Personvern eller Digitale tjenester Ja, takk begge deler

Transkript

1 Personvern eller Digitale tjenester Ja, takk begge deler

2 Økonomiske Internett tjenester Hvordan reguleres og sikres disse Hvordan håndteres konsekvenser Bruk av Internett for informasjonstilgang innen helse for innsamling av opplysninger fra pasient for tilgjengeliggjøring av opplysninger for klinikere og forskning Google og HealtVault er de som tilbyr lagring og tilgjengeliggjøring av pasientopplysninger for pasient Hva med pasientens informasjonsbehov elektronisk? Hva er utfordringene? Personvern og elektroniske tjenester for pasientene lar seg etablere

3 Det er en selvfølge at man innen bank/finans via Internett kan: ha oversikt og kontroll over egne konti betale regninger inngå forpliktende lån forvalte egen aksjeportefølje man innen handel/salg via Internett kan: foreta handel på egne vegne Internett spill: her er vel kanskje ønske om åpasse på den enkelte sterkere enn mulighetene, og skaper dilemma

4 Ved kommersielle Internett tjenester sitter den enkelte i førersetet, ved at sikkerheten er tilstrekkelig til åsikre at autorisert bruker, eks kontoinnehaver, er den som gis tilgang til tjenestene forutsetninger og ansvar tydeliggjøres for kontoinnehaver i forkant for tilgang til tjenesten uaktsomhet i bruk vil kreve at tap bæres av den enkelte eventuelle sikkerhetsmessige svakheter i løsningen som gir økonomisk tap, vil dekkes av den kommersielle aktør det er den enkelte som selv godkjenner bevegelse på konto, salg/kjøp og andre forpliktelser som inngås

5 Myndighet setter krav og plasserer ansvar Kredittilsynet passer på den enkeltes interesser ved blant annet å tydeliggjøre og plassere ansvar for tjeneste og bruk stille sikkerhetskrav til løsningene Datatilsynet passer den enkeltes interesser ved å tydeliggjøre ansvar og spilleregler for bruk av personopplysninger

6 Eksisterende bruk av Internett ifm helsehjelp Kommersielle leverandører etablerer tjenester for innregistrering, eks Hjerteovervåking Overvåking av teknisk utstyr (pacemaker) Måling av blodverdier Skåringsskjema innen psykiatri florerer Amerikanske firma som forlanger rettigheter og eierskap til data Engelske universitet som utvikler og drifter skåringsskjema i åpne universitetsnett Hjemmesykehus begrense behov for inneliggende pasienter Mobilt rtg oppsøke pasienter i stedet for åflytte pasienten

7 Genanalyser i forskning Anonyme genanalyser legges ut på Internett ifm internasjonale forskningsstudier Mulig å kartlegge hele genomet, og selv om dette foreløpig er dyrt, minker prisen raskt Gode 120 ulike deler fra et mennesket er nok til å identifisere individet dersom hele genomet er kartlagt

8 Lovendring som pådriver fokuserer på alle andre enn pasientens informasjonsbehov Lovendring for ågi tilgang til journal på tvers av juridiske enheter forskrift på høring I "skyggen" av tilgang på tvers for behandlingsformål, ønskes også grunnlag for at forskere som ikke behandler de aktuelle pasienter og heller ikke er under virksomhetens instruksjonsmyndighet, skal gis egen tilgang for å kunne hente opplysninger fra journal til forskningsformål. Hvordan kan pasientens selvbestemmelse og rettigheter ivaretas når verken pasienten selv eller virksomheten som er databehandlingsansvarlig, skal kontrollere utleveringen?

9 Fellestrekk for identifisert informasjonstilgang Den aktive informasjonsmottaker er foretaket, kliniker og forsker Vanskeliggjør åfådisse opplysninger inn i journalen Identifiserbare opplysninger som foretaket har ansvar for kan enkelt etableres utenfor foretakets kontroll Gevinster tas ut uten åinvestere i nødvendige sikre IKTløsninger Tjenester som er tatt i bruk, dekker ikke pasientens behov for tilgang til opplysninger

10 Alternativene for pasienten finnes allerede HealthVault: that vault reallyprotecting your privacy/ GoogleHealth: google healthsprivacy practices healthy/ Kort oppsummert: begge forbeholder seg rett til ålagre data i andre land som ikke er regulert av HIPAA eller annen lov HealthVault sier de vil kunne sammenstille med andre data, Google gjør det ikke du kan selv gi rettigheter til andre personer som selv kan styre rettigheter I tillegg: "vi kan oppdatere personvernerklæringen" no commitments anda sleeping watchdog/

11 Sentrale personvernprinsipper

12 Selvbetjening også i journal Selvbetjening for den enkelte i egen journal kan omfatte supplerer, korrigerer deler av registrerte opplysninger, ivaretar selv retten til innsyn registrerer inn målinger (EKG, EEG, blodverdier, m.m.) kan gis mulighet for at pasienten kontrollerer hvem som skal gis tilgang og til hvilket formål tilgjengeliggjøre epikriser, prøvesvar, annet? muliggjøre spørsmålsstilling fra pasient til foretak tilgjengeliggjøre logg over tilgang beste mulighet for kontroll Yes, we can Min journal OUS Dialog med hjemmepasienter på Sunnaas

13 Hva skal til? Tilstrekkelig sikkerhet høyst mulig å oppnå 2 nivå autentisering Muliggjøre og sikre nedlastingsmulighet Bevisstgjøring av pasientens ansvar Akseptere og ansvarliggjøre for restrisiko men kan vanskelig erstatte tap Beslutte hva som skal tilgjengeliggjøres Epikrise Muliggjøre spørsmålstilling til spesialistene Logger over tilgang i journal Annen informasjon, men krever at den enkelte kan forstå

14 Hva er så utfordringen ved Helse? Kanskje betalingsevne/ vilje? Det at kundene kommer uansett? Det at kundene ikke har råd til åsette krav og bytte leverandør? Det at pasientene ikke er like sterke aktører som bankkunder? Det at vi ikke oppfatter pasienter til åvære kunder? Det at det er kundene/pasientene som uansett er den som faktisk betaler/bærer av konsekvensene om opplysninger kommer på avveie eller misbrukes? Helseforetak er ikke 1. linje helsetjeneste. Internett tjenester innen helse vil kunne tilgjengeliggjøre helseforetakets spesialister på en ny måte

15 Oppsummering Nødvendig sikkerhet i løsning kan oppnås Dog er det behov for grundig bevisstgjøring slik at bruker selv ikke eksponerer journalopplysninger ved uhell Må beslutte og tilgjengeliggjøre hva pasienten skal ha tilgang til og kunne gjøre Har en kost Krever struktur og forståelig informasjon for direkte formidling Kan påvirke forventning om tilgang til spesialister Sikkerhet og personvern er ikke til hinder for etablering av elektronisk tilgang/tjeneste for pasient