Legeforeningen støtter tiltak for å sikre informasjonssikkerheten vedrørende elektronisk behandling av personopplysninger i helsevesenet.
Dette skriver Legeforeningen i et høringssvar til Sosial- og helsedirektoratet, som ønsker å innføre en norm for felles krav til informasjonssikkerhet.
Normen er ment å være juridisk bindende for de virksomheter som inngår avtale om å følge den, og vil kunne gi føringer for alle virksomheter som velger å legge normens krav til grunn for sin informasjonssikkerhet. Opplysninger blir raskere tilgjengelige, men skal kun først og fremst være tilgjengelige for rette vedkommende, heter det i forslaget. Sentrale aktører som Datatilsynet, Helsetilsynet, Rikstrygdeverket og Sosial- og helsedirektoratet har deltatt i arbeidet.
Må sikre tilgang
– Generelt bør man utvikle ganske strenge sikkerhetsrutiner når det gjelder elektronisk informasjon i helsevesenet, mener Legeforeningen. Det er imidlertid av avgjørende betydning at dette gjøres på en måte som ikke reduserer tilgangen til nødvendig informasjon til rett tid. Behandlende lege må ha tilgang til all relevant medisinsk informasjon i behandlingssituasjonen. Dette må være styrende for utvikling av IT-systemer og sikkerhetsløsninger. Foreningen anser normen som et grunnleggende dokument, som beskriver myndighetskravene til hvordan medisinsk informasjon skal håndteres, og de IT-relevante konsekvensene av dette.
– Den områdespesifikke veilederen Trinnvis for informasjonssikkerhet i legekontor bør gis godkjenning i forhold til normen, slik at helsetjenesten utenfor institusjonshelsetjenesten enkelt kan slutte seg til den, mener Legeforeningen. Det må komme en avklaring som gjør dette håndterbart i gruppepraksis utenfor sykehus, slik at pasienten kan få trygg og sikker behandling. Normen forutsetter at man bare skal kunne sende e-meldinger til autentiserte adressater innenfor systemet. Det setter store krav til det planlagte Helsetjenesteenhetsregisteret (HER) og vedlikehold av dette.
Det er utført et prisverdig og grundig arbeid som beskriver konsekvensene av eksisterende lovgrunnlag på IT-området, mener Legeforeningen. Normen og faktaarkene som utarbeides i tilknytning til normen, vil etter foreningens mening kunne fungere godt som veileder for systemkyndige utviklere av datasystemer og sikkerhetsopplegg i helsevesenet.
Legeforeningen understreker at normen og faktaarkene ikke alene vil kunne fungere tilfredsstillende som veiledere for helsepersonell i det daglige arbeidet med IT-systemene. Sett fra helsepersonellets synsvinkel, vil han/hun være involvert i en lang rekke av disse tekniske handlingene. Det trengs derfor ytterligere veiledning for at enkeltindivider i forskjellige behandlingsroller skal kunne vurdere konsekvensene for egne handlinger.
Ansvarsbeskrivelser
Det arbeidet som er gjort er grundig og nødvendig, men for å oppnå konkrete sikkerhetsmessige konsekvenser må arbeidet etter foreningens mening føres videre basert på definisjoner av forskjellige roller/funksjoner innen helsevesenet. Det må nærmere avklares hva som er tjenestelige behov. Det må således komme en avklaring som gjør dette håndterbart i gruppepraksis utenfor sykehus, slik at pasienten kan få trygg og sikker medisinsk behandling. Det bør så utarbeides ansvarsbeskrivelser for hver rolle/funksjon, med tilhørende sikkerhetsprotokoller.
Dersom aktørene bak normen også tar ansvaret for utvikling av rollesentrerte ansvarsark på et helt konkret nivå – og med tilhørende hjelpemidler for den praktiske gjennomføring – er det etter Legeforeningens oppfatning utført et godt og fremtidsrettet stykke arbeid.
Legeforeningen foreslår også at man i forbindelse med tilknytning til Norsk helsenett skriver under på at man slutter seg til normen, og at denne blir et vedlegg til kontrakten til Norsk helsenett. Den enkelte aktør kan umulig greie å holde orden på hvem som har og ikke har sluttet seg til normen, men på denne måten vil brukerne av Norsk helsenett kunne vite at alle som kommuniserer der, har sluttet seg til normen.
Les hele høringsuttalelsen: www.legeforeningen.no/index.gan?id=67764
