En del behandlere opbevarer selv deres klienters patientjournaler på deres egen computer.
Men hvilke regler er der egentlig, når man opbevarer personfølsomme data på sin egen computer?

Datatilsynet har nogle minimumskrav hvor der er flere der gør sig gældende.

Minimum sikkerhedskrav

|

Brugere

Stk 1: Adgang til klientoplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.

Stk 4: Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med følsomme klientoplysninger. Kun de personer, der skal have adgang, må få en kode.
De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den.

Kilde: Datatilsynet

Dette betyder i dette tilfælde at den computer du bruger til at opbevare dine patienters journaler, som udgangspunkt ikke må benyttes af andre (der ikke har et sagligt behov) og der skal være kode på hver bruger. Dine børn eller ægtefælle skal altså ikke have adgang til computeren. Hvis de har det skal det sikres at de ikke kan få adgang til journalerne, hvilket kan være teknisk svært.
Husk altid at låse når du forlader maskinen.

|

Kryptering

Stk 5: Hvis klientoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af oplysningerne på andre bærbare datamedier.
Kilde: Datatilsynet

Hvis din computer er en bærbar, der kan tages med, vil vi mene at stk. 5 kommer i spil, hvilket vil sige at din harddisk skal være krypteret.
Dette gælder også for de backups du opbevarer på eksterne harddiske, usb nøgler og lignende.

Vi anbefaler at man krypterer sin harddisk, uanset om det er en bærbar computer eller ej.

|

Adgang til internettet

Stk 6: Hvis en pc med oplysninger om klienter er koblet til internettet, skal den have en opdateret firewall og viruskontrol installeret.
Kilde: Datatilsynet

Hvis din computer har adgang til internettet skal der være en firewall og opdateret antivirus.
Derudover skal du være opmærksom på, at Cloud storage (OneDrive, iCloud, Dropbox m.v.) oftes ikke kan bruges til persondata (du skal bl.a. have en skriftlig databehandleraftale og data skal ligge i EU).

|

Backup

Stk 3: Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Kilde: Retsinformation (Persondataloven)

Du skal sørge for ikke at miste dine klienters data og det betyder at du skal sørge for at tage backup.
Vi anbefaler dig at tage daglig backup og du skal også sikre dig at backuppen virker. Dvs. du skal øve dig i at genskabe din patientjournal ud fra en backup, så du ved at din backup procedure virker korrekt.
Derudover anbefaler vi at du krypterer din backup, som tidligere beskrevet.

|

Reparation og afskaffelse af udstyr

Stk 9: I forbindelse med reparation og service af dataudstyr, der indeholder klientoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysningerne ikke kan komme til uvedkommendes kendskab.
Kilde: Datatilsynet

Danske Bank har tidligere fået en bøde for ikke at have slettet data i tilstrækkelig grad, inden de solgte gammelt hardware videre med følsomme data på. Det anbefales derfor at du ved afskaffelse, fysisk ødelægger dataen.
Kilde: Computerworld
Smadr disken med en hammer, det er en forholdsvis nem og sikker løsning. Alternativt kan man benytte software til at slette data, hvilket helt sikkert er bedre for miljøet, men ikke helt så effektivt.
Ved reparation, vil det sikreste være at tage en backup og så slette alt data på computeren inden den sendes til reparation, så vidt det er muligt. Her skal du nok ikke overveje hammer løsningen.

Benyt en leverandør i stedet

Hvis man synes det virker bøvlet, at skulle leve op til disse krav, så kan man overveje at benytte en leverandør til opbevaring af patientjournalerne. Vi har lavet en vurdering af flere systemer til dette som du kan læse om her.