Hvad kræves der i forhold til sikring af it services i sundhedssektoren i Danmark? Denne præsentation giver et overblik over de væsentligste juridiske elementer, hensigten med lovgivningen og hvilke hjælpemidler der findes i form af sikkerhedsservices i den nationale infrastruktur.
2. Regulering af hvad jeg må som
ansat sundhedsperson
Fagretslig praksis ift.
”ledelsesret”
Sundhedsloven
Persondataloven
”Sikkerhedsbekendtgørelsen”
(offentlig myndighed)
3. Fagretslig praksis ift.
”ledelsesret”
Sundhedsloven
Persondataloven
”Sikkerhedsbekendtgørelsen”
(offentlig myndighed)
• Persondataloven
– især §41, stk. 3 om tekniske og
organisatoriske sikkerhedsforanstaltninger
– persondata må ikke komme til
uvedkommendes til kendskab
– generelt om samtykke
• yderligere specificeret/undtaget i sundhedsloven
ift. helbredsinformationer
4. Fagretslig praksis ift.
”ledelsesret”
Sundhedsloven
Persondataloven
”Sikkerhedsbekendtgørelsen”
(offentlig myndighed)
• Ledelsesret
– arbejdsmarkedets parter har prøvet ledelsesrettens
grænser af ved en lang række konkrete sager ført ved de
fagretlige instanser
• Man er bl.a. blevet enige om at ”ledelsesret” omfatter
– Retten til at ansætte, afskedige, give direktiver for
arbejdets udførelse, fastlægge arbejdstider og pauser,
fastsætte kontrolforanstaltninger og regler for
arbejdspladsen, fortolkningsfordelen
– Dvs. arbejdsgiveren her ret til at fastsætte
arbejdsfunktioner herunder rettigheder/privilegier til og i
it-systemer.
5. Fagretslig praksis ift.
”ledelsesret”
Sundhedsloven
Persondataloven
”Sikkerhedsbekendtgørelsen”
(offentlig myndighed)
• ”Sikkerhedsbekendtgørelsen”
– BEK nr. 528 af 15/06/2000 for offentlige myndigheder
– Især §11 vedrørende adgang til data kun fra
autoriseret fagpersonale
– … relevans og formålstjenlighed
– Typisk uddelegeret fra ledelsen til
brugeradministratorer / rettighedstildeling (dvs. igen
ledelsesret)
– Bemærk: ikke ”sundhedsfaglig autorisation” som
handler om uddannelse/kompetence
6. Fagretslig praksis ift.
”ledelsesret”
Sundhedsloven
Persondataloven
”Sikkerhedsbekendtgørelsen”
(offentlig myndighed)
• Sundhedsloven
– Især §41 og §42a vedrørende hhv.
videregivelse og indhentning af
helbredsinformationer
– flere begreber:
• aktuel behandlingsrelation, delegering/medhjælp,
frabedelse af indsigt, relevans og værdispring
7. Sammensat
Ledelse
Medarbejder
(sekretær)
Sundhedsfaglig
medarbejder
Ledelsens tilrettelæggelse af arbejdsfunktioner
(her tildeling af brugeradministrator-privilegier)
Administrativ medarbejder
(brugeradministrator)
Delegeret Ledelsesmyndighed
(tildeling af arbejdsfunktioner)
Delegering iht. §42a stk. 9+10
Patient
Behandlingsrelation
Delegering
iht. §42a stk. 8+9
Samtykke
Kilde:
Referencearkitektur
for
informa3onssikkerhed,
NSI
2013
(3lpasset
i@.
værge
og
fuldmagt)
Fuldmagt
Anden borger
Anden borger
8. Indhentning af elektroniske helbredsoplysninger m.v. i forbindelse med behandling af patienter
§ 42 a. Læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, radiografer og
ambulancebehandlere med særlig kompetence kan ved opslag i elektroniske systemer i fornødent omfang indhente oplysninger om en
patients helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel
behandling af patienten. Indenrigs- og sundhedsministeren kan fastsætte regler om, at andre sundhedspersoner, der som led i deres
virksomhed deltager i behandling af patienter, kan indhente oplysninger efter reglerne i 1. pkt.
Stk. 2. Andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan ved opslag i
elektroniske systemer, hvori adgangen for den pågældende sundhedsperson teknisk er begrænset til de patienter, der er i behandling på
samme behandlingsenhed, som den pågældende sundhedsperson er tilknyttet, i fornødent omfang indhente oplysninger som nævnt i stk.
1 om aktuel behandling, når det er nødvendigt i forbindelse med aktuel behandling af patienten.
Stk. 3. På behandlingssteder med elektroniske systemer, der kun indeholder oplysninger til brug for behandling, som gives på det
pågældende behandlingssted, kan andre sundhedspersoner end dem, der er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk.
1, 2. pkt., og som er ansat på behandlingsstedet, ved opslag i sådanne systemer i fornødent omfang indhente oplysninger som nævnt i stk.
1, når det er nødvendigt i forbindelse med aktuel behandling af patienten. Dette gælder dog ikke, hvis behandlingsstedet har
sundhedsperson ansat, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt.
Stk. 4. Ledelsen på et behandlingssted kan give tilladelse til, at enkelte eller grupper af sundhedspersoner, der er ansat på det pågældende
behandlingssted, kan foretage opslag i elektroniske systemer efter stk. 1. Tilladelse efter 1. pkt. kan kun gives til sundhedspersoner, der har
behov for at kunne foretage opslag efter stk. 1 med henblik på at kunne varetage de funktioner og opgaver, vedkommende er beskæftiget
med. Beslutninger truffet efter 1. pkt. skal fremgå af en datasikkerhedsinstruks for behandlingsstedet. Beslutninger truffet efter 1. pkt. skal
gøres offentligt tilgængelige.
Stk. 5. Sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1, 2. pkt., kan endvidere indhente
oplysninger som nævnt i stk. 1, hvis indhentningen er nødvendig til berettiget varetagelse af en åbenbar almen interesse eller af
væsentlige hensyn til patienten, herunder en patient, der ikke kan varetage sine interesser, sundhedspersonen eller andre patienter.
Tilsvarende gælder sundhedspersoner med tilladelse efter stk. 4. Tilsvarende gælder endvidere andre sundhedspersoner ved opslag i
elektroniske systemer omfattet af stk. 2 og 3 på det behandlingssted, sundhedspersonen er ansat.
Stk. 6. Uden for de i stk. 1 og 5 nævnte tilfælde sundhedspersoner, som er omfattet af stk. 1, 1. pkt., eller af regler udstedt i medfør af stk. 1,
2. pkt., med patientens samtykke endvidere ved opslag i elektroniske systemer indhente oplysninger som nævnt i stk. 1 i forbindelse med
behandling af patienter.
Stk. 7. Patienten kan frabede sig, at en sundhedsperson indhenter oplysninger efter stk. 1-4.
Stk. 8. Læger og sygehusansatte tandlæger kan under disses ansvar lade medicinstuderende indhente oplysninger efter stk. 1 og 5-7.
Stk. 9. En sundhedsperson kan under dennes ansvar lade sekretærer yde teknisk bistand til opslag i oplysninger, som den pågældende
sundhedsperson selv har adgang til, jf. stk. 1-8.
Stk. 10. Uden for de i stk. 1-9 nævnte tilfælde kan læger og sygehusansatte tandlæger under disses ansvar med patientens samtykke lade
andre, der er tilknyttet samme behandlingsenhed, hvor patienten er i behandling, i fornødent omfang indhente oplysninger om patienten
som nævnt i stk. 1, 1. pkt., når det er nødvendigt i forbindelse med aktuel behandling af patienten som led i den samlede sundhedsfaglige
indsats.
9. §42a er kompleks!
• Men den kan dechifreres
• Især hvis man læser bemærkningerne til
lovforslaget
– https://www.retsinformation.dk/Forms/
R0710.aspx?id=136191
• Næste slide viser en operationalisering af
§42a
– (kilde referencearkitektur for
informationssikkerhed, NSI)
10. Er du autoriseret jf. §42a stk. 1-4?
Nej
Ja
Er du en medarbejder, der under ansvar af en
læge eller sygehusansæt tandlæge, som har
fået et udtrykkeligt samtykke af patienten,
indhenter informationer, der er nødvendige ift.
aktuel behandling? (SL §42a stk. 10)
Ja
Nej
Er du passende identificeret
og autenticitetssikret?
Nej
Ja
Er du sekretær og yder teknisk
bistand eller er du medicin-studerende,
der indhenter
oplysninger under en læges
eller sygehusansat tandlæges
ansvar? (SL §42a stk. 8+9)
Nej
Ja
STOP
Start
Har patienten givet udtrykkeligt samtykke til at
du må se de rekvirerede data?
(Persondataloven §6, SL §42a stk. 6)
Nej
Har patienten afgivet udtrykkeligt negativt
samtykke mod dig/den du arbejder på vegne
af? (SL §42a stk. 7)
Nej
Nej
Ja
Nej
Frabedelse af indsigt
Ja Nej
STOP
Er patienten i aktuel behandling hos dig/den
du arbejder på vegne af, og er det nødvendigt
for dig at få data?
Ja
Delegering
Er du/den du arbejder på vegne af, autoriseret
af ledelsen til at måtte foretage indhentningen?
(persondataloven, ledelsesret)
Ja
Nej
STOP
Ja
Har patienten frabedt sig at de rekvirerede
data kan indhentes? (SL §42a stk. 7)
Har patienten givet samtykke til at
den afdeling, du/den du arbejder
på vegne af, arbejder på må få
indsigt i de rekvirerede data
(§42a stk. 6)
Nej Ønsker du at gøre brug af
værdispringsreglen?
(§42a stk. 5)
Ja
Ja
Du kan indhente informationerne såfremt sikkerhedspolitikkerne hos den dataansvarlige myndighed tillader det.
Den dataansvarlige kan opstille skærpede krav til autorisation eller arbejdsfunktion.
11. Få mere viden …
• Rigtig meget af dette er uddybende
beskrevet i
– ”Referencearkitektur for
Informationssikkerhed”, NSI, 2013
http://www.ssi.dk/~/media/Indhold/DK%20-%20dansk/Sundhedsdata%20og%20it/NationalSundhedsIt/Standardisering/
Referencearkitektur%20for%20informationssikkerhed%20v%20%201%200%20nyt%20layout.ashx
12. Teknisk udmøntning – hvordan?
• Typisk er helbredsoplysninger følsomme og
som minimum personhenførbare
– Meget ofte krav om stærk identifikation og
autentifikation (Niveau 3-4 jf. NIST 800-63),
dvs. NemID (eller tilsvarende/bedre)
– Krav om konfidentialitet (kryptering)
– Krav om integritet (data må ikke kunne
forvanskes)
– En række andre driftsmæssige krav
(opbevaring, destruktion etc. - ISO 27001)
13. Men der er mere …
• Der skal være mulighed for
(ift. medarbejdere)
– Afgive samtykke og frasigelse
– Kontrollere behandlingsrelation
– Håndtere værdispring
– Håndtere delegering
14. Der er teknisk hjælp at hente
• Nogle af disse ”kontrolservices” findes
allerede på National Service Platform
– Behandlingsrelationsservice (BRS)
• Primært baseret på afregninger (LPR, Sygesikring) samt
henvisninger
– Samtykkeservice
• Mangler borgervendt brugergrænseflade!
• Inden dette er på plads er den ikke noget værd
• Teknisk service er dog udviklet
– FMK bemyndigelsesservice (delegering)
• Der har været tanker om at gøre denne til en national
service (for andre services end FMK)
15. Spørgsmål eller uddybning
• Kontakt
Jan Riis,
jri@lakeside.dk
tlf. 2160 7252
Lakeside A/S
Århus
Idé og Strategi
It-arkitektur
It-projektstøtte
Marselisborg Havnevej 32, 1. sal
DK-8000 Aarhus C
Tel. +45 2160 7252
www.lakeside.dk