Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Transkript

1 Nasjonal møteplass Når pasienten skriver journalen, om pasientinvolvering og bruk av nye verktøy i psykiatrien Tromsø 7. september 2010 Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer? Ellen K. Christiansen, juridisk seniorrådgiver Eva Skipenes, sikkerhetsrådgiver

2 Hva er (var) en journal? Skriftlig dokumentasjon som skal bidra til at pasientbehandling skjer på et tilstrekkelig faglig fundert grunnlag Et verktøy for å stille diagnoser, for vurderinger og revurderinger, for å kunne oppstille prognoser og iverksette adekvat behandling Et verktøy for pasientbehandling

3 Journalens tilleggsfunksjoner de senere tiår Grunnlag for informasjon til pasienten Den brukes som bevismateriale i retten og ved vurdering av pasientklagesaker, dvs. når helsepersonells yrkesutøvelse etterprøves Dokumentasjon i forsikringssaker Og hva er i ferd med å skje?

4 I disse samhandlingstider? Journalen som en kommunikasjons-plattform for helsepersonell? en kommunikasjons-plattform for helsepersonell og pasienter? eller har vi andre metoder?

5 To utgangspunkt: Pasienten har krav på tilgang til opplysninger i journal, men det er ikke lov å gi pasienten direkte tilgang til sykehusets EPJ-system (ennå) Men: Det er utvilsomt lov å utnytte pasientens egen kompetanse i behandlingsøyemed

6 Hvordan tilrettelegge for pasientinvolvering? Pasienten skriver i journalen? Elektronisk individuell plan? Elektronisk Egenjournal? Elektronisk pasientdagbok? Andre teknologiske virkemidler: E-post -kommunikasjon/web-basert? Videokonferanse Ulike møteplasser?

7 Samarbeid er tingen! Utgangspunktet for vurderingen av hva som er best egnet, må være hensynet til pasienten/kliniske vurderinger Utviklingen av konkrete tilbud må skje i tett samhandling mellom klinikk, noen som har greie på teknologi og noen som har oversikt over regelverket Det er egentlig utrolig hva man kan få til!

8 Noen knagger : Hva er dette? Hva er det ikke? Behandles personopplysninger? Behandles sensitive personopplysninger? Når tilbudet er helsehjelp og brukeren pasient ( juridisk risikovurdering ): Vurdering av forsvarligheten Hvem har ansvar for hva og på hvilket nivå? Dokumentasjonsplikten Ivaretakelse av pasientrettigheter? Behandlingen av personopplysningene

9 Sikkerhetsaspekter Viktig å vite hvem pasienten er (sikker autentisering) To-faktor-autentisering ved tilgang til helseopplysninger via internett. For eksempel brukernavn og passord + engangspassord på sms passord + BankID Nasjonal eid kommer muligens i 2011 til bruk i IDportalen (MinSide)

10 Sikkerhetsaspekter, forts. Ikke sikkerhetsmessig forsvarlig å gi pasienter/eksterne direkte tilgang til virksomhetens journalsystem/epj Pasienter/eksterne kan få tilgang til kopi av data fra journalsystemet som er gjort tilgjengelig på et egnet sted i nettet (á la Min journal på Rikshospitalet)

11 Sikkerhetsaspekter, forts. Kan muligens legge et avgrenset system i DMZ ( demilitarisert sone /eget nettsegment på brannmuren) som både pasient og behandler kan aksessere, og hvor data ev. kan videresendes inn i selve journalsystemet? Dette krever uansett sikker oppbevaring/lagring av dataene og sikker tilgangskontroll. Må også ivareta kravet om besluttet utlevering, dvs. at pasienten ikke skal få se mer enn det pasienten har rett til å se

12 Risikovurdering hva og hvorfor? Hva Kartlegge potensielle trusler mot informasjonssikkerheten Konfidensialitet Tilgjengelighet Integritet Kvalitet Vurdere sannsynligheten for og mulige konsekvenser av de identifisert truslene Sammenstille risikobildet (kombinasjon av sannsynlighet og konsekvens for truslene) og vurdere risikonivået Hvorfor Klarlegge behov for tiltak for å oppnå forsvarlig informasjonssikkerhet