Høringsuttalelse til høringsnotat om tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende behandlingsrettede helseregistre

Statens helsetilsyn viser til Helse- og omsorgsdepartementets høringsbrev 20. oktober 2008.

Innledning

Det fremgår av høringsbrevet at: ”Formålet med lovforslagene er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten.”

Etter Helsetilsynets mening er det viktig med effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten. Regelverket bør derfor legge til rette for en effektiv og trygg kommunikasjon av relevante og nødvendige helseopplysninger av hensyn til forsvarlig pasientbehandling og for ivaretagelse av behovet for og kravet til konfidensialitet.

Samarbeid mellom helsepersonell innenfor virksomheter og samhandling med personell i andre virksomheter er viktig og økende. Samtidig innebærer samarbeid mellom aktørene og nivåene mange utfordringer som ofte blir undervurdert.

De senere årene har de fleste av de landsomfattende tilsynene med helsetjenesten i stor grad fokusert på samarbeid og kommunikasjon mellom personell, enheter og virksomheter av hensyn til pasientbehandling og pasientenes sikkerhet.  Som kjent samarbeidet også Datatilsynet, Helsetilsynet i Oslo og Akershus samt Hordaland og videre Statens helsetilsyn om tilsyn med to helseforetaks sikring av tilgjengelighet og konfidensialitet ved bruk av elektronisk pasientjournal. Tilsynene viste at foretakene ikke sikret opplysningene mot urettmessig tilgang, og avvikene som ble avdekket er ennå ikke rettet.

Statens helsetilsyn er enig i behovet for nærmere regulering av de behandlingsrettede helseregistre. Det er imidlertid spørsmål om det foreliggende forslag stiller krav om mer avanserte løsninger enn det som kan forventes utviklet, tatt i bruk og forvaltet i dagens situasjon og i tiden fremover.  

Regulering av ansvar og plikter

I helselovgivningen er det noen ganger nedfelt ansvar for å ivareta en oppgave uten at man samtidig er gitt tilstrekkelige og nødvendige forutsetninger for å styre ivaretagelsen av oppgaven. Prinsipielt bør man ikke pålegges ansvar for en oppgave hvis man ikke kan styre ivaretagelsen av den. Ansvar for en oppgave og styringen av den bør tilordnes og være på samme hånd. For eksempel er institusjoner innen spesialisthelsetjenesten tillagt ansvaret for forsvarlige informasjonssystemer etter spesialisthelsetjenesteloven § 3-2, mens det reelle ansvaret og styringen av felles journalsystemer for flere institusjoner innen et helseforetak tilligger helseforetaket.  Helseforetakene er da også tillagt ansvaret etter helseregisterloven.

Helsetilsynet finner grunn til å nevne disse utfordringene knyttet til manglende tilordning av ansvar og styring for en oppgave. Dette skyldes at den foreslåtte bruk av tilgangsrettigheter til eksterne reiser flere spørsmål om hvilket ansvar og plikter man kan inneha etter å ha gitt eksterne tilgangsrettigheter til journalsystemet.  Det er for eksempel ut fra manglende styringsmulighet som arbeidsgiver vanskelig å se hvilket ansvar en virksomhet kan ha etter tildeling av tilgangsrettigheter til eksterne. Det er også vanskelig å se hva en etterfølgende kontroll med eksternes benyttede tilgangsrettigheter skal baseres på og hvordan den skal gjennomføres i praksis.

Et av forslagene er adgang til felles behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap. Det er viktig å finne løsninger knyttet til håndtering av journalsystemer i slike arbeidsfellesskap, men Helsetilsynet savner en vurdering av ansvarsspørsmålene i forhold til styringsmuligheter. Formaliserte arbeidsfelleskap er ofte nettopp kun arbeidsfelleskap, hvor de enkelte legene er selvstendige utøvere og ikke underlagt noen andres styring. Arbeidsfellesskapet består ofte ikke av annet enn en privatrettslig avtale om fordeling av felles utgifter så som leie av lokaler og fordeling av arbeidsgiveransvar for eventuelle ansatte. Tilleggelse av ansvar med myndighet til å instruere, kontrollere og reagere ovenfor selvstendige utøvere er forbundet med vanskeligheter både prinsipielt og i praksis.

Det har tidligere vært diskutert om regionale helseforetak kan være databehandlingsansvarlig for EPJ. Denne diskusjonen føres også i høringsnotatet. Diskusjonen er knyttet til helseregisterloven § 13. Diskusjonen ift § 13 er viktig, men den kan også føre til at man ikke vurderer konsekvensene av å ilegge ansvar for en oppgave som man ikke kan styre i det daglige. Det gir begrenset mening å være tillagt et ansvar for en oppgave som krever daglig oppfølgning, hvis man ikke er i posisjon til å ivareta den løpende og daglige oppfølgning. Et regionalt helseforetak kan ikke etter dagens modell gjennom vedtekter og ved foretaksmøter ivareta en slik daglig og løpende styring av helseforetakenes/institusjonenes pasientjournalsystemer. I tillegg til at helseregisterloven § 13 innebærer at ansvaret for journalsystemer må ligge på helseforetakene, må også ansvaret av styringsmessige grunner tilligge helseforetakene. De regionale helseforetakene kan ikke inneha arbeidsgiverfunksjonen for de ansatte i helseforetakene og ivareta oppgaver som krever daglig og løpende oppfølgning. Noe annet er at de kan utøve sin myndighet som eier gjennom for eksempel foretaksmøtet når det gjelder mer overordnede spørsmål. 

Tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser

Statens helsetilsyn har merket seg og støtter at taushetsplikten skal ligge fast etter helsepersonelloven § 21 flg. Statens helsetilsyn stiller imidlertid spørsmål ved om dette vil bli konsekvensen av de foreslåtte bestemmelsene.

Departementet foreslår at regelverket skal åpne for tilgang til elektronisk lagrede pasientopplysninger i andre virksomheter enn der pasienten er til behandling.
Gjennomføring av dette i praksis vil innebære at personell i andre virksomheter må gis tilgangsrettigheter som det vil være opptil den enkelte å benytte seg av. Tilgangsrettigheter kan benyttes rettmessig som forutsatt av hensyn til behandlingen og antatt samtykke, men rettighetene kan også brukes urettmessig.

Det vil i ettertid være svært vanskelig å fange opp og vurdere om benyttet bruk av slike tilgangsrettigheter var rettmessig eller ikke. Tilsynene som ble gjennomført i 2006 illustrerer at etterfølgende kontroll i liten grad er egnet til å avdekke misbruk av tilgangsrettigheter utenom etter konkret mistanke. Det er derfor vanskelig å se at den foreslåtte innføring av tilgangsrettigheter mellom virksomhetene kan baseres på annet enn tillit til at alle med slike tilgangsrettigheter forholder seg til spillereglene.

Etter Helsetilsynets mening er det både prinsipielt og i praksis vesentlig forskjell mellom å gi andre virksomheter tilgangsrettigheter til virksomhetens EPJ og utlevering av opplysninger om en konkret pasient etter forespørsel.

Taushetsplikt innebærer blant annet at man skal sikre opplysningene mot urettmessig innsyn. Pasienten skal kunne oppsøke helsepersonell og helsetjeneste uten risiko for at opplysninger tilflyter andre.  Etterfølgende kontroll av benyttede tilgangsrettigheter innebærer ikke at opplysningene er sikret mot urettmessig innsyn og at taushetsplikten ivaretas. Det er likevel rimelig å tenke at etterfølgende kontroll kan ha en viss avskrekkende effekt mot misbruk av tilgangsrettigheter. Den avskrekkende effekten vil også kunne øke hvis kontrollen blir mer egnet til å avsløre misbruk.

Bruk av EPJ og tildeling av ulike rettigheter innebærer at mulighetene for urettmessig innsyn endres og økes ift papirjournaler. Mulighetene endres og økes ytterligere ved tilganger på tvers av virksomheter.  Dette skyldes at man ved bruk av EPJ må gis tilgangsrettigheter som er mer omfattende enn hva man i praksis vil ha behov for.

I praksis er spørsmålet på den ene siden hvem som kan få tilgangsrettigheter til virksomhetens EPJ, hvilke deler av EPJ, i hvilket omfang, hvilken periode og på hvilket tidspunkt. Ved endringen vil også eksterne få tilgangsrettigheter. Tilgangsrettighetene vil måtte omfatte et betydelig antall pasienter, en betydelig mengde opplysninger og uavhengig av om det vil bli bruk for opplysningene av behandlingsmessige årsaker. På den annen side har spørsmålet vært når man skal følge hovedreglene om taushetsplikt, slik at man ved behov må be om å få utlevert relevante og nødvendige opplysninger.

Forslaget legger opp til at det etter avtale mellom virksomheter skal kunne gis tilgang på tvers. Det er åpenbart at dette innebærer en svekkelse av taushetsplikten ved at flere gis tilgangsrettigheter. Det er også vanskelig å se hvordan virksomheten som gir andre tilgangsrettigheter formelt og i praksis skal kunne føre etterfølgende kontroll med benyttede rettigheter, slik at ansvar for etterfølgende kontroll i praksis vil være begrenset.

Behovet for tilgangsrettigheter på tvers

Det er noe uklart hvor omfattende bruken av avtaler mellom virksomheter om tilgang på tvers skal være. Lovforslaget og forskriftsutkastet har ingen begrensinger av omfanget av avtaler. Helsetilsynet antar på denne bakgrunn at det på sikt kan tenkes inngått avtaler av et ikke ubetydelig omfang mellom for eksempel flere foretak og fastlegene i foretakenes opptaksområder.

Etter Helsetilsynets mening er det i høringsnotatet i liten grad dokumentert et tilstrekkelig behov for enkel tilgjengelighet av relevant og nødvendig informasjon på tvers av virksomheter. Det er vanskelig å se hvordan departementet har vurdert kommunelege Anders Grimsmo sin medisinskfaglige analyse av behovet for enklere kommunikasjon i tilknytning til bruken av elektronisk pasientjournal av 3. september 2007.

Spørsmålet er ikke om helsepersonell kan få tidligere lagrede opplysninger om pasienten av hensyn til behandling av pasienten, men hvor vanskelig eller enkelt det skal være å få slike opplysninger. I høringsnotatet beskrives situasjoner hvor virksomhetene må få relevante og nødvendige opplysninger som ved samhandling om tjenester til pasienten og ved veiledning fra spesialister. Det er imidlertid ikke åpenbart at kommunikasjonen mellom aktørene i disse tilfellene løses best ved bruk av utvidede tilgangsrettigheter til EPJ fremfor aktiv kommunikasjon i form av utlevering av opplysninger, meldinger om problemstillinger, prøvesvar mv. Ved vurderingen av om det bør åpnes for tilgangsrettigheter til EPJ på tvers av virksomheter, er det også viktig å være oppmerksom på at opplysningene som er lagret i den enkelte virksomhets EPJ ofte er gamle eller ikke har relevans for den aktuelle situasjon. Ukritisk bruk av tidligere lagerede opplysninger kan også være forbundet med risiko.

Vi merker oss at dokumentet inneholder en drøfting av de foreslåtte lovendringene i et europeisk perspektiv. Selv om forslaget til nytt europeisk helsetjenestedirektiv framlagt i juli 2008 ennå ikke er vedtatt, mener vi at forholdene til dette kort bør omtales. Dette synes spesielt viktig fordi ”eHelse” er et vesentlig element i dette direktivet. Vi hadde således gjerne sett en vurdering av for eksempel artikkel 16 i direktivutkastet i forhold til konsekvensen av det foreliggende forslaget til nasjonale lovendringer.

I høringsnotatet punkt 3.5 omtales forholdet til menneskerettighetene. Det fremgår i fotnoten at departementet vurderer det slik at forslagene i foreliggende høringsnotat er i samsvar med EMK art. 8. Det er imidlertid noe vanskelig å se hva departementet bygger på når eksemplet i punkt 3.5 synes å illustrere at EMD fant at det forelå å brudd på EMK artikkel 8.

Forskriftsutkastet

I høringsnotatet punkt 7.2 uttales blant annet at forskriftsutkastet er ledd i oppfølgning av tilsynene som Datatilsynet og Helsetilsynet gjorde i fellesskap i 2006. Videre fremgår at utkastet i stor grad er en samling av allerede gjeldende rett. Med unntak av bestemmelsene om tilgang på tvers av virksomheter, er Helsetilsynet i hovedsak enig i at bestemmelsene følger av gjeldende rett.  Forskriftsutkastet omhandler imidlertid bare deler av mulig og aktuelt regelverk. Forskriften omhandler for eksempel i svært liten grad spørsmål om opplysningens kvalitet og den viser kun til taushetspliktsreglene i helsepersonelloven.

Utkastet til lovendring og forskriftsutkast innebærer etter Helsetilsynets vurdering at taushetsplikten vil svekkes ved at også eksterne gis tilgangsrettigheter. En samling av sikkerhetsbestemmelser og tilgangsbestemmelser kan imidlertid ha positive pedagogiske effekter ift ivaretagelse av personvernet.

En rettslig adgang for tilgang på tvers av virksomheter, vil kunne tas til inntekt for at det bør være enklere og mer effektiv tilgang til opplysninger også innenfor virksomhetene. Nevnte tilsyn med tilgang til EPJ innenfor virksomhetene taler ikke for en utvidelse av tilgangsrettigheter. Tilsynene tilsier blant annet en mer aktiv bruk av de muligheter som systemene gir for tilgangsstyring, mer konkrete vurderinger av tilgangsrettigheter, mer effektiv kontroll med benyttede tilganger og at man ved mer sjeldne behov for opplysninger velger å basere seg på hovedregelen om forespørsel og utlevering av relevante og nødvendige opplysninger. Det er etter tilsynets mening tvilsomt om tiden er moden for et regelverk som åpner for tilgang på tvers mellom virksomheter. Når departementet i høringsnotatet også skriver at ”Dersom teknologi gjør det mulig å sikre opplysningene, herunder kontrollmuligheter, og ivareta hensynet til pasientens rett til konfidensialitet ved tilgang på tvers av virksomheter, mener departementet at helseregisterloven § 13 bør endres”, er det spørsmål om det foreslåtte regelverket stiller krav om mer avanserte løsninger enn det som kan forventes utviklet, tatt i bruk og forvaltet i dagens situasjon og i tiden fremover.

Departementet gir i notatet uttrykk for at taushetsplikten skal ligge fast og forskriftutkastet § 4 viser til reglene for taushetsplikt i helsepersonelloven. I merknaden til den foreslåtte § 4 gis det enkelte føringer for tildeling av tilgangsrettigheter, men disse føringene er ikke tatt inn som regler i selve forskriften.  I motivene diskuteres heller ikke forholdet til muligheten av å basere seg på utlevering for mer sjeldne tilfeller. Etter hva Helsetilsynet kan se åpner således regelverket for tilgang på tvers uten at det stilles opp nærmere rettslige vilkår for når og hvordan dette kan gjøres.
 

Regionale og lokale virksomhetsovergripende behandlingsrettede helseregistre foreslås hjemlet i helseregisterloven

Det foreslås også hjemmel for felles virksomhetsovergripende behandlingsrettede helseregistre og hjemmel for at helsepersonell skal kunne pålegges å sende inn opplysninger til slike registre. Helsetilsynet finner det vanskelig å ta stilling til disse forslagene når det i liten grad er konkretisert hva som senere skal forskriftsfestes.

Med hilsen

Lars E. Hanssen Pål Børresen
seniorrådgiver

Kopi: Datatilsynet
Helsedirektoratet

Saksbehandler: Pål Børresen, tlf. 21 52 99 67