Avanceret teknologi hos tandlæger stiller krav til datasikkerhed

Langt de fleste tandklinikker benytter sig i dag af avanceret scannings­teknologi for at sikre sig den optimale diagnostik og behandling. Den nyeste teknologi omfatter bl.a. 3D-scanning (Cone Beam CT), som giver tredimensionelle billeder af tand- og kæbe­strukturen, hvilket er nyttigt for komplekse behandlinger som rodbehandling, implantater og kirurgi.

Men i forbindelse med fx 3D-scanninger kan brugen af de nye teknologier skabe udfordringer i forhold til EU-reglerne for databeskyttelse – det som på dansk hedder databeskyttelsesforordningen, og som oftest forkortes GDPR. Kan følsomme oplysninger om patienterne eksempelvis havne i de forkerte hænder, når tandklinikker sender scanningerne af patienter til laboratorier uden for EU (fx Kina) for at få produceret implantater? 

Personoplysninger skal beskyttes

Lis Møller Larsen er jurist i Region Nordjylland, og hun har et indgående kendskab til lovgivningen om databeskyttelse i sundhedssektoren.

– Når der overføres personoplysninger til lande udenfor EU, stiller GDPR­reglerne krav om, at personoplysninger skal behandles lige så sikkert og fortroligt, som de bliver i EU. I lande som Kina har man en anden opfattelse af databeskyttelse, hvilket betyder, at der kan være en risiko for, at følsomme personoplysninger ikke bliver behandlet fortroligt og sikkert, siger hun.

Ifølge GDPR-reglerne skal en tand­klinik være det, man kalder GDPR­compliant – det vil bl.a. sige, at klinikken skal efterleve alle reglerne i GDPR. Et eksempel på en af disse regler er, at der ikke må behandles flere oplysninger end nødvendigt.

– Hvis en klinik sender en scanning til et firma, som har en produktion i et af de lande uden for EU, som ikke har et tilstrækkeligt databeskyttelsesniveau – fx Kina – er det naturligvis afgørende, at der sendes så få oplysninger med scanningen som muligt. Navn og CPR-nummer skal fjernes. Det er bedst, hvis scanningen kun har et ID-nummer. På den måde er det nærmest umuligt for den kinesiske producent at identificere den patient, som scanningen vedrører, forklarer Lis Møller Larsen.

Hun siger videre:

– Grundlæggende er det tandklinikken, der er dataansvarlig, men rollen kan gives videre til det firma, som klinikken arbejder sammen med. Dermed er det firmaet, som skal sikre, at GDPR-lovgivningen overholdes.

Store krav til datasikkerhed

Det stiller store krav til datasikkerheden hos de firmaer, som modtager digitale scanninger fra tandklinikkerne.

Hos Elysee Dental, som producerer dentalprotetik – implantater, skinner, kroner, broer mv. – fortæller administrerende direktør Lisbeth Dam Petersen, at der kun er tilknyttet et kundenummer (tandlægen) og ordrenummer (patienten) til ordren, når de sender en ordre til produktion af individuelt fremstillet protetik i Kina.

– I øvrigt er vores laboratorium i Kina ISO-certificeret. Det betyder, at vi har papir på, at de overholder alle europæiske standarder indenfor vores felt, herunder GDPR-reglerne, siger Lisbeth Dam Petersen og tilføjer, at selv om ­Elysee Dental selv ejer laboratorierne i Kina, vil de stadig rent lovgivningsmæssigt blive defineret som tredjepart.

Et sikkert system

Nordenta er et andet firma, som ud over at kunne levere udstyr til tandklinikker også får produceret kroner hos en underleverandør.

– Vi har en databehandleraftale med alle vores leverandører, så vi kan sikre os, at de lever op til kravene om sikker databehandling. Når vi sender oplysninger videre til produktion i Kina, sker det gennem sikre systemer uden person­følsomme oplysninger, men kun med information om det, der skal produceres, siger IT-chef i Nordenta, Nick Rasmussen.

I forlængelse af det fortæller Nick Rasmussen, at Nordenta har sine egne løsninger til intern databehandling.

– Ved ikke at bruge fx Dropbox eller Sharepoint, hvor man ikke helt ved, hvor data kan ligge henne, kan vi 100 % stå inde for, at data ligger et sikkert sted, og at kun de rigtige får adgang til det, siger han.