IKT: Helsevirksomhetens tilretteleggingsplikt og Helsetilsynets funksjon

Debatten om pasientsikkerhet og anvendelse av data som har pågått i Aftenposten, Dagens Medisin og gjennom flere konferanser i januar 2019, er viktig og interessant av flere grunner, og preges av en sammenblanding av ulike problemsstillinger. Når pasienten kommer til helsetjenesten for å få helsehjelp skjer det i tillit til at helsetjenesten kan gi helsehjelp og ivareta nødvendig integritetsvern som både omfatter beskyttelse mot skader og beskyttelse av privatlivet.

Personvernforordningen (GDPR) henviser i stor utstrekning til nasjonal lovgivning når det gjelder behandling av data i helsetjenesten og for helseforskning og gir rom for ulike behandlingsgrunnlag. Korrekt anvendelse av GDPR forutsetter dermed kjennskap til lovene og hvordan de fortolkes.

Tilretteleggingsplikten

Helsevirksomhetens ledelse skal tilrettelegge virksomheten slik at pasienten oppnår å få forsvarlig og effektiv helsehjelp basert på dagens medisinske kunnskap og ivaretakelse av integritetsvern, jf. spesialisthelsetjenesteloven § 2-2. En tilsvarende bestemmelse finnes i helse- og omsorgstjenesteloven § 4-1. Integritetsvernet omfatter vern om fysisk helse, konfidensialitet og databeskyttelse. Integritetsvernet må balanseres når det oppstår konflikter, for eksempel at mulighetene for å gi helsehjelp fører til begrensninger i privatlivet.

Helsehjelpen kan være basert på anvendelse av medisinsk utstyr og data. Data benyttes i dag for å stille diagnoser, sammenligne røntgenbilder, deling av bilder og data mellom helsepersonell som samarbeider om helsehjelpen og når det innhentes råd fra eksperter. Helsevirksomhetens ledelse er ansvarlig for nødvendig tilrettelegging slik at data og bilder kan deles, for å gi behandling, utvikle helsehjelptilbudet og helsetjenesten, og er ansvarlig for pasientsikkerheten og databeskyttelsen som databehandlingsansvarlig.

Improvisering når IKT systemet ikke er tilrettelagt

Når en kirurg har åpnet pasientens brystkasse og finner noe unormalt ved hjertet som må diskuteres med en ekspert og eksperten ikke er tilstede, da deles bilde av hjertet for å innhente hjelp der og da. Hva skal legene gjøre når sykehuset ikke har IKT systemer for å dele data, eller som oppfyller sikkerhetskrav? Legen tar bilde med sin mobil og sender det til en ekspert der og da, og får veiledning i hva som kan gjøres.

Det sentrale her er pasientenes interesser og integritetsvern. Det å lukke brystkassen på grunn av at bilder ikke kan sendes, vil normalt ikke være i pasientens interesser eller forsvarlig helsehjelp. Mange beslutninger kan ikke utsettes i påvente av IKT systemer som underbygger medisinsk praksis og nødvendig informasjonssikkerhet. Sykehus-IKT-virkeligheten er på et annet stadium enn kunnskapen om data og medisin. Det er et misforhold som i mange situasjoner må løses her og nå med improviserte ordninger for å unngå at pasienten tar skade, for eksempel gjennom at bilder tas med mobiltelefonen dersom sykehuset ikke har sørget for at sikker bildetaking og deling er tilgjengelig.

Slike situasjoner oppstår regelmessig. Det tar flere år før det er systemer som underbygger medisinsk praksis og forskning på en tilstrekkelig måte. Når det utarbeides retningslinjer som skal avhjelpe de konflikter som oppstår bør man se nærmere på den faktiske situasjonen i helsetjenesten.

Tilgangen til data etter at pasienten er «ferdigbehandlet»

Helsehjelpen er ikke nødvendigvis avsluttet når pasienten skrives ut. Det må kontrolleres om helsehjelpen har virket slik formålet var. Data benyttes for å vurdere/kontrollere om pasienten fikk riktig og forsvarlig helsehjelp og ved ekstern kontroll av helsehjelpen.

Dersom sykehuset får melding om feil på implantater skal det registreres for oppfølgning og informasjon til pasienten om mulig. Helsevirksomheten skal tilrettelegg for lagring av data, tilgang til og deling av nødvendig data. Etablering av hindringer med formål om å beskytte data kan være brudd på pasientens rettigheter til informasjon og forsvarlig behandling. GDPR henviser til nasjonale lover og anvender vurderingstemaer som «nødvendig» og forholdsmessig.  Det er derfor ikke mulig å vurdere databeskyttelse i sykehus uavhengighet av formålet og reguleringer av andre pasientrettigheter og medisinske vurderinger. 

IKT-systemene må underbygge samfunnsoppdraget. Avgjørelser om å dele data

IKT-systemene må underbygge den medisinske praksis i samsvar med den medisinske teknologiutviklingen, og andre samfunnsoppdrag.

Helsevirksomhetene må sørge for at det er avklart rolle og ansvar for ansatte og ledere og at de som treffer beslutninger om deling av data har tilstrekkelig kompetanse og ev. dialog med pasienter, for å kunne foreta de vurderingene loven krever. Konflikten ved OUS kan tyde på systemsvikt når det gjelder hvor beslutninger treffes og grunnlaget for disse beslutningene.

Helsevirksomhetenes ledelse må sørge for å ha oversikt over utfordringene /alternativt at ledelse må ha et bevisst forhold til utfordringene og forholde seg aktivt til disse ved å etablere systemer for å unngå brudd på lovkrav til pasientsikkerhet. I motsatt tilfelle kan vektleggingen av databeskyttelse føre til at pasienter ikke får sin rett til nødvendig og forsvarlig helsehjelp oppfylt. Da svarer ikke helsevirksomhetene opp til samfunnets forventninger til den offentlige helsetjeneste.

Korrekt anvendelse av GDPR: Datatilsynet og Helsetilsynets rolle

Kunnskap om pasientrettigheter og tilsvarende pliktene som påhviler helsevirksomhetene og de faktiske utfordringene, er nødvendig for å kunne tolke GDPR korrekt og må ligge til grunn for rundskriv og bransjenormer. Behandlingsgrunnlaget for data er knyttet til formålet om å oppnå forsvarlig helsehjelp og helseforskning.

Staten helsetilsyn og Datatilsynet vil ha ansvaret for ulike vurderinger av helsehjelpen. Statens helsetilsyn og Fylkesmannen tar stilling til om tilretteleggingsplikten er oppfylt, helsepersonellets plikter og rettigheter for pasienter. Det omfatter både forsvarlighetsplikten og taushetsplikten.

Fylkesmannen som del av helsetilsynet tok i 2018 stilling til at et sykehus burde ha delt genetiske data for å innhente second opinion, en sak som illustrerer at spørsmålet om deling av data bygger på flere vurderinger, og der hensynet til pasienten står sentralt. 

En konsekvens av lovgivningen er at helsevirksomheten misligholder sitt tilretteleggingsansvar dersom et  rådgivende personvernombud gis beslutningsmyndighet i spørsmål som omfatter medisinske vurderinger med utgangspunkt i pasientens behov. Brudd på tilretteleggingsplikten kan gjøres gjenstand for foretaksstraff. De samme vurderinger har betydning ved helseforskning og klinisk utprøvning.

Med styrkingen av IKT-kompetansen i Helsetilsynet i 2018, skal Helsetilsynet kunne ta en mer aktiv rolle når det gjelder konsekvensene av digitaliseringen av helsetjenesten - noe som er nødvendig for å oppnå korrekt anvendelse av lovene og å trekke opp en grense mot Datatilsynets myndighet.