GDPR: Det skal du være særligt opmærksom på

6. dec. 2018

Samarbejdspraksis er nødt til at aftale med deres systemhus, hvordan de kan leve op til persondataforordningen, når de giver hinanden adgang til journaloplysninger. PLO samarbejder med systemhusene om at udvikle en slettefunktion for uaktuelle journaler, så vi kan leve op til persondataforordningen. PLO gør opmærksom på, at Datatilsynet fra årsskiftet skærper sit tilsyn med private virksomheders brug af sikker mail og SMS – dette også for klinikkerne i almen praksis.

I foråret 2018 gennemførte PLO en større informationssikkerhedskampagne og forhandlede en fælles databehandleraftale på plads med alle leverandørerne af lægepraksissystemer til almen praksis. I forbindelse med arbejdet blev PLO’s it-og dataudvalg opmærksomme på en række juridiske og tekniske problemstillinger i almen praksis, som PLO siden sommeren har fulgt op på, og som fortsat kræver en særskilt opmærksomhed.  
 
Læs mere om områderne her:


Styr på adgangen til journalsystemet i samarbejdspraksis

PLO blevet opmærksom på en række juridiske problemstillinger for de medlemmer, der er i samarbejdspraksis og har fælles journalsystem.

Problemstillingen opstår, fordi flere ydernumre i samarbejdspraksis er selvstændige dataansvarlige overfor egne tilknyttet patienter, men i praksis anvender samme journalsystem, og dermed kan kigge i hinandens patienters journaler.
 
PLO orienterede medlemmerne om problemstillingen i PLO’rientering i juni 2018, hvor PLO opfordrede medlemmerne til at anvende en justeret udgave af PLO’s privatlivspolitik og artikel 30-fortegnelse til samarbejdspraksis.

Hvis ikke samarbejdspraksis allerede i dag anvender disse tilrettede versioner, kan disse hentes på PLO’s hjemmeside (bag login): www.laeger.dk/artikel-30-fortegnelse-hvilke-personfoelsomme-oplysninger-...
 
PLO har efterfølgende været i dialog med leverandørerne af journalsystemer til almen praksis om mulige tekniske løsninger for samarbejdspraksis. Dialogen med leverandørerne har vist, at løsningen skal findes i en konkret dialog mellem samarbejdspraksis og dennes leverandør, da der er stor forskel på organiseringen i samarbejdspraksis.

Det er således ikke muligt at udvikle én fælles løsning, som virker på tværs af alle samarbejdspraksis og alle otte lægepraksissystemer.
 
PLO opfordrer til, at alle i samarbejdspraksis er særligt opmærksomme på, hvem der har adgang til journalsystemet af hensyn til fortroligheden med patienterne og ved et eventuelt besøg fra Datatilsynet. 
 
PLO opfordrer ligeledes til, at samarbejdspraksis går i dialog med deres leverandør af lægepraksissystem om mulige tekniske løsninger. 

PLO'rientering 23/2018


PLO arbejder med en ’slettefunktion’ i journalsystemet

PLO har modtaget en række medlemshenvendelser om, hvornår der implementeres funktioner i deres journalsystemet, som kan understøtte håndtering kravet om at slette personfølsomme oplysninger, hvis disse ikke længere er relevante for den dataansvarlige at opbevare. 
 
Der findes i dag ikke nogen nem og overskuelig måde at rydde op i gamle patientjournaler på, hvorfor det i praksis er svært for lægen at efterleve reglerne i dag. 
 
For at hjælpe klinikkerne med at efterleve reglerne har PLO i efteråret igangsæt et arbejde i samarbejde med alle otte leverandører af lægepraksissystemer, der skal føre til tekniske løsninger, som kan implementeres i journalsystemerne i almen praksis. 
 
Status på arbejdet er, at PLO har rettet henvendelse til de relevante myndigheder om den præcise tolkning af reglerne i både sundhedsloven, bogføringsloven og persondataloven for at være helt sikker på den korrekte tolkning af opbevarings- og sletteregler for journaler, inden der implementeres en teknisk slettefunktion i alle otte systemer. 
 
PLO afventer nu svar fra myndighederne og vil efterfølgende bede systemleverandører om at implementere de nødvendige tekniske løsninger i journalsystemerne.

PLO'rientering 23/2018


Fra januar 2019 stiller Datatilsynet skærpet krav til anvendelse af sikker e-mail og SMS
Klinikker, som bruger mail- og SMS-kommunikation med patienterne, bør derfor være ekstra opmærksomme på udveksling af personfølsomme oplysninger via disse kanaler. 
 
PLO har undersøgt, hvad Datatilsynets krav betyder for almen praksis, hvilke områder hvor kommunikationen allerede i dag er sikker, og hvor der er udeståender. 
 
Det skal bemærkes, at langt størstedelen af klinikkernes kommunikation med patienter og myndigheder sker over sikre krypterede forbindelse. Alt kommunikation gennem lægepraksissystemet er krypteret og kan kun sendes til godkendte modtagere. 

Kommunikation til patienterne foregår gennem klinikkernes hjemmesider og patientportaler med logins. Klinikkens kommunikation, som virksomhed, med offentlige myndigheder foregår via E-Boks og virk.dk. 
 
Der udestår dog fortsat et par områder, hvor der i den kommende tid bør arbejdes med sikker kommunikation. Til patienterne handler det om at kunne sende personfølsomme oplysninger (fx uddrag af journalen) fra klinikken til patienten via sikker mail. Og til myndighederne handler det om, at visse offentlige myndigheder i dag sender og anmoder om oplysninger om patienterne gennem klinikkens virksomhedsmail (digital post/E-boks).  
 
Hvis klinikken ikke allerede i dag har løsninger til at sende sikker mail til patienterne, opfordrer PLO til, at medlemmerne er opmærksomme på den skærpede praksis fra Datatilsynet og undersøger mulige tekniske løsninger, hvis man som klinik har behov for denne type kommunikation. 
 
I dag tilbyder flere af lægepraksisleverandørerne mulighed for at bruge E-Boks til patienterne, og den kommende PLO-app Min Læge vil tilbyde en ny og sikker kommunikationsvej fra klinikken til patienten for at påminde dem om fx aftaler og sikker e-kommunikation.
 
PLO vil i den kommende tid undersøge, hvordan klinikkerne kan undgå at modtage patientrelaterede henvendelser gennem klinikkens virksomhedsmail og i stedet få dem sendt direkte i journalsystemet.

PLO'rientering 23/2018


Denne statusartikel blev bragt via PLO'rientering 23/2018, der blev sendt ud til PLO's medlemmer den 7. december 2018