De vanskelige helseopplysningene

Fra nyttår trådte nye helselover i kraft. Her er hovedregelen at pasientopplysninger skal være tilgjengelig for helsepersonell når de er nødvendige – uavhengig av hvilket helseforetak som har samlet inn opplysningene. Likevel er det ingen storstilt deling av pasientinformasjon mellom helsevirksomheter i dag. Hvorfor er deling av pasientopplysninger i helsesektoren så vanskelig?

Helse_bilde

I Norge gjelder strenge regler for behandling av personopplysninger, og det sies at den norske personopplysningsloven er blant de strengeste i Europa. Helsesektoren er regulert av egne personvernlover og her er reglene enda strengere. Tidligere var dette spesielt tydelig når en helseinstitusjon forsøkte å få tilgang til pasientopplysninger fra pasientjournalene til en annen virksomhet.

Fra forbud til påbud

En særegen bestemmelse for helsetjenesten var forbudet mot å gi tilgang til pasientopplysninger på tvers av virksomhetsgrenser. For eksempel kunne et lokalsykehus ikke få tilgang til pasientopplysninger samlet inn av en fastlege. Og et sykehus kunne ikke få tilgang til pasientopplysninger samlet inn av et annet sykehus. Dette selv om flere virksomheter var involvert i behandlingen av én pasient.

Forbudet mot tilgang på tvers, som det ble kalt, var en kontroversiell, upopulær og latterliggjort bestemmelse. For selv om den nok var et uttrykk for at Stortinget anser helseopplysninger som spesielt beskyttelsesverdig, mente mange at bestemmelsen forhindret en helhetlig helsetjeneste med effektiv pasientbehandling. Det er ingen tilsvarende bestemmelse i det øvrige personvernregelverket.

Fra nyttår fikk vi nye personvernregler for helsesektoren: pasientjournalloven og helseregisterloven. Disse snur opp ned på reglene om tilgang på tvers av virksomhetsgrenser. Nå skal pasientopplysninger være tilgjengelige for andre virksomheter når de er nødvendige for behandlingen. Med nytt regelverk på plass burde deling av pasientinformasjon være en selvfølge. Likevel er det lite som tyder på at delingen av pasientopplysninger i helsesektoren har fått stor utbredelse. Hvorfor ikke?

Strenge krav

For at en virksomhet kan gi andre virksomheter tilgang til den pasientinformasjonen de har i sine journaler og helseregistre er det en rekke krav som må etterleves. Disse kravene finner vi i forskrift om tilgang til helseopplysninger mellom virksomheter. Det sentrale kravet er at den som gir tilgang må inngå en skriftlig avtale med den virksomheten som skal få tilgangen. Denne avtalen skal blant annet beskrive hvordan helsepersonellet som får tilgang skal identifiseres, hvilke rutiner helsepersonellet må følge og hvilke situasjoner som kan utløse tilgangen.

At to virksomheter skal inngå en avtale seg imellom for å gi hverandre tilganger høres rimelig ut. Samtidig fins det 25 helseforetak, nesten 5000 fastleger og et stort antall andre behandlere her i landet. Det er etter hvert mer regelen enn unntaket at pasienter overføres fra en institusjon til en annen i et behandlingsløp. Dermed vil en-til-en-avtaler mellom helseforetak fort bli en utfordring for å oppnå lovverkets formål.

Videre må de samarbeidende virksomhetene gjennomføre egne risikovurderinger av tilgangene. Begge virksomheter må også registrere (logge) hvilke opplysninger det er gitt tilgang til. Både avgivende og mottakende virksomhet skal altså ha en oversikt over hvem som har sett hvilke pasientopplysninger.

Det er videre et krav om at pasientene skal informeres om hvem som har fått tilgang til sine opplysninger. Pasientene skal også ha anledning til å sperre sine egne pasientopplysninger fra å utleveres til andre helsevirksomheter.

Helse_bilde 2

Strukturerte data

I tillegg skal virksomhetene være trygge på at den informasjonen det gis tilgang til skal være nødvendig for å gi eller administrere helsehjelp. I dagens journaler der pasientopplysninger sjelden er strukturert vil det å velge ut hvilke informasjonselementer det skal og ikke skal gis tilgang til bli krevende. Datatilsynet har flere ganger gjennomført tilsyn med helseforetakenes interne tilgangsstyring og påpekt alvorlige mangler. Hvis sykehusene ikke engang har orden “i eget hus”, hvordan kan de da forventes å ha kontroll over tilganger fra andre sykehus?

Til slutt følger personvernregelverkets alminnelige krav til behandling av personopplysninger. Dette innebærer blant annet å føre kontroll av tilganger, kryptering av kommunikasjon, informasjonssikkerhet og rutiner for å håndtere avvik. I sum utgjør alle disse kravene betydelige utfordringer for samarbeid om tilgang til helseopplysninger.

Hvem er først?

Helseopplysninger er de mest private og beskyttelsesverdige opplysningene vi har. Det skal være strenge krav til hvem som får tilgang til dem og hvordan tilganger forvaltes. Utfordringen er å få til tilgang på tvers som er i henhold til regelverket og som støtter opp om helhetlige pasientforløp. Det skal være mulig å få til begge deler!

Det er myndighetenes ønske at landets sykehus og fastleger gjør nødvendige pasientopplysninger tilgjengelige uavhengig av virksomhetsgrense. Hvem blir de første til å få til tilgang på tvers på en lovlig måte?

 

Marius Engh Pellerud er seniorkonsulent i Sopra Steria. Han arbeider som rådgiver innen risiko og informasjonssikkerhet.

Marius Engh Pellerud er seniorkonsulent i Sopra Steria. Han arbeider som rådgiver innen informasjonssikkerhet, personvern og risiko.

6 kommentarer om “De vanskelige helseopplysningene

  1. Mulig det er for enkelt, men hvis pasienten selv samler informasjonen og gir tilgang for behandlende sted omgås vel alle utfordringene? Med selv å samle mener jeg selvfølgelig i et dertil egnet system

  2. Det at pasienter selv samler og gjør informasjon tilgjengelig for helsepersonell er en interessant tanke. Elementer av dette finner du i Nasjonal kjernejournal som nå er under utprøving. Her kan pasienten selv registrere informasjon som kan være nyttig for helsepersonell. Pasienter kan også styre hvem i helsetjenesten som skal få tilgang til hva i kjernejournalen. Kjernejournal er utviklet for å bli benyttet i akuttsituasjoner, men det er fullt mulig å se for seg at den tekniske løsningen kan brukes til annen behandling også.

    Mer om kjernejournal her: https://helsedirektoratet.no/kjernejournal

    Slik jeg ser det er det likevel to utfordringer med å basere pasientbehandling på opplysninger registrert av pasienten selv:

    For det første har leger en tendens til ikke å stole på opplysninger fra folk som ikke er selv helsepersonell. Dette er det gode grunner til, vi mennesker har lett for å feildiagnostisere oss selv.

    For det andre har helsepersonell en plikt til å gjøre føre en detaljert journal over den helsehjelpen de gir. For mange pasienter er det snakk om store mengder data som man ikke kan forutsette at en pasient skal kunne forstå, huske, og så registre informasjonen i et system selv i etterkant. Mulighetene for feil og mangler blir store.

    Jeg tenker selvregistrering er et godt supplement til, men ikke en erstatning for journalføring. Derfor blir det uansett behov for et regime for deling og tilgjengeliggjøring av helseinformasjon mellom behandlingsinstitusjoner.

  3. Et gitt scenario hvor relevant validert kliniske koder, diagnoser, prøvesvar etc gjøres tilgjengelig som metadata i et industristandard format i en metakatalog hvor jeg eier dataene som data kontroller – helseforetakene oppbevarer jo bare denne på mine vegne som data prosessor, så står jeg fritt som borger og individ til å dele den informasjonen jeg ønsker med de til en hver tid godkjente kildene som systemet tillater meg å dele det med. Med en stardisert prosess for å bli godkjent kilde har man kommet langt. Innenfor deling står ovenfor en revolusjon innen pasient informasjon, hvor vi som individer sitter på et rekke tilgjengelige helseopplysningee om oss selv: blodsukker målere, vekter, pulsmålere, blodtrykkssensorer osv. Verdien av disse dataene må også tas i betraktning når man skal definere deling av pasient data. Veien til åpenhet og informasjonsdeling ligger i å frigjøre seg fra propritære «systemer» og helsefortakenes forestilling om at de eier datene mine/våre. Jeg eier mine data! Som et eksempel jeg sitter på 10+ år med detaljert informasjon om hvordan mitt hjertet fungerer i alle typer fysisk aktivitet. Jeg vil tro at dette er meget verdifull informasjon for min kardiolog, men i dag har jeg ingen måte å dele disse dataene mine med legen min eller få den inn i min journal.

  4. Jeg synes det er en skikkelig tøff og nødvendig satsning som nå gjøres for nasjonale helsejournalerl. Det som likevel er litt overraskende er at det ikke standardiseres på et journalsystem i sykehusene, det ville i stor grad gjort Nasjonal kjernejournal overflødig.

    Nå er det slik at de regionale helseforetakene selv kan velge leverandører av journalsystem, og de har ikke valgt de samme leverandørene i alle regioner. Men flere av regionene har nå så like løsninger at de ikke er langt unna å kunne begynne arbeidet med å konsolidere databaser og opprette nasjonale løsninger for sykehussektoren. Jeg tror ikke løsningen for helhetlig informasjonsflyt ligger i utvidelse av løsningen for Nasjonal kjernejournal, men tvert i mot konsolidering av de store sykehusdatabasene. Det er selvfølgelig ikke uproblematisk når så store datamengder samles på et sted, men dit er man på vei uansett med Nasjonal kjernejournal. Løsningen for disse fellesdatabasene eksisterer, og de har allerede et apparat for innsynslogging og tilgangsstyring. I tillegg jobbes det med løsninger for direkte pasientinnsyn på egne data.

Legg inn en kommentar