Praksislægen behandler mere end bare sundhedsdata

Sundhedsdata er nogle af de mest følsomme data, der findes, og der hersker næppe tvivl om, at lægeklinikker skal passe overordentligt godt på, at disse data ikke falder i de forkerte hænder. Men når EU's persondataforordning (GDPR) træder i kraft, skal den privatpraktiserende læge også have styrket fokus på de måske lidt oversete, øvrige persondata, som lægen behandler i klinikken – herunder eksempelvis data om medarbejderne.

Læge-GDPR

Sammenlignet med den gældende persondatalov skal den privatpraktiserende læge især være opmærksom på GDPR's ansvarlighedsprincip. Foto: Getty Images

Sundhedsdata: Typisk har en helt almindelig lægepraksis den største samling af private data om individet uden for hjemmet. Såvel i lægesystemer som fra Sundhedsdatastyrelsens side er der derfor en lang tradition for at leve op til gældende lovgivning og have styr på datasikkerheden i forhold til borgernes sundhedsdata.

Inden GDPR træder i kraft den 25. maj 2018, skal lægerne dog også holde fokus på, hvilke data lægen i øvrigt behandler.

Som dataansvarlig skal man kende sine databehandlingsaktiviteter og vide, hvordan man it-understøtter dem. Søren Wolder, advokat og partner hos DAHL Advokatfirma.

Lægen skal kortlægge sin databehandling

Sammenlignet med den gældende persondatalov skal den privatpraktiserende læge især være opmærksom på GDPR's ansvarlighedsprincip. Kort fortalt er det fremover ikke længere nok at behandle data ansvarligt. Lægen skal fx også kortlægge sin databehandling og påvise sin ansvarlighed ved fx at beskrive procedurer, løbende forholde sig til risici ved databehandlingen og undervise sine medarbejdere.

Læs også: Sundhedsdata går uden om det offentlige sundhedsvæsen

GDPR skelner tydeligt mellem den dataansvarlige og databehandleren, og med ansvarlighedsprincippet understreger de nye regler, at den privatpraktiserende læge som klinik skal være bevidst om dit dataansvar.

- Mange har måske den opfattelse, at GDPR er en it-opgave, men det er i høj grad en forretningsmæssig opgave: Som dataansvarlig skal man kende sine databehandlingsaktiviteter og vide, hvordan man it-understøtter dem. En del af overholdelsen af GDPR understøttes af it og it-sikkerheden, men it-systemet og it-leverandøren kan ikke vide, om oplysningerne er lovligt indsamlet og opbevaret, om de slettes på de rigtige tidspunkter, om de bliver brugt til de formål, de må, osv., siger Søren Wolder, advokat og partner hos DAHL Advokatfirma.

Væk med ringbindene

En systematisk kortlægning af data vil vise, hvilke persondata en lægepraksis behandler – og i den forbindelse vil der dukke data op, der ikke behandles i klinikkens lægesystem. Michael Frank Christensen fra EG 

Healthcare anbefaler, at det især er her, man sætter ind, da ikke alle klinikker nødvendigvis tidligere har beskæftiget sig med andre data end patientdata. Og mange klinikker har endog følsomme data om deres medarbejdere, som skal beskyttes forsvarligt, eller som måske slet ikke må opbevares:

- Nogle klinikker har MUS-skemaer og ansættelseskontrakter liggende tilgængeligt. Her kræver reglerne, at der findes procedurer for, hvor disse data er placeret, hvem der har adgang, og hvornår data slettes igen. Det er slut med, at medarbejderinformationer står tilgængeligt i ringbind. Find et sikkert sted, læg medarbejderdata på en sikker server et sted i skyen, eller anskaf et værktøj til dokumenthåndtering, siger Michael Frank Christensen, som er manager hos EG Healthcare.

Fokus på persondata i dagligdagen

De nye regler skal harmonisere reglerne på tværs af EU. Når GDPR træder i kraft, vil det også betyde, at borgernes data bliver bedre beskyttet, da den dataansvarlige kontinuerligt skal forholde sig til sin databehandling – herunder risici, sikkerhed og løbende uddannelse af personale. Den enkelte klinik skal altså ud over kortlægningen også indarbejde procedurer i hverdagen, der fastholder fokus på ansvarlig databehandling:

- GDPR er ikke en engangsaffære, og jeg kunne forestille mig, at man som lægeklinik gjorde det til et fast punkt på ugemøder, at risikobilledet for databehandlingen tages op. Derudover kan man vælge at lade GDPR-spørgsmålet blive en del af klinikkens årshjul, så der er fokus, og så man sikrer, at alle medarbejdere løbende bliver undervist i ansvarlighed, siger Michael Frank Christensen fra EG Healthcare.

Er du privatpraktiserende læge? -  Læs mere og test dig selv

Se mere i denne video om GDPR i lægepraksis, hvor advokat Søren Wolder fra DAHL Advokatfirma og manager Michael Frank Christensen fra EG Healthcare medvirker.

Du kan allerede nu hente Datatilsynets vejledning til den obligatoriske fortegnelse over dine databehandlingsaktiviteter og gå i gang med kortlægningen.

Før du går i gang, kan du tage Erhvervsstyrelsens onlinetest, PrivacyKompasset, der ud fra 23 spørgsmål kan give dig et overblik over, hvad du skal gøre for at efterleve databeskyttelsesreglerne. Du finder også svar på grundlæggende spørgsmål om ansvarlig datahåndtering.