Sikring af it-services i sundhedssektoren

Sikring af it-services i sundhedssektoren

§42a mm.

Regulering af hvad jeg må som ansat sundhedsperson

Sundhedsloven

Fagretslig praksis ift. ”ledelsesret”

”Sikkerhedsbekendtgørelsen” (offentlig myndighed)

Persondataloven

•  Persondataloven –  især §41, stk. 3 om tekniske og

organisatoriske sikkerhedsforanstaltninger – persondata må ikke komme til

uvedkommendes til kendskab – generelt om samtykke

•  yderligere specificeret/undtaget i sundhedsloven ift. helbredsinformationer

Sundhedsloven



Persondataloven

•  Ledelsesret –  arbejdsmarkedets parter har prøvet ledelsesrettens

grænser af ved en lang række konkrete sager ført ved de fagretlige instanser

•  Man er bl.a. blevet enige om at ”ledelsesret” omfatter –  Retten til at ansætte, afskedige, give direktiver for

arbejdets udførelse, fastlægge arbejdstider og pauser, fastsætte kontrolforanstaltninger og regler for arbejdspladsen, fortolkningsfordelen

–  Dvs. arbejdsgiveren her ret til at fastsætte arbejdsfunktioner herunder rettigheder/privilegier til og i it-systemer.

Sundhedsloven



Persondataloven

•  ”Sikkerhedsbekendtgørelsen” –  BEK nr. 528 af 15/06/2000 for offentlige myndigheder –  Især §11 vedrørende adgang til data kun fra

autoriseret fagpersonale –  … relevans og formålstjenlighed –  Typisk uddelegeret fra ledelsen til

brugeradministratorer / rettighedstildeling (dvs. igen ledelsesret)

–  Bemærk: ikke ”sundhedsfaglig autorisation” som handler om uddannelse/kompetence

Sundhedsloven



Persondataloven

•  Sundhedsloven –  Især §41 og §42a vedrørende hhv.

videregivelse og indhentning af helbredsinformationer

–  flere begreber: •  aktuel behandlingsrelation, delegering/medhjælp,

frabedelse af indsigt, relevans og værdispring

Sundhedsloven



Persondataloven

Sammensat

Ledelse

Medarbejder (sekretær)

Sundhedsfaglig medarbejder

Delegering iht. §42a stk. 9+10

Patient

Behandlingsrelation

Delegering iht. §42a stk. 8+9

Samtykke

Ledelsens tilrettelæggelse af arbejdsfunktioner (her tildeling af brugeradministrator-privilegier)

Delegeret Ledelsesmyndighed (tildeling af arbejdsfunktioner)

Administrativ medarbejder (brugeradministrator)

Fuldmagt

Anden borger

Anden borger

Kilde: Referencearkitektur for informa3onssikkerhed, NSI 2013 (3lpasset i@. værge og fuldmagt)

Indhentning af elektroniske helbredsoplysninger m.v. i forbindelse med behandling af patienter § 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Indenrigs- og sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt. Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk. 1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk. 1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt. Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal gøres offentligt tilgængelige. Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter. Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat. Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med behandling af patienter. Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4. Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1 og 5-7. Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende sundhedsperson selv har adgang til, jf. stk. 1-8. Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige indsats.

§42a er kompleks!

•  Men den kan dechifreres •  Især hvis man læser bemærkningerne til

lovforslaget – https://www.retsinformation.dk/Forms/

R0710.aspx?id=136191 •  Næste slide viser en operationalisering af

§42a –  (kilde referencearkitektur for

informationssikkerhed, NSI)

Er du autoriseret jf. §42a stk. 1-4? Nej

Ja

Er du en medarbejder, der under ansvar af en læge eller sygehusansæt tandlæge, som har fået et udtrykkeligt samtykke af patienten, indhenter informationer, der er nødvendige ift. aktuel behandling? (SL §42a stk. 10)

Ja

Nej

Er du passende identificeret og autenticitetssikret?

Nej

Ja Er du sekretær og yder teknisk bistand eller er du medicin-studerende, der indhenter oplysninger under en læges eller sygehusansat tandlæges ansvar? (SL §42a stk. 8+9)

Nej

Ja

STOP

Har patienten afgivet udtrykkeligt negativt samtykke mod dig/den du arbejder på vegne af? (SL §42a stk. 7)

Nej

Nej

Ja

Ja Nej STOP

Er patienten i aktuel behandling hos dig/den du arbejder på vegne af, og er det nødvendigt for dig at få data?

Ja

Nej

Delegering

Er du/den du arbejder på vegne af, autoriseret af ledelsen til at måtte foretage indhentningen?(persondataloven, ledelsesret)

Ja

Nej

STOP

Ja

Har patienten frabedt sig at de rekvirerede data kan indhentes? (SL §42a stk. 7)

Nej Har patienten givet samtykke til at den afdeling, du/den du arbejder på vegne af, arbejder på må få indsigt i de rekvirerede data (§42a stk. 6)

Nej Ønsker du at gøre brug af værdispringsreglen?

(§42a stk. 5)

Ja Ja

Du kan indhente informationerne såfremt sikkerhedspolitikkerne hos den dataansvarlige myndighed tillader det. Den dataansvarlige kan opstille skærpede krav til autorisation eller arbejdsfunktion.

Har patienten givet udtrykkeligt samtykke til at du må se de rekvirerede data? (Persondataloven §6, SL §42a stk. 6)

Frabedelse af indsigt

Start

Få mere viden …

•  Rigtig meget af dette er uddybende beskrevet i – ”Referencearkitektur for

Informationssikkerhed”, NSI, 2013

http://www.ssi.dk/~/media/Indhold/DK%20-%20dansk/Sundhedsdata%20og%20it/NationalSundhedsIt/Standardisering/Referencearkitektur%20for%20informationssikkerhed%20v%20%201%200%20nyt%20layout.ashx

Teknisk udmøntning – hvordan?

•  Typisk er helbredsoplysninger følsomme og som minimum personhenførbare – Meget ofte krav om stærk identifikation og

autentifikation (Niveau 3-4 jf. NIST 800-63), dvs. NemID (eller tilsvarende/bedre)

– Krav om konfidentialitet (kryptering) – Krav om integritet (data må ikke kunne

forvanskes) – En række andre driftsmæssige krav

(opbevaring, destruktion etc. - ISO 27001)

Men der er mere …

•  Der skal være mulighed for (ift. medarbejdere) – Afgive samtykke og frasigelse – Kontrollere behandlingsrelation – Håndtere værdispring – Håndtere delegering

Der er teknisk hjælp at hente

•  Nogle af disse ”kontrolservices” findes allerede på National Service Platform –  Behandlingsrelationsservice (BRS)

•  Primært baseret på afregninger (LPR, Sygesikring) samt henvisninger

–  Samtykkeservice •  Mangler borgervendt brugergrænseflade! •  Inden dette er på plads er den ikke noget værd •  Teknisk service er dog udviklet

–  FMK bemyndigelsesservice (delegering) •  Der har været tanker om at gøre denne til en national

service (for andre services end FMK)

Spørgsmål eller uddybning

•  Kontakt Jan Riis, [email protected] tlf. 2160 7252

Lakeside A/S

Århus

Idé og Strategi

It-arkitektur

It-projektstøtte Marselisborg Havnevej 32, 1. sal DK-8000 Aarhus C Tel. +45 2160 7252 www.lakeside.dk

Health & Medicine

Sikring af it-services i sundhedssektoren