Stortinget - Møte tirsdag den 6. februar 2007 kl. 10

Dato: 06.02.2007

Sak nr. 2

Interpellasjon fra representanten Inge Lønning til helse- og omsorgsministeren:
«Pasientjournaler inneholder sensitive helseopplysninger om den enkelte pasient. Opplysningene er underlagt strenge regler for taushetsplikt av hensyn til personvernet. I høringen om Ot.prp. nr. 49 (2005-2006) fremkom det opplysninger om at pasientjournalene var lett tilgjengelige i sykehus, også for personer som ikke hadde behov for disse opplysningene i behandlingen av pasienten. Det fremgår også av NOU 2006:5 Norsk helsearkiv – siste stopp for pasientjournalene at en rekke pasientjournaler til enhver tid er på avveie. Utvikling av elektroniske pasientjournaler (EPJ) vil både gi muligheter for bedre beskyttelse av taushetsbelagt informasjon og samtidig reise nye problemstillinger eksempelvis knyttet til hvem som skal få tilgang til EPJ.
Hva gjør statsråden for å sikre en bedre ivaretakelse av pasientenes personvern gjennom en sikker oppbevaring av pasientjournaler?»

Talere

Inge Lønning (H) [11:34:25]: Pasientjournalen er et bokstavelig talt livsviktig hjelpemiddel i helsevesenets arbeid. Derfor er det grunn til å understreke at innfallsvinkelen med denne interpellasjonen ikke primært er å peke på alle de farer og problemer som knytter seg til lagring av sensitiv informasjon. Det dreier seg i like høy grad om å sikre systemer og arbeidsrutiner som kan garantere at informasjonen er tilgjengelig på det nødvendige tidspunkt og på det riktige sted.

Det finnes ganske mange undersøkelser som dreier seg om feilbehandling og uhell i spesialisthelsetjenesten. Hvis man regner ut fra de tall man opererer med i internasjonal forskning, dreier dette seg om mange tusen tilfeller årlig i norske sykehus. Hvor stor andel av disse uhellene og feilbehandlingene som skyldes mangelfullt informasjonsgrunnlag for dem som iverksetter behandlingstiltak, vet vi ikke sikkert, men det er grunn til å anta at en ikke ubetydelig andel henger sammen med at den nødvendige informasjon ikke er tilgjengelig på det kritiske tidspunkt og på det sted hvor den skulle ha vært tilgjengelig.

I et moderne høyspesialisert helsevesen er det langt flere kategorier av personale som kommer i inngrep med den enkelte pasient, enn det var før. Slik sykehusvirksomheten er organisert, vil det også være langt større utskiftning av personale til enhver tid, noe som gjør at det blir flere og flere som har behov for å få tilgang til den informasjon som er lagret underveis i et pasientforløp.

Overgangen fra papir til elektronikk innebærer selvfølgelig mange tekniske fordeler. Det gjør det langt enklere å lagre store mengder av informasjon enn det var før, og det gjør det fremfor alt enormt mye enklere å transportere informasjonen raskt og effektivt. Det skaper også helt nye muligheter for å transportere informasjon mellom sykehus i ulike landsdeler. Når det gjelder kvaliteten på pasientbehandlingen, er naturligvis alt dette et fremskritt. Samtidig har disse tekniske fremskritt, i likhet med alle andre tekniske fremskritt, også en bakside: Muligheten for misbruk vil også øke. Jo mer informasjon som lagres om den enkelte pasient, desto større er også mulighetene for misbruk dersom informasjonen havner andre steder enn den skulle.

Vi har hatt en del tilfeller som har skapt medieoppslag i løpet av det siste året. Jeg skal bare nevne noen overskrifter. Aftenposten skrev i mai 2004 under overskriften «Ansatte snoker i pasientjournaler» om tilfeller som gjaldt Universitetssykehuset i Nord-Norge. Direktøren ved universitetssykehuset, Knut Schrøder, uttalte seg meget klart og tydelig om at problemet hadde et betydelig omfang, og at han hadde iverksatt nye rutiner og tiltak ved sykehuset for å sikre seg mot fremtidig misbruk fra de ansattes side.

I Helserevyen var det et oppslag i mai i fjor under overskriften «For enkelt å snoke i pasientjournaler i Bergen». Det refererer seg til en sak hvor Datatilsynet, det lokale helsetilsynet i Hordaland og Statens Helsetilsyn i fellesskap avgav en meget kritisk rapport til Helse Bergen, hvor de pekte på flere alvorlige feil og mangler. Det ble påpekt at de elektroniske pasientjournalene ikke er forsvarlig vernet mot innsyn fra ansatte som ikke har legitimt behov for opplysningene. Det ble påpekt at systemet med etterkontroll av hvem som har vært inne og slått opp i en pasientjournal, ikke er tilstrekkelig. Det ble påpekt at etterkontrollen heller ikke kan erstatte en avgrensning av tilgang på forhånd i forhold til personale som ikke skulle ha slik tilgang.

Det ble videre påpekt til sist i rapporten:

«Det er grunn til å anta at slike problemer også finnes i andre helseforetak fordi den dårlige sikringen av taushetsbelagte opplysninger er knyttet til oppbyggingen av datasystemene, som er dårlig tilpasset en organisering der helsepersonell arbeider på tvers av post, seksjon og avdeling.»

Senest i forrige måned hadde vi nyhetsoppslag i mediene om lignende problemer knyttet til Ahus.

Det er grunn til å tro at de nyhetsoppslagene som når mediene, bare er å ligne med toppen av isfjellet. Jeg ser to store utfordringer. Den ene er å se til at de datasystemene, de tekniske løsningene som velges, er så sikre som mulig. Der vil rimeligvis det enkelte helseforetak kunne tenkes å havne i en skvis mellom hensynet til kostnader, hva som er kostbare løsninger, og hva som er billigere tekniske løsninger. Men på dette området burde det være klart at det er nødvendig å bruke de ressursene som skal til, for å sikre seg de beste og sikreste tekniske løsningene. Dette kan ikke være et område for å spare penger.

Det andre er spørsmålet om personalet har klare nok retningslinjer, og om det er innarbeidet gode nok rutiner for å hindre at pasientopplysninger kommer på avveier.

Begge deler, både det å sikre optimale tekniske løsninger og det å sikre at personalet har klare instrukser, er i utpreget grad et ledelsesansvar. Mitt spørsmål til statsråden er om hun kan garantere at dette ledelsesansvaret virkelig blir tatt så alvorlig som det har krav på. Det vil si at de som sitter som ledere ved de enkelte sykehus og i de enkelte helseforetak, legger tilstrekkelig stor vekt på dette, både når de velger tekniske løsninger, og når de utdanner og etterutdanner de forskjellige kategorier av personale.

Det er nå engang slik at hele vårt store helseapparat hviler på en stilltiende tillitskontrakt mellom lege og pasient, og den tillitskontrakten består i at pasientene skal kunne stole 100 pst. på at de opplysninger pasienten gir fra seg, og de opplysninger legen fremskaffer gjennom helseundersøkelser, ikke blir brukt til noe annet enn det overordnede formål å sikre at pasienten får den best mulige behandling. Hvis det gjennom medieoppslag oppstår inntrykk av at det er en betydelig grad av usikkerhet forbundet med det å bli behandlet ved norske sykehus, er det helt åpenbart til skade for grunnforholdet mellom pasient og helsearbeidere. Derfor er det et særdeles viktig anliggende å sørge for at kvaliteten på behandlingen av pasientdata er så god som det overhodet er mulig å få den.

Statsråd Sylvia Brustad [11:44:17]:Representanten Lønning har bedt meg svare på hva jeg vil gjøre for å sikre at pasientens personvern blir bedre ivaretatt gjennom sikker oppbevaring av pasientjournaler. Dette er et viktig spørsmål, og den kartlegging som Helsearkivutvalget gjorde våren 2005, viser at pasientjournaler er på avveier til enhver tid. Det er selvfølgelig ikke bra.

I det siste har det, som også representanten Lønning var inne på, vært medieomtale av dårlig sikring av opplysninger i elektroniske pasientjournaler ved bl.a. Ahus. Tilsynet avdekket at det var for mange som hadde tilgang til opplysninger fra pasientjournaler, uten at de hadde et reelt behov for disse opplysningene. For ikke lenge siden kunne vi lese i media at pasientdokumentasjon lå slengt i en åpen container i Oslo. Det bekymrer også meg sterkt at slikt kan skje til tross for at vi har strenge regler både for taushetsplikt og oppbevaring og behandling av pasientopplysninger.

Det oppbevares enormt store mengder pasientjournaler i papir og elektronisk format ved norske sjukehus. For å gi et bilde av hva vi prater om, kan jeg opplyse at det ifølge Helsearkivutvalget befant seg 120 000 meter med pasientjournaler ved norske sjukehus våren 2005. Hvis man stilte disse journalene etter hverandre, ville de rekke fra Oslo til Lillehammer.

Mange av pasientjournalene som er kartlagt, inneholder opplysninger om personer som for lengst er døde. Det er viktig at også disse opplysningene håndteres på en forsvarlig måte. De skal sikres mot urettmessig innsyn, samtidig som en del av denne informasjonen skal bevares for senere forskning. Det sier seg sjøl at vi ikke kan oppbevare alt materiale som er produsert, og som vil bli produsert, for ettertida. Det er minst like viktig at den informasjonen som ikke skal bevares, blir destruert på en betryggende måte. Det vil jeg sørge for skjer i den videre oppfølging.

Det vil på dette området alltid være en vanskelig avveining mellom hensynet til at journaler må sikres mot innsyn fra annet helsepersonell og andre som ikke trenger opplysningene, og hensynet til at helsepersonell skal ha god og rask nok tilgang til pasientopplysninger for å hjelpe pasienten med en best mulig behandling. Det er en vanskelig avveining fordi det er vanskelig å tilgodese begge hensyn når det skal etableres raske og sikre systemer. Det er virksomhetene i spesialisthelsetjenesten som har plikt til å sørge for at journal- og informasjonssystemene i virksomhetene er forsvarlige og ivaretar de ulike hensynene, og jeg er enig med representanten Lønning i at dette er et ledelsesansvar.

Så litt nærmere om helsepersonellovens regler om taushetsplikt. Reglene skal sikre at bare de som har behov for opplysninger om pasienter i tjenesten, skal få tilgang til slike opplysninger. Helsepersonell har som kjent plikt til å bevare taushet om det de får vite om pasienten i egenskap av den jobben de har. Helsepersonell skal ikke bare være tause om forhold de får kjennskap til, de skal også aktivt hindre at andre får adgang til eller kjennskap til slike opplysninger. Det går klart fram av helsepersonelloven.

Reglene vi har, burde egentlig være gode og tydelige nok til å sørge for at det ikke skjer urettmessig innsyn i pasientinformasjon, men her er det vel slik, på dette området som det dessverre er på andre områder, at uansett hvor godt regelverket er, så er en helt avhengig av at regelverket overholdes. Det skjer dessverre ikke alltid.

Men regelverk kan også ha svakheter som viser seg underveis, både på grunn av at samfunnet endrer seg, og på grunn av den tekniske utviklinga. Et eksempel på en slik svakhet kan være at det ikke kommer uttrykkelig fram i dagens bestemmelser om taushetsplikt at det er forbudt å søke informasjon i pasientjournaler uten at det er tjenstlig behov for disse opplysningene. Det skal ikke være noen tvil om at det er forbudt å søke eller motta opplysninger om pasienter uten at det er nødvendig for den helsehjelpen som skal gis. Derfor vil jeg snarest mulig sende på høring et forslag om en tilføyelse i helsepersonelloven for å tette dette hullet.

Brudd på taushetsplikten kan som kjent straffes med fengsel eller med bøter. Etter helsepersonelloven er det også adgang til å gi administrative reaksjoner, som advarsel eller tilbakekall av autorisasjon. Jeg er av den oppfatning at en presisering i bestemmelsen om taushetsplikt, slik jeg nettopp har beskrevet, sannsynligvis er det tiltaket som vil være mest synlig for helsepersonell, og forhåpentligvis forebyggende i forhold til urettmessig tilgang til pasientopplysninger.

Så litt nærmere om selve pasientjournalsystemene. Uavhengig av om pasientjournaler føres på papir eller elektronisk, skal det selvfølgelig opprettes forsvarlige pasientjournalsystemer. Overgangen til elektroniske pasientjournaler de senere årene har gitt oss noen ekstra utfordringer, slik representanten Lønning også beskriver. Og det er all grunn til bekymring når rapporter fra tilsyn med helseforetak viser at altfor mange ansatte har tilgang til elektroniske pasientjournaler uten at de egentlig har behov for det.

Elektroniske pasientjournaler gjør det selvfølgelig lettere å skaffe seg opplysninger, fordi slike journaler er tilgjengelige for flere personer samtidig, uavhengig av hvor i sjukehuset en befinner seg. Det er klart at lett tilgjengelighet gjør at en raskt kan finne fram til nødvendig informasjon, som røntgen og prøvesvar mv., som er viktig for pasienten. Men samtidig som tilgangen skal være god nok, må en også teknisk sikre at journalene ikke blir utsatt for urettmessig tilgang, ved å etablere sperrer for dem som ikke skal ha tilgang. Her er det ingen tvil om at mange sjukehus ikke har kommet langt nok.

Det å kunne spore hvem som har vært inne i en journal, ved såkalt logging, er også en måte å forebygge urettmessig innsyn på. En slik lov vil også være et verktøy når en skal kontrollere hvem som har søkt informasjon i pasientjournalene. Jeg vil også følge opp den statlige strategien for elektronisk samarbeid i helse- og sosialsektoren, det såkalte Samspill 2007. På tampen av fjoråret utgav de regionale helseforetakene en felles utredning om elektronisk tilgang, utveksling og deling av pasientrettet informasjon mellom helseforetak og internt i foretakene. Hensynet til en samlet funksjonalitet i helsetjenesten tilsier at nødvendige helseopplysninger må være tilgjengelige for helsepersonell som skal yte helsehjelp til pasienten. Direktoratet har vurdert utredninga og tilbakemeldt at en bør se nærmere på mulige IT-løsninger som kan åpne for å kommunisere pasientinformasjon på en enklere måte enn i dag.

Sosial- og helsedirektoratet har også laget en norm for informasjonssikkerhet i helsesektoren. Denne normen skal supplere de lover, forskrifter og rundskriv vi allerede har, og skal være til hjelp for den enkelte virksomhets arbeid med informasjonssikkerhet. Videre har direktoratet sendt ut et rundskriv om tilgang til og utlevering av opplysninger i elektroniske pasientjournaler. Rundskrivet tydeliggjør hvilke krav lovverket stiller til taushetsbelagte helseopplysninger, og hvordan det skal håndteres i et elektronisk pasientsystem. Jeg tror rundskrivet kan være et godt hjelpemiddel og en god veiviser for dem som skal forholde seg til taushetsbelagte opplysninger. Jeg forutsetter at helsepersonell tar seg tid til å lese igjennom dette rundskrivet, og jeg skal selvfølgelig ta det opp med de regionale helseforetakene.

Jeg har også satt i verk tiltak direkte overfor foretakene tidligere. I foretaksmøtet i 2006 ble de regionale helseforetakene bedt om å sikre at det blir etablert en felles forståelse og strategi for risiko- og sårbarhetsanalyser innafor informasjon og kommunikasjonsteknologi. De ble også bedt om å sette i verk nødvendige tiltak for å bedre informasjonssikkerheten dersom det var behov for det. Jeg kommer om veldig kort tid, i foretaksmøtet for inneværende år, til å stille krav om at de regionale helseforetakene forserer utfasing av gammel teknologi og elektroniske pasientjournalsystemer som ikke fyller dagens behov. Dette ble også varslet i Nasjonal helseplan, som kom med statsbudsjettet for 2007.

Vi kommer også til å innføre en ordning med nasjonal godkjenning av standard for elektroniske pasientjournalsystemer, og leverandørene skal være forpliktet til å bruke denne standarden i systemene de leverer. I dag er det ikke noe krav til slike standarder.

Vi trenger også, slik vi ser det, felles informasjons- og kommunikasjonsløsninger som legger til rette for at aktørene i tjenesten skal ha tilgang til oppdatert informasjon i møte med bruker og pasient. Det kan bl.a. gjøres ved at vi oppretter en såkalt nasjonal kjernejournal. Det betyr at en har et utvalg av opplysninger med et spesielt formål som flere har tilgang til, og så kan det suppleres med de opplysninger som er nødvendige om helsetilstand og kontaktpersoner – altså at en deler opp opplysningene.

Til slutt vil jeg nevne at direktoratet og departementet nå kommer til å ha regionale samlinger hvor dette er tema, og både helseforetak og de private sjukehus blir invitert. Jeg mener det er viktig.

Det å foreslå et uttrykkelig forbud i helsepersonelloven mot urettmessig tilgang til pasientjournaler, å følge opp allerede iverksatt arbeid, å gjennomføre flere seminarer på området samt at annet informasjonsmateriell nå burde være ute – og vi skal bidra til at foretakene følger det ytterligere opp – håper vi kan være et godt bidrag til å sørge for at ingen skaffer seg urettmessig tilgang til pasientopplysninger.

Inge Lønning (H) [11:54:45]: Jeg takker statsråden for et utførlig og godt svar.

Jeg deler i hovedsak den oppfatning at dagens lovverk burde være dekkende, men vurderer det meget positivt at statsråden ønsker å presisere taushetsplikten. Det er svært viktig, som statsråden understreket, å få frem at taushetsplikten ikke bare er en plikt for den enkelte ansatte til ikke selv aktivt å misbruke eller lekke informasjon til uvedkommende, men at det også er en plikt til å gjøre det som er mulig for å hindre at andre misbruker opplysninger. Jeg tror kanskje dette er det aller viktigste punkt. For det vil vel i alle store virksomheter være slik at i hverdagslivet er man opptatt av å holde hjulene i gang, man er opptatt av å sørge for at alt det som skal skje, skjer, og det har lett for å bli slik at aktsomhetskrav som knytter seg til omgangen med sensitiv informasjon, går i glemmeboken. Det burde være en del av det nyansatte så å si får som kursing i samme øyeblikk de ansettes ved en sykehusinstitusjon, at det blir laget faste programmer som innskjerper dette, slik at ingen ansatt skal kunne være i tvil om hvilke forpliktelser som ligger i det taushetsløftet som man har undertegnet. Det tror jeg kanskje er det viktigste. Jeg er glad for at statsråden også understreket så sterkt at dette er og må være et ledelsesansvar, og at det ikke kan forankres noe annet sted enn hos den enkelte leder ved den enkelte sykehusinstitusjon.

Så finner jeg det også meget positivt at statsråden vil utarbeide en nasjonal standard når det gjelder de IT-løsningene som skal velges. Jeg ser også viktigheten av at man får til IT-løsninger som gjør at kommunikasjon på tvers av helseforetak blir mulig. Jeg vet at det i dag mangler svært mye på at det er tilfellet. Men jo mer man investerer i å gjøre kommunikasjonen så effektiv og smertefri som mulig, desto sterkere må man også understreke aktsomhetsplikten hos dem som skal håndtere maskinene.

Statsråd Sylvia Brustad [11:57:54]: Jeg oppfatter at interpellanten og undertegnede er enige om hva som er målet, og at vi må ha både et regelverk og – ikke minst – en praksis som gjør at regelverket overholdes. Så jeg vil følge opp det som nå er kommet fram, og det jeg har sagt.

Jeg synes også det er viktig å forsikre meg om at alle nyansatte i helsesektoren får ordentlig orientering om hvilket regelverk som faktisk gjelder.

Jorodd Asphjell (A) [11:58:48]: At pasientjournaler kommer på avveier, er et kjent problem – om det er elektroniske pasientjournaler, om det er pasientjournaler i papirform, eller hva det er. Mange regjeringer og statsråder har hatt muligheten til å gjøre noe med dette problemet. Derfor er jeg glad for at statsråd Sylvia Brustad har tatt tak i problemet og ser på hvordan en skal løse dette allerede i inneværende år.

På tross av at det finnes strenge regler for hvordan pasientopplysninger skal oppbevares og brukes, skjer det stadig brudd på de forskriftene som foreligger i dag. Hvorfor skal vi ha slike opplysninger oppbevart? Det er jo for at helsepersonell skal kunne gi en raskest mulig og best mulig diagnose og behandling av pasienter som kommer til behandling ved de enkelte institusjonene. Balansegangen mellom personvern på den ene siden og behovet for god behandling på den andre siden er vanskelig.

Statsråden varsler at det allerede i foretaksmøtet i 2007 vil bli stilt krav om at helseforetakene forserer utfasingen av gammel teknologi som ikke fyller dagens behov og krav. Jeg tror det er viktig at en ikke bare gjør det, men også at de ulike helseforetakene investerer og utvikler kanskje felles systemer, at det ikke blir en konkurranse mellom de enkelte foretak om hvem som er flinkest, men at en i fellesskap bruker den forskningen, den teknologien og den kunnskapen som foreligger, til å finne fram til best mulige løsninger. Det er viktig, slik som statsråden påpeker, at det må logges hvem som er inne i de enkelte pasientjournalene, for å se om de faktisk har noe der å gjøre. For det er ikke nok bare med strenge regler og krav; en må også kunne kontrollere hvem som er inne, og hvorfor de er inne. Har de behov for å gå inn på de enkelte journalene, eller er det andre ting de er ute etter med hensyn til å skaffe seg pasientinformasjon? Derfor tror jeg det må stilles krav om disse jevnlige kontrollene, uansett hvilken helseinstitusjon det er snakk om.

Som jeg sa, er avveininger mellom personvern og viktige og nødvendige helseopplysninger vanskelig. Istedenfor å begrense slik informasjon er det viktig at en iverksetter tiltak for å bedre sikkerheten rundt all pasientinformasjon, gjennom bl.a. det som statsråden påpeker i sitt svar, bedre informasjon til helsepersonell, utvikling av nye og bedre tekniske løsninger og å ha kontrollsystemer gjennom logging av dem som har vært inne på de enkelte journalene.

Det er viktig at vi har løsninger som gir pasienten trygghet om personvern i forhold til de opplysninger som blir oppbevart, og hvem som skaffer seg den informasjonen. Samtidig må pasienten ha trygghet for at de opplysningene helsepersonell har, også gir den enkelte pasienten en god behandling for de sykdommene som en har til enhver tid.

Harald T. Nesvik (FrP) [12:02:16]: Interpellanten tar opp en veldig viktig problemstilling i sin interpellasjon. Det er dessverre også slik at dette er problemstillinger som de senere årene, ja faktisk over en rekke år, har dukket opp med jevne mellomrom. Jeg vil også gi statsråden honnør her, som helt åpenbart griper fatt i denne diskusjonen og faktisk vil prøve å gjøre noe med det. Det viser at man ønsker å få bukt med det etter min mening uvesenet som er der ute ved at man ikke tenker godt nok gjennom i det daglige hva slags rutiner man har, og ikke minst hva slags ansvar man faktisk har som helsepersonell opp mot dette.

Så skal vi heller ikke se vekk fra at når vi får på plass elektroniske journaler, vil det åpnes andre muligheter. Det vil åpne seg muligheter knyttet til at man ved hjelp av passord får begrenset tilgang til kanskje deler av journalen, knyttet opp imot, jeg holdt på å si, en «need to know»-basis, dvs. hva man har behov for å vite, lenger ned i organisasjonen, men samtidig har behandlingspersonell den fulle og hele oversikt, som er viktig å ha til enhver tid.

Men vi skal ikke glemme at vi fram til at vi har det på plass, har store utfordringer. For det er svære mengder med informasjon som ligger i systemene som vi har pr. i dag, og det er den biten vi er nødt til å se litt på hvordan vi skal kunne klare å takle i tiden framover. Det ene er selvfølgelig at vi til enhver tid har rutiner på plass. Jeg tror ikke det store problemet nødvendigvis er at man, jeg holdt på å si, helt bevisst legger fra seg en journal et sted, eller ikke tenker gjennom hva man gjør. Jeg tror nok at det sannsynligvis er aktløshet som gir seg utslag. Det er lett at man legger fra seg journalen mens man holder på å jobbe med noe, og når man da kommer tilbake, har andre hatt tilgang til disse informasjonene. Så jeg tror at det er på rutinenivå man er nødt til virkelig å iverksette tiltak her nå, slik at man får bukt med selve problemet.

Det er også viktig at vi ser på det som har med de tekniske løsningene å gjøre, særlig nå i en overgangsfase, når man skal gå fra skriftlige journaler og over eventuelt til elektroniske journaler. Der vil det komme store utfordringer, og det er store utfordringer som det vil ta tid å finne løsninger på. For det første vil man komme i situasjoner der journaler som vi allerede har i dag, skal innføres i det nye systemet. Man må også finne tekniske løsninger for hva slags typer databaser man skal bruke, og hva slags hovedløsning man skal ha. Hvem er det som skal kunne komme inn og se i journalen, hvordan skal vi begrense dette, hvor mange brannmurer skal vi ha for å sikre oss i framtiden mot innbrudd i systemene? Her er det en rekke ting som må løses, og da er det faktisk viktig at man fra statsrådens side bruker den eiermakten som man har til å gå inn og styre, slik at vi har samme system uansett hvor i behandlingskjeden man befinner seg, og slik at man også kan overføre informasjon i et samfunn der også pasientene forflytter seg, slik at det billedmessige som kan legges inn i dette, følger det skriftlige materialet, og ikke minst også at vi har et sporbarhetssystem som gjør at vi helt åpenbart kan gå inn og finne ut: Hvem er det som har vært inne på journalen? Men da er det jo også viktig at vi nettopp har datasystemene våre på plass, slik at når man først er kommet inn i et system via datamaskinen sin, må det også være et system som gjør at man automatisk logges ut av systemet hvis man ikke selv sitter og bruker den PC-en over et visst tidsrom, nettopp for at man ikke skal komme i den situasjonen at neste person som kommer og setter seg ned og jobber ved den samme datamaskinen, opplever at den forrige personens dokumenter ligger åpne. Dette er det veldig viktig at vi har klar og skikkelig styring på.

Så jeg ser fram til at statsråden vil gripe fatt i disse tingene. Det er faktisk beroligende at statsråden tar dette på alvor, men det er i tiden framover vi har den store utfordringen. Hvordan løser vi dette, og, ikke minst, hvordan løser vi det slik at vi har trygghet for at helsepersonellet har den informasjonen som skal til, samtidig som pasienten er sikret at vi har gode rutiner som gjør at sensitiv pasientinformasjon ikke kommer på avveie? Jeg ser fram til at vi får på plass en fullgod løsning.

Olav Gunnar Ballo (SV) [12:07:39]: Jeg oppfatter det slik at interpellanten tar opp to helt sentrale problemstillinger i sin interpellasjon. Det ene er pasientjournalen som verktøy for god pasientbehandling, at opplysningene er tilgjengelige på en slik måte at man kan nyttiggjøre seg det både i diagnostikk og i behandling – det er den ene biten. Den andre biten er at opplysningene behandles som det de er, nemlig personsensitive opplysninger som er taushetsbelagte, og som uvedkommende ikke må få tilgang til. Begge deler er viktig.

Det som jeg synes gir grunn til ettertanke, er at debatten om elektroniske journaler har pågått i veldig mange år. Hvis man ser på historien, ser man at den første elektroniske datalagring startet allerede på begynnelsen av 1970-tallet, men i motsetning til hva man skulle tro, kom det initiativet fra kommuner og ikke fra sykehusene. Jeg registrerer at det første tilgjengelige elektroniske datasystemet man har hatt i Norge innenfor helsetjenesten, var det såkalte Balsfjordsystemet, som ble utviklet nettopp for primærhelsetjenesten i Balsfjord, en kommune på Storsteinnes i Troms, med tre leger, Arnulv Eide, Roar Johnsen og Toralf Hasvold. Man startet utviklingen av det i et samarbeid med Universitetet i Tromsø allerede i 1976, og det ble tatt i praktisk bruk i 1980. Det systemet fungerte godt. Det er jo slik at de systemene som senere har erstattet det, på mange måter er bygd over samme lest. Det har fått noen mer raffinerte måter å behandle dataene på, men i det store og hele er det systemer som er veldig like, ved at man kan skrive inn en tekst, man kan lagre laboratoriesvar og andre data, og på den måten ha en elektronisk journal som er tilgjengelig.

Det som er til ettertanke, er at eksempelvis leger – som jeg – som er utdannet på begynnelsen av 1980-tallet og har jobbet mesteparten av sitt liv til nå innenfor primærhelsetjenesten, er knapt vant til noe annet enn å jobbe med elektroniske journaler. Jeg tror at det i dag innenfor primærhelsetjenesten, så langt jeg kjenner til i hvert fall, ikke finnes leger som ikke har et elektronisk datasystem tilgjengelig. Så opplever man altså, 25 år etter at det ble vanlig, at når man snakker med leger på norske sykehus, sitter de fortsatt med en diktafon, og de snakker om at så mye tid går med hvis de skulle skrive den journalen selv, at det vil de ikke gå inn på. Det man står overfor innenfor sykehussektoren, er en konservatisme med hensyn til å ta i bruk nye elektroniske verktøy som man knapt kan forestille seg. Noen av de verste er min egen yrkesgruppe, legene, rett og slett fordi de som har vært i systemet veldig lenge, ikke har lært seg nytten av et helt selvsagt verktøy. Det man kan oppleve når man kommer inn på et legekontor på et sykehus, er at pasientjournaler er stablet opp på kontorpulten, slik at man knapt ser legen bak den, og så forundres man i neste omgang, når man skal på en poliklinikk, over at papirjournalen ikke er tilgjengelig.

Det er klart at dette er problematisk ut fra begge de områdene jeg nevnte innledningsvis, og som interpellanten har vært inne på. Det betyr for det første at data ikke er tilgjengelig når pasienten skal ha oppfølgende behandling, men det betyr også at sensitive opplysninger er tilgjengelige på en måte de ikke skulle være.

Det ser faktisk ut som at når det gjelder utviklingen av elektroniske verktøy innenfor sykehusvesenet, kan ikke den utviklingen skje nedenfra. Til det er motstanden for stor. Det ser ut som at man er nødt til å ta overordnete grep og fortelle dem at de ikke lenger lever i steinalderen, men at den elektroniske tidsalder for lengst er kommet. På mange måter kan man si at sykehusvesenet i Norge lever i den elektroniske steinalderen. Det er klart at sikring av pasientdata er mye enklere når det lagres elektronisk, fordi man kan ha rutiner for det, og man kan beskytte dataene. Selvfølgelig kan det også misbrukes ved at man mye lettere laster over elektroniske data en masse, men i det store og hele er det slik at elektroniske systemer krever rutiner. Det krever godkjenning fra Datatilsynet, og det er overprøvbare rutiner underveis. Så her må rett og slett helseforetakene konfronteres med dagens virkelighet, og så må man bruke ressurser på å få dette på plass. En side vi ikke har diskutert her, er de økonomiske implikasjonene. Det at man ikke har gode rutiner og i så liten grad har i bruk elektroniske verktøy i sykehus, koster også enormt, som en konsekvens av at man ikke finner nødvendige data, ofte må ta blodprøver på nytt, ofte må ta røntgenundersøkelser på nytt, osv. – og det innenfor en sektor som hvert år forbrenner 75 milliarder norske kr.

Jan Sahl (KrF) [12:13:04]: Pasientjournalen er av avgjørende betydning når forsvarlig helsehjelp skal ytes til pasienten. Tidligere sykdomshistorie og kartlegginger av symptomer, risikofaktorer, familiære forhold og prøvesvar har stor betydning for hvilken behandling som skal iverksettes. Særlig for pasienter som ikke kan redegjøre for egen sykehistorie, er dette avgjørende.

Videre spiller pasientjournalen en viktig rolle i å dokumentere hvilken behandling som er gitt, til hvilket tidspunkt, og av hvem. Disse forholdene stiller store krav til at journalen må være tilgjengelig for dem som trenger den i behandlingen. På den annen side bidrar tilgjengelighet til at uvedkommende som ikke skal ha innsyn i journalen, kan få det.

Opplysningene i pasientjournalene er av sensitiv karakter. Ofte er opplysningene gitt i en situasjon basert på tillit mellom behandler og pasient. Derfor har vi strenge regler om taushetsplikt. Pasientopplysninger på avveie kan ha store konsekvenser for den det gjelder. Ikke minst synliggjøres det i debatten om hvilket innsyn forsikringsselskaper skal ha i folks pasientjournaler. Det er derfor viktig at pasientjournaler behandles deretter.

Overgangen fra papirbasert pasientjournal til elektronisk journal bidrar til å redusere et ikke uvanlig problem med papirbaserte journaler, nemlig at de kommer på avveie. Tilgjengelighet til journalen når det gjelder, er et gode for pasienten og letter arbeidet for helsepersonellet. Likevel er oppslag i avisene om at uvedkommende kan lese journaler uten at disse har rett til det, alarmerende.

Rapport fra tilsyn med konfidensialiteten og tilgjengeligheten til elektronisk pasientjournal ved Akershus universitetssykehus, utført av bl.a. Statens helsetilsyn og Datatilsynet i 2006, er i så måte alarmerende. Tilsynet avdekket to avvik. Det ene viste at Akershus universitetssykehus ikke sikrer at taushetsbelagte personopplysninger i det elektroniske pasientjournalsystemet DIPS er forsvarlig vernet mot innsyn fra ansatte som ikke har legitimt behov for opplysningene. Blant annet kom det fram at systemene for å avdekke tilfeldig kikking i journaler var omstendelige og tidkrevende. Det andre avviket viste at sykehuset ikke hadde gjennomført systematiske risikovurderinger i forhold til sikring av elektronisk pasientjournal. DIPS er det elektroniske journalsystemet Helse Øst har valgt å satse på for sykehusene i regionen. Helsetilsynet i Oslo og Akershus mottok bekymringsmelding i 2004 om at systemet ikke var sikret mot uautorisert tilgang. Det har videre vært meldt om gjentatte episoder hvor hele systemet har vært nede, og journalopplysninger har som følge av dette vært utilgjengelige for behandlende personell.

Helsehjelp skal ytes på en måte som ivaretar kravet til både faglig forsvarlighet og taushetsplikt. Taushetsplikten etter helsepersonelloven § 21 innebærer at helsepersonell og virksomheter har en aktiv plikt til å hindre at andre får tilgang til pasientopplysninger. Helseregisterloven § 16 stiller krav om at den databehandlingsansvarlige gjennom planlagte og systematiske tiltak sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet.

Jeg er glad for at representanten Lønning har rettet fokus mot at personvernet må sikres bedre når det gjelder pasientjournaler. Det er av avgjørende betydning at syke mennesker kan få hjelp uten å frykte for at sensitive, men likevel viktige opplysninger om dem kommer på avveie.

Gunvald Ludvigsen (V) [12:17:31]: Først vil eg seie at denne interpellasjonen jo eigentleg har ganske fin timing i forhold til det Stortinget diskuterte i førre veka i samband med Dokument nr. 8:14 for 2006-2007, og Odelstingets behandling av Ot.prp. nr. 49 for 2005-2006, kor nettopp sensitive helseopplysningar om den enkelte pasienten og personvern var i fokus.

Så er vi komne til pasientjournalane, og dei er utan tvil dei største samlingane av sensitive og fortrulege opplysningar om enkeltpersonar. Dette er opplysningar som sjølvsagt er nødvendige for den medisinske behandlinga og må vere tilgjengelege for dei som skal ha behandlarfunksjonar. Utan tilgang til slike opplysningar for dei som skal ha det, og treng det, vil ein naturlegvis utfordre forsvarlegheita av sjølve ytinga av helsehjelp, og det må ein naturlegvis unngå.

Det som er utfordringa, er å avgrense tilgangen til denne informasjon til nettopp berre dei som treng det. Det er jo fleire tilfelle som har vore nemnde her i dag, og som vi alle veit om, som har vist at det dessverre ikkje er eit tilstrekkeleg system, korkje teknisk eller – vil eg også påpeike – organisatorisk, som hindrar at uvedkomande har fått tilgang til og innsyn i pasientjournalar. Tilsynsmyndigheitene har slått fast at ei vesentleg årsak er – og det har ikkje vore nemnt så mykje her i dag – at oppbygginga av datasystem er dårleg tilpassa ei organisering der helsepersonell arbeider på tvers av postar, på tvers av seksjonar og på tvers av avdelingar. Faktum er at denne organiseringa, som er nokså vanleg i svært mange helseføretak, bidreg til at sikring av teieplikt for svært sensitive personopplysningar ikkje held mål. Det er etter mi oppfatning urovekkjande at teieplikt og personvern har vore så fråverande i spesielt helseføretaka sin omorganiseringskarusell.

Eg har lyst til å spørje statsråden direkte om desse sentrale momenta, teieplikt og personvern, er det temaet som eksplisitt er framme i drøftingane i føretaksmøta, og eventuelt i kva form desse momenta er reflekterte i tingingsdokumenta.

Den gamle papirbaserte pasientjournalen er ikkje ein betre reiskap enn den elektroniske pasientjournalen, snarare tvert imot. Det har vi vel fått gode beskrivingar av før her i dag. Men utfordringa vi står overfor, er at tilgangen til dei moderne pasientjournalane må regulerast. Likevel er systemet også i vesentleg grad basert på tillit. Men det må etablerast system som avgrensar tilgangen, og det må etablerast sanksjonsmoglegheiter overfor dei som går inn i pasientjournalar utan at dei treng det.

Eg trur det var i 2005 eller 2006 at det blei oppdaga eit alvorleg tilfelle at sniklesing av ein tilsett i eit helseføretak i Nordland. Vedkomande hadde visstnok ikkje anna motiv enn å vere nysgjerrig, men vedkomande hadde både sett og lese sensitive opplysningar som det er teieplikt for. Eg meiner å hugse at den skyldige ikkje blei ramma av gjeldande lovverk, og altså ikkje fekk noka straff. Dersom gjeldande rettsreglar ikkje er gode nok, dvs. at dersom slik kikking utan legitim grunn ikkje gjev grunnlag for rettslege sanksjonar, meiner eg at denne historia, denne hendinga, fortel oss at det er nødvendig med endring i lovverket. Eg ser gjerne at statsråden kommenterer akkurat denne problemstillinga.

System og kontroll, inkludert sanksjonsmoglegheit, er sjølvsagt aleine ikkje nok. Langsiktig og kontinuerleg arbeid med å bevisstgjere medarbeidarane og byggje gode haldningar kring handteringa av dei kanskje mest sensitive opplysningane som finst om enkeltpersonar i eit samfunn, må fokuserast langt sterkare enn i dag. Ansvaret for eit tilfredsstillande personvern innan denne sektoren er sjølvsagt eit leiaransvar. Den aller øvste leiaren for helseføretaka er jo statsråden.

Eg oppfattar statsråden sine innlegg i dag slik at ho tek dette ansvaret på stort alvor.

Inge Lønning (H) [12:23:02]: Denne debatten har vært preget av høy grad av samstemmighet. Undertiden kan det være bra at det ikke er de partipolitiske forskjellene og markeringene som preger debatten her i salen, men at det er enigheten om viktige problemstillinger.

Representanten Ballo hadde en interessant påpekning av forskjellene mellom primærhelsetjenestens – altså primærlegenes – grad av teknisk oppdaterthet og sykehusenes. Han tok vel kraftig i da han sa at sykehusene lever i den elektroniske steinalder. Jeg vil nå tro at man har kommet til bronsealderen i hvert fall de fleste steder. Men han har helt åpenbart rett i at det er betydelige forskjeller, og han har antagelig også rett i sin diagnose av hva som er årsakene til dette. Bare på ett punkt vil jeg reservere meg, for han brukte uttrykket «konservatisme» på en måte som jeg ikke setter pris på, nemlig som benevnelse på – jeg hadde nær sagt – den ryggmargsrefleks som består i at man motsetter seg endringer i denne verden. Det ville jeg foretrekke å kalle ved andre navn enn akkurat «konservatisme». Men i sak er representanten Ballos påpekning viktig. Han hadde også et annet viktig poeng, nemlig at når man diskuterer økonomi i denne sammenheng, må man ikke glemme at selv om det kan være betydelige investeringskostnader i det å velge optimale tekniske løsninger, er kostnadene på driftssiden ulike mye større ved ikke å velge gode og effektive løsninger. Ser man dette i en større økonomisk sammenheng, er det klart at det også vil være god økonomistyring for sykehusene å velge de beste tekniske løsningene.

Til sist: La meg gjenta at jeg vurderer statsrådens svar som svært positivt og svært tilfredsstillende, og ser frem til at hun vil følge opp i handling de løftene hun har gitt når det gjelder å innskjerpe ledelsesansvaret og styrke opplæringsfunksjonen i alle deler av spesialisthelsetjenesten når det gjelder aktsomheten og ivaretakelsen av taushetsplikten.

Statsråd Sylvia Brustad [12:25:56]: Det er ikke i alle debatter vi opplever at det er bred enighet, men det har jeg, i likhet med representanten Lønning, opplevd i denne debatten, og det er bra i en så viktig sak.

Så er jeg også enig med representanten Lønning i forhold til hva Ballo sa her, at det er helt klart at det er utfordringer i sjukehusvesenet knyttet til dette og knyttet til det å bruke elektroniske verktøy, men det er langt fra noen steinalder. Det utvikles stadig nye ting som har kommet betydelig lenger enn det vi finner i en del av primærhelsetjenesten, men det er ikke det viktigste her. Det viktigste er at vi har et ganske klart regelverk. Men det skal bli bedre. Jeg kan forsikre om at vi sender på høring et uttrykkelig forbud mot urettmessig tilgang til pasientjournaler, slik det er etterlyst. Vi skal sørge for at personell får tilstrekkelig informasjon både om regelverk og om hvordan det skal praktiseres, og hva som skjer dersom det ikke blir praktisert på den måten det skal. Vi skal også sørge for at det blir laget enda mer informasjonsmateriell for alle dem som bør vite mer om dette, at vi får en standardisering av vite-løsninger, slik at vi på den måten også har en bedre kontroll, at vi nå gjennomfører seminarer og samlinger med berørte i sjukehus, også private, og at vi selvfølgelig også kommer til å bruke foretaksmøtene når det er hensiktsmessig, for å forsikre oss om at dette følges opp. Jeg skal garantere at dette kommer til å bli fulgt opp.

Presidenten: Dermed er sak nr. 2 ferdigbehandlet.