Det er et vell av saker på helsefeltet som utfordrer personvernet, for eksempel modernisering og samordning av helseregistre, lokale kvalitetsregistre og hvordan vi skal bruke teknologi til tryggere og sikrere håndtering av personopplysninger.
Da jeg i mai 2010 ble utnevnt til direktør i Datatilsynet, fikk jeg mange hyggelige blomsterhilsener hjem. Tre av dem kom fra topper i helseforvaltningen. Dette satte jeg stor pris på, og samtidig skjønte jeg at helse og personvern var et felt jeg komtil å jobbe mye med.
Hva vet folk flest om sine egne helseopplysninger? Folk har neppe en veldig klar oppfatning av hvor mange som egentlig har tilgang til journalen deres. Datatilsynet har gjennom årene utført mange tilsyn ved helseforetak for å sjekke nettopp dette. En del av tilsynene er blitt gjennomført i samarbeid med Helsetilsynet. Det vi ser etter, er typisk hvor vide tilgangene er, altså hvilket helsepersonell som kan se hvilke opplysninger. Vi er også opptatt av logging og varslingsfunksjoner i tilfelle journalsnoking, av interne rutiner og forankring i ledelsen. Det vi finner, er ofte nedslående. Vi ser at tilgangsstyringen er for dårlig og at tilgangen strekker seg langt utover den enkeltes tjenstlige behov. Vernepleiere har i enkelte tilfeller samme tilgang som leger og psykologer, og vi møter helsepersonell som sier at de aldri ville latt seg legge inn på det sykehuset der de selv jobber, i hvert fall dersom det gjaldt «noe mer alvorlig enn et armbrudd». Så hører vi historiene om sykepleiere som har hatt avdelingsmøte og laget en egen erklæring om at de aldri skal snoke i journaler. Dette er bra og viser moral og ryggrad, men understreker vel egentlig bare at snoking i altfor stor grad er et spørsmål om den enkeltes samvittighet og ikke noe som forhindres ved god tilgangsstyring og loggføring. Dette er ikke en akseptabel situasjon.
Helsevesenet er avhengig av tillit. Den dagen en pasient ikke tør gi all informasjon til sin behandler av frykt for at informasjonen ikke er trygg, har vi tapt svært mye. Samtidig må det ikke være slik at en lege i en behandlingssituasjon ikke får tilgang til den informasjon som er livsnødvendig for å behandle pasienten. Her må vi finne et balansepunkt der både personvernet og legens behov for opplysning går seirende ut.
For ikke lenge siden sendte departementet ut forslag om en forskrift som skal åpne for tilgang på tvers av helseforetak. Datatilsynet stilte seg, kanskje overraskende for noen, betinget positiv til en slik forskrift. Faren er åpenbar – når tilgangsstyringen er dårlig internt i hvert enkelt sykehus, hvordan vil det da bli når det gis tilgang på tvers? Grunnen ligger i helsevesenets behov for samhandling, som vi selvsagt klart anerkjenner. Men samtidig er inngjerdingen av forslaget vesentlig. Vi understreket i vår høring det som ligger som en klar føring i stortingsvedtaket, nemlig at tilgangsstyringen må sikre at det bare er nødvendige, relevante og strukturerte opplysninger det gis tilgang til. Lovforarbeidene har også oppstilt krav til strukturering av pasientjournaler. Det er viktig at dette følges opp. Det må i tillegg utarbeides gode systemer som sikrer at kravene etter gjeldende rett etterleves i praksis. Det er viktig at regelverkets krav til teknologi klargjøres nærmere. En slik klargjøring trenger ikke nødvendigvis å fremkomme i forskriften, men kan komme på et nivå under forskrift, for eksempel i form av rundskriv. Og dette siste er viktig – vi mener det er behov for klargjøring, presisering og bistand slik at helseforetakene er i stand til å følge forskriften den dagen den trer i kraft.
Datatilsynet bruker mye tid på stedlige tilsyn. Dette er vårt tunge artilleri, der vi går gjennom datasystemer, intervjuer ansatte og studerer rutiner og intern praksis. Vi har ikke noe ønske om å finne feil når vi kommer på besøk. Derfor er det også fra vårt ståsted veldig uheldig om forskriften trer i kraft før infrastruktur og rutiner er på plass – vi har ikke noe ønske om å komme på besøk om et år og skrive en tilsynsrapport som gir førstesideoppslag i landets aviser.
Til slutt noe ord om elektronisk kjernejournal. Det er satt på den politiske agendaen, og Datatilsynet er i prinsippet positiv til dette prosjektet. Etter vår mening er det imidlertid viktig at pasientens autonomi ivaretas og at en kjernejournal i størst mulig grad baseres på selvbestemmelse og samtykke fra den enkelte pasient. Dette dreier seg om tillit, og slik jeg ser det er den kanskje viktigste forutsetningen for tillit på ethvert samfunnsområde at den enkelte borger er godt informert og selv får bestemme over sine egne opplysninger.
Direktør i Datatilsynet
