Vedlegg 2. Sak 220/10 (2.01)
Helse- og omsorgsdepartementet
Deres ref.: Vår ref.: 10/2748 Dato: 21.09.2010
Høring: Informasjonssikkerhet - helseregistre
Det vises til høringsbrev av 10. mai 2010 vedrørende høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre. Vi viser også til avtale om utsatt høringsfrist til 20. september.
Høringsdokumentet har vært sendt til relevante organisasjonsledd i Legeforeningen og høringssvaret er behandlet av Legeforeningens sentralstyre.
Generelle merknader
Legeforeningen ser på arbeidet med denne forskriften som svært viktig, og slutter seg fullt ut til departementets målsetning om å oppnå et regelverk som er godt balansert mellom hensynet til rask tilgang til relevante pasientopplysninger når det er nødvendig for å yte helsehjelp til pasienten, og hensynet til pasientens rett til vern om opplysningene. Vi er enig i at det er avgjørende for tilliten til helsetjenesten at pasienter kan føle seg trygge på at sensitive opplysninger ikke kommer uvedkommende i hende. Legeforeningen slutter seg til høringsbrevets utgangspunkt om at reglene bør ha et innhold som understøtter helsepersonell når det ytes helsehjelp til pasienter, og samtidig gir et godt personvern. Det er således avgjørende å finne en riktig balanse mellom personvern og behovet for en rask og effektiv tilgang til helseopplysninger der det er nødvendig.
Regelverket må funderes på den grunnleggende forutsetning at formålet med de behandlingsrettede helseregistrene skal være diagnostikk og behandling av den enkelte pasient. Det er viktig at man ikke legger opp til et system som i praksis medfører en byråkratisering som kan hindre viktig kunnskapsflyt og resultatvurdering, og at man unngår løsninger som i større grad går utover effektiviteten i daglig klinisk arbeid. Av hensyn til personvern og informasjonssikkerhet støtter Legeforeningen en omfattende regulering på området. Likevel er det en utfordring av regelverket kan bli krevende å etterleve i praksis, og understreker behovet for å legge praktisk gjennomføring til grunn for forskriften.
Høringsnotatet er omfattende og det kan være vanskelig å fullt ut overskue konsekvensene av forslaget. Forskriften synes generelt å rette seg mot typiske spesialisthelsetjenester med store administrative støttefunksjoner og er vanskeligere å applisere på kommunale tjenester og i særdeleshet på mindre virksomheter som private praksiser og kommunale legekontor. Dette har generelt vært en svakhet også ved dagens regelverk og retningslinjer. Legeforeningen har tidligere påpekt dette i forhold til Norm for informasjonssikkerhet. Dagens systemer i mindre legekontor er på mange områder i dag ikke i tråd med de systemer som forutsettes i forskriften, både hva gjelder praktisk håndtering og tekniske muligheter og løsninger. Disse forhold medfører utfordringer, særlig i lys av at en større del av helsetjenestene ytes utenfor foretakene. Etter Legeforeningens vurdering bør myndighetene ta et større ansvar for standardiseringskrav til journalsystemene, slik at den enkelte bruker kan være trygg på at systemet oppfyller de nødvendige krav.
Det er etter Legeforeningens vurdering nødvendig at det i tillegg til forskriftens merknader utarbeides praktiske og lettfattelige veiledere som er tilpasset virksomhetenes kompleksitet. Alternativt bør merknadene til forskriften i større grad ta sikte på å avhjelpe de ovennevnte utfordringene.
Merknader til enkelte av forskriftsforslagets bestemmelser
Forskriftens kapittel II Generelle krav til informasjonssikkerhet
Kapitlet omhandler generelle krav til sikkerhet og synes særlig å være tilpasset sykehus og helseforetak. Kravene kan synes overveldende for mindre private virksomheter. Det uttales at informasjonssikkerhetstiltakene må være tilpasset virksomhetens art, aktiviteter og størrelse. Dette er i utgangspunktet et riktig og nødvendig prinsipp i forhold til den aktuelle lovgivningen, som også samsvarer med gjeldende krav i annen lovgivning på området. I praksis er prinsippet imidlertid ikke like enkelt. Ved økt elektronisk samhandling, der informasjonsutveksling mellom små og store virksomheter på jevnlig basis vil kunne skje, vil dette kunne medføre at langt mer omfattende krav stilles i forhold til hva som tidligere har vært aktuelt ut fra virksomhetens art, aktivitet og størrelse.
Den databehandlingsansvarlige pålegges ulike plikter i forskriften. Det bør vurderes om det av pedagogiske hensyn for eksempel i merknadene til forskriften skal angis nærmere hva som menes med dette begrepet og om spesielle kvalifikasjoner forutsettes.
I § 4 stilles det krav om at virksomheter som tar i bruk behandlingsrettede helseregister, skal sørge for at systemene som tas i bruk sikrer forsvarlig informasjonssikkerhet. Hva som rent konkret ligger i kravet om forsvarlig informasjonssikkerhet, vil dels følge av annen lovgivning. Kravet er samtidig en rettslig norm, som vil variere over tid og dels styres av de teknologiske muligheter og samfunnets forventninger. For de mindre privatpraktiserende virksomhetene kan det være utfordrende til enhver tid å møte kravene. Vi bemerker at disse virksomhetene i noen grad nødvendigvis vil måtte støtte seg på at de systemer som leverandørene leverer og innestår for, faktisk møter gjeldende krav.
I merknaden til § 4 fremheves at helsepersonell må ha tilgang selv om ”nettet er nede”, og blant annet nevnes at dette må kunne skje ved en offline løsning. Legeforeningen etterlyser en nærmere beskrivelse av Norsk Helsenetts ansvar og forpliktelser i denne sammenheng.
Forskriftens kapittel III Krav om system for utstedelse av autorisasjoner og krav til autentisering
Forskriftens § 9 sier at den enkelte autorisasjon skal bygge på konkret risikovurdering. Det må imidlertid være forsvarlig at det i regelen utstedes autorisasjon basert på rollen den enkelte har (ansettelsesforhold og stilling).
Departementet har særlig bedt om synspunkter på om kravene i forskriftsforslaget § 10 første ledd andre punktum er tilstrekkelig fleksible til at helsepersonell kan få tilgang til nødvendige og relevante opplysninger når det er tjenstlig behov for å yte forsvarlig helsehjelp til pasienten. Bestemmelsen sier at enhver autorisasjon skal være tidsbegrenset. Etter vårt syn fremstår et kategorisk krav om tidsbegrensning noe uhensiktsmessig, for eksempel der den enkelte ikke får endringer i sine arbeidsoppgaver eller i sitt arbeidsforhold. En noe mer fleksibel løsning i angitte sammenhenger bør vurderes.
Forskriftens § 12 fastslår behovet for nødvendig opplæring i bruk av autorisasjonen og behovet for oppdatering av denne opplæringen. Det er positivt at det er inntatt en egen bestemmelse om dette.
Forskriftens § 14 fastslår at helsepersonell som har behov for det for å yte forsvarlig helsehjelp kan gis tilgang (autorisasjon), og at autorisasjonen skal gis det innhold som er nødvendig for at helsepersonellet skal kunne ivareta sine oppgaver og sitt ansvar overfor pasienten. Merknaden til paragrafen forutsetter at pasientjournalen er strukturert slik at det er mulig å gi gradert tilgang til forskjellige deler av journalen. Journalene er imidlertid et fortløpende arbeidsverktøy, og det vil trolig kreve mye av systemleverandørene å etablere muligheter for gradering av journalen slik forskriftbestemmelsen og merknaden synes å forutsette. I merknadene til § 14 skisseres forslagsvis en strukturering av journalen med hensyn på somatisk og psykiatrisk lidelse. Dette er faglig betenkelig, og eksemplet hvor gynekologi trekkes frem oppfattes uheldig idet det bygger på oppfatninger som er forlatt. Det vises til våre merknader under til forskriftens § 19.
Forskriftens kapittel IV Tilgang til helseopplysninger i behandlingsrettet helseregister
Forskriftens § 19 sier at helsepersonell som yter helsehjelp til pasient, bare har tilgang til helseopplysninger som er nødvendige og relevante for å kunne yte helsehjelpen. Departementet presiserer i høringsnotatet at forskriften ikke regulerer adgangen til helseopplysninger til andre formål enn helsehjelp til pasienten, som for eksempel til kvalitetssikring eller forskning. Legeforeningen ser imidlertid et behov for at helsepersonell som har utført konkret helsehjelp overfor en pasient, eller truffet beslutninger om konkret helsehjelp, innenfor rammen av forskriften rettmessig må kunne sjekke resultatet og oppfølgningen av slike konkrete tiltak. Tilgangen må naturligvis være begrenset til hva som er nødvendig for å ettersjekke oppfølgningen av den helsehjelp man selv har gitt.
Det fastslås videre i forskriftens § 19 at ”Tilgangen skal følge av en konkret beslutning om å yte helsehjelp til pasienten.” Formuleringen er etter vårt syn noe uheldig, da den kan leses dit hen at den hindrer leger fra å bruke pasientjournalen som verktøy i å vurdere en henvisning til spesialisthelsetjenesten, da det ennå ikke er foretatt en beslutning om å yte helsehjelp. Tilsvarende utfordring reiser seg f eks ved vurderinger om en henvendelse til allmennlegen skal resultere i en timeavtale, da denne vurderingen ofte gjøres blant annet på grunnlag av tidligere journalnotater.
Forskriften § 19 fjerde ledd fastslår at tilgang til helseopplysninger etter denne bestemmelsen bare gjelder dersom pasienten ikke har motsatt seg, eller motsetter seg, at tilgang til de aktuelle opplysningene gis. Merknadene til § 19 fjerde ledd sier at: ”Det er derfor viktig at helsepersonell ved registrering av opplysninger har et bevisst forhold til hvilke opplysninger som bør eller kan deles med annet helsepersonell, og opplysninger som ikke bør eller kan deles med annet helsepersonell.” Uttalelsen i merknaden synes å bygge på en forutsetning om at en pasients journal kan struktureres slik at det er mulig å autorisere for særskilte deler av journalen. For eksempel må en journal kunne deles slik at den gjør et skille mellom opplysninger om somatisk helsehjelp og opplysninger fremkommet når psykisk/psykiatrisk helsehjelp er gitt. Høringsnotatet angir at en finere inndeling også må være mulig. Til dette bemerkes at journalene i dagens system i helseforetakene ikke muliggjør en slik helt eller delvis skjerming. Dersom bare deler av allmennlegenes journal skal være tilgjengelig, må det gjøres et betydelig redigeringsarbeid i journaler av ansvarlig lege. Denne måten å føre journal på vil uansett være vanskelig forenlig med en god allmennmedisinsk journal. Synspunktet er også preget av gammelmodig tenkning rundt synet på kropp-sinn, hvor en ser psykisk helse atskilt fra somatisk helse. Denne tankegangen er sterkt i strid med at mennesket er helt, hvor kropp og sinn påvirker hverandre gjensidig og kontinuerlig. Tankegangen kropp-sinn er i strid med oppdatert kunnskap.
Forskriftens kapittel V Tilleggsbestemmelser for direkte tilgang til helseopplysninger på tvers av virksomheter
I dette kapitlet oppstilles ytterligere krav til tekniske og sikkerhetsmessig tiltak for tilgang på tvers av virksomheter. Legeforeningen ser det som positivt at departementet i foreliggende høringsrunde har foretatt presiseringer i regelverket om tilgang til helseopplysninger på tvers av virksomheter.
Bestemmelsen i § 22 stiller blant annet krav til avtale som regulerer den databehandlingsansvarlige og databehandlers rettigheter og plikter. Især for mindre virksomheter uten de samme ressurser som de større helseforetakene, kan det være hensiktmessig om det utarbeides en avtalemal som partene med sine individuelle tilpasninger kan velge å benytte. Slik avtalemal kan for eksempel inngå som vedlegg i en eventuell veileder.
Bestemmelsen i § 23 omhandler avtale om skrivetilgang på tvers av virksomheter. Selv om slik tilgang bare er aktuelt under gitte omstendigheter og forutsetter at det foreligger en avtale om dette, er det grunn til å problematisere om det skal åpnes for at slik tilgang generelt skal kunne gis. For eksempel fra fastlegenes perspektiv vil en skrivetilgang for andre etater føre til at journalen blir mindre oversiktlig og opplysninger som er viktige for fastlegen vil kunne drukne i støy. Kommunikasjon med samarbeidende etater vil være godt ivaretatt ved økt bruk av meldingsutveksling.
Bestemmelsen i § 24 omtaler ”kvalifisert sertifikat”. En tydelig henvisning til esignaturloven, eller definisjon i forskriften, kan være hensiktsmessig.
Bestemmelsen i § 26 sier at tilgang på tvers av virksomheter kun kan omfatte en person av gangen, og ved behov for gjentatt tilgang skal det rettes en ny forespørsel. Legeforeningen gir tilslutning til at man trenger begrensninger for tilgang av hensyn til personvernet. Dersom det først åpnes for tilgang på tvers vil det imidlertid være viktig at tilgangen åpner for hensiktsmessige arbeidsrutiner. Det meste av moderne undersøkelse og behandling skjer som teamarbeid. Dette vil ofte nødvendiggjøre at ulike aktører har tilgang til samme informasjon samtidig. Samhandling mellom første og andre linje og arbeid i legevakt lider i dag under manglende tilgang til relevant pasientinformasjon. Det må etterstrebes at nødvendige opplysninger enkelt og effektivt gjøres tilgjengelig for rett person til rett tid.
Forskriftens kapittel VI Sperring av helseopplysninger
I forskriften er pasientens rett til sperring av opplysninger fremhevet. Pasienters ønske om å verne om opplysninger er forståelig ut fra en del pasienters behov, men det kan være problematisk å sile informasjonen. Man kan tenke seg en rekke situasjoner der pasienters ønske om sperring går utover behandleres behov for opplysninger. Opplysninger om psykisk sykdom og smittsomme sykdommer nevnes spesielt. Legeforeningen kan ikke godta sperring av opplysninger om smittsomme sykdommer som kan være skadelige for helsepersonell. Det er også viktig å være klar over at sperring av enkelte type opplysninger kan representere en fare for pasienten selv. Vi er usikre på om bestemmelsen om at det skal fremgå at visse opplysninger er sperret, i tilstrekkelig grad vil veie opp for dette.
Sperring av opplysninger om medikamentforbruk reiser særlige problemer for den som er behandlingsansvarlig. Særlig for fastleger som er forutsatt å ta et totalansvar for pasienten kan dette reise pasientsikkerhetsmessige problemer. Dersom pasienter sperrer opplysninger om medikamentforbruk, kan ikke fastlege vurdere muligheter for legemiddelinteraksjoner og bivirkninger. Det blir da vanskelig for fastleger å ta totalansvaret for pasientens behandling.
Det vil i en del situasjoner oppstå motsetningsforhold mellom pasientens rett til vern om opplysninger, og at pasientopplysninger skal være raskt tilgjengelige når det er nødvendig for helsehjelp til pasienten. Det kan spørres om det burde vært gjort en spesifisering av hvilke opplysninger pasienten kan reservere seg mot innsyn i, og om betydningen av sperring av informasjon i forhold til mulighetene for å yte god behandling. Det bør tas med et påbud om at pasienten får informasjon om sine rettigheter i forbindelse med eventuell sperring.
For at deler av journal skal være sperret, fordrer dagens systemer at ansvarlig lege må foreta et betydelig redigeringsarbeid i journaler. Denne arbeidsmengden må veies opp mot andre oppgaver.
Forskriftens kapittel VII Krav om logging og dokumentasjon av tilgang
Forskriften § 32 siste ledd sier at dokumentasjon som registreres kan slettes etter to år. Vi bemerker at sletting av logg etter to år antageligvis er for tidlig for å ivareta nødvendige behov, for eksempel sporbarhet i forbindelse med tilsynssaker.
Forskriftens § 34 gir pasienten rett til innsyn i logg. Dette anser Legeforeningen som et godt og målrettet sikkerhetstiltak for å bevare respekten for taushetsplikten. Det må tas i betraktning at tiltaket krever ressurser for kontroll av begrunnelser i etterkant. Etter det vi kjenner til er det for øvrig ingen EPJ-systemer for privatpraktiserende leger som i dag kan tilby utskrift av for pasienten forståelige logger over tilgang, enten den er autorisert eller uautorisert. Ei heller logger som kan behandles på en slik måte at man kan se unormal aktivitet. Det kreves med andre ord et betydelig utviklingsarbeid på IKT-feltet. Disse endringene skal integreres i EPJ-systemene etter pilotering og testing. Privatpraktiserende leger må oppdatere sine systemer med endringene, sette seg inn i dem, lære opp sitt personale og endre sine arbeidsrutiner etter dem. Slike endringer er kostnadskrevende.
Administrative og økonomiske konsekvenser
Etablering av systemer som forutsatt i forskriften vil kreve til dels betydelig administrasjon og styring av virksomheten. Dette vil være særlig utfordrende for små enheter og vil ikke enkelt la seg implementere uten ressurstilgang.
I høringsnotatet beskrives det at kostnadene vil falle på EPJ-leverandørene. Man skal imidlertid være oppmerksom på at disse igjen dekker sine utgifter ved å legge dem over på kunden. Privatpraktiserende leger kan i regelen ikke dekke disse kostnadene ved å legge på sine priser, da disse er regulert i Normaltariffen. Forskriften medfører endringer som må finansieres. Finansieringen må gå til kravsspesifikasjoner som ivaretar hensikten med lovendring og forskrift, men også funksjonalitet for brukerne. Myndighetene må ta ansvar for dette og ikke gjøre det til en sak mellom det enkelte legekontor og EPJ-leverandør. Bare da kan man få løsninger som er mulig å leve med i hverdagen. Videre kreves det finansiering av utvikling, testing, pilotering og implementering. Hvis dette ikke finansieres på annen måte, må kostnadene aksepteres som en del av grunnlaget for kostnadsdekning i Normaltariff-forhandlingene. Hvis ikke legene skal ta inn sine økte kostnader gjennom økt pasientbetaling, må dette finansieres gjennom rammetilskudd og takster.
Implementering av forskriften
Departementet foreslår at krav om forskriften settes i verk fom 1.juli 2011. Med så omfattende tiltak som forskriften krever, synes dette som for kort tid. Myndighetene må ta et ansvar for at endringer i IKT systemer blir utviklet før endringene trer i kraft. Legeforeningen vil advare mot et regelverk som ikke lar seg gjennomføre fordi de tekniske systemene ikke er på plass.
Med hilsen
Den norske legeforening
Geir Riise Anne Kjersti Befring
Generalsekretær Direktør
Forhandlings- og helserettsavdelingen
Aadel Heilemann
Saksbehandler