Sundhedsdatastyrelsen: Privacy by design løber allerede åbne døre ind

Af Lisbeth Nielsen
Direktør, Sundhedsdatastyrelsen

I 2018 træder persondataforordningen i kraft i Danmark. Det indebærer blandt andet, at man som dataansvarlig har pligt til at lave indbygget databeskyttelse – privacy by design og by default – i forbindelse med udviklingen af nye it-løsninger og services med videre.

Som jeg ser det, er privacy by design-løsningen den rette vej at gå, og vi har været i gang i et stykke tid i Danmark på sundhedsområdet.

Privacy by design bruges bredt i sundhedsvæsenet
I Sundhedsdatastyrelsen har vi længe været optaget af, hvordan vi bedst muligt kan bruge teknologien til at fremme privacy i vores løsninger. I vores referencearkitektur for informationssikkerhed sætter vi rammerne for informationssikkerheden i det danske sundhedsvæsen, og vi har udviklet og implementeret forskellige privacy by design-løsninger, som bruges bredt i sundhedsvæsenet.

Med udviklingen af disse løsninger ønsker vi på den ene side at sikre, at sundhedspersoner, der har brug for oplysninger i patientbehandlingen, og borgerne selv kan få adgang, når de har brug for det, mens vi på den anden side skal sikre, at der ikke er adgang til oplysningerne for andre.

Det Fælles Medicinkort og sundhedsjournalen er eksempler på, at man som borger kan se, hvad det offentlige har af informationer om én og samtidig kunne holde styr på, hvilken medicin, man skal tage, eller hvad det var for symptomer, man skulle reagere på.

Privacy by design-løsningen er den rette vej at gå, og vi har været i gang i et stykke tid i Danmark på sundhedsområdet.

Lisbeth Nielsen
Direktør, Sundhedsdatastyrelsen

Transparens skaber tryghed hos borgerne
Men det er også sundhedsvæsenets fælles løsning til at dele informationer om patienterne mellem egen læge, speciallæger og hospitalerne og mellem hospitaler i de fem regioner.

For at øge trygheden og gennemsigtigheden ved de to løsninger har vi fra starten designet MinLog på www.sundhed.dk. Dér kan man som borger altid følge med i, hvem der har slået ens sundhedsoplysninger op.

Vi håber, at MinLog eller tankegangen bag med tiden udbredes til lokale systemer også.

Denne transparens og åbenhed er med til at give borgerne tryghed. Og den rammer desuden ind i det vigtige politiske mål om at drage borgerne ind i deres egen behandling. En anden løsning, hvor vi styrker privacy, er en såkaldt samtykkeservice, som vil blive tilgængelig via www.sundhed.dk i løbet af 2017.

Her kan borgeren være med til at bestemme, om oplysninger må deles med andre sundhedspersoner end behandleren. Denne løsning bliver i første omgang tilgængelig i forhold til sundhedsjournalen, men den løsning er lavet, så den med tiden kan udbredes til at dække alle parter i sundhedsvæsenet. I stedet for at bygge hver for sig, samarbejder vi således på tværs af stat, regioner og kommuner om at bruge samme teknologier og løsninger.

Sikkerhed skal indtænkes på lige fod med funktionalitet
Helbredsoplysninger er per definition følsomme. Derfor er det en bunden opgave at designe it-løsninger, der gør det lettere for sundhedsvæsenets personale at behandle patienterne effektivt og korrekt, og samtidig sikre, at oplysningerne ikke er tilgængelige for uvedkommende.

Hvis man fra starten får indbygget de nødvendige sikkerhedsmekanismer, vil man kunne gøre det billigere og bedre, end hvis man skal til at ændre på eksisterende løsninger. Man vil også i højere grad kunne sørge for, at informationssikkerhed og gode arbejdsprocesser ikke står i vejen for hinanden.

Men vi må også erkende, at en lang række af de ældre systemer, vi har i dag, ikke er privacy by design. Der er privacy i høj grad et 'add on', indtil de er udfaset.

Fra Sundhedsdatastyrelsens side håber vi, at persondataforordningen samlet set vil bidrage til større fokus på, hvordan man allerede i design og udvikling af it-løsninger til den offentlige sektor tænker sikkerhed på lige fod med funktionalitet.

Vi håber også, at sundhedsområdets gennemsigtighed over for borgerne med MinLog og den kommende samtykkeservice kan være til inspiration for andre dele af den offentlige sektor.