Studenters tilgang til elektronisk pasientjournal

Transkript

1 Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Seksjon for informasjonssikkerhet og personvern

2 Helsepersonell, som ikke deltar i pasientens helsehjelp Hvem har tilgang til opplysninger i journal? Helsepersonell Fødselsregister Kreftregisteret Reseptregisteret Dødsårsaksregisteret, m.fl NAV NPR Riksarkiv Den enkelte person Kolleger Administrativt personell Pårørende Opplæring Studenter -Føring og innsyn Forskning Resepsjonspersonell Legemiddelutprøving Sentralbordbetjening Samtykke NPE Forskriftsregulerte registre Presse Offentligheten Pasienten Forsikringsselskap Politi og domstol Kontrollkommisjon Tilsynsmyndigheter Riksrevisjon Naboer Familie Kriminelle

3 Huskeliste Teknisk tilgang til EPJ gir ikke automatisk adgang til å gjøre oppslag i journal Oppslag i journal krever gyldig hjemmelsgrunnlag Studentopplæring er ikke grunnlag for å gjøre oppslag i journal Sikkerhetsinstruksen

4 Hvem kan gjøre oppslag i journalen? Må være under virksomhetens instruksjons myndighet, hvilket omfatter Ansatte OG Innleide og studenter. Forutsetter undertegnet taushetserklæring og sikkerhetsinstruks, opplæring og individuell tilgang til journal beskyttet med passord Må ha nødvendig hjemmelsgrunnlag (grunnlag i lov) for at oppslag kan gjøres

5 Hva gir gyldig hjemmelsgrunnlag? Det å yte selvstendig helsehjelp til aktuell pasient dekker oppslag som enkelt kan sies å være i den aktuelle pasients interesse vedkommende ytes helsehjelp For studenter under sykehusets opplæring og som deltar i helsehjelpen Helsehjelp ytes presumtivt samtykke

6 Hva gir gyldig hjemmelsgrunnlag? forts. Utnevnte personer med spesifikt ansvar for konkret journal eller pasient: Kvalitetssikring av innholdet i journalen journalansvarlig Ansvar i forhold til pasienten pasientansvarlig Lovpålagt ansvar

7 Hva gir gyldig hjemmelsgrunnlag? forts. Forskning Faglig opplæring Studentopplæring Studentoppgave: Hovedregel er samtykke fra den enkelte når oppslag i journal skal gjøres Mulighetsrom Annet grunnlag for oppslag, eks Helsehjelp, kvalitetssikring, journalansvarlig, gir allerede kjennskap til de taushetsbelagte opplysninger og gir dermed mulighet til å gi grunnlag for egen faglig opplæring følge pasient i videre behandling gi grunnlag for å finne eksempler for opplæring NB! Krever anonymisering før dette videreformidles dersom ikke samtykke innhentes Samtykke fra den enkelte

8 Hva er anonymt? Kjønn / Født Bosted Yrke Siv.status / barn ICD 10 M / 1970 Oslo Personvernrådgiver Gift / 2 barn? Anonymt?

9 Eksempler på grunnlag for oppslag Yte helsehjelp selvfølgelig Kvalitetssikring ja, dersom besluttet av ledelse eller som del av den enkeltes ansvar, se egen instruks Sykehushygienikerne dekkes som under kvalitetssikring Forskning/studentoppgave samtykke fra de inkluderte Forskning og ansvar for behandling OK innenfor eget ansvarsområde for behandling Forskning og kvalitetssikring av behandling OK innenfor gitt ansvarsområde Rolle som studieveileder og forsker samtykke Misbruk av tilgang har konsekvenser

10 God sikkerhetskultur

11 (VG Nett) Dokumenter med fullt navn, personnummer og opplysninger om HIV-smitte og hepatitt ligger åpent tilgjengelig for pasienter, ansatte og besøkende på Ullevål sykehus.

12 Håndtering av sensitiv informasjon Ansvaret er ditt for at opplysninger du får i hendene håndteres korrekt!

13 Sikkerhetsinstruksen Brukertilgang Hver har egen brukerkode og passord Ikke tillatt å låne bort brukerkode og passord Ikke tillatt å låne andres brukerkode og passord Ikke tillatt å la andre bruke egen pålogget bruker Ikke tillatt å gjøre passordet tilgjengelig for andre Ikke tillatt å søke etter pasientopplysninger man ikke direkte har behov for i sitt arbeid NB! All aktivitet loggføres, og den som har logget inn, er ansvarlig for hva som gjøres.

14 Sikkerhetsinstruksen Hvor skal pasientopplysninger lagres? Journalopplysninger skal kun skrives i egne fagapplikasjoner (DL Pasdoc, Ris/Pacs, m.m.) Opprettelse av nye pasientregistre krever egen godkjenning Krever godkjenning av avdelingsleder Melding skal sendes til sykehusets personvernombud

15 Sikkerhetsinstruksen Nytt utstyr eller programvare Kun IT senteret kan godkjenne nytt utstyr i OUS nettet Kun IT senteret kan legge inn programvare og tilkoble utstyr i OUS nettet Eksisterende utstyr kan ikke flyttes av andre enn IT senteret E post og faks kan ikke benyttes for å sende helseopplysninger Bruk av minnebrikke i OUS nettet krever egen godkjenning av IKT sikkerhetssjef

16 universitetssykehus.no/personvern

17 universitetssykehus.no/personvern