Artikel 29-gruppen vedrørende databeskyttelse 00323/07/DA WP 131 Arbejdsdokument vedrørende behandling af personlige sundhedsoplysninger i elektroniske patientjournaler (EPJ) Vedtaget den 15. februar 2007 Arbejdsgruppen er nedsat i medfør af artikel 29 i direktiv 95/46/EF. Den er et uafhængigt europæisk rådgivende organ vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet forestås af Direktorat C (Civilret, grundlæggende rettigheder og EU-borgerskab) under Europa-Kommissionens Generaldirektorat for Retfærdighed, Frihed og Sikkerhed, B-1049 Bruxelles, Belgien. Kontor: LX-46 01/43. Websted:
RESUMÉ I dette arbejdsdokument vedrørende behandling af personlige sundhedsoplysninger i elektroniske patientjournaler (EPJ) giver artikel 29-gruppen råd og vejledning om, hvordan retsbestemmelserne vedrørende databeskyttelse i EPJ-systemer skal fortolkes, og forklarer nogle af de generelle principper. Arbejdsdokumentet indeholder også oplysninger om databeskyttelseskravene i forbindelse med etablering af EPJ-systemer og de beskyttelsesmekanismer, systemerne skal indeholde. Artikel 29-gruppen ser først nærmere på de generelle retsforskrifter for databeskyttelse i forbindelse med EPJ-systemer. Artikel 29-gruppen minder om det generelle forbud mod at behandle personlige sundhedsoplysninger i medfør af artikel 8, stk. 1, i direktiv 95/46/EF om databeskyttelse og undersøger derefter den mulige anvendelse af undtagelserne i direktivets artikel 8, stk. 2, 3 og 4, i forbindelse med EPJ-systemer, samtidig med at den understreger, at sådanne undtagelser skal fortolkes snævert. Artikel 29-gruppen redegør desuden for sine overvejelser om, hvilke retsforskrifter der kunne være passende for EPJ-systemer, og kommer med anbefalinger vedrørende elleve områder, hvor det især forekommer nødvendigt med særlige beskyttelsesmekanismer i forbindelse med EPJ-systemer for at beskytte patienters og enkeltpersoners databeskyttelsesrettigheder. Disse omfatter: 1. Respekten for selvbestemmelsesretten 2. Identifikation og autentifikation af patienter og erhvervsudøvende i sundhedssektoren 3. Adgang til EPJ for at læse og skrive i dem 4. Anvendelse af EPJ til andre formål 5. EPJ-systemers struktur 6. Datakategorier, der lagres i EPJ, og måder, hvorpå de præsenteres 7. International overførsel af patientoplysninger 8. Datasikkerhed 9. Gennemsigtighed 10. Ansvar 11. Kontrolmekanismer til brug i forbindelse med databehandling i EPJ-systemer Artikel 29-gruppen opfordrer læger og alle andre i sundhedssektoren, alle involverede personer og institutioner samt den brede offentlighed til at fremkomme med bemærkninger til dette arbejdsdokument. 2 / 24
INDHOLDSFORTEGNELSE I. INDLEDNING... 4 II. RAMMEBESTEMMELSER FOR DATABESKYTTELSE I FORBINDELSE MED ELEKTRONISKE PATIENTJOURNALER... 6 1. Generelle principper... 6 2. Særlig beskyttelse af følsomme personoplysninger... 7 3. Et generelt forbud mod at behandle personlige sundhedsoplysninger med undtagelser... 8 4. Artikel 8, stk. 2, litra a): Udtrykkeligt samtykke... 8 5. Artikel 8, stk. 2, litra c): Den registreredes vitale interesser... 10 6. Artikel 8, stk. 3: Behandling af (lægelige) oplysninger foretaget af en erhvervsudøvende i sundhedssektoren... 10 7. Artikel 8, stk. 4: Undtagelser på grund af vigtige samfundsmæssige interesser... 12 III. OVERVEJELSER VEDRØRENDE PASSENDE RETLIGE RAMMEBESTEMMELSER FOR EPJ-SYSTEMER... 14 1. Respekten for selvbestemmelsesretten... 14 2. Identifikation og autentifikation af patienter og erhvervsudøvende i sundhedssektoren... 15 3. Adgang til EPJ for at læse og skrive i dem... 16 4. Anvendelse af EPJ til andre formål... 17 5. EPJ-systemers struktur... 18 6. Datakategorier, der lagres i EPJ, og måder, hvorpå de præsenteres... 19 7. International overførsel af patientoplysninger... 20 8. Datasikkerhed... 21 9. Gennemsigtighed... 22 10. Ansvar... 22 11. Kontrolmekanismer til brug i forbindelse med databehandling i EPJ-systemer... 23 IV. KONKLUSION... 23 3 / 24
GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER HAR - under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1, særlig artikel 29 og artikel 30, stk. 1, litra b), under henvisning til gruppens forretningsorden 2, særlig artikel 12 og 14 - VEDTAGET FØLGENDE ARBEJDSDOKUMENT: I. Indledning Formålet med dette arbejdsdokument fra artikel 29-gruppen er at vejlede om, hvordan de retsforskrifter, der finder anvendelse på databeskyttelse i forbindelse med elektroniske patientjournaler (EPJ) skal fortolkes, og at fastsætte nogle generelle principper. Derudover er målet også at redegøre for forudsætningerne for i lyset af kravene om databeskyttelse at oprette et landsdækkende EPJ-system og for de beskyttelsesmekanismer, systemet skal indeholde. Udgifterne til folkesundhedsordninger stiger dramatisk, og regeringerne leder efter nye strategier til at løse problemet. En af de løsninger, der ofte foreslås, er "elektroniske patientjournaler" (EPJ). Andre synonymer for det samme er bl.a. "elektronisk lægejournal" og "elektronisk sygejournal". I dette arbejdsdokument forstås ved "elektronisk patientjournal" (EPJ): "En udførlig patientjournal eller et lignende dokument i elektronisk form om en persons tidligere og nuværende fysiske og mentale helbredstilstand, der giver umiddelbar adgang til disse oplysninger med henblik på lægebehandling og andre hertil tæt knyttede formål 3." Traditionelt har forskellige erhvervsudøvende i sundhedssektoren opbevaret dokumentation om lægebehandlinger, men oplysningerne var ikke samlet i én enkelt journal. I modsætning hertil sigter EPJ mod at samle al foreliggende dokumentation om en persons lægebehandling fra forskellige kilder og fra forskellige tidspunkter. En EPJ vil således indeholde så mange oplysninger som muligt om en persons tidligere og nuværende helbredstilstand over et betydeligt tidsrum, måske hele livet ("fra vugge til grav"). Når oplysningerne er samlet i en EPJ, vil de være tilgængelige i elektronisk form for alle autoriserede erhvervsudøvende i sundhedssektoren og andre autoriserede institutioner, når og hvis der er brug for dem. EPJ anses for at være velegnet til at forbedre kvaliteten af behandlingen, fordi der foreligger bedre oplysninger om patienten 1 2 3 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. EFT L 281 af 23.11.1995, s. 31 (herefter kaldet "direktivet"); det kan ses på: http://ec.europa.eu/justice_home/fsj/privacy/law/index_da.htm.. Vedtaget af gruppen på dens tredje møde den 11.9.1996. "Lægebehandling og tæt tilknyttede formål" henviser til de formål, der er omhandlet i direktivets artikel 8, stk. 3. 4 / 24
at forbedre rentabiliteten ved lægebehandlinger og således forhindre, at udgifterne til sundhedssektoren hurtigt vokser yderligere at tilvejebringe de nødvendige oplysninger med henblik på kvalitetskontrol, statistik og planlægning i den offentlige sundhedssektor, hvilket også forventes at have en gunstig indvirkning på udviklingen i udgifterne til sundhedssektoren. Besvarelserne af et spørgeskema, der blev rundsendt i 2005 blandt europæiske tilsynsmyndigheder på databeskyttelsesområdet, viste, at det er relevant og presserende at indføre landsdækkende EPJ-ordninger i de fleste medlemsstater. Der er dog stor forskel på, hvor langt de enkelte medlemsstater er kommet med gennemførelsen af sådanne projekter. I de fleste medlemsstater har man drøftet EPJ, men det er kun i nogle, at systemet allerede er blevet i hvert tilfælde delvis indført. Da sundhedssektorens ydelser i stadig højere grad også går på tværs af grænserne, understregede Europa-Kommissionen i sin meddelelse "E-sundhed et bedre sundhedsvæsen for Europas borgere: En handlingsplan for et europæisk e-sundhedsområde" 4 betydningen af e-sundhedstjenester og interoperabilitet mellem elektroniske patientjournaler. Derudover finansierer Det Europæiske Fællesskab en række relevante projekter, f.eks. om elektroniske patientjournaler og patient-id-kort (f.eks. EU-sygesikringskortet). Under gennemførelsen af sådanne programmer sikrer Kommissionen i samarbejde med medlemsstaterne, at alle relevante retsforskrifter vedrørende beskyttelse af personoplysninger overholdes, og at der indføres systemer, der om fornødent sikrer fortroligheden og sikkerheden i forbindelse med disse oplysninger 5. Med EPJ-systemer kan kvaliteten af og sikkerheden i forbindelse med lægelige oplysninger forbedres sammenlignet med de traditionelle former for lægelige dokumentation. For så vidt angår databeskyttelse må det imidlertid understreges, at EPJ-systemer også kan anvendes til ikke blot at behandle mere personlige oplysninger (f.eks. i nye sammenhænge eller via samkøring), men også til at gøre oplysninger om en patient langt mere tilgængelige for en bredere kreds af brugere end før. Det bør også bemærkes, at elektroniske sundhedsoplysninger i et EPJ-system ud over at være tilgængelige for erhvervsudøvende i sundhedssektoren generelt også kan tiltrække tredjemands interesse, f.eks. forsikringsselskaber og politimyndigheder. For så vidt angår beskyttelse af personoplysninger indebærer EPJ-systemer nye risici, fordi alle foreliggende lægelige oplysninger om en person fra forskellige kilder samles, hvorved der bliver lettere og bredere adgang til sådanne følsomme oplysninger; herved øges mulighederne for misbrug af oplysningerne også betydeligt. Selv om det i forbindelse med de fleste projekter først vil være ved en fremtidig fuldstændig gennemførelse heraf, at denne nye risiko for misbrug vil opstå, er det ikke desto mindre nødvendigt at være opmærksom på faren nu, hvor de fleste eksisterende modeller kun har en begrænset eller delvis anvendelse (f.eks. indeholder kun et grundlæggende sæt lægelige oplysninger eller er kun tilgængelige for hospitaler i en bestemt region), fordi det kun er et spørgsmål om tid, før de finder generel anvendelse. 4 5 KOM(2004) 356 endelig. Se f.eks. artikel 5, stk. 5, i beslutning nr. 1786/2002/EF. 5 / 24
II. Rammebestemmelser for databeskyttelse i forbindelse med elektroniske patientjournaler Al behandling af personoplysninger i EPJ-systemer skal fuldt ud overholde bestemmelserne om beskyttelse af personoplysninger. Artikel 29-gruppen ønsker at understrege, at rammerne for anvendelsen af EPJ er afstukket i direktivets anden betragtning, hvori det hedder: "databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd". Den grundlæggende ret til beskyttelse af personoplysninger er hovedsagelig baseret på artikel 8 i den europæiske menneskerettighedskonvention og artikel 8 i EU's charter om grundlæggende rettigheder 6. Der findes navnlig mere præcise bestemmelser i direktiv 95/46/EF om databeskyttelse og direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred 7 og medlemsstaternes nationale love, der gennemfører disse direktiver. Al behandling af personoplysninger i EPJ skal også overholde bestemmelserne i Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 108) og tillægsprotokollen til Europarådets konvention 108 om tilsynsmyndigheder og grænseoverskridende dataudveksling (ETS nr. 181). I forbindelse med EPJ ønsker artikel 29-gruppen særligt at henlede opmærksomheden på Europarådets henstilling nr. R(97) 5 om beskyttelse af helbredsoplysninger (13. februar 1997). Der henvises også til henstillingerne i arbejdsdokumentet vedrørende online-adgang til elektroniske patientjournaler 8 fra den internationale arbejdsgruppe vedrørende databeskyttelse inden for telekommunikation. 1. Generelle principper De registeransvarlige, der indsamler oplysninger inden for rammerne af EPJ-systemer, skal derfor overholde alle generelle databeskyttelsesprincipper, herunder: Anvende begrænsningens princip (formålsprincippet): Dette princip, der er delvis at finde i bl.a. direktivets artikel 6, stk. 1, litra b), forbyder senere behandling, der er uforenelig med formålet med indsamlingen af oplysningerne. 6 7 8 Retten til beskyttelse af personoplysninger er ikke absolut og kan begrænses, hvis særlige offentlige interesser kræver det. Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed (artikel 8, stk. 2, i menneskerettighedskonventionen). Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (EFT L 201 af 31.7.2002, ss. 37-47). "Working Document on Online Availability of Electronic Health Records" vedtaget på gruppens 39. møde i Washington D.C. den 6.-7.4.2006 (http://www.berlin-privacy-group.org). 6 / 24
Princippet vedrørende oplysningernes pålidelighed: I medfør af dette princip i direktivet kræves det, at personoplysninger skal være relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles. Der må således ikke indsamles irrelevante oplysninger, og hvis det sker, skal de slettes (artikel 6, stk. 1, litra c)). Det kræves desuden, at oplysningerne skal være korrekte og ajourførte. Princippet om datalagring: I medfør af dette princip kræves det, at personoplysninger ikke lagres længere end, hvad der er nødvendigt med henblik på det formål, hvortil de blev indsamlet eller senere behandlet. Oplysningskrav: I medfør af direktivets artikel 10 skal de registeransvarlige, der behandlinger oplysninger i EPJ-systemer, give den registrerede bestemte oplysninger såsom oplysninger om, hvem den registeransvarlige er, formålet med behandlingen, modtagerne af oplysninger og om, at den registrerede har ret til at se sine egne oplysninger. Den registreredes ret til se oplysningerne: I direktivets artikel 12 fastsættes bestemmelser om, at de registrerede skal have mulighed for at checke, om oplysningerne er korrekte, og sikre, at de ajourføres. Denne ret gælder uden indskrænkning personoplysninger i EPJ-systemer. Pligter i forbindelse med behandlingssikkerheden: I medfør af direktivets artikel 17 skal den registeransvarlige iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, mod hændeligt tab, mod forringelse, ubeføjet udbredelse eller ikkeautoriseret adgang. Foranstaltningerne kan være af organisatorisk eller teknisk art. 2. Særlig beskyttelse af følsomme personoplysninger Behandlingen af personoplysninger om den pågældendes helbredstilstand er særlig følsom og kræver derfor særlig beskyttelse. Artikel 2, litra a), i direktiv 95/46/EF indeholder en definition af personoplysninger: "personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet." Direktivets artikel 8, stk. 1, indeholder en definition af særlige kategorier af oplysninger: "Medlemsstaterne forbyder behandling af personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsforhold og seksuelle forhold." Henvisningen til det forhold, at en person har skadet sin fod og arbejder på halv tid af lægelige årsager, udgør personoplysninger i den betydning, der anvendes i direktivets artikel 8, stk. 1 9. Denne definition finder også anvendelse på personoplysninger, når der er en 9 Domstolens dom af 6.11.2003 i sag C-101/01 Bodil Lindqvist. 7 / 24
klar og tæt forbindelse til beskrivelsen af en persons helbredstilstand. Oplysninger om forbrug af lægemidler, alkohol eller narkotika og genetiske oplysninger er uden tvivl "personlige sundhedsoplysninger", navnlig hvis de er medtaget i en lægejournal. Også alle andre oplysninger f.eks. administrative oplysninger (socialsikringsnummer, datoen for en hospitalsindlæggelse m.m.) der medtages i forbindelse med behandlingen af en patient, skal anses for følsomme. Hvis de ikke var relevante for behandlingen af patienten, ville og burde de ikke være medtaget i en lægejournal. Som følge heraf mener medlemmerne af artikel 29-gruppen, at alle oplysninger i elektroniske patientjournaler og anden lægelig dokumentation bør behandles som "følsomme personoplysninger". De er derfor ikke kun omfattet af alle direktivets generelle bestemmelser om beskyttelse af personoplysninger, men derudover også af de særlige databeskyttelsesbestemmelser for behandling af følsomme oplysninger, der er omhandlet i direktivets artikel 8. 3. Et generelt forbud mod at behandle personlige sundhedsoplysninger med undtagelser I artikel 8, stk. 1, i direktiv 95/46/EF om databeskyttelse forbydes det at behandle personlige sundhedsoplysninger generelt. Det er også tilfældet med artikel 6 i Europarådets konvention nr. 108. Den særlige beskyttelse, der er omhandlet i artikel 8, stk. 1, supplerer direktivets øvrige bestemmelser, navnlig artikel 6 om principperne vedrørende oplysningernes pålidelighed og artikel 7 om kriterierne for lovlig databehandling. I lyset af betydningen af at råde over oplysninger om en patient for at kunne yde den pågældende en hensigtsmæssig lægelig behandling er der undtagelser fra det generelle forbud mod at behandle lægelige oplysninger. Artikel 8, stk. 2 og 3, i databeskyttelsesdirektivet indeholder bestemmelser om bindende undtagelser og artikel 8, stk. 4, en fakultativ undtagelse. Alle undtagelserne er begrænsede, udtømmende og skal fortolkes snævert. 4. Artikel 8, stk. 2, litra a): Udtrykkeligt samtykke I direktivets artikel 8, stk. 2, hedder det: Stk. 1 finder ikke anvendelse, hvis: a) den registrerede udtrykkeligt har givet sit samtykke til en sådan behandling, medmindre det i medlemsstatens lovgivning fastsættes, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke". a) Begrundelsen for at behandle følsomme oplysninger kan være, at den registrerede har givet sit samtykke hertil 10. For at kunne betragte dette samtykke som gyldigt er det som allerede nævnt i gruppens arbejdsdokument WP 12 11 og WP 114 12 vigtigt, at det uanset 10 11 12 At indvillige i at få en bestemt lægelig behandling betyder ikke automatisk "samtykke" i betydningen i artikel 2, litra h), til at behandle (navnlig offentliggøre eller overføre) personlige oplysninger, der er indsamlet i forbindelse med behandlingen. Artikel 29-gruppens arbejdsdokument "Transfers of personal data to third countries: Applying Articles 25 and 26 of the EU data protection directive" (WP 12, 24.7.1998). Artikel 29-gruppens "Working Document on a common interpretation of Article 26(1) of Directive 8 / 24
omstændighederne omkring afgivelsen er en "frivillig, specifik og informeret viljestilkendegivelse fra den registrerede", jf. direktivets artikel 2, litra h). aa) Samtykkeerklæringen skal afgives frivilligt: Ved "frivilligt" samtykke menes en viljesbeslutning, som en person, der er ved sine evners fulde brug, har truffet uden nogen form for tvang af social, økonomisk, psykologisk eller anden art. Ethvert samtykke, der er afgivet under trussel om, at den pågældende ikke vil blive behandlet eller få en dårligere behandling, kan ikke anses for at være "frivillig". Hvis den registrerede afgiver sit samtykke uden at have haft mulighed for at træffe et reelt valg eller stilles over for et fait accompli, betragtes den pågældendes samtykke som ugyldigt. Artikel 29-gruppen er af den opfattelse, at det er vildledende, hvis en erhvervsudøvende i sundhedssektoren, der er nødt til at behandle personoplysninger i et EPJ-system som en nødvendig og uundgåelig følge af patientens helbredssituation, forsøger at begrunde dette under henvisning til patientens samtykke. Anvendelsen af samtykke skal begrænses til de tilfælde, hvor patienten har et reelt valg og som følge heraf uden at lide skade kan trække sit samtykke tilbage 13. bb) Samtykkeerklæringen skal være specifik: "Specifikt" samtykke skal vedrøre en veldefineret konkret situation, hvor det er hensigten at behandle lægelige oplysninger. Den registreredes "generelle accept" af f.eks. indsamling af dennes lægelige oplysninger til en EPJ og en efterfølgende overførsel af disse tidligere og fremtidige oplysninger til erhvervsudøvende i sundhedssektoren, der er involveret i behandlingen, udgør ikke en samtykkeerklæring i betydningen i direktivets artikel 2, litra h). cc) Samtykkeerklæringen skal afgives på et informeret grundlag: Ved samtykke afgivet på "et informeret grundlag" forstås den registreredes samtykke afgivet på grundlag af en vurdering og forståelse af den faktiske situation og følgerne heraf. Den pågældende patient skal på en klar og forståelig måde gives korrekte og fuldstændige oplysninger om alle relevante spørgsmål, navnlig i relation til direktivets artikel 10 og 11, såsom arten af de behandlede oplysninger, formålet med behandlingen, modtagerne af oplysningerne ved eventuelle overførsler og den registreredes rettigheder. Dette omfatter også kendskab til, hvad følgerne af ikke at give sit samtykke til den pågældende behandling er. b) I modsætning til bestemmelserne i direktivets artikel 7 skal der gives udtrykkeligt samtykke i tilfælde af følsomme personoplysninger og derfor også i forbindelse med EPJ. Løsninger, der giver mulighed for fravalg, opfylder ikke kravet om, at samtykket skal være "udtrykkeligt". I overensstemmelse med den generelle definition, i henhold til hvilken samtykke forudsætter en viljeserklæring, skal det forhold, at den skal være udtrykkelig, navnlig vedrøre oplysningernes følsomhed. Den registrerede skal være opmærksom på, at han giver afkald på særlig beskyttelse. Der kræves dog ikke skriftligt samtykke. c) Artikel 29-gruppen har bemærket, at det undertiden er kompliceret at opnå samtykke på grund af praktiske problemer, særlig hvis der ingen direkte kontakt er mellem den registeransvarlige og de registrerede. Uanset de vanskeligheder, der måtte være, skal den registeransvarlige i alle tilfælde være i stand til at bevise, at han for det første har opnået en udtrykkelig samtykkeerklæring fra hver enkelt registreret, og for det andet at disse 13 95/46/EC of 24 October 1995" (WP 114, 25.11.2005). Se også Artikel 29-gruppens Opinion 8/2001 on the processing of personal data in the employment context (WP 84, afsnit 10). 9 / 24
udtrykkelige samtykkeerklæringer er blevet afgivet på grundlag af tilstrækkelig præcis information. d) I modsætning til artikel 7 erkendes det igen i artikel 8, stk. 2, litra a), at der kan være tilfælde, hvor følsomme oplysninger behandles, og hvor selv ikke den registreredes udtrykkelige samtykke bør ophæve forbuddet mod databehandling. Medlemsstaterne er frit stillet med hensyn til, hvorvidt og hvordan de ønsker at lovgive nærmere i sådanne tilfælde. 5. Artikel 8, stk. 2, litra c): Den registreredes vitale interesser Behandlingen af følsomme personoplysninger kan begrundes, hvis det er nødvendigt for at beskytte den registreredes eller en anden persons vitale interesser, når den registrerede er fysisk eller juridisk ude af stand til at give sit samtykke. Behandlingen skal vedrøre den registreredes eller en anden persons væsentlige individuelle interesser, og den skal i forbindelse med lægebehandling være nødvendig med henblik på en livreddende behandling i en situation, hvor den registrerede ikke er i stand til at udtrykke sine ønsker. Som følge heraf kan denne undtagelse kun anvendes i et lille antal behandlingssager og kan slet ikke anvendes til at begrunde behandling af personlige sundhedsoplysninger til andre formål end behandling af den registrerede såsom f.eks. for at udføre almen medicinsk forskning, der først giver resultater engang ud i fremtiden 14. Som eksempel kan nævnes en situation, hvor den registrerede har mistet bevidstheden efter en ulykke og ikke kan give sit samtykke til, at der offentliggøres oplysninger om kendte allergier. I forbindelse med EPJ-systemer tillader denne bestemmelse, at der gives adgang til oplysninger lagret i EPJ til en erhvervsudøvende i sundhedssektoren, der har brug for oplysninger om kendte allergier hos den registrerede, da disse oplysninger kan vise sig at være af afgørende betydning for, hvilken behandling der vælges. 6. Artikel 8, stk. 3: Behandling af (lægelige) oplysninger foretaget af en erhvervsudøvende i sundhedssektoren I medfør af artikel 8, stk. 3, tillades behandling af følsomme personoplysninger, hvis tre kumulative betingelser er opfyldt: behandlingen af følsomme oplysninger skal være "nødvendig med henblik på forebyggende medicin, medicinsk diagnose, sygepleje eller patientbehandling eller forvaltning af læge- og sundhedstjenester, og hvis behandlingen af disse oplysninger foretages af en erhvervsudøvende i sundhedssektoren, der i henhold til den nationale lovgivning eller til regler, der er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt." a) Denne undtagelse omfatter kun behandlingen af personoplysninger til det specifikke formål at levere sundhedsrelaterede ydelser såsom forebyggende medicin, medicinsk diagnose, sygepleje eller patientbehandling og for at forvalte disse læge- og sundhedstjenester, f.eks. udstedelse af regninger, bogholderi eller statistik. Den omfatter ikke yderligere behandling, der ikke er påkrævet for direkte at levere sådanne ydelser, f.eks. medicinsk forskning, den efterfølgende refundering af udgifter via en sygeforsikringsordning eller indgivelse af pengekrav. Visse andre former for behandling af følsomme oplysninger på områder som f.eks. folkesundhed og social sikring ligger ligeledes 14 For en fortolkning af en lignende bestemmelse i artikel 26, stk. 1, litra e), vedrørende overførsel af oplysninger ud af EU henvises til artikel 29-gruppens "Working document on a common interpretation of Article 26 (1) of Directive 95/46/EC of 24 October 1995, WP 114, (25.11.2005). 10 / 24
uden for anvendelsesområdet for artikel 8, stk. 3, navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning, da disse er nævnt i direktivets betragtning 34 som eksempler, der henviser til artikel 8, stk. 4. b) Derudover skal behandlingen af personoplysninger af de årsager, der er omhandlet i artikel 8, stk. 3, være "nødvendig" til de specifikke formål, der er nævnt under a). Artikel 29- gruppen understreger, at det i forbindelse med EPJ betyder, at al indlæsning af personoplysninger i en EPJ fuldt ud skal begrundes; det er ikke tilstrækkeligt, at det blot er "nyttigt" at råde over sådanne personoplysninger i en EPJ. c) Den tredje betingelse i artikel 8, stk. 3, er, at behandlingen af følsomme personoplysninger skal foretages af en læge eller andet personale, der har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt. Lægernes etiske tavshedspligt blev først formuleres i "den hippokratiske ed" (lægeløftet) 15 og derefter bekræftet af World Medical Associations Genève-erklæring af 1948. Det er med til at beskytte de oplysninger, en erhvervsudøvende i sundhedssektoren indsamler under behandlingen af en patient. Disse oplysninger må kun anvendes i forbindelse med selve behandlingen. Dette fortrolighedsforhold udelukker alle tredjeparter, selv andre erhvervsudøvende i sundhedssektoren, medmindre patienten indvilger i, at oplysninger om den pågældende gives videre, eller det er fastsat i navnlig loven. Artikel 29-gruppen påpeger, at det særlige krav om tavshedspligt skal være fastsat enten i medlemsstaternes nationale lovgivning eller af nationale kompetente professionelle organer, der har beføjelse til at vedtage bindende regler for erhvervet. De nationale regler om tavshedspligt skal også indeholde bestemmelser om tilsvarende effektive sanktioner i tilfælde af overtrædelse af dem. Hvis der skulle blive behov for, at ikke-lægeligt personale behandler følsomme personoplysninger, skal de i henhold til direktivet også være omfattet af bindende regler, der sikrer mindst et tilsvarende niveau for så vidt angår tavshedspligt og beskyttelse som for lægeligt personale. Disse regler skal navnlig indeholde bestemmelser om, at oplysningerne kun må anvendes til de formål, der er omhandlet i artikel 8, stk. 3. Erhvervsudøvende i sundhedssektoren med direkte ansvar for behandlingen af patienter har i henhold til loven generelt pligt til at gemme al dokumentation om den lægebehandling, de har ydet (undersøgelser, udskrivning af medicin m.m.) i lægejournalen. I overensstemmelse med adskillige eksisterende retsbestemmelser vedrørende tavshedspligten for erhvervsudøvende i sundhedssektoren er det at føre og anvende lægejournaler traditionelt begrænset til kun at ske inden for rammerne af den direkte kontakt mellem udelukkende patienten og den læge/det hospital, patienten har opsøgt. d) Da direktivets artikel 8, stk. 3, er en undtagelse fra det generelle forbud mod at behandle følsomme oplysninger, skal denne undtagelse fortolkes snævert. e) Adspurgt om, hvorvidt direktivets artikel 8, stk. 3, kan tjene som eneste retsgrundlag for behandlingen af personoplysninger i et EPJ-system, mener artikel 29-gruppen, at artikel 8, stk. 3, kun gælder for behandlingen af lægelige oplysninger til de strengt lægelige og 15 All that may come to my knowledge in the exercise of my profession or in daily commerce with men, which ought not to be spread abroad, I will keep secret and will never reveal. (Kilde: http://en.wikipedia.org/wiki/hippocratic_oath). 11 / 24
sundhedsmæssige formål, der er nævnt heri, og udelukkende på betingelse af, at behandlingen af oplysningerne var "nødvendig" og foretaget af en erhvervsudøvende i sundhedssektoren, der har tavshedspligt, eller af en anden person med tilsvarende tavshedspligt. Hvis behandlingen af personoplysninger i en EPJ på nogen måde går videre end til disse formål eller ikke opfylder de nævnte betingelser, kan artikel 8, stk. 3, ikke anvendes som eneste retsgrundlag for behandlingen af personoplysninger. Selv om alle disse betingelser er opfyldt, må artikel 29-gruppen dog påpege, at EPJ-systemer risikerer at skabe en ny risikosituation, der kræver nye supplerende sikkerhedsgarantier: EPJsystemer giver direkte adgang til en samling af eksisterende dokumentation om en bestemt persons lægebehandling fra forskellige kilder (hospitaler, læger m.fl.) og hele livet igennem. De overskrider derfor den traditionelle grænse for den enkelte patients direkte kontakt med en læge eller et hospital. Lagring af lægelige oplysninger i en EPJ går videre end de traditionelle metoder til at opbevare og anvende lægelige oplysninger om patienter. Ud fra et teknisk synspunkt øger de mange adgangspunkter over en åbent netværk som internettet risikoen for uberettiget opsnapning af patientoplysninger. Når de elektroniske patientjournaler først er kommet ud på nettet, kan de hidtidige retlige foranstaltninger for at sikre fortroligheden, der er hensigtsmæssige i forbindelse med traditionelle lægejournaler i papirform, vise sig at være utilstrækkelige til at beskytte en patients ret til privatlivets fred. Fuldt udviklede EPJ-systemer har således tendens til at åbne op for og lette adgangen til lægelige oplysninger og følsomme personoplysninger. EPJ-systemer medfører væsentlige udfordringer, idet det skal sikres, at det kun er det berørte lægelige personale, der har adgang til oplysningerne til begrundede formål, der vedrører behandlingen af den registrerede. De gør behandlingen af følsomme personoplysninger mere kompliceret med direkte virkninger for den enkeltes rettigheder. Som følge heraf må et EPJ-system anses at skabe en ny risikosituation for beskyttelsen af følsomme personoplysninger. Den væsentligste og traditionelle beskyttelsesmekanisme i artikel 8, stk. 3 - ud over begrænsningen for så vidt angår formålet og kravet om, at det er nødvendigt at behandle oplysningerne - er lægepersonales pligt til bevare helbredsoplysningerne om deres patienter fortrolige. Denne bestemmelse er måske ikke længere fuldt ud anvendelig i forbindelse med EPJ, da et af formålene med EPJ er at give erhvervsudøvende i sundhedssektoren, der ikke har været involveret i den tidligere behandling, der er anført i lægejournalen, adgang til helbredsoplysninger med henblik på behandling. Artikel 29-gruppen er derfor ikke overbevidst om, at artikel 8, stk. 3, selv om den anvendes som begrundelse for behandling af oplysninger, idet den udelukkende tager udgangspunkt i kravet om tavshedspligt, yder tilstrækkelig beskyttelse i forbindelse med EPJ-systemer. En sådan ny risikosituation kræver supplerende og potentielt nye sikkerhedsgarantier end dem, der kræves i artikel 8, stk. 3, for at sikre en passende beskyttelse af personoplysninger i forbindelse med EPJ-systemer. 7. Artikel 8, stk. 4: Undtagelser på grund af vigtige samfundsmæssige interesser En række af direktivets bestemmelser giver mulighed for en væsentlig grad af fleksibilitet, således at der opnås den rette balance mellem dels beskyttelsen af den registreredes rettigheder, dels de registeransvarliges, tredjemands og offentlighedens eventuelle legitime interesser. 12 / 24
Direktivets artikel 8, stk. 4, tillader, at medlemsstaterne vedtager yderligere undtagelser fra forbuddet mod at behandle følsomme kategorier af oplysninger: "Med forbehold af, at der gives tilstrækkelige garantier, kan medlemsstaterne af grunde, der vedrører hensynet til vigtige samfundsmæssige interesser, fastsætte andre undtagelser end dem, der er nævnt i stk. 2, enten ved national lovgivning eller ved en afgørelse truffet af tilsynsmyndigheden." I betragtning 34 hedder det: "(34) når hensynet til vigtige samfundsmæssige interesser berettiger det, skal medlemsstaterne ligeledes kunne fravige forbuddet mod at behandle følsomme kategorier af data på områder som f.eks. folkesundhed og social sikring - navnlig for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning - videnskabelig forskning og offentlig statistik; det påhviler imidlertid medlemsstaterne at sørge for de fornødne specifikke garantier for beskyttelsen af det enkelte menneskes grundlæggende rettigheder og privatliv;" a) Hvis en medlemsstat har til hensigt at gøre brug af denne mulighed, skal undtagelsen følgelig være indeholdt i en retsforskrift eller en beslutning fra tilsynsmyndigheden (særligt retsgrundlag). b) Behandlingen af følsomme personoplysninger skal begrundes ud fra hensynet til vigtige samfundsmæssige interesser. I direktivets betragtning 34 gives eksempler på områder, hvor der i særlig grad kan være tale om "vigtige samfundsmæssige interesser". De omfatter folkesundhed og social sikring for at sikre kvaliteten og rentabiliteten af de procedurer, der anvendes i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning i forbindelse med ansøgninger om ydelser og tjenester inden for en sygesikringsordning. Medlemsstaterne skal i hvert enkelt tilfælde kunne bevise, at der er tale om vigtige samfundsmæssige interesser i forbindelse med hele behandlingen af følsomme personoplysninger, der falder ind under undtagelsen, og behandlingen skal være nødvendig i lyset af vigtige samfundsmæssige interesser. Alle sådanne foranstaltninger skal være forholdsmæssige for så vidt angår formålet. Det indebærer, at hvis der findes foranstaltninger, der i mindre grad krænker den personlige integritet, skal de anvendes. For så vidt angår indgreb i privat- og familielivets fred skal foranstaltningerne desuden være i overensstemmelse med menneskerettighedskonventionens artikel 8 og tolkes i lyset af Menneskerettighedsdomstolens retspraksis, nemlig at det skal ske "i overensstemmelse med loven" og være "nødvendigt i et demokratisk samfund" af hensyn til samfundsmæssige interesser. Menneskerettighedsdomstolen i Strasbourg har i sin retspraksis gentagne gange påpeget, at den lov, der fastsætter indgrebet, klart bør afgrænse omfanget af de skønsbeføjelser, der tildeles de offentlige myndigheder, samt hvordan de skal udøves under hensyntagen til det legitime formål med den pågældende foranstaltning for at sikre passende personbeskyttelse mod arbitrære indgreb. c) Medlemsstaterne har pligt til at give specifikke og passende garantier, således at den enkeltes grundlæggende rettigheder og privatliv beskyttes i den forbindelse. 13 / 24
d) En medlemsstats brug af artikel 8, stk. 4, skal meddeles Kommissionen i overensstemmelse med direktivets artikel 8, stk. 6. I forbindelse med menneskerettighedskonventionen bemærker artikel 29-gruppen, at argumenterne for at indføre EPJ-systemer (jf. I, Indledning, ovenfor) kan udgøre "vigtige samfundsmæssige interesser". I nogle medlemsstater er "retten til sundhedsbeskyttelse" fastsat i forfatningen. Det understreger, hvor stor betydning det har med alle passende midler at sikre "sundhedsbeskyttelsen". Alle EPJ-systemer vil under disse forhold være begrundet ud fra hensynet til "vigtige samfundsmæssige interesser", da det udgør et redskab, der grundlæggende er beregnet til at garantere patienter passende lægelig bistand. Direktivets artikel 8, stk. 4, kan derfor tjene som retsgrundlag for EPJ-systemer, forudsat alle betingelser heri er opfyldt. Der skal navnlig træffes passende foranstaltninger for beskyttelsen af personoplysninger i et EPJ-system. Artikel 29-gruppen vil i det følgende se nærmere på disse potentielle beskyttelsesmekanismer og passende retlige rammebestemmelser for EPJ-systemer. III. Overvejelser vedrørende passende retlige rammebestemmelser for EPJ-systemer Artikel 29-gruppen vil nedenfor se nærmere på de spørgsmål, hvor det i lyset af EPJsystemerne især forekommer vigtigt med særlige beskyttelsesmekanismer 16 for at sikre patienternes ret til databeskyttelse. I lyset af konsekvenserne af at oprette EPJ-systemer og de særlige behov for åbenhed omkring systemerne bør bestemmelserne om beskyttelsesmekanismer først og fremmest fastsættes i særlige overordnede retsforskrifter. 1. Respekten for selvbestemmelsesretten Selv om et EPJ-system ikke fuldt og helt er baseret på samtykke som retsgrundlag (artikel 8, stk. 2), bør patientens selvbestemmelsesret, for så vidt angår hvornår og hvordan oplysningerne om den pågældende anvendes, spille en væsentlig rolle som en vigtig beskyttelsesmekanisme 17. a) For så vidt angår passende beskyttelsesmekanismer er det at "indvillige i" ikke det samme som at "give sit samtykke" i henhold til direktivets artikel 8, stk. 2, og det er derfor ikke nødvendigt at opfylde alle kravene i artikel 8, stk. 2. Mens det at give sit samtykke som retsgrundlag for behandling af sundhedsoplysninger altid skal være "udtrykkeligt" i henhold til artikel 8, stk. 2, skal det at indvillige som beskyttelsesmekanisme ikke nødvendigvis gives i form at en opt in-mulighed; muligheden for at udtrykke sin selvbestemmelsesret kan 16 17 De generelle krav i direktiv 95/46/EF for lovlig behandling af personoplysninger gentages ikke i denne del af dokumentet, da de under alle omstændigheder finder anvendelse. I dette dokument ses der kun nærmere på specifikke ekstrakrav til behandlingen af lægelige oplysninger i EPJ-systemer, som forekommer nødvendige for at opveje den særlige risikosituation, EPJ-systemer skaber. I nogle jurisdiktioner eksisterer der ikke blot en grundlæggende ret til databeskyttelse, men også en forfatningsmæssig ret til en optimal sundhedsbeskyttelse. Som følge af pligten til at sikre en optimal behandling har nogle medlemsstater fastsat bestemmelser om, at erhvervsudøvende i sundhedssektoren skal have adgang til de til rådighed stående oplysninger via et EPJ-system. Det forekommer acceptabelt, så længe den nødvendige balance sikres ved hjælp af andre beskyttelsesmekanismer såsom detaljerede retsforskrifter om de nærmere omstændigheder i forbindelse med lovlig adgang til oplysningerne og om de alvorlige følger af misbrug af retten til adgang til oplysninger. 14 / 24
afhængig af situationen også have form af en opt out-mulighed, dvs. patienten har ret til at nægte at lade oplysningerne behandle. b) I lyset af, at ukorrekt brug af sundhedsoplysninger kan forårsage skade i varierende grad, bør der sondres mellem forskellige anvendelsesmuligheder med forskellige grader af mulighed for at udøve sin selvbestemmelsesret. I retsforskrifterne om indførelse af et EPJ-system bør det som en fast regel fastsættes, at indlæsning af oplysninger i en EPJ eller adgang til sådanne oplysninger skal være omfattet af en ordning med stigende krav om "opt in" (navnlig når der er tale om behandling af oplysninger, der potentielt kan være ekstra skadelige såsom psykiatriske oplysninger og oplysninger om abort 18 ) og opt out-muligheder for mindre kompromitterende oplysninger 19. Det ville garantere dels den nødvendige beskyttelse, dels være praktisk anvendeligt og give den nødvendige fleksibilitet. c) Det bør principielt altid være muligt for en patient at forhindre offentliggørelsen af den pågældendes sundhedsoplysninger, som en erhvervsudøvende i sundhedssektoren har registreret under behandlingen, til andet lægeligt personale, hvis den registrerede ønsker det. Det bør også overvejes, hvordan spørgsmålet om, at en registreret nægter adgang til oplysninger i en EPJ, skal håndteres: Skal det skjules, at den registrerede har nægtet adgang til oplysningerne, eller skal der måske i bestemte tilfælde gives meddelelse om, at der eksisterer supplerende oplysninger, men at de kun er tilgængelige på særlige vilkår? d) Ud fra den formodning, at ingen kan tvinges til at deltage i et EPJ-system, bør spørgsmålet om en potentiel fuldstændig fjernelse af oplysninger fra et EPJ-system være omfattet af retsforskrifterne om oprettelse af EPJ-systemet. Der skal derfor fastsættes bestemmelser om, hvorvidt det medfører pligt til fuldstændig at slette oplysningerne eller kun forhindre yderligere adgang til dem; det er også muligt at give den registrerede mulighed for at vælge. 2. Identifikation og autentifikation af patienter og erhvervsudøvende i sundhedssektoren a) Pålidelige identifikation af patienter 20 i EPJ-systemer er overordentlig vigtig. Hvis der anvendes sundhedsoplysninger, der vedrører en forkert person som følge af en forkert identifikation af patienten, kan følgerne i mange tilfælde være alvorlige. Elektroniske sygesikringsbeviser kan i væsentlig grad være med til at sikre en passende elektronisk identifikation af patienter, men også autentifikation 21, hvis de ønsker at få adgang til oplysninger om sig selv i EPJ. b) Sundhedsoplysningers særlige følsomhed kræver desuden, at der ikke gives adgang til uautoriserede personer. En forudsætning for, at der kun gives lovlig adgang er, en pålidelig 18 19 20 21 Der kan f.eks. anvendes såkaldte "forseglede kuverter", der kun kan åbnes med den registreredes hjælp. I forbindelse med opt out-muligheder kræves der imidlertid en passende information af patienten for, at de kan fungere effektivt som "passende beskyttelsesmekanismer". Med "identifikation" forstås, at en person beskrives ved navn, fødselsdato, adresse m.m. I den givne situation skal denne beskrivelse officielt bekræftes ved hjælp af en fødselsattest, et pas, et sygesikringsbevis o.l. Med "autentifikation" forstås bevis for, at en person reelt er den, vedkommende giver sig ud for at være. Det sker sædvanligvis ved at fremvise et officielt id-dokument med foto (f.eks. et pas) eller - i den elektroniske verden - ved hjælp af en elektronisk underskrift. 15 / 24
identifikation 22 og autentifikation. Der er derfor nødvendigt, at brugerne kan identificeres entydigt og autentificeres ordentligt 23. Da en af fordelene ved EPJ-systemer er, at der er elektronisk adgang til oplysningerne heri uanset tid og sted, vil det være nødvendigt at skabe rutiner for pålidelig identifikation og autentifikation af brugerne. For at undgå de kendte risici i forbindelse med autentifikation ved hjælp af et password bør det i et videre perspektiv overvejes at lade autentifikationen ske ved hjælp af elektroniske underskrifter, der gives til brugerne sammen med en passende officiel identifikation, f.eks. på særlige smartcards. Det vil være nødvendigt for erhvervsudøvende i sundhedssektoren at udvikle et identifikations- og autentifikationssystem, der ikke blot identificerer den pågældende, men også viser, i hvilken egenskab den pågældende handler elektronisk, f.eks. som psykiater eller som sygeplejerske. 3. Adgang til EPJ for at læse og skrive i dem a) Generel beskyttelse af adgangen til oplysninger: Oplysningerne i EPJ-systemer er fortrolige lægejournaler. Det vigtigste princip vedrørende adgangen til en EPJ skal derfor være, at - bortset fra selve patienten - er det kun de erhvervsudøvende i sundhedssektoren/det autoriserede personale på hospitalet, der på nuværende tidspunkt er involveret i behandlingen af patienten, der kan få adgang. Der skal således foreligge en akut behandlingssituation mellem patienten og den erhvervsudøvende i sundhedssektoren, der ønsker adgang til patientens EPJ. Det forekommer derfor nødvendigt at fastsætte regler for, hvilke kategorier af erhvervsudøvende i sundhedssektoren/på hospitaler der kan få adgang til oplysninger i EPJ og på hvilke niveauer (praktiserende læger, hospitalslæger, farmaceuter, sygeplejersker, kiropraktorer?, psykologer?, familieterapeuter? osv.). Det vil derudover være muligt at forbedre databeskyttelsen ved kun at give adgang til informationsmoduler, dvs. ved at oprette kategorier af lægelige oplysninger i EPJ-systemet, hvilket medfører, at erhvervsudøvende i sundhedssektoren/hospitaler kun får adgang til specifikke kategorier af oplysninger 24. Der vil blive set nærmere på de mulige fordele ved at inddele EPJ i moduler under punkt 6. b) Særlig beskyttelse af adgangen til oplysninger via inddragelse af patienten: Hvis det muligt dvs. hvis patienten er til stede og i stand til at handle bør denne have mulighed for at forhindre, at der gives adgang til oplysninger om den pågældende i EPJ, hvis han eller hun ønsker det. Det kræver forudgående oplysning om, hvem der kunne ønske at få adgang til disse oplysninger og hvornår og hvorfor, og om de mulige følger af ikke at give adgang. Der skal udformes en række procedurer, der forhindrer, at patienten kommer 22 23 24 I forbindelse med en "pålidelig identifikation" bør der ikke uden særlige beskyttelsesmekanismer anvendes personnumre, der i vid udstrækning anvendes i andre forbindelser for derved at undgå, at der let skabes en forbindelse (se direktivets artikel 8, stk. 7). I Frankrig er de første eksperimenter med EPJ ved at blive indledt; her anvendes der en særlig identifikator. Det er endnu ikke sikkert, hvorvidt dette system vil blive bibeholdt i den endelige udgave af EPJ. F.eks. kan adgangen til oplysninger om psykiatrisk behandling i første omgang begrænses til psykiatere, eller et særligt modul om udskrivning af medicin kan gøres tilgængeligt for farmaceuter, der ikke har adgang til andre dele af EPJ-systemet. 16 / 24
under et ubehørigt psykisk pres for at give sit samtykke til, at der gives adgang til oplysningerne. Når det nødvendigt med bevis for, at patienten har indvilliget i at give adgang til den pågældendes oplysninger i EPJ-systemet, skal der forefindes pålidelige redskaber, der kan give bevis herfor, f.eks. elektronisk kontrol af patientens kendetegn eller hvis der generelt allerede findes sådanne redskaber patientens elektroniske underskrift m.m. Der skal foreligge elektronisk dokumentation for, at der er fremlagt bevis herfor, således at der er mulighed for senere at checke det. Der bør fastsættes regler for, hvorvidt den registrerede kan anmode om, at visse oplysninger ikke indlæses i hans fil. En mulig fremgangsmåde er "forseglede kuverter", der ikke kan åbnes uden den registreredes udtrykkelige samtykke. c) Den registreredes adgang til sine egne oplysninger i EPJ-systemet: Hvorvidt patienter skal have direkte (elektronisk) adgang til at læse deres EPJ afhænger af, om det er lægeligt muligt. Den registreredes ret til indsigt f.eks. i medfør af artikel 12 i direktiv 95/46/EF behøver ikke nødvendigvis altid at betyde direkte adgang. At der er direkte adgang kan imidlertid i vid udstrækning være med til at skabe tillid til EPJ-systemet. For så vidt angår databeskyttelse er en forudsætning for at give direkte adgang, at der sikres elektronisk identifikation og autentifikation, således at uautoriserede personer ikke får adgang. I forbindelse med fastsættelsen af bestemmelserne for et EPJ-system bør der ses nærmere på spørgsmålet om, hvorvidt patienter selv bør indlæse oplysninger i deres egen EPJ, eller hvorvidt de skal indlæses af en erhvervsudøvende i sundhedssektoren. Ved at skabe tilstrækkelig gennemsigtighed omkring logningsrutiner, der viser, hvem ophavsmanden til oplysninger, der er indlæst i en EPJ, er, kan det eventuelt undgås, at der opstår problemer med hensyn til, hvem der har ansvaret for oplysningernes nøjagtighed. Det kan også overvejes at begrænse skriveadgangen til et særligt modul i EPJ. I den forbindelse skal der tages hensyn til kronisk syges, ældres og handicappedes evner og særlige behov. 4. Anvendelse af EPJ til andre formål Hvorvidt borgerne vil acceptere EPJ-systemer afhænger af, om de har tillid til, at oplysningerne i systemet er fortrolige. Baggrunden for at give lovlig adgang til oplysninger i en EPJ bør være i overensstemmelse med hovedformålet med alle EPJ-systemer, nemlig at sikre en vellykket lægebehandling ved hjælp af en forbedret information. Artikel 29-gruppen finder, at det principielt bør være forbudt at give adgang til lægelige oplysninger i en EPJ til andre formål end dem, der er nævnt i artikel 8, stk. 3. Det vil f.eks. forhindre, at læger, der fungerer som eksperter for tredjemand, får adgang til EPJ-systemet, f.eks. for private forsikringsselskaber, i forbindelse med retssager, for at opnå støtte til pensionering og for den registreredes arbejdsgiver. Derudover bør disciplinærreglerne for erhvervsudøvende i sundhedssektoren være udformet således, at de effektivt forhindrer, at reglerne overtrædes. 17 / 24
Der bør træffes særlige foranstaltninger for at forhindre, at patienter ulovligt lokkes til at offentliggøre deres egne oplysninger i EPJ, f.eks. på anmodning af en potentiel fremtidig arbejdsgiver eller et privat forsikringsselskab. Det er vigtigt, at patienterne oplyses om deres rettigheder, således at de ikke efterkommer sådanne anmodninger om offentliggørelse af oplysninger, der er ulovlig i medfør af retsforskrifterne om databeskyttelse. Der kan også anvendes tekniske midler, f.eks. særlige krav for så vidt angår udprintning af dele af en EPJ. Det kan som en undtagelse fra den ovenfor fastsatte regel tillades, at oplysninger fra EPJ behandles med henblik på medicinsk videnskabelig forskning og statistikker, forudsat at alle disse undtagelser er i overensstemmelse med direktivet (jf. artikel 8, stk. 4, og den tilsvarende betragtning 34). Undtagelserne skal derfor fastsættes i loven, og de skal gælde i forbindelse med specifikke formål, der er fastsat på forhånd, og på særlige betingelser, som garanterer proportionalitetsprincippet ("de fornødne specifikke garantier"), således at beskyttelsen af den enkeltes grundlæggende rettigheder og privatlivets fred sikres. Når det muligt at anvende oplysninger fra EPJ-systemer til andre formål (f.eks. statistik eller kvalitetsvurderinger), skal oplysningerne desuden kun anvendes i anonym form eller i det mindste med en sikker pseudonymisering 25. 5. EPJ-systemers struktur I forbindelse med drøftelserne af forskellige organisatoriske alternativer til lagring af oplysninger i et EPJ-system, nævnes sædvanligvis følgende hovedalternativer: EPJ som et system, der giver adgang til lægejournaler, der føres af en erhvervsudøvende i sundhedssektoren, der har pligt til at føre journal over behandlingen af sine patienter det kaldes ofte "decentraliseret lagring". EPJ som et ensartet lagringssystem, hvortil erhvervsudøvende i sundhedssektoren skal overføre al dokumentation det kaldes ofte "centraliseret lagring". Et tredje alternativ kan være at gøre den registrerede til "herre" over sin egen lægejournal ved at tilbyde den pågældende lagring af lægelige oplysninger som en særlig e-service, der er under patientens kontrol, måske endda med beføjelse til at beslutte, hvilke oplysninger der skal medtages i en EPJ 26. a) Selv om det tredje alternativ (lagring, der sker under den registreredes kontrol) forekommer at være den bedste løsning for så vidt angår selvbestemmelsesretten, kan oplysningernes kvalitet (hvor nøjagtige og fuldstændige de er) skabe problemer, da det udelukkende er den registrerede, der bestemmer, hvilke oplysninger der lagres i den pågældendes EPJ, og ingen erhvervsudøvende i sundhedssektoren har mulighed for at foretage berigtigelser. b) I tilfælde af "decentraliseret" lagring, der kun bliver til et system i og med, at der oprettes tilsvarende søgestier, forbliver den eksisterende struktur for dokumentation af sundhedsoplysninger hos de forskellige erhvervsudøvende i sundhedssektoren uændret. I hvor 25 26 Ved pseudonymisering forstås, at identifikatorer (såsom navn og fødselsdato) ændres, helst ved hjælp af kryptering, således at modtageren af oplysningerne ikke er i stand til at identificere den registrerede. Sådan er den franske model, der på nuværende tidspunkt er ved at blive etableret. Tjenesteyderne kaldes hosts/værter ("hérbergeurs"), og deres stilling er fastsat ved dekret, der var genstand for en forudgående høring hos den franske databeskyttelseskommission (CNIL). Dekretet er detaljeret og fokuserer på spørgsmål som akkreditering af disse tjenesteydere og systemsikkerhed. 18 / 24
høj grad det er muligt at lokalisere oplysninger om en patient i systemet afhænger af kvaliteten af søgesystemet. I denne organisatoriske model forbliver den erhvervsudøvende i sundhedssektoren/hospitalet "registeransvarlig" for filen (eller mere præcist, for den del af EPJfilen, den pågældende har oprettet). I lyset af denne models komplekse struktur kan det være nødvendigt at udpege et centralt organ, der er ansvarligt for styringen og overvågningen af hele systemet og dermed for at sikre, at systemets drift er i overensstemmelse med databeskyttelseskravene. Det vil også være nyttigt, hvis de registrerede kan indbringe deres databeskyttelsesproblemer for et centralt organ i stedet for at lede blandt en lang række registeransvarlige. c) Hovedfordelen ved et såkaldt "centraliseret" lagringssystem er sandsynligvis den højere tekniske sikkerhed og tilgængelighed (adgang døgnet rundt), hvilket ikke så let kan garanteres, hvis et EPJ-system går videre end til hospitaler. Der vil være en enkelt registeransvarlig for hele systemet, der er uafhængig af de erhvervsudøvende i sundhedssektoren/hospitaler, der fremsender deres dokumentation (delvis eller helt) til det centrale system. For så vidt angår databeskyttelse kan der gøres indvendinger mod et system af den art på grund af den potentielt højere risiko for misbrug. Der kan træffes særlige sikkerhedsforanstaltninger (f.eks. krypteret lagring) for i det mindste i væsentlig grad at opveje de sikkerhedsmæssige risici ved centralt lagrede oplysninger Ansvaret for, at oplysningerne i systemet holdes fortrolige, fjernes fra de erhvervsudøvende i sundhedssektoren, hvilket kan påvirke patienternes tillid til systemet. I hvor høj grad patienterne kan påvirke indholdet af deres EPJ-filer, og hvorvidt indholdet offentliggøres, vil i begge tilfælde decentraliseret lagring såvel som centraliseret lagring afhænge af systemets arkitektur (se punkt 3 b). 6. Datakategorier, der lagres i EPJ, og måder, hvorpå de præsenteres Formålet med et "EPJ-system" er grundlæggende at indsamle alle sundhedsrelaterede oplysninger om en bestemt person, som formodes at være relevante for den pågældendes helbredstilstand på lang sigt, således at der i tilfælde af fremtidige behandlinger foreligger omfattende relevante oplysninger, der kan være med til at sikre en vellykket behandling af patienten. Artikel 29-gruppen finder, at det hovedsageligt kan give følgende problemer: a) Det er praktisk umuligt og heller ikke ønskeligt at have "fuldstændige" sundhedsfiler. Kun relevante oplysninger bør indlæses i EPJ. Et af de sværeste spørgsmål ved oprettelsen af et EPJ-system er derfor at fastlægge, hvilke kategorier af lægelige oplysninger der bør samles i en EPJ, og i hvor lang tid de bør lagres 27. Selv om dette spørgsmål først og fremmest skal besvares af lægelige eksperter, er det også et spørgsmål om databeskyttelse. I henhold til principperne om relevans og proportionalitet i forbindelse med dataindsamling skal al indsamling af oplysninger begrænses til de oplysninger, der er relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de behandles (direktivets artikel 6, stk. 1, litra c)). EPJ-systemers legitimitet vil derfor også afhænge af, at der findes en passende 27 Der findes kategorier af oplysninger, der er vigtige gennem hele patientens liv (f.eks. allergier), men også oplysninger, der er meget vigtige i et kort tidsrum, f.eks. bestemte behandlinger, der er uforenelige. 19 / 24
løsning for så vidt angår de "rigtige" kategorier af oplysninger og det "rette" tidsrum for lagring af oplysningerne i EPJ-systemet. b) Præsentationen af oplysningerne i EPJ: Eftersom det er muligt at opdele sundhedsoplysningerne i forskellige kategorier, der kræver helt forskellige grader af fortrolighed, kan det generelt være nyttigt at oprette forskellige moduler af oplysninger inden for EPJ-systemet med forskellige krav til, hvem der har adgang til dem. Et "modul med oplysninger om vaccinationer" bør altid være tilgængeligt for den registrerede og kan også gøres tilgængeligt for en bredere kreds af medarbejdere i sundhedssektoren. Der kan gives særlig adgang til et "modul med oplysninger om medicinudskrivning" for farmaceuter, hvis patienten indvilliger heri 28. I forbindelse med et "modul til brug i nødstilfælde" kan der findes en særlig teknisk løsning for at give adgang hertil. Det forekommer også hensigtsmæssigt at oprette moduler med særlige "påmindelsessystemer", idet en patient således automatisk kan mindes om nødvendige vaccinationer, sundhedskontrolbesøg og undersøgelser i forbindelse med efterbehandlinger. Særligt følsomme oplysninger kan også bedre beskyttes, hvis de lagres i særskilte moduler, hvortil der gælder særligt strenge adgangsbetingelser. Eksempler herpå er oplysninger om psykiatrisk behandling, hiv eller abort. I stedet for ikke at medtage denne type oplysninger i en EPJ hvilket kan være skadeligt for fremtidige lægebehandlinger bør der i systemet være indbygget særlige begrænsninger for adgangen til oplysningerne, bl.a. at patienten skal give sit udtrykkelige samtykke og specielle tekniske hindringer (f.eks. "forseglede kuverter"). c) Ved struktureringen af EPJ-filer bør der også tages hensyn til særlige anmodninger om oplysninger, der kommer fra tid til anden. F.eks. at private forsikringsselskaber i henhold til national ret har ret til at få visse (begrænsede) oplysninger fra lægejournaler, når det er nødvendigt for, at de kan opfylde deres aftalemæssige forpligtelser over for de forsikrede patienter. Det forekommer uacceptabelt at give private forsikringsselskaber adgang til en patients EPJ. Det kan derfor være en løsning at oprette en "standarddokumentationspakke", som i givet fald dækker forsikringsselskabets legitime behov for oplysninger, og som, hvis patienten tillader det, (elektronisk) kan sendes til det private forsikringsselskab. 7. International overførsel af patientoplysninger Når de lægelige oplysninger i EPJ-systemer foreligger i elektronisk form, kan det i væsentlig grad øge diagnosticerings- og behandlingsmulighederne, fordi det giver mulighed for at anvende lægelig ekspertise, der kun findes på udenlandske hospitaler. Konsultering af udenlandske eksperter med henblik på diagnosticering kræver sædvanligvis ikke, at patientens identitet afsløres. Sådanne oplysninger bør derfor om muligt kun overføres til lande uden for EU/EØS i anonym eller i det mindst pseudonym form. Hvis den registrerede ikke har givet sit udtrykkelige samtykke til overførslen af personoplysninger 29, undgår man derfor, at dette er nødvendigt for at foretage overførslen, da modtageren ikke kan identificere den registrerede. 28 29 Der er endnu en fordel ved at have et modul vedrørende medicinudskrivning inden for EPJ, idet det også vil kunne give den praktiserende læge, der står for behandlingen, mulighed for at se al den medicin, patienten får. I situationer, hvor en patient fysisk er ude af stand til at give sit samtykke (f.eks. hvis den pågældende ligger i koma), kan de pågældendes lægelige oplysninger alligevel i overensstemmelse med direktivets artikel 26, stk. 1, overføres til lande uden hensigtsmæssige databeskyttelse, hvis patientens vitale interesser kræver det. 20 / 24