Helsetilsynet

Fra: Helsedirektoratet
Til: Statens helsetilsyn
Dato: 07.10.2009
Vår ref.: 08/5771
Deres ref.: 2006/135 I LAC

Helsedirektoratet viser til henvendelse vedrørende ovennevnte datert 08.05.07. Direktoratet beklager den lange saksbehandlingstiden.

Innledningsvis bemerker direktoratet at vi ikke tar stilling til om og eventuelt hvordan Stavanger universitetssykehus etterlever bestemmelsene om tilgangsstyring og innsyn i pasientjournal. Det ansvaret påligger Datatilsynet og Helsetilsynet i fylket. Direktoratet uttaler seg på generelt grunnlag om de juridiske problemstillingene henvendelsen omhandler.

Slik direktoratet ser saken, reises det i all hovedsak to problemstillinger. For det første er det et spørsmål om hvem som har tilgang til en pasientjournal ved pasientbehandling og for det andre hvilken utstrekning pasienten kan begrense andres tilgang til pasientjournalen, herunder sperring av journal.

Direktoratet har utgitt et rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler (IS-7/2006) som drøfter deler av disse problemstillingene. Hvem som har tilgang til pasientens journal reguleres bl.a. i helsepersonelloven §§ 25 og 45 og helseregisterloven § 13.

Det rettslige utgangspunktet er at helsepersonell har taushetsplikt om folks legems-, sykdoms-, eller personlige forhold jf. helsepersonelloven § 21. Dette er et personansvar. Videre fremkommer det av helseregisterloven § 13 at tilgang til helseopplysninger bare kan gis "i den grad det er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt."Loven oppstiller med andre ord et krav om at tilgang til opplysningene må være nødvendig for at det enkelte personell skal kunne utøve sitt arbeid.

Det bemerkes at det enkelte personell som et utgangspunkt kun har tilgang til journalsystemer i den samme virksomheten som har databehandlingsansvaret. Begrunnelsen for dette er at databehandleransvarlig skal ha juridisk instruksjonsmyndighet ovenfor den som er gitt tilgang til journalsystemer. Dersom et annet personell ved en annen institusjon eller databehandlerenhet, for eksempel et annet helseforetak, har behov for innsyn/utlevering av taushetsbelagte opplysningene, kommer de ordinære reglene om utlevering og innsyn i pasientjournal til anvendelse jf. helsepersonelloven §§ 25 og 45.

Direktoratet bemerker at nye bestemmelser i helseregisterloven §§ 6a og 6b åpner for tilgang til visse avgrensede journalopplysninger på tvers av virksomhetene. Dette skal reguleres nærmere i forskrift. Slik forskrift foreligger ikke p.t. Dette til orientering.

Tilgangsstyring innen virksomheten

Tilgangsstyring reguleres bl.a. i helseregisterloven § 13 og er nærmere omtalt i "Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler" (IS-712006) kapitel 2, og det gis kun en kort oppsummering av hovedpunktene her.

Utgangspunktet er, som nevnt over, at det kun er den som er under databehandler sin instruksjonsmyndighet som kan gis tilgang til EPJ-systemet. Videre må det enkelte helsepersonell ha et tjenestelig behov for tilgangen til opplysningene. Atter må de generelle reglene om taushetsplikt overholdes.

Pasientens styringsrett over egen journal

Det fremkommer av helsepersonelloven §§ 25 og 45 samt pasientrettighetsloven § 5-3, at en pasient i stor utstrekning kan nekte informasjonsutveksling mellom helsepersonell. Dette forutsetter normalt en aktiv handling fra pasientens side. Det er pasientens antatte vilje som legges til grunn for samtykke til utveksling av helseopplysninger mellom helsepersonell ved ytelse av helsehjelp til den enkelte pasient.

I de tilfellene en pasient aktivt motsetter seg at andre enn behandlende helsepersonell skal få tilgang til journal eller utlevert journalopplysninger, må pasienten informeres om risikoen forbundet med dette. Videre skal en slik beslutning og hvilken informasjon som er gitt i forbindelse med denne avgjørelsen nedtegnes i journalen.

Retten til nekte andre helsepersonell tilgang til eller helseopplysninger fra pasientjournalen, er ikke absolutt. Dersom tungtveiende grunner, som for eksempel å avverge fare for liv eller alvorlig helseskade, tilsier at et helsepersonell har behov for tilgang eller utlevering av helseopplysninger, kan dette gjøres på tross av pasientens nektelse.

Pasientens rett til å begrense andre helsepersonells adgang til innsyn i og utlevering av helseopplysninger fra egen journal omtales nærmere i ovennevnte rundskriv kapitel 1.4. For utfyllende informasjon om regelverket, vises det igjen til "Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler" (IS-7/2006)

Vennlig hilsen

Cecilie Daae e.f.
fung. Avdelingsdirektør

Kari Steig
rådgiver

Dokumentet er godkjent elektronisk

Kopi:
Helsetilsynet i Rogaland
Pb 59
4001 STAVANGER

Pasient

Dette brevet er skannet inn og publisert av Statens helsetilsyn. På grunn av produksjonsformen kan det forekomme mindre trykkfeil og lignende i teksten. Gi gjerne beskjed til nettredaksjonen om du oppdager feil.