IS-7/2006 Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler
Heftets tittel: Rundskriv vedrørende tilgang til og utlevering av opplysninger i elektroniske pasientjournaler Utgitt: 12/2006 Bestillingsnummer: IS-7/2006 Utgitt av: Kontakt: Postadresse: Besøksadresse: Sosial- og helsedirektoratet Avdeling bioteknologi og generelle helselover Pb. 7000 St Olavs plass, 0130 Oslo Universitetsgata 2, Oslo Tlf.: 810 200 50 Faks: 24 16 30 01 www.shdir.no Heftet kan bestilles hos: Sosial- og helsedirektoratet v/ Trykksakekspedisjonen e-post: trykksak@shdir.no Tlf.: 24 16 33 68 Faks: 24 16 33 69 Ved bestilling. Oppgi bestillingsnummer: IS-7/2006 2
Innhold Innledning 4 1 Rettslig utgangspunkt 5 1.1 Ansvar for den elektroniske pasientjournalen - databehandlingsansvar 5 1.2 Helsehjelp forsvarlighet, taushetsplikt og samarbeid 6 1.3 Taushetsplikt 7 1.4 Unntak fra taushetsplikten for opplysninger som er nødvendig for å yte forsvarlig helsehjelp 8 1.5 Tilgangsbegrensning til helseopplysninger i virksomhetens EPJsystem 9 2 Tilgangsstyring i virksomheter i spesialisthelsetjenesten 11 2.1 Elementer i tilgangsstyring 13 2.1.1 Nødvendige elementer i tilgangsstyringen 13 2.1.2 Nærmere om innholdet i elementene for tilgangsstyring 14 3 Kommunikasjon av helseopplysninger på tvers av helseforetak og andre virksomheter innen spesialisthelsetjenesten 17 3
Innledning Elektronisk behandling av helseopplysninger gir mulighet for en enklere og raskere tilgang til informasjon som er relevant og nødvendig for å sikre forsvarlig helsehjelp, både internt i en virksomhet og eksternt utenfor virksomheten. En økt tilgang til helseopplysninger vil imidlertid kreve en større grad av sikkerhet og kontroll, for å ivareta taushetsplikten og personvernet. Formålet med rundskrivet er å tydeliggjøre hvilke krav lovverket stiller til hvordan helseopplysninger kan håndteres i et elektronisk pasientjournalsystem (heretter kalt EPJ). Rundskrivet tar for seg både regelverket med hensyn til kommunikasjon av opplysninger i forbindelse med helsehjelp, internt i den enkelte virksomhet, og på tvers av virksomheter. Rundskrivet omtaler i hovedsak regelverket som gjelder kommunikasjon av opplysninger mellom helsepersonell, i forbindelse med at det ytes helsehjelp til den enkelte pasient, jf. helsepersonelloven 25 og 45. Rundskrivet retter seg mot spesialisthelsetjenesten. Herunder omfattes helseforetak og private virksomheter i spesialisthelsetjenesten. Inn under dette faller også privatpraktiserende spesialister. Mange av reglene som rundskrivet omtaler er generelle, og gjelder i utgangspunktet for alt helsepersonell og enhver virksomhet som yter helsehjelp. Reglene vil derfor i stor utstrekning også omfatte helsepersonell i primærhelsetjenesten. Forholdet til primærhelsetjenesten vil ikke bli omtalt spesielt. Rundskrivet beskriver hvordan tilgang til helseopplysninger internt i en virksomhet, og utlevering av helseopplysninger på tvers av helseforetak og andre virksomheter i spesialisthelsetjenesten, vil kunne gjennomføres på en hensiktsmessig og effektiv måte, slik at de krav som helsepersonelloven og helseregisterloven stiller til konfidensialitet, integritet, kvalitet og tilgjengelighet ivaretas. Med begrepet virksomhet menes i rundskrivet den virksomhet hvor databehandlingsansvaret ligger. Innenfor offentlig spesialisthelsetjeneste vil hvert enkelt helseforetak anses som en virksomhet. For å angi den virksomhet hvor en person er ansatt benyttes termen egen virksomhet. Ekstern virksomhet benyttes i rundskrivet for virksomhet hvor en annen databehandlingsansvarlig har instruksjonsmyndighet. Oslo 5. desember 2006 Bjørn-Inge Larsen direktør 4
1 Rettslig utgangspunkt 1.1 Ansvar for den elektroniske pasientjournalen databehandlingsansvar Helsepersonell som yter helsehjelp skal føre journal for den enkelte pasient som mottar helsehjelp 1. Ansvaret for at dette blir gjort påhviler den som har et selvstendig ansvar for å yte helsehjelpen. Personell som har en støttende eller underordnet funksjon har ikke journalføringsplikt. Som følge av at det ytes helsehjelp nedtegnes helseopplysninger i pasientens journal, og helsepersonell får ansvar for å holde orden i journalen. Redigering i journalen, retting og sletting, pasientinnsyn og administrasjon av helsehjelp, må tas hånd om når det ytes helsehjelp. Virksomheter hvor en eller flere personer yter helsehjelp må ha et pasientjournalsystem slik at opplysninger om den enkelte pasient kan skrives ned, og gjenfinnes når det senere er behov for dem 2. Pasientjournalen er, som register betraktet, et behandlingsrettet helseregister. Slike registre har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slik handling. Helseregisterloven krever at det skal være en databehandlingsansvarlig for behandlingsrettede helseregistre 3. Databehandlingsansvarlig 4 er den som alene eller sammen med andre har bestemmelsesrett over helseopplysningene og den elektroniske behandlingen av disse, herunder rett til å bestemme formålet med behandlingen av helseopplysningene. I tillegg pålegger helseregisterloven den databehandlingsansvarlige en rekke plikter i forbindelse med behandling av helseopplysninger, blant annet plikt til å informere den registrerte om behandlingen av helseopplysninger 5 m.v. Den databehandlingsansvarlige pålegges en rekke plikter i helseregisterloven. Helseregisterloven 16 stiller blant annet krav om at databehandlingsansvarlig i forhold til utenverden skal stå inne for at informasjonssikkerheten er tilfredsstillende, slik at konfidensialitet, integritet, kvalitet og tilgjengelighet blir godt nok ivaretatt. Blant annet fordi manglende oppfyllelse av denne plikten er straffesanksjonert og fordi den registrerte skal kunne få håndhevet sine rettigheter etter loven, er det et krav at databehandlingsansvarlig må ha partsevne det vil si kunne saksøkes for domstolene. Dette innebærer også at delegasjon av databehandlingsansvaret til enheter som ikke har partsevne, bare vil omfatte det daglige ansvaret for behandlingen av opplysningene. 1 Jf. Lov 2. juli 1999 nr. 64 om helsepersonell m.v.(helsepersonelloven) 39. 2 Den enkelte virksomhet har etter spesialisthelsetjenesteloven 3-2 et ansvar for å sørge for at journal- og informasjonssystemene i virksomheten er forsvarlige. 3 Jf. Lov nr. 24 av 18. mai 2001 (helseregisterloven) 6. 4 Databehandlingsansvarlig er den som bestemmer formålet med behandlingen av helseopplysninger og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. helseregisterloven 2 nr. 8. 5 Jf. helseregisterloven 23 og 24. 5
Helseforetaksloven 6 fastslår at både regionalt helseforetak (RHF) og helseforetak (HF) har partsevne. Dette innebærer at både RHF og HF i prinsippet kunne tenkes å være databehandlingsansvarlig for opplysninger i elektronisk pasientjournal. Helseregisterloven 6 krever imidlertid at databehandlingsansvarlig er den som tar i bruk behandlingsrettede helseregister. Det følger av helseforetaksloven 2 at RHF skal legge til rette for spesialisthelsetjenester, mens HF skal yte spesialisthelsetjenester. Videre er det bestemt i helseforetaksloven 9 at utøvende virksomhet skal organiseres som helseforetak. Dette betyr at regionalt helseforetak ikke kan være databehandlingsansvarlig for sine helseforetaks pasientjournalsystemer. Ansvaret for å være databehandlingsansvarlig må ligge på helseforetakene. Helseforetaket kan bare være databehandlingsansvarlig for de helseinstitusjoner som er eiet av foretaket. Private helseinstitusjoner som har avtale med regionale helseforetak kan ikke ses som del av et helseforetak, slik at helseforetaket ikke vil kunne være databehandlingsansvarlig for journalsystemene ved disse helseinstitusjonene. Aksjeselskap, som yter spesialisthelsetjenester etter avtale med et helseforetak, kan helseforetaket heller ikke være databehandlingsansvarlig for. Det gjelder selv om helseforetaket er deleier i aksjeselskapet. Dette følger blant annet av helseregisterlovens forutsetning om at databehandlingsansvarlig skal kunne holdes ansvarlig for domstolen for virksomheten. Det følger av journalforskriften 5 at det som hovedregel skal opprettes en journal for den enkelte pasient, selv om helsehjelp ytes av flere innen virksomheten. Hovedregelen om å ha samlet journal for den enkelte pasient, kan fravikes dersom virksomhetens enheter klart fremstår som separate deltjenester, både faglig og organisatorisk. At databehandlingsansvaret skal ligge på et HF, er ikke til hinder for at det etableres flere journaler på den enkelte pasient, innenfor det enkelte HF. Fravikelse av hovedregelen om en samlet journal, kan for eksempel være aktuelt for et HF med både psykiatriske og somatiske avdelinger. 1.2 Helsehjelp forsvarlighet, taushetsplikt og samarbeid Plikt til forsvarlig yrkesutøvelse er et grunnleggende krav for alt helsepersonell som yter helsehjelp 6. Helsepersonell skal arbeide i samsvar med de krav til faglig forsvarlighet og omsorgsfull hjelp som kan forventes ut fra helsepersonellets kvalifikasjoner, arbeidets karakter og situasjonen for øvrig. Ikke bare helsepersonell, men også helsetjenesten som sådan har plikt til å opptre forsvarlig 7. De helsetjenester som tilbys må være forsvarlige og arbeidsgiver har plikt til å sørge for at det etableres rutiner og at rutinene er forsvarlige. I en rekke virksomheter som yter helsehjelp deltar flere helsepersonell når man skal gi helsehjelp til den enkelte pasient. Det er satt krav til at yrkesutøvelsen når 6 Jf. helsepersonelloven 4. 7 Jf. Lov 2. juli nr. 61 1999 om spesialisthelsetjenesten m.m. (spesialisthelsetjenesteloven) 2-3, Lov 19. nov. nr. 66 1982 om helsetjenesten i kommunen (kommunehelsetjenesteloven) 1-3a og Lov 3. juni 1983 nr. 54 om tannhelsetjenesten (tannhelsetjenesteloven) 1-3a. 6
pasientens tilstand tilsier det, skal skje ved samarbeid og samhandling med annet kvalifisert personell 8. Pasienter som søker helsehjelp har en forventning om at helsehjelpen de får er forsvarlig, og forventer også trygghet for at de opplysningene de gir helsepersonell ikke skal komme på avveie. Helsepersonell trenger å vite hva som er pasientens problem og bakgrunnen for det for å kunne gi forsvarlig helsehjelp. Pasienten på sin side må kunne gi opplysninger i tillit til at disse blir vernet mot innsyn fra uvedkommende. Pasientrettighetsloven gir pasienten en rett til vern mot spredning av opplysninger 9. Denne retten går like langt som bestemmelsene om taushetsplikt i helsepersonelloven. For å kunne ta stilling til hvilken helsehjelp som skal gis til den enkelte pasient kreves normalt kunnskap om pasienten. Slik kunnskap kan man få fra pasienten selv, fra pasientens journal i den virksomhet man selv tilhører eller fra pasientjournaler i andre virksomheter. I helselovgivningen er det bestemt at helseopplysninger i visse situasjoner kan eller skal gis til andre innenfor bestemte rammer. I helsepersonelloven, helseregisterloven og spesialisthelsetjenesteloven er det nærmere bestemmelser om hvordan taushetsbelagte helseopplysninger skal håndteres i forbindelse med at det ytes helsehjelp. Det vil bli redegjort for disse reglene i det følgende. 1.3 Taushetsplikt Helsepersonell har som hovedregel taushetsplikt om pasientforhold. I tillegg til en plikt til å tie, innebærer taushetsplikten også en aktiv plikt for helsepersonell til å hindre uvedkommende i å få tilgang til pasientopplysninger. Dette innebærer blant annet krav til forsvarlig oppbevaring av skriftlige opplysninger om pasienten. Helsepersonellets plikter korresponderer med virksomheters plikt til forsvarlig lagring og oppbevaring av pasientopplysninger 10. Taushetspliktsreglene gjelder også mellom helsepersonell. At man er ansatt som helsepersonell i en virksomhet, medfører således ikke tilgang til opplysninger om alle pasientene der. Utveksling av taushetsbelagt informasjon mellom helsepersonell kan kun skje når det er nødvendig for behandling og oppfølgning av pasienten, dersom pasienten samtykker, eller hvor det foreligger annet rettslig grunnlag for å gi slik informasjon. Innføring av elektronisk pasientjournal har ikke ført til endringer eller lempninger i reglene om taushetsplikt. Det betyr at verken organisatoriske- eller teknologiske løsninger er styrende for hvordan pasientopplysninger kan eller skal håndteres og eventuelt formidles. Utgangspunktet er at helsepersonell og virksomheten har plikt til å hindre at andre får tilgang til pasientopplysninger. Det er unntakene fra denne plikten som styrer hvem som kan gis tilgang til pasientopplysninger, og til hvem og hvordan utlevering av pasientopplysninger kan skje. Dette gjelder uavhengig av om pasientjournalen føres i et elektronisk eller et papirbasert system. 8 Jf. helsepersonelloven 4. 9 Jf. Lov 2. juli 1999 nr. 63 om pasientrettigheter (pasientrettighetsloven) 3-6. 10 Jf. spesialisthelsetjenesteloven 3-2, helseregisterloven 16. 7
De regler som omtales, gjelder for alle systemer i helsetjenesten som inneholder helseopplysninger. De vurderinger som gjøres i rundskrivet knyttet til elektroniske pasientjournaler vil derfor også gjelde for pasientadministrative systemer, for pasientdata lagret i laboratoriesystemer, RIS, intensivovervåkningssystemer m.m. 1.4 Unntak fra taushetsplikten for opplysninger som er nødvendig for å yte forsvarlig helsehjelp Helsepersonellovens 25 regulerer helsepersonells adgang til å gi helseopplysninger til personell de samarbeider med i forbindelse med den helsehjelp som ytes. Opplysningene kan gis til samarbeidende personell både innenfor og utenfor virksomheten. Utgangspunket er at opplysninger kun kan gis til samarbeidende personell som trenger opplysningene for å yte helsehjelp til pasienten. Det vil ofte være nødvendig å innhente opplysninger som er nedtegnet i forbindelse med at det tidligere er gitt helsehjelp til pasienten. Det kan være opplysninger som er nedtegnet i egen virksomhet eller i en annen virksomhet. Helsepersonelloven 45 fastslår at helsepersonell som mottar en slik anmodning om å gi tilgang til eller utlevere journalen eller opplysninger i journalen til andre, i utgangspunktet har plikt til å etterkomme anmodningen, når de opplysninger det anmodes om er nødvendig for å yte helsehjelp. Det skal ikke gis tilgang til eller utleveres flere opplysninger enn det som er nødvendig for å gi pasienten forvarlig helsehjelp. Dette innebærer at det må foretas en konkret vurdering av om vilkårene for utlevering er tilstede. Det skal fremgå av journalen at annet helsepersonell er gitt adgang til journalen eller opplysninger i journalen etter helsepersonelloven 45. Opplysninger kan gis til helsepersonell som yter helsehjelp både i egen virksomhet og i ekstern virksomhet. Helseopplysninger kan gis muntlig eller skriftlig, og kan også overføres ved hjelp av elektroniske medier dersom det brukes systemer med sikkerhetsløsninger som gjør det mulig å ivareta personvernhensynene i samsvar med kravene i helseregisterloven, personopplysningsloven og personopplysningsforskriften. Det følger både av helsepersonelloven 25 og 45, og av pasientrettighetsloven 5-3, at pasienten har rett til å nekte informasjonsutveksling mellom helsepersonell, selv om opplysningene er nødvendig for å yte helsehjelp. Retten til å nekte forutsetter at pasienten gir uttrykkelig beskjed. Kravet om aktivitet fra pasienten for å forhindre informasjonsutveksling, er begrunnet i at pasienten må kunne regne med at det utveksles informasjon mellom helsepersonell om vedkommendes helsetilstand, og om hvilken helsehjelp som skal gis. Helsepersonellet har i utgangspunket ikke noen plikt til å innhente eksplisitt samtykke fra pasienten før helseopplysninger utveksles etter reglene nevnt ovenfor. Pasientens antatte samtykke vil imidlertid være sentralt. Helsepersonellet bør ha grunn til å tro at pasienten ønsker opplysningene videreformidlet. I særskilte tilfeller kan hensynet til personvernet tilsi at pasienten informeres før helseopplysninger utveksles. Det kan for eksempel dreie seg om spesielt følsomme opplysninger eller at det av andre grunner er tvilsomt om pasienten ville gitt sitt samtykke. 8
Dersom pasienten ønsker å motsette seg bruken av opplysninger i egen journal, må nødvendig informasjon om dette registreres, og det må sikres at innsyn ikke blir gitt uten at det er gitt eksplisitt samtykke fra pasienten, og dette er registrert i pasientens journal. Helsepersonell må opplyse pasienten om risikoen som er forbundet med at helsepersonell på grunn av sperring av journal, ikke får tilgang til relevante opplysninger om pasienten. Dersom pasienten vil opprettholde sin avgjørelse, må pasienten selv ta konsekvensen av dette. Selv om pasienten som hovedregel kan motsette seg at journal eller opplysninger i journal gis til andre, kan tungtveiende grunner gjøre at dette allikevel kan skje 11. I praksis vil tungtveiende grunner være situasjoner hvor opplysningene anses nødvendig for å hindre fare for liv eller alvorlig helseskade. Etter helsepersonelloven 26 vil den som yter helsehjelp ha en viss adgang til å gi opplysninger til virksomhetens ledelse når dette er nødvendig for å yte helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten. Det er forutsatt at det normalt ikke vil være nødvendig å gi opplysninger om en pasients identitet. Det vil ikke være anledning til å utlevere opplysinger til eksterne virksomheter etter denne bestemmelsen. Bestemmelsen omtales ikke nærmere. Rutiner for kommunikasjon av helseopplysninger internt i virksomheten og på tvers av virksomheter, må sikre at kravene i helsepersonelloven 25 og 45 blir oppfylt. En nærmere vurdering og eksemplifisering av hvordan bestemmelsene kan praktiseres, i og mellom virksomheters EPJ-systemer, vil bli gitt under kapittel 2 og kapittel 3. 1.5 Tilgangsbegrensning til helseopplysninger i virksomhetens EPJ-system Ved kommunikasjon av helseopplysninger må det skilles mellom tilgang til opplysninger i den databehandlingsansvarliges virksomhet, og utlevering av opplysninger fra en databehandlingsansvarlig til en annen. Helseregisterloven 13 regulerer hvem som kan gis tilgang til helseopplysninger i den databehandlingsansvarliges og/eller databehandlers virksomhet. Det fremgår av bestemmelsen at det bare er den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, som kan gis tilgang til helseopplysninger som behandles etter loven. I dette ligger det et krav om fysiske og tekniske tilgangssperrer, slik at ingen utenfor databehandlingsansvarlig eller databehandlers instruksjonsmyndighet skal ha mulighet til å på egenhånd kunne tilegne seg helseopplysninger i virksomhetens EPJ-system. Helseregisterloven 13 setter her de ytre rammer for hvem som kan gis tilgang til helseopplysninger i den databehandlingsansvarliges virksomhet. Bestemmelsen må ses i sammenheng med helseregisterloven 16, som pålegger databehandlingsansvarlig og databehandler å sørge for tilstrekkelig konfidensialitet av helseopplysninger. Dersom noen utenfor den databehandlingsansvarliges eller databehandlers virksomhet har tilgang til 11 Jf. pasientrettighetsloven 5-3. 9
helseopplysninger, har ikke databehandlingsansvarlig eller databehandler oppfylt sine plikter etter helseregisterloven 16, om sikring av helseopplysninger. For at tilgang til helseopplysninger skal kunne gis oppstiller helseregisterloven 13 i tillegg krav om at det er nødvendig for den enkelte medarbeiders arbeidsoppgaver, og i samsvar med gjeldende regler om taushetsplikt, jf. blant annet helsepersonelloven 25 og 45. Bestemmelsen setter med dette strengere rammer for tilgang til helseopplysninger enn kun fysiske og tekniske sperrer. For at bestemmelsen skal kunne etterleves vil det fra den databehandlingsansvarliges side være nødvendig med informasjon og oppbygging av kompetanse og holdninger, og også tiltak av organisatorisk art. 10
2 Tilgangsstyring i virksomheter i spesialisthelsetjenesten Helsepersonelloven bygger på prinsippet om at den som har taushetsplikt også skal ta stilling til om vilkårene for å utveksle informasjon er oppfylt. Dette innebærer at det i utgangspunktet er det enkelte helsepersonell som skal vurdere om helseopplysninger i EPJ-systemet skal gis til samarbeidende personell, eller andre, i forbindelse med at det ytes helsehjelp, jf. helsepersonelloven 25 og 45. I store virksomheter hvor det er mange som samarbeider om å yte helsehjelp, vil et en-til-en samarbeid mellom de enkelte helsepersonell være vanskelig å gjennomføre i praksis. Det er gitt en del regler som skal bidra til og støtte opp under at helsehjelpen i helseinstitusjoner kan ytes på en koordinert og trygg måte. I helseinstitusjon skal det utpekes en journalansvarlig som skal ha det overordnede ansvaret for den enkelte pasientjournal og ta stilling til hvilke opplysninger som skal stå der 12. Den journalansvarlige skal sørge for at journalen kan fungere som et godt og hensiktsmessig verktøy. Forsvarlige journal- og informasjonssystemer krever at tilgjengeligheten og personvernet er ivaretatt på en god måte. Derfor er dette ansvaret uttrykkelig pålagt helseinstitusjon som omfattes av spesialisthelsetjenesteloven 13. Pasientansvarlig lege er videre en ordning som skal styrke samordnet behandling og kommunikasjon mellom lege og pasient. Ordningen er forankret i spesialisthelsetjenesteloven med tilhørende forskrift 14, og skal skape kontinuitet i møtet mellom pasienten og helsetjenesten. For å få til et effektivt samarbeid, vil det være nødvendig at kommunikasjon av journal eller opplysninger i journalen settes i system. Journalansvarlig person, pasientansvarlig lege og virksomhetens plikt til å ha forsvarlige journalsystemer, vil være viktige elementer i det å etablere gode rutiner for slik kommunikasjon. Rutinene må tilpasses virksomheten. God kultur og internkontroll med hensyn til informasjonssikkerhet i EPJ er en sentral del av helsetjenestens troverdighet. Det er mange hensyn som må ivaretas og veies mot hverandre ved interne rutiner for kommunikasjon av helseopplysninger i EPJ-systemet (tilgangsstyring). Dette gjelder særlig forholdet mellom konfidensialitet og tilgjengelighet. I mange tilfelle vil det å få tilgang til opplysninger om sykdom og behandling, være av avgjørende betydning for vurdering av behandling og tiltak. Dersom opplysningene er nødvendig for at samarbeidende personell eller annet helsepersonell skal kunne gi pasienten forsvarlig helsehjelp, er det derfor gjort unntak fra helsepersonellets taushetsplikt, jf. helsepersonelloven 25 og 45. Hensynet bak disse bestemmelsene er å ivareta pasientens behov for helsehjelp, samt å bidra til forsvarlige, rasjonelle og hensiktsmessige forhold i helsetjenesten. 12 Jf. helsepersonelloven 39. 13 Jf. spesialisthelsetjenesteloven 3-2. 14 Jf. spesialisthelsetjenesteloven 3-7 og forskrift av 1.desember 2000. 11
En økt tilgjengelighet til helseopplysninger vil være en fordel når det skal gis helsehjelp til den enkelte pasient, og vil øke sannsynligheten for at pasienten får behandling som er tilpasset tilstanden. Samtidig har pasienten rett til å bli vernet mot spredning av opplysninger, og har krav på at opplysninger om legems- og sykeforhold, samt andre personlige opplysninger, blir behandlet i samsvar med gjeldende bestemmelser om taushetsplikt 15. Helsepersonell har en selvstendig plikt til å overholde kravene i helsepersonelloven. Den enkelte virksomheten har på sin side en plikt til å legge til rette for at helsepersonellet kan ivareta sine lovpålagte plikter 16. Helseregisterloven 16 pålegger den databehandlingsansvarlige og databehandler å sørge for tilfredsstillende informasjonssikkerhet, med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet, ved behandling av helseopplysninger. Krav om tilstrekkelig konfidensialitet av helseopplysninger, innebærer blant annet at bestemmelsene om taushetsplikt og reglene om tilgangsbegrensning i helseregisterloven 13, må overholdes. Databehandlingsansvarlig må sørge for at helseopplysninger i EPJ-systemet er forsvarlig vernet mot innsyn fra ansatte eller andre som ikke har tjenstlig behov for opplysningene. Det vil ikke være tilstrekkelig å basere seg på etterfølgende kontroll av om det kun har skjedd rettmessig innsyn i pasientjournalen. Taushetsplikten innebærer også en plikt til å hindre urettmessige oppslag i taushetsbelagte helseopplysninger. Kravet om tilstrekkelig konfidensialitet innebærer videre at det ikke gis tilgang til- eller utleveres helseopplysinger dersom det ikke finnes lovbestemmelser som åpner for dette. På den andre siden plikter databehandlingsansvarlig også å sørge for tilfredsstillende tilgjengelighet av helseopplysninger. Dette betyr at helseopplysningene faktisk skal være tilgjengelig når helsepersonellet trenger dem, enten i forbindelse med den helsehjelp helsepersonellet selv skal yte, eller dersom helsepersonellet trenger opplysninger for å oppfylle andre plikter etter helsepersonelloven. For å kunne ivareta kravet om at helseopplysninger skal være tilgjengelig, forutsettes at de som skal yte helsehjelp må kunne gå inn i EPJ-systemet. Et for åpent system vil innebære at virksomheten ikke har ivaretatt sin plikt til å sikre konfidensialitet. For å sikre at kravet til konfidensialitet er ivaretatt, må det etableres tiltak av fysisk, teknisk og organisatorisk art, slik at det blir samsvar mellom faktisk og lovlig tilgang. Nedenfor vil det bli beskrevet hvordan virksomheten kan organisere informasjonsutveksling av helseopplysninger internt, på en måte som er hensiktsmessig og effektiv for tilgjengelighet til og bruk av helseopplysninger, samtidig som de krav som helseregisterloven m.v. stiller til konfidensialitet, integritet kvalitet og tilgjengelighet, blir oppfylt. Tilgangsstyring vil kun være aktuelt for helsepersonell som er underlagt egen virksomhets instruksjonsmyndighet, eller for personell som arbeider under instruksjonsmyndighet av virksomhetens eventuelle databehandlere. 15 Jf. pasientrettighetsloven 3-6. 16 Jf. spesialisthelsetjenesteloven 3-2. 12
2.1 Elementer i tilgangsstyring Reglene om informasjonssikkerhet og taushetsplikt gir bindende føringer for hvordan EPJ-systemet kan innrettes og organiseres. Tilgangsstyringen må legges opp slik at det hindrer at personer som ikke har tjenstlig behov får tilgang til taushetsbelagte opplysninger i større utstrekning enn lovverket tilsier. Samtidig må virksomheten sørge for at helseopplysninger er tilgjengelig når det er bruk for dem. Visse nødvendige elementer må inngå i tilgangsstyringen, for at denne kan sies å være i samsvar med bestemmelsene om informasjonssikkerhet og taushetsplikt. 2.1.1 Nødvendige elementer i tilgangsstyringen Rutiner for tilgang til pasientjournalsystemet (EPJ) kan tenkes praktisert på flere måter. De tekniske løsninger for et EPJ-system er i stadig utvikling. Her presenteres en minimumsløsning med fire nødvendige elementer. Andre løsninger kan velges dersom informasjonssikkerheten minst holdes på det samme nivå. 1. Gjennom beslutninger i virksomheten gis bestemte personer innenfor bestemte personellgrupper, betinget tilgang til helseopplysninger i EPJ-systemet, på avgrensede organisatoriske områder i egen virksomhet (autorisasjon). Tilgang kan bare gis til personer som i kraft av sitt arbeid for virksomheten, forventes å ha rettmessig behov for å gjøre seg kjent med opplysninger i EPJ-systemet. Tilgang til helseopplysninger i EPJ-systemet gir mulighet for å gjøre seg kjent med helseopplysninger når tjenstlig behov oppstår. Dersom det ikke foreligger tjenstlig behov, har ikke helsepersonellet rett til å tilegnede seg kunnskap om helseopplysninger i EPJ-systemet. 2. Betingelsen for at en autorisert person har rett til å tilegne seg kunnskap om opplysninger i EPJ-systemet, er at det foreligger en beslutning om ytelse av helsehjelp til en bestemt pasient. Autorisert person kan bare gjøre seg kjent med helseopplysninger i EPJ-systemet i den grad det er nødvendig for å yte helsehjelp til pasienten (tjenstlig behov). 3. Dersom de tekniske barrierer tillater at en autorisert person kan gjøre seg kjent med helseopplysninger i EPJ-systemet i større grad enn hva tjenstlig behov tilsier, må det føres oversikt over alle tilfeller av at noen gjør seg kjent med helseopplysninger i EPJ-systemet, dvs at det må føres logg. Reell og systematisert kontroll med loggen må foretas. Avdekking av brudd på reglene skal medføre konsekvenser for regelbryter. 4. Personell som skal forholde seg til EPJ systemet må få nødvendig informasjon og opplæring med sikte på at lov, forskrift, veiledning og rutiner skal bli etterlevd. Det må også sikres at den enkelte ansatte forplikter seg til å etterleve regelverket. Virksomhetens databehandlingsansvarlige må sørge for prosedyrer for tilgangen som sikrer at alle disse elementene er oppfylt 13
2.1.2 Nærmere om innholdet i elementene for tilgangsstyring Autorisasjon innebærer at en person i en bestemt rolle er gitt bestemte rettigheter til lesing, registrering, retting, sletting og/eller sperring av helseopplysninger. Autorisasjon kan bare gis i den grad det er nødvendig for vedkommendes arbeid, er begrunnet ut fra tjenstlig behov, og er i henhold til bestemmelsene om taushetsplikt. Behovet for å kunne gjøre seg kjent med helseopplysninger vil variere for de ulike helsepersonellgrupper og type tiltak. Ved tildeling av autorisasjon, må helsepersonellovens regler om taushetsplikt vurderes og ivaretas. Dette betyr at en person bare kan tildeles autorisasjon til å gå inn i de deler av EPJ-systemet som direkte kan knyttes til vedkommendes arbeidsoppgaver og rolle. En løsning hvor alle helsepersonellgrupper i virksomheten er autorisert for alle helseopplysninger i EPJsystemet, vil ikke være i overensstemmelse med reglene om tilgang og taushetsplikt 17. Med beslutning menes i rundskrivet at det er truffet en konkret beslutning om at det skal ytes helsehjelp til en pasient. Autorisert personell som deltar i gjennomføringen av helsehjelpen, kan gjøre seg kjent med de opplysninger som er nødvendig for å yte helsehjelpen 18. Ofte vil det være åpenbart at pasienter innlagt på en avdeling, skal motta behandling, undersøkelser eller pleie og omsorg fra noen av de som arbeider på denne avdelingen. Det kan også være påkrevd at pasienten sendes til andre avdelinger internt, for ytterligere undersøkelser eller tiltak. Arbeidet kan tilrettelegges slik at det på forhånd gjøres vurderinger av hvilket personell som skal ivareta ulike oppgaver. Når en pasient besluttes tatt inn, vil det da i stor utstrekning være klarlagt hvilket personell som vil ha behov for tilgang til pasientjournalen. Journalen for den enkelte pasient må likevel ved en beslutning, gjøres tilgjengelig for internt personell på det tidspunkt helsehjelpen skal ytes. Det er de personer som har konkrete oppgaver i forhold til pasienten som kan gå inn i pasientens journal. Selv om helsepersonellets rolle i virksomheten består i å yte helsehjelp på selvstendig grunnlag, er dette i seg selv ikke tilstrekkelig til å gå inn i en pasients elektroniske pasientjournal. Adgangen til å tilegne seg helseopplysninger, gjelder bare dersom det faktisk ytes helsehjelp og bare de opplysninger som er relevante i så henseende. Etter at et behandlingsforløp er avsluttet og nødvendig etterarbeid er gjort, vil ikke helsepersonellet ha tjenstlig behov for tilgang til opplysningene, og ikke lenger rett til å gå inn i den aktuelle pasients journal, med mindre nye behov oppstår. I foregående avsnitt har vi beskrevet situasjoner der flere personer i en virksomhet samarbeider om å gi helsehjelp til pasienten. I noen tilfeller samarbeider personell i en virksomhet med personell i en annen virksomhet, for å yte helsehjelp til pasienten. I begge disse tilfeller gir helsepersonelloven adgang til at opplysninger kan gis til samarbeidende personell når det er nødvendig for å gi forsvarlig helsehjelp 19. Når slikt samarbeid foregår internt kan annet personell i virksomheten gis tilgang til opplysninger i EPJ-systemet ved bruk av autorisasjon og beslutning om ytelse av helsehjelp, slik det er forklart ovenfor. Dersom opplysninger skal gis til samarbeidende personell utenfor egen virksomhet, kan ikke den samme framgangsmåte benyttes. Da må kommunikasjonen av helseopplysninger skje på den måten som er beskrevet i kapittel 3 i rundskrivet her. 17 Jf. helseregisterloven 13 og helsepersonelloven 21. 18 Jf. helsepersonelloven 25. 19 Jf. helsepersonelloven 25. 14
I en del tilfeller trenger den som skal yte helsehjelp opplysninger om pasienten som ikke er nedtegnet i pasientjournalen i forbindelse med det aktuelle problem pasienten skal motta helsehjelp for. Det kan dreie seg om opplysninger som er nedtegnet i journalen tilbake i tid, eller det kan dreie seg om helt andre helseproblemer enn pasientens aktuelle problem. I slike tilfeller krever helsepersonelloven at den som har behov for å gjøre seg kjent med slike opplysninger, må be om å få opplysningene 20. Den som mottar en slik henvendelse skal vurdere om vilkårene for utlevering er oppfylt. Hvis vilkårene er oppfylt har den som har mottatt anmodningen plikt til å levere ut opplysningene. Det skal alltid fremgå av journalen at opplysninger er gitt til andre. Hvis det er snakk om å gi opplysninger til andre i egen virksomhet, kan dette skje ved at mottakerne får tilgang til de aktuelle helseopplysninger i EPJ-systemet. Utleveringen av opplysninger til helsepersonell utenfor egen virksomhet skal skje slik det er beskrevet i kapittel 3 i rundskrivet her. Det er et lovpålagt krav at virksomheten skal organiseres slik at helsepersonellet gis mulighet til å oppfylle lovpålagte plikter. Tilgangsstyring internt i en virksomhet kan ikke sette begrensninger slik at det blir umulig å etterleve den enkelte helsepersonells rettigheter og plikter etter helsepersonelloven. Ethvert helsepersonell som selv har tilgang til helseopplysninger, kan gi disse til samarbeidende helsepersonell eller andre som yter helsehjelp, når dette er nødvendig for å yte forsvarlig helsehjelp 21. I store virksomheter hvor journalen består av en samling nedtegnelser fra flere som har hatt med pasienten å gjøre, vil det imidlertid ikke være naturlig at det enkelt helsepersonell alene er pålagt å treffe slike avgjørelser. Ansvaret for, og myndigheten til å tildele autorisasjon og treffe beslutning om at pasientjournalen skal åpnes for innsyn for de som skal gi helsehjelp, er et system ansvar. Avdelingsleder har et overordnet ansvar for helsehjelpsytelsen i avdelingen. Samtidig har journalansvarlig et overordnet ansvar for den enkelte journal. Tildeling av autorisasjon til helseopplysninger i EPJ-systemet og beslutning om tilgang, bør derfor legges til avdelingsleder og/eller journalansvarlig. Samtidig med at det gjøres vurderinger av hvem som skal gis tilgang til helseopplysninger i forbindelse med at det skal ytes helsehjelp til en pasient, bør det også vurderes om det foreligger spesielt sensitiv informasjon. Hensynet til personvernet kan tilsi at pasienten bør informeres før personell som skal yte helsehjelp får gjøre seg kjent med slike helseopplysninger. Databehandlingsansvarlig må kontrollere at de ansatte etterlever regelverket og de interne retningslinjene, ved at det utføres kontinuerlige kontroller av helsepersonellets bruk av tilgangen til helseopplysninger i EPJ systemet. Det vil være en forutsetning for å kunne etterleve kravene i helseregisterloven 16, at virksomheten innfører loggsystemer som er egnet til å avdekke sikkerhetsbrudd. Et minimumskrav er at det føres systematisk og jevnlig kontroll med loggen på en slik måte at man ikke kan forutberegne hva som blir kontrollert. For at databehandlingsansvarlig skal kunne etterleve ovennevnte krav, vil det være 20 Jf. helsepersonelloven 45. 21 Jf. helsepersonelloven 25 og 45. 15
nødvendig å iverksette tiltak for å informere de ansatte, legge virksomheten organisatorisk til rette, samt å bygge opp kompetanse og holdninger. Databehandlingsansvarlig må sikre at de ansatte er informert om regelverket og om interne prosedyrer for tilgangsstyringen, herunder at man ikke har anledning til å søke andre helseopplysninger enn de som er nødvendig for å yte forsvarlig helsehjelp til den enkelte pasient. En løsning kan være å inngå databrukeravtaler med de ansatte, hvor den enkelte forplikter seg til å etterleve regelverket og de interne retningslinjer. Det må etableres, og informeres om, prosedyrer for avvikshåndtering som vil gjelde dersom helsepersonellet tilegner seg, eller forsøker å tilegne seg, kunnskap utover det som er nødvendig for å yte forsvarlig helsehjelp. Det bør videre etableres prosedyrer for å informere pasientene om vedkommendes rettigheter. Pasienten må blant annet få informasjon om virksomhetens behandling av helseopplysninger, herunder informasjon om at helsepersonell internt i virksomheten som trenger opplysninger for å gi helsehjelp til pasienten, vil bli gitt tilgang, og at opplysninger vil kunne bli utlevert til helsepersonell utenfor virksomheten dersom dette er nødvendig for å yte helsehjelp. Pasienten bør informeres om sin rett til å reservere seg mot at opplysninger blir utvekslet, samt om sin rett til å sperre hele eller deler av journalen for innsyn. 16
3 Kommunikasjon av helseopplysninger på tvers av helseforetak og andre virksomheter innen spesialisthelsetjenesten En rekke situasjoner utløser behov for at helsepersonell ved ulike virksomheter utveksler helseopplysninger om konkrete pasienter, i forbindelse med at det ytes helsehjelp. Blant annet vil en økende grad av spesialisering og funksjonsfordeling mellom de ulike helseforetakene bidra til et slikt behov. Flere steder i landet er det f.eks. etablert samarbeid om fordeling av akuttmottak-tjenesten. Samarbeidet kan for eksempel innebære at virksomhetene deler døgnet seg imellom, slik at bare ett av akuttmottakene i et distrikt er åpent til enhver tid. En slik fordeling gjør det nødvendig å sende helseopplysninger om en pasient fra et distrikt til den virksomheten der akuttmottaket betjenes på det tidspunktet pasienten blir syk. I tillegg er det et faktum at pasienter generelt er mer mobile enn tidligere. Flere reiser i forbindelse med arbeid, studier og ferie. Dette innebærer at flere pasienter kan få behov for helsehjelp ved helseforetak som de i utgangspunktet ikke har geografisk tilhørighet til. Til sist kan nevnes at den lovfestede retten til fritt sykehusvalg, har ført til at pasienter i større grad behandles ved forskjellige helseforetak. Det fremgår av pkt. 1.4 ovenfor at helseregisterloven 13 er til hinder for at det åpnes for tilgang til helseopplysninger i EPJ-systemene på tvers av helseforetak. Personell i helseforetak A kan dermed ikke autoriseres og gis tilgang til helseopplysninger i EPJ-systemet tilhørende helseforetak B. Dette gjelder selv om vilkårene i helsepersonelloven 25 eller 45 er oppfylt. Relevant og nødvendig informasjon om en pasient må i så fall utleveres fra et helseforetak til et annet. Det samme vil også gjelde ved informasjonsutveksling mellom for eksempel et helseforetak og en virksomhet helseforetaket har inngått avtale med. Dette gjelder også på tvers av helseforetak innenfor samme regionale helseforetak. Utlevering av helseopplysninger fra EPJ-systemet på tvers av virksomheter, må følge reglene i helseregisterloven 12, jf. 14. Det følger av disse bestemmelsene at utlevering kan skje i den grad dette kan gjøres i medhold av helsepersonelloven 25 og 45. Etter helsepersonelloven 25 kan helsepersonell utlevere helseopplysninger til samarbeidende personell i en ekstern virksomhet, dersom opplysningene er nødvendig for å yte forsvarlig helsehjelp. I forbindelse med at det ytes helsehjelp til en pasient, vil det ofte være nødvendig å innhente helseopplysninger fra en ekstern virksomhet, fordi det er nødvendig å ha kjennskap til tidligere sykehistorie for å kunne yte forsvarlig helsehjelp. Dette er regulert i helsepersonelloven 45. Det helsepersonell som skal utlevere opplysningene må foreta en konkret vurdering av om opplysningene er nødvendig for at mottaker skal kunne yte forsvarlig helsehjelp. Dersom vilkårene i 45 er 17
oppfylt, foreligger en plikt til utlevering av helseopplysningene. Det skal fremgå av journalen at opplysninger er utlevert etter 45. Databehandlingsansvarlig har et overordnet ansvar for å tilrettelegge driften slik at helsepersonellet er i stand til å overholde sine rettigheter og plikter 22. Dette innebærer at virksomheten må etablere rutiner, slik at helseopplysninger kan utleveres i tråd med helsepersonelloven. Rutinene må sikre at utlevering av helseopplysninger skjer på en rask og effektiv måte, slik at annet helsepersonell kan yte helsehjelp på et forsvarlig grunnlag. Lovverket oppstiller ikke spesifikke krav til hvordan utlevering av helseopplysninger skal skje. Utlevering kan blant annet skje manuelt eller ved hjelp av elektroniske hjelpemidler. Det sentrale er at det i hvert enkelt tilfelle foretas en vurdering av hvilke opplysninger som er nødvendig å utlevere, for å kunne gi pasienten forsvarlig helsehjelp. Den databehandlingsansvarlige må sørge for at utleveringen skjer på en trygg måte, og i tråd med helseregisterloven 16. Hvordan disse kravene sikres vil avhenge av ulike kommunikasjonsløsninger. Den vanligste måten å foreta utlevering mellom virksomheter i dag er utlevering ved hjelp av elektronisk meldingsutveksling. Dette kan foregå i form av en dialog mellom de respektive journalsystemene i de to virksomhetene (forespørsel/svar), eller i form av at en hendelse hos den ene virksomheten (f.eks. utskriving av pasient) genererer behov for å overføre lovpålagt informasjon til den andre virksomheten (epikrise). I begge tilfeller er det for virksomheten som utleverer, behov for å sikre at den som skal motta informasjon er autorisert til dette. Reglene for informasjonssikkerhet, herunder Norm for informasjonssikkerhet i helsetjenesten, gir veiledning for hvilke konkrete krav som stilles til sikkerheten i forbindelse med meldingsutveksling. Det kan også tenkes andre teknologiske måter å gjennomføre utlevering på enn meldingsutveksling. Uansett valg av løsning er det nødvendig at databehandlingsansvarlig sørger for at de krav som oppstilles i regelverket og som er redegjort for i dette rundskrivet overholdes. 22 Jf. helseregisterloven 16. 18