Reglerne om databeskyttelse er komplekse og særligt inden for sundhedsområdet.

Det skyldes, at flere regelsæt supplerer hinanden, og at der gælder en indbyrdes rangfølge mellem dem. Det er derfor nødvendigt at have et indgående kendskab til både databeskyttelsesforordningen, databeskyttelsesloven og sundhedsloven samt deres indbyrdes forhold.

I dagligdags tale anvendes ofte udtrykket "GDPR". Udtrykket er en forkortelse for "General Data Protection Regulation", der henviser til den EU-retlige databeskyttelsesforordning.

Databeskyttelsesforordningen er, som ordet selv siger, en forordning. Det betyder, i modsætning til et direktiv, at reglerne er direkte bindende for de danske domstole og myndigheder, når de skal tage stilling til en konkret sag. Reglerne i databeskyttelsesforordningen ville derfor gælde i Danmark, selv om databeskyttelsesloven ikke var vedtaget.

Databeskyttelsesforordningen hindrer dog ikke, at et EU-land skærper eller lemper forhold, så længe det er inden for rammerne af forordningen. F.eks. følger det af databeskyttelsesforordningens art. 23, at medlemsstaterne - inden for visse rammer - kan fastsætte begrænsninger i de registreredes rettigheder. Denne adgang er udnyttet af Danmark i databeskyttelsesloven § 22, der sondrer mellem private og offentlige interesser.

Særligt vil databeskyttelsesforordningens tredje kapitel om registreredes rettigheder være relevant for jer som sundhedspersoner. Reglerne i dette kapitel handler bl.a. om

  • Oplysningspligt ved indsamling af personoplysninger (art. 13 og 14)
  • Retten til indsigt (art. 15)
  • Retten til berigtigelse (art. 16)
  • Retten til sletning (art. 17)
  • Retten til begrænsning af behandling (art. 18)
  • Retten til dataportabilitet (art. 20)
  • Retten til indsigelse (art. 21)
  • Retten til ikke at være genstand for automatiserede individuelle afgørelser (art. 22)

Flere af reglerne er omtalt som en ret, hvilket er udtryk for, hvordan reglerne ses fra den registreredes perspektiv. Med hver rettighed følger også en pligt. Den registreredes ret til eksempelvis indsigt vil derfor også kunne udtrykkes som jeres pligt til at give denne indsigt.

Der sondres mellem proaktive og reaktive pligter. Hvis en pligt er proaktiv, skal I opfylde jeres forpligtelse af egen drift, mens I ved reaktive pligter alene skal opfylde pligten, hvis I modtager en anmodning herom.

Som nævnt bliver reglerne mere komplekse af deres indbyrdes rangforhold. Sundhedsloven er såkaldt lex specialis, hvilket indebærer, at sundhedslovens regler har forrang, hvis der er uoverensstemmelse mellem sundhedsloven og de øvrige (generelle) databeskyttelsesregler.

Særligt gælder dette reglerne i sundhedslovens kapitel 8 og 9, der regulerer aktindsigt samt indhentning og videregivelse af helbredsoplysninger.

Som eksempel kan nævnes registrering af patientoplysninger, der ikke foretages som led i sundhedsfaglig behandling af en patient. Dette vil ikke være omfattet af sundhedslovens regler om aktindsigt. Adgangen til aktindsigt vil derfor i dette tilfælde skulle vurderes efter databeskyttelsesforordningen og -loven.

I forhold til aktindsigt er det herudover vigtigt at kende reglerne i offentlighedsloven og forvaltningsloven, der vil gælde alt efter, hvem der anmoder og hvem der anmodes om aktindsigten.