Tilgang til pasientjournal i helsetjenesten (1/2008)


Bruken av IT innen helsevesenet øker kraftig og vil kunne bidra til bedre og tryggere pasientbehandling. Som et naturlig og nødvendig ledd i denne utviklingen avløser elektronisk pasientjournal (EPJ) i stigende grad den tradisjonelle papirjournalen. Dette gjelder både i helseforetak og privat praksis. Spørsmålet om hvem som skal ha innsyn i EPJ som ledd i den behandlingsrettede virksomheten innen helsetjenesten vedrører selve taushetsplikten. Det er avgjørende å finne en riktig balanse mellom rask tilgang til de nødvendige opplysningene og hensynet til personvernet. Pasientopplysninger må følge beslutningsprosessen i pasientbehandlingen.

Legeforeningen mener:

  • Taushetsplikten er en grunnstein i helsepersonells yrkesutøvelse og i den systematiske tilrettelegging av rutiner innen helsevesenet.
  • Forsvarlig behandling krever samtidig at nødvendige pasientopplysninger enkelt og effektivt gjøres tilgjengelig for rette person til rett tid, dvs den som har tjenestelig behov. Det er en sentral funksjon for et EPJ-system å legge til rette for dette.
  • Tilgangssystemer innen helseforetak må bygges rundt utrednings- og behandlingsprosesser rundt den enkelte pasient.
  • Det må utvikles gode systemer for kontroll av logger og det må legges til rette for pasientens innsyn i loggen i egen journal.
  • Av hensyn til pasientens personvern må det utvises stor varsomhet med å legge til rette for direkte tilgang til pasientjournaler på tvers av virksomheter.
  • Private gruppepraksiser må uansett organisasjonsform betraktes som en virksomhet, hvor det ved tjenstlig begrunnet behov kan åpnes for direkte tilgang til pasienters journaler for praksisens leger og ansatte. Pasientens samtykke må få større plass som grunnlag for en slik innretning av gruppepraksisens EPJ-system.
  • Det er behov for grundige og bredt sammensatte utredninger av hvordan nye tekniske løsninger kan møte behovene for pasientinformasjon i undersøkelse og behandling, herunder om regelverksendringer er nødvendige. Taushetsplikten må ligge fast.

Bakgrunn og begrunnelser:

Helseregisterloven og helsepersonelloven inneholder ufravikelige regler, som til sammen får betydning for den organisatoriske og tekniske innretningen av EPJ-systemer i helseforetak og i gruppepraksis. Lovene setter rettslige begrensninger for hvem som kan få tilgang til EPJ og når.

I dag er lovgivningen innrettet slik at hvem og hvordan det kan gis innsyn i opplysningene i et EPJ-system avhenger i prinsippet av om den som ønsker tilgang er en person innenfor eller utenfor den databehandlingsansvarliges virksomhet. Kun personer innen den databehandlingsansvarliges egen virksomhet kan få tilgang til EPJ. Personer uten for denne virksomheten kan få opplysninger herfra utlevert. Det er reglene om unntak fra taushetsplikten for opplysninger som er nødvendige for å yte forsvarlig helsehjelp som dikterer hvilke organisatoriske og tekniske sperrer som må være på plass i EPJ-systemet.

Dagens dilemma
Som utgangspunkt har ikke overgang til bruk av EPJ ført til endringer eller lempninger i reglene om taushetsplikt. Den enkelte virksomhets EPJ-system inneholder vanligvis alle opplysninger om alle virksomhetens pasienter - enten dette er et helseforetak eller en privat praksis. Uten organisatoriske eller tekniske sperrer av noen art, ville alle virksomhetens ansatte til enhver tid ha tilgang til alle registrerte opplysninger om alle pasienter, både dem man selv behandler og de som behandles av andre. Dette ville være i strid med taushetsplikten, som også omfatter en plikt til aktivt å hindre at uberettiget innsyn finner sted.

Pasientbehandling lar seg kun planlegge i et visst omfang, og det vil ofte være behov for umiddelbar tilgang til helseopplysninger. Akuttilfeller og behov for uforutsigbar øyeblikkelig hjelp er en uomgjengelig del av helsepersonells plikt og av hverdagen både på helseforetak og i privat praksis. Også i mer planlagte tilfeller kan det - typisk på grunn av uventede komplikasjoner - oppstå behov for informasjonsutveksling ut over det som var forutsett, som eksempelvis når det under en vanlig fødsel plutselig må foretas keisersnitt. I disse situasjonene er det at pasientjournalens primære funksjon som helsepersonellets arbeidsredskap settes på spissen, og der det er helt avgjørende at organisatoriske og tekniske sperrer ikke forhindrer at relevant informasjon gjøres tilgjengelig til rette tid.

Som i alle andre sammenhenger, der to hensyn trekker i hver sin retning gjelder det å finne en balanse - i dette tilfelle mellom på den ene side hensynet til konfidensialitet og på den annen side hensynet til at informasjonen er tilgjengelig. Begge hensyn inngår som likeverdige elementer i definisjonen av informasjonssikkerhet1 .

Innen samme helseforetak
Legeforeningen ser at det i helseforetak ikke er hensiktsmessig å bygge et system for tilgang til EPJ på pasientens forhåndssamtykke. I slike store organisatoriske enheter med mange ansatte er det nødvendig med visse organisatoriske og tekniske sperrer for tilgang.

Legeforeningen støtter at behovet for informasjonstilgang i behandlingen av den enkelte pasient skal avgjøre tilgangen til pasientjournal. I regelverk og retningslinjer fremgår det at dette skal være styrt av beslutninger om tilgang. Legeforeningen er skeptisk til begrepet beslutning i denne sammenheng. Begrepet er egnet til å skape for krevende, uhensiktsmessige og uforsvarlige prosedyrer for tilgang til informasjon til rett tid. Som hovedregel bør alle leger ved en avdeling ha tilgang til alle pasienter i denne avdelingen. Pasienten må imidlertid gis mulighet til å sperre journalen for innsyn fra bestemte personer i denne avdelingen.

Leger vil ha et gjennomgående ansvar i pasientbehandlingen, og det må derfor være en lav terskel for å gi legene autorisasjon til alle typer pasientopplysninger. Slik autorisasjon må gis enn gang for alle, eksempelvis ved ansettelse, og det må være enkelt å endre på de rettigheter som gis i autorisasjonen, dersom vedkommendes oppgaver og ansvarsområder i løpet av ansettelsen endrer seg på en måte som nødvendiggjør dette.

Systemet må legge til rette for at det gis umiddelbar tilgang når helsepersonell i andre deler av virksomheten konsulteres, for eksempel pr. telefon. Denne tilgangen må opphøre når helsepersonellet ikke lenger deltar i undersøkelse og behandling av pasienten. Det må naturligvis sikres enkel tilgang i forbindelse med nødvendig etterarbeid og eventuell oppfølgning av pasienten.

I dag er det et krav om innhenting av samtykke før det utleveres opplysninger i fra EPJ, som ikke er nedtegnet i forbindelse med den aktuelle helsehjelpen, men derimot på et tidligere tidspunkt2. Legeforeningen er sterkt bekymret for konsekvensene av dette. Legeforeningen mener at dette kravet hviler på en alt for rigid tolkning av reglene om taushetsplikt og innsyn i pasientjournal3. Innen den enkelte virksomhet - helseforetaket - skal det som altoverveiende utgangspunkt kun opprettes enn journal per pasient. Det ovenfor nevnte kravet vil innebære en oppsplitting av pasientjournalen, som derved mister karakter av å være ett, sammenhengende dokument. Faren for å overse relevante opplysninger, eksempelvis om tidligere oppdaget intoleranse overfor anestesi, vil øke - ikke minst i akuttsituasjonene. Det er vanskelig å se hvordan man kan sikre at noen til enhver tid har den fornødne oversikt over hele innholdet i pasientjournalen, og kan foreta de nødvendige koblinger mellom opplysninger som måtte være nedtegnet ved forskjellige anledninger. Legeforeningen stiller spørsmål ved om pasienter flest vil føle seg trygge ved slik informasjonshåndtering.

I dag foregår det bare i svært begrenset grad kontroll av loggen over innsyn. Det finnes heller ikke gode systemer for slik kontroll. Loggen vil bare gi informasjon i etterkant av informasjonssøking og kan aldri bli en fullgod garanti mot ulovlig innsyn. Likevel bør det fokuseres på hvorledes kontroll av logg i større grad kan gjøres til et preventivt virkemiddel. Det bør bl.a. legges til rette for at pasienten enkelt får tilgang til å se loggen i egen journal.

Innen samme private gruppepraksis
Bruk av felles EPJ-system finner i utstrakt grad sted i private gruppepraksiser i dag. Dette gjelder i prinsippet for alle typer praksiser hvor legene har et samarbeid om pasienter.

Det er hittil lagt til grunn at hver enkelt lege i en gruppepraksis er å anse som databehandlingsansvarlig i forhold til EPJ-opplysninger om egne pasienter, slik at vedkommende i prinsippet må ha et eget EPJ-system, som er skjermet mot de øvrige legenes (og eventuelt hjelpepersonells) innsyn45. Det er kun åpnet for lovlig bruk av felles EPJ i gruppepraksis i de tilfellene, der legene har organisert denne virksomheten i et felles aksjeselskap (AS) og alle legene er ansatt av selskapet. De færreste gruppepraksiser er i dag organisert slik. Mest vanlig er det å organisere seg som et ansvarlig selskap (ANS) eller et ansvarlig selskap med delt ansvar (DA). Fortsatt er dog de fleste gruppepraksiser organisert som kontorfellesskaper. Dette innebærer at en stor del gruppepraksiser i dag har et felles EPJ-system som slik sett er ulovlig.

Sett fra et pasientperspektiv fremstår det dessuten som tilfeldig om muligheten for innsyn i vedkommendes journal avhenger av hvordan gruppepraksisen selskapsrettslig er organisert, noe som i siste ende typisk er styrt av hvordan man ønsker å hefte i forhold til virksomhetens kreditorer og mellom eierne innbyrdes.

Det er åpenbart at bruk av felles EPJ-system må skje på en måte som ivaretar hensynet til konfidensialitet. Imidlertid er der også her reelle hensyn å ta til behovet for tilgjengelighet til opplysningene. Det kan få negative konsekvenser for forsvarligheten i helsevesenet ubetinget å opprettholde krav om at det må etableres egne EPJ-systemer for hver enkelt lege i gruppepraksisen, herunder at innsyn i opplysninger om hverandres pasienter må skje etter reglene om utlevering av opplysninger på tvers av virksomheter6. Også ansatt hjelpepersonells adgang til opplysninger er begrenset.

I gruppepraksiser oppstår det ikke sjeldent behov for innsyn i EPJ vedrørende en kollegas pasient. Dette særlig i forbindelse med kollegial fraværsdekning som ligger som en forutsetning i fastlegeordningen. Når pasientens fastlege - den databehandlingsansvarlige - ikke er tilstede, kan vedkommende ikke treffe vedtak om utlevering av relevante opplysninger, som vedkommendes kollega måtte ha et tjenstlig begrunnet behov for innsyn i.

Private gruppepraksiser er mye mindre organisatoriske enheter enn helseforetak. Dagens regelverk vedrørende EPJ og tolkningen av det tar i hovedsak sikte på forholdene i helseforetakene, hvor risikoen for uberettiget spredning og de potensielle konsekvenser av slik spredning er desto større. Legeforeningen mener at det i alt for liten grad er tatt hensyn til at private gruppepraksiser har andre rammebetingelser, som gjør det vanskeligere å gjennomføre organisatoriske og/eller tekniske sperrer i EPJ-systemet.

Legeforeningen vil anta at pasienter flest vil akseptere - kanskje til og med ha en forventning om - at fastlegens kollegaer og øvrige ansatte i gruppepraksisen ved konkret tjenstlig begrunnet behov enkelt kan gjøre seg kjent med innholdet i pasientens EPJ. Pasientens forhåndssamtykke til et felles EPJ-system, for eksempel ved avgivelse av skriftlig samtykke ved første konsultasjon, bør være tilstrekkelig for å anse dette lovlig.

På tvers av virksomheter
Dagens regulering av tilgang til pasientjournal på tvers av virksomheter (helseforetak) er svært restriktiv og basert på at opplysningene ikke skal være direkte tilgjengelige utenfor virksomheten. For å begrense kretsen som kan gjøre bruk av ulovlig innsyn bør det utvises varsomhet med å utvide dagens regulering av tilgang på tvers av helseforetak.

Legeforeningen ser imidlertid at de organisatoriske grensene kan være uhensiktsmessige eller tilfeldige, og lite egnet som avgrening for tilgang til informasjon i et moderne forhandlingsforløp. Også hensynet til å unngå mangfoldiggjøring av sensitive opplysninger tilsier at mulighetene for sikker og behovsstyrt direkte tilgang bør utredes. Det bør under enhver omstendighet ikke åpnes for dette før de tekniske løsninger er på plass.

Vedtatt av Sentralstyret 11. mars 2008

Forhandlings- og helserettsavdelingen

1) Jf. helseregisterloven § 16.
2) Jf. Sosial- og helsedirektoratets rundskriv IS-7/2006.
3) Jf. helsepersonelloven §§ 25 og 45.
4) Jf. Sosial- og helsedirektoratets brev av 6. februar 2006 til Datatilsynet.
5) Det gjelder også rettslige restriksjoner i ansatt hjelpepersonells innsynsrett.
6) Jf. helseregisterloven § 13.

Mer om emnene

Send epost til posten@legeforeningen.no. Husk skriv hvilken publikasjon det gjelder, hvor mange du ønsker og fakturainformasjon.