Helsetilsynet

Fra: Statens helsetilsyn
Til: Helse- og omsorgsdepartementet
Dato: 24.08.2018
Vår ref.: 2018/1375 3 PBØ

Statens helsetilsyn viser til høringsbrev 18. april 2018 med høringsfrist 6. august. Videre viser vi til våre anmodninger om utsettelse av frist 29. juni og 13. august av hensyn til ferieavvikling og behov for en samlet behandling i organisasjonen.

Innledning

Forskriften skal erstatte dagens forskrift 21. desember 2000 nr. 1385 om pasientjournal og forskrift 17. desember 2014 nr. 1757 om tilgang til helseopplysninger mellom virksomheter.

Statens helsetilsyn støtter at det blir utarbeidet en ny forskrift for pasientjournal. Gjeldende forskrift ble utarbeidet på et tidspunkt med papirjournaler som bakteppe.

Statens helsetilsyn har enkelte kommentarer og innspill til forskriften, men innledningsvis har vi også behov for å reise mer prinsipielle spørsmål knyttet til forvaltningen av området og da spesielt tilsyn med helsepersonells dokumentasjonsplikt og virksomhetenes plikt til å sørge for forsvarlige journalsystemer.

Tilsyn med helsepersonells dokumentasjonsplikt og virksomhetenes plikt til forsvarlige journalsystemer

Årsaken til at vi har behov for å ta opp tilsynet med helsepersonells dokumentasjonsplikt skyldes at tilsynet etter pasientjournalloven og med journalsystemer i stor grad er tillagt Datatilsynet fremfor tilsynsmyndigheten med helsetjenesten.

Etter vår vurdering ble dette forsterket ved den nylig vedtatte endringen av pasientjournalloven § 22 ved behandlingen av ny personopplysningslov ((Prop. 56 LS (2017-2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen)). Forskyvningen av tilsynet til Datatilsynet på dette området øker etter Helsetilsynets vurdering ytterligere ved foreliggende høringsutkast. Vi viser også til vårt brev av 12. mars vedrørende tilsyn med digitale løsninger i velferdstjenestene.

Helseregisterloven fra 2001 regulerte både helseregistre og behandlingsrettede helseregistre. Tilsynsansvaret var i loven § 31 tillagt Datatilsynet med mindre tilsynsoppgaven var pålagt Statens helsetilsyn eller fylkesmannen etter lov om statlig tilsyn med helsetjenesten. Dette fremstår som et naturlig utgangspunkt for en lov som regulerte både helseregistre og behandlingsrettede helseregistre (EPJ). Grensen mellom tilsynsmyndighetenes ansvar var etter loven ikke skarp, men det uttales i merknaden til bestemmelsen på side 206 i Ot.prp. nr. 5 (1999-2000) Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven) at:

 «Et område hvor det kan anføres et kompletterende tilsynsansvar, er tilsyn, råd og veiledning i forhold til sikring av helseopplysninger i elektroniske pasientjournaler. Det er en del av Helsetilsynets oppgaver å føre tilsyn med at alle pasientjournalopplysninger er tilgjengelig og har den nødvendige kvalitet, konfidensialitet og integritet når helsepersonell trenger opplysningene for sin behandling av pasienten». (Helsetilsynets understrekning.)

Helseregisterloven fra 2001 ble i 2014 erstattet med en ny pasientjournallov og en ny helseregisterlov. I begge lovene ble tilsynsbestemmelsen videreført tilnærmet uendret i deres § 26.

Etter vår vurdering bør tilsynsansvaret for pasientjournalloven og dermed også pasientjournalforskriften primært være tillagt tilsynsmyndighetene med helsetjenestene.

Helselovene utgjør et samlet hele. Forslaget til ny pasientjournalforskrift er hjemlet i pasientjournalloven, helsepersonelloven og pasient- og brukerrettighetsloven. I stor grad handler forskriften om presiseringer av disse bestemmelsene. Etter vår vurdering aktualiserer presisering av disse lovene i foreliggende utkast et behov for en ny vurdering av tilsynsansvaret på området. Det er ikke klart hvem som har ansvaret for tilsynet med forskriften og de enkelte bestemmelser. Det er mulig at det er prinsippet fra pasientjournalloven § 26 som gjelder, men det fremstår som noe fremmed at tilsynsansvaret med flere deler av journalforskriften (og eventuelt særlig for hva helsepersonell skal dokumentere etter helsepersonelloven §§ 39 og 40) primært skal kunne være tillagt Datatilsynet.

Forankringen i helsepersonelloven og pasient- og brukerrettighetsloven, i tillegg til pasientjournalloven, tilsier at tilsynsansvaret for større deler av virkeområdet tilligger tilsynsmyndighetene med helsetjenesten etter lov om statlig tilsyn med helsetjenesten. Tilsynsansvaret er imidlertid ikke omtalt i høringsnotatet til forskrift eller nærmere omtalt i proposisjonen til ny personopplysningslov på dette området.

Selv om det er forhold som kan tilsi at tilsynsansvaret for større deler av virkeområdet til forskriften tilligger tilsynsmyndighetene med helsetjenesten etter lov om statlig tilsyn med helsetjenesten fremfor Datatilsynet, taler imidlertid ny personopplysningslov med endringer av flere andre lover i retning av at tilsynet med journalsystemene primært skal ivaretas av Datatilsynet.

Etter hva Helsetilsynet kan se, har ikke endringene av disse lovene vært på ordinær høring, men det fremgår av Prop. 56 LS (2017-2018) Lov om behandling av personopplysninger (personopplysningsloven) på s. 183 at: «Departementet har gått gjennom og vurdert alle relevante helselover. Flere av høringsinstansene har pekt på at det er behov for en slik gjennomgang og vurdering. Forslaget til lovendringer er basert på disse vurderingene». 

Det er vedtatt en ny pasientjournallov § 22 Informasjonssikkerhet som erstatter § 22 Sikring av konfidensialitet, integritet og tilgjengelighet.  Det fremgår av proposisjonen på s. 232 annen spalte at den nye § 22 Informasjonssikkerhet:

«… erstatter bestemmelsen om sikring av konfidensialitet, integritet og tilgjengelighet, som korresponderte med personopplysningsloven § 13 om informasjonssikkerhet. Denne bestemmelse er foreslått opphevet i den nye personopplysningsloven.

Det er i stedet tatt inn en henvisning til forordningen artikkel 32 som krever at den dataansvarlige gjennomfører tekniske og organisatoriske tiltak som ivaretar informasjonssikkerheten. Forordningen har krav om konfidensialitet, integritet, tilgjengelighet og robusthet, som langt på vei tilsvarer helseregisterlovens krav om konfidensialitet, integritet og tilgjengelighet. Forordningen har også krav om protokoll over sikkerhetstiltakene og at protokollen skal gjøres tilgjengelig for tilsynsmyndighetene. Det skal også føres protokoll over kategoriene av mottakere dersom opplysningene utleveres, men ikke konkret hvem som opplysningen utleveres til (artikkel 30).

Kravet om tilgangsstyring, logging og etterfølgende kontroll er presiseringer som videreføres i loven. Se også forordningen artikkel 25 nr. 2 som stiller krav om innebygd personvern og tilgangsstyring». (Anm. Helsetilsynets understrekning).

Den nye bestemmelse lyder: 

Ǥ 22 Informasjonssikkerhet

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll».

Kravene til konfidensialitet, integritet, tilgjengelighet og robusthet, som tidligere har fremgått eksplisitt av pasientjournalloven § 22, fremgår nå bare indirekte av loven ved henvisning til personvernforordningen artikkel 32. En naturlig forståelse av ordlyden i § 22 kan kanskje være at den nå i all hovedsak handler om tekniske og organisatoriske tiltak for et akseptabelt sikkerhetsnivå ut fra risiko. Kravene til opplysningenes kvalitet, tilgjengelighet og systemets funksjonalitet følger ikke på samme måte som tidligere av § 22, men må vel forutsetningsvis kunne følge av personvernforordningen artikkel 32, pasientjournalloven § 7 og helsepersonelloven § 40.

Videre er det vedtatt at pasientjournalloven §§ 27 og 28 om pålegg og tvangsmulkt oppheves ved ny personopplysningslov. Det fremgår at Datatilsynet kan gi pålegg etter personopplysningsloven § 29 på s. 233 i proposisjonen og Datatilsynet har etter § 29 i pasientjournalloven hjemmel til å fastsette overtredelsesgebyr ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven. Etter hva Helsetilsynet kan se inneholder ikke proposisjonen vurderinger av hvorfor Helsetilsynets adgang til å gi pålegg etter pasientjournalloven § 27 er opphevet eller andre vurderinger av det delte oppfølgingsansvaret og tilsynsansvaret mellom Datatilsynet og Statens helsetilsyn hva gjelder digitale løsninger i tjenestene.

Det er følgelig spørsmål ved om tilsyn med konfidensialitet, integritet, tilgjengelighet nå er forbeholdt eller i stor grad tillagt Datatilsynet, og ikke Helsetilsynet som opprinnelig forutsatt i forbindelse med helseregisterloven i 2001.

Det kan gjennom gradvise regelendringer ha skjedd en utilsiktet forskyvning av tilsynet med digitale løsninger på helseområdet fra Statens helsetilsyn til Datatilsynet med et styrket tilsyn med sikring av personvernet, uten at konsekvensene for tilsyn med helse- og omsorgstjenesten journal og informasjonssystemer med vekt på forhold som taushetsplikt, brukervennlighet, tilgjengelighet, kvalitet og faglig nivå av opplysningene og understøttelse av systemer og prosesser for brukermedvirkning, faglighet og korrekt forvaltningsmessig saksbehandling er vurdert.

Etter Helsetilsynets vurdering bør reguleringen av ovenfor nevnte forhold tas med i den pågående gjennomgangen av tilsynet med digitale løsninger i helse- og omsorgstjenesten.

Kommentarer til forskriftsutkastet

Departementet har i utformingen i av forskriften lagt vekt på at «regler som følger av personvernforordningen, helsepersonelloven og pasientjournalloven ikke skal gjentas i den nye forskriften». Det er Helsetilsynet i hovedsak enig i. Det er imidlertid en betydelig utfordring for de som skal anvende regelverket, som er virksomheter av svært forskjellige størrelse og som i ulik grad har fagkompetanse i regelanvendelse, at det er nødvendig å sette sammen lov- og forskriftsbestemmelser fra ulike lover og forskrifter for å få det samlede bildet av hvilke krav virksomhetene skal oppfylle. Vi vil derfor oppfordre til at det blir utarbeidet veiledningsmateriell som gir et helhetlig bilde.

De reelle endringer av forskriftene er knyttet til opphevelsen av forskrift om tilgang mellom virksomheter og nye bestemmelser med krav om system for tilgangskontroll, autorisering og autentisering og krav til loggføring. Etter Helsetilsynets vurdering er det viktig at styring og oppfølgning av tilgangene blir best mulig og vi savner en nærmere konkretisering av de avveininger av ulike hensyn som dataansvarlig skal foreta av hensyn til pasienter og virksomheter.

Et regelverk som i økende grad handler om personvern og teknisk og organisatorisk sikkerhet, vil naturlig nok kunne lede til at dette får økende oppmerksomhet og tillegges mer vekt. Dette kan være uheldig hvis det går på bekostning av funksjonalitet og tilgjengelighet i det daglige kliniske arbeidet for helsepersonell. Etter vår vurdering kunne/burde regelverket ha større fokus på funksjonalitet som for eksempel krav til struktur for rask og enkel tilfang av relevante opplysninger og innleggelse av nye opplysninger, jf. pasientjournalloven § 7 som krever at journalen «skal understøtte pasientforløp i klinisk praksis og være lett å bruke å finne frem i.»

Departementet foreslår at bestemmelsen om journalansvarlig ikke videreføres i forskriften og departementet vil fremme forslag om opphevelse av helsepersonelloven § 39 annet ledd. Helsetilsynet støtter dette forslaget. Samtidig vil vi understreke at det i virksomheter fortsatt vil være behov for å ha felles rutiner for dokumentasjon i journalene, slik at det legges til rette for samarbeid mellom helsepersonell i pasientforløpet, jf pasientjournalloven § 7. Det kan med fordel tas med i omtalen av et slikt endringsforslag.

Det fremgår på side 3 i høringsnotatet at departementet tar utgangspunkt i at pasientens journal er elektronisk, og det vises til krav i § 3 i forskrift 1. juli 2015 nr. 853 om IKT-standarder i helse- og omsorgstjenesten. Etter Helsetilsynets vurdering bør dette også positivt nedfelles. Det fremgår av merknadene til pasientjournalloven på s. 172 første spalte i Prop. 72 L (2013-2014) Pasientjournalloven og helseregisterloven at: «Loven er teknologinøytral. Det er derfor tale om et behandlingsrettet helseregister uavhengig av om registeret føres elektronisk eller manuelt, og hvilke tekniske hjelpemidler som benyttes.», jf. også at det ved opphevelsen av helsepersonelloven § 46 om at pasientjournal kan føres elektronisk i 2015 ble vist til pasientjournalloven. Forskrift om IKT- standarder ble ikke nevnt i denne proposisjonen ((Prop. 81 L (2014-2015), Innst. 303 L (2014-2015)).

For å unngå uklarheter bør kravet om at pasientjournaler skal føres elektronisk fremgå av journalforskriften, og det bør også fremgå direkte av loven at det som hovedregel skal dokumenteres elektronisk som et motstykke til helsepersonells taushetsplikt.

Statens helsetilsyn mener det her er grunn til å fravike departementets hovedregel om å unngå gjentakelse av likelydende bestemmelser, alternativt bør kravet flyttes fra forskrift om IKT-standarder til forskrift om pasientjournal.

Helsetilsynet mener individuelle planer fortsatt bør være en del av pasientjournalen, jf. dagens forskrift § 8 bokstav n. Etter vår vurdering bør journalene til de som samarbeider om planen inneha planen. Det fremstår som lite praktisk at helseopplysninger som inngår i planen i mange tilfeller skal journalføres, mens den individuelle planen ikke skal inngå som en del av pasientens journal hos de samarbeidende helsetjenestene og i samarbeid med pasienten, se omtale i høringsnotatet s 24-25. Det er ikke gitt anvisning på hvordan individuelle planer skal lagres. Helsetilsynet er også noe usikre på om hva forslaget eventuelt innebærer for annen type dokumentasjon som inneholder helseopplysninger.

Journalføring i apotek

Det fremgår av høringsnotatet at departementet «mener det er naturlig at de bestemmelser som utdyper journalføringsplikten for personell som yter helsehjelp i apotek, følger de samme reglene som gjelder for helsepersonell som yter helsehjelp i andre virksomheter. Departementet foreslår derfor at helsehjelp i apotek skal omfattes av den nye pasientjournalforskriften.»

Departementet anser at ekspedering av legemiddel og veiledning og råd som er individuelt tilpasset faller inn under definisjonen av helsehjelp i helsepersonelloven § 3, mens råd av mer uforpliktende og generell karakter og som ikke er tilpasset den enkelte ikke anses for å være dokumentasjonspliktig helsehjelp.

Statens helsetilsyn er enig i at individuelt tilpasset helsehjelp som ytes i apotek skal journalføres i nødvendig grad og omfang, men Helsetilsynet savner en vurdering av hva dette vil innebære av ulike konsekvenser.

Personell i apotek har vært unntatt fra forskriftens virkeområde fordi helsehjelpen som ytes i apotek som ledd i apotekdriften for en stor del har bestått i veiledning vedrørende bruk av legemidler til anonyme kunder. En utfordring er følgelig behovet for utdanning og erfaring i journalføring, jf. kravene til journalens innhold

Etter Helsetilsynet vurdering kan det også være spørsmål om den foreslåtte journalføringsplikten vil medføre økt press for individualisering av pasientene og individuell faglig vurdering.

Etter Helsetilsynets vurdering er det viktig at plikten til journalføring ikke utvikler seg til en aktivitet knyttet til å omfatte pasienter som i utgangspunktet er anonyme for apoteket eller en omfattende journalføring som ikke er relevant og nødvendig. Helsetilsynet antar at departementet vil vurdere flere slike forhold ved den bebudede høringen med forslag til hva som anses å være en integrert del av reseptekspedisjonen og kravene til dokumentasjon etter apotekloven § 5-5 a. Etter vår vurdering må plikten til å føre pasientjournal være basert på at tjenesten innebærer et behandlingstilbud til pasienten eller en individrettet oppfølgning, som inneholder en faglig vurdering knyttet til den enkelte pasient.

Det fremgår av høringsnotatet at tjenester som innebærer individrettet oppfølging eller behandlingstilbud, basert på kunnskap om den enkelte pasient, kan være helsehjelp. For eksempel kan oppstartveiledning i apotek etter departementets oppfatning være helsehjelp. En slik tjeneste må ofte være basert på kunnskap om og være tilpasset den aktuelle pasienten. Videre vil den inneholde en individuell faglig vurdering som er av en kvalifisert handlingsrettet karakter.

Etter hva Helsetilsynet forstår, vil det være behov for å avklare om for eksempel demonstrasjon og opplæring av produkt/medikament skal anses som individuell helsehjelp som skal journalføres eller om dette ligger innenfor generell demonstrasjon av produktet og avansen ved salg. Demonstrasjon og opplæring i bruk av produkter og medikamenter omfatter vesensforskjellige forhold fra det helt enkle til det mer kompliserte.

Økt fokus på individrettet oppfølgning fra apotekenes side reiser - foruten spørsmål om journalføring - flere andre spørsmål som et større faglig og rettslig ansvar for apotekene, samvirke med andre helsetjenester som fastleger og finansiering av tjenestene. Dokumentasjon handler om å dokumentere relevante og nødvendige opplysninger om pasienten og gitt helsehjelp, men det er viktig å være oppmerksom på at det primært er ansvaret ved endring og utvidelse av oppgaver og tjenester for apotekene som reiser spørsmålet om dokumentasjon utover dagens krav.

For eksempel innebærer veiledning ved medisinstart uten henvisning en egen risiko for feil fordi legemidler brukes på ulik indikasjon, jf. at apotekene nå kan tilby medisinstart uten henvisning fra lege for pasienter med kronisk hjerte- og karsykdom som en offentlig finansiert tjeneste fra mai 2018 etter Stortingets beslutning ved behandling av statsbudsjettet.

Medisinstart uten henvisning innebærer at apotekene tar på seg et selvstendig ansvar for at individuell veiledning ved medisinstart er forsvarlig, og dette betinger at innholdet av veiledningen ved medisinstart journalføres. Den særskilte risikoen som veiledning uten henvisning, tilsier også at forskrivende lege bør/må få tilbakemelding om veiledningen som er gitt og det spørsmål hvilket ansvar forskrivende lege vil ha i slike tilfeller.

Helsetilsynet nevner for eksempel at apotekkjeden Boots tilbyr en rekke diagnostiske tjenester og forskjellige selvtester som eksempel føflekkskanning, blodtrykksmåling, klamydiatesting, kolesterolmåling, tarmkreftundersøkelse og undersøkelse av risikofaktorer for diabetes. Dette er tjenester og tester som utfordrer apotekenes ansvar for pasientene og deres ansvar og samvirke med øvrig helsetjeneste.

På dette området vil det kunne bli en rivende utvikling i apotekene, men kanskje også slik at dette i økende grad heller vil være tjenester og produkter som befolkningen selv skaffer seg utenom apotek eller annen regulert helsetjeneste for testing, oppfølgning, kontroll og behandling av egen eller andres sykdom.

Etter Helsetilsynets vurdering er konsekvensene av forslaget at all helsehjelp etter helsepersonelloven § 3, som apotek yter ut over apotekenes alminnelige driftsoppgaver, må journalføres etter helsepersonelloven §§ 39 og 40 og kravene etter den nye forskriften. Foruten reseptekspedisjon og kravene til dokumentasjon etter apotekloven § 5-5 a krever dette at apotekene må ha journalsystemer som tilfredsstiller lovens krav.

Helsetilsynet savner imidlertid en nærmere vurdering av hvordan denne type tester og tjenester skal bedømmes. Skal testene og tjenestene anses som helsehjelp som skal journalføres, og hvordan skal eventuelt apotekene og øvrig helsetjeneste forholde seg til slike tester som tilbys eller formidles av apotek? Det fremgår av høringsnotatets s. 27 at helseteknologi på pasientens eget initiativ ikke bør inngå i pasientens journal, men etter Helsetilsynets vurdering er det ikke åpenbart at dette også omfatter diagnostiske tester solgt og formidlet av apotekene.

Hvor detaljert skal forskriften regulere innholdet i journalen?

Departementet har særskilt bedt høringsinstansene om en vurdering av hvordan kravet til journalens innhold bør presiseres og har utarbeidet et alternativt forslag til forskriftsutkastet.

Statens helsetilsyn støtter forslaget om å gruppere informasjonen i kravene til journalens innhold.

Helsetilsynet har vurdert alternativene til hvor detaljerte journalkravene til innhold bør være. Som departementet selv redegjør for er det gode argumenter som kan trekke i ulik retning.

På den ene siden vil stor detaljeringsgrad gi føringer og kunne være støttende for helsepersonells dokumentasjonsplikt etter helsepersonelloven §§ 39 og 40, slik at dokumentasjonen blir tilstrekkelig utførlig. Departementets alternative forslag til å dokumentere legemiddelbehandling på s. 30 illustrerer at økt detaljering kanskje kan tilskynde forsvarlig behandling og prosess i større grad enn forskriftsutkastet § 2 bokstav d.

På den annen side kan stor grad av detaljering skape unødige forventninger og innebære bruk av tid på journalføring uten relevans og betydning. Punktene i en lang liste kan oppleves som en tvangstrøye og flere av punktene vil i mange sammenhenger være uten aktualitet og være lite treffende for mange utøvere. Et stykke på vei begrenser også økt detaljering diskusjon om hva som må journalføres, en opplisting vil uansett ikke kunne være uttømmende Vi mener videre det vil kunne være et godt alternativ at mer utfyllende veiledning gis i rundskriv til forskriften. Vi antar det også vil kunne være aktuelt å vurdere om slik veiledning bør bygges inn i pasientjournalsystemet direkte.

Etter en samlet vurdering vil derfor Statens helsetilsyn anbefale den mer kortfattede løsningen som ligger i forskriftsutkastet.

Med hilsen

Heidi Merete Rudi etter fullmakt
assisterende direktør

Pål Børresen
seniorrådgiver

 

Brevet er godkjent elektronisk og sendes derfor uten underskrift

Saksbehandler: Pål Børresen, tlf. 21 52 99 67