesom vedkommendes adgang til oplysningerne skal begrænses til de oplysninger, som vedkommende konkret har behov for at have adgang til. Som eksempel kan nævnes, at en praktiserende læge vil kunne få tildelt teknisk adgang til oplysninger om patienter, der hører til vedkommendes praksis, ligesom en speciallæge vil kunne få tildelt teknisk adgang til oplysninger om patienter, der er henvist til behandling hos vedkommende. En vagtlæge vil kunne få behov for adgang til en bred kreds af patienter som led i sin funktion som vagtlæge.

Et samtykke efter sundhedslovens § 42 a, stk. 6 og 10, og en tilkendegivelse om, at patienten frabeder sig, at der indhentes oplysninger, kan være mundtlig eller skriftlig. Samtykket eller tilkendegivelsen skal indføres i patientjournalen, jf. sundhedslovens § 42 b.

Indhentning eller videregivelse af oplysninger i større omfang, end bestemmelserne i sundhedslovens § 41 og 42 a berettiger til, er omfattet af straffebestemmelsen i sundhedslovens § 271.

Det fremgår således bl.a. af sundhedslovens § 271, stk. 1, at, medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde eller fængsel indtil 4 måneder den, der videregiver oplysninger i strid med sundhedslovens § 41, stk. 1-3, eller indhenter oplysninger i strid med sundhedslovens § 42 a, stk. 1-9. Andre personer end de, der er nævnt i bestemmelserne, kan endvidere straffes på samme måde ved uberettiget indhentning, videregivelse eller udnyttelse af oplysninger omfattet af de pågældende bestemmelser, jf. § 271, stk. 2.

Sundhedslovens § 42 c indeholder endvidere to bemyndigelsesbestemmelser vedrørende logning. Det følger således af § 42 c, stk. 1, at sundhedsministeren kan fastsætte nærmere regler om private dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i en patients elektroniske patientjournal (logning), samt om loggens indhold, opbevaring og sletning. Det følger endvidere af sundhedslovens § 42 c, stk. 2, at sundhedsministeren kan fastsætte nærmere regler om patientens elektroniske adgang til oplysninger hos offentlige og private dataansvarlige om, hvem der har foretaget opslag i patientens elektroniske patientjournal, og på hvilket tidspunkt opslagene er foretaget.

Det fremgår bl.a. af bemærkninger til § 42 c, stk. 1, at bestemmelsen supplerer den forpligtelse, offentlige dataansvarlige har til at foretage logning efter sikkerhedsbekendtgørelsens § 19, stk. 1, ved at give ministeren bemyndigelse til at pålægge dataansvarlige en tilsvarende forpligtelse. Det fremgår videre, at der i givet fald vil skulle fastsættes regler om loggens førelse, indhold, opbevaring og sletning svarende til sikkerhedsbekendtgørelsens regler herom, at bemyndigelsen vil blive udnyttet, når der er teknisk mulighed herfor uden uforholdsmæssige omkostninger for de dataansvarlige, samt at en udnyttelse af bemyndigelsen er en forudsætning for at give en patient elektronisk adgang til oplysninger, om hvem der har foretaget opslag i patientens elektroniske patientjournal, jf. bemyndigelsen i § 42 c, stk. 2, jf. L 50 B, tillægsbetænkning afgivet af Sundhedsudvalget den 28. marts 2008, bemærkninger til ændringsforslag nr. 11.

Det bemærkes i forlængelse heraf, at sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) er ophævet med virkning fra 25. maj 2018 i forbindelse med vedtagelse af databeskyttelsesloven. Der henvises til afsnit 2.1.5.2. nedenfor vedrørende databeskyttelsesforordningens regler om behandlingssikkerhed.

Det følger bl.a. af bemærkningerne til § 42 c, stk. 2, at bemyndigelsen til at fastsætte regler om patienternes adgang til log-oplysninger vil blive udnyttet, når der er teknisk mulighed herfor uden uforholdsmæssige omkostninger for de dataansvarlige. Sundhedslovens § 42 c, stk. 2, er delvis udmøntet i bekendtgørelse nr. 460 af 8. maj 2014. Det fremgår af § 12 i denne bekendtgørelse, at Sundhedsdatastyrelsen stiller en log til rådighed for borgerne, og at borgerne i denne log har indsigt i sundhedspersoners m.v. adgang og indberetninger af lægemiddel- og vaccinationsoplysninger for borgeren. Af aftalen mellem regeringen og Danske Regioner om den regionale økonomi for 2018 fremgår det endvidere, at regeringen og Danske Regioner er enige om at sikre øget transparens om adgang til borgernes data. Af regeringens sundhedsdataudspil »Sundhed i fremtiden« fremgår det, at regeringen vil udmønte bemyndigelsesbestemmelsen og indgå aftale med regionerne om, at der inden udgangen af 2020 er etableret en brugervenlig visning af logoplysninger fra sygehusenes patientjournaler på bl.a. sundhed.dk.

2.1.2. Indhentning af helbredsoplysninger m.v. til andre formål end behandling (sundhedslovens § 42 d)

Det følger af sundhedslovens § 42 d, stk. 1, at autoriserede sundhedspersoner med samtykke fra patienten til andre formål end behandling ved opslag i elektroniske systemer i fornødent omfang kan indhente oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.

Uden samtykke fra patienten kan sundhedspersoner og andre personer, der er underlagt tavshedspligt, efter sundhedslovens § 42 d, stk. 2, i en række nærmere angivne tilfælde ved opslag i den elektroniske patientjournal i fornødent omfang indhente oplysninger om patientens helbredsforhold m.v.

Det følger bl.a. af § 42 d, stk. 2, nr. 2, at indhentning af de oplysninger, der er nævnt i stk. 1, kan ske uden patientens samtykke, når indhentningen foretages af en autoriseret sundhedsperson, og indhentningen er nødvendig i forbindelse med kvalitetssikring eller udvikling af behandlingsforløb og arbejdsgange, behandlingen af oplysningerne er af væsentlig samfundsmæssig betydning og sker i statistisk øjemed under hensyntagen til patientens integritet og privatliv, ledelsen på behandlingsstedet efter nærmere fastlagte kriterier har givet tilladelse til, at den pågældende autoriserede sundhedsperson kan foretage indhentningen, at der er tale om oplysninger, som er registreret i de elektroniske systemer på det pågældende behandlingssted mindre end 5 år forud for indhentningen, samt at det er muligt efterfølgende at identificere, at indhentningen er sket til brug for kvalitetssikring eller -udvikling.

Autoriseret sundhedsperson skal forstås i overensstemmelse med lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, som opregner en kreds af faggrupper, der er autoriserede til at varetage sundhedsfaglig virksomhed, og som dermed er autoriserede sundhedspersoner, herunder f.eks. læger, tandlæger og sygeplejersker.

Retten til indhentning efter § 42 d, stk. 1, og § 42 d, stk. 2, nr. 2, kan ikke delegeres fra en autoriseret sundhedsperson, herunder ikke til sekretærer.

2.1.3. Nationalt Patientindeks (sundhedslovens § 193 b)

Det følger af sundhedslovens § 193 b, stk. 1, at sundhedsministeren udpeger en myndighed, der er dataansvarlig for det elektroniske indeks Nationalt Patientindeks (NPI). Sundhedsministeren har udpeget Sundhedsdatastyrelsen som dataansvarlig for NPI.

NPI er et indeks over registreringer af de enkelte borgeres helbredsoplysninger, herunder medicinoplysninger, vaccinationsoplysninger, journaloplysninger, laboratoriesvar m.v.

Efter § 193 b, stk. 2, kan indhentning af oplysninger i indekset foretages efter regler fastsat i sundhedslovens §§ 42 a-42 c. Dette indebærer bl.a., at de sundhedspersoner, der er nævnt i sundhedslovens § 42 a, i fornødent omfang vil kunne indhente helbredsoplysninger m.v. i NPI, når dette er nødvendigt til brug for aktuel patientbehandling.

Efter § 193 b, stk. 3, kan Sundhedsdatastyrelsen behandle oplysninger i NPI, herunder indhente oplysninger til brug for præsentation i indekset i de kildesystemer, der er tilknyttet NPI efter stk. 4, nr. 2.

Det følger af § 193 b, stk. 4, at sundhedsministeren kan fastsætte nærmere regler om driften m.v. af registeret, herunder om, hvilke oplysninger der må registreres i NPI, hvilke systemer der må tilknyttes NPI som kildesystemer, pligt til sletning og ændring af registrerede oplysninger, og om den registreredes direkte elektroniske adgang til de oplysninger, der er registreret om vedkommende i NPI, samt den registreredes adgang til logning af anvendelser af de registrerede oplysninger.

Det følger af bemærkningerne til § 193 b, jf. Folketingstidende 2011-12, A, L 139 som fremsat den 29. marts 2012, side 10, at NPI kan indeholde metadata om de data, der er registreret i kildesystemerne. Ved metadata forstås »data om data«. Metadata i NPI tager udgangspunkt i den såkaldte IHE standard, der bl.a. indeholder metaklassifikationer som f.eks.: patientId (f.eks. CPR-nummer), classCode (f.eks. recept, epikrise, rapport), typeCode (f.eks. epikrise, ultralydsrapport), practiceSettingCode (f.eks. læge, laboratorie), healthcareFacilityTypeCode (f.eks. privatklinik), eventCodeList (f.eks. koloskopi, blindtarmsoperation), authorPerson (f.eks. institution, rolle, speciale), confidentiality code (f.eks. privatmarkering) m.v.

NPI er således et indeks, der indeholder metadata om de oplysninger, der er registreret i kildesystemet og NPI indeholder derfor ikke faktiske oplysninger om borgerens helbredsforhold. NPI indeholder blot en oplysning om, at en oplysning findes, og hvor den er opbevaret (kildesystem). Et eksempel på dette er en oplysning i NPI om, at der findes målinger af en given patients blodtryk, og at denne måling kan findes i KIH Databasen, som er en national hjemmemonitoreringsdatabase. Det vil ikke fremgå af NPI, hvad målingen af blodtrykket viser. Sundhedspersoner vil efter et sådant opslag kunne fremsøge blodtryksmålingen i KIH Databasen, forudsat at sundhedspersonen har adgang til databasen. Et andet eksempel er oplysninger om, hvor og hvornår en patient har eller har haft aftaler i sundhedsvæsenet. Hvor oplysningen om selve aftalen er en indeksoplysning, der må opbevares i NPI efter sundhedslovens § 193 b, er oplysningerne om, hvad der skete under de konkrete konsultationer, en kildeoplysning, som ikke må opbevares i NPI efter gældende ret. Ved kildeoplysning forstås faktiske oplysninger, der opbevares i ét af sundhedsvæsnets kildesystemer.

Ved afvejning af, hvor detaljerede metadata NPI skal indeholde, skal der foretages en relevans- og proportionalitetsvurdering.

NPI indeholder alene oplysninger om oplysninger, som sundhedspersoner allerede efter sundhedsloven har adgang til i de lokale elektroniske systemer.

NPI indeholder ikke en brugergrænseflade, som kan tilgås direkte af sundhedspersoner eller borgere selv. NPI fungerer i stedet for som en bagvedliggende søgekomponent, således at der ved søgning i NPI, via anvendersystemet, kan ske en målrettet dataindsamling direkte fra kildesystemerne. Når sundhedspersonen foretager en søgning, sker dette derfor i sundhedspersonens eget anvendersystem, som er det IT-system sundhedspersonen bruger i sit daglige arbejde, der herefter foretager søgningen i NPI. Herefter udstilles de oplysninger, der er fremsøgt via NPI, til sundhedspersonen via Sundhedsjournalen, og borgere kan få adgang til oplysningerne via sundhed.dk.

Sundhedsministeren har i medfør af bemyndigelsesbestemmelsen i sundhedslovens § 193 b, stk. 4, udstedt bekendtgørelse nr. 39 af 12. januar 2018 om registrering af de enkelte borgeres aftaler i sundhedsvæsenet i Nationalt Patientindeks (NPI) (aftalebekendtgørelsen) samt bekendtgørelse nr. 378 af 28. april 2018 om registrering af metadata om den enkelte borgers patientrapporterede oplysninger (PRO-data) og selvmålte data i Nationalt Patientindeks (NPI) (PRO-bekendtgørelsen).

Det følger af aftalebekendtgørelsen, at NPI må indeholde oplysninger om de enkelte borgeres aftaler i sundhedsvæsenet, og i medfør af PRO-bekendtgørelsen må NPI indeholde oplysninger vedrørende den enkelte borgers spørgeskemasvar og selvmålte data.

Sundhedsministeren kan endvidere i medfør af bemyndigelsesbestemmelsen i § 193 b, stk. 4, fastsætte regler, der fastlægger, hvilke yderliggere oplysninger der må registreres i NPI. Det kunne eksempelvis være medicinoplysninger fra Det Fælles Medicinkort, vaccinationsoplysninger fra Det Danske Vaccinationsregister, henvisninger eller oplysninger fra Donorregisteret.

Det følger af både aftalebekendtgørelsen og PRO-bekendtgørelsen, at oplysninger i NPI slettes 2 år efter, at registreringen har fundet sted. Det følger endvidere af både aftalebekendtgørelsen og PRO-bekendtgørelsen, at borgeren i overensstemmelse med reglerne i sundhedslovens § 42 a, stk. 7, kan frabede sig, at sundhedspersoner indhenter de registrerede oplysninger.

Sundhedsdatastyrelsen har pligt til at sikre, at borgeren har elektronisk adgang på sundhed.dk til en beskrivelse af de kildesystemer, der registrerer metadata på NPI, og Sundhedsdatastyrelsen må efter aftalebekendtgørelsen og PRO-bekendtgørelsen ikke behandle de oplysninger, som registreres i NPI, med henblik på at udføre statistiske eller videnskabelige undersøgelser.

2.1.4. Regler om krav til indberetning af data til centrale sundhedsmyndigheder (sundhedslovens § 195)

Det følger af sundhedslovens § 195, stk. 1, at det påhviler regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner og private personer eller institutioner, der driver sygehuse m.v., at give oplysning om virksomheden til de centrale sundhedsmyndigheder m.fl. efter nærmere fastsatte regler. Bestemmelsen omhandler alle oplysninger om virksomheden, herunder også oplysninger om aktivitet, kvalitet, omkostninger og ressourceanvendelse, finansielle oplysninger m.v.

Bemyndigelsesbestemmelsen i stk. 1 er udmøntet i flere bekendtgørelser, blandt andet bekendtgørelse nr. 1195 af 22. september 2016 om indgåelse af aftaler efter de udvidede fritvalgsordninger m.v., hvoraf det følger, at private sygehuse, klinikker m.v. her i landet og sygehuse m.v. i udlandet, der har fået henvist en person til behandling i henhold til en aftale med Danske Regioner efter bekendtgørelsens § 1, til brug for en eventuel fortsat behandling i sygehusvæsenet og for afregning for udført behandling, skal give alle relevante oplysninger om behandlingen til det sygehus, som har henvist personen.

Det følger endvidere af denne bekendtgørelse, at private sygehuse, klinikker m.v. her i landet, der har fået henvist en person til behandling i henhold til en aftale med Danske Regioner efter § 1, til behandlingsformål samt statistiske formål vedrørende aktiviteten i sygehusvæsenet, befolkningens forbrug af sygehusydelser, sygehuspatienters sygdomme og udførte operationer skal indberette oplysninger vedrørende patientbehandlingen til Landspatientregisteret. Sygehuse, klinikker m.v. i udlandet, der har fået henvist en person til behandling i henhold til en aftale med Danske Regioner efter bekendtgørelsens § 1, skal indberette sådanne oplysninger til det sygehus, som har henvist personen til det pågældende sygehus.

Det følger af bekendtgørelse nr. 293 af 27. marts 2017 om ret til sygehusbehandling m.v., at behandlingsstederne her i landet til behandlingsformål samt statistiske formål vedrørende aktiviteten i sygehusvæsenet, befolkningens forbrug af sygehusydelser, sygehuspatienters sygdomme og udførte operationer skal indberette oplysninger vedrørende patientbehandlingen til Landspatientregisteret. Behandlingsstederne i udlandet skal indberette sådanne oplysninger til det sygehus, som har henvist personen til det pågældende behandlingssted.

Det følger af § 195, stk. 2, at det påhviler de alment praktiserende læger, der yder behandling til gruppe 1-sikrede personer, jf. sundhedslovens § 60, stk. 1, at give oplysninger om virksomheden til regionsrådene til brug for planlægning, kvalitetssikring, kontrol af udbetalte tilskud og honorarer. Lægen må efter bestemmelsen ikke videregive oplysninger der identificerer eller gør det muligt at identificere patienten.

Det følger af § 195, stk. 3, at sundhedsministeren er bemyndiget til at fastsætte nærmere regler om, hvilke oplysninger alment praktiserende læger skal give til regionsrådene efter stk. 2.

Bestemmelsen er udmøntet i bekendtgørelse nr. 490 af 13. maj 2018 om kodning og datafangst i almen praksis, indberetning af data til regionen og offentliggørelse af oplysninger om lægen eller klinikken, hvoraf det fremgår, at det påhviler alment praktiserende læger, der yder behandling til gruppe 1-sikrede personer, jf. § 60, stk. 1, i sundhedsloven, at foretage ICPC-kodning af alle henvendelser vedrørende diagnoserne kronisk obstruktiv lungelidelse (KOL), astma, kroniske muskel- og skeletlidelser, knogleskørhed (osteoporose), hjerte-karsygdomme, kræft, diabetes og ikke-psykotiske, psykiske lidelser. ICPC- registreringen skal foretages i lægens elektroniske journalsystem.

Det følger endvidere af denne bekendtgørelse, at alment praktiserende læger, der yder behandling til gruppe 1-sikrede personer, jf. § 60, stk. 1, i sundhedsloven, at anvende de indikatorsæt i datafangst, der er udviklet for diagnoserne diabetes, kronisk obstruktiv lungelidelse (KOL), hjerteinsufficiens, iskæmisk hjertesygdom, stress, angst og depression.

Alment praktiserende læger skal stille de oplysninger, som er tilvejebragt på baggrund af kodning og datafangst, til rådighed for regionsrådene i elektronisk form på en af regionsrådene anvist måde til brug for planlægning, kvalitetssikring og kontrol af udbetalte tilskud og honorarer.

2.1.5. Databeskyttelsesretlige regler

2.1.5.1. Regler om behandling af personoplysninger

Behandling af personoplysninger er reguleret af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter databeskyttelsesforordningen) og lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af perso?no??plysninger og om fri udveksling af sådanne oplysninger (herefter databeskyttelsesloven).

Databeskyttelsesforordningens artikel 5 fastlægger en række grundlæggende behandlingsprincipper, der skal være opfyldt ved al behandling af personoplysninger, herunder bl.a. krav om, at oplysningerne behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og ikke må viderebehandles på en måde, der er uforenelig med disse formål. Oplysninger skal endvidere opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende perso?no?plysninger behandles, jf. artikel 5, stk. 1, litra e.

Databeskyttelsesforordningens artikel 6 fastlægger mulighederne for at behandle almindelige personoplysninger. Det fremgår af databeskyttelsesforordningens artikel 6, stk. 1, at behandling kun er lovlig, hvis og i det omfang mindst ét af de forhold, der er nævnt i bestemmelsen, gør sig gældende, herunder bl.a. hvis den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål, jf. artikel 6, stk. 1, litra a, eller hvis behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, jf. artikel 6, stk. 1, litra e.

Det følger endvidere af artikel 6, stk. 2, at medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af databeskyttelsesforordningens bestemmelser om behandling med henblik på overholdelse af bl.a. artikel 6, stk. 1, litra e, ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling.

Det følger herudover af databeskyttelsesforordningens artikel 6, stk. 3, at grundlaget for behandling i henhold til stk. 1, litra e, skal fremgå af EU-retten eller af medlemsstaternes nationale ret, som den dataansvarlige er underlagt. Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e, være nødvendig for udførelsen af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i denne forordning, herunder de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke enheder personoplysninger må videregives til, formålsbegrænsninger m.v.

Ifølge databeskyttelsesforordningens artikel 9, stk. 1, er behandling af følsomme oplysninger, herunder genetiske oplysninger og helbredsoplysninger, forbudt. Der gælder imidlertid en række undtagelser til dette forbud. Det følger bl.a. af artikel 9, stk. 2, litra f, at forbuddet i stk. 1, ikke finder anvendelse, hvis behandlingen er nødvendig, for at et retskrav kan fastlægges, gøres gældende eller forsvares.

Det følger endvidere af artikel 9, stk. 2, litra h, at stk. 1, ikke finder anvendelse, hvis behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.

Det fremgår af artikel 9, stk. 3, at personoplysninger som omhandlet i stk. 1, herunder helbredsoplysninger, kan behandles til de formål, der er omhandlet i stk. 2, litra h, hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.

Det fremgår endelig af databeskyttelsesforordningens artikel 9, stk. 4, at medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data eller helbredsoplysninger.

I databeskyttelsesloven er fastsat supplerende nationale bestemmelser om behandling af personoplysninger inden for det råderum, som databeskyttelsesforordningen har overladt til medlemsstaterne.

Det følger bl.a. af databeskyttelseslovens § 7, stk. 3, at behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandlingen er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h.

2.1.5.2. Regler om behandlingssikkerhed

Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning) er ophævet med virkning fra 25. maj 2018 i forbindelse med vedtagelse af databeskyttelsesloven. Kravene til behandlingssikkerhed fremgår nu direkte af databeskyttelsesforordningen, herunder af databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, databeskyttelsesforordningens artikel 32 om behandlingssikkerhed og databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse.

I henhold til databeskyttelsesforordningens artikel 25, stk. 1, skal den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen gennemføre passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i databeskyttelsesforordningen og beskytte de registreredes rettigheder.

Efter databeskyttelsesforordningens artikel 25, stk. 2, skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde persono?plysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed.

Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår det, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a., alt efter hvad der er relevant, de i litra a-d nævnte foranstaltninger.

Udgangspunktet er således, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder. Princippet er herefter, at der skal etableres et sikkerhedsniveau, som passer til disse risici ved hjælp af passende tekniske og organisatoriske foranstaltninger, som skal gennemføres af den dataansvarlige og eventuelle databehandlere. Som et eksempel på en risikobaseret tilgang, der allerede kendes i dag, kan nævnes informationssikkerhedsstandarden ISO 27001, der er en international standard til styring af informationssikkerhed.

Denne standard er i Danmark valgt som statslig sikkerhedsstandard, hvorfor alle statslige myndigheder skal efterleve den, hvilket har været obligatorisk siden januar 2014. Tilsvarende har regionerne, jf. Økonomiaftalen for 2016, forpligtet sig til at overholde sikkerhedsstandarden, mens kommunerne, jf. Den fællesoffentlige digitaliseringsstrategi for 2016-2020 skal efterleve principperne i sikkerhedsstandarden.

Som et eksempel på en relevant risiko ved behandling af personoplysninger, er risikoen for, at uvedkommende får adgang til personoplysninger. Det bemærkes i den forbindelse, at en sådan adgang kan være både uvedkommende ekstern adgang, men det kan også være en uvedkommende intern adgang for medarbejdere, der ikke har behov for adgang. I den forbindelse bemærkes det endvidere, at alene de medarbejdere i den dataansvarliges eller databehandlerens organisation, der har behov for adgang til oplysningerne, skal have adgang til oplysningerne. Adgangen skal derfor være begrænset hertil.

Databeskyttelsesforordningens artikel 32 foreskriver ikke præcist, hvilke foranstaltninger der skal træffes, men i forordningen nævnes en række ikke-udtømmende eksempler på foranstaltninger, der kan være relevante at indføre. Det kan eksempelvis være pseudonymisering og kryptering af perso?noplysninger. Andre relevante foranstaltninger kan være foranstaltninger til sikring af, at det er muligt efterfølgende at undersøge og fastslå om og af hvem, der er behandlet personoplysninger (logning), fastsættelse af interne regler om organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Det er herefter den dataansvarlige og eventuelle databehandlere, der er forpligtede til - ud fra en vurdering af de risici behandlingen udgør - at beslutte, hvordan opgaven med at skabe et tilstrækkeligt sikkerhedsniveau løses.

Det bemærkes i den forbindelse, at det følger af Datatilsynets vejledning om behandlingssikkerhed, afsnit 3.2., at hvis en eller flere foranstaltninger, der var en del af sikkerhedsbekendtgørelsen, der som nævnt ovenfor er ophævet med virkning fra 25. maj 2018, efter en konkret vurdering fortsat er relevante, vil det være oplagt at fortsætte med at gøre brug af dem. Det kunne f.eks. være kravene om autorisation, kontrol med afviste adgangsforsøg eller logning.

Det fremgår endvidere af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

I henhold til stk. 3, litra b, er en konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 bl.a. påkrævet i tilfælde, hvor der sker behandling i stort omfang af særlige kategorier af oplysninger, jf. databeskyttelsesforordningens artikel 9, stk. 1.

Konsekvensanalysen skal bl.a. omfatte en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige, jf. stk. 7, litra a. Endvidere skal konsekvensanalysen omfatte en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, jf. stk. 7, litra b. Konsekvensanalysen skal derudover omfatte en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i artikel 35, stk. 1, jf. stk. 7, litra c. Endelig skal konsekvensanalysen omfatte de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af databeskyttelsesforordningen, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser, jf. stk. 7, litra d.

Der henvises i øvrigt til Justitsministeriets betænkning nr. 1565/2017 om databeskyttelsesforordningen, kapitel 5, afsnit 5.2, som handler om forordningens artikel 25, afsnit 5.10, som handler om databeskyttelsesforordningens artikel 32, samt afsnit 5.13, som handler om databeskyttelsesforordningens artikel 35. Der henvises endvidere til Datatilsynets vejledning om behandlingssikkerhed af juni 2018 og Datatilsynets vejledning om konsekvensanalyse af marts 2018.

2.1.5.3. Databehandleraftaler

Efter databeskyttelsesforordningens artikel 28 kan en dataansvarlig indgå en databehandleraftale med en databehandler. Dette betyder i praksis, at en databehandler efter instruks kan behandle oplysninger på vegne af den dataansvarlige. En databehandleraftale skal efter forordningens artikel 28, stk. 3 være reguleret af en kontrakt eller et andet retligt bindende dokument. Kontrakten, eller det andet retligt bindende dokument, skal fastsætte genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder, og skal desuden navnlig fastsætte, at databehandleren:

a) kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt; i så fald underretter databehandleren den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser

b) sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt

c) iværksætter alle foranstaltninger, som kræves i henhold til artikel 32

d) opfylder de betingelser, der er omhandlet i stk. 2 og 4, for at gøre brug af en anden databehandler

e) under hensyntagen til behandlingens karakter, så vidt muligt bistår den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder som fastlagt i kapitel III

f) bistår den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren

g) efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

h) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.

Det bemærkes, at sundhedslovens regler for indhentning af data også gælder for oplysningerne omfattet af databehandleraftaler, og indgåelse af en databehandleraftale giver derfor ikke en bredere adgang til behandling af helbredsoplysninger end sundhedslovens kapitel 9.

Flere elektroniske systemer i sundhedssektorer virker i dag på grundlag af databehandleraftaler. Dette gælder blandt andet laboratoriesvar, Henvisningshotellet og KIH Databasen, hvori der registreres hjemmemålinger fra patienten i forbindelse med såkaldt telemedicin.

2.1.5.4. Tilsyn og sanktioner

Datatilsynet fører som udgangspunkt tilsyn med enhver behandling, der omfattes af reglerne i databeskyttelsesloven, databeskyttelsesforordningen og anden lovgivning, der ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, jf. databeskyttelseslovens § 27, stk. 1.

Det følger endvidere af databeskyttelseslovens § 41, stk. 1, nr. 1, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 6 måneder den, der overtræder en række nærmere angivne bestemmelser i databeskyttelsesforordningen.

Både private og offentlige dataansvarlige vil kunne ifalde bødestraf. Der er fastsat forskellige bødelofter afhængig af, hvilke bestemmelser i databeskyttelsesforordningen overtrædelsen vedrører og afhængig af, om den dataansvarlige er offentlig eller privat.

Private dataansvarlige kan efter omstændighederne ifalde bødestraf på op til 10 mio. EUR eller, hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale omsætning i det foregående regnskabsår, for overtrædelse af de bestemmelser, der er nævnt i artikel 83, stk. 4, herunder bl.a. bestemmelserne i artikel 25-39, som handler om behandlingssikkerhed. Offentlige myndigheder vil efter omstændighederne kunne ifalde bødestraf på op til 2 % af myndighedens driftsbevilling, dog maksimalt 8 mio. kr., for overtrædelse af disse bestemmelser.

Private dataansvarlige vil efter omstændighederne kunne ifalde bødestraf på op til 20 mio. EUR, eller, hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale omsætning for overtrædelse af de bestemmelser, der er nævnt i artikel 83, stk. 5. Det gælder bl.a. overtrædelse af de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9, og de registreredes rettigheder i henhold til artikel 12-22 m.v. Offentlige myndigheder vil efter omstændighederne kunne ifalde bødestraf på op til 4 % af myndighedens driftsbevilling, dog maksimalt 16 mio. kr., for overtrædelse af disse bestemmelser.

For en samlet beskrivelse af sanktioner for overtrædelser af bestemmelserne i databeskyttelsesforordningen henvises i øvrigt til punkt 2.8.2.5 i de almindelige bemærkninger til forslag til databeskyttelsesloven, L 68, fremsat den 25. oktober 2017 af justitsministeren.

2.1.5.5. Forholdet mellem sundhedslovens regler og databeskyttelsesloven

Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i databeskyttelsesforordningen. Databeskyttelsesforordningen giver imidlertid inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at præcisere anvendelsen af forordningen.

Det gælder i særlig grad i forhold til helbredsoplysninger, idet databeskyttelsesforordningens artikel 9, stk. 4, som nævnt ovenfor, giver mulighed for at opretholde og indføre yderligere betingelser, herunder begrænsninger i forhold til regler om behandling af genetiske data, biometriske data og helbredsoplysninger. Sundhedslovens regler om indhentning og videregivelse af oplysninger i forbindelse med patientbehandling (sundhedslovens §§ 41-42 b), som er beskrevet ovenfor under punkt 2.1.1, er eksempler på sådanne regler, der fastsætter yderligere betingelser, herunder begrænsninger, for sundhedspersoners adgang til at indhente og videregive helbredsoplysninger.

Der er endvidere i databeskyttelseslovens § 7, stk. 3, fastsat regler om behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, inden for sundhedssektoren. Der henvises til punkt 2.1.5.1 ovenfor.

Det følger af databeskyttelseslovens § 1, stk. 3, at regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i denne lov (databeskyttelsesloven).

Sundhedslovens regler om indhentning og videregivelse af helbredsoplysninger m.v. i forbindelse med patientbehandling, jf. sundhedslovens §§ 41-42 b går således forud for databeskyttelseslovens § 7, stk. 3, jf. databeskyttelseslovens § 1, stk. 3.

Omvendt regulerer databeskyttelseslovens § 7, stk. 3, anden behandling af personoplysninger inden for sundhedsvæsenet, som ikke er omfattet af sundhedslovens regler om indhentning og videregivelse af helbredsoplysninger m.v., herunder f.eks. selve brugen af oplysningerne.

2.2. Sundheds- og Ældreministeriets overvejelser og den foreslåede ordning

2.2.1 Etablering af en fælles digital infrastruktur til brug for patientbehandling

Som nævnt i punkt 1.2. blev der den 26. juni 2018 indgået en politisk aftale om forenkling af rammerne for digital deling af relevante oplysninger på tværs af sundhedsvæsenet til brug i direkte patientbehandling.

Det fremgår af aftalen, at ændringen af sundhedsloven bl.a. skal understøtte etableringen af et samlet patientoverblik, der går på tværs af egen læge, sygehus og kommunal pleje, og som kan bruges både af patienten selv og af de sundhedspersoner, der er involveret i patientens behandlingsforløb. Dataansvaret for de relevante oplysninger, som skal deles på tværs af sundhedsvæsenet, skal samles, samtidig med, at det faglige ansvar for oplysningerne fastholdes lokalt på linje med dataansvaret i Det Fælles Medicinkort (FMK). Målsætningen bag aftalen er således, at sundhedspersoner og borgere skal have et samlet digitalt overblik over relevante helbredoplysninger på tværs af sundhedsvæsenets sektorer, og at lovgivningen skal understøtte den tekniske realisering af dette. Dette skal blandt andet ske ved at sikre, at Sundhedsdatastyrelsen får hjemmel til at registrere og udveksle relevante helbredoplysninger i en samlet national fælles digital infrastruktur til brug for udstilling til såvel borgere, for så vidt angår deres egne oplysninger, som til sundhedspersoner til brug for aktuel behandling.

Baggrunden for forslaget er blandt andet de udfordringer, som Sundheds- og Ældreministeriet har erfaret i forbindelse med arbejdet med »Program for et samlet patientoverblik«. Programmet er et samarbejde mellem blandt andre Sundheds- og Ældreministeriet, KL, Danske Regioner, Praktiserende Lægers Organisation, Sundhedsdatastyrelsen og Digitaliseringsstyrelsen, der skal udvikle og afprøve nye digitale løsninger, som både skal gøre det lettere for sundhedspersoner at samarbejde om patientforløb og understøtte patienter og pårørendes overblik over forløbet. Indsatsen for bedre digitalt samarbejde om patientforløb er politisk aftalt i 2016 med bl.a. Handlingsplanen for Den ældre medicinske patient og Kræftplan IV. Det følger ligeledes af bl.a. økonomiaftalerne for 2019 med henholdsvis KL og Danske Regioner.

Programmet skal understøtte bedre koordinering og samarbejde ved at gøre det muligt at dele oplysninger om aftaler, planer og indsatser og stamdata om patienten mellem de sundhedspersoner, der har patienten i behandling, og give patienten mulighed for at få et samlet patientoverblik over disse oplysninger.

Programmet har vist, at der generelt er et stort behov for, at sundhedspersoner skal kunne dele relevante oplysninger om og med patienten. Patienter og pårørende har desuden en forventning om, at oplysninger om helbred eller kontaktoplysninger på aktører allerede nu deles på tværs af sektorer, hvilket ikke i alle situationer er tilfældet. Det har blandt andet udmøntet sig i 3 delprojekter; projekt om aftalevisning, projekt om fælles stamkort og projekt om planer og indsatser.

Det har under pilotafprøvningen til programmets digitale løsninger været muligt at foretage behandling af helbredsoplysninger med forskelligt hjemmelsgrundlag. For afprøvning af en digital løsning for aftaleoversigt er behandlingen sket med hjemmel i de regler, der gælder for NPI (Det Nationale Patientindeks), dvs. sundhedslovens § 193 b og aftalebekendtgørelsen, som er beskrevet i punkt 2.1.3. For afprøvning af en digital løsning for et fælles stamkort sker behandlingen på baggrund af databeskyttelsesloven og databeskyttelsesforordningen. For afprøvning af en digital løsning for planer og indsatser, som endnu ikke er iværksat, vil behandlingen skulle ske på baggrund af databehandleraftaler. Da der er tale om en pilotafprøvninger med deltagelse af få regioner og kommuner, er der tale om behandling af en begrænset mængde helbredsoplysninger.

Der findes i dag en række digitale løsninger, der stiller data fra lokale kilder til rådighed for aktører i sundhedsvæsenet. De digitale løsninger er primært baseret på databehandleraftaler, der er indgået mellem de myndigheder, der leverer kildedata, og den aktør, der driver og forvalter en central datasamling. Denne model kan håndteres, når der er tale om et begrænset antal aktører, men bliver administrativt uhensigtsmæssig, når mange sundhedspersoner og myndigheder er involveret, dels fordi der skal holdes styr på et større antal databehandleraftaler, dels fordi der i forbindelse med databehandlingen - efter gældende regler om databehandleraftaler - skal ske kontrol med og opfølgning på, om databehandleren udfører sine opgaver tilfredsstillende.

I takt med en øget sammenhæng i sundhedsvæsenet, hvor antallet af involverede sundhedspersoner og myndigheder i dataanvendelsen stiger, vil antallet af databehandleraftaler og den tilhørende kontrol og opfølgningsindsats tilsvarende stige. Et højt antal involverede aktører i dataanvendelsen er således administrativt og ressourcemæssigt byrdefuldt og uhåndterbart for de involverede aktører.

Den øgede brug af fælles registre og systemer i sundhedsvæsenet har synliggjort denne udfordring, og det er hensigten, at den foreslåede ordning skal løse denne udfordring.

Det foreslås derfor for det første, at reglerne om, hvordan relevante helbredsoplysninger m.v. kan behandles på tværs i sundhedsvæsenet i forbindelse med patientbehandling, forenkles. Denne forenkling sker blandt andet ved, at Sundhedsdatastyrelsen bliver ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold. Med den foreslåede bestemmelse er det hensigten, at etablere en fælles digital infrastruktur til udveksling og registrering af oplysninger (herefter »fælles digital infrastruktur«), hvor den dataansvarlige kan opbevare faktiske oplysninger og udstille disse for borgere og relevante sundhedspersoner, der herigennem kan få et samlet digitalt overblik over patientens relevante helbredsoplysninger på tværs af sundhedsvæsenets aktører til brug for aktuel patientbehandling.

»Fælles digital infrastruktur« skal forstås som en samlet betegnelse for en række tekniske komponenter og services, der tilsammen understøtter sikker deling af informationer i sundhedsvæsenet. Den fælles digitale infrastruktur muliggør samtidig, at borgerne tilbydes mulighed for at tilkendegive deres ønsker om begrænsninger til delingen og kan få indblik i, hvornår deres oplysninger er blevet anvendt. Den fælles digitale infrastruktur skal ses i sammenhæng med eksisterende løsninger og vil kunne fungere parallelt og i samspil med disse.

Sundhedsdatastyrelsen vil som dataansvarlig for den fælles digitale infrastruktur få ansvaret for at kontrollere datakvaliteten, overholdelse af kravene til behandlingssikkerhed samt sikre, at der føres tilsyn med, hvilke aktører i sundhedsvæsenet der kan få adgang til de registrerede oplysninger.

NPI er en del af sundhedsvæsenets IT-infrastruktur, og det er derfor en nødvendig forudsætning, at Sundhedsdatastyrelsens hjemmel til at drive og anvende NPI opretholdes i forbindelse med etableringen af en fælles digital infrastruktur. NPI er, som beskrevet i punkt 2.1.3, et indeks, der indeholder metadata om oplysninger, der er registreret i sundhedsvæsenets kildesystemer. Uden NPI vil det således ikke være muligt at finde frem til en specifik helbredsoplysning og samle og udstille oplysninger for borgere og sundhedspersoner.

For at understøtte etableringen af et samlet patientoverblik, der kan udstilles for borgere og sundhedspersoner, der har en patient i aktuel behandling, er det imidlertid nødvendigt at gøre det muligt for Sundhedsdatastyrelsen både at behandle metadataoplysninger i NPI og faktiske helbredsoplysninger fra sundhedsvæsenets kildesystemer i en fælles digital infrastruktur. Det er på den baggrund, at det som nævnt ovenfor foreslås, at Sundhedsdatastyrelsen bliver ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold m.v. Det bemærkes, at patientoverblikket efter forslaget skal kunne udmøntes i flere forskellige brugergrænseflader afhængigt af, om visningen af helbredsoplysninger er henvendt til borgeren selv eller til forskellige typer sundhedspersoner. Det bemærkes yderligere, at den foreslåede ordning ikke er en udvidelse af NPI, men et forslag om etableringen af en fælles digital infrastruktur, hvor NPI vil indgå som komponent.

Sundhedsdatastyrelsens behandling af oplysninger i den fælles digitale infrastruktur vil skulle ske inden for ramme??rne af gældende lovgivning, herunder også databeskyttelsesforordningen.

Det indebærer bl.a., at Sundhedsdatastyrelsen vil skulle behandle oplysninger i den fælles digitale infrastruktur i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5. Sundhedsdatastyrelsen skal i den forbindelse sikre, at de oplysninger, der registreres i den fælles digitale infrastruktur, opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Sundhedsdatastyrelsen vil som dataansvarlig for de oplysninger, der registreres i den fælles digitale infrastruktur, desuden være forpligtet til at overholde kravene til behandlingssikkerhed, som følger af databeskyttelsesforordningen.

Udgangspunktet efter databeskyttelsesforordningen er, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder. Princippet er herefter, at der skal etableres et sikkerhedsniveau, som passer til disse risici ved hjælp af passende tekniske og organisatoriske foranstaltninger, som skal gennemføres af den dataansvarlige og eventuelle databehandlere. Databeskyttelsesforordningen foreskriver ikke, hvilke præcise foranstaltninger der skal træffes. Valget ligger ifølge forordningens artikel 32 i første række hos den dataansvarlige og eventuelle databehandlere.

Sundhedsdatastyrelsen vil således som dataansvarlig bl.a. ud fra en vurdering af oplysningernes følsomme karakter, omfanget af behandlingerne og den risiko for enkelte personers rettigheder og frihedsrettigheder, som behandlingen af oplysningerne indebærer, skulle fastsætte et passende sikkerhedsniveau.

Henset hertil vurderer Sundheds- og Ældreministeriet, at Sundhedsdatastyrelsen vil skulle foretage en konsekvensanalyse i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 35.

Der henvises i øvrigt til punkt 2.1.5.2 for en beskrivelse af databeskyttelsesforordningens krav til behandlingssikkerhed.

Det foreslås for det andet, at Sundhedsdatastyrelsens behandling af oplysninger i den fælles digitale infrastruktur underlægges en lovbestemt formålsbegrænsning. Dette foreslås for at sikre, at Sundhedsdatastyrelsen kun behandler oplysninger i den fælles digitale infrastruktur til formål, der vedrører sundhedsvæsenet. Det foreslås således, at oplysninger, der opbevares i den fælles digitale infrastruktur, kun må behandles, hvis det er nødvendigt med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge og sundhedstjenester. Det foreslås endvidere, at behandling af oplysninger i den fælles digitale infrastruktur kun må foretages af en person inden for sundhedssektoren, der efter lovgivningen er underlagt tavshedspligt. Behandling af oplysninger i den fælles digitale infrastruktur er således underlagt mere restriktive regler end de regler, der gælder for behandling af samme oplysninger i de lokale kildesystemer.

Den foreslåede lovbestemte formålsbegrænsning vil blandt andet medføre, at Sundhedsdatastyrelsen ikke må behandle oplysninger i den fælles digitale infrastruktur med henblik på fastlæggelse af et retskrav i en forsikrings- eller pensionssag, eller videregive oplysninger til en arbejdsgiver med det formål at få belyst lønmodtagerens arbejdsdygtighed.

Oplysninger i den fælles digitale infrastruktur må endvidere ikke behandles, herunder videregives, til brug for forskning og statistik.

Det bemærkes, at formålsbegrænsningsbestemmelsen ikke gælder for de underliggende kildesystemer, patientjournaler, registre m.v. Der ændres således ikke med lovforslaget på mulighederne for at få videregivet oplysninger fra underliggende kildesystemer efter f.eks. forsikringsaftaleloven, ligesom der fortsat vil kunne behandles helbredsoplysninger der stammer fra sundhedsvæsenets kildesystemer til forskningsmæssige og statistiske formål i overensstemmelse med databeskyttelseslovens og sundhedslovens bestemmelser om forskning og statistik.

Den foreslåede formålsbegrænsning udelukker ikke, at Sundhedsdatastyrelsen behandler, herunder videregiver, oplysninger fra den fælles digitale infrastruktur til brug for behandling af klage- og erstatningssager i medfør af lov om klage- og erstatningsadgang inden for sundhedsvæsenet, eller til brug for Styrelsen for Patientsikkerheds varetagelse af tilsynsopgaver efter autorisationsloven eller sundhedsloven. Den foreslåede formålsbegrænsning vil heller ikke være til hinder for, at oplysninger, som opbevares i den fælles digitale infrastruktur, vil kunne udleveres til politiet efter retsplejelovens regler om edition i forbindelse med politiets efterforskning af en lovovertrædelse, der er undergivet offentlig påtale.

Det skal i den forbindelse understreges, at der heri alene ligger, at Sundhedsdatastyrelsen i disse tilfælde ikke udelukkes fra at videregive oplysninger fra den fælles digitale infrastruktur til de nævnte myndigheder m.v., såfremt betingelserne i lovgivningen for videregivelse af oplysningerne i øvrigt er opfyldt. De pågældende myndigheder m.v. (Styrelsen for Patientsikkerhed, politi, osv.) vil således ikke få adgang til på egen hånd at indhente helbredsoplysninger m.v. i den fælles digitale infrastruktur. De vil alene - hvis betingelserne herfor er opfyldt - kunne få oplysningerne videregivet.

Da den digitale infrastruktur er at betragte som et elektronisk system, bemærkes det, at adgangen til at indhente oplysninger i den fælles digitale infrastruktur følger af sundhedslovens §§ 42 a-b. Det bemærkes i den forbindelse, at sundhedspersoner alene vil få adgang til oplysninger i den fælles digitale infrastruktur, som de allerede har adgang i de lokale elektroniske systemer. Forslaget medfører også, at kun de personer, der er omfattet af den foreslåede § 42 a, vil kunne få adgang til at indhente oplysninger i den fælles digitale infrastruktur. Det betyder, at f.eks. forsikringsselskaber, kommercielle virksomheder, kommunale sagsbehandlere, der behandler sager inden for sociallovgivningen m.fl., ikke vil kunne få adgang til at indhente oplysninger i den fælles digitale infrastruktur. Det betyder endvidere, at patienten vil kunne frabede sig indhentning af helbredsoplysninger m.v. i den fælles digitale infrastruktur. Når en sundhedsperson har en patient i behandling, der har frabedt sig indhentning af oplysninger i den fælles digitale infrastruktur, vil sundhedspersonen ved opslag i patientoverblikket ikke få vist de oplysninger, der er registreret i den fælles digitale infrastruktur. Der henvises i øvrigt til punkt 2.2.2. for en nærmere beskrivelse af de foreslåede bestemmelser vedrørende indhentning af helbredsoplysninger m.v., og vedrørende patientens mulighed for at frabede sig indhentning af helbredsoplysninger m.v. i den fælles digitale infrastruktur.

Det foreslås for det tredje, at sundhedsministeren bemyndiges til at fastsætte regler om, hvilke oplysninger der må registreres i den fælles digitale infrastruktur. Det er hensigten at udmønte bestemmelsen til at fastsætte regler om, at den fælles digitale infrastruktur skal indeholde oplysninger om blandt andet borgerens fysiske og mentale helbred, kontakt med og levering af ydelser inden for sundhedsvæsenet m.v. Det er endvidere hensigten, at oplysninger fra borgerens patientjournal må opbevares i den fælles digitale infrastruktur. I det omfang andre oplysninger end helbredsoplysninger fremgår af patientjournalen, må disse også registreres i den fælles digitale infrastruktur, i det omfang det er nødvendigt til brug for aktuel patientbehandling. Dette kan være oplysninger om adgangsforhold til boligen eller om pårørende, f.eks. oplysninger om forhold, der forhindrer en ægtefælles mulighed for at yde pleje eller foretage løft af patienten, eller oplysninger om patientens behov for døvetolkebistand. Det bemærkes i den forbindelse, at oplysninger om rent private forhold, som ikke er relevante for behandlingen, og som er givet til en sundhedsperson (f.eks. patientens egen læge eller sygehuslægen) i fortrolighed, ikke vil skulle registreres i den fælles digitale infrastruktur. Genetiske oplysninger, som opbevares i Nationalt Genom Center, vil heller ikke skulle registreres - eller opbevares - i den fælles digitale infrastruktur.

Det er kun oplysninger, der hidrører fra sundhedsvæsenets elektroniske systemer, der må opbevares i den fælles digitale infrastruktur. Det er således kun kildesystemer inden for sundhedsvæsenet - forstået som den primære sektor, den sekundære sektor og de centrale sundhedsmyndigheder, der kan tilknyttes den fælles digitale infrastruktur, f.eks. elektroniske patientjournaler, Det Fælles Medicinkort m.v. Det er ifølge forslaget en forudsætning, at de oplysninger, der skal kunne opbevares i den fælles digitale infrastruktur skal kunne understøtte etableringen af et samlet patientoverblik. Det kan derfor være relevant at opbevare patientens stamoplysninger, aftaleoversigt, planer og indsatser, patientrapporterede oplysninger (PRO-data), livstestamente, behandlingstestamente, forløbsplaner og oplysninger om diagnoser m.v. i den fælles digitale infrastruktur, ligesom den fælles digitale infrastruktur løbende vil kunne suppleres med andre oplysninger om patienten, der er relevante at kunne indhente i forbindelse med og til brug for aktuel behandling af patienten, og som kan give patienten og evt. dennes pårørende et sammenhængende overblik over vedkommendes behandlingsforløb. Der må kun opbevares oplysninger, som er nødvendige for at varetage formålet med den fælles digitale infrastruktur, som er at stille relevante data til rådighed i sundhedsvæsenet i forbindelse med patientbehandling og at give patienten et overblik over sig behandlingsforløb. Der må ikke opbevares flere oplysninger i den fælles digitale infrastruktur, end formålet kræver.

Det foreslås for det fjerde, at sundhedsministeren kan fastsætte regler om pligt til opbevaring og sletning af de registrerede oplysninger. Det er hensigten at fastsætte regler, der forpligter Sundhedsdatastyrelsen til at opbevare oplysninger i den fælles digitale infrastruktur i det tidsrum, som sundhedsministeren fastsætter. Det er endvidere hensigten at fastsætte regler om, hvornår oplysninger skal slettes fra den fælles digitale infrastruktur, herunder i patientoverblikket. Oplysninger i den fælles digitale infrastruktur skal kun opbevares, så længe det er nødvendigt af hensyn til formålet med behandlingen af oplysningerne, herefter skal de slettes. Vurderingen kan variere fra oplysning til oplysning, og det foreslås derfor, at ministeren kan fastsætte forskellige slettefrister for forskellige typer af oplysninger. Det bemærkes, at sundhedsministeren efter forslaget alene vil kunne fastsætte regler om sletning i den fælles digitale infrastruktur, herunder i patientoverblikket, og ikke i de tilknyttede kildesystemer. Oplysningerne skal derfor fortsat opbevares i kildesystemerne inden for den slettefrist, der enten er fastsat i lovgivningen eller af den dataansvarlige inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven.

Det foreslås for det femte, at sundhedsministeren bemyndiges til at kunne fastsætte regler om den registreredes adgang til at se de oplysninger, der er registreret om vedkommende i den fælles digitale infrastruktur. Det er hensigten at fastsætte regler om, at borgere skal have digital adgang til deres samlede patientoverblik, således at de her kan se, hvilke datakilder der indgår i overblikket. Det bemærkes at den registrerede har indsigtsret efter databeskyttelsesforordningens artikel 15, og det er ikke hensigten, at bestemmelsen skal kunne benyttes til at indskrænke den registreredes indsigtsret efter databeskyttelsesforordningen.

Det foreslås for det sjette, at sundhedsministeren bemyndiges til at kunne fastsætte regler om den registreredes direkte elektroniske adgang til logoplysninger om anvendelser af de registrerede oplysninger i den fælles digitale infrastruktur. Det er hensigten, at Sundhedsdatastyrelsen skal gøre en overskuelig oversigt tilgængelig for borgeren over opslag foretaget i borgerens oplysninger i den fælles digitale infrastruktur.

Det foreslås for det syvende at bemyndige sundhedsministeren til at fastsætte regler om den dataansvarliges adgang og pligt til at indberette oplysninger til den fælles digitale infrastruktur. Det er hensigten at fastsætte regler om, at de regioner, kommuner, privatpraktiserende læger m.v., der er dataansvarlige for de kildesystemer, som ifølge forslaget vil blive tilknyttet den fælles digitale infrastruktur, skal indberette oplysninger til den fælles digitale infrastruktur fra de lokale kildesystemer. En udmøntning af den foreslåede bestemmelse vil medføre, at de dataansvarlige forpligtes til at videregive de oplysninger til Sundhedsdatastyrelsen, som - efter regler fastsat af sundhedsministeren - må opbevares i den fælles digitale infrastruktur.

Det bemærkes, at den fælles digitale infrastruktur vil blive integreret med de lokale kildesystemer, som sundhedspersoner benytter i deres daglige arbejde. Når sundhedspersonen har afsluttet sin registrering (f.eks. oprettelse af en ny aftale for patienten) i kildesystemet, vil aftalen automatisk blive overført til den fælles nationale infrastruktur, hvorfra den vil kunne vises til andre sundhedspersoner, så de har mulighed for at koordinere deres planlægning, ligesom aftalen vises for borgeren selv på sundhed.dk. Den enkelte sundhedsperson vil derfor ikke aktivt skulle foretage sig noget for at indberette data til den fælles digitale infrastruktur.

Det foreslås for det ottende, at sundhedsministeren kan fastsætte regler om de tekniske og forretningsmæssige krav vedrørende sundhedspersoners og myndigheders tilslutning til den fælles digitale infrastruktur. Det er hensigten, at bestemmelsen vil blive udmøntet til at stille krav om, at anvendere af den fælles digitale infrastruktur vil skulle opfylde de certificeringskrav, som Sundhedsdatastyrelsen fastsætter for at få adgang til den fælles digitale infrastruktur. Sundhedsdatastyrelsen vil således fastsætte passende certificeringskriterier i takt med og i den udstrækning, dette er teknisk muligt og findes nødvendigt af hensyn til patientsikkerheden. Det kan f.eks. være et teknisk certificeringskrav om, at anvendersystemerne bruger en bestemt teknisk standard eller et funktionelt certificeringskrav, hvor der f.eks. kan stilles krav til, hvordan oplysninger vises i det lokale fagsystem.

Endelig foreslås det som et niende element, at sundhedsministeren kan fastsætte regler om, hvilke systemer der skal tilknyttes den fælles digitale infrastruktur som kildesystemer. Det er hensigten i første omgang af fastsætte regler om at Fælles Medicinkort (FMK), Det Danske Vaccinationsregister (DDV), laboratoriedatabasen, KIH Databasen m.fl. tilknyttes som kildesystemer.

2.2.2. Forenkling af reglerne om sundhedspersoners adgang til at indhente helbredsoplysninger m.v. i elektroniske systemer til brug for patientbehandling

Som nævnt i punkt 1.1 er dele af sundhedsloven fra en tid, hvor oplysninger om patienten i stort omfang fandtes i papirjournaler, og patienten kun var i behandling ét sted ad gangen. Sådan er det langt fra i dag, hvor patientbehandlingen ofte foregår på tværs af sundhedsvæsenet, og hvor patienten både er i kontakt med sin praktiserende læge, sygehuset, speciallæge og de kommunale sundhedstilbud.

En patient kan have en berettiget forventning om, at der er sammenhæng mellem diagnostik, behandling, genoptræning og rehabilitering, uanset at en del heraf foregår i praksissektoren, og en anden del foregår på sygehuset eller i kommunen. For at imødekomme disse forventninger er der behov for en høj grad af vidensdeling på tværs af sektorer, og det forudsætter, at de sundhedspersoner, som har patienten i behandling, kan tilgå de helbredsoplysninger m.v., som er registreret i andre dele af sundhedsvæsenet og er nødvendige til brug for behandlingen af patienten. Det foreslås løst dels ved at etablere en fælles digital infrastruktur, som beskrevet under punkt 2.2.1. For at sikre et bedre grundlag for digitalt samarbejde i sundhedsvæsenet og for at understøtte den fælles digitale infrastruktur, er der desuden behov for at ændre reglerne i sundhedsloven om indhentning af helbredsoplysninger m.v.

De gældende regler i sundhedsloven om indhentning af helbredsoplysninger m.v. i elektroniske systemer blev indført i 2007, hvor læger og sygehusansatte tandlæger fik adgang til at indhente både historiske og aktuelle helbredsoplysninger m.v. ved opslag i elektroniske systemer med henblik på aktuel patientbehandling. I 2011 blev gruppen af sundhedspersoner udvidet til også at omfatte andre tandlæger end sygehusansatte tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence. Men der er - som reglerne er i dag - fortsat grupper af sundhedspersoner, der som udgangspunkt ikke har mulighed for at få adgang til historiske helbredsoplysninger m.v., ligesom adgangen for disse grupper af sundhedspersoner skal være teknisk begrænset til de patienter, der er i behandling på samme behandlingsenhed.

I praksis samarbejder sundhedsfaglige personalegrupper tværfagligt i teams, og det opleves i den sammenhæng som en unødig barriere - også i forhold til ønsket om at fremme muligheden for opgaveglidning - at de sundhedspersoner, der har patienten i aktuel behandling, ikke kan tilgå de nødvendige helbredsoplysninger. Som ligeledes nævnt i punkt 1.2 har arbejdet med afdækning af barrierer for det sammenhængende patientforløb, som blev aftalt i økonomiaftalen for 2018, også vist, at de gældende regler for indhentning af helbredsoplysninger m.v. ikke fuldt ud understøtter behovet i sundhedsvæsenet i dag for at arbejde på tværs, og lovgivningen sikrer således ikke i tilstrækkelig grad, at de sundhedspersoner, som deltager aktivt i patientbehandlingen, kan tilgå de nødvendige helbredsoplysninger, ligesom lovgivningen heller ikke tager højde for den opgaveglidning, der sker mellem faggrupper og sektorer. Flere organisationer, herunder bl.a. fysioterapeuter og ergoterapeuter, har desuden tilkendegivet, at de nuværende begrænsninger er uhensigtsmæssige i forhold til deres daglige arbejde med patientbehandling. Datatilsynet har herudover gjort opmærksom på, at det kan være praktisk vanskeligt at foretage en opdeling af oplysninger om aktuel behandling og historiske oplysninger, idet dette vil bero på en løbende konkret vurdering af de pågældende oplysninger.

Hertil kommer, at databeskyttelsesforordningen, der har været gældende siden 25. maj 2018, pålægger både offentlige og private dataansvarlige at fastlægge et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen af personoplysningerne. Databeskyttelsesforordningen lægger således vægt på en risikobaseret tilgang, der indebærer, at det er den dataansvarliges ansvar at fastsætte sikkerhedsniveauet. Det er efter Sundheds- og Ældreministeriets opfattelse helt i tråd hermed, at det er de dataansvarlige regioner, privatpraktiserende læger m.fl., der skal tage stilling til og fastlægge, hvilke sundhedspersoner der som led i aktuel patientbehandling har behov for at have adgang til patienters helbredsoplysninger, i stedet for - som reglerne er i dag - at der er fastsat detaljerede begrænsninger i loven, som i mange tilfælde ikke understøtter den måde, som regionerne, privatpraktiserende læger m.fl. har tilrettelagt opgaveløsningen på.

På den baggrund foreslås det for det første, at sundhedspersoner ved opslag i elektroniske systemer i fornødent omfang skal kunne indhente oplysninger om en patients helbredsforhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienter. Forslaget skal ses i sammenhæng med, at den dataansvarlige region, kommune, privatpraktiserende læge m.v. efter databeskyttelsesforordningens regler er forpligtet til - gennem systemtekniske og organisatoriske foranstaltninger - at sikre, at det kun er de personer, der har brug for helbredsoplysninger m.v. om en patient, der rent faktisk må have teknisk adgang til oplysningerne.

Elektroniske systemer omfatter, som det også er tilfældet efter gældende regler, systemer, hvor der er tale om en direkte on-lineadgang. Det er endvidere en forudsætning for at indhente oplysninger i et givent system, at oplysningerne i systemet oprindeligt er indsamlet til det formål at understøtte den sundhedsfaglige behandling af de registrerede personer (patienter), eller er indsamlet til et formål, som ikke er uforeneligt med sundhedsfaglig behandling, jf. databeskyttelsesforordningens artikel 5, stk. 2. Elektroniske systemer omfatter dermed bl.a. elektroniske patientjournalsystemer, som indeholder oplysninger, der noteres i forbindelse med behandling af patienter, og som er nødvendige for en god og sikker patientbehandling, jf. journalføringspligten i § 22 i lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed. Elektroniske systemer vil desuden omfatte den kliniske del af den fælles informationsinfrastruktur, der oprettes i Nationalt Genomcenter, og vil også omfatte den fælles digitale infrastruktur, som foreslås oprettet, jf. punkt 2.2.1 ovenfor, og som indeholder oplysninger fra kildesystemer, herunder f.eks. elektroniske patientjournaler.

Det vil desuden principielt også kunne være systemer med andre eller blandede formål, f.eks. patientadministrative systemer eller Landspatientregisteret, som både har administrative formål og behandlingsunderstøttende formål, men det er forudsat, at der skal være tale om direkte on-line adgang, hvilket der for så vidt angår Landspatientregisteret ikke er i dag. Begrebet »elektroniske systemer« omfatter dermed principielt også Det Fælles Medicinkort (FMK) og Det Danske Vaccinationsregister (DDV). Det bemærkes dog i den forbindelse, at den særlige regulering, der er for sundhedspersoners og andre personers adgang til disse to elektroniske systemer, som begge vedrører lægemidler, opretholdes, jf. de gældende bestemmelser i sundhedslovens § 157 og § 157 a.

Sundhedspersoner skal forstås i overensstemmelse med sundhedslovens § 6, og omfatter således personer, der er autoriserede i henhold til særlig lovgivning til at varetage sundhedsfaglige opgaver, og personer, der handler på disses ansvar.

Personer, der er autoriserede i henhold til særlig lovgivning til at varetage sundhedsfaglige opgaver, omfatter personer, der er autoriserede efter autorisationsloven, dvs. læger, tandlæger, kiropraktorer, sygeplejersker, jordemødre, social- og sundhedsassistenter, ergoterapeuter, fysioterapeuter, bioanalytikere, radiografer, kliniske diætister, bandagister, kliniske tandteknikere, tandplejere, optikere, kontaktlinseoptikere, optometrister, fodterapeuter og osteopater. Det bemærkes, at autorisationsloven er ændret, således at også behandlerfarmaceuter med virkning fra 1. januar 2019 og ambulancebehandlere med virkning fra 1. juli 2019, kan autoriseres efter autorisationsloven, jf. § 1, nr. 4, i lov om ændring af lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, lov om apoteksvirksomhed, sundhedsloven og forskellige andre love, vedtaget af Folketinget den 27. november 2018. Psykologer, der er autoriserede i henhold til psykologloven, er også sundhedspersoner i sundhedslovens forstand, men kun i det omfang de udfører sundhedsfaglige opgaver.

Autoriserede sundhedspersoner kan delegere opgaver, som det er forbeholdt sundhedspersonen at udføre, til andre. Den autoriserede sundhedsperson vil skulle sikre, at delegationen sker i henhold til reglerne i bekendtgørelse nr. 1219 af 11. december 2009 om autoriserede sundhedspersoners brug af medhjælp og vejledning nr. 115 af 11. december 2009 om autoriserede sundhedspersoners benyttelse af medhjælp (delegation af forbeholdt sundhedsfaglig virksomhed). Men den autoriserede sundhedsperson kan også overdrage udførelsen af opgaver, som det ikke er forbeholdt den autoriserede sundhedsperson at udføre, til andre.

Personer, der er medhjælp for en autoriseret sundhedsperson, og som har fået delegeret forbeholdt sundhedsfaglig virksomhed, vil være omfattet af begrebet sundhedsperson i sundhedslovens § 6, og vil kunne indhente helbredsoplysninger m.v. i forbindelse med udførelse af denne forbeholdte sundhedsfaglige virksomhed, hvis det er nødvendigt i forbindelse med aktuel patientbehandling. En medicinstuderende vil eksempelvis være sundhedsperson i sundhedslovens forstand, hvis han eller hun for lægen efter de ovennævnte regler om delegation af forbeholdt virksomhed tager blodprøver eller udleverer medicin som medhjælp for en læge.

En person, der af en autoriseret sundhedsperson får overdraget en sundhedsfaglig behandlingsopgave, som det ikke er forbeholdt den autoriserede sundhedsperson at udføre, vil også være omfattet af begrebet sundhedsperson i sundhedslovens § 6. Som eksempel kan nævnes en situation, hvor en person, der ikke selv er autoriseret sundhedsperson, udfører opgaver efter anvisninger fra en sygeplejerske som led i løsningen af de sygeplejefaglige opgaver på behandlingsstedet. Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 3.

Det foreslås for det andet, at sundhedspersoner fortsat skal kunne indhente helbredsoplysninger m.v. efter en værdis?pringsregel. Indhentning efter denne bestemmelse vil således kunne ske, hvor der er særligt tungtvejende grunde, som overstiger patientens ret til fortrolighed. Indhentning efter bestemmelsen vil eksempelvis kunne være relevant i tilfælde, hvor sundhedspersonen gør sig bekendt med specifikke helbredsoplysninger om en tidligere patient, som har haft en sammenlignelig helbredstilstand, til brug for diagnosticeringen af en anden patient, som sundhedspersonen aktuelt har i behandling. Indhentningen af sådanne oplysninger om andre tidligere patienters sammenlignelige helbredstilstande vil således kunne bruges som beslutningsstøtte i forbindelse med behandling af en anden patient, som sundhedspersonen aktuelt har i behandling. Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 3 for en nærmere beskrivelse af bestemmelsens anvendelsesområde.

Det foreslås for det tredje, at andre fagpersoner end sundhedspersoner, fortsat skal have mulighed for under nærmere angivne betingelser at indhente helbredsoplysninger m.v., hvis det er nødvendigt med henblik på at yde teknisk bistand til sundhedspersoners opslag i elektroniske systemer i forbindelse med aktuel patientbehandling, eller hvis det er nødvendigt som led i den samlede aktuelle behandling af patienten.

Det foreslås, at adgangen til at indhente helbredsoplysninger m.v. for disse personer skal være betinget af, at behandlingsstedets ledelse har givet tilladelse til, at enkelte personer eller grupper af personer kan få adgang til at indhente helbredsoplysninger. Adgangen til at indhente helbredsoplysninger m.v. for disse personer er endvidere betinget af, at de pågældende personer er underlagt en lovbestemt tavshedspligt.

Andre personer end sundhedspersoner kan f.eks. være farmaceuter eller pædagoger, der ikke er sundhedspersoner, men som alligevel deltager i den samlede sundhedsfaglige indsats, og hvor indhentning af helbredsoplysninger m.v. derfor er nødvendig som led i den samlede aktuelle behandling af patienten.

Ledelsen på behandlingsstedet vil endvidere kunne give tilladelse til, at andre personer end sundhedspersoner, f.eks. sekretærer, kan indhente oplysninger i elektroniske systemer med henblik på at yde teknisk bistand til sundhedspersoners opslag i elektroniske systemer.

Patienten vil - ligesom det er tilfældet efter gældende regler - efter forslaget desuden kunne give samtykke til indhentning af helbredsoplysninger m.v. i forbindelse med patientbehandling. Men det foreslås for det fjerde, at det med lovforslaget tydeliggøres, at patienten har mulighed for at kunne give samtykke til, at sundhedspersoner f.eks. i forbindelse med tilbud om forebyggende indsatser, kan indhente helbredsoplysninger m.v. om patienten. Det foreslås desuden, at patienter kan give samtykke til, at andre personer, der efter lovgivningen er undergivet tavshedspligt, kan indhente helbredsoplysninger m.v. i elektroniske systemer i forbindelse med behandling af patienten.

Det foreslås for det femte, at sundhedsministeren bemyndiges til at fastsætte nærmere regler om autoriserede sundhedspersoners adgang til at indhente oplysninger i elektroniske systemer om andre patienter med henblik på at støtte sundhedspersonen i at træffe sundhedsfaglige beslutninger som led i patientbehandling (beslutningsstøtte). Det er forudsat, at der alene vil kunne anvendes pseudonymiserede oplysninger til brug for beslutningsstøtte.

Patienten vil efter forslaget - som i dag - kunne frabede sig indhentning af helbredsoplysninger m.v. Det foreslås dog i den forbindelse som det sjette, at patienten fremover skal kunne meddele dette enten til den sundhedsperson, som har patienten i behandling eller direkte til behandlingsstedet, f.eks. sygehuset eller den privatpraktiserende læge, hvor patienten ikke ønsker, at der skal ske indhentning af helbredsoplysninger m.v. Modtager behandlingsstedet en tilkendegivelse om frabedelse af indhentning af helbredsoplysninger m.v., påhviler det behandlingsstedets ledelse at videresende tilkendegivelsen til rette sundhedsperson eller afdeling med henblik på journalisering. Dette er en ændring i forhold til, hvordan reglerne er i dag, hvor tilkendegivelsen skal meddeles til den sundhedsperson, der indhenter oplysningerne. Baggrunden for dette forslag er, at patienter ofte ikke på forhånd ved hvilke sundhedspersoner, der indhenter oplysninger. Det vurderes derfor at være mere enkelt for patienten, hvis patienten kan vælge enten at meddele tilkendegivelsen til den sundhedsperson, som har patienten i behandling, eller direkte til behandlingsstedet. En tilkendegivelse om frabedelse af indhentning af oplysninger i den fælles digitale infrastruktur vil efter forslaget skulle gives til Sundhedsdatastyrelsen, som er den dataansvarlige myndighed, der efter forslaget vil være forpligtet til at sikre, at tilkendegivelsen registreres i systemet. Det vil i praksis bl.a. kunne ske ved, at borgeren selv i brugergrænsefladen til den fælles digitale infrastruktur frabeder sig indhentning af oplysningerne.

Det samlede forslag til forenkling af sundhedspersoners adgang til ved opslag at indhente helbredsoplysninger m.v. i elektroniske systemer i forbindelse med patientbehandling skall - som nævnt ovenfor - ses i lyset af, at de dataansvarlige regioner, privatpraktiserende læger m.fl. efter databeskyttelsesforordningens regler vil være forpligtet til at overholde databeskyttelsesforordningen krav til behandlingssikkerhed. Den dataansvarlige er således forpligtet til at fastlægge et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen af personoplysningerne, og er dermed forpligtet til at sikre, at det kun er de sundhedspersoner, der har brug for helbredsoplysninger m.v. om en patient i forbindelse med aktuel patientbehandling, der rent faktisk må have adgang til oplysningerne. Den dataansvarlige region, privatpraktiserende læge m.fl. vil således være forpligtet til - gennem systemtekniske og organisatoriske foranstaltninger - at sikre, at en sundhedsperson eller andre personer, der deltager i den samlede patientbehandling, som er ansat på det enkelte behandlingssted, alene har adgang til de helbredsoplysninger m.v., som vedkommende har behov for. Som eksempel kan nævnes, at en praktiserende læge vil kunne få tildelt teknisk adgang til oplysninger om patienter, som hører til vedkommendes praksis, ligesom en speciallæge vil kunne få tildelt teknisk adgang til oplysninger om patienter, der er i behandling hos vedkommende. En vagtlæge vil derimod kunne få tildelt adgang til en bredere kreds af patienter som led i sin funktion som vagtlæge. En fysioterapeut vil kunne få tildelt teknisk adgang til de patienter, som den pågældende har i behandling. Det er efter forslaget - som nævnt ovenfor - desuden et krav, at indhentning af helbredsoplysninger m.v. kun sker i det omfang, det er nødvendigt.

Som en yderligere garanti foreslås det desuden som et syvende element, at krav om logning inden for sundhedsvæsenet tydeliggøres ved, at den bemyndigelsesbestemmelse, som ministeren har i dag til at fastsætte nærmere regler om private dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i patientens elektroniske patientjournal m.v., samt om loggens indhold, opbevaring og sletning, udvides til også at omfatte offentlige dataansvarliges pligt til at foretage logning. Det foreslås endvidere, at bemyndigelsen ændres således, at den ikke alene omfatter elektroniske patientjournaler, men elektroniske systemer inden for sundhedsvæsenet, der indeholder helbredsoplysninger m.v.

Baggrunden for forslaget er, at pligten for offentlige dataansvarlige til logning hidtil har fulgt af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Denne sikkerhedsbekendtgørelse blev imidlertid ophævet med virkning fra 25. maj 2018 i forbindelse med vedtagelse af databeskyttelsesloven. De krav til sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som fremgik af den nu ophævede bekendtgørelse, er afløst af databeskyttelsesforordningen, der ikke fastsætter helt præcise krav til, hvordan den dataansvarlige løser opgaven med at sikre et tilstrækkeligt sikkerhedsniveau. Der gælder f.eks. ikke et generelt krav om logning for alle offentlige dataansvarlige efter databeskyttelsesforordningen. Der henvises til punkt 2.1.5.2 i de almindelige bemærkninger for en nærmere beskrivelse af databeskyttelsesforordningens krav til behandlingssikkerhed.

Det er bl.a. hensigten, at der i første omgang vil blive fastsat regler om, at offentlige dataansvarlige er forpligtet til at registrere oplysninger om, hvem der har foretaget opslag i elektroniske patientjournaler. Det skal i forlængelse heraf understreges, at regionerne m.fl. allerede i dag registrerer oplysninger om, hvem der har foretaget opslag i elektroniske patientjournaler.

Det bemærkes endvidere, at patienter har mulighed for at klage til Styrelsen for Patientklager, hvis patienten mener, at der uberettiget er indhentet helbredsoplysninger m.v. i patientens patientjournal. Den, der indhenter helbredsoplysninger m.v. i patientjournaler, i strid med den foreslåede bestemmelse i § 42 a, vil desuden kunne straffes med bøde eller fængsel indtil 4 måneder, jf. sundhedslovens § 271.

Det er således samlet set Sundheds- og Ældreministeriets opfattelse, at patienters retssikkerhed med forslaget vil blive tilgodeset fuldt ud på samme niveau, som det er tilfældet i dag, i kraft af de regler der følger af databeskyttelsesforordningen og databeskyttelsesloven kombineret med et krav om, at sundhedspersoner og andre personer udelukkende må få tildelt adgang, hvis det er nødvendigt i forbindelse med patientbehandling. Samtidig skabes en forenkling, der gør det muligt for de dataansvarlige regioner, kommuner, privatpraktiserende læger m.fl. at tilrettelægge adgangen til patientjournaler m.v. ud fra en vurdering af, hvilke opgaver de pågældende personer rent faktisk varetager i forbindelse med patientbehandlingen.

2.2.3. Forenkling af reglerne om adgang til at indhente helbredsoplysninger m.v. til brug for kvalitetssikring m.v.

Den fælles afdækning af barrierer for sammenhængende patientforløb, som regeringen og Danske Regioner aftalte i økonomiaftalen for 2018, som er nævnt i punkt 1.2, har bl.a. belyst, at et element i de gældende regler i sundhedslovens § 42 d for indhentning af helbredsoplysninger m.v. til brug for kvalitetsarbejde i sundhedsvæsenet udgør en juridisk barriere, som vurderes at være uhensigtsmæssig. De gældende regler indebærer således bl.a., at en autoriseret sundhedsperson ikke kan benytte sig af teknisk bistand i forbindelse med indhentning af helbredsoplysninger m.v. til brug for kvalitetsarbejde

Det foreslås på den baggrund, at den nuværende adgang, der er for autoriserede sundhedspersoner til at indhente helbredsoplysninger m.v. til andre formål end behandling, herunder i forbindelse med kvalitetssikring og -udvikling, ændres således, at det bliver muligt for autoriserede sundhedspersoner at anvende teknisk bistand i forbindelse med indhentningen af oplysningerne i elektroniske patientjournaler m.v. Patientens ret til at frabede sig indhentning af helbredsoplysninger m.v. i forbindelse med kvalitetsarbejde fastholdes, dog således at det foreslås, at patienten kan frabede sig indhentning af helbredsoplysninger m.v. enten til den person, der er ansvarlig for oplysningerne, eller direkte over for behandlingsstedet.

2.2.4. Styrkelse af rammerne for indberetning af oplysninger fra almen praksis til brug for patientbehandling, planlægning, kvalitetssikring m.v.

Det fremgår af den politiske aftale som nævnt i punkt 1.2, at praksissektoren - med almen praksis og de praktiserende speciallæger - skal spille en stærkere rolle i fremtidens sundhedsvæsen. Det er derfor vigtigt, at praksissektoren i højere grad deler relevante strukturerede data og oplysninger med det øvrige sundhedsvæsen til både patientbehandling og kvalitetsudvikling på tværs af sektorer. En ændring af sundhedsloven skal tydeliggøre kravet om indberetning af relevante strukturerede data fra almen praksis og speciallæge praksis til de nationale sundhedsregistre, som eksempelvis Landspatientregisteret, svarende til de krav til indberetning, der gælder for regioner i dag.

Med henblik på at styrke almen praksis og de praktiserende speciallægers rolle og til understøttelse af patientsikkerhed og kvaliteten i sundhedsvæsenet foreslås det derfor, at sundhedslovens regler om indberetningspligt for autoriserede sundhedspersoner, præciseres. Denne præcisering sker ved, at den gældende bemyndigelsesbestemmelse ændres, således at det tydeligt fremgår, at sundhedsministeren kan fastsætte nærmere regler om, hvilke oplysninger regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger og speciallæger, samt de private personer eller institutioner, der driver sygehuse m.v., skal indberette til de centrale sundhedsmyndigheder m.fl.

Det er hensigten, at udmøntningen skal ske under hensyntagen til fortroligheden mellem borgeren og dennes alment praktiserende læge. Det er derfor alene hensigten at udmønte bestemmelsen til at fastsætte regler om indberetning fra praksissektoren af strukturerede oplysninger, der er relevante for det samlede patientforløb. Dette kan bl.a. være oplysninger, som kan anvendes til patientbehandling, planlægning, kvalitetsudvikling m.v. på tværs af sundhedsvæsnet. Det skal give større viden om den del af patienternes forløb, som varetages i praksissektoren, så der skabes sammenhæng i patientens samlede forløb i sundhedsvæsnet.

Det er ligeledes hensigten, at sundhedsministeren vil fastsætte regler, der forpligter alment praktiserende læger og speciallæger til at registrere og indberette oplysninger om henvendelser og ydelser, f.eks. oplysninger om diagnoser og ydelser for kræftpatienter og kronikere, til brug for videregivelse til andre relevante sundhedspersoner i forbindelse med patientbehandling i sundhedsvæsenet samt til kvalitetsudvikling, planlægning og styring af sundhedsindsatsen både i almen praksis og på tværs af aktører på sundhedsområdet. Der vil i medfør af bemyndigelsesbestemmelsen kunne fastsættes regler om pligt til indberetning til nationale administrative registre eller andre registre, der er relevante for at styrke sammenhæng i sundhedsvæsenet.

2.3. Lovforslagets forhold til databeskyttelsesforordningen

Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i databeskyttelsesforordningen. Databeskyttelsesforordningen giver imidlertid inden for en lang række områder mulighed for, at der i national ret kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen.

Det er Sundheds- og Ældreministeriets opfattelse, at de foreslåede bestemmelser i lovforslagets § 1, nr. 1-20, kan vedtages inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 2 og 3, samt artikel 9, stk. 2, litra h, jf. artikel 9, stk. 3, og artikel 9, stk. 4.

For så vidt angår en beskrivelse af disse regler henvises til punkt 2.1.5.1.

De foreslåede bestemmelser i lovforslagets § 1, nr. 1-11, vedrørende sundhedslovens kapitel 9, og de foreslåede bestemmelser i § 1, nr. 17-18, vedrørende sundhedslovens § 195, er forslag til regler vedrørende behandling af perso?no?plysninger, herunder både almindelige personoplysninger og følsomme personoplysninger. For så vidt angår disse forslag til ændringer, bemærkes det indledningsvis, at Sundheds- og Ældreministeriet i samarbejde med Justitsministeriet har vurderet, at sundhedslovens regler, herunder kapitel 9, kunne opretholdes, når databeskyttelsesforordningen fandt anvendelse den 25. maj 2018, bl.a. med hjemmel i artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra h og artikel 9, stk. 4. Der henvises i den forbindelse til betænkning nr. 1565/2017 om databeskyttelsesforordningen, del II, side 61-65.

De foreslåede ændringer vedrørende sundhedslovens § 17, § 42 a, § 42 b, § 42 c, § 42 d, § 42 e og § 195 vurderes fortsat at kunne opretholdes inden for rammerne af disse bestemmelser i databeskyttelsesforordningen.

Det bemærkes særligt, at behandling, herunder indhentning, af helbredsoplysninger m.v. i medfør af den foreslåede bestemmelse i § 42 a, vil ligge inden for rammerne af de formål, der er nævnt i databeskyttelsesforordningens artikel 9, stk. 2, litra h. Det gælder også den behandling af helbredsoplysninger m.v., der forudsættes at kunne ske af andre faggrupper end sundhedspersoner i medfør af den foreslåede bestemmelse i § 42 a, stk. 4, idet det bemærkes, at disse andre personer er underlagt tavshedspligt efter lovgivningen. Det kan være enten tavshedspligt i medfør af sundhedslovens § 40 eller forvaltningslovens § 27. Det bemærkes endvidere, at det er forudsat, at den tilladelse, som de pågældende personer vil kunne få af ledelsen af behandlingsstedet til at indhente helbredsoplysninger m.v. i elektroniske systemer, kun kan gives, hvis det er nødvendigt som led i den samlede behandling af patienten, dvs. for at varetage formål, der ligger inden for rammerne af databeskyttelseslovens § 7, stk. 3, jf. artikel 9, stk. 2, litra h.

Der vil i medfør af den foreslåede bestemmelse i § 1, nr. 16, vedrørende oprettelse af en fælles digital infrastruktur, bl.a. ske behandling af almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. Det er Sundheds- og Ældreministeriets opfattelse, at den foreslåede formålsbegrænsning i § 193 b, stk. 2, er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, jf. artikel 6, stk. 1, litra e. Den foreslåede formålsbegrænsning i § 193 b, stk. 2, vurderes at ligge inden for det råderum, som databeskyttelsesforordningen har overladt medlemsstaterne, idet det bemærkes, at formålsbegrænsninger er nævnt i artikel 6, stk. 3, som et eksempel på en specifik bestemmelse, der kan fastsættes med henblik på at tilpasse anvendelsen af bestemmelserne i forordningen. Der henvises i den forbindelse til betænkning nr. 1565/2017 om databeskyttelsesforordningen, del I, afsnit 3.4, side 141f.

Det bemærkes endvidere, at databeskyttelsesforordningens artikel 9, stk. 2, litra h, efter sin ordlyd kræver udfyldning i særlovgivningen enten i medlemsstaternes nationale ret eller på grundlag af EU-retten. Baggrunden for den foreslåede formålsbegrænsningsbestemmelse i § 193 b, stk. 2, er at sikre, at formålet med at samle behandlingen af befolkningens helbredsoplysninger m.v. i den fælles digitale infrastruktur udelukkende skal være patientbehandling. Formålet ligger dermed inden for rammerne af databeskyttelsesforordningens artikel 9, stk. 2, litra h.

Formålsbegrænsningen vil indebære, at en patient ikke vil kunne meddele samtykke til, at Sundhedsdatastyrelsen behandler oplysninger i den fælles digitale infrastruktur til formål, der ligger uden for formålsbegrænsningen.

Formålsbegrænsningen vil desuden indebære, at der som udgangspunkt ikke kan ske behandling af helbredsoplysninger m.v., som opbevares i den fælles digitale infrastruktur, med henblik på fastlæggelse af et retskrav. Den lovbestemte formålsbegrænsning udelukker dog ikke, at Sundhedsdatastyrelsen vil kunne videregive oplysninger til brug for klage- og erstatningssager i medfør af lov om klage- og erstatningsadgang inden for sundhedsvæsenet eller til brug for Styrelsen for Patientsikkerheds varetagelse af tilsynsopgaver efter autorisationsloven eller sundhedsloven. Den foreslåede formålsbegrænsning vil heller ikke være til hinder for, at oplysninger, som opbevares i den fælles digitale infrastruktur, vil kunne udleveres til politiet efter retsplejelovens regler om edition i forbindelse med politiets efterforskning af en lovovertrædelse, der er undergivet offentlig påtale. Da de oplysninger, der opbevares i den fælles digitale infrastruktur, også findes i de underliggende kildesystemer, patientjournaler m.v., vil det dog som udgangspunkt være ved henvendelse til de dataansvarlige for de underliggende kildesystemer, at Styrelsen for Patientsikkerhed, politi m.v. i første omgang søger at få videregivet oplysninger.

Sundheds- og Ældreministeriet har overvejet, om det forhold, at artikel 9, stk. 2, litra f, er direkte anvendelig, indebærer, at der ikke i national ret kan fastsættes regler i form af den foreslåede formålsbegrænsning i § 193 b, stk. 2, der præciserer den direkte anvendelse af artikel 9, stk. 2, litra f. Det er imidlertid ministeriets opfattelse, at databeskyttelsesforordningen giver mulighed for at indføre den foreslåede formålsbegrænsningsbestemmelse, der præciserer anvendelsen af artikel 9, stk. 2, litra f. Ministeriet har herved lagt vægt på, at det er en formålsbegrænsning, der alene skal gælde inden for et specifikt område, som er behandlingen af data i forbindelse med patientbehandling i den fælles digitale infrastruktur. Ministeriet har ligeledes lagt vægt på, at det følger af forordningens artikel 9, stk. 4, at medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af bl.a. helbredsoplysninger.

Som nævnt ovenfor, vil der ikke komme til at være oplysninger i den fælles digitale infrastruktur, som ikke ligeledes vil være at finde i de underliggende kildesystemer, patientjournaler m.v. Formålsbegrænsningsbestemmelsen vil, ifølge forslaget, ikke gælde for disse underliggende kildesystemer. Det betyder, at i det omfang, der er behov for helbredsoplysninger m.v., som befinder sig i den fælles digitale infrastruktur, for at kunne fastlægge et retskrav, vil oplysningerne kunne behandles, herunder videregives, fra de underliggende kildesystemer, forudsat at betingelserne herfor i den øvrige lovgivning er opfyldt. Der ændres således ikke med lovforslaget på mulighederne for at få videregivet oplysninger fra de underliggende kildesystemer efter f.eks. sociallovgivningen, forsikringsaftaleloven, helbredsoplysningsloven m.v. For så vidt angår muligheden for at indføre nationale bestemmelser, der præciserer anvendelsen af databeskyttelsesforordningens direkte anvendelige bestemmelser henvises i øvrigt til betænkning nr. 1565/2017 om databeskyttelsesforordningen, side 156-157.

Det bemærkes særligt i forhold til de foreslåede bemyndigelsesbestemmelser i § 42 a, stk. 6, § 42 b, stk. 2, og § 193 b, stk. 3, at de regler, der vil blive udstedt i medfør af de foreslåede bemyndigelsesbestemmelser, vil blive fastsat inden for rammerne af databeskyttelsesforordningen. Datatilsynet udtalelse vil blive indhentet i den forbindelse, jf. databeskyttelseslovens § 28.

Det bemærkes endvidere, at Sundhedsdatastyrelsen - som dataansvarlig for den fælles digitale infrastruktur - vil skulle overholde databeskyttelsesforordningens krav til behandlingssikkerhed.

For så vidt angår vurdering af lovforslagets § 1, nr.12-15, vedrørende påmindelser om vaccinationer, henvises til lovforslagets punkt 3.2.

3. Påmindelser om anbefalede børnevaccinationer

3.1. Gældende ret

3.1.1. Påmindelser om vaccinationer

Statens Serum Institut er ifølge sundhedslovens § 157 a, stk. 1, ansvarlig for at drive en elektronisk registrering af oplysninger om den enkelte borgers vaccinationer og hertil knyttede oplysninger.

Det følger af sundhedslovens § 157 a, stk. 10, at sundhedsministeren fastsætter nærmere regler om driften m.v. af vaccinationsregistret, herunder regler om hvilke oplysninger der registreres i vaccinationsregistret. Der er i bekendtgørelse nr. 460 af 8. maj 2014 om adgang til og registrering m.v. af lægemiddel- og vaccinationsoplysninger fastsat nærmere regler om, hvilke oplysninger der registreres i vaccinationsregistret.

Det er således fastsat i bekendtgørelsens § 4, nr. 1, at vaccinationsregistret indeholder stamoplysninger om borgeren (personnummer, navn, adresse, sikringsgruppe og valgt praktiserende læge). Af bekendtgørelsens § 4, nr. 8, fremgår det, at registret desuden indeholder oplysninger om indgivne vaccinationer, herunder vaccinens batch-nr. og tilknyttede vaccinationsforløb og -programmer. Det er endvidere fastsat i bekendtgørelsens § 4, nr. 3, at registret skal indeholde oplysninger, der entydigt identificerer sundhedspersoner m.v. ved navn, ansættelsessted/organisation og autorisations-ID, som enten har haft adgang til vaccinationsoplysninger, indberettet oplysninger, udstedt en elektronisk recept eller foretaget ekspedition af en recept.

Endelig fremgår det af bekendtgørelsens § 12, at Statens Serum Institut stiller en log til rådighed for borgere samt for autoriserede sundhedspersoner, der kan delegere adgang til lægemiddel- og vaccinationsoplysninger. Dette indebærer bl.a., at borgeren i denne log har indsigt i, hvilke sundhedspersoner m.v., som har haft adgang til og evt. indberettet vaccinationsoplysninger om borgeren. Tilsvarende kan borgeren se log for de personer, som borgeren er forældremyndighedsindehaver eller værge for.

Forældremyndighedsindehaveren har adgang til vaccinationsoplysninger for børn og unge under 15 år, jf. bekendtgørelsens § 5, stk. 2. Oplysninger om barnets forældres bopælsadresse findes i CPR, der indgår i de stamdata, der understøtter vaccinationsregistret.

Statens Serum Instituts adgang til oplysninger i Det Danske Vaccinationsregister er reguleret i sundhedslovens § 157 a, stk. 6. Af bestemmelsen fremgår det, at Statens Serum Institut har adgang til oplysninger i vaccinationsregisteret med henblik på at overvåge og vurdere vaccinationstilslutning og -effekt samt undersøge eventuelle sammenhænge mellem vaccination og uventede reaktioner eller bivirkninger ved vaccination. Det fremgår desuden af bestemmelsen, at Statens Serum Institut har adgang til oplysninger i registret, når det er påkrævet af driftstekniske grunde eller følger af Statens Serum Instituts forpligtelser m.v. som dataansvarlig for registret. Endelig fremgår det, at Statens Serum Institut har adgang til oplysninger i registret med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov.

Det følger af sundhedslovens § 157 a, stk. 11, at sundhedsministeren fastsætter nærmere regler om Statens Serum Instituts adgang til oplysninger i Det Danske Vaccinationsregister med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov. Ministeren fastsætter desuden regler om Statens Serum Instituts udsendelse af påmindelser.

I bekendtgørelse nr. 445 af 7. maj 2014 om udsendelse af påmindelser med henblik på at forbedre tilslutningen til børnevaccinationsprogrammet m.v. (bekendtgørelse om påmindelser) er det i § 1 fastsat, at adgangen for Statens Serum Institut til oplysninger i Det Danske Vaccinationsregister (DDV) med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov, omfatter adgang til oplysninger om:

1) personnummer, navn, adresse og alment praktiserende læge for børn under 15 år,

2) navn og adresse på den eller dem, der har forældremyndighed over barnet, eller den forælder/de forældre som barnet har adresse hos, og

3) vaccinationer, som barnet er registreret som modtager af.

I bekendtgørelsens § 2 er det fastsat, at Statens Serum Institut udsender én gang for hver af de i nr. 1-4 nævnte aldersgrupper påmindelser om:

1) Børn, der er fyldt 2 år, men som ifølge de i § 1 nævnte oplysninger ikke har modtaget alderssvarende vaccination mod kighoste, difteri, stivkrampe, polio, Hæmophilus influenzae (Hib), mæslinger, fåresyge eller røde hunde.

2) Børn, der er fyldt 6½ år, men som ifølge de i § 1 nævnte oplysninger ikke har modtaget alderssvarende vaccination mod kighoste, difteri, stivkrampe, polio, mæslinger, fåresyge eller røde hunde.

3) Børn, der er fyldt 14 år, men som ifølge de i § 1 nævnte oplysninger ikke har modtaget alderssvarende vaccination mod kighoste, difteri, stivkrampe, polio, mæslinger, fåresyge eller røde hunde.

4) Piger, der er fyldt 14 år, men som ifølge de i § 1 nævnte oplysninger ikke har modtaget fuld vaccination mod livmoderhalskræft (HPV).

Påmindelserne sendes til den eller dem, der har forældremyndighed over barnet, eller den forælder/de forældre som barnet har adresse hos, såfremt forældremyndighedsindehaver ikke står registerret i CPR (før 2004). Såfremt det senere vurderes relevant at udsende påmindelser om vaccinationer af unge, som er fyldt 15 år, vil påmindelsen blive sendt til den unge og forudsat den unges samtykke også til forældremyndighedsindehaveren eller den forældre/de forældre, som den unge har adresse hos.

Det er endvidere med bekendtgørelsens § 3 fastsat, at Statens Serum Institut udsender påmindelser vedrørende børn under 2 år, der er født af en kvinde med kronisk hepatitis B infektion, og som ikke har modtaget aldersvarende vaccination mod hepatitis B. Disse påmindelser sendes til barnets mor og barnets alment praktiserende læge. Tilbuddet om gratis vaccination til børn under 2 år, som er født af en kvinde med kronisk hepatitis B infektion, er fastsat i § 2 i bekendtgørelse nr. 904 af 5. september 2008 om ændring af bekendtgørelse om gratis hepatitisvaccination til særligt udsatte persongrupper.

Endelig er det i § 4 i bekendtgørelse om påmindelser fastsat, at Statens Serum Institut ikke udsender påmindelser om manglende vaccination til den forældremyndighedsindehaver eller forælder, der har meddelt Statens Serum Institut, at man ikke ønsker at modtage påmindelser om manglende vaccination.

Statens Serum Institut behandler de nævnte personoplysninger med hjemmel i bl.a. databeskyttelseslovens § 7, stk. 3, der muliggør behandling af bl.a. oplysninger om helbredsmæssige forhold, hvis behandling af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h.

3.1.2. Betaling for vaccinationer

Regionsrådet yder i medfør af sundhedslovens § 158, stk. 1, gratis vaccination mod visse sygdomme, idet sundhedsministeren fastsætter nærmere regler om, hvilke persongrupper der skal tilbydes vaccinationer, og hvilke sygdomme de skal tilbydes vaccinationer mod, jf. § 158, stk. 2. Regionsrådet yder endvidere i medfør af sundhedslovens § 158 a, stk. 2, tilskud til køb af vacciner, som Sundhedsstyrelsen har besluttet, at nærmere afgrænsede persongrupper skal tilbydes tilskud til, jf. § 158 a, stk. 1.

Det følger af sundhedslovens § 254, stk. 1, at bopælsregionen afholder udgifter til vaccinationsydelser efter § 158. Staten afholder dog udgifter til børnevacciner i medfør af de af sundhedsministeren fastsatte regler om børnevaccinationer, jf. § 158, stk. 2.

Størrelsen af betalingen til læger er for de fleste vaccinationer aftalt i den overenskomst, som indgås mellem Regionernes Lønnings- og Takstnævn (RLTN) og Praktiserende Lægers Organisation (PLO). Det samme gælder krav til oplysninger fra lægen i forbindelse med anmodning om betaling fra regionen for vaccinationer. Dette gælder dog ikke honorar samt oplysninger i forbindelse med influenzavaccinationer samt vaccinationer i medfør af sundhedsloven, som udføres af læger, der ikke er alment praktiserende læger, og som derfor ikke er omfattet af overenskomstaftalen mellem RLTN og PLO.

Regionsrådet yder i medfør af sundhedslovens § 158, stk. 1 og 2, gratis influenza-vaccinationer til en nærmere afgrænset personkreds. Personkredsen omfatter alle personer over 65 år, førtidspensionister samt personer i særlige risikogrupper, jf. § 1 i bekendtgørelse nr. 1029 af 29. august 2018 om gratis influenzavaccinationer til visse persongrupper (bekendtgørelse om influenzavaccinationer). Staten finansierer udgifterne til vaccinationer og vacciner, jf. finanslovens § 16.51.64. Nærmere regler om betaling til læger og refusion fra staten til regionerne for afholdte udgifter til vaccination er fastsat i skrivelse nr. 9850 af 29. august 2017 om gratis influenzavaccination (skrivelsen om influenzavaccinationer).

Størrelsen af betalingen til læger for at yde influenzavaccinationer er fastsat i pkt. 1 i skrivelsen om influenzavaccinationer. Endvidere er der i skrivelsens pkt. 1 fastsat, at en række oplysninger bør indberettes af lægen i forbindelse med anmodning om betaling fra regionsrådet for vaccinationer, herunder oplysninger vedr. den vaccineredes navn, CPR-nummer og bopælsregion, vaccinationstidspunkt og oplysninger om baggrunden for, at personen er omfattet af reglerne om gratis vaccination (f.eks. om personen er fyldt 65 år). Desuden er det i skrivelsen fastsat, at betalingsanmodningen bør indeholde oplysninger om den læge, der har udført vaccinationen, eller den læge på hvis ansvar, vaccinationen er foretaget samt oplysninger om vaccinationen er foretaget i den vaccineredes eget hjem.

Der er endvidere fastsat i skrivelsen om influenzavaccinationer, at staten refunder de af regionen afholdte udgifter til influenzavaccination, og at regionerne bør indsende en opgørelse over regionens udgifter til influenzavaccinationer samt en række oplysninger om de vaccinerede, herunder oplysninger om det samlede antal borgere i de forskellige persongrupper, som er berettiget til at modtage gratis influenzavaccinationer (f.eks. antal personer, der er fyldt 65 år).

I hhv. § 3 i bekendtgørelsen om gratis vaccination mod visse smitsomme sygdomme m.v. og § 3 i bekendtgørelse om influenzavaccinationer er det fastsat, at vaccinationerne kan foretages af en læge, som i henhold til lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed har tilladelse til selvstændigt virke som læge, eller en anden person på dennes ansvar.

Vaccinationer i medfør af sundhedslovens § 158, stk. 1, (vaccinationer omfattet af børnevaccinationsprogrammet samt vaccinationer mod hepatitis B til særligt udsatte persongrupper) tilbydes som hovedregel af alment praktiserende læger. Det samme gælder vaccinationer med vacciner, som ydes med tilskud i medfør af sundhedslovens § 158 a (vaccinationer mod hhv. pneumokok og hepatitis B).

Influenzavaccinationer, som udføres i medfør af sundhedslovens regler om gratis influenzavaccinationer, udføres ligeledes primært af alment praktiserende læger. Ca. 20 pct. af influenzavaccinationerne i medfør af sundhedsloven udføres dog af læger fra private vaccinationsklinikker.

Det er som nævnt fastsat i sundhedslovens § 158, stk. 1, at regionsrådet yder vederlagsfri vaccination mod visse sygdomme. Sundhedsministeren har med sundhedslovens § 158, stk. 2, hjemmel til at fastsætte nærmere regler om, hvilke vaccinationer der efter stk. 1 er omfattet af loven, herunder om hvilke sygdomme der skal tilbydes vaccination mod, hvilke persongrupper der skal tilbydes vaccination, og hvilke læger der skal kunne foretage vaccination efter loven. Der er imidlertid ikke fastsat en specifik hjemmel, hvorefter ministeren kan fastsætte regler om betaling, herunder størrelsen af et honorar til læger for at udføre en vaccination i medfør af § 158, stk. 1.

3.2. Sundheds- og Ældreministeriets overvejelser og den foreslåede ordning

En høj vaccinationstilslutning er nødvendig for at beskytte alle børn imod smitsomme sygdomme, herunder også børn, som er for unge, eller som af andre grunde ikke kan blive vaccineret. Tilslutningen til børnevaccinationsprogrammet har været stigende gennem de seneste år. Resultatet af forskningsprojekt fra Statens Serum Institut peger på, at den øgede tilslutning bl.a. skyldes, at Statens Serum Institut siden 2014 har udsendt påmindelsesbreve til forældre, hvis børn ikke har fået de anbefalede vaccinationer i børnevaccinationsprogrammet.

På trods af fremgangen er tilslutningen på flere områder utilstrækkelig. f.eks. lever Danmark fortsat ikke op til de internationale mål, som WHO har fastsat for mæslingevaccinationer. Tilslutningen til vaccination mod mæslinger bør ifølge WHO være mindst 95% for de første to vaccinationer. I Danmark er tilslutningen til vaccination mod mæslinger, fåresyge og røde hunde (MFR-vaccinationen) 94% for den første vaccination og 88% for den anden vaccination. Derudover gives vaccinationer ofte forsinket i forhold til det anbefalede vaccinationstidspunkt.

Der er således behov for yderligere initiativer, som kan forbedre tilslutningen til børnevaccinationsprogrammet. Med lovforslaget foreslås det at skabe mulighed for, at påmindelsesordningen udvides, således at Statens Serum Institut også kan sende påmindelser til forældre før tidspunktet for en anbefalet børnevaccination.

Sundheds- og Ældreministeriet finder på den baggrund, at adgangen for Statens Serum Institut til at anvende oplysninger i DDV og de stamdata, der understøtter registret med henblik på at udsende påmindelser til forældre (forældremyndighedsindehaveren) om manglende vaccinationer, bør udvides, således at de samme oplysninger også kan anvendes med henblik på at udsende påmindelse, før det anbefalede tidspunkt for vaccination med vacciner, der indgår i børnevaccinationsprogrammet eller tilbydes barnet ved individuelt behov.

Desuden finder ministeriet, at der bør fastsættes en præcis hjemmel til, at ministeren kan fastsætte nærmere regler om betaling, herunder størrelsen af honoraret for vaccinationer, der ikke er omfattet af en overenskomstaftale. Desuden vil hjemlen skulle benyttes til at fastsætte bindende regler for, hvilke oplysninger en læge, som ikke er omfattet af en overenskomstaftale, skal indberette til regionsrådet i forbindelse med anmodning om betaling for vaccinationer, samt hvilke oplysninger regionsrådet skal indberette til Sundheds- og Ældreministeriet i forbindelse med refusion.

Det foreslås for det første at udvide Statens Serum Instituts adgang til at indhente oplysninger i Det Danske Vaccinationsregister og de stamdata, der understøtter registret. Udvidelsen indebærer, at de oplysninger, som Statens Serum Institut indhenter med henblik på at kunne udsende påmindelser om manglende vaccinationer efter de anbefalede vaccinationstidspunkter, også kan anvendes til at udsende påmindelser før de anbefalede tidspunkter for vaccinationer, der indgår i det danske børnevaccinationsprogram.

Børnevaccinationsprogrammet omfatter følgende vaccinationer: Difteri-tetanus-kighoste-polio-Hib 1 (hæmophilius influenzae), der gives, når barnet er 3 mdr., 5 mdr. og 12 mdr., PCV (pneumonokokvaccine), der gives, når barnet er 3 mdr., 5 mdr. og 12 mdr., MFR (vaccination mod mæslinger, fåresyge og røde hunde), der gives, når barnet er 15 mdr. og 4 år, difteri-tetanus-kighoste-polio revaccination, der gives, når barnet er 5 år, og HPV (livmoderhalskræft), der gives 2 gange til piger i alderen 12-17 år.

Det foreslås desuden, at Statens Serum Instituts adgang til at indhente oplysningerne fra Det Danske Vaccinationsregister udvides, således at oplysningerne også kan anvendes med henblik på at udsende påmindelser før det anbefalede tidspunkt for vaccinationer, som tilbydes børn, som er i særlig risiko for at udvikle en smitsom sygdom samt børn, som efter individuelt behov tilbydes andre supplerende vaccinationer end dem, der indgår i børnevaccinationsprogrammet. Formålet hermed er navnlig at åbne mulighed for, at Statens Serum Institut kan udsende påmindelser før en anbefalet vaccination mod hepatitis B af børn født af kvinder med kronisk hepatitis B.

Det foreslås samtidig at udvide sundhedsministerens bemyndigelse til at fastsætte nærmere regler om den foreslåede adgang til oplysningerne i registret. Det er hensigten, at der i medfør af den foreslåede bemyndigelse vil blive fastsat regler om, at Statens Serum Institut udsender påmindelser før det anbefalede tidspunkt for de enkelte børnevaccinationer nævnt ovenfor.

Påmindelserne om kommende og eventuelle manglende vaccinationer vil som udgangspunkt blive udsendt som digital post og via NEM-SMS til forældre, der er tilmeldt denne ordning. Herudover vil forældre få adgang til at få påmindelser om kommende og eventuelle manglende vaccinationer i den kommende borgerrettede app »Min Læge«, som Sundheds- og Ældreministeriet udvikler i samarbejde med de praktiserende læger (PLO). App'en vil indeholde en række funktioner, herunder en påmindelsesfunktion om kommende vaccinationer for borgeren selv og dennes børn. På længere sigt kan der komme andre tekniske muligheder for at sende og modtage påmindelser.

Reglerne vil blive fastsat inden for rammerne af databeskyttelsesforordningen og databeskyttelsesloven, og Datatilsynet vil blive hørt over reglerne, inden de udstedes.

Det foreslås for det andet, at der etableres en præcis hjemmel til, at ministeren kan fastsætte betalingen til læger, som udfører en vaccination, såfremt der ikke er en overenskomstaftale for den pågældende vaccination.

Det foreslås desuden at etablere en hjemmel til at fastsætte bestemmelser om oplysninger, som den vaccinerende læge er forpligtet til at indberette i forbindelse med anmodning om betaling fra regionen samt oplysninger, som regionen er forpligtet til at indberette til staten i forbindelse med krav om refusion. Der vil blive fastsat bestemmelser, som svarer til de oplysninger, som den vaccinerende læge ifølge gældende skrivelse om gratis influenzavaccinationer bør indberette til regionen i forbindelse med anmodning om en betaling, og som regionenerne bør indberette til staten i forbindelse med krav om refusion.

4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Lovforslagets element vedr. digitalt samarbejde i sundhedsvæsenet vurderes ikke i sig selv at have offentlige økonomiske konsekvenser.

Regioner, kommuner og praksissektor har hver især ansvar for at indkøbe og drive deres egne it-løsninger, mens det nationale krav er, at systemerne kan dele oplysninger på tværs af sundhedsvæsenet. Med lovforslaget hjemles det, at Sundhedsdatastyrelsen kan drive en national infrastruktur, hvor disse oplysninger kan opbevares og udstilles i de lokale systemer med ensartede løsninger til logning, sikkerhed m.v. Sigtet med forslaget er at hjemle, at de oplysninger i højere grad kan indhentes via en fælles infrastruktur, og dermed at relevant information kan indhentes hurtigere og mere samlet og sikkert for sundhedspersoner.

Mange af de digitale løsninger, der kan understøtte, at relevante oplysninger kan deles nemt og sikkert på tværs, er allerede udviklet eller finansieret. Således er den nationale infrastruktur til deling af sundhedsoplysninger allerede etableret, og videreudvikling er finansieret bl.a. til løsninger til et samlet patientoverblik med Handlingsplanen for den ældre medicinske patient i 2016 og på finansloven for 2018 til indsatser under Strategi for digital sundhed. Tilsvarende er der med finansloven afsat midler til at styrke Sundhedsdatastyrelsens tilsyn med lokal brugerstyring m.v. som led i, at styrelsen får ansvar for flere data. Det er en udvidelse af den tilsynsforpligtelse, Sundhedsdatastyrelsen allerede har i forhold til det Fælles medicinkort. Der er forudsat 2 mio. kr. årligt til opgaven i 2018 og 2019 og i alt ca. 4 mio. kr. årligt til opgaven fra 2020 og frem. Endelig er der med Økonomiaftalen for 2019 tilført regioner og kommuner i alt 50 mio. kr. til at styrke indsatsen for bedre digitalt samarbejde.

Lovforslaget indebærer dermed, at en række af de investeringer, der allerede er foretaget i sektoren, kan nyttiggøres yderligere. Eksempelvis bemærkes, at det i dag er muligt at dele oplysninger om pårørende, sprog og aftaler via den nationale infrastruktur, mens der ikke er hjemmel til at dele oplysninger om behov for f.eks. en døve-tolk i forbindelse med aftaler, idet en oplysning om behov for brug af døve-tolk fortæller, at en person er døv eller hørehæmmet, hvilket er en helbredsoplysning.

Regioner og kommuner forventes at ville skulle investere i integrationer til den fælles digitale infrastruktur og de nationale services i den, hvis der som et led i evt. kommende aftaler mellem parterne aftales en pligtmæssig brug af den fælles infrastruktur. Den lokale opkobling til infrastrukturen finansieres lokalt og aftales mellem parterne i den årlige regionale og kommunale økonomiaftale med efterfølgende opfølgning i regi af Den nationale bestyrelse for sundheds-it og forventet i Den fælles offentlige systemforvaltergruppe (FSI). Aftalen om finansieringen skal ske ud fra princippet fra den regionale økonomiaftale fra 2011 om, at den der har gevinsten ved sundheds-it løsninger også bærer investeringen. Forud for en aftale om finansieringen af eventuelle investeringer og i forbindelse med udviklingen af infrastrukturen gennemføres potentialeberegninger, business cases m.v., som tydeliggør, hvilke oplysninger der er størst kvalitative og økonomiske gevinster ved at dele, og hvor disse gevinster er, så infrastrukturen og dermed patientoverblikket udbygges i takt med, at disse gevinster kan sandsynliggøres. Som et eksempel kan fremhæves, at et overblik over f.eks. aftaler eller behov for liggende hjemtransport vil mindske den tid, sundhedspersoner i dag bruger på at ringe rundt og vil kunne gøre, at f.eks. udskrivning kan foregå hurtigere og mere smidigt. Det vil lette arbejdsgange på både sygehuse og i kommunal pleje, og det vil skabe øget tryghed for patienten. Det indebærer, at der, i takt med at infrastrukturen udbygges, vil være overvejelser om behov for investeringer i stat, regioner og kommuner, praksissektor m.v. og håndtering heraf, men udgifterne afhænger af ambitionsniveauet for brug af infrastrukturen, og dermed er lovforslaget ikke i sig selv drivende for udgifter på feltet.

Lovforslaget vurderes endvidere at have positive implementeringskonsekvenser for det offentlige, idet den fælles digitale infrastruktur til deling af relevante helbredsoplysninger i sundhedsvæsenet vil indebære ændrede arbejdsgange for praksissektoren, kommunerne og regionerne, jf. eksemplet ovenfor. Dog skal det bemærkes, at dette er betinget af, at regioner, kommuner og praksissektoren lokalt implementerer og tager systemer i anvendelse, der kan koble til den fælles digitale infrastruktur. Det vurderes, at ændringerne vil indebære en forenkling af arbejdsgangene, idet mulighederne for at få adgang til relevante helbredsoplysninger m.v. forbedres. En forenkling af arbejdsgange vil være noget, som kan indgå, når der skal udarbejdes business cases i forbindelse med udviklingen af strukturen og afklaringen af den eventuelle lokale finansiering. Lovforslaget følger principperne for digitaliseringsklar lovgivning. Det bemærkes i den forbindelse, at forslaget indebærer en forenkling af regler for sundhedspersoners adgang til at foretage opslag i elektroniske systemer, der indeholder helbredsoplysninger m.v., og lovgivningen tilpasses det forhold, at der er sket en overgang fra papirjournaler til, at helbredsoplysninger m.v. i dag stort set udelukkende registreres og opbevares elektronisk. Forslaget er overvejende teknologineutralt, da lovforslaget ikke pålægger borgere eller myndigheder at anvende en lovbestemt teknologi til indberetning, opbevaring eller videregivelse af oplysninger. De digitale løsninger for implementering af lovforslaget, kan derfor ændres i takt med den teknologiske udvikling.

For så vidt angår lovforslagets element vedr. påmindelser om børnevaccination kan det oplyses, at udgiften til udviklingen af en ny funktionalitet til påmindelser skønnes at udgøre ca. 1,6 mio. kr., som finansieres via midler afsat hertil på FL 2017 til udviklingen af app »Min Læge«. Det er en app, som bl.a. kan sende påmindelser om vaccinationer. Hertil kommer udgifter til yderligere udvikling af DDV, så der kan sendes påmindelser via e-boks og NemSMS, supplerende fysiske breve til personer, som er undtaget digital post samt via app'en. Disse udgifter skønnes at udgøre ca. 0,8 mio. kr. og er ligeledes finansieret via FL 2017.

Nettodriftsudgifterne til det nye påmindelsessystem som følge af den nye funktionalitet skønnes at udgøre ca. 2 mio. kr. i 2019 og søges inden for Sundheds- og Ældreministeriets økonomiske ramme.

5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Da Sundhedsdatastyrelsens fælles digitale infrastruktur forventes at kunne arbejde sammen med de eksisterende lokale fagsystemer, forventes det ikke, at privatpraktiserende sundhedspersoner skal afholde væsentlige udgifter til nye systemer, og lovforslaget vurderes derfor ikke at have økonomiske konsekvenser for erhvervslivet.

En udmøntning af den foreslåede § 193 b vil understøtte etableringen af et samlet patientoverblik, hvor sundhedspersoner vil få let adgang til en oversigt over borgerens helbredsoplysninger i sundhedsvæsenet. En sundhedsperson med en patient i et behandlingsforløb kan således få en let og overskuelig adgang til oplysninger om aftaler, medicin, vaccinationer, diagnoser, journaloplysninger m.v. Det vurderes at medføre en lettere arbejdsgang og mindske administrationsbyrden ved indhentning af patientens oplysninger på tværs af sektorer blandt andet gennem et reduceret tidsforbrug i forbindelse med indhentning af patientoplysninger.

Såfremt udmøntningen af den foreslåede § 193 b, stk. 3, nr. 6, indebærer krav til certificering af anvendersystemer, må der forventes en tilretning af fagsystemernes brugergrænseflader. Finansiering af certificering og den efterfølgende systemforvaltning aftales i den årlige regionale og kommunale økonomiaftale med efterfølgende opfølgning i regi af Den nationale bestyrelse for sundheds-it og forventet i Den fællesoffentlig systemforvaltergruppe (FSI).

Lovforslaget i sig selv vurderes heller ikke at have negative administrative konsekvenser for erhvervslivet. En udmøntning af den foreslåede § 193 b, stk. 3, nr. 5, vurderes endvidere ikke at medføre yderligere administrative byrder for erhvervslivet, da det må forventes, at de oplysninger, der vil skulle indberettes til systemet, er oplysninger, der allerede i dag skal indberettes.

Lovforslagets forslag til § 195, stk. 3, vurderes ikke i sig selv at medføre negative administrative konsekvenser, men kan ved udmøntning medføre pligt for privatpraktiserende sundhedspersoner til at indberette oplysninger, som de i dag ikke er forpligtet til at indberette. Den administrative konsekvens ved en udvidet indberetningspligt vurderes ikke at være af væsentlig karakter.

En udmøntning af den foreslåede § 42 a, stk. 6, vurderes endvidere at have en positiv effekt på sundhedspersonens mulighed for at yde den bedste behandling for patienten.

Det bemærkes i den forbindelse, at forslaget indebærer en forenkling af regler for sundhedspersoners adgang til at foretage opslag i elektroniske systemer, der indeholder helbredsoplysninger m.v., og at lovgivningen således med lovforslaget tilpasses det forhold, at der er sket en overgang fra papirjournaler til elektroniske patientjournaler.

Samlet set vurderes det, at lovforslaget kan medføre væsentlige administrative lettelser for erhvervslivet, idet dette dog vil afhænge af den konkrete udmøntningen af lovforslagets bemyndigelser. De endelige administrative konsekvenser kan derfor endnu ikke kvantificeres, da vurderingen må ske på grundlag af, hvorledes loven bliver udmøntet.

Endelig vurderes det, at lovforslaget følger principperne for agil erhvervsrettet regulering. Principperne om, at reguleringen bør muliggøre anvendelse af nye forretningsmodeller, og at reguleringen skal være mere enkel og formålsbestemt, vurderes ikke at være relevant for dette lovforslag.

For så vidt angår princippet om teknologineutralitet vurderes det, at lovforslaget er overvejende teknologineutralt, da lovforslaget ikke pålægger erhvervsdrivende at anvende en lovbestemt teknologi til indberetning, opbevaring eller videregivelse af oplysninger. De digitale løsninger for implementering af lovforslaget kan derfor ændres i takt med den teknologiske udvikling.

Vedrørende princippet om helhedstænkning bemærkes det, at lovforslaget tager højde for sundhedslovens regler og andre databeskyttelsesregler. Princippet vurderes ikke relevant i forhold til andre reguleringsområder.

Vedrørende princippet om, at reguleringen skal sikre brugervenlig digitalisering, bemærkes det, at en udmøntning af den foreslåede § 193 b vil understøtte etableringen af et samlet patientoverblik, hvor sundhedspersoner vil få let digital adgang til en oversigt over borgerens helbredsoplysninger i sundhedsvæsenet. En sundhedsperson med en patient i et behandlingsforløb kan således få en let og overskuelig adgang til oplysninger om aftaler, medicin, vaccinationer, diagnoser, forløbsplaner, journaloplysninger m.v. Det vurderes at medføre en lettere arbejdsgang og mindske administrationsbyrden ved indhentning af patientens oplysninger på tværs af sundhedsvæsenet, herunder for private aktører.

6. Administrative konsekvenser for borgerne

Med en fælles digital infrastruktur til behandling af helbredsoplysninger og med etablering af et samlet patientoverblik vil borgere få let adgang til en oversigt over deres helbredsoplysninger fra sundhedsvæsenet. En borger i et behandlingsforløb kan således få en let og overskuelig adgang til oplysninger om aftaler, medicin, vaccinationer, diagnoser, journaloplysninger m.v.

Særligt for borgere i et komplekst behandlingsforløb, f.eks. patienter med kroniske sygdomme, vil et samlet overblik skabe mere tryghed for borgeren og lette byrden med selv at forsøge at bevare overblikket. Ligeledes kan borgeren give fuldmagt til pårørende, som derved kan få adgang til de oplysninger, der deles i den fælles infrastruktur og for borgeren udstilles på bl.a. sundhed.dk.

Med en udstilling af logoplysninger vil borgeren samtidig få indblik i, hvem der har haft adgang til de registrerede oplysninger.

Med en fælles digital infrastruktur vil borgeren derudover få bedre mulighed for at skærme oplysninger, som borgeren ikke ønsker delt.

Det vil endelig blive mere enkelt for borgere at frabede sig indhentning af helbredsoplysninger m.v., idet borgerne efter forslaget vil kunne rette henvendelse direkte til behandlingsstedet eller - for så vidt angår den fælles digitale infrastruktur - til den dataansvarlige myndighed.

7. Miljømæssige konsekvenser

Lovforslaget har ingen miljømæssige konsekvenser.

8. Forholdet til EU-retten

Lovforslaget indeholder ikke EU-retlige aspekter.

9. Hørte myndigheder og organisationer m.v.

Lovforslaget er i perioden fra den 24. september til den 23. oktober 2018 sendt i høring til følgende:

3F, Advokatrådet, Alzheimerforeningen, Ankestyrelsen, Ansatte Tandlægers Organisation, Ansatte Tandlægers Organisation, Bedre Psykiatri, Brancheforeningen for Private Hospitaler og Klinikker, Danmarks Apotekerforening, Danmarks Optikerforening, Dansk Erhverv, Dansk Handicap Forbund, Dansk Industri, Dansk IT - Råd for IT-og persondatasikkerhed, Dansk Kiropraktor Forening, Dansk Psykiatrisk Selskab, Dansk Psykolog Forening, Dansk Psykoterapeutforening, Dansk Selskab for Almen Medicin, Dansk Selskab for Klinisk Farmakologi, Dansk Selskab for Patientsikkerhed, Dansk Selskab for Retsmedicin, Dansk Socialrådgiverforening, Dansk Standard, Dansk Sygeplejeråd, Dansk Tandplejerforening, Danske Bandagister, Danske Bioanalytikere, Danske Dental Laboratorier, Danske Fodterapeuter, Danske Fysioterapeuter, Danske Handicaporganisationer, Danske Patienter, Danske Regioner, Danske Seniorer, Danske Ældreråd, Datatilsynet, De Offentlige Tandlæger, Den Danske Dommerforening, Den Danske Dyrlægeforening, Det Centrale Handicapråd, Det Etiske Råd, Det Sociale Netværk, Diabetesforeningen, Ergoterapeutforeningen, Fagligt Selskab for Psykiatriske Sygeplejersker, Farmakonomforeningen, Finanstilsynet, FOA, Foreningen af Kliniske Diætister, Forbrugerrådet, Foreningen af Kommunale Social-, Sundheds- og Arbejdsmarkedschefer i Danmark, Foreningen af Speciallæger, Forsikring & Pension, Færøernes Landsstyre, Gigtforeningen, Grønlands Selvstyre, Hjernesagen, Hjerteforeningen, Høreforeningen, Institut for Menneskerettigheder, Jordemoderforeningen, KL, Konkurrence- og Forbrugerstyrelsen, Kost- og Ernæringsforbundet, Kræftens Bekæmpelse, Landsforeningen af Kliniske Tandteknikere, Landsforeningen af nuværende og tidligere psykiatribrugere (LAP), Landsforeningen LEV, Landsforeningen mod spiseforstyrrelser og selvskade (LMS), Landsforeningen SIND, Lægeforeningen, MedCom, National Videnskabsetisk Komité, Organisationen af Lægevidenskabelige Selskaber, Patienterstatningen, Patientforeningen i Danmark, Patientforeningen, Patientforeningernes Samvirke, Praktiserende Lægers Organisation, Praktiserende Tandlægers Organisation, Psykiatrifonden, Psykolognævnet, Radiograf Rådet, Region Hovedstaden, Region Midtjylland, Region Nordjylland, Region Sjælland, Region Syddanmark, Regionernes Lønnings- og Takstnævn, Retspolitisk Forening, Rigsadvokaten, Rigsombudsmanden på Færøerne, Rigsombudsmanden på Grønland, Rigspolitiet, Rådet for Digital Sikkerhed, Rådet for Socialt Udsatte og Statsforvaltningen, Scleroseforeningen, Sjældne Diagnoser, Socialpædagogernes Landsforbund, Tandlægeforeningen, Tandlægeforeningens Tandskadeerstatning, Udviklingshæmmedes Landsforbund, Yngre Læger, ÆldreForum, og Ældresagen.

10. Sammenfattende skema
 
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang)
Negative konsekvenser/merudgifter
(hvis ja, angiv omfang)
Økonomiske konsekvenser og implementeringskonsekvenser for stat, kommuner og regioner
Lovforslaget vurderes at have implementeringskonsekvenser for det offentlige, idet forslaget vil indebære, at der etableres en ny infrastruktur til deling af relevante helbredsoplysninger i sundhedsvæsenet. Det vurderes dog, at ændringerne vil indebære en forenkling af arbejdsgangene, idet mulighederne for at få adgang til relevante helbredsoplysninger m.v. forbedres. Lovforslaget følger principperne for digitaliseringsklar lovgivning.
Forslaget vurderes at være overvejende teknologineutralt, da lovforslaget ikke pålægger borgere eller myndigheder at anvende en lovbestemt teknologi til indberetning, opbevaring eller videregivelse af oplysninger. De digitale løsninger for implementering af lovforslaget kan derfor ændres i takt med den teknologiske udvikling.
For påmindelser om vaccinationer skønnes nettodriftsudgifterne til det nye påmindelsessystem at udgøre ca. 2 mio. kr. i 2019 og søges inden for Sundheds- og Ældreministeriets økonomiske ramme.
Økonomiske konsekvenser for erhvervslivet
Ingen
Såfremt udmøntningen af den foreslåede § 193 b, stk. 3, nr. 6, indebærer krav til certificering af anvendersystemer, må der forventes en tilretning af fagsystemernes brugergrænseflader, hvilket kan forventes at medføre en udgift for erhvervslivet.
Administrative konsekvenser for erhvervslivet
En udmøntning af den foreslåede § 193 b, stk. 3, vurderes at have positive konsekvenser for sundhedspersoners administration, idet det bliver lettere for sundhedspersonen at indhente oplysninger om patients på tværs af sektorer. En udmøntning af den foreslåede § 42 a, stk. 6, vurderes endvidere at have en positiv effekt på sundhedspersonens mulighed for at yde den bedste behandling for patienten.
Den foreslåede § 195, stk. 3, vurderes ikke i sig selv at medføre negative administrative konsekvenser, men kan ved udmøntning medføre pligt for privatpraktiserende sundhedspersoner til at skulle indberette oplysninger, de i dag ikke er forpligtet til at indberette. Den administrative konsekvens ved en udvidet indberetningspligt vurderes ikke at være af væsentlig karakter.
Administrative konsekvenser for borgerne
En udmøntning af den foreslåede §193 b, stk. 3, vurderes at ville skabe mere tryghed for borgeren og vil lette byrden med selv at forsøge at bevare overblikket under et behandlingsforløb i sundhedsvæsenet. Det vurderes at være en forenkling for borgerne, at borgerne fremover kan frabede sig indhentning af deres helbredsoplysninger m.v. direkte over for den dataansvarlige myndighed. Der sker ikke med forslaget ændringer i reglerne vedr. patientens krav på fortrolighed.
Ingen
Miljømæssige konsekvenser
Ingen
Ingen
Forholdet til EU-retten
Lovforslaget indeholder ikke EU-retlige aspekter.
Er i strid med de fem principper for implementering af erhvervsrettet EU-regulering/Går videre end minimumskrav i EU-regulering
(sæt X)
Ja
Nej
X


Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Til nr. 1.

Det følger af sundhedslovens § 17, stk. 3, at en patient, der er fyldt 15 år, er berettiget til aktindsigt efter bestemmelserne i §§ 36-39 og kan give samtykke til videregivelse af helbredsoplysninger m.v. efter bestemmelserne i §§ 41-49.

Det foreslås, at § 17, stk. 3, ændres således, at det fastsættes, at en patient, der er fyldt 15 år, er berettiget til aktindsigt efter bestemmelserne i §§ 36-39 og kan give samtykke til videregivelse og indhentning af helbredsoplysninger m.v. efter bestemmelserne i § 41, stk. 1, § 42 a, stk. 3, § 42 d, stk. 1, § 43, stk. 1, og § 51, stk. 4.

Den foreslåede tilføjelse af, at en patient, der er 15 år - udover at kunne give samtykke til at videregive helbredsoplysninger - også kan give samtykke til indhentning af helbredsoplysning m.v., er en præcisering som følge af, at der i sundhedslovens § 42 a, stk. 6 og § 42 d, stk. 1, er mulighed for, at sundhedspersoner kan indhente helbredsoplysninger m.v. med samtykke fra patienten.

Den foreslåede ændring, som indebærer, at der henvises til § 41, stk. 1, § 42 a, stk. 3, § 42 d, stk. 1, § 43, stk. 1, og § 51, stk. 4, i stedet for at der henvises til §§ 41-49, er dels udtryk for en præcisering af, hvilke nærmere angivne bestemmelser i sundhedslovens §§ 41-49, der giver mulighed for at videregive og indhente helbredsoplysninger m.v. med samtykke fra patienten. Dels indebærer forslaget, at en patient, der er fyldt 15 år, herudover vil kunne give samtykke til, at sundhedspersoner videregiver helbredsoplysninger m.v. til patientvejledere efter § 51, stk. 4, hvoraf det følger, at sundhedspersoner med patientens mundtlige eller skriftlige samtykke kan videregive oplysninger til patientvejledere på patientkontorerne om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger til brug for rådgivning og bistand til patienten.

Baggrunden for henvisningen til sundhedslovens § 42 a, stk. 3, er, at § 42 a foreslås nyaffattet, jf. lovforslagets § 1, nr. 3, således at det følger af den foreslåede bestemmelse i § 42 a, stk. 3, at en patient kan meddele samtykke til indhentning af helbredsoplysninger m.v.

Den foreslåede ændring er således dels udtryk for en sproglig præcisering, der indebærer, at det tydeligt af bestemmelsen i § 17, stk. 3, fremgår, efter hvilke bestemmelser i sundhedslovens kapitel 9 en mindreårig patient kan meddele samtykke til videregivelse eller indhentning af helbredsoplysninger m.v., dels en indholdsmæssig ændring, der indebærer, at en patient, der er fyldt 15 år, med forslaget også selv vil kunne give samtykke til, at sundhedspersoner videregiver helbredsoplysninger m.v. til patientvejledere på patientkontorerne, jf. § 51, stk. 4.

Til nr. 2.

Det følger af § 40, stk. 1, at en patient har krav på, at sundhedspersoner iagttager tavshed om, hvad de under udøvelsen af deres erhverv erfarer eller får formodning om angående helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, jf. dog reglerne i denne lov.

Det følger af § 41, stk. 1, at sundhedspersoner med patientens samtykke kan videregive oplysninger til andre sundhedspersoner om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger i forbindelse med behandling af patienten eller behandling af andre patienter.

Det følger af § 42 d, stk. 1, at autoriserede sundhedspersoner med patientens samtykke til andre formål end behandling ved opslag i elektroniske systemer i fornødent omfang kan indhente oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.

Det følger af § 43, stk. 1, at sundhedspersoner med patientens samtykke til andre formål end behandling kan videregive oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger til sundhedspersoner, myndigheder, organisationer, private personer m.fl.

Det følger af § 45 a, stk. 1, at en autoriseret sundhedsperson efter anmodning fra politiet eller Styrelsen for Patientsikkerhed snarest skal videregive oplysninger om en afdød patients helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger om den afdøde, der er nødvendige for politiets og Styrelsen for Patientsikkerheds vurdering af, om retslægeligt ligsyn skal iværksættes efter § 180. En autoriseret sundhedsperson skal desuden efter anmodning fra politiet snarest videregive oplysninger om en afdød patients helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger om den afdøde, der er nødvendige for politiets vurdering af, om retslægelig obduktion skal foretages efter § 184.

Det følger af § 51, stk. 4, 1. pkt., at sundhedspersoner med patientens mundtlige eller skriftlige samtykke kan videregive oplysninger til patientvejledere på patientkontorerne om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger til brug for rådgivning og bistand til patienten.

Det følger af § 198, stk. 3, at sundhedspersoner kan indhente oplysninger om patientens helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger i elektroniske systemer, når 1) indhentningen er nødvendig i forbindelse med analyse af rapportering om en utilsigtet hændelse i regionen eller kommunen eller på det private sygehus, 2) ledelsen på behandlingsstedet eller den centrale regionale eller kommunale administrative ledelse for behandlingsstedet har givet tilladelse til, at den pågældende person kan foretage indhentningen, og 3) det er muligt efterfølgende at identificere, at indhentningen er sket til brug for analyse af en utilsigtet hændelse.

Begrebet »helbredsoplysninger«, som anvendes i alle de nævnte bestemmelser, omfatter f.eks. oplysninger om patientens sygdomsforløb, diagnoser, kontakter med sundhedsvæsenet, medicinforbrug el. lign.

Begrebet »øvrige rent private forhold og andre fortrolige oplysninger«, som ligeledes anvendes i alle de nævnte bestemmelser, kan f.eks. være oplysninger om patientens familiære forhold, sociale problemer, strafbare forhold, gæld, indkomst- og skatteforhold.

Det foreslås, at »øvrige rent private forhold« udgår af bestemmelserne i § 40, stk. 1, § 41, stk. 1, § 42 d, stk. 1, § 43, stk. 1, § 45 a, stk. 1, § 51, stk. 4, 1. pkt., og § 198, stk. 3.

Det bemærkes i den forbindelse, at begrebet »andre rent private forhold« ligeledes fremgik af persondatalovens § 8, stk. 1. Persondataloven blev ophævet med virkning fra 25. maj 2018, jf. § 46, stk. 2, i databeskyttelsesloven, men begrebet »andre rent private forhold« er ikke videreført i databeskyttelsesloven, ligesom begrebet i øvrigt heller ikke anvendes i databeskyttelsesforordningen. I databeskyttelsesloven anvendes begrebet følsomme oplysninger og almindelige personoplysninger. Følsomme oplysninger er oplysninger, der er omfattet af databeskyttelsesforordningens artikel 9, stk. 1, dvs. oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Almindelige personoplysninger i databeskyttelsesloven omfatter både oplysninger, som er fortrolige uden at være følsomme, men også personoplysninger, som ikke er fortrolige.

Da begrebet »andre rent private forhold« ikke længere anvendes i databeskyttelsesloven, og da der er en tæt sammenhæng mellem reglerne i databeskyttelsesloven og sundhedsloven, foreslås det, at udtrykket »øvrige rent private forhold« ligeledes udgår af sundhedsloven.

Der er alene tale om en sproglig ændring, der har til formål at forenkle bestemmelserne. Det bemærkes således, at både oplysninger, der efter de gældende bestemmelser i § 40, stk. 1, § 41, stk. 1, § 42 d, stk. 1, § 43, stk. 1, § 45 a, stk. 1, § 51, stk. 4, og § 198, stk. 3, vedrører »øvrige private forhold« og »andre fortrolige oplysninger« fortsat vil være omfattet af sundhedspersoners tavshedspligt, jf. sundhedslovens § 40, stk. 1. Det skyldes, at oplysninger, der karakteriseres som oplysninger vedrørende »øvrige private forhold« samtidig også vil være omfattet af begrebet »andre fortrolige oplysninger«.

Det bemærkes i den forbindelse, at det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Herudover vil - som nævnt oven for - f.eks. oplysninger om patientens familiære forhold, sociale problemer, strafbare forhold, gæld, indkomst- og skatteforhold være fortrolige oplysninger.

Forslaget indebærer således ikke indholdsmæssige ændringer, og forslaget ændrer ikke på vurderingen af, hvilke oplysninger, der er omfattet af sundhedspersoners tavshedspligt, jf. sundhedslovens § 40, stk. 1, eller på hvilke oplysninger, der under nærmere angivne betingelser kan videregives eller indhentes efter bestemmelserne i § 41, stk. 1, § 42 d, stk. 1, § 43, stk. 1, § 45 a, stk. 1,§ 51, stk. 4, og § 198, stk. 3.

Til nr. 3

Efter sundhedslovens § 42 a, stk. 1, 1. pkt., kan læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når dette er nødvendigt i forbindelse med aktuel behandling af patienten. Adgangen til at indhente oplysninger efter § 42 a, stk. 1, 1. pkt., omfatter såvel historiske som aktuelle helbredsoplysninger m.v.

En forudsætning for, at et elektronisk system er omfattet af sundhedslovens § 42 a, er bl.a., at oplysningerne i det pågældende system oprindeligt er indsamlet til det formål at understøtte den sundhedsfaglige behandling af de registrerede personer (patienter), eller at de er indsamlet til et formål, som ikke er uforeneligt med sundhedsfaglig behandling, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra b. Dette er i hvert fald tilfældet for så vidt angår elektroniske patie?ntjournalsystemer, som indeholder oplysninger, der noteres i forbindelse med behandling af patienter, og som er nødvendige for en god og sikker patientbehandling, jf. journalføringspligten i § 22 i lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed. Det vil også gøre sig gældende for den kliniske del af den fælles informationsinfrastruktur, som oprettes i Nationalt Genomcenter, ligesom det vil kunne være tilfældet for systemer med andre eller blandede formål, f.eks. patientadministrative systemer eller Landspatientregisteret, som både har administrative og behandlingsunderstøttende formål.

Efter sundhedslovens § 42 a, stk. 1, 2. pkt., kan sundhedsministeren fastsætte nærmere regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i patientbehandling, kan indhente oplysninger efter reglerne i 1. pkt. Bemyndigelsesbestemmelsen er på nuværende tidspunkt udmøntet i bekendtgørelse nr. 13 af 11. januar 2013, som giver kiropraktorer adgang til at indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 1. pkt.

I medfør af § 42 a, stk. 2, kan andre sundhedspersoner end de i stk. 1 nævnte ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1, om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten.

I medfør af sundhedslovens § 42 a, stk. 3, kan andre sundhedspersoner, end de, der er nævnt i stk. 1, og som er ansat på et behandlingssted med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger, som nævnt i stk. 1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Det gælder dog ikke, hvis behandlingsstedet har en sundhedsperson ansat, som er omfattet af § 42 a, stk. 1.

Det følger endvidere af § 42 a, stk. 4, at ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. En sådan tilladelse kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, som vedkommende er beskæftiget med. Beslutningen skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Det er endvidere et krav efter bestemmelsen, at sådanne beslutninger skal gøres offentligt tilgængelige.

Sundhedslovens § 42 a, stk. 5, giver herudover mulighed for, at sundhedspersoner kan indhente oplysninger i elektroniske systemer efter en såkaldt værdispringsregel. Sundhedslovens § 42 a, stk. 6, giver desuden mulighed for, at sundhedspersoner kan indhente oplysninger med patientens samtykke. Læger og sygehusansatte tandlæger kan under disses ansvar tillige lade medicinstuderende indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 5 og 6, jf. sundhedslovens § 42 a, stk. 8, og en sundhedsperson kan endvidere under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv i medfør af sundhedslovens § 42 a, stk. 1-8, har adgang til, jf. sundhedslovens § 42 a, stk. 9.

Endelig er der efter sundhedslovens § 42 a, stk. 10, mulighed for, at læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke kan lade andre personer end sundhedspersoner, som er ansat i sundhedsvæsenet, f.eks. for at yde en særlig pædagogisk og psykologisk støtte i forbindelse med aktuel behandling af en patient, indhente oplysninger efter sundhedslovens § 42 a, stk. 1, 1. pkt., når det er nødvendigt som led i den samlede sundhedsfaglige indsats.

Bortset fra de tilfælde, hvor der indhentes oplysninger efter værdispringsreglen, kan patienten frabede sig, at der indhentes oplysninger, jf. sundhedslovens 42 a, stk. 7.

Ud over de begrænsninger, der følger direkte af den gældende bestemmelse i sundhedslovens § 42 a, skal adgangen til at indhente oplysninger i elektroniske systemer desuden begrænses af systemtekniske sikkerhedsforanstaltninger, idet de grundlæggende principper i databeskyttelsesforordningens artikel 5 om saglighed og proportionalitet og reglerne om behandlingssikkerhed i databeskyttelsesforordningen forudsætter, at der alene gives den enkelte bruger adgang til de oplysninger, som brugeren har behov for i sin opgaveløsning. For en beskrivelse af den gældende bestemmelse i § 42 a henvises i øvrigt til punkt 2.1.1 i de almindelige bemærkninger.

Det foreslås at sundhedslovens § 42 a nyaffattes. Om baggrunden herfor henvises til punkt 2.2.2 i lovforslagets almindelige bemærkninger.

Det foreslås med indsættelse af § 42 a, stk. 1, at sundhedspersoner ved opslag i elektroniske systemer i fornødent omfang skal kunne indhente oplysninger om en patients helbredsforhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten.

Oplysninger om patientens helbredsforhold kan f.eks. være oplysninger om patientens sygdomsforløb, diagnoser, kontakter med sundhedsvæsenet, medicinforbrug el. lign. Andre fortrolige oplysninger kan f.eks. være oplysninger om familiemæssige forhold, sociale forhold samt strafbare forhold.

Elektroniske systemer omfatter, som det også er tilfældet efter gældende regler, systemer, hvor der er tale om en direkte on-lineadgang. Hvis der er tale om, at oplysningerne videregives manuelt eller elektronisk, vil der ikke være tale om adgang til elektroniske systemer. I disse situationer finder de øvrige bestemmelser i sundhedslovens kapitel 9 anvendelse. Det er endvidere en forudsætning for at indhente oplysninger i et givent system, at oplysningerne i systemet oprindeligt er indsamlet til det formål at understøtte den sundhedsfaglige behandling af de registrerede personer (patienter), eller er indsamlet til et formål, som ikke er uforeneligt med sundhedsfaglig behandling, jf. databeskyttelsesforordningens artikel 5, stk. 2. Elektroniske systemer omfatter dermed bl.a. elektroniske patientjournalsystemer, som indeholder oplysninger, der noteres i forbindelse med behandling af patienter, og som er nødvendige for en god og sikker patientbehandling, jf. journalføringspligten i § 22 i lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, herunder bl.a. laboratorie-, røntgen-, og henvisnings- og visitationssystemer, der indeholder patientoplysninger, og som derfor er en del af journalen på et sygehus.

Elektroniske systemer vil også omfatte den kliniske del af den fælles informationsinfrastruktur, som oprettes i Nationalt Genomcenter og vil også kunne være systemer med andre eller blandede formål, f.eks. patientadministrative systemer eller Landspatientregisteret, som både har administrative og behandlingsunderstøttende formål.

Begrebet elektroniske systemer vil tillige omfatte den fælles digitale infrastruktur, som foreslås oprettet, jf. lovforslagets § 1, nr. 16.

Forslaget indebærer, at der efter omstændighederne vil kunne gives sundhedspersoner adgang til at indhente helbredsoplysninger m.v. i administrative registre, som f.eks. Landspatientregisteret, hvis det er nødvendigt i forbindelse med aktuel patientbehandling. Det skal dog i den forbindelse bemærkes, at dette ikke vil indebære, at de pågældende sundhedspersoner har et retskrav på at få on-line adgang til de administrative registre. Muligheden for at få adgang til de administrative registre skal således ses i sammenhæng med databeskyttelsesforordningens regler om behandlingssikkerhed. Det er således den dataansvarlige, dvs. Sundhedsdatastyrelsen for så vidt angår Landspatientregisteret, og den foreslåede fælles digitale infrastruktur, jf. lovforslagets § 1, nr. 16, der har ansvaret for at træffe tekniske og organisatoriske foranstaltninger, der sikrer, at uvedkommende ikke får adgang til oplysningerne. En eventuel adgang til registrene vil være betinget af, at der kan etableres et tilstrækkeligt sikkerhedsniveau for on-line adgang.

Sundhedspersoner skal forstås i overensstemmelse med sundhedslovens § 6, og omfatter således personer, der er autoriserede i henhold til særlig lovgivning til at varetage sundhedsfaglige opgaver, og personer, der handler på disses ansvar.

Personer, der er autoriserede i henhold til særlig lovgivning til at varetage sundhedsfaglige opgaver, omfatter personer, der er autoriserede efter autorisationsloven, dvs. læger, tandlæger, kiropraktorer, sygeplejersker, jordemødre, social- og sundhedsassistenter, ergoterapeuter, fysioterapeuter, bioanalytikere, radiografer, kliniske diætister, bandagister, kliniske tandteknikere, tandplejere, optikere, kontaktlinseoptikere, optometrister, fodterapeuter og osteopater. Det bemærkes, at autorisationsloven er ændret, således at også behandlerfarmaceuter med virkning fra 1. januar 2019 og ambulancebehandlere med virkning fra 1. juli 2019, kan autoriseres efter autorisationsloven, jf. § 1, nr. 4, i lov om ændring af lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, lov om apoteksvirksomhed, sundhedsloven og forskellige andre love, vedtaget af Folketinget den 27. november 2018. Psykologer, der er autoriserede i henhold til psykologloven, er også sundhedspersoner i sundhedslovens forstand, men kun i det omfang de udfører sundhedsfaglige opgaver.

Autoriserede sundhedspersoner kan delegere opgaver, som det er forbeholdt sundhedspersonen at udføre, til andre. Den autoriserede sundhedsperson vil skulle sikre, at delegationen sker i henhold til reglerne i bekendtgørelse nr. 1219 af 11. december 2009 om autoriserede sundhedspersoners brug af medhjælp og vejledning nr. 115 af 11. december 2009 om autoriserede sundhedspersoners benyttelse af medhjælp (delegation af forbeholdt sundhedsfaglig virksomhed). Men den autoriserede sundhedsperson kan også overdrage udførelsen af opgaver, som det ikke er forbeholdt den autoriserede sundhedsperson at udføre, til andre.

Personer, der er medhjælp for en autoriseret sundhedsperson, og som har fået delegeret forbeholdt sundhedsfaglig virksomhed, vil være omfattet af begrebet sundhedsperson i sundhedslovens § 6, og vil kunne indhente helbredsoplysninger m.v. i forbindelse med udførelse af denne forbeholdte sundhedsfaglige virksomhed, hvis det er nødvendigt i forbindelse med aktuel patientbehandling. En medicinstuderende vil eksempelvis være sundhedsperson i sundhedslovens forstand, hvis han eller hun for lægen, efter de ovennævnte regler om delegation af forbeholdt virksomhed, tager blodprøver eller udleverer medicin som medhjælp for en læge.

En person, der af en autoriseret sundhedsperson får overdraget en sundhedsfaglig behandlingsopgave, som det ikke er forbeholdt den autoriserede sundhedsperson at udføre, vil også være omfattet af begrebet sundhedsperson i sundhedslovens § 6. Som eksempel kan nævnes en situation, hvor en person, der ikke selv er autoriseret sundhedsperson, udfører opgaver efter anvisninger fra en sygeplejerske som led i løsningen af de sygeplejefaglige opgaver på behandlingsstedet.

Sygeplejersker har ikke et forbeholdt virksomhedsområde efter autorisationsloven, men i den situation, hvor en sygeplejerske f.eks. konkret overdrager til en social- og sundhedshjælper at udføre almindelig sårpleje af en patient, vil social- og sundhedshjælperen være sundhedsperson.

En medicinstuderende, der af en læge får overdraget en sundhedsfaglig behandlingsopgave, vil være sundhedsperson uanset om den behandlingsopgave, som den medicinstuderende har fået overdraget omfatter lægens forbeholdte virksomhed eller ej. Den medicinstuderende vil således eksempelvis også være sundhedsperson i situationer, hvor den medicinstuderende har fået overdraget at lægge gips på en patient eller en opgave vedrørende måling af vitalparametre.

Der gælder ikke specifikke uddannelsesmæssige krav til personer, der udfører opgaver som medhjælp for en autoriseret sundhedsperson. Som det fremgår af eksemplerne ovenfor, vil personer, som enten er under uddannelse eller er uden en sundhedsfaglig uddannelse, kunne være sundhedspersoner i sundhedslovens forstand.

Med aktuel behandling menes aktuel undersøgelse, diagnosticering, sygdomsbehandling, genoptræning, sundhedsfaglig pleje samt forebyggelse og sundhedsfremme i forhold til den enkelte patient, jf. sundhedslovens § 5. Aktuel behandling omfatter mere end, at en patient befinder sig fysisk på et behandlingssted. Aktuel behandling omfatter også forberedelse. Det betyder f.eks., at aktuel behandling starter, når der er en aftale om behandling. Det kan være, at patienten har bestilt tid, at patienten har anmodet om receptfornyelse, eller at en ambulance er på vej ind til hospitalet. Patienten vil også i kraft af en henvisning til et behandlingssted, f.eks. et hospital eller en speciallæge, være at betragte som værende i aktuel behandling på dette behandlingssted.

Sundhedspersoner har efter det foreslåede § 42 a, stk. 1, adgang til at indhente oplysninger i elektroniske systemer med henblik på forberedelse af konsultationen/den fysiske behandling, ligesom der er adgang til - efter konsultationen - at slå op med henblik på at se prøvesvar og give tilbagemelding til patienten, sende recepten m.v. efter, at patienten er gået. Selvom en patient udebliver eller aflyser en aftale, vil indhentning af helbredsoplysninger m.v. i elektroniske systemer med henblik på forberedelse af den senere aflyste aftale, være omfattet af det foreslåede § 42 a, stk. 1.

Omfattet af begrebet aktuel behandling er tillige telemedicinske løsninger, hvor en patient selv foretager behandlingsrelaterede målinger, eksempelvis måling af blodtryk, og hvor en sundhedsperson overvåger og sundhedsfagligt vurderer disse målinger med henblik på eventuel tilpasning af medicin, eller med henblik på at vurdere, hvorvidt det er nødvendigt for patienten at fremmøde i konsultationen eller andet, der relaterer sig til behandlingen.

Bestemmelsen vil alene regulere sundhedspersoners adgang til at indhente og genanvende helbredsoplysninger m.v., som hidrører fra andre. Den foreslåede bestemmelse regulerer således ikke den situation, hvor en sundhedsperson i form af opslag genanvender oplysninger, som vedkommende selv har journalført. Et sådant opslag skal alene ske i overensstemmelse med reglerne i databeskyttelsesforordningen og databeskyttelsesloven, som bl.a. giver mulighed for at behandle oplysninger i forbindelse med patientbehandling, jf. databeskyttelseslovens § 7, stk. 3. Der henvises i den forbindelse til punkt 2.1.5 i de almindelige bemærkninger.

Det bemærkes imidlertid i den forbindelse, at hvis sundhedspersonens egne journalførte oplysninger indgår i et system, hvor også andre sundhedspersoner indtaster journaloplysninger, som det eksempelvis er tilfældet i elektroniske patientjournaler, der understøtter tværfagligt samarbejde, vil opslag på oplysninger, der er indtastet af andre end den pågældende sundhedsperson, skulle ske i overensstemmelse med den foreslåede bestemmelse. Det vil i praksis betyde, at adgangen til at indhente helbredsoplysninger i elektroniske patientjournaler, hvor flere forskelige sundhedspersoner indtaster oplysninger, altid vil skulle følge reglerne i sundhedslovens § 42 a. Det vil f.eks. være tilfældet for de elektroniske patientjournaler i regionerne.

Forslaget skal i øvrigt ses i sammenhæng med, at den dataansvarlige region, privatpraktiserende læge m.fl. efter databeskyttelsesforordningens regler er forpligtet til - gennem systemtekniske og organisatoriske foranstaltninger - at sikre, at personer, der er ansat på det pågældende behandlingssted, kun må få adgang til de helbredsoplysninger m.v., som vedkommende har brug for i forbindelse med behandling af patienten. Der henvises i den forbindelse til punkt 2.2.2 i lovforslagets almindelige bemærkninger og bemærkningerne nedenfor vedrørende § 42 a, stk. 4.

I kravet om, at indhentning kan ske i fornødent omfang, ligger endvidere, at hvis et elektronisk system er indrettet således, at den pågældende sundhedsperson ved opslag i systemet først præsenteres for en oversigt over de konkrete oplysninger, som vil kunne søges frem på et dybereliggende niveau i systemet, må den pågældende kun slå op på de konkrete oplysninger, hvis vedkommende ud fra oversigten vurderer, at der er et fagligt behov for at se de konkrete oplysninger.

Den pågældende sundhedsperson, der indhenter helbredsoplysninger m.v. efter bestemmelsen, vil også kunne anvende oplysningerne, som indhentes ved opslaget, herunder videregive oplysningerne til andre, hvis betingelserne efter de øvrige bestemmelser i sundhedslovens kapitel 9 er opfyldt. Der gælder i den forbindelse et almindeligt krav om saglighed og nødvendighed, jf. databeskyttelsesforordningens artikel 5.

Det bemærkes i den forbindelse, at den sundhedsperson, der har ansvaret for oplysningerne - som det også er tilfældet i dag - vil kunne indhente helbredsoplysninger m.v., hvis indhentningen er en forudsætning for at kunne videregive oplysninger i forbindelse med patientbehandling efter den gældende bestemmelse i sundhedslovens § 41.

Det foreslås med indsættelse af § 42 a, stk. 2, at sundhedspersoner endvidere kan indhente oplysninger om helbredsforhold og andre fortrolige oplysninger, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre.

Bestemmelsen giver mulighed for, at sundhedspersoner kan indhente helbredsoplysninger og andre fortrolige oplysninger efter en såkaldt værdispringsregel. Indhentning af helbredsoplysninger og andre fortrolige oplysninger efter denne bestemmelse vil kun kunne ske i de situationer, der er opregnet i bestemmelsen, hvor der foreligger særligt tungtvejende grunde, som overstiger hensynet til patientens ret til fortrolighed.

Indhentning af helbredsoplysninger og andre fortrolige oplysninger af hensyn til varetagelse af en åbenbar almen interesse, hvorved forstås brede samfundsmæssige interesser, vil kun sjældent kunne finde sted, men vil eksempelvis kunne være berettiget i særlige situationer, hvor det som led i iværksættelse af foranstaltninger mod smitsomme sygdomme er nødvendigt at indhente helbredsoplysninger m.v. Der henvises i den forbindelse til lov om foranstaltninger mod smitsomme og andre overførbare sygdomme (lovbekendtgørelse nr. 814 af 27. august 2009).

Indhentning af helbredsoplysninger og andre fortrolige oplysninger af væsentlige hensyn til patienten selv kan eksempelvis være berettiget i situationer, hvor en patient har frabedt sig indhentning af helbredsoplysninger, men hvor det er nødvendigt af hensyn til behandling af patienten at indhente oplysninger, og hvor patienten samtidig på grund af sin tilstand er ude af stand til at give samtykke til indhentning af helbredsoplysninger. Tilstanden kan f.eks. bestå i bevidstløshed, alderdomssvækkelse eller manglende modenhed kombineret med, at det er umuligt eller uforholdsmæssigt vanskeligt eller tidskrævende at indhente samtykke fra en person, som efter sundhedslovens § 14 kan indtræde i patientens rettigheder.

Indhentning af helbredsoplysninger og andre fortrolige oplysninger af væsentlige hensyn til sundhedspersonen vil f.eks. kunne være berettiget i en situation, hvor vedkommende sundhedsperson har en berettiget interesse i at få kendskab til oplysninger om en patient for at kunne iværksætte fornødne beskyttelsesforanstaltninger.

Bestemmelsen vil desuden kunne finde anvendelse i situationer, hvor indhentningen er nødvendig til berettiget varetagelse af hensyn til andre. Den foreslåede bestemmelse vil f.eks. være relevant i tilfælde, hvor sundhedspersonen gør sig bekendt med specifikke helbredsoplysninger om en tidligere patient, som har haft en sammenlignelig helbredstilstand, til brug for diagnosticeringen af en anden patient, som sundhedspersonen aktuelt har i behandling. Indhentningen af sådanne oplysninger om andre tidligere patienters sammenlignelige helbredstilstande vil således kunne bruges som beslutningsstøtte i forbindelse med behandling af en anden patient, som sundhedspersonen aktuelt har i behandling.

Bestemmelsen vil også kunne være relevant i tilfælde, hvor en sundhedsperson ønsker at indhente helbredsoplysninger m.v. til brug for en vurdering af, om den patient, som oplysningerne vedrører, eller dennes familiemedlemmer lider af en alvorlig genetisk betinget sygdom med væsentlige konsekvenser for den enkeltes liv eller helbred. Der sigtes til situationer, hvor patienten eller dennes familiemedlemmer kan have en betydelig risiko for at lide af en sådan alvorlig genetisk betinget sygdom, og hvor helbredsoplysningerne - ofte sammenholdt med helbredsoplysninger om de andre familiemedlemmer - vil kunne bidrage til at fastslå dette i forhold til patienten selv eller familiemedlemmerne.

Det er forudsat, at der skal være tale om situationer, hvor den patient, som oplysningerne vedrører, ikke selv er i et aktuelt behandlingsforløb, og hvor sundhedspersonen derfor ikke vil kunne indhente de nødvendige helbredsoplysninger efter den foreslåede bestemmelse i § 42 a, stk. 1, som fastsætter, at sundhedspersoner kan indhente helbredsoplysninger m.v. i elektroniske systemer i fornødent omfang, når det er nødvendigt i forbindelse med aktuel patientbehandling.

Indhentning af oplysninger om en patient i situationer, hvor det ikke er nødvendigt af hensyn til patientens aktuelle behandlingsforløb, vil som udgangspunkt kræve samtykke fra patienten, jf. den foreslåede bestemmelse i § 42 a, stk. 3. Men der kan forekomme situationer, hvor der af etiske grunde ikke bør indhentes samtykke til indhentningen, fordi det - på det tidspunkt, hvor indhentningen sker - vil give anledning til unødig bekymring hos de pågældende, idet det endnu ikke er muligt at fortælle de pågældende, om de lider af den alvorlige genetisk betingede sygdom eller ej. Det vil være en forudsætning for at kunne indhente helbredsoplysninger m.v. i tilfælde, hvor der er tale om alvorlige, genetisk betingede sygdomme, at der er en rimelig grad af sandsynlighed for, at også familiemedlemmer har den genetiske disposition. Herudover er det en forudsætning, at der foreligger en sikker dokumenteret sammenhæng mellem den genetiske disposition og sygdomsudviklingen, og at de tests, som benyttes for at fastslå den genetiske disposition, er sikre. Endelig er det en forudsætning, at sygdommen i væsentlig grad kan forebygges eller behandles.

Indhentning af helbredsoplysninger m.v. til varetagelse af væsentlige hensyn til pårørende kan desuden efter omstændighederne være berettiget, hvis en patient lider af en smittefarlig sygdom og ikke vil give samtykke til, at pårørende, som udsættes for smitterisiko, får oplysning om sygdommen. Det samme vil kunne være tilfældet i den situation, hvor en person er blevet særligt udsat for smitte (f.eks. ved at have fået en stikskade) fra en person, som formodes at have smitsom leverbetændelse eller anden alvorlig smitsom sygdom, eller på anden måde er blevet særlig udsat for smitte. Hvis indhentning af helbredsoplysninger m.v. om den smittebærende person er nødvendig med henblik på behandling af den smittede, og den registrerede patient ikke giver samtykke eller ikke umiddelbart kan findes, kan der ske indhentning efter bestemmelsen.

Berettigelsen til at indhente helbredsoplysninger i sådanne situationer legitimeres af, at der er tale om et væsentligt hensyn til andre. Der kan ligge væsentlige værdifulde oplysninger i andres journaler, som kan være afgørende for at kunne behandle en aktuel patient ud fra de optimale forudsætninger, eventuelt med risiko for, at manglende viden vedrørende den aktuelle sygdom vil kunne medføre fejlbehandling, som i værste fald kan være livsfarlig for patienten. Anvendelsen af den foreslåede bestemmelse i § 42 a, stk. 2, vil - som nævnt ovenfor - forudsætte en konkret afvejning af modstående hensyn, dvs. væsentlige hensyn til den patient, der aktuelt er i behandling over for hensynet til den tidligere patients krav på fortrolighed.

Idet den foreslåede bestemmelse i § 42 a, stk. 2, er en værdispringsregel, er det ikke muligt for patienten at frabede sig indhentning af oplysninger i medfør af det foreslåede stk. 5.

Det foreslås med indsættelse af § 42 a, stk. 3, at sundhedspersoner og andre personer, der efter lovgivningen er undergivet tavshedspligt ved opslag i elektroniske systemer med patientens samtykke kan indhente helbredsoplysninger og andre fortrolige oplysninger i forbindelse med behandling af patienter.

Bestemmelsen vil give mulighed for, at patienten - ligesom det er tilfældet efter gældende regler - kan give samtykke til, at en eller flere sundhedspersoner kan indhente helbredsoplysninger m.v. i forbindelse med behandling af patienter i andre situationer end de, der er nævnt i stk. 1 og 2. Behandling forstås som undersøgelse, diagnosticering, sygdomsbehandling, fødselshjælp, genoptræning, sundhedsfaglig pleje samt forebyggelse og sundhedsfremme i forhold til den enkelte patient, jf. sundhedslovens § 5.

Den foreslåede bestemmelse vil bl.a. kunne tænkes anvendt i tilfælde, hvor patienten gerne vil give samtykke til, at en sundhedsperson i kommunen kan indhente helbredsoplysninger m.v. med henblik på vurdering af, om patienten kan have behov for tilbud om forebyggende sundhedsfaglig behandling. Hvis patienten allerede er i et aktuelt behandlingsforløb i kommunalt regi, vil den autoriserede sundhedsperson kunne indhente helbredsoplysninger m.v. direkte i medfør af den foreslåede bestemmelse i § 42 a, stk. 1, såfremt det er nødvendigt i forbindelse med den aktuelle behandling af patienten. Men hvis patienten ikke er i aktuel behandling hos kommunen, vil patienten med den foreslåede bestemmelse i § 42 a, stk. 3, f.eks. kunne give samtykke til, at en kommunalt ansat sundhedsperson, f.eks. en sygeplejerske, kan indhente helbredsoplysninger m.v. med henblik på eventuel fremtidig forebyggende patientbehandling.

Det vil f.eks. kunne være relevant i en situation, hvor en ældre borger har modtaget behandling hos patientens praktiserende læge i forbindelse med, at patienten har brækket håndleddet, og patienten i den forbindelse kunne have gavn af, at kommunen har mulighed for at følge borgeren tættere med henblik på eventuelt at tilbyde en forebyggende indsats.

Bestemmelsen giver mulighed for, at sundhedspersoner med patientens samtykke kan indhente oplysninger i forbindelse med behandling af patienten selv, men også til behandling af andre patienter, f.eks. patientens pårørende.

Bestemmelsen vil desuden give mulighed for, at andre personer (end sundhedspersoner), der efter lovgivningen er undergivet tavshedspligt, med samtykke fra patienten indhenter oplysninger, hvis det er nødvendigt i forbindelse med den samlede behandling af patienten.

Bestemmelsen vil give mulighed for - som et alternativ til, at behandlingsstedets ledelse giver tilladelse til, at andre personer end sundhedspersoner får adgang til at indhente oplysninger efter den foreslåede § 42 a, stk. 4 - med samtykke fra patienten kan indhente helbredsoplysninger mv., såfremt det er nødvendigt i forbindelse med den samlede behandling af patienten.

Det foreslås med indsættelse af § 42 a, stk. 4, at andre personer, der efter lovgivningen er undergivet tavshedspligt, ved opslag i elektroniske systemer kan indhente oplysninger som nævnt i stk. 1, hvis det er nødvendigt af hensyn til den samlede aktuelle behandling af patienten, eller hvis det er nødvendigt med henblik på at yde teknisk bistand til sundhedspersoner omfattet af stk. 1, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.

Til forskel fra sundhedspersoner, som er omfattet af den foreslåede bestemmelse i § 42 a, stk. 1, kræves der således efter forslaget en tilladelse fra ledelsen på behandlingsstedet, hvis andre end sundhedspersoner skal have adgang til at foretage opslag i elektroniske systemer.

Begrebet behandlingssted skal forstås i overensstemmelse med sundhedslovens § 213 c og § 2 i bekendtgørelse nr. 976 af 27. juni 2018 om registrering af, underretning om og tilsyn med offentlige og private behandlingssteder m.v., og begrebet behandlingssted omfatter således bl.a. sygehusenheder, plejecentre, sociale tilbud, centre for misbrugsbehandling, genoptræningscentre, hjemmesygepleje, sundhedspleje, almen lægepraksis, speciallægepraksis, fysioterapiklinikker m.v.

Ved ledelsen på behandlingsstedet forstås den øverste administrative ledelse på en organisatorisk enhed på sygehusniveau eller lignende niveau, dvs. f.eks. sygehusledelsen, klinikledelsen eller lignende. Det kan også være den øverste kommunale administrative ledelse af f.eks. hjemmesygeplejen eller skoletandplejen. Har flere sygehuse eller klinikker fælles ledelse, er det denne ledelse, der træffer beslutning om tilladelse efter bestemmelsen. Der er således ikke hjemmel til, at en afdelingslæge eller f.eks. en administrerende overlæge træffer beslutning om eventuelle tilladelser til ansatte med tilknytning til den pågældendes eget, afgrænsede administrationsområde. Bestemmelserne stiller med andre ord krav om en overordnet vurdering af, hvilke funktioner i den samlede organisation, der eventuelt har behov for adgang til at foretage opslag i elektroniske systemer efter stk. 1. Bestemmelsen er imidlertid ikke til hinder for, at ledelsen af de enkelte afdelinger afgiver indstillinger, og i øvrigt tages med på råd. De konkrete tilladelser skal være tilgængelige i forbindelse med myndighedskontrol (fra f.eks. Styrelsen for Patientsikkerhed). Det er ikke et krav, at tilladelser skal gøres offentligt tilgængelige.

I forbindelse med ledelsens vurdering af, om det er nødvendigt at give andre end sundhedspersoner adgang til selvstændigt at indhente oplysninger ved opslag i elektroniske systemer, er det væsentligt at være opmærksom på, at i de tilfælde, hvor personer, der ikke er undergivet en autorisationsordning, har behov for at indhente helbredsoplysninger m.v. i elektroniske systemer, vil der ofte være tale om, at de pågældende personer varetager sundhedsfaglig behandling, jf. sundhedslovens § 5, på en autoriseret sundhedspersons ansvar, jf. sundhedslovens § 6. I de situationer vil de pågældende personer være sundhedspersoner, og de vil derfor have mulighed for at foretage opslag i elektroniske systemer efter den foreslåede bestemmelse i § 42 a, stk. 1, såfremt det er nødvendigt i forbindelse med aktuel behandling af patienten.

Den foreslåede bestemmelse i § 42 a, stk. 4, vedrører således de tilfælde, hvor personer, der ikke er autoriserede i henhold til særlig lovgivning, og som ikke udfører sundhedsfaglig behandling på en autoriseret sundhedspersons ansvar, men hvor det alligevel vurderes nødvendigt, at de pågældende personer har adgang til at indhente helbredsoplysninger m.v. ved opslag i elektroniske systemer af hensyn til den samlede aktuelle behandling af patienten.

Andre personer end sundhedspersoner kan f.eks. være sygehusfarmaceuter. Det bemærkes i den forbindelse, at apotekervæsenet er en del af sundhedsvæsenet, men er reguleret i lægemiddellovgivningen, herunder apotekerloven og lægemiddelloven, og ikke i sundhedsloven. Apotekere og farmaceuter anses ikke som sundhedspersoner efter sundhedsloven, fordi de ikke er autoriserede i henhold til autorisationsloven, ligesom de heller ikke - som led i deres opgavevaretagelse efter apotekerloven og lægemiddelloven - udfører sundhedsfaglige opgaver.

Apoteks- og sygehusansatte farmaceuter handler endvidere i deres almindelige opgavevaretagelse (medicinudlevering mm.) på eget ansvar og ikke på en autoriseret sundhedspersons, f.eks. en læges, ansvar. Disse personalegrupper handler derfor som udgangspunkt ikke som sundhedspersoner i sundhedslovens forstand. Farmaceuter vil dog i nærmere bestemte sammenhænge undtagelsesvis kunne varetage sundhedsfaglige opgaver på sundhedspersonens ansvar, og i disse sammenhænge vil de da optræde som sundhedspersoner og vil kunne indhente helbredsoplysninger m.v. efter det foreslåede § 42 a, stk. 1.

Det bemærkes desuden, at autorisationsloven er ændret, således at behandlerfarmaceuter med virkning fra 1. januar 2019, kan autoriseres efter autorisationsloven, jf. § 1, nr. 4, i lov om ændring af lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, lov om apoteksvirksomhed, sundhedsloven og forskellige andre love, vedtaget af Folketinget den 27. november 2018.

Såfremt ledelsen af behandlingsstedet, f.eks. sygehusledelsen, vurderer, at det er nødvendigt for sygehusansatte farmaceuter at få adgang til at indhente oplysninger om en patients helbredsforhold m.v. i den elektroniske patientjournal i forbindelse med behandling af patienten, vil sygehusledelsen kunne give tilladelse hertil efter den foreslåede bestemmelse i sundhedslovens § 42 a, stk. 4. Denne mulighed svarer i øvrigt til sundhedslovens § 157, stk. 4, hvoraf det fremgår, at sygehusansatte farmaceuter og farmakonomer, der efter udpegning af sygehusledelsen af patient- og lægesikkerhedsmæssige grunde foretager medicingennemgang eller medicinafstemning, kan få adgang til de oplysninger, der er registreret om patienten i det fælles medicinkort (FMK), når dette er nødvendigt for den pågældendes behandling af patienten.

Andre personer kan desuden være kliniske akademikere, som f.eks. bioinformatikere eller molekylærbiologer, der udfører genetiske analyser til brug for diagnosticering, uden at dette sker på en læges ansvar.

Andre personer end sundhedspersoner kan herudover f.eks. være pædagoger og socialrådgivere, der ikke er sundhedspersoner, men som deltager i den samlede sundhedsfaglige indsats, og hvor indhentning af helbredsoplysninger m.v. derfor er nødvendig som led i den samlede aktuelle behandling af patienten. Bestemmelsen vil således ikke kunne anvendes til at give tilladelse til, at personer, der udfører opgaver efter serviceloven, kan få adgang til at indhente helbredsoplysninger. Det bemærkes, at i det omfang denne gruppe af fagpersoner udfører sundhedsfaglig behandling på en autoriseret sundhedspersons ansvar, vil de være sundhedspersoner, og dermed være omfattet af adgangen til at indhente helbredsoplysninger m.v. efter den foreslåede bestemmelse i § 42 a, stk. 1. Der henvises for så vidt angår begrebet sundhedspersoner til bemærkningerne til den foreslåede bestemmelse i § 42 a, stk. 1.

Men i det omfang sådanne faggrupper udfører pædagogiske støttefunktioner til patientbehandlingen i sundhedsvæsenet, som er nødvendige som led i den samlede sundhedsfaglige indsats over for patienten, kan ledelsen på behandlingsstedet give tilladelse til indhentning af helbredsoplysninger m.v. efter den foreslåede bestemmelse i § 42 a, stk. 4. Et eksempel herpå kan være en pædagogisk fagperson, som bistår det sundhedsfaglige team med en svært retarderet mindreårig patient, eller som er involveret i den psykiatriske behandling af et barn, eller som yder støtte til genoptræning af en voksen med hjerneskade. Det vil efter omstændighederne også kunne være en talepædagog, der bistår i forbindelse med genoptræning. Det er en forudsætning for at kunne anvende bestemmelsen, at der er en tæt sammenhæng med den sundhedsfaglige behandling, som patienten modtager. Det er endvidere en betingelse, at ledelsen vurderer, at den pågældende fagperson, som yder støttefunktionen, har behov for selv at kunne indhente helbredsoplysninger m.v. om patienten ved opslag i den elektroniske patientjournal. Det er således ikke i alle tilfælde, at de pågældende fagpersoner vil have behov for selv at kunne indhente oplysningerne. Det bemærkes i den forbindelse, at der er hjemmel i sundhedslovens § 43, stk. 1, til, at sundhedspersoner med patientens samtykke kan videregive oplysninger til andre formål end patientbehandling. Som eksempler på fagpersoner, der som udgangspunkt ikke kan forventes at have behov for at indhente helbredsoplysninger m.v. i patientjournaler med henblik på at varetage støttefunktioner i forbindelse med patientbehandlingen, kan nævnes lærere og præster. Såfremt sådanne faggrupper har behov for oplysninger om patientens helbredsforhold m.v., vil oplysningerne således kunne videregives med patientens samtykke efter sundhedslovens § 43, stk. 1. Det kan også indgå i overvejelserne af, hvilke faggrupper, der skal have adgang til at indhente oplysninger efter den foreslåede bestemmelse, at der med hjemmel i den foreslåede bestemmelse i § 42 a, stk. 3, til at andre personer end sundhedspersoner med samtykke kan indhente helbredsoplysninger m.v. i elektroniske systemer i forbindelse med behandling af patienten.

Ledelsen af behandlingsstedet vil endvidere kunne give tilladelse til, at andre personer, f.eks. sekretærer, kan indhente oplysninger i elektroniske systemer med henblik på at yde teknisk bistand til sundhedspersoners opslag i elektroniske systemer. Det bemærkes i den forbindelse, at denne mulighed for, at ledelsen på behandlingsstedet kan give tilladelse til, at sekretærer kan yde teknisk bistand, ikke ændrer ved den autoriserede sundhedspersons journalføringspligt - og ansvar. Der henvises i den forbindelse til reglerne i autorisationsloven og journalføringsbekendtgørelsen.

Medicinstuderende - eller andre studerende inden for områder, der kan føre til en autorisation efter autorisationsloven - vil, når de virker som medhjælp for en autoriseret sundhedsperson, selv være sundhedspersoner i henhold til sundhedsloven, og vil dermed kunne indhente oplysninger, hvis betingelserne i den foreslåede bestemmelse i § 42 a, stk. 1, i øvrigt er opfyldt.

I nogle tilfælde udfører den studerende ikke selvstændigt funktioner på vegne af en sundhedsperson, f.eks. når en medicinstuderende sammen med lægen observerer eller foretager undersøgelser på stuegang. I den situation udfører den studerende ikke opgaver på lægens ansvar og er således ikke sundhedsperson i sundhedslovens forstand. Såfremt der vurderes at være behov for, at den medicinstuderende i situationer, hvor den medicinstuderende ikke handler på lægens ansvar, skal bistå den autoriserede sundhedsperson med at indhente oplysninger i medfør af den foreslåede bestemmelse i § 42 a, stk. 1, vil ledelsen på behandlingsstedet kunne give tilladelse hertil i medfør af den foreslåede bestemmelse i § 42 a, stk. 4.

Det er herudover en forudsætning, at den dataansvarlige region, privatpraktiserende læge, centrale sundhedsmyndighed m.fl. overholder databeskyttelsesforordningens regler om behandlingssikkerhed. Det er således et krav efter databeskyttelsesforordningen, at den dataansvarlige etablerer et sikkerhedsniveau, som passer til de risici, der er forbundet med behandlingen af personoplysningerne. Det bemærkes i den forbindelse, at et eksempel på en relevant risiko ved behandlingen af personoplysninger er risikoen for, at uvedkommende får adgang til personoplysninger, og »uvedkommende« i den sammenhæng kan både være uvedkommende intern adgang og uvedkommende ekstern adgang. Den dataansvarlige region, privatpraktiserende læge m.v., skal således gennem passende organisatoriske og systemtekniske foranstaltninger, herunder gennem brugerautorisationer m.v., sikre, at de pågældende personer, som får tilladelse efter den foreslåede § 42 a, stk. 4, alene får adgang til de helbredsoplysninger m.v., som de pågældende har behov for, til at kunne udføre deres arbejdsopgaver. Det vil således navnlig bero på en vurdering af databeskyttelsesretlige regler, om og i givet fald i hvilket omfang en tilladelse efter sundhedslovens § 42 a, stk. 4, f.eks. kan gives til flere eller alle sekretærer på en bestemt afdeling eller et bestemt sygehus. Der henvises i øvrigt til databeskyttelsesforordningens regler om behandlingssikkerhed i punkt 2.1.5.2 i de almindelige bemærkninger.

Ud over en tilladelse fra ledelsen på behandlingsstedet, som skal være givet inden for de rammer, som er nævnt ovenfor, er det en betingelse, at de pågældende personer efter lovgivningen er underlagt tavshedspligt. Denne tavshedspligt kan enten følge af sundhedslovens § 40 eller af de almindelige regler om tavshedspligt i forvaltningslovens § 27, herunder tavshedspålæg efter forvaltningslovens § 27, stk. 6. Det er herudover en forudsætning, at den dataansvarlige region, privatpraktiserende læge m.v. alene giver de pågældende personer adgang til at foretage opslag til udførelse af opgaver, der ligger inden for rammerne af databeskyttelseslovens § 7, stk. 3, hvorefter behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra h. Det bemærkes i den forbindelse, at bl.a. apoteksvirksomhed er omfattet af den samlede sundhedstjeneste og dermed omfattet af bestemmelsen i databeskyttelseslovens § 7, stk. 3. Det bemærkes endvidere, at denne begrænsning indebærer, at den foreslåede bestemmelse ikke vil kunne bruges til, at ledelsen på et behandlingssted giver tilladelse til, at personer indhenter oplysninger i elektroniske systemer med henblik på udførelsen af opgaver efter sociallovgivningen.

Det foreslås desuden med indsættelse af § 42 a, stk. 5, at patienten skal kunne frabede sig, at der indhentes oplysninger efter stk. 1 og 4. Forslaget indebærer, at patienten vil kunne frabede sig, at en sundhedsperson indhenter helbredsoplysninger m.v. efter det foreslåede stk. 1. Forslaget indebærer endvidere, at patienten vil kunne frabede sig, at andre personer, der af ledelsen på behandlingsstedet har fået adgang til at foretage opslag i elektroniske systemer, kan indhente helbredsoplysninger efter det foreslåede stk. 4. Andre personer kan som nævnt ovenfor under bemærkningerne til det foreslåede § 42 a, stk. 4, f.eks. være sekretærer eller medicinstuderende.

Hvorvidt en teknisk adgang konkret må benyttes til at indhente oplysninger, vil således afhænge af, i hvilket omfang patienten har frabedt sig indhentning af oplysningerne.

Patienten vil efter stk. 5 generelt kunne frabede sig, at sundhedspersoner og andre personer indhenter helbredsoplysninger m.v. om vedkommende i elektroniske systemer. I nogle tilfælde vil det i realiteten indebære, at patienten frabeder sig behandling. I andre tilfælde vil behandlingen kunne ske, men på et begrænset grundlag.

Afhængigt af, hvad der er teknisk muligt, vil patienten kunne frabede sig, at en sundhedsperson - eller flere bestemte sundhedspersoner, f.eks. en bestemt læge eller sygeplejerske på en sygehusafdeling, i et sundhedsfagligt team eller lignende - indhenter oplysninger efter stk. 1.

Afhængigt af, hvad der er teknisk muligt, vil patienten endvidere kunne frabede sig, at oplysninger fra en bestemt enhed, f.eks. et sygehus eller en afdeling på et sygehus eller lign., kan indhentes, ligesom patienten kan frabede sig indhentning af oplysninger fra et bestemt tidsrum.

Det forudsættes, at patienterne informeres om deres ret til at frabede sig indhentning af oplysninger.

Denne information kan gives direkte af de pågældende læger, sygeplejersker eller andre sundhedspersoner, der har patienten i behandling, men informationen kan også gives i mere generel form, f.eks. ved patientinformationsmateriale på behandlingsstedets hjemmeside, i form af brochurer eller anden skriftlig vejledning, typisk i forbindelse med, at patienten giver informeret samtykke til selve behandlingen, jf. sundhedslovens § 15. Information om frabedelse kan også gives på den hjemmeside, hvor frabedelsen registreres, f.eks. på sundhed.dk. En sådan information vil være tilstrækkelig.

Hvis en patient ikke selv er i stand til at frabede sig, at der indhentes helbredsoplysninger m.v., indtræder den eller de personer, som efter lovgivningen er bemyndiget hertil, i patientens rettigheder, jf. sundhedslovens § 14, i det omfang det er nødvendigt for at varetage patientens interesser i den pågældende situation.

Patienterne har desuden efter sundhedslovens § 16, stk. 1, ret til at få information om deres helbredstilstand og om behandlingsmulighederne, herunder om risiko for komplikationer og bivirkninger. Denne ret til information omfatter tillige en ret til at få information om de mulige konsekvenser for behandlingsmulighederne, hvis patienten frabeder sig indhentning af oplysninger. Patienten har herunder ret til at få information om de mulige konsekvenser for risikoen for komplikationer og bivirkninger.

Hvis en patient har frabedt sig indhentning og/eller videregivelse af helbredsoplysninger, må sundhedspersonalet vurdere, om det er muligt at gennemføre behandlingen uden de oplysninger, som patienten har frabedt sig bliver indhentet eller videregivet. Patienten skal i den forbindelse informeres om, hvilke konsekvenser en manglende indhentning eller videregivelse af helbredsoplysninger m.v. vil kunne få for den fortsatte behandling af patienten.

Såfremt en patient har frabedt sig indhentning af helbredsoplysninger mv. i den fælles digitale infrastruktur, og en sundhedsperson, der har patienten i behandling konstaterer dette i forbindelse med behandlingen af patienten, forudsættes det, at sundhedspersonen i den forbindelse oplyser patienten om de mulige konsekvenser ved, at sundhedspersonen ikke kan få adgang til oplysninger i den fælles digitale infrastruktur.

Det foreslås med indsættelse af § 42 a, stk. 6, 1. pkt., at sundhedsministeren kan fastsætte nærmere regler for autoriserede sundhedspersoners adgang til at indhente oplysninger i elektroniske systemer om helbredsforhold og andre fortrolige oplysninger om en patient, der aktuelt er i behandling, og om andre patienter med henblik på at støtte sundhedspersonen i at træffe sundhedsfaglige beslutninger som led i patientbehandling.

Forslaget indebærer, at sundhedsministeren kan fastsætte nærmere regler for autoriserede sundhedspersoners adgang til at indhente oplysninger til brug for beslutningsstøtte. Ved indhentning af helbredsoplysninger m.v. til brug for beslutningsstøtte forstås i denne sammenhæng, at den autoriserede sundhedsperson kan indhente oplysninger, som kan støtte sundhedspersonen i at afveje fordele og ulemper af en given behandlingsmulighed og på den baggrund træffe den bedst mulige sundhedsfaglige beslutning i en konkret behandlingssituation, herunder støtte sundhedspersonen i at stille en korrekt diagnose.

Som det fremgår ovenfor, vil der efter den foreslåede bestemmelse i § 42 a, stk. 2, være mulighed for at indhente helbredsoplysninger efter en såkaldt værdispringsregel. Denne bestemmelse vil bl.a. kunne være relevant i tilfælde, hvor sundhedspersonen gør sig bekendt med specifikke helbredsoplysninger om en tidligere patient, som har haft en sammenlignelig helbredstilstand, til brug for beslutningsstøtte f.eks. i forbindelse med diagnosticeringen af en anden patient, som sundhedspersonen aktuelt har i behandling.

Anvendelsen af den foreslåede bestemmelse i § 42 a, stk. 2, vil, som nævnt ovenfor, forudsætte en konkret afvejning af modstående hensyn, dvs. væsentlige hensyn til den patient, der aktuelt er i behandling over for hensynet til den tidligere patients krav på fortrolighed. Denne afvejning kan være vanskelig at foretage i det daglige arbejde i sundhedsvæsenet.

Det vurderes på den baggrund, at der er behov for et mere klart hjemmelsgrundlag, der, ud over den foreslåede mulighed i § 42 a, stk. 2, sikrer mulighed for, at autoriserede sundhedspersoner kan anvende oplysninger fra flere andre patienter med sammenlignelige helbredstilstande til brug for beslutningsstøtte som led i patientbehandling over for en anden patient. Det vurderes samtidig, at anvendelse af oplysninger vedrørende et stort antal andre patienter til brug for beslutningsstøtte, alene bør ske i pesudonymiseret form. I takt med, at de tekniske løsninger udvikles, er det således hensigten, at der fastsættes regler, der gør det muligt i pseudonymiseret form at anvende specifikke helbredsoplysninger om tidligere patienter, som har haft en sammenlignelig helbredstilstand, til brug for beslutningsstøtte som led i behandlingen af en anden patient, som sundhedspersonen aktuelt har i behandling.

Ved pseudonymisering forstås behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret person uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person, jf. databeskyttelsesforordningens artikel 4, nr. 5.

Den foreslåede bemyndigelsesbestemmelse ændrer ikke ved den mulighed, der er efter den foreslåede værdispringsregel i § 42 a, stk. 2, som er beskrevet ovenfor.

Som nævnt ovenfor omfatter begrebet elektroniske systemer - udover elektroniske patientjournaler - også administrative registre, herunder Landspatientregisteret. Det er hensigten at udmønte den foreslåede bemyndigelsesbestemmelse i § 42 a, stk. 6, 1. pkt., til at fastsætte nærmere regler om, hvordan oplysninger fra elektroniske patientjournaler og de nationale administrative registre, f.eks. Landspatientregisteret eller Sygehusmedicinregisteret, kan bruges som beslutningsstøtte i forbindelse med aktuel behandling af en patient, herunder at der under nærmere angivne betingelser vil kunne ske indhentning af oplysninger både om den patient, der er i behandling og om andre patienter, hvis dette er nødvendigt til brug for beslutningsstøtte. Det er forudsat, at anvendelse af oplysninger fra patientjournaler og administrative registre om andre patienter, end den som er i aktuel behandling, kun vil kunne ske i pseudonymiseret form. Bemyndigelsesbestemmelsen vil blive anvendt til at fastsætte begrænsninger i forhold, hvilke autoriserede sundhedspersoner der kan få adgang til de elektroniske systemer, hvordan de kan få adgang, hvilke kategorier af oplysninger, hvilke dele af de elektroniske systemer, der kan gives adgang til, samt betingelserne herfor. Bemyndigelsesbestemmelsen vil derimod ikke kunne anvendes til at fastsætte regler om, at genetiske oplysninger om andre patienter, end den patient der er i aktuel behandling, og som opbevares i Nationalt Genom Center, skal kunne indhentes til brug for beslutningsstøtte.

Det foreslås desuden med indsættelse af § 42 a, stk. 6, 2. pkt., at sundhedsministeren kan fastsætte nærmere regler om de pågældende autoriserede sundhedspersoners mulighed for at anvende teknisk bistand i forbindelse med indhentning af de oplysninger, der er nævnt i bestemmelsens 1. pkt. Det er hensigten at udmønte denne bemyndigelsesbestemmelse til at fastsætte regler, der giver mulighed for, at de pågældende autoriserede sundhedspersoner kan anvende teknisk bistand i forbindelse med indhentning af oplysningerne.

Bemyndigelsesbestemmelserne vil blive udmøntet inden for databeskyttelsesforordningens rammer, og Datatilsynets udtalelse vil blive indhentet i den forbindelse, jf. databeskyttelseslovens § 28.

Til nr. 4

Det følger af sundhedslovens § 42 b, 1. pkt., at samtykke efter § 42 a, stk. 6 og 10, og tilkendegivelse efter § 42 a, stk. 7, kan være mundtligt eller skriftligt.

Det foreslås med lovforslagets § 1, nr. 4, at § 42 b, 1. pkt., ændres således, at det fastsættes, at samtykke efter § 42 a, stk. 3, og tilkendegivelse efter stk. 5 kan være mundtligt eller skriftligt.

Forslaget indeholder ikke indholdsmæssige ændringer. Forslaget er en konsekvensændring af lovforslagets § 1, nr. 3, hvorved sundhedslovens § 42 a nyaffattes. Nyaffattelsen indebærer bl.a., at patienten fremadrettet kan meddele samtykke til indhentning af helbredsoplysninger mv. efter den foreslåede § 42 a, stk. 3, og at patienten kan frabede sig, at der indhentes oplysninger efter den foreslåede § 42 a, stk. 5. Der henvises i øvrigt til bemærkninger til lovforslagets § 1, nr. 3, vedrørende § 42 a, stk. 3 og 5.

Til nr. 5

Det følger af sundhedslovens § 42 b, 2. pkt., at samtykket eller tilkendegivelsen skal meddeles til den sundhedsperson, som indhenter oplysningerne, eller under hvis ansvar oplysningerne indhentes.

Det foreslås med lovforslagets § 1, nr. 5, at § 42 b, 2. pkt., nyaffattes således, at det fremgår, at samtykket eller tilkendegivelsen skal meddeles til behandlingsstedet eller til den sundhedsperson, der har patienten i behandling.

Forslaget indebærer, at patienten - som i dag - vil kunne frabede sig indhentning af helbredsoplysninger mv., men at patienten fremover vil kunne vælge mellem at meddele både tilkendegivelse om frabedelse og samtykke enten til den sundhedsperson, som har patienten i behandling, eller direkte til behandlingsstedet, f.eks. den afdeling på sygehuset, hvor patienten er i behandling, og hvor patienten ikke ønsker, at der skal ske indhentning af helbredsoplysninger mv.

Hensigten med forslaget er at sikre, at fremgangsmåden for at meddele samtykke og for at frabede sig indhentning af helbredsoplysninger tilpasses den udvikling, der er sket i arbejdsgangene i sundhedsvæsenet siden bestemmelsen blev indført.

Et samtykke eller en tilkendegivelse om frabedelse kan, som nævnt under bemærkninger til § 1, nr. 4, være enten mundtligt eller skriftligt, jf. § 42 b, 1. pkt. Patienten vil således eksempelvis kunne meddele samtykke eller frabede sig indhentning af helbredsoplysninger mv. på en blanket, som udleveres på behandlingsstedet, fx sygehuset eller hos den privatpraktiserende læge. Det vil også være i overensstemmelse med bestemmelsen, hvis patienten kan frabede sig indhentning af helbredsoplysninger m.v. eller meddele samtykke via en digital brugergrænseflade, som stilles til rådighed for borgeren. Der henvises i øvrigt til bemærkningerne til § 1, nr. 6, hvoraf det bl.a. fremgår, at det er hensigten, at sundhedsministeren vil fastsætte nærmere regler om samtykket og tilkendegivelsen om frabedelse.

Samtykket eller tilkendegivelsen om frabedelse skal indføres i patientjournalen efter den gældende bestemmelse i § 42 b, 3. pkt. Dette indebærer bl.a., at hvis et behandlingssted modtager en meddelelse om samtykke eller en tilkendegivelse fra en patient om frabedelse af indhentning af helbredsoplysninger m.v., påhviler det behandlingsstedets ledelse at videresende samtykket eller tilkendegivelsen til rette sundhedsperson eller afdeling med henblik på journalisering.

Det bemærkes endvidere, at det følger af forvaltningslovens § 7, stk. 1, at en forvaltningsmyndighed i fornødent omfang skal yde vejledning til personer, der retter henvendelse om spørgsmål inden for myndighedens sagsområde. Det følger endvidere af forvaltningslovens § 7, stk. 2, at hvis en forvaltningsmyndighed modtager en skriftlig henvendelse, som ikke vedrører dens sagsområde, videresendes henvendelsen så vidt muligt til rette myndighed. Vejledningspligten efter forvaltningsloven gælder som udgangspunkt kun i afgørelsessager, men det følger af god forvaltningsskik og almindelige forvaltningsretlige principper, at offentlige myndigheder også bør yde vejledning uden for afgørelsessager. Patientbehandling anses som udgangspunkt for at være faktisk forvaltningsvirksomhed. Det betyder, at i det omfang behandlingsstedet er en offentlig myndighed, og behandlingsstedet modtager en tilkendegivelse fra en patient om frabedelse af indhentning af oplysninger i den fælles digitale infrastruktur, vil det følge af god forvaltningsskik, at behandlingsstedet videresender tilkendegivelsen til Sundhedsdatastyrelsen.

Til nr. 6

Det følger af sundhedslovens § 42 b, at samtykke efter § 42 a, stk. 6 og 10, og tilkendegivelse efter § 42 a, stk. 7, kan være mundtligt eller skriftligt. Det følger endvidere af bestemmelsen, at samtykket eller tilkendegivelsen skal meddeles til den sundhedsperson, som indhenter oplysningerne, eller under hvis ansvar oplysningerne indhentes. Samtykket eller tilkendegivelsen skal indføres i patientjournalen.

Det foreslås at indsætte et nyt stk. 2, der fastsætter, at en tilkendegivelse om frabedelse af indhentning af helbredsoplysninger mv. i et elektronisk system, som drives af en central sundhedsmyndighed, skal ske til denne myndighed, som sikrer, at tilkendegivelsen registreres i det elektroniske system.

Forslaget indebærer, at såfremt patienten ønsker at frabede sig indhentning af helbredsoplysninger m.v. i den fælles digitale infrastruktur, kan patienten meddele dette direkte til Sundhedsdatastyrelsen, som vil skulle drive dette elektroniske system. Der henvises i den forbindelse til forslagets § 1, nr. 16.

Den centrale sundhedsmyndighed - der som nævnt er Sundhedsdatastyrelsen for så vidt angår den fælles digitale infrastruktur - vil være forpligtet til sikre, at tilkendegivelsen om frabedelse registreres i det elektroniske system, således at det for sundhedspersoner, der har adgang til indhente oplysninger i den fælles digitale infrastruktur, vil fremgå, at patienten har frabedt sig indhentning af helbredsoplysninger m.v.

Det vil være i overensstemmelse med den foreslåede bestemmelse, hvis der etableres tekniske løsninger, der gør det muligt, at patienten selv i det elektroniske system kan privatmarkere bestemte tidsrum, eller at bestemte sundhedspersoner ikke må få adgang. Det vil således være i overensstemmelse med bestemmelsen, hvis patientens tilkendegivelse om frabedelse kan registreres direkte i brugergrænsefladen (f.eks. patientoverblikket) til den fælles digitale infrastruktur, på samme måde som patienter i dag har mulighed for at frabede sig indhentning af medicinoplysninger i FMK via sundhed.dk.

Forslaget ændrer ikke ved, at patienterne skal informeres om deres ret til at frabede sig indhentning af oplysninger, og om de mulige konsekvenser heraf. Der henvises i den forbindelse til lovforslagets § 1, nr. 3, vedrørende § 42 a, stk. 5, hvoraf det bl.a. fremgår, at hvis en patient har frabedt sig indhentning af helbredsoplysninger mv. i den fælles digitale infrastruktur, og en sundhedsperson, der har patienten i behandling, konstaterer dette i forbindelse med behandlingen af patienten, forudsættes det, at sundhedspersonen i den forbindelse oplyser patienten om de mulige konsekvenser ved, at sundhedspersonen ikke kan få adgang til oplysninger i den fælles digitale infrastruktur.

Hvis en borger ikke ønsker eller ikke kan benytte sig af de digitale muligheder for frabedelse af indhentning af oplysninger i den fælles digitale infrastruktur, vil vedkommende - som nævnt ovenfor - kunne meddele sin tilkendegivelse om frabedelse direkte til Sundhedsdatastyrelsen, der er forpligtet til at sikre, at tilkendegivelsen registreres i det elektroniske system. Borgeren vil også kunne rette henvendelse til regionernes patientvejledere, der kan hjælpe med at foretage de nødvendige registreringer i systemerne eller yde rådgivning om, hvordan frabedelsen kan ske uden brug af en digital løsning.

Det foreslås endvidere at indsætte et nyt stk. 3, hvorefter sundhedsministeren bemyndiges til at fastsætte nærmere regler om det samtykke, der er nævnt i det foreslåede 42 a, stk. 3, og den frabedelse, der er nævnt i det foreslåede § 42 a, stk. 5.

Baggrunden for forslaget er, at sundhedsministeren efter de gældende bestemmelser i sundhedslovens § 42, stk. 2, og § 44, stk. 3, kan fastsætte nærmere regler om patientens samtykke til videregivelse af helbredsoplysninger m.v. i forbindelse med patientbehandling og til andre formål end patientbehandling. Sundhedsministeren kan desuden med hjemmel i § 42 e, stk. 3, fastsætte nærmere regler om samtykke til indhentning af helbredsoplysninger til andre formål end behandling. Men sundhedsministeren har, som reglerne er i dag, ikke hjemmel til at fastsætte regler om samtykke til indhentning af helbredsoplysninger i forbindelse med patientbehandling, eller om tilkendegivelser om frabedelse af indhentning af helbredsoplysninger m.v.

Det vurderes hensigtsmæssigt, at sundhedsministeren kan fastsætte nærmere regler om det samtykke, som patienten kan give til indhentning af helbredsoplysninger m.v. i forbindelse med patientbehandling efter det foreslåede § 42 a, stk. 3. Det vurderes endvidere at være hensigtsmæssigt, at sundhedsministeren tillige kan fastsætte nærmere regler om patientens tilkendegivelse om frabedelse af indhentning af helbredsoplysninger m.v., jf. det foreslåede § 42 a, stk. 5.

Det er hensigten, at bestemmelsen i første omgang vil blive anvendt til at fastsætte regler om, at samtykket - ligesom samtykke efter de øvrige bestemmelser om samtykke i sundhedslovens kapitel 9 - ud over de betingelser til samtykket, som følger af sundhedslovens kapitel 9 og af bekendtgørelse nr. 509 af 13. maj 2018 om information og samtykke i forbindelse med behandling og ved videregivelse og indhentning af helbredsoplysninger m.v. - skal leve op til kravene i artikel 4, nr. 11, og artikel 7 i Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Det er endvidere hensigten, at sundhedsministeren vil fastsætte regler, der præciserer, at en tilkendegivelse om frabedelse kan meddeles elektronisk i en brugergrænseflade til det elektroniske system, herunder en brugergrænseflade til den fælles digitale infrastruktur.

Til nr. 7.

Det følger af sundhedslovens § 42 c, stk. 1, at sundhedsministeren fastsætter nærmere regler om private dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i en patients elektroniske patientjournal (logning), samt om loggens indhold, opbevaring og sletning.

Det foreslås, at § 42 c, stk. 1, ændres således, at sundhedsministeren kan fastsætte nærmere regler om både private dataansvarliges og - som noget nyt også - offentlige dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i en patients elektroniske patientjournal, samt om loggens indhold, opbevaring og sletning. Det foreslås desuden, at bestemmelsen udvides til at omfatte ikke kun elektroniske patientjournaler, men elektroniske systemer inden for sundhedsvæsenet.

Det fremgår bl.a. af bemærkningerne til den gældende bestemmelse i § 42 c, stk. 1, at bestemmelsen supplerer den forpligtigelse, som offentlige dataansvarlige har til at foretage logning efter sikkerhedsbekendtgørelsens § 19, stk. 1, ved at give ministeren bemyndigelse til at pålægge private dataansvarlige en tilsvarende forpligtigelse. Det fremgår videre, at der i givet fald vil skulle fastsættes regler om loggens førelse, indhold, opbevaring og sletning svarende til sikkerhedsbekendtgørelsens regler herom, at bemyndigelsen vil blive udnyttet, når der er teknisk mulighed herfor uden uforholdsmæssige omkostninger for de dataansvarlige, samt at en udnyttelse af bemyndigelsen er en forudsætning for at give en patient elektronisk adgang til oplysninger om, hvem der har foretaget opslag i patientens elektroniske patientjournal, jf. bemyndigelsen i den gældende bestemmelse i § 42 c stk. 2, jf. tillægsbetænkning afgivet af Sundhedsudvalget den 28. marts 2007 over forslag til lov om ændring af sundhedsloven, L 50 B, fremsat den 25. oktober 2006.

Hidtil har kravet om pligten for offentlige dataansvarlige til logning fulgt af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af perso?no?plysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen). Denne bekendtgørelse er ophævet med virkning fra 25. maj 2018 i forbindelse med vedtagelse af databeskyttelsesloven. De krav til sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som fremgik af den dagældende bekendtgørelse, er afløst af databeskyttelsesforordningens krav til behandlingssikkerhed. Det vurderes, at både databeskyttelsesforordningen og sikkerhedsstandarden 27001 som altovervejende hovedregel vil indebære, at en dataansvarlig for et system inden for sundhedsvæsenet, som indeholder helbredsoplysninger m.v. om patienter, også efter ophævelse af sikkerhedsbekendtgørelsen, vil være forpligtet til at registrere, hvem der har foretaget opslag m.v. i systemet (logning). Det bemærkes i den forbindelse, at alle statslige myndigheder og regioner skal efterleve ISO 27001, samt at kommuner skal efterleve principperne i sikkerhedsstandarden. Der henvises til punkt 2.1.5 i de almindelige bemærkninger. Det bemærkes endvidere, at regionerne m.fl. allerede i dag registrerer oplysninger om, hvem der har foretaget opslag i elektroniske patientjournaler.

Det foreslås, at sundhedsministeren kan fastsætte regler om, at også offentlige dataansvarlige er forpligtet til at registrere oplysninger om, hvem der har foretaget opslag i elektroniske systemer, samt om loggens indhold, opbevaring og sletning. Forslaget indebærer, at kravet om logning bliver gjort tydeligere. Det er hensigten, at bemyndigelsesbestemmelsen i første omgang vil blive udnyttet til at fastsætte regler om, at offentlige dataansvarlige inden for sundhedsvæsenet er forpligtet til at registrere oplysninger om, hvem der har foretaget opslag i elektroniske patientjournaler, samt om loggens indhold, opbevaring og sletning. Det er endvidere hensigten at fastsætte regler om, at Sundhedsdatastyrelsen er forpligtet til at registrere oplysninger om, hvem der har foretaget opslag i den fælles digitale infrastruktur, loggens indhold, opbevaring og sletning.

Til nr. 8.

Det følger af sundhedslovens § 42 d, stk. 1, at autoriserede sundhedspersoner med patientens samtykke til andre formål end behandling ved opslag i elektroniske systemer i fornødent omfang kan indhente oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.

Det foreslås, at den gældende bestemmelse i § 42 d, stk. 1, ændres således, at begrebet »elektroniske systemer« ændres til »elektroniske patientjournaler og andre systemer, som supplerer patientjournalen«.

Det fremgår bl.a. af lovbemærkningerne til § 42 d, stk. 1, at begrebet elektroniske systemer skal forstås i overensstemmelse med den tilsvarende formulering i § 42 a. Med udtrykket »elektroniske systemer« henvises således, ifølge bemærkningerne, til alle elektroniske patientjournaler o. lign., der anvendes ved patientbehandling. Herunder hører bl.a. laboratorie-, røntgen-, henvisnings- og visitationssystemer, der indeholder patientoplysninger, og som derfor er en del af journalen på et sygehus, jf. Folketingstidende 2012-13, A, L 132, som fremsat den 9. februar 2017, bemærkningerne til lovforslagets § 1, nr. 9.

Da begrebet elektroniske systemer, jf. forslagets § 1, nr. 3, vedrørende § 42 a, stk. 1, - udover elektroniske patientjournaler o. lign. - også omfatter administrative registre, som f.eks. den fælles digitale infrastruktur, som foreslås etableret, jf. lovforslagets § 1, nr. 16, og da det ikke har været hensigten, at § 42 d skal omfatte adgang til at foretage opslag i sådanne administrative registre i forbindelse med kvalitetssikring m.v., foreslås det, at »elektroniske systemer« i § 42 d, stk. 1, ændres til »elektroniske patientjournaler og andre systemer, som supplerer journalen«.

Der er således ikke tale om en indholdsmæssig ændring i forhold til anvendelsesområdet for § 42 d, men alene om en sproglig præcisering.

Til nr. 9.

Det følger af sundhedslovens § 42 d, stk. 1, at autoriserede sundhedspersoner med patientens samtykke til andre formål end behandling ved opslag i elektroniske systemer i fornødent omfang kan indhente oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.

Det følger bl.a. af sundhedslovens § 42 d, stk. 2, nr. 1, at indhentning af de oplysninger, der er nævnt i § 42 d, stk. 1, til brug for evaluering af egen indsats under nærmere angivne betingelser kan ske uden patientens samtykke, når indhentningen foretages af en læge, tandlæge eller jordemoder, som tidligere har deltaget i behandlingen af patienten. Det fremgår af § 42 a, stk. 9, at de sundhedspersoner, der er nævnt i bestemmelsen, under deres ansvar kan lade sekretærer yde teknisk bistand til opslag i oplysningerne, ligesom læger og sygehusansatte tandlæger under disses ansvar kan lade medicinstuderende indhente oplysninger efter den gældende bestemmelse i § 42 d, stk. 2, nr. 1.

Det følger endvidere af sundhedslovens § 42 d, stk. 2, nr. 2, at indhentning af de oplysninger, der er nævnt i § 42 d, stk. 1, til brug for kvalitetssikring- og udvikling under nærmere angivne betingelser kan ske uden patientens samtykke, når indhentningen foretages af en autoriseret sundhedsperson. En af betingelserne er, at ledelsen på behandlingsstedet efter nærmere fastlagte kriterier har givet tilladelse til, at den autoriserede sundhedsperson kan foretage indhentningen, jf. § 42 d, stk. 2, nr. 2, litra c.

Retten til indhentning efter den gældende bestemmelse i § 42 d, stk. 1, og § 42 d, stk. 2, nr. 2, kan ikke delegeres fra en autoriseret sundhedsperson til en anden person - heller ikke til en sekretær. Det er endvidere forudsat, at antallet af personer, der opnår en tilladelse til at indhente oplysninger efter § 42 d, stk. 2, nr. 2, begrænses mest muligt, jf. bemærkningerne til § 1, nr. 9, Folketingstidende 2012-13, A, L 132, som fremsat den 9. februar 2017.

Det foreslås med indsættelse af nyt stk. 3 at fastsætte, at andre personer, der efter lovgivningen er undergivet tavshedspligt, kan yde teknisk bistand til den autoriserede sundhedsperson i forbindelse med indhentning af oplysninger efter § 42 d, stk. 1, og § 42 d, stk. 2, nr. 1 og 2, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.

De personer, som efter det foreslåede stk. 3 skal kunne yde teknisk bistand, kan være farmaceuter, sekretærer, medicinstuderende eller andre personer. Det afgørende er, at de pågældende efter lovgivningen er underlagt tavshedspligt, samt at de indhenter oplysningerne under ansvar af den autoriserede sundhedsperson. Det forudsættes endvidere - som det også er tilfældet for de autoriserede sundhedspersoner, der kan få tilladelse til at indhente helbredsoplysninger m.v. efter § 42 d, stk. 2, nr. 2, - at antallet af personer, der får tilladelse til at yde teknisk bistand begrænses mest muligt.

Om baggrunden for forslaget henvises til punkt 2.2.3 i lovforslagets almindelige bemærkninger.

Forslaget indebærer, at de autoriserede sundhedspersoner fremover kan få teknisk bistand til indhentning af helbredsoplysninger m.v. efter § 42 d, stk. 1 (indhentning af helbredsoplysninger m.v. til andre formål end behandling med samtykke fra patienten) og § 42 d, stk. 2, nr. 2 (indhentning i forbindelse med kvalitetssikring og kvalitetsudvikling).

Den nugældende § 42 d, stk. 3, bliver til stk. 4, som følge af den foreslåede indsættelse af et nyt stykke 3.

Til nr. 10.

Det følger af § 42 d, stk. 3, 1. og 2. pkt., at patienten ved tilkendegivelse kan frabede sig, at der indhentes oplysninger efter sundhedslovens § 42 d, stk. 2, nr. 1 og 2, og at tilkendegivelsen kan være mundtlig eller skriftlig og skal indføres i patientjournalen. Det følger af § 42 d, stk. 3, 3. pkt., at tilkendegivelser om fravalg af indhentning af oplysninger efter stk. 2, nr. 1, (som vedrører evaluering af egen indsats) skal meddeles den sundhedsperson, som indhenter oplysningerne, eller under hvis ansvar oplysningerne indhentes. Det følger endvidere af § 42 d, stk. 3, 4. pkt., at tilkendegivelser om fravalg af indhentning af oplysninger efter stk. 2, nr. 2, (som vedrører kvalitetssikring og -udvikling) skal meddeles den sundhedsperson, der er ansvarlig for oplysningerne.

Den sundhedsperson, som er ansvarlig for oplysningerne, er den sundhedsperson, som efter autorisationsloven og journalføringsbekendtgørelsens §§ 4 og 5, har ansvaret for patientjournalen.

Det foreslås, at § 42 d, stk. 3, 3. og 4. pkt., ophæves og erstattes af et krav om, at tilkendegivelsen skal meddeles til den sundhedsperson, der er ansvarlig for oplysningerne eller til behandlingsstedet.

Når behandlingsstedet har modtaget en tilkendegivelse, påhviler det behandlingsstedets ledelse at videresende tilkendegivelsen til rette sundhedsperson eller afdeling med henblik på journalføring.

Baggrunden for dette forslag er, at patienter ofte ikke på forhånd ved, hvilke sundhedspersoner der indhenter eller er ansvarlige for helbredsoplysninger m.v. Det vurderes derfor at være mere enkelt for patienten, hvis tilkendegivelsen kan gives enten til den sundhedsperson, der er ansvarlig for oplysningerne, eller direkte til behandlingsstedet.

For så vidt angår begrebet »behandlingssted« og »behandlingsstedets ledelse« henvises til bemærkningerne til § 1, nr. 3, vedrørende § 42 a, stk. 4.

Til nr. 11

Det følger af § 42 e, stk. 3, at sundhedsministeren fastsætter nærmere regler om det samtykke, der er nævnt i § 42 d, stk. 1.

Det foreslås at udvide bemyndigelsesbestemmelsen, således at ministeren - udover at kunne fastsætte regler om det samtykke, der er nævnt i § 42 d, stk. 1 - tillige kan fastsætte regler om den tilkendegivelse, der er nævnt i § 42 d, stk. 3.

Det er hensigten, at sundhedsministeren vil udmønte bemyndigelsesbestemmelsen til at fastsætte regler, der præciserer, at tilkendegivelsen om frabedelse af indhentning af helbredsoplysninger i forbindelse med evaluering af egen indsats, jf. § 42 d, stk. 2, nr. 1, eller i forbindelse med kvalitetsarbejde, jf. § 42 d, stk. 2, nr. 2, vil kunne meddeles elektronisk til behandlingsstedet.

Til nr. 12.

Det følger af sundhedslovens § 157 a, stk. 6, at Statens Serum Institut har adgang til oplysninger i vaccinationsregistret bl.a. med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes barnet ved individuelt behov.

Sundhedsministeren kan efter den gældende bestemmelse i § 157 a, stk. 11, 1. pkt., fastsætte nærmere regler om Statens Serum Instituts adgang efter stk. 6. Det følger af § 1 i bekendtgørelse nr. 445 af 7. maj 2014, at adgangen for Statens Serum Institut efter sundhedslovens § 157 a, stk. 6, til oplysninger i Det Danske Vaccinationsregister (DDV) med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov, omfatter adgang til oplysninger om personnummer, navn, adresse og alment praktiserende læge for børn under 15 år, og oplysninger om navn og adresse på den eller dem, der har forældremyndighed over barnet, eller den forælder/de forældre som barnet har adresse hos, samt oplysninger om vaccinationer, som barnet er registreret som modtager af.

Det foreslås med lovforslagets § 1, nr. 12, at ændre § 157 a, stk. 6, således at Statens Serum Institut har adgang til oplysninger i vaccinationsregistret bl.a. med henblik på at udsende påmindelser om vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes barnet ved individuelt behov.

Virkningen af forslaget er, at Statens Serum Institut både - som instituttet kan i dag - har adgang til de nævnte oplysninger til brug for at udsende påmindelser om manglende vaccinationer efter det anbefalede vaccinationstidspunkt og - som noget nyt - også har adgang til de nævnte oplysninger til brug for at udsende påmindelser før det tidspunkt, hvor et barn anbefales at blive vaccineret ifølge det danske børnevaccinationsprogram og med henblik på at sende påmindelser som opfølgning i tilfælde, hvor vaccinationerne ikke er givet inden for et vist tidsrum.

Til nr. 13.

Det følger af § 157 a, stk. 11, 1. pkt., at sundhedsministeren fastsætter nærmere regler om Statens Serum Instituts adgang efter stk. 6 til oplysninger i registeret med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov. Det følger endvidere af § 157 a, stk. 11, 2. pkt., at ministeren fastsætter bestemmelser om Statens Serum Instituts udsendelse af påmindelser.

Der er i medfør af bemyndigelsesbestemmelsen i § 157 a, stk. 11, 1. pkt., fastsat regler om Statens Serum Instituts adgang til oplysninger i Det Danske Vaccinationsregister, der er nødvendige for at kunne identificere børn, der mangler at modtage en eller flere af de vaccinationer, som indgår i det danske børnevaccinationsprogram. Der henvises i den forbindelse til lovforslagets § 1, nr. 12.

Det foreslås, at § 157 a, stk. 11, 1. pkt., ændres, således at det fastsættes, at sundhedsministeren fastsætter nærmere regler om Statens Serum Instituts adgang efter stk. 6 til oplysninger i registeret med henblik på at udsende påmindelser ved vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov.

Med forslaget udvides bemyndigelsesbestemmelsen således, at ministeren kan fastsætte regler om, at Statens Serum Institut kan indhente de samme oplysninger med henblik på at udsende påmindelser om vaccination - ikke blot ved man?glende vaccination.

Det er hensigten at udmønte den foreslåede udvidelse af bemyndigelsesbestemmelsen i § 157 a, stk. 11, 1. pkt., til at fastsætte regler om, at Statens Serum Institut kan indhente oplysninger med henblik på at udsende påmindelser før hver enkelt af de anbefalede tidspunkter for vaccinationer samt med henblik på at sende påmindelser som opfølgning i tilfælde, hvor vaccinationerne ikke er givet inden for et vist tidsrum.

Som en konsekvens af den foreslåede ændring af § 157 a, stk. 11, 1. pkt., vil ministeren i medfør af den gældende bestemmelse i § 157 a, stk. 1, 2. pkt., fremadrettet også kunne fastsætte bestemmelser om, at Statens Serum Institut kan udsende påmindelser før de anbefalede vaccinationer. Det bemærkes i forlængelse heraf, at det er hensigten at fastsætte bestemmelser i medfør af den gældende bestemmelse i § 157 a, stk. 1, 2. pkt., om, at Statens Serum Institut udsender sådanne påmindelser.

Til nr. 14.

Det følger af § 158, stk. 2, at sundhedsministeren fastsætter nærmere regler om, hvilke vaccinationer efter § 158, stk. 1, der er omfattet af loven, herunder om hvilke sygdomme der skal tilbydes vaccination mod, hvilke persongrupper der skal tilbydes vaccination, og hvilke læger der skal kunne foretage vaccination efter loven.

Det foreslås at indsætte et nyt stk. 3 i § 158, hvorefter sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af stk. 2, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling, samt hvilke oplysninger regionerne skal indberette til de centrale sundhedsmyndigheder i forbindelse med refusion for afholdte udgifter til vaccinationer.

Der vil i medfør af den foreslåede bemyndigelsesbestemmelse blive fastsat regler om størrelsen af betalingen til læger for udførte vaccinationer, når en vaccination eller læge ikke er omfattet af overenskomstaftale mellem Regionernes Lønnings- og Takstnævn (RLTN) og Praktiserende Lægers Organisation (PLO).

Der vil desuden blive fastsat regler om oplysninger, som den vaccinerende læge er forpligtet til at indberette i forbindelse med anmodning om betaling fra regionen for vaccinationer. Der vil blive fastsat bestemmelser, som svarer til de oplysninger, som den vaccinerende læge ifølge skrivelsen om influenzavaccinationer bør indberettes til regionen i forbindelse med en betaling. Det omfatter således bl.a. oplysninger om vaccinationstidspunkt, den indgivne vaccine, den vaccinerede navn, CPR-nummer og bopælsregion samt oplysninger om den læge, som har udført vaccinationen, eller den læge på hvis ansvar, vaccination er foretaget m.v.

For vaccinationer, som gives i medfør af bekendtgørelse om influenzavaccinationer, vil der desuden blive fastsat regler om oplysninger, som regionen er forpligtet til at indberette til staten i forbindelse med krav om refusion. Oplysningerne vil svare til de oplysninger, som regionerne bør indberette til staten, jf. pkt. 2 i skrivelsen om influenzavaccinationer. Det omfatter oplysninger om antal personer i de enkelte persongrupper, som er berettiget til gratis vaccination i medfør af bekendtgørelsen og oplysninger, om hvor mange vaccinationer, der er givet hhv. i hjemmet og i en klinik m.v. Der henvises til punkt 3.1.2 i lovforslagets almindelige bemærkninger vedrørende gældende regler om betaling for vaccinationer.

Til nr. 15.

Det følger af § 158 a, stk. 1, at Sundhedsstyrelsen beslutter, om der til nærmere afgrænsede persongrupper skal tilbydes tilskud til køb af vaccine. Det følger endvidere af § 158 a, stk. 4, at sundhedsministeren fastsætter nærmere regler om meddelelse og tilbagekaldelse af tilskud efter stk. 1-3 samt om, hvilke oplysninger en ansøgning om tilskud til en vaccine skal indeholde.

Med lovforslagets § 1, nr. 15, foreslås indsat et nyt stk. 5 i § 158 a, hvorefter sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af § 158 a, stk. 1, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling.

Forslaget svarer til forslaget om, at sundhedsministeren bemyndiges til at fastsætte nærmere regler om betaling til læger for udførte vederlagsfri vaccinationer i medfør af sundhedslovens § 158, stk. 1. Der henvises i den forbindelse til lovforslagets § 1, nr. 14.

Der vil således i medfør af den foreslåede bemyndigelsesbestemmelse blive fastsat regler om størrelsen af betalingen til læger for udførte vaccinationer, når en vaccination eller læge ikke er omfattet af overenskomstaftale mellem RLTN og PLO.

Der vil desuden blive fastsat regler om oplysninger, som den vaccinerende læge er forpligtet til at indberette i forbindelse med anmodning om betaling hos regionen. Der vil blive fastsat bestemmelser, som svarer til de oplysninger, en læge er forpligtet til at afgive i forbindelse med betaling for vaccinationer i medfør af § 158, jf. lovforslagets § 1, nr. 14.

Til nr. 16.

Det følger af sundhedslovens § 193 b, stk. 1, at sundhedsministeren kan udpege en myndighed, der er dataansvarlig for et elektronisk indeks (Nationalt Patientindeks) over registreringer af de enkelte borgeres helbredsoplysninger.

Det følger af bemærkningerne til § 193 b, jf. Folketingstidende 2011-12, A, L 139 som fremsat den 29. marts 2012, side 10, at NPI alene kan indeholde metadata om de data, der er registreret i kildesystemerne. NPI er således et indeks, der indeholder metadata om de oplysninger, der er registreret i kildesystemet. Metadata i NPI er data om data, og NPI indeholder derfor ikke faktiske oplysninger om borgerens helbredsforhold, men blot en oplysning om, at en oplysning findes, og hvor den er opbevaret (kildesystem). Et eksempel på dette er en oplysning i NPI om, at der findes målinger af en given patients blodtryk, og at denne måling kan findes i KIH Databasen, som er en national hjemmemonitoreringsdatabase. Det vil ikke fremgå af NPI, hvad målingen af blodtrykket viser.

Det følger af § 193 b, stk. 2, at indhentning af oplysninger i indekset foretages efter reglerne i sundhedslovens §§ 42 a-42 c.

Efter § 193 b, stk. 3, kan Sundhedsdatastyrelsen behandle oplysninger i NPI, herunder indhente oplysninger til brug for præsentation i indekset i de kildesystemer, der er tilknyttet NPI efter bestemmelsens stk. 4, nr. 2. Sundhedsministeren er efter § 193 b, stk. 4 bemyndiget til at kunne fastsætte regler om, hvilke oplysninger der må registreres i indekset, hvilke kildesystemer der må tilknyttes indekset, pligt til sletning af registrerede oplysninger og om den registreredes adgang til de oplysninger, der er registreret om vedkommende samt logoplysninger. Denne bemyndigelse er udmøntet ved bekendtgørelse nr. 39 af 12. januar 2018 om registrering af de enkelte borgeres aftaler i sundhedsvæsenet i Nationalt Patientindeks (NPI) (aftalebekendtgørelsen) samt bekendtgørelse nr. 378 af 28. april 2018 om registrering af metadata om den enkelte borgers patientrapporterede oplysninger (PRO-data) og selvmålte data i Nationalt Patientindeks (NPI) (PRO-bekendtgørelsen).

NPI indeholder ikke en brugergrænseflade, som kan tilgås direkte af sundhedspersoner eller borgere selv. Når sundhedspersonen foretager en søgning, sker dette derfor i sundhedspersonens eget anvendersystem, der herefter foretager søgningen i NPI. Herefter udstilles de oplysninger, der er fremsøgt via NPI, til sundhedspersonen via Sundhedsjournalen, mens borgere kan tilgå oplysningerne via sundhed.dk.

I medfør af aftalebekendtgørelsen må NPI indeholde oplysninger om de enkelte borgeres aftaler i sundhedsvæsenet. I medfør af PRO-bekendtgørelsen må NPI indeholde oplysninger vedrørende den enkelte borgers spørgeskemasvar og selvmålte data. Sundhedsministeren kan i medfør af bemyndigelsesbestemmelsen i § 193 b, stk. 4, fastsætte regler, der fastlægger hvilke yderligere oplysninger, der må registreres i NPI. Dette kunne eksempelvis være medicinoplysninger fra Det Fælles Medicinkort, vaccinationsoplysninger i Det Danske Vaccinationsregister, henvisninger eller oplysninger i Donorregisteret.

Der henvises i øvrigt til punkt 2.1.3 i de almindelige bemærkninger for en beskrivelse af den gældende bestemmelse i § 193 b.

Det foreslås at nyaffatte § 193 b.

Det foreslås med indsættelse af § 193 b, stk. 1, at Sundhedsdatastyrelsen skal være ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold og andre fortrolige oplysninger. Bestemmelsen giver således Sundhedsdatastyrelsen hjemmel til, som dataansvarlig, at drive en fælles digital infrastruktur med udvalgte helbredsoplysninger og andre fortrolige oplysninger. De oplysninger, der må opbevares i den fælles digitale infrastruktur, kan fastsættes af ministeren ved udmøntning af den foreslåede § 193 b, stk. 3, nr. 1. Se bemærkninger til denne nedenfor.

»Fælles digital infrastruktur« skal forstås som en samlet betegnelse for en række tekniske komponenter og services, der tilsammen understøtter sikker deling af informationer i sundhedsvæsenet. Den fælles digitale infrastruktur muliggør samtidig, at borgerne tilbydes mulighed for at tilkendegive deres ønsker om begrænsninger i delingen, ligesom de vil kunne få indblik i, hvornår deres oplysningerne er blevet behandlet. Den fælles digitale infrastruktur skal ses i sammenhæng med eksisterende løsninger, som f.eks. MinLog, Dokumentdelingsservice og NPI, og infrastrukturen vil skulle fungere parallelt og i samspil med disse.

I infrastrukturen kan oplysninger fra sundhedsvæsenets lokale kildesystemer, eksempelvis en elektronisk patientjournal, afleveres til centrale datakilder (f.eks. eJournal, Aftaleo?verblik eller Det Fælles stamkort), til borgerservices (såsom MinLog og MinSpærring) eller til de tekniske services, der blandt andet varetager sikkerhed, kryptering og transport af data.

Inden for rammerne af den foreslåede formålsbegrænsning i forslaget til § 193 b, stk. 2, vil Sundhedsdatastyrelsen få mulighed for som led i driften af den fælles digitale infrastruktur, at samkøre de oplysninger, der tilgår Sundhedsdatastyrelsen fra forskellige informationskilder, herunder patientjournaler, registre, databaser m.v.

Med den foreslåede ordning er det hensigten at bibeholde muligheden for at drive Nationalt Patientindeks (NPI) som fastsat ved lov nr. 603 af 18. juni 2012, idet der dog med forslaget samtidig gives Sundhedsdatastyrelsen bedre mulighed for at opbevare og udstille oplysninger om helbredsoplysninger for borgere og sundhedspersoner til brug for aktuel patientbehandling. Den foreslåede bestemmelse er således ikke en udvidelse af NPI, men et forslag om en etablering af en fælles digital infrastruktur, hvor NPI skal indgå som komponent.

Som beskrevet ovenfor er NPI et indeks, der indeholder metadata om de oplysninger, der er registreret i kildesystemet. I praksis kræver deling af oplysninger på tværs af aktører i sundhedsvæsenet i en samlet fælles infrastruktur både hjemmel til at opbevare metadata i NPI, som i dag findes i sundhedslovens § 193 b, og hjemmel til at opbevare faktiske oplysninger og udstille disse, hvilket der ikke er hjemmel til i dag. Ved udstille forstås at stille oplysninger til rådighed digitalt for sundhedspersoner og patienter gennem en brugergrænseflade. Ved kildedata forstås faktiske oplysninger, der opbevares i ét af sundhedsvæsnets kildesystemer. Det er derfor hensigten, at den foreslåede ordning giver hjemmel til opbevaring og behandling af både metadata og faktiske helbredsoplysninger. Med den foreslåede ordning udvides Sundhedsdatastyrelsens hjemmel til at opbevare og udstille helbredsoplysninger m.v.

Det er hensigten, at oplysninger fra den fælles digitale infrastruktur - i medfør af den foreslåede § 193 b, stk. 1 - vil blive udstillet på en eller flere brugergrænseflader, hvor sundhedspersoner eller borgere selv kan tilgå de registrerede oplysninger.

Det er blandt andet hensigten, at den fælles offentlige sundhedsportal sundhed.dk kan udgøre brugergrænsefladen for borgeren selv. Sundhed.dk vil desuden kunne anvendes som brugergrænseflade for de sundhedspersoner, for hvem det er hensigtsmæssigt at kunne tilgå den fælles digitale infrastruktur via sundhed.dk. For andre sundhedspersoner kan der efter behov udvikles andre brugergrænseflader, mens sundhedspersoners anvendersystemer i mange tilfælde vil kunne udgøre brugergrænsefladen.

I dag sker der visning af helbredsoplysninger på sundhed.dk fra flere af sundhedsvæsenets kildesystemer, blandt andet fra de fem regioners E-journal, Det Fælles Medicinkort (FMK), som Sundhedsdatastyrelsen er dataansvarlig myndighed for, og vaccinationsoplysninger, som Statens Serum Institut er dataansvarlig myndighed for. Disse visninger sker på grundlag af databehandleraftaler mellem de dataansvarlige myndigheder og sundhed.dk. Efter etableringen af den fælles digitale infrastruktur, vil der fortsat - som det er tilfældet i dag - kunne ske visning af helbredsoplysninger på sundhed.dk fra forskellige kildesystemer i sundhedsvæsenet på grundlag af databehandleraftaler mellem de forskellige dataansvarlige myndigheder og sundhed.dk, ligesom der vil kunne ske visning af oplysninger fra den fælles digitale infrastruktur på grundlag af databehandleraftaler mellem Sundhedsdatastyrelsen og sundhed.dk.

Forslaget vil medføre, at Sundhedsdatastyrelsen bliver ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold og andre fortrolige oplysninger, herunder journaloplysninger, stamoplysninger, samtykker og tilkendegivelser om behandling af oplysninger m.v. Dette medfører, at Sundhedsdatastyrelsen efter den foreslåede ordning vil kunne opbevare, behandle og udstille faktiske oplysninger fra kilder på tværs af sundhedsvæsenets sektorer. Den foreslåede bestemmelse indebærer dermed en udvidelse i forhold til den gældende bestemmelse i § 193 b, der alene giver mulighed for at opbevare metadata.

Det foreslås med lovforslagets § 193 b, stk. 2, at de oplysninger, der udveksles og registreres i den fælles digitale infrastruktur, kun må behandles, hvis det er nødvendigt med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt. Ved sundhedssektoren forstås den primære sektor, den sekundære sektor og de centrale sundhedsmyndigheder.

De nævnte formål, som vedrører forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester, svarer til de formål, der er nævnt i databeskyttelseslovens § 7, stk. 3.

Den foreslåede formålsbegrænsning vil indebære, at behandling af oplysninger, der tilgår Sundhedsdatastyrelsens fælles digitale infrastruktur, underlægges mere restriktive regler, end de regler der gælder for behandling af sådanne oplysninger i de lokale kildesystemer. Oplysninger om helbredsmæssige forhold, der udveksles og registreres i Sundhedsdatastyrelsens fælles digitale infrastruktur, må således kun behandles, herunder videregives, til de formål, der følger af bestemmelsen.

Det betyder eksempelvis, at Sundhedsdatastyrelsen ikke i alle tilfælde kan behandle oplysninger med hjemmel i databeskyttelsesforordningens artikel 9, stk. 2, litra f, hvoraf det bl.a. fremgår, at behandling af følsomme oplysninger, herunder oplysninger om helbredsmæssige forhold, kan ske, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, i f.eks. en forsikrings- eller pensionssag. Den lovbestemte formålsbegrænsning vil dog ikke være til hinder for, at Sundhedsdatastyrelsen videregiver oplysninger til brug for behandling af klage- og erstatningssager i medfør af lov om klage- og erstatningsadgang inden for sundhedsvæsenet eller til brug for Styrelsen for Patientsikkerheds varetagelse af tilsynsopgaver efter autorisationsloven eller sundhedsloven. Det bemærkes i den forbindelse, at behandling af klage- og erstatningssager inden for sundhedsvæsenet er væsentlig i forhold til at sikre patienternes retsstilling.

Den foreslåede formålsbegrænsning er ikke til hinder for, at Sundhedsdatastyrelsen kan foretage politianmeldelse ved mistanke om, at sundhedspersoner eller andre personer uberettiget har indhentet eller videregivet oplysninger, der er opbevaret i den fælles digitale infrastruktur. Formålsbegrænsningen er heller ikke til hinder for, at oplysninger, som opbevares i den fælles digitale infrastruktur, vil kunne udleveres til politiet efter retsplejelovens regler om edition i forbindelse med politiets efterforskning af en lovovertrædelse, der er undergivet offentlig påtale. Afgørelse om pålæg om edition træffes som udgangspunkt af retten ved kendelse. Det skal i den forbindelse understreges, at der heri alene ligger, at Sundhedsdatastyrelsen i disse tilfælde ikke udelukkes fra at videregive oplysninger fra den fælles digitale infrastruktur til de nævnte myndigheder m.v., såfremt betingelserne i lovgivningen for videregivelse af oplysningerne i øvrigt er opfyldt. De pågældende myndigheder m.v. (Styrelsen for Patientsikkerhed, politi osv.) vil således ikke få adgang til på egen hånd at indhente helbredsoplysninger m.v. i den fælles digitale infrastruktur. De vil alene - hvis betingelserne herfor er opfyldt - kunne få oplysningerne videregivet.

Den foreslåede formålsbegrænsning vil indebære, at oplysninger, der opbevares i Sundhedsdatastyrelsens fælles digitale infrastruktur, ikke kan behandles, herunder videregives, til brug for fastlæggelse af et retskrav i en forsikrings- eller pensionssag. Som et andet eksempel kan nævnes, at oplysningerne - som følge af formålsbegrænsningen - ikke vil kunne videregives til arbejdsgivere med det formål at få belyst en lønmodtagers arbejdsdygtighed, herunder f.eks. om en lønmodtager lider eller har lidt af en sygdom eller er i risiko for at udvikle en sygdom, der kan få betydning for lønmodtagerens arbejdsdygtighed.

Det bemærkes, at det allerede i dag følger af lov om forsikringsaftaler (forsikringsaftaleloven), at forsikringsselskaber ikke må anmode om, indhente eller modtage og bruge oplysninger, der kan belyse en persons arveanlæg og risiko for at udvikle eller pådrage sig sygdomme. Det bemærkes endvidere, at helbredsoplysningsloven ligeledes allerede i dag begrænser arbejdsgiveres adgang til at indhente helbredsoplysninger.

Den foreslåede lovbestemte formålsbegrænsning i § 193 b, stk. 2, fastsætter imidlertid en yderligere begrænsning i forhold til forsikringsaftaleloven og helbredsoplysningsloven, idet den foreslåede bestemmelse helt generelt forhindrer behandling af oplysninger om helbredsmæssige forhold, der er tilgået Sundhedsdatastyrelsens fælles digitale infrastruktur, til andre formål end de formål, der følger af bestemmelsen.

Den foreslåede formålsbegrænsning vil desuden indebære, at oplysninger, der opbevares i Sundhedsdatastyrelsens fælles digitale infrastruktur, ikke kan behandles, herunder videregives, til brug for forskning og statistik.

Det bemærkes i den forbindelse, at det fremgår af databeskyttelseslovens § 10, stk. 1, at oplysninger, som er nævnt i databeskyttelsesforordningens artikel 9, stk. 1, og artikel 10, herunder f.eks. helbredsoplysninger m.v., må behandles, hvis dette alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning, og hvis behandlingen er nødvendig af hensyn til udførelsen af undersøgelsen. Den foreslåede formålsbegrænsningsbestemmelse vil således bl.a. indebære, at databeskyttelseslovens § 10 ikke finder anvendelse på de oplysninger, der opbevares i den fælles digitale infrastruktur. Den foreslåede formålsbegrænsningsbestemmelse indebærer desuden, at oplysninger, som er opbevaret i den fælles digitale infrastruktur, heller ikke vil kunne videregives efter sundhedslovens §§ 46-48, som vedrører videregivelse af helbredsoplysninger m.v. fra patientjournaler m.v. til brug for forskning og statistik.

Det bemærkes, at formålsbegrænsningsbestemmelsen ikke gælder for de underliggende kildesystemer, herunder patientjournaler, registre m.v. Der ændres således ikke med lovforslaget på mulighederne for at få videregivet oplysninger fra underliggende kildesystemer efter f.eks. forsikringsaftaleloven m.v., ligesom der fortsat vil kunne behandles helbredsoplysninger, der stammer fra sundhedsvæsenets kildesystemer til forskningsmæssige og statistiske formål i overensstemmelse med databeskyttelseslovens og sundhedslovens bestemmelser om forskning og statistik.

En patient vil ikke kunne meddele samtykke til, at Sundhedsdatastyrelsen behandler oplysninger i den fælles digitale infrastruktur til formål, der ligger uden for de formål, der er nævnt i bestemmelsen.

Det bemærkes, at den registreredes rettigheder efter databeskyttelsesforordningen ikke vil blive berørt af den lovbestemte formålsbegrænsning. Det vil sige, at den foreslåede formålsbegrænsning eksempelvis ikke vil forhindre den registrerede i at få indsigt i vedkommendes oplysninger. Det bemærkes endvidere, at formålsbegrænsningen ikke er til hinder for, at Sundhedsdatastyrelsen som dataansvarlig kan behandle oplysninger i den fælles digitale infrastruktur, som led i Sundhedsdatastyrelsens vedligeholdelse og drift af den fælles digitale infrastruktur.

Med de begrænsninger, der følger af den foreslåede lovbestemte formålsbegrænsning, vil Sundhedsdatastyrelsens behandling af oplysninger i den fælles digitale infrastruktur skulle ske inden for rammerne af gældende lovgivning, herunder også databeskyttelsesforordningen.

Det indebærer bl.a., at Sundhedsdatastyrelsen vil skulle behandle oplysninger i den fælles digitale infrastruktur i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5. Sundhedsdatastyrelsen skal i den forbindelse sikre, at de oplysninger, der registreres i den fælles digitale infrastruktur, opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Sundhedsdatastyrelsen vil som dataansvarlig for de oplysninger, der registreres i den fælles digitale infrastruktur, være forpligtet til at overholde kravene til behandlingssikkerhed, som følger af databeskyttelsesforordningen.

Udgangspunktet efter databeskyttelsesforordningen er, at behandling af personoplysninger er forbundet med risici for fysiske personers rettigheder og frihedsrettigheder. Princippet er herefter, at der skal etableres et sikkerhedsniveau, som passer til disse risici ved hjælp af passende tekniske og organisatoriske foranstaltninger, som skal gennemføres af den dataansvarlige og eventuelle databehandlere. Men databeskyttelsesforordningen foreskriver ikke, hvilke præcise foranstaltninger der skal træffes. Valget ligger, ifølge forordningens artikel 32, i første række hos den dataansvarlige og eventuelle databehandlere.

Sundhedsdatastyrelsen vil således som dataansvarlig bl.a. ud fra en vurdering af oplysningernes følsomme karakter, omfanget af behandlingerne og den risiko for enkelte personers rettigheder og frihedsrettigheder, som behandlingen af oplysningerne indebærer, skulle fastsætte et passende sikkerhedsniveau.

Henset hertil vurderer Sundheds- og Ældreministeriet, at Sundhedsdatastyrelsen vil skulle foretage en konsekvensanalyse i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 35. Sundheds- og Ældreministeriet vurderer endvidere, at Sundhedsdatastyrelsen vil skulle sikre et højt databeskyttelsesniveau bl.a. gennem design og standardindstillinger og gennem anvendelse af relevante informationssikkerhedsteknologier, herunder f.eks. pseudonymisering, anonymisering og kryptering af oplysninger. Sundhedsdatastyrelsen vil skulle sikre sig, at der gennem systemtekniske foranstaltninger kun gives adgang til den fælles digitale infrastruktur til de personer, der efter den foreslåede § 42 a har retlig adgang hertil. Sundhedsdatastyrelsen vil endvidere skulle sikre sig, at de oplysninger, der udstilles på en brugergrænseflade, gennem design er granuleret på en måde, der sikrer, at der kun gives adgang til relevante oplysninger ,og der ikke bliver udstillet oplysninger, der ikke er relevante i den pågældende behandlingssituation. Sikkerhedsniveauet vil i øvrigt løbende skulle tilpasses de aktuelle risici.

For en gennemgang af reglerne i databeskyttelsesforordningen henvises til punkt 2.1.5 i de almindelige bemærkninger.

Da den fælles digitale infrastruktur er at betragte som et elektronisk system, bemærkes det, at indhentning af oplysninger i den fælles digitale infrastruktur, som nævnt i den foreslåede § 193, b, stk. 1, foretages efter regler fastsat i den foreslåede §§ 42 a-b. For en beskrivelse af den foreslåede ændring af §§ 42 a-b henvises til punkt 2.2.2 i de almindelige bemærkninger, samt bemærkningerne til lovforslagets § 1, nr. 3-6. Det bemærkes, at Sundhedsdatastyrelsens behandling af oplysninger i den fælles digitale infrastruktur følger af, at Sundhedsdatastyrelsen er dataansvarlig for den fælles digitale infrastruktur. Sundhedsdatastyrelsen kan således indhente oplysninger i den fælles digitale infrastruktur blandt andet som led i den generelle drift af infrastrukturen, herunder ved at foretage analyser af data, herunder logdata, i forbindelse med Sundhedsdatastyrelsens administrative forvaltning i forbindelse med f.eks. fejlsøgning, optimering, belastningsanalyse m.v., og inden for rammerne af den foreslåede formålsbegrænsningsbestemmelse i § 193 b, stk. 2.

I praksis kan sundhedspersoner i dag indhente oplysninger om patienter andre steder end i deres egne kildesystemer, eksempelvis via sundhed.dk. Det bemærkes, at hvis en sundhedsperson via sundhed.dk - eller andre portaler til visning af helbredsoplysninger - indhenter helbredsoplysninger m.v. fra et elektronisk kildesystem, der er omfattet af sundhedslovens § 42 a, skal reglerne i de foreslåede bestemmelser i §§ 42 a og b følges. Det indebærer bl.a., at den dataansvarlige myndighed for de oplysninger, der udstilles på eksempelvis sundhed.dk, er ansvarlig for at sikre, at kun de personer, der er omfattet af § 42 a, har adgang til at indhente oplysninger via sundhed.dk. For visse typer oplysninger der udstilles på sundhed.dk, f.eks. oplysninger fra Fælles Medicinkort, gælder der særlige regler. I disse tilfælde er det tilsvarende den dataansvarlige myndigheds ansvar at sikre, at kun de personer, der er berettiget til at indhente oplysninger efter disse regler, har adgang til at indhente oplysningerne via sundhed.dk.

Det foreslås med indsættelsen af § 193 b, stk. 3, nr. 1, at sundhedsministeren bemyndiges til at fastsætte nærmere regler om, hvilke oplysninger der må registreres og udveksles i den fælles digitale infrastruktur. Det er hensigten at udmønte bestemmelsen til at fastsætte regler om, at den fælles digitale infrastruktur skal indeholde oplysninger om de enkelte borgeres helbredsforhold og andre fortrolige oplysninger.

Ved helbredsforhold skal forstås oplysninger om vedkommendes fysiske eller mentale helbred, kontakt med og levering af ydelser inden for sundhedsvæsenet m.v.

Det er bl.a. hensigten at fastsætte, at journaloplysninger må opbevares i den fælles digitale infrastruktur. I det omfang andre fortrolige oplysninger end helbredsoplysninger fremgår af patientjournalen, må disse også registreres i den fælles digitale infrastruktur, i det omfang det er nødvendigt til brug for aktuel behandling. Dette kan være oplysninger om pårørende, f.eks. om forhold, der forhindrer en ægtefælles mulighed for at yde pleje eller foretage løft af patienten, eller oplysninger om patientens behov for døvetolkebistand.

Det er endvidere hensigten at fastsætte regler om, at den fælles digitale infrastruktur skal indeholde oplysninger, der skal understøtte etableringen af et patientoverblik, der skal sikre en bedre sammenhæng i patientbehandlingen og i arbejdsgange for sundhedspersoners m.fl. Patientoverblikket vil blandt andet kunne indeholde patientens stamoplysninger, aftaleoversigt, planer og indsatser, patientrapporterede oplysninger (PRO-data) og oplysninger om diagnoser m.v. Den fælles digitale infrastruktur vil også kunne indeholde og løbende blive suppleret med andre oplysninger om patienten, der er relevante at kunne indhente i forbindelse med og til brug for aktuel behandling af patienten samt kan give patienten et sammenhængende overblik over vedkommendes behandlingsforløb, herunder oplysninger fra Det Fælles Medicinkort, Det Danske Vaccinationsregister m.v. En videregivelse af oplysninger fra Det Fælles Medicinkort og Det Danske Vaccinationsregister vil dog i tillæg til en udmøntning af den foreslåede § 193 b, stk. 3, kræve en udmøntning af henholdsvis sundhedslovens § 157, stk. 15, og § 157 a, stk. 12.

Det er således ikke hensigten, at fortrolige oplysninger, der hidrører fra andre systemer end sundhedsvæsenets elektroniske systemer, må opbevares i den fælles digitale infrastruktur. Det er endvidere ikke hensigten at udskrivningsbreve (epikriser) skal indgå i den fælles digitale infrastruktur, da epikriser sendes fra én læge til en anden, når patienter afsluttes fra behandlingssteder, eksempelvis sygehus, klinikker og ved ambulant behandling. Hjemlen til at videregive udskrivningsbreve (epikriser) følger af sundhedslovens § 41, stk. 2, nr. 2 og 3. Det er heller ikke hensigten, at rent private oplysninger givet i fortrolighed, og som ikke i almindelighed vurderes at have relevans for et fortsat patientbehandlingsforløb, må opbevares i den fælles digitale infrastruktur.

Ved fastsættelsen af regler om, hvilke bestemte typer oplysninger, som vil skulle registreres og kunne udveksles i den fælles digitale infrastruktur, vil der således blive lagt vægt på, om oplysningerne er relevante at indhente for andre sundhedspersoner inden for sundhedsvæsenet til brug for fortsat patientbehandling. Rent private oplysninger, som ikke er relevante for behandlingen, og som er givet til en sundhedsperson (f.eks. patientens egen læge eller sygehuslægen) i fortrolighed, vil således ikke skulle registreres i den fælles digitale infrastruktur.

Det bemærkes, at der ved fastlæggelsen af, hvilke oplysninger der skal indgå i den fælles digitale infrastruktur, vil ske inddragelse af fagligt relevante aktører. Der vil således blive tilstræbt bred faglig enighed om relevansen og nødvendigheden af de udvalgte oplysninger.

Det foreslås med § 193 b, stk. 3, nr. 2, at bemyndige sundhedsministeren til at fastsætte regler om pligt til opbevaring og sletning i den fælles digitale infrastruktur. Det er hensigten at fastsætte, at Sundhedsdatastyrelsen skal opbevare oplysninger i det tidsrum, der er fastsat af sundhedsministeren jf. nedenfor om sletning. Det er ligeledes hensigten at fastsætte regler om pligt til sletning af registrerede oplysninger i den fælles digitale infrastruktur, herunder hvornår oplysningerne skal slettes.

Fastsættelse af slettefristen vil ske i overensstemmelse med databeskyttelsesforordningens artikel 5, hvoraf det følger, at oplysninger ikke må opbevares længere, end det er nødvendigt. Vurderingen af, hvor længe oplysninger skal opbevares i den fælles digitale infrastruktur, skal derfor foretages på baggrund af en proportionalitetsafvejning. Denne skal ske under hensyntagen til sundhedspersoners m.fl. behov for adgang til specifikke oplysninger for at understøtte arbejdsgangene og den aktuelle patientbehandling på den ene side, og hensynet til patientens ret til privatliv på den anden side.

Vurderingen kan være forskellig afhængig af, hvilke typer af oplysninger, der er tale om, og sundhedsministeren kan derfor efter forslaget fastsætte regler om sletning med forskellige frist for forskellige typer af oplysninger. Eksempelvis vil oplysninger om aftaler i sundhedsvæsenet kunne få en kortere slettefrist end oplysninger om diagnoser.

Det bemærkes, at sundhedsministeren, af hensyn til patientsikkerheden, således ikke bemyndiges til at kunne fastsætte regler om den registreredes adgang til sletning af oplysninger i den fælles digitale infrastruktur. Det bemærkes i den forbindelse, at retten til at få slettet oplysninger, jf. databeskyttelsesforordningens artikel 17, stk. 3, ikke gælder, hvis behandlingen af personoplysningerne er nødvendig for at overholde en retlig forpligtelse, der følger af medlemsstaternes nationale ret, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Retten til at få slettet oplysninger gælder heller ikke i det omfang behandlingen er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 9, stk. 2, litra h og i, samt artikel 9, stk. 3.

Sundhedsdatastyrelsen vil skulle behandle anmodninger om at få slettet personoplysninger i overensstemmelse med databeskyttelsesforordningens regler. De ovennævnte undtagelser fra retten til at få slettet sine personoplysninger - herunder bl.a. hvis behandlingen er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet - vurderes at ville betyde, at Sundhedsdatastyrelsen i meget få tilfælde vil være forpligtet til at slette personoplysninger om registrerede personer i Sundhedsdatastyrelsens fælles digitale infrastruktur, da det vurderes, at sundhedspersoners adgang til patientens oplysninger på tværs af sundhedsvæsenet er afgørende af hensyn til varetagelse af folkesundhedsområdet.

Det bemærkes i den forbindelse, at det følger af lovforslagets § 1, nr. 3, vedrørende den foreslåede § 42 a, stk. 5, at borgeren kan frabede sig indhentning af helbredsoplysninger m.v. i den fælles digitale infrastruktur. Der henvises til bemærkningerne til lovforslagets § 1, nr. 3 vedrørende § 42 a, stk. 5, samt lovforslagets § 1, nr. 4-6, vedrørende § 42 b, for en uddybning af borgerens mulighed for frabedelse af indhentning af helbredsoplysninger i den fælles digitale infrastruktur.

Det foreslås endvidere med lovforslagets foreslåede § 193 b, stk. 3, nr. 3, at sundhedsministeren kan fastsætte regler om den registreredes adgang til at se de registrerede oplysninger. Det er hensigten at fastsætte regler om, at borgere skal have digital adgang til deres samlede patientoverblik, således at de her kan se, hvilke datakilder der indgår i overblikket. Det bemærkes, at den registrerede har indsigtsret efter databeskyttelsesforordningens artikel 15. Det er således ikke hensigten, at bestemmelsen skal kunne benyttes til at indskrænke den registreredes indsigtsret efter databeskyttelsesforordningen.

Med § 193 b, stk. 3, nr. 4, bemyndiges sundhedsministeren endvidere til at fastsætte nærmere regler om den registreredes direkte elektroniske adgang til registrering (logning) af anvendelser af de registrerede oplysninger. Det er, bl.a. hensigten at fastsætte, at den dataansvarlige skal lave en overskuelig digital oversigt over opslag foretaget i borgerens oplysninger i den fælles digitale infrastruktur. Denne oversigt skal være digitalt tilgængelig for borgeren.

Det bemærkes i den forbindelse, at der i Sundhedsdatastyrelsens systemer og i øvrige sundhedssystemer dagligt sker en lang række transaktioner mellem systemerne af teknisk og automatiseret karakter. Hver af disse transaktioner registreres i logs, der bl.a. bruges til revision, fejlsøgning mm. Den samlede log over aktiviteter af teknisk karakter kan bestå af flere tusinde registreringer og giver dermed ikke et informativt og brugervenligt billede af anvendelser af borgerens registrerede oplysninger. Det er således ikke hensigten, at alle tekniske logoplysninger for hver anvendelse af de registrerede oplysninger skal udstilles for borgeren, men alene en overskuelig og enkel opgørelse af de konkrete anvendelser, der foretages.

Sundhedsdatastyrelsen vil, som det også er tilfældet i dag i relation til FMK, overvåge og føre tilsyn med loggen. Såfremt Sundhedsdatastyrelsen herigennem får mistanke om, at en sundhedsperson har foretaget et uberettiget opslag i en patients oplysninger, kan Sundhedsdatastyrelsen starte en undersøgelse af sagen, herigennem blandt andet kontakte den pågældende sundhedsperson med henblik på at afdække formålet med opslaget. Vurderer Sundhedsdatastyrelsen på denne baggrund, at opslaget var uberettiget, kan Sundhedsdatastyrelsen herefter indgive politianmeldelse af den pågældende sundhedsperson.

Uberettiget indhentning af helbredsoplysninger m.v. i den fælles digitale infrastruktur er strafbart, og vil i øvrigt kunne indebære ansættelsesretlige reaktioner over for den pågældende i form af f.eks. påtale, omflytning til andet arbejde eller afskedigelse. Der henvises til bemærkningerne til lovforslagets § 1, nr. 19.

Det foreslås endvidere med § 193 b, stk. 3, nr. 5, at bemyndige sundhedsministeren til at fastsætte nærmere regler om den dataansvarliges og myndigheders adgang og pligt til indberetning til den fælles digitale infrastruktur, herunder pligt til at opdatere oplysninger hidrørende fra den fælles digitale infrastruktur og korrigere urigtige oplysninger, herunder tekniske krav og formkrav til sådanne indberetninger, opdateringer og korrektioner.

Det er hensigten at fastsætte regler, der forpligter den dataansvarlige for kildesystemet til at indberette de oplysninger fastsat efter den foreslåede § 193 b, stk. 3, nr. 1. Ved indberetning forstås en videregivelse af oplysninger til den fælles digitale infrastruktur.

Det bemærkes, at den fælles digitale infrastruktur vil blive integreret med de lokale systemer, som sundhedspersoner m.fl. benytter i deres daglige arbejde. Når eksempelvis en sundhedsperson har afsluttet sin registrering (f.eks. oprettelse af en ny aftale for patienten) i kildesystemet, vil aftalen automatisk blive overført til den fælles nationale infrastruktur, hvorfra den vil kunne vises til andre sundhedspersoner m.fl., så de har mulighed for at koordinere deres planlægning, ligesom aftalen vises for borgeren selv på sundhed.dk. Den enkelte person vil derfor ikke aktivt skulle foretage sig noget for at indberette data til den fælles digitale infrastruktur.

Det foreslås endvidere med § 193 b, stk. 3, nr. 6, at bemyndige sundhedsministeren til at fastsætte nærmere regler om de tekniske og forretningsmæssige krav vedrørende sundhedspersoner og myndigheders tilslutning til den fælles digitale infrastruktur. Bemyndigelsesbestemmelsen vil kunne benyttes til at fastsætte regler om, at der ved de lokale anvendersystemers integration med den fælles digitale infrastruktur skal ske certificering eller re-certificering af anvendersystemerne af Sundhedsdatastyrelsen. Heri ligger også, at sundhedsministeren vil kunne fastsætte regler om, at Sundhedsdatastyrelsen skal opstille passende certificeringskriterier. Det er hensigten at fastsætte regler om, hvordan Sundhedsdatastyrelsens certificeringskriterier offentliggøres, samt om hvornår der skal ske certificering. Det er endvidere hensigten at fastsætte regler om, at der undtagelsesvis kan dispenseres fra kravet om certificering i en kortere periode. Dette kan eksempelvis være i tilfælde hvor manglende opfyldelse af certificeringskriterier er konstateret, men hvor en passende plan for iværksættelse af opfyldelse er iværksat eller planlagt. Derudover er det hensigten at fastsætte regler om, at Sundhedsdatastyrelsen kan afskære den tekniske adgang til den fælles digitale infrastruktur for lokale anvendersystemer, hvis disse ikke opfylder certificeringskriterierne.

Endelig foreslås det i den foreslåede § 193 b, stk. 3, nr. 7, at bemyndige sundhedsministeren til at fastsætte regler om, hvilke systemer der skal tilknyttes den fælles digitale infrastruktur som kildesystemer. Det er hensigten at udmønte bestemmelsen til at fastsætte regler om, at de systemer, der benyttes til at dele oplysninger på tværs af sundhedsvæsenet m.v., skal tilknyttes den fælles digitale infrastruktur som kildesystemer. Dette kan f.eks. være det Fælles Medicinkort (FMK), Det Danske Vaccinationsregister (DDV), laboratoriedatabasen, KIH Databasen, m.v. Alle systemer, der bruges til at dele oplysninger i sundhedsvæsenet, vil kunne tilknyttes den fælles digitale infrastruktur som kildesystemer efter den foreslåede bemyndigelsesbestemmelse.

Det bemærkes dog i den forbindelse, at formålet med den oprindelige indsamling af oplysninger i kildesystemet skal være forenelig med formålet i den fælles digitale infrastruktur, som er forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester. Af denne grund vil der f.eks. ikke kunne fastsættes regler om, at kliniske kvalitetsdatabaser skal tilknyttes den fælles digitale infrastruktur som kildesystem, da oplysninger i disse er indhentet med henblik på løbende overvågning, evaluering og udvikling af den kliniske kvalitet samt som led i synliggørelsen af den kliniske kvalitet til videnskabelige og statistiske formål.

Det bemærkes yderligere, at sundhedsministeren med forslaget heller ikke vil kunne fastsætte regler om, at sundheds-apps, der er udviklet eller udbydes af kommercielle udbydere, skal tilknyttes den fælles digitale infrastruktur som kildesystemer. Dette gælder dog ikke, hvis app'en er ordineret til en patient af en læge, eller hvis app'en i øvrigt indgår som en del af patientens behandlingsforløb i sundhedsvæsenet. Det gælder endvidere ikke, hvis app'en er en del af lægens eller behandlingsstedets service eller tilbud. Det kan fx være apps, der anvendes til at bestille konsultationer og lave aftaler, eller apps hvor borgeren indsender måleværdier til et behandlingssted. Ved sundheds-app forstås i denne sammenhæng mobile applikationer, der indhenter helbredsoplysninger eller andre fortrolige oplysninger om brugeren, eller hvor brugeren selv inddaterer oplysninger om vedkommendes helbred eller andre fortrolige forhold.

Som det fremgår af afsnit 1.1 i de almindelige bemærkninger, vil Sundheds- og Ældreministeriet foretage en evaluering af den foreslåede ordning vedrørende etablering af den fælles digitale infrastruktur inden for fem år efter dennes ikrafttræden. Evalueringen skal danne grundlag for overvejelser om eventuelle behov for at præcisere eller ændre reguleringen heraf.

Til nr. 17.

Efter sundhedslovens § 195, stk. 1, påhviler det regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner og private personer eller institutioner, der driver sygehuse m.v., at give oplysning om virksomheden til de centrale sundhedsmyndigheder m.fl. efter nærmere af sundhedsministeren fastsatte regler. Bestemmelsen omhandler alle oplysninger om virksomheden, herunder også oplysninger om aktivitet, kvalitet, omkostninger og ressourceanvendelse, finansielle oplysninger m.v.

Det foreslås i § 195, stk. 1, at »efter nærmere af sundhedsministeren fastsatte regler« udgår fra bestemmelsen og det bevirker således, at sundhedsministerens bemyndigelse til at fastsætte regler efter § 195, stk. 1, således udgår.

Om baggrunden for og formålet med denne bestemmelse henvises til punkt 1.1 og 1.2 i de almindelige bemærkninger.

For at tydeliggøre det allerede gældende krav om indberetning af data fra almen praksis og speciallæger efter den gældende bestemmelse i § 195, stk. 1, foreslås det derfor, at den bemyndigelse som sundhedsministeren har efter den gældende bestemmelse i § 195, stk. 1, ophæves, og at der samtidig i den foreslåede § 195, stk. 3, jf. nedenfor om lovforslagets § 1, nr. 18, fastsættes en mere præcis bemyndigelse til sundhedsministeren til at fastsætte regler om, hvilke oplysninger bl.a. alment praktiserende læger og speciallæger skal indberette. Der henvises til bemærkningerne til lovforslagets § 1, nr. 18, for en beskrivelse af den foreslåede bestemmelse i § 195, stk. 3.

Til nr. 18.

Efter sundhedslovens § 195, stk. 3, kan sundhedsministeren fastsætte nærmere regler om, hvilke oplysninger alment praktiserende læger skal give til regionsrådene efter § 195, stk. 2. Det påhviler i medfør af § 195, stk. 2, alment praktiserende læger, der yder behandling til gruppe 1-sikrede personer, jf. sundhedslovens § 60, stk. 1, at give oplysninger om virksomheden til regionsrådene til brug for planlægning, kvalitetssikring og kontrol af udbetalte tilskud og honorarer, dog ikke oplysninger, der identificerer eller gør det muligt at identificere patienten.

Det foreslås med lovforslaget, at § 195, stk. 3, nyaffattes, således at sundhedsministeren fastsætter regler om, hvilke oplysninger regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger og speciallæger, samt de private personer eller institutioner, der driver sygehuse, m.v., skal give til hhv. de centrale sundhedsmyndigheder m.fl. og regionsrådene efter forslag til § 195, stk. 1, jf. lovforslagets § 1, nr. 17, og efter den gældende bestemmelse i § 195, stk. 2.

Det bemærkes, at oplysninger, der videregives efter § 195, stk. 1, ikke er underlagt en formålsbegrænsning i forhold til den videre anvendelse af oplysningerne, hvorimod oplysninger efter § 195, stk. 2, fortsat kun må videregives til brug for planlægning, kvalitetssikring og kontrol af udbetalte tilskud og honorarer.

Forslaget skal ses som en del af opfølgningen på regeringens dataudspil og den efterfølgende politiske aftale mellem regeringen (Venstre, Liberal Alliance og Konservative) og Socialdemokratiet, Dansk Folkeparti, Enhedslisten, Alternativet, Radikale Venstre og Socialistisk Folkeparti om bedre brug af sundhedsdata, hvorefter det er aftalt, at der etableres et klart og tydeligt grundlag for krav om indberetning af relevante strukturerede data fra almen praksis og speciallæge praksis til de nationale sundhedsregistre som Landspatientregisteret, svarende til de krav, der gælder for regioner i dag. Om baggrunden for og formålet med denne bestemmelse henvises til punkt 1.1 og 1.2 i de almindelige bemærkninger.

Forslaget medfører, at sundhedsministerens bemyndigelse til at fastsætte regler om indberetning af oplysninger efter sundhedslovens § 195, stk. 1, præciseres, så det tydeliggøres, at sundhedsministeren kan fastsætte regler om, hvilke oplysninger regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger og speciallæger, samt de private personer eller institutioner, der driver sygehuse, m.v., skal indberette.

Det er hensigten, at udmøntningen skal ske under hensyntagen til fortroligheden mellem borgeren og dennes alment praktiserende læge. Det er derfor alene hensigten at udmønte bestemmelsen til at fastsætte regler om indberetning fra praksissektoren af strukturerede oplysninger, der er relevante for det samlede patientforløb svarende til de krav til indberetning, der gælder for regioner i dag, fx indberetning til Landspatientregisteret. Dette kan bl.a. være oplysninger, som kan anvendes til patientbehandling, planlægning, kvalitetsudvikling m.v. på tværs af sundhedsvæsnet. Det skal give større viden om den del af patienternes forløb, som varetages i praksissektoren, så der kan skabes sikkerhed for kvaliteten i hele patientens forløb i sundhedsvæsenet, dvs. også i praksissektoren. Der henvises i øvrigt til punkt 2.2.4 i de almindelige bemærkninger.

Det er ligeledes hensigten, at alment praktiserende læger og speciallæger ved udmøntning af bestemmelsen forpligtes til at registrere og indberette oplysninger om henvendelser og ydelser, f.eks. oplysninger om diagnoser og ydelser for kræftpatienter og kronikere, til brug for videregivelse til andre relevante sundhedspersoner i forbindelse med patientbehandling i sundhedsvæsenet samt til kvalitetsudvikling, planlægning og styring af sundhedsindsatsen både i almen praksis og på tværs af aktører på sundhedsområdet. Der vil i medfør af bemyndigelsesbestemmelsen kunne fastsættes regler om pligt til indberetning til nationale administrative registre eller andre registre, der er relevante for at styrke sammenhæng i sundhedsvæsnet.

Sundheds- og Ældreministeriet har sammen med PLO og Danske Regioner igangsat en analyse, der skal afdække, hvilke oplysninger som skal indberettes fra almen praksis, og hvordan. Dette skal blandt andet sikre, at de oplysninger, der indberettes, også i praksissektoren opfattes som relevante og kan anvendes af de praktiserende læger selv til kvalitetsudvikling.

Regler, der udstedes i medfør af den foreslåede bemyndigelsesbestemmelse i § 195, stk. 3, vil være omfattet af bemyndigelsesbestemmelsen i § 273 a, der giver mulighed for at fastsætte bestemmelser om straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Til nr. 19.

Det følger af sundhedslovens § 271, stk. 1, nr. 2, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde eller fængsel indtil 4 måneder den, der indhenter oplysninger i strid med § 42 a, stk. 1-9, § 42 d eller § 198, stk. 3.

Det foreslås, at § 271, stk. 1, nr. 2, ændres således, at det fastsættes, at medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde eller fængsel indtil 4 måneder den, der indhenter oplysninger i strid med § 42 a, stk. 1-4, § 42 d, stk. 1-3, eller § 198, stk. 3.

Det bemærkes, at straffebestemmelsen omfatter både forsætlige og uagtsomme overtrædelser, jf. straffelovens § 19, 2. pkt. En overtrædelse af de nævnte bestemmelser i sundhedsloven om indhentning af helbredsoplysninger m.v. vil altid være undergivet offentlig påtale. Straffelovens tavshedspligtsregler, jf. straffelovens §§ 152-152 f, gælder fortsat i de tilfælde, hvor der er behov for at gå ud over strafferammen på 4 måneders fængsel. Om forholdet mellem straffelovens tavshedspligtsregler og sundhedsloven i øvrigt henvises til forarbejderne til sundhedslovens § 271, jf. lovforslag L 50, fremsat den 25. oktober 2006, punkt 4.2.1.3 i de almindelige bemærkninger.

Det bemærkes i øvrigt, at uberettiget indhentning af helbredsoplysninger m.v. desuden vil kunne medføre ansættelsesretlige konsekvenser bl.a. i form af påtale, omflytning til andet arbejde eller afskedigelse.

Forslaget er en konsekvensændring af lovforslagets § 1, nr. 3, vedrørende forslag til nyaffattelse af § 42 a, stk. 1-4. Det fremgår af de foreslåede bestemmelser i § 42 a, stk. 1-4, og bemærkningerne hertil, hvilke betingelser der skal være opfyldt, for at sundhedspersoner og andre personer, der efter lovgivningen er undergivet tavshedspligt, kan indhente helbredsoplysninger m.v. i elektroniske systemer i forbindelse med behandling af patienter. Det foreslås, at en indhentning af helbredsoplysninger m.v. i strid med disse bestemmelser, skal kunne straffes. Der henvises til bemærkningerne til § 1, nr. 3, vedrørende § 42 a, stk. 1-4, hvor betingelserne for indhentning af helbredsoplysninger mv. er beskrevet.

Forslaget er desuden en præcisering af, hvilke bestemmelser i § 42 d, der - hvis de overtrædes - skal kunne straffes. Med forslaget angives det således præcist, hvilke bestemmelser i § 42 d, der regulerer sundhedspersoners og andre personers adgang til at indhente helbredsoplysninger m.v., og dermed hvilke bestemmelser i § 42 d, der - hvis bestemmelserne overtrædes - skal kunne straffes. Forslaget er samtidig en konsekvensændring af, at det i forslagets § 1, nr. 9, foreslås, at der indsættes en ny bestemmelse i § 42 d, stk. 3, der fastsætter, at andre personer, der efter lovgivningen er underlagt tavshedspligt, kan yde teknisk bistand til den autoriserede sundhedsperson i forbindelse med indhentning af oplysninger efter § 42 d, stk. 1, og § 42 d, stk. 2, nr. 1 og 2, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil. Der henvises i øvrigt til bemærkningerne til § 1, nr. 9, vedrørende § 42 d, stk. 3.

Til nr. 20.

Det følger af sundhedslovens § 271, stk. 3, at sundhedsministeren i regler, der udstedes i medfør af § 41, stk. 8, kan fastsætte bestemmelser om straf af bøde eller fængsel indtil 4 måneder for overtrædelse af bestemmelser i reglerne.

Det foreslås, at sundhedsministeren herudover kan fastsætte bestemmelser om straf af bøde eller fængsel indtil 4 måneder for overtrædelse af bestemmelser i regler, der udstedes i medfør af den foreslåede bestemmelse i § 42 a, stk. 6. Der henvises for så vidt angår denne bestemmelse til bemærkningerne til lovforslagets § 1, nr. 3.

Der vil i den forbindelse kunne fastsættes straf, hvis oplysninger indhentes i strid med de regler, der udstedes i medfør af det foreslåede § 42 a, stk. 6.

Der vil endvidere kunne fastsættes straf ved uberettiget videregivelse eller udnyttelse af oplysninger, der er indhentet i medfør af de regler, der udstedes i medfør af den foreslåede § 42 a, stk. 6.

Til nr. 21.

Det følger af sundhedslovens § 278, stk. 1, at loven ikke gælder for Færøerne og Grønland, jf. dog stk. 2 og 3.

Det følger af § 278, stk. 2, at §§ 5 og 6, kapitel 4-9, §§ 61-63, kapitel 36-38, kapitel 61, kapitel 66-68, og §§ 247-250, 254, 259, 266-268, 272-274 og 276 ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

Ved lov nr. 431 af 8. maj 2007 om ændring af sundhedsloven (IT-anvendelse i sundhedsvæsenet og elektroniske helbredsoplysninger) blev sundhedslovens § 271 om straf nyaffattet, jf. lovens § 1, nr. 11.

Det følger af lovens § 3, stk. 1, jf. stk. 2, 2. pkt., at loven ikke gælder for Færøerne og Grønland, men at sundhedslovens § 271, stk. 1, nr. 1-3, og stk. 2 og 3, som affattet ved lovens § 1, nr. 11, ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

Det foreslås, at § 278, stk. 2, ændres således, at §§ 5 og 6, kapitel 4-9, §§ 61-63, kapitel 36-38, kapitel 61, kapitel 66-68, og §§ 247-250, 254, 259, 266-268, 271, stk. 1, nr. 1-3, og stk. 2 og 3, og 276 ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

Med den foreslåede ændring af sundhedslovens § 278, stk. 2, vil det komme til at fremgå direkte af bestemmelsen, at § 271, stk. 1, nr. 1-3, og stk. 2 og 3, ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger, hvilket i dag følger af § 3, stk. 2, 2. pkt., i lov nr. 431 af 8. maj 2007.

Det sikres herved, at det klart fremgår af sundhedslovens § 278 - herunder i forbindelse med udarbejdelse af fremtidige lovbekendtgørelser af sundhedsloven - at § 271, stk. 1, nr. 1-3, og stk. 2 og 3, ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Der er således ikke tale om en indholdsmæssig ændring af sundhedslovens § 278, stk. 2.

Der henvises i øvrigt til de specielle bemærkninger til lovforslagets §§ 2 og 3.

Til § 2

Til nr. 1

Det følger af § 5, stk. 1, i lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed, at loven ikke gælder for Færøerne og Grønland, jf. dog stk. 2 og 3.

Det foreslås, at henvisningen til stk. 3 udgår.

Der er alene tale om en konsekvensændring som følge af lovforslagets § 2, nr. 2.

Til nr. 2

Ved lov nr. 431 af 8. maj 2007 om ændring af sundhedsloven (IT-anvendelse i sundhedsvæsenet og elektroniske helbredsoplysninger) blev sundhedslovens § 271 om straf nyaffattet.

Det følger af lovens § 3, stk. 1, jf. stk. 2, 2. pkt., at loven ikke gælder for Færøerne og Grønland, men at sundhedslovens § 271, stk. 1, nr. 1-3, og stk. 2 og 3, som affattet ved lovens § 1, nr. 11, ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

Det følger af § 278, stk. 1, jf. stk. 3, i bekendtgørelse nr. 95 af 7. februar 2008 af sundhedsloven, at loven ikke gælder for Færøerne og Grønland, men at § 271, stk. 1, nr. 1 og 2, og stk. 2 og 3, ved kongelig anordning kan sættes i kraft for Færøerne og Grønland med de afvigelser, som de særlige færøske og grønlandske forhold tilsiger. Det er en fejl, at det fremgår af lovbekendtgørelsen, at sundhedslovens § 271, stk. 1, nr. 1 og 2, og stk. 2 og 3, ved kongelig anordning kan sættes i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger. Fejlen er gentaget i bekendtgørelse nr. 913 af 13. juli 2010 af sundhedsloven, men ikke i efterfølgende lovbekendtgørelser.

Ved § 1, nr. 20, i lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed blev der foretaget bl.a. en ændring af sundhedslovens § 271, stk. 1, nr. 2.

Det følger af lovens § 5, stk. 1, at loven ikke gælder for Færøerne og Grønland, jf. dog stk. 2 og 3. Det følger endvidere af lovens § 5, stk. 3, at lovens § 1, nr. 20, ved kongelig anordning kan sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger. Det er - formentlig på baggrund af fejlen i § 278 i lovbekendtgørelse nr. 95 af 7. februar 2008 - en fejl, at ændringen af sundhedslovens § 271, stk. 1, nr. 2, som affattet ved lovens § 1, nr. 20, skal kunne sættes i kraft for Grønland.

Det foreslås, at § 5, stk. 3, i lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed ophæves.

Der er tale om en ændring som følge af, at der i lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed ved en fejl er indsat § 5, stk. 3, hvorefter ændringen af sundhedslovens § 271, stk. 1, nr. 2, som affattet ved lovens § 1, nr. 20, skal kunne sættes i kraft for Grønland.

Ophævelsen af § 5, stk. 3, betyder, at ændringen af sundhedslovens § 271, stk. 1, nr. 2, som affattet ved lovens § 1, nr. 20, ikke kan sættes i kraft for Grønland. Dette er i overensstemmelse med, hvad der i øvrigt gælder for sundhedslovens § 271.

Der henvises i øvrigt til de specielle bemærkninger til lovforslagets § 1, nr. 21, og § 3.

Til § 3

Ved lov nr. 431 af 8. maj 2007 om ændring af sundhedsloven (IT-anvendelse i sundhedsvæsenet og elektroniske helbredsoplysninger) blev sundhedslovens § 271 om straf nyaffattet.

Det følger af lovens § 3, stk. 1, jf. stk. 2, 2. pkt., at loven ikke gælder for Færøerne og Grønland, men at sundhedslovens § 271, stk. 1, nr. 1-3, og stk. 2 og 3, som affattet ved lovens § 1, nr. 11, ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.

Det følger af § 278, stk. 1, jf. stk. 3, i bekendtgørelse nr. 95 af 7. februar 2008 af sundhedsloven, at loven ikke gælder for Færøerne og Grønland, men at § 271, stk. 1, nr. 1 og 2, og stk. 2 og 3, ved kongelig anordning kan sættes i kraft for Færøerne og Grønland med de afvigelser, som de særlige færøske og grønlandske forhold tilsiger. Det er en fejl, at det fremgår af lovbekendtgørelsen, at sundhedslovens § 271, stk. 1, nr. 1 og 2, og stk. 2 og 3, ved kongelig anordning kan sættes i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger.

Fejlen er gentaget i bekendtgørelse nr. 913 af 13. juli 2010 af sundhedsloven, men ikke i efterfølgende lovbekendtgørelser.

Ved § 1, nr. 18 og 19, i lov nr. 430 af 3. maj 2017 om ændring af sundhedsloven blev der foretaget bl.a. en ændring af sundhedslovens § 271, stk. 1, nr. 1, og stk. 2.

Det følger af lovens § 3, at loven ikke gælder for Færøerne og Grønland, men at § 1, nr. 1-17 ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger. Det er en fejl, at ændringerne af sundhedslovens § 271 ikke skal kunne sættes i kraft for Færøerne.

Det foreslås, at § 3 i lov nr. 430 af 3. maj 2017 om ændring af sundhedsloven ændres således, at loven ikke gælder for Færøerne og Grønland, men ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.

Der er tale om en ændring som følge af, at det ved en fejl i § 3 i lov nr. 430 af 3. maj 2017 om ændring af sundhedsloven følger, at ændringerne af sundhedslovens § 271, stk. 1, nr. 1, og stk. 2, som affattet ved lovens § 1, nr. 18 og 19, ikke kan sættes i kraft for Færøerne.

Ændringen betyder, at de ændringer af sundhedslovens § 271, stk. 1, nr. 1, og stk. 2, som affattet ved lovens § 1, nr. 18 og 19, kan sættes i kraft for Færøerne.

Der henvises i øvrigt til de specielle bemærkninger til lovforslagets § 1, nr. 21, og § 2.

Til § 4

Bestemmelsen vedrører lovens ikrafttrædelsestidspunkt.

Med lovforslagets § 2, stk. 1, foreslås det, at loven træder i kraft den 1. juli 2019.

Det betyder, at bestemmelserne om indhentning af helbredsoplysninger og påmindelser til forældre om børnevaccinationer vil træde i kraft den 1. juli 2019.

Derudover foreslås det i lovforslagets § 2, stk. 2, at sundhedsministeren fastsætter tidspunktet for ikrafttrædelse af lovens § 1, nr.16.

Det betyder, at den foreslåede bestemmelse om etablering af en fælles digital infrastruktur først vil træde i kraft, når sundhedsministeren beslutter dette.

Det er hensigten først at beslutte dette, når de tekniske løsninger er på plads, og indholdet i infrastrukturen er fastslået.

Til § 5

Det følger af sundhedslovens § 278, stk. 1, at sundhedsloven ikke gælder for Færøerne og Grønland. Det følger endvidere af sundhedslovens § 278, stk. 2, at sundhedslovens §§ 5 og 6, kapitel 4-9, §§ 61-63, kapitel 36-38, kapitel 61, kapitel 66-68, og §§ 247-250, 254, 259, 266-268, 272-274 og 276 ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Det følger herudover af § 278, stk. 3, at sundhedslovens kapitel 12 og kapitel 54-57 ved kongelig anordning kan sættes i kraft for Færøerne og Grønland med de afvigelser, som de færøske og grønlandske forhold tilsiger.

Med lovforslagets § 1, nr. 21, foreslås det, at § 278, stk. 2, ændres således, at §§ 5 og 6, kapitel 4-9, §§ 61-63, kapitel 36-38, kapitel 61, kapitel 66-68, og §§ 247-250, 254, 259, 266-268, 271, stk. 1, nr. 1-3, og stk. 2 og 3, 272-274 og 276 ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Der henvises til bemærkningerne til lovforslagets § 1, nr. 21.

Efter den foreslåede bestemmelse gælder loven ikke for Færøerne og Grønland, men § 1, nr. 1-11, og nr. 19-20, kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.

Det sikres herved, at lovens § 1, nr. 1-11, som vedrører sundhedslovens kapitel 5 og 9, og lovens § 1, nr. 19-20, som vedrører sundhedslovens § 271, stk. 1, nr. 2, og stk. 3, kan sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.


Bilag

Lovforslaget sammenholdt med gældende lov

Gældende formulering
 
Lovforslaget
   
  
§ 1
   
  
I sundhedsloven, jf. lovbekendtgørelse nr. 1286 af 2. november 2018, som ændret ved § 39 i lov nr. 620 af 8. juni 2016, § 1 i lov nr. 254 af 6. april 2018 og lov nr. 728 af 8. juni 2018, foretages følgende ændringer:
   
§ 17.
Stk. 1-2. ---
  
Stk. 3. En patient, der er fyldt 15 år, er berettiget til aktindsigt efter bestemmelserne i §§ 36-39 og kan give samtykke til videregivelse af helbredsoplysninger m.v. efter bestemmelserne i §§ 41-49.
 
1. I § 17, stk. 3, indsættes efter »videregivelse«: »og indhentning«, og »§§ 41-49« ændres til: »§ 41, stk. 1, § 42 a, stk. 3, § 42 d, stk. 1, § 43, stk. 1, og § 51, stk. 4«.
   
§ 40. En patient har krav på, at sundhedspersoner iagttager tavshed om, hvad de under udøvelsen af deres erhverv erfarer eller får formodning om angående helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, jf. dog reglerne i denne lov.
Stk. 2-3. ---
 
2. I § 40, stk. 1, § 41, stk. 1, § 42 d, stk. 1, § 43, stk. 1 og § 51, stk. 4, 1. pkt., udgår: », øvrige rent private forhold«, og i § 45 a, stk. 1, og § 198, stk. 3, udgår: »og øvrige rent private forhold«.
   
§ 41. Med patientens samtykke kan sundhedspersoner videregive oplysninger til andre sundhedspersoner om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger i forbindelse med behandling af patienten eller behandling af andre patienter.
Stk. 2-8. ---
  
   
§ 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt.
Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten.
Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk. 1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har en sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt.
Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal gøres offentligt tilgængelige.
Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat.
Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde kan sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter.
Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4.
Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1, 5 og 6 og § 42 d, stk. 2, nr. 1.
Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv har adgang til, jf. stk. 1-8 og § 42 d, stk. 2, nr. 1.
Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige indsats.
 
3. § 42 a affattes således:
»§ 42 a. Sundhedspersoner kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten.
Stk. 2. Sundhedspersoner kan endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre.
Stk. 3. Uden for de i stk. 1 og 2 nævnte tilfælde kan sundhedspersoner og andre personer, der efter lovgivningen er undergivet tavshedspligt, med patientens samtykke ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter.
Stk. 4. Andre personer, der efter lovgivningen er undergivet tavshedspligt, kan ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1, hvis det er nødvendigt af hensyn til den samlede aktuelle behandling af patienten, eller hvis det er nødvendigt med henblik på at yde teknisk bistand til sundhedspersoner omfattet af stk. 1, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.
Stk. 5. Patienten kan frabede sig, at der indhentes oplysninger efter stk. 1 og 4.
Stk. 6. Sundhedsministeren kan fastsætte nærmere regler for autoriserede sundhedspersoners adgang til at indhente oplysninger i elektroniske systemer om helbredsforhold og andre fortrolige oplysninger om en patient, der aktuelt er i behandling, og om andre patienter med henblik på at støtte sundhedspersonen i at træffe sundhedsfaglige beslutninger som led i patientbehandling. Sundhedsministeren kan endvidere fastsætte nærmere regler om de pågældende autoriserede sundhedspersoners mulighed for at anvende teknisk bistand i forbindelse med indhentning af de oplysninger, der er nævnt i 1. pkt.«
   
§ 42 b. Samtykke efter § 42 a, stk. 6 og 10, og tilkendegivelse efter § 42 a, stk. 7, kan være mundtligt eller skriftligt. Samtykket eller tilkendegivelsen skal meddeles til den sundhedsperson, som indhenter oplysningerne, eller under hvis ansvar oplysningerne indhentes. Samtykket eller tilkendegivelsen skal indføres i patientjournalen.
 
4. I § 42 b, 1. pkt., ændres »stk. 6 og 10« til: »stk. 3«, og »stk. 7« ændres til: »stk. 5«.
5. § 42 b, 2. pkt., affattes således:
»Samtykket eller tilkendegivelsen skal meddeles til behandlingsstedet eller til den sundhedsperson, der har patienten i behandling.«
6. I § 42 b indsættes som stk. 2 og 3:
»Stk. 2. En tilkendegivelse om frabedelse af indhentning af helbredsoplysninger og andre fortrolige oplysninger i et elektronisk system, som drives af en central sundhedsmyndighed, skal ske til denne myndighed, som sikrer, at tilkendegivelsen registreres i det elektroniske system.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om det samtykke, der er nævnt i § 42 a, stk. 3, og den frabedelse, der er nævnt i § 42 a, stk. 5.«
   
§ 42 c. Sundhedsministeren fastsætter nærmere regler om private dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i en patients elektroniske patientjournal (logning), samt om loggens indhold, opbevaring og sletning.
Stk. 2. Sundhedsministeren fastsætter nærmere regler om patientens elektroniske adgang til oplysninger hos offentlige og private dataansvarlige om, hvem der har foretaget opslag i patientens elektroniske patientjournal, og på hvilket tidspunkt opslagene er foretaget.
 
7. I § 42 c, stk. 1, indsættes efter »private«: »og offentlige«, og »en patients elektroniske patientjournal« ændres til: »elektroniske systemer inden for sundhedsvæsenet«.
   
§ 42 d. Med patientens samtykke kan autoriserede sundhedspersoner til andre formål end behandling ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger.
 
8. I § 42 d, stk. 1, ændres »elektroniske systemer« til: »elektroniske patientjournaler og andre systemer, som supplerer patientjournalen,«.
Stk. 2. Indhentning af de oplysninger, der er nævnt i stk. 1, kan ske uden patientens samtykke, når:
1) Indhentningen foretages af en læge, tandlæge eller jordemoder, som tidligere har deltaget i behandlingen af patienten, og
a) indhentningen er nødvendig og relevant til brug for evaluering af den indhentende læges, tandlæges eller jordemoders egen indsats i behandlingen eller som dokumentation for erhvervede kvalifikationer i et uddannelsesforløb,
b-c) ---
2) Indhentningen foretages af en autoriseret sundhedsperson, og
a) indhentningen er nødvendig i forbindelse med kvalitetssikring eller -udvikling af behandlingsforløb og arbejdsgange,
b-e) ---
3) ---
Stk. 3. Patienten kan ved tilkendegivelse frabede sig, at der indhentes oplysninger efter stk. 2, nr. 1 og 2. Tilkendegivelsen kan være mundtlig eller skriftlig og skal indføres i patientjournalen. Tilkendegivelser om fravalg af indhentning af oplysninger efter stk. 2, nr. 1, skal meddeles den sundhedsperson, som indhenter oplysningerne, eller under hvis ansvar oplysningerne indhentes. Tilkendegivelser om fravalg af indhentning af oplysninger efter stk. 2, nr. 2, skal meddeles den sundhedsperson, der er ansvarlig for oplysningerne.
 
9. I § 42 d indsættes efter stk. 2 som nyt stykke:
»Stk. 3. Andre personer, der efter lovgivningen er undergivet tavshedspligt, kan yde teknisk bistand til den autoriserede sundhedsperson i forbindelse med indhentning af oplysninger efter § 42 d, stk. 1, og § 42 d, stk. 2, nr. 1 og 2, i det omfang ledelsen på behandlingsstedet har givet tilladelse hertil.«
Stk. 3 bliver herefter stk. 4.
10. § 42 d, stk. 3, der bliver stk. 4, 3. og 4. pkt., ophæves, og i stedet indsættes: »Tilkendegivelsen meddeles til den sundhedsperson, der er ansvarlig for oplysningerne, eller til behandlingsstedet.«
   
§ 42 e. Samtykke efter § 42 d, stk. 1, skal være skriftligt og skal meddeles den autoriserede sundhedsperson, som indhenter oplysningerne. Samtykket skal indføres i patientjournalen.
Stk. 2. Samtykke efter § 42 d, stk. 1, bortfalder, senest 1 år efter at det er givet.
  
Stk. 3. Sundhedsministeren fastsætter nærmere regler om det samtykke, der nævnt i § 42 d, stk. 1.
 
11. I § 42 e, stk. 3, indsættes efter »§ 42 d, stk. 1«: », og den tilkendegivelse, der er nævnt i § 42 d, stk. 3«.
   
§ 43. Med patientens samtykke kan sundhedspersoner til andre formål end behandling videregive oplysninger om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger til sundhedspersoner, myndigheder, organisationer, private personer m.fl.
Stk. 2-4. ---
  
   
§ 45 a. En autoriseret sundhedsperson skal efter anmodning fra politiet eller Styrelsen for Patientsikkerhed snarest videregive oplysninger om en afdød patients helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger om den afdøde, der er nødvendige for politiets og Styrelsen for Patientsikkerheds vurdering af, om retslægeligt ligsyn skal iværksættes efter § 180. En autoriseret sundhedsperson skal desuden efter anmodning fra politiet snarest videregive oplysninger om en afdød patients helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger om den afdøde, der er nødvendige for politiets vurdering af, om retslægelig obduktion skal foretages efter § 184.
  
Stk. 2. ---
  
   
§ 51.
  
Stk. 1-3. ---
  
Stk. 4. Med patientens mundtlige eller skriftlige samtykke kan sundhedspersoner videregive oplysninger til patientvejledere på patientkontorerne om patientens helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger til brug for rådgivning og bistand til patienten. Samtykke kan afgives til den sundhedsperson, der videregiver oplysninger, eller til den patientvejleder, der modtager oplysninger. Videregivelse af oplysninger skal indføres i patientjournalen. Patienten kan på ethvert tidspunkt af det aktuelle behandlingsforløb frabede sig, at oplysningerne videregives. Sundhedsministeren fastsætter nærmere regler om videregivelse og registrering af oplysninger og samtykke.
  
Stk. 5-8. ---
  
   
§ 157 a.
Stk. 1-5. ---
  
Stk. 6. Statens Serum Institut har adgang til oplysninger i registeret med henblik på at overvåge og vurdere vaccinationstilslutning og -effekt samt undersøge eventuelle sammenhænge mellem vaccination og uventede reaktioner eller bivirkninger ved vaccination. Statens Serum Institut har desuden adgang til oplysninger i registeret med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov. Statens Serum Institut har endvidere adgang til oplysninger i registeret, når det er påkrævet af driftstekniske grunde eller følger af Statens Serum Instituts forpligtelser m.v. som dataansvarlig.
Stk. 7-10. ---
 
12. I § 157 a, stk. 6, 2. pkt., ændres »påmindelser ved manglende vaccination« til: »påmindelser om vaccination«.
Stk. 11. Sundhedsministeren fastsætter nærmere regler om Statens Serum Instituts adgang efter stk. 6 til oplysninger i registeret med henblik på at udsende påmindelser ved manglende vaccination med vacciner, der indgår i det danske børnevaccinationsprogram, eller som tilbydes et barn ved individuelt behov. Ministeren fastsætter desuden regler om Statens Serum Instituts udsendelse af påmindelser.
Stk. 12. ---
 
13. I § 157 a, stk. 11, 1. pkt., ændres »påmindelser ved manglende vaccination« til: »påmindelser om vaccination«.
   
§ 158---
Stk. 3. ---
 
14. I § 158 indsættes efter stk. 2 som nyt stykke:
»Stk. 3. Sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af stk. 2, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling, samt hvilke oplysninger regionerne skal indberette til de centrale sundhedsmyndigheder i forbindelse med refusion for afholdte udgifter til vaccinationer.«
Stk. 3 bliver herefter stk. 4.
   
§ 158 a---
Stk. 5. ---
 
15. I § 158 a indsættes efter stk. 4 som nyt stykke:
»Stk. 5. Sundhedsministeren kan fastsætte nærmere regler om betaling til læger, der udfører vaccinationer omfattet af stk. 1, herunder betalingens størrelse og krav til, hvilke oplysninger lægen skal indberette til regionen i forbindelse med lægens anmodning om betaling.«
   
§ 193 b. Sundhedsministeren udpeger en myndighed, der er dataansvarlig for et elektronisk indeks (Nationalt Patientindeks) over registreringer af de enkelte borgeres helbredsoplysninger, herunder medicinoplysninger, vaccinationsoplysninger, journaloplysninger, laboratoriesvar m.v.
Stk. 2. Indhentning af oplysninger i et elektronisk indeks som nævnt i stk. 1 foretages efter regler fastsat i denne lovs §§ 42 a-42 c.
Stk. 3. Den dataansvarlige for Nationalt Patientindeks, jf. stk. 1, kan behandle oplysningerne i indekset, herunder indhente oplysninger til præsentation i indekset i de systemer, der er tilknyttet indekset som kildesystemer, jf. stk. 4, nr. 2.
Stk. 4. Sundhedsministeren fastsætter nærmere regler om driften m.v. af registeret, herunder
1) om, hvilke oplysninger der må registreres i indekset,
2) om, hvilke systemer der må tilknyttes indekset som kildesystemer,
3) om pligt til sletning og ændring af registrerede oplysninger og
4) om den registreredes direkte elektroniske adgang til de oplysninger, der er registreret om vedkommende i indekset, og til den maskinelle registrering (logning) af alle anvendelser af de registrerede oplysninger.
 
16. § 193 b affattes således:
»§ 193 b. Sundhedsdatastyrelsen er ansvarlig for at drive en fælles digital infrastruktur til udveksling og registrering af udvalgte oplysninger om de enkelte borgeres helbredsforhold og andre fortrolige oplysninger.
Stk. 2. Oplysninger, der opbevares i den fælles digitale infrastruktur, må kun behandles, hvis det er nødvendigt med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester, og behandlingen af oplysningerne foretages af en person inden for sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt.
Stk. 3. Sundhedsministeren fastsætter nærmere regler om driften m.v. af den i stk. 1 nævnte digitale infrastruktur og fastsætter herunder nærmere regler om
1) typen af oplysninger, der må registreres i den digitale infrastruktur,
2) pligt til opbevaring og sletning af registrerede oplysninger,
3) den registreredes direkte elektroniske adgang til de elektroniske oplysninger, der er registreret om vedkommende i den digitale infrastruktur,
4) den registreredes direkte elektroniske adgang til registrering (logning) af anvendelser af de registrerede oplysninger,
5) den dataansvarliges adgang og pligt til indberetning til den digitale infrastruktur, herunder pligt til at opdatere oplysninger hidrørende fra den digitale infrastruktur og korrigere urigtige oplysninger, herunder tekniske krav og formkrav til sådanne indberetninger, opdateringer og korrektioner,
6) tekniske og forretningsmæssige krav vedrørende sundhedspersoners og myndigheders tilslutning til den digitale infrastruktur, og
7) hvilke systemer der skal tilknyttes den digitale infrastruktur som kildesystemer.«
   
§ 195. Det påhviler regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner og de private personer eller institutioner, der driver sygehuse m.v., at give oplysning om virksomheden til de centrale sundhedsmyndigheder m.fl. efter nærmere af sundhedsministeren fastsatte regler.
Stk. 2. Det påhviler alment praktiserende læger, der yder behandling til gruppe 1-sikrede personer, jf. § 60, stk. 1, at give oplysninger om virksomheden til regionsrådene til brug for planlægning, kvalitetssikring og kontrol af udbetalte tilskud og honorarer, dog ikke oplysninger, der identificerer eller gør det muligt at identificere patienten.
 
17. I § 195, stk. 1, udgår »efter nærmere af sundhedsministeren fastsatte regler.«
Stk. 3. Sundhedsministeren fastsætter nærmere regler om, hvilke oplysninger alment praktiserende læger skal give til regionsrådene efter stk. 2.
 
18. § 195, stk. 3, affattes således:
»Stk. 3. Sundhedsministeren fastsætter nærmere regler om, hvilke oplysninger regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger og speciallæger, samt de private personer eller institutioner, der driver sygehuse m.v., skal give til de centrale sundhedsmyndigheder m.fl. efter stk. 1. Sundhedsministeren fastsætter endvidere nærmere regler om, hvilke oplysninger alment praktiserende læger skal give til regionsrådene efter stk. 2.«
   
§ 198.
Stk. 1-2. ---
Stk. 3. Sundhedspersoner kan indhente oplysninger om patientens helbredsforhold og øvrige rent private forhold og andre fortrolige oplysninger i elektroniske systemer, når
1) indhentningen er nødvendig i forbindelse med analyse af rapportering om en utilsigtet hændelse i regionen eller kommunen eller på det private sygehus,
2) ledelsen på behandlingsstedet eller den centrale regionale eller kommunale administrative ledelse for behandlingsstedet har givet tilladelse til, at den pågældende person kan foretage indhentningen, og
3) det er muligt efterfølgende at identificere, at indhentningen er sket til brug for analyse af en utilsigtet hændelse.
Stk. 4-5. ---
  
   
§ 271. Medmindre højere straf er forskyldt efter anden lovgivning, straffes med bøde eller fængsel indtil 4 måneder den, der
1) videregiver oplysninger i strid med § 41, stk. 1-3, § 43, stk. 1 og 2, og § 45,
  
2) indhenter oplysninger i strid med § 42 a, stk. 1-9, § 42 d eller § 198, stk. 3,
3) uberettiget udnytter oplysninger omfattet af § 41, stk. 1, eller
4) . . . . . .
Stk. 2. På samme måde som i stk. 1, nr. 1-3, straffes andre end de personer, der er nævnt i §§ 41, 42 a, 42 d, 43 og 45 og 198, stk. 3 ved uberettiget indhentning, videregivelse eller udnyttelse af oplysninger omfattet af disse bestemmelser.
 
19. I § 271, stk. 1, nr. 2, ændres »stk. 1-9« til: »stk. 1-4«, og »§ 42 d« ændres til: »§ 42 d, stk. 1-3,«.
Stk. 3. Sundhedsministeren kan i regler, der udstedes i medfør af § 41, stk. 8, fastsætte bestemmelser om straf af bøde eller fængsel indtil 4 måneder for overtrædelse af bestemmelser i reglerne.
Stk. 4. ---
 
20. I § 271, stk. 3, indsættes efter »§ 41, stk. 8,«: »og § 42 a, stk. 6,«.
   
§ 278. Loven gælder ikke for Færøerne og Grønland, jf. dog stk. 2 og 3.
  
Stk. 2. §§ 5 og 6, kapitel 4-9, §§ 61-63, kapitel 36-38, kapitel 61, kapitel 66-68, og §§ 247-250, 254, 259, 266-268, 272-274 og 276 kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de afvigelser, som de særlige færøske forhold tilsiger.
Stk. 3. Kapitel 12 og kapitel 54-57 kan ved kongelig anordning sættes i kraft for Færøerne og Grønland med de afvigelser, som de særlige færøske og grønlandske forhold tilsiger.
 
21. I § 278, stk. 2, indsættes efter »266-268,«: »§ 271, stk. 1, nr. 1-3, og stk. 2 og 3,«.
   
  
§ 2
   
  
I lov nr. 519 af 26. maj 2014 om ændring af sundhedsloven, lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om autorisation af sundhedspersoner og om sundhedsfaglig virksomhed (Ændring af regler om patienters retsstilling, nedlæggelse af Lægemiddelskadeankenævnet, oplysningspligt ved erstatningsudbetalinger i patientskadesager, afbrydelse af forældelse i sager om patient- og lægemiddelskadeerstatninger, offentliggørelse af Sundhedsstyrelsens tilsynsrapporter ved tilbagevendende tilsyn m.v.) foretages følgende ændringer:
   
§ 5. Loven gælder ikke for Færøerne og Grønland, jf. dog stk. 2 og 3.
Stk. 2. ---
 
1. I § 5, stk. 1, udgår »og 3«.
Stk. 3. § 1, nr. 20 kan ved kongelig anordning sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.
 
2. § 5, stk. 3, ophæves.
   
  
§ 3
   
  
I lov nr. 430 af 3. maj 2017 om ændring af sundhedsloven (Bedre brug af helbredsoplysninger til kvalitetsarbejde og retslægeligt ligsyn og obduktion samt særligt om samtykke ved behandling af børn og unge) foretages følgende ændring:
   
§ 3. Loven gælder ikke for Færøerne og Grønland, men § 1, nr. 1-17, kan ved kongelig anordning sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.
 
1. I § 3 udgår »§ 1, nr. 1-17,«.