Helsepersonells håndtering av pasientopplysninger

Herbjørn Andresen; Olaf Gjerløw Aasland

Helsepersonells håndtering av pasientopplysninger

Background.

Health care professionals’ handling of patient data is to a large extent subject to legislation. The legal obligations are linked to individual professional authorization, and obligations imposed on health care institutions. The latter type of obligation is particularly relevant to the use of IT systems.

Material and methods.

An anonymous questionnaire survey was undertaken the autumn 2007. 300 physicians, 200 medical secretaries and 200 radiographs were asked about their personal experience with situations requiring handling of patient data subject to legislation.

Results.

The overall response rate was 54.7 (395/688). Health care professionals relatively often come into situations in which they can, ought to or have to make exceptions from the general secrecy obligation. A discretionary decision is often needed when patient data are disclosed to a third party or even when patients are granted access to their own personal records. In most such situations, health care professionals comply with their patients’ wishes. Regulations on handling of patient data are usually adhered to. The largest category of breaches is by far «snooping» into IT systems, because of curiosity or for other reasons, which are neither professionally nor ethically reputable.

Interpretation.

«Traditional» obligations, linked to individual professional authorizations, and well-defined patient rights are largely respected and met. Internal routines and guidelines, in an enterprise subject to system control requirements, are violated more frequently.

Herbjørn Andresen, Olaf Gjerløw Aasland Om forfatterne

Se alle artikler

Herbjørn Andresen

Email: herbjorn.andresen@jus.uio.no

Det juridiske fakultet

Universitetet i Oslo

Postboks 6706 St. Olavs plass

0130 Oslo

Avdeling for forvaltningsinformatikk

Se alle artikler

Olaf Gjerløw Aasland

Legeforeningens forskningsinstitutt

Institutt for helseledelse og helseøkonomi

Universitetet i Oslo

Sammendrag

Bakgrunn.

Helsepersonells håndtering av pasientopplysninger er i stor grad rettslig regulert. Pliktene er dels profesjonsbestemt, og dels avledet av de reglene virksomheten er underlagt. Det siste er særlig relevant ved bruk av IT-systemer.

Materiale og metode.

En anonym spørreskjemaundersøkelse til 300 leger, 200 helsesekretærer og 200 radiografer, med spørsmål om deres egne erfaringer med ulike typer situasjoner der håndteringen av pasientopplysninger er rettslig regulert, ble gjennomført høsten 2007.

Resultater.

Samlet svarprosent var 57,4 (395/688). Helsepersonell befinner seg relativt ofte i situasjoner der det enten kan, bør eller skal gjøres unntak fra taushetsplikten. Det forutsettes ofte at helsepersonellet utøver skjønn før opplysninger utleveres, eller før pasienten selv gis innsyn og råderett over opplysningene. Helsepersonell tar pasientenes ønsker til følge i de aller fleste slike situasjoner. Det er forholdsvis sjelden regler om håndtering av pasientopplysninger brytes. Den klart største kategorien av brudd på regler og retningslinjer er «snoking» i IT-systemer, av personlig nysgjerrighet eller av andre grunner som ikke er faglig eller etisk aktverdige.

Fortolkning.

«Tradisjonelle» profesjonsbestemte plikter, og konkret utformede pasientrettigheter, overholdes og respekteres i stor grad. Brudd på interne rutiner og retningslinjer i virksomheter underlagt krav til systemkontroll, forekommer oftere.

Artikkel

Det er en relativt omfattende lovgivning som regulerer helsepersonells håndtering av pasientopplysninger. I utgangspunktet ble reglene enklere og tydeligere gjennom det som har vært kalt «den nye helselovgivningen» (1 – 3). Den viktigste forenklingen er at pliktene for profesjonsutøvere ble samlet. Reglene er i prinsippet de samme for alle kategorier av helsepersonell. Samtidig fremstår reglene om håndtering av pasientopplysninger som komplekse. Forholdet mellom plikter for den enkelte profesjonsutøver, og plikten til å etterleve arbeidsgiverens interne retningslinjer om behandling av opplysninger, kan være særlig utfordrende. Føringer for de retningslinjene virksomheten selv utarbeider, er i stor grad regulert gjennom helseregisterloven og basert på et internkontrollprinsipp. Slike retningslinjer handler i praksis ofte om kontroll med IT-bruk, men regelverket gjelder også for papirbaserte journalsystemer. Det viktigste er imidlertid ikke hvilken lov eller hva slags type regulering en plikt er forankret i, men om den samlede håndteringen av pasientopplysninger er god nok. Både profesjonsbestemte plikter og styringssystemet som ivaretar virksomhetens plikter, er rettslig regulering.

Juridisk litteratur om emnet (4, 5) forklarer oftest de generelle normene, supplert med konkrete eksempler fra rettspraksis. Verken de fortolkede reglene i seg selv, eller de svært få sakene som kommer til domstolene, gir særlig bred kunnskap om praksis. Vi har derfor utført en spørreskjemaundersøkelse, for å kartlegge noen trekk ved helsepersonells håndtering av pasientopplysninger. Undersøkelsen er bygd opp rundt fem forskningsspørsmål.

– Forekommer de situasjonene som reguleres i lovgivningen hyppig eller sjelden? Dette spørsmålet gjelder situasjoner der lovgivningen åpner for unntak fra taushetsplikten.

– Er det spesielle tendenser i utfallene av helsepersonells skjønnsmessige beslutninger? Noen av lovbestemmelsene krever en kvalifisert vurdering fra helsepersonellets side. Primært skal pasientens ønske tas til følge. En beslutning som strider mot pasientens ønske, kan også, i spesielle situasjoner, være den mest riktige vurderingen.

– Etterleves eller brytes regler og retningslinjer? Vi ser spesielt etter eventuelle forskjeller mellom plikter som loven plasserer direkte på den enkelte profesjonsutøver, og plikter til å etterleve virksomhetens regler for håndtering av opplysninger.

– Er virksomhetens kontroll med tilgang til, og berettiget bruk av, pasientopplysninger tilstrekkelig treffsikker? Vi undersøker hvor godt idealet oppnås, om samsvar mellom en profesjonsutøvers tjenestelige behov for tilgang til opplysninger, og samme persons faktiske tilgangsmuligheter.

– Påvirkes helsepersonells håndtering av pasientopplysninger av at virksomheten overvåker om IT-bruken er i tråd med retningslinjene? Hensikten med å kunne avdekke mulige regelbrudd er primært å påvirke atferden, slik at IT-brukere avstår fra å «snoke» etter opplysninger de ikke har tjenestelig behov for. Vi undersøker både om dette tiltaket virker etter hensikten, og om det eventuelt også kan føre til at man unnlater å lese opplysninger som bør leses.

Forskningsspørsmålene er undersøkt mot to bakgrunnsvariabler. Forskjeller mellom ulike kategorier av helsepersonell er interessant fordi helsepersonelloven i prinsippet sidestiller ulike profesjoners plikter på området. Forskjeller mellom helsetjenesten i og utenfor sykehus kan si noe om hvor god sammenhengen er mellom virksomhetens tiltak for håndtering av opplysninger og de pliktene som loven legger direkte på den enkelte profesjonsutøver.

Det er ikke særlig utbredt å undersøke etterlevelse og virkninger av rettsregler kvantitativt. Årsakene er åpenbare: Man kan ikke slutte fra respondentenes erfaringer, og beslutningene de faktisk traff, til kunnskap om hvorvidt hver enkelt beslutning var riktig. Lovgivning kan regulere situasjoner som forekommer ofte eller sjelden, respondentenes valg i en gitt situasjon røper ikke om beslutningen er triviell eller komplisert. Undersøkelsen bidrar derfor ikke til en rettsdogmatisk forståelse av reglene om håndtering av pasientopplysninger. Det er mer nærliggende å karakterisere undersøkelsen som rettssosiologisk. Den forskningen på området som det kanskje er mest relevant å henvise til, stammer fra prosjektet «ikke-juridiske profesjoners rettsanvendelse», fra slutten av 1980-årene. I hovedsak var det sosionomene som ikke-juridisk profesjon som ble undersøkt. I en artikkel som oppsummerer mange av funnene i prosjektet, hevdes det blant annet at lovgivningen ikke tar tilstrekkelig hensyn til faglige og organisatoriske betingelser, mens profesjonsutøverne anses å ha en tendens til likegyldighet og endog fiendtlighet overfor rettssystemet (6).

Materiale og metode

Et spørreskjema ble sendt ut til 700 profesjonsutøvere, fordelt på tre av de 28 gruppene som er definert i helsepersonelloven § 48 første ledd. Fordelingen var som følger: 300 leger, hvorav 200 arbeider i sykehus og 100 primærleger, 200 helsesekretærer og 200 radiografer.

Hensikten med å velge disse tre profesjonene var å få svar fra grupper som er ulike, både med hensyn til type utdanning, arbeidsoppgaver og relasjon til pasientene. Blant legene valgte vi bevisst en overvekt av sykehusansatte, for å sikre at eventuelle forskjeller mellom profesjonsbestemte plikter og større virksomheters sikkerhetstiltak blir belyst. Ellers er uttrekket tilfeldig, men valget av helsesekretærer som gruppe innebærer en skjevhet i kjønnsfordelingen.

Undersøkelsen har vært fullstendig anonym. Den norske legeforening, Norsk helsesekretærforbund og Norsk radiografforbund produserte uttrekk, som de selv overførte til adresselapper. Ingen innkomne svar er på noe vis merket med avsender. Denne fremgangsmåten ble valgt fordi noen av spørsmålene gjaldt mulige brudd på lover og retningslinjer. Totalt kom det inn 395 svar av et nettoutvalg på 688 skjemaer, som gir en samlet svarprosent på 57,4 (49,2 % for helsesekretærer, 62,1 % for leger og 58,3 % for radiografer).

Spørreskjemaet inneholdt ulike spørsmål om respondentenes erfaringer med situasjoner som er direkte regulert i ulike lover (1 – 3). Relevant tekstutdrag fra lovbestemmelsen var gjengitt under det enkelte spørsmål i skjemaet. For noen av de situasjonene som gjelder virksomhetenes IT-sikkerhetstiltak er forbindelsen til lovtekstene mer komplisert, der var det i stedet valgt å sitere fra relevante avsnitt i helsesektorens veiledende norm for informasjonssikkerhet (7).

Hensikten med direkte sitater fra relevante regler var å tydeliggjøre hvert spørsmål. Skjemaet ble testet ut av to leger før det ble sendt ut. Vi har grunn til å tro at sitert regeltekst reduserte faren for å misforstå hva slags situasjon det enkelte spørsmålet gjaldt. Samtidig så vi en fare for at respondentene kunne bli mer opptatt av den siterte rettsregelen enn av selve spørsmålet. Derfor ble det poengtert i følgebrevet at vi var ute etter respondentenes faktiske erfaringer, og ikke etter å kartlegge kunnskap om rettsregler eller ferdigheter i å utøve en rett juridisk tolking.

For å begrense omfanget av spørreskjemaet, var ikke hver eneste relevant paragraf om håndtering av pasientopplysninger tatt med. Vi la vekt på å få med et bredt utvalg av ulike typer situasjoner som er regulert, for eksempel ble det bare tatt med spørsmål om en av opplysningspliktene etter helsepersonelloven.

Følgende områder var inkludert i spørreskjemaet:

a) Situasjoner som innebærer unntak fra taushetsplikten

Det finnes ulike bestemmelser som gir unntak fra taushetsplikten. Unntakene har ulike formål, og ulik modalitet. Ulik modalitet vil si at det i noen tilfeller skal gjøres unntak, mens det i andre tilfeller bør eller kan gjøres unntak. Tre bestemmelser i helsepersonelloven om unntak fra taushetsplikt var med i spørreskjemaet, nemlig spørsmål om å gi helseopplysninger om en avdød, pålegg fra overordnet departement om å avgi helseopplysninger til forskningsformål, og spørsmål om å gi opplysninger til barnevernet i omsorgssviktsaker. I tillegg hadde vi med et spørsmål om helsepersonell har brukt den muligheten som ligger i enkelte IT-systemer, til å gi seg selv tilgang til opplysninger (i noen sammenhenger omtalt som «nødrettstilgang»). Å skaffe seg selv tilgang til opplysninger opphever ikke taushetsplikten i rettslig forstand, men viser at behovet for pasientopplysninger i en konkret situasjon ble vurdert som større enn de tilgangene virksomheten tildelte etter sine ordinært fastsatte kriterier.

b) Situasjoner der pasienten stiller krav til håndteringen av opplysninger

Samtykke og medbestemmelse er utgangspunktene for pasientens rettigheter. Pasienten selv, eller en verge, har lovfestet rett til innsyn, og til å få korrigert opplysninger, unntatt i visse spesielle situasjoner. Andre rettigheter til medbestemmelse er av mer passiv karakter, slik som pasientens rett til å motsette seg at taushetsbelagte opplysninger gis videre til samarbeidende personell. Vi spurte både om situasjoner der respondentene hadde imøtekommet pasientenes ønske eller krav, og der hvor man ikke hadde gjort det.

c) Utfall av skjønnsmessige vurderinger

Mange regler om håndtering av pasientopplysninger inneholder en klausul om at helsepersonellet må vurdere konkret om andre hensyn kan veie tyngre enn den aktuelle plikten eller rettigheten. Det varierer hvor høyt listen ligger for at andre hensyn skal veie tyngre enn pasientens ønske. For å nekte innsyn brukes begrepene «påtrengende nødvendig» (hvis det er farlig for pasienten selv) og «klart utilrådelig» (for personer som står pasienten nær). Dermed skal det relativt mye til før det er gangbart å nekte innsyn. Vurderingstemaene er noe videre for en del andre regler, som for eksempel hvorvidt man skal etterkomme krav om sletting av opplysninger eller utsagn i en journal.

d) Etterlevelsen av regelverk

Vi hadde fem spørsmål som gjaldt situasjoner der det kan tenkes at man av og til bevisst ikke følger regelverket: Å gi opplysninger til helseregistre, gi journalinnsyn, rette journal, bruk av nødrettstilgang, og lese opplysninger om pasienter av nysgjerrighet eller av andre grunner som respondenten selv ikke anser som faglig eller etisk aktverdige. Det siste kalles ofte, med en utbredt sjargong, «snoking». Etter endring i helsepersonelloven (1) 9. mai 2008, fastsetter ny § 21a et uttrykkelig forbud mot snoking.

e) Virksomhetenes kontroll med håndtering av opplysninger

Virksomheter som yter helsehjelp er pålagt å avgrense de ansattes tilganger i IT-systemene. Spørsmålene i skjemaet gjelder helsepersonells erfaringer med hvordan virksomheten de er ansatt i etterlever denne plikten, og hvordan dette påvirker helsepersonells atferd.

Det kan være teknisk og praktisk vanskelig å avgrense ansattes tilganger i IT-systemer så presist at avgrensningen i seg selv gir tilstrekkelig sikkerhet mot regelbrudd. Derfor forventes en rimelig grad av etterhåndskontroll, for å avdekke om tilgangene bare brukes når det er nødvendig og i samsvar med taushetsplikten. Hovedelementene i etterhåndskontrollen er logging av hvem som har lest eller endret opplysninger, samt rutiner for å gjennomgå slike logger.

Resultater

a) Situasjoner som innebærer unntak fra taushetsplikten

40,8 % av respondentene har opplevd minst én av de situasjonene som er eksemplifisert i spørreskjemaet (tab 1). En av de fire situasjonene, pålegg fra departementet om å avgi bestemte pasientopplysninger til forskning, er imidlertid klart mindre utbredt enn de øvrige.

Tabell 1 Utbredelsen av situasjoner som innebærer unntak fra taushetsplikt. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Blitt bedt om helseopplysninger om en avdød	18,9 (74/392)	17,0 (9/53)	14,5 (9/62)	28,0 (30/107)	31,6 (24/76)	1,3 (1/80)	7,1 (1/14)
Pålegg fra departementet om å gi opplysninger til forskning	2,1 (8/390)	–	3,2 (2/62)	2,8 (3/106)	2,7 (2/75)	1,3 (1/80)	–
Opplysninger til barnevern angående omsorgssvikt	22,0 (86/391)	–	8,1 (5/62)	31,8 (34/107)	59,2 (45/76)	2,5 (2/80)	–
Har brukt «nødrettstilgang» i IT-system	14,0 (54/387)	9,6 (5/52)	–	38,5 (40/104)	7,9 (6/76)	3,8 (3/80)	–
Minst én av disse situasjonene	40,8 (161/395)	24,5 (13/53)	22,2 (14/63)	66,7 (72/108)	71,1 (54/76)	8,6 (7/81)	7,1 (1/14)

b) Situasjoner der pasienten stiller krav til håndteringen av opplysninger

Det er svært vanlig at helsepersonell opplever at pasienter gjør bruk av rettigheter til å påvirke håndteringen av opplysninger (tab 2). 63,8 % av respondentene har svart bekreftende på at de har vært i minst én av de fem situasjonene i spørreskjemaet som gjelder pasienters aktive bruk av sine rettigheter. Det mest utbredte eksemplet er forespørsel om innsyn.

Tabell 2 Utbredelsen av situasjoner der pasienten (eller verge) stiller krav til håndteringen av opplysninger. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Pasient motsatt seg videreformidling av opplysninger	21,1 (82/389)	5,9 (3/51)	21,3 (13/61)	26,2 (28/107)	44,7 (34/76)	5,0 (4/80)	–
Blitt bedt om helseopplysning om en avdød	18,9 (74/392)	17,0 (9/53)	14,5 (9/62)	28,0 (30/107)	31,6 (24/76)	1,3 (1/80)	7,1 (1/14)
Fått forespørsel om journalinnsyn	54,6 (212/388)	37,3 (19/51)	41,9 (26/62)	79,4 (85/107)	84,2 (64/76)	15,4 (12/78)	42,9 (6/14)
Rettet journal i tråd med reglene	19,4 (76/386)	11,8 (6/51)	16,4 (10/61)	32,7 (35/107)	26,3 (20/76)	3,8 (3/79)	8,3 (1/12)
Fått krav om retting eller sletting	15,8 (61/386)	3,9 (2/51)	8,1 (5/62)	26,4 (28/106)	26,7 (20/75)	6,3 (5/79)	7,7 (1/13)
Minst én av disse situasjonene	63,8 (252/395)	52,8 (28/53)	60,3 (38/63)	84,3 (91/108)	90,8 (69/76)	24,7 (20/81)	42,9 (6/14)

c) Utfall av skjønnsmessige vurderinger

For alle de spørsmålene som kartlegger utfallet av respondentenes skjønn, er det en klar overvekt av beslutninger som er i overensstemmelse med pasientens ønske. Blant leger har 83,3 % (i sykehus) og 84,2 % (i annen virksomhet) vært i situasjoner der de har etterkommet pasienters ønsker om håndtering av opplysninger. Prosentandelene er en del lavere for de andre profesjonene (tab 3). Den samlede andelen respondenter som har vært i situasjoner der de etter en skjønnsmessig vurdering ikke etterkommer pasientens ønske, er 8,9 %. Ansatte i sykehus befinner seg sjeldnere i situasjoner der utfallet av skjønnsmessige vurderinger er i strid med pasientens ønsker enn de som arbeider i annen virksomhet (tab 4).

Tabell 3 Utfall av skjønnsmessige vurderinger i overensstemmelse med pasientens ønsker. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Gitt opplysninger om en avdød¹	75,8 (47/62)	44,4 (4/9)	33,3 (3/9)	96,0 (24/25)	88,9 (16/18)	–	–
Etterkommet forespørsel om journalinnsyn	50,8 (197/388)	35,3 (18/51)	29,0 (18/62)	79,4 (85/107)	80,3 (61/76)	12,8 (10/78)	35,7 (5/14)
Etterkommet krav om retting av journal	14,0 (54/386)	3,9 (2/51)	8,1 (5/62)	21,7 (23/106)	24,0 (18/75)	6,3 (5/79)	7,7 (1/13)
Minst én av disse situasjonene	54,4 (215/395)	37,7 (20/53)	36,5 (23/63)	83,3 (90/108)	84,2 (64/76)	16,0 (13/81)	35,7 (5/14)
[i]

[i] ¹ Bare de som hadde blitt bedt om å gi helseopplysninger om avdød person

Tabell 4 Utfall av skjønnsmessige vurderinger i strid med pasientens ønsker. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Avslått å gi opplysninger om en avdød¹	22,2 (16/72)	44,4 (4/9)	75,0 (6/8)	6,7 (2/30)	13,0 (3/23)	–	100,0 (1/1)
Avslått forespørsel om journalinnsyn	3,9 (15/388)	2,0 (1/51)	12,9 (8/62)	–	3,9 (3/76)	2,6 (2/78)	7,1 (1/14)
Avslått krav om retting av journal	1,8 (7/386)	–	–	4,7 (5/106)	2,7 (2/75)	–	–
Minst én av disse situasjonene	8,9 (35/395)	7,5 (4/53)	19,0 (12/63)	6,5 (7/108)	10,5 (8/76)	2,5 (2/81)	14,3 (2/14)
[i]

[i] ¹ Bare de som hadde blitt bedt om å gi helseopplysninger om avdød person

d) Etterlevelsen av regelverk

3,5 % av respondentene har «snoket» i løpet av de siste to uker. Ytterligere 8,9 % har «snoket» for mer enn to uker og mindre enn to måneder siden. Når man legger til de 5,1 % som har «snoket» for mer enn to måneder siden, har til sammen 17,6 % av respondentene gjort dette minst én gang.

Den nest største kategorien regelbrudd gjelder også bruk av IT, selv om problemet nærmest er det motsatte av «snoking»: 5,1 % har minst én gang latt være å lese opplysninger som de mener de burde ha lest, fordi de har vært hemmet av tanken på at IT-bruken kanskje kan spores. Tallene for øvrige regelbrudd i denne undersøkelsen var vesentlig lavere (tab 5).

Tabell 5 Svikt i etterlevelse av regelverk. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Unnlatt å gi opplysninger til helseregistre	1,0 (4/387)	–	–	3,7 (4/107)	–	–	–
Avslått forespørsel om journalinnsyn for å unngå misforståelser¹	50,0 (5/10)	100,0 (1/1)	66,7 (4/6)	–	–	–	–
Avslått krav om retting av journal uten at grunnen ble nedtegnet¹	42,9 (3/7)	–	–	40,0 (2/5)	50,0 (1/2)	–	–
Slettet opplysninger i en journal i strid med regler om dette	2,9 (11/384)	–	–	6,5 (7/107)	2,6 (2/76)	2,6 (2/78)	–
Lest journalopplysninger av nysgjerrighet	17,6 (69/393)	7,5 (4/53)	9,5 (6/63)	20,4 (22/108)	20,0 (15/75)	25,9 (21/81)	7,7 (1/13)
Tanken på mulig sporing hindret at relevante opplysninger ble lest¹	35,9 (20/57)	61,5 (8/13)	50,0 (2/4)	40,0 (6/15)	18,2 (2/11)	14,3 (2/14)	–
Brukt «nødrettstilgang» i strid med retningslinjer	0,5 (2/387)	–	–	1,9 (2/104)	–	–	–
Minst én av disse situasjonene	25,1 (99/395)	20,8 (11/53)	15,9 (10/63)	35,2 (38/108)	21,1 (16/76)	28,4 (23/81)	7,1 (1/14)
[i]

[i] ¹ Bare de som hadde avslått forespørsel om journalinnsyn, retting av journal, eller unnlatt å lese journal

e) Virksomhetenes kontroll med håndtering av opplysninger

26,5 % av respondentene har opplevd så sterkt begrenset tilgang til opplysninger at det har vært et reelt hinder i arbeidet (tab 6). Halvparten av disse har opplevd så sterke begrensninger i løpet av de siste to måneder.

Tabell 6 Kontroll med håndtering av opplysninger. Prosent
	Samlet	Helsesekretær		Lege		Radiograf
		Sykehus	Annen virksomhet	Sykehus	Annen virksomhet	Sykehus	Annen virksomhet
Forhindret fra å gjøre oppgaver pga. manglende IT-tilgang	26,5 (104/392)	28,3 (15/53)	6,5 (4/62)	42,1 (45/107)	22,4 (17/76)	25,9 (21/81)	15,4 (2/13)
Overordnet med personalansvar spurt om hvorfor	0,3 (1/393)	–	1,6 (1/62)	–	–	–	–
Særskilt IT/sikkerhet/personvern-funksjon spurt om hvorfor	1,0 (4/389)	–	–	1,9 (2/105)	–	2,5 (2/81)	–
Unnlatt å lese av frykt for sporing	15,6 (61/391)	24,5 (13/53)	6,5 (4/62)	16,0 (17/106)	14,7 (11/75)	19,8 (16/81)	–
Tanken på mulig sporing hindret uautorisert lesing¹	76,7 (46/60)	75,0 (9/12)	75,0 (3/4)	64,7 (11/17)	100,0 (11/11)	75,0 (12/16)	–
Tanken på mulig sporing hindret at relevante opplysninger ble lest¹	35,9 (20/57)	61,5 (8/13)	50,0 (2/4)	40,0 (6/15)	18,2 (2/11)	14,3 (2/14)	–
[i]

[i] ¹ Bare de som hadde unnlatt å lese journal

Svært få har opplevd at virksomheten har stilt spørsmål om hvilke grunner de har hatt for å lese eller håndtere helseopplysninger om en bestemt pasient. Fire respondenter har opplevd å bli konfrontert av sikkerhetsansvarlig, IT-ansvarlig, personvernombud eller tilsvarende funksjon i virksomheten med spesielt ansvar for håndtering av opplysninger. Kun én respondent har opplevd slik konfrontasjon fra en overordnet med personalansvar.

Selv om få har opplevd å bli konfrontert med mistanke om at opplysninger er lest eller håndtert urettmessig, er det ikke helt uvanlig at tanken på en mulig etterhåndskontroll fører til selvsensur. 15,6 % har unnlatt å lese opplysninger fordi de har vært engstelige for, eller mislikt tanken på, at handlingen kanskje logges. Som oftest har selvsensuren «riktig retning»: 76,7 % av disse har unnlatt å lese opplysninger som egentlig er dem uvedkommende. Imidlertid har også 35,9 % av samme gruppe unnlatt å lese opplysninger som de burde ha lest.

Til sist stilte vi spørsmål om hvordan respondentene sist fikk formell opplæring om regler for behandling av pasientopplysninger. Andelen som svarte kurs/etterutdanning i regi av arbeidsgiver var godt under halvparten av andelen som svarte at de ikke har fått formell opplæring i tråd med nyere lovgivning på området.

Diskusjon

Profesjonsbestemte plikter og medbestemmelse

Samlet sett kan vi si at det er ganske vanlig at helsepersonell befinner seg i en situasjon der de kan, bør eller skal gjøre unntak fra taushetsplikten.

Et uttrykk som har vært brukt ofte, er «uthuling av taushetsplikten». Uthuling kan til en viss grad kvantifiseres gjennom utviklingen i antallet plikter til å rapportere ulike situasjoner. En slik kvantifisering gir ikke et helt dekkende bilde. Blant annet har det praktisk betydning hvordan opplysningene brukes videre hos mottakeren, og hvor godt beskyttet de er gjennom hele utleveringskjeden. En gjennomgang av saker gjennom 16 år, i Rådet for legeetikk, viser at helsepersonell har opplevd plikter angående håndtering av pasientopplysninger som motsetningsfylte: «Et tilbakevendende spørsmål har vært uthuling av taushetsplikten når denne kommer i konflikt med samfunnshensyn, slik som utlevering av pasientlister til politiet for etterforskning av kriminalitet» (8). Et annet eksempel på en type situasjon der leger har oppfattet taushetsplikt og andre hensyn som motsetningsfylte, er i «Inkluderende arbeidsliv»-prosjektet. Selv om personen som både er pasient og arbeidstaker i samhandlingssituasjonen, i utgangspunktet samtykker til at opplysninger behandles, har legene opplevd usikkerhet om hva de kan drøfte med en arbeidsgiver (9). De forholdene som er belyst i denne artikkelen, er også et viktig tema i statlig tilsyn med helsevirksomheten (10).

En dansk undersøkelse om ansatte i skolens plikt til å melde omsorgssvikt og særskilte sosiale problemer til sosialetaten viste at 52 % av de spurte har innberettet mistanke om omsorgssvikt (11). Det er lavere enn vårt tall på 59,2 % av leger utenfor sykehus, men høyere enn blant norsk helsepersonell generelt, 22 % i vår undersøkelse.

Transportøkonomisk institutt gjennomførte en undersøkelse i 2005 om befolkningens holdning til og kunnskap om personvern, «befolkningsundersøkelsen» (12). Undersøkelsen viser blant annet at helseopplysninger er noe av det flest personer oppfatter som sensitivt. Kjennskapen til lover og rettigheter er imidlertid lav. Instituttets undersøkelse inneholder interessante funn om atferd, blant annet er det relativt få som ber om innsyn i registrerte opplysninger. Samtidig viser vår undersøkelse at over halvparten av helsepersonellet har opplevd at pasienter har bedt om innsyn, noe som kan indikere at bruk av innsynsretten er mer utbredt i helsesektoren enn på andre samfunnsområder.

Vi tolker både våre egne funn, og andre kilder som kaster lys over helsepersonells holdninger og praksis, slik at grunninnstillingen er en stor grad av respekt for profesjonsbestemte plikter og for pasientens rett til medbestemmelse.

Plikter i form av virksomhetens retningslinjer for ansatte

Virksomhetenes arbeidsprosesser og IT-systemer er til dels regulert gjennom internkontrollbestemmelsene i personopplysningsloven og helseregisterloven. Det påligger den enkelte profesjonsutøver et stort ansvar for å håndtere pasientopplysninger riktig og forsvarlig, både innenfor virksomhetens valgte sikkerhetsopplegg og retningslinjer, i egenskap av ansatt, og på tross av eventuelle svakheter i virksomhetens opplegg.

Vår undersøkelse viser et gap mellom hvor godt og forsvarlig pasientopplysninger håndteres, avhengig av hvor de aktuelle reguleringene hører hjemme. «Tradisjonelle» profesjonsbestemte plikter, og konkret utformede pasientrettigheter, overholdes og respekteres i stor grad. Det forekommer oftere brudd på virksomhetenes plikter, som nedfelles i systemer, rutiner og retningslinjer som helsepersonell skal overholde i egenskap av ansatte. Problemet har to sider. For det første kan det synes som helsepersonell er mindre lojale til virksomhetsinterne retningslinjer enn til profesjonens internaliserte normer, selv om man må formode at det er hipp som happ for pasienten. Tallet 3,5 % regelbrudd i form av «snoking» i løpet av siste to uker ser kanskje ikke oppsiktsvekkende høyt ut, men er høyt nok til å indikere at dette er daglige foreteelser blant helsepersonell i Norge.

Den andre siden er at virksomhetenes systemer og rutiner for å følge opp egne retningslinjer neppe er tilstrekkelig treffsikre. I vår undersøkelse har vi bare tall for hvor mange som har opplevd så stramme tilganger at det er et reelt hinder i arbeidet. Spørsmål direkte til helsepersonell gir ikke svar på om enkelte også har unødvendig vide tilganger i IT-systemene. Imidlertid gir både tallene for «snoking», og tallet på dem som avstår fra å lese uvedkommende opplysninger på grunn av muligheten for sporing, en viss indikasjon om at en del personell har videre tilgang til pasientopplysninger enn det faglige behovet tilsier.

Hovedfunn

Hovedbudskap

Helsepersonell etterlever i hovedsak gjeldende rettsregler om håndtering av pasientopplysninger
Legene befinner seg vesentlig oftere enn de andre gruppene av helsepersonell i situasjoner der håndteringen av pasientopplysninger beror på skjønnsmessige vurderinger
En klar overvekt av regelbruddene er knyttet til bruk av IT, relativt få dreier seg om andre brudd på taushetsplikt, opplysningsplikt, dokumentasjonsplikt eller pasientrettigheter

Oppgitte interessekonflikter:

Ingen

Litteratur

Lov om helsepersonell m.v. (helsepersonelloven). 2. juli 1999 nr. 64.

Lov om pasientrettigheter (pasientrettighetsloven). 2. juli 1999 nr. 63.

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven). 18. mai 2001 nr. 24.

Kjønstad A. Helserett: pasienters og helsearbeideres rettsstilling. Oslo: Gyldendal akademisk, 2005.

Ohnstad B. Taushetsplikt, personvern og informasjonssikkerhet i helse- og sosialsektoren. Oslo: Gyldendal akademisk, 2003.

Andenæs K. The law and the nonlegal professionals: on decision-making by medical doctors and social workers. Int J Law Psychiatry 1989; 12: 263 – 74.

Norm for informasjonssikkerhet i helsesektoren. Oslo: Sosial- og helsedirektoratet, 2006.

Førde R, Hodne Å. Rådet for legeetikk 1985 – 2001 Tidsskr Nor Lægeforen 2004; 124: 936 – 8.

Moland LE. Med legene på laget: Et fagutviklingsprogram for å utvikle legenes rolle i et inkluderende arbeidsliv. Fafo-notat 2005: 06. Oslo: Fafo: 2005.

Mangelfull tilgangsstyring til elektronisk pasientjournal truer taushetsplikten i sykehus (Brev til Helse- og omsorgsdepartementet 6. mars 2008). Oslo: Statens helsetilsyn, 2008. www.helsetilsynet.no/templates/LetterWithLinks____9430.aspx (15.10.2008).

Scharling S, Mayland S, Trier MB. Undersøgelse om forholdet mellem tavshedspligt og indberetningspligt. Roskilde: Scharling Research, 2007.

Ravlum I-A. Setter vår lit til Storebror … og alle småbrødre med?: Befolkningens holdning til og kunnskap om personvern. TØI-rapport 789/2005. Oslo: Transportøkonomisk institutt, 2005.

Kommentarer

(0)

Denne artikkelen ble publisert for mer enn 12 måneder siden, og vi har derfor stengt for nye kommentarer.

Publisert: 18. desember 2008

Utgave 24, 18. desember 2008

Tidsskr Nor Legeforen 2008;

128: 2823-7

Manuskriptet ble mottatt 2.4. 2008 og godkjent 11.9. 2008. Medisinsk redaktør Åslaug Helland.

Old Drupal 7 Site

Hovedmeny

Helsepersonells håndtering av pasientopplysninger

Background.

Material and methods.

Results.

Interpretation.

Bakgrunn.

Materiale og metode.

Resultater.

Fortolkning.

Materiale og metode

Resultater

Diskusjon

Profesjonsbestemte plikter og medbestemmelse

Plikter i form av virksomhetens retningslinjer for ansatte

Oppgitte interessekonflikter:

Kommentarer

Anbefalte artikler