SlideShare une entreprise Scribd logo
1  sur  16
Télécharger pour lire hors ligne
Sikring af it-services i 
sundhedssektoren 
§42a mm.
Regulering af hvad jeg må som 
ansat sundhedsperson 
Fagretslig praksis ift. 
”ledelsesret” 
Sundhedsloven 
Persondataloven 
”Sikkerhedsbekendtgørelsen” 
(offentlig myndighed)
Fagretslig praksis ift. 
”ledelsesret” 
Sundhedsloven 
Persondataloven 
”Sikkerhedsbekendtgørelsen” 
(offentlig myndighed) 
• Persondataloven 
– især §41, stk. 3 om tekniske og 
organisatoriske sikkerhedsforanstaltninger 
– persondata må ikke komme til 
uvedkommendes til kendskab 
– generelt om samtykke 
• yderligere specificeret/undtaget i sundhedsloven 
ift. helbredsinformationer
Fagretslig praksis ift. 
”ledelsesret” 
Sundhedsloven 
Persondataloven 
”Sikkerhedsbekendtgørelsen” 
(offentlig myndighed) 
• Ledelsesret 
– arbejdsmarkedets parter har prøvet ledelsesrettens 
grænser af ved en lang række konkrete sager ført ved de 
fagretlige instanser 
• Man er bl.a. blevet enige om at ”ledelsesret” omfatter 
– Retten til at ansætte, afskedige, give direktiver for 
arbejdets udførelse, fastlægge arbejdstider og pauser, 
fastsætte kontrolforanstaltninger og regler for 
arbejdspladsen, fortolkningsfordelen 
– Dvs. arbejdsgiveren her ret til at fastsætte 
arbejdsfunktioner herunder rettigheder/privilegier til og i 
it-systemer.
Fagretslig praksis ift. 
”ledelsesret” 
Sundhedsloven 
Persondataloven 
”Sikkerhedsbekendtgørelsen” 
(offentlig myndighed) 
• ”Sikkerhedsbekendtgørelsen” 
– BEK nr. 528 af 15/06/2000 for offentlige myndigheder 
– Især §11 vedrørende adgang til data kun fra 
autoriseret fagpersonale 
– … relevans og formålstjenlighed 
– Typisk uddelegeret fra ledelsen til 
brugeradministratorer / rettighedstildeling (dvs. igen 
ledelsesret) 
– Bemærk: ikke ”sundhedsfaglig autorisation” som 
handler om uddannelse/kompetence
Fagretslig praksis ift. 
”ledelsesret” 
Sundhedsloven 
Persondataloven 
”Sikkerhedsbekendtgørelsen” 
(offentlig myndighed) 
• Sundhedsloven 
– Især §41 og §42a vedrørende hhv. 
videregivelse og indhentning af 
helbredsinformationer 
– flere begreber: 
• aktuel behandlingsrelation, delegering/medhjælp, 
frabedelse af indsigt, relevans og værdispring
Sammensat 
Ledelse 
Medarbejder 
(sekretær) 
Sundhedsfaglig 
medarbejder 
Ledelsens tilrettelæggelse af arbejdsfunktioner 
(her tildeling af brugeradministrator-privilegier) 
Administrativ medarbejder 
(brugeradministrator) 
Delegeret Ledelsesmyndighed 
(tildeling af arbejdsfunktioner) 
Delegering iht. §42a stk. 9+10 
Patient 
Behandlingsrelation 
Delegering 
iht. §42a stk. 8+9 
Samtykke 
Kilde: 
Referencearkitektur 
for 
informa3onssikkerhed, 
NSI 
2013 
(3lpasset 
i@. 
værge 
og 
fuldmagt) 
Fuldmagt 
Anden borger 
Anden borger
Indhentning af elektroniske helbredsoplysninger m.v. i forbindelse med behandling af patienter 
§ 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og 
ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en 
patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel 
behandling af patienten. Indenrigs- og sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres 
virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt. 
Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i 
elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på 
samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 
1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten. 
Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det 
pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 
1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk. 
1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har 
sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt. 
Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende 
behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har 
behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget 
med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal 
gøres offentligt tilgængelige. 
Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente 
oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af 
væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. 
Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i 
elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat. 
Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 
2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med 
behandling af patienter. 
Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4. 
Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1 og 5-7. 
Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende 
sundhedsperson selv har adgang til, jf. stk. 1-8. 
Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade 
andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten 
som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige 
indsats.
§42a er kompleks! 
• Men den kan dechifreres 
• Især hvis man læser bemærkningerne til 
lovforslaget 
– https://www.retsinformation.dk/Forms/ 
R0710.aspx?id=136191 
• Næste slide viser en operationalisering af 
§42a 
– (kilde referencearkitektur for 
informationssikkerhed, NSI)
Er du autoriseret jf. §42a stk. 1-4? 
Nej 
Ja 
Er du en medarbejder, der under ansvar af en 
læge eller sygehusansæt tandlæge, som har 
fået et udtrykkeligt samtykke af patienten, 
indhenter informationer, der er nødvendige ift. 
aktuel behandling? (SL §42a stk. 10) 
Ja 
Nej 
Er du passende identificeret 
og autenticitetssikret? 
Nej 
Ja 
Er du sekretær og yder teknisk 
bistand eller er du medicin-studerende, 
der indhenter 
oplysninger under en læges 
eller sygehusansat tandlæges 
ansvar? (SL §42a stk. 8+9) 
Nej 
Ja 
STOP 
Start 
Har patienten givet udtrykkeligt samtykke til at 
du må se de rekvirerede data? 
(Persondataloven §6, SL §42a stk. 6) 
Nej 
Har patienten afgivet udtrykkeligt negativt 
samtykke mod dig/den du arbejder på vegne 
af? (SL §42a stk. 7) 
Nej 
Nej 
Ja 
Nej 
Frabedelse af indsigt 
Ja Nej 
STOP 
Er patienten i aktuel behandling hos dig/den 
du arbejder på vegne af, og er det nødvendigt 
for dig at få data? 
Ja 
Delegering 
Er du/den du arbejder på vegne af, autoriseret 
af ledelsen til at måtte foretage indhentningen? 
(persondataloven, ledelsesret) 
Ja 
Nej 
STOP 
Ja 
Har patienten frabedt sig at de rekvirerede 
data kan indhentes? (SL §42a stk. 7) 
Har patienten givet samtykke til at 
den afdeling, du/den du arbejder 
på vegne af, arbejder på må få 
indsigt i de rekvirerede data 
(§42a stk. 6) 
Nej Ønsker du at gøre brug af 
værdispringsreglen? 
(§42a stk. 5) 
Ja 
Ja 
Du kan indhente informationerne såfremt sikkerhedspolitikkerne hos den dataansvarlige myndighed tillader det. 
Den dataansvarlige kan opstille skærpede krav til autorisation eller arbejdsfunktion.
Få mere viden … 
• Rigtig meget af dette er uddybende 
beskrevet i 
– ”Referencearkitektur for 
Informationssikkerhed”, NSI, 2013 
http://www.ssi.dk/~/media/Indhold/DK%20-%20dansk/Sundhedsdata%20og%20it/NationalSundhedsIt/Standardisering/ 
Referencearkitektur%20for%20informationssikkerhed%20v%20%201%200%20nyt%20layout.ashx
Teknisk udmøntning – hvordan? 
• Typisk er helbredsoplysninger følsomme og 
som minimum personhenførbare 
– Meget ofte krav om stærk identifikation og 
autentifikation (Niveau 3-4 jf. NIST 800-63), 
dvs. NemID (eller tilsvarende/bedre) 
– Krav om konfidentialitet (kryptering) 
– Krav om integritet (data må ikke kunne 
forvanskes) 
– En række andre driftsmæssige krav 
(opbevaring, destruktion etc. - ISO 27001)
Men der er mere … 
• Der skal være mulighed for 
(ift. medarbejdere) 
– Afgive samtykke og frasigelse 
– Kontrollere behandlingsrelation 
– Håndtere værdispring 
– Håndtere delegering
Der er teknisk hjælp at hente 
• Nogle af disse ”kontrolservices” findes 
allerede på National Service Platform 
– Behandlingsrelationsservice (BRS) 
• Primært baseret på afregninger (LPR, Sygesikring) samt 
henvisninger 
– Samtykkeservice 
• Mangler borgervendt brugergrænseflade! 
• Inden dette er på plads er den ikke noget værd 
• Teknisk service er dog udviklet 
– FMK bemyndigelsesservice (delegering) 
• Der har været tanker om at gøre denne til en national 
service (for andre services end FMK)
Spørgsmål eller uddybning 
• Kontakt 
Jan Riis, 
jri@lakeside.dk 
tlf. 2160 7252 
Lakeside A/S 
Århus 
Idé og Strategi 
It-arkitektur 
It-projektstøtte 
Marselisborg Havnevej 32, 1. sal 
DK-8000 Aarhus C 
Tel. +45 2160 7252 
www.lakeside.dk
Sikring af it-services i sundhedssektoren

Contenu connexe

En vedette

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at WorkGetSmarter
 

En vedette (20)

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 

Sikring af it-services i sundhedssektoren

  • 1. Sikring af it-services i sundhedssektoren §42a mm.
  • 2. Regulering af hvad jeg må som ansat sundhedsperson Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed)
  • 3. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Persondataloven – især §41, stk. 3 om tekniske og organisatoriske sikkerhedsforanstaltninger – persondata må ikke komme til uvedkommendes til kendskab – generelt om samtykke • yderligere specificeret/undtaget i sundhedsloven ift. helbredsinformationer
  • 4. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Ledelsesret – arbejdsmarkedets parter har prøvet ledelsesrettens grænser af ved en lang række konkrete sager ført ved de fagretlige instanser • Man er bl.a. blevet enige om at ”ledelsesret” omfatter – Retten til at ansætte, afskedige, give direktiver for arbejdets udførelse, fastlægge arbejdstider og pauser, fastsætte kontrolforanstaltninger og regler for arbejdspladsen, fortolkningsfordelen – Dvs. arbejdsgiveren her ret til at fastsætte arbejdsfunktioner herunder rettigheder/privilegier til og i it-systemer.
  • 5. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • ”Sikkerhedsbekendtgørelsen” – BEK nr. 528 af 15/06/2000 for offentlige myndigheder – Især §11 vedrørende adgang til data kun fra autoriseret fagpersonale – … relevans og formålstjenlighed – Typisk uddelegeret fra ledelsen til brugeradministratorer / rettighedstildeling (dvs. igen ledelsesret) – Bemærk: ikke ”sundhedsfaglig autorisation” som handler om uddannelse/kompetence
  • 6. Fagretslig praksis ift. ”ledelsesret” Sundhedsloven Persondataloven ”Sikkerhedsbekendtgørelsen” (offentlig myndighed) • Sundhedsloven – Især §41 og §42a vedrørende hhv. videregivelse og indhentning af helbredsinformationer – flere begreber: • aktuel behandlingsrelation, delegering/medhjælp, frabedelse af indsigt, relevans og værdispring
  • 7. Sammensat Ledelse Medarbejder (sekretær) Sundhedsfaglig medarbejder Ledelsens tilrettelæggelse af arbejdsfunktioner (her tildeling af brugeradministrator-privilegier) Administrativ medarbejder (brugeradministrator) Delegeret Ledelsesmyndighed (tildeling af arbejdsfunktioner) Delegering iht. §42a stk. 9+10 Patient Behandlingsrelation Delegering iht. §42a stk. 8+9 Samtykke Kilde: Referencearkitektur for informa3onssikkerhed, NSI 2013 (3lpasset i@. værge og fuldmagt) Fuldmagt Anden borger Anden borger
  • 8. Indhentning af elektroniske helbredsoplysninger m.v. i forbindelse med behandling af patienter § 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Indenrigs- og sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt. Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk. 1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt. Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal gøres offentligt tilgængelige. Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat. Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter. Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4. Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1 og 5-7. Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv har adgang til, jf. stk. 1-8. Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige indsats.
  • 9. §42a er kompleks! • Men den kan dechifreres • Især hvis man læser bemærkningerne til lovforslaget – https://www.retsinformation.dk/Forms/ R0710.aspx?id=136191 • Næste slide viser en operationalisering af §42a – (kilde referencearkitektur for informationssikkerhed, NSI)
  • 10. Er du autoriseret jf. §42a stk. 1-4? Nej Ja Er du en medarbejder, der under ansvar af en læge eller sygehusansæt tandlæge, som har fået et udtrykkeligt samtykke af patienten, indhenter informationer, der er nødvendige ift. aktuel behandling? (SL §42a stk. 10) Ja Nej Er du passende identificeret og autenticitetssikret? Nej Ja Er du sekretær og yder teknisk bistand eller er du medicin-studerende, der indhenter oplysninger under en læges eller sygehusansat tandlæges ansvar? (SL §42a stk. 8+9) Nej Ja STOP Start Har patienten givet udtrykkeligt samtykke til at du må se de rekvirerede data? (Persondataloven §6, SL §42a stk. 6) Nej Har patienten afgivet udtrykkeligt negativt samtykke mod dig/den du arbejder på vegne af? (SL §42a stk. 7) Nej Nej Ja Nej Frabedelse af indsigt Ja Nej STOP Er patienten i aktuel behandling hos dig/den du arbejder på vegne af, og er det nødvendigt for dig at få data? Ja Delegering Er du/den du arbejder på vegne af, autoriseret af ledelsen til at måtte foretage indhentningen? (persondataloven, ledelsesret) Ja Nej STOP Ja Har patienten frabedt sig at de rekvirerede data kan indhentes? (SL §42a stk. 7) Har patienten givet samtykke til at den afdeling, du/den du arbejder på vegne af, arbejder på må få indsigt i de rekvirerede data (§42a stk. 6) Nej Ønsker du at gøre brug af værdispringsreglen? (§42a stk. 5) Ja Ja Du kan indhente informationerne såfremt sikkerhedspolitikkerne hos den dataansvarlige myndighed tillader det. Den dataansvarlige kan opstille skærpede krav til autorisation eller arbejdsfunktion.
  • 11. Få mere viden … • Rigtig meget af dette er uddybende beskrevet i – ”Referencearkitektur for Informationssikkerhed”, NSI, 2013 http://www.ssi.dk/~/media/Indhold/DK%20-%20dansk/Sundhedsdata%20og%20it/NationalSundhedsIt/Standardisering/ Referencearkitektur%20for%20informationssikkerhed%20v%20%201%200%20nyt%20layout.ashx
  • 12. Teknisk udmøntning – hvordan? • Typisk er helbredsoplysninger følsomme og som minimum personhenførbare – Meget ofte krav om stærk identifikation og autentifikation (Niveau 3-4 jf. NIST 800-63), dvs. NemID (eller tilsvarende/bedre) – Krav om konfidentialitet (kryptering) – Krav om integritet (data må ikke kunne forvanskes) – En række andre driftsmæssige krav (opbevaring, destruktion etc. - ISO 27001)
  • 13. Men der er mere … • Der skal være mulighed for (ift. medarbejdere) – Afgive samtykke og frasigelse – Kontrollere behandlingsrelation – Håndtere værdispring – Håndtere delegering
  • 14. Der er teknisk hjælp at hente • Nogle af disse ”kontrolservices” findes allerede på National Service Platform – Behandlingsrelationsservice (BRS) • Primært baseret på afregninger (LPR, Sygesikring) samt henvisninger – Samtykkeservice • Mangler borgervendt brugergrænseflade! • Inden dette er på plads er den ikke noget værd • Teknisk service er dog udviklet – FMK bemyndigelsesservice (delegering) • Der har været tanker om at gøre denne til en national service (for andre services end FMK)
  • 15. Spørgsmål eller uddybning • Kontakt Jan Riis, jri@lakeside.dk tlf. 2160 7252 Lakeside A/S Århus Idé og Strategi It-arkitektur It-projektstøtte Marselisborg Havnevej 32, 1. sal DK-8000 Aarhus C Tel. +45 2160 7252 www.lakeside.dk