Sundhedsdatastyrelsen.dk bruger cookies for at forbedre brugeroplevelsen på hjemmesiden.  Læs mere om cookies

02.10.2017

Borgernes sundhedsdata er i sikre rammer hos Sundhedsdatastyrelsen

Datatilsynet udtaler kritik af Sundhedsdatastyrelsens håndtering af de tilsyn og datahandleraftaler, som enhver dataansvarlig myndighed skal have med sine databehandlere ifølge Persondataloven og sikkerhedsbekendtgørelsen. I den anledning finder Sundhedsdatastyrelsen det vigtigt at understrege, at alle tilsyn og aftaler er på plads, for systemer og registre, hvor patienters og borgeres sundhedsdata er involveret.

Datatilsynet udtaler kritik af styrelsen på fire områder:

  • databehandleraftaler, og
  • myndighedens kontrol med databehandlere
  • uddybende sikkerhedsregler,
  • myndighedens eget tilsyn

Sundhedsdata har ikke været i fare

Særligt peger Datatilsynet på, at Sundhedsdatastyrelsen ”for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale”.

Det er vigtigt for Sundhedsdatastyrelsen at understrege, at for alle de områder, der berører borgernes sundhedsdata, for eksempel Det Fælles Medicinkort, Vævsanvendelsesregistret, Den Nationale Børnedatabase, Sygesikringsregistret mv., er de skriftlige databehandleraftaler på plads, og der bliver ført tilsyn med databehandlerne.

De databehandlere uden tilstrækkelige skriftlige databehandleraftaler, der henvises til i Datatilsynets udtalelse, er systemer udbudt af Moderniseringsstyrelsen til løn-, regnskab og personaleadministration.

Den kritik tager Sundhedsdatastyrelsen selvfølgelig til sig.

Datatilsynet peger dog i sin udtalelse på, at problemstillingen med de manglende databehandleraftaler for disse systemer er generel og fælles for en lang række statslige myndigheder. Moderniseringsstyrelsen er sammen med Datatilsynet ved at se på disse aftaler.

Derfor afventer Sundhedsdatastyrelsen resultaterne af dette arbejde, så det sikres, at der indgås korrekte og tilstrækkelige aftaler.

Uddybende sikkerhedsregler er på plads

For så vidt angår de uddybende sikkerhedsregler, hvor dataansvarlig myndighed bl.a. skal fastsætte og uddybe regler for, fx hvordan man behandler personlige oplysninger inden for myndighedens egne mure, så er disse regler og retningslinjer fastsat for Sundhedsdatastyrelsens vedkommende, og der er en praksis for at føre tilsyn hermed.

Dette har styrelsen desværre ikke kommunikeret korrekt til Datatilsynet. Det vil naturligvis ske i forbindelse med den redegørelse, som Datatilsynet har bedt styrelsen om at fremsende.

Sundhedsdatastyrelsens direktør, Lisbeth Nielsen, beklager kritikken og understreger, at sikkerheden omkring persondata og sikkerhedsbekendtgørelsen er øverst på dagsordenen for Sundhedsdatastyrelsen.