Funksjonshemmedes Fellesorganisasjon viser til overnevnte Ot.prp.
og vil gi noen merknader til komiteen om saken.
Helse- og omsorgsdepartementet ønsker gjennom forslagene i Ot.prp.nr.51
(2008-2009), å gjøre endringer i lovverket slik at det kan åpnes
for elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrenser
innen helsetjenesten. Dette for å sikre nødvendig helsehjelp og
understøtte samhandling i helsetjenesten.
FFO vil innledningsvis si at vi støtter et system med mulighet
for at pasientopplysninger kan gjøres tilgjengelig på tvers av virksomhetsgrenser,
men vi støtter ikke endringer som innebærer mulighet for vide elektroniske
tilgangsrettigheter til journalopplysninger på tvers av virksomheter
slik lovforslaget åpner for. FFO mener at direkte elektronisk tilgang
til journalopplysninger på tvers av virksomheter kun skal kunne
gis gjennom en kjernejournal samt gjennom elektronisk meldingsutveksling.
FFO ber komiteen etterlyse en redegjørelse
og dokumentasjon fra HOD om hvilket behov det er for å tillate vide
tilgangsrettigheter til pasientopplysninger på tvers av virksomheter
slik som det legges opp til i lovforslaget.
FFO ber komiteen etterspørre HODs begrunnelse for hvorfor
vide tilgangsrettigheter til journalopplysninger på tvers av virksomhetsgrenser
er hensiktsmessig i en akuttsituasjon.
FFO be komiteen etterspørre en redegjørelse for hvordan
de skal kunne sikre at sensitive pasientopplysninger ikke spres,
ved at det åpnes for vide tilgangsrettigheter til EPJ på tvers av
virksomheter.
FFO ber komiteen etterlyse en grundig redegjørelse fra HOD
om hvordan en kan sikre at personvernet blir tilstrekkelig ivaretatt
ved at opplysninger i EPJ gjøres tilgjengelig på tvers av virksomheter,
særlig tatt i betraktning når tilsyn viser at dette ikke engang
er tilstrekkelig ivaretatt internt i mange helseforetak.
FFO ber komiteen etterlyse en redegjørelse for hvorfor ikke
lovforslaget avgrenses til å bare å gjelde kjernejournal og elektronisk
meldingsutveksling.
FFO ber komiteen etterspørre en redegjørelse fra HOD om
hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes
klare kritikk av tilgangskontrollen og de manglende kontrollrutiner med
hvem som tilegner seg journalopplysninger og i hvilken hensikt.
FFO vil be komiteen etterlyse en grundigere vurdering av
de økonomiske og teknologiske utfordringene lovforslaget vil innebære,
enn det som framgår av lovforslaget.
FFO oppfordrer komiteen til å be HOD gi Stortinget en grundig
redegjørelse gjennom å besvare de overnevnte spørsmål før komiteen
realitetsbehandler lovforslaget
Datatilsynet og Statens helsetilsyn har gjennomført tilsyn med
helseforetakene om sikkerhet rundt elektroniske pasientjournaler,
og har avdekket at sikkerhetsrutinene i mange tilfeller er altfor
dårlig. Det viser seg at helsepersonell og andre ansatte har gjennomgående
for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske
pasientjournalen. I tillegg er kontrollen med hvilke opplysninger
de ansatte tilegner seg for svak.
Det å åpne lovverket for en elektronisk tilgang til journalopplysninger
på tvers av virksomhetsgrensene forutsetter en god tilgangsstyring,
og oversikt over hvem som tilegner seg opplysninger slik at de journalopplysninger
som gjøres tilgjengelig bare gis til de som har behov for det, og
at opplysningene har relevans for behandlingen.
Erfaringene viser at sikkerhetsrutinene rundt elektroniske journaler
ikke ivaretas på en betryggende måte internt i den enkelte virksomheter
i dag. Dette gjør at en tilgang på tvers av virksomheter kan utgjøre
en risiko for at sensitive pasientopplysninger kan flyte fritt mellom
virksomheter. Mange helseforetak har ikke journaler som angir noe
strukturert skille mellom sensitive og ikke sensitive opplysninger
i EPJ, dette øker faren for at uvedkommende kan få tilgang til sensitiv
informasjon som de absolutt ikke burde ha. Dette mener FFO svekker
personvernet i betydelig grad.
Taushetsplikten i helsepersonelloven er en personlig plikt som
er sterkt forankret hos helsepersonell og som er viktig for at sensitive
pasientopplysninger ikke gis til andre enn de som har et klart tjenestelig behov.
Erfaringer viser imidlertid at den personlige taushetsplikten ikke
er tilstrekkelig som styringsverktøy for å forhindre at sensitiv
informasjon ikke gjøres tilgjengelig for de som ikke burde få tilgang
til slike opplysninger. Med vide tilgangsrettigheter og svake kontrollrutiner
i virksomhetene vil ikke taushetsplikten være et sterkt nok vern
for at opplysninger ikke tilkommer uvedkommende. I tillegg til taushetsplikten
er det nødvendig å ha systemiske begrensninger som i størst mulig
grad kan hindre urettmessige oppslag.
Departementet har etter FFOs oppfatning ikke i tilstrekkelig
grad tatt hensyn til den faren den svake tilgangstyringen og de
manglende kontrollrutiner er for personvernet. FFO vil sitere Statens
helsetilsyn som skriver:
"Nevnte tilsyn med tilgang til EPJ innenfor virksomhetene
taler ikke for utvidelse av tilgangsrettigheter."
Siden tilsynet har påpekt de vide tilgangsrettighetene som en
klar svekkelse av personvernet, er FFO undrende til at departementet
tillegger konklusjonen i tilsynsrapportene fra Statens helsetilsyn
og Datatilsynet så liten vekt. Etter FFOs oppfatning burde disse
tilsynsrapportene dannet grunnlag for utarbeidelse av strategier
for hvordan sikre god tilgangsstyring og kontrollrutiner internt
i virksomhetene, før en åpner for vide tilgangsrettigheter på tvers
av virksomheter.
Forslaget til endringer i lovverket åpner etter FFOs oppfatning
for vide tilgangsrettigheter til journalopplysninger på tvers av
virksomheter. FFO mener at man isteden for å åpne for vide tilgangsrettigheter
må lage løsninger som siden gir tilgang til en avgrenset kjernejournal,
hvor bare de mest nødvendige opplysninger om pasienten er tilgjengelig,
slik som medisinbruk og allergier og lignende. Det er slike kjerneopplysninger
som er nødvendig og tilstrekkelig å ha i en akuttsituasjon for å
yte nødvendig helsehjelp. Erfaringer fra Skottland som har hatt
et system med kjernejournal i tre år, har vist at dette gir svært
god funksjonalitet. FFO er derfor forundret over at HOD ikke redegjør
nærmere for et kjernejournalsystem som vil kunne ivareta både hensynet
til behovet for nødvendig tilgang til vitale opplysninger og et
godt personvern.
FFO vil be komiteen medvirke til at HOD gir en grundig redegjørelse
for hvorfor ikke kjernejournal legges som ramme og avgrensning for
utveksling av nødvendige opplysninger på tvers av virksomheter i helsetjenesten.
En pasientjournal hvor opplysningene ikke kategorisert, systematisert
og avgrenset, vil ikke være et godt verktøy i en akuttsituasjon.
Helsepersonell som behandler pasienten vil måtte lete etter relevante kjerneopplysninger
om pasienten. Slike usystematiserte journaler kan være mer til skade
enn til gagn i en akuttsituasjon.
FFO mener derfor at et system med kjernejournal med de mest vitale
opplysninger om pasienten er kun det som trengs av opplysninger
for gi nødvendig helsehjelp i en akuttsituasjon.
Det kan allikevel være viktige journalopplysninger som ikke framgår
av kjernejournalen, og som kan være nødvendig i en behandlingssituasjon.
Slike opplysninger bør også kunne gjøres elektronisk tilgjengelig
på tvers av virksomheter. Elektronisk meldingsutveksling hvor en
har god tilgangskontroll mener FFO vil være et godt alternativ for
slikt formål av. Potensialet for elektronisk meldingsutveksling
er ikke tilstrekkelig utnyttet i helsetjenesten, og FFO mener at
det vil kunne være et egnet system, som også vil ivareta viktige
personvernhensyn.
FFO mener at HOD ikke i nødvendig grad drøfter de økonomiske
og teknologiske utfordringene som en implementering av lovverket
vil innebære for virksomhetene. Slik det fremgår av Ot.prp.nr.51
skal tilpasning av krav etc gjøres innen for de til enhver tid gjeldende
økonomiske rammer for virksomhetene. FFO mener at departementet
i denne sammenheng undervurderer kostnadene ved en slik implementering
og vil be komiteen etterlyse grundigere analyser av disse forhold
enn det som går fram av lovforslaget.
FFO støtter ikke forslaget om å gjøre EPJ tilgjengelig på tvers
av virksomhetsgrenser uten at det etableres innenfor rammene av
en samtykkebasert kjernejournal hvor pasient og helsepersonell i
fellesskap har blitt enig i hvilke opplysninger som skal fremgå av
journalen. Slik FFO ser det vil en kjernejournal dekke behovet for
vitale opplysninger som er nødvendig i en akuttsituasjon. Ytterligere
behov for journalopplysninger kan utveksles gjennom elektronisk meldingssystem.
FFO vil med dette anmode komiteen om å medvirke til at HOD redegjør
for Stortinget på egnet måte, de spørsmål som FFO har reist i denne merknaden.