Gå til indhold

Lægens ansvar

Den praktiserende læge er i sin egenskab af klinikejer ansvarlig for de personfølsomme oplysninger, som opbevares og deles om patienten og klinikpersonalet. Klik dig rundt via linkene herunder, og få helt styr på, hvad dit ansvar er som klinikejer, så du er sikker på at overholde kravene i Persondataforordningen.

Den praktiserende læge er som klinikejer dataansvarlig og skal sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af journaldata, og når data deles med andre aktører til patientbehandling, administration, kvalitetsudvikling eller forskning.

Lægen er dataansvarlig

Du er som praktiserende læge ansvarlig for dine patienters data, fordi, det er dig, som fastlægger til hvilke formål og hvordan der foretages behandling af patienternes helbredsoplysninger.

Som dataansvarlig kan du uddelegere behandlingen af data til en databehandler, der herefter behandler helbredsoplysningerne på den dine vegne. Dette sker fx i journalsystemet.

Lægen skal have en skriftlig databehandleraftale med sit systemhus, og i instruksen fastlægges det hvordan databehandleren passer på de data, som behandles på lægens vegne. Instruksen er en del af databehandleraftalen.

Databehandleren skal leve op til passende tekniske og organisatoriske sikkerhedsforanstaltninger, som er beskrevet i instruksen.

Lægen videregiver helbredsoplysninger med en ny dataansvarlig

Som dataansvarlig vil du ofte videregive dine patienters helbredsoplysninger til forskellige myndigheder til fx administrative formål eller forskning.

Når du videregiver data til en ny dataansvarlig, skal der ikke være en databehandleraftale med den pågældende modtager.

Ofte er videregivelsen af disse oplysninger hjemlet i sundhedsloven eller anden lovgivning, som betyder, at dataansvaret videregives til en anden myndighed.

Dette kan fx være til en klinisk kvalitetsdatabase administreret af regionerne eller medicin- og vaccinationsoplysninger til Sundhedsdatastyrelsen.

PLO har udarbejdet en såkaldt artikel 30-fortegnelse, du kan bruge som udgangspunkt for dit dokumentationsarbejde. Det meste er forudfyldt, men enkelte felter skal du selv udfylde. 

Efter persondataordningens art. 30  er der en udtrykkelig pligt til at udarbejde en oversigt (fortegnelse) over de datamæssige behandlingsaktiviteter. 

Det vil sige, hvilke data der anvendes i klinikken, hvad formålet med dem er, hvem de deles med, og efter hvilken lovmæssig hjemmel, eller hvilken databehandleraftale oplysningerne videregives. 

Tilsvarende skal det fremgå, hvis der sker overførsel af personoplysninger til et tredieland udenfor EU, det kan fx være tilfældet ved brug af cloud-tjenester.

PLO har  udarbejdet en samlet oversigt over modtagere af personfølsomme oplysninger fra klinikken, en såkaldt 'artikel 30-fortegnelse':

Gå til artikel 30-fortegnelsen (bag login)

Fortegnelsen er stort set forudfyldt
Det meste er forudfyldt, men du skal stadig selv indføje bl.a navn på klinikken og systemhuset, ligesom du skal tilføje evt. andre databehandlere. 

Af fortegnelsen finder du:

  • Type af personfølsomme oplysninger (Fx oplysninger om helbred, løn og HR)
  • Modtager af personfølsomme oplysninger fra klinikken
  • Formålet med delingen af de personfølsomme oplysninger (fx patientbehandling, administration, kvalitetsudvikling eller forskning)
  • It-systemer, som anvendes til opbevaring eller deling af de personfølsomme oplysninger 
  • Angivelse af, om de personfølsomme oplysninger skal være dækket af en databehandleraftale eller er hjemlet i lovgivning, hvormed du ikke behøver en databehandleraftale

Vær opmærksom på
I forbindelse med en evt inspektion er det vigtigt, at fortegnelsen er lige ved hånden. PLO anbefaler at opbevare den både elektronisk og i papirform i klinikken.

Du skal være opmærksom på, at hovedparten af de personfølsomme oplysninger, som vedrører patientbehandling, er dækket af din databehandleraftale med dit systemhus.

Dette er eksempelvis forsendelse af MedCom-beskeder (Sundhedsdatanettet og VANS-net), henvisninger (Henvisningshotellet), ydelsesoplysninger til regionerne (Sygesikrings-og afregningssystemet) mv.  

Det anbefales, at du gennemgår fortegnelsen for at få et overblik over data fra almen praksis til eksterne aktører og sikrer dig, at listen er dækkende for databehandlingen i din klinik. 

Har vi ikke fået alt med i fortegnelsen?
Er du forskningsklinik og deler data til brug for forskning, eller bruger du andre it-leverandører end dit systemhus, så indsæt dem i oversigten, så du er klar til et eventuelt besøg fra Datatilsynet.

Læs mere om det særlige ansvar, du har som arbejdsgiver. Hvis du har personale som læger, lægesekretærer, sygeplejersker - eller andre faggrupper og medhjælpere ansat i din klinik, har du pligt til at tage omhyggeligt vare på dine medarbejderes data.