·
Klinisk dokumentasjon
Helsevesen
Praksisledar / Admin
GDPR-rettigheter til å korrigere eller slette journaler
Hva GDPR faktisk krever når pasienter ber om korrigeringer eller sletting av journaler, og når helseorganisasjoner kan avslå

Kliniske journaler befinner seg i et krysningspunkt mellom konkurrerende juridiske forpliktelser. Personvernforordningen (GDPR) gir pasienter rettigheter over sine personopplysninger, inkludert retten til å få rettet unøyaktig informasjon og, under visse omstendigheter, slettet. Men klinisk dokumentasjon eksisterer av grunner som går langt utover databehandling: den støtter pasientsikkerhet, faglig ansvarlighet og juridisk forsvarbarhet. Når en pasient sender inn en forespørsel om å rette eller fjerne en oppføring fra sin kliniske journal, er de gjeldende reglene ikke enkle. Konsekvensene av å gi feil respons i begge retninger kan være alvorlige. Denne artikkelen forklarer hva GDPR-etterlevelse i helsevesenet faktisk krever i disse situasjonene, hvilke unntak som gjelder, og hva kliniske administratorer må gjøre i praksis.
De to GDPR-rettighetene som utløser rettings- og sletteforespørsler
To artikler i GDPR er direkte relevante når en pasient utfordrer innholdet i sin kliniske journal.
Artikkel 16 gir rett til retting. Den gir en registrert rett til å be om at en behandlingsansvarlig retter personopplysninger som er unøyaktige. Den gir også rett til å få ufullstendige opplysninger fullført, blant annet ved hjelp av en tilleggsuttalelse. Retting kan gjennomføres ved å endre opplysningene direkte, ved delvis eller fullstendig sletting, eller ved å legge til informasjon.
Artikkel 17 gir rett til sletting, noen ganger kalt «retten til å bli glemt». Den krever at behandlingsansvarlige sletter personopplysninger uten unødig opphold under spesifikke omstendigheter. Dette gjelder for eksempel der opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for, eller der den registrerte trekker tilbake samtykke og ingen annet rettslig grunnlag gjelder.
Ingen av rettighetene er absolutte. I en helsekontekst er begge rettighetene underlagt betydelige og veldefinerte begrensninger. Som Irish Data Protection Commission uttaler direkte: disse rettighetene «gjelder sjelden for personopplysninger som medisinske vurderinger, diagnoser og kliniske behandlingsnotater.» Å forstå hvorfor krever at man ser på unntakene i detalj.
Når GDPRs rett til sletting ikke gjelder for kliniske journaler
Artikkel 17 inkluderer eksplisitte unntak som er direkte anvendelige på helsevesenet. I henhold til artikkel 17(3) gjelder ikke retten til sletting der behandling er nødvendig:
For å oppfylle en rettslig forpliktelse i henhold til EU- eller medlemsstatslovgivning
Av hensyn til allmennhetens interesse på folkehelsesektoren i henhold til artikkel 9(2)(i)
For arkivformål i allmennhetens interesse, vitenskapelig eller historisk forskning, eller statistiske formål
For å fastsette, utøve eller forsvare rettskrav
I praksis er det mest anvendelige unntaket i kliniske omgivelser den rettslige forpliktelsen til å oppbevare journaler. Helseorganisasjoner på tvers av EU-medlemsstater er underlagt lovpålagte minimumskrav til oppbevaringstid. I England krever for eksempel NHS England Records Management Code of Practice at voksne pasientjournaler oppbevares i minimum åtte år etter siste oppføring. Fastlegejournaler må oppbevares i ti år etter en pasients død, i samsvar med gjeldende NHS-retningslinjer. Oppbevaringsperioder kan variere etter journaltype. Tilsvarende forpliktelser eksisterer på tvers av EU-medlemsstater, selv om de spesifikke periodene varierer etter jurisdiksjon.
Der en lovpålagt oppbevaringsforpliktelse gjelder, kan en sletteforespørsel lovlig avslås. Organisasjonen er ikke pålagt å slette journalen bare fordi pasienten har bedt om det. Forpliktelsen er å svare på forespørselen, forklare det gjeldende unntaket og informere pasienten om deres rett til å klage til relevant tilsynsmyndighet.
Regulatorisk kontekst er også relevant her: GDPR-sletterettigheter er underlagt aktiv regulatorisk gransking. Straffer for manglende etterlevelse når opp til 20 millioner euro eller 4 prosent av global årlig omsetning i henhold til artikkel 83(5). Dette signaliserer at både urettmessige avslag og urettmessige slettinger medfører reell risiko.
Hva «retting» faktisk betyr i en klinisk kontekst
Retting i henhold til artikkel 16 gjelder opplysninger som er faktisk unøyaktige. En pasients feil fødselsdato, et feilstavet navn eller en adresse registrert ved en feil er klare kandidater for retting. Dette er objektive feil. Å rette dem er både påkrevd og enkelt.
Den mer komplekse situasjonen oppstår når en pasient bestrider en klinisk vurdering, som en diagnose, en dokumentert vurdering eller en klinikers registrerte mening om deres presentasjon eller atferd. Disse oppføringene er ikke automatisk «unøyaktige» i henhold til GDPR bare fordi pasienten er uenig med dem.
BMAs veiledning om tilgang til helsejournaler er eksplisitt på dette punktet: «pasienter kan søke retting av informasjon de mener er unøyaktig, men helsepersonell er ikke forpliktet til å akseptere pasientens mening – de må sikre at notatene indikerer pasientens syn.» En klinikers dokumenterte faglige vurdering reflekterer deres vurdering på det tidspunktet den ble gjort. Å være uenig med den vurderingen gjør ikke journalen faktisk feil i GDPR-forstand.
Der en pasient mener en journal er ufullstendig snarere enn unøyaktig, bekrefter Irish Data Protection Commission at pasienten kan be om at en tilleggsuttalelse legges til. Dette er en meningsfull rettighet, men den er forskjellig fra retten til å få den opprinnelige oppføringen fjernet eller overskrevet.
Revisjonssporforpliktelsen: hva som må registreres når en oppføring endres
Når en klinisk journaloppføring rettes eller kommenteres, er revisjonssporet ikke valgfritt. Det er et kjernekrav til etterlevelse i henhold til både GDPR og faglige dokumentasjonsstandarder.
Et tilstrekkelig revisjonsspor for en journalendring må inkludere:
Den opprinnelige oppføringen, som må forbli synlig og uendret
Dato og klokkeslett for enhver endring
Identiteten til personen som gjør endringen
Årsaken til endringen, tydelig dokumentert
BMAs veiledning fastslår at «endringer i journaler kan gjøres forutsatt at endringene gjøres på en måte som indikerer hvorfor endringen ble gjort, slik at det er klart at journaler ikke har blitt tuklet med.» Veiledningen bekrefter også at «informasjon kan fjernes fra visning, men revisjonssporet vil alltid holde journalen komplett.»
Fra et teknisk perspektiv må revisjonsspor være tuklingssikre for å tjene som troverdig bevis under regulatoriske undersøkelser eller rettslige prosesser. Hver loggoppføring bør fange opp brukeridentitet, tidsstempel og handlingen som ble utført. Å overskrive eller slette den opprinnelige oppføringen, i stedet for å kommentere den, skaper både en GDPR-etterlevelsesrisiko og en faglig ansvarsrisiko. Hvis en journal har blitt endret uten et synlig revisjonsspor, kan det være umulig å demonstrere at endringen var legitim snarere enn et forsøk på å skjule informasjon.
Hvordan håndtere en rettingsforespørsel uten å endre den opprinnelige oppføringen
Den standard kliniske tilnærmingen til en gyldig rettingsforespørsel er å legge til et datert tillegg eller en kommentar ved siden av den opprinnelige oppføringen, i stedet for å redigere eller fjerne den. Denne metoden tilfredsstiller GDPRs nøyaktighetsprinsipp samtidig som den bevarer integriteten til den opprinnelige journalen.
En riktig konstruert kommentar bør inkludere:
Datoen kommentaren ble lagt til
Navnet og rollen til personen som legger den til
En klar uttalelse om hva som rettes eller legges til, og hvorfor
Der relevant, et notat om at endringen følger en pasientforespørsel i henhold til artikkel 16 GDPR
Der pasienten har bestridt en klinisk vurdering snarere enn en faktisk feil, bør kommentaren registrere pasientens syn uten å antyde at den opprinnelige kliniske oppføringen var feil. For eksempel: «Pasienten har bedt om at det noteres at de bestrider vurderingen ovenfor. Deres syn er registrert i samsvar med deres rett til å legge til en tilleggsuttalelse i henhold til artikkel 16 GDPR.»
Denne tilnærmingen betyr at journalen forblir komplett, den opprinnelige oppføringen bevares for kliniske og juridiske formål, og pasientens rett til å få sitt perspektiv dokumentert respekteres. Den skaper også et klart papirspor for enhver påfølgende regulatorisk gjennomgang.
Rollen til personvernombudet og Caldicott Guardian
Ikke alle rettings- eller sletteforespørsler trenger å eskaleres, men å vite når man skal involvere spesialistroller er viktig.
I henhold til GDPR er helseorganisasjoner som behandler særlige kategorier av personopplysninger, som inkluderer alle helseopplysninger, pålagt å utpeke et personvernombud (DPO). Personvernombudet må involveres i enhver situasjon der responsen på en forespørsel fra registrert er juridisk usikker, der et avslag utstedes, eller der forespørselen involverer et potensielt brudd på nøyaktighetsprinsippet som kan påvirke pasientsikkerheten.
I National Health Service (NHS) og britiske helseomgivelser spiller Caldicott Guardian en relatert, men distinkt rolle: de er ansvarlige for å beskytte konfidensialiteten til pasientinformasjon og støtte hensiktsmessig informasjonsdeling. Der en rettings- eller sletteforespørsel reiser spørsmål om den kliniske hensiktsmessigheten av å avsløre eller endre journalinnhold, bør Caldicott Guardian konsulteres sammen med personvernombudet.
For rutineforespørsler, som å rette en åpenbar faktisk feil som en feil adresse, kan en praksisleder eller senior klinisk administrator typisk håndtere responsen direkte. Dette forutsetter at endringen følger riktig revisjonssporprosedyre. For alt som involverer en bestridt klinisk oppføring, et avslag på sletting, eller en forespørsel som berører sensitive diagnoser eller verneinformasjon, er eskalering til personvernombudet det hensiktsmessige trinnet.
Å svare pasienten: tidsfrister, format og hva man skal si når man avslår
GDPR setter en fast frist for å svare på forespørsler fra registrerte. Responsen må gis innen én måned etter mottak av forespørselen. I komplekse saker kan denne perioden forlenges med ytterligere to måneder, men bare hvis den registrerte varsles om forlengelsen og årsakene til den innen den opprinnelige én-måneds-fristen. Uten slik varsling forblir én-måneds-fristen fast.
Stillhet eller forsinkelse er i seg selv en etterlevelsessvikt. Å unnlate å svare innen fristen behandles som et avslag uten begrunnelse. Pasienten kan klage direkte til relevant tilsynsmyndighet.
Når man avslår en forespørsel, enten om sletting eller retting, må responsen:
Være på et enkelt, tilgjengelig språk (ikke juridisk standardtekst)
Tydelig identifisere det spesifikke unntaket eller rettslige grunnlaget for avslaget
Informere pasienten om deres rett til å klage til den nasjonale tilsynsmyndigheten (for eksempel Information Commissioner's Office (ICO) i Storbritannia, Data Protection Commission (DPC) i Irland, eller Commission Nationale de l'Informatique et des Libertés (CNIL) i Frankrike)
Informere pasienten om deres rett til å søke rettslig prøving
Før man handler på noen forespørsel, må den behandlingsansvarlige bekrefte at den som ber om det er den registrerte selv, eller noen med fullmakt til å handle på deres vegne. Dette verifiseringstrinnet er spesielt viktig i helsevesenet, der journaler inneholder svært sensitiv informasjon.
Hvordan rettings- og sletteforpliktelser varierer på tvers av EU-medlemsstater
GDPR setter grunnlinjen, men den tillater eksplisitt medlemsstater å innføre ytterligere betingelser for behandling av helseopplysninger. Artikkel 9(4) tillater medlemsstater å «opprettholde eller innføre ytterligere betingelser, inkludert begrensninger, med hensyn til behandling av genetiske data, biometriske data eller helseopplysninger.»
Dette betyr at kliniske administratorer som arbeider på tvers av ulike EU-jurisdiksjoner kan møte variasjoner i:
Oppbevaringsperioder: Nasjonal lovgivning bestemmer minimumskrav til oppbevaringsplaner, og disse varierer betydelig. Tyskland, Frankrike, Irland og Nederland har hver sine egne lovpålagte rammeverk som styrer hvor lenge ulike kategorier av kliniske journaler må oppbevares.
Endringsprosedyrer: Noen medlemsstater har spesifikke prosedyrekrav for hvordan endringer i helsejournaler må dokumenteres eller varsles til pasienten.
Utvidelser av pasientrettigheter: Visse jurisdiksjoner har utvidet pasientrettigheter utover GDPR-grunnlinjen i konteksten av helsejournaler.
GDPR-rammeverket beskrevet i denne artikkelen gjelder på tvers av EU, men det erstatter ikke lokal juridisk rådgivning. Kliniske administratorer som opererer i en spesifikk medlemsstat bør verifisere gjeldende nasjonal veiledning, typisk utstedt av den nasjonale personvernmyndigheten eller relevant helsedepartement, før de svarer på forespørsler som kan engasjere lokal lovgivning.
Et praktisk beslutningsrammeverk for kliniske administratorer
Når en forespørsel fra registrert om en klinisk journal ankommer, gir følgende beslutningssti et strukturert utgangspunkt. Det er ikke en erstatning for juridisk rådgivning i komplekse saker, men det dekker flertallet av scenarioer en klinisk administrator vil møte.
Trinn 1: Identifiser typen forespørsel
Ber pasienten om retting av en faktisk feil (artikkel 16), fullføring av en ufullstendig journal (artikkel 16), eller sletting av journalen (artikkel 17)? De gjeldende reglene er forskjellige.
Trinn 2: Verifiser den som ber om det sin identitet
Bekreft at forespørselen er fra den registrerte eller en autorisert representant før du tar noen handling eller deler noen informasjon.
Trinn 3: Sjekk gjeldende unntak
For sletteforespørsler: gjelder en lovpålagt oppbevaringsforpliktelse? Er opplysningene nødvendige for folkehelsesformål, rettskrav eller arkivering? Hvis ja, kan forespørselen avslås. For rettingsforespørsler: er de bestridte opplysningene faktisk unøyaktige, eller er det en klinisk vurdering pasienten er uenig med? Hvis det siste, trenger ikke den opprinnelige oppføringen endres, men pasientens syn bør registreres som en tilleggsuttalelse.
Trinn 4: Bestem hensiktsmessig handling
Faktisk feil: rett oppføringen ved hjelp av en revisjonssporet endring
Ufullstendig journal: legg til en datert tilleggsuttalelse
Bestridt klinisk vurdering: legg til en kommentar som registrerer pasientens syn, uten å endre den opprinnelige oppføringen
Sletteforespørsel underlagt et oppbevaringsunntak: forbered en avslåsrespons som siterer det gjeldende rettslige grunnlaget
Trinn 5: Dokumenter beslutningen
Registrer hvilken forespørsel som ble mottatt, hvilken beslutning som ble tatt, hvilket unntak eller rettslig grunnlag som ble anvendt, og hvem som var involvert i å ta beslutningen. Denne dokumentasjonen er i seg selv en del av organisasjonens GDPR-ansvarlighetsforpliktelse.
Trinn 6: Svar innen fristen
Send et skriftlig svar innen én måned. Hvis forespørselen avslås, inkluder det spesifikke rettslige grunnlaget, pasientens rett til å klage til tilsynsmyndigheten, og deres rett til rettslig prøving. Bruk enkelt språk gjennom hele.
Trinn 7: Eskaler hvis bestridt eller usikkert
Hvis pasienten utfordrer avslaget, hvis forespørselen involverer sensitive kategorier av informasjon som verne- eller psykisk helsejournaler, eller hvis det er reell juridisk usikkerhet om det gjeldende unntaket, eskaler til personvernombudet. I NHS-omgivelser, konsulter Caldicott Guardian der pasientkonfidensialitet er engasjert.
Én viktig begrensning å erkjenne: rammeverket ovenfor reflekterer GDPR-grunnlinjen og generelle kliniske dokumentasjonsstandarder. Det tar ikke hensyn til alle nasjonale variasjoner. Det adresserer heller ikke den tekniske kompleksiteten ved sletting i moderne kliniske systemer, spesielt der journaler er replikert på tvers av sikkerhetskopier, arkiver og tredjepartsbehandlere. Å implementere verifiserbar datasletting på tvers av krypterte kliniske datasett forblir teknisk utfordrende. Sletteforpliktelser strekker seg til sikkerhetskopier og arkiverte kopier holdt av behandlere. Der en sletting er juridisk påkrevd, vil informasjonsteknologi- og informasjonsstyrings-team måtte involveres for å sikre at den gjennomføres fullstendig.
Ofte stilte spørsmål
▶ Har pasienter rett til å slette sine kliniske journaler i henhold til GDPR?
Ikke under de fleste omstendigheter. Artikkel 17 i personvernforordningen gir en rett til sletting, men denne retten gjelder ikke der en rettslig forpliktelse til å oppbevare journaler eksisterer. Helseorganisasjoner på tvers av EU-medlemsstater er underlagt lovpålagte minimumskrav til oppbevaringstid. I England krever for eksempel NHS England at voksne pasientjournaler oppbevares i minimum åtte år etter siste oppføring. Der en slik forpliktelse gjelder, kan en sletteforespørsel lovlig avslås. Organisasjonen må svare skriftlig, forklare unntaket og informere pasienten om deres rett til å klage til relevant tilsynsmyndighet.
▶ Kan en pasient be om retting av en klinisk diagnose de er uenige med?
En pasient kan be om retting, men en kliniker er ikke forpliktet til å endre en dokumentert faglig vurdering bare fordi pasienten bestrider den. Retten til retting i henhold til artikkel 16 gjelder faktisk unøyaktige opplysninger, som en feil fødselsdato eller et feilstavet navn. En klinisk diagnose eller vurdering reflekterer klinikerens faglige mening på det tidspunktet den ble registrert. Å være uenig med den meningen gjør ikke oppføringen unøyaktig i henhold til GDPR. Der en pasient bestrider en klinisk vurdering, er den hensiktsmessige responsen å legge til en tilleggsuttalelse som registrerer pasientens syn, uten å endre den opprinnelige oppføringen.
▶ Hva må et revisjonsspor inkludere når en klinisk journal endres?
Når en klinisk journaloppføring rettes eller kommenteres, må revisjonssporet inkludere fire ting: den opprinnelige oppføringen, som må forbli synlig og uendret, dato og klokkeslett for endringen, identiteten til personen som gjør endringen, og årsaken til endringen. Å overskrive eller slette den opprinnelige oppføringen, i stedet for å kommentere den, skaper både en GDPR-etterlevelsesrisiko og en faglig ansvarsrisiko. Hvis en journal har blitt endret uten et synlig revisjonsspor, kan det være umulig å demonstrere at endringen var legitim.
▶ Hvordan bør en klinisk administrator håndtere en rettingsforespørsel uten å endre den opprinnelige oppføringen?
Den standard tilnærmingen er å legge til et datert tillegg eller en kommentar ved siden av den opprinnelige oppføringen. En riktig konstruert kommentar bør inkludere datoen den ble lagt til, navnet og rollen til personen som legger den til, en klar uttalelse om hva som rettes eller legges til og hvorfor, og, der relevant, et notat om at endringen følger en pasientforespørsel i henhold til artikkel 16 GDPR. Der en pasient har bestridt en klinisk vurdering snarere enn en faktisk feil, bør kommentaren registrere pasientens syn uten å antyde at den opprinnelige oppføringen var feil.
▶ Hva er fristen for å svare på en pasients rettings- eller sletteforespørsel?
GDPR krever et svar innen én måned etter mottak av forespørselen. I komplekse saker kan denne perioden forlenges med ytterligere to måneder, men bare hvis pasienten varsles om forlengelsen og årsakene til den innen den opprinnelige én-måneds-fristen. Stillhet eller forsinkelse er i seg selv en etterlevelsessvikt. Å unnlate å svare innen fristen behandles som et avslag uten begrunnelse. Pasienten kan klage direkte til relevant tilsynsmyndighet.
▶ Hva må et avslåsbrev inkludere når man avslår en pasients slette- eller rettingsforespørsel?
En avslåsrespons må være skrevet på et enkelt, tilgjengelig språk. Den må tydelig identifisere det spesifikke unntaket eller rettslige grunnlaget for avslaget, informere pasienten om deres rett til å klage til den nasjonale tilsynsmyndigheten (som Information Commissioner's Office i Storbritannia, Data Protection Commission i Irland, eller Commission Nationale de l'Informatique et des Libertés i Frankrike), og informere pasienten om deres rett til å søke rettslig prøving. Juridisk standardtekst er ikke tilstrekkelig. Pasienten må kunne forstå hvorfor forespørselen har blitt avslått og hva de kan gjøre videre.
▶ Når bør et personvernombud involveres i håndtering av en klinisk journalforespørsel?
Helseorganisasjoner som behandler helseopplysninger er pålagt i henhold til GDPR å utpeke et personvernombud. Personvernombudet må involveres der responsen på en forespørsel er juridisk usikker, der et avslag utstedes, eller der forespørselen involverer et potensielt brudd på nøyaktighetsprinsippet som kan påvirke pasientsikkerheten. Rutineforespørsler, som å rette en åpenbar faktisk feil som en feil adresse, kan typisk håndteres av en praksisleder eller senior klinisk administrator. Dette forutsetter at endringen følger riktig revisjonssporprosedyre. Alt som involverer en bestridt klinisk oppføring, et avslag på sletting, eller sensitiv informasjon som verne- eller psykisk helsejournaler bør eskaleres til personvernombudet.
▶ Varierer GDPR-rettings- og sletteregler på tvers av EU-medlemsstater?
GDPR setter grunnlinjen, men den tillater eksplisitt medlemsstater å innføre ytterligere betingelser for behandling av helseopplysninger i henhold til artikkel 9(4). Dette betyr at kliniske administratorer som arbeider på tvers av ulike EU-jurisdiksjoner kan møte variasjoner i lovpålagte oppbevaringsperioder, endringsprosedyrer og pasientrettigheter som går utover GDPR-grunnlinjen. Tyskland, Frankrike, Irland og Nederland har hver sine egne lovpålagte rammeverk som styrer hvor lenge ulike kategorier av kliniske journaler må oppbevares. Kliniske administratorer som opererer i en spesifikk medlemsstat bør verifisere gjeldende nasjonal veiledning, typisk utstedt av den nasjonale personvernmyndigheten eller relevant helsedepartement, før de svarer på forespørsler som kan engasjere lokal lovgivning.
▶ Strekker GDPRs rett til sletting seg til sikkerhetskopier og arkiverte kopier av kliniske journaler?
Ja. Der en sletting er juridisk påkrevd, strekker forpliktelsen seg til sikkerhetskopier og arkiverte kopier holdt av behandlere, ikke bare den primære journalen. Å implementere verifiserbar datasletting på tvers av krypterte kliniske datasett er teknisk utfordrende, spesielt der journaler er replikert på tvers av sikkerhetskopier, arkiver og tredjepartsbehandlere. Der en sletting er juridisk påkrevd, vil informasjonsteknologi- og informasjonsstyrings-team måtte involveres for å sikre at den gjennomføres fullstendig.
▶ Hva er forskjellen mellom retten til retting og retten til å legge til en tilleggsuttalelse?
Retten til retting i henhold til artikkel 16 GDPR dekker retting av faktisk unøyaktige opplysninger og fullføring av ufullstendige opplysninger. Der en pasient mener en journal er ufullstendig snarere enn unøyaktig, kan de be om at en tilleggsuttalelse legges til. Dette er en meningsfull rettighet, men den er forskjellig fra retten til å få den opprinnelige oppføringen fjernet eller overskrevet. Irish Data Protection Commission bekrefter denne distinksjonen direkte: tilleggsuttalelsen står ved siden av den opprinnelige oppføringen i stedet for å erstatte den.