Helsetilsynet

Fra: Statens helsetilsyn
Til: Helse- og omsorgsdepartementet
Dato: 06.03.2008
Vår ref.: 2008/578 II MKL

Innføringen av elektronisk pasientjournal i helsetjenesten representerer et fremskritt for alle parter. Det gir behandlerne raskere tilgang til pasientenes sykehistorie og tidligere behandling og det letter pasientenes hverdag ved at de slipper å gjenta informasjon de allerede har gitt. Men den økte tilgjengeligheten skaper også utfordringer. Dette gjelder spesielt taushetsplikten som nå er under større press enn før. Dette bekymrer Statens helsetilsyn i en slik grad at vi ser det nødvendig å informere Helse- og omsorgsdepartementet om den svikt vi har funnet ved tilsyn og hva vi ser som bakenforliggende årsaker til dette.

Bakgrunn

Lovgivningen stiller krav om at helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. Taushetsplikten er altså ikke bare en passiv plikt til å tie, men også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Journalforskriften inneholder bestemmelser om at virksomhet som yter helsehjelp må opprette pasientjournalsystem. Journalsystemet må organiseres slik at det både sikrer nødvendig tilgang til og utlevering av journal og verner opplysningene mot innsyn fra uvedkommende. Utveksling av taushetsbelagt informasjon mellom helsepersonell er basert på samtykke fra pasientene og kan kun skje når det er nødvendig for behandling og oppfølging av pasienten, eller hvor det foreligger annet rettslig grunnlag for å gi slik informasjon.

Helsetilsynet og Datatilsynet gjennomførte i fellesskap i mai 2006 tilsyn med hvordan Helse Bergen HF Haukeland Universitetssykehus ivaretok taushetsplikten og tilgjengeligheten ved bruk av pasientjournalsystemet Doculive og det pasientadministrative systemet PIMS. Tilsynet omfattet både innhenting og utlevering av pasientinformasjon fra elektronisk pasientjournal og tilgangsstyring i forhold til elektronisk pasientjournal og det pasientadministrative systemet PIMS. I juni 2006 gjennomførte Helsetilsynet og Datatilsynet et lignende tilsyn ved Akershus Universitetssykehus HF. Temaet ved dette tilsynet var sikring av taushetsplikten og tilgjengeligheten til opplysninger ved bruk av det elektroniske pasientjournalsystemet DIPS.

Tilsynene ble gjennomført som systemrevisjoner og var av to dagers varighet. Ved tilsynene ble tiltak og praksis ved helseforetakene vurdert opp mot aktuelle krav i helselovgivningen, helseregisterloven og personopplysningsloven.

Funn ved tilsyn

Avvikene som ble avdekket dreide seg om at helseforetakene ikke sikret at taushetsbelagte personopplysninger i de elektroniske pasientjournalsystemene var forsvarlig vernet mot innsyn fra ansatte som ikke hadde legitimt behov for opplysningene. Avvikene bygde i hovedsak på at store grupper helsepersonell var gitt tilgang til hele eller deler av de elektroniske pasientjournalene uavhengig av om de var involvert i pasientbehandlingen eller ei. Dette skyldtes delvis at journalsystemene ikke var laget slik at det var mulig å etterleve kravene til taushetsplikt og tilgangsstyring, og delvis at helseforetakene ikke fullt ut hadde utnyttet de mulighetene for tilgangsstyring som lå i systemene. Personellgrupper var også gitt tilgang til opplysninger for situasjoner som ville/kunne inntreffe svært sjeldent, fremfor i sjeldne tilfeller å basere seg på utlevering i tråd med prinsippet i helsepersonelloven § 45.

Hvert år gjør helsepersonell millioner av oppslag i pasientjournalene ved disse sykehusene. Alle oppslag loggføres automatisk. Det store antallet oppslag, små kontrollressurser og svake kontrollrutiner gjør at ansatte ved kliniske avdelinger som kikker i pasientjournaler uten å ha tjenestelige behov, har lav risiko for å bli avslørt. Loggkontroll ble derfor vurdert til å være et lite egnet hjelpemiddel til å avdekke misbruk.

Utfordringer

Det er flere ulike bakenforliggende årsaker til den svikt som ble avdekket ved de to tilsynene. Å få eliminert disse bakenforliggende årsakene representerer betydelige utfordringer. De viktigste utfordringene er gruppert og presentert nedenfor under overskriftene:

  • Kunnskaper
  • Holdninger og respekt
  • Teknokratene
  • Leverandører
  • Lav risiko for å bli avslørt og straffet for snoking
  • Risikovurdering

Kunnskaper

Noe av problemet med sviktende beskyttelse av taushetsbelagt informasjon skyldes mangelfull kunnskap om hva taushetsplikten etter helselovgivningen betyr og innebærer. Mange ser ut til å tro at taushetsbelagt informasjon kan utveksles fritt med andre som har taushetsplikt (uavhengig av behov), som om det fantes noe som litt enkelt kan kalles ”taushetspliktklubber.” Dette synes å være en inngrodd og utbredt misforståelse. Den mangelfulle kunnskapen om taushetsplikten kan skyldes flere forhold, blant annet utilstrekkelig undervisning og opplæring i helselovgivningen.

Holdninger og respekt

Ett av helseforetakene der tilsyn ble gjennomført, hadde som overordnet mål for styringen av tilgangen til elektronisk pasientjournal å gi helsepersonellet tilstrekkelig ”vid” tilgang slik at arbeidsoppgavene til de forskjellige stillingskategorier/roller kunne utføres uten vesentlig behov for ”blålys.” Det var ingen tidsbegrensninger i tilgangen etter utskriving eller poliklinisk kontakt. Her virket det som tilgangsstyringen hovedsakelig var innrettet etter helsepersonellets behov for informasjon og ikke etter pasientenes behov for diskresjon. Videre er det i stor grad de dramatiske situasjoner og ikke den daglige drift som trekkes fram som begrunnelse for de løsninger som blir valgt for tilgangsstyring. Vi får håpe at dette ikke er uttrykk for lav respekt for pasientrettigheter og taushetsplikten.

Det som gjør saken enda mer alvorlig er at pasientene som regel ikke er klar over at innholdet i pasientjournalene ligger dårlig beskyttet på sykehusenes interne datanettverk, og at de tror de kan betro seg om sensitive ting uten nevneverdig risiko for lekkasjer. I tillegg er de fleste pasientene ikke kjent med at det finnes logger som viser hvem som har vært inne og lest, eller skrevet i journalen, og som pasientene kan få tilgang til dersom de spør. Direktøren for Datatilsynet har for eksempel tatt til orde for at loggene regelmessig bør sendes til pasientene til gjennomgang slik at pasientene selv kan vurdere om uvedkommende har snoket i journalene.

Teknokratene styrer

Tilsynserfaringene tyder på at brukerne av pasientjournalsystemene og linjelederne har liten innflytelse på funksjonaliteten. Det betyr at personell som har taushetsplikt og innsikt i hva taushetsplikten innebærer, ikke i tilstrekkelig grad blir hørt ved utforming av journalsystemene. I stedet baseres funksjonaliteten og praktisk bruk på hva som datateknisk er mest lettvint eller effektivt og på hva ledere og rådgivere uten klinisk bakgrunn mener er viktig. Dette bidrar til å svekke hensynet til taushetsplikt og diskresjon, og legger til rette for lite selektiv tilgangsstyring og aksept for at det i noen tilfeller må og skal være noe tungvint å innhente nødvendige opplysninger i form av å be om å få opplysningene utlevert fra for eksempel en psykiatrisk avdeling innen et helseforetak, eller fra et annet sykehus/helseforetak.

Dette punktet representerer en felles utfordring for helsepersonell som skal etterleve taushetsplikten og myndigheter om å få formidlet hva taushetsplikten innebærer til beslutningstakerne i helseforetakene, slik at de derved kan stille nødvendige krav til leverandører ved innkjøp eller oppgradering av sine systemer for elektronisk pasientjournal.

Leverandørene

Tilsynserfaringene kan også tyde på at leverandørene av systemene har satt inn begrensede ressurser for å utvikle systemene i henhold til kravene. Sammenholdt med en mer teknokratisk bestillerside i helseforetakene kan dette innebære en relativt beskjeden dynamikk i utviklingen av systemene knyttet til ivaretakelse av taushetsplikt.

Lav risiko for å bli avslørt og straffet for snoking

Det store antallet oppslag i pasientjournalene gjør oppgaven med å avdekke snoking fra helseforetakets side nærmest umulig med eksisterende hjelpemidler. Den enkleste måten å avdekke snoking på synes å være å gi utskrifter av loggene til pasientene slik at pasientene selv kan vurdere om uvedkommende kan ha vært inne i journalen uten legitim grunn. Ut over det vil loggkontroll i hovedsak måtte basere seg på stikkprøver, eller på konkret mistanke om mulig snoking. Med dagens teknologi er mulighetene for å avdekke snoking, og risikoen for å bli tatt for slikt, så lav at det har utilstrekkelig preventiv effekt. Konkrete saker i mange helseforetak bekrefter dette.

Risikovurdering

Tilsynet har vist at helseforetakene ikke gjør grundige nok risikovurderinger ved innføring av, eller ved endring i systemene for elektronisk pasientjournal. Denne mangelen gjør at helseforetakene ikke får oversikt over egne systemers sårbarhet, og hvor stor risiko det er for ulike typer svikt. De går derved glipp av muligheten for å iverksette tilstrekkelige og målrettede forebyggende tiltak. Manglende risiko- og sårbarhetsvurderinger er en gjenganger innen alle deler av helsetjenesten.

Mulige tiltak

Helsetilsynet mener at kunnskapene om, og respekten for, taushetsplikten må bedres innen deler av helsetjenesten slik at pasientenes rettmessige behov for diskresjon blir tilstrekkelig ivaretatt. Ved anskaffelser og oppgraderinger må helseforetakene stille krav til leverandørene om at de elektroniske pasientjournalsystemene er utformet på en slik måte at kravene til taushetsplikt kan etterleves fullt ut. Videre må helseforetakene sørge for at tilgangsstyringen til pasientjournalene både sikrer behandlernes behov for tilgjengelighet og pasientenes behov for diskresjon, og at disse behovene balanseres slik at virksomheten utøves forsvarlig. Vi ser på Helse- og omsorgsdepartementets forslag til endringer i helsepersonelloven § 21 annet ledd om å gjøre snoking i pasientjournaler ulovlig som et nyttig tiltak, men vil understreke at vi mener at de viktigste tiltakene mot snoking er gode systemer for tilgangsstyring.

Med hilsen


Lars E. Hanssen Pål Børresen
seniorrådgiver for

Magnar Kleppe
seniorrådgiver

Kopi:
Sosial- og helsedirektoratet
Helsetilsynet i fylkene
Datatilsynet

Saksbehandler: Magnar Kleppe, tlf. 21 52 99 51

  • Rapport frå tilsyn med informasjonstryggleiken ved pasientjournalsystemet Doculive og det pasientadministrative systemet PIMS ved Helse Bergen HF, Haukeland universitetssjukehus (2006)
  • Rapport fra tilsyn med konfidensialiteten og tilgjengeligheten til elektronisk pasientjournal ved Akershus universitetssykehus HF (2006)

Enkeltrapporter fra dette tilsynet er fjernet fra nettstedet, men kan fremskaffes ved henvendelse til nettredaksjonen.