·

Klinisk dokumentation

Sundhedsvæsen

Praksisledelse / Admin

GDPR-journalrettelser: hvad klinikere skal gøre

Lær, hvad GDPR kræver, når patienter anmoder om rettelser eller sletninger i journalnotater, herunder revisionsspor og juridiske undtagelser

Sundhedsjournaler befinder sig i skæringspunktet mellem to juridiske forpligtelser, der kan trække i modsatte retninger. Den generelle databeskyttelsesforordning (GDPR) giver patienter meningsfulde rettigheder over deres personoplysninger, herunder retten til at få urigtige oplysninger rettet og under visse omstændigheder slettet. Samtidig kræver professionelle og regulatoriske rammer, at klinikere opretholder fuldstændig, nøjagtig og uændret klinisk dokumentation af behandling. For kliniske administratorer, der håndterer disse anmodninger dag til dag, er det ikke valgfrit at forstå præcist, hvor disse forpligtelser begynder, slutter og overlapper. Det er et centralt krav til GDPR-overholdelse i sundhedsvæsenet.

De to GDPR-rettigheder, der er relevante her: berigtigelse og sletning

To artikler i GDPR er direkte relevante, når en patient anfægter indholdet af deres kliniske journal.

Artikel 16, retten til berigtigelse, giver enkeltpersoner ret til at få urigtige personoplysninger rettet uden unødig forsinkelse og til at få ufuldstændige personoplysninger fuldstændiggjort. Som den irske databeskyttelseskommission bekræfter, gælder denne ret relativt ligetil for faktuelle personoplysninger, såsom en forkert fødselsdato, en forkert adresse eller et forkert stavet navn. Det bliver betydeligt mere komplekst, når de pågældende data er en klinisk vurdering, en diagnose eller et behandlingsnotat.

Artikel 17, retten til sletning (også kaldet retten til at blive glemt), giver enkeltpersoner ret til at anmode om sletning af deres personoplysninger under specifikke omstændigheder: hvor dataene ikke længere er nødvendige til det formål, de blev indsamlet til, hvor samtykke er blevet trukket tilbage, eller hvor dataene blev behandlet ulovligt. Som Information Commissioner's Office (ICO) vejledning om retten til sletning gør klart, er denne ret ikke absolut. Retten gælder kun for personoplysninger, som i øjeblikket opbevares af den dataansvarlige på det tidspunkt, anmodningen modtages.

Begge rettigheder kan påberåbes af enhver identificeret registreret person – i denne sammenhæng den patient, hvis journal opbevares. Begge har en svarfrist på én kalendermåned. Ingen af dem fungerer, som afsnittene nedenfor forklarer, uden væsentlige forbehold i en sundhedsmæssig sammenhæng.

Når en patient anmoder om en rettelse: hvad GDPR faktisk forpligter dig til at gøre

Når en patient indgiver en berigtigelsesanmodning, kræver artikel 16, at den dataansvarlige – typisk sundhedsorganisationen – vurderer, om de pågældende data er reelt urigtige eller ufuldstændige, og handler derefter inden for én måned.

For ligetil faktuelle fejl såsom et forkert CPR-nummer eller en forkert fødselsdato er dette relativt ukompliceret. Posten rettes, ændringen logges, og patienten underrettes. Kompleksiteten opstår med kliniske poster, herunder diagnoser, observationer, risikovurderinger og medicinbeslutninger, hvor begrebet urigtighed ikke er selvindlysende.

ICO adresserer dette direkte. Dens vejledning om berigtigelse fastslår, at hvis en patient modtager en diagnose, der senere viser sig ikke at være korrekt, bør deres sundhedsjournaler registrere både den oprindelige diagnose og de endelige fund. Den oprindelige post slettes ikke. Den kontekstualiseres. Dette afspejler et kerneprincip i klinisk dokumentation: journalen eksisterer for at vise, hvad der var kendt og besluttet på et givet tidspunkt, ikke kun hvad der i øjeblikket forstås som sandt.

Rettelse i en klinisk journalkontekst betyder næsten altid et tillæg eller en annotation, ikke overskrivning. GDPR-Hub-kommentaren til artikel 16 bekræfter, at berigtigelse kan opnås ved at ændre data, ved delvis eller fuldstændig sletning eller ved fuldstændiggørelse, og at den registrerede i nogle situationer kan vælge mellem at anmode om berigtigelse eller sletning. I praksis er fuldstændiggørelse via en supplerende erklæring den mest almindelige og juridisk forsvarlige tilgang for kliniske journaler.

Når en patient anmoder om sletning: grænserne for artikel 17 i sundhedsvæsenet

Retten til sletning er den anmodning, kliniske administratorer mest sandsynligt vil håndtere forkert – enten ved at behandle den som automatisk gyldig eller ved at afvise den uden ordentlig vurdering. Ingen af tilgangene er i overensstemmelse med reglerne.

Den fulde tekst af artikel 17(3) fastlægger flere undtagelser, der er direkte relevante for sundhedsjournaler. Sletning gælder ikke, hvor opbevaring er nødvendig:

  • For overholdelse af en juridisk forpligtelse i henhold til EU- eller medlemsstaternes lovgivning

  • Af hensyn til offentlig interesse på folkesundhedsområdet i henhold til artikel 9(2)(h) og (i)

  • Til arkivformål i offentlighedens interesse eller til videnskabelig eller historisk forskning

  • Til fastlæggelse, udøvelse eller forsvar af retskrav

I praksis falder de fleste kliniske journaler ind under mindst én af disse undtagelser. National lovgivning på tværs af Den Europæiske Unions medlemsstater og Storbritannien pålægger lovpligtige minimumsopbevaringsperioder for sundhedsjournaler – typisk mellem otte og tredive år afhængigt af journaltype og jurisdiktion – hvilket udgør en juridisk forpligtelse i henhold til artikel 17(3)(a). Secure Privacys databeskyttelsesrådgivervejledning for sundhedsvæsenet bekræfter, at hvor en lovpligtig opbevaringspligt gælder, kan sletningsanmodninger lovligt afvises.

Dog fandt den koordinerede håndhævelseshandling fra Den Europæiske Databeskyttelsesbestyrelse (EDPB) i 2025, som analyserede svar fra 764 dataansvarlige på tværs af Europa, at dataansvarlige ofte anvendte artikel 17(3)-undtagelser forkert ved at behandle dem som automatisk gældende uden at foretage individuelle vurderinger. Ni databeskyttelsesmyndigheder indledte formelle håndhævelsesundersøgelser som følge heraf. Lektionen for kliniske administratorer er klar: afvisning af en sletningsanmodning kræver dokumenteret begrundelse, ikke en generel politik.

Selv når en sletningsanmodning lovligt afvises, skal organisationen stadig svare patienten inden for én måned, forklare grundlaget for afvisningen og informere dem om deres ret til at klage til den relevante tilsynsmyndighed.

Kravet om revisionsspor: hvad skal registreres, når en journal ændres

Når en klinisk journalpost rettes, annoteres eller markeres som omstridt, skal organisationen opretholde et fuldstændigt revisionsspor. Dette er både et GDPR-ansvarlighedskrav og en medicinsk-juridisk nødvendighed.

Et regelkonformt revisionsspor for en journalændring skal indeholde:

  • Identiteten på den person, der foretog ændringen

  • Dato og tidspunkt for ændringen

  • Årsagen til ændringen

  • Indholdet af den oprindelige post, bevaret i sin helhed

  • Arten af ændringen (tillæg, rettelse eller tvisteflag)

Adgangspolitikken for praktiserende lægers journaler, der er tilpasset NHS-vejledning, fastslår eksplicit: "Oplysninger kan fjernes fra visning, men revisionssporet vil altid holde journalen fuldstændig. Ændringer af journaler kan foretages, forudsat at ændringerne foretages på en måde, der angiver, hvorfor ændringen blev foretaget, så det er klart, at journaler ikke er blevet manipuleret med."

Overskrivning eller sletning af oprindelige poster uden spor er en af de mest alvorlige overholdelsesfejl, en klinisk administrator kan begå. Det skaber samtidig GDPR-risiko (manglende ansvarlighed i henhold til artikel 5(2)) og medicinsk-juridisk risiko (potentielt bevis for journalmanipulation i en klinisk uagtsomheds- eller regulatorisk undersøgelse). Revisionsspor skal være manipulationssikre og bør indeholde detaljerede oplysninger for hver interaktion, herunder brugeridentitet, tidsstempel, IP-adresse, enhedsidentifikator, dataklassificering og udført handling, som krævet af GDPR-ansvarlighedsprincipper og NHS-vejledning om håndtering af sundhedsjournaler.

Hvordan professionelle standarder og regulatoriske organer interagerer med GDPR-forpligtelser

GDPR sætter et gulv, ikke et loft. Nationale medicinske råd, professionelle tilsynsmyndigheder og sundhedssystemorganer lægger yderligere forpligtelser oven på, og i de fleste tilfælde forstærker disse snarere end modsiger GDPR-tilgangen til journalintegritet.

I Storbritannien kræver både General Medical Council (GMC) og Nursing and Midwifery Council (NMC), at klinikere fører klare, nøjagtige og samtidige journaler. NHS-vejledning om journalhåndtering specificerer opbevaringsplaner, der bestemmer minimumsperioden, som forskellige journaltyper skal opbevares i. Disse forpligtelser interagerer direkte med artikel 17(3)(a): hvor der eksisterer et lovpligtigt eller regulatorisk opbevaringskrav, giver det det juridiske grundlag for at afvise en sletningsanmodning.

På tværs af EU-medlemsstater er billedet lignende, men variabelt. Nationale lovgivningsmæssige rammer i Sverige, Storbritannien og Tyskland afspejler i vid udstrækning GDPR, mens de tilbyder forskellige yderligere mekanismer til håndtering af fejl i sundhedsjournalsystemer. Det kommende European Health Data Space (EHDS) forventes at positionere berigtigelsesprocessen inden for digitale sundhedstjenester, hvilket potentielt muliggør patientinput i systemet, selvom dette forbliver prospektivt på tidspunktet for skrivningen.

Kliniske administratorer, der opererer på tværs af grænser, eller i organisationer, der er underlagt både UK GDPR og EU GDPR, bør være opmærksomme på, at medlemsstaternes regler kan være strengere end GDPR-basislinjen og bør søge jurisdiktionsspecifik juridisk rådgivning, hvor den gældende ramme er uklar.

Den korrekte proces til håndtering af en berigtigelsesanmodning trin for trin

Følgende arbejdsgang afspejler kravene i artikel 16 og 19 i GDPR, svarfristen på én måned og bedste praksis for klinisk journalhåndtering.

Trin 1: Modtag og log anmodningen. Registrer modtagelsesdatoen. Uret på én måned starter øjeblikkeligt, uanset hvordan anmodningen blev indsendt (brev, e-mail, onlineformular eller mundtlig anmodning efterfulgt af skriftlig bekræftelse).

Trin 2: Verificer patientens identitet. Behandl ikke anmodningen, før identiteten er bekræftet. Dette beskytter mod uautoriserede ændringer af tredjepartsjournaler.

Trin 3: Identificer de specifikke data, der er tale om. Bed patienten om præcist at specificere, hvilken post eller poster de anser for urigtige eller ufuldstændige, og hvilken rettelse de søger.

Trin 4: Konsulter den ansvarlige kliniker. Den NHS-tilpassede journalpolitik er klar: "Hvor tvisten vedrører en medicinsk post, bør den kliniker, der foretog posten, konsulteres, og der bør overvejes, om det er passende at ændre den." Dette trin er ikke valgfrit.

Trin 5: Bestem den passende handling. Baseret på klinikerens vurdering og dataenes art:

  • Hvis posten indeholder en klar faktuel fejl (forkert dato, forkert navn): ret den og bevar originalen i revisionssporet

  • Hvis posten er en klinisk vurdering, som klinikeren står ved: tilføj en supplerende note, der registrerer patientens indsigelse uden at ændre originalen

  • Hvis posten er reelt ufuldstændig: tilføj en fuldstændiggørelseserklæring

Trin 6: Opdater journalen regelkonformt. Bevar den oprindelige post, dater og tilskriv ændringen klart, og dokumenter årsagen til ændringen.

Trin 7: Underret patienten om resultatet. Svar inden for én kalendermåned fra den oprindelige anmodning. Hvis anmodningen afvises helt eller delvist, forklar grundlaget og informer patienten om deres ret til at klage til tilsynsmyndigheden.

Trin 8: Dokumenter beslutningsprocessen. Registrer, hvad der blev overvejet, hvem der blev konsulteret, hvilken beslutning der blev truffet, og hvorfor. Denne dokumentation er organisationens bevis for overholdelse, hvis beslutningen senere anfægtes.

Hvad skal man gøre, når man er uenig med patientens version af begivenhederne

En patient kan hævde, at en klinisk post er urigtig, når den kliniker, der foretog posten, står ved dens nøjagtighed. Dette er et af de mest almindelige og mest misforståede scenarier i klinisk journalhåndtering.

GDPR kræver ikke, at sundhedsudbydere accepterer en patients foretrukne version af begivenhederne som fakta. Den irske databeskyttelseskommissions vejledning er eksplicit om, at hverken retten til berigtigelse eller retten til sletning gælder let for medicinske vurderinger, diagnoser og kliniske behandlingsnotater, netop fordi disse repræsenterer professionelle vurderinger snarere end objektive fakta.

Det GDPR-konforme svar i et omstridt klinisk post-scenarie er at tilføje en note til journalen, der angiver, at patienten bestrider posten, mens klinikerens oprindelige dokumentation forbliver intakt. Denne tilgang:

  • Bevarer integriteten af den oprindelige kliniske journal

  • Anerkender patientens ret til at få deres synspunkt registreret

  • Skaber et gennemsigtigt revisionsspor, der viser, at tvisten blev håndteret

  • Kræver ikke, at organisationen træffer afgørelse mellem konkurrerende beretninger

Svarfristen på én måned gælder stadig. Patienten skal informeres om resultatet, herunder det faktum, at den oprindelige post er blevet bevaret, og om deres ret til at eskalere til tilsynsmyndigheden, hvis de forbliver utilfredse.

Tredjepartsmeddelelser: skal du fortælle andre om ændringen

Artikel 19 i GDPR kræver, at dataansvarlige underretter enhver tredjepart, som dataene blev videregivet til, om en berigtigelse eller sletning, medmindre det er umuligt eller involverer uforholdsmæssig indsats. Hvor tredjepartsmeddelelse har fundet sted, skal den dataansvarlige også informere den registrerede om disse modtagere, hvis der anmodes om det.

I en klinisk sammenhæng har denne forpligtelse direkte operationelle konsekvenser. Hvis en patients journal er blevet ændret, og denne journal tidligere blev delt med en sekundær sundhedsudbyder efter en henvisning, en specialist, der modtog et henvisningsbrev, et forsikringsselskab eller en arbejdsgiver (hvor patienten har givet samtykke til videregivelse), eller et socialt plejeteam, så bør hver af disse modtagere i princippet underrettes om ændringen. I praksis kræver dette, at kliniske administratorer fører klare optegnelser over, hvem der modtog hvilke oplysninger og hvornår.

Undtagelsen om uforholdsmæssig indsats giver en vis lettelse, hvor meddelelse er reelt upraktisk – for eksempel hvor data blev delt for mange år siden med flere parter, og kontaktoplysninger ikke længere er tilgængelige. Dog kræver denne undtagelse dokumenteret begrundelse. Den kan ikke påberåbes som standard.

Almindelige fejl, kliniske administratorer begår, når de håndterer disse anmodninger

EDPB's håndhævelsesfund fra 2025 identificerede systematiske fejl på tværs af dataansvarlige i, hvordan sletningsrettigheder håndteres. I en klinisk journalkontekst omfatter de hyppigste overholdelsesfejl:

  • At misse fristen på én måned. Uret starter på modtagelsesdatoen, ikke den dato, anmodningen formelt logges eller tildeles. Forsinkelser i intern routing er ikke en gyldig grund til et forsinket svar.

  • Overskrivning af oprindelige poster. At erstatte en oprindelig post uden at bevare den i et revisionsspor er både en GDPR-ansvarlighedsfejl og et potentielt medicinsk-juridisk ansvar.

  • Manglende dokumentation af beslutningsprocessen. At beslutte ikke at ændre en journal, eller at beslutte at tilføje et tillæg snarere end en rettelse, kræver dokumenteret begrundelse. En udokumenteret beslutning er en uforsvarlig beslutning.

  • At behandle alle sletningsanmodninger som automatisk gyldige. At acceptere sletningsanmodninger uden at vurdere, om en undtagelse gælder – især den lovpligtige opbevaringsundtagelse – udsætter organisationen for risikoen for at ødelægge journaler, den er juridisk forpligtet til at opbevare.

  • At behandle alle sletningsanmodninger som automatisk ugyldige. EDPB identificerede refleksivt at afvise alle sletningsanmodninger uden individuel vurdering som en almindelig og sanktionerbar fejl.

  • Ikke at eskalere til databeskyttelsesrådgiveren (DPO). Komplekse anmodninger, tvister, der involverer følsomme data, eller sager, hvor det lovlige grundlag for opbevaring er reelt uklart, bør gå til DPO'en snarere end at blive løst på administrativt niveau.

Hvornår skal man eskalere: din DPO, dit juridiske team og din tilsynsmyndighed

Ikke enhver berigtigelses- eller sletningsanmodning kan eller bør løses på klinisk administrativt niveau. Følgende scenarier berettiger eskalering til DPO'en, det juridiske team eller i nogle tilfælde tilsynsmyndigheden:

  • Anmodninger, der involverer mindreårige. Samspillet mellem forældres rettigheder, Gillick-kompetence (i britiske jurisdiktioner) og barnets egne datarettigheder kræver juridisk input.

  • Journaler delt på tværs af nationale grænser. Hvor data er blevet overført til databehandlere eller modtagere i andre jurisdiktioner, kan de gældende opbevarings- og sletningsregler være forskellige.

  • Ægte usikkerhed om det lovlige grundlag for opbevaring. Hvis det ikke er klart, om en lovpligtig opbevaringspligt gælder, eller om en undtagelse af offentlig interesse er involveret, er dette et juridisk spørgsmål, ikke et administrativt.

  • Anmodninger, der ser ud til at relatere sig til et potentielt retskrav. Hvor der er nogen indikation af, at patienten overvejer eller har indledt retssager, har journalen potentiel bevisværdi, og enhver ændring kræver juridisk rådgivning.

  • Gentagne eller eskalerende tvister. Hvis en patient allerede har klaget til tilsynsmyndigheden, eller har angivet, at de har til hensigt at gøre det, skal DPO'en involveres.

I henhold til artikel 37 i GDPR er de fleste EU-sundhedsorganisationer, der behandler sundhedsdata i stor skala, forpligtet til at udpege en databeskyttelsesrådgiver. Secure Privacys sundhedsvejledning bekræfter, at der skal være processer på plads for, at patienter kan udøve alle dataemnerettigheder, og at DPO'ens rolle omfatter rådgivning om anmodninger, der er i konflikt med lovpligtige forpligtelser. Kliniske administratorer bør vide, hvem deres DPO er, hvordan man kontakter dem, og hvilken tærskel der udløser en henvisning, før en kompleks anmodning ankommer – ikke efter.

Ofte stillede spørgsmål

Har patienter ret til at rette deres kliniske journaler i henhold til GDPR?

Ja, men med vigtige begrænsninger. Artikel 16 i den generelle databeskyttelsesforordning giver patienter ret til at få urigtige personoplysninger rettet. For ligetil faktuelle fejl (en forkert fødselsdato eller et forkert stavet navn) er rettelse relativt ukompliceret. For kliniske poster såsom diagnoser, risikovurderinger eller behandlingsnotater er begrebet urigtighed mere komplekst. En klinikers professionelle vurdering er ikke det samme som et objektivt faktum, og den irske databeskyttelseskommission bekræfter, at retten til berigtigelse ikke gælder let for medicinske vurderinger og kliniske behandlingsnotater.

Kan en patient anmode om sletning af deres sundhedsjournaler i henhold til GDPR?

Patienter kan indgive en sletningsanmodning i henhold til artikel 17 i GDPR, men denne ret er ikke absolut i en sundhedsmæssig sammenhæng. De fleste kliniske journaler falder ind under mindst én af artikel 17(3)-undtagelserne, herunder overholdelse af en juridisk forpligtelse, offentlig interesse i folkesundhed eller fastlæggelse eller forsvar af retskrav. National lovgivning på tværs af EU-medlemsstater og Storbritannien fastsætter lovpligtige minimumsopbevaringsperioder for sundhedsjournaler – typisk mellem otte og tredive år – hvilket udgør en juridisk forpligtelse, der gør det muligt for organisationer lovligt at afvise sletningsanmodninger. Dog kræver afvisning dokumenteret individuel begrundelse, ikke en generel politik.

Hvad er den korrekte måde at ændre en klinisk journal på, når en patient bestrider en post?

Den korrekte tilgang er at tilføje et tillæg eller en annotation til journalen, ikke at overskrive eller slette den oprindelige post. Hvis en patient bestrider en klinisk vurdering, som den ansvarlige kliniker står ved, bør der tilføjes en supplerende note, der registrerer patientens indsigelse, mens den oprindelige dokumentation forbliver intakt. Hvis posten indeholder en ægte faktuel fejl, bør den rettes med originalen bevaret i revisionssporet. Information Commissioner's Office bekræfter, at hvor en diagnose senere viser sig at være forkert, bør journalen vise både den oprindelige diagnose og de endelige fund.

Hvad skal et revisionsspor indeholde, når en klinisk journal ændres?

Et regelkonformt revisionsspor skal indeholde identiteten på den person, der foretog ændringen, dato og tidspunkt for ændringen, årsagen til ændringen, det fulde indhold af den oprindelige post og arten af ændringen. NHS-vejledning er eksplicit om, at oplysninger kan fjernes fra visning, men revisionssporet skal altid holde journalen fuldstændig. Overskrivning af oprindelige poster uden spor skaber både en GDPR-ansvarlighedsfejl i henhold til artikel 5(2) og en medicinsk-juridisk risiko, herunder potentielt bevis for journalmanipulation i en klinisk uagtsomhedsundersøgelse.

Hvor lang tid har en sundhedsorganisation til at svare på en berigtigelses- eller sletningsanmodning?

Både retten til berigtigelse i henhold til artikel 16 og retten til sletning i henhold til artikel 17 har en svarfrist på én kalendermåned. Uret starter på den dato, anmodningen modtages, ikke den dato, den formelt logges eller tildeles internt. Hvis anmodningen afvises helt eller delvist, skal organisationen stadig svare inden for den måned, forklare grundlaget for afvisningen og informere patienten om deres ret til at klage til den relevante tilsynsmyndighed.

Kræver GDPR, at sundhedsudbydere accepterer en patients version af begivenhederne som fakta?

Nej. GDPR kræver ikke, at sundhedsudbydere accepterer en patients foretrukne version af begivenhederne som fakta. Den irske databeskyttelseskommission er eksplicit om, at retten til berigtigelse ikke gælder let for medicinske vurderinger, diagnoser og kliniske behandlingsnotater, fordi disse repræsenterer professionelle vurderinger snarere end objektive fakta. Hvor en kliniker står ved deres oprindelige post, er det GDPR-konforme svar at tilføje en note, der registrerer, at patienten bestrider posten, mens den oprindelige dokumentation forbliver intakt. Patienten skal derefter informeres om resultatet og om deres ret til at eskalere til tilsynsmyndigheden.

Udløser ændring af en klinisk journal en pligt til at underrette tredjeparter?

Ja. Artikel 19 i GDPR kræver, at dataansvarlige underretter enhver tredjepart, som dataene blev videregivet til, om en berigtigelse eller sletning, medmindre det er umuligt eller involverer uforholdsmæssig indsats. I en klinisk sammenhæng kan dette omfatte sekundære sundhedsudbydere, der modtog en henvisning, specialister, der modtog et henvisningsbrev, eller sociale plejeteams. Kliniske administratorer skal føre klare optegnelser over, hvem der modtog hvilke oplysninger og hvornår. Undtagelsen om uforholdsmæssig indsats kan gælde, hvor meddelelse er reelt upraktisk, men det kræver dokumenteret begrundelse og kan ikke bruges som standard.

Hvad er de mest almindelige fejl ved håndtering af patienters berigtigelses- og sletningsanmodninger?

Den Europæiske Databeskyttelsesbestyrelses koordinerede håndhævelsesfund fra 2025 identificerede flere tilbagevendende fejl. Disse omfatter at misse svarfristen på én måned, overskrivning af oprindelige poster uden at bevare dem i et revisionsspor, manglende dokumentation af begrundelsen bag beslutninger, at behandle alle sletningsanmodninger som automatisk gyldige og at behandle alle sletningsanmodninger som automatisk ugyldige uden individuel vurdering. EDPB fandt, at ni databeskyttelsesmyndigheder indledte formelle håndhævelsesundersøgelser som følge af, at dataansvarlige anvendte artikel 17(3)-undtagelser forkert uden ordentlig individuel vurdering.

Hvornår bør en klinisk administrator eskalere en berigtigelses- eller sletningsanmodning til databeskyttelsesrådgiveren?

Flere scenarier berettiger eskalering snarere end løsning på administrativt niveau. Disse omfatter anmodninger, der involverer mindreårige, hvor forældres rettigheder og barnets egne datarettigheder krydser hinanden; journaler delt på tværs af nationale grænser, hvor forskellige opbevaringsregler kan gælde; sager, hvor der er ægte usikkerhed om det lovlige grundlag for opbevaring; anmodninger, der kan relatere sig til et potentielt retskrav, hvor journalen har bevisværdi; og situationer, hvor patienten allerede har klaget til tilsynsmyndigheden eller har angivet, at de har til hensigt at gøre det. I henhold til artikel 37 i GDPR er de fleste EU-sundhedsorganisationer, der behandler sundhedsdata i stor skala, forpligtet til at udpege en databeskyttelsesrådgiver, og kliniske administratorer bør vide, hvem deres er, før en kompleks anmodning ankommer.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.