Tænk dig om, før du slår op

Dato: 16-03-2023

Mange af os har adgang til registre med personoplysninger gennem arbejdet. Men man må kun slå op i disse registre, hvis der er en saglig grund, f.eks. fordi det er nødvendigt for at udføre arbejdsopgaverne.

Personalet på hospitaler og lægehuse har via deres arbejde adgang til registre med følsomme personoplysninger i form af helbredsoplysninger om et stort antal danskere. Via forskellige log-funktioner kan patienter selv undersøge, hvem der har kigget i deres patientjournal mv. Der har været flere pressehistorier om sundhedspersonale, som har slået op i den elektroniske patientjournal uden en saglig grund til opslaget og f.eks. undersøgt kendte personers helbredsforhold eller slået op på en tidligere ægtefælle. I flere sager har det ført til et strafferetligt efterspil.

Gælder alle med adgang til registre

Det er dog ikke kun sundhedspersoner, som skal være opmærksomme på, hvad de slår op, men også f.eks. den kommunale sagsbehandler, medarbejderen i skatteforvaltningen og den ansatte i et forsikringsfirma, der kan tilgå journalsystemer, kundekartoteker, CPR o.l.

Det gælder med andre ord for alle, der har adgang til registre med personoplysninger på deres arbejde - også når borgerne ikke selv kan slå op i loggen. Man må ikke slå op, fordi man f.eks. er nysgerrig, eller fordi man vil bruge oplysningerne i privat sammenhæng.

Typisk må man kun må slå op på personoplysninger, hvis det er nødvendigt for at kunne udføre arbejdet. Hvis man går ud over den grænse, kan man som ansat risikere at overtræde databeskyttelsesreglerne.

"Hvis du er kunde i en virksomhed, medlem af en forening eller indlagt på et sygehus, skal du kunne være tryg ved, at dine personoplysninger bruges til det, de er indsamlet til - og ikke til de ansattes private formål. Det kan være ganske let for en ansat lige at slå op og kigge i en ekskærestes eller en kendt skuespillers oplysninger, men det må den ansatte kun, hvis der er et sagligt formål med det. Hvis der ikke er det, kan den ansatte faktisk risikere politianmeldelse og bødestraf," siger Morten Juul Gjermundbo, souschef i Datatilsynet.

Men hvad med arbejdsgiveren?

Arbejdsgiverne har dog også et ansvar. Det er nemlig som udgangspunkt arbejdsgiveren, der er ansvarlig for de registeropslag, som deres ansatte foretager på arbejdet.

Det betyder, at arbejdsgiveren både har et ansvar for at informere de ansatte om brugen af de registre, som er til rådighed, og for i et vist omfang at føre kontrol med, hvad de ansatte slår op på. Arbejdsgiveren har derudover ansvaret for, at registrene er sat op og indrettet på en tilstrækkelig sikker måde i forhold til f.eks. at undgå, at nogen uberettiget kan få adgang til registrene.

Men hvis arbejdspladsen lever op til disse krav, og en ansat alligevel foretager opslag uden et sagligt formål, vil ansvaret kunne lande hos den ansatte selv.

 

Opdateret bødevejledning

Datatilsynet har opdateret bødevejledningen for fysiske personer, så den indeholder en tabel med vejledende bødesatser for uberettigede registeropslag. Tabellen siger ikke noget om, hvornår et registeropslag er lovligt, men hvornår et uberettiget opslag – efter en konkret vurdering – bør sanktioneres med en bøde.

Det er ikke alle uberettigede registeropslag, der bør føre til straf. Men det betyder ikke, at der ses igennem fingre med opslagene. Et uberettiget opslag på personoplysninger vil være en overtrædelse af databeskyttelsesreglerne, uanset om det fører til en bøde eller ej, og Datatilsynet har fokus på disse sager.

Den opdaterede bødevejledning kan findes her