Region Sjælland får alvorlig kritik for manglende sikkerhed ved adgang til patientlister

Datatilsynet har behandlet en sag, der omhandler Region Sjællands praksis med at give medarbejdere adgang til patientlister på tværs af regionens hospitaler via Sundhedsplatformen. Datatilsynet startede sagen på baggrund af en henvendelse om, at medarbejdere havde adgang til patientoplysninger, som de ikke nødvendigvis havde en behandlerrelation til.

Region Sjællands argumenter

• Patientlisterne er et tværfagligt arbejdsredskab for alle personalegrupper.
• Alle med login til Sundhedsplatformen har adgang til patientlisterne.
• Patientlisterne understøtter lokale kliniske arbejdsgange, tværgående patientbehandling og patientsikkerhed.
• Adgangen til patientlisterne logges, men loggen viser ikke, hvilke patienter der er på listen.

Styrelsen for Patientsikkerheds bemærkninger

• Der foreligger ikke vægtige grunde for den brede adgang til patientlisterne uden for egen afdeling.
• Adgangen bør begrænses til læger og fagligt personale med specifikke tilsynsgående funktioner.
• Det er tilstrækkeligt, at personalet kan tilgå relevant information og journalmateriale via CPR-opslag.

Datatilsynets undersøgelse

Datatilsynet har lagt vægt på, at et stort antal brugere (16.322 i marts 2022) har haft adgang til patientlister, der indeholder følsomme oplysninger som cpr.nr. og diagnoser. Tilsynet har vurderet, om Region Sjælland har truffet passende sikkerhedsforanstaltninger i overensstemmelse med Databeskyttelsesforordningen artikel 32.

Datatilsynet har truffet afgørelse i sagen om Region Sjællands adgang til patientlister via Sundhedsplatformen.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Region Sjælland for manglende overholdelse af Databeskyttelsesforordningen § 32, stk. 1, da regionens behandling af personoplysninger ikke sikrede et tilstrækkeligt sikkerhedsniveau.

Begrundelse

• Region Sjælland har givet et for stort antal brugere adgang til patientlister uden tilstrækkelige sikkerhedsforanstaltninger.
• Regionens logningspraksis har ikke kunnet skabe en sammenhæng mellem opslag og konkrete personoplysninger, hvilket hindrer dokumentation og opfølgning på eventuelt misbrug.
• Datatilsynet understreger, at adgangen til persondata skal baseres på en dokumenteret beslutning og et arbejdsbetinget behov.
• Datatilsynet forventer, at Region Sjælland reviderer adgangsrettighedsstrukturen og de områder, hvor bred adgang benyttes uden konkret behov.

Datatilsynet har også lagt vægt på Styrelsen for Patientsikkerheds vurdering om, at der ikke foreligger vægtige grunde for den brede adgang til patientlisterne.