Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

14 nye tiltag skal sikre bedre behandling af sundhedsdata

Bird & Bird
15/05/2015
IT- og telekommunikation
14 nye tiltag skal sikre bedre behandling af sundhedsdata
Regionerne lancerer en ny fælles front mod en forbedret informationssikkerhed, som opstiller fællesregionale målsætninger og initiativer, der skal være med til at sikre borgernes sundhedsdata. Formålet med udspillet er at sætte et fælles niveau for, hvordan regionerne værner om borgernes privatliv ved brug af persondata.

Regionerne ønsker med initiativerne at skabe en større tillid mellem sundhedsvæsenet og borgerne. Dette kan også siges at være en nødvendighed efter flere uheldige sager, herunder Datatilsynet kritik af Region Midtjyllands indretning af deres fælles elektroniske patientjournal, hvor alle personalegrupper kunne tilgå patientoplysningerne uden nogen form for begrænsning på tværs af regionens behandlingssteder.

Bird & Bird's nyhed om denne sag kan læses her.

De 14 nye initiativer er delt ind i tre overordnede hovedgrupper. Disse grupper er 1)Mennesker, organisation og processer, 2) IT-systemer og fysisk sikkerhed og 3) Lovkrav og kontraktkrav.

Hovedgruppen Mennesker, organisation og processer sigter mod medarbejdernes adfærd i dagligdagen. Medarbejderne skal således være mere opmærksomme på, at forskellige handlinger, som umiddelbart virker harmløse, kan udgøre en alvorlig sikkerhedsrisiko, f.eks. at downloade programmer eller gemme oplysninger på USB-nøgler.


Det bliver således vigtigt, at ledelsesstrukturer og processer er med til at understøtte, hvordan medarbejdere håndterer teknik og udstyr, samt hvordan personoplysninger skal behandles.


Dette har resulteret i 5 forskellige initiativer i hovedgruppen:




  •     Entydigt ledelsesansvar og struktureret opfølgning.

  •     Udarbejdelse af en fællesregional informationssikkerhedspolitik.

  •      Medarbejdernes viden.

  •      Sikkerhed skal tænkes ind i ny IT-løsninger fra start.

  •      Regionsråd skal drøfte informationssikkerhed årligt.


Den anden hovedgruppe, IT-systemer og fysisk sikkerhed, har fokus på den trussel, som bevidst og ubevidst misbrug af informationer og hackerangreb udgør mod informationssikkerheden. Det skal her sikres, at uvedkommende ikke har adgang til persondata, og der skal ligeledes være planer for håndtering af sikkerhedsbrud.


Dette betyder, at der skal føres et skærpet tilsyn med, hvem der tilgår oplysningerne, hvilket hænger sammen med det ovenfor nævnte, hvor det skal være muligt at følge op på den menneskelige adfærd ved brugen af data. Ligeledes vil det indebære en kryptering af data, så de kan sendes og opbevares sikkert, men også noget så lavpraktisk som sikring af serverrum mod brand, indbrud, oversvømmelse og strømudfald vil være med til at forbedre informationssikkerheden.

Alt dette skal sikres gennem 5 overordnede initiativer:

  • Strukturerede risikovurderinger af IT-systemer og medico-teknisk udstyr.

  • Sikring mod hackerangreb.

  • Bruger-rollestyring.

  • Log og opfølgning.

  • II-beredskabsplaner.


Den sidste hovedgruppe er Lovkrav og kontraktkrav. Her skal der være et øget fokus på at overholde de i bl.a. Sundhedsloven og Persondataloven fastsatte krav om tavshedspligt, fortrolighed og sikker behandling af helbredsinformationer. Det skal sikres, at lovene overholdes på alle områder, både når det kommer til den allerede eksisterende IT-drift, men også når det kommer til udviklingen af nye digitale initiativer.

Dette indebærer, at der fremover skal være et øget fokus på at få indskrevet konkrete kontraktkrav til IT-sikkerhed i de drifts- og udviklingsaftaler, som regionen indgår med leverandører. Denne udvikling skal understøttes af, at det som udgangspunkt for den fællesregionale indsats for informationssikkerhed, er den internationale ISO 27001 standard, som skal følges.

Der er formuleret 4 initiativer:

  • Krav til leverandører.

  • Juridisk compliance.

  • Databehandleraftaler.

  • Modernisering af lovgivningsmæssige rammer.


Der er mange gode ting i udspillet fra regionerne, bl.a. må det ses som et stort skridt fremad, at ikke blot regionerne selv skal leve op til den internationale standard i ISO 27001, men at der også stilles krav om, at regionernes leverandører anvender ISO 27001 standarden. Dog afslører udspillet også, at der er visse områder, hvor regionerne ikke til dato har kunnet leve op til lovens krav.

F.eks. står det i uddybningen til initiativet om databehandleraftaler, at regionerne vil sikre, at der er databehandleraftaler med alle de instanser, der behandler persondata på regionernes vegne. Det fremgår imidlertid direkte af Persondataloven, at brug af en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Det må således antages, at der på nuværende tidspunkt ikke haves databehandleraftaler med alle regionernes databehandlere.

Man kan således håbe, at dette udspil vil være med til at sætte fokus på de juridiske problemer, der har været og er i forbindelse med behandlingen af personoplysninger i sundhedsvæsnet, og at det kan være med til at sikre en ensartet behandling af sundhedsdata i alle regionerne.

Der kan læses mere om udspillet her.

 



Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Jobbørs
Nævnenes Hus søger erfarne jurister i fleksible stillinger nogle timer ugentligt
Jurist til økonomisk regulering af monopoler
Bliv studentermedhjælper hos os og får styrket dine juridiske kompetencer!
Roskilde Universitet søger en uddannelsesjurist (fuldmægtig)
Jurist med blikket rettet mod arbejdsmiljø og retssikkerhed
Kontorchef til Center for Vand hos Konkurrence- og Forbrugerstyrelsen
Konkurrenceretsjurist med lyst til at arbejde med retssager i Konkurrence- og Fo...
Personlig assistent (PA) for retschefen i Forsvarsministeriet
Tilmeld jobagent Se alle jobs
Artikler, der kunne være relevante for dig
Politisk aftale om AI-forordningen
Politisk aftale om AI-forordningen
28/12/2023
IT- og telekommunikation, Persondata
Data Act versus GDPR – en svær balancegang
Data Act versus GDPR – en svær balancegang
09/01/2024
Persondata, IT- og telekommunikation
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
Følg Jurainfo.dk på:
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Privatlivs- og cookiepolitik   |   Ret dit samtykke