Personvern, en risiko Hvem skal ha tilgang til opplysninger om den hemmelige faren til Marit Arnstads sønn? Hvem skal ha tilgang til pasientjournalene? Tekst: BJØRN ØSTBY SAMMENDRAG Tiden det tar å få tilgang til nødvendige opplysninger i pasientbehandlingen kan være helt avgjørende under en behandling. Forsinket tilgang kan i verste fall ende med dødsfall. På den andre siden kommer hensynet til pasientens personvern. Er pasientopplysninger godt nok sikret på norske helseinstitusjoner? Manglende taushetsplikt Helsetilsynet i Hordaland, Statens helsetilsyn og Datatilsynet gjennomførte i vår tilsyn ved Hauke- land Universitetssykehus i Bergen. Kontrollørene avdekket at innholdet i de elektroniske pasientjournalene ikke var forsvarlig vernet mot ansatte uten legitimt behov for innsyn i opplysningene. Datasystemet var rett og slett dårlig tilpasset en organisering der helsepersonell arbeider på tvers av post, seksjon og avdeling. Tilsynspersonellet fant derfor grunn til å anta at også andre helseforetak har liknende utfordringer. Lett å sniklese – De elektroniske journalene er ikke i seg selv det største problemet, hevder Gunnel Helmers, seniorrådgiver i Datatilsynet. – Verre er det at sikkerhetstiltak, tilgangskontroller og etterkontroller ikke benyttes i tilstrekkelig grad. Det er for lett for uvedkommende å snik- lese i journalene. Hun understreker at Datatilsynet også ser det positive i de elektroniske pasientjournalene. De kan bli mer tilgjengelige enn papirjournalene. Liten tilgang Hva med helsepersonellets behov for informasjon: Er relevante, korrekte og oppdaterte journalopplysninger tilgjengelige når de trengs og hvor de trengs? – Vi har et strengt regelverk, hvor tolkningene til dels har vært uklare. Arbeid gjenstår for å få de elektroniske pasientjournalene til både å ivareta regelverkets krav og samtidig være tilgjengelige i pasientbehandlingen, forteller Lars Duvaland, jurist i Legeforeningens avdeling for forhandlings- og helserett. Fare for tidstap Regelverket stiller krav til at innsyn i en journal først kan skje etter at en beslutning om dette er truffet. Det forutsettes med andre ord at helsepersonellet ikke skal ha direkte tilgang til opplysninger på en avdeling eller på et sykehus til enhver tid. Her må det arbeides videre for å utvikle systemer som gjør at beslutninger om tilgang på informasjon innarbeides i beslutningene under pasientbehandlingen. – Etterfølgende kontroll av hvem som har vært inne i journalen er også viktig, og bør antakelig brukes i langt større grad enn i dag. Mengden av oppslag vil likevel gjøre en slik kontroll praktisk vanskelig, mener Duvaland. – Dersom de nye elektroniske pasientjournalene letter tilgangen på informasjon, blir det ikke nødvendig å endre på dagens taushetsplikt. Et problem er likevel at ulike sykehus benytter forskjellige tekniske løsninger for elektronisk pasientjournal. Viktigst er livet Det er ikke nødvendigvis en motsetning mellom pasientenes personvern og helsepersonellets behov for informasjon. – Å holde pasienten i live er også personvern. Informasjonssikkerhet handler ikke bare om kon- fidensialitet, men også om informasjonens tilgjengelighet og riktighet, påpeker Gunnar René Øie, stipendiat ved Institutt for datateknikk og informa- sjonsvitenskap ved NTNU i Trondheim. Dersom den praktiske tilretteleggingen blir gjort på riktig måte, er personvern og riktig helsehjelp en og samme ting, hevder han. Gunnel Helmers Lars Duvaland De elekroniske pasientjournalene gir oss en ny mulighet til å vurdere hvor strikt hemmeligholdet skal være rundt den enkeltes personopplysninger. Den nye teknologien kan åpne for tyvtittere, men også bidra til å redde liv. temahefte-08