Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)



Relaterede dokumenter
Brev til borgere der ikke har modtaget henvendelse 1

Brev til borgere der har modtaget henvendelse henvendelse

DanID A/S Lautrupbjerg 10 Postboks Ballerup

Informationssikkerhedspolitik for Region Midtjylland

Vejledning til adgang til Region Midts netværk og systemer. Vejledning til adgang til Region Midts netværk og systemer

Retsudvalget REU Alm.del Bilag 364 Offentligt

Faglig ramme om fælles gravidteam for sårbare gravide. 1. Baggrund. Bilag til samarbejdsaftale om fælles gravid team for sårbare gravide

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

hos statslige myndigheder

Redegørelse til Statsrevisorerne vedr. beretning 5/2011 om mål, resultater og opfølgning på kræftbehandlingen

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Indhold. Gert Sørensen Hospitalsdirektør

Sundhedsstyrelsens behandling i sagen om speciallæge Arne Mejlhede

Bilag. Region Midtjylland. Orientering om status på akut kræft i Region Midtjylland per 1. september 2008

At LLO Horsens på hjemmesiden

Notat til Statsrevisorerne om beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Februar 2015

Til hospitalsledelser m.fl. Vedrørende kvalitetssikring og EPJ

Sundhedslovens Kapitel 9

HØJESTERETS DOM afsagt torsdag den 20. maj 2010

Det lægelige samarbejde er delt i to - det socialt lægelige samarbejde og samarbejdet med regionen Klinisk Enhed.

Årsrapport Utilsigtede hændelser i Almen Praksis

I forbindelse med dine behandlinger her på klinikken er det nødvendigt, at jeg noterer og behandler oplysninger om dig.

Uanmeldt tilsyn. Molevitten Vestergade 82, afd. Ny Møllevej 51, Herning Kirsten Andersen. Joan Dahl Nørgaard. Mia Gry Mortensen

Opfølgning på tidligere redegørelse vedr. ufrivillig afmelding til livmoderhalskræftscreening

Folketingets Sundheds- og Ældreudvalg Christiansborg 1240 København K

Statsrevisorernes Sekretariat Folketinget Christiansborg 1240 København K FORSVARSMINISTEREN. 2. september 2014

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

IT-sikkerhedspanelets anbefalinger vedrørende privacy

Uanmeldt tilsyn. Børneby Øst- Barnets hus. Frølundvej 49, Hammerum Morten Kristensen og Per Pedersen. Pia Strandbygaard. Joan Dahl Nørgaard

Titel: Ikke ret til dataudtræk fra logoplysninger vedrørende opslag i elektroniske patientjournaler

Sundhedsstyrelsen Islands Brygge København S. Overliggernotat til Region Midtjyllands ansøgning om specialfunktioner

Statusrapport for UTH i speciallægeklinik. Årsrapport 2014

Tid og sted: Fredag den 28. juni

Hvad er der ikke fundet plads til af nye initiativer i 2009

Vejledning om ergoterapeuters ordnede optegnelser (journalføring)

Uanmeldt tilsyn. Bybørnehaven Asylet Skolegade 28, 7400 Herning Marianne Horslund Vorre. Pia Strandbygaard. Mia Mortensen

Økonomi- og Indenrigsministeriet Ministeriet for Sundhed og Forebyggelse

Informationssikkerhedspolitik. Frederiksberg Kommune

Notat til Statsrevisorerne om beretning om indsatsen for at få sygemeldte tilbage i arbejde. Juni 2014

Regionshuset Viborg. Sundhedsplanlægning Hospitalsplanlægning Skottenborg 26 DK-8800 Viborg Tel

EDI kvalitetssikring af den elektroniske kommunikation

Patientkontorets årsberetning 2015

Opsamling på høringsprocessen til regionsrådet

Afgørelse om påbud til Næstved, Slagelse og Ringsted Sygehuse

Notat vedr. registrering af lægers bibeskæftigelse 2015

Jeg skal meddele følgende:

Kommunerne Dato: i den midtjyske region:

Høringssvar vedrørende udkast til Informationssikkerhed vejledning for sundhedsvæsenet

Ministeren for sundhed og forebyggelse. Statsrevisorerne Prins Jørgens Gård 2 Christiansborg DK-1240 København K

Deltagerinformation om deltagelse i et videnskabeligt forsøg

Region Hovedstadens Psykiatri Kristineberg København Ø Sag inspektion af Skovvænget den 18.

Høring over udkast til forslag til Lov om kliniske forsøg med lægemidler. Det Etiske Råd takker for tilsendelse af ovennævnte i høring.

Uanmeldt tilsyn. Børneuniverset. Sydgaden 59, Snejbjerg Bjarne Mikkelsen. Mia Mortensen. Joan Dahl Nørgaard

Produktbeskrivelse for. Min-log service på NSP

Handlingsplan for Vestre Landsret 2014 ekstern udgave

Sammenfattende kan Datatilsynet konkludere

Skatteministeriet Nicolai Eigtveds Gade København K

Indenrigs- og Sundhedsministeriet Slotsholmsgade København K. Sendt til: med kopi til

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Sønderjyllands Amt og Område Midt Bo og Beskæftigelse har om dette spørgsmål skrevet således i udtalelsen:

Alsidig Fysioterapi Politik om Privatlivsbeskyttelse og Datasikkerhed

Indenrigs- og Socialministeriet Holmens Kanal København K. Sendt med mail til: Udkast

STATUS PÅ IMPLEMENTERINGEN AF DEN NYE OFFENTLIGHEDSLOV

Reflekterende gennemgang af skriftligt materiale: Formålet er at kontrollere om dokumentationen har en professionel og faglig tilgang

Referat fra møde i arbejdsgruppen vedr. genoptræning den 3. september 2015

Fællesregional Informationssikkerhedspolitik

HANDOUT ORIENTERING OM SAGER OG TEMAER TIL BORGERRÅDGIVERUDVALGET

Notat. vedr. Forskelle samt fordele og ulemper. ved henholdsvis. Jobcenter. Pilot-jobcenter

PSYKISK ARBEJDSMILJØ ER DIN ORGANISATION KLAR TIL AT BLIVE UDFORDRET?

Ministeren for sundhed og forebyggelse. Statsrevisorerne Prins Jørgens Gård 2 Christiansborg DK-1240 København K

Sundheds- og Forebyggelsesudvalget

VI ARBEJDER FOR RETFÆRDIGHED

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Høring over foreløbigt udkast til ændring af bekendtgørelse om offentliggørelse af afgørelser m.v. i klageog

Status for opfyldelse af akut udredning og behandling af kræft hoved-halskræft, lungekræft, tarmkræft, brystkræft og de gynækologiske kræftformer.

Syddanmark. Status, per medio oktober, på implementering af screenings- og forløbsvejledningen

Statsforvaltningens brev til faglig organisation: Henvendelse vedrørende tjenstlig advarsel meddelt af Faaborg- Midtfyn Kommune

1. Region Midtjyllands monitorering af kræftpakker

Styrelsen for Patientsikkerhed har nu truffet endelig afgørelse i sagen med sagsnr /2.

Lovgivning Indrapporteringer Offentliggørelse

Tids- og aktivitetsplan

I afsnittets telefonboks konstaterede jeg at der ved telefonen var opsat et skilt hvorpå der stod taletid max 10 minutter.

Kvalitetsstandard for støtte fra Familieteamet.

NOTAT. Til: Møde i Udvalg vedrørende evaluering af den politiske. Samspil mellem Regionsrådet og Vækstforum

IT- OG AFBUREAUKRATISERINGSUDVALGET

Rådhus Direktionen. Udviklings- og effektiviseringsstrategi for administrationen

Patientklager Side 1

Forsvarets videregivelse af personaleoplysninger til brug for markedsføring

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

Klager og anker skal være skriftlige og begrundede og sendes som anbefalet post, afleveres personligt eller mailes og stiles til:

Rigsadvokaten Informerer Nr. 5/2011

TALEPAPIR. Det talte ord gælder. Åbent samråd om dødsfald på psykiatriske. bocentre på Amager. Sundhedsudvalget, tirsdag den 1.

Sundheds- og Ældreudvalget SUU Alm.del endeligt svar på spørgsmål 134 Offentligt

Høringssvar fra Ringkøbing-Skjern Kommune på Region Midtjyllands spareplan på sundhedsområdet

Forslag til principper for takststyringsmodel 2008 i Region Midtjylland

NOTAT. Økonomi- og Erhvervsministeriet har pr. 21. marts 2011 modtaget 33 høringssvar, hvoraf 8 har haft bemærkninger til forslaget.

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Vejledning for håndtering af dialogsamtaler.

ADHD-handlingsplan 2012

Transkript:

Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Region Midtjylland modtog den 2. februar 2015 en udtalelse fra Datatilsynet med kritik af regionens MidtEPJ. Udtalelsen er afgivet efter et inspektionsbesøg på Regionshospitalet Randers den 22. november 2011. Under inspektionsbesøget deltog repræsentanter fra Regionshospitalet Randers, It og Regionssekretariatet. Dato 08-02-2015 1-51-70-1-15 Side 1 Datatilsynet udtrykker i sin udtalelse efter at sagen har været behandlet i Datarådet - kritik vedrørende en række forhold i MidtEPJ. Dele af kritikpunkterne er allerede håndteret eller kan løses i den kommende tid, mens andre kritikpunkter giver anledning til større udfordringer. En afklaring heraf vil ske i tæt samarbejde mellem It og Regionssekretariatet. Datatilsynets kritik kan opdeles i følgende hovedpunkter Region Midtjyllands indretning af EPJ-systemet er kritisabel og ikke i overensstemmelse med persondatalovens regler Kritik af, at Region Midtjylland som dataansvarlig myndighed ikke har kunnet redegøre for hjemlen/hjemlerne til personalets opslag og baggrunden for deres adgang (roller) Manglende halvårlige kontroller af udstedte autorisationer Kritik af det langstrakte forløb Administrationens bemærkninger vedrørende udtalelsen Indledningsvis bemærkes, at Region Midtjylland naturligvis skal efterleve lovgivningen. Derfor tages udtalelsen fra Datatilsynet alvorligt, og der er straks iværksat tiltag og nærmere undersøgelser for at kunne imødekomme kritikken. Administrationen ser på såvel den tekniske som den organisatoriske indretning af MidtEPJ for så

hurtigt som muligt at rette op på de dele af kritikken, som regionen umiddelbart kan løse. Endvidere vil regionen gå i dialog og samarbejde med Datatilsynet, Danske Regioner, de øvrige regioner og eventuelt Ministeriet for Sundhed og Forebyggelse med henblik på afdækning og løsning af de øvrige kritikpunkter. En del af kritikken vedrører en generel usikkerhed om rækkevidden af nogle af bestemmelserne i sundhedsloven, som antages at være af generel betydning for indretning og brug af samtlige elektroniske patientjournaler. Der er taget kontakt til Datatilsynet, der har indvilget i at mødes med Region Midtjylland den 19. februar 2015. Samme dag som mødet med Datatilsynet iværksættes der i Region Midtjylland en awareness kampagne om informationssikkerhed. Kampagnen har været planlagt igennem længere tid og er møntet på at skærpe medarbejdernes opmærksomhed omkring informationssikkerhed. Kampagnen er et udtryk for, at informationssikkerhed ikke kan løses med teknologi alene, men at det også er vigtigt at skabe ledelsesforankring og påvirkning af medarbejdernes adfærd og kultur i det daglige. En del af Datatilsynets kritik af MidtEPJ går på, at for mange medarbejdere har adgang til for mange oplysninger, hvilket også pressen efterfølgende har haft fokus på. Hertil bemærkes, at en autorisation til MidtEPJ ikke i sig selv indebærer adgang til alle oplysninger, der er registreret i MidtEPJ. Det er endvidere ikke alle med autorisation til MidtEPJ, der har adgang til at se oplysninger i sundhedsjournalen. MidtEPJ er udviklet med henblik på at sikre kontinuitet i patientbehandlingen, således at kvalitet og høj patientsikkerhed i behandlingen understøttes af relevante, opdaterede og tilgængelige data. Det er klinikernes oplevelse, at borgerne/patienterne forventer og sætter pris på, at fagpersonalet har den for behandlingen nødvendige og fuldt opdaterede viden, uanset om den kommer fra andre afdelinger, hospitalsenheder eller sektorer. MidtEPJ understøtter, at det er muligt at følge en patient og dennes behandling, uanset om patienten under forløbet har været omkring flere afdelinger. Derved undgås eksempelvis, at der foretages flere undersøgelser, scanninger og prøver, end det er nødvendigt. Tekniske begrænsninger af systemet, alt efter karakteren heraf, vil kunne medføre uhensigtsmæssige begrænsninger eksempelvis, hvis samme afdeling ligger på flere matrikler eller på flere hospitalsenheder. Derfor vil det være nødvendigt at tage en drøftelse med Datatilsynet af omfanget af og den nærmere karakter af de tekniske begrænsninger, der skal indarbejdes i MidtEPJ, således at loven selvfølgelig overholdes, mens der fortsat er fokus på patientsikkerhed og kvalitet i behandlingen. Forhold, Region Midtjylland har ændret før udtalelsen fra Datatilsynet Regionen har før udtalelsen fra Datatilsynet fået ændret proceduren for fratrådte medarbejdere, således at der automatisk ved fratrædelse og dermed sletning i lønsystemet sker udelukkelse fra MidtEPJ. I 2011 blev der indført en automatisk lukning Side 2

af autorisationer i forbindelse med ophør af ansættelser fra 2011. For autorisationer oprettet før 2011 er gennemgangen endnu ikke afsluttet. Forretningsudvalget godkendte den 9. december 2014, at der gennemføres en analyse af regionens sikkerhedsniveau og modstandsdygtighed mod forsøg på adgang til regionens systemer og data, herunder fortrolige patientdata. Analysen vil resultere i en afrapportering af Region Midtjyllands it-sikkerhedsmæssige niveau på it-driftsmæssige hovedkategorier og inden for udvalgte sikkerhedsmæssige discipliner. Heraf udledes en prioritering af indsatser på it-sikkerhedsområdet. På den baggrund tilvejebringes en erkendelse af Region Midtjyllands aktuelle risikoprofil i forhold til forventelige trusler på kort, mellemlang og lang sigt. Ligeledes skabes et grundlag for en dialog omkring iværksættelse af eventuelle tiltag med henblik på at tilpasse risikoprofilen i forhold til Region Midtjyllands risikovillighed Tiltag, der er foretaget i Region Midtjylland på baggrund af udtalelsen Lukning af visse brugerroller i MidtEPJ, herunder kapelbetjent, piccoline, præst, skolelærer, musikterapeut og ingeniør, i alt omfattende 45 brugere o hospitalsdirektørerne kan i enkelte tilfælde efter en vurdering af nødvendigheden og sagligheden for den konkrete medarbejders opgaveløsning indtil videre - tildele en autorisation It har iværksat en gennemgang af den komplette sikkerhedsmatrice (hvilke roller har adgang til hvad) for at stramme op på de meget brede og åbne roller, som har været tilfældet tidligere. It kommer med tidsplan samt indhold for implementering hurtigst muligt It er ved at gennemgå logfiler for de lukkede brugerroller og har indtil videre ikke fundet noget, der indikerer overtrædelse (dog har en enkelt foretaget opslag på egen journal, hvilket er en overtrædelse). Tiltag, som Region Midtjylland vil igangsætte snarest muligt Administrationen anerkender, at der ikke har været redegjort i tilstrækkelig grad for lovgrundlaget for personalets opslag og baggrunden for deres autorisation o Regionen kan redegøre for hovedparten af de tildelte autorisationer, og dette vil ske over for Datatilsynet snarest muligt o Der vil blive foretaget en systematisk gennemgang og kontrol af de tildelte autorisationer for at sikre, at der kun autoriseres personale, der i deres opgaveløsning har et sagligt, lovligt og relevant behov for adgangen o Sikkerhedsmodellen i MidtEPJ tillader en langt højere grad af granularitet, (det vil sige, at rettighederne kan administreres på et lavere og mere detaljeret niveau), end der hidtil er blevet anvendt i regionen. Regionen vil implementere dette, hvor det bidrager til løsning af de nuværende problemstillinger. Indstillingen og kulturen har hidtil været mest mulig åbenhed internt og færrest mulige begrænsninger. Det tager vi nu initiativ til at justere. Optimering af kontrollen af autorisationer, således at kontrollen bliver i overensstemmelse med lovgivningen Etablering af systematisk kontrol af log for MidtEPJ o Det bemærkes, at regionen har et system, der systematisk logger al aktivitet i MidtEPJ Side 3

o Kontrollen af loggen i MidtEPJ sker i dag alene i forbindelse med mistanke om misbrug, eksempelvis pga. henvendelser fra kolleger eller borgere. Endvidere foretages en systematisk kontrol af loggen for opslag foretaget i sundhedsjournalen, der sker via MidtEPJ. I løbet af de sidste fire år har denne kontrol afstedkommet to sager, der har ført til afskedigelse, og en række sager, der har bevirket anden form for personalemæssig sanktion o Regionen påbegynder etablering af en procedure for automatisk kontrol af loggen for MidtEPJ i lighed med den kontrol, der allerede gennemføres af loggen i sundhedsjournalen. I første omgang etableres en stikprøvekontrol Fra centralt hold tages initiativ til, at der sker en sikring af, at personer uden ansættelsesforhold i regionen, eksempelvis forskere, ikke har eller tildeles adgang til MidtEPJ Undersøgelse af systemtekniske muligheder for begrænsning af adgang til MidtEPJ Sikring af, at der fremadrettet sker en forudgående screening af it-systemer, der indkøbes eller udvikles, med henblik på overholdelse af gældende lovgivning Undersøgelse af andre af regionens systemer, der indeholder fortrolige og/eller personoplysninger, med henblik på overholdelse af gældende lovgivning Dialog med Datatilsynet om sagsbehandlingen Datatilsynet bærer selv en del af ansvaret for sagens langstrakte forløb. Første gang, Datatilsynet sendte bemærkninger til det foretagne tilsyn, var knap et år efter tilsynsbesøget, ligesom der også undervejs i forløbet i øvrigt har været lange svartider. Administrationen har aftalt forlængelser af svarfristerne med Datatilsynet, når dette har været nødvendigt. Administrationen anerkender dog, at regionen har haft svært ved at levere svar inden for de af Datatilsynet fastsatte frister, og at Datatilsynet har måttet stille samme spørgsmål flere gange uden at få tilstrækkelige præcise svar. Forholdet vil indgå i regionens kommende drøftelse med Datatilsynet. Drøftelse af, om det er teknisk og økonomisk muligt at tilpasse MidtEPJ til gældende lovgivning Datatilsynet har indledningsvis påpeget, at MidtEPJ bevidst er indrettet på en sådan måde, at det ikke er etableret tekniske foranstaltninger, som begrænser adgangen til patientoplysninger på tværs af regionens behandlingsenheder eller som på anden måde teknisk hindrer, at der kan ske uberettigede opslag i systemet. På den baggrund er det nødvendigt, at Region Midtjylland foretager en grundig og tilbundsgående undersøgelse af hvilke muligheder, der er for at lovliggøre systemet og hvilken udgift, det vil indebære. Dette både på det organisatoriske og tekniske niveau. Samarbejde med andre myndigheder Datatilsynet sendte samtidig en kopi af udtalelsen til Ministeriet for Sundhed og Forebyggelse med anmodning om en udtalelse fra Ministeriet om, hvorvidt MidtEPJ er i overensstemmelse med sundhedsloven. Udtalelsen og brevet til ministeriet er fremsendt til Folketingets Sundheds- og Forebyggelsesudvalg, Folketingets retsudvalg og Danske Regioner. Datatilsynet har endvidere i henvendelsen til Ministeriet peget på, at det kan være praktisk vanskeligt at foretage en opdeling af oplysninger om aktuel behandling og historiske Side 4

oplysninger, idet dette vil bero på en løbende, konkret vurdering af de pågældende oplysninger. Datatilsynet gør herved Ministeriet opmærksom på, at der behov for at se på denne del sundhedsloven. Datatilsynet anerkender hermed, at udfordringerne ikke alene er gældende for Region Midtjylland, og tilsynet kan med denne bemærkning være medvirkende til, at Region Midtjylland og Danske Regioner får igangsat en dialog med Ministeriet om de udfordringer, som det danske sundhedsvæsen dagligt står overfor, når digitale løsninger og muligheder er vanskelige at forene med lovgivningen. Det er af stor betydning for den kliniske dagligdag at få disse usikkerheder afklaret, således at de digitale værktøjer kan indrettes på en sådan måde, at de på samme tid opfylder behovet i klinikken og gældende lovgivning. Side 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback