Undervurdering av konsekvenser ved tjenestebasert adressering

Tjenestebasert adressering (TBA) er en god løsning til sitt bruk, men det er uforståelig at Direktoratet for e-helse har foreslått å forskriftsfeste ordningen uten å ha utredet konsekvenser eller risiko. I dag forledes leger til uforvarende å bryte taushetsplikten.

Publisert

Denne artikkelen er mer enn tre år gammel.

Torbjørn Nystadnes


Kronikk: Torbjørn Nystadnes, pensjonert seniorrådgiver i seksjon normering standarder, Direktoratet for e-helse

DET HAR VIST seg å være utfordrende sikre at elektroniske henvisninger eller andre meldinger kommer frem til riktig mottaker. Spesielt helseforetakene har brukt betydelige ressurser på å håndtere meldinger med mangelfull adressering.

Etter at Riksrevisjonen i 2014 konkluderte med at teknisk løsning for adressering av meldinger ikke fungerte tilfredsstillende, ble en rekke tiltak iverksatt for å rette på forholdene.

ENKLERE SYSTEM. Ett av tiltakene var overgangen til tjenestebasert adressering. Meldinger skal nå adresseres til en tjeneste som virksomheten yter – og ikke til en enhet eller en person hos mottaker. Hvilke tjenester virksomhetene skal kunne benytte, er fastsatt i en standard som vedlikeholdes av et utvalg med representasjon fra sentrale virksomhetstyper.

TBA gjør det enklere å sende meldinger til større virksomheter ettersom avsender ikke trenger å vite hvilken organisasjonsenhet som er den riktige til å behandle meldingen. Men hvis mottakeren eksempelvis er en psykolog med egen praksis uten ansatte, gir metoden ingen fordeler. Om metoden er egnet for mindre virksomheter, som et legekontor med noen få fastleger, er omdiskutert.

FÆRRE FEIL. Et annet viktig tiltak var at helseforetakene foretok en opprydding i det sentrale Adresseregisteret og fjernet adresser som ikke skulle benyttes. En spørreundersøkelse Direktoratet for e-helse gjennomførte i januar 2019, indikerer at tiltaket har vært vellykket. Mengden av feiladresseringer er betydelig redusert, og det meste av de resterende problemene synes å skyldes menneskelige feil eller feil i IT-systemene som benyttes for å sende meldingene.


En god egenskap ved TBA er at metoden kan innføres gradvis. I Adresseregisteret angir TBA kun at en adresse representerer en tjeneste. Slike adresser kan eksistere side om side med adresser som representerer organisatoriske enheter eller personer: Det er ikke noe i veien for at alle tre typer adresser kan benyttes i samme melding, en til hovedmottaker og de andre til kopimottakere.

Inntil denne alvorlige svakheten er rettet, bør TBA ikke benyttes. Min vurdering er at personvernet ikke er tilstrekkelig ivaretatt

MERARBEID FOR LEGER. Det bør være velkjent for Direktoratet for e-helse at Legeforeningen og leger som deltar i det såkalte EPJ-løftet, lenge har vært skeptisk til TBA for legekontor. Av journalførte svar fra tre av disse legene, på spørsmål som direktoratet stilte i desember 2018, fremgår det at alle mente at TBA for legekontor vil påføre dem betydelig ekstraarbeid.

Et forsiktig anslag, basert på vurderingene til disse legene, indikerer at for landet som helhet vil merarbeidet tilsvare mange titalls årsverk.

UNDERVURDERING AV KONSEKVENSER. Jeg finner det derfor uforståelig at Direktoratet for e-helse har foreslått for Helse- og omsorgsdepartementet (HOD) at bruk av TBA skal forskriftsfestes slik at også små virksomheter, som for eksempel legekontor, tvinges til å erstatte sine nåværende adresser med TBA-adresser. I brev til Legeforeningen (28.08.2019) bekrefter direktoratet at det verken er foretatt en konsekvens- eller risikoutredning. Direktoratet viser til at virksomhetene selv må foreta slike.

Konsekvensene av å gjøre TBA obligatorisk, er betydelig mer omfattende enn HOD skriver i høringsnotatet til forskriftsendringene: «Forslaget om krav til å ta i bruk standard for tjenestebasert adressering, krever at virksomhetene oppdaterer sine oppføringer i Adresseregisteret i Norsk Helsenett SF».

Det er et åpent spørsmål om undervurderingen av konsekvenser skyldes at direktoratet har holdt tilbake informasjon – eller om departementet har valgt å se bort fra manglende utredning.

SVAKHETER. En svakhet med TBA er at det ikke er mulig å angi at kun én bestemt person skal ha tilgang til opplysningene. Kontaktperson kan oppgis, men avsender mulighet til å angi at kun denne skal ha tilgang til innholdet.

I en lovtolking foretatt av Helsedirektoratet, forutsettes det at IT-systemet hos mottaker «forhindrer at andre enn de med rettsgrunnlag for det, får tilgang til helseopplysninger».

I situasjoner hvor avsender ikke har hjemmel til å utlevere opplysninger til andre enn et navngitt helsepersonell, er det kun denne som har slikt rettsgrunnlag. For eksempel skal epikrise sendes til henviser for opplæringsformål. Både av lovbestemmelsen og forarbeidene fremgår det eksplisitt at det er helsepersonellet som har henvist, som skal få utlevert epikrisen, og ingen andre hos henvisende virksomhet.

PERSONVERNET. Min vurdering er at personvernet ikke er tilstrekkelig ivaretatt fordi de aktuelle standardene mangler krav som kan hindre at andre enn dem som avsender ønsker å utlevere opplysninger til, får tilgang til informasjonen. Inntil denne alvorlige svakheten er rettet, bør TBA ikke benyttes når avsender kun har hjemmel til å utlevere opplysningene i meldingen til navngitt helsepersonell.

Slik det er nå, forledes leger til uforvarende å bryte taushetsplikten fordi flere uberettiget kan få tilgang til meldingsinnholdet.

Tilleggsinformasjon: Artikkelforfatteren oppgir ingen interessekonflikter, men opplyser at han ble pensjonist 1. april, etter å ha arbeidet i drøyt 22 år med standardisering innen e-helse både nasjonalt og internasjonalt, de siste åtte årene i Helsedirektoratet og Direktoratet for e-helse. Han var medlem av helsearkivutvalget (NOU 2006:5), og han ledet arbeidet med EPJ-standarden som førte til at påbudet om at alle pasientjournaler skulle foreligge og arkiveres på papir, ble opphevet i 2001.

Dagens Medisin 08/2020, fra Kronikk og debatt-seksjonen

Powered by Labrador CMS