BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Relaterede dokumenter
OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE

Kontraktbilag 3. Databehandleraftale

BILAG 14: DATABEHANDLERAFTALE

Forsvarsministeriets Materiel- og Indkøbsstyrelse

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Bilag X Databehandleraftale

Dato: 6. oktober 2011 Side 1 af 7. Fælles Databehandlerinstruks -

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

Bilag B Databehandleraftale pr

Bilag A Databehandleraftale pr

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Aftale omkring behandling af persondata.

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Underbilag 14A DATABEHANDLERAFTALE

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Bilag 11 - Databehandleraftale

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

! Databehandleraftale

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

Kontraktbilag 7: Databehandleraftale

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Vejledning til den fællesregionale skabelon Databehandleraftale

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Underbilag 4B til kontrakt om elektronisk nøglesystem mellem Kalundborg Kommune og [Navn - skal udfyldes af leverandøren]

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

Databehandleraftale (v.1.1)

DATABEHANDLERAFTALE [LEVERANDØR]

Driftskontrakt. Databehandleraftale. Bilag 14

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Rammeaftalebilag 5 - Databehandleraftale

DATABEHANDLERAFTALE. Omsorgsbemanding

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. 1. Baggrund, formål og definitioner. mellem. xxxxxxxxxx xxxxxxxxxx xx xxxx xxxxxxx CVR.nr. xxxxxx

Bilag 9 Databehandleraftale

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

PERSONDATAPOLITIK (EKSTERN)

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

DATABEHANDLERAFTALE Version 1.1a

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Tønder Kommune BILAG 10

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

2. Leverandøren er som databehandler forpligtet til følgende:

DATABEHANDLERAFTALE

PERSONDATALOVEN OG SUNDHEDSLOVEN

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Behandling af personoplysninger

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandlerinstruks

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Databehandleraftale. om [Indsæt navn på aftale]

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Kontraktbilag 16 - Databehandleraftale

EU-udbud af WAN infrastruktur. Bilag 11 - Databehandleraftale

Konsekvensanalyse vedrørende databeskyttelse

D A T A B E H A N D L E R A F T A L E

Retningsgivende databehandlervejledning:

Underbilag 14A.7 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Journalnummer.: X-X-XX-XX-XX. Vedrørende projektnavn/titel/system/beskrivelse

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Standardvilkår. Databehandleraftale

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Retsudvalget REU Alm.del Bilag 364 Offentligt

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

PERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs depotrumsafdeling

BILAG 14 DATABEHANDLERAFTALE

DATABEHANDLER AFTALE ADWISE MEDIA APS

Transkript:

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

INSTRUKTION TIL BESVARELSE AF BILAGET: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse. Formål med bilag: Formålet med Bilag 14 er at synliggøre relevant lovgivning, Kundens politikker og retningslinjer om it-sikkerhed samt sikre indgåelse af databehandleraftale, som Leverandøren skal overholde. Instruks vedrørende bilag: Bilag 14 skal ikke udfyldes af Tilbudsgiver. Databehandleraftalen, jf. Underbilag 14A, underskrives af Parterne i forbindelse med kontraktindgåelse. Evaluering af besvarelse: Bilaget indgår ikke i tilbudsevalueringen. Udbudsbetingelsernes bilag X: Det vil være muligt at angive forbedringsforslag i Udbudsbetingelsernes bilag X, Tilbudsgivers forbedringsforslag. Sådanne forslag kan blive drøftet i forhandlingsfasen, men vil ikke nødvendigvis blive det

1. Overblik over dokumentpakken... 1 2. Databehandleraftale... 2 3. Præceptive regler... 2 4. Informationssikkerhedspolitikker og retningslinjer... 2 5. Udmøntning af IT-sikkerhed... 2 5.1. Adgangsbegrænsning på rolle-/medarbejderniveau... 2 5.2. Privacy by design og privacy by default... 3 5.3. Værdispringsreglen... 4 5.4. Logning... 5 5.5. Samtykke... 5

1.Overblik over dokumentpakken Bilag 14 skal forstås som et introducerende bilag, der giver et overblik over de underbilag, der knytter sig til bilaget, samt en introduktion til persondatalovgivningen og IT-sikkerhedsreglerne på området. Herudover indeholder bilaget nogle specifikke krav til sikkerhed og persondatabeskyttelse i Løsningen. Bilag 14 skal således læses i sammenhæng med de dertilhørende underbilag. Til Bilag 14 knytter sig som nævnt en række underbilag, herunder bl.a. en fællesregional databehandleraftale samt en ny databehandleraftale. Sidstnævnte skal indgås af Parterne og erstatte førstnævnte umiddelbart inden den 25. maj 2018, hvor Persondataforordningens 1 regler finder anvendelse. Underbilagene til den nye databehandleraftale består af henvisninger til underbilagene i den fællesregionale databehandleraftale i Underbilag 14A, således at underbilagene til den nye databehandleraftale vil blive udarbejdet med udgangspunkt i underbilagene til Underbilag 14A. Bilag 14 omfatter følgende underbilag: Underbilag 14A: Fællesregional databehandleraftale o Underbilag 14A.1: Databehandlerinstruks o Underbilag 14A.2: Den dataansvarliges informationssikkerhedspolitik Underbilag 14A.2.1: Informationssikkerhedspolitik ( Fællesregional Informationssikkerhedspolitik samt Tillæg til Fællesregional Informationssikkerhedspolitik for Region Syddanmark ) o Underbilag 14A.2.1.1: Retningslinje for Videregivelse og indhentning af helbredsoplysninger i sygehusvæsenet o Underbilag 14A.2.1.2: Retningslinje for Sikkerhed og fortrolighed ved personoplysninger o Underbilag 14A.2.1.3: Retningslinje for Indgåelse af databehandleraftaler og tilsyn med databehandlere o Underbilag 14A.2.1.4: Retningslinje for autorisationer og brugerrettigheder o Underbilag 14A.2.1.5: Retningslinje for Logning o Underbilag 14A.2.1.6: Retningslinje for Datasikkerhed o Underbilag 14A.3: Informationssikkerheds- og risikostyring o Underbilag 14A.4: Underdatabehandlere o Underbilag 14A.5: Ad hoc arbejdspladser o Underbilag 14A.6: Revisionserklæring Underbilag 14A.7: Databehandleraftale pr. 25. maj 2018 Underbilag 14A.7.1: Databehandlerinstruks Underbilag 14A.7.2: Informationssikkerhedspolitik Underbilag 14A.7.3: Informationssikkerheds- og risikostyring Underbilag 14A.7.4: Underdatabehandlere Underbilag 14A.7.5: Ad hoc arbejdspladser Underbilag 14A.7.6: Revisionserklæring og audit I Bilag 14 samt i underbilagene til dette benyttes betegnelserne Kunde/Dataansvarlig og Leverandør/Databehandler som synonymer. 1 Europaparlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1

2. Databehandleraftale Idet Leverandøren i forbindelse med levering og vedligeholdelse af Løsningen, herunder afprøvning, vedligehold og support, behandler visse personoplysninger, som Kunden selv behandler og/eller er ansvarlig for, anses Leverandøren som databehandler, og er følgeligt forpligtet til at indgå en databehandleraftale med Kunden, jf. Underbilag 14A og Underbilag 14A.7, samt overholde retningslinjerne i den dertilhørende instruks, jf. Underbilag 14A.1 og Underbilag 14A.7.1. 3. Præceptive regler Leverandøren garanterer, at Løsningen, herunder de leverede ydelser, opfylder relevante regler vedrørende persondatabeskyttelse. Leverandøren er til enhver tid forpligtet til at holde sig orienteret om og sikre, at gældende dansk persondatalovgivning overholdes. Leverandøren er desuden til enhver tid forpligtet til at sikre, at reglerne vedrørende behandlingssikkerhed overholdes, jf. også retningslinjerne i Underbilag 14A, Fællesregional Databehandleraftale, og Underbilag 14A.7, Databehandleraftale per 25. maj 2018. 4. Informationssikkerhedspolitikker og retningslinjer Kundens ramme for informationssikkerhed understøtter Kundens værdigrundlag og de strategiske mål, der er fastlagt i Kundens målbilleder. Kundens ramme for informationssikkerhed er udarbejdet i henhold til ISO 27001. Rammen for informationssikkerhed fastlægger det overordnede ansvar, krav og rammer for at beskytte Kundens informationer både papirbaserede og elektroniske. I særlig grad skal kritiske og følsomme informationer sikres, hvormed de bevarer deres fortrolighed, integritet og tilgængelighed. Dette stiller krav til sikkerheden i udvikling, implementering og drift af Løsningen, og Leverandøren skal opretholde et informationssikkerhedsniveau, som ikke er lavere, end hvad er beskrevet i den Fællesregionale Informationssikkerhedspolitik samt underliggende bilag, jf. Underbilag 14A.2.1-14A.2.1.6. Se hertil desuden Databehandleraftalen i Underbilag 14A og 14A.7A, samt Databehandlerinstruksen i Underbilag 14A.1 og Underbilag 14A.7.1. 5.Udmøntning af IT-sikkerhed Nedenstående er en ikke-udtømmende liste for udmøntning af IT-sikkerheden, indeholdende konkrete områder, som er af særlig betydning for Kunden. 5.1.Adgangsbegrænsning på rolle-/medarbejderniveau Det følger af de persondataretlige regler, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at blandt andet helbredsoplysninger hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab (ubeføjet udbredelse), misbruges eller i øvrigt behandles i strid med loven. Heri ligger bl.a., at alene brugere, der har et sagligt behov for at få adgang til Løsningen, skal autoriseres hertil, og at den enkelte bruger alene må autoriseres til anvendelser (og derfor få teknisk adgang til oplysninger), som vedkommende har behov for. Sundhedslovens bestemmelser om brugeres juridiske adgang til indhentning af oplysninger i EPJ-systemer regulerer ikke direkte spørgsmålet om teknisk adgang. Spørgsmålet om, i hvilket omfang der vil være tale om ubeføjet udbredelse af oplysninger fra it-løsninger, afhænger imidlertid af reglerne om, hvilke oplysninger de forskellige grupper af brugere må indhente. De juridiske betingelser for indhentning vil således have betydning for, i hvilket omfang brugere må få teknisk adgang (adgangsrettigheder) til oplysningerne efter persondatalovgivningen. 2

Det afhænger af medarbejderens organisatoriske rolle eller arbejdsfunktion og tilknytning til en bestemt del af organisationen, hvilken information vedkommende kan autoriseres til at få adgang til. En uddybning af dette, herunder audit/kontrol af brugerrettigheder, fremgår af Underbilag 14A.2.1.4, Retningslinje for autorisationer og brugerrettigheder samt i Underbilag 14A.1 punkt 3.3 (og 14A.7.1), Databehandlerinstruks. Leverandøren skal sikre, at Løsningen understøtter overholdelsen af de gældende regler for området. I nedenstående figur er bestemmelserne i sundhedsloven sat op som en beslutningsgraf, der bidrager til at tydeliggøre, hvornår der juridisk (og for så vidt teknisk) set kan eller ikke kan indhentes oplysninger elektronisk 2. 5.2. Privacy by design og privacy by default Reglerne om privacy by design og privacy by default følger af Persondataforordningens artikel 25, og Leverandøren skal ved etablering og videreudvikling Løsningen efterleve disse principper. Det følger af reglerne om Privacy by design, at Kunden, ud fra det aktuelle tekniske niveau, karakter og omfanget af personoplysningerne med videre, har en pligt til som dataansvarlig at sikre, at der teknisk og organisatorisk kan ske understøttelse af overholdelsen af kravene til behandling af personoplysninger. Ydermere betyder reglerne om privacy by default, at databeskyttelse skal være indlejret og tænkt ind i Løsningen. Den grundlæggende idé bag privacy by default er at sikre en arkitektur og konfiguration, der 2 Figur: Beslutningsgraf vedrørende sundhedspersoners indhentning af patientoplysninger (Kilde: Vejledning om informationssikkerhed i sundhedsvæsenet, april 2016, Sundhedsdatastyrelsen). 3

beskytter de personoplysninger, der behandles i it-løsninger, mod misbrug, kompromittering eller uautoriseret brug. Løsningen og videreudviklinger heraf skal efterleve principperne om privacy by design og default således, at graden af indgriben i de registreredes privatliv reduceres, og således at databeskyttelse er tænkt ind i Løsningen. Nedenfor følger en række ikke-udtømmende eksempler på, hvilke funktioner systemets teknologi bl.a. skal understøtte: Løsningen skal sikre, at brugeren som udgangspunkt kun kan se personoplysninger i forhold til de patienter, vedkommende selv har i behandling. Som følge af sundhedslovens 41, stk. 2, nr. 4, og 42a, stk. 5, skal der dog indarbejdes en undtagelse til dette udgangspunkt, der muliggør opfyldelsen af værdispringsreglen, jf. punkt 5.3. Løsningen skal sikre en teknisk funktionalitet således, at lægemiddelinspektører m.v., ifm. kliniske forsøg, kun gives adgang til relevante forsøgspersoners data. Løsningen skal indarbejde en særskilt adgangsmulighed for eksterne brugere, således at der er mulighed for, på ugentlig basis, at indhente oplysninger omkring disse eksterne brugeres anvendelse af Løsningen (tracing af eksterne brugere). Leverandøren skal, om nødvendigt, bistå med udtræk af data i denne henseende. Løsningen skal kunne opsættes således, at det tydeligt fremgår af journalen, at der findes skærmede personoplysninger. De skærmede personoplysninger må ikke være tilgængelige for den bruger, der åbner journalen. Løsningen skal desuden helt overordnet sikre, at der ikke indsamles flere oplysninger end nødvendigt, at der ikke opbevares personoplysninger i længere tid end nødvendigt, at der ikke gives teknisk adgang til flere oplysninger end nødvendigt samt, at der ikke anvendes oplysninger til andre formål, end de formål, som oplysningerne oprindeligt er indsamlet til. Ligeledes skal der være mulighed for sletning, pseudonymisering og kryptering af personoplysninger i Løsningen. 5.3. Værdispringsreglen Med værdispring menes, at hensynet til hemmeligholdelse kan vige for hensynet til andre væsentlige interesser. Værdispring optræder i sundhedslovens 41, stk. 2, nr. 4, og 42a, stk. 5. Værdispringsreglen kan være med til at sikre, at en medarbejder ikke kommer i en situation, hvor vedkommende mangler vigtige patientoplysninger og dermed påfører patienten en risiko. På den anden side er det vigtigt, at værdispringsreglen ikke anvendes til at omgå eksisterende sikkerhedsløsninger, og det er derfor vigtigt, at anvendelsen dokumenteres, og at der foretages den nødvendige logning af brugerens anvendelse. Værdispringsreglen betyder derfor ikke, at der kan ses bort fra krav om tekniske sikkerhedsforanstaltninger, der regulerer brugernes adgang, men Løsningen skal give en mulighed for at overskride de normale gældende adgangsrettigheder, hvis der er behov herfor. Der skal således ved enhver anvendelse af værdispringsreglen ske en elektronisk registrering af dette og begrundelsen herfor, se også ovenfor under punkt 5.2. Det skal være muligt at kontrollere, hvornår der sker anvendelse af reglen og med hvilke begrundelser. Det skal være muligt via logningen af Løsningen at se, at værdispringsreglen har været anvendt. Brugeren skal altid være vidende om, at værdispringsreglen tages i anvendelse (det skal altså være brugerens aktive beslutning og ikke blot et systemmæssigt valg). 4

5.4. Logning Som udgangspunkt skal Løsningen sikre, at kun personer, for hvem det er relevant, kan få adgang til data, men i nogle situationer kan det være svært elektronisk at afgøre relevansen på det tidspunkt, hvor oplysningerne efterspørges. I disse situationer kan logning understøtte sikkerheden, dels ved, at brugerne er bekendt med, at der aktivt logges, dels ved, at der kan foretages opfølgning på, at brugernes adgang til personoplysninger har været berettiget. Løsningen skal således foretage logning af al anvendelse af personoplysninger i Løsningen. Logningen skal, ud over de generelle krav til loghændelser, kunne konfigureres til at logge følgende detaljegrad i brugerloggen: Type af anvendelse Angivelse af den person, de anvendte oplysninger vedrørte Det anvendte søgekriterium Tidspunkt Der henvises endvidere til retningslinje om logning, jf. Underbilag 14A.2.1.5. samt Underbilag 14A.1 punkt 3.4 (og 14A.7.1), Databehandlerinstruks. 5.5. Samtykke Sundhedsloven opererer såvel med patientens samtykke til videregivelse af oplysninger i behandlingsøjemed som til andre formål end behandling samt patientens ret til at frabede sig videregivelse eller indhentning af oplysninger. I relation til elektronisk indhentning af patientoplysninger skal patienten være orienteret om sin ret til at frabede sig indhentning, men der er ikke krav om, at man ved den konkrete indhentning skal udbede sig patientens samtykke. I bemærkningerne til sundhedsloven er det angivet, at denne ret ved nye it-løsninger skal understøttes elektronisk, dvs. patienten selv eller en sundhedsperson på patientens vegne skal kunne markere, hvilke kategorioplysninger man frabeder sig videregives. Løsningen skal understøtte denne ret. Der henvises endvidere til retningslinje om videregivelse og indhentning af helbredsoplysninger i sygehusvæsenet, jf. Underbilag 14A.2.1.1. 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback