- Allerede i dag lekker systemet i alle retninger, og det er ingen grunn til å tro at det blir bedre sikkerhet med nasjonale systemer. I dag er befolkningen opptatt av at banker har lekket kontoopplysninger. De burde være minst like bekymret for hvem som leser hva om dem i journaler, og lekker det videre, sier tilsynsdirektøren.

Overrasket over pasientene
Datatilsynet er overrasket over at ikke flere pasienter er klar over at de risikerer at flere enn deres behandlende leger leser i journalene.

- Men helsevesenet selv burde være mye mer bekymret. Dersom det blir kjent at leger ikke selv ønsker at deres sykehistorie skal journalføres fordi de ser det som sannsynlig at uvedkommende leser det, kan vanlig publikum frykte det samme. Det kan påvirke tillitsforholdet mellom lege og pasient. Publikum tror nesten ikke på at det er så ille. Vi er vokst opp med at taushetsplikt er en del av yrkesetikken til legene, og at man kan stole på det. Dette kan man nok fremdeles, men når informasjonen tastes inn på et system, er det ikke lenger den individuelle tillit man snakker om, men tekniske standarder, sier Apenes.

Hvor er legeetikken?
Datatilsynet mener det er åpenbart at EPJ må være i samsvar med lege-etikken.

- Hvis det ikke er det, burde det mobilisere initiativ fra helsepersonellets side. Det er overraskende at vi må komme inn og si dette til helsepersonellet. Vi møter av og til leger som vil ha tilgang til alt, og det er vanskelig å få forståelse for at man ikke kan utvikle løsninger slik at man får en avveiing mellom legens behov til journalen og pasientens forventning til konfidensialitet. Helseforetakene er langt fra å balansere dette på et riktig nivå.

Mektige aktører
Datatilsynet har arbeidet med journalproblematikken ved sykehus i flere år, uten å ha opplevd og få gjennomslag. Nå har tilsynet gått i kompaniskap med Helsetilsynet.
- Det har åpenbart gitt tilsynsrapportene større tyngde.


Beskytter kolleger mot journalsnoking

Enkelte leger ved Akershus Universitetssykehus har ikke skrevet journal etter å ha behandlet kolleger ved sykehuset. Dette er gjort for å sikre dem mot sniklesing.

Praksisen ble avdekket da Datatilsynet og Helsetilsynet kontrollerte sykehusets journalsystemer i fjor.

Den ferske tilsynsrapporten slår fast at pasientopplysningene ved Ahus er for dårlig vernet og at for mange ansatte har tilgang til intime pasientopplysninger. Helsepersonell er selv så engstelig for rutinene ved sykehuset at enkelte ber om at deres sykehistorie ikke skal omtales i journal.

Skepsis blant ansatte
- Dette tar vi som et signal om at helsepersonell opplever at journalene er tilgjengelige for mange, og at de selv vegrer seg for journalføring. Det er nok grunn til å tro at vi vil finne tilsvarende skepsis blant ansatte ved andre sykehus også, sier seniorrådgiver Ingvild Aubert i Helsetilsynet, Oslo og Akershus.

Tilsynet avdekket at innholdet i de elektroniske pasientjournalene ikke er forsvarlig vernet mot innsyn fra ansatte som ikke har legitimt behov for opplysningene. Dessuten mangler sykehuset kontroll med hvem som har åpnet og lest i journalene.

Dårlig sikret
- Taushetsplikten er ikke sikret ved sykehuset fordi datasystemene er dårlig tilpasset en organisering der helsepersonell arbeider på tvers av post, seksjon og avdeling, sier Aubert.

Tilsynsbesøket avdekket blant annet at sykepleiere har ordinær tilgang til elektronisk postjournal (EPJ) ved egen avdeling, og hjelpepleiere og annet pleiepersonell har ordinær tilgang til den elektroniske journalen for aktuell pasient ved egen avdeling. Tilgangen omfatter kritisk informasjon, også innen psykisk helsevern.

Sykehuset fikk kritikk for at det ikke hadde utnyttet alle mulighetene til å innsnevre tilgangen til pasientjournalen for flere kategorier av helsepersonell i den eksisterende versjonen av det elektroniske pasientjournalsystemet.

Umulig å sjekke sniklesere
- I hovedsak kan enhver lege og sekretær slå opp i enhver journal ved helseforetaket, både for inneliggende og tidligere pasienter - uten at man har en reell mulighet for å oppdage et tilfeldig uautorisert oppslag i journalen. Dette med mindre pasienten er ansatt ved helseforetaket eller er en kjent person. Rundt 300.000 personer har helseforetaket som sitt sentralsykehus, skriver Datatilsynet.

Tilsynet presiserer at det ved Ahus også var nærmest umulig å sjekke om noen hadde sniklest i journalene, med mindre man tok for seg journal for journal.

- Det vil bare være mulig å kontrollere en liten del av pasientjournalene på denne måten. Muligheten for å avdekke sniking på en tilfeldig pasient er dermed nesten fraværende med mindre pasienten selv ber om å få loggene til gjennomsyn, sier Aubert.


Vil ha forbud

Forbud mot å sniklese og snoke i journaler - og en nasjonal godkjenning av standard for elektroniske pasientjournalsystemer. Dette er to av helse- og omsorgsminister Sylvia Brustads tiltak mot dagens kaos.

Dette kom frem på Stortinget i forrige uke. Da hadde stortingsrepresentant Inge Lønning (Høyre) spurt helse- og omsorgsminister Sylvia Brustad om hva hun vil gjøre for å sikre bedre ivaretakelse av pasientenes personvern - gjennom en sikker oppbevaring av pasientjournalene.

Statsråd Sylvia Bustad var enig i at det har kommet eksempler på det hun omtalte som svakheter.

- Et eksempel på en slik svakhet kan være at det ikke kommer uttrykkelig frem i dagens bestemmelser om taushetsplikt at det er forbudt å søke informasjon i pasientjournaler, uten at det er tjenstlig behov for disse opplysningene. Det skal ikke være noen tvil om at det er forbudt å søke, eller motta opplysninger om pasienter, uten at det er nødvendig for den helsehjelpen som skal gis. Derfor vil jeg snarest mulig sende på høring et forslag om en tilføyelse i helsepersonelloven for å tette dette hullet.

Forebyggende?
Brudd på taushetsplikten kan som kjent straffes med fengsel eller med bøter. Etter helsepersonelloven er det også adgang til å gi administrative reaksjoner, som advarsel eller tilbakekall av autorisasjon.

- Jeg er av den oppfatning at en presisering i bestemmelsen om taushetsplikt, slik jeg nettopp har beskrevet, sannsynligvis er det tiltaket som vil være mest synlig for helsepersonell, og forhåpentligvis forebyggende i forhold til urettmessig tilgang til pasientopplysninger.

Nasjonal godkjenning
I samme åndedrett sa Brustad at hun vil innføre en ordning med nasjonal godkjenning av standard for elektroniske pasientjournalsystemer, og leverandørene skal være forpliktet til å bruke denne standarden i systemene de leverer.

I dag er det ikke noe krav til slike standarder.


- Greit å være nysgjerrig

Dagens Medisin har tidligere omtalt en sak der en ansatt ved Helgeland sykehus leste i journaler uten grunn. Vedkommende fikk ingen straff fordi det ikke er ulovlig å snik-lese i andres journaler.

Sykehuset ble derimot ilagt en foretaksstraff på 50.000 kroner for manglende sikkerhetsrutiner med pasientjournalene.

Helgeland sykehus ble anmeldt av Datatilsynet etter at det ble oppdaget at en avdelingsleder for kontortjenester hadde kikket i pasientjournaler, blant annet til 13 av sine ansatte, uten at han hadde tjenstlige behov for det.

Sykehuset anmeldte mannen for brudd på taushetsplikten, mens Datatilsynet anmeldte sykehuset for brudd på helseregisterloven. Begge sakene ble henlagt, men etter at Datatilsynet påkjærte henleggelsen av sykehuset, ba statsadvokaten i Nordland om ytterligere etterforsking. Dette resulterte i en foretaksbot.

Ved Ullevål Universitetssykehus ble det avslørt at en helsesekretær hadde snoket i journalen til en kvinnelig bekjent ved 16 anledninger. Dette pågikk over fem måneder. Fordi hun ikke var helsepersonell, kunne hun ikke få korreks etter helsepersonelloven. I rapporten fra Helsetilsynet skinner det likevel igjennom at sekretæren ikke vil få autorisasjon senere, fordi hun har vist en oppførsel som ikke er forenlig med autorisasjon som helsepersonell.

Sekretæren kunne heller ikke straffes for brudd på taushetsplikten, fordi hun påsto at hun ikke hadde lekket informasjonen hun leste til andre.

Ullevål sykehus fikk beskjed om å gjennomgå sine rutiner.

Andre foretak

Tidligere har Helsetilsynet og Datatilsynet avdekket tilsvarende mangler ved Helse Bergen. I en felles uttalelse fra Datatilsynet, Statens helsetilsyn og Helsetilsynet i Hordaland, ble det i fjor uttalt at:

  • De elektroniske pasientjournalene er ikke forsvarlig vernet mot innsyn fra ansatte som ikke har legitimt behov for opplysningene. 
  • Systemet med etterkontroll av hvem som har slått opp i systemene, er ikke tilstrekkelig. 
  • Etterkontrollen kan heller ikke erstatte en avgrensning av tilgang på forhånd. - Vi er bekymret for at også andre helseforetak har lignende utfordringer, uttaler Datatilsynet og Helsetilsynet til Dagens Medisin.

Flere regelsett ved innsyn

I utgangspunktet er det flere sett regler som skal styre innsyn og bruk av journalene.

Ved et åpent møte i Sykehuset Asker og Bærum HF informerte seniorrådgiver Tor Ottersen ved Sosial- og helsedirektoratet (SHdir) om lovgivingen og elektronisk postjournal (EPJ).

Ifølge journalforskriften skal det fortrinnsvis føres en journal for en pasient innenfor en virksomhet (f.eks. helseforetakene). I denne journalen skal både leger, sykepleiere, sosionomer, ergoterapeuter, fysioterapeuter og annet helsepersonell skrive sine notater.
Sykepleiere skal kunne lese og se det som er relevant for dem for å utføre jobben.

Paragraf 25
Ifølge Helsepersonellovens paragraf 25 skal samarbeidende helsepersonell i et behandlingsforløp kunne lese journalen.

Hvem som er samarbeidende helsepersonell, avgjøres av medisinskfaglig ansvarlig.

Paragraf 45
I et pågående sykdomsforløp skal informasjon som er relevant fra tidligere forløp, gjøres tilgjengelig for behandlingen av samarbeidende helsepersonell, ifølge Helsepersonellovens paragraf 45. Utfordringen er at journalene som regel føres kronologisk, ikke tematisk.

Dersom man åpner journalene, vil derfor siste informasjon komme først.  Dessuten kan en journal inneholde informasjon fra hele livsløpet til pasienten.

Det er vedtatt at man skal kunne sperre hele journalen, eller deler av den, både for alt innsyn og i forhold til enkeltpersoner blant de behandlende, men dette er  ofte teknisk vanskelig i dagens systemer.

Paragraf 13
Helsepersonellovens paragraf 13 sier at en databehandlingsansvarlig ikke kan gi direkte tilgang til helseopplysninger til personell som ikke arbeider under den databehandlingsansvarliges instruksjonsmyndighet.

Dette betyr i praksis at en lege ved ett helseforetak ikke kan logge seg inn i journalsystemet ved ett annet helseforetak og lese journalen på denne måten. Her skal nødvendige opplysninger utleveres.


Vil ha åpnere tilgang

I dag kan ikke journaler sendes på tvers av foretakene. Dette vil Helse- og omsorgsdepartementet (HOD) ha en endring på.

HOD ba derfor nylig Sosial- og helsedirektoratet om å komme med forslag til lovendringer. Målet er at informasjon kan deles eller gjøres tilgjengelig for behandlende helsepersonell i og mellom foretakene, og mellom private sykehus og mellom private sykehus og helseforetak.

I bestillerbrevet fra HOD heter det at taushetsplikten i utgangspunktet skal ligge fast, men at det kan bli nødvendig å foreta tilpassinger i enkelte paragrafer som omhandler taushetsplikt.

HOD har også bedt SHdir lage forskrift hvor det fremgår hvilke sikkerhetsmessige tiltak som skal iverksettes av helseforetak og sykehus for å få tillatelse til å åpne for en slik utvidet adgang.

SHdir har fått frist på seg til august for å komme med forslag.


«Grønnlys» på Akershus

Akershus universitetssykehus har tatt journallekkasjene alvorlig - og innfører en ordning med grønnlys.

I tillegg til blålystilgang, som beholdes uendret, vil det ved sykehuset være to former for såkalt besluttet tilgang til journalene: Implisitt tilgang - ordinær/underforstått tilgang - og eksplisitt tilgang - når ordinær tilgangkontroll ikke dekker behovet.

Klarering på «grønt»
Akershus Universitetssykehus har satt i gang arbeidet med å sikre journalene for uønsket lesing, og innfører en såkalt «grønnlysordning». Dette er eksplisitt tilgang, som er aktuelt for databrukere som ikke har en gyldig implisitt tilgang til et dataelement, men har behov for å åpne dette i aktuelle tilfeller.

Slike tilfeller kan være etter henvendelse fra pasienten, fra pasientens behandler, fra pårørende, ved bestilling av dokumenter fra offentlige instanser og fra forsikringsselskap, ved IKT-systemarbeid, ved forberedelse til mottak av meldt pasient, ved anmodning fra pasient om innsyn og ved tilsyn med helsepersonellets virksomhet.

Dette er også aktuell tilgangsform når det ytes helsehjelp til pasienter i annen avdeling.

Automatisk loggføring
I tillegg skal man beholde den implisitte tilgangen, der brukeren kan gå inn i journal med utgangspunkt i stilling og arbeidssted. Disse tilgangene skal være de tilgangene brukeren til enhver tid trenger for å utføre arbeidsoppgavene sine. Dette vil være tilknyttet definerte roller i forhold til pasientene.

I sitt tilsvar til Helsetilsynet og Datatilsynet presiserer direktør Erik Normann ved Akershus Universitetssykehus at alle oppslag som foretas i EPJ, blir automatisk loggført. Dette omfatter også ordinær tilgang som skjer i henhold til tilgangsdokumentet, om hvem som har gjort oppslag, hvilke dokumenter oppslagene gjelder, når, type aktivitet (lese, skrive, godkjenne, utskrift med mer). Det kjøres ut logg etter begrunnet mistanke - eller på anmodning fra pasienten selv.

Misbruk av tillit blir fulgt opp og ut fra forholdets alvorlighet møtt med sanksjoner.

Dagens Medisin 04/07

Se også: Leder: Privatliv på avveier