Europaparlamentet besluttede i 2018 et omfattende regelsæt om beskyttelse af persondata. Efterfølgende har Folketinget vedtaget en Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (også kaldet databeskyttelsesloven). Som udgangspunkt er behandling af helbredssoplysninger forbudt (Artikel 9 stk. 1), men heldigvis gælder forbudet ikke for sundhedspersoner, som har en legitim adgang til at behandle disse oplysninger. Så vi må (naturligvis) gerne opbevare folks journaler, men der er opstillet en række krav til IT-sikkerhed i denne forbindelse, som fordrer, at man har en række dokumenter på plads, herunder
- Kortlægning af dataveje, brugerroller og dataflow (inkl. intern fortegnelse) – dette er et ret stort arbejde…
- Konsekvensanalyse og risikovurdering (hvad kan gå galt og hvor galt går det så…?)
- IT-sikkerhedspolitik (Se eksempel her)
- IT-Beredskabsplan (hvad gør man, hvis noget går galt)