·
Klinisk dokumentation
Sundhedsvæsen
Praksisledelse / Admin
GDPR-rettigheder til at rette eller slette journalnotater
Hvad GDPR faktisk kræver, når patienter anmoder om rettelser eller sletninger i deres journalnotater, og hvornår sundhedsorganisationer kan afvise

Kliniske journaler befinder sig i et krydsfelt mellem modstridende juridiske forpligtelser. Databeskyttelsesforordningen giver patienter rettigheder over deres personoplysninger, herunder retten til at få urigtige oplysninger rettet og under visse omstændigheder slettet. Men klinisk dokumentation eksisterer af grunde, der rækker langt ud over datastyring: den understøtter patientsikkerhed, professionelt ansvar og juridisk forsvar. Når en patient anmoder om at rette eller fjerne en post fra deres kliniske journal, er de gældende regler ikke ligetil, og konsekvenserne af at få svaret forkert kan være alvorlige. Denne artikel beskriver, hvad databeskyttelsesforordningen i sundhedsvæsenet kræver i disse situationer, hvilke undtagelser der gælder, og hvad kliniske administratorer skal gøre i praksis.
De to rettigheder, der udløser anmodninger om rettelse og sletning
To artikler i databeskyttelsesforordningen er direkte relevante, når en patient anfægter indholdet af deres kliniske journal.
Artikel 16 giver retten til berigtigelse. Den giver en registreret ret til at anmode om, at en dataansvarlig retter personoplysninger, der er unøjagtige, og til at få ufuldstændige data fuldstændiggjort, herunder ved hjælp af en supplerende erklæring. Berigtigelse kan udføres ved at ændre dataene direkte, ved delvis eller fuldstændig sletning eller ved at tilføje oplysninger.
Artikel 17 giver retten til sletning, undertiden kaldet "retten til at blive glemt". Den kræver, at dataansvarlige sletter personoplysninger uden unødig forsinkelse under specifikke omstændigheder, for eksempel hvor dataene ikke længere er nødvendige til det formål, de blev indsamlet til, eller hvor den registrerede trækker samtykke tilbage, og ingen anden retslig grund gælder.
Ingen af rettighederne er absolut. I en sundhedsfaglig kontekst er begge rettigheder underlagt betydelige begrænsninger. Som den irske databeskyttelseskommission direkte fastslår: disse rettigheder "gælder sjældent for personoplysninger såsom medicinske vurderinger, diagnoser og kliniske behandlingsnotater."
Hvornår retten til sletning ikke gælder for kliniske journaler
Artikel 17 indeholder eksplicitte undtagelser, der er direkte anvendelige på sundhedsvæsenet. I henhold til artikel 17, stk. 3, gælder retten til sletning ikke, hvor behandling er nødvendig:
For at overholde en retlig forpligtelse i henhold til EU-ret eller medlemsstaternes nationale ret
Af hensyn til offentlig interesse på folkesundhedsområdet i henhold til artikel 9, stk. 2, litra i)
Til arkivformål i offentlighedens interesse, videnskabelig eller historisk forskning eller statistiske formål
Til fastlæggelse, udøvelse eller forsvar af retskrav
I praksis er den mest almindeligt anvendelige undtagelse i kliniske sammenhænge den retlige forpligtelse til at opbevare journaler. Sundhedsorganisationer i EU-medlemsstater er underlagt lovpligtige minimumsopbevaringsperioder. I England kræver for eksempel NHS England Records Management Code of Practice, at voksne patientjournaler opbevares i minimum otte år efter den sidste post. Praktiserende lægers journaler skal opbevares i ti år efter en patients død i overensstemmelse med gældende NHS-retningslinjer, selvom opbevaringsperioder kan variere efter journaltype. Tilsvarende forpligtelser eksisterer på tværs af EU-medlemsstater, selvom de specifikke perioder varierer efter jurisdiktion.
Hvor en lovpligtig opbevaringspligt gælder, kan en anmodning om sletning lovligt afvises. Organisationen er ikke forpligtet til at slette journalen blot fordi patienten har anmodet om det. Forpligtelsen er at svare på anmodningen, forklare den gældende undtagelse og informere patienten om deres ret til at klage til den relevante tilsynsmyndighed.
Den regulatoriske kontekst er også relevant her: databeskyttelsesforordningens sletningsrettigheder er underlagt aktiv regulatorisk kontrol, med bøder for manglende overholdelse, der når op på 20 millioner euro eller 4 procent af den globale årlige omsætning i henhold til artikel 83, stk. 5. Dette signalerer, at både uberettigede afslag og uberettigede sletninger indebærer reel risiko.
Hvad "berigtigelse" betyder i en klinisk kontekst
Berigtigelse i henhold til artikel 16 gælder for data, der er faktuelt unøjagtige. En patients forkerte fødselsdato, et forkert stavet navn eller en adresse registreret ved en fejl er klare kandidater til rettelse. Disse er objektive fejl, og det er både påkrævet og ligetil at rette dem.
Den mere komplekse situation opstår, når en patient anfægter en klinisk vurdering, såsom en diagnose, en dokumenteret vurdering eller en klinikers registrerede mening om deres præsentation eller adfærd. Disse poster er ikke automatisk "unøjagtige" i henhold til databeskyttelsesforordningen blot fordi patienten er uenig i dem.
BMA's vejledning om adgang til sundhedsjournaler er eksplicit på dette punkt: "patienter kan søge rettelse af oplysninger, de mener er unøjagtige, men sundhedspersonen er ikke forpligtet til at acceptere patientens mening – de skal sikre, at notaterne angiver patientens synspunkt." En klinikers dokumenterede faglige vurdering afspejler deres vurdering på det tidspunkt, den blev foretaget. At være uenig i den vurdering gør ikke journalen faktuelt forkert.
Hvor en patient mener, at en journal er ufuldstændig snarere end unøjagtig, bekræfter den irske databeskyttelseskommission, at patienten kan anmode om, at en supplerende erklæring tilføjes. Dette er en meningsfuld rettighed, men den er forskellig fra retten til at få den oprindelige post fjernet eller overskrevet.
Revisionssporforpligtelsen: hvad skal registreres, når en post ændres
Når en klinisk journalpost rettes eller annoteres, er revisionssporet ikke valgfrit. Det er et centralt overholdelseskrav i henhold til både databeskyttelsesforordningen og faglige dokumentationsstandarder.
Et tilstrækkeligt revisionsspor for en journalændring skal omfatte:
Den oprindelige post, som skal forblive synlig og uændret
Dato og tidspunkt for enhver ændring
Identiteten på den person, der foretager ændringen
Årsagen til ændringen, klart dokumenteret
BMA's vejledning fastslår, at "ændringer af journaler kan foretages, forudsat at ændringerne foretages på en måde, der angiver, hvorfor ændringen blev foretaget, så det er klart, at journalerne ikke er blevet manipuleret med." Vejledningen bekræfter også, at "oplysninger kan fjernes fra visning, men revisionssporet vil altid holde journalen komplet."
Fra et teknisk perspektiv skal revisionsspor være manipulationssikre for at tjene som troværdige beviser under regulatoriske undersøgelser eller retssager. Hver logpost skal registrere brugeridentitet, tidsstempel og den udførte handling. At overskrive eller slette den oprindelige post i stedet for at annotere den skaber både en overholdelsesrisiko og en professionel ansvarsrisiko. Hvis en journal er blevet ændret uden et synligt revisionsspor, kan det være umuligt at påvise, at ændringen var legitim snarere end et forsøg på at skjule oplysninger.
Sådan håndteres en berigtigelsesanmodning uden at ændre den oprindelige post
Den standardmæssige kliniske tilgang til en gyldig berigtigelsesanmodning er at tilføje et dateret tillæg eller en annotation ved siden af den oprindelige post i stedet for at redigere eller fjerne den. Denne metode opfylder databeskyttelsesforordningens nøjagtighedsprincip, samtidig med at den oprindelige journals integritet bevares.
En korrekt konstrueret annotation skal omfatte:
Datoen, hvor annotationen blev tilføjet
Navn og rolle på den person, der tilføjer den
En klar redegørelse for, hvad der rettes eller tilføjes, og hvorfor
Hvor det er relevant, en bemærkning om, at ændringen følger en patientanmodning i henhold til artikel 16
Hvor patienten har anfægtet en klinisk vurdering snarere end en faktuel fejl, bør annotationen registrere patientens synspunkt uden at antyde, at den oprindelige kliniske post var forkert. For eksempel: "Patienten har anmodet om, at det noteres, at de anfægter ovenstående vurdering. Deres synspunkt er blevet registreret i overensstemmelse med deres ret til at tilføje en supplerende erklæring i henhold til artikel 16."
Denne tilgang betyder, at journalen forbliver komplet, den oprindelige post bevares til kliniske og juridiske formål, og patientens ret til at få deres perspektiv dokumenteret respekteres. Det skaber også et klart papirspor til enhver efterfølgende regulatorisk gennemgang.
Databeskyttelsesrådgiverens og Caldicott Guardians rolle
Ikke enhver berigtigelses- eller sletningsanmodning skal eskaleres, men det er vigtigt at vide, hvornår man skal involvere specialistroller.
I henhold til databeskyttelsesforordningen er sundhedsorganisationer, der behandler særlige kategorier af data, hvilket omfatter alle sundhedsdata, forpligtet til at udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren skal involveres i enhver situation, hvor svaret på en anmodning fra en registreret er juridisk usikkert, hvor et afslag udstedes, eller hvor anmodningen involverer et potentielt brud på nøjagtighedsprincippet, der kan påvirke patientsikkerheden.
I National Health Service og britiske sundhedssammenhænge spiller Caldicott Guardian en relateret, men særskilt rolle: de er ansvarlige for at beskytte fortroligheden af patientoplysninger og støtte passende informationsdeling. Hvor en berigtigelses- eller sletningsanmodning rejser spørgsmål om den kliniske hensigtsmæssighed af at videregive eller ændre journalindhold, bør Caldicott Guardian konsulteres sammen med databeskyttelsesrådgiveren.
For rutineforespørgsler, såsom at rette en åbenlys faktuel fejl som en forkert adresse, kan en praksischef eller senior klinisk administrator typisk håndtere svaret direkte, forudsat at ændringen følger den korrekte revisionssporprocedure. For alt, der involverer en anfægtet klinisk post, et afslag på at slette eller en anmodning, der berører følsomme diagnoser eller beskyttelsesoplysninger, er eskalering til databeskyttelsesrådgiveren det passende skridt.
Svar til patienten: tidsfrister, format og hvad man skal sige, når man afslår
Databeskyttelsesforordningen fastsætter en fast frist for at svare på anmodninger fra registrerede. Svaret skal gives inden for en måned efter modtagelsen af anmodningen. I komplekse sager kan denne periode forlænges med yderligere to måneder, men kun hvis den registrerede underrettes om forlængelsen og årsagerne til den inden for den oprindelige en-måneds-frist. Uden en sådan underretning forbliver en-måneds-fristen fast.
Tavshed eller forsinkelse er i sig selv en overholdelsessvigt. Manglende svar inden for fristen behandles som et afslag uden begrundelse, og patienten kan klage direkte til den relevante tilsynsmyndighed.
Ved afslag på en anmodning, hvad enten det drejer sig om sletning eller berigtigelse, skal svaret:
Være på klart, tilgængeligt sprog
Klart identificere den specifikke undtagelse eller retslige grund for afslaget
Informere patienten om deres ret til at indgive en klage til den nationale tilsynsmyndighed (for eksempel Information Commissioner's Office i Storbritannien, Data Protection Commission i Irland eller Commission Nationale de l'Informatique et des Libertés i Frankrig)
Informere patienten om deres ret til at søge retsmidler
Før der handles på nogen anmodning, skal den dataansvarlige bekræfte, at anmoderen er den registrerede selv eller en person med bemyndigelse til at handle på deres vegne. Dette verifikationstrin er særligt vigtigt i sundhedsvæsenet, hvor journaler indeholder meget følsomme oplysninger.
Hvordan rettelse- og sletningsforpligtelser varierer på tværs af EU-medlemsstater
Databeskyttelsesforordningen fastsætter grundlinjen, men den tillader udtrykkeligt medlemsstater at indføre yderligere betingelser for behandling af sundhedsdata. Artikel 9, stk. 4, tillader medlemsstater at "opretholde eller indføre yderligere betingelser, herunder begrænsninger, med hensyn til behandling af genetiske data, biometriske data eller helbredsoplysninger."
Dette betyder, at kliniske administratorer, der arbejder på tværs af forskellige EU-jurisdiktioner, kan støde på variationer i:
Opbevaringsperioder: National lovgivning bestemmer minimumsopbevaringsplaner, og disse varierer betydeligt. Tyskland, Frankrig, Irland og Nederlandene har hver deres egne lovbestemte rammer for, hvor længe forskellige kategorier af kliniske journaler skal opbevares.
Ændringsprocedurer: Nogle medlemsstater har specifikke procedurekrav til, hvordan ændringer af sundhedsjournaler skal dokumenteres eller meddeles til patienten.
Udvidelser af patientrettigheder: Visse jurisdiktioner har udvidet patientrettigheder ud over databeskyttelsesforordningens grundlinje i forbindelse med sundhedsjournaler.
Databeskyttelsesforordningens ramme beskrevet i denne artikel gælder på tværs af EU, men den erstatter ikke lokal juridisk rådgivning. Kliniske administratorer, der opererer i en specifik medlemsstat, bør verificere den gældende nationale vejledning, typisk udstedt af den nationale databeskyttelsesmyndighed eller det relevante sundhedsministerium, før de svarer på anmodninger, der kan involvere national lovgivning.
En praktisk beslutningsramme for kliniske administratorer
Når en anmodning fra en registreret om en klinisk journal ankommer, giver følgende beslutningssti et struktureret udgangspunkt. Det er ikke en erstatning for juridisk rådgivning i komplekse sager, men det dækker størstedelen af de scenarier, en klinisk administrator vil støde på.
Trin 1: Identificer typen af anmodning
Anmoder patienten om rettelse af en faktuel fejl (artikel 16), fuldstændiggørelse af en ufuldstændig journal (artikel 16) eller sletning af journalen (artikel 17)? De gældende regler er forskellige.
Trin 2: Verificer anmoderens identitet
Bekræft, at anmodningen er fra den registrerede eller en autoriseret repræsentant, før der foretages nogen handling eller deles nogen oplysninger.
Trin 3: Kontroller gældende undtagelser
For sletningsanmodninger: gælder der en lovpligtig opbevaringspligt? Er dataene påkrævet til folkesundhedsformål, retskrav eller arkivering? Hvis ja, kan anmodningen afvises. For berigtigelsesanmodninger: er de anfægtede data faktuelt unøjagtige, eller er det en klinisk vurdering, patienten er uenig i? Hvis det sidste er tilfældet, behøver den oprindelige post ikke at blive ændret, men patientens synspunkt bør registreres som en supplerende erklæring.
Trin 4: Bestem den passende handling
Faktuel fejl: ret posten ved hjælp af en revisionssporet ændring
Ufuldstændig journal: tilføj en dateret supplerende erklæring
Anfægtet klinisk vurdering: tilføj en annotation, der registrerer patientens synspunkt, uden at ændre den oprindelige post
Sletningsanmodning underlagt en opbevaringsundtagelse: forbered et afslag med henvisning til den gældende retslige grund
Trin 5: Dokumenter beslutningen
Registrer, hvilken anmodning der blev modtaget, hvilken beslutning der blev truffet, hvilken undtagelse eller retslig grund der blev anvendt, og hvem der var involveret i at træffe beslutningen. Denne dokumentation er i sig selv en del af organisationens ansvarsforpligtelse.
Trin 6: Svar inden for fristen
Send et skriftligt svar inden for en måned. Hvis anmodningen afvises, skal du inkludere den specifikke retslige grund, patientens ret til at klage til tilsynsmyndigheden og deres ret til retsmidler. Brug klart sprog hele vejen igennem.
Trin 7: Eskaler, hvis anfægtet eller usikkert
Hvis patienten anfægter afslaget, hvis anmodningen involverer følsomme kategorier af oplysninger såsom beskyttelses- eller psykiske sundhedsjournaler, eller hvis der er ægte juridisk usikkerhed om den gældende undtagelse, skal du eskalere til databeskyttelsesrådgiveren. I NHS-sammenhænge skal du konsultere Caldicott Guardian, hvor patientfortrolighed er involveret.
En vigtig begrænsning at anerkende: rammen ovenfor afspejler databeskyttelsesforordningens grundlinje og generelle kliniske dokumentationsstandarder. Den tager ikke højde for alle nationale variationer, og den adresserer ikke den tekniske kompleksitet ved sletning i moderne kliniske systemer, især hvor journaler er replikeret på tværs af sikkerhedskopier, arkiver og tredjepartsbehandlere. Implementering af verificerbar datasletning på tværs af krypterede kliniske datasæt forbliver teknisk udfordrende, og sletningsforpligtelser omfatter sikkerhedskopier og arkiverede kopier, der opbevares af databehandlere. Hvor en sletning er juridisk påkrævet, skal informationsteknologi- og informationsstyringshold involveres.
Ofte stillede spørgsmål
▶ Har patienter ret til at slette deres kliniske journaler i henhold til databeskyttelsesforordningen?
Ikke under de fleste omstændigheder. Artikel 17 i databeskyttelsesforordningen giver ret til sletning, men denne ret gælder ikke, hvor der eksisterer en retlig forpligtelse til at opbevare journaler. Sundhedsorganisationer på tværs af EU-medlemsstater er underlagt lovpligtige minimumsopbevaringsperioder. I England kræver for eksempel NHS England, at voksne patientjournaler opbevares i minimum otte år efter den sidste post. Hvor en sådan forpligtelse gælder, kan en sletningsanmodning lovligt afvises, forudsat at organisationen svarer skriftligt, forklarer undtagelsen og informerer patienten om deres ret til at klage til den relevante tilsynsmyndighed.
▶ Kan en patient anmode om rettelse af en klinisk diagnose, de er uenige i?
En patient kan anmode om rettelse, men en kliniker er ikke forpligtet til at ændre en dokumenteret faglig vurdering blot fordi patienten anfægter den. Retten til berigtigelse i henhold til artikel 16 gælder for faktuelt unøjagtige data, såsom en forkert fødselsdato eller et forkert stavet navn. En klinisk diagnose eller vurdering afspejler klinikerens faglige mening på det tidspunkt, den blev registreret. At være uenig i den mening gør ikke posten unøjagtig. Hvor en patient anfægter en klinisk vurdering, er det passende svar at tilføje en supplerende erklæring, der registrerer patientens synspunkt, uden at ændre den oprindelige post.
▶ Hvad skal et revisionsspor omfatte, når en klinisk journal ændres?
Når en klinisk journalpost rettes eller annoteres, skal revisionssporet omfatte fire ting: den oprindelige post, som skal forblive synlig og uændret; dato og tidspunkt for ændringen; identiteten på den person, der foretager ændringen; og årsagen til ændringen. At overskrive eller slette den oprindelige post i stedet for at annotere den skaber både en overholdelsesrisiko og en professionel ansvarsrisiko. Hvis en journal er blevet ændret uden et synligt revisionsspor, kan det være umuligt at påvise, at ændringen var legitim.
▶ Hvordan skal en klinisk administrator håndtere en berigtigelsesanmodning uden at ændre den oprindelige post?
Den standardmæssige tilgang er at tilføje et dateret tillæg eller en annotation ved siden af den oprindelige post. En korrekt konstrueret annotation skal omfatte datoen, den blev tilføjet, navn og rolle på den person, der tilføjer den, en klar redegørelse for, hvad der rettes eller tilføjes og hvorfor, og hvor det er relevant, en bemærkning om, at ændringen følger en patientanmodning i henhold til artikel 16. Hvor en patient har anfægtet en klinisk vurdering snarere end en faktuel fejl, bør annotationen registrere patientens synspunkt uden at antyde, at den oprindelige post var forkert.
▶ Hvad er fristen for at svare på en patients rettelse- eller sletningsanmodning?
Databeskyttelsesforordningen kræver et svar inden for en måned efter modtagelsen af anmodningen. I komplekse sager kan denne periode forlænges med yderligere to måneder, men kun hvis patienten underrettes om forlængelsen og årsagerne til den inden for den oprindelige en-måneds-frist. Tavshed eller forsinkelse er i sig selv en overholdelsessvigt. Manglende svar inden for fristen behandles som et afslag uden begrundelse, og patienten kan klage direkte til den relevante tilsynsmyndighed.
▶ Hvad skal et afslagsbrev omfatte, når en patients sletnings- eller berigtigelsesanmodning afvises?
Et afslag skal være skrevet på klart, tilgængeligt sprog. Det skal klart identificere den specifikke undtagelse eller retslige grund for afslaget, informere patienten om deres ret til at indgive en klage til den nationale tilsynsmyndighed (såsom Information Commissioner's Office i Storbritannien, Data Protection Commission i Irland eller Commission Nationale de l'Informatique et des Libertés i Frankrig) og informere patienten om deres ret til at søge retsmidler. Patienten skal kunne forstå, hvorfor anmodningen er blevet afvist, og hvad de kan gøre herefter.
▶ Hvornår skal en databeskyttelsesrådgiver involveres i håndteringen af en anmodning om en klinisk journal?
Sundhedsorganisationer, der behandler sundhedsdata, er i henhold til databeskyttelsesforordningen forpligtet til at udpege en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren skal involveres, hvor svaret på en anmodning er juridisk usikkert, hvor et afslag udstedes, eller hvor anmodningen involverer et potentielt brud på nøjagtighedsprincippet, der kan påvirke patientsikkerheden. Rutineforespørgsler, såsom at rette en åbenlys faktuel fejl som en forkert adresse, kan typisk håndteres af en praksischef eller senior klinisk administrator, forudsat at ændringen følger den korrekte revisionssporprocedure. Alt, der involverer en anfægtet klinisk post, et afslag på at slette eller følsomme oplysninger såsom beskyttelses- eller psykiske sundhedsjournaler, bør eskaleres til databeskyttelsesrådgiveren.
▶ Varierer rettelse- og sletningsregler på tværs af EU-medlemsstater?
Databeskyttelsesforordningen fastsætter grundlinjen, men den tillader udtrykkeligt medlemsstater at indføre yderligere betingelser for behandling af sundhedsdata i henhold til artikel 9, stk. 4. Dette betyder, at kliniske administratorer, der arbejder på tværs af forskellige EU-jurisdiktioner, kan støde på variationer i lovpligtige opbevaringsperioder, ændringsprocedurer og patientrettigheder, der går ud over databeskyttelsesforordningens grundlinje. Tyskland, Frankrig, Irland og Nederlandene har hver deres egne lovbestemte rammer for, hvor længe forskellige kategorier af kliniske journaler skal opbevares. Kliniske administratorer, der opererer i en specifik medlemsstat, bør verificere den gældende nationale vejledning, typisk udstedt af den nationale databeskyttelsesmyndighed eller det relevante sundhedsministerium, før de svarer på anmodninger, der kan involvere national lovgivning.
▶ Omfatter retten til sletning sikkerhedskopier og arkiverede kopier af kliniske journaler?
Ja. Hvor en sletning er juridisk påkrævet, omfatter forpligtelsen sikkerhedskopier og arkiverede kopier, der opbevares af databehandlere, ikke kun den primære journal. Implementering af verificerbar datasletning på tværs af krypterede kliniske datasæt er teknisk udfordrende, især hvor journaler er replikeret på tværs af sikkerhedskopier, arkiver og tredjepartsbehandlere. Hvor en sletning er juridisk påkrævet, skal informationsteknologi- og informationsstyringshold involveres.
▶ Hvad er forskellen mellem retten til berigtigelse og retten til at tilføje en supplerende erklæring?
Retten til berigtigelse i henhold til artikel 16 dækker rettelse af faktuelt unøjagtige data og fuldstændiggørelse af ufuldstændige data. Hvor en patient mener, at en journal er ufuldstændig snarere end unøjagtig, kan de anmode om, at en supplerende erklæring tilføjes. Dette er en meningsfuld rettighed, men den er forskellig fra retten til at få den oprindelige post fjernet eller overskrevet. Den irske databeskyttelseskommission bekræfter denne forskel direkte: den supplerende erklæring står ved siden af den oprindelige post i stedet for at erstatte den.