Formål
Målgrupper og anvendelsesområde
Definitioner
Fremgangsmåde
Ansvar og organisering
Referencer, lovgivning og faglig evidens samt links hertil
Bilag

Formål

At sikre ensartet lovlig brug af QR-koder eller lignende f.eks. stregkoder med patientdata i Region Hovedstaden.

Målgrupper og anvendelsesområde

Ledelser og medarbejdere i Region Hovedstaden som benytter, eller påtænker at benytte, QR-koder på senge, labels eller lignende der indeholder patienters persondata.

Definitioner

En QR-kode er en to-dimensional stregkode, som bruges til at lagre informationer, såsom links til hjemmesider, telefonnumre, e-mailadresser mm. I denne sammenhæng kan QR-koden indeholde patientens navn, CPR-nummer og afdelingsnummer. QR-koden kan aflæses ved brug af en kodeaflæser eller lagres i en smartphone ved brug en App, som er tilknyttet telefonens kamera.

En barkode er den stregkode, som eksempelvis anvendes i hospitalernes patientidentifikationsarmbånd. Barkoden udskrives fra EPM.

Eksempel på QR-kode (”Se hvor let det er at se patientoplysninger”).

Tilbage til top

Fremgangsmåde

Sikkerhedsmæssige overvejelser

QR-koder og lignende teknologi med samme funktion, er ikke krypterede og kan aflæses af enhver der har en smartphone, og svarer i princippet til at skrive oplysninger om en person i klar tekst. Derfor skal anvendelse af QR-koder til personoplysninger ske med omtanke.

I henhold til gældende databeskyttelseslovgivning har alle ansatte pligt til at sikre mod at uvedkommende får kendskab til, eller kan misbruge personoplysninger.

Ledelser i afdelinger/funktioner, der anvender QR-koder med persondata skal sikre, at disse anvendes til formål der overholder gældende lovgivning og at personalet kender til dem.

Forud for stillingtagen til brug af QR-koder skal formål og sikkerhed vurderes.

1. Foretag vurdering af risiko

Tag stilling til hvilke oplysninger der skal lagres i QR-koden – altså om det er persondata eller organisatoriske oplysninger, f.eks. apparaturID. Vurdér hvad der vil ske, hvis uvedkommende får adgang til informationerne.
Tag stilling til hvor QR-koden skal benyttes rent fysisk:

Er det på udstyr, eksempelvis dokumenter og prøveglas der normalt er under opsyn?
Er det på udstyr, eksempelvis senge eller andre genstande der er nemme at komme til for uvedkommende.

Tag stilling til kassation af udstyr med QR-koder. Hvem skal sikre kassation og hvordan sker destruktion?

Når denne vurdering er foretaget, skal der ske en afvejning af, om QR-koden kan benyttes.

2. Eksempler på hvor QR-koder eller lignende koder med persondata må bruges

Patient identifikationsarmbånd, hvor både patientens navn og CPR-nummer fremgår i almindelig skrift og i form af stregkode til aflæsning med pda. Identifikationsarmbånd er et krav fra Sundhedsstyrelsen, der skal understøtte korrekt patientidentifikation.
Journaler og tilhørende dokumenter/bilag vedrørende patienter. Dette forudsætter at dokumenterne opbevares utilgængeligt for uvedkommende, jf. vejledningen: Lægelig vurdering og journalføring

I øvrige tilfælde skal der foretages en vurdering, som anført ovenfor.

3. Eksempler på hvor QR-koder med persondata ikke må bruges

Senge, patientborde og andet inventar på åbne hospitalsafsnit og sengestuer.
Dokumenter, eksempelvis væske- og observationsskemaer, kuverter eller lignende som ligger frit tilgængeligt på patientstuerne – disse skal som minimum beskyttes af omslag eller lignende, hvis det er nødvendigt at disse er placeret på patientstuerne.

4. Kassation og inaktivering af QR-koder

Når QR-koder, der indeholder persondata skal kasseres, sættes et kryds over koden med sort tusch, eller kuglepen. På denne måde ødelægges koden, og den kan ikke længere aflæses.

Tilbage til top

Ansvar og organisering

Virksomhedernes ledelse: direktion, center-, afdelings- og klinikledelse er ansvarlige for at sikre, at denne vejledning følges og at der, hvor QR-koder og lignende teknologi anvendes, udfærdiges procedurer for sikker anvendelse og arbejdsgange.

Tilbage til top