Tips til Datatilsynet tyder på at det har vært relativ fri flyt av pasientopplysninger ved enkelte sykehus. Foto K. Green Nicolaysen
Sett at en kjent politiker brekker beinet under et besøk i Bergen. Dagen etter kan behandlende lege Peder Ås ved Haukeland Sykehus gå inn på hans journal via PC-en.
Dersom politikeren brekker beinet på Voss, kan doktor Ås fortsatt lese journalen, ettersom flere sykehus har felles elektronisk journalsystem. Hvis politikeren er innlagt ved en annen avdeling ved Haukeland, må doktor Ås logge seg inn og begrunne hvorfor han vil lese journalen til politikeren. Dette blir riktignok registrert, men med mange journalåpninger på kryss og tvers av avdelinger og sykehus daglig, er det nærmest umulig å etterprøve om Peder Ås faktisk hadde behov for innsyn i politikerens journal.
Datatilsynet bekymret
Datatilsynet har fått flere tips om at det har vært relativt fri flyt av pasientopplysninger ved enkelte sykehus og at også administrativt personell uten tjenestelige behov har tilgang til journaler. I samarbeid med fylkesleger gjennomfører Datatilsynet en kartlegging ved store helseforetak og i primærhelsetjenesten.
– Kartleggingen vil avdekke om det er hold i påstandene. Deretter kan vi trekke opp grenser, sier Leif T. Aanensen, avdelingsdirektør i tilsyns- og sikkerhetsavdelingen i Datatilsynet. – Vårt sentrale mål er hvordan man skal klare å skille ut hvem som skal ha tilgang til hvilke opplysninger. Henvendelsene tyder på at bevisstheten om dette ikke er klar nok i helseforetakene.
– Henvendelser fra sykehusansatte og andre aktører tyder på at autorisasjonen for bruk av elektronisk pasientjournal blir strukket svært langt, både innen helseforetak og på tvers av helseforetak, opplyser Leif T. Aanensen. – Vi ser også en tendens til at de regionale helseforetakene ønsker å sentralisere tilgang til elektronisk pasientjournal, fordi det er hensiktsmessig at alle helseforetak i en region er knyttet sammen. Dette er bekymringsfullt. Pasientjournaler kan inneholde svært sensitive opplysninger, og man må holde tungen rett i munnen når man regulerer hvem som skal ha tilgang, mener han.
Registrerer klikk
Tilgang til opplysninger i elektronisk pasientjournal reguleres av personopplysningsloven med forskrifter, helseregisterloven, helsepersonelloven samt forskrift om pasientjournal. Et sentralt prinsipp er at man bare skal få tilgang når det er nødvendig for å gi forsvarlig helsehjelp. Det skal fremgå av journalen hvem som har tilgang.
I en ny standard fra 2001 (1) stilles det krav om at enhver som vil ha tilgang til en elektronisk pasientjournal, må begrunne at tilgangen er nødvendig for å kunne yte helsehjelp til pasienten. Ved å registrere en beslutning om å sette i verk et tiltak relatert til helsehjelp, kan leger og annet autorisert helsepersonell gi seg selv tilgang, dersom pasienten ikke eksplisitt har krevd å gi samtykke. Standarden beskriver også andre mekanismer som kan begrense tilgang til journalopplysninger.
Begrunnelsen blir registrert som en del av journalen, slik at journalansvarlig, vanligvis medisinsk ansvarlig lege, har full oversikt over hvem som har fått tilgang til journalen og hvorfor.
– Dermed vil uautorisert tilgang umiddelbart kunne avsløres, noe som forventes å virke svært preventivt, sier sjefrådgiver Torbjørn Nystadnes ved Kompetansesenter for IT i helsevesenet (KITH).
For gamle systemer
Slik fungerer det ikke i dag. Årsaken er at journalsystemene ved sykehusene er for gamle i forhold til regelverket. – Dagens systemer håndterer ikke tilgang til elektronisk pasientjournal etter standarden ennå. Leverandørene må implementere dette i systemene. Når de nye reglene er innført, bør det ikke lenger være et problem at uvedkommende leser journaler, mener Nystadnes.
I et rundskriv (2) til helseforetak og leverandører skriver Sosial- og helsedirektoratet at den nye standarden bør innføres innen utgangen av 2002. Inntil videre er det sendt informasjon til sykehusene om at det må registreres manuelt hvem som går inn i journalen.
Det er usikkert hvorvidt den nye standarden vil være i bruk innen utgangen av året. – Det tar en del tid, og myndighetene har få maktmidler overfor helseforetakene, sier Nystadnes. Han mener likevel bevisstheten om pasientrettigheter er så stor blant helsepersonell flest, at dette ikke går utover personvernet.
Taushetsplikt
– Sykehuseierne skal tilrettelegge informasjonssystemene slik at helsepersonell kan overholde taushetsplikten, sier jurist Anne Kjersti Befring i Legeforeningen.
Hun peker på at taushetsplikten til helsepersonell i utgangspunktet også gjelder for annet helsepersonell, men at det kan gjøres unntak når opplysninger er nødvendige for forsvarlig oppfølging av pasienten, og når pasienten samtykker til utlevering av opplysninger.
– At helsepersonell har dokumentasjonsplikt i pasientjournalen betyr ikke at man har innsynsrett i hele journalen. En måte å avgrense innsyn på, er at pasientansvarlig lege ut fra behandling og oppfølging av den enkelte pasient definerer hvem som skal ha tilgang til deler eller hele journalen. Normalt vil det være behandlingsteamet rundt pasienten, sier Befring.
