UNI. Horingssvar fra Universitetet i Agder

Like dokumenter
Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

ressurspersoner Juridiske forhold: Prosedyrer fra søknad, via behovskartlegging til vedtak om tjeneste og involvering av pårørende som Rune Fensli

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Ot.prp. nr. 51 ( )

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

HVEM ER JEG OG HVOR «BOR» JEG?

Sikkerhetskrav for systemer

Høringsuttalelse vedrørende forslag til ny forskrift om tilgang til helseopplysninger mellom virksomheter

Sikkerhetskrav for systemer

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

DRAMMEN KOMMUNE. Postmottak HOD

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Gjennomføringsperspektivet Møte Semikolon II januar 2013

Sikkerhetskrav for systemer

Interkommunale team og samhandling på tvers Hvordan kan teknologi bidra til å utvikle interkommunale team?

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Endelig kontrollrapport

Deres ref. Deres dato Vår ref. Vår dato /KJJ /

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Videokonsultasjon - sjekkliste

Telemedisinsk samhandling ved behandling av KOLS pasienter jus og datasikkerhet.

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Krav til sikkerhetsarkitektur for tilgang på tvers av virksomheter (og systemer)

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Høring - Forskrift om tilgang til helseopplysninger mellom virksomheter

Informasjonssikkerhet

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Krav til informasjonssikkerhet

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Samhandling på tvers med fokus på sikker implementering, avklaring av databehandlingsansvar og varige driftsløsninger

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

Høring - Utvidelse av pasientskadelovens virkeområde til å omfatte barneboliger, kommunale rusinstitusjoner og aldershjem

Høringsuttalelse: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

E-helse har noen innspill til enkelte av de foreslåtte endringene i reseptformidlerforskriften.

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Høring: NOU 2016:16 - Ny barnevernslov - Sikring av barnets rett til omsorg og beskyttelse

Deres referanse Vår referanse Dato 17/ / /CDG

Pasientjournalloven - endringer og muligheter

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

Ny pasientjournallov endringer og muligheter

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Datasikkerhet internt på sykehuset

Delavtale om samarbeid om IKT - løsninger lokalt.

Høringssvar: Forslag til forskrift om IKT-standarder i helse- og omsorgssektoren

Ny pasientjournallov - endringer og muligheter

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Høring- forslag til ny pasientjournallov og ny helseregisterlov

Personvern - Problem eller en grunnleggende demokratisk rett?"

AVTALEEKSEMPEL FOR GRUPPEPRAKSIS Avtaleparter Databehandlingsansvarlig

Elektronisk tilgang til pasientopplysninger i Norge, EU-land og på tvers av landegrenser

Høringsuttalelse på forslag til forskrift om system for rapportering av bivirkninger av legemidler (bivirkningsregisterforskriften)

Forslag til ny forskrift om kommunal betaling for utskrivningsklare pasienter.

HØRINGSUTTALELSE - FORSKRIFT OM INFORMASJONSSIKKERHET, TILGANGSSTYRING OG TILGANG TIL HELSEOPPLYSNINGER

Norm for informasjonssikkerhet i helse og omsorgstjenesten

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Personvern og tilgang i journal Internt & Eksternt. Helge Veum, senioringeniør HelsIT, Trondheim, 25. september 2008

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Bruk av databehandler (ekstern driftsenhet)

Svar på høring: Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Høringssvar - Rapport om fremtidig organisering av nødmeldetjenesten

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

PORSGRUNN KOMMUNE Legetjenester og miljørettet helsevern

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Kopi: TROMSØ KOMMUNE, Monica Solnes;UNIVERSITETSSYKEHUSET NORD-NORGE HF, Leif Erik Nohr;UNIVERSITETSSYKEHUSET NORD-NORGE HF, Magne Nicolaisen

Agenda - Off. Ph.D. prosjekt i ehelse

Postadresse Kontoradresse Telefon* Universitets- og

Direktoratet for e-helse: Høringssvar på forskrift om befolkningsbaserte helseundersøkelser

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Avtale om interkommunalt prosjektsamarbeid i prosjektet «Telemedisinsk løsning på Agder» TELMA

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Én innbygger én journal

Delavtale mellom Lardal kommune og Sykehuset i Vestfold HF (SiV) om Retningslinjer for samarbeid om utskrivningsklare pasienter som antas å ha behov

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

16/ /

Høringsuttalelse - Forslag til ny kommunal helse- og omsorgslov

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Informasjonssikkerhet i Helseplattformen

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

IS-7/2006. Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler

Sverre Engelschiøn. Oslo 19. Mai 2008

Fylkesmannen i Telemark

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Transkript:

UNI Helse- og omsorgsdepartementet Vår dato: 14.11.2014 Besøksadresse: Deres ref: Postboks 8011 Dep Vår ref: 14/03324-2 Direkte tlf: +47-37233745 0030 Oslo Saksbehandler: Veslemøy Rabe veslemoy.rabe@uia.no Horingssvar fra Universitetet i Agder Universitet i Agder mener at forskriften bidrar i riktig retning for å tilrettelegge for hensiktsmessig informasjonsbehandling. Senter for omsorgsforskning Sør og Senter for ehelse og omsorgsteknologi har utarbeidet høringssvar som oversendes i sin helhet. Med hilsen Veslemøy Rabe Fakultetsdirektør Fakultet for helse- og idrettsvitenskap 2 vedlegg UNIVERSITETETI AGDER Fikl.1..3dresse: POSIBOKS422 4604 KRISTIANSAND Universiteter i Agder, Fakturamottak TELEFON38 14 1000 FAKS38 14 1001 Postboks 383, Alnabru ORG.NR970 546 200 MVA postuuia.no Www.uia.no 0614 Oslo

Mottaker Kontaktperson Adresse Post Helse- og Postboks 8011 Dep 0030 Oslo omsorgsdepartementet 2 av 2

ehelse Til Det kongelige Helse- og omsorgsdepartement ostmottak hod.de.no Høringsuttalelse om «Forskrift om tilgang til helseopplysninger mellom virksomheter» Det vises til Deres høringsbrev av 09.09 d.å. Senter for ehelse og omsorgsteknologi ved Universitetet i Agder er involvert i flere forskningsprosjekt, der vi har hatt fokus på behovet for deling av tilgang til medisinsk informasjon. Resultater fra våre omfattende analyser i blant annet interkommunale fagteam og ved oppfølging av kroniske pasientgrupper, viser klart at tjenestene i dag opplever betydelige problemer med manglende tilgang til medisinsk informasjon på tvers av virksomhetsgrenser. De vedtatte lovendringer vii uten tvil være et skritt i riktig retning for å gjøre relevant helseinformasjon tilgjengelig når det er behov for det, uavhengig av tid, sted og organisatorisk tilhørighet. Senter for ehelse er også involvert i utviklingen av nytt telemedisinsk system for oppfølging av pasienter med KOLSetter utskriving fra sykehus, hvor det høsten 2014 er satt i drift en ny samhandlingsløsning der både kommunehelsetjenesten, fastlegen og spesialisthelsetjenesten kan ha felles tilgang til pasientens egenrapportering og med video konsultasjon beregnet for hjemmeboende kroniske pasienter. Denne felles journalløsningen vil være mulig etter lovendringen som trer i kraft fra 01.01-2015. I forhold til det foreliggende høringsutkast til ny forskrift, er det enkelte forhold vi vil påpeke som uheldige og vanskelige å praktisere i en hektisk pasientsituasjon. Forskriftens detaljerte krav kan derved bremse utviklingen og bruken av mulighetene for tilgang til helseopplysninger, mens lovens intensjoner er å åpne for viktig tilgang på tvers av organisatoriske virksomheter. Forskriften tar kun utgangspunkt i 19 om helseopplysninger ved helsehjelp, og fastsetter nærmere krav som må være oppfylt for å kunne gi tilgang fra eksterne virksomheter. Loven skiller her ikke mellom virksomhetsgrenser, men det forutsettes reelle sikkerhetsregimer med adekvate krav til informasjonssikkerhet. Det blir tillagt et ansvar hos databehandlingsansvarlige i forhold til å vurdere sikkerhetsnivået ved den eksterne virksomhet. Dette kravet virker noe underlig og vil få en uheldig konsekvens ved behov for systemrevisjon og ROS-analyser. Hver virksomhet har en databehandlingsansvarlig som i forhold til Normen har et selvstendig ansvar for å påse at egne systemer tilfredsstiller kravene. Det bør være et myndighetsansvar å foreta systemrevisjon, og ikke flytte dette ansvaret over til en samarbeidende organisatorisk enhet. Forskriftene kan presisere kravene til sikkerhetsregime og dokumentasjon av dette Senterfor ehelseog omsorgste nologi

ehelse som en forutsetning for å kunne gi tilgang for eksterne virksomheter, men ansvaret nå tilligge den virksomhet som åpner for ekstern tilgang. Samtidig må den eksterne virksomhet som skal gis tilgang også ha et tilsvarende ansvar og dokumentasjonskrav for sitt eget sikkerhetsregime. Mekanismene i dag for å gi tilgang til et datasystem som lagrer helseopplysninger er i hovedsak basert på prinsippet om rollebasert tilgang. Dette ivaretas av den enkelte organisasjon på ulike måter, men de personer som skal autoriseres må være registrert som bruker i virksomhetens datasystem. I praksis betyr dette et nettverks katalogsystem som AD eller LDAPsom et autorisasjonsregister. For at en helseperson i dagens systemer skal få tilgang «utenfra» innebærer dette at personen først må opprettes som en bruker i datasystemet til den virksomheten som skal utlevere medisinsk informasjon. Dette er en svært tungvint og tidkrevende prosedyre. Forskriften åpner for at det ikke er nødvendig at tilgangen avtales fra gang til gang for hver pasient, heller ikke at det er nødvendig å navngi på forhånd helsepersonell som kan gis tilgang. I praksis vil dette innebære en funksjon for beslutningsstyrt tilgang til medisinsk informasjon, i motsetning til dagens rollebaserte tilgangsstyring. Dersom forskriftens krav til organisatoriske avtaler er på plass mellom to eller flere virksomheter i samsvar med 4, må det være teknisk mulig å opprette et gjensidig trust-forhold mellom ITsystemene i virksomhetene. Det kan være hensiktsmessig å opprette dette som en tjeneste gjennom Norsk Helsenett. Dette burde tilsi at Normen utvides med et tilhørende faktaark der Forskriftens krav fremkommer. De virksomheter som tilfredsstiller slike krav, kan da automatisk iverksette funksjoner for ekstern tilgang til medisinsk informasjon. Vi vil på grunnlag av dette påpeke at Forskriftens 3 og 4 bør omformuleres, henhold til Normen som må ligge til grunn for tilgang mellom virksomheter. slik at det er nye Faktaark i I henhold til 6 skal rettigheter beskrives i et autorisasjonsregister. For den virksomhet som skal åpne for tilgang innebærer dette å registrere brukeren fra den eksterne organisasjon i sitt eget autorisasjonsregister. Dette er tidkrevende og vanskelig å håndtere. Dette er også motstridende til intensjonen om at det ikke er nødvendig å navngi helsepersonellet på forhånd. En bedre løsning vil være at det i tilknytning til Norsk Helsenett etableres et autorisasjonsregister i sammenheng med HPR-register. De ulike organisasjoners IKTsystemer må da etablere en sikker trust-løsning av typen Claims-based security model inn mot et sentralt autorisasjonsregister. Derved slipper en tidkrevende prosedyrer med etablering av brukere fra utenforstående organisasjoner inn i hvert enkelt EPJ/PLO-system, og det åpner for større grad av AD-hoc basert behov for tilgang til helseopplysninger. For å kunne oppfylle intensjonene om sammenhengende behandlingskjeder, tverrfaglig team, Continuous Care Model og tett samarbeid mellom 1. og 2. linje tjeneste vil det i stor utstrekning være AD-hoc preget behov for tilgang til medisinsk informasjon, og det er viktig at Forskriftene ikke stiller krav som i en praktisk og hektisk helse-hverdag setter begrensninger på dette. Forskriftens 2 begrenser tilgangen til kun lese-adgang. I kommentarene til forskriftene er det foreslått visse situasjoner som kan ha behov for begrenset skriveadgang i form av kommentarer. Dette synes fornuftig. Men når det da skal skrives opplysninger i et journalsystem tilhørende en annen organisatorisk virksomhet vil det ikke være tilstrekkelig sikkerhet å «signere» denne inforrhasjonen med den påloggede brukers brukernavn slik som dagen systemer benytter. Det bør stilles krav til elektronisk signering ved bruk av digitalt sertifikat som forutsetning for å gi skrivetilgang. Et slikt krav vil selvsagt ikke være relevant når det kun er snakk om lesetilgang, men for å oppnå en pålitelig logging av oppslag i journalen, kan det være

ehelse mange gode grunner til å kreve bruk av digitalt sertifikat for de brukere som skal ha tilgang inn i en annen organisasjons virksomhet. Pasientjournallovens virkeområde er begrenset til Norge. Det vil likevel være viktig å påse at så vel lovens bestemmelser som den tilhørende forskrift harmoniseres med European Commission «ehealth Action Plan 2012-2020» der det spesielt påpekes nødvendigheten av å kunne utveksle helseopplysninger på tvers av landegrenser. Grimstad, den 13. november 2014 Med vennlig hilsen Q d$1.e. Rune Fensli Forskningsleder Senter for ehelse og omsorgsteknologi Universitetet i Agder

Helse-og omsorgsdepartementet Det vises til Deres høringsbrev av 09.09 d.å. Høringsuttalelse om «Forskrift om tilgang til helseopplysninger mellom virksomheter» Senter for omsorgsforskning-sør er involvert i ulike forsknings- og utviklingsprosjekt, der vi har hatt behov for deling av informasjon både når det gjelder pleie- og helsefaglig informasjon. Loven skal bidra til at relevante og nødvendige helseopplysninger er tilgjengelige, uavhengig av hvem som gir helse-hjelpen og uavhengig av hvor opplysningene om pasienten er registrert og lagret. Det er viktig at kontinuitet og kvalitet i behandlingen blir ivaretatt når pasienter overføres mellom behandlingsnivåer. I høringsforslaget heter det: «Virksomheter som vil gi helsepersonell fra andre virksomheter tilgang til behandlings-rettede helseregistre, må inngå en særskilt avtale om dette. Avtalepartene skal vurdere risiko for pasientenes personvern som tilgang kan føre til. Vurderingene skal minst omfatte risiko for brudd på taushetsplikt og svekket informasjonssikkerhet. Avtalen må angi hvilke behovs- og risikovurderinger som ligger til grunn for avtalen. Avtalen må også regulere hvilke journalmoduler den omfatter, og rutiner og fordeling av oppgaver for å ivareta kravene i denne forskriften». Med denne formuleringen ser vi at behovet for deling av informasjon i forhold til vårt behov vil bli ivaretatt. Det er særs viktig at taushetsplikt blir ivaretatt og at personvernhensyn blir sikret. Grimstad 12.11.2014 Torhild K.Gregersen Daglig leder Universitetet i Agder Fakultet for helse- og idrettsvitenskap Senter for omsorgsforskning- Sør Postboks 509 4898 Grimstad Tlf 37 23 30 07/99289729

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding