Til Odelstinget
Helse- og omsorgsdepartementet legger i proposisjonen fram forslag
til endringer i helseregisterloven og helsepersonelloven. Formålet
med lovendringene er å fjerne regler som hindrer effektiv og trygg kommunikasjon
av helseopplysninger i helsetjenesten, samtidig som pasientens rett
til konfidensialitet og vern om personlig integritet ivaretas.
Det vises til at behovet for å vurdere nye måter å kommunisere
pasientopplysninger på har vært framhevet i flere sammenhenger,
og at det også flere ganger de siste årene har vært tema i Stortinget.
Det vises videre til strategiplanen "Samspill 2.0 Nasjonal strategi
for elektronisk samhandling i helse- og omsorgssektoren 2008–2013"
der ett av planens 11 innsatsområder omhandler tilgang til pasientinformasjon,
herunder tilgang til informasjon på tvers av virksomheter. Lovforslaget
er en oppfølging av innsatsområde 5, tiltak 1 i strategiplanen.
Det framholdes at det er både teknologiske og helsefaglige grunner
til at det bør vurderes å åpne for nye informasjonssystemer og mer
fleksibel tilgang til disse for å løse helsefaglige behov. Det skjer
en utvikling innen helsesektoren som gir nye undersøkelses- og behandlingsmetoder,
og som medfører økende spesialisering. Dette betyr at pasienten
oftere behandles av samarbeidende personell som tilhører forskjellige
virksomheter, og som alle trenger tilgang til pasientdata.
Det er departementets vurdering at lovendringene vil være et
godt virkemiddel for bruk av IKT-løsninger ved ytelse av helsehjelp
til beste for pasienter samtidig som taushetsplikten og personvernet
ivaretas.
Det framholdes at økende spesialisering og funksjonsdeling skaper
et økende behov for å utnytte kompetanse på tvers av virksomhetene
i pasientbehandlingen, og at det er behov for en bedre og tettere samhandling
enn det som den tradisjonelle henvisnings- og epikriseutvekslingen
gir anledning til.
I dag er det ingen samordning av oppdateringen av pasienters
medisinkort mellom de ulike aktørene som deltar i behandlingen av
en pasient. Departementet mener det er behov for et system som viser
en oppdatert og samlet oversikt over hvilke legemidler pasienten
bruker til enhver tid.
Departementet sendte forslag til endringer i helseregisterloven,
forslag til endringer av helsepersonelloven og forslag til forskrift
om informasjonssikkerhet og elektronisk tilgang til helseopplysninger
i behandlingsrettede helseregistre på høring i oktober 2008 med
høringsfrist i januar 2009.
57 høringsinstanser hadde merknader til ett eller flere av spørsmålene
i høringsforslaget.
Det redegjøres i proposisjonen for relevant gjeldende rett slik
en finner det i helsepersonelloven, pasientrettighetsloven, helseregisterloven
og personopplysningsloven.
Det foretas også en drøfting avforholdet til menneskerettighetene.
Det foretas videre en drøfting av personvern og informasjonssikkerhet,
og det vises bl.a. til NOU 2009:1 Individ og integritet som Personvernkommisjonen
la fram i januar 2009.
Muligheter og utfordringer ved tilgangskontroll ved henholdsvis
bruk av papirjournal og bruk av elektronisk pasientjournal drøftes
særskilt.
Det redegjøres for relevant regulering i Sverige, Danmark, Finland,
Skottland, Nederland, England og Frankrike.
Komiteens flertall, medlemmene fra Fremskrittspartiet,
Jan-Henrik Fredriksen, Vigdis Giltun og lederen Harald T. Nesvik,
fra Høyre, Inge Lønning og Sonja Irene Sjøli, fra Sosialistisk Venstreparti,
Olav Gunnar Ballo, fra Kristelig Folkeparti, Knut Arild Hareide,
og fra Venstre, Gunvald Ludvigsen, viser til sine forslag
i innstillingen til Dokument nr. 8:70 (2008–2009) om helse og personvern,
hvor flertallet blant annet foreslår opprettelse av en kjernejournal
hvor livsnødvendige opplysninger om eksempelvis bruk av hjertemedisin
eller livstruende allergier blir lagret, slik at de er tilgjengelige i
alvorlige situasjoner hvor pasientens liv er i fare.
Komiteens medlemmer fra Høyre, Kristelig
Folkeparti og Venstre anser at Ot.prp. nr. 51 (2008–2009)
er en trussel mot personvernet og potensielt i strid med menneskerettighetene og
privatlivets fred.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre viser til at
Allmennlegeforeningen i brev av 13. mai 2009 skriver:
"Det er helt nødvendig å ha fokus på de grunnleggende
elementene i elektronisk kommunikasjon i helsetjenesten, slik at
man ikke får energi- og ressurslekkasjer fra det viktige fundamentale
arbeidet med målrettet meldingsutveksling mellom helsevirksomheter
– hvor mye arbeid dessverre fortsatt gjenstår – over i prestisjeprosjekter
med enda høyere kompleksitet og stor risiko. Vi opplever ikke at
det er redegjort i tilstrekkelig grad for hvilken nytte behandlere
vil ha av elektronisk virksomhetsovergripende tilgang målt opp mot
de omfattende kostnader og den usikre nytte som ligger i et slikt
prosjekt. Man signaliserer slik vi leser det også et behov for et
personidentifiserbart register som skal kartlegge alle bevegelser
for alle brukere av helsetjenester i helse-Norge."
Disse medlemmer viser videre til
at Allmennlegeforeningen anser at elektronisk tilgang til behandlingsrettede
helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende,
behandlingsrettede helseregistre er teknisk prematurt, personvernmessig
svært uheldig og feil signal.
Disse medlemmer viser også til at investeringskostnadene
ved utviklingen av et slikt system vil være svært omfattende, og
at dette må sees i sammenheng med andre og mer påkrevde prioriteter
i utviklingen av elektronisk samhandling i helsetjenesten.
Komiteens medlem fra Sosialistisk Venstreparti viser
til at det har vært uenighet mellom partiene hva gjelder de personvernmessige konsekvensene
av lovforslagene, og at lovendringene slik de nå er foreslått av
Arbeiderpartiet og Senterpartiet imøtekommer noen av disse innsigelsene.
Sosialistisk Venstreparti ville helst valgt en løsning som ikke
innebar at helsepersonell fra en annen virksomhet får direkte tilgang
til opplysninger på tvers, men mener at de øvrige endringene som
nå har kommet inn i stortingsbehandlingen, er av så stor betydning
at Sosialistisk Venstrepartis representanter vil støtte forslagene
og merknadene fra Arbeiderpartiet og Senterpartiet.
Dette medlem viser til sine merknader. Dette medlem mener at disse merknadene
best synliggjør de motforestillingene som er reist fra tilsynsmyndigheter,
fagmiljøer og pasientorganisasjoner til Regjeringens lovforslag. Dette medlem mener også at mindretallets
alternative lovforslag best ivaretar de motforestillingene som er
reist mot Regjeringens lovforslag med hensyn til personvern, og
fremmer derfor alternative lovforslag i tråd med disse innvendingene.
Helsepersonellovens hovedregel om taushetsplikt følger av helsepersonelloven
§ 21. Taushetsplikten gjelder også mellom helsepersonell. Aktuelle bestemmelser
om kommunikasjon og utveksling av helseopplysninger i behandlingsøyemed
er helsepersonelloven §§ 25 og 45.
Det følger av helsepersonelloven § 45 at helsepersonell som mottar
en anmodning om journalen eller opplysninger i journalen i behandlingsøyemed,
i utgangspunktet har plikt til å etterkomme anmodningen, når dette
er nødvendig for å yte helsehjelp. Det uttales at bestemmelsen i
§ 45 synes uklar og har gitt opphav til ulike tolkninger. Departementet
foreslår på denne bakgrunn endringer i ordlyden på bestemmelsen.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre merker seg at
forslaget i proposisjonen innebærer en utvidelse av hvem som kan
få tilgang til journalen, og en utvidelse av hvem som kan gi slik
tilgang til journal, ut over gjeldende reguleringer i §§ 25 og 45. Disse medlemmer bemerker at §§ 25 og
45 er gitt for å ivareta behovet for opplysninger til samarbeidende
personell i og utenfor institusjonen. Bestemmelsene har samme formål
og kriterier, men § 45 regulerer bruk av journal i samarbeidssituasjoner.
Komiteen, medlemmene fra Arbeiderpartiet,
Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen
og Dag Ole Teigen, fra Fremskrittspartiet, fra Høyre, fra Sosialistisk
Venstreparti, fra Kristelig Folkeparti, fra Senterpartiet, Trygve
Slagsvold Vedum, og fra Venstre, ser at forslaget henger sammen
med forslaget om tilgang til journaler på tvers av virksomheter.
Slik helsepersonelloven i dag er innrettet, kan helseopplysninger
utleveres etter forespørsel og etter konkret vurdering av behov (evt.
etter samtykke), mens forslaget til endringer i helsepersonelloven
§ 45 innebærer at helsepersonell kan få tilgang til en pasients
journal. Forslaget må sees i sammenheng med forslaget til endring
av helseregisterloven § 13.
Komiteen vil påpeke at bruk av elektronisk pasientjournal
innebærer en rekke muligheter for å bedre samhandlingen mellom ulike
helsevirksomheter.
Komiteen mener at de teknologiske
mulighetene samtidig også innebærer store utfordringer knyttet til
personvern i og med at muligheter for spredning av informasjon øker.
Komiteen mener det er viktig å finne
en riktig balanse mellom hensynet til nødvendig pasientinformasjonsflyt
og hensynet til personvernet.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
vil påpeke viktigheten av at taushetsplikten etterleves, slik det
framgår av innledningen til proposisjonen. En pasient skal føle
seg trygg på at utveksling av taushetsbelagt informasjon mellom
helsepersonell bare skjer når det er absolutt nødvendig for behandling
eller oppfølging av en pasient. Flertallet vil
vise til at taushetspliktbestemmelsene skal hindre at pasienter
unnlater å oppsøke helsetjenesten av frykt for at opplysninger om
dem skal bli kjent av uvedkommende.
Flertallet viser til at helsepersonelloven
§§ 25 og 45 i dag åpner for utveksling av helseopplysninger når
dette er nødvendig for å kunne gi forsvarlig helsehjelp. Helsepersonelloven
§ 25 regulerer de situasjoner der helsepersonell samarbeider om
helsehjelp til en pasient, mens helsepersonelloven § 45 regulerer
adgangen til å utlevere helseopplysninger til andre som yter helsehjelp.
Flertallet har merket seg at bakgrunnen
for forslaget til endringer i helsepersonelloven § 45 er at tolkningen
av den har vært uklar og høyst forskjellig. Dersom ordlyden i § 45
tolkes strengt bokstavelig, vil det i enkelte tilfeller være praktisk
umulig å utlevere pasientopplysninger som er helt nødvendige for å
kunne tilby pasienten nødvendig helsehjelp, fordi den som skal vurdere
forespørselen, ikke er tilgjengelig.
Flertallet vil påpeke at departementet
legger til grunn i proposisjonen at helseopplysninger kan gis som
utlevering av kopi eller tilgang til helseopplysninger i pasientens
journal eller annet behandlingsrettet helseregister. Flertallet vil også understreke betydningen
av at pasienten faktisk blir informert om muligheten for at slik
tilgang kan gis, slik at kravet om samtykke blir reelt, jf. omtale
av endringer av helseregisterloven § 13.
Flertalletmerker
seg at det ved bruk av elektroniske systemer alltid må gjøres en
vurdering/forhåndsvurdering av om opplysninger i en journal kan deles
med annet helsepersonell som kan ha behov for disse, for å kunne
tilby pasienten nødvendig helsehjelp. Flertallet er
enig i at denne vurderingen må gjøres ved registreringen av opplysningene.
Uansett må journalene være strukturert slik at andre som yter helsehjelp,
kun gis tilgang til nødvendige helseopplysninger. Flertallet forutsetter
at det blir gjort tilpasninger i de elektroniske journalsystemene,
slik at de i alle deler av helsevesenet blir strukturert slik at nødvendige
helseopplysninger kan skilles fra annen sensitiv personinformasjon.
Flertallet viser til at departementet
på side 36 i proposisjonen uttaler at det i en aktuell behandlingssituasjon
må være vedkommende lege/helsepersonell som har til oppgave å tilby
pasienten helsehjelp, som må kunne vurdere om det er behov for å
få tilgang til nødvendige helseopplysninger om pasienten, blant annet
fordi det er dette helsepersonellet som i situasjonen er ansvarlig
for at helsehjelpen som tilbys, er faglig forsvarlig. Flertallet deler denne oppfatningen. Flertallet vil påpeke viktigheten av
at pasienten er godt informert om sine rettigheter ved bruk av elektroniske
pasientjournaler, og at de rutinene og systemene som praktiseres,
utformes og tilrettelegges slik at rettighetene oppfylles.
Flertallet støtter med dette departementets forslag
til endring av helsepersonelloven § 45. På bakgrunn av flertallets
forslag til endringer i helseregisterloven § 13, se nedenfor, foreslås
det at det i tillegg inntas en ny setning som andre punktum i § 45 første
ledd og som andre punktum i § 25 første ledd.
Flertallet fremmer følgende forslag:
"I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)
gjøres følgende endringer:
§ 25 første ledd nytt andre punktum skal lyde:
For elektronisk tilgang til helseopplysninger på tvers av virksomheter
gjelder helseregisterloven § 13 tredje og fjerde ledd.
§ 45 første ledd andre og tredje punktum skal lyde:
For elektronisk tilgang til helseopplysninger på tvers av virksomheter
gjelder helseregisterloven § 13 tredje og fjerde ledd. Det skal
fremgå av journalen at annet helsepersonell er gitt helseopplysninger."
Komiteen viser til at
departementets forslag til lovendring innebærer at annet helsepersonell
fra interne eller andre virksomheter kan få tilgang til pasientopplysninger
når det er inngått avtaler om dette.
Komiteens medlemmer fra, Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre viser til at
det er den som har skrevet journalen, eller databehandlingsansvarlig
i virksomheten som kan gi slik tilgang. Departementet mener at vurderingen
av hva som er nødvendig og relevant, foretas ved registrering av
opplysningene.
Disse medlemmer deler Datatilsynets
innvendinger hvor det sier at:
"Dersom mottaker skal vurdere hvilke konkrete opplysninger
som er nødvendige og relevante i den enkelte journal, må han nødvendigvis
gis tilgang til hele journalen. Faren er stor for at han derved
får tilgang til opplysninger som ikke er nødvendige og relevante.
For at helsepersonell i realiteten skal bevare taushet om forhold
som ikke er nødvendig og relevante for mottaker, må den taushetspliktige
selv foreta vurderingen."
Disse medlemmer vil også understreke
betydningen av at pasienten faktisk blir informert om muligheten
for at slik tilgang kan gis, slik at reservasjonsretten blir reell. Disse medlemmer vil påpeke at departementet
legger til grunn i proposisjonen at helseopplysninger kan gis som
utlevering av kopi eller tilgang til helseopplysninger i pasientens journal
eller annet behandlingsrettet helseregister, altså tilgang til intern
journal.
Disse medlemmer viser til at departementet sier
at vurderingen av hva som er nødvendig, skal foretas av den som
registrerer opplysningene. Disse medlemmer kan
ikke se at dette kan fungere i praksis da det er umulig å foreta
en vurdering av senere behov ved all registrering. Det vil også
bety at den som skal registrere opplysningene, må gjennomgå langt
flere opplysninger, også personsensitive, enn dem som har relevans
for saken.
Disse medlemmer bemerker at det følger
av loven §§ 39 og 40 og pasientjournalforskriften hva som skal innføres
i journal. Hovedvilkåret i § 40 er at opplysninger skal være relevante
og nødvendige. Hvilke forhold som er relevante og nødvendige ved utlevering
av opplysninger, vil imidlertid variere fra gang til gang. For å
sikre at kun nødvendig informasjon kommer til mottaker ved utlevering,
må det foretas en vurdering av en som kjenner journal og pasient.
En teknisk tilgang til journalopplysninger i et annet foretak gir
etter disse medlemmers syn ingen kontroll
med at opplysningene kun brukes i samsvar med databehandlingens
formål og ikke til andre formål som for eksempel forskning. Dagens
journalsystemer er heller ikke tilpasset selektiv utvelgelse av pasientdata
hos mottaker, siden journalnotatene registreres fortløpende, uavhengig
av diagnose. Ved gjennomgang av journalnotene hos mottaker må dermed
hele journalen gjennomgås for å finne fram til opplysninger som
kan ansees relevante for mottaker.
Disse medlemmer bemerker også at
loven i dag har et velfungerende system for hvem som skal vurdere
utlevering i § 39 (journalansvarlig) og pasientjournalforskriften,
og ser dermed ingen begrunnelse for at denne ordningen skal endres
til databehandlingsansvarlig. Disse medlemmer støtter dermed
ikke departementets forslag til endring av § 45 i helsepersonelloven.
Disse medlemmer fremmer på denne
bakgrunn følgende forslag:
"I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)
skal § 45 lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som
nevnt i § 39 gi nødvendige opplysninger i journalen til andre som
yter helsehjelp etter denne lov, når dette er nødvendig for å kunne
gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at
annet helsepersonell er gitt tilgang til journalen etter første
punktum.
Helseopplysninger som nevnt i første ledd kan gis av den journalansvarlige
for opplysningene eller det helsepersonell som har dokumentert opplysningene,
jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling
av første ledd, og kan herunder bestemme at annet helsepersonell
kan gis tilgang til journalen også i de tilfeller som faller utenfor
første ledd."
Helseregisterloven skiller mellom tilgang til helseopplysninger
og utlevering av helseopplysninger. Helseregisterloven § 13 setter
de ytre rammer for hvem som kan gis tilgang til helseopplysninger. Elektronisk
tilgang til helseopplysninger som behandles etter helseregisterloven,
er begrenset til den som arbeider under den databehandlingsansvarliges eller
databehandlers instruksjonsmyndighet. Begrensningen i helseregisterloven
§ 13 gjelder i tillegg til reglene om taushetsplikt i helsepesonelloven.
Helseregisterloven § 13 må ses i sammenheng med helseregisterloven
§ 16 som pålegger databehandlingsansvarlig og databehandler å sørge
for tilstrekkelig sikring av helseopplysninger. Dersom noen utenfor
den databehandlingsansvarliges eller databehandlers virksomhet har
tilgang til helseopplysninger, har ikke databehandlingsansvarlig
eller databehandler oppfylt sine plikter etter helseregisterloven
§ 16 til å sikre helseopplysninger.
Det framholdes at helseregisterloven § 13 – slik den i dag lyder
– stenger for kommunikasjon mellom helsepersonell også der det er
formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten.
Dette er slik fordi helsepersonell i én virksomhet ikke står under
instruksjonsmyndigheten til databehandlingsansvarlige eller databehandler
i en annen virksomhet, og de kan følgelig ikke gis tilgang til journalen
der den befinner seg i den andre virksomhetens elektroniske pasientjournalsystem.
Mulighet til å gjøre seg kjent med nødvendige og relevante journalopplysninger
er etter gjeldende rett gjennom utlevering av opplysningene, som
elektronisk forsendelse eller meldingsutveksling eller som papirutskrift
eller papirkopi.
Det uttales at det ut fra et personvernsynspunkt ikke nødvendigvis
er bedre å utlevere en kopi av journalen/journalnotat enn å gi den
aktuelle legen tilgang til journalen/journalnotatet der det ligger.
Departementet mener at de teknologiske muligheter i dag innebærer
at taushetsplikten kan ivaretas også når det åpnes for tilgang til
helseopplysninger på tvers av virksomheter. Det absolutte forbudet
i helseregisterloven § 13 er etter departementets vurdering ikke
lenger hensiktsmessig, fordi det ikke er nødvendig for overholdelse
av taushetsplikten, og fordi det vanskeliggjør nødvendig samarbeid
og samhandling mellom virksomheter som samarbeider om helsehjelp
til pasienter.
Det er departementets mening at det er underordnet om tilgjengeliggjøringen
skjer i form av kopiering og overføring av informasjon til mottaker/mottakers
system, eller om det skjer i form av at mottaker gis innsyn i de
avgrensede opplysningene som kan utleveres til mottakers system.
Avgjørende for om det bør utvikles løsninger for meldingsutveksling
eller om en bør åpne for tilgang på tvers, bør etter departementets
syn være hvordan pasientens behov best kan ivaretas, og om sikker
informasjonsutveksling er mulig. Det uttales at dagens kommunikasjons- og
informasjonsteknologi gjør det mulig å sikre opplysningene, herunder
kontrollmuligheter, og ivareta hensynet til pasientens rett til
konfidensialitet ved tilgang til helseopplysninger på tvers av virksomheter. Departementet
mener derfor at helseregisterloven § 13 bør endres slik at det åpnes
for dette etter nærmere regulering i forskrift. Det understrekes
at en helt overordnet forutsetning vil være at virksomhetene har
systemer som faktisk er i stand til å gi tilgang til kun journalopplysninger
som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig
helsehjelp til pasienten, og at det ikke gis tilgang til opplysninger
som ikke er nødvendige av hensyn til helsehjelpen.
Det redegjøres i proposisjonen for en del hovedkrav for tilgang
på tvers som departementet vil ta utgangspunkt i ved utarbeidelse
av forskriften.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til at § 13 i helseregisterloven, slik den i dag er utformet,
medfører at bare den databehandlingsansvarlige, databehandlere og
den som arbeider under den databehandlingsansvarliges eller databehandlers
instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang
kan bare gis i den grad dette er nødvendig for vedkommendes arbeid
og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at departementets
forslag innebærer at § 13 får et nytt annet ledd.
Flertallet viser til at utviklingen
innen helsetjenesten og funksjonsfordeling og samhandling mellom
ulike virksomheter og tjenester har medført et økende behov for
kommunikasjon av taushetsbelagte opplysninger på tvers av virksomheter.
Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer
vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten
forsvarlig helsehjelp.
Flertallet viser til at § 13 i helseregisterloven slik
den i dag er utformet, medfører at bare den databehandlingsansvarlige,
databehandlere og den som arbeider under den databehandlingsansvarliges
eller databehandlers instruksjonsmyndighet, kan gis tilgang til
helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig
for vedkommendes arbeid og i samsvar med gjeldende bestemmelser
om taushetsplikt. Flertallet vil videre
vise til at Regjeringens forslag innebærer at § 13 får et nytt annet
ledd:
"Kongen i Statsråd kan i forskrift gi nærmere bestemmelser
om tilgang til helseopplysninger. Forskriften kan for tilgang til
helseopplysninger i behandlingsrettede helseregistre gjøre unntak
fra første ledd første punktum."
Flertallet framhever at endringen
i § 13 ikke innebærer unntak fra reglene om taushetsplikt. Det følger
både av helsepersonelloven § 25 og § 45 at taushetsbelagte opplysninger
bare kan kommuniseres når det er nødvendig for å kunne gi forsvarlig
helsehjelp. Dette gjelder så vel kommunikasjon internt i virksomheten
som mellom virksomheter.
Flertallet vil vise til at pasientrettighetsloven lovfester
et generelt krav om samtykke som rettsgrunnlag for å yte helsehjelp.
Samtykkekravet gjelder alle former for helsehjelp som pasienten
mottar. Pasientens samtykke er bare gyldig dersom pasienten har
fått nødvendig informasjon om tiltaket.
Flertallet mener at på samme måte
som pasienten skal samtykke til helsehjelp, bør pasienten også få
rett til å samtykke til elektronisk tilgang til de helseopplysningene
som er nødvendige for at helsehjelpen som tilbys er forsvarlig.
Flertallet viser til at et samtykke
til helsehjelp kan gis uttrykkelig eller stilltiende, slik det er
definert i pasientrettighetsloven.
Flertallet mener at tilgang til helseopplysninger
på tvers av virksomheter bare skal kunne gis etter samtykke fra
den registrerte. Samtykke er i helseregisterloven § 2 nr. 11 definert
som en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar behandling av helseopplysninger om seg
selv. For å sikre at kravet til uttrykkelig samtykke overholdes,
mener flertallet at kravet om uttrykkelighet
inntas i selve lovteksten i helseregisterloven § 13 nytt tredje
ledd.
Flertallet vil i forbindelse med
forslaget til nytt fjerde ledd i helseregisterloven § 13 om hjemmel for
forskrift om unntak presisere at helsepersonell ikke uten videre
kan legge til grunn at taushet fra pasienten innebærer et stilltiende
samtykke. Helsepersonellet må konkret vurdere i hvert enkelt tilfelle
om pasienten har fått tilstrekkelig informasjon om behandlingen
av opplysningene, og om pasientens atferd tilsier at samtykke foreligger.
Dersom pasienten er bevisstløs eller er i en tilstand der han eller
hun ikke er i stand til å motta informasjon, må helsepersonell gjøre
en konkret vurdering av hva han eller hun antar at pasienten hadde
ønsket. I slike tilfeller vil opplysningenes sensitivitet og hvor
nødvendige de er for den aktuelle helsehjelpen, være en del av vurderingen.
Flertallet viser til at pasientens
samtykke til helsehjelp bare er gyldig dersom pasienten har fått
informasjon om tiltaket. Flertallet mener
at dette også bør gjelde for samtykke til elektronisk tilgang til helseopplysninger
om pasienten. Når det gjelder omfanget av informasjonsplikten ved
elektronisk tilgang til helseopplysninger, viser flertallet til
helseregisterloven §§ 23 og 24. Bestemmelsene gjelder ved all behandling
av helseopplysninger som skjer ved hjelp av elektroniske hjelpemidler.
Det følger av disse at informasjonen til pasienten blant annet skal inneholde:
navn og adresse på den databehandlingsansvarlige,
formålet med behandlingen av opplysningene,
om opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
om det er frivillig å gi fra seg helseopplysningene,
annet som gjør den registrerte i stand til å bruke sine
rettigheter på en best mulig måte.
Videre fremgår av siste ledd at varsel ikke er påkrevd dersom
det er på det rene at den registrerte allerede kjenner til denne
informasjonen.
Flertallet viser også til at ifølge
helsepersonelloven § 10 er det helsepersonell som har det faglige
ansvaret for helsehjelpen, som har plikt til å gi informasjon etter
pasientrettighetsloven. Det kan for eksempel være legen som forordner
eller utfører tiltak, eller sykepleieren som gir pleie. I helseinstitusjon
skal det etter helsepersonelloven § 10 første ledd annet punktum
utpekes en person som skal gi informasjon. Den som er utpekt som
ansvarlig for å gi informasjon, har et overordnet ansvar for at
pasienten faktisk får informasjon.
Flertallet antar at det vil være
mest naturlig at det samme personell som informerer pasienten om hans
eller hennes helsetilstand og innholdet i helsehjelpen, også informerer
om hva slags behandling det gjøres av helseopplysningene om vedkommende.
Flertallet vil presisere viktigheten
av at man i særlig grad forsikrer seg om at pasienten er informert dersom
det er aktuelt å gi helsepersonell i andre virksomheter elektronisk
tilgang til helseopplysningene.
Flertallet framhever også at forespørsel
til ekstern virksomhet om tilgang til en pasients elektroniske pasientjournal
ikke kan omfatte mer enn én pasients elektroniske journal. Ved behov
for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag
i en annen pasients elektroniske pasientjournal må tilgangsvurderingen
gjøres på nytt fra egen virksomhets pasientjournalsystem, basert
på tjenestelig behov.
Flertallet har merket seg at tilgang
til helseopplysninger på tvers av virksomheten forutsetter at det
i eget system er en eksplisitt mulighet til å autorisere en bruker
for "rett til å forespørre informasjon i ekstern virksomhet".
Flertallet er enig i at virksomheter
som gis tilgang til hverandres behandlingsrettede helseregistre, må
ha inngått en særskilt avtale om tilgang på tvers av virksomhetene
på forhånd. Flertallet forutsetter at
slik avtale bare kan inngås der det er behov for det. Dette vil
særlig gjelde i tilfeller der det er utstrakt samarbeid om behandling
av pasienter på tvers av virksomhetsgrensene.
Flertallet legger til grunn at meldingsutveksling
og eventuell annen form for utlevering av helseopplysninger fortsatt
skal benyttes der dette anses mest formålstjenlig og sikkert. Dette
vil også være gjeldende i de tilfeller der pasientene ikke samtykker til
utlevering av helseopplysninger.
Flertallet vil også vise til at helsepersonelloven
§ 21a gjør det straffbart å lese, søke etter eller på annen måte
tilegne seg, bruke eller besitte opplysninger som er taushetsbelagt
etter helsepersonelloven, uten at det er begrunnet i helsehjelp
til pasienten.
Flertallet har merket seg at situasjonen
i dag trolig er slik at ingen virksomheter i helsesektoren har elektroniske
pasientjournaler som vil muliggjøre tilgang på tvers av virksomheter.
Utnyttelse av de muligheter de foreslåtte lovendringene nå åpner
for, krever at det gjøres store tilpasninger i de elektroniske journalsystemene.
Som departementet selv sier i høringsnotatet, er en helt overordnet
forutsetning for å gi tilgang til helseopplysninger på tvers av
virksomheter at virksomhetene faktisk har systemer som er i stand
til å gi tilgang til kun journalopplysninger som er relevante og
nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til
pasienten. Departementet understreker videre at det ikke kan åpnes
for tilgang på tvers før virksomheten kan etterleve sikkerhetskrav
som vil bli stilt i forskrift.
Flertallet merker seg at Helsedirektoratet
i sitt høringssvar ga uttrykk for at den direkte tilgangen fra én
virksomhet til pasientjournal i en annen virksomhet må avgrenses
slik at eksterne søkere bare kan få fram den spesifikke informasjonen
de har tjenestelig behov for, og at det må foreligge en forhåndsgodkjenning
av definert og strukturert informasjon som det skal kunne gis tilgang
til.
Flertallet har videre merket seg
at forslaget ikke innebærer at en stor personkrets uten videre vil få
tilgang til pasientinformasjon, slik som Datatilsynet synes å tro.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal
bare kunne gis når det er behov for det, til dem som deltar i behandlingen,
for å kunne tilby pasienten forsvarlig helsehjelp.
Flertallet viser til arbeidet med
forskrift om informasjonssikkerhet og tilgang til helseopplysninger
på tvers av virksomheter. Flertallet forutsetter at
det i forskriften stilles krav som gjør at pasientens rett til konfidensialitet
ivaretas, og at ingen får tilgang til flere opplysninger enn det
de har behov for.
Flertallet mener at pasientens vern
mot at uvedkommende får tilgang til taushetsbelagte opplysninger
om vedkommende, må være like sterk, uavhengig av virksomhetsgrenser. Flertallet viser til at pasienten har
et rettslig vern vedrørende konfidensialitet uavhengig av organisatoriske
grenser.
Flertallet mener at logging av informasjon om
hvem som har hatt tilgang til taushetsbelagte opplysninger, er et
viktig element for å bedre informasjonssikkerheten. Det er et sentralt
element i personvernet at den enkelte skal ha rett til og reell
mulighet til å ha kontroll over helseopplysninger om seg selv. Flertallet mener at informasjon om hvem
som har hatt tilgang til helseopplysninger om en (innsyn i logg),
vil bidra til å øke pasientens kontroll med opplysningene og gjøre
personvernet mer betryggende. Flertallet mener
at pasientens innsynsrett i logg – det vil si rett til informasjon
om hvem som har hatt tilgang til helseopplysninger om ham eller
henne – bør fremgå av lov. Flertallet vil
fremme forslag om dette.
Komiteen erkjenner at
logging ikke alene kan bedre informasjonssikkerheten, men må ses
i sammenheng med andre sikkerhetstiltak, herunder en god og formålstjenlig
tilgangsstyring.
Komiteen mener at en effektiv kontroll
med tilgangsstyringen (internkontroll), sammen med økt fokus på
opplæring, kunnskap og holdninger vil være viktige tiltak for å
fremme informasjonssikkerheten.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
forutsetter at avtaler om tilgang til helseopplysninger på tvers
av virksomheter, som det nå foreslås å åpne for, ikke på noen måte
vil svekke informasjonssikkerheten på helseopplysninger. En helt
nødvendig premiss må være at tilgangsstyringen kan sikre at det
bare er nødvendige, relevante og strukturerte opplysninger det gis
tilgang til.
Flertallet vil videre vise til side
47 i proposisjonen der det uttales.
"En forespørsel til ekstern virksomhet vedrørende tilgang
til elektronisk pasientjournal skal ikke kunne omfatte mer enn én
pasients elektroniske pasientjournal. Ved behov for gjentatt tilgang
må det skje en ny forespørsel. Ved behov for oppslag i annen pasients elektroniske pasientjournal,
skal tilgangsvurderingen gjøres på nytt fra egen virksomhets elektroniske
pasientjournalsystem basert på dokumentert tjenstlig behov."
Flertallet mener at det bør fremgå
av lovteksten at én forespørsel til ekstern virksomhet vedrørende
tilgang til elektronisk pasientjournal bare kan omfatte én pasients
elektroniske pasientjournal.
Flertallet mener at forutsetningene
for tilgang til helseopplysninger på tvers av virksomheter er at det
i eget system er en eksplisitt mulighet til å autorisere en bruker
for "rett til å forespørre informasjon i ekstern virksomhet". Det
er nødvendig for å forhindre at alle brukere som har et tjenstlig
behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk
kan forespørre informasjon i ekstern virksomhet. I den eksterne
virksomheten skal det tilsvarende være et system for å autorisere
de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem.
Alle oppslag skal logges.
Flertallet støtter med disse merknader
forslaget til endringer i helseregisterloven § 13. I tillegg vil flertallet foreslå en innstramming av
lovteksten som medfører at det innføres krav til samtykke ved elektronisk
tilgang til helseopplysninger i tråd med vurderingene ovenfor. Flertallet vil presisere at et gyldig
samtykke forutsetter at pasienten har fått nødvendig informasjon
om behandlingen av opplysningene.
Flertallet fremmer på denne bakgrunn
følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av
helseopplysninger (helseregisterloven) skal § 13 nye tredje, fjerde,
femte og sjette ledd lyde:
Tilgang til helseopplysninger i behandlingsrettet helseregister
på tvers av virksomheter kan bare gis etter uttrykkelig samtykke
fra den registrerte.
Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om
uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.
Én forespørsel om og tilgang til helseopplysninger i annen virksomhet
kan bare omfatte én pasient om gangen.
Den registrerte har rett til innsyn i logg fra behandlingsrettet
helseregister om hvem som har hatt tilgang til helseopplysninger
om ham eller henne."
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre fremmer følgende
forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av
helseopplysninger (helseregisterloven) skal § 13 nytt andre ledd
lyde:
Pasienten har rett til innsyn i logg som gir informasjon om hvem
som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende."
Disse medlemmer viser til at flere
høringsinstanser er svært skeptiske til å gi tilgang til virksomhetsinterne,
behandlingsrettede helseregistre på tvers av virksomheter. Det er
etter disse medlemmers vurdering stor
forskjell på det å gi noen informasjon fra pasientjournalen gjennom
for eksempel elektronisk meldingsutveksling via Norsk helsenett
og å gi noen tilgang direkte til den interne journalen. Det har
blitt argumentert med at ordningen i dag med utlevering av journalutskrifter,
epikriser mv. medfører større fare for spredning enn direkte tilgang
elektronisk. Direkte tilgang er ingen garanti for at det ikke tas
utskrifter fra journalen, og ved direkte tilgang foreligger det
langt større fare for utskrift av fullstendig journal og ikke bare
deler av den.
Disse medlemmer vil bemerke at også
utlevering etter dagens ordning vil kunne skje elektronisk, mens
faren for uberettiget tilgang og personkrenkelser vil øke dramatisk
med forslaget da en stor personkrets vil få direkte tilgang til
pasientinformasjon. Disse medlemmer bemerker
at dagens system bør videreutvikles slik at elektronisk meldingsutveksling
erstatter oversendelse av opplysninger på papir. Disse
medlemmer er kjent med at arbeidet med å utvikle dette systemet
er igangsatt, og at dette vil kunne gi en mer målrettet og effektiv
flyt av nødvendig informasjon samtidig som personvernshensyn kan
ivaretas. Bedre utnyttelse av allerede eksisterende infrastruktur
i Norsk helsenett vil være viktig i denne sammenhengen.
Etter komiteens vurdering
er det avgjørende for å opprettholde tillit mellom pasient og helsepersonell
at pasienten kan oppsøke helsetjenesten og gi opplysninger uten
frykt for spredning av opplysningene. Pasienten skal kunne stole
på helsepersonellets taushetsplikt. Dersom mange skulle få tilgang
til pasientens journal, vil denne tilliten etter komiteens syn
bli svekket, med den konsekvens at terskelen for å oppsøke helsetjenesten
blir større ved stigmatiserende sykdommer, lidelser og at pasientene
tilbakeholder viktige opplysninger.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre viser til at
Legeforeningen i sin høringsuttalelse peker på at det i forslaget
ikke er tatt alminnelige personvernshensyn, og at forslaget innebærer
at det både gis tilgang til mer opplysninger enn det som er nødvendig,
og overfor en større personkrets enn det som er nødvendig. Disse medlemmer deler denne oppfatningen.
Disse medlemmer mener det i forslaget
er beskrevet en teknologisk virkelighet som i dag ikke eksisterer.
Det vises til at både Helsetilsynet og Datatilsynet påpeker at dagens
informasjonssikkerhet internt i virksomhetene ikke er godt nok ivaretatt. Dette
er avdekket i felles tilsyn de har hatt ved flere helseforetak.
Under slike forhold vil en omfattende utvidelse av kretsen som får
direkte tilgang til sensitive opplysninger, innebære en betydelig
risiko for ytterligere spredning av sensitive opplysninger.
Disse medlemmer har merket seg at
Personvernkommisjonen i NOU 2009:1 (punkt 16.5.1.3) bemerker:
"Ekstern tilgang til pasientjournalen i en virksomhet
forutsetter etter Personvernkommisjonens oppfatning god styring
og kontroll internt. Med tanke på de svakhetene som både Datatilsynet
og Helsedirektoratet har avdekket gjennom sine tilsyn når det gjelder
tilgangskontroll internt, bør man som Sosial- og helsedirektoratet
påpeker, gå forsiktig fram med tanke på å utvide tilgangen til også
å omfatte eksterne parter."
Komiteen merker seg at
Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte
tilgangen fra en virksomhet til pasientjournal i en annen virksomhet
må avgrenses slik at eksterne søkere bare kan få frem den spesifikke
informasjonen de har tjenstlig behov for, og at det må foreligge
en forhåndsgodkjenning av definert og strukturert informasjon som
det skal kunne gis tilgang til. Komiteen er
kjent med at slik elektroniske pasientjournaler er organisert i
dag, både i primærhelsetjenesten og hos spesialister, vil det kreve
omfattende omorganisering av pasientjournalene for at Helsedirektoratets
forutsetning skal være oppfylt.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre merker seg at
det i proposisjonen (side 45) er uttalt at man må vurdere om man
i forskrift skal innta "... et krav om at det bare kan gis tilgang
til nærmere definerte og strukturerte helseopplysninger", men at
dette står i strid med hvordan nedtegning av informasjon i pasientjournalen
foregår i dag ut fra behandlingshensyn. Legeforeningen har i høringen
i Stortinget presisert at den alminnelige pasientjournal per i dag
ikke vil tilfredsstille slike krav, og det vil kreve store ressurser
å få en ensartet journalstruktur med ulike tilgangnivå.
Disse medlemmer viser til at Datatilsynet
i sitt høringssvar sa:
"Når den enkelte behandlingsinstitusjon ikke makter å
sørge for at informasjonskontrollen internt støtter opp om den enkelte
ansattes personlige plikt til å bevare taushet overfor sine kolleger,
representerer virksomhetens grenser en nødvendig ytre grense for
informasjonsflyten…Denne grensen er etter tilsynets vurdering alt
for vid, sett hen til utgangspunktet om at taushetsplikten er en
personlig plikt. Det er imidlertid den eneste reelle grensen som
eksisterer i dag. Datatilsynet vil derfor advare mot departementets
lovforslag, som i realiteten innebærer at også virksomhetsgrensene
viskes ut. Man står derfor i fare for en fri flyt av pasientopplysninger,
ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte
i hele sektoren som sådan."
Disse medlemmer viser videre til
at Datatilsynet uttalte:
"Departementet forutsetter at de foreslåtte lovendringene
ikke skal medføre en svekkelse av taushetsplikten. Departementet
forutsetter således at metoden for informasjonsutveksling ikke får
betydning for hvilken informasjon som faktisk blir utvekslet. Datatilsynet
deler ikke departementets oppfatning. Det å gi noen tilgang til
pasientjournal skiller seg, etter tilsynets vurdering, vesentlig
fra å utlevere journalopplysninger. Det vises til at utlevering
muliggjør en vurdering hos utleverende helsepersonell av om vilkårene
for å avgi hele eller deler av pasientjournalen er tilstede. Med
andre ord å fastslå om pasienten samtykker til utleveringen eller
om utleveringen er nødvendig for å gi helsehjelp. Departementets
forslag åpner for selvbetjening i den enkelte pasients journal.
Dette medfører en svekkelse av taushetsplikten som Datatilsynet
sterkt vil fraråde."
Disse medlemmer deler Datatilsynets
oppfatning om at taushetsplikt for opplysninger som ikke er relevante
og nødvendige, i teorien kan ivaretas også når man gir tilgang til
opplysninger. Det forutsetter imidlertid at man er faktisk i stand
til å gi tilgang til de opplysninger som man på forhånd har vurdert
å være nødvendig og relevante. De elektroniske pasientjournaler
som i dag brukes ved landets helseforetak, er imidlertid bygget
opp slik at opplysningene ikke er systematiserte, ut over at opplysningene føres
kronologisk. Selve journalnotatene skrives som fritekst, og det
er ikke noe logisk skille mellom ulike sykdoms- eller behandlingsforløp
hos én og samme pasient. Tilgang til slike journaler vil derfor
lett medføre en utlevering av opplysninger som ikke er relevante
og nødvendige, og derfor ikke skulle vært ulevert. Disse
medlemmer merker seg at Datatilsynet i sitt høringssvar skriver:
"Endringer i dagens journalsystemer for å muliggjøre den
nødvendige systematiseringen av journalopplysningene er ikke berørt
i departementets forslag, og vil etter det tilsynet erfarer medføre
betydelige kostnader."
Disse medlemmer mener at med dagens
pasientjournaler slik de er organisert, vil det ikke være mulig
å kombinere direkte tilgang med kravet om at kun relevante og nødvendige
opplysninger er tilgjengelig. Disse medlemmer mener
at det må arbeides videre med teknologien knyttet til meldingsutveksling,
noe som vil være en fordel av hensyn til det generelle personvernet,
men også for den som søker informasjon, som da slipper å søke gjennom
mengder av informasjon vedkommende ikke har bruk for. Gjennom å
tilrettelegge for dialog mellom mottaker og den som utleverer opplysningene,
unngås også misforståelser og feiltolkninger som kan medføre feilbehandling
i tillegg til personvernkrenkelser ved utstrakt tilgang.
Disse medlemmer viser til høringsuttalelsen
fra Norsk Psykologforening der den ser grunn til bekymring for personvernet
til pasientene innen psykisk helse. Foreningen mener at direkte
tilgang bør begrenses til helsepersonell som gjør kliniske vurderinger
og treffer avgjørelse om hvilken helsehjelp som skal gis. I praksis
vil dette gjelde leger, tannleger og psykologer. Foreningen sier
at antall helsepersonell som gis tilgang til andre helseforetaks
pasientjournaler, med dette blir begrenset, og personvernet til
pasienten blir bedre. Videre uttales:
"I høringsnotatet forholder man seg til informasjon som
om denne er allment gyldig og stabil over tid. Dette kan være relevant
i forhold til noen somatiske helseindikatorer, men når det gjelder
informasjon om symptomer, vurderinger og tiltak innen området psykisk
helse og metoder for utredning og behandling der, er dette svært
komplekst. Informasjon og psykisk helsevern innen psykiske helsetjenester, er
i langt større grad enn i de øvrige helsetjenestene preget av at
informasjon, vurderinger og rapportert behandling er relasjonell
– og er en tids- og kontekstavhengig "ferskvare"."
Som departementet selv sier i høringsnotatet, er en helt overordnet
forutsetning for å gi tilgang til helseopplysninger på tvers av
virksomheter at virksomhetene faktisk har systemer som er i stand
til å gi tilgang til kun journalopplysninger som er relevante og nødvendige
for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten.
Departementet understreker videre at det ikke kan åpnes for tilgang
på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften,
og at situasjonen i dag er at ingen har slike elektroniske pasientjournaler,
men det må arbeides med dette overfor leverandørene av elektroniske
pasientjournalsystemer. Det er derfor etter disse medlemmers oppfatning
prematurt å lovfeste en tilgang til pasientjournaler på tvers av
virksomheter. Selv om lovverket knyttet til taushetsplikt og personvern
skal være teknologinøytralt, kan ikke den nærmere regulering av
tilgang og kontroll løsrives fra den faktiske virkelighet og de
teknologiske mulighetene som foreligger på reguleringstidspunktet.
Disse medlemmer deler oppfatningen
i Helsetilsynets høringsuttalelse hvor det mener at tiden ikke er
moden for et regelverk som åpner for tilgang på tvers av virksomheter,
og at forslaget etter tilsynets vurdering vil svekke taushetsplikten. Disse medlemmer mener dermed at tilgang
til virksomhetsinterne, behandlingsrettede helseregistre på tvers av
virksomhetsgrenser vil medvirke til å svekke personvernet for pasientene,
og vil derfor ikke støtte departementets forslag om endring i helseregisterloven § 13.
Helseregisterloven har i dag ikke regler om etablering av virksomhetsovergripende,
behandlingsrettede helseregistre. Tolkningen av §§ 6 og 13 i helseregisterloven
gjør at man indirekte har et forbud mot etablering av slike registre.
Departementet mener at det foreligger helsefaglige behov som
tilsier at det bør legges til rette for at virksomhetsovergripende,
behandlingsrettede helseregistre kan etableres. Departementet foreslår
derfor en hjemmel for etablering av virksomhetsovergripende, behandlingsrettede
helseregistre, jf. forslag til ny § 6 a i helseregisterloven. Å
lovfeste en konkret teknisk løsning for slike registre vil, slik
departementet vurderer det, ikke være hensiktsmessig, og det foreslås
en hjemmel til å forskriftsfeste den nærmere reguleringen av registrene.
Departementet ser for seg at det kan vedtas forskrifter som hjemler
flere registre med likeartet formål.
Ettersom virksomhetsovergripende, behandlingsrettede helseregistre
etableres i tillegg til virksomhetsinterne behandlingsrettede helseregistre, foreslår
departementet at det bør være et krav om enten samtykke eller reservasjonsrett.
Det uttales at om et register skal være samtykkebasert eller
om det kun skal være en reservasjonsrett, avhenger av en rekke forhold
som bl.a. hvilke opplysninger registeret skal inneholde, hva opplysningene
skal brukes til, hvem som skal ha tilgang til opplysningene m.m.
Dette er forhold som departementet mener ikke vil være avklart ved
etablering av lovhjemmelen. Departementet mener at disse avklaringene
bør gjøres for det enkelte register ved utarbeidelse av forskriften
for registeret. Departementet foreslår derfor at forskriftshjemmelen
i helseregisterloven § 6 a utformes slik at den gir mulighet til
å etablere både samtykkebaserte og ikke-samtykkebaserte behandlingsrettede
registre.
Det foreslås at det tas inn i helseregisterloven § 6 a at virksomhetsovergripende,
behandlingsrettede helseregistre bare kan etableres uten samtykke
fra pasienten dersom dette er nødvendig for å ivareta formålet med
registeret.
Departementet mener at slike registre vil være et viktig supplement
til elektronisk samhandling sentrert rundt de virksomhetsinterne
behandlingsrettede helseregistrene (journalsystemene). Departementet foreslår
at virksomhetsovergripende, behandlingsrettede helseregistre ikke
skal erstatte de virksomhetsinterne journalsystemene, slik at virksomhetene
og helsepersonellet fortsatt skal være forpliktet til å føre journal
og ha et journalsystem internt i virksomheten, jf. forslaget til
§ 6 a annet ledd annet punktum.
For at helsepersonell eventuelt skal kunne pålegges å sende inn
helseopplysninger til et framtidig register uten hinder av taushetsplikten,
vil helseregisterloven § 9 måtte endres. Departementet foreslår derfor
å innta en henvisning til § 6 a i helseregisterloven § 9.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
vil påpeke at forslaget innebærer at det kan etableres behandlingsrettede
helseregistre som omfatter flere virksomheter (felles journaler,
i motsetning til virksomhetsinterne helseregistre). Disse registrene
skal ikke innholde pasientens totale mengde journalopplysninger,
men kan innholde kjerneopplysninger/helseopplysninger i begrenset
omfang for nærmere bestemte behandlingsformål. Det innebærer heller
ikke et sentralt helseregister, men regionale og lokale. Flertallet har merket seg at departementet
ser for seg at et regionalt register over kjerneopplysninger kan
være en slags pilot for et senere nasjonalt register over kjerneopplysninger.
Et slikt register kan inneholde kjerneopplysninger som pasientens
medisineringsopplysninger, oversikt over allergier, oversikt over
hvilke legemidler pasienten til enhver tid bruker o.l.
Flertallet vil framholde at i disse
tilfellene gjelder også helseregisterlovens § 13 nye tredje, fjerde,
femte og sjette ledd for tilgang til opplysninger.
Komiteen vil påpeke at
oversendelse av pasientdata mellom én virksomhet og en annen også
er tillatt i dag, forutsatt at avsender bestemmer hva som sendes
over, og dette skjer etter samtykke fra pasienten. Fordi det i liten
grad er utviklet samarbeidsløsninger for overføring av elektroniske
data mellom ulike enheter medfører dette at data ofte overføres som
papirbearbeidede notater fra den elektroniske pasientjournalen,
gjerne i form av henvisning eller epikrise. Komiteen ser
det som en klar fordel dersom data i stedet kan overføres elektronisk.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
mener dette vil medvirke til å unngå både forsinkelser og personvern-risikoen
ved spredning av papirjournaler. Tilgang på tvers er mest aktuelt
for situasjoner med planlagte tjenester der virksomheter og helsepersonell
samarbeider tett om pasienter på en slik måte at kommunikasjon med
for eksempel henvisning og epikrise ikke strekker til.
Komiteen er kjent med
at slik elektronisk overføring allerede skjer i dag. Røntgenundersøkelser
skjer nå i det vesentlige digitalt, og bildene sendes elektronisk
mellom ulike behandlingsenheter. Rekvirering av laboratorieprøver
kan gjøres elektronisk hos fastlegen inn mot den enkelte sykehusenhet,
og når prøvene er analysert, kan svarene overføres direkte til pasientens
journal hos fastlegen.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
er enig i at det foreligger helsefaglige behov som tilsier at det
tillates at det i forskrift etableres virksomhetsovergripende, behandlingsrettede
helseregistre. Flertallet ser behovet
for for eksempel å kunne opprette registre inneholdende røntgenbilder,
resultater fra EKG-undersøkelser og annen avgrenset informasjon
som er relevant for deling mellom for eksempel ulike helseforetak.
Flertallet ser videre behovet for
å kunne etablere én eller flere regionale eller lokale kjernejournaler
som pilot for en senere nasjonal kjernejournal. Den foreslåtte hjemmelen
for virksomhetsovergripende, behandlingsrettede helseregistre kan
benyttes til dette. Flertallet er enig
i at sentrale behandlingsrettede helseregistre utredes nærmere,
jf. Samspill 2.0 – Nasjonal strategi for elektronisk samhandling
i helse- og sosialsektoren 2008–2013, og deretter forelegges Stortinget.
Flertallet viser til at Helse Midt-Norge
RHF i sin høringsuttalelse uttaler at med forslagene til lovendring
vil formålet med utveksling av data i større utstrekning være styrende
for hvordan lovendringene praktiseres. Det uttaler videre at tjenestene
i større utstrekning må være bevisst hvilke typer opplysninger som
kreves utvekslet for å kunne gi god behandling på de ulike fagfelt.
For akutt-tjenester og sammensatte tjenester vil kravet være annerledes
enn for elektive og prosessuelt enklere forløp. Helse Midt-Norge RHF
sier videre at det kan være ressurskrevende å styre mange ulike
behov, men at det allikevel ikke kan være negativt til løsninger
som er med på å styrke pasientbehandlingen for den enkelte pasient
og pasientgruppe.
Flertallet peker på at virksomhetsovergripende,
behandlingsrettede helseregistre skal etableres i tillegg til virksomhetsinterne
registre. Interne registre skal ikke erstattes av eksterne. Flertallet viser til departementets forslag
om at opprettelse av virksomhetsovergripende, behandlingsrettede
helseregistre krever samtykke eller reservasjonsrett for pasienten.
Tilgang til helseopplysninger i slike registre vil etter flertallets
forslag til endringer i helseregisterloven § 13, se ovenfor, kreve
samtykke fra pasienten.
Komiteen vil framheve
at pasientens rett til informasjon, innsyn, retting, sletting og
sperring av journalopplysninger følger av lov. Gjennom helseregisterloven
og pasientrettighetsloven er pasienten sikret en rekke grunnleggende
rettigheter.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
vil framholde at disse rettighetene også vil gjelde for fremtidige
virksomhetsovergripende, behandlingsrettede helseregistre.
Komiteen vil understreke
betydningen av pasientens rett til medvirkning og at pasienten skal
informeres og gjøres oppmerksom på sine rettigheter.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til behovet for en effektiv og trygg kommunikasjon av helseopplysninger
i helsetjenesten og støtter forslag til ny § 6 a i helseregisterloven
samt endring av helseregisterlovens § 9.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre vil påpeke at
forslaget innebærer at det kan etableres behandlingsrettede helseregistre
som omfatter flere virksomheter (felles journaler, i motsetning
til virksomhetsinterne helseregistre). Disse registrene skal ikke
innholde pasientens totale mengde journalopplysninger, men skal innholde
kjerneopplysninger. Det innebærer heller ikke et sentralt helseregister,
men regionale og lokale. Men departementet ser for seg at et regionalt
register over kjerneopplysninger kan være en slags pilot for et
senere nasjonalt register over kjerneopplysninger. Et slikt register
kan inneholde kjerneopplysninger som for eksempel pasientens medisineringsopplysninger,
oversikt over allergier, oversikt over hvilke legemidler pasienten
til enhver tid bruker osv. Røntgenbilder og EKG-informasjon er også
nevnt som eksempler. Departementet ønsker å hjemle slike register
i forskrift og ikke gjennom konsesjon fra Datatilsynet.
Disse medlemmer merker seg at departementet
også mener at det ikke må kreves samtykke fra pasienten for å registrere
disse opplysningene fordi opplysningene skal benyttes til helsehjelp
og ikke forskning. Imidlertid mener departementet at det bør stilles
enten krav om samtykke eller at det skal være reservasjonsrett siden
disse registrene kommer i tillegg til intern journalføring (hvor
pasienten ikke kan motsette seg selve journalføringen). Om det bør
stilles krav om reservasjonsrett eller samtykke, mener departementet
kan avklares for det enkelte registeret ved utarbeidelsen av forskriften.
Departementet foreslår derfor at et slikt register kan etableres
uten samtykke fra pasienten dersom det er nødvendig for å ivareta
formålet med registeret.
Disse medlemmer merker seg at Legeforeningen,
Datatilsynet og Norges Handikapforbund (NHF) går imot forslaget.
NHF mener personvernet utsettes for ytterligere risiko ved at sensitiv
informasjon tillates i virksomhetsovergripende registre og over
virksomhetsgrenser. Både Legeforeningen og Datatilsynet mener at
behovet for slike registre er uklart, og at avgrensningen for hva
som skal registreres, er for lite definert.
Disse medlemmer registrerer at det
i kommentarene til lovendringsforslaget heter at registrene skal
innholde "de nærmere bestemte helseopplysninger som er nødvendig
og relevante for samarbeid om forsvarlig helsehjelp". I likhet med
Datatilsynet mener disse medlemmer at
det er vanskelig å forutsi om dette innebærer et begrenset innhold
i forhold til de virksomhetsinterne journalssystemene. Disse medlemmer deler her Datatilsynets
syn i dets høringsuttalelse til lovforslaget:
"Enhver pasientopplysning er etter omstendighetene en
potensiell nødvendig og relevant opplysning for medisinsk behandling.
Dette gjelder enn mer når man ser flere virksomheters behandlingsområde
under ett. Slik tilsynet leser bestemmelsen vil man svært fort havne
i en situasjon hvor hver enkelt helseregion har en felles fullstendig
pasientjournal, som en samlet kopi av hver enkelt virksomhets interne journal."
I likhet med Legeforeningen, mener disse medlemmer at
det er gode grunner til å utrede nærmere en ordning med såkalt kjernejournal,
altså en journal med begrenset utdrag av pasientinformasjon. Disse medlemmer viser til at Nasjonalt IKT
har startet et utredningsarbeid med sikte på å avklare hvilke av
spesialisthelsetjenestens behov som kan dekkes av en nasjonal kjernejournal,
og kommunenes behov for nasjonal kjernejournal skal kartlegges i
eget utredningsarbeid. Dette bør også sees i sammenheng med et nasjonalt
helsekort. Disse medlemmer mener derfor
at det ikke bør åpnes for å etablere slike virksomhetsovergripende,
behandlingsrettede helseregistre før disse kartleggingene er foretatt.
Først når kartleggingene er foretatt, bør det etter disse medlemmers syn vurderes hvilke lovendringer
som eventuelt bør foretas.
Disse medlemmer viser også til Stortingets behandling
av helseregisterloven der det ble vedtatt at opprettelse av sentrale
helseregistre skal vedtas av Stortinget, og at departementet ikke
skulle gis fullmakt til å opprette nye helseregistre. Opprettelse
av slike kjernejournalregistre som departementet her foreslår, som
ikke er sentrale, men regionale og lokale, kan i tillegg være personidentifiserbare
registre som er opprettet uten samtykke fra pasienten, jf. forslaget
om at disse registrene kan etableres uten samtykke fra pasienten
dersom det er nødvendig for formålet med registeret. Disse medlemmer mener at opprettelse
av virksomhetsovergripende, behandlingsrettede helseregistre skal
skje gjennom lov, der formål, vilkår og krav fremgår av lovteksten.
Dette er i tråd med Stortingets holdning da helseregisterloven ble
vedtatt.
Disse medlemmer vil påpeke at oversendelse
av pasientdata mellom én virksomhet og en annen også er tillatt
i dag forutsatt at avsender bestemmer hva som sendes over, og dette
skjer etter samtykke med pasienten. Fordi det i liten grad er utviklet
samarbeidsløsninger for overføring av elektroniske data mellom ulike
enheter, medfører dette at data ofte overføres som papirbearbeidede
notater fra den elektroniske pasientjournalen, gjerne i form av
henvisning eller epikrise. Disse medlemmer ser
det som en klar fordel dersom data i stedet kan overføres elektronisk,
idet de da lettere kan nyttiggjøres av mottaker uten at denne må
registrere disse elektronisk.
Disse medlemmer er kjent med at slik
elektronisk overføring allerede skjer i dag. Røntgenundersøkelser
skjer nå i det vesentlige digitalt, og bildene sendes elektronisk
mellom ulike behandlingsenheter. Rekvirering av laboratorieprøver
kan gjøres elektronisk hos fastlegen inn mot den enkelte sykehusenhet,
og når prøvene er analysert, kan svarene overføres direkte til pasientens
journal hos fastlegen.
Disse medlemmer kjenner til det pilotprosjektet
som startet opp i mars i år mellom Vikhammer legekontor og St. Olavs
Hospital. Alle trinn i kommunikasjonen mellom fastlegene og sykehuset,
begge veier, gjøres der papirløse. Premissene for overføring av
pasientdata, ut over at disse overføres elektronisk, er imidlertid
ikke endret, idet det fortsatt er avsender som bestemmer hvilke
data som skal overføres.
Disse medlemmer mener at dette er
en riktig vei å gå for å utveksle elektroniske pasientdata, ved
at basisjournalen ikke gjøres generelt tilgengelig for mottaker,
bare de data som har relevans for mottaker.
Disse medlemmer ser det som nyttig
at det skaffes erfaring med denne og andre pilotprosjekter, som
ikke nødvendiggjør lovendring for å kunne utvikles.
Disse medlemmer støtter ikke opprettelsen av
virksomhetsovergripende behandlingsregistre.
Disse medlemmer legger til grunn
at det må kreves samtykke for å gjøre pasientopplysninger fra journal
tilgjengelig for andre virksomheter. Disse medlemmer mener
at systemet i helseregisterloven skal følges slik at virksomhetsovergripende
behandlingsregistre inntas i aktuelle bestemmelser i loven vedrørende
etablering, registrering, krav til behandling og levering. Dagens
inndeling i regionale og lokale helseregistre slås sammen til ett
ledd med samme vilkår.
Virksomhetsovergripende, behandlingsrettede helseregistre omtales
i tillegg til lokale og regionale helseregistre, da de samme vilkår
gjøres gjeldende. Disse medlemmer legger
vekt på at befolkningen skal ha trygghet for hvordan pasientjournaler
benyttes. Disse medlemmer mener derfor
at det skal stilles krav til tillatelse fra pasienten før opplysninger
fra pasientjournalen kan gjøres tilgjengelig for andre virksomheter
i et behandlingsregister.
Disse medlemmer legger vekt på at
det må lages andre systemer enn dem som benyttes i dag for registrering
av pasientopplysninger og for tilgangskontroll og sikkerhet. Den
som registrerer pasientopplysninger, må i samråd med pasienten foreta
aktuelle utdrag av pasientjournalen. Pasientjournaler, for eksempel
i en fastlegepraksis, skal etter disse medlemmers syn
ikke gjøres tilgjengelig i sin helhet, men ved utdrag av nødvendig
informasjon.
Disse medlemmer har registrert at
det er behov for en mulighet for felles behandlingsregister i virksomheter
med flere helsepersonell der det foreligger samarbeid mellom ulike
behandlere om de samme pasientene. I dag kan flere fastleger ha
egne behandlingsregistre for sine pasienter uten tilgang for øvrige
fastleger, noe disse medlemmer ser at kan
skape utfordringer ved vikariat for hverandre ved kortvarig fravær.
I noen fastlegepraksiser informeres det om at det er felles journalsystemer
med mulighet for pasienter til å skjerme pasientjournalen.
Disse medlemmer mener at behandlingsrettede
registre for helsepersonell i virksomheter med formalisert arbeidsfellesskap
og der helsepersonell samarbeider om pasientbehandlingen, kan opprettes på
lik linje som helseregistre i én og samme virksomhet, men med det
tillegget at pasienten gis rett til informasjon om helseregisteret
med mulighet til å reservere seg.
Disse medlemmer fremmer på denne
bakgrunn følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av
helseopplysninger (helseregisterloven) gjøres følgende endringer:
§ 7 skal lyde:
§ 7 Regionale, lokale helseregistre og virksomhetsovergripende,
behandlingsrettede helseregistre
Det kan ikke etableres andre regionale, lokale eller virksomhetsovergripende,
behandlingsrettede helseregistre med helseopplysninger enn det som
følger av denne eller annen lov.
Stortinget skal gi nærmere bestemmelser om etablering av regionale,
lokale og virksomhetsovergripende, behandlingsrettede helseregistre
og behandling av helseopplysninger for ivaretakelse av oppgaver
etter smittevernloven, spesialisthelsetjenesteloven, tannhelsetjenesteloven,
kommunehelsetjenesteloven og sosialtjenesteloven. Det omfatter også
virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell
med formalisert arbeidsfellesskap.
Virksomhetsovergripende, behandlingsrettede helseregistre kan
bare inneholde nærmere angitte helseopplysninger i det omfang som
er nødvendige for samarbeid om pasientbehandlingen mellom virksomhetene
og på de vilkår som for øvrig følger av denne lov og annen lovgivning.
Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.
Navn, fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte.
Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i pseudonymisert
eller avidentifisert form ved ekstern kryptering.
For bruk av virksomhetsovergripende, behandlingsrettede helseregistre
for helsepersonell med formalisert arbeidsfellesskap er det tilstrekkelig
at pasienten gis informasjon om registeret med rett til å reservere
seg.
Forskriften skal angi formålet med behandlingen av helseopplysningene,
hvilke opplysninger som kan behandles, og eventuelt nærmere regler
om hvem som skal foreta pseudonymiseringen, og prinsipper for hvordan
det skal gjøres. Forskriften skal gi nærmere regler om hvordan opplysninger
kan gjøres tilgjengelig i henhold til samtykke fra – og i samråd med
– pasienten, plassering, registrering, tilgang og tilgangskontroll
med opplysningene. Forskriften skal videre gi regler om databehandlingsansvaret
for opplysningene.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale,
lokale helseregistre og virksomhetsovergripende, behandlingsrettede
helseregistre, meldingsplikt mv.
Virksomheter og helsepersonell som tilbyr eller yter tjenester
i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven,
smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven,
plikter å utlevere eller overføre opplysninger som bestemt i forskrifter
etter §§ 7 og 8 samt etter paragrafen her.
Stortinget skal gi nærmere bestemmelser om innsamling av helseopplysninger
etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene
og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene,
skal varsle avsenderen av opplysningene dersom opplysningene er
mangelfulle."
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, vil be om at en nærmere regulering
av virksomhetsovergripende, behandlingsregistre (i forskrift) forelegges
Stortinget.
Helsepersonell som driver selvstendig virksomhet i et formalisert
arbeidsfellesskap, har etter dagens regelverk ikke anledning til
å slå sammen sine pasientjournalsystemer og å dele databehandlingsansvaret
eller avtale hvem av dem som skal ivareta databehandlingsansvaret.
Over 90 prosent av legekontorene faller inn under denne gruppen.
Departementet mener det er behov for endring av regelverket, og
foreslår en forskriftshjemmel som gir mulighet for helsepersonell
med formalisert arbeidsfellesskap til å etablere virksomhetsovergripende,
behandlingsrettede helseregistre, i praksis felles journalsystemer,
når dette er forsvarlig og formålstjenlig ut fra den type helsehjelp
virksomheten yter. Bestemmelsen foreslås tatt inn i helseregisterloven.
For at noe skal sies å være et "arbeidsfellesskap" i helseregisterlovens
forstand mener departementet at formålet med at det er etablert
et samarbeid, er relevant. En nærmere avgrensning av begrepet formalisert
arbeidsfellesskap samt vilkår for etablering av felles behandlingsrettet
helseregister foreslås regulert nærmere i forskrift.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
merker seg at forslaget innebærer at helsepersonell med formalisert
arbeidsfellesskap gis mulighet til å etablere virksomhetsovergripende, behandlingsrettede
helseregistre, i praksis felles journalsystemer. Et slikt formalisert
arbeidsfellesskap kan gjelde fastleger på legesenter og andre grupper helsepersonell
som for eksempel tannleger som samarbeider i tannklinikker, distriktsmedisinske
sentra og legevaktsamarbeid og helsehus.
Flertallet merker seg at de fleste
høringsinstansene er positive til forslaget. Enkelte høringsinstanser
som Helsedirektoratet og Statens helsetilsyn er imidlertid skeptiske
fordi de er usikre på hvordan ansvaret i praksis skal kunne utøves
i et formelt arbeidsfellesskap hvor man ikke har styringsrett som arbeidsgiver
siden arbeidsfellesskapet består av helsepersonell som er selvstendige
utøvere og ikke er underlagt noen andres styring. I tillegg ønsker
de en nærmere avklaring av innholdet i begrepet "felles arbeidsfellesskap".
Flertallet ser at det kan være behov
for et felles pasientjournalsystem for helsepersonell i arbeidsfellesskap,
slik som for eksempel en betydelig andel av legekontorene er organisert
i dag. De aller fleste av disse har et felles elektronisk pasientjournalsystem.
Etter dagens regelverk er det verken lovlig at fastlegene har tilgang
til hverandres journal, eller at de fører fellesjournal for pasientene
på legekontorets fellesliste. Ved behov for øyeblikkelig hjelp utenom kontortid
og når fastlegen er fraværende, skal det ytes øyeblikkelig hjelp
av andre fastleger ved kontoret eller en annen lege som fastlegen
har avtale med (som pasienten er informert om). Journalen ville
vært betydelig fragmentert dersom hver lege og vikar skulle opprette
egne, nye pasientjournaler. Flertallet ser at
en felles journal kan være med på å sikre kontinuitet og bedre pasientsikkerheten.
Flertallet påpeker at ved elektronisk
tilgang til helseopplysninger mellom flere juridiske enheter vil
samtykkekravet – som nå foreslås i helseregisterloven § 13 – gjelde.
Flertallet registrerer at departementet
mener det bør åpnes for felles journalsystem i gruppepraksis når
det er forsvarlig og formålstjenlig for den type helsehjelp som
ytes, og at ansvarsforholdene skal være klart definerte. Flertallet vil påpeke at det må være
klart hvem som er databehandlingsansvarlig for opplysningene. Den
som det formaliserte arbeidsfellesskapet avtaler seg imellom skal
være databehandlings-ansvarlig, må ha partsevne og kunne saksøkes
for domstolene. Flertallet er enig i
departementets krav om at arbeidsfellesskapet må framstå som en
enhet utad (for eksempel med felles resepsjon og administrativt
personell), og formålet med samarbeidet må være relevant for enhetlig
pasientbehandling i gruppepraksisen. Departementet ønsker å foreta
en nærmere avgrensning av begrepet formalisert arbeidsfellesskap
samt vilkår for etablering av felles behandlingsrettet helseregister
i forskrifts form.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre merker seg at
forslaget innebærer at helsepersonell med formalisert arbeidsfellesskap
gis mulighet til å etablere virksomhetsovergripende, behandlingsrettede
helseregister, i praksis felles journalsystemer. Et slikt formalisert
arbeidsfellesskap kan gjelde fastleger på legesenter og andre grupper
helsepersonell som for eksempel tannleger som samarbeider i tannklinikker,
distriktsmedisinske sentra og legevaktsamarbeid og helsehus.
Disse medlemmer merker seg at de
fleste høringsinstansene er positive til forslaget. Enkelte høringsinstanser
som Helsedirektoratet og Statens helsetilsyn er imidlertid skeptiske
fordi de er usikre på hvordan ansvaret i praksis skal kunne utøves
i et formelt arbeidsfellesskap hvor man ikke har styringsrett som
arbeidsgiver, siden arbeidsfellesskapet består av helsepersonell
som er selvstendige utøvere og ikke er underlagt noen andres styring.
I tillegg ønsker de en nærmere avklaring av innholdet i begrepet
"felles arbeidsfellesskap".
Disse medlemmer ser at det kan være
behov for et felles pasientjournalsystem for helsepersonell i arbeidsfellesskap,
slik som for eksempel en betydelig andel av legekontorene er organisert
i dag. De aller fleste av disse har et felles elektronisk pasientjournalsystem.
Etter dagens regelverk er det verken lovlig at fastlegene har tilgang
til hverandres journal, eller at de fører fellesjournal for pasientene
på legekontorets fellesliste. Ved behov for øyeblikkelig hjelp utenom kontortid
og fastlegen er fraværende, skal det ytes øyeblikkelig hjelp av
andre fastleger ved kontoret eller en annen lege som fastlegen har
avtale med (som pasienten er informert om). Journalen ville vært
betydelig fragmentert dersom hver lege og vikar skulle opprette
egne nye pasientjournaler. Disse medlemmer ser
at en felles journal kan være med på å sikre kontinuitet og bedre
pasientsikkerheten. Det er imidlertid viktig at pasienten blir gjort
kjent med dette, og at det enten kreves samtykke eller at det klart gis
en reservasjonsrett.
Disse medlemmer registrerer at departementet
mener det bør åpnes for felles journalsystem i gruppepraksis når
det er forsvarlig og formålstjenlig for den type helsehjelp som
ytes, og at ansvarsforholdene skal være klart definerte. Disse medlemmer vil påpeke at det må
være klart hvem som er databehandlingsansvarlig for opplysningene,
og det må være en avtale om at databehandlingsansvarlig har partsevne
og kan saksøkes for domstolene. Disse medlemmer er
enig i departementets krav om at arbeidsfellesskapet må framstå
som en enhet utad (for eksempel med felles resepsjon og administrativt personell),
og formålet med samarbeidet er relevant for enhetlig pasientbehandling
i gruppepraksisen. Departementet ønsker å foreta en nærmere avgrensning
av begrepet formalisert arbeidsfellesskap, samt vilkår for etablering
av felles behandlingsrettet helseregister i forskriftsform. Disse medlemmer mener at utkastet til
slik forskrift skal forelegges Stortinget før den vedtas.
Det uttales at de foreslåtte lovendringene i seg selv ikke medfører
noen økonomiske eller administrative konsekvenser. Vedtas lovendringene,
vil det imidlertid bli fremmet forslag om en forskrift med nærmere
bestemte sikkerhetskrav som vil medføre økonomiske kostnader, men
ingen administrative konsekvenser av betydning. Det uttales at tilpasningen
av kravene må gjøres innenfor de til enhver tid gjeldende økonomiske
rammer i virksomhetene.
Forslaget om hjemmel for i forskrift å kunne tillate at helsepersonell
med formalisert arbeidsfellesskap skal kunne føre felles journal
i et felles elektronisk pasientjournalsystem vil trolig ikke medføre
store utgifter for dem som har et slikt formalisert arbeidsfellesskap
i dag, siden felles journalføring i mange tilfeller allerede foregår.
Det kan imidlertid være nødvendig å gjøre noen tilpasninger som
forutsettes dekket av de virksomhetene som til sammen utgjør arbeidsfellesskapet.
Forslaget om opprettelse av virksomhetsovergripende, behandlingsrettede
helseregistre innebærer kostnader for tilpasning av de systemer
som skal avlevere opplysninger samt utviklingskostnader for å opprette
registrene som skal motta opplysningene. Kostnadene forutsettes
som utgangspunkt dekket innenfor de enkelte aktørenes egne budsjettrammer.
Forslag fra Høyre, Sosialistisk Venstreparti,
Kristelig Folkeparti og Venstre:
Forslag 1
I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger
(helseregisterloven) gjøres følgende endringer:
§ 7 skal lyde:
§ 7 Regionale, lokale helseregistre og virksomhetsovergripende,
behandlingsrettede helseregistre
Det kan ikke etableres andre regionale, lokale eller virksomhetsovergripende,
behandlingsrettede helseregistre med helseopplysninger enn det som
følger av denne eller annen lov.
Stortinget skal gi nærmere bestemmelser om etablering av regionale,
lokale og virksomhetsovergripende, behandlingsrettede helseregistre
og behandling av helseopplysninger for ivaretakelse av oppgaver
etter smittevernloven, spesialisthelsetjenesteloven, tannhelsetjenesteloven,
kommunehelsetjenesteloven og sosialtjenesteloven. Det omfatter også
virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell
med formalisert arbeidsfellesskap.
Virksomhetsovergripende, behandlingsrettede helseregistre kan
bare inneholde nærmere angitte helseopplysninger i det omfang som
er nødvendige for samarbeid om pasientbehandlingen mellom virksomhetene
og på de vilkår som for øvrig følger av denne lov og annen lovgivning.
Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.
Navn, fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte.
Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i pseudonymisert
eller avidentifisert form ved ekstern kryptering.
For bruk av virksomhetsovergripende, behandlingsrettede helseregistre
for helsepersonell med formalisert arbeidsfellesskap er det tilstrekkelig
at pasienten gis informasjon om registeret med rett til å reservere
seg.
Forskriften skal angi formålet med behandlingen av helseopplysningene,
hvilke opplysninger som kan behandles, og eventuelt nærmere regler
om hvem som skal foreta pseudonymiseringen, og prinsipper for hvordan
det skal gjøres. Forskriften skal gi nærmere regler om hvordan opplysninger
kan gjøres tilgjengelig i henhold til samtykke fra – og i samråd med
– pasienten, plassering, registrering, tilgang og tilgangskontroll
med opplysningene. Forskriften skal videre gi regler om databehandlingsansvaret
for opplysningene.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale,
lokale helseregistre og virksomhetsovergripende, behandlingsrettede
helseregistre, meldingsplikt mv.
Virksomheter og helsepersonell som tilbyr eller yter tjenester
i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven,
smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven,
plikter å utlevere eller overføre opplysninger som bestemt i forskrifter
etter §§ 7 og 8 samt etter paragrafen her.
Stortinget skal gi nærmere bestemmelser om innsamling av helseopplysninger
etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene
og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene,
skal varsle avsenderen av opplysningene dersom opplysningene er
mangelfulle.
§ 13 nytt andre ledd skal lyde:
Pasienten har rett til innsyn i logg som gir informasjon om hvem
som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende.
Forslag 2
I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)
skal § 45 lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som
nevnt i § 39 gi nødvendige opplysninger i journalen til andre som
yter helsehjelp etter denne lov, når dette er nødvendig for å kunne
gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at
annet helsepersonell er gitt tilgang til journalen etter første
punktum.
Helseopplysninger som nevnt i første ledd kan gis av den journalansvarlige
for opplysningene eller det helsepersonell som har dokumentert opplysningene,
jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling
av første ledd, og kan herunder bestemme at annet helsepersonell
kan gis tilgang til journalen også i de tilfeller som faller utenfor
første ledd.
Komiteens tilråding fremmes av Arbeiderpartiet, Fremskrittspartiet
og Senterpartiet.
Komiteen viser til proposisjonen
og merknadene og rår Odelstinget til å gjøre følgende
vedtak til lov
om endringer i helseregisterloven og
helsepersonelloven
I
I lov 18. mai 2001 nr. 24 om helseregistre og behandling
av helseopplysninger (helseregisterloven) gjøres følgende endringer:
Ny § 6 a skal lyde:
§ 6 a Virksomhetsovergripende,
behandlingsrettede helseregistre
Det kan bare etableres virksomhetsovergripende, behandlingsrettede
helseregistre som fremgår av loven her eller annen lov.
Virksomhetsovergripende, behandlingsrettede helseregistre
kan bare inneholde nærmere bestemte helseopplysninger i et begrenset
omfang som er nødvendige og relevante for samarbeid mellom virksomheter
om forsvarlig helsehjelp til pasienten. Slike registre kan bare
etableres i tillegg til de behandlingsrettede helseregistrene virksomheten
etablerer internt i virksomheten, jf. lov 2. juli 1999 nr. 61 om
spesialisthelsetjenesten m.m. § 3-2 og lov 19. november 1982 nr.
66 om helsetjenesten i kommunene § 1-3a, jf. helsepersonelloven
§§ 39 og 40. Virksomhetsovergripende, behandlingsrettede helseregistre
skal føres elektronisk.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om etablering, drift og behandling av helseopplysninger i virksomhetsovergripende,
behandlingsrettede helseregistre. Virksomhetsovergripende, behandlingsrettede
helseregistre kan bare etableres uten samtykke fra pasienten dersom
dette er nødvendig for å ivareta formålet med registeret. Det kan
ikke etableres sentrale behandlingsrettede helseregistre etter denne
bestemmelsen.
Forskrift etter tredje ledd skal nærmere angi
formålet med behandlingen av helseopplysningene og hvilke opplysninger
som skal behandles. Forskriften skal videre gi nærmere regler om
databehandlingsansvaret for opplysningene, herunder om plassering, tilgang,
tilgangskontroll, samt gi pasienten rett til å motsette seg behandling
av opplysninger i registeret eller stille krav om samtykke.
Ny § 6 b skal lyde:
§ 6 b Virksomhetsovergripende, behandlingsrettede helseregistre
– helsepersonell med formalisert arbeidsfellesskap
Kongen i statsråd kan i forskrift gi bestemmelser om
etablering av virksomhetsovergripende behandlingsrettede helseregistre
for bruk av helsepersonell med formalisert arbeidsfellesskap.
Forskriften etter første ledd skal sikre plassering av
databehandlingsansvaret, samt angi regler om tilgang og tilgangskontroll.
Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene
i det formaliserte arbeidsfellesskapet er forsvarlige.
Der slike registre opprettes, skal det virksomhetsovergripende,
behandlingsrettede registeret føres elektronisk og erstatte det
virksomhetsinterne behandlingsrettede registeret. Plikten til å
føre journal, jf. helsepersonelloven §§ 39 og 40, gjelder tilsvarende.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale,
regionale, lokale og behandlingsrettede helseregistre, meldingsplikt
m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester
i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven,
smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven,
plikter å utlevere eller overføre opplysninger som bestemt i forskrifter
etter §§ 6 a, 7 og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger
etter §§ 6 a, 7 og 8, herunder bestemmelser
om hvem som skal gi og motta opplysningene og om frister, formkrav
og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen
av opplysningene dersom opplysningene er mangelfulle.
§ 13 nye andre til sjette ledd skal lyde:
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser
om tilgang til helseopplysninger. Forskriften kan for tilgang til
helseopplysninger i behandlingsrettede helseregistre gjøre unntak
fra første ledd første punktum.
Tilgang til helseopplysninger i behandlingsrettet helseregister
på tvers av virksomheter kan bare gis etter uttrykkelig samtykke
fra den registrerte.
Kongen i Statsråd kan i forskrift gjøre unntak
fra kravet om uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.
Én forespørsel om og tilgang til helseopplysninger
i annen virksomhet kan bare omfatte én pasient om gangen.
Den registrerte har rett til innsyn i logg fra
behandlingsrettet helseregister om hvem som har hatt tilgang til
helseopplysninger om ham eller henne.
II
I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)
gjøres følgende endringer:
§ 25 første ledd nytt andre punktum
skal lyde:
For elektronisk tilgang til helseopplysninger
på tvers av virksomheter gjelder helseregisterloven § 13 tredje
og fjerde ledd.
§ 45 skal lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som
skal yte eller yter helsehjelp til pasient etter denne lov, gis
nødvendige og relevante helseopplysninger i den grad dette
er nødvendig for å kunne gi helsehjelp til pasienten
på forsvarlig måte. For elektronisk tilgang til helseopplysninger
på tvers av virksomheter gjelder helseregisterloven § 13 tredje
og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell
er gitt helseopplysninger.
Helseopplysninger som nevnt i første ledd kan
gis av den databehandlingsansvarlige for opplysningene eller det
helsepersonell som har dokumentert opplysningene, jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til
utfylling av første ledd, og kan herunder bestemme at annet helsepersonell
kan gis tilgang til journalen også i de tilfeller som faller utenfor
første ledd.
III
Loven trer i kraft straks.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende
ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra Legeforeningen til Stortingets helse- og omsorgskomité. Brevet
fra legeforeningen fulgte som vedlegg til Stortingets brev.
Jeg vil innledningsvis informere om at foreliggende lovforslag
i Ot.prp. nr. 51 (2008–2009) ikke gjør inngrep i taushetsplikten.
Jeg mener derfor det er feil der det i brevet fra Legeforeningen
uttales: "Det foreliggende lovendringsforslag representerer det mest
inngripende tiltak i forhold til taushetsplikt og personvern og
uten at det er foretatt en vurdering av behov og andre alternative
og mer målrettede tiltak."
Beskyttelse av privatlivets fred er et sentralt hensyn bak personvernreguleringen.
For å konkretisere hva som ligger i personvern er det i teorien
utviklet ulike innfallsvinkler. (Veileder
til utredningsinstruksen. Vurdering av personvernkonsekvenser.
Fornyings- og administrasjonsdepartementet 2008)
Den første innfallsvinkelen en ofte tar utgangspunkt i, er det integritetsfokuserte personvernet, som er
et uttrykk for borgerens ønske om å ha kontroll over opplysninger
om seg selv og ha en sirkel av privatsfære som ingen har rett til
å trenge innenfor, uten tillatelser eller en god og legitim grunn.
Et overordnet prinsipp i foreliggende proposisjon er at tilgang
til helseopplysninger bare kan gis i den grad opplysningene er relevante
og nødvendige for å kunne tilby faglig, forsvarlig helsehjelp til
pasient.
Foreliggende lovforslag innebærer ikke at det kan gis tilgang
til flere helseopplysninger enn det man i dag kan gi tilgang til,
internt i virksomheten. Når det gjelder kommunikasjon på tvers av
virksomheter, åpner lovforslaget for at man kan få elektronisk tilgang
til helseopplysninger man i dag kan få utlevert. Man får imidlertid
ikke innsyn i flere opplysninger enn i dag.
Ut fra det synspunkt at helseopplysninger ikke skal komme på
avveie eller i hendene på uvedkommende, er det - slik jeg ser det
– ikke nødvendigvis bedre å utlevere en kopi av journalen /journalnotat enn
å gi vedkommende helsepersonell lesetilgang til journalen/ journalnotatet
der det ligger. Mulighetene for kontroll med hvem som får lese journalen/journalnotatet
er større når det gis lesetilgang til opplysningene enn ved utlevering.
Dette fordi at man ved utlevering av opplysningene også ofte mister
kontrollen med den videre bruken av dem.
Den andre innfallsvinkelen er det maktfokuserte personvernet. Med
dette tenker man på maktbalansen mellom enkeltpersoner og offentlige
eller private aktører, eller maktbalansen mellom den registrerte
(pasienten) og den som behandler opplysningen. Foreliggende lovforslag
innebærer at det ikke gis tilgang til flere opplysninger om en pasient,
enn hva som i dag kan utleveres. Videre vil mulighetene for kontroll
av hvem som har lest eller sett opplysningene, være større når det
gis tilgang til opplysningene, enn ved utlevering.
Den tredje innfallsvinkelen er det beslutningsorienterte
personvernet. Dette tar utgangspunkt i at personopplysninger
brukes som grunnlag for beslutninger i offentlig og privat virksomhet,
som for eksempel helsetjenesten. Et viktig formål med foreliggende proposisjon
er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon
i helsetjenesten. Tilgang til nødvendige og relevante opplysninger
vil ofte være en forutsetning for å kunne treffe en faglig forsvarlig
beslutning om hva slag helsehjelp pasienten bør tilbys.
På bakgrunn av blant annet ovennevnte, er det min vurdering at
konsekvensene for personvernet av foreliggende lovforslag vil gi
bedre personvern.
Helse- og omsorgsdepartementet fikk "NOU 2009:1 Individ og integritet
– Personvern i det digitale samfunn" på alminnelig høring 25. februar
i år, med frist for merknader 20. august 2009. Departementet har
på nåværende tidspunkt ikke ferdigbehandlet rapporten.
Det fremgår av rapporten at Personvernkommisjonen var i sluttfasen
av sitt arbeid da forslaget om å lovhjemle tilgang på tvers av virksomheter
ble sendt på høring, og at de derfor ikke har hatt anledning til
å sette seg inn i forslaget. Kommisjonen uttaler at de likevel vil
knyttet noen generelle kommentarer til spørsmål om tilgang på tvers
av virksomheter, jf. blant annet nedenfor:
Før det åpnes for journaltilgang på
tvers av virksomheter, må det foretas en grundig avveining av både
fordeler og ulemper.
Ekstern tilgang til pasientjournalen i en virksomhet forutsetter
etter Personvernkommisjonens oppfatning god styring og kontroll
internt.
Etter Personvernkommisjonens oppfatning fordrer økt tilgjengelighet
til pasientjournalen at pasienter kan ha tillit til at det ikke
verken juridisk, teknisk eller faktisk er mulig for utenforstående
å tilegne seg informasjon man ikke skal ha.
Jeg mener at foreliggende proposisjon ivaretar de ovenfor nevnte
hensyn som Personvernkommisjonen tar opp. Det vises til punkt 7.5
i proposisjonen.
Lovforslaget innebærer ingen automatisk rett til journalopplysninger
hos fastleger eller andre helseaktører. Det må først utarbeides
en forskrift som nærmere redegjør for hvordan tilgang på tvers eventuelt kan
skje. Fastleger som ønsker en slik samarbeidsform må gjøre avtale
med relevante virksomheter. I forskriften som skal utarbeides vil
det bli satt krav om at tilgangen må begrenses til nødvendige og
relevante opplysninger i strukturert form. Det er bare disse opplysninger
som fastlegene eventuelt kan gjøre tilgjengelig for samarbeidende
helsepersonell. Bare autorisert helsepersonell i sykehusene kan
nå disse opplysningene. Kravene i forskrift vil medføre at det må
gjøres tilpasninger i de elektroniske pasientjournalsystemene både
hos fastleger og sykehus.
Leverandørene av elektroniske pasientjournalsystemer har over
tid implementert de fleste av dagens krav til sikkerhet, og arbeider
kontinuerlig med forandringer. Det vil derfor være lettest og minst kostbart
å tilpasse de siste versjonene av systemene til de nye kravene.
I de elektroniske pasientjournalsystemene av eldre dato kan det
være vanskelig å oppnå de krav til sikkerhet som settes i ny forskrift. Det
vil for eldre systemer måtte gjøres en avveining for hvert system
mellom nytte og kostnad ved å beholde systemene, kontra å foreta
en nyanskaffelse.
Lovforslaget innebærer lesetilgang til strukturerte og relevante
opplysninger. Det betyr at man bruker sin egen EPJ uendret, men
med et større informasjonsgrunnlag for beslutningene. Dersom det
skal kunne gis lesetilgang til journalopplysninger hos en fastlege,
må informasjonen/opplysningene være strukturert og forhåndsvurdert
som relevant.
Den første betingelsen som må være tilstede er at fastlegen har
et elektronisk journalsystem som gjør det mulig å avgrense tilgangen
til å gjelde klinisk informasjon relatert til aktuelt saksområde.
Systemet hos fastlegen må kunne loggføre tilgangen, slik at pasienten
i ettertid kan få innsyn i hvem som har hatt tilgang til helseopplysninger
om ham eller henne.
Det helsepersonell/virksomhet som søker tilgang til opplysningene,
for eksempel pasientansvarlig lege på sykehuset, må kunne identifisere
seg på et høyt sikkerhetsnivå. Et høyt sikkerhetsnivå kan være entydig
identifisering av godkjent bruker ved bruk av personlige sertifikater
basert på teknologien Public Key Infrastructure (PKI) samt brukernavn
og passord for pålogging.
Virksomheten som søker tilgang til helseopplysninger hos fastlegen,
må ha et elektronisk journalsystem som gir en eksplisitt mulighet
til å autorisere en bruker for "rett til å forespørre informasjon
i ekstern virksomhet". Dette er nødvendig for å forhindre at alle
brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal
i egen virksomhet, automatisk kan forespørre
informasjon i fastlegens system.
Dernest må det være inngått en avtale mellom fastlegen og den
andre virksomheten. Det er ikke slik at all samhandling mellom ulike
nivåer i helsetjenesten heretter skal skje ved direkte tilgang til
opplysninger på tvers av virksomhetsgrenser. Loven pålegger ingen
plikt til å inngå avtale, men gir en mulighet til det. Premissen
er at en pasient skal kunne tilbys faglig, forsvarlig og helhetlig
helsehjelp. Hvordan de aktuelle parter - som hver for seg har et
ansvar for helsehjelp til pasienten - best kan samarbeide om en helhetlig
behandling - må avgjøres helt konkret, basert på behovs- og risikovurderinger.
Jeg vil anta at elektronisk meldingsutveksling er, og fortsatt
vil være, en viktig samhandlingsform, og i mange tilfeller den mest
hensiktsmessige. Kommunikasjon av epikriser og henvisninger vil,
slik jeg ser det, fortsatt skje i form av meldingsutveksling.
Tilgang til helseopplysninger på tvers av virksomheter vil, etter
det jeg er informert om, være mest aktuelt for situasjoner med planlagte
tjenester, og der virksomheter og personell samarbeider tett om
pasienten på en slik måte at kommunikasjon med for eksempel henvisning
og epikrise ikke strekker til. Mest aktuelt er tilgang på tvers
ved funksjonsfordeling mellom sykehus og samarbeid om pasienter
med store og kompliserte behov i pleie- og omsorgstjenesten.
Regler som regulerer dette spørsmålet er inntatt i helseregisterloven
§§ 21 til 25. Det foreslås ingen endringer i disse reglene.
Jeg forutsetter at disse reglene er kjent, men vil likevel skissere
noen av de viktigste hovedelementene nedenfor.
Helseregisterloven § 21 gir enhver rett til generell informasjon
om helseregistre og behandling av helseopplysninger. Bestemmelsen
lyder:
"Enhver som ber om det, skal få vite hva slags behandling
av helseopplysninger en databehandlingsansvarlig foretar, og kan
kreve å få følgende informasjon om en bestemt type behandling av
helseopplysninger:
1. navn og
adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. hvem som har det daglige ansvaret for å oppfylle den
databehandlingsansvarliges plikter,
3. formålet med behandlingen av helseopplysningene,
4. beskrivelser av hvilke typer helseopplysninger som behandles,
5. hvor opplysningene er hentet fra, og
6, om helseopplysningene vil bli utlevert, og eventuelt
hvem som er mottaker. Informasjonen kan kreves hos den databehandlingsansvarlige
eller hos dennes databehandler som nevnt i § 18."
Det følger av merknadene til bestemmelsen, jf. Ot.prp. nr. 5
(1999–2000), at informasjonen skal være generell, kortfattet og
standardisert. De samme opplysningene skal kunne gis til alle som
ber om informasjon. Når det gjelder informasjon som nevnt i nr.
6, uttales i merknadene til bestemmelsen at det er tilstrekkelig
å angi kategorier av mottakere. Det er ikke nødvendig å identifisere
den enkelte mottaker, som for eksempel det enkelte helsepersonell.
Jeg legger til grunn at informasjonsplikten etter denne bestemmelsen
også omfatter eventuell informasjon om at det er inngått avtale
om tilgang til helseopplysninger på tvers av virksomheter, selv
om helseregisterloven § 23 nr. 6 bruker begrepet "utlevert" og ikke
"tilgang".
Informasjonsplikten etter helseregisterloven § 21 er pålagt den
databehandlingsansvarlige, og informasjon skal gis til enhver som
ber om det. Det er ikke nødvendig at den databehandlingsansvarlige
behandler opplysninger eller har registrert helseopplysninger om
den som ber om det.
I tillegg til generell informasjon som nevnt ovenfor, vil den
enkelte pasient ha rett til informasjon etter helseregisterloven
§§ 23 og 24. Paragraf 23 regulerer informasjonsplikten når opplysninger
innsamles fra den registrerte selv, for eksempel i en fastleges
konsultasjon med en pasient. Bestemmelsen lyder:
Når det samles inn helseopplysninger fra den registrerte
selv, skal den databehandlingsansvarlige av eget tiltak først informere
den registrerte om
1. navn og
adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. formålet med behandlingen av helseopplysningene,
3. opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
4. det er frivillig å gi fra seg helseopplysningene, og
5. annet som gjør den registrerte i stand til å bruke sine
rettigheter etter loven her på best mulig måte, som for eksempel
informasjon om retten til å kreve innsyn, jf § 22, og retten til
å kreve retting og sletting, jf §§ 26 og 28.
Varsling
er ikke påkrevd dersom det er på det rene at den registrerte allerede
kjenner til informasjonen i første ledd.
Dersom det er på det rene at den registrerte allerede kjenner
til det som det skal informeres om, er det ikke nødvendig å informere
om dette ved hver konsultasjon, jf. annet ledd i bestemmelsen. I
forholdet mellom en fastlege og pasient vil det ofte være nok med
samme informasjon en gang, men dersom innholdet i noen av de elementene
det skal informeres om endres, må det gis oppdatert informasjon
ved neste kontakt.
Den enkelte pasients rett til innsyn i journal reguleres for
øvrig i pasientrettighetsloven § 5–1 og helsepersonelloven § 41.
Innledningsvis vil jeg gjøre oppmerksom på at befolkningen som
sådan ikke har rett til å reservere seg mot behandling av helseopplysninger
eller reservere seg mot at det gis tilgang til helseopplysninger. Rettighetssubjektet
for reservasjonsretten er pasienten/ den registrerte, jf. helsepersonelloven
§§ 25 og 45.
En pasient kan reservere seg mot at helseopplysninger blir gitt
til samarbeidende personell (§ 25) og andre som yter helsehjelp
(§ 45). Den som mottar opplysningene, har samme taushetsplikt som
helsepersonell. Det innebærer at den som utleverer opplysningene
må informere mottaker om at pasienten har reservert seg mot at andre
gis tilgang til opplysningene.
Mulighetene for kontroll av om mottaker overholder taushetsplikten
er, slik jeg ser det, større når det gis tilgang til opplysningene
enn ved utlevering.
Dersom en lege gis tilgang til opplysninger i en journal, for
eksempel hos fastlegen, skapes det ingen kopi av opplysningene i
den virksomhet som får lesetilgang til opplysningene, utover det
legen velger å dokumentere i egen journal som sitt beslutningsgrunnlag.
Dette innebærer at ingen andre i denne virksomheten vil kunne få
tilgang til opplysningene, og det er heller ingen fare for at opplysningene
spres videre. Blir derimot de samme journalopplysningene utlevert
elektronisk til den andre virksomheten, vil opplysningene i de fleste
tilfeller bli lagret som en helhet i journalsystemet hos mottakeren.
En slik lagring i mottakerens journalsystem innebærer at opplysningene
vil kunne bli tilgjengelige for andre enn den legen som ba om å
få opplysningene utlevert. Det må kunne antas at risikoen for at
opplysninger kommer på avveie, øker med antall kopier som finnes. Dette
gjelder både opplysninger på papir og i elektronisk form. Dersom
den legen som har behov for opplysningene gis tilgang til opplysningene
der de ligger, vil behovet for dobbeltlagring minske. Sett fra et personvernsperspektiv
synes dette å være en fordel.
I tilknytning til dette vil jeg også minne om forbudet mot "snoking"
som er inntatt i helsepersonelloven § 21 a og helseregisterloven
§ 13 a. Helseregisterloven § 13 a lyder:
"Det er forbudt å lese, søke etter eller på annen måte
tilegne seg, bruke eller besitte helseopplysninger som behandles
etter denne loven uten at det er begrunnet i helsehjelp til pasienten,
administrasjon av slik hjelp eller har særskilt hjemmel i lov eller
forskrift."
Den som fortsettlig eller grovt uaktsomt overtrer bestemmelsene,
straffes med bøter eller fengsel i inntil tre år.
Lovforslaget og de reguleringer som vil bli gjort i forskriften
åpner ikke for fri tilgang til pasientjournaler. Lovforslaget gir
bare tilgang til opplysninger underlagt streng kontroll for behandlende
helsepersonell for den konkrete pasienten.
Det er ulike behov for elektronisk samhandling i helsetjenesten.
En kommunikasjonsform som fungerer godt i en del av helsetjenesten
trenger nødvendigvis ikke være den som fungerer best i en annen
del av helsetjenesten. Tilgang til nødvendige journalopplysninger
på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende
for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for alle
deler av helsetjenesten til å gi en pasient best mulig helsehjelp.
Utviklingsarbeidet med elektroniske meldinger vil derfor fortsette
som før, likeledes utredningen om nasjonal kjernejournal.
Jeg vil klart slutte meg til uttalelsen i brevet fra Legeforeningen
om at det er avgjørende viktig - for å kunne gi god helsehjelp -
at befolkningen trygt kan oppsøke helsetjenesten for helsehjelp
og trygt kan gi opplysninger uten risiko for at de videreformidles
til uvedkommende.
Tilliten til helsetjenesten skapes ved pasientens møte med helsetjenesten
i forbindelse med at det ytes helsehjelp. God kvalitet og faglig
forsvarlig helsehjelp, herunder informasjon til og involvering av
pasienten, er viktige elementer i møte mellom helsepersonell og
pasient.
Tillit til helsetjenesten kan også påvirkes av hva en person
hører av andre, ved kjennskap til andre pasienters møte med helsetjenesten,
ved informasjon gjennom media eller lignende.
I denne forbindelse er det viktig at den informasjonen som blir
kommunisert ut - fra helsetjenesten - gir et mest mulig riktig bilde
av situasjonen.
Innledningsvis i brevet fra Legeforeningen uttales følgende:
"Det foreliggende lovendringsforslag representerer det
mest inngripende tiltak i forhold til taushetsplikt og personvern
og uten at det er foretatt en vurdering av behov og andre alternative
og mer målrettede tiltak"
Denne uttalelsen i Legeforeningens brev er uriktig og i beste
fall misvisende. Slike uttalelser bidrar etter min mening ikke til
å gi allmennheten tillit til helsetjenesten.
Datatilsynet og Statens helsetilsyn har påpekt avvik i forhold
til dagens regelverk. Noen av avvikene som er påpekt kan ikke uten
videre lukkes innenfor dagens teknologi. Det medfører at en må gjøre
nyanskaffelser. I spesialisthelsetjenesten pågår eksempelvis et
langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske
pasientjournalsystemer med nye systemer som har forbedret funksjonalitet
til pasientbehandling og sikkerhet. Det vil for eldre systemer måtte
gjøres en avveining for hvert system mellom nytte og kostnad ved
å beholde systemene kontra å foreta en nyanskaffelse.
Direkte tilgang fra en virksomhet til en pasientjournal i en
annen virksomhet vil være avgrenset til relevant og nødvendig informasjon
slik at eksterne søkere bare kan få frem den spesifikke informasjonen de
har tjenestlig behov for. Det betyr at ved en slik inndeling kan
helsepersonell få målrettet informasjon uten å gå gjennom hele journalen.
I brevet fra Legeforeningen tas det utgangspunkt i at en eventuell
tilgang hjemles i avtale. Dette er ikke riktig. Tilgang til helseopplysninger
er hjemlet i lov, og foreliggende proposisjon endrer ikke dette.
Regler om kommunikasjon mellom helsepersonell ved helsehjelp
reguleres i dag av helsepersonelloven §§ 25 og 45. Disse bestemmelser
i helsepersonelloven stenger ikke for at det gis tilgang til helseopplysninger
på tvers av virksomheter, forutsatt at de øvrige vilkårene i bestemmelsene
er ivaretatt.
Helseregisterloven § 13 – slik den i dag lyder – stenger imidlertid
for dette – i alle situasjoner, også der det er formålstjenelig
og kan gjøres uten at det går på bekostning av informasjonssikkerheten.
Dette gjelder også i de tilfeller pasienten eventuelt samtykker.
Forslaget i proposisjonen om å åpne for å kunne gjøre unntak fra
det absolutte forbudet i helseregisterloven § 13 i forskrift, innebærer
ikke endringer i pasienters rettstilling. Forslaget legger til grunn
at de teknologiske muligheter i dag innebærer at pasientens rett
til konfidensialitet kan ivaretas på en like god måte som i dag,
selv om det åpnes for tilgang til helseopplysninger på tvers av
virksomheter. Det absolutte forbudet i helseregisterloven § 13 er
etter min vurdering ikke hensiktsmessig lenger, fordi det ikke er
nødvendig for overholdelse av taushetsplikten, og det vanskeliggjør
nødvendig samarbeid og samhandling mellom virksomheter som samarbeider
om helsehjelp til pasienter.
Lovendringene i seg selv innebærer ikke at man kan begynne å
kommunisere på tvers av virksomheter. Tilgang til helseopplysninger
hos ekstern virksomhet forutsetter at det fastsettes nærmere krav
i forskrift. (Det er ikke slik som Legeforeningen synes så tro at
de nærmere vilkårene for tilgang blir fastsatt av det enkelte helseforetak.)
Krav om avtale mellom virksomheten kommer i tillegg til forskriftens
krav, som foreslås hjemlet i helseregisterloven § 13. En avtale
må dessuten omfatte minst to parter. Tilgang til en fastleges elektroniske
journalsystem forutsetter at fastlegen er en av partene.
Avtaler om behandling av helseopplysninger er for øvrig ikke
et ukjent fenomen i personvernlovgivningen. Jeg viser til at både
personopplysningsloven og helseregisterloven krever skriftlig avtale
mellom en databehandlingsansvarlig og en databehandler.
Formålet med lovendringene er å fjerne regelverksmessige hindre
for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten,
samtidig som pasientens rett til konfidensialitet og vern om personlig
integritet ivaretas, jf. kapittel 1 i proposisjonen.
En forutsetning for at helsesektoren skal kunne utnytte de muligheter
som lovendringene nå åpner for, er at leverandørene implementerer
kravene i de elektroniske pasientjournalsystemene ved nye leveranser
og bistår sektoren ved tilpasninger i eksisterende systemer, dersom
dette er mest hensiktsmessig. For at dette kan skje må både leverandører
og helsesektoren ha kunnskap om hvilke krav som gjelder.
Det fremgår klart av proposisjonen at det ikke kan åpnes for
tilgang på tvers før virksomheten kan etterleve sikkerhetskravene
i forskriften.
Forslaget i proposisjonen som gir hjemmel til å etablere og regulere
virksomhetsovergripende behandlingsrettede helseregistre i forskrift,
omfatter ikke sentrale behandlingsrettede helseregistre, herunder
nasjonal kjernejournal. Etablering av en nasjonal kjernejournal
krever endring av helseregisterloven, eller egen lov, og det blir
Stortinget som må ta stilling til om et slikt register skal kunne
etableres eller ikke.
Foreliggende proposisjon gir hjemmel til å etablere regionale
og lokale behandlingsrettede helseregistre, for eksempel en regional
kjernejournal. Slik jeg ser det, vil det være helt nødvendig å starte
med en eller flere regionale kjernejournaler, for eksempel som pilotprosjekter,
før en tar stilling til etablering av en nasjonal kjernejournal.
Foreliggende forslag om behandlingsrettede helseregistre på tvers
av helseforetak åpner for et slikt pilotprosjekt.
Foreliggende proposisjon foreslår forkriftshjemmel til å etablere
regionale og lokale helseregistre. Det foreslås at myndigheten til
å fastsette forskrift legges til Kongen i Statsråd, som innebærer
at myndigheten ikke kan delegeres.
Dersom en mener at de nærmere regler for behandling av helseopplysninger
i for eksempel et sentralt register bør vedtas av Stortinget, skjer
dette ved lov, ikke ved forskrift.
Tildeling av myndighet til forvaltningen til å gi generelle bestemmelser
forekommer i stor utstrekning. Delegasjon av lovgivningsmyndighet
(forskriftshjemler) har vært praktisert gjennom hele den tid vår
forfatning har vært i kraft. Det er mange hensyn som taler for at
Stortinget overlater dette til forvaltningen. Mengden av lovstoff
som produseres er så stor at det måtte bli ren sandpåstrøing hvis
alt skulle vedtas av Stortinget.
På den annen side: Det kan knytte seg betenkeligheter til en
for vid delegasjon av lovgivningsmyndighet. Som et utgangspunkt
kan det hevdes at hjemmelsbestemmelsene ikke bør være så vide og
ubestemte at viktige prinsippspørsmål kan avgjøres i medhold av
dem uten Stortingets medvirkning.
Helseregisterloven regulerer behandling av helseopplysninger,
herunder etablering av helseregistre. Det er en del av lovens formål
å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn,
herunder behovet for personlig integritet, privatlivets fred og
tilstrekkelig kvalitet på opplysningene.
Loven inneholder en rekke overordende prinsipper som krav til
formålsbestemthet, saklighet og relevans, taushetsplikt, informasjonssikkerhet,
plikt til internkontroll, rett til informasjon, innsynsrett i behandling
av opplysninger om en selv etc. Lovens utgangspunkt er at ved all
behandling av helseopplysninger må fokuset "pasienten først" ligge
fast. Alle forskrifter som blir gitt med hjemmel i helseregisterloven
må holde seg innenfor disse rammer.
Min vurdering er at helseregisterloven gir en god ramme for forskriftene
som kan vedtas med hjemmel i loven.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende
ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra Allmennlegeforeningen til Stortingets helse- og omsorgskomité.
Allmennlegeforeningen fremhever i brevet fire forhold, inntatt
i kulepunkter innledningsvis i brevet. I svarbrevet til Stortinget
vil jeg ta utgangspunkt i disse (gjengitt nedenfor i kursiv). Deretter
vil jeg knytte noen kommentarer til de to siste setningene i brevet
fra Allmennlegeforeningen.
Det er helt nødvendig å ha fokus på de grunnleggende
elementene i elektronisk kommunikasjon i helsetjenesten, slik at
man ikke får energi- og ressurslekkasjer fra det viktige fundamentale
arbeidet med målrettet meldingsutveksling mellom helsevirksomheter
- hvor mye arbeid dessverre fortsatt gjenstår - over i prestisjeprosjekter
med enda høyere kompleksitet og stor risiko.
Elektronisk meldingsutveksling er en av flere muligheter for
elektronisk samhandling i helsetjenesten. Det vil fra helseforvaltningens
side fortsatt være stort fokus på arbeidet med målrettet meldingsutveksling.
Foreliggende lovforslag vil ikke endre dette. Behovet for å kommunisere
pasientopplysninger på andre måter enn det som er mulig i dag, er
imidlertid fremhevet i flere sammenhenger. En arbeidsgruppe nedsatt
av de regionale helseforetakene med representanter fra alle regionenes
helseforetak avga i desember 2006 en rapport (Tilgang til elektronisk
pasientjournalsystem) til Helse- og omsorgsdepartementet hvor behovene
for tilgang til helseopplysninger på tvers av virksomheter i spesialisthelsetjenesten
er utredet.
Norsk senter for elektronisk pasientjournal (NSEP) gjorde en
utredning for Helsedirektoratet i 2007 (Medisinskfaglig analyse
av behovet for enklere kommunikasjon i tilknytning til bruken av
elektronisk pasientjournal).
Jeg er enig i de vurderinger som gjøres i disse utredningene.
Jeg viser også til Anders Grimsmo sin gjennomgang av forskningslitteraturen
i Stortinget den 30. april 2009, hvor det blant annet ble fremhevet
at det er et økende samarbeid på tvers av virksomheter og den tradisjonelle
informasjonsutvekslingen med henvising, og epikrise, rekvisisjon
og svar strekker ikke til på alle områder. Det ble videre vist til
at det er utstrakt bruk av muntlig kommunikasjon ved tett samarbeid
som blir dårlig dokumentert og ikke sammenholdt at stemmer overens
i pasientens ulike journaler hos samarbeidspartnere. Det gjelder
i første rekke beslutninger som blir tatt.
Vi opplever ikke at det er redegjort i tilstrekkelig grad
for hvilken nytte behandlere vil ha av elektronisk virksomhetsovergripende
tilgang målt opp mot de omfattende kostnader og den usikre nytte
som ligger i et slikt prosjekt.
Jeg viser til avsnittene ovenfor. Det er dessuten relativt godt
dokumentert at mangelfull informasjon har negativ innflytelse på
pasientforløpet. Det brukes lengre tid og mer ressurser, og pasienten
lider mer. I den akuttmedisinske første fase brukes standardiserte rutiner
og i mindre grad journalinformasjon. Opplysninger i pasientjournalen
får betydning senere i akuttmottaket når spesifikk behandling og
diagnostikk starter.
Behov for kommunikasjon på tvers av virksomheter vil først og
fremst gjelde ved samarbeid mellom sykehus og ved samarbeid om pasienter
med store og kompliserte behov i pleie- og omsorgstjenesten.
Kostnadene ved tilpasning og utviklingskostnader for de enkelte
elektroniske pasientjournalsystemene som er i bruk og de evt. nye
behandlingsrettede helseregistrene vil variere sterkt. Dette skyldes
at de aktørene som skal samhandle har mange ulike systemer av forskjellig
teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde,
for eksempel operativsystem/programvare, hvilket pasientjournalsystem
brukes, maskinvare, systemversjon osv. Nytten for helsepersonell
vil variere alt ettersom hvilket behov de har for elektronisk virksomhetsovergripende
tilgang eller om de bare velger å samhandle elektronisk i form av
elektroniske meldinger.
Man signaliserer slik vi leser det også
et behov for et personidentifiserbart register som skal kartlegge
alle bevegelser for alle brukere av helsetjenester i helse-Norge.
Dette fremstår som en teknisk betingelse for tversgående tilgang
men reiser omfattende personvernmessige utfordringer
Det er ulike behov for elektronisk samhandling i helsetjenesten,
jf. ovenfor. En kommunikasjonsform som fungerer godt i en del av
helsetjenesten trenger ikke nødvendigvis være det som fungerer best
i en annen del av helsetjenesten. Tilgang til nødvendige journalopplysninger
på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende
for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for i alle
deler av helsetjenesten å gi pasienten best mulig helsehjelp. Utviklingsarbeidet
med elektroniske meldinger vil derfor foregå som før og vurderes
i et helhetlig utviklingsarbeid.
Det er under utredning om det skal etableres et nasjonalt behandlingsrettet
helseregister, inntil videre omtalt som kjernejournal. Sentralt
står vurderingen av hvilke opplysninger som skal inngå i registeret,
ansvar for helseopplysningene og ivaretakelse av personvernet. Et
register med kontaktoversikt (pasientindeks) er omtalt i høringsnotatet,
men ikke i odeltingsproposisjonen. Lovforslaget slik det nå lyder
gir ikke gir hjemmel for en nasjonal kontaktoversikt.
AF anser at elektronisk tilgang til behandlingsrettede
helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende
behandlingsrettede helseregistre er teknisk prematurt, personvernmessig
svært uheldig og feil signal til både helsetjenesten og befolkningen
i dagens situasjon.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser
skal bare kunne gis der det er behov for det, for å kunne gi pasienten
helsehjelp i planlagte eller akutte situasjoner. Journalene må være
strukturerte slik at andre som yter helsehjelp bare gis tilgang til
nødvendige helseopplysninger. Den direkte tilgangen fra en virksomhet
til pasientjournal i en annen virksomhet må avgrenses slik at eksterne
søkere bare kan få frem den spesifikke informasjonen de har tjenstlig
behov for, og det må foreligge en forhåndsgodkjenning av definert
og strukturert informasjon som det skal kunne gis tilgang til.
Effektiv kontroll med tilgangsstyringen (internkontroll), sammen
med økt fokus på opplæring, kunnskap og holdninger vil være viktige
tiltak for å fremme informasjonssikkerheten. Logging av informasjon
om hvem som har hatt tilgang til taushetsbelagte opplysninger vil
bidra til å bedre informasjonssikkerheten.
Forutsetningene for tilgang til helseopplysninger på tvers av
virksomheter er at det i eget system er en eksplisitt mulighet til
å autorisere en bruker for ”rett til å forespørre informasjon i
ekstern virksomhet”. Det er nødvendig for å forhindre at alle brukere
som har et tjenstlig behov for tilgang til elektronisk pasientjournal
i egen virksomhet automatisk kan forespørre informasjon i ekstern
virksomhet. I den eksterne virksomheten skal det tilsvarende være
et system for å autorisere de brukere som kan logge seg på virksomhetens
elektroniske pasientjournalsystem. Alle oppslag skal logges.
De krav som stilles betyr tilpasninger i de elektroniske journalsystemene
slik at de i alle deler av helsevesenet blir strukturert slik at
nødvendige helseopplysninger kan skilles fra annen sensitiv personinformasjon.
I spesialisthelsetjenesten pågår eksempelvis et langsiktig og omfattende
arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med
nye systemer som har forbedret funksjonalitet til pasientbehandling
og sikkerhet. Tilpasningene til nye krav i sektoren vil måtte gjøres
over lang tid. Det vil ikke være tillatt å åpne for tilgang på tvers
før begge virksomhetene kan etterleve sikkerhetskrav som vil bli
stilt i forskrift.
Avslutningsvis i brevet uttaler allmennlegeforeningen:
Det forekommer oss som en svært
vanskelig tanke at vi heretter eventuelt skulle måtte informere
våre pasienter om at denne type informasjon, allerede i dag samlet
over inntil 25 år for den enkelte person skal være tilgjengelig
for kanskje 150.000 helsearbeidere når man måtte "finne det nødvendig".
Som fastleger ville vi måtte vurdere en plakat på venteværelset
med svært tydelig informasjon om risiko for informasjonsspredning
og reservasjonsmuligheter.
Vi
ville dessverre også måtte gjøre pasientene oppmerksomme på muligheten
for å la være å tillitsfullt informere sin behandler om livets aller
vanskeligste ting, fordi man ikke lenger kan love at "det blir hos
meg."
Foreliggende uttalelse må bero på en misforståelse. Foreliggende
lovforslag åpner ikke for at det gis elektronisk tilgang til andre
helseopplysninger - fra en ekstern virksomhet – enn det den virksomhet
som gir tilgang - har vurdert, avgrenset og strukturert på en slik
måte at det kan gis tilgang.
Fastlegen vil også i fremtiden kunne si til sin pasient at ”det blir hos meg.” Fastlegen må da registrere opplysningene
på en slik måte at andre enn ham selv ikke har tilgang til opplysningene.
Dersom fastlegen ikke har et elektronisk journalsystem som muliggjør dette,
kan han eller hun ikke gi andre virksomheter, eventuelt annet helsepersonell
i egen virksomhet, tilgang til journalen.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende
ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra FFO til Stortingets helse- og omsorgskomité.
I svaret mitt nedenfor blir spørsmålene og problemstillingene
fra FFO gjengitt i kursiv..
FFO ber komiteen etterlyse en redegjørelse
og dokumentasjon fra HOD om hvilket behov det er for å tillate vide
tilgangsrettigheter til pasientopplysninger på tvers av virksomheter
slik som det legges opp til i lovforslaget.
Jeg vil innledningsvis påpeke at bruken av ordene "vide tilgangsrettigheter"
er misvisende – slik jeg vurderer det.
Lovforslaget innebærer ingen endring av helsepersonellets rett
til å få nødvendig informasjon om pasienten (pasientopplysninger)
dersom det er behov for det for å gi helsehjelp. Helsepersonell
kan i dag få utlevert pasientopplysninger elektronisk på diskett, CD,
ved hjelp av elektroniske meldinger eller ved papirkopi av journalen.
Rettsgrunnlaget for slik utlevering er helsepersonelloven §§ 25
og 45.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser
skal i følge lovforslaget bare kunne gis der det er behov for det
for å kunne gi pasienten helsehjelp i planlagte eller akutte situasjoner.
Rettsgrunnlaget for den elektroniske tilgangen vil fortsatt være
helsepersonelloven §§ 25 og 45.
Behovet for å kommunisere pasientopplysninger på andre måter
enn det er mulig i dag er fremhevet i flere sammenhenger. En arbeidsgruppe
nedsatt av de regionale helseforetakene med representanter fra alle regionenes
helseforetak avga i desember 2006 en rapport (Tilgang til elektronisk
pasientjournalsystem) til Helse- og omsorgsdepartementet hvor behovene
for spesialisthelsetjenesten er utredet.
Norsk senter for elektronisk pasientjournal (NSEP) gjorde en
utredning for Helsedirektoratet i 2007 (Medisinskfaglig analyse
av behovet for enklere kommunikasjon i tilknytning til bruken av
elektronisk pasientjournal).
Jeg er enig i de vurderinger som gjøres i disse utredningene.
Jeg mener dessuten at pasientens rett til konfidensialitet må
være like sterk, uavhengig av ansettelsesforhold og hvordan sykehusene
er organisert.
FFO ber komiteen etterspørre HODs begrunnelse
for hvorfor vide tilgangsrettigheter til journalopplysninger på
tvers av virksomhetsgrenser er hensiktsmessig i en akuttsituasjon.
Det er min vurdering at foreliggende lovforslag ikke åpner for
vide tilgangsrettigheter i akuttsituasjoner, jf. avsnittene ovenfor.
Det er relativt godt dokumentert at mangelfull informasjon har
negativ innflytelse på pasientforløpet. Det brukes lengre tid og
mer ressurser og pasienten lider mer. I den akuttmedisinske første
fase brukes standardiserte rutiner og i mindre grad journalinformasjon.
Opplysninger i pasientjournalen får betydning senere i akuttmottaket
når spesifikk behandling og diagnostikk starter.
Behov for kommunikasjon på tvers av virksomheter vil først og
fremst gjelde samarbeid mellom sykehus og ved samarbeid om pasienter
med store og kompliserte behov i pleie- og omsorgstjenesten.
FFO ber komiteen etterspørre en redegjørelse for
hvordan de skal kunne sikre at sensitive pasientopplysninger ikke
spres, ved at det åpnes for vide tilgangsrettigheter til EPJ på
tvers av virksomheter.
Jeg vil understreke at tilgang til journalopplysninger på tvers
av virksomhetsgrenser bare skal kunne gis der det er behov for det
for å kunne gi pasienten forsvarlig helsehjelp.
En forutsetning for tilgang er at journalopplysningene er strukturerte
slik at helsepersonell som gis tilgang, bare gis tilgang til de
opplysningene som er nødvendig, for eksempel opplysning om legemiddelbruk
eller allergier. Den direkte tilgangen fra en virksomhet til pasientjournal
i en annen virksomhet må avgrenses slik at eksterne søkere bare
kan få frem den spesifikke informasjonen de har tjenstlig behov
for. Det må foreligge en forhåndsgodkjenning av definert og strukturert
informasjon som det skal kunne gis tilgang til.
Effektiv kontroll med tilgangsstyringen (internkontroll), sammen
med økt fokus på opplæring, kunnskap og holdninger vil være viktige
tiltak for å fremme informasjonssikkerheten. Logging av informasjon
om hvem som har hatt tilgang til taushetsbelagte opplysninger og
pasientenes innsynsrett i loggen kan bidra til å bedre informasjonssikkerheten.
FFO ber komiteen etterlyse en grundig redegjørelse
fra HOD om hvordan en kan sikre at personvernet blir tilstrekkelig
ivaretatt ved at opplysninger i EPJ gjøres tilgjengelig på tvers
av virksomheter, særlig tatt i betraktning når tilsyn viser at dette
ikke engang er tilstrekkelig ivaretatt internt i mange helseforetak.
Foreliggende lovforslag krever at det blir fastsatt krav til
sikker utveksling av pasientopplysninger i forskrift - før det kan
gis tilgang til pasientopplysninger på tvers av virksomheter.
En forutsetning for tilgang til helseopplysninger på tvers av
virksomheter vil være at det i eget journalsystem er en eksplisitt
mulighet til å autorisere en bruker for "rett
til å forespørre informasjon i ekstern virksomhet". Det er
nødvendig for å forhindre at alle brukere som har et tjenstlig behov
for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan
forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten
skal det tilsvarende være et system for å autorisere de brukere
som kan logge seg på virksomhetens elektroniske pasientjournalsystem.
Alle oppslag skal logges.
De krav som stilles betyr at det må skje tilpasninger i dagens
elektroniske journalsystemer. Opplysningene i journalen må kunne
avgrenses og struktureres slik at nødvendige helseopplysninger kan
skilles fra annen sensitiv personinformasjon. I spesialisthelsetjenesten
pågår et langsiktig og omfattende arbeid med å skifte ut eksisterende
elektroniske pasientjournalsystemer med nye systemer som har forbedret
funksjonalitet til pasientbehandling og sikkerhet. Tilpasningene
til nye krav til sektoren vil måtte gjøres over lang tid. Virksomheter
som ikke har journalsystem hvor nødvendige og relevante opplysninger
kan avgrenses og struktureres vil ikke kunne åpne for tilgang fra
en ekstern virksomhet.
FFO ber komiteen etterlyse en redegjørelse
for hvorfor ikke lovforslaget avgrenses til å bare å gjelde kjernejournal
og elektronisk meldingsutveksling.
Det er ulike behov for elektronisk samhandling i helsetjenesten.
En kommunikasjonsform som fungerer godt i en del av helsetjenesten
trenger ikke nødvendigvis å være det som fungerer best i en annen
del av helsetjenesten. Tilgang til nødvendige journalopplysninger
på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende
for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for i alle
deler av helsetjenesten gi pasient best mulig helsehjelp. Utviklingsarbeidet
med elektroniske meldinger vil derfor foregå som før og er ikke
avhenging av lovendringer. Kjernejournal er fremdeles under utredning,
som blant annet gjelder hvilke elementer som skal inngå, ansvar
for opplysninger og hvorledes den skal driftes.
FFO ber komiteen etterspørre en redegjørelse fra
HOD om hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes
klare kritikk av tilgangskontrollen og de manglende kontrollrutiner
med hvem som tilegner seg journalopplysninger og i hvilken hensikt.
Jeg har på ingen måte oversett de synspunkter Statens helsetilsyn
og Datatilsynet har fremført. Datatilsynet og Statens helsetilsyn
har påpekt avvik i forhold til dagens regelverk for noen helseforetak. Noen
av avvikene som er påpekt kan ikke lukkes innenfor dagens teknologi.
Jeg mener i likhet med tilsynene at det er et potensial for forbedringer
av informasjonssikkerhet og personvern i helsesektoren, herunder
helseforetakene. Jeg er imidlertid av den oppfatning at utvikling
og forbedringer kan gjøres samtidig.
Det er minst kostbart å tilpasse de siste versjonene av systemene
til nåværende og nye krav, mens det for eldre systemer vil måtte
gjøres en avveining for hvert system mellom nytte og kostnad ved
å beholde systemene kontra å foreta en nyanskaffelse. Som nevnt
ovenfor foregår det i spesialisthelsetjenesten et langsiktig og
omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer
med nye systemer som har forbedret funksjonalitet i forhold til pasientbehandling
og sikkerhet.
Foreliggende lovforslag innbærer verken fri tilgang til helseopplysninger
for alt helsepersonell eller vide tilganger. Lovforslaget krever
streng kontroll og det må skje et betydelig utviklingsarbeid før
tilgang på tvers kan realiseres.
FFO vil be komiteen etterlyse en grundigere
vurdering av de økonomiske og teknologiske utfordringene lovforslaget
vil innebære, enn det som framgår av lovforslaget.
Kostnadene ved tilpasning og utviklingskostnader for de enkelte
elektroniske pasientjournalsystemene som er i bruk og de evt. nye
behandlingsrettede helseregistrene, vil variere sterkt. Dette skyldes
at de aktørene som skal samhandle har mange ulike systemer av forskjellig
teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde,
for eksempel operativsystem/programvare, hvilket pasientjournalsystem
brukes, maskinvare, systemversjon osv. Det er også uklart om alle
aktørene ønsker å benytte mulighetene for tilgang på tvers.
Leverandørene har for nye versjoner implementert betydelig forbedrede
tilgangskontroller for intern bruk som vil bli videreført i de tilgangskontroller som
må designes for tilgang på tvers. I tillegg kommer blant annet utvikling
av loggfunksjoner og strukturering av journalen
De teknologiske utfordringene med elektronisk kommunikasjon og
tilgang til helseopplysninger vil i hovedsak være like for intern
tilgang til helseopplysninger som tilgang til ekstern virksomhet.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I
forbindelse med at Stortinget nå har saken til behandling har Helse-
og omsorgskomiteen mottatt vedlagte brev fra Allmennlegeforeningen
datert 13/5-09.1 brevet reises en rekke problemstillinger overfor
komiteen, der Allmennlegeforeningen etterlyser vurderinger av ulike
forhold knyttet til de foreslåtte lovendringene. Undertegnede ber
om departementets vurdering av de spørsmålene og problemstillingene
som reises i brevet fra Allmennlegeforeningen til Stortingets Helse-
og omsorgskomité.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I
forbindelse med at Stortinget nå har saken til behandling har Helse-
og omsorgskomiteen mottatt vedlagte brev fra Den norske Legeforening.
I brevet reises en rekke problemstillinger overfor komiteen, der
Legeforeningen etterlyser vurderinger av 18 ulike forhold knyttet
til de foreslåtte lovendringene. Undertegnede ber om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra legeforeningen til Stortingets Helse- og omsorgskomité.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I
forbindelse med at Stortinget nå har saken til behandling har Helse-
og omsorgskomiteen mottatt vedlagte brev fra FFO datert 14/5-09.1
brevet reises en rekke problemstillinger overfor komiteen, der FFO
etterlyser vurderinger av ulike forhold knyttet til de foreslåtte
lovendringene. Undertegnede ber om departementets vurdering av de
spørsmålene og problemstillingene som reises i brevet fra FFO til Stortingets
Helse- og omsorgskomité.
Funksjonshemmedes Fellesorganisasjon viser til overnevnte Ot.prp.
og vil gi noen merknader til komiteen om saken.
Helse- og omsorgsdepartementet ønsker gjennom forslagene i Ot.prp.nr.51
(2008-2009), å gjøre endringer i lovverket slik at det kan åpnes
for elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrenser
innen helsetjenesten. Dette for å sikre nødvendig helsehjelp og
understøtte samhandling i helsetjenesten.
FFO vil innledningsvis si at vi støtter et system med mulighet
for at pasientopplysninger kan gjøres tilgjengelig på tvers av virksomhetsgrenser,
men vi støtter ikke endringer som innebærer mulighet for vide elektroniske
tilgangsrettigheter til journalopplysninger på tvers av virksomheter
slik lovforslaget åpner for. FFO mener at direkte elektronisk tilgang
til journalopplysninger på tvers av virksomheter kun skal kunne
gis gjennom en kjernejournal samt gjennom elektronisk meldingsutveksling.
FFO ber komiteen etterlyse en redegjørelse
og dokumentasjon fra HOD om hvilket behov det er for å tillate vide
tilgangsrettigheter til pasientopplysninger på tvers av virksomheter
slik som det legges opp til i lovforslaget.
FFO ber komiteen etterspørre HODs begrunnelse for hvorfor
vide tilgangsrettigheter til journalopplysninger på tvers av virksomhetsgrenser
er hensiktsmessig i en akuttsituasjon.
FFO be komiteen etterspørre en redegjørelse for hvordan
de skal kunne sikre at sensitive pasientopplysninger ikke spres,
ved at det åpnes for vide tilgangsrettigheter til EPJ på tvers av
virksomheter.
FFO ber komiteen etterlyse en grundig redegjørelse fra HOD
om hvordan en kan sikre at personvernet blir tilstrekkelig ivaretatt
ved at opplysninger i EPJ gjøres tilgjengelig på tvers av virksomheter,
særlig tatt i betraktning når tilsyn viser at dette ikke engang
er tilstrekkelig ivaretatt internt i mange helseforetak.
FFO ber komiteen etterlyse en redegjørelse for hvorfor ikke
lovforslaget avgrenses til å bare å gjelde kjernejournal og elektronisk
meldingsutveksling.
FFO ber komiteen etterspørre en redegjørelse fra HOD om
hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes
klare kritikk av tilgangskontrollen og de manglende kontrollrutiner med
hvem som tilegner seg journalopplysninger og i hvilken hensikt.
FFO vil be komiteen etterlyse en grundigere vurdering av
de økonomiske og teknologiske utfordringene lovforslaget vil innebære,
enn det som framgår av lovforslaget.
FFO oppfordrer komiteen til å be HOD gi Stortinget en grundig
redegjørelse gjennom å besvare de overnevnte spørsmål før komiteen
realitetsbehandler lovforslaget
Datatilsynet og Statens helsetilsyn har gjennomført tilsyn med
helseforetakene om sikkerhet rundt elektroniske pasientjournaler,
og har avdekket at sikkerhetsrutinene i mange tilfeller er altfor
dårlig. Det viser seg at helsepersonell og andre ansatte har gjennomgående
for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske
pasientjournalen. I tillegg er kontrollen med hvilke opplysninger
de ansatte tilegner seg for svak.
Det å åpne lovverket for en elektronisk tilgang til journalopplysninger
på tvers av virksomhetsgrensene forutsetter en god tilgangsstyring,
og oversikt over hvem som tilegner seg opplysninger slik at de journalopplysninger
som gjøres tilgjengelig bare gis til de som har behov for det, og
at opplysningene har relevans for behandlingen.
Erfaringene viser at sikkerhetsrutinene rundt elektroniske journaler
ikke ivaretas på en betryggende måte internt i den enkelte virksomheter
i dag. Dette gjør at en tilgang på tvers av virksomheter kan utgjøre
en risiko for at sensitive pasientopplysninger kan flyte fritt mellom
virksomheter. Mange helseforetak har ikke journaler som angir noe
strukturert skille mellom sensitive og ikke sensitive opplysninger
i EPJ, dette øker faren for at uvedkommende kan få tilgang til sensitiv
informasjon som de absolutt ikke burde ha. Dette mener FFO svekker
personvernet i betydelig grad.
Taushetsplikten i helsepersonelloven er en personlig plikt som
er sterkt forankret hos helsepersonell og som er viktig for at sensitive
pasientopplysninger ikke gis til andre enn de som har et klart tjenestelig behov.
Erfaringer viser imidlertid at den personlige taushetsplikten ikke
er tilstrekkelig som styringsverktøy for å forhindre at sensitiv
informasjon ikke gjøres tilgjengelig for de som ikke burde få tilgang
til slike opplysninger. Med vide tilgangsrettigheter og svake kontrollrutiner
i virksomhetene vil ikke taushetsplikten være et sterkt nok vern
for at opplysninger ikke tilkommer uvedkommende. I tillegg til taushetsplikten
er det nødvendig å ha systemiske begrensninger som i størst mulig
grad kan hindre urettmessige oppslag.
Departementet har etter FFOs oppfatning ikke i tilstrekkelig
grad tatt hensyn til den faren den svake tilgangstyringen og de
manglende kontrollrutiner er for personvernet. FFO vil sitere Statens
helsetilsyn som skriver:
"Nevnte tilsyn med tilgang til EPJ innenfor virksomhetene
taler ikke for utvidelse av tilgangsrettigheter."
Siden tilsynet har påpekt de vide tilgangsrettighetene som en
klar svekkelse av personvernet, er FFO undrende til at departementet
tillegger konklusjonen i tilsynsrapportene fra Statens helsetilsyn
og Datatilsynet så liten vekt. Etter FFOs oppfatning burde disse
tilsynsrapportene dannet grunnlag for utarbeidelse av strategier
for hvordan sikre god tilgangsstyring og kontrollrutiner internt
i virksomhetene, før en åpner for vide tilgangsrettigheter på tvers
av virksomheter.
Forslaget til endringer i lovverket åpner etter FFOs oppfatning
for vide tilgangsrettigheter til journalopplysninger på tvers av
virksomheter. FFO mener at man isteden for å åpne for vide tilgangsrettigheter
må lage løsninger som siden gir tilgang til en avgrenset kjernejournal,
hvor bare de mest nødvendige opplysninger om pasienten er tilgjengelig,
slik som medisinbruk og allergier og lignende. Det er slike kjerneopplysninger
som er nødvendig og tilstrekkelig å ha i en akuttsituasjon for å
yte nødvendig helsehjelp. Erfaringer fra Skottland som har hatt
et system med kjernejournal i tre år, har vist at dette gir svært
god funksjonalitet. FFO er derfor forundret over at HOD ikke redegjør
nærmere for et kjernejournalsystem som vil kunne ivareta både hensynet
til behovet for nødvendig tilgang til vitale opplysninger og et
godt personvern.
FFO vil be komiteen medvirke til at HOD gir en grundig redegjørelse
for hvorfor ikke kjernejournal legges som ramme og avgrensning for
utveksling av nødvendige opplysninger på tvers av virksomheter i helsetjenesten.
En pasientjournal hvor opplysningene ikke kategorisert, systematisert
og avgrenset, vil ikke være et godt verktøy i en akuttsituasjon.
Helsepersonell som behandler pasienten vil måtte lete etter relevante kjerneopplysninger
om pasienten. Slike usystematiserte journaler kan være mer til skade
enn til gagn i en akuttsituasjon.
FFO mener derfor at et system med kjernejournal med de mest vitale
opplysninger om pasienten er kun det som trengs av opplysninger
for gi nødvendig helsehjelp i en akuttsituasjon.
Det kan allikevel være viktige journalopplysninger som ikke framgår
av kjernejournalen, og som kan være nødvendig i en behandlingssituasjon.
Slike opplysninger bør også kunne gjøres elektronisk tilgjengelig
på tvers av virksomheter. Elektronisk meldingsutveksling hvor en
har god tilgangskontroll mener FFO vil være et godt alternativ for
slikt formål av. Potensialet for elektronisk meldingsutveksling
er ikke tilstrekkelig utnyttet i helsetjenesten, og FFO mener at
det vil kunne være et egnet system, som også vil ivareta viktige
personvernhensyn.
FFO mener at HOD ikke i nødvendig grad drøfter de økonomiske
og teknologiske utfordringene som en implementering av lovverket
vil innebære for virksomhetene. Slik det fremgår av Ot.prp.nr.51
skal tilpasning av krav etc gjøres innen for de til enhver tid gjeldende
økonomiske rammer for virksomhetene. FFO mener at departementet
i denne sammenheng undervurderer kostnadene ved en slik implementering
og vil be komiteen etterlyse grundigere analyser av disse forhold
enn det som går fram av lovforslaget.
FFO støtter ikke forslaget om å gjøre EPJ tilgjengelig på tvers
av virksomhetsgrenser uten at det etableres innenfor rammene av
en samtykkebasert kjernejournal hvor pasient og helsepersonell i
fellesskap har blitt enig i hvilke opplysninger som skal fremgå av
journalen. Slik FFO ser det vil en kjernejournal dekke behovet for
vitale opplysninger som er nødvendig i en akuttsituasjon. Ytterligere
behov for journalopplysninger kan utveksles gjennom elektronisk meldingssystem.
FFO vil med dette anmode komiteen om å medvirke til at HOD redegjør
for Stortinget på egnet måte, de spørsmål som FFO har reist i denne merknaden.
Vi henvender oss til Stortingets Helse- og omsorgskomite for
å gjøre oppmerksom på vår bekymring for at de foreslåtte lovendringer
vil svekke personvern og vanskeliggjøre eller forsinke utvikling
av helse-IKT som bidrag til trygge og effektive tjenester.
Vi vil særlig fremheve:
Det er helt nødvendig å ha fokus på
de grunnleggende elementene i elektronisk kommunikasjon i helsetjenesten,
slik at manikke får energi- og ressurslekkasjer
fra det viktige fundamentale arbeidet med målrettet meldingsutveksling
mellom helsevirksomheter - hvor mye arbeid dessverre fortsatt gjenstår-
over i prestisjeprosjekter med enda høyere kompleksitet og stor
risiko.
Vi opplever ikke at det er redegjort i tilstrekkelig grad
for hvilken nytte behandlere vil ha av elektronisk virksomhetsøvergripende
tilgang målt opp mot de omfattende kostnader og den usikre nytte
som ligger i et slikt prosjekt.
Man signaliserer slik vi leser det også et behov for et
personidentifiserbart register som skal kartlegge alle bevegelser
for alle brukere av helsetjenester i helse-Norge. Dette fremstår
som en teknisk betingelse for tversgående tilgang men reiser omfattende
personvernmessige utfordringer.
AF anser at elektronisk tilgang til behandlingsrettede helseregistre
på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende
behandlingsrettede helseregistre er teknisk prematurt, personvernmessig
svært uheldig, og feil signal til både helsetjenesten og befolkningen i
dagens situasjon.
Formålet med lovforslagene er å fjerne regelverksmessige hindre
for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten.
Regelverket skal understøtte kvalitet på pasientbehandling samtidig
som man ivaretar personvern og pasientens rettigheter. Vi oppfatter
at dette søkes oppnådd ved å utvikle et elektronisk system for innhenting
av journalinformasjon fra andre virksomheter i helsetjenesten basert
på automatiserte elektronisk samtykke ved hjelp av sertifikatgodkjenninger,
samt effektive systemer for tagangslagging og rapportering.
Høringsnotatet var omfattende og det er åpenbart behov for en
grundig juridisk gjennomgang av mulige følger av de foreslåtte reguleringer.
På et overordnet nivå er det liten tvil om at den foreslåtte tilgang på
tvers av virksomheter reiser store utfordringer i forhold til personvern
og taushetsplikt Vi registrerer at det for departementet også tydeligvis
fortonte seg som svært krevende prosesser, i det man på høringsnotatets
s. 5 uttaler: "Videre har det vært ønskelig
å omtale pasientjournalen ag forholdet til forskning, kvalitetsutvikling
og kvalitetsregistre. Departementet har ikke tatt mål av seg å dekke
og løse alle utfordringer i dette høringsnotatet og flere av temaene
er derfor bevisst ikke omtalt."
Dette er et vanskelig standpunkt fordi de lovendringer man her
legger til grunn åpenbart vil ha overslagseffekt i forhold til å
utvikle eventuelle virksomhetsovergripende personentydige helseregistre
med detformål å følge pasienters forløp
i helsetjenesten over lengre tid. Vi minner om Stortingets inntil
nå klare holdning om at et hvert forslag til et nytt helseregister
skal fremlegges for Stortinget. Deler av det som nå er lagt frem
i otprp. 51 kan oppfattes som en omkamp på dette prinsippet, og
en åpning for ytterligere tempo i uthuling av personvernet uten
at nytte er godt beskrevet..
Vi finner i denne sammenheng grunn til å minne om et konkret
historisk eksempel på at et omfattende register og tilgang på tvers
ville vært en fare for folkehelsen, nemlig hiv-epidemien:
For snart 25 år siden var helsemyndighetene villige til å underordne
behovet for eksakt registerinformasjon behovet for en tillitsfull
dialog med risikoutsatte grupper for å kunne arbeide effektivt med
forebygging. Det å bl.a, velge bort nominativ melding og frasi seg
muligheten til å følge de enkelte pasientforløp eller drive aggressiv
smitteoppsporing, slik man i og for seg like godt kunne ha valgt
med henvisning til sunnhetsloven og lov om åtgjerder mot kjønnssjukdommer,
viste seg å gi en betydelig folkehelsegevinst.
Vekt på personvern, menneskerettigheter, felles forståelse og
tillit ble virkemiddelet for en i internasjonal målestokk meget
vellykket begrensning av HIV-smittespredning i Norge. Man betalte
en svært lav pris for dette, nemlig dårligere oversikt over hvem
som var smittet.
Vi er i tvil om den rådende ånd i den sentrale helseforvaltning
i dag ville ha gitt oss denne suksessen, etter mange år med "sliding
slope" i personverntenkningen.
Det som nå kommuniseres om balansen mellom personvern på den
ene side og antatt tryggere og mer effektive tjenester på den annen
side er det mange allmennleger som for 15-25 år siden aldri ville
ha trodd kunne bli utviklingen. Det som i realiteten kan kalles et
paradigmeskifte kommer gradvis - og det er farlig.
Virksomhetsovergripende elektronisk tilgang vil ikke være teknisk
mulig før målrettet meldingsutveksling er på plass.
AF vil også understreke at det er helt nødvendig å ha fokus på
å få de grunnleggende elementene i elektronisk kommunikasjon til
å fungere i helsetjenesten, slik at man ikke får energi- og ressurslekkasjer
fra det viktige fundamentale arbeidet hvor mye fortsatt gjenstår.
Vi er langt bakpå med å realisere effektiv målrettet meldingsutveksling
mellom elektroniske pasientjournalsystemer av de mest nødvendige typer.
Vi nevner her spesielt henvisninger, epikriser, laboratorie- og
røntgensvar, og meldingsbasert kommunikasjon mellom behandlere knyttet
til oppfølging av enkeltpasienter, hvor et system for elektroniske opplysninger
om fast medisin hos brukere av pleie- og omsorgstjenester er det
mest akutte behov. (Dette kan for øvrig vurderes løst ved endringer
i e-resept-formidler løsningen, samt entydig avklaring av ansvar
og myndighet til å fåstsette hva som er rett medisinliste for den
enkelte pasient Fastlegeforskriften gir fastlegene en plikt til
å ta dette ansvaret, mens ansvaret for kommunikasjonsløsningen ligger
på myndighetsnivået)
Det ikke er redegjort i tilstrekkelig grad for hvilken nytte
man kan ha av virksomhetsovergripende elektronisk tilgang målt opp
mot de omfattende kostnader som ligger i slike prosjekter og risikoen
for avsporing av det helt sentrale med et velfungerende helsenett
med standardisert meldingsutveksling, og ikke minst et funksjonelt
"Helsetjenestens elektroniske adresseregister" (HER). Et slikt register
er dessverre fortsatt ikke tilgjengelig med virksomhetsinformasjon
og brukergrensesnitt i behandleres elektroniske pasientjournaler.
Det er etter hvert mange år siden "HER" ble lansert som en "ferdig
løsning"
Med henvisning til Høringsnotatets kapittel 5.2 på side 17 første
avsnitt vil vi bemerke at mange av de hensyn man her skisserer best
ivaretas ved oversendelse av epikrise eller behandlingsnotater over Helsenettet
og at tversgående tilgang ikke bør være nødvendig for å løse denne
type oppgaver. Da bør heller ikke tversgående tilgang foreslåes.
Skal alle "bomring-passeringer" i helsetjenesten for hver enkelt
av oss inn i et eget register?
Vi vil bemerke at man i kapittel 7 i høringsnotatet syntes å
foreslå et landsomfattende kontaktoversiktsregister som man antar
vil være nødvendig for at man ved elektronisk tilgang til andre
virksomheters journaldatabaser skal kunne få den nyeste informasjon
om pasienten. Vi forstår dette dit hen at man må etablere en kontaktoversiktsdatabase
hvor man skal kunne søke seg automatisk frem til hvor pasienten sist
var i kontakt med helsetjenesten. Det er vanskelig å se at elektronisk
tilgang på tvers skal være mulig uten et slikt register.
Vi ser da for oss et register hvor man personidentifiserbart
vil kartlegge alle bevegelser for alle brukere av helsetjenester
i helse-Norge. Vi minner om de betydelige diskusjoner vi har hatt
knyttet til logging av bomringpasseringer med bil i Norge og anser
at utfordringene knyttet til personvern, og behovet for en klar
reservasjonsrett for den enkelte pasient her må drøftes grundig
hvis man i det hele tatt ønsker ågå inn på denne type kontaktoversiktsregistre,
Vi vil også her for øvrig minne om at utviklings- og driftskostnader
av et system som dette, hvis det skal bli driftssikkert og stabilt
og nyttig for helsetjenesten, vil være omfattende og må veies i
forhold til andre og mer påkrevde prioriteter i utviklingen av elektronisk samhandling
i helsetjenesten.
Særlig ona virksomhetsovergripende elektronisk tilgang til elektronisk
pasientjournal (EPJ) hos fastlegene.
Gjennomsnittlig varighet av de enkelte lege-pasientforhold i
Fastlegeordningen er ca 8 år og økende i flg, SSB. I fastlegenes
journaler samles store mengder sensitiv informasjon om den enkelte
borgers psykiske og fysiske helse. Allmennleger startet opp med EPJ
i stor stil for ca 25 år siden. Dette betyr at pr i dag vil de aller
fleste nordmenn ha lagret omfattende helseinformasjon om lange livsløp
elektronisk hos sin fastlege. Informasjonen er lagret kronologisk
i tråd med tradisjonelle standarder for journalskrivning og lar
seg ikke sortere eller kategorisere etter "viktighet", "sensitivitet?'
eller andre akser.
Journalforskriftens krav til hva en journal skal inneholde når
nødvendig og relevant er betydelige og sier noe om informasjonstilfanget
som finnes. Det vises i denne forbindelse til forskrift om pasientjournals
§ 8 som lyder slik:
§ 8. (Krav til journalens innhold)
Pasientjournalen skal inneholde følgende opplysninger dersom
de er relevante og nødvendige:
a) Tilstrekkelige
opplysninger til å kunne identifisere og kontakte pasienten, blant
annet pasientens navn, adresse, bostedskommune, fødselsnummer, telefonnummer,
sivilstand og yrke.
b) Opplysninger om hvem som er pasientens
nærmeste pårørende, jf, pasientrettighetsloven § 1-3 bokstav b og
lov om psykisk helsevern § I-3, og hvordan vedkommende om nødvendig
kan kontaktes,
c) Dersom pasienten ikke har samtykkekompetanse, skal
det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasientrettighetsloven
kapittel 4.
d) Når og hvordan helsehjelp er gitt,
for eksempel i forbindelse med ordinær konsultasjon, telefonkontakt,
sykebesøk eller opphold i helseinstitusjon. Dato for innleggelse
og utskriving.
e) Bakgrunnen for helsehjelpen, opplysninger
om pasientens sykehistorie, og opplysninger om pågående behandling.
Beskrivelse av pasientens tilstand, herunder status ved innleggelse
og utskriving.
f) Foreløpig diagnose, observasjoner,
funn, undersøkelser, diagnose, behandling, pleie og annen oppfølgning
som settes iverk og resultatet av dette. Plan eller avtale om videre
oppfølgning.
g) Opplysninger som nevnt i § 6 fjerde
ledd.
h) Overveielser som har ledet til tiltak
som fraviker fra gjeldende retningslinjer.
i) Om det er gitt råd og informasjon
til pasient og pårørende, og hovedinnholdet i dette, jf. pasientrettighetsloven
§ 3-2, Pasientens eventuelle reservasjon mot å motta informasjon.
j) Om pasienten har samtykket til eller
motsatt seg nærmere angitt helsehjelp. Pasientens alvorlige overbevisning
eller vegring mot helsehjelp, jf pasientrettighetsloven § 4-9. Pasientens
samtykke eller reservasjon vedrørende informasjonsbehandling Pasientens
øvrige reservasjoner, krav eller forutsetninger.
k) Om det er gjort gjeldende rettigheter
som innsyn i journal og krav om retting og sletting, utfallet av
dette, ved avslag at pasienten er gjort kjent med klageadgangen,
og eventuell klage i slik sak
l) Utveksling av informasjon med annet
helsepersonell, for eksempel henvisninger, epikriser, innleggelsebegjæringer,
resultater fra rekvirerte undersøkelser, attestkopier m.m.
m) Pasientens faste lege. Det helsepersonell
som har begjært innleggelse eller har henvist pasienten.
n) Individuell plan etter spesialisthelsetjenesteloven
§ 2-5, psykisk helsevernloven § 4-1 eller kommunehelsetjenesteloven
§ 6-2a.
o) Sykmeldinger og attester.
p) Uttalelser om pasienten, for eksempel
sakkyndige uttalelser.
q) Om det er gitt opplysninger til
politi, barneverntjenesten, sosialtjenesten mv., og om samtykke
er innhentet fra pasienten eller den som har kompetanse til å avgi
samtykke i saken. Det skal angis hvilke opplysninger som er gitt.
r) Tvangsinnleggelser, annen bruk av
tvang, det faktiske og rettslige grunnlaget for slik tvang og eventuelle
kontrollkommisjonsvedtak, jf. lov om psykisk helsevern.
s) En faglig begrunnelse i de tilfellene
legen har reservert seg mot apotekets generiske bytterett.
Arbeidsdokumenter, pasientens egendokumentasjon,
røntgenbilder, video- og lydopptak mv. er å anse som del av journalen
inntil nødvendig informasjon er nedtegnet på forsvarlig måte.
Andre opplysninger enn de som er nevnt i
første og andre ledd skal tas inn i journalen i den utstrekning
de er relevante og nødvendige.
Det forekommer oss som en svært vanskelig tanke at vi heretter
eventuelt skulle måtte informere våre pasienter om at denne type
informasjon, allerede i dag samlet over inntil 25 år for den enkelte
person skal være tilgjengelig for kanskje 150.000 helsearbeidere
når man måtte "finne det nødvendig". Som fastleger ville vi måtte
vurdere en plakat på venteværelset med svært tydelig informasjon
om risiko for informasjonsspredning og reservasjonsmuligheter.
Vi ville dessverre også måtte gjøre pasientene oppmerksomme på
muligheten for å la være å tillitsfullt informere sin behandler
om livets aller vanskeligste ting, fordi man ikke lenger kan love
at "det blir hos meg."
I forbindelse med komiteens behandling avovennevnte
odelstingsproposisjon, ønsker Legeforeningen å sette søkelys på
en del spørsmål og problemstillinger knyttet til det forslag som
foreligger.
Det har de siste årene blitt vedtatt en rekke lovendringer som
til sammen har ført til en utvanning av taushetsplikten. Personvernhensyn
har gjennomgående måtte vike for de enkeltes tiltaks gode formål, og
Legeforeningen etterlyser en kritisk tilnærming og helhetstekning
fra offentlig forvaltning og helsepolitikerens side. Det foreliggende
lovendringsforslag representerer det mest inngripende tiltak i forhold
til taushetsplikt og personvern og uten at det er foretatt en vurdering
av behov og andre alternative og mer målrettede tiltak. Legeforeningen
etterlyser vurderinger av:
Konsekvensanalyser
av forslaget i forhold til personvernet og tilliten til at taushetsplikten
Hvordan Personernkommisjonen advarsel
i NOU 2009:1 kapittel 16, vil bli ivaretatt
Hvordan det kan sikres at sykehusansattes
tilgang til journal hos fastlege begrenses til det som er relevant
og nødvendig informasjon, dvs uten tilgang til øvrige deler av journalen
Hvor store endringer/investeringer
dette vil innebære i forhold til dagens journalsystemer
Hvor store endringer dette vil innebære
i forhold til praksis med hensyn til fortløpende nedtegning av journalopplysninger
Hva som skal være kriteriet for å få
tilgang til f eks en journal hos fastlegen og hvordan slik tilgang
skal begrenses i personkrets og innhold
Hvordan befolkningen og pasientene
skal opplyses om hvem som har tilgang til journalen og på hvilket
grunnlag
Hvordan befolkningen og pasientene
skal kunne reservere seg mot at andre enn den som har mottatt opplysninger
senere skal ha tilgang til disse opplysninger
Fordeler og ulemper med forslaget om
å åpne for fri tilgang til pasientjournaler - sammenliknet med fordeler
og ulemper med å fortsette utviklingsarbeidet når det gjelder bruk
av målrettede meldinger fra behandler over helsenett, ev i kombinasjon
med bruk av kjernejournal
Konsekvenser av forslaget for den alminnelige tillit
til helsetjenesten
Det er avgjørende for å kunne gi god helsehjelp at befolkningen
trygt kan oppsøke helsetjenesten for helsehjelp og trygt kan gi
opplysninger uten risiko for at de videreformidles.
Legeforeningen har allerede registrert en økende skepsis fra
deler av befolkningen til å gi sensitive opplysninger, blant annet
ved krav om at leger unnlater å dokumentere opplysninger som er
gitt. Vi antar at denne skepsis vil spre seg dersom pasienten mister
all kontroll med tilgang til pasientopplysninger, uansett hvilke
opplysninger det gjelder.
Helsetilsynet og Datatilsynet har påpekt store mangler ved informasjonssikkerheten
og tilgangskontrollen internt i virksomhetene. Ved tilgang fra eksterne
virksomheter øker antallet potensielle brukere av pasientinormasjonen
drastisk, og dermed faren for økt spredning av sensitiv informasjon.
Legeforeningen etterlyser vurderinger av:
Hvordan tilgangskontroll
og informasjonssikkerhet rent faktisk kan ivaretas med dagens teknologi?
Virkninger og forskjellen på utlevering
og direkte tilgang, når man ved direkte tilgang ikke får målrettet
informasjon basert på en bestilling, men må gå igjennom store deler
av journalen for å finne det som er nødvendig og relevant?
Om det er juridisk holdbart at en eventuell
tilgang hjemles ved avtaler mellom helseforetak og ikke lov. Dvs
at de nærmere vilkårene for tilgang ikke blir fastsatt av lovgiver,
men det enkelte helseforetak
Departementet forutsetter at krav til avgrensning og strukturering
av pasientjournalen bidrar til at man bare får tilgang til nødvendige
opplysninger. Slik strukturering foreligger ikke i dag, og vil kreve
omfattende ressurser. Legeforeningen etterlyser vurderinger av:
Om loven kan
vedtas når avgjørende forutsetninger ikke foreligger
Om det er akseptabelt at tilgang på
tvers gis inntil denne og andre forutsetninger foreligger, men faren
for at sensitive opplysninger spres til den om ikke har tjenstlig
behov
Legeforeningen mener det kan være gode grunner til å utrede nærmere
en ordning med såkalt kjernejournal, dvs en journal med et begrenset
utdrag av behandlingsinformasjon. Legeforeningen etterlyser vurderinger
av:
Om Stortingets
rolle i saken: om den skal vedta hjemmel før utredninger som allerede
er satt i gang av departementet vedrørende behov, konsekvenser for
personvernet, økonomi, innhold andre forhold er ferdigstilt
Om Stortinget skal vedta forskriften
som etablerer en eventuell kjernejournal, enten den er lokal, regional
eller sentral
Forholdet mellom flertallsregjeringen
og Stortinget i spørsmål av særlig betydning for befolkningen, som
personvernsspørsmål
Oslo, i helse- og omsorgskomiteen, den 4. juni 2009
| Harald T. Nesvik |
Olav Gunnar Ballo |
| leder |
ordfører |