Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende
ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra FFO til Stortingets helse- og omsorgskomité.
I svaret mitt nedenfor blir spørsmålene og problemstillingene
fra FFO gjengitt i kursiv..
FFO ber komiteen etterlyse en redegjørelse
og dokumentasjon fra HOD om hvilket behov det er for å tillate vide
tilgangsrettigheter til pasientopplysninger på tvers av virksomheter
slik som det legges opp til i lovforslaget.
Jeg vil innledningsvis påpeke at bruken av ordene "vide tilgangsrettigheter"
er misvisende – slik jeg vurderer det.
Lovforslaget innebærer ingen endring av helsepersonellets rett
til å få nødvendig informasjon om pasienten (pasientopplysninger)
dersom det er behov for det for å gi helsehjelp. Helsepersonell
kan i dag få utlevert pasientopplysninger elektronisk på diskett, CD,
ved hjelp av elektroniske meldinger eller ved papirkopi av journalen.
Rettsgrunnlaget for slik utlevering er helsepersonelloven §§ 25
og 45.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser
skal i følge lovforslaget bare kunne gis der det er behov for det
for å kunne gi pasienten helsehjelp i planlagte eller akutte situasjoner.
Rettsgrunnlaget for den elektroniske tilgangen vil fortsatt være
helsepersonelloven §§ 25 og 45.
Behovet for å kommunisere pasientopplysninger på andre måter
enn det er mulig i dag er fremhevet i flere sammenhenger. En arbeidsgruppe
nedsatt av de regionale helseforetakene med representanter fra alle regionenes
helseforetak avga i desember 2006 en rapport (Tilgang til elektronisk
pasientjournalsystem) til Helse- og omsorgsdepartementet hvor behovene
for spesialisthelsetjenesten er utredet.
Norsk senter for elektronisk pasientjournal (NSEP) gjorde en
utredning for Helsedirektoratet i 2007 (Medisinskfaglig analyse
av behovet for enklere kommunikasjon i tilknytning til bruken av
elektronisk pasientjournal).
Jeg er enig i de vurderinger som gjøres i disse utredningene.
Jeg mener dessuten at pasientens rett til konfidensialitet må
være like sterk, uavhengig av ansettelsesforhold og hvordan sykehusene
er organisert.
FFO ber komiteen etterspørre HODs begrunnelse
for hvorfor vide tilgangsrettigheter til journalopplysninger på
tvers av virksomhetsgrenser er hensiktsmessig i en akuttsituasjon.
Det er min vurdering at foreliggende lovforslag ikke åpner for
vide tilgangsrettigheter i akuttsituasjoner, jf. avsnittene ovenfor.
Det er relativt godt dokumentert at mangelfull informasjon har
negativ innflytelse på pasientforløpet. Det brukes lengre tid og
mer ressurser og pasienten lider mer. I den akuttmedisinske første
fase brukes standardiserte rutiner og i mindre grad journalinformasjon.
Opplysninger i pasientjournalen får betydning senere i akuttmottaket
når spesifikk behandling og diagnostikk starter.
Behov for kommunikasjon på tvers av virksomheter vil først og
fremst gjelde samarbeid mellom sykehus og ved samarbeid om pasienter
med store og kompliserte behov i pleie- og omsorgstjenesten.
FFO ber komiteen etterspørre en redegjørelse for
hvordan de skal kunne sikre at sensitive pasientopplysninger ikke
spres, ved at det åpnes for vide tilgangsrettigheter til EPJ på
tvers av virksomheter.
Jeg vil understreke at tilgang til journalopplysninger på tvers
av virksomhetsgrenser bare skal kunne gis der det er behov for det
for å kunne gi pasienten forsvarlig helsehjelp.
En forutsetning for tilgang er at journalopplysningene er strukturerte
slik at helsepersonell som gis tilgang, bare gis tilgang til de
opplysningene som er nødvendig, for eksempel opplysning om legemiddelbruk
eller allergier. Den direkte tilgangen fra en virksomhet til pasientjournal
i en annen virksomhet må avgrenses slik at eksterne søkere bare
kan få frem den spesifikke informasjonen de har tjenstlig behov
for. Det må foreligge en forhåndsgodkjenning av definert og strukturert
informasjon som det skal kunne gis tilgang til.
Effektiv kontroll med tilgangsstyringen (internkontroll), sammen
med økt fokus på opplæring, kunnskap og holdninger vil være viktige
tiltak for å fremme informasjonssikkerheten. Logging av informasjon
om hvem som har hatt tilgang til taushetsbelagte opplysninger og
pasientenes innsynsrett i loggen kan bidra til å bedre informasjonssikkerheten.
FFO ber komiteen etterlyse en grundig redegjørelse
fra HOD om hvordan en kan sikre at personvernet blir tilstrekkelig
ivaretatt ved at opplysninger i EPJ gjøres tilgjengelig på tvers
av virksomheter, særlig tatt i betraktning når tilsyn viser at dette
ikke engang er tilstrekkelig ivaretatt internt i mange helseforetak.
Foreliggende lovforslag krever at det blir fastsatt krav til
sikker utveksling av pasientopplysninger i forskrift - før det kan
gis tilgang til pasientopplysninger på tvers av virksomheter.
En forutsetning for tilgang til helseopplysninger på tvers av
virksomheter vil være at det i eget journalsystem er en eksplisitt
mulighet til å autorisere en bruker for "rett
til å forespørre informasjon i ekstern virksomhet". Det er
nødvendig for å forhindre at alle brukere som har et tjenstlig behov
for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan
forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten
skal det tilsvarende være et system for å autorisere de brukere
som kan logge seg på virksomhetens elektroniske pasientjournalsystem.
Alle oppslag skal logges.
De krav som stilles betyr at det må skje tilpasninger i dagens
elektroniske journalsystemer. Opplysningene i journalen må kunne
avgrenses og struktureres slik at nødvendige helseopplysninger kan
skilles fra annen sensitiv personinformasjon. I spesialisthelsetjenesten
pågår et langsiktig og omfattende arbeid med å skifte ut eksisterende
elektroniske pasientjournalsystemer med nye systemer som har forbedret
funksjonalitet til pasientbehandling og sikkerhet. Tilpasningene
til nye krav til sektoren vil måtte gjøres over lang tid. Virksomheter
som ikke har journalsystem hvor nødvendige og relevante opplysninger
kan avgrenses og struktureres vil ikke kunne åpne for tilgang fra
en ekstern virksomhet.
FFO ber komiteen etterlyse en redegjørelse
for hvorfor ikke lovforslaget avgrenses til å bare å gjelde kjernejournal
og elektronisk meldingsutveksling.
Det er ulike behov for elektronisk samhandling i helsetjenesten.
En kommunikasjonsform som fungerer godt i en del av helsetjenesten
trenger ikke nødvendigvis å være det som fungerer best i en annen
del av helsetjenesten. Tilgang til nødvendige journalopplysninger
på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende
for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for i alle
deler av helsetjenesten gi pasient best mulig helsehjelp. Utviklingsarbeidet
med elektroniske meldinger vil derfor foregå som før og er ikke
avhenging av lovendringer. Kjernejournal er fremdeles under utredning,
som blant annet gjelder hvilke elementer som skal inngå, ansvar
for opplysninger og hvorledes den skal driftes.
FFO ber komiteen etterspørre en redegjørelse fra
HOD om hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes
klare kritikk av tilgangskontrollen og de manglende kontrollrutiner
med hvem som tilegner seg journalopplysninger og i hvilken hensikt.
Jeg har på ingen måte oversett de synspunkter Statens helsetilsyn
og Datatilsynet har fremført. Datatilsynet og Statens helsetilsyn
har påpekt avvik i forhold til dagens regelverk for noen helseforetak. Noen
av avvikene som er påpekt kan ikke lukkes innenfor dagens teknologi.
Jeg mener i likhet med tilsynene at det er et potensial for forbedringer
av informasjonssikkerhet og personvern i helsesektoren, herunder
helseforetakene. Jeg er imidlertid av den oppfatning at utvikling
og forbedringer kan gjøres samtidig.
Det er minst kostbart å tilpasse de siste versjonene av systemene
til nåværende og nye krav, mens det for eldre systemer vil måtte
gjøres en avveining for hvert system mellom nytte og kostnad ved
å beholde systemene kontra å foreta en nyanskaffelse. Som nevnt
ovenfor foregår det i spesialisthelsetjenesten et langsiktig og
omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer
med nye systemer som har forbedret funksjonalitet i forhold til pasientbehandling
og sikkerhet.
Foreliggende lovforslag innbærer verken fri tilgang til helseopplysninger
for alt helsepersonell eller vide tilganger. Lovforslaget krever
streng kontroll og det må skje et betydelig utviklingsarbeid før
tilgang på tvers kan realiseres.
FFO vil be komiteen etterlyse en grundigere
vurdering av de økonomiske og teknologiske utfordringene lovforslaget
vil innebære, enn det som framgår av lovforslaget.
Kostnadene ved tilpasning og utviklingskostnader for de enkelte
elektroniske pasientjournalsystemene som er i bruk og de evt. nye
behandlingsrettede helseregistrene, vil variere sterkt. Dette skyldes
at de aktørene som skal samhandle har mange ulike systemer av forskjellig
teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde,
for eksempel operativsystem/programvare, hvilket pasientjournalsystem
brukes, maskinvare, systemversjon osv. Det er også uklart om alle
aktørene ønsker å benytte mulighetene for tilgang på tvers.
Leverandørene har for nye versjoner implementert betydelig forbedrede
tilgangskontroller for intern bruk som vil bli videreført i de tilgangskontroller som
må designes for tilgang på tvers. I tillegg kommer blant annet utvikling
av loggfunksjoner og strukturering av journalen
De teknologiske utfordringene med elektronisk kommunikasjon og
tilgang til helseopplysninger vil i hovedsak være like for intern
tilgang til helseopplysninger som tilgang til ekstern virksomhet.