14. juni 2017

Gør de indledende øvelser til persondataforordningen allerede nu

Selvom dit it-system understøtter og lever op til de it-mæssige krav for databehandling i EU's nye persondataforordning, kan du ikke bare læne dig tilbage. Størstedelen af de nye krav omhandler nemlig dine interne processer, og du kan med fordel allerede nu begynde at forberede en kortlægning af processerne og implementere de forhøjede krav om dokumentation.

Det er it-systemerne, der understøtter sikker og lovmæssig korrekt omgang med persondata, men ansvaret og den ledelsesmæssige opgave ligger hos de enkelte organisationer. En af de største ændringer ved EU's kommende persondataforordning er, at det ikke er nok at overholde loven – du skal også kunne bevise, at du overholder loven, og dokumentere på hvilken måde du gør det.

For en lægepraksis betyder det konkret, at persondata som fx patientdata, FMK-data og CPR-numre skal følge nogle dokumenterbare processer, der blandt andet beskriver, hvem der får indsigt i data, hvor og hvor længe data opbevares og til hvilket formål. Desuden skal du beskrive dit beredskab i tilfælde af brud på datasikkerheden.

Hvem er dataansvarlig?

Hos lægesystemet EG Clinea har man gjort alle dataprocesser omkring patienthåndtering klar til Persondataforordningen. Det gælder eksempelvis logning af loginforsøg og patientopslag, historik på ændringer af journaltekster og krypteret kommunikation med iPad, Patientportal eller interne og eksterne services. Udviklingschef Michael Frank Christensen fra EG Clinea gør opmærksom på, at for den enkelte klinik er it-systemet kun det første skridt på vejen:

"Hvis du vælger ikke at bruge de sikre redskaber, der er til rådighed i dit it-system, er der risiko for brist i sikkerheden. Det kommer der nu fuld fokus på med persondataforordningen. Det bliver nemlig op til dig selv at dokumentere dine procedurer i hverdagen, og hvad du vil gøre i tilfælde af datalæk. Derfor skal du nu som det allerførste og senest den 25. maj 2018 udpege en dataansvarlig i din klinik," siger Michael Frank Christensen.

Dokumentation bliver obligatorisk

EG Clineas udviklingschef forudser, at mange klinikker vil have en stiltiende forventning om, at den it-ansvarlige automatisk bliver ansvarlig for datasikkerheden, men det er vigtigt at tage snakken og formelt udpege en dataansvarlig. Der vil sandsynligvis også i fremtiden blive hackerangreb og lignende, og patientdata er per definition særligt følsomme:

"Et godt eksempel er det såkaldte "læge-læk" i sidste måned, der viste sig at være et stort fupnummer. Med de kommende regler kan du som klinik i en lignende situation risikere at skulle mønstre en dataansvarlig, der stiller dokumentation til rådighed. Det kan godt medføre lidt mere administration især for mindre praksisser, og det kan i nogle tilfælde kræve efteruddannelse. Når det er sagt, handler det mest af alt om at behandle persondata med omhu," siger Michael Frank Christensen.