Sviktende tilgangsstyring i elektroniske pasientjournaler?

Sviktende tilgangsstyring i elektroniske pasientjournaler? Lovforslag om å tillate direkte tilgang til pasientjournaler på tvers av virksomhetsgrensene. Rapport april 2009

Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177 Dep 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22 42 23 50

Innholdsfortegnelse: 1. INNLEDNING... 4 2. AVVIK AVDEKKET AV TILSYNSMYNDIGHETENE... 5 2.1 SVIKTENDE TILGANGSSTYRING... 6 2.2 DÅRLIGE KONTROLLRUTINER... 7 2.3 MANGELFULL RISIKOANALYSE... 9 3. STATUSRAPPORT FRA HELSEFORETAKENE... 10 3.1 LEDELSESMESSIG FORANKRING OG OPPLÆRING... 10 3.2 AVVIKSHÅNDTERING OG OMFANG AV SNOKING... 11 3.3 FORBEDRING AV SYSTEMER OG HVORDAN AVVIK LUKKES... 12 4. OPPSUMMERING... 14 4.1 VEIEN VIDERE KJERNEJOURNAL SOM ALTERNATIV... 14 KILDEMATERIALE... 16 VEDLEGG:... 18 SAMMENDRAG AV FUNN VED TILSYN 2005 2008... 18 SAMMENDRAG AV TILBAKEMELDINGENE FRA DE REGIONALE HELSEFORETAKENE... 20

1. Innledning Helse- og omsorgsdepartementet har oversendt et lovforslag til behandling i Stortinget som blant annet åpner for tilgang til pasientjournaler på tvers av virksomhetsgrenser. Formålet med lovforslagene er i følge departementet å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten. Departementet presiserer at dette skal skje samtidig som man ivaretar personvernet og pasienters rettigheter. Lovforslaget har vært ute på høring, og etter Datatilsynets vurdering åpner forslaget for en langt mer omfattende informasjonsdeling innen helsesektoren enn det departementet dokumenterer er nødvendig av hensyn til forsvarlig pasientbehandling 1. I den foreliggende rapporten ønsker tilsynet å fokusere på hvordan sikkerheten i dag er ivaretatt i de elektroniske pasientjournalene. Helse- og omsorgsdepartementet legger i sin høringsuttalelse til grunn at forutsetning for å ta i bruk nye kommunikasjonsformer og informasjonssystemer er at opplysningene bare er tilgjengelig for dem som har behov for den i forbindelse med pasientbehandling. Det presiseres at tilgang til pasientinformasjon på tvers av virksomheter i helsesektoren vil kreve effektive tilgangskontroller slik at taushetsplikten og hensynet til pasientenes konfidensialitet blir ivaretatt. Et viktig premiss for å kunne tillate tilgang til pasientregistre på tvers av virksomhetsgrensene, er altså at sikkerheten rundt tilgang til de elektroniske pasientjournalene er godt ivaretatt innad i helseforetakene. Helse- og omsorgsdepartementet konkluderer i høringsnotatet med at sikkerheten i dag langt på vei er tilfredsstillende. Denne konklusjonen er blant annet basert på tilbakemeldinger fra de regionale helseforetakene, fremkommet i en arbeidsgruppe nedsatt av departementet i forbindelse med utarbeidelsen av lovforslaget. Datatilsynets erfaring fra tilsynsvirksomhet i helseforetakene understøtter ikke departementets konklusjon. Tilsynets kontroller har vist at både helsepersonell og andre ansatte i helsesektoren gjennomgående har alt for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske journalen. Samtidig er virksomhetens kontroll med hvilke opplysninger den enkelte ansatte faktisk tilegner seg alt for svak. Dette er en oppfatning som også deles av departementets egne fagmyndigheter 2. Når den enkelte behandlingsinstitusjon ikke makter å sørge for tilstrekkelig sikring av pasientjournalene internt i virksomheten, representerer virksomhetens grenser utad en viktig barriere for informasjonsflyten. Datatilsynet advarer derfor mot departementets lovforslag, som i realiteten innebærer at også virksomhetsgrensene viskes ut. Man står derved i fare for å få en fri flyt av pasientopplysninger, ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte i hele sektoren som sådan. Formålet med denne rapporten er å kommentere tilbakemeldingene fra de regionale helseforetakene som departementet bygger på i sin høringsuttalelse. Problemstillingen tilsynet ønsker belyst er hvorvidt departementets konklusjon om at pasientopplysninger i dag er tilstrekkelig sikret er tilstrekkelig underbygd. Datatilsynet vil i rapporten trekke veksler på funn avdekket ved egen kontrollvirksomhet i helseforetakene i perioden 2005 til 2008. 1 Det vises til Datatilsynets høringsuttalelse datert 12. januar 2009 for en grundig gjennomgang av de momenter tilsynet finner mest problematisk i departementets lovforslag. 2 Dette synet kommer til uttrykk i Helsetilsynets og Helsedirektoratets høringsuttalelser og i en utredningen foretatt av Helsedirektoratet på oppdrag fra Helse- og omsorgsdepartementet; Utredning om enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp (EPJ) vurdering av lovendringer., datert 31.mars 2008. 4

2. Avvik avdekket av tilsynsmyndighetene Helseforetakenes interne tilgangsstyring har vært gjenstand for utstrakt kontroll og massiv kritikk fra både Datatilsynet og Helsetilsynet. Tilsynsmyndighetene har avdekket at de elektroniske pasientjournalsystemene som benyttes ved sykehusene ikke er egnet til å gi den enkelte ansatte en tilgang som er tilfredsstillende begrenset til vedkommendes tjenstlige behov. Det er videre avdekket at helseforetakene har dårlig kontroll med hvilke opplysninger den enkelte ansatte faktisk tilegner seg gjennom sin tilgang. Tilsvarende funn er gjort ved en rekke helseforetak, også i primærhelsetjenesten der problemet med tilgangsstyring er like utbredt. Dette tyder på at avvikene til en viss grad er systemavhengige. Ved kontroll i virksomhetene har Datatilsynet analysert tilgangsstyringen ved å ta utgangspunkt i fire sentrale parametere. Tilgangsstyringen blir vurdert i lys av hvor stor populasjon som inngår, informasjonsdybden som gis i journalsystemet, tid informasjonen er tilgjengelig og hvilke kontrollmekanismer som er etablert. Er tilgangen svært vid for de tre første parametrene, er det ekstra viktig med effektiv kontroll av tilgangen i etterkant. Hvem har tilgang til pasientjournalene (populasjon)? Organiseringen av tilgangsrettigheter i et EPJ-system baseres på roller (hvilken profesjon man tilhører, hvilke arbeidsoppgaver man har), og hvor man arbeider (geografisk tilhørighet). De ulike grupper av helsepersonell får tilgang til hele eller deler av pasientjournalen ut fra hva man i kraft av sin rolle og sine arbeidsoppgaver vil ha behov for. Videst tilgang innrømmes normalt leger og helsesekretærer, men ved enkelte helseforetak har Datatilsynet konstatert at samtlige grupper av helsearbeidere har like vid tilgang. I tillegg til den ordinære tilgangen til pasientjournaler tildeles helsepersonellet en såkalt aktualiseringsrett, som innebærer å få tilgang til pasientjournal på alle inneliggende pasienter (blålys-funksjon) 3 når det er tjenstlig behov for det. Hvilken informasjon har man tilgang til (informasjonsdypde)? Hva som kan leses i en journal avhenger av hvilke deler (journalgrupper/kapitler) av journalen det er gitt tilgang til. Mange helseforetak har for eksempel etablert et skille mellom somatiske og psykiatriske journaler, dette innebærer i praksis at klinikere på somatiske avdelinger ikke har ordinær tilgang til psykiatrisk journal. Det er imidlertid flere helseforetak som ikke har etablert et slikt skille. Hvor lenge har man tilgang til informasjonen (tid)? Normalt forsvinner tilgangen til en pasientjournal et fastsatt antall dager etter at pasienten ikke lengre er innlagt ved en post som medfører normaltilgang. Rutinene med hensyn til hvor begrenset tilgangen er i forhold til tid, variere imidlertid mye mellom helseforetakene. Ved enkelte helseforetak forsvinner tilgangen 30 dager etter utskrivelse, mens det ved andre helseforetak ikke finnes en slik tidsbegrensning overhodet. Det vil si at det ved enkelte helseforetak har helsepersonellet tilgang til den elektroniske journalen til alle tidligere behandlede pasienter. Hvordan sikrer man at tilgangen er autorisert og i henhold til regelverket (kontroll)? En vid tilgang til pasientjournalene hva angår populasjon, informasjonsdybde og tid øker betydningen av velfungerende kontrollrutiner som kan avsløre misbruk i etterkant. Dette fordi 3 Hvordan tilgangskontrollen er organisert og fungerer i dag kan man lese mer om i Helsedirektoratets utredning Utredning om Enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp (EPJ) vurdering av lovendringer, 31. mars 2008. 5

en vid tilgangen med hensyn til de tre første parameterne, betyr at helseforetaket har reelle vansker med å begrense tilgangen til kun å gjelde de pasienter som helsepersonellet er involvert i behandlingen av. Logg-gjennomganger er et eksempel på kontrolltiltak. Datatilsynet har i perioden 2005 til 2008 foretatt tilsyn ved St. Olavs Hospital HF (2008), Sykehuset i Vestfold HF (2007), Helse Bergen HF (2006), Akershus Universitetssykehus (2006), Universitetssykehuset Nord-Norge HF (2005), Helse Finnmark HF (2005), Helse Bergen HF (2005) og Sykehuset Asker og Bærum HF (2005). Tema for samtlige tilsyn har vært tilgangsstyring og sikring av pasientjournaler. De fleste tilsynene har vært gjennomført som del av den planlagte tilsynsvirksomheten. Enkelte av tilsynene har imidlertid vært gjennomført på bakgrunn av henvendelser fra ansatte i helseforetak som har opplevd at sikringen av pasientinformasjon ikke har vært tilfredsstillende ivaretatt. I det følgende har vi gruppert avvikene i tre hovedbolker: sviktende tilgangsstyring dårlige kontrollrutiner (for å avdekke snoking) mangel på risikostyring 2.1 Sviktende tilgangsstyring Sviktende tilgangsstyring har vært avdekket ved samtlige tilsyn foretatt i perioden 2005 2008. Kontrollvirksomheten har avdekket at helseforetakene ikke sikrer at taushetsbelagte personopplysninger i de elektroniske pasientjournalsystemene er forsvarlig vernet mot innsyn fra ansatte som ikke har tjenstlig behov for opplysningene. Avvikene bygger på at store grupper helsepersonell er gitt tilgang til hele eller deler av de elektroniske pasientjournalene uavhengig av om de er involvert i pasientbehandlingen eller ei. Dette skyldes delvis at journalsystemene ikke er utformet slik at det er mulig å etterleve kravene til taushetsplikt og tilgangsstyring, og delvis at helseforetakene ikke fult ut har utnyttet mulighetene for tilgangsstyring som ligger i systemene. Datatilsynet vil trekke frem tre typiske eksempler på sviktende tilgangsstyring, avdekket ved St. Olavs Hospital HF i 2008, Akershus Universitetssykehus HF og Helse Bergen HF i 2006. På bakgrunn av en henvendelse fra en anonym ansatt ved St. Olavs Hospital HF, ble det i mars 2008 foretatt en kontroll ved helseforetaket, Psykiatrisk divisjon Østmarka Sykehus. I henvendelsen fra den ansatte ble det gitt uttrykk for bekymring knyttet til ivaretakelsen av taushetsplikten ved bruk av helseforetakets elektroniske pasientjournal. Tilsynet avdekket at medarbeiderne hadde tilgang til helse- og personopplysninger som de ikke hadde behov for. Dette ble begrunnet med den svært utstrakte bruken av aktualisering. Ved å benytte aktualiseringsretten, hadde totalt 1/3 av de ansatte (alle leger og helsesekretærer og enkelte psykologer) ved Psykiatrisk divisjon tilgang til alle journaler ved St. Olavs Hospital, både psykiatriske og somatiske. Den manglende tilgangsstyringen ble vurdert slik at den ikke ga tilfredsstillende konfidensialitetssikring etter helseregisterloven. Ledelsen ved St. Olavs Hospital hadde opprinnelig vedtatt å oppheve skillet mellom somatikk og psykiatri ved å innføre blålys-funksjonalitet mellom avdelingene. Reaksjoner fra egne ansatte var imidlertid medvirkende til at dette likevel ikke ble innført. Dette illustrerer at 6

brukerne av pasientjournalsystemene, det vil si de som har taushetsplikt og innsikt i hva taushetsplikt innebærer, ikke nødvendigvis ønsker vide tilganger 4. Tilsvarende vide tilganger til pasientinformasjon ble avdekket i tilsyn ved Akershus Universitetssykehus HF i juni 2006. Her hadde man imidlertid valgt en annen strategi for tilgangsstyringen enn ved St. Olavs Hospital; Akershus Universitetssykehus hadde ved kontrolltidspunktet som overordnet mål for styringen av tilgangen til pasientjournalene å gi helsepersonellet så vid tilgang at arbeidsoppgavene kunne utføres uten vesentlig behov for aktualisering. I praksis kunne enhver lege og sekretær slå opp i enhver journal ved helseforetaket (inneliggende og tidligere pasienter) uten at man hadde en reell mulighet for å oppdage et tilfeldig uautorisert oppslag i journalen. Dette med mindre pasienten var ansatt eller var en kjent person. Det ble i denne anledning opplyst om en praksis hvor leger i enkelttilfeller ikke førte journal for utøvd helsehjelp på ansatte på sykehuset av hensyn til behovet for fortrolighet. Det ble også opplyst at enkelte leger betraktet tilgangen til journalen som så omfattende at man måtte vise hensyn til hva som ble journalført. Disse to siste opplysningene er interessante sett i lys av at departementet begrunner behovet for en vid tilgang til pasientopplysninger med at dette er nødvendig for å kunne yte forsvarlig helsehjelp. Opplysningene fra ansatte peker på at vid tilgang snarere kan ha motsatt effekt dersom pasienten ikke har tillit til at helsepersonellet evner å bevare sin taushet, vil man i verste fall risikere at pasienter vegrer seg mot å gi helsepersonellet opplysninger som en nødvendige for helsehjelpen. En uthuling av taushetplikten fremmer derfor etter tilsynets oppfatning ikke forsvarlig helsehjelp. Tilsyn ved Helse Bergen i 2006 konstaterte at taushetsbelagte personopplysninger i det elektroniske pasientjournalsystemet ikke var forsvarlig sikret mot innsyn fra tilsatte som ikke hadde tjenstlig behov for opplysningene. Gjennom aktualisering hadde alle leger, grupper av sykepleiere, psykologer, fysioterapeuter, ergoterapeuter, sosionomer, logopeder, ernæringsfysiologer, yrkeshygienikere, pedagoger, vernepleiere og sekretærer tilgang til alle nåværende og tidligere innlagte pasienter på de somatiske avdelingene i helseforetaket. 2.2 Dårlige kontrollrutiner Hvis tilgangskontrollen til pasientjournalene er mangelfull, er det svært viktig at dette kompenseres med kraftige kontrolltiltak i etterkant. Tilsyn har avdekket at muligheten for å avdekke snoking er utilfredsstillende. Det store antallet oppslag, små kontrollressurser og svake kontrollrutiner gjør at ansatte ved kliniske avdelinger som kikker i pasientjournaler uten å ha tjenestelige behov, har meget lav risiko for å blir avslørt. Loggkontroll, slik det fremstår i dag, er derfor vurdert av tilsynsmyndighetene til å være et lite effektiv hjelpemiddel til å avdekke misbruk. Denne svakheten er avdekket ved samtlige tilsyn foretatt av Datatilsynet siden 2005. Datatilsynet mener det er alvorlig at helseforetakene ikke evner å gi tilstrekkelig fortrolighet rundt opplysninger de mottar for å yte helsehjelp. Det er ikke tilstrekkelig at alle som får tilgang til journalene har taushetsplikt. Sykehusene må aktivt sørge for at bare de som deltar i pasientbehandlingen får tilgang. En kontroll ved Sykehuset i Vestfold HF i november 2007, avdekket at det ikke ble foretatt loggkontroll i det hele tatt. Dette ble ansett som spesielt kritikkverdig sett i lys av at det ved 4 Det er for øvrig interessant å merke seg at dette poenget også kommer til uttrykk i Legeforeningens høringsuttalelse, datert 12. januar 2009. 7

helseforetaket var gitt vesentlig større tilgang til foretakets helsefaglige applikasjoner enn hva som var nødvendig for å yte forsvarlig helsehjelp. Sykehuset i Vestfold hadde etablert et meldesystem for avvik, men ingen avvik var så langt registrert selv om det under kontroll kom frem at det hadde vært slike hendelser ved foretaket. Det var ved et tilfelle forekommet omfattende oppslag i helseopplysningene til en ansatt, i forbindelse med at vedkommende var blitt akutt syk. På vedkommendes initiativ ble det gjort en loggkontroll som viste at flere personer hadde vært inne i journalen uten å ha vært involvert i pasientbehandlingen. Episoden ble ikke fulgt opp av helseforetaket, og Datatilsynet fikk inntrykk av at foretaket ikke hadde tatt vesentlig lærdom av episoden. Den konkrete pasienten overførte sine journaler til et annet helseforetak. Lignende tilfeller av intern snoking har vært avslørt også ved andre helseinstitusjoner. Ved Helgelandssykehuset i 2006 gikk en avdelingsleder inn i journalsystemet og leste pasientjournaler, også ansattes journaler. Ledelsen ved sykehuset politianmeldte avdelingslederen for brudd på taushetsplikten. Under etterforskningen kom politiet frem til at taushetsbestemmelsene ikke var brutt så lenge opplysningene ikke var blitt utlevert til andre. Datatilsynet hevdet at sykehuset likevel hadde et ansvar for å sikre sine systemer, og sykehuset ble ilagt virksomhetsstraff for brudd på plikten til å ha tilstrekkelig informasjonssikring. En fordel ved de elektroniske pasientjournaler er at man kan spore opp og ha oversikt over hvem som har sett på journalen, kontra de gamle papirjournalene som ikke røper hvem som har lest i dem. Forutsetningen for en effektiv kontroll av de elektroniske pasientjournalene er imidlertid ikke tilstede fordi det mangler gode analyseverktøy. Et middels stort sykehus i region Helse Sør-Øst, har for eksempel ca 1,4 millioner oppslag i sitt elektroniske pasientjournalsystem per måneden. Det store antallet oppslag i journalene gjør det svært ressurskrevende, og tilnærmet umulig, å avdekke snoking på en systematisk og effektiv måte. Tilsyn ved Helse Bergen i 2006 viste at 1/3 av alle oppslagene var såkalte aktualiseringsoppslag, det vil si oppslag utenfor ordinær tilgang. Det store tallet på aktualiseringsoppslag gjorde det svært ressurskrevende å avdekke ikke-mistenkt misbruk av journalene fra helsearbeiderne. Helse Bergen AS hadde ikke ressurser til å gjøre noe annet enn strekt avgrensede og sporadiske stikkprøver. Dette er en typisk situasjon også ved andre helseforetak. Tilfellene av snoking som årlig avsløres er derfor trolig bare toppen av isfjellet. Det er imidlertid interessant å merke seg et pilotprosjekt igangsatt ved Akershus Universitetssykehus. Her er de i ferd med å utvikle et nytt og mer effektivt verktøy for loggkontroll. Det nye systemet definerer regler for unormal tilgang, for eksempel innsyn i egen journal, og avvik utløser en alarm i systemet som sendes til den berørte avdelingssjefen. Hovedutfordringen er å definere automatiserte regler for hva som skal oppfattes som snoking. Pilotprosjektet avsluttes i juni 2009, og hvis systemet er vellykket vil det bli implementert ved helseforetak i Helse Sør-Øst. Det er knyttet store forventninger til det nye verktøyet fra heleforetak både nasjonalt og internasjonalt. Datatilsynet vil oppsummere med at det for alle praktiske formål er svært mangelfulle kontrollmekanismer ved norske helseforetak. 8

2.3 Mangelfull risikoanalyse Helseregisterloven stiller krav om at informasjonssystemet skal vurderes med hensyn til risiko med bakgrunn i fastsatte kriterier for akseptabel risiko. Det å gjennomføre en risikoanalyse er et verktøy for å bedre informasjonssikkerheten. En risikoanalyse vil peke på hvilken risiko som foreligger og hvilke tiltak som er nødvendig for å oppnå en akseptabel risiko. Den kan gi forslag til hvilke tiltak som bør prioriteres, slik at ledelsen får et bedre beslutningsunderlag for det videre arbeidet. En god ledelsesforankring av sikkerhetsarbeidet innebærer at det foretas grundige risikovurderinger ved innføringen av, eller ved endring i systemene for elektronisk postjournal. Mangelen på grundige risikovurderinger ved innføring av nye systemer har vist seg å være en gjennomgående svakhet avdekket i tilsyn hos helseforetakene. Denne mangelen gjør at helseforetakene ikke får oversikt over egne systemers sårbarhet, og hvor stor risiko det er for ulike typer svikt. De går dermed glipp av muligheten for å iverksette tiltrekkelige og målrettede forebyggende tiltak. Mangelen på systematiske risikovurderinger i forhold til sikring av konfidensialitet og tilgjengelighet til elektroniske pasientjournaler har vært avdekket ved flere tilsyn foretatt i perioden 2005 2008, blant annet ved St. Olavs Hospital HF, Akershus Universitetssykehus HF og Sykehuset i Vestfold HF. Ved Akershus Universitetssykehus kunne helseforetaket ikke fremlegge dokumentasjon på gjennomførte risikovurderinger. Tilsynsmyndighetene fikk inntrykk av at helseforetaket ikke fult ut oppfattet at regelverkets krav om dokumenterte risikovurderinger, i forhold til informasjonssikkerhet, var hensiktsmessige og relevante for foretaket. Ingen ved Akershus Universitetssykehus ga uttrykk for at konfidensialitetssikring og tilgangssikring hadde blitt betraktet helhetlig med kompetanse i forhold til behovet for, og konsekvensene av, tilgang. Tilsynsmyndighetene fikk ved tilsynet ikke inntrykk av at virksomheten hadde vurdert hvorvidt man ivaretok personvernet generelt, og taushetsplikten spesielt. Ved Sykehuset i Vestfold var det ikke foretatt en risikovurdering med hensyn til misbruk av tildelt tilgang. At ansatte misbruker sin tilgang er et vesentlig sikkerhetsforhold, og Datatilsynet anser det derfor som viktig at virksomheten vurderer risikoen for misbruk opp mot den tilgang som gis, slik at både tekniske og organisatoriske tiltak kan iverksettes for å oppnå tilfredsstillende informasjonssikkerhet. Med hensyn til etableringen av tilgang på tvers, vil tilgangsregime hos det foretak som har mest liberal praksis med hensyn til tilgang i realiteten definere rammene for det felles regime. At aktører som aksepterer en høyere grad av risiko blir førende for sikkerhetsnivået for tjenester som planlegges for hele sektoren, er uheldig. Dette har vi sett eksempler på, blant annet ved etableringen av NISSY 5, hvor det i evalueringsrapporten 6 pekes på vanskene det medførte at Ullevål Universitetssykehus ikke ville følge den tekniske arkitekturen slik som resten av landet, og at det måtte settes opp en egen løsning for dem. 5 Nasjonalt Informasjonssystem for pasienttransport (NISSY) er etablert av Helse Sør-Øst RFH og driftet av Norsk Helsenett 6 Nasjonal IKT system for syketransport (NISSY) Evalueringsrapport versjon 1.0 9

3. Statusrapport fra helseforetakene Departementet fremholder i høringsnotatet (lovforslaget) at et viktig premiss for å kunne tillate tilgang til pasientregistre på tvers av virksomhetsgrensene, er at sikkerheten rundt tilgang til de elektroniske pasientjournalene er tilfredsstillende ivaretatt innad i helseforetakene. Med et slikt premiss har det vært viktig for departementet å få etablert en forståelse for at det er igangsatt prosesser med sikte på å forbedre tilgangsstyringen til pasientopplysninger, og at dette arbeidet snart er sluttført. For å følge opp personvernet innen spesialisthelsetjenesten, nedsatte Departementet en hurtigarbeidende arbeidsgruppe bestående av representanter fra Helse- og omsorgsdepartementet, regionale helseforetak, Helsedirektoratet, KITH og Statens helsetilsyn. Datatilsynet var ikke invitert til å delta i gruppen, til tross for at problemstillingen ligger i kjernen av etatens tilsynsarbeid mot sektoren. Formålet med arbeidsgruppen var å kartlegge om personvernet var tilfredsstillende ivaretatt i helseforetakene og hvilke forbedringer som eventuelt kunne gjøres eller som var igangsatt. Som ett ledd i dette arbeidet ba departementet de regionale helseforetakene om å utarbeide et notat knyttet til tilgang til pasientinformasjon i elektroniske pasientjournaler og ivaretakelse av personvernet. I sitt brev til de regionale helseforetakene ønsket departementet tilbakemelding på følgende momenter: ledelsesmessig forankring for sikkerhetsarbeidet opplæring i regelverk og retningslinjer for sikkerhet internkontroll og oppfølging av avvik omfanget av saker som følge av sikkerhetsbrudd (snoking) skifte eller forbedringer av systemer (som fører til sikrere personvern) eller hvorledes avvik fra gjeldende personvernregler lukkes. Spørsmålene til de regionale helseforetakene er etter tilsynets oppfatning alt for upresise. De er derfor dessverre dårlig egnet til å gi konkrete svar på hvordan tilgangsstyringen til pasientjournalene i realiteten blir ivaretatt, og hvordan den eventuelt er blitt forbedret etter besøk fra tilsynsmyndighetene. Tilbakemeldingene fra de regionale helseforetakene er svært ulike. Helse Sør-Øst RFH og Helse Midt-Norge RHF leverer tilbakemeldinger på et svært generelt og overordnet plan og refererer i liten utstrekning til konkrete avvik avdekket av tilsynsmyndighetene. Helse Vest RFH og Helse Nord RHF kommenterer i større grad utfordringer og svakheter ved dagens system for tilgangsstyring, og hvilke tiltak som er iverksatt for å lukke konkrete avvik fra gjeldende personvernregler. 3.1 Ledelsesmessig forankring og opplæring Spørsmålet angående ledelsesmessig forankring avdekker lite av interesse når det gjelder hvordan helseforetakene i realiteten ivaretar personvernet. De regionale helseforetakene refererer i hovedsak til virksomhetsinterne styringsdokumenter som skisserer roller og ledelsesansvar. Hvorvidt ledelsesforankringen er tilfredstillende eller ikke, er det imidlertid ikke mulig å utlede fra RFHenes tilbakemeldinger. Det er kun en systemrevisjon, som sammenstiller virksomhetsinterne dokumenter med funn gjort ved intervjuer og andre undersøkelser, som kan avdekke hvordan ledelsesforankringen fungerer i praksis. 10

Datatilsynet har i sin kontrollvirksomhet avdekket at ledelsesforankringen ved mange helseforetak ikke er tilfredsstillende. Foretakene gjennomfører ikke risiko og sårbarhetsanalyser ved innføring av nye systemer og avvik/snoking følges mange steder ikke opp på en systematisk måte. Videre viser tilsynets kontrollaktivitet at ansvarsforholdene kan være uklare ved innføring av nye felles systemer for hele sektoren. Systemer innføres uten at det blant annet er avgjort hvem som er behandlingsansvarlig, slik tilfellet var ved utviklingen av NISSY (ref. punkt 2.3). Dette er kritikkverdig. Når det gjelder opplæring i regleverket og retningslinjer for sikkerhet, viser tilbakemeldingene fra helseforetakene at intensiteten og systematikken på opplæringen, og hvorvidt den er frivillig eller obligatorisk varierer mye mellom virksomhetene. Flere helseforetak oppgir at de jobber med å forbedre oppleggene sine, blant annet ved å utvikle obligatoriske e-læringsløsninger for alle ansatte. Noe av problemet med sviktende beskyttelse av taushetsbelagt informasjon skyldes mangelfull kunnskap om hva taushetsplikten etter helselovgivningen innebærer. Dette er en av flere bakenforliggende årsaker til den svikt som har blitt avdekket av tilsynsmyndighetene. Utfordringen tas opp av Helse Vest i deres tilbakemelding til departementet: Når det gjelder journal, så er det uklart for mange hvor grensen går mellom hva som er lovlige og ulovlige oppslag, for eksempel oppslag i egen journal, oppslag i familiemedlems journal med samtykke, kvalitetssikring/læring av pasientbehandling når man ikke lenger har ansvar for pasienten og lignende. Det må etableres felles forståelse i helseforetakene for slike problemstillinger. 7 Mange ser ut til å tro at taushetsbelagt informasjon kan utveksles fritt med andre som har taushetsplikt. Statens Helsetilsyn skriver i brev til Helse- og omsorgsdepartementet datert 6. mars 2008 8, at oppfattelsen om at det finnes noe som litt enkelt kan kalles taushetspliktklubber er en inngrodd og utbredt misforståelse. De skriver videre at mangelen på kunnskapen om taushetsplikten kan skyldes blant annet utilstrekkelig undervisning og opplæring i helselovgivningen. Helse Vests skriver også: En ting er at retningslinjer og rutiner for sikkerhet og journal er på plass en annen ting er hvordan disse er kjent og blir fulgt i helseforetaket. Det er en stor utfordring å få mange tusen arbeidstakere til å gjøre seg kjent med alt som måtte finnes av retningslinjer og rutiner innenfor et konglomerat av fagfelt. 9 Uttalelsene fra Helse Vest illustrerer ikke bare viktigheten av opplæring, men også viktigheten av å ikke la pasientenes rettigheter ivaretas av den enkelte helsemedarbeiders personlige moral. Det må på plass en konkret tilgangsbegrensning på systemnivå. 3.2 Avvikshåndtering og omfang av snoking Hovedinntrykket etter å ha lest tilbakemeldingene fra de regionale helseforetakene, er at antallet tilfeller av snoking som avdekkes årlig er svært lavt. I snitt avdekkes 0 2 tilfeller per 7 Notat Sikkerhet rundt elektroniske pasientjournaler i Helse Vest, vedlagt brev fra Helse Vest RHF til Helseog omsorgsdepartementet datert 29.08.2008. 8 Brevet tar opp problemet med mangelfull tilgangsstyring i elektronisk pasientjournal og den trusselen den representerer for taushetsplikten. I brevet oppsummeres funn ved tilsyn foretatt sammen med Datatilsynet. 9 Ref. fotnote 7. 11

år. De regionale helseforetakene gir imidlertid uttrykk for at dette ikke skyldes at snoking ikke forekommer, men at systemet for å avdekke snoking er for dårlig. Loggsystemene er av en slik art at avvik kun håndteres i saker der det er mistanke om snoking eller ved stikkprøver og/eller etter direkte forespørsel. Helse Midt skriver følgende i sin tilbakemelding: St. Olavs Hospital ingen saker. Helse Nordmøre og Romsdal 1 (2) saker. Helse Sunnmøre 1 sak. Helse Nord-Trøndelag 1 sak. De informasjonssikkerhetsansvarlige er likevel av den oppfatning at dette bare er toppen av isfjellet, og at snoking fortsatt er en forholdsvis utbredt praksis. Noen betegner dette som et kulturproblem (tilsynets uthevning). 10 At det kan dreie seg om et kulturproblem, illustreres også av tilbakemeldingen fra Helse Nord, som skriver: Paradokset er imidlertid at blant annet den informasjonssikkerhetsansvarlige ved UNN HF mottar henvendelser fra ansatte som ønsker journalen stengt for innsyn fra kollegaer. 11 Tilbakemeldingene fra helseforetakene stemmer godt overens med erfaringene fra Datatilsynets kontrollvirksomhet (ref. punkt 2.2). Likevel bagatelliserer Helse- og omsorgsdepartementet denne svakheten i sitt høringsnotat. De snur problemstillingen på hodet, og skriver at selv om systemet riktignok har enkelte svakheter, gir det gode muligheter til å avdekke uautorisert tilgang der det foreligger misstanke. I følge tilsynsmyndighetene og helseforetakene er det imidlertid nettopp her problemet ligger; at det kun er ved mistanke at det er mulig å avdekke snoking. Det er ønskelig å få etablert en etterhåndskontroll som fungerer slik at den også kan avdekke snoking når mistanke ikke foreligger. Til tross for at Helse Midt-Norge RFH erkjenner at omfanget av snoking trolig er meget omfattende, konkluderer de likevel med at situasjonen i regionen knyttet til arbeidet med informasjonssikkerhet er god: Det er etablert en velfungerende infrastruktur i regionen med faglige nettverk og løpende oppfølging av området. Vi håper beskrivelsen av situasjonen i regionen gir Helse- og omsorgsdepartementet den nødvendige trygghet i det videre arbeidet. 12 3.3 Forbedring av systemer og hvordan avvik lukkes Helseforetakene skriver i sine tilbakemeldinger mye prosesser som er i gang eller skal iverksettes, men mindre om faktisk effektuerte endringer for å møte lovens krav om tilfredsstillende sikring av taushetsbelagte opplysninger. I følge helseforetakene jobbes det kontinuerlig med å forbedre systemer og løsninger for å sikre personvernet. Det er kun Helse Vest og Helse Nord som beskriver hvilke konkrete tiltak som er fattet for å lukke avvik fra gjeldende personvernregler. Dette til tross for at omfattende avvik også er funnet i helseforetak tilhørende de to andre regionale helseforetakene; Helse Midt-Norge meddeler at avvikene etter deres oppfatning er lukket, men sier ingenting om hva som er gjort. Helse Sør- Øst unnlater å kommenterer de omfattende avvikene som er avdekket fra gjeldende personvernregler i tilsyn foretatt ved Ullevål Universitetssykehus i 2008, ved Sykehuset i Vestfold i 2007 og ved Akershus Universitetssykehus i 2006. Dette finner vi påfallende. 10 Notat Elektroniske pasientjournaler, vedlagt brev fra Helse Midt-Norge RFH til Helse og omsorgsdepartementet datert 05.09.2008. 11 Brev fra Helse Nord til Helse- og omsorgsdepartementet, datert 18.06.08. 12 ref fotnote 10. 12

Helse Midt-Norge meddeler at de skal innføre en ny versjon av journalsystemet i 2008 der det skal bli enklere å avgrense informasjon innenfor hver journal. Tilsyn ved St. Olavs Hospital (psykiatrisk divisjon) i 2008 konstaterte at den utstrakte bruken av aktualisering resulterte i utilfredsstillende tilgangsstyring. Ledelsen ved St. Olavs Hospital hevder at det nye journalsystemet vil avhjelpe utfordringene med tilgang i forbindelse med aktualisering. En ny versjon av elektronisk postjournal, med et enklere og bedre loggføringssystem skal også utvikles. Helse Vest skriver i sitt svar til departementet at de arbeider med å lukke avvikene avdekket ved tilsyn i 2005 og 2006 ved Helse Bergen HF. Avvikene er imidlertid fremdeles ikke lukket. Det arbeides med å redusere aktualiseringsretten i journalsystemet der det er mulig hevdes det, men siden dette krever endringer i arbeidsprosesser er dette et arbeid som tar tid. Helse Vest planlegger å innføre DIPS i hele regionen i 2008-2010, og skriver at det er et sterkt fokus på tilgangsstyring til pasientjournalene i denne forbindelse. Helse Nord melder at prosessen med å lukke de systematiske avvikene avdekket av tilsynsmyndighetene i 2005 har startet. Det ble ved tilsyn foretatt ved Helse Finnmark og Universitetssykehuset Nord-Norge påvist mangelfull tilgangsstyring til de elektroniske pasientjournalene. Helse Nord skriver at de har under innføring et system som skal sikre tilgangen til blant annet røntgeninformasjon i tråd med gjeldene regelverk. Systemet forventes å være operativt i 2009. Helse Nord planlegger videre å ta i bruk en ny funksjonalitet i DIPS, som legger til rette for beslutningsstyrt tilgang. Basert på tilbakemeldingene fra de regionale helseforetakene, ser status knyttet til arbeidet med å forbedre personvernet ut til å være den sammen ved de fleste helseforetak; prosesser for å håndtere bruddene på helseregisterloven er i gang, men avvikene påpekt av tilsynsmyndighetene er fremdeles ikke er lukket flere år etter at de ble avdekket. Dette illustrerer at problemene med tilgangsstyring er svært kompliserte og at utfordringene med å finne gode tekniske systemer er store. Datatilsynet ønsker likevel å påpeke det positive i at så mange prosesser er igangsatt for å forbedre personvernet. Det indikerer at bevisstheten rundt problemene knyttet til sviktende tilgangsstyring er høyere i dag, sammenlignet med situasjonen noen år tilbake. Helsetilsynet har påpekt at det må rettes tydeligere og større krav til leverandørene hvis situasjonen skal forbedres. I dag er det i stor grad teknokratene som styrer utviklingen av nye systemer, og ikke brukerne av pasientjournalsystemene. I ett brev til Helse- og omsorgsdepartementet datert 6. mars 2008, skriver Helsetilsynet følgende 13 : Tilsynserfaring tyder på at brukerne av pasientjournalsystemene og linjelederne har liten innflytelse på funksjonaliteten. Det betyr at personell som har taushetsplikt og innsikt i hva taushetsplikten innebærer, ikke i tilstrekkelig grad blir hørt ved utforming av journalsystemene. I stedet basers funksjonaliteten og praktisk bruk på hva som datateknisk er mest lettvint eller effektivt og på hva ledere og rådgivere uten klinisk bakgrunn mener er viktig. Dette bidrar til å svekke hensynet til taushetsplikt og diskresjon, og legger til rette for lite selektiv tilgangsstyring og aksept for at det i noen tilfeller må og skal være noe tungvint å innhente nødvendige opplysninger i form av å be om å få opplysningene utlevert fra for eksempel en psykiatrisk avdeling innen et helseforetak, eller fra et annet sykehus/helseforetak. 13 Helsetilsynets brev er en oppsummering av funn ved tilsyn og tar opp problemet med mangelfull tilgangsstyring i elektronisk pasientjournal og den trusselen det representerer for taushetsplikten. 13

4. Oppsummering Etter tilsynets vurdering går departementet altfor langt i å friskmelde helseforetakenes interne tilgangsstyring 14. Dette gjøres uten at departementet dokumenterer å ha gjennomført egne kontroller ved helseforetakene, og uten at tilsynsmyndighetene er konferert. Departementet bygger i stedet sine konklusjoner på egenrapportering fra virksomhetene selv. Dette mener Datatilsynet er en metodisk svakhet ved departementets analyse. Etter tilsynets vurdering er det også påfallende at departementet ikke har interessert seg for Datatilsynets rapporter og vurderinger i sitt kartleggingsarbeid. Departementet bør være vel kjent med tilsynsarbeidet som har pågått over en lang tidsperiode. Også dette representerer, ifølge tilsynet, en metodisk svakhet. Helse- og omsorgsdepartementet gir i høringsnotatet uttrykk for at sikkerheten rundt ivaretakelsen av taushetsplikten langt på vei er tilfredstillende ivaretatt i de enkelte helseforetak. Blant annet basert på erfaring fra egen kontrollvirksomhet, er ikke dette en virkelighetsbeskrivelse Datatilsynet kan dele. Helse- og omsorgsdepartementet legger etter Datatilsynets oppfatning til grunn en svært positiv tolkning av tilbakemeldingene fra de regionale helseforetakene. I sine svar til departementet fremhever helseforetakene riktignok viktigheten av å sikre personvernet i virksomhetene, og det fokuseres på at prosesser er igangsatt for å forbedre sikringen av pasientopplysninger i de elektroniske pasientjournalene. Helseforetakene er imidlertid også tydelige på at det er mange utfordringer knyttet til dette arbeidet, og at det til en viss grad fortsatt er lang vei å gå før situasjonen er fult ut tilfredsstillende. Dette illustreres tydelig ved at avvik påpekt av tilsynsmyndighetene for flere år siden ved mange helseforetak fremdeles ikke er lukket. Hovedutfordringene som skisseres av helseforetakene knytter seg til tekniske vanskeligheter ved systemene, organisatoriske utfordringer ved innføring av nye systemer (omlegging av arbeidsprosesser) og mangel på ressurser/investeringer for å endre systemene slik at de fungerer tilfredsstillende. Etter tilsynets erfaring vil problemene med tilpasset tilgangstyring hefte ved journalsystemene i overskuelig fremtid, med mindre man investerer betydelige beløp i utvikling og forbedring av systemene. Datatilsynets hovedankepunkt mot det nye lovforslaget er at så lenge tilgangsstyringen ikke er tilfredstillende ivaretatt internt i helseforetakene, vil direkte tilgang til pasientjournaler mellom virksomhetene i praksis innebære fri flyt av pasientopplysninger blant ansatte i hele sektoren. Dette vil skje uten mulighet for å håndheve en effektiv kontroll av tilgangen. 4.1 Veien videre kjernejournal som alternativ Datatilsynet er ikke motstandere av å benytte elektroniske løsninger i helsetjeneste som fremmer effektivitet, rasjonell drift og støtter opp under faglig forsvarlig ytelser og pasientsikkerhet. Datatilsynet mener imidlertid at departementets tilnæring ikke gir forsvarlighet i håndtering av pasientopplysningene. Den foreliggende resept som foreskrives i det fremlagte forslaget er en for enkel løsning på et komplisert problem en løsning som vil ha uheldige konsekvenser for personvernet. Det ser ut til at behovet for å hente ut effektiviseringsgevinster leder til utvikling av fellessystemer som ikke tar tilstrekkelig hensyn 14 Høringsnotatet kap. 6.2 14

til at ulike helsetjenester har ulike behov. For eksempel er det knyttet større grad av pasientenes opplevde sensitivitet til enkelte lidelser (eks. psykiatriske diagnoser og HIV), enn det er for andre (eks. benbrudd og influensa). Med utgangspunkt i pasientens rett til å råde over egne opplysninger, bør pasienten i størst mulig utstrekning gis anledning til å bestemme i hvilken grad man vil at ens opplysninger skal tilflyte andre enn dem man har avgitt opplysningene til. Datatilsynet vil derfor anbefale en ordning hvor den obligatoriske normalsamhandlingen mellom virksomhetene er moderat, og hvor det etableres frivillige tilleggsløsninger spesielt tilpasset den enkelte pasients egendefinerte behov. Datatilsynet vil understreke at normalsamhandlingen bør skje gjennom elektronisk meldingsutveksling, via for eksempel Norsk Helsesnett. Dette gjelder ved planlagt behandling, for eksempel oversendelse av opplysninger i forbindelse med henvisninger og epikriser. Videre vil meldingsutveksling kunne benyttes når helsepersonellet i en virksomhet har behov for ny eller utfyllende informasjon, eller en second opinion, fra ansatte i et foretak (når dette må skje skriftlig). Datatilsynet vil videre peke på samtykkebasert kjernejournal, som en samhandlingsform som godt ivaretar behovet for tilfredsstillende informasjonsdeling, samtidig som pasientens autonomi bevares. Løsningen er særlig egnet for å tilgjengeliggjøre informasjon som er nødvendig i en akuttsituasjon, for eksempel vitale opplysninger om relevant medisinering og allergier. Datatilsynet vil peke på at informasjonstilfanget ved direkte tilgang til hele journalen i mange tilfeller vil bli svært omfattende, og at informasjonen vil ha varierende kvalitet. Det kan derfor stilles spørsmål ved hvilken umiddelbar nytte behandlende personell generelt vil kunne dra av en slik tilgang, særlig i en akuttfase. En samtykkebasert kjernejournal vil etter tilsynets vurdering gi et bedre presisjonsnivå på de opplysningene som gjøres tilgjengelige for behandlende personell, enn det den direkte tilgangen til hele journalen gir. En kjernejournal bør imidlertid være en fleksibel og frivillig løsning. Pasientene bør selv bestemme, i samråd med behandlende personell, hvorvidt man ønsker å ha opplysninger i kjernejournalen, hvilke opplysninger som i så fall skal føres inn og hvorvidt journalen skal være tilgjengelig nasjonalt, regionalt eller lokalt. En kjernejournal vil også kunne løse samhandlingsbehovet for pasienter som har et særskilt behov for at visse opplysninger skal være mer tilgjengelige enn det den meldingsbaserte samhandlingen tillater. Som eksempel nevnes kronisk syke eller andre som vil slippe å gjenta sine helseopplysninger hver gang de oppsøker ny behandler eller helseinstitusjon. Datatilsynet viser for øvrig til sin høringsuttalelsen datert 12. januar 2008 for en mer detaljert gjennomgang av tilsynets forslag til alternative samhandlingsformer og til departementets lovforslag generelt. 15

Kildemateriale Kontrollrapporter fra Datatilsynet 2005 2008: Kontrollrapport fra tilsyn ved Norsk Helsenett AS, Ullevål universitetssykehus HF og Helse Sør-Øst RHF (NISSY), datert 20.11.08 (saksnr: 08/00312, 08/00313) Kontrollrapport fra tilsyn ved St. Olavs Hospital HF (Divisjon psykisk helsevern, Østmarka Sykehus, Trondheim), datert 15.05.08 (saksnr: 0/00315) Kontrollrapport fra tilsyn ved Sykehuset i Vestfold HF, Tønsberg, datert 16.11.07 (saksnr: 07/01441) Rapport frå tilsyn med informasjonstryggleiken ved pasientjournalsystemet DocuLive og det pasientadministrative systemet PIMS ved Helse Bergen HF, Haukeland universitetssykehus, utført i samarbeid med Helsetilsynet, datert 23.08.06. Rapport fra tilsyn med konfidensialiteten og tilgjengeligheten til elektronisk pasientjournal ved Akershus universitetssykehus HF, utført i samarbeid med Helsetilsynet, datert 16.11.06. Kontrollrapport fra tilsyn ved Helse Nord-Trøndelag HF, Levanger, datert 27.01.05 (saksnr: 2005/0394) Kontrollrapport fra tilsyn ved Universitetssykehuset Nord-Norge HF, Tromsø, datert 03.05.07 (saksnr: 05/01249) Kontrollrapport fra tilsyn ved Helse Finnmark, Hammerfest, datert 03.05.07 (saksnr: 05/01251) Kontrollrapport fra tilsyn ved Helse Bergen HF, avdeling Hagevik, Hagevik-Bergen, datert 15.06.06 (saksnr: 05/01328) Kontrollrapport fra tilsyn ved Sykehuset Asker og Bærum HF, Bærum, datert 16.03.06 (saksnr: 05/01333) Korrespondanse mellom Helse- og omsorgsdepartementet og de regionale helseforetakene: Tilgangsstyring til elektronisk pasientjournal og taushetsplikt, brev fra Helse- og omsorgsdepartementet til de regionale helseforetakene, datert 28.04.08, ref: 200801174-/KRF Elektroniske pasientjournaler arbeidsgruppe knyttet til sikkerhet, brev fra Helse- og omsorgsdepartementet til de regionale helseforetakene, datert 04.06.08, ref: 200600954-/STL 16

Tilgangsstyring til pasientinformasjon i elektroniske pasientjournaler og ivaretakelse av personvernet, brev fra Helse Sør-Øst til Helse- og omsorgsdepartementet, datert 06.08.08, ref: 08/00454-37/045 Tilgang til elektronisk pasientjournal i helseforetak, brev fra Helse Vest til Helse- og omsorgsdepartementet, datert 23.06.08, ref: 2006/236-2468/2008 Utvidet tilbakemelding Sikkerhet rundt elektroniske pasientjournaler i Helse Vest, brev fra Helse Vest til Helse- og omsorgsdepartementet, datert 29.08.08, ref: 2006/236-3058/2008 Tilgangsstyring til elektronisk pasientjournal og taushetsplikt, oppfølging av Helsetilsynets brev datert 6. mars 2008, brev fra Helse Midt-Norge til Helse- og omsorgsdepartementet, datert 11.06.08 Elektroniske pasientjournaler oppfølgning av Helsetilsynets brev, brev fra Helse Midt-Norge til Helse- og omsorgsdepartementet, datert 05.09.08, ref: 2008/263-3227/2008 Elektroniske pasientjournaler, brev fra Helse Nord til Helse- og omsorgsdepartementet, datert 18.06.08, ref: 200800321 Høringsnotat: Tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser. Etablering av virksomhetsovergripende behandlingsrettede helseregistre, Helse- og omsorgsdepartementet, 20.10.08 Utredning om enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp (EPJ) vurdering av lovendringer, Divisjon for spesialisthelsetjenester, Sosial- og helsedirektoratet, 31.03.08 Diverse høringsuttalelser - tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende behandlingsrettede helseregistre: http://www.regjeringen.no/nb/dep/hod/dok/hoeringer/hoeringsdok/2008/horing- --tilgang-til-behandlingsrettede-/horingsuttalelser.html?id=533749 17

Vedlegg: Sammendrag av funn ved tilsyn 2005 2008 Norsk Helsenett (NHN), Ullevål universitets sykehus Tema: NISSY, system for pasienttransport 2008 St.Olavs Hospital HF Tema: for vid tilgang til EPJ 2008 Sykehuset i Vestfold HF Tema: utilstrekkelig sikring av journalinfo. 2007 Helse Bergen HF Tilgangsstyring PIMS 2006 Akershus Universitets sykehus HF Tilgangsstyring DIPS 2006 Tilgangsstyring Risikovurderinger Sikkerhetstiltak/bruk av logger Mulig løsningen er i konflikt med 13; ulovlig tilgang på tvers Medarb. har tilgang til helseoppl. som de ikke har behov for for å gi forsvarlig helsehjelp. Svært utstrakt bruk av aktualisering. Det er ikke etablert nødvendig tilgangsstyring og dermed ikke tilfredsstillende konfidensialitetssikr. Medarb. har tilgang til helseoppl som de ikke har behov for for å gi forsvarlig helsehjelp. Ikke mulig i systemet for å gi tilpasset tilgang (ikke fullverdig EPJ-system) Avvik: Taushetsbelagte oppl. ikke forsvarlig vernet mot innsyn. Videre tilganger enn det er behov for. Avvik: Taushetsbelagte oppl. ikke forsvarlig vernet mot innsyn. HF et har ikke benyttet muligheten for å innsnevre tilgangen som ligger i systemet. Mangler med hensyn til krav om risikovurderinger og konfidensialitetssikring. Mangler konstatert av NHN og tiltak iverksatt, men dette gjort lenge etter at tjenesten ble igangsatt Helseforetaket har ikke vurdert om infosyst. er tilfredsstillende sikret med hensyn til konfidensialitetssikr. gjennom å vurdere tilgangsstyringen. Avvik. Ikke vurdert risiko ved misbruk av tildelt tilgang. Har ikke gjennomført systematiske risikovurderinger i forhold til sikring av konfidensialitet og tilgjengeligheten til EPJ. HF mener man må aksepterer høy risiko for å gi forsvarlig helsehjelp DT ser kombinasjonen av vid tilgang og de begrensede mulighetene for å avdekke snoking i journalen som problematisk. Ingen tilgangsstyring. Dette må kompenseres med kraftige kontrolltiltak, eks logg-gjennomganger. Dette gjøres ikke. Brudd på 13 (s. 4) Kombinasjonen av vid tilgang og de begrensede mulighetene for å avdekke snoking i journalen er problematisk. Mangel på effektive analyseverktøy for å avdekke misbruk. Kombinasjonen av vid tilgang og de begrensede mulighetene for å avdekke snoking i journalen er problematisk. Loggkontroll lite egnet som hjelpemiddel til å avdekke misbruk. Internkontroll/ Annet Databehandleransvar Uklare ansvarsforhold ikke avklart ansvar og hjemmelsgrunnlag for NISSY. Helse Sør- Øst RFH instruert HF et til å bruke løsninger som er i konflikt med regelverket. Generelt fremstår det som om ansvar etter helsereg.loven er svært mangelfullt utredet og klargjort. Mangelfull internkontroll knyttet til den styrende del av internkontrollen. Ikke etablert tilfredst internkontroll. Ingen registrering av rapporterte avvik. Mangel på rutiner for å håndtere avvik/snoking. Manglende kontroll for tildeling av tilganger. Ansatt flyttet journal til annet sykehus grunnet stort omfang av oppslag i journal av folk som ikke var involvert i behandlingen. Ikke inntrykk av at HF et tok lærdom av episoden. Positivt: I ferd med å implementere nytt system, fullverdig EPJ. Opplyst om praksis der leger ikke journalfører oppl. på egne ansatte for å sikre fortrolighet. Opplyst at enkelte leger betraktet tilgangen til journalene som så vid at man måtte vise hensyn til hva som ble journalført. 18

Universitets sykehuset Nord- Norge HF Tilgangsstyring DIPS Nettsentrisk journal 2005 Helse Finnmark HF Tilgangsstyring DIPS Nettsentrisk journal 2005 (rapportdato 2007) Helse Bergen HF Tilgangsstyring DocuLive, PiMS og DIPS Nettsentrisk journal 2005 (rapportdato 2006) Sykehuset Asker og Bærum HF Tilgangsstyring Nettsentrisk journal 2005 (rapportdato 2006) Aktualiseringsretten (blålysfunksjonen) gir de fleste leger tilgang til nær samtlige journaler. Videre tilgang enn nødvendig. (men ser mindre vide ut her enn ved tilsyn ovenfor). Tilgang til journal på tvers av foretak forekommer. ulovlig etter 13. Tilgangsrettighetene synes å kunne være mer spisset (men ser mindre vide ut her enn ved tilsyn ovenfor). Aktualiseringsretten mindre benyttet her enn andre steder (selv om den ga vide tilganger) Tilgang til journal på tvers av foretak forekommer. ulovlig etter 13. Tilgang til journal på tvers av foretak forekommer. ulovlig etter 13. Bruk av aktualisering for å få tilgang til journaler i andre foretak. Internt: ordinær tilgang begrenset til avdeling, samtlige leger bruke aktualisering for tilgang til alle journaler. DT betrakter tilgangen som vid. Legene er gjennom aktualisering gitt svært vid tilgang uten at formålet med den vide tilgangen er definert. Dårlig sikkerhet på systemet kun tilgangskontroll for å logge seg på systemet eksternt. Vid tilgang må kompenseres med kraftige kontrolltiltak, eks logggjennomganger. Ikke etablert systematiske rutiner for logggjennomgang. Dette tilfredsstiller ikke kravet til informasjonssikkerhet etter loven. Dårlig sikkerhet på systemet kun tilgangskontroll for å logge seg på systemet eksternt. Ingen systematisk gjennomgang av loggene. DT stiller spørsmål ved om enkelte av oppslagene var innenfor loven. Liten reell oppfølging av blå-lys oppslagene. Mangelfulle rutiner for håndtering av avvik. I forhold til tilgangsstyring fremsto valgene HF et hadde gjort som reflekterte. 19

Sammendrag av tilbakemeldingene fra de regionale helseforetakene Spørsmål Helse Sør-Øst Helse Vest Helse Midt Helse Nord Ledelsesmessig forankring av sikkerhetsarbeidet Den ledelsesmessige forankringen svært ulikt organisert. Ledelsens ansvar er kun formelt og oftest lages en sikkerhetsorg. med kun forankring hos ledelsen. Felles internkontroll for RHF. Sikkerhetsleder har egne (lavere/delegerte) fora. Retningslinjer for behandling av journaloppl. bør samordnes mellom foretakene (dette trolig gjøres ved innføring av felles EPJ) Felles journal og sikkerhetspolicy for RFH. Svarene hentes fra denne da man går ut i fra at denne etterleves. Direktør er ansvarlig, sikkerhet delegert til fagdirektøren Mye godt arbeid. Bruker DIPS. Personvernombud og med direkte ledelsedialog. Helgelandssykehus med anmeldelse er forbedret. Opplæring Noen har opplæring, intensiteten på oppleggene og hvorvidt de er obligatoriske/frivillige varierer mye. Noen har ikke opplæring i det hele tatt. Nyansatte får kurs, men ikke obligatorisk/systematisk i dag. Ser at rutiner/ sikkerhetsinstruks er lite kjent og skal sette i gang e- læring som er tenkt obligatorisk. Alle har kurs i sikkerhet. E- læring utvikles etter normen. Systematisk felles opplærings, men HF ene har valgt noe ulike strategier. Erkjennelse av at det fortsatt er medarbeidere som kan påberope seg mangelfull opplæring, men det jobbe kontinuerlig med forbedring. Internkontroll Internkontrollsystemet er under stadig forbedring. Systemene varierer noe mellom HF ene. Har internkontroll - på Intranettet. Ref. felles policy. Alle EPJ er utsatt for ROSanalyser. Mener det er etablert rutiner for kontroll og avvikshåndtering. Unntaket er Helse Finnmark som erkjenner klare svakheter på området. Har begynt å jobbe med dette. Oppfølging av avvik Kvaliteten på rutiner og implementering er under stadig forbedring. Utfordring at ikke alle forstår hva taushetsplikten innebærer. Dagens avvikssystem ikke godt nok, håper at nytt system skal gjøre det enklere å få oversikt over omfanget av avvik og å lukke de. Helse Finnmark ikke rutiner for å avdekke avvik (heller ikke loggkontroll). Arbeid igangsatt for å løse dette. Omfang av snoking Svært få hendelser pr. år, vanligvis 0-2 (i system med 1,4 mill oppslag). Utelukker ikke flere hendelser finner sted -> forbedr. derfor systemet kontinuerlig. Noen HF ikke funksjonalitet i IKT-syst. til å avdekke brudd. Fra 0-2 avvik per HF. Uklart for mange hvor grensen går for hva som er lovlig/ulovlig oppslag. Omfanget lite men det er i praksis ikke mulig å få sjekket mer enn et fåtall av journalene. Fra 0-2 avvik per HF. Vanskelig å avdekke med dagens loggsystem. De er av den oppfatning at dette bare er toppen av et isfjell, og at snoking er en utbredt praksis som noen betegner som et kulturproblem. Fra 0-2 tilfeller avdekket. Erkjenner at omfanget er lite, og at de har en jobb å gjøre for å utarbeide bedre rutiner/prosedyrer for kontroll av logger. Håper nytt analyseverktøy vil forbedre situasjonen. Undersøkelse viser at 2% erkjenner snoking. Tilbakemeld. fra ansatte om at de ønsker å unndra journal. Skifte eller forbedring av systemer Jobber kontinuerlig med å forbedre systemer og løsninger for å sikre personvernet. Etablerer felles rammeavtaler. Ser arbeidet med personvern som meget sentralt i arbeidet med utvikling og omstilling. Skal innføre DIPS i hele regionen i 2008-2010. arbeides grundig med tilgangsstyring. Endrer tilgangsst. i radiologiløsn i forbindelse med dette. Arbeides for å få ned påloggingstid og bruk av felleskontoer. Ref nasjonalt loggsystem. Siemens lager nytt system med bedre oversikt over hvem som har vært inne i journal. Ny tilgangsstyring lages basert på roller. DIPS utviklet system for beslutningsstyrt tilgangsstyring. Planlegger å ta funksjonaliteten i bruk i 2009, men stor usikkerhet rundt hvordan dette skal gjøres for å ivareta trygg pasientbehandling. 20