Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Transkript

1 Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre En presentasjon av Veileder for innføring og anvendelse av statistisk analyse som metode for å avdekke uberettigede oppslag i behandlingsrettede helseregistre («mønstergjenkjenning»)

2 Metoden bidrar til å gi helseforetakene økt effektivitet ved kontroll av logger i behandlingsrettede helseregistre bidrar til enhetlige prosedyrer for kontrollarbeid og oppfølging av funn bidrar til å styrke tilliten til at tilgang til sensitive personopplysninger ivaretas på en forsvarlig måte

3 Innhold Bakgrunn Oppfølging av logger som kontrolltiltak Mønstergjenkjenning som metode Nasjonalt scenariobibliotek Manuell analyse og overføring til klinikk

4 Veileder for innføring og anvendelse av statistisk analyse som metode for å avdekke uberettigede oppslag i behandlingsrettede helseregistre («mønstergjenkjenning») Sikre ens kontroll av oppslag og behandling av ansatte i alle HF Omfatter Den lovmessige begrunnelsen for kontrolltiltaket Hvordan ta metoden i bruk Maskinelle og manuelle prosedyrer for kontroll av oppslag Hvordan dokumentere funn Prosedyrer for hvordan helseforetaket bør håndtere funn Tilbakerapportering fra helseforetak for å sikre kontinuerlig forbedring Krav til datagrunnlag Opplærings- og informasjonsmateriell Brosjyren Lovlig journalbruk Brosjyre om metoden Presentasjon (Powerpoint) av veilederen 4

5 Målgrupper for «veilederen» Veileder for innføring av metode for statistisk analyse av oppslag i behandlingsrettede helseregistre. Veiledende prosedyrer for oppfølging av uvanlige oppslag 1 Lovlig grunnlag for metoden Virksomhetsledere Beslutningstagere Medarbeidere Vernetjeneste Tillitsvalgte Pasient 2 Etablering, implementering av metoden i virksomheten Virksomhetsledere Kontrollenhet Systemeier IKT Medarbeidere Vernetjeneste Tillitsvalgte 3 Veiledende prosedyrer for kontrollarbeid og analyser Kontrollenhet 4 Oppfølging av uvanlige oppslag Klinikkledelse Personal/HR Vernetjeneste Medarbeidere Vernetjeneste Tillitsvalgte Pasient

6 Bakgrunn

7 Tilgang til pasientjournal Helsepersonell har ofte teknisk tilgang til å slå opp i langt flere pasientjournaler enn de har tjenstlig behov for Dette er gjort for å sikre at journaler er tilgjengelige ved behov, og på den måten tilfredsstille hensynet til pasientsikkerheten

8 Lovregulert tilgang til pasientjournalen Helsepersonelloven 21a. «Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger» «Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift»

9 Oppslag i journal loggføres Helseforetakene skal jevnlig kontrollere at tilgang til pasientopplysninger kun skjer i henhold til regelverket Pasientjournalloven 22 Personopplysningsloven 13 Helseregisterloven 16 og 13 sjette ledd Personopplysningsforskriften kapittel

10

11 Bakgrunn Helsetilsynet og Datatilsynet påpekte i 2006 at helsetjenesten manglet verktøy for å avdekke misbruk av tilgang til den elektroniske pasientjournalen Å hindre slikt misbruk er viktig for å bidra til at tillit mellom pasient og helsevesenet opprettholdes og styrkes

12 Historie En foranalyse fra 2012 anbefalte mønstergjenkjenning som den beste metoden for logganalyse Pilotprosjekt gjennomført på Oslo Universitetssykehus i 2012 basert på denne metoden viste svært gode resultater Prosjekt i 2014 utviklet metode og rammeverk for gjennomgang av logger fra pasientjournal basert på statistisk analyse, samt prosedyrer for håndtering av funn

13 Deltagende virksomheter i metodeutviklingen Ahus Datatilsynet DIPS Finanstilsynet Helse Bergen Helsedirektoratet Oslo Universitetssykehus (OUS) KMD, Statsforvaltningsavdelingen Helse Vest St. Olavs Hospital Sykehuset Telemark Sykehuspartner Sørlandet Sykehus UDI Universitetssykehuset Nord- Norge Vestre Viken

14 Noen definisjoner Mønstergjenkjenning Metode som analyserer en ofte stor datamengde, etter visse mønstre, og rapporterer funn (Wikipedia) Metoden benyttes for å finne oppslag som avviker sterkt fra det normale i pasientbehandlingen (anomalideteksjon) Scenario Beskrivelse av ett enkelt handlingsmønster i forbindelse med pasientbehandlingen Scenariobibliotek Samling med beskrivelse av utprøvde scenarioer

15 Oppfølging av logger som kontrolltiltak

16 Oppfølging av logger som kontrolltiltak Kontrolltiltaket omfatter medarbeidere som har tilgang til behandlingsrettede helseregistre, og som har gjort oppslag i den tidsperioden som analyseres Tiltaket er av samfunnet vurdert som rimelig gjennom den lovgivningen som er vedtatt av Stortinget En avveining mellom de brede tilgangene som er gitt og hensynet til pasientens personvern, tilsier at autorisert helsepersonell må akseptere at oppslag de har utført blir kontrollert av andre

17 Oppfølging av logger som kontrolltiltak Mønstergjenkjenning benyttes for å avdekke ulovlige oppslag i pasientjournalen Alle oppslag blir objektivt analysert for å bestemme i hvilken grad de avviker fra det som er normalt i forhold til ansattes arbeidsoppgaver og den pasienten det gjelder Oppslag som fremkommer som uvanlige, vil gjennomgå en mer detaljert, manuell analyse

18 Mønstergjenkjenning som metode

19 Hvordan gjøre høystakken mindre?

20 Forenklet modell av metoden EPJlogg PAS Ansatt register Datauttrekk Behandling i klinikk Datagrunnlag Maskinell analyse av alle oppslag Manuell vurdering av oppslag med høy score Dokumentasjon av funn Uvanlige oppslag

21 PAS Analyseprosessens seks trinn Tilrettelegging Manuell vurdering av identifiserbare uvanlige oppslag Datagrunnlag EPJlogg Dokumentasjon av funn Klinikk/avdeling Vurderer funn og avgjør om det skal opprettes personalsak Ansatt register Avidentifisering Kodenøkkel Liste med uvanlige oppslag Manuell vurdering av avidentifiserte uvanlige oppslag Avidentifisert datagrunnlag Konfigurasjon og tilpasning av scenarioer Maskinell analyse av avidentifiserte oppslag Nasjonalt scenariobibliotek Vurdering av tilbakemeldinger

22 Innføring av metoden Innføring av metoden må planlegges for å bli vellykket Tillitsvalgte gis en innføring i gjeldende lovverk og metode Drøfting etter bestemmelsene i arbeidsmiljøloven Det må etableres en analysegruppe som gis nødvendig opplæring Bruk av verktøy Tilrettelegging av datagrunnlag Gjennomføring av maskinelle og manuelle analyser Dokumentasjon av funn og oversendelse til klinikk Bestemme krav til datauttrekket og avtale med driftsleverandør Informasjon om kontrolltiltaket til medarbeidere Pilotprosjekt for å opparbeide nødvendig erfaring

23 Datakilder Elektronisk pasientjournal EPJ pasient, ansatt, tidspunkt for oppslag, aktualisering, status (lest/dok.), utskrift, dokumenttype PAS (pasientadministrativt system) start- og sluttdato (henvisningsperiode) start- og sluttdato (omsorgsepisode) avdeling(er) for henvisning og opphold Ansattregister ansattes avdeling, stillingstittel, brukernavn, f.nr., historikk (ansatt hvor/når, sluttet når?), kostnadssted

24 Metode Metoden benytter ikke forhåndsdefinerte regler for hva som er legitime oppslag eller ikke, men analyserer det som faktisk gjøres i klinikkene Det letes etter mønstre og ikke motiv

25 Metode Objektiv maskinell analyse av alle oppslag mot pasientjournalen Alle oppslag analyseres gjennom en kombinasjon av scenarioer Hvert scenario gis en score og høy samlet score gir en indikasjon på at et oppslag er uvanlig, men ikke nødvendigvis ulovlig Oppslag med høyest score blir manuelt analysert etter en gitt prosedyre

26 Nasjonalt scenariobibliotek

27 Nasjonalt scenariobibliotek Beskriver alle utprøvde scenarioer Beskrivelse av hensikt og bruk Parametere som kan settes Organisert i grupper etter tema Beskriver nødvendig datagrunnlag for scenarioene Inneholder ordliste over aktuelle begrep og termer Forvaltes av Nasjonal IKT

28 Scenario: Oppslag i forhold til tidslinjen Henvisningsperiode

29 Scenario: Uvanlig avd. for ansattes avd

30 Scenario: Uvanlig avdeling for ansatt

31 Scenario: Oppslag på kollega

32 Manuell vurdering og overføring til klinikk

33 Manuell vurdering av uvanlige oppslag Listen med maskinelt scorede oppslag gir ikke det hele bildet og det må derfor gjennomføres en grundig manuell vurdering Uvanlige oppslag skal alltid sees i sammenheng med annen aktivitet rundt pasienten Den manuelle vurderingen benyttes for å avkrefte eller ytterligere sannsynliggjøre om et uvanlig oppslag kan være et lovbrudd Det er utarbeidet en prosedyre for å veilede kontrollenhet som gjør den manuelle vurderingen

34 Manuell vurdering av uvanlige oppslag De første trinnene av vurderingen, gjennomføres med indirekte identifiserbare data, dvs. uten personnummer, ansattid eller navn Hvis oppslaget etter dette fortsatt fremstår som uvanlig, gjennomføres en vurdering med identifiserbare data Dersom kontrollenheten ikke finner noen forklaring på et uvanlig oppslag, styrker det sannsynligheten for at oppslaget er ulovlig Funn blir dokumentert og oversendt for oppfølging i linjen

35 Oppfølging i klinikk Det enkelte HF kjenner best arbeidsmønsteret i sin klinikk og må derfor først vurdere om den mottatte saken faktisk er et avvik i forhold til medarbeiderens stilling og rolle Klinikkleder/avdelingsleder er ansvarlig for nødvendige avklaringer og håndtering av eventuelt bekreftet ulovlig oppslag Alle oversendte uvanlige oppslag skal ettergås av klinikken Dersom det viser seg at medarbeideren ikke har en hjemlet begrunnelse for oppslaget, vil vedkommende få en reaksjon, avhengig av alvorlighetsgraden i forholdet

36 Oppfølging i klinikk Ved konklusjon om at oppslaget er ulovlig, skal pasienten normalt informeres skriftlig Dersom oppslaget er et brudd på personopplysningsloven/ - forskriften, skal tilfellet rapporteres til Datatilsynet. Brudd på helsepersonelloven skal rapporteres til Helsetilsynet

37 Hvordan etablere en god kultur Dersom det avdekkes mange uvanlige oppslag, kan det tyde på manglende kunnskap om etablerte regler og lovverk. Det kan da være aktuelt med ulike tiltak Informere om at alle ansatte skal ha kunnskap om riktig bruk av journal Påpeke at det er et lederansvar å sikre at ansatte får tilstrekkelig opplæring til å utføre sine arbeidsoppgaver i tråd med, til enhver tid, gjeldende regler Sikre tilstrekkelig opplæring av alle nye ansatte Sikre at «kulturbærere» trekkes inn og blir ambassadører for viktigheten av å følge regelverket Sikre at alle ansatte har tilgang til nødvendig informasjon om kontrolltiltaket, om hvilke lovverk som gjelder for deres arbeidssituasjon og spesielt når det gjelder oppslag i behandlingsrettede pasientregistre Gjennomføre holdningskampanjer som bidrar til økt forståelse for pasientenes rettigheter

38 Metoden bidrar til å gi helseforetakene økt effektivitet ved kontroll av logger i behandlingsrettede helseregistre bidrar til enhetlige prosedyrer for kontrollarbeid og oppfølging av funn bidrar til å styrke tilliten til at tilgang til sensitive personopplysninger ivaretas på en forsvarlig måte