Vedlegg 7
- Brev fra Funksjonshemmedes Fellesorganisasjon til helse- og omsorgskomiteen, datert 14. mai 2009
Funksjonshemmedes Fellesorganisasjon viser til overnevnte Ot.prp. og vil gi noen merknader til komiteen om saken.
Helse- og omsorgsdepartementet ønsker gjennom forslagene i Ot.prp.nr.51 (2008-2009), å gjøre endringer i lovverket slik at det kan åpnes for elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrenser innen helsetjenesten. Dette for å sikre nødvendig helsehjelp og understøtte samhandling i helsetjenesten.
FFO vil innledningsvis si at vi støtter et system med mulighet for at pasientopplysninger kan gjøres tilgjengelig på tvers av virksomhetsgrenser, men vi støtter ikke endringer som innebærer mulighet for vide elektroniske tilgangsrettigheter til journalopplysninger på tvers av virksomheter slik lovforslaget åpner for. FFO mener at direkte elektronisk tilgang til journalopplysninger på tvers av virksomheter kun skal kunne gis gjennom en kjernejournal samt gjennom elektronisk meldingsutveksling.
FFO ber komiteen etterlyse en redegjørelse og dokumentasjon fra HOD om hvilket behov det er for å tillate vide tilgangsrettigheter til pasientopplysninger på tvers av virksomheter slik som det legges opp til i lovforslaget.
FFO ber komiteen etterspørre HODs begrunnelse for hvorfor vide tilgangsrettigheter til journalopplysninger på tvers av virksomhetsgrenser er hensiktsmessig i en akuttsituasjon.
FFO be komiteen etterspørre en redegjørelse for hvordan de skal kunne sikre at sensitive pasientopplysninger ikke spres, ved at det åpnes for vide tilgangsrettigheter til EPJ på tvers av virksomheter.
FFO ber komiteen etterlyse en grundig redegjørelse fra HOD om hvordan en kan sikre at personvernet blir tilstrekkelig ivaretatt ved at opplysninger i EPJ gjøres tilgjengelig på tvers av virksomheter, særlig tatt i betraktning når tilsyn viser at dette ikke engang er tilstrekkelig ivaretatt internt i mange helseforetak.
FFO ber komiteen etterlyse en redegjørelse for hvorfor ikke lovforslaget avgrenses til å bare å gjelde kjernejournal og elektronisk meldingsutveksling.
FFO ber komiteen etterspørre en redegjørelse fra HOD om hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes klare kritikk av tilgangskontrollen og de manglende kontrollrutiner med hvem som tilegner seg journalopplysninger og i hvilken hensikt.
FFO vil be komiteen etterlyse en grundigere vurdering av de økonomiske og teknologiske utfordringene lovforslaget vil innebære, enn det som framgår av lovforslaget.
FFO oppfordrer komiteen til å be HOD gi Stortinget en grundig redegjørelse gjennom å besvare de overnevnte spørsmål før komiteen realitetsbehandler lovforslaget
Datatilsynet og Statens helsetilsyn har gjennomført tilsyn med helseforetakene om sikkerhet rundt elektroniske pasientjournaler, og har avdekket at sikkerhetsrutinene i mange tilfeller er altfor dårlig. Det viser seg at helsepersonell og andre ansatte har gjennomgående for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske pasientjournalen. I tillegg er kontrollen med hvilke opplysninger de ansatte tilegner seg for svak.
Det å åpne lovverket for en elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrensene forutsetter en god tilgangsstyring, og oversikt over hvem som tilegner seg opplysninger slik at de journalopplysninger som gjøres tilgjengelig bare gis til de som har behov for det, og at opplysningene har relevans for behandlingen.
Erfaringene viser at sikkerhetsrutinene rundt elektroniske journaler ikke ivaretas på en betryggende måte internt i den enkelte virksomheter i dag. Dette gjør at en tilgang på tvers av virksomheter kan utgjøre en risiko for at sensitive pasientopplysninger kan flyte fritt mellom virksomheter. Mange helseforetak har ikke journaler som angir noe strukturert skille mellom sensitive og ikke sensitive opplysninger i EPJ, dette øker faren for at uvedkommende kan få tilgang til sensitiv informasjon som de absolutt ikke burde ha. Dette mener FFO svekker personvernet i betydelig grad.
Taushetsplikten i helsepersonelloven er en personlig plikt som er sterkt forankret hos helsepersonell og som er viktig for at sensitive pasientopplysninger ikke gis til andre enn de som har et klart tjenestelig behov. Erfaringer viser imidlertid at den personlige taushetsplikten ikke er tilstrekkelig som styringsverktøy for å forhindre at sensitiv informasjon ikke gjøres tilgjengelig for de som ikke burde få tilgang til slike opplysninger. Med vide tilgangsrettigheter og svake kontrollrutiner i virksomhetene vil ikke taushetsplikten være et sterkt nok vern for at opplysninger ikke tilkommer uvedkommende. I tillegg til taushetsplikten er det nødvendig å ha systemiske begrensninger som i størst mulig grad kan hindre urettmessige oppslag.
Departementet har etter FFOs oppfatning ikke i tilstrekkelig grad tatt hensyn til den faren den svake tilgangstyringen og de manglende kontrollrutiner er for personvernet. FFO vil sitere Statens helsetilsyn som skriver:
"Nevnte tilsyn med tilgang til EPJ innenfor virksomhetene taler ikke for utvidelse av tilgangsrettigheter."
Siden tilsynet har påpekt de vide tilgangsrettighetene som en klar svekkelse av personvernet, er FFO undrende til at departementet tillegger konklusjonen i tilsynsrapportene fra Statens helsetilsyn og Datatilsynet så liten vekt. Etter FFOs oppfatning burde disse tilsynsrapportene dannet grunnlag for utarbeidelse av strategier for hvordan sikre god tilgangsstyring og kontrollrutiner internt i virksomhetene, før en åpner for vide tilgangsrettigheter på tvers av virksomheter.
Forslaget til endringer i lovverket åpner etter FFOs oppfatning for vide tilgangsrettigheter til journalopplysninger på tvers av virksomheter. FFO mener at man isteden for å åpne for vide tilgangsrettigheter må lage løsninger som siden gir tilgang til en avgrenset kjernejournal, hvor bare de mest nødvendige opplysninger om pasienten er tilgjengelig, slik som medisinbruk og allergier og lignende. Det er slike kjerneopplysninger som er nødvendig og tilstrekkelig å ha i en akuttsituasjon for å yte nødvendig helsehjelp. Erfaringer fra Skottland som har hatt et system med kjernejournal i tre år, har vist at dette gir svært god funksjonalitet. FFO er derfor forundret over at HOD ikke redegjør nærmere for et kjernejournalsystem som vil kunne ivareta både hensynet til behovet for nødvendig tilgang til vitale opplysninger og et godt personvern.
FFO vil be komiteen medvirke til at HOD gir en grundig redegjørelse for hvorfor ikke kjernejournal legges som ramme og avgrensning for utveksling av nødvendige opplysninger på tvers av virksomheter i helsetjenesten.
En pasientjournal hvor opplysningene ikke kategorisert, systematisert og avgrenset, vil ikke være et godt verktøy i en akuttsituasjon. Helsepersonell som behandler pasienten vil måtte lete etter relevante kjerneopplysninger om pasienten. Slike usystematiserte journaler kan være mer til skade enn til gagn i en akuttsituasjon.
FFO mener derfor at et system med kjernejournal med de mest vitale opplysninger om pasienten er kun det som trengs av opplysninger for gi nødvendig helsehjelp i en akuttsituasjon.
Det kan allikevel være viktige journalopplysninger som ikke framgår av kjernejournalen, og som kan være nødvendig i en behandlingssituasjon. Slike opplysninger bør også kunne gjøres elektronisk tilgjengelig på tvers av virksomheter. Elektronisk meldingsutveksling hvor en har god tilgangskontroll mener FFO vil være et godt alternativ for slikt formål av. Potensialet for elektronisk meldingsutveksling er ikke tilstrekkelig utnyttet i helsetjenesten, og FFO mener at det vil kunne være et egnet system, som også vil ivareta viktige personvernhensyn.
FFO mener at HOD ikke i nødvendig grad drøfter de økonomiske og teknologiske utfordringene som en implementering av lovverket vil innebære for virksomhetene. Slik det fremgår av Ot.prp.nr.51 skal tilpasning av krav etc gjøres innen for de til enhver tid gjeldende økonomiske rammer for virksomhetene. FFO mener at departementet i denne sammenheng undervurderer kostnadene ved en slik implementering og vil be komiteen etterlyse grundigere analyser av disse forhold enn det som går fram av lovforslaget.
FFO støtter ikke forslaget om å gjøre EPJ tilgjengelig på tvers av virksomhetsgrenser uten at det etableres innenfor rammene av en samtykkebasert kjernejournal hvor pasient og helsepersonell i fellesskap har blitt enig i hvilke opplysninger som skal fremgå av journalen. Slik FFO ser det vil en kjernejournal dekke behovet for vitale opplysninger som er nødvendig i en akuttsituasjon. Ytterligere behov for journalopplysninger kan utveksles gjennom elektronisk meldingssystem. FFO vil med dette anmode komiteen om å medvirke til at HOD redegjør for Stortinget på egnet måte, de spørsmål som FFO har reist i denne merknaden.