Dropbox må ikke bruges til opbevaring af patientjournaler

 

Forsvarlig opbevaring i mindst 10 år

Autoriserede sundhedspersonaler skal efter journalføringsbekendtgørelsens § 15, stk. 1, opbevare patientjournaler i mindst 10 år. Efter § 18 skal patientjournaler opbevares ”forsvarligt”, og det skal sikres, at uvedkommende ikke har adgang til oplysningerne i patientjournalerne.

 

Overførsel til ”tredjeland”

Cloud løsninger er internetbaserede løsninger, hvor data kan lagres i ”skyen”, dvs. typisk på en server uden for Europa. Inden for EU betegner man lande uden for EU lande som ”tredjelande”. Dropbox Inc., der ligger i San Francisco, ligger i et ”tredjeland”.
Efter personoplysningslovens § 27, stk. 1, må der kun overføres personoplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau. Datatilsynet kan efter § 27, stk. 3, tillade overførsel af personoplysninger til tredjeland. I en sag fra 2011 afslog Datatilsynet at give tilladelse til overførsel af personoplysninger fra Danmark til Dropbox. Datatilsynet anførte, at Dropbox ikke var med i den såkaldte ”Safe Harbor” ordning. Den 6. oktober 2015 vurderede EU-domstolen, at ”Safe Harbor” ordningen slet ikke var tilstrækkelig til at sikre, at databeskyttelsen i USA levede op til samme standarder som i for EU.

 

Dropbox må ikke bruges til patientjournaler

Det er uden for enhver tvivl, at det er ulovligt at opbevare patientjournaler i Dropbox. Det er ikke en forsvarlig opbevaring efter journalføringsbekendtgørelsen. Og det er i strid med personoplysningslovens § 27, stk. 1. Det er ikke sandsynligt, at Datatilsynet vil give tilladelse til opbevaring af patientjournaler i Dropbox.

 

Links

Datatilsynets afgørelse om Dropbox fra 2011 kan læses på Datatilsynets hjemmeside: https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/brug-af-dropbox-til-behandling-af-foelsomme-personoplysninger-omfattet-af-en-tilladelse-fra-datatils/

 

Af Henrik Karl Nielsen, advokat (H), 15. december 2017