De praktiserende lægers og regionernes
fælles enhed for kvalitetsudvikling

 

Datasikkerhed i klinikken

Det er i følge lovgivningen, den enkelte praktiserende læge som klinikejer, der er dataansvarlig for personfølsomme data der håndteres i klinikken. Det betyder at det er den dataansvarlige læges ansvar, at der foreligger relevant databehandleraftale og datavideregivelsesaftale med aktører der håndterer disse data.

Databehandleraftale:
En dataansvarlig læge kan vælge at overlade det til en anden at udføre selve den praktiske behandling af personoplysninger på den dataansvarliges vegne. Den, der herefter udfører databehandlingen, betegnes som databehandler. En databehandler kan være en (fysisk) person, en virksomhed, en offentlig myndighed etc.

Databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren (en såkaldt databehandleraftale).

Datavideregivelsesaftale:
Styrelsen for Patientsikkerhed skal ifølge sundhedsloven § 46, stk. 2, godkende videregivelse af patientjournaloplysninger til brug for konkrete forskningsprojekter. Godkendelsen kan skal ske før oplysningerne kan videregives.

Sundhedsstyrelsen blev den 8. oktober 2015 opdelt i 3 styrelser – Sundhedsstyrelsen, Lægemiddelstyrelsen og Styrelsen for Patientsikkerhed. Styrelsen for Patientsikkerhed varetager fremover vurdering af ansøgninger om videregivelse efter sundhedsloven § 46,stk. 2.

Videregivelsen af patientjournaloplysningerne kræver dog ikke Styrelsen for Patientsikkerheds godkendelse i disse situationer:

  • Patienterne giver skriftligt samtykke til videregivelsen af patientjournaloplysningerne
  • Videregivelse af oplysninger fra godkendte databaser, eksempelvis en klinisk kvalitetsdatabase. Ansøgningen om videregivelse skal sendes til databasens administrator.
  • Hvis Videnskabsetisk Komite har givet tilladelse til et projekt, hvor det som led heri er nødvendigt at få videregivet oplysninger fra patientjournaler.

Datasikkerhed i DAK-E

DAK-E kan i forhold til den dataansvarlige læge optræde som både databehandler og datavideregiver. Hvis der foretages databehandling, som det kendes fra f.eks. patientoverblikrapporter og beslutningsstøtte, optræder DAK-E som databehandler. Hvis der foretages videregivelse af data fra klinikken til f.eks. kliniske kvalitetsdatabaser, optræder DAK-E som datavideregiver.

Når der indgås databehandleraftale med DAK-E følger det af lovgivningen, at det skal det fremgå af aftalen, at DAK-E som databehandler alene handler efter instruks fra den dataansvarlige læge, og at databehandleren skal træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger skal sikre mod, at oplysningerne:

  • hændeligt eller ulovligt tilintetgøres, fortabes eller forringes,
  • kommer til uvedkommendes kendskab eller misbruges, eller
  • i øvrigt behandles i strid med lov om behandling af personoplysninger.

DAK-E foretager ekstern IT-revision og CE certificering til sikring af datasikkerhed og overholdelse af lovgivning for brugere af DAK-E.

Når den dataansvarlige læge overlader en behandling af oplysninger til en DAK-E som databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. For at sikre at den dataansvarlige læge kan leve op til lovgivningsmæssigt krav om at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos DAK-E som databehandleren, får DAK-E foretaget ekstern IT-revision fra en uafhængig tredjepart.