De største utfordringene i tilgangsstyring til EPJ? Bjørn Magne Eggen Enhet for medisinske fag og strategi HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 1
Feil!! Dette er ikke våre nye EPJ-terminaler HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 2
Hovedperspektivet? Rett informasjon, til rett person, til rett tid!! - men heller ikke til noen andre! MÅL: Økt pasientsikkerhet, samtidig som tilgjengelighet, konfidensialitet, integritet og kvalitet ivaretas. HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 3
Behov for tilgang på tvers? Pasienter "pendler" mellom flere virksomheter på grunn av alvorlige, kroniske sykdommer Spesialister på "turné" Telemedisinske konsultasjoner Legevaktsbesøk på sykehjem Pasienter med individuell plan, noe som ofte vil omfatte bidrag fra ulike virksomheter (og nivåer) HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 4
Nasjonal gruppe, høsten 2006. Hovedkonklusjoner Avveining mellom konfidensialitet for info, og tilgjengelighet, integritet og kvalitet for informasjonen. til dels motstridende krav Ubalanse mellom vektlegging av konfidensialitet vs. tilgjengelighet, integritet og kvalitet Dokumentert reelt behov for elektronisk utveksling av informasjon kan ikke løses med bruk av elektronisk meldinger alene Arbeidsgruppen vil anbefale at det for å legge til rette for utveksling av elektronisk pasientinformasjon i sektoren for å øke pasientsikkerheten, samtidig som konfidensialitet, tilgjengelighet, integritet og kvalitet ivaretas, bør gjennomføres nødvendige justeringer i lovverket. HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 5
Status lokalt HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 6
Ahus: Tilsyn juni 2006; to avvik Avvik 1: Akershus universitetssykehus HF sikrer ikke at taushetsbelagte personopplysninger i det elektroniske pasientjournalsystemet DIPS er forsvarlig vernet mot innsyn fra ansatte som ikke har legitimt behov for opplysningene. Avvik 2: Akershus universitetssykehus HF har ikke gjennomført systematiske risikovurderinger i forhold til sikring av konfidensialiteten og tilgjengeligheten til elektronisk pasientjournal, herunder fastlagt kriterier for akseptabel risiko. HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 7
Status lokalt HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 19
Deltakerne i arbeidsgruppa Medlemmer: Bjørn Magne Eggen, Akershus Universitetssykehus HF Heidi Thorstensen, Ullevål Universitetssykehus HF Jan Gunnar Broch, Sykehuset Innlandet HF Bente Teilstad, Sykehuset Asker og Bærum HF Anne Nørsett, Diakonhjemmet Sykehus Kjell Ingar Bjørnstad, Sykehuset Østfold HF Gunhild Rognstad, Aker Universitetssykehus HF Sekretariat: Prosjektleder Knut Hellwege, Helse Øst RHF Prosjektsekretær Bård Seiersnes, konsulent (A-2) / Helse Øst RHF HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 20
HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 21
HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 22
Tilgang må vurderes langs flere akser BRUKERROLLE Organisasjon Funksjoner Journaldokumenter Pasientstatus BRUKERTYPE Stjålet fra Kjell Ingar Bjørnstad HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 23
Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 24
Risikohendelser tilgang Tilgangsoppsettet settes for stramt Tilgangsoppsettet er ikke tilstrekkelig differensiert Brukere stenger ikke tilgang / program etter bruk Studenter ber ikke om, eller dokumenterer ikke tillatelse fra pasient til å lese journal Personellgrupper får ikke tilgang til det de trenger. Mye bruk av blålys og grønnlys. Personellgrupper får tilgang til mye mer opplysninger enn de har behov for Uautorisert personell får mulighet for tilgang til sensitiv informasjon Logg over innsyn viser mange uautoriserte brukere HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 27
Utfordringsbildet Dagens organisering og mulighetene for å presse denne inn i prinsippene for tilgang Teknologiske muligheter håndtere ulike hastegrader og samtidighetskonflikter Brukerkunnskap og lojalitet; vs. knottologi Bevissthet, holdninger, opplæring Er investering i opplæring (og oppdatering ) bryet verdt? Hva slags opplæring? HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 28
Organisasjonskart fra 01.01.2007 Vårt nåværende organisasjonskart HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 29
Grunnstruktur nytt sykehus Teknisk senter Rusakutt Psykiatri Sengeområder, med sengetun Barne- og ungdomsklinikken Akuttmottak Behandlingsbygg Kapell Universitetsadministrasjon Overflateparkering Glasspromenade Frontbygg, hovedinngang, kantine HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 30
Definere rollene på individnivå i forhold til hver enkelt pasient Forhåndsdefinert tilgang gis ut fra geografi fysisk plass i sykehusbygget organisasjon avdelingstilhørighet rolle hvilken oppgave som faktisk må gjøres tid når, og hvor lenge For andre pasienter: Eksplisitt besluttet tilgang tilgang ut fra henvisning er egenhenvisning aktuelt? HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 31
Tidsskrift for Den norske lægeforening Nr 18 / 2007; 20.9.2007. s. 2429 HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 32
Hvordan bruker vi EPJ? Struktur? Kjerneinformasjon? Problemrettet? Sammendrag og diagram? Pasientopplæring og opplysninger? eller bare en digitalisert versjon av de gamle papirjournalene? og innskannede dokumenter gjør EPJ verre HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 33
Risikovurdering og tiltak? Må vurderes i hver organisasjon og justeres i hvert organisasjonsledd for smalt blir feil og for trangt. Forsvarlighet? Informasjon ikke tilgjengelig når den trengs for bredt blir feil. Taushetsplikt brytes Tillitstap Holdningsutvikling og bearbeiding Du snakker. Hvem lytter? HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 34
Vår visuelle visjon I full drift 1. okt. 2008, om 370 dager HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 35
HelsIT, 27. sept 2007. Bj. M. Eggen, Ark 36