SUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 483: Spm. om hård kritik at sundhedsplatformen, pga. fejl i tusinde medicinkort, til sundhedsministeren

Sundhedsudvalget 2021-22
SUU Alm.del
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundhedsudvalg

Dato: 21-03-2022

Enhed: MEDINT

Sagsbeh.: DEPMSP

Sagsnr.: 2203317

Dok. nr.: 2165511

Folketingets Sundhedsudvalg har den 21. februar 2022 stillet følgende spørgsmål nr.

464 (Alm. del) til sundhedsministeren, som hermed besvares. Spørgsmålet er stillet

efter ønske fra Jane Heitmann (V).

Spørgsmål nr. 464:

”Ministeren bedes oplyse, hvilke initiativer Datatilsynets alvorlige kritik af Region Ho-

vedstaden for så vidt angår håndtering af personoplysninger (Sundhedsplatformen)

giver anledning til fra regeringens side?

Der henvises til Datatilsynets rapport af 10. december 2021 samt artikel i Dagens Me-

dicin den 17. februar 2022 ”Datatilsynet i hård kritik af Sundhedsplatformen- Fejl i tu-

sindvis af medicinkort”.”

Svar:

Mens staten har ansvar for de overordnede rammer for sundheds-IT, bl.a. fællesof-

fentlig it-infrastruktur og koordinering af større fællesoffentlige initiativer, så har re-

gionerne ansvar for sygehusenes drift, herunder også de elektroniske patientjournal-

systemer, der anvendes på sygehusene.

Det betyder, at det er Region Hovedstaden, der skal følge op på Datatilsynets kritik af

Sundhedsplatformens håndtering af personoplysninger, og det er min forventning, at

de tager kritikken alvorligt.

I forhold til den del af Datatilsynets kritik, der vedrører Sundhedsdatastyrelsen og det

Fælles Medicinkorts forbindelse til Sundhedsplatformen, har jeg indhentet følgende

bidrag fra Sundhedsdatastyrelsen, som jeg kan henholde mig til:

”I Datatilsynets afgørelse ”Alvorlig kritik, påbud og advarsel til Region Hovedstaden

efter to sikkerhedsbrud” er der ud over den alvorlige kritik (der alene er rettet mod

Region Hovedstaden) to områder, der berører Fælles Medicinkort (FMK) og dermed

Sundhedsdatastyrelsen:

Datatilsynet har indskærpet, at Sundhedsdatastyrelsen skal foretage en de-

taljeret kortlægning af den interne it-arkitektur og it-miljøet i samarbejde

med de involverede parter. Herunder en kortlægning af integrationer mel-

lem FMK og øvrige kilde- og aftagersystemer, således at det fremgår tydeligt,

hvilket dataansvar Sundhedsdatastyrelsen har i forhold til behandling af per-

sonoplysninger i FMK, og hvilket ansvar øvrige dataansvarlige har for be-

handling af personoplysninger i kilde- og aftagersystemer. Dette sætter også

involverede parter bedre i stand til at identificere og udbedre integrations-

fejl i samarbejde med hinanden.

Dataansvar for det enkelte kilde- og aftagersystem tilhører organisationen, der ejer

systemerne. I FMK er det Sundhedsdatastyrelsen, der har dataansvaret. Dette frem-

SUU, Alm.del - 2021-22 - Endeligt svar på spørgsmål 483: Spm. om hård kritik at sundhedsplatformen, pga. fejl i tusinde medicinkort, til sundhedsministeren

går af § 3, stk. 1 i bekendtgørelse nr. 1615 af 18/12/2018 om adgang til og registre-

ring m.v. af lægemiddel- og vaccinationsoplysninger.

I forhold til integrationer mellem FMK og kilde- og aftagersystemerne er der udarbej-

det godkendelses kriterier, som kilde- og aftagersystemer skal leve op til for at have

adgang til FMK. Af godkendelseskriterierne fremgår at systemer skal ”Aflevere, be-

handle og vise data korrekt”. Dette viser, at ansvaret er aftalt, og ansvaret er enty-

digt. På baggrund af afgørelsen fra Datatilsynet vil Sundhedsdatastyrelsen gentage

disse kriterier over for kilde- og aftagersystemer.

Datatilsynet præciserer, at det er den dataansvarliges ansvar at anmelde et

brud på persondatasikkerheden til tilsynsmyndigheden, når den dataansvar-

lige har konstateret tab af integritet af personoplysninger i eget it-system -

også i situationer, hvor bruddet er forårsaget af fejl i kilde- og aftagersyste-

mer tilhørende en anden dataansvarlig.

Sundhedsdatastyrelsen er som ovenfor nævnt dataansvarlig for FMK, og herunder

ansvarlig for integriteten af data i FMK. Sundhedsdatastyrelsen har derfor anmeldt

pågældende hændelser til Datatilsynet, fordi der var fejl i integriteten. Sundhedsdata-

styrelsen er tilfredse med præciseringen og vil fortsætte denne praksis.

Det kan tilføjes, at Sundhedsdatastyrelsen har aftalt et møde med Region Hovedsta-

den i marts 2022, hvor det vil drøftes, om det er muligt, at vi I fællesskab kan lave for-

bedringer, så denne type fejl ikke sker igen.”

Med venlig hilsen

Magnus Heunicke

Mathias Sjöberg Pedersen

Side 2