Gå til indhold

Høringssvar vedr. bekendtgørelse om pilotprojekt om udveksling af oplysninger via MyHealth@EU i Den Europæiske Union

Fornuftigt at forberede den fælles digitale infrastruktur på EHDS-forordningen - men der mangler hjemmel i dansk ret 

Lægeforeningen anerkender, at der kan være et behov for at være på forkant med implementeringen af Europa-Parlamentets og Rådets forordning (EU) 2025/327/EU (EHDS-forordningen). Derfor er det også fornuftigt at påbegynde integrationen af MyHealth@EU i den fælles digitale infrastruktur, der drives af Sundhedsdatastyrelsen.

Det er imidlertid Lægeforeningens klare vurdering, at sundhedsloven, der ifølge bekendtgørelsesudkastet skal udgøre det retlige grundlag for denne integration, ikke kan tjene som hjemmelsgrundlag for bekendtgørelsen.

Desuden er Lægeforeningen bekymret for, om oplysninger om danske patienters helbredsforhold og andre fortrolige forhold vil nyde tilstrækkelig beskyttelse, når de ifølge bekendtgørelsesudkastet kan tilgås af ”Autoriserede sundhedsprofessionelle, disses medhjælp eller de, der teknisk yder assistance for sundhedsprofessionelle i et andet land end Danmark, inden for den Europæiske Union”. 

Dansk lovgivning, herunder sundhedsloven, autorisationsloven og klage- og erstatningsloven omfatter som bekendt ikke denne persongruppe. Det er derfor også uklart, hvilke rettigheder danske patienter har, hvis oplysningerne anvendes uretmæssigt. EHDS-forordningen understreger da også behovet for at indføre ny lovgivning til beskyttelse af patienternes sundhedsdata i EU, når de tilgås via MyHealth@EU. Det fremgår således af forordningen (artikel 23, stk. 4), at Kommissionen senest den 26. maj 2027 ved hjælp af gennemførelsesretsakter bl.a. vedtager de nødvendige foranstaltninger til den tekniske udvikling af MyHealth@EU og detaljerede regler vedrørende sikkerhed, fortrolighed og beskyttelse af personlige elektroniske sundhedsdata.    

Uddybende bemærkninger om det utilstrækkelige hjemmelsgrundlag 

Af Justitsministeriets vejledning nr. 9594 af 9. juli 2021 om administrative forskrifter fremgår om hjemlen til udstedelse af administrative forskrifter, som skal have bindende virkning for borgere, virksomheder m.v., at disse som hovedregel skal have hjemmel i lov.

Det fremgår endvidere af vedledningen, at det må afgøres ved almindelig lovfortolkning hvilken regulering, der kan udstedes med en bestemt hjemmel, og at jo mere indgribende reglerne er, jo sikrere må hjemlen være. Bestemmelser af særligt indgribende karakter kan således alene udstedes, hvis hjemmelloven indeholder en udtrykkelig bemyndigelse hertil. 

Lægeforeningen hæfter sig i den forbindelse ved, at der i bekendtgørelsesudkastet lægges op til en administrativ regulering af følgende: 
 
1.    De tekniske og forretningsmæssige krav, som de dataansvarlige skal opfylde for at opnå tilslutning til MyHealth@EU.
2.    Pligt for regionsråd, kommunalbestyrelser, autoriserede sundhedspersoner, herunder alment praktiserende læger m.fl. til at stille oplysninger til rådighed for Sundhedsdatastyrelsen om patientforløb, herunder patientens stamoplysninger, oplysninger om sundhedshistorik, operationer, diagnoser, helbredstilstand, medicin m.m. samt oplysninger om ordinerede lægemidler m.m. med henblik på at disse oplysninger kan gøre tilgængelige i MyHealth@EU.
3.    Adgang for autoriserede sundhedsprofesionelle, disses medhjælp eller de, der yder teknisk assistance for sundhedsprofesionelle i et andet land end Danmark, inden for den Europæiske Union, til ved opslag i MyHealth@EU at indhente oplysninger om helbredsforhold og andre fortrolige oplysninger om danske patienter. 
4.    Adgang for apotekere og apotekspersonale i et andet land end Danmark, inden for den Europæiske Union, til ved opslag i MyHealth@EU at indhente elektroniske recepter med henblik på ekspedition.
5.    Adgang for patienten til at frabede sig, at sundhedspersoner, apotekere og apotekspersonale indhenter oplysninger i MyHealth@EU.
6.    Pligt til at sikre, at patienten har elektronisk adgang til de oplysninger om helbredsforhold og andre fortrolige oplysninger vedrørende patienten, der registreres og udstilles i MyHealth@EU.
7.    Pligt for Sundhedsdatastyrelsen til at foretage logning af anvendelser af personoplysninger for sundhedspersoner, apotekere og apotekspersonale i MyHealth@EU.


I indledningen til bekendtgørelsesudkastet angives som hjemmel for bekendtgørelsen sundhedslovens § 157, stk. 14, og § 193 b, stk. 3, jf. lovbekendtgørelse nr. 1015 af 5. september 2024. 

Lægeforeningen finder, at udstedelsen af en administrativ forskrift, der åbner mulighed for, at personer i et andet EU-land, ved opslag i MyHealth@EU kan indhente oplysninger om danske patients helbredsforhold og andre fortrolige oplysninger vil kræve udtrykkelig hjemmel i lov. 

Sundhedslovens § 193 b regulerer alene en fælles national infrastruktur
Sundhedslovens § 193 b er indsat i sundhedslovens ved lov nr. 273 af 26. marts 2019. Det fremgår af lovforslagets bemærkninger (L 127/ 2018-19), at formålet med bestemmelsen er at etablere en ny fælles digital infrastruktur med henblik på at kunne dele oplysninger på tværs af sundhedsvæsenet. 

Det fremgår samtidig, at lovforslaget udmønter den lovgivningsmæssige del af den politiske aftale af 26. juni 2018 om bedre brug af sundhedsdata. Det fremgår samtidig af lovforslagets bemærkninger (s. 6), at aftaleparterne er enige om at modernisere sundhedslovgivningen, så den både giver mulighed for – og krav om – digital deling af sundhedsdata og oplysninger i og om behandlingsforløbene herunder krav om, at praksissektoren skal dele relevante strukturerede data og oplysninger til brug for det samlede patientforløb med det øvrige sundhedsvæsen. Om den politiske aftale fremgår det nærmere af lovforslagets bemærkninger (s. 15), at:

”Målsætningen bag aftalen er således, at sundhedspersoner og borgere skal have et samlet digitalt overblik over relevante helbredsoplysninger på tværs af sundhedsvæsenets sektorer, og at lovgivningen skal understøtte den tekniske realisering af dette. Dette skal bl.a. ske ved at sikre, at Sundhedsdatastyrelsen får hjemmel til at registrere og udveksle relevante helbredsoplysninger i en samlet national fælles digital infrastruktur til brug for udstilling til såvel borgere, for så vidt angår deres egne oplysninger, som til sundhedspersoner til brug for aktuel behandling” [vores understregning]. 

Herudover hæfter Lægeforeningen sig desuden ved, at der intet sted i lovteksten eller de bagvedliggende lovbemærkninger til sundhedslovens § 193 b, er en beskrivelse eller omtale af muligheden for at inkludere myndigheder eller enkeltpersoner fra de øvrige EU-lande i den fælles digitale infrastruktur. Tværtimod indeholder lovbemærkningerne, som anført ovenfor, en række passager, der understreger, at formålet med § 193 b er at etablere et retligt grundlag for en fælles national digital infrastruktur. Det har således aldrig været hensigten med bestemmelsen, at den skulle åbne mulighed for at regulere en infrastruktur, der går på tværs af EU’s indre grænser.  Det understreges også af ordlyden af sundhedslovens § 193 b, stk. 2, hvorefter:

”Oplysninger, der opbevares i den fællesdigitale infrastruktur, må kun behandles hvis det er nødvendigt med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- eller sundhedstjenester og behandlingen af oplysningerne foretages af en person indenfor sundhedssektoren, der efter lovgivningen er undergivet tavshedspligt. [Vores understregning]  

Af lovbemærkningerne til bestemmelsen fremgår det, at det ved ”sundhedssektoren” forstås: ”den primære sektor, den sekundære sektor og de centrale sundhedsmyndigheder”. (s. 47)

Opslag i den fælles infrastruktur og patienters ret til at frabede sig indhentelse af oplysninger er ikke reguleret i § 193 b

Sundhedslovens § 193 b, stk. 3, bemyndiger efter sin ordlyd indenrigs- og sundhedsministeren til at fastsætte nærmere regler om driften m.v. af den fælles digitale infrastruktur. Bestemmelsen indeholder derimod ikke bemyndigelse til at udstede regler om sundhedspersoners adgang til at foretage opslag i den fælles digitale infrastruktur, som MyHealth@EU foreslås tilknyttet. 

Det samme gør sig gældende ift. spørgsmålet om at regulere patienters adgang til at frabede sig, at sundhedspersoner m.fl. indhenter oplysninger i elektroniske systemer, herunder den fælles digitale infrastruktur. 

Disse spørgsmål er derimod reguleret af sundhedslovens § 42 a og regler udstedt i medfør heraf. 

Sundhedslovens § 42 a omfatter imidlertid alene sundhedspersoner, således som disse er defineret i sundhedslovens § 6, dvs. personer med dansk autorisation og deres medhjælp, og andre personer, der efter lovgivningen er underlagt tavshedspligt efter sundhedsloven eller forvaltningsloven. Bestemmelsen kan således ikke udstrækkes til at omfatte personer, der falder uden for denne personkreds.

Sundhedslovens § 157
Med lov nr. 534 af 26. maj 2010 foretog regeringen en række præciseringer af lovgrundlaget for Det Fælles Medicinkort. 

Det fremgår blandt andet af indledningen til bemærkningerne til lovforslaget, at det er regeringens målsætning, at alle patienter i det danske sundhedsvæsen modtager korrekt og sikker lægemiddelbehandling. Det fremgår endvidere, at et centralt redskab i den forbindelse er udvikling og udbredelse af et elektronisk system, der indeholder oplysninger om de enkelte borgeres lægemiddelbehandling, som kan anvendes af det sundhedsfaglige personale i sundhedssektorens forskellige dele – Det Fælles Medicinkort. 

Sundhedslovens § 157, stk. 14, bemyndiger indenrigs- og sundhedsministeren til at fastsætte regler om driften af registret m.v., herunder blandt andet  om adgang til elektroniske opslag og inddatering i den elektroniske registrering af medicinoplysninger for læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter, plejehjemsassistenter, sygehusansatte farmaceuter, behandlerfarmaceuter og farmakonomer, der efter stk. 4 har adgang til de registrerede oplysninger, apotekere, apotekspersonale, Lægemiddelstyrelsen og andre personer, der efter regler fastsat i medfør af stk. 5 har adgang til de registrerede oplysninger.

Af bemærkningerne til lov nr. 534 af 26. maj 2010  fremgår det vedrørende adgangen til oplysninger i Det Fælles Medicinkort, at der ved afgrænsning af, hvilke persongrupper, der har adgang til de registrerede medicinoplysninger, er foretaget en nøje afvejning dels af hensynet til, at der er tale om adgang til særlige følsomme personoplysninger, som i videst muligt omfang skal begrænses, dels hensynet til patientsikkerheden og en hensigtsmæssig og fleksibel tilrettelæggelse af arbejdsgange i sundhedsvæsenet og dermed en bedre ressourceanvendelse. 

Desuden fremgår det af lovbemærkningerne, at fælles for alle persongrupper, der kan få adgang til de registrerede medicinoplysninger er, at det er en betingelse for etablering af adgang til systemet, at det er muligt entydigt at identificere brugeren som tilhørende den pågældende persongruppe, samt brugerens organisatoriske tilhørsforhold. 

Endelig fremgår det af bemærkningerne, at det ved etablering af adgange for nye persongrupper i hvert enkelt tilfælde vil blive overvejet, hvorvidt adgangen skal begrænses til en bestemt patientpopulation, fx patienter i behandling på det pågældende sygehus, eller der skal indsættes yderligere krav til adgangsberettigelse, fx patientsamtykke. 

Det har således været hensigten med forslaget i videst muligt omfang at begrænse, hvilke persongrupper, der har adgang til oplysninger i Det Fælles Medicinkort, ligesom hensigten med bestemmelsen har været at regulere adgangen nationalt. 

Beskyttelse af danske patienters helbredsoplysninger og andre fortrolige oplysninger og deres retsstilling 
Sundhedspersoners tavshedspligt er en af hjørnestenene inden for sundhedsretten, og sundhedsloven indeholder detaljerede regler for, hvornår man må indhente og videregive patienters helbredsoplysninger til brug for behandling eller til andre formål. Overtrædelse af disse regler kan sanktioneres af arbejdsgivere, og patienten vil kunne klage til Styrelsen for Patientklager og kontakte Styrelsen for Patientsikkerhed. Disse regler gælder imidlertid kun i Danmark.

Med bekendtgørelsen lægges der som tidligere anført op til, at danske patienters helbredsoplysninger og andre fortrolige oplysninger stilles til rådighed for sundhedsprofessionelle m.fl. i et andet EU-land end Danmark, 
når det er nødvendigt i forbindelse med aktuel behandling af patienten. 

Det er uklart, hvilke konsekvenser et uberettiget opslag foretaget af en sundhedsprofessionel, dennes medhjælp eller den, der yder teknisk assistance for sundhedsprofessionelle i et andet EU-land kan have, eller hvor man som borger, der opdager, at ens fortrolige helbredsoplysninger er havnet i de forkerte hænder, kan gå hen og få efterprøvet, om der er sket et uberettiget opslag eller videregivelse. Det er også uklart, hvilke konsekvenser dette eventuelt kan få for de involverede sundhedsprofessionelle m.fl.

Hertil kommer, at kriteriet om, at et opslag kun må foretages som led i aktuel behandling, er velkendt i dansk ret, men det fremgår ikke, om det også er et kriterie, der anvendes i andres landes lovgivninger. 

Det bør være muligt for sundhedspersoner at benytte anden entydig identifikation end navn   
Siden reglerne om journalføring blev ændret i juli 2021, har der været hjemmel til, at sundhedspersoner kan bruge anden entydig identifikation end det fulde navn for at beskytte sig mod patienter eller pårørende, der udviste en truende adfærd. Selvom det har taget tid, er tilsvarende løsninger nu også implementeret i bekendtgørelse nr. 192 af 27. februar 2024 om pligt til at registrere logoplysninger og indsigt i logoplysninger og i bekendtgørelse nr. 131 af 3. februar 2025 om drift m.v. af den fælles digitale infrastruktur, således at patienten i stedet for oplysningerne om sundhedspersonens fornavn og efternavn får vist sundhedspersonens anden entydige identifikation.

Det fremgår imidlertid ikke af bekendtgørelsesudkastet, om en tilsvarende løsning er tiltænkt i forbindelse med autoriserede sundhedspersoners opslag i MyHealth@EU og indhentelse af oplysninger om danske patienters helbredsforhold og andre fortrolige oplysninger. 

Efter Lægeforeningens opfattelse bør der sikres en tilsvarende mulighed af hensyn til sundhedspersonernes sikkerhed. 

Behov for afklaring fsva. oversættelse af oplysninger
Endelig er det uklart, på hvilket sprog oplysningerne beskrevet i udkastets bilag 1 skal gøres tilgængelige, og hvordan det skal ske, og om hvem der bærer ansvaret i tilfælde af, at der er fejl i oversættelse af f.eks. diagnoser, behandlingsplaner og resuméer. Det skal i den forbindelse bemærkes, at det ikke bør blive en ekstra opgave for den enkelte sundhedsperson, da det vil gå ud over den tid, der er til rådighed til behandling af patienterne. 


Med venlig hilsen

Camilla Noelle Rathcke
Formand for Lægeforeningen