FORPROSJEKTRAPPORT Pasientinformasjon Gruppe: 29 Navn: Julie Angélique Widarsdatter Colle Klasse: 3AA Vår 2010
1.1 Presentasjon Prosjektoppgaven er en forskningsrettet oppgave med fokus på datasikkerhet, nærmere bestemt innsynproblematikk og tilgangskontroll av pasientjournaler, hos helseforetak. Ettersom oppgaven er forskningsrettet, ikke praktisk rettet, vil det ikke foreligge en reell løsning på oppgaven, men nærmere bestemt sammendrag og konklusjon av funn, samt eventuelle forslag til løsninger. Gruppe 29 består av Angélique Colle. Dette er en individuell oppgave grunnet arbeidssituasjon. Per tidspunkt foreligger det ingen ekstern oppdragsgiver, men en ekstern veileder. Den eksterne veilederen er: Håvard Hasli, Master i informasjonssikkerhet, som per tidspunkt er ansatt i avdelingen Drift og videreutvikling i Forsvaret, med ansvar for sikkerhet i datasystemet SAP. Han kan nås på mobil: 97795556. Intern veileder ved Høgskolen i Oslo er: Førsteamanuensis Geir Skjevling ved Datalinjen, Avdeling for ingeniørutdanning. Telefon: 22453240. 1.2 Sammendrag Prosjektoppgaven søker å avdekke hvilke rutiner og holdninger som er rundt tilganger til pasientinformasjon ved ulike helseforetak. Spørsmål rundt hvilke tilgangsbehov og - kontroller som råder, søkes besvart. Og det ønskes å skape bevissthet rundt hvordan så personsensitiv informasjon som vår egen medisinske tilstand forvaltes av og mellom helsepersonell. Ettersom oppgaven er forskningsrettet vil ingen teknisk løsning foreligge, ei heller en løsning på den moralske og personalpolitiske problematikken som oppstår rundt tilganger til slik sensitiv informasjon. Det er dog en bevisstgjøring rundt avdekkede forhold som vil konkludere prosjektoppgaven, og eventuelle forslag basert på undersøkelsene. 1.3 Dagens situasjon Innen datasikkerhet er det et gjeldende prinsipp med need to know som overordnet dikterer tilgang på ulike data. Man søker å balansere tilganger mellom det sikreste, det vil si ingen tilgang, og det praktiske, med fulle tilganger. I dette ligger at man skal ha tilgang til det man trenger for å utføre sine arbeidsoppgaver, men ei heller mer.
Dessverre er det dog slik at man ofte praktisk løser dette ved å gi brukere for mange tilganger. Dette fordi det tar både tid og ressurser å definere tilganger, eksempelvis ved bruk av roller eller tilgangsmatriser. Samt at det blir mye byråkrati av å gi og ta tilganger som stadig endrer seg. I realiteten er det også svært vanskelig å trekke tilbake tilganger som først en gang er gitt, selv om årsaken til at de ble gitt ut ikke lenger gjør seg gyldige. Pasientjournaler inneholder sensitiv informasjon som i høy grad kan sverte enkeltmennesket. Samtidig kommer sykdommer og skader ofte uforvarende, og tiltak må raskt på plass. Man har således ofte liten tid til disposisjon for annet enn det rent medisinske. Det kan i tillegg være ulik praksis mellom og offentlige helseinstitusjoner, og mellom ulike typer helseinstitusjoner. I tillegg er det flere datasystemer i bruk, som igjen har ulike formål, ulike tilgangsoppsett og ulike muligheter. 1.4 Mål og rammebetingelser Oppgavens mål er å se på om man i helseforetak har en overordnet strategi i forhold til innsyn og tilgangskontroll hva angår pasientjournaler, samt hva som gjøres for å ivareta det helsemessige aspektet opp mot personvernet. I tillegg søkes det å avdekke hvilke holdninger helsepersonell har i forhold til det innsynet de har, og i hvilken grad de forholder seg til gjeldende retningslinjer for forvaltning av pasientdata. Spørsmål som gjør seg gjeldende er om enhver spesialist ved en helseinstitusjon med full rett skal ha tilgang til en pasients journal ved den aktuelle institusjonen. Trenger alle leger ved helseinstitusjonen hele journalen for pasientens historikk det aktuelle stedet? Og har de alle en rolle i en akutt situasjon? Og dersom det finnes klare retningslinjer, er helsepersonell seg bevisst disse? Brukes datasystemenes tilgangsfordeling slik de er ment, eller gis det konsekvent ut større tilganger enn det som trengs? Og hvem avgjør hvilke tilganger som skal gis? Er det noen helseinstitusjoner som stikker seg ut i spesielt positiv eller negativ retning? Hva kan man lære av de som eventuelt måtte befinne seg på hver sin ende av skalaen?
Slike spørsmål ønskes det å få besvart, slik at man får et mer helhetlig bilde av hvordan sensitiv informasjon leses, endres og overføres av og mellom helsepersonell. 1.5 Løsninger og alternativer Denne oppgaven søker ikke å løse den moralske problematikken man står overfor i forhold til sensitiv informasjon generelt, ei heller pasientjournaler spesielt. Det søkes dog å rette søkelyset på et område som i stor grad er preget av greit å ha -holdninger, som tilganger til data, generelt. Og høyst sensitiv informasjon som pasientjournaler spesielt. Ved å se på hvilke retningslinjer som råder ved ulike helseforetak, samt hvilken holdning de som faktisk både forvalter og bruker tilgangene har, vil man kunne se på om tiltak bør settes inn, om man bør skjerpe rutiner eller slakke på stramme tøyler. Alternativt om pasienter selv bør kunne ha mer å si for hvem som eventuelt skal ha tilgang på hvilken informasjon, eller om det bør legges opp til at pasienter i større grad, og på en enklere måte, skal få oversikt over loggen for hvem som har lest pasientjournalen deres. For å få avkart holdninger og rutiner vil det foretas intervjuer og eventuelt spørreundersøkelse av ulikt helsepersonell og teknisk personell. Dette vil danne grunnlaget for oppgaven. 1.6 Analyse av virkninger Virkningen av en holdnings- og rutineavdekking er bevisstgjørelse. Dette igjen åpner for at man enten endrer rutiner og holdninger internt, eller åpner for at pasienter selv får ta enkelte avgjørelser selv. I tillegg kan helseinstitusjonene lære av hverandre dersom noen stikker seg ut spesielt positivt eller spesielt dårlig.