Ot.prp. nr. 51 (2008-2009) Tilgang til behandlingsrettede helseregister på tvers av virksomhetsgrenser Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet
Formålet med lovforslaget Fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten. Samtidig skal pasientens rett til konfidensialitet og vern om personlig integritet ivaretas. Behovet for helseopplysningene og reglene om taushetsplikt som skal være avgjørende for om man skal få opplysninger. 2
Forslag til lovendringer Hjemmel i helseregisterloven 13 2. ledd til å fastsette forskrift om tilgang til helseopplysninger på tvers av virksomheter Hjemmel i helseregisterloven 6b, jf. 9 til i forskrift å etablere virksomhetsovergripende behandlingsrettede helseregistre på lokalt og regionalt nivå 3
Forslag til lovendringer forts. Hjemmel i helseregisterloven 6b til i forskrift å tillate etablering av felles behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap. Presisering og utdyping av helsepersonelloven 45 (utlevering av og tilgang til journal og journalopplysninger) 4
Faglige begrunnelser Pasienter har krav på forsvarlig helsehjelp. Nye undersøkelses- og behandlingsmetoder økende spesialisering Pasientmobilitet. Pasienten behandles oftere av (et sett av) samarbeidende personell, som alle trenger tilgang til pasientdata Personellet tilhører ofte forskjellige virksomheter 5
Faglige begrunnelser forts Pasienten skal slippe å gjenta opplysninger Utveksling av papirjournaler ikke nødvendigvis sikrere Nye teknologiske kommunikasjons- og dokumentasjonsformer. Det er behov for større fleksibilitet enn det regelverket i dag gir adgang til. 6
Tilgang på tvers av virksomhet 13 nytt annet ledd: Kongen i Statsråd kan gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum (Gjeldende 13 : Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. ) Databehandlingsansvarlig: Helseforetaket 7
Eksempel Rikshospitalet HF, Aker universitetssykehus HF og Ullevål universitetssykehus HF er fra 1. januar 2009 omorganisert til Oslo universitetssykehus HF. Omorganiseringen medfører at det innenfor rammene i helseregisterloven kan gis tilgang til relevante og nødvendige opplysninger i pasientbehandlingsøyemed på tvers av de tre Oslosykehusene. 8
Eksempel forts. Før omorganiseringen 1. januar 2009 kunne man ikke gi tilgang på tvers av de tre virksomhetene, fordi de var tre ulike virksomheter (helseforetak). Informasjonen måtte sendes i en kopi (elektronisk eller på papir). 9
Odelstingets vedtak 10. juni 13 nye tredje, fjerde, femte og sjette ledd: Tilgang til helseopplysninger i behandlingsrettede helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte. Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. 2 nr. 11. 10
Odelstingets vedtak forts. Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen. Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne. 11
Ikke forslag om endringer i reglene om taushetplikt Viktig å understreke at forslaget ikke gir helsepersonell tilgang til flere opplysninger enn dagens regler. Det er måten man får tilgang til opplysningene på som endres. Ved tilgang i motsetning til utlevering 12
Virksomhetsovergripende behandlingsrettede helseregistre Ny 6a Register som omfatter flere virksomheter Kjernejournal Kun regionale og lokale registre Krav om forskrift (formål, innhold opplysninger, tilgang, sanksjoner, informasjonssikerhet med mer) Samtykkebasert eller reservasjonsrett 9 pålegger meldeplikt 13
Føring av felles journal formalisert arbeidsfellesskap Ny 6b: Åpner for rett til føring av felles journal Omfatter arbeidsfelleskap som utad fremstår som en organisatorisk enhet. Eksempler:legesenter, tannlegesenter, ulike typer legevaktsamarbeid, distriktsmedisinske sentra, kommunalt samarbeid med privat tjenesteyter. Nærmere regulering i forskrift, bl.a. om databehandlingsansvar, tilgang og tilgangskontroll 14
Forskrift informasjonssikkerhet og tilgang til helseopplysninger på tvers av virksomheter Utkast til forskrift vært på høring Krav om avtale Krav om at helsepersonell må identifisere seg på et høyt sikkerhetsnivå Virksomheten må etterleve sikkerhetskravene i forskriften (Forsvarlighetskrav, planlegging, organisering, opplæring, internkontroll, tilgangsstyring, logging) 15
Forskrift forts. - Det forutsettes at det i eget system er en eksplisitt mulighet til å autorisere en bruker for rett til å forespørre informasjon i ekstern virksomhet Journalen struktureres slik at det kun gis tilgang til opplysninger som er nødvendig ut fra pasientens behov 16
Oppsummering Personvernet er helt avgjørende for folks tillit til helsetjenesten Taushetsplikten skal ikke rokkes ved En egen forskrift stiller strenge krav til sikkerhet Dagens praksis med utveksling av papirjournaler er tungvint, tidkrevende, og gir ikke nødvendigvis bedre personvern EPJ en viktig brikke i helhetlige pasientforløp Snoking er ulovlig og kan straffes med bøter og fengsel Teknologien gir nye muligheter til å tilgangsstyre og logge oppslag. 17