Formål og udbytte
Kurset giver en systematisk indføring i reglerne for behandling af helbredsoplysninger på sundhedsområdet og koblingen mellem sundhedslovgivningen og databeskyttelsesretten. Deltagerne lærer at vælge korrekt behandlingsgrundlag, vurdere nødvendighed og proportionalitet samt afgrænse mellem anonymisering og pseudonymisering.
Udbyttet er praktiske metoder til at afklare, om en organisation lovligt kan anvende eller udlevere personoplysninger i forskning, kvalitetssikring eller udvikling og drift af AI-løsninger. Efter kurset kan deltagerne omsætte regler og praksis til robuste sagsgange og dokumentation.
Juridiske rammer og nøgletemaer
Undervisningen dækker centrale regler i GDPR, herunder behandlingsgrundlag efter art. 6 og særkategorier efter art. 9, krav til oplysningspligt, dataminimering, integritet og fortrolighed samt registreredes rettigheder. Samspillet med sundhedsloven belyses, herunder hvornår anvendelser er foreskrevet i sundhedslovgivningen, og hvornår GDPR er den bærende hjemmel.
Kurset behandler roller og ansvar mellem dataansvarlige, databehandlere og eventuelt fælles dataansvar, samt krav til databehandleraftaler, sikkerhedsforanstaltninger, logning, kryptering og slettepolitikker. Deltagerne arbejder med praktiske greb for korrekt videregivelse og dataudveksling, herunder dokumentation af formål og modtagere.
AI-relevante emner omfatter træning, gentræning og validering af modeller, datasætstyring, sporbarhed og dokumentation. Kurset introducerer de databeskyttelsesretlige opmærksomhedspunkter ved algoritmer, fx gennemsigtighed, bias-håndtering og datakvalitet, samt det forventede samspil til EU’s forordning om kunstig intelligens.
Praktisk anvendelse og metode
Deltagerne gennemfører konsekvensanalyser for databeskyttelse (DPIA) for typiske projekter i sundhedssektoren, opstiller databehandlingsaktiviteter, vurderer risici og fastlægger afbødende foranstaltninger. Der arbejdes med beslutningsmodeller til valg af behandlingshjemmel, vurdering af undtagelser fra oplysningspligt og håndtering af registreredes rettigheder i forsknings- og kvalitetsprojekter.
Kurset inddrager praksis fra Datatilsynet og centrale myndigheder for at tydeliggøre, hvordan myndighedsforståelsen påvirker design af processer og dokumentation. Deltagerne træner identifikation af juridiske knudepunkter og formulerer løsningsforslag, der er juridisk holdbare og operationelt gennemførlige.
Efter forløbet kan deltagerne etablere klare governance-linjer for projekter, herunder ansvar, datakilder, anvendelsesområder og kontrolpunkter. De kan sikre, at beskyttelsen hverken under- eller overopfyldes, og at dokumentationen står mål med risici og formål.
Kurset er relevant for aktører i sundhedsvæsenet og tilknyttede forsknings- og udviklingsmiljøer, der arbejder med behandling, deling og analyse af sundhedsdata på et lovligt og sikkert grundlag.
