Frykter fri flyt

Datatilsynet er svært kritisk til lovendringen som åpner for økt tilgang til pasientopplysninger på tvers av virksomheter. Dette er opplysninger som i sin natur er svært sensitiv og privat informasjon. Derfor er hensynet til personvern særlig viktig i denne sammenheng, mener tilsynet. Tilsynet synes også det er et tankekors at initiativet til den nye loven ikke kommer fra et samlet fagmiljø, fra pasientorganisasjoner eller fra tilsynsmyndighetene, men fra Helsedepartementet og de regionale helseforetakene.

Hva er nødvendig?

I loven blir det understreket at det nye helseregisteret bare skal inneholde opplysninger som er "nødvendige og relevante" for mottakers behandling av pasienten. Det beroliger langt fra Datatilsynet:

- Enhver pasientopplysning er en potensiell «nødvendig og relevant» opplysning for medisinsk behandling. Dersom mottaker skal vurdere hvilke konkrete opplysninger som er nødvendige og relevante i den enkelte journal, må han nødvendigvis gis tilgang til hele journalen. Faren er stor for at han derved får tilgang til opplysninger som ikke er nødvendige og relevante. For at helsepersonell i realiteten skal bevare taushet om forhold som ikke er nødvendige og relevante for mottaker, må den taushetspliktige selv foreta vurderingen, ifølge saksbehandler Cecilie Rønnevik.

Hun understreker at det å gi noen tilgang til en pasient journal skiller seg vesentlig fra det å utlevere journal opplysninger.

Mangler system

Datatilsynet påpeker videre at loven forutsetter at helsesektoren har system og rutiner som bare gir tilgang til de journalopplysningene som på forhånd er blitt vurdert å være nødvendige og relevante. Det er ikke virkeligheten i dag, mener tilsynet.

- De elektroniske pasientjournaler som i dag brukes ved landets helseforetak er bygget opp slik at opplysningene ikke er systematiserte, utover at opplysningene føres kronologisk. Tilgangen til slike journaler vil derfor lett medføre en utlevering av opplysninger som ikke er relevante og nødvendige, og derfor ikke skulle ha vært utlevert, ifølge Datatilsynet.

Taushetsplikten

Tilsynet stiller også spørsmål ved om dette lar seg gjennomføre i tråd med gjeldende bestemmelser om helsepersonellets taushetsplikt.

- Det soleklare utgangspunktet er at helsepersonell har en aktiv og personlig plikt til å bevare taushet om de opplysninger han besitter som følge av sin stilling, om pasienten, dennes pårørende og så videre. Likevel har det skjedd en dramatisk utglidning i forbindelse med innføring av elektroniske informasjonssystemer i helsesektoren, påpeker Datatilsynet i sitt høringssvar.

- Kontroller vi har gjort viser at både helsepersonell og andre ansatte i helsesektoren allerede har altfor vid tilgang til å tilegne seg pasientopplysninger i den elektroniske journalen og de administrative systemer. Samtidig er virksomhetenes kontroll med hvilke opplysninger  den enkelte ansatte faktisk tilegner seg altfor svak.

Datatilsynet viser til at et middels stort sykehus i Helse Sør-Øst har 1,4 millioner oppslag i sitt elektroniske pasientjournalsystem per måned. Det store antall oppslag i journalene gjør det svært ressurskrevende, og tilnærmet umulig, å avdekke snoking på en systematisk og effektiv måte.

- Teknologibransjen har ikke klart å etablere informasjonssystemer med en tilgangsstyring som reflekterer den enkelte ansattes tjenstlige behov. Når den enkelte behandlingsinstitusjon ikke makter å sørge for at informasjonskontrollen internt støtter opp om den enkelte ansattes personlige plikt til å bevare taushet overfor sine kolleger, bør ikke virksomhetsgrensene utvides, mener Datatilsynet.