Innstilling fra helse- og omsorgskomiteen om lov om endringer i helseregisterloven og helsepersonelloven (tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av behandlingsrettede helseregistre på tvers av virksomheter)
Dette dokument
- Innst. O. nr. 110 (2008–2009)
- Kildedok: Ot.prp. nr. 51 (2008–2009)
- Dato: 04.06.2009
- Utgiver: helse- og omsorgskomiteen
- Sidetall: 36
Tilhører sak
Alt om
Innhold
- 1. Innledning
- 2. Utlevering av og tilgang til journal og journalopplysninger – forslag til endringer i helsepersonelloven § 45
- 3. Tilgang til virksomhetsinterne behandlingsrettede helseregistre på tvers av virksomhetsgrenser – endring i helseregisterloven § 13
- 4. Etablering av virksomhetsovergripende, behandlingsrettede helseregistre, samt meldeplikt til slike registre
- 5. Etablering av virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap – felles pasientjournal
- 6. Økonomiske og administrative konsekvenser
- 7. Forslag fra mindretall
- 8. Komiteens tilråding
- Vedlegg 1
- Brev fra Helse- og omsorgsdepartementet v/statsråden
til Sosialistisk Venstrepartis stortingsgruppe,
datert 29. mai 2009
- Spørsmål fra Den norske Legeforening til Stortingets
helse- og omsorgskomité vedr. Ot.prp. nr. 51 (2008-2009)
- Konsekvensanalyser av forslaget i forhold til personvernet.
- Hvordan Personvernkommisjonens advarsel i NOU 2009: 1 kapittel 6, vil bli ivaretatt?
- Hvordan kan det sikres at sykehusansattes tilgang til journal hos fastlege begrenses til det som er relevant og nødvendig informasjon, dvs. uten tilgang til øvrige deler av journalen?
- Hvor store endringer/investeringer vil dette innebære i forhold til dagens journalsystemer?
- Hvor store endringer dette vil innebære i forhold til praksis med hensyn til fortløpende nedtegning av journalopplysninger.
- Hva som skal være kriterier for å få tilgang til for eksempel en journal hos fastlegen og hvordan slik tilgang skal begrenses i personkrets og innhold.
- Hvordan befolkningen og pasientene skal opplyses om hvem som har tilgang til journalen og på hvilket grunnlag
- Hvordan befolkningen og pasientene skal kunne reservere seg mot at andre enn den som har mottatt opplysninger senere skal ha tilgang til disse opplysninger
- Fordeler og ulemper med forslaget om å åpne for fri tilgang til pasientjournaler – sammenlignet med fordeler og ulemper med å fortsette utviklingsarbeidet når det gjelder bruk av målrettede meldinger fra behandlere over helsenett, evt. i kombinasjon ...
- Konsekvenser av forslaget for den alminnelige tillit til helsetjenesten
- Hvordan tilgangskontroll og informasjonssikkerhet rent faktisk kan ivaretas med dagens teknologi.
- Virkninger og forskjellen mellom utlevering og direkte tilgang, når man ved direkte tilgang ikke får målrettet informasjon basert på en bestilling, men må gå gjennom store deler av journalen for å finne det som er nødvendig og relevant?
- Om det er juridisk holdbart at en eventuell tilgang hjemles ved avtaler mellom helseforetak og ikke i lov. Dvs. at de nærmere vilkårene for tilgang ikke blir fastsatt av lovgiver, men det enkelte helseforetak.
- Om loven kan vedtas når avgjørende forutsetninger ikke foreligger
- Om det er akseptabelt at tilgang på tvers gis inntil denne og andre forutsetninger foreligger, mens det i mellomtiden er fare for at sensitive opplysninger spres til den om ikke har tjenstlig behov.
- Om Stortingets rolle i saken: om den skal vedta hjemmel før utredninger som allerede er satt i gang av departementet vedrørende behov, konsekvenser for personvernet, økonomi, innhold andre forhold er ferdigstilt.
- Om Stortinget skal vedta forskrift som etablerer en eventuell kjernejournal, enten denne er lokal, regional eller sentral.
- Forholdet mellom flertallsregjeringen og Stortinget i spørsmål av særlig betydning for befolkningen, som personvernspørsmål
- Spørsmål fra Den norske Legeforening til Stortingets
helse- og omsorgskomité vedr. Ot.prp. nr. 51 (2008-2009)
- Brev fra Helse- og omsorgsdepartementet v/statsråden
til Sosialistisk Venstrepartis stortingsgruppe,
datert 29. mai 2009
- Vedlegg 2
- Vedlegg 3
- Vedlegg 4
- Vedlegg 5
- Vedlegg 6
- Vedlegg 7
- Brev fra Funksjonshemmedes Fellesorganisasjon til helse- og omsorgskomiteen, datert 14. mai 2009
- Vedlegg 8
- Vedlegg 9
Helse- og omsorgsdepartementet legger i proposisjonen fram forslag til endringer i helseregisterloven og helsepersonelloven. Formålet med lovendringene er å fjerne regler som hindrer effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten, samtidig som pasientens rett til konfidensialitet og vern om personlig integritet ivaretas.
Det vises til at behovet for å vurdere nye måter å kommunisere pasientopplysninger på har vært framhevet i flere sammenhenger, og at det også flere ganger de siste årene har vært tema i Stortinget.
Det vises videre til strategiplanen "Samspill 2.0 Nasjonal strategi for elektronisk samhandling i helse- og omsorgssektoren 2008–2013" der ett av planens 11 innsatsområder omhandler tilgang til pasientinformasjon, herunder tilgang til informasjon på tvers av virksomheter. Lovforslaget er en oppfølging av innsatsområde 5, tiltak 1 i strategiplanen.
Det framholdes at det er både teknologiske og helsefaglige grunner til at det bør vurderes å åpne for nye informasjonssystemer og mer fleksibel tilgang til disse for å løse helsefaglige behov. Det skjer en utvikling innen helsesektoren som gir nye undersøkelses- og behandlingsmetoder, og som medfører økende spesialisering. Dette betyr at pasienten oftere behandles av samarbeidende personell som tilhører forskjellige virksomheter, og som alle trenger tilgang til pasientdata.
Det er departementets vurdering at lovendringene vil være et godt virkemiddel for bruk av IKT-løsninger ved ytelse av helsehjelp til beste for pasienter samtidig som taushetsplikten og personvernet ivaretas.
Det framholdes at økende spesialisering og funksjonsdeling skaper et økende behov for å utnytte kompetanse på tvers av virksomhetene i pasientbehandlingen, og at det er behov for en bedre og tettere samhandling enn det som den tradisjonelle henvisnings- og epikriseutvekslingen gir anledning til.
I dag er det ingen samordning av oppdateringen av pasienters medisinkort mellom de ulike aktørene som deltar i behandlingen av en pasient. Departementet mener det er behov for et system som viser en oppdatert og samlet oversikt over hvilke legemidler pasienten bruker til enhver tid.
Departementet sendte forslag til endringer i helseregisterloven, forslag til endringer av helsepersonelloven og forslag til forskrift om informasjonssikkerhet og elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre på høring i oktober 2008 med høringsfrist i januar 2009.
57 høringsinstanser hadde merknader til ett eller flere av spørsmålene i høringsforslaget.
Det redegjøres i proposisjonen for relevant gjeldende rett slik en finner det i helsepersonelloven, pasientrettighetsloven, helseregisterloven og personopplysningsloven.
Det foretas også en drøfting avforholdet til menneskerettighetene.
Det foretas videre en drøfting av personvern og informasjonssikkerhet, og det vises bl.a. til NOU 2009:1 Individ og integritet som Personvernkommisjonen la fram i januar 2009.
Muligheter og utfordringer ved tilgangskontroll ved henholdsvis bruk av papirjournal og bruk av elektronisk pasientjournal drøftes særskilt.
Det redegjøres for relevant regulering i Sverige, Danmark, Finland, Skottland, Nederland, England og Frankrike.
Komiteens flertall, medlemmene fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning og Sonja Irene Sjøli, fra Sosialistisk Venstreparti, Olav Gunnar Ballo, fra Kristelig Folkeparti, Knut Arild Hareide, og fra Venstre, Gunvald Ludvigsen, viser til sine forslag i innstillingen til Dokument nr. 8:70 (2008–2009) om helse og personvern, hvor flertallet blant annet foreslår opprettelse av en kjernejournal hvor livsnødvendige opplysninger om eksempelvis bruk av hjertemedisin eller livstruende allergier blir lagret, slik at de er tilgjengelige i alvorlige situasjoner hvor pasientens liv er i fare.
Komiteens medlemmer fra Høyre, Kristelig Folkeparti og Venstre anser at Ot.prp. nr. 51 (2008–2009) er en trussel mot personvernet og potensielt i strid med menneskerettighetene og privatlivets fred.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre viser til at Allmennlegeforeningen i brev av 13. mai 2009 skriver:
"Det er helt nødvendig å ha fokus på de grunnleggende elementene i elektronisk kommunikasjon i helsetjenesten, slik at man ikke får energi- og ressurslekkasjer fra det viktige fundamentale arbeidet med målrettet meldingsutveksling mellom helsevirksomheter – hvor mye arbeid dessverre fortsatt gjenstår – over i prestisjeprosjekter med enda høyere kompleksitet og stor risiko. Vi opplever ikke at det er redegjort i tilstrekkelig grad for hvilken nytte behandlere vil ha av elektronisk virksomhetsovergripende tilgang målt opp mot de omfattende kostnader og den usikre nytte som ligger i et slikt prosjekt. Man signaliserer slik vi leser det også et behov for et personidentifiserbart register som skal kartlegge alle bevegelser for alle brukere av helsetjenester i helse-Norge."
Disse medlemmer viser videre til at Allmennlegeforeningen anser at elektronisk tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende, behandlingsrettede helseregistre er teknisk prematurt, personvernmessig svært uheldig og feil signal.
Disse medlemmer viser også til at investeringskostnadene ved utviklingen av et slikt system vil være svært omfattende, og at dette må sees i sammenheng med andre og mer påkrevde prioriteter i utviklingen av elektronisk samhandling i helsetjenesten.
Komiteens medlem fra Sosialistisk Venstreparti viser til at det har vært uenighet mellom partiene hva gjelder de personvernmessige konsekvensene av lovforslagene, og at lovendringene slik de nå er foreslått av Arbeiderpartiet og Senterpartiet imøtekommer noen av disse innsigelsene. Sosialistisk Venstreparti ville helst valgt en løsning som ikke innebar at helsepersonell fra en annen virksomhet får direkte tilgang til opplysninger på tvers, men mener at de øvrige endringene som nå har kommet inn i stortingsbehandlingen, er av så stor betydning at Sosialistisk Venstrepartis representanter vil støtte forslagene og merknadene fra Arbeiderpartiet og Senterpartiet.
Dette medlem viser til sine merknader. Dette medlem mener at disse merknadene best synliggjør de motforestillingene som er reist fra tilsynsmyndigheter, fagmiljøer og pasientorganisasjoner til Regjeringens lovforslag. Dette medlem mener også at mindretallets alternative lovforslag best ivaretar de motforestillingene som er reist mot Regjeringens lovforslag med hensyn til personvern, og fremmer derfor alternative lovforslag i tråd med disse innvendingene.
Helsepersonellovens hovedregel om taushetsplikt følger av helsepersonelloven § 21. Taushetsplikten gjelder også mellom helsepersonell. Aktuelle bestemmelser om kommunikasjon og utveksling av helseopplysninger i behandlingsøyemed er helsepersonelloven §§ 25 og 45.
Det følger av helsepersonelloven § 45 at helsepersonell som mottar en anmodning om journalen eller opplysninger i journalen i behandlingsøyemed, i utgangspunktet har plikt til å etterkomme anmodningen, når dette er nødvendig for å yte helsehjelp. Det uttales at bestemmelsen i § 45 synes uklar og har gitt opphav til ulike tolkninger. Departementet foreslår på denne bakgrunn endringer i ordlyden på bestemmelsen.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker seg at forslaget i proposisjonen innebærer en utvidelse av hvem som kan få tilgang til journalen, og en utvidelse av hvem som kan gi slik tilgang til journal, ut over gjeldende reguleringer i §§ 25 og 45. Disse medlemmer bemerker at §§ 25 og 45 er gitt for å ivareta behovet for opplysninger til samarbeidende personell i og utenfor institusjonen. Bestemmelsene har samme formål og kriterier, men § 45 regulerer bruk av journal i samarbeidssituasjoner.
Komiteen, medlemmene fra Arbeiderpartiet, Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen og Dag Ole Teigen, fra Fremskrittspartiet, fra Høyre, fra Sosialistisk Venstreparti, fra Kristelig Folkeparti, fra Senterpartiet, Trygve Slagsvold Vedum, og fra Venstre, ser at forslaget henger sammen med forslaget om tilgang til journaler på tvers av virksomheter. Slik helsepersonelloven i dag er innrettet, kan helseopplysninger utleveres etter forespørsel og etter konkret vurdering av behov (evt. etter samtykke), mens forslaget til endringer i helsepersonelloven § 45 innebærer at helsepersonell kan få tilgang til en pasients journal. Forslaget må sees i sammenheng med forslaget til endring av helseregisterloven § 13.
Komiteen vil påpeke at bruk av elektronisk pasientjournal innebærer en rekke muligheter for å bedre samhandlingen mellom ulike helsevirksomheter.
Komiteen mener at de teknologiske mulighetene samtidig også innebærer store utfordringer knyttet til personvern i og med at muligheter for spredning av informasjon øker.
Komiteen mener det er viktig å finne en riktig balanse mellom hensynet til nødvendig pasientinformasjonsflyt og hensynet til personvernet.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, vil påpeke viktigheten av at taushetsplikten etterleves, slik det framgår av innledningen til proposisjonen. En pasient skal føle seg trygg på at utveksling av taushetsbelagt informasjon mellom helsepersonell bare skjer når det er absolutt nødvendig for behandling eller oppfølging av en pasient. Flertallet vil vise til at taushetspliktbestemmelsene skal hindre at pasienter unnlater å oppsøke helsetjenesten av frykt for at opplysninger om dem skal bli kjent av uvedkommende.
Flertallet viser til at helsepersonelloven §§ 25 og 45 i dag åpner for utveksling av helseopplysninger når dette er nødvendig for å kunne gi forsvarlig helsehjelp. Helsepersonelloven § 25 regulerer de situasjoner der helsepersonell samarbeider om helsehjelp til en pasient, mens helsepersonelloven § 45 regulerer adgangen til å utlevere helseopplysninger til andre som yter helsehjelp.
Flertallet har merket seg at bakgrunnen for forslaget til endringer i helsepersonelloven § 45 er at tolkningen av den har vært uklar og høyst forskjellig. Dersom ordlyden i § 45 tolkes strengt bokstavelig, vil det i enkelte tilfeller være praktisk umulig å utlevere pasientopplysninger som er helt nødvendige for å kunne tilby pasienten nødvendig helsehjelp, fordi den som skal vurdere forespørselen, ikke er tilgjengelig.
Flertallet vil påpeke at departementet legger til grunn i proposisjonen at helseopplysninger kan gis som utlevering av kopi eller tilgang til helseopplysninger i pasientens journal eller annet behandlingsrettet helseregister. Flertallet vil også understreke betydningen av at pasienten faktisk blir informert om muligheten for at slik tilgang kan gis, slik at kravet om samtykke blir reelt, jf. omtale av endringer av helseregisterloven § 13.
Flertalletmerker seg at det ved bruk av elektroniske systemer alltid må gjøres en vurdering/forhåndsvurdering av om opplysninger i en journal kan deles med annet helsepersonell som kan ha behov for disse, for å kunne tilby pasienten nødvendig helsehjelp. Flertallet er enig i at denne vurderingen må gjøres ved registreringen av opplysningene. Uansett må journalene være strukturert slik at andre som yter helsehjelp, kun gis tilgang til nødvendige helseopplysninger. Flertallet forutsetter at det blir gjort tilpasninger i de elektroniske journalsystemene, slik at de i alle deler av helsevesenet blir strukturert slik at nødvendige helseopplysninger kan skilles fra annen sensitiv personinformasjon.
Flertallet viser til at departementet på side 36 i proposisjonen uttaler at det i en aktuell behandlingssituasjon må være vedkommende lege/helsepersonell som har til oppgave å tilby pasienten helsehjelp, som må kunne vurdere om det er behov for å få tilgang til nødvendige helseopplysninger om pasienten, blant annet fordi det er dette helsepersonellet som i situasjonen er ansvarlig for at helsehjelpen som tilbys, er faglig forsvarlig. Flertallet deler denne oppfatningen. Flertallet vil påpeke viktigheten av at pasienten er godt informert om sine rettigheter ved bruk av elektroniske pasientjournaler, og at de rutinene og systemene som praktiseres, utformes og tilrettelegges slik at rettighetene oppfylles.
Flertallet støtter med dette departementets forslag til endring av helsepersonelloven § 45. På bakgrunn av flertallets forslag til endringer i helseregisterloven § 13, se nedenfor, foreslås det at det i tillegg inntas en ny setning som andre punktum i § 45 første ledd og som andre punktum i § 25 første ledd.
Flertallet fremmer følgende forslag:
"I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) gjøres følgende endringer:
§ 25 første ledd nytt andre punktum skal lyde:
For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd.
§ 45 første ledd andre og tredje punktum skal lyde:
For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger."
Komiteen viser til at departementets forslag til lovendring innebærer at annet helsepersonell fra interne eller andre virksomheter kan få tilgang til pasientopplysninger når det er inngått avtaler om dette.
Komiteens medlemmer fra, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre viser til at det er den som har skrevet journalen, eller databehandlingsansvarlig i virksomheten som kan gi slik tilgang. Departementet mener at vurderingen av hva som er nødvendig og relevant, foretas ved registrering av opplysningene.
Disse medlemmer deler Datatilsynets innvendinger hvor det sier at:
"Dersom mottaker skal vurdere hvilke konkrete opplysninger som er nødvendige og relevante i den enkelte journal, må han nødvendigvis gis tilgang til hele journalen. Faren er stor for at han derved får tilgang til opplysninger som ikke er nødvendige og relevante. For at helsepersonell i realiteten skal bevare taushet om forhold som ikke er nødvendig og relevante for mottaker, må den taushetspliktige selv foreta vurderingen."
Disse medlemmer vil også understreke betydningen av at pasienten faktisk blir informert om muligheten for at slik tilgang kan gis, slik at reservasjonsretten blir reell. Disse medlemmer vil påpeke at departementet legger til grunn i proposisjonen at helseopplysninger kan gis som utlevering av kopi eller tilgang til helseopplysninger i pasientens journal eller annet behandlingsrettet helseregister, altså tilgang til intern journal.
Disse medlemmer viser til at departementet sier at vurderingen av hva som er nødvendig, skal foretas av den som registrerer opplysningene. Disse medlemmer kan ikke se at dette kan fungere i praksis da det er umulig å foreta en vurdering av senere behov ved all registrering. Det vil også bety at den som skal registrere opplysningene, må gjennomgå langt flere opplysninger, også personsensitive, enn dem som har relevans for saken.
Disse medlemmer bemerker at det følger av loven §§ 39 og 40 og pasientjournalforskriften hva som skal innføres i journal. Hovedvilkåret i § 40 er at opplysninger skal være relevante og nødvendige. Hvilke forhold som er relevante og nødvendige ved utlevering av opplysninger, vil imidlertid variere fra gang til gang. For å sikre at kun nødvendig informasjon kommer til mottaker ved utlevering, må det foretas en vurdering av en som kjenner journal og pasient. En teknisk tilgang til journalopplysninger i et annet foretak gir etter disse medlemmers syn ingen kontroll med at opplysningene kun brukes i samsvar med databehandlingens formål og ikke til andre formål som for eksempel forskning. Dagens journalsystemer er heller ikke tilpasset selektiv utvelgelse av pasientdata hos mottaker, siden journalnotatene registreres fortløpende, uavhengig av diagnose. Ved gjennomgang av journalnotene hos mottaker må dermed hele journalen gjennomgås for å finne fram til opplysninger som kan ansees relevante for mottaker.
Disse medlemmer bemerker også at loven i dag har et velfungerende system for hvem som skal vurdere utlevering i § 39 (journalansvarlig) og pasientjournalforskriften, og ser dermed ingen begrunnelse for at denne ordningen skal endres til databehandlingsansvarlig. Disse medlemmer støtter dermed ikke departementets forslag til endring av § 45 i helsepersonelloven.
Disse medlemmer fremmer på denne bakgrunn følgende forslag:
"I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) skal § 45 lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som nevnt i § 39 gi nødvendige opplysninger i journalen til andre som yter helsehjelp etter denne lov, når dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt tilgang til journalen etter første punktum.
Helseopplysninger som nevnt i første ledd kan gis av den journalansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd."
Helseregisterloven skiller mellom tilgang til helseopplysninger og utlevering av helseopplysninger. Helseregisterloven § 13 setter de ytre rammer for hvem som kan gis tilgang til helseopplysninger. Elektronisk tilgang til helseopplysninger som behandles etter helseregisterloven, er begrenset til den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet. Begrensningen i helseregisterloven § 13 gjelder i tillegg til reglene om taushetsplikt i helsepesonelloven.
Helseregisterloven § 13 må ses i sammenheng med helseregisterloven § 16 som pålegger databehandlingsansvarlig og databehandler å sørge for tilstrekkelig sikring av helseopplysninger. Dersom noen utenfor den databehandlingsansvarliges eller databehandlers virksomhet har tilgang til helseopplysninger, har ikke databehandlingsansvarlig eller databehandler oppfylt sine plikter etter helseregisterloven § 16 til å sikre helseopplysninger.
Det framholdes at helseregisterloven § 13 – slik den i dag lyder – stenger for kommunikasjon mellom helsepersonell også der det er formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten. Dette er slik fordi helsepersonell i én virksomhet ikke står under instruksjonsmyndigheten til databehandlingsansvarlige eller databehandler i en annen virksomhet, og de kan følgelig ikke gis tilgang til journalen der den befinner seg i den andre virksomhetens elektroniske pasientjournalsystem. Mulighet til å gjøre seg kjent med nødvendige og relevante journalopplysninger er etter gjeldende rett gjennom utlevering av opplysningene, som elektronisk forsendelse eller meldingsutveksling eller som papirutskrift eller papirkopi.
Det uttales at det ut fra et personvernsynspunkt ikke nødvendigvis er bedre å utlevere en kopi av journalen/journalnotat enn å gi den aktuelle legen tilgang til journalen/journalnotatet der det ligger.
Departementet mener at de teknologiske muligheter i dag innebærer at taushetsplikten kan ivaretas også når det åpnes for tilgang til helseopplysninger på tvers av virksomheter. Det absolutte forbudet i helseregisterloven § 13 er etter departementets vurdering ikke lenger hensiktsmessig, fordi det ikke er nødvendig for overholdelse av taushetsplikten, og fordi det vanskeliggjør nødvendig samarbeid og samhandling mellom virksomheter som samarbeider om helsehjelp til pasienter.
Det er departementets mening at det er underordnet om tilgjengeliggjøringen skjer i form av kopiering og overføring av informasjon til mottaker/mottakers system, eller om det skjer i form av at mottaker gis innsyn i de avgrensede opplysningene som kan utleveres til mottakers system. Avgjørende for om det bør utvikles løsninger for meldingsutveksling eller om en bør åpne for tilgang på tvers, bør etter departementets syn være hvordan pasientens behov best kan ivaretas, og om sikker informasjonsutveksling er mulig. Det uttales at dagens kommunikasjons- og informasjonsteknologi gjør det mulig å sikre opplysningene, herunder kontrollmuligheter, og ivareta hensynet til pasientens rett til konfidensialitet ved tilgang til helseopplysninger på tvers av virksomheter. Departementet mener derfor at helseregisterloven § 13 bør endres slik at det åpnes for dette etter nærmere regulering i forskrift. Det understrekes at en helt overordnet forutsetning vil være at virksomhetene har systemer som faktisk er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten, og at det ikke gis tilgang til opplysninger som ikke er nødvendige av hensyn til helsehjelpen.
Det redegjøres i proposisjonen for en del hovedkrav for tilgang på tvers som departementet vil ta utgangspunkt i ved utarbeidelse av forskriften.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til at § 13 i helseregisterloven, slik den i dag er utformet, medfører at bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at departementets forslag innebærer at § 13 får et nytt annet ledd.
Flertallet viser til at utviklingen innen helsetjenesten og funksjonsfordeling og samhandling mellom ulike virksomheter og tjenester har medført et økende behov for kommunikasjon av taushetsbelagte opplysninger på tvers av virksomheter. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.
Flertallet viser til at § 13 i helseregisterloven slik den i dag er utformet, medfører at bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at Regjeringens forslag innebærer at § 13 får et nytt annet ledd:
"Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum."
Flertallet framhever at endringen i § 13 ikke innebærer unntak fra reglene om taushetsplikt. Det følger både av helsepersonelloven § 25 og § 45 at taushetsbelagte opplysninger bare kan kommuniseres når det er nødvendig for å kunne gi forsvarlig helsehjelp. Dette gjelder så vel kommunikasjon internt i virksomheten som mellom virksomheter.
Flertallet vil vise til at pasientrettighetsloven lovfester et generelt krav om samtykke som rettsgrunnlag for å yte helsehjelp. Samtykkekravet gjelder alle former for helsehjelp som pasienten mottar. Pasientens samtykke er bare gyldig dersom pasienten har fått nødvendig informasjon om tiltaket.
Flertallet mener at på samme måte som pasienten skal samtykke til helsehjelp, bør pasienten også få rett til å samtykke til elektronisk tilgang til de helseopplysningene som er nødvendige for at helsehjelpen som tilbys er forsvarlig.
Flertallet viser til at et samtykke til helsehjelp kan gis uttrykkelig eller stilltiende, slik det er definert i pasientrettighetsloven.
Flertallet mener at tilgang til helseopplysninger på tvers av virksomheter bare skal kunne gis etter samtykke fra den registrerte. Samtykke er i helseregisterloven § 2 nr. 11 definert som en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv. For å sikre at kravet til uttrykkelig samtykke overholdes, mener flertallet at kravet om uttrykkelighet inntas i selve lovteksten i helseregisterloven § 13 nytt tredje ledd.
Flertallet vil i forbindelse med forslaget til nytt fjerde ledd i helseregisterloven § 13 om hjemmel for forskrift om unntak presisere at helsepersonell ikke uten videre kan legge til grunn at taushet fra pasienten innebærer et stilltiende samtykke. Helsepersonellet må konkret vurdere i hvert enkelt tilfelle om pasienten har fått tilstrekkelig informasjon om behandlingen av opplysningene, og om pasientens atferd tilsier at samtykke foreligger. Dersom pasienten er bevisstløs eller er i en tilstand der han eller hun ikke er i stand til å motta informasjon, må helsepersonell gjøre en konkret vurdering av hva han eller hun antar at pasienten hadde ønsket. I slike tilfeller vil opplysningenes sensitivitet og hvor nødvendige de er for den aktuelle helsehjelpen, være en del av vurderingen.
Flertallet viser til at pasientens samtykke til helsehjelp bare er gyldig dersom pasienten har fått informasjon om tiltaket. Flertallet mener at dette også bør gjelde for samtykke til elektronisk tilgang til helseopplysninger om pasienten. Når det gjelder omfanget av informasjonsplikten ved elektronisk tilgang til helseopplysninger, viser flertallet til helseregisterloven §§ 23 og 24. Bestemmelsene gjelder ved all behandling av helseopplysninger som skjer ved hjelp av elektroniske hjelpemidler. Det følger av disse at informasjonen til pasienten blant annet skal inneholde:
navn og adresse på den databehandlingsansvarlige,
formålet med behandlingen av opplysningene,
om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
om det er frivillig å gi fra seg helseopplysningene,
annet som gjør den registrerte i stand til å bruke sine rettigheter på en best mulig måte.
Videre fremgår av siste ledd at varsel ikke er påkrevd dersom det er på det rene at den registrerte allerede kjenner til denne informasjonen.
Flertallet viser også til at ifølge helsepersonelloven § 10 er det helsepersonell som har det faglige ansvaret for helsehjelpen, som har plikt til å gi informasjon etter pasientrettighetsloven. Det kan for eksempel være legen som forordner eller utfører tiltak, eller sykepleieren som gir pleie. I helseinstitusjon skal det etter helsepersonelloven § 10 første ledd annet punktum utpekes en person som skal gi informasjon. Den som er utpekt som ansvarlig for å gi informasjon, har et overordnet ansvar for at pasienten faktisk får informasjon.
Flertallet antar at det vil være mest naturlig at det samme personell som informerer pasienten om hans eller hennes helsetilstand og innholdet i helsehjelpen, også informerer om hva slags behandling det gjøres av helseopplysningene om vedkommende.
Flertallet vil presisere viktigheten av at man i særlig grad forsikrer seg om at pasienten er informert dersom det er aktuelt å gi helsepersonell i andre virksomheter elektronisk tilgang til helseopplysningene.
Flertallet framhever også at forespørsel til ekstern virksomhet om tilgang til en pasients elektroniske pasientjournal ikke kan omfatte mer enn én pasients elektroniske journal. Ved behov for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag i en annen pasients elektroniske pasientjournal må tilgangsvurderingen gjøres på nytt fra egen virksomhets pasientjournalsystem, basert på tjenestelig behov.
Flertallet har merket seg at tilgang til helseopplysninger på tvers av virksomheten forutsetter at det i eget system er en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet".
Flertallet er enig i at virksomheter som gis tilgang til hverandres behandlingsrettede helseregistre, må ha inngått en særskilt avtale om tilgang på tvers av virksomhetene på forhånd. Flertallet forutsetter at slik avtale bare kan inngås der det er behov for det. Dette vil særlig gjelde i tilfeller der det er utstrakt samarbeid om behandling av pasienter på tvers av virksomhetsgrensene.
Flertallet legger til grunn at meldingsutveksling og eventuell annen form for utlevering av helseopplysninger fortsatt skal benyttes der dette anses mest formålstjenlig og sikkert. Dette vil også være gjeldende i de tilfeller der pasientene ikke samtykker til utlevering av helseopplysninger.
Flertallet vil også vise til at helsepersonelloven § 21a gjør det straffbart å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som er taushetsbelagt etter helsepersonelloven, uten at det er begrunnet i helsehjelp til pasienten.
Flertallet har merket seg at situasjonen i dag trolig er slik at ingen virksomheter i helsesektoren har elektroniske pasientjournaler som vil muliggjøre tilgang på tvers av virksomheter. Utnyttelse av de muligheter de foreslåtte lovendringene nå åpner for, krever at det gjøres store tilpasninger i de elektroniske journalsystemene. Som departementet selv sier i høringsnotatet, er en helt overordnet forutsetning for å gi tilgang til helseopplysninger på tvers av virksomheter at virksomhetene faktisk har systemer som er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten. Departementet understreker videre at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskrav som vil bli stilt i forskrift.
Flertallet merker seg at Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte tilgangen fra én virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få fram den spesifikke informasjonen de har tjenestelig behov for, og at det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til.
Flertallet har videre merket seg at forslaget ikke innebærer at en stor personkrets uten videre vil få tilgang til pasientinformasjon, slik som Datatilsynet synes å tro. Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal bare kunne gis når det er behov for det, til dem som deltar i behandlingen, for å kunne tilby pasienten forsvarlig helsehjelp.
Flertallet viser til arbeidet med forskrift om informasjonssikkerhet og tilgang til helseopplysninger på tvers av virksomheter. Flertallet forutsetter at det i forskriften stilles krav som gjør at pasientens rett til konfidensialitet ivaretas, og at ingen får tilgang til flere opplysninger enn det de har behov for.
Flertallet mener at pasientens vern mot at uvedkommende får tilgang til taushetsbelagte opplysninger om vedkommende, må være like sterk, uavhengig av virksomhetsgrenser. Flertallet viser til at pasienten har et rettslig vern vedrørende konfidensialitet uavhengig av organisatoriske grenser.
Flertallet mener at logging av informasjon om hvem som har hatt tilgang til taushetsbelagte opplysninger, er et viktig element for å bedre informasjonssikkerheten. Det er et sentralt element i personvernet at den enkelte skal ha rett til og reell mulighet til å ha kontroll over helseopplysninger om seg selv. Flertallet mener at informasjon om hvem som har hatt tilgang til helseopplysninger om en (innsyn i logg), vil bidra til å øke pasientens kontroll med opplysningene og gjøre personvernet mer betryggende. Flertallet mener at pasientens innsynsrett i logg – det vil si rett til informasjon om hvem som har hatt tilgang til helseopplysninger om ham eller henne – bør fremgå av lov. Flertallet vil fremme forslag om dette.
Komiteen erkjenner at logging ikke alene kan bedre informasjonssikkerheten, men må ses i sammenheng med andre sikkerhetstiltak, herunder en god og formålstjenlig tilgangsstyring.
Komiteen mener at en effektiv kontroll med tilgangsstyringen (internkontroll), sammen med økt fokus på opplæring, kunnskap og holdninger vil være viktige tiltak for å fremme informasjonssikkerheten.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, forutsetter at avtaler om tilgang til helseopplysninger på tvers av virksomheter, som det nå foreslås å åpne for, ikke på noen måte vil svekke informasjonssikkerheten på helseopplysninger. En helt nødvendig premiss må være at tilgangsstyringen kan sikre at det bare er nødvendige, relevante og strukturerte opplysninger det gis tilgang til.
Flertallet vil videre vise til side 47 i proposisjonen der det uttales.
"En forespørsel til ekstern virksomhet vedrørende tilgang til elektronisk pasientjournal skal ikke kunne omfatte mer enn én pasients elektroniske pasientjournal. Ved behov for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag i annen pasients elektroniske pasientjournal, skal tilgangsvurderingen gjøres på nytt fra egen virksomhets elektroniske pasientjournalsystem basert på dokumentert tjenstlig behov."
Flertallet mener at det bør fremgå av lovteksten at én forespørsel til ekstern virksomhet vedrørende tilgang til elektronisk pasientjournal bare kan omfatte én pasients elektroniske pasientjournal.
Flertallet mener at forutsetningene for tilgang til helseopplysninger på tvers av virksomheter er at det i eget system er en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet". Det er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten skal det tilsvarende være et system for å autorisere de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem. Alle oppslag skal logges.
Flertallet støtter med disse merknader forslaget til endringer i helseregisterloven § 13. I tillegg vil flertallet foreslå en innstramming av lovteksten som medfører at det innføres krav til samtykke ved elektronisk tilgang til helseopplysninger i tråd med vurderingene ovenfor. Flertallet vil presisere at et gyldig samtykke forutsetter at pasienten har fått nødvendig informasjon om behandlingen av opplysningene.
Flertallet fremmer på denne bakgrunn følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) skal § 13 nye tredje, fjerde, femte og sjette ledd lyde:
Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte.
Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.
Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen.
Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne."
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre fremmer følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) skal § 13 nytt andre ledd lyde:
Pasienten har rett til innsyn i logg som gir informasjon om hvem som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende."
Disse medlemmer viser til at flere høringsinstanser er svært skeptiske til å gi tilgang til virksomhetsinterne, behandlingsrettede helseregistre på tvers av virksomheter. Det er etter disse medlemmers vurdering stor forskjell på det å gi noen informasjon fra pasientjournalen gjennom for eksempel elektronisk meldingsutveksling via Norsk helsenett og å gi noen tilgang direkte til den interne journalen. Det har blitt argumentert med at ordningen i dag med utlevering av journalutskrifter, epikriser mv. medfører større fare for spredning enn direkte tilgang elektronisk. Direkte tilgang er ingen garanti for at det ikke tas utskrifter fra journalen, og ved direkte tilgang foreligger det langt større fare for utskrift av fullstendig journal og ikke bare deler av den.
Disse medlemmer vil bemerke at også utlevering etter dagens ordning vil kunne skje elektronisk, mens faren for uberettiget tilgang og personkrenkelser vil øke dramatisk med forslaget da en stor personkrets vil få direkte tilgang til pasientinformasjon. Disse medlemmer bemerker at dagens system bør videreutvikles slik at elektronisk meldingsutveksling erstatter oversendelse av opplysninger på papir. Disse medlemmer er kjent med at arbeidet med å utvikle dette systemet er igangsatt, og at dette vil kunne gi en mer målrettet og effektiv flyt av nødvendig informasjon samtidig som personvernshensyn kan ivaretas. Bedre utnyttelse av allerede eksisterende infrastruktur i Norsk helsenett vil være viktig i denne sammenhengen.
Etter komiteens vurdering er det avgjørende for å opprettholde tillit mellom pasient og helsepersonell at pasienten kan oppsøke helsetjenesten og gi opplysninger uten frykt for spredning av opplysningene. Pasienten skal kunne stole på helsepersonellets taushetsplikt. Dersom mange skulle få tilgang til pasientens journal, vil denne tilliten etter komiteens syn bli svekket, med den konsekvens at terskelen for å oppsøke helsetjenesten blir større ved stigmatiserende sykdommer, lidelser og at pasientene tilbakeholder viktige opplysninger.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre viser til at Legeforeningen i sin høringsuttalelse peker på at det i forslaget ikke er tatt alminnelige personvernshensyn, og at forslaget innebærer at det både gis tilgang til mer opplysninger enn det som er nødvendig, og overfor en større personkrets enn det som er nødvendig. Disse medlemmer deler denne oppfatningen.
Disse medlemmer mener det i forslaget er beskrevet en teknologisk virkelighet som i dag ikke eksisterer. Det vises til at både Helsetilsynet og Datatilsynet påpeker at dagens informasjonssikkerhet internt i virksomhetene ikke er godt nok ivaretatt. Dette er avdekket i felles tilsyn de har hatt ved flere helseforetak. Under slike forhold vil en omfattende utvidelse av kretsen som får direkte tilgang til sensitive opplysninger, innebære en betydelig risiko for ytterligere spredning av sensitive opplysninger.
Disse medlemmer har merket seg at Personvernkommisjonen i NOU 2009:1 (punkt 16.5.1.3) bemerker:
"Ekstern tilgang til pasientjournalen i en virksomhet forutsetter etter Personvernkommisjonens oppfatning god styring og kontroll internt. Med tanke på de svakhetene som både Datatilsynet og Helsedirektoratet har avdekket gjennom sine tilsyn når det gjelder tilgangskontroll internt, bør man som Sosial- og helsedirektoratet påpeker, gå forsiktig fram med tanke på å utvide tilgangen til også å omfatte eksterne parter."
Komiteen merker seg at Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte tilgangen fra en virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenstlig behov for, og at det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til. Komiteen er kjent med at slik elektroniske pasientjournaler er organisert i dag, både i primærhelsetjenesten og hos spesialister, vil det kreve omfattende omorganisering av pasientjournalene for at Helsedirektoratets forutsetning skal være oppfylt.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker seg at det i proposisjonen (side 45) er uttalt at man må vurdere om man i forskrift skal innta "... et krav om at det bare kan gis tilgang til nærmere definerte og strukturerte helseopplysninger", men at dette står i strid med hvordan nedtegning av informasjon i pasientjournalen foregår i dag ut fra behandlingshensyn. Legeforeningen har i høringen i Stortinget presisert at den alminnelige pasientjournal per i dag ikke vil tilfredsstille slike krav, og det vil kreve store ressurser å få en ensartet journalstruktur med ulike tilgangnivå.
Disse medlemmer viser til at Datatilsynet i sitt høringssvar sa:
"Når den enkelte behandlingsinstitusjon ikke makter å sørge for at informasjonskontrollen internt støtter opp om den enkelte ansattes personlige plikt til å bevare taushet overfor sine kolleger, representerer virksomhetens grenser en nødvendig ytre grense for informasjonsflyten…Denne grensen er etter tilsynets vurdering alt for vid, sett hen til utgangspunktet om at taushetsplikten er en personlig plikt. Det er imidlertid den eneste reelle grensen som eksisterer i dag. Datatilsynet vil derfor advare mot departementets lovforslag, som i realiteten innebærer at også virksomhetsgrensene viskes ut. Man står derfor i fare for en fri flyt av pasientopplysninger, ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte i hele sektoren som sådan."
Disse medlemmer viser videre til at Datatilsynet uttalte:
"Departementet forutsetter at de foreslåtte lovendringene ikke skal medføre en svekkelse av taushetsplikten. Departementet forutsetter således at metoden for informasjonsutveksling ikke får betydning for hvilken informasjon som faktisk blir utvekslet. Datatilsynet deler ikke departementets oppfatning. Det å gi noen tilgang til pasientjournal skiller seg, etter tilsynets vurdering, vesentlig fra å utlevere journalopplysninger. Det vises til at utlevering muliggjør en vurdering hos utleverende helsepersonell av om vilkårene for å avgi hele eller deler av pasientjournalen er tilstede. Med andre ord å fastslå om pasienten samtykker til utleveringen eller om utleveringen er nødvendig for å gi helsehjelp. Departementets forslag åpner for selvbetjening i den enkelte pasients journal. Dette medfører en svekkelse av taushetsplikten som Datatilsynet sterkt vil fraråde."
Disse medlemmer deler Datatilsynets oppfatning om at taushetsplikt for opplysninger som ikke er relevante og nødvendige, i teorien kan ivaretas også når man gir tilgang til opplysninger. Det forutsetter imidlertid at man er faktisk i stand til å gi tilgang til de opplysninger som man på forhånd har vurdert å være nødvendig og relevante. De elektroniske pasientjournaler som i dag brukes ved landets helseforetak, er imidlertid bygget opp slik at opplysningene ikke er systematiserte, ut over at opplysningene føres kronologisk. Selve journalnotatene skrives som fritekst, og det er ikke noe logisk skille mellom ulike sykdoms- eller behandlingsforløp hos én og samme pasient. Tilgang til slike journaler vil derfor lett medføre en utlevering av opplysninger som ikke er relevante og nødvendige, og derfor ikke skulle vært ulevert. Disse medlemmer merker seg at Datatilsynet i sitt høringssvar skriver:
"Endringer i dagens journalsystemer for å muliggjøre den nødvendige systematiseringen av journalopplysningene er ikke berørt i departementets forslag, og vil etter det tilsynet erfarer medføre betydelige kostnader."
Disse medlemmer mener at med dagens pasientjournaler slik de er organisert, vil det ikke være mulig å kombinere direkte tilgang med kravet om at kun relevante og nødvendige opplysninger er tilgjengelig. Disse medlemmer mener at det må arbeides videre med teknologien knyttet til meldingsutveksling, noe som vil være en fordel av hensyn til det generelle personvernet, men også for den som søker informasjon, som da slipper å søke gjennom mengder av informasjon vedkommende ikke har bruk for. Gjennom å tilrettelegge for dialog mellom mottaker og den som utleverer opplysningene, unngås også misforståelser og feiltolkninger som kan medføre feilbehandling i tillegg til personvernkrenkelser ved utstrakt tilgang.
Disse medlemmer viser til høringsuttalelsen fra Norsk Psykologforening der den ser grunn til bekymring for personvernet til pasientene innen psykisk helse. Foreningen mener at direkte tilgang bør begrenses til helsepersonell som gjør kliniske vurderinger og treffer avgjørelse om hvilken helsehjelp som skal gis. I praksis vil dette gjelde leger, tannleger og psykologer. Foreningen sier at antall helsepersonell som gis tilgang til andre helseforetaks pasientjournaler, med dette blir begrenset, og personvernet til pasienten blir bedre. Videre uttales:
"I høringsnotatet forholder man seg til informasjon som om denne er allment gyldig og stabil over tid. Dette kan være relevant i forhold til noen somatiske helseindikatorer, men når det gjelder informasjon om symptomer, vurderinger og tiltak innen området psykisk helse og metoder for utredning og behandling der, er dette svært komplekst. Informasjon og psykisk helsevern innen psykiske helsetjenester, er i langt større grad enn i de øvrige helsetjenestene preget av at informasjon, vurderinger og rapportert behandling er relasjonell – og er en tids- og kontekstavhengig "ferskvare"."
Som departementet selv sier i høringsnotatet, er en helt overordnet forutsetning for å gi tilgang til helseopplysninger på tvers av virksomheter at virksomhetene faktisk har systemer som er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten. Departementet understreker videre at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften, og at situasjonen i dag er at ingen har slike elektroniske pasientjournaler, men det må arbeides med dette overfor leverandørene av elektroniske pasientjournalsystemer. Det er derfor etter disse medlemmers oppfatning prematurt å lovfeste en tilgang til pasientjournaler på tvers av virksomheter. Selv om lovverket knyttet til taushetsplikt og personvern skal være teknologinøytralt, kan ikke den nærmere regulering av tilgang og kontroll løsrives fra den faktiske virkelighet og de teknologiske mulighetene som foreligger på reguleringstidspunktet.
Disse medlemmer deler oppfatningen i Helsetilsynets høringsuttalelse hvor det mener at tiden ikke er moden for et regelverk som åpner for tilgang på tvers av virksomheter, og at forslaget etter tilsynets vurdering vil svekke taushetsplikten. Disse medlemmer mener dermed at tilgang til virksomhetsinterne, behandlingsrettede helseregistre på tvers av virksomhetsgrenser vil medvirke til å svekke personvernet for pasientene, og vil derfor ikke støtte departementets forslag om endring i helseregisterloven § 13.
Helseregisterloven har i dag ikke regler om etablering av virksomhetsovergripende, behandlingsrettede helseregistre. Tolkningen av §§ 6 og 13 i helseregisterloven gjør at man indirekte har et forbud mot etablering av slike registre.
Departementet mener at det foreligger helsefaglige behov som tilsier at det bør legges til rette for at virksomhetsovergripende, behandlingsrettede helseregistre kan etableres. Departementet foreslår derfor en hjemmel for etablering av virksomhetsovergripende, behandlingsrettede helseregistre, jf. forslag til ny § 6 a i helseregisterloven. Å lovfeste en konkret teknisk løsning for slike registre vil, slik departementet vurderer det, ikke være hensiktsmessig, og det foreslås en hjemmel til å forskriftsfeste den nærmere reguleringen av registrene.
Departementet ser for seg at det kan vedtas forskrifter som hjemler flere registre med likeartet formål.
Ettersom virksomhetsovergripende, behandlingsrettede helseregistre etableres i tillegg til virksomhetsinterne behandlingsrettede helseregistre, foreslår departementet at det bør være et krav om enten samtykke eller reservasjonsrett.
Det uttales at om et register skal være samtykkebasert eller om det kun skal være en reservasjonsrett, avhenger av en rekke forhold som bl.a. hvilke opplysninger registeret skal inneholde, hva opplysningene skal brukes til, hvem som skal ha tilgang til opplysningene m.m. Dette er forhold som departementet mener ikke vil være avklart ved etablering av lovhjemmelen. Departementet mener at disse avklaringene bør gjøres for det enkelte register ved utarbeidelse av forskriften for registeret. Departementet foreslår derfor at forskriftshjemmelen i helseregisterloven § 6 a utformes slik at den gir mulighet til å etablere både samtykkebaserte og ikke-samtykkebaserte behandlingsrettede registre.
Det foreslås at det tas inn i helseregisterloven § 6 a at virksomhetsovergripende, behandlingsrettede helseregistre bare kan etableres uten samtykke fra pasienten dersom dette er nødvendig for å ivareta formålet med registeret.
Departementet mener at slike registre vil være et viktig supplement til elektronisk samhandling sentrert rundt de virksomhetsinterne behandlingsrettede helseregistrene (journalsystemene). Departementet foreslår at virksomhetsovergripende, behandlingsrettede helseregistre ikke skal erstatte de virksomhetsinterne journalsystemene, slik at virksomhetene og helsepersonellet fortsatt skal være forpliktet til å føre journal og ha et journalsystem internt i virksomheten, jf. forslaget til § 6 a annet ledd annet punktum.
For at helsepersonell eventuelt skal kunne pålegges å sende inn helseopplysninger til et framtidig register uten hinder av taushetsplikten, vil helseregisterloven § 9 måtte endres. Departementet foreslår derfor å innta en henvisning til § 6 a i helseregisterloven § 9.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, vil påpeke at forslaget innebærer at det kan etableres behandlingsrettede helseregistre som omfatter flere virksomheter (felles journaler, i motsetning til virksomhetsinterne helseregistre). Disse registrene skal ikke innholde pasientens totale mengde journalopplysninger, men kan innholde kjerneopplysninger/helseopplysninger i begrenset omfang for nærmere bestemte behandlingsformål. Det innebærer heller ikke et sentralt helseregister, men regionale og lokale. Flertallet har merket seg at departementet ser for seg at et regionalt register over kjerneopplysninger kan være en slags pilot for et senere nasjonalt register over kjerneopplysninger. Et slikt register kan inneholde kjerneopplysninger som pasientens medisineringsopplysninger, oversikt over allergier, oversikt over hvilke legemidler pasienten til enhver tid bruker o.l.
Flertallet vil framholde at i disse tilfellene gjelder også helseregisterlovens § 13 nye tredje, fjerde, femte og sjette ledd for tilgang til opplysninger.
Komiteen vil påpeke at oversendelse av pasientdata mellom én virksomhet og en annen også er tillatt i dag, forutsatt at avsender bestemmer hva som sendes over, og dette skjer etter samtykke fra pasienten. Fordi det i liten grad er utviklet samarbeidsløsninger for overføring av elektroniske data mellom ulike enheter medfører dette at data ofte overføres som papirbearbeidede notater fra den elektroniske pasientjournalen, gjerne i form av henvisning eller epikrise. Komiteen ser det som en klar fordel dersom data i stedet kan overføres elektronisk.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, mener dette vil medvirke til å unngå både forsinkelser og personvern-risikoen ved spredning av papirjournaler. Tilgang på tvers er mest aktuelt for situasjoner med planlagte tjenester der virksomheter og helsepersonell samarbeider tett om pasienter på en slik måte at kommunikasjon med for eksempel henvisning og epikrise ikke strekker til.
Komiteen er kjent med at slik elektronisk overføring allerede skjer i dag. Røntgenundersøkelser skjer nå i det vesentlige digitalt, og bildene sendes elektronisk mellom ulike behandlingsenheter. Rekvirering av laboratorieprøver kan gjøres elektronisk hos fastlegen inn mot den enkelte sykehusenhet, og når prøvene er analysert, kan svarene overføres direkte til pasientens journal hos fastlegen.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, er enig i at det foreligger helsefaglige behov som tilsier at det tillates at det i forskrift etableres virksomhetsovergripende, behandlingsrettede helseregistre. Flertallet ser behovet for for eksempel å kunne opprette registre inneholdende røntgenbilder, resultater fra EKG-undersøkelser og annen avgrenset informasjon som er relevant for deling mellom for eksempel ulike helseforetak.
Flertallet ser videre behovet for å kunne etablere én eller flere regionale eller lokale kjernejournaler som pilot for en senere nasjonal kjernejournal. Den foreslåtte hjemmelen for virksomhetsovergripende, behandlingsrettede helseregistre kan benyttes til dette. Flertallet er enig i at sentrale behandlingsrettede helseregistre utredes nærmere, jf. Samspill 2.0 – Nasjonal strategi for elektronisk samhandling i helse- og sosialsektoren 2008–2013, og deretter forelegges Stortinget.
Flertallet viser til at Helse Midt-Norge RHF i sin høringsuttalelse uttaler at med forslagene til lovendring vil formålet med utveksling av data i større utstrekning være styrende for hvordan lovendringene praktiseres. Det uttaler videre at tjenestene i større utstrekning må være bevisst hvilke typer opplysninger som kreves utvekslet for å kunne gi god behandling på de ulike fagfelt. For akutt-tjenester og sammensatte tjenester vil kravet være annerledes enn for elektive og prosessuelt enklere forløp. Helse Midt-Norge RHF sier videre at det kan være ressurskrevende å styre mange ulike behov, men at det allikevel ikke kan være negativt til løsninger som er med på å styrke pasientbehandlingen for den enkelte pasient og pasientgruppe.
Flertallet peker på at virksomhetsovergripende, behandlingsrettede helseregistre skal etableres i tillegg til virksomhetsinterne registre. Interne registre skal ikke erstattes av eksterne. Flertallet viser til departementets forslag om at opprettelse av virksomhetsovergripende, behandlingsrettede helseregistre krever samtykke eller reservasjonsrett for pasienten. Tilgang til helseopplysninger i slike registre vil etter flertallets forslag til endringer i helseregisterloven § 13, se ovenfor, kreve samtykke fra pasienten.
Komiteen vil framheve at pasientens rett til informasjon, innsyn, retting, sletting og sperring av journalopplysninger følger av lov. Gjennom helseregisterloven og pasientrettighetsloven er pasienten sikret en rekke grunnleggende rettigheter.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, vil framholde at disse rettighetene også vil gjelde for fremtidige virksomhetsovergripende, behandlingsrettede helseregistre.
Komiteen vil understreke betydningen av pasientens rett til medvirkning og at pasienten skal informeres og gjøres oppmerksom på sine rettigheter.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til behovet for en effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten og støtter forslag til ny § 6 a i helseregisterloven samt endring av helseregisterlovens § 9.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil påpeke at forslaget innebærer at det kan etableres behandlingsrettede helseregistre som omfatter flere virksomheter (felles journaler, i motsetning til virksomhetsinterne helseregistre). Disse registrene skal ikke innholde pasientens totale mengde journalopplysninger, men skal innholde kjerneopplysninger. Det innebærer heller ikke et sentralt helseregister, men regionale og lokale. Men departementet ser for seg at et regionalt register over kjerneopplysninger kan være en slags pilot for et senere nasjonalt register over kjerneopplysninger. Et slikt register kan inneholde kjerneopplysninger som for eksempel pasientens medisineringsopplysninger, oversikt over allergier, oversikt over hvilke legemidler pasienten til enhver tid bruker osv. Røntgenbilder og EKG-informasjon er også nevnt som eksempler. Departementet ønsker å hjemle slike register i forskrift og ikke gjennom konsesjon fra Datatilsynet.
Disse medlemmer merker seg at departementet også mener at det ikke må kreves samtykke fra pasienten for å registrere disse opplysningene fordi opplysningene skal benyttes til helsehjelp og ikke forskning. Imidlertid mener departementet at det bør stilles enten krav om samtykke eller at det skal være reservasjonsrett siden disse registrene kommer i tillegg til intern journalføring (hvor pasienten ikke kan motsette seg selve journalføringen). Om det bør stilles krav om reservasjonsrett eller samtykke, mener departementet kan avklares for det enkelte registeret ved utarbeidelsen av forskriften. Departementet foreslår derfor at et slikt register kan etableres uten samtykke fra pasienten dersom det er nødvendig for å ivareta formålet med registeret.
Disse medlemmer merker seg at Legeforeningen, Datatilsynet og Norges Handikapforbund (NHF) går imot forslaget. NHF mener personvernet utsettes for ytterligere risiko ved at sensitiv informasjon tillates i virksomhetsovergripende registre og over virksomhetsgrenser. Både Legeforeningen og Datatilsynet mener at behovet for slike registre er uklart, og at avgrensningen for hva som skal registreres, er for lite definert.
Disse medlemmer registrerer at det i kommentarene til lovendringsforslaget heter at registrene skal innholde "de nærmere bestemte helseopplysninger som er nødvendig og relevante for samarbeid om forsvarlig helsehjelp". I likhet med Datatilsynet mener disse medlemmer at det er vanskelig å forutsi om dette innebærer et begrenset innhold i forhold til de virksomhetsinterne journalssystemene. Disse medlemmer deler her Datatilsynets syn i dets høringsuttalelse til lovforslaget:
"Enhver pasientopplysning er etter omstendighetene en potensiell nødvendig og relevant opplysning for medisinsk behandling. Dette gjelder enn mer når man ser flere virksomheters behandlingsområde under ett. Slik tilsynet leser bestemmelsen vil man svært fort havne i en situasjon hvor hver enkelt helseregion har en felles fullstendig pasientjournal, som en samlet kopi av hver enkelt virksomhets interne journal."
I likhet med Legeforeningen, mener disse medlemmer at det er gode grunner til å utrede nærmere en ordning med såkalt kjernejournal, altså en journal med begrenset utdrag av pasientinformasjon. Disse medlemmer viser til at Nasjonalt IKT har startet et utredningsarbeid med sikte på å avklare hvilke av spesialisthelsetjenestens behov som kan dekkes av en nasjonal kjernejournal, og kommunenes behov for nasjonal kjernejournal skal kartlegges i eget utredningsarbeid. Dette bør også sees i sammenheng med et nasjonalt helsekort. Disse medlemmer mener derfor at det ikke bør åpnes for å etablere slike virksomhetsovergripende, behandlingsrettede helseregistre før disse kartleggingene er foretatt. Først når kartleggingene er foretatt, bør det etter disse medlemmers syn vurderes hvilke lovendringer som eventuelt bør foretas.
Disse medlemmer viser også til Stortingets behandling av helseregisterloven der det ble vedtatt at opprettelse av sentrale helseregistre skal vedtas av Stortinget, og at departementet ikke skulle gis fullmakt til å opprette nye helseregistre. Opprettelse av slike kjernejournalregistre som departementet her foreslår, som ikke er sentrale, men regionale og lokale, kan i tillegg være personidentifiserbare registre som er opprettet uten samtykke fra pasienten, jf. forslaget om at disse registrene kan etableres uten samtykke fra pasienten dersom det er nødvendig for formålet med registeret. Disse medlemmer mener at opprettelse av virksomhetsovergripende, behandlingsrettede helseregistre skal skje gjennom lov, der formål, vilkår og krav fremgår av lovteksten. Dette er i tråd med Stortingets holdning da helseregisterloven ble vedtatt.
Disse medlemmer vil påpeke at oversendelse av pasientdata mellom én virksomhet og en annen også er tillatt i dag forutsatt at avsender bestemmer hva som sendes over, og dette skjer etter samtykke med pasienten. Fordi det i liten grad er utviklet samarbeidsløsninger for overføring av elektroniske data mellom ulike enheter, medfører dette at data ofte overføres som papirbearbeidede notater fra den elektroniske pasientjournalen, gjerne i form av henvisning eller epikrise. Disse medlemmer ser det som en klar fordel dersom data i stedet kan overføres elektronisk, idet de da lettere kan nyttiggjøres av mottaker uten at denne må registrere disse elektronisk.
Disse medlemmer er kjent med at slik elektronisk overføring allerede skjer i dag. Røntgenundersøkelser skjer nå i det vesentlige digitalt, og bildene sendes elektronisk mellom ulike behandlingsenheter. Rekvirering av laboratorieprøver kan gjøres elektronisk hos fastlegen inn mot den enkelte sykehusenhet, og når prøvene er analysert, kan svarene overføres direkte til pasientens journal hos fastlegen.
Disse medlemmer kjenner til det pilotprosjektet som startet opp i mars i år mellom Vikhammer legekontor og St. Olavs Hospital. Alle trinn i kommunikasjonen mellom fastlegene og sykehuset, begge veier, gjøres der papirløse. Premissene for overføring av pasientdata, ut over at disse overføres elektronisk, er imidlertid ikke endret, idet det fortsatt er avsender som bestemmer hvilke data som skal overføres.
Disse medlemmer mener at dette er en riktig vei å gå for å utveksle elektroniske pasientdata, ved at basisjournalen ikke gjøres generelt tilgengelig for mottaker, bare de data som har relevans for mottaker.
Disse medlemmer ser det som nyttig at det skaffes erfaring med denne og andre pilotprosjekter, som ikke nødvendiggjør lovendring for å kunne utvikles.
Disse medlemmer støtter ikke opprettelsen av virksomhetsovergripende behandlingsregistre.
Disse medlemmer legger til grunn at det må kreves samtykke for å gjøre pasientopplysninger fra journal tilgjengelig for andre virksomheter. Disse medlemmer mener at systemet i helseregisterloven skal følges slik at virksomhetsovergripende behandlingsregistre inntas i aktuelle bestemmelser i loven vedrørende etablering, registrering, krav til behandling og levering. Dagens inndeling i regionale og lokale helseregistre slås sammen til ett ledd med samme vilkår.
Virksomhetsovergripende, behandlingsrettede helseregistre omtales i tillegg til lokale og regionale helseregistre, da de samme vilkår gjøres gjeldende. Disse medlemmer legger vekt på at befolkningen skal ha trygghet for hvordan pasientjournaler benyttes. Disse medlemmer mener derfor at det skal stilles krav til tillatelse fra pasienten før opplysninger fra pasientjournalen kan gjøres tilgjengelig for andre virksomheter i et behandlingsregister.
Disse medlemmer legger vekt på at det må lages andre systemer enn dem som benyttes i dag for registrering av pasientopplysninger og for tilgangskontroll og sikkerhet. Den som registrerer pasientopplysninger, må i samråd med pasienten foreta aktuelle utdrag av pasientjournalen. Pasientjournaler, for eksempel i en fastlegepraksis, skal etter disse medlemmers syn ikke gjøres tilgjengelig i sin helhet, men ved utdrag av nødvendig informasjon.
Disse medlemmer har registrert at det er behov for en mulighet for felles behandlingsregister i virksomheter med flere helsepersonell der det foreligger samarbeid mellom ulike behandlere om de samme pasientene. I dag kan flere fastleger ha egne behandlingsregistre for sine pasienter uten tilgang for øvrige fastleger, noe disse medlemmer ser at kan skape utfordringer ved vikariat for hverandre ved kortvarig fravær. I noen fastlegepraksiser informeres det om at det er felles journalsystemer med mulighet for pasienter til å skjerme pasientjournalen.
Disse medlemmer mener at behandlingsrettede registre for helsepersonell i virksomheter med formalisert arbeidsfellesskap og der helsepersonell samarbeider om pasientbehandlingen, kan opprettes på lik linje som helseregistre i én og samme virksomhet, men med det tillegget at pasienten gis rett til informasjon om helseregisteret med mulighet til å reservere seg.
Disse medlemmer fremmer på denne bakgrunn følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:
§ 7 skal lyde:
§ 7 Regionale, lokale helseregistre og virksomhetsovergripende, behandlingsrettede helseregistre
Det kan ikke etableres andre regionale, lokale eller virksomhetsovergripende, behandlingsrettede helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Stortinget skal gi nærmere bestemmelser om etablering av regionale, lokale og virksomhetsovergripende, behandlingsrettede helseregistre og behandling av helseopplysninger for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven, tannhelsetjenesteloven, kommunehelsetjenesteloven og sosialtjenesteloven. Det omfatter også virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap.
Virksomhetsovergripende, behandlingsrettede helseregistre kan bare inneholde nærmere angitte helseopplysninger i det omfang som er nødvendige for samarbeid om pasientbehandlingen mellom virksomhetene og på de vilkår som for øvrig følger av denne lov og annen lovgivning. Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.
Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form ved ekstern kryptering.
For bruk av virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap er det tilstrekkelig at pasienten gis informasjon om registeret med rett til å reservere seg.
Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen, og prinsipper for hvordan det skal gjøres. Forskriften skal gi nærmere regler om hvordan opplysninger kan gjøres tilgjengelig i henhold til samtykke fra – og i samråd med – pasienten, plassering, registrering, tilgang og tilgangskontroll med opplysningene. Forskriften skal videre gi regler om databehandlingsansvaret for opplysningene.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale, lokale helseregistre og virksomhetsovergripende, behandlingsrettede helseregistre, meldingsplikt mv.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
Stortinget skal gi nærmere bestemmelser om innsamling av helseopplysninger etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle."
Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, vil be om at en nærmere regulering av virksomhetsovergripende, behandlingsregistre (i forskrift) forelegges Stortinget.
Helsepersonell som driver selvstendig virksomhet i et formalisert arbeidsfellesskap, har etter dagens regelverk ikke anledning til å slå sammen sine pasientjournalsystemer og å dele databehandlingsansvaret eller avtale hvem av dem som skal ivareta databehandlingsansvaret. Over 90 prosent av legekontorene faller inn under denne gruppen. Departementet mener det er behov for endring av regelverket, og foreslår en forskriftshjemmel som gir mulighet for helsepersonell med formalisert arbeidsfellesskap til å etablere virksomhetsovergripende, behandlingsrettede helseregistre, i praksis felles journalsystemer, når dette er forsvarlig og formålstjenlig ut fra den type helsehjelp virksomheten yter. Bestemmelsen foreslås tatt inn i helseregisterloven.
For at noe skal sies å være et "arbeidsfellesskap" i helseregisterlovens forstand mener departementet at formålet med at det er etablert et samarbeid, er relevant. En nærmere avgrensning av begrepet formalisert arbeidsfellesskap samt vilkår for etablering av felles behandlingsrettet helseregister foreslås regulert nærmere i forskrift.
Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, merker seg at forslaget innebærer at helsepersonell med formalisert arbeidsfellesskap gis mulighet til å etablere virksomhetsovergripende, behandlingsrettede helseregistre, i praksis felles journalsystemer. Et slikt formalisert arbeidsfellesskap kan gjelde fastleger på legesenter og andre grupper helsepersonell som for eksempel tannleger som samarbeider i tannklinikker, distriktsmedisinske sentra og legevaktsamarbeid og helsehus.
Flertallet merker seg at de fleste høringsinstansene er positive til forslaget. Enkelte høringsinstanser som Helsedirektoratet og Statens helsetilsyn er imidlertid skeptiske fordi de er usikre på hvordan ansvaret i praksis skal kunne utøves i et formelt arbeidsfellesskap hvor man ikke har styringsrett som arbeidsgiver siden arbeidsfellesskapet består av helsepersonell som er selvstendige utøvere og ikke er underlagt noen andres styring. I tillegg ønsker de en nærmere avklaring av innholdet i begrepet "felles arbeidsfellesskap".
Flertallet ser at det kan være behov for et felles pasientjournalsystem for helsepersonell i arbeidsfellesskap, slik som for eksempel en betydelig andel av legekontorene er organisert i dag. De aller fleste av disse har et felles elektronisk pasientjournalsystem. Etter dagens regelverk er det verken lovlig at fastlegene har tilgang til hverandres journal, eller at de fører fellesjournal for pasientene på legekontorets fellesliste. Ved behov for øyeblikkelig hjelp utenom kontortid og når fastlegen er fraværende, skal det ytes øyeblikkelig hjelp av andre fastleger ved kontoret eller en annen lege som fastlegen har avtale med (som pasienten er informert om). Journalen ville vært betydelig fragmentert dersom hver lege og vikar skulle opprette egne, nye pasientjournaler. Flertallet ser at en felles journal kan være med på å sikre kontinuitet og bedre pasientsikkerheten.
Flertallet påpeker at ved elektronisk tilgang til helseopplysninger mellom flere juridiske enheter vil samtykkekravet – som nå foreslås i helseregisterloven § 13 – gjelde.
Flertallet registrerer at departementet mener det bør åpnes for felles journalsystem i gruppepraksis når det er forsvarlig og formålstjenlig for den type helsehjelp som ytes, og at ansvarsforholdene skal være klart definerte. Flertallet vil påpeke at det må være klart hvem som er databehandlingsansvarlig for opplysningene. Den som det formaliserte arbeidsfellesskapet avtaler seg imellom skal være databehandlings-ansvarlig, må ha partsevne og kunne saksøkes for domstolene. Flertallet er enig i departementets krav om at arbeidsfellesskapet må framstå som en enhet utad (for eksempel med felles resepsjon og administrativt personell), og formålet med samarbeidet må være relevant for enhetlig pasientbehandling i gruppepraksisen. Departementet ønsker å foreta en nærmere avgrensning av begrepet formalisert arbeidsfellesskap samt vilkår for etablering av felles behandlingsrettet helseregister i forskrifts form.
Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker seg at forslaget innebærer at helsepersonell med formalisert arbeidsfellesskap gis mulighet til å etablere virksomhetsovergripende, behandlingsrettede helseregister, i praksis felles journalsystemer. Et slikt formalisert arbeidsfellesskap kan gjelde fastleger på legesenter og andre grupper helsepersonell som for eksempel tannleger som samarbeider i tannklinikker, distriktsmedisinske sentra og legevaktsamarbeid og helsehus.
Disse medlemmer merker seg at de fleste høringsinstansene er positive til forslaget. Enkelte høringsinstanser som Helsedirektoratet og Statens helsetilsyn er imidlertid skeptiske fordi de er usikre på hvordan ansvaret i praksis skal kunne utøves i et formelt arbeidsfellesskap hvor man ikke har styringsrett som arbeidsgiver, siden arbeidsfellesskapet består av helsepersonell som er selvstendige utøvere og ikke er underlagt noen andres styring. I tillegg ønsker de en nærmere avklaring av innholdet i begrepet "felles arbeidsfellesskap".
Disse medlemmer ser at det kan være behov for et felles pasientjournalsystem for helsepersonell i arbeidsfellesskap, slik som for eksempel en betydelig andel av legekontorene er organisert i dag. De aller fleste av disse har et felles elektronisk pasientjournalsystem. Etter dagens regelverk er det verken lovlig at fastlegene har tilgang til hverandres journal, eller at de fører fellesjournal for pasientene på legekontorets fellesliste. Ved behov for øyeblikkelig hjelp utenom kontortid og fastlegen er fraværende, skal det ytes øyeblikkelig hjelp av andre fastleger ved kontoret eller en annen lege som fastlegen har avtale med (som pasienten er informert om). Journalen ville vært betydelig fragmentert dersom hver lege og vikar skulle opprette egne nye pasientjournaler. Disse medlemmer ser at en felles journal kan være med på å sikre kontinuitet og bedre pasientsikkerheten. Det er imidlertid viktig at pasienten blir gjort kjent med dette, og at det enten kreves samtykke eller at det klart gis en reservasjonsrett.
Disse medlemmer registrerer at departementet mener det bør åpnes for felles journalsystem i gruppepraksis når det er forsvarlig og formålstjenlig for den type helsehjelp som ytes, og at ansvarsforholdene skal være klart definerte. Disse medlemmer vil påpeke at det må være klart hvem som er databehandlingsansvarlig for opplysningene, og det må være en avtale om at databehandlingsansvarlig har partsevne og kan saksøkes for domstolene. Disse medlemmer er enig i departementets krav om at arbeidsfellesskapet må framstå som en enhet utad (for eksempel med felles resepsjon og administrativt personell), og formålet med samarbeidet er relevant for enhetlig pasientbehandling i gruppepraksisen. Departementet ønsker å foreta en nærmere avgrensning av begrepet formalisert arbeidsfellesskap, samt vilkår for etablering av felles behandlingsrettet helseregister i forskriftsform. Disse medlemmer mener at utkastet til slik forskrift skal forelegges Stortinget før den vedtas.
Det uttales at de foreslåtte lovendringene i seg selv ikke medfører noen økonomiske eller administrative konsekvenser. Vedtas lovendringene, vil det imidlertid bli fremmet forslag om en forskrift med nærmere bestemte sikkerhetskrav som vil medføre økonomiske kostnader, men ingen administrative konsekvenser av betydning. Det uttales at tilpasningen av kravene må gjøres innenfor de til enhver tid gjeldende økonomiske rammer i virksomhetene.
Forslaget om hjemmel for i forskrift å kunne tillate at helsepersonell med formalisert arbeidsfellesskap skal kunne føre felles journal i et felles elektronisk pasientjournalsystem vil trolig ikke medføre store utgifter for dem som har et slikt formalisert arbeidsfellesskap i dag, siden felles journalføring i mange tilfeller allerede foregår. Det kan imidlertid være nødvendig å gjøre noen tilpasninger som forutsettes dekket av de virksomhetene som til sammen utgjør arbeidsfellesskapet.
Forslaget om opprettelse av virksomhetsovergripende, behandlingsrettede helseregistre innebærer kostnader for tilpasning av de systemer som skal avlevere opplysninger samt utviklingskostnader for å opprette registrene som skal motta opplysningene. Kostnadene forutsettes som utgangspunkt dekket innenfor de enkelte aktørenes egne budsjettrammer.
Forslag fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre:
Forslag 1
I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:
§ 7 skal lyde:
§ 7 Regionale, lokale helseregistre og virksomhetsovergripende, behandlingsrettede helseregistre
Det kan ikke etableres andre regionale, lokale eller virksomhetsovergripende, behandlingsrettede helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Stortinget skal gi nærmere bestemmelser om etablering av regionale, lokale og virksomhetsovergripende, behandlingsrettede helseregistre og behandling av helseopplysninger for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven, tannhelsetjenesteloven, kommunehelsetjenesteloven og sosialtjenesteloven. Det omfatter også virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap.
Virksomhetsovergripende, behandlingsrettede helseregistre kan bare inneholde nærmere angitte helseopplysninger i det omfang som er nødvendige for samarbeid om pasientbehandlingen mellom virksomhetene og på de vilkår som for øvrig følger av denne lov og annen lovgivning. Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.
Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form ved ekstern kryptering.
For bruk av virksomhetsovergripende, behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap er det tilstrekkelig at pasienten gis informasjon om registeret med rett til å reservere seg.
Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen, og prinsipper for hvordan det skal gjøres. Forskriften skal gi nærmere regler om hvordan opplysninger kan gjøres tilgjengelig i henhold til samtykke fra – og i samråd med – pasienten, plassering, registrering, tilgang og tilgangskontroll med opplysningene. Forskriften skal videre gi regler om databehandlingsansvaret for opplysningene.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale, lokale helseregistre og virksomhetsovergripende, behandlingsrettede helseregistre, meldingsplikt mv.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
Stortinget skal gi nærmere bestemmelser om innsamling av helseopplysninger etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.
§ 13 nytt andre ledd skal lyde:
Pasienten har rett til innsyn i logg som gir informasjon om hvem som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende.
Forslag 2
I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) skal § 45 lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som nevnt i § 39 gi nødvendige opplysninger i journalen til andre som yter helsehjelp etter denne lov, når dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt tilgang til journalen etter første punktum.
Helseopplysninger som nevnt i første ledd kan gis av den journalansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.
Komiteens tilråding fremmes av Arbeiderpartiet, Fremskrittspartiet og Senterpartiet.
Komiteen viser til proposisjonen og merknadene og rår Odelstinget til å gjøre følgende
vedtak til lov
om endringer i helseregisterloven og helsepersonelloven
I
I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:Ny § 6 a skal lyde:
§ 6 a Virksomhetsovergripende, behandlingsrettede helseregistre
Det kan bare etableres virksomhetsovergripende, behandlingsrettede helseregistre som fremgår av loven her eller annen lov.
Virksomhetsovergripende, behandlingsrettede helseregistre kan bare inneholde nærmere bestemte helseopplysninger i et begrenset omfang som er nødvendige og relevante for samarbeid mellom virksomheter om forsvarlig helsehjelp til pasienten. Slike registre kan bare etableres i tillegg til de behandlingsrettede helseregistrene virksomheten etablerer internt i virksomheten, jf. lov 2. juli 1999 nr. 61 om spesialisthelsetjenesten m.m. § 3-2 og lov 19. november 1982 nr. 66 om helsetjenesten i kommunene § 1-3a, jf. helsepersonelloven §§ 39 og 40. Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering, drift og behandling av helseopplysninger i virksomhetsovergripende, behandlingsrettede helseregistre. Virksomhetsovergripende, behandlingsrettede helseregistre kan bare etableres uten samtykke fra pasienten dersom dette er nødvendig for å ivareta formålet med registeret. Det kan ikke etableres sentrale behandlingsrettede helseregistre etter denne bestemmelsen.
Forskrift etter tredje ledd skal nærmere angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering, tilgang, tilgangskontroll, samt gi pasienten rett til å motsette seg behandling av opplysninger i registeret eller stille krav om samtykke.
Ny § 6 b skal lyde:
§ 6 b Virksomhetsovergripende, behandlingsrettede helseregistre – helsepersonell med formalisert arbeidsfellesskap
Kongen i statsråd kan i forskrift gi bestemmelser om etablering av virksomhetsovergripende behandlingsrettede helseregistre for bruk av helsepersonell med formalisert arbeidsfellesskap.
Forskriften etter første ledd skal sikre plassering av databehandlingsansvaret, samt angi regler om tilgang og tilgangskontroll. Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene i det formaliserte arbeidsfellesskapet er forsvarlige.
Der slike registre opprettes, skal det virksomhetsovergripende, behandlingsrettede registeret føres elektronisk og erstatte det virksomhetsinterne behandlingsrettede registeret. Plikten til å føre journal, jf. helsepersonelloven §§ 39 og 40, gjelder tilsvarende.
§ 9 skal lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale, lokale og behandlingsrettede helseregistre, meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 6 a, 7 og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 6 a, 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.
§ 13 nye andre til sjette ledd skal lyde:
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum.
Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte.
Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.
Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen.
Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne.
II
I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) gjøres følgende endringer:§ 25 første ledd nytt andre punktum skal lyde:
For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd.
§ 45 skal lyde:
§ 45 Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger.
Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.
III
Loven trer i kraft straks.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra Legeforeningen til Stortingets helse- og omsorgskomité. Brevet fra legeforeningen fulgte som vedlegg til Stortingets brev.
Jeg vil innledningsvis informere om at foreliggende lovforslag i Ot.prp. nr. 51 (2008–2009) ikke gjør inngrep i taushetsplikten. Jeg mener derfor det er feil der det i brevet fra Legeforeningen uttales: "Det foreliggende lovendringsforslag representerer det mest inngripende tiltak i forhold til taushetsplikt og personvern og uten at det er foretatt en vurdering av behov og andre alternative og mer målrettede tiltak."
Beskyttelse av privatlivets fred er et sentralt hensyn bak personvernreguleringen. For å konkretisere hva som ligger i personvern er det i teorien utviklet ulike innfallsvinkler. (Veileder til utredningsinstruksen. Vurdering av personvernkonsekvenser. Fornyings- og administrasjonsdepartementet 2008)
Den første innfallsvinkelen en ofte tar utgangspunkt i, er det integritetsfokuserte personvernet, som er et uttrykk for borgerens ønske om å ha kontroll over opplysninger om seg selv og ha en sirkel av privatsfære som ingen har rett til å trenge innenfor, uten tillatelser eller en god og legitim grunn.
Et overordnet prinsipp i foreliggende proposisjon er at tilgang til helseopplysninger bare kan gis i den grad opplysningene er relevante og nødvendige for å kunne tilby faglig, forsvarlig helsehjelp til pasient.
Foreliggende lovforslag innebærer ikke at det kan gis tilgang til flere helseopplysninger enn det man i dag kan gi tilgang til, internt i virksomheten. Når det gjelder kommunikasjon på tvers av virksomheter, åpner lovforslaget for at man kan få elektronisk tilgang til helseopplysninger man i dag kan få utlevert. Man får imidlertid ikke innsyn i flere opplysninger enn i dag.
Ut fra det synspunkt at helseopplysninger ikke skal komme på avveie eller i hendene på uvedkommende, er det - slik jeg ser det – ikke nødvendigvis bedre å utlevere en kopi av journalen /journalnotat enn å gi vedkommende helsepersonell lesetilgang til journalen/ journalnotatet der det ligger. Mulighetene for kontroll med hvem som får lese journalen/journalnotatet er større når det gis lesetilgang til opplysningene enn ved utlevering. Dette fordi at man ved utlevering av opplysningene også ofte mister kontrollen med den videre bruken av dem.
Den andre innfallsvinkelen er det maktfokuserte personvernet. Med dette tenker man på maktbalansen mellom enkeltpersoner og offentlige eller private aktører, eller maktbalansen mellom den registrerte (pasienten) og den som behandler opplysningen. Foreliggende lovforslag innebærer at det ikke gis tilgang til flere opplysninger om en pasient, enn hva som i dag kan utleveres. Videre vil mulighetene for kontroll av hvem som har lest eller sett opplysningene, være større når det gis tilgang til opplysningene, enn ved utlevering.
Den tredje innfallsvinkelen er det beslutningsorienterte personvernet. Dette tar utgangspunkt i at personopplysninger brukes som grunnlag for beslutninger i offentlig og privat virksomhet, som for eksempel helsetjenesten. Et viktig formål med foreliggende proposisjon er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon i helsetjenesten. Tilgang til nødvendige og relevante opplysninger vil ofte være en forutsetning for å kunne treffe en faglig forsvarlig beslutning om hva slag helsehjelp pasienten bør tilbys.
På bakgrunn av blant annet ovennevnte, er det min vurdering at konsekvensene for personvernet av foreliggende lovforslag vil gi bedre personvern.
Helse- og omsorgsdepartementet fikk "NOU 2009:1 Individ og integritet – Personvern i det digitale samfunn" på alminnelig høring 25. februar i år, med frist for merknader 20. august 2009. Departementet har på nåværende tidspunkt ikke ferdigbehandlet rapporten.
Det fremgår av rapporten at Personvernkommisjonen var i sluttfasen av sitt arbeid da forslaget om å lovhjemle tilgang på tvers av virksomheter ble sendt på høring, og at de derfor ikke har hatt anledning til å sette seg inn i forslaget. Kommisjonen uttaler at de likevel vil knyttet noen generelle kommentarer til spørsmål om tilgang på tvers av virksomheter, jf. blant annet nedenfor:
Før det åpnes for journaltilgang på tvers av virksomheter, må det foretas en grundig avveining av både fordeler og ulemper.
Ekstern tilgang til pasientjournalen i en virksomhet forutsetter etter Personvernkommisjonens oppfatning god styring og kontroll internt.
Etter Personvernkommisjonens oppfatning fordrer økt tilgjengelighet til pasientjournalen at pasienter kan ha tillit til at det ikke verken juridisk, teknisk eller faktisk er mulig for utenforstående å tilegne seg informasjon man ikke skal ha.
Jeg mener at foreliggende proposisjon ivaretar de ovenfor nevnte hensyn som Personvernkommisjonen tar opp. Det vises til punkt 7.5 i proposisjonen.
Lovforslaget innebærer ingen automatisk rett til journalopplysninger hos fastleger eller andre helseaktører. Det må først utarbeides en forskrift som nærmere redegjør for hvordan tilgang på tvers eventuelt kan skje. Fastleger som ønsker en slik samarbeidsform må gjøre avtale med relevante virksomheter. I forskriften som skal utarbeides vil det bli satt krav om at tilgangen må begrenses til nødvendige og relevante opplysninger i strukturert form. Det er bare disse opplysninger som fastlegene eventuelt kan gjøre tilgjengelig for samarbeidende helsepersonell. Bare autorisert helsepersonell i sykehusene kan nå disse opplysningene. Kravene i forskrift vil medføre at det må gjøres tilpasninger i de elektroniske pasientjournalsystemene både hos fastleger og sykehus.
Leverandørene av elektroniske pasientjournalsystemer har over tid implementert de fleste av dagens krav til sikkerhet, og arbeider kontinuerlig med forandringer. Det vil derfor være lettest og minst kostbart å tilpasse de siste versjonene av systemene til de nye kravene. I de elektroniske pasientjournalsystemene av eldre dato kan det være vanskelig å oppnå de krav til sikkerhet som settes i ny forskrift. Det vil for eldre systemer måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene, kontra å foreta en nyanskaffelse.
Lovforslaget innebærer lesetilgang til strukturerte og relevante opplysninger. Det betyr at man bruker sin egen EPJ uendret, men med et større informasjonsgrunnlag for beslutningene. Dersom det skal kunne gis lesetilgang til journalopplysninger hos en fastlege, må informasjonen/opplysningene være strukturert og forhåndsvurdert som relevant.
Den første betingelsen som må være tilstede er at fastlegen har et elektronisk journalsystem som gjør det mulig å avgrense tilgangen til å gjelde klinisk informasjon relatert til aktuelt saksområde. Systemet hos fastlegen må kunne loggføre tilgangen, slik at pasienten i ettertid kan få innsyn i hvem som har hatt tilgang til helseopplysninger om ham eller henne.
Det helsepersonell/virksomhet som søker tilgang til opplysningene, for eksempel pasientansvarlig lege på sykehuset, må kunne identifisere seg på et høyt sikkerhetsnivå. Et høyt sikkerhetsnivå kan være entydig identifisering av godkjent bruker ved bruk av personlige sertifikater basert på teknologien Public Key Infrastructure (PKI) samt brukernavn og passord for pålogging.
Virksomheten som søker tilgang til helseopplysninger hos fastlegen, må ha et elektronisk journalsystem som gir en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet". Dette er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i fastlegens system.
Dernest må det være inngått en avtale mellom fastlegen og den andre virksomheten. Det er ikke slik at all samhandling mellom ulike nivåer i helsetjenesten heretter skal skje ved direkte tilgang til opplysninger på tvers av virksomhetsgrenser. Loven pålegger ingen plikt til å inngå avtale, men gir en mulighet til det. Premissen er at en pasient skal kunne tilbys faglig, forsvarlig og helhetlig helsehjelp. Hvordan de aktuelle parter - som hver for seg har et ansvar for helsehjelp til pasienten - best kan samarbeide om en helhetlig behandling - må avgjøres helt konkret, basert på behovs- og risikovurderinger.
Jeg vil anta at elektronisk meldingsutveksling er, og fortsatt vil være, en viktig samhandlingsform, og i mange tilfeller den mest hensiktsmessige. Kommunikasjon av epikriser og henvisninger vil, slik jeg ser det, fortsatt skje i form av meldingsutveksling.
Tilgang til helseopplysninger på tvers av virksomheter vil, etter det jeg er informert om, være mest aktuelt for situasjoner med planlagte tjenester, og der virksomheter og personell samarbeider tett om pasienten på en slik måte at kommunikasjon med for eksempel henvisning og epikrise ikke strekker til. Mest aktuelt er tilgang på tvers ved funksjonsfordeling mellom sykehus og samarbeid om pasienter med store og kompliserte behov i pleie- og omsorgstjenesten.
Regler som regulerer dette spørsmålet er inntatt i helseregisterloven §§ 21 til 25. Det foreslås ingen endringer i disse reglene.
Jeg forutsetter at disse reglene er kjent, men vil likevel skissere noen av de viktigste hovedelementene nedenfor.
Helseregisterloven § 21 gir enhver rett til generell informasjon om helseregistre og behandling av helseopplysninger. Bestemmelsen lyder:
"Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger:
1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
3. formålet med behandlingen av helseopplysningene,
4. beskrivelser av hvilke typer helseopplysninger som behandles,
5. hvor opplysningene er hentet fra, og
6, om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18."
Det følger av merknadene til bestemmelsen, jf. Ot.prp. nr. 5 (1999–2000), at informasjonen skal være generell, kortfattet og standardisert. De samme opplysningene skal kunne gis til alle som ber om informasjon. Når det gjelder informasjon som nevnt i nr. 6, uttales i merknadene til bestemmelsen at det er tilstrekkelig å angi kategorier av mottakere. Det er ikke nødvendig å identifisere den enkelte mottaker, som for eksempel det enkelte helsepersonell.
Jeg legger til grunn at informasjonsplikten etter denne bestemmelsen også omfatter eventuell informasjon om at det er inngått avtale om tilgang til helseopplysninger på tvers av virksomheter, selv om helseregisterloven § 23 nr. 6 bruker begrepet "utlevert" og ikke "tilgang".
Informasjonsplikten etter helseregisterloven § 21 er pålagt den databehandlingsansvarlige, og informasjon skal gis til enhver som ber om det. Det er ikke nødvendig at den databehandlingsansvarlige behandler opplysninger eller har registrert helseopplysninger om den som ber om det.
I tillegg til generell informasjon som nevnt ovenfor, vil den enkelte pasient ha rett til informasjon etter helseregisterloven §§ 23 og 24. Paragraf 23 regulerer informasjonsplikten når opplysninger innsamles fra den registrerte selv, for eksempel i en fastleges konsultasjon med en pasient. Bestemmelsen lyder:
Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om
1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. formålet med behandlingen av helseopplysningene,
3. opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
4. det er frivillig å gi fra seg helseopplysningene, og
5. annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf § 22, og retten til å kreve retting og sletting, jf §§ 26 og 28.
Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.
Dersom det er på det rene at den registrerte allerede kjenner til det som det skal informeres om, er det ikke nødvendig å informere om dette ved hver konsultasjon, jf. annet ledd i bestemmelsen. I forholdet mellom en fastlege og pasient vil det ofte være nok med samme informasjon en gang, men dersom innholdet i noen av de elementene det skal informeres om endres, må det gis oppdatert informasjon ved neste kontakt.
Den enkelte pasients rett til innsyn i journal reguleres for øvrig i pasientrettighetsloven § 5–1 og helsepersonelloven § 41.
Innledningsvis vil jeg gjøre oppmerksom på at befolkningen som sådan ikke har rett til å reservere seg mot behandling av helseopplysninger eller reservere seg mot at det gis tilgang til helseopplysninger. Rettighetssubjektet for reservasjonsretten er pasienten/ den registrerte, jf. helsepersonelloven §§ 25 og 45.
En pasient kan reservere seg mot at helseopplysninger blir gitt til samarbeidende personell (§ 25) og andre som yter helsehjelp (§ 45). Den som mottar opplysningene, har samme taushetsplikt som helsepersonell. Det innebærer at den som utleverer opplysningene må informere mottaker om at pasienten har reservert seg mot at andre gis tilgang til opplysningene.
Mulighetene for kontroll av om mottaker overholder taushetsplikten er, slik jeg ser det, større når det gis tilgang til opplysningene enn ved utlevering.
Dersom en lege gis tilgang til opplysninger i en journal, for eksempel hos fastlegen, skapes det ingen kopi av opplysningene i den virksomhet som får lesetilgang til opplysningene, utover det legen velger å dokumentere i egen journal som sitt beslutningsgrunnlag. Dette innebærer at ingen andre i denne virksomheten vil kunne få tilgang til opplysningene, og det er heller ingen fare for at opplysningene spres videre. Blir derimot de samme journalopplysningene utlevert elektronisk til den andre virksomheten, vil opplysningene i de fleste tilfeller bli lagret som en helhet i journalsystemet hos mottakeren. En slik lagring i mottakerens journalsystem innebærer at opplysningene vil kunne bli tilgjengelige for andre enn den legen som ba om å få opplysningene utlevert. Det må kunne antas at risikoen for at opplysninger kommer på avveie, øker med antall kopier som finnes. Dette gjelder både opplysninger på papir og i elektronisk form. Dersom den legen som har behov for opplysningene gis tilgang til opplysningene der de ligger, vil behovet for dobbeltlagring minske. Sett fra et personvernsperspektiv synes dette å være en fordel.
I tilknytning til dette vil jeg også minne om forbudet mot "snoking" som er inntatt i helsepersonelloven § 21 a og helseregisterloven § 13 a. Helseregisterloven § 13 a lyder:
"Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift."
Den som fortsettlig eller grovt uaktsomt overtrer bestemmelsene, straffes med bøter eller fengsel i inntil tre år.
Lovforslaget og de reguleringer som vil bli gjort i forskriften åpner ikke for fri tilgang til pasientjournaler. Lovforslaget gir bare tilgang til opplysninger underlagt streng kontroll for behandlende helsepersonell for den konkrete pasienten.
Det er ulike behov for elektronisk samhandling i helsetjenesten. En kommunikasjonsform som fungerer godt i en del av helsetjenesten trenger nødvendigvis ikke være den som fungerer best i en annen del av helsetjenesten. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for alle deler av helsetjenesten til å gi en pasient best mulig helsehjelp. Utviklingsarbeidet med elektroniske meldinger vil derfor fortsette som før, likeledes utredningen om nasjonal kjernejournal.
Jeg vil klart slutte meg til uttalelsen i brevet fra Legeforeningen om at det er avgjørende viktig - for å kunne gi god helsehjelp - at befolkningen trygt kan oppsøke helsetjenesten for helsehjelp og trygt kan gi opplysninger uten risiko for at de videreformidles til uvedkommende.
Tilliten til helsetjenesten skapes ved pasientens møte med helsetjenesten i forbindelse med at det ytes helsehjelp. God kvalitet og faglig forsvarlig helsehjelp, herunder informasjon til og involvering av pasienten, er viktige elementer i møte mellom helsepersonell og pasient.
Tillit til helsetjenesten kan også påvirkes av hva en person hører av andre, ved kjennskap til andre pasienters møte med helsetjenesten, ved informasjon gjennom media eller lignende.
I denne forbindelse er det viktig at den informasjonen som blir kommunisert ut - fra helsetjenesten - gir et mest mulig riktig bilde av situasjonen.
Innledningsvis i brevet fra Legeforeningen uttales følgende:
"Det foreliggende lovendringsforslag representerer det mest inngripende tiltak i forhold til taushetsplikt og personvern og uten at det er foretatt en vurdering av behov og andre alternative og mer målrettede tiltak"
Denne uttalelsen i Legeforeningens brev er uriktig og i beste fall misvisende. Slike uttalelser bidrar etter min mening ikke til å gi allmennheten tillit til helsetjenesten.
Datatilsynet og Statens helsetilsyn har påpekt avvik i forhold til dagens regelverk. Noen av avvikene som er påpekt kan ikke uten videre lukkes innenfor dagens teknologi. Det medfører at en må gjøre nyanskaffelser. I spesialisthelsetjenesten pågår eksempelvis et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet til pasientbehandling og sikkerhet. Det vil for eldre systemer måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene kontra å foreta en nyanskaffelse.
Direkte tilgang fra en virksomhet til en pasientjournal i en annen virksomhet vil være avgrenset til relevant og nødvendig informasjon slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenestlig behov for. Det betyr at ved en slik inndeling kan helsepersonell få målrettet informasjon uten å gå gjennom hele journalen.
I brevet fra Legeforeningen tas det utgangspunkt i at en eventuell tilgang hjemles i avtale. Dette er ikke riktig. Tilgang til helseopplysninger er hjemlet i lov, og foreliggende proposisjon endrer ikke dette.
Regler om kommunikasjon mellom helsepersonell ved helsehjelp reguleres i dag av helsepersonelloven §§ 25 og 45. Disse bestemmelser i helsepersonelloven stenger ikke for at det gis tilgang til helseopplysninger på tvers av virksomheter, forutsatt at de øvrige vilkårene i bestemmelsene er ivaretatt.
Helseregisterloven § 13 – slik den i dag lyder – stenger imidlertid for dette – i alle situasjoner, også der det er formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten. Dette gjelder også i de tilfeller pasienten eventuelt samtykker. Forslaget i proposisjonen om å åpne for å kunne gjøre unntak fra det absolutte forbudet i helseregisterloven § 13 i forskrift, innebærer ikke endringer i pasienters rettstilling. Forslaget legger til grunn at de teknologiske muligheter i dag innebærer at pasientens rett til konfidensialitet kan ivaretas på en like god måte som i dag, selv om det åpnes for tilgang til helseopplysninger på tvers av virksomheter. Det absolutte forbudet i helseregisterloven § 13 er etter min vurdering ikke hensiktsmessig lenger, fordi det ikke er nødvendig for overholdelse av taushetsplikten, og det vanskeliggjør nødvendig samarbeid og samhandling mellom virksomheter som samarbeider om helsehjelp til pasienter.
Lovendringene i seg selv innebærer ikke at man kan begynne å kommunisere på tvers av virksomheter. Tilgang til helseopplysninger hos ekstern virksomhet forutsetter at det fastsettes nærmere krav i forskrift. (Det er ikke slik som Legeforeningen synes så tro at de nærmere vilkårene for tilgang blir fastsatt av det enkelte helseforetak.) Krav om avtale mellom virksomheten kommer i tillegg til forskriftens krav, som foreslås hjemlet i helseregisterloven § 13. En avtale må dessuten omfatte minst to parter. Tilgang til en fastleges elektroniske journalsystem forutsetter at fastlegen er en av partene.
Avtaler om behandling av helseopplysninger er for øvrig ikke et ukjent fenomen i personvernlovgivningen. Jeg viser til at både personopplysningsloven og helseregisterloven krever skriftlig avtale mellom en databehandlingsansvarlig og en databehandler.
Formålet med lovendringene er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten, samtidig som pasientens rett til konfidensialitet og vern om personlig integritet ivaretas, jf. kapittel 1 i proposisjonen.
En forutsetning for at helsesektoren skal kunne utnytte de muligheter som lovendringene nå åpner for, er at leverandørene implementerer kravene i de elektroniske pasientjournalsystemene ved nye leveranser og bistår sektoren ved tilpasninger i eksisterende systemer, dersom dette er mest hensiktsmessig. For at dette kan skje må både leverandører og helsesektoren ha kunnskap om hvilke krav som gjelder.
Det fremgår klart av proposisjonen at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften.
Forslaget i proposisjonen som gir hjemmel til å etablere og regulere virksomhetsovergripende behandlingsrettede helseregistre i forskrift, omfatter ikke sentrale behandlingsrettede helseregistre, herunder nasjonal kjernejournal. Etablering av en nasjonal kjernejournal krever endring av helseregisterloven, eller egen lov, og det blir Stortinget som må ta stilling til om et slikt register skal kunne etableres eller ikke.
Foreliggende proposisjon gir hjemmel til å etablere regionale og lokale behandlingsrettede helseregistre, for eksempel en regional kjernejournal. Slik jeg ser det, vil det være helt nødvendig å starte med en eller flere regionale kjernejournaler, for eksempel som pilotprosjekter, før en tar stilling til etablering av en nasjonal kjernejournal. Foreliggende forslag om behandlingsrettede helseregistre på tvers av helseforetak åpner for et slikt pilotprosjekt.
Foreliggende proposisjon foreslår forkriftshjemmel til å etablere regionale og lokale helseregistre. Det foreslås at myndigheten til å fastsette forskrift legges til Kongen i Statsråd, som innebærer at myndigheten ikke kan delegeres.
Dersom en mener at de nærmere regler for behandling av helseopplysninger i for eksempel et sentralt register bør vedtas av Stortinget, skjer dette ved lov, ikke ved forskrift.
Tildeling av myndighet til forvaltningen til å gi generelle bestemmelser forekommer i stor utstrekning. Delegasjon av lovgivningsmyndighet (forskriftshjemler) har vært praktisert gjennom hele den tid vår forfatning har vært i kraft. Det er mange hensyn som taler for at Stortinget overlater dette til forvaltningen. Mengden av lovstoff som produseres er så stor at det måtte bli ren sandpåstrøing hvis alt skulle vedtas av Stortinget.
På den annen side: Det kan knytte seg betenkeligheter til en for vid delegasjon av lovgivningsmyndighet. Som et utgangspunkt kan det hevdes at hjemmelsbestemmelsene ikke bør være så vide og ubestemte at viktige prinsippspørsmål kan avgjøres i medhold av dem uten Stortingets medvirkning.
Helseregisterloven regulerer behandling av helseopplysninger, herunder etablering av helseregistre. Det er en del av lovens formål å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på opplysningene.
Loven inneholder en rekke overordende prinsipper som krav til formålsbestemthet, saklighet og relevans, taushetsplikt, informasjonssikkerhet, plikt til internkontroll, rett til informasjon, innsynsrett i behandling av opplysninger om en selv etc. Lovens utgangspunkt er at ved all behandling av helseopplysninger må fokuset "pasienten først" ligge fast. Alle forskrifter som blir gitt med hjemmel i helseregisterloven må holde seg innenfor disse rammer.
Min vurdering er at helseregisterloven gir en god ramme for forskriftene som kan vedtas med hjemmel i loven.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra Allmennlegeforeningen til Stortingets helse- og omsorgskomité.
Allmennlegeforeningen fremhever i brevet fire forhold, inntatt i kulepunkter innledningsvis i brevet. I svarbrevet til Stortinget vil jeg ta utgangspunkt i disse (gjengitt nedenfor i kursiv). Deretter vil jeg knytte noen kommentarer til de to siste setningene i brevet fra Allmennlegeforeningen.
Det er helt nødvendig å ha fokus på de grunnleggende elementene i elektronisk kommunikasjon i helsetjenesten, slik at man ikke får energi- og ressurslekkasjer fra det viktige fundamentale arbeidet med målrettet meldingsutveksling mellom helsevirksomheter - hvor mye arbeid dessverre fortsatt gjenstår - over i prestisjeprosjekter med enda høyere kompleksitet og stor risiko.
Elektronisk meldingsutveksling er en av flere muligheter for elektronisk samhandling i helsetjenesten. Det vil fra helseforvaltningens side fortsatt være stort fokus på arbeidet med målrettet meldingsutveksling. Foreliggende lovforslag vil ikke endre dette. Behovet for å kommunisere pasientopplysninger på andre måter enn det som er mulig i dag, er imidlertid fremhevet i flere sammenhenger. En arbeidsgruppe nedsatt av de regionale helseforetakene med representanter fra alle regionenes helseforetak avga i desember 2006 en rapport (Tilgang til elektronisk pasientjournalsystem) til Helse- og omsorgsdepartementet hvor behovene for tilgang til helseopplysninger på tvers av virksomheter i spesialisthelsetjenesten er utredet.
Norsk senter for elektronisk pasientjournal (NSEP) gjorde en utredning for Helsedirektoratet i 2007 (Medisinskfaglig analyse av behovet for enklere kommunikasjon i tilknytning til bruken av elektronisk pasientjournal).
Jeg er enig i de vurderinger som gjøres i disse utredningene.
Jeg viser også til Anders Grimsmo sin gjennomgang av forskningslitteraturen i Stortinget den 30. april 2009, hvor det blant annet ble fremhevet at det er et økende samarbeid på tvers av virksomheter og den tradisjonelle informasjonsutvekslingen med henvising, og epikrise, rekvisisjon og svar strekker ikke til på alle områder. Det ble videre vist til at det er utstrakt bruk av muntlig kommunikasjon ved tett samarbeid som blir dårlig dokumentert og ikke sammenholdt at stemmer overens i pasientens ulike journaler hos samarbeidspartnere. Det gjelder i første rekke beslutninger som blir tatt.
Vi opplever ikke at det er redegjort i tilstrekkelig grad for hvilken nytte behandlere vil ha av elektronisk virksomhetsovergripende tilgang målt opp mot de omfattende kostnader og den usikre nytte som ligger i et slikt prosjekt.
Jeg viser til avsnittene ovenfor. Det er dessuten relativt godt dokumentert at mangelfull informasjon har negativ innflytelse på pasientforløpet. Det brukes lengre tid og mer ressurser, og pasienten lider mer. I den akuttmedisinske første fase brukes standardiserte rutiner og i mindre grad journalinformasjon. Opplysninger i pasientjournalen får betydning senere i akuttmottaket når spesifikk behandling og diagnostikk starter.
Behov for kommunikasjon på tvers av virksomheter vil først og fremst gjelde ved samarbeid mellom sykehus og ved samarbeid om pasienter med store og kompliserte behov i pleie- og omsorgstjenesten.
Kostnadene ved tilpasning og utviklingskostnader for de enkelte elektroniske pasientjournalsystemene som er i bruk og de evt. nye behandlingsrettede helseregistrene vil variere sterkt. Dette skyldes at de aktørene som skal samhandle har mange ulike systemer av forskjellig teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde, for eksempel operativsystem/programvare, hvilket pasientjournalsystem brukes, maskinvare, systemversjon osv. Nytten for helsepersonell vil variere alt ettersom hvilket behov de har for elektronisk virksomhetsovergripende tilgang eller om de bare velger å samhandle elektronisk i form av elektroniske meldinger.
Man signaliserer slik vi leser det også et behov for et personidentifiserbart register som skal kartlegge alle bevegelser for alle brukere av helsetjenester i helse-Norge. Dette fremstår som en teknisk betingelse for tversgående tilgang men reiser omfattende personvernmessige utfordringer
Det er ulike behov for elektronisk samhandling i helsetjenesten, jf. ovenfor. En kommunikasjonsform som fungerer godt i en del av helsetjenesten trenger ikke nødvendigvis være det som fungerer best i en annen del av helsetjenesten. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for i alle deler av helsetjenesten å gi pasienten best mulig helsehjelp. Utviklingsarbeidet med elektroniske meldinger vil derfor foregå som før og vurderes i et helhetlig utviklingsarbeid.
Det er under utredning om det skal etableres et nasjonalt behandlingsrettet helseregister, inntil videre omtalt som kjernejournal. Sentralt står vurderingen av hvilke opplysninger som skal inngå i registeret, ansvar for helseopplysningene og ivaretakelse av personvernet. Et register med kontaktoversikt (pasientindeks) er omtalt i høringsnotatet, men ikke i odeltingsproposisjonen. Lovforslaget slik det nå lyder gir ikke gir hjemmel for en nasjonal kontaktoversikt.
AF anser at elektronisk tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende behandlingsrettede helseregistre er teknisk prematurt, personvernmessig svært uheldig og feil signal til både helsetjenesten og befolkningen i dagens situasjon.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal bare kunne gis der det er behov for det, for å kunne gi pasienten helsehjelp i planlagte eller akutte situasjoner. Journalene må være strukturerte slik at andre som yter helsehjelp bare gis tilgang til nødvendige helseopplysninger. Den direkte tilgangen fra en virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenstlig behov for, og det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til.
Effektiv kontroll med tilgangsstyringen (internkontroll), sammen med økt fokus på opplæring, kunnskap og holdninger vil være viktige tiltak for å fremme informasjonssikkerheten. Logging av informasjon om hvem som har hatt tilgang til taushetsbelagte opplysninger vil bidra til å bedre informasjonssikkerheten.
Forutsetningene for tilgang til helseopplysninger på tvers av virksomheter er at det i eget system er en eksplisitt mulighet til å autorisere en bruker for ”rett til å forespørre informasjon i ekstern virksomhet”. Det er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet automatisk kan forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten skal det tilsvarende være et system for å autorisere de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem. Alle oppslag skal logges.
De krav som stilles betyr tilpasninger i de elektroniske journalsystemene slik at de i alle deler av helsevesenet blir strukturert slik at nødvendige helseopplysninger kan skilles fra annen sensitiv personinformasjon. I spesialisthelsetjenesten pågår eksempelvis et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet til pasientbehandling og sikkerhet. Tilpasningene til nye krav i sektoren vil måtte gjøres over lang tid. Det vil ikke være tillatt å åpne for tilgang på tvers før begge virksomhetene kan etterleve sikkerhetskrav som vil bli stilt i forskrift.
Avslutningsvis i brevet uttaler allmennlegeforeningen:
Det forekommer oss som en svært vanskelig tanke at vi heretter eventuelt skulle måtte informere våre pasienter om at denne type informasjon, allerede i dag samlet over inntil 25 år for den enkelte person skal være tilgjengelig for kanskje 150.000 helsearbeidere når man måtte "finne det nødvendig". Som fastleger ville vi måtte vurdere en plakat på venteværelset med svært tydelig informasjon om risiko for informasjonsspredning og reservasjonsmuligheter.
Vi ville dessverre også måtte gjøre pasientene oppmerksomme på muligheten for å la være å tillitsfullt informere sin behandler om livets aller vanskeligste ting, fordi man ikke lenger kan love at "det blir hos meg."
Foreliggende uttalelse må bero på en misforståelse. Foreliggende lovforslag åpner ikke for at det gis elektronisk tilgang til andre helseopplysninger - fra en ekstern virksomhet – enn det den virksomhet som gir tilgang - har vurdert, avgrenset og strukturert på en slik måte at det kan gis tilgang.
Fastlegen vil også i fremtiden kunne si til sin pasient at ”det blir hos meg.” Fastlegen må da registrere opplysningene på en slik måte at andre enn ham selv ikke har tilgang til opplysningene. Dersom fastlegen ikke har et elektronisk journalsystem som muliggjør dette, kan han eller hun ikke gi andre virksomheter, eventuelt annet helsepersonell i egen virksomhet, tilgang til journalen.
Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra FFO til Stortingets helse- og omsorgskomité.
I svaret mitt nedenfor blir spørsmålene og problemstillingene fra FFO gjengitt i kursiv..
FFO ber komiteen etterlyse en redegjørelse og dokumentasjon fra HOD om hvilket behov det er for å tillate vide tilgangsrettigheter til pasientopplysninger på tvers av virksomheter slik som det legges opp til i lovforslaget.
Jeg vil innledningsvis påpeke at bruken av ordene "vide tilgangsrettigheter" er misvisende – slik jeg vurderer det.
Lovforslaget innebærer ingen endring av helsepersonellets rett til å få nødvendig informasjon om pasienten (pasientopplysninger) dersom det er behov for det for å gi helsehjelp. Helsepersonell kan i dag få utlevert pasientopplysninger elektronisk på diskett, CD, ved hjelp av elektroniske meldinger eller ved papirkopi av journalen. Rettsgrunnlaget for slik utlevering er helsepersonelloven §§ 25 og 45.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal i følge lovforslaget bare kunne gis der det er behov for det for å kunne gi pasienten helsehjelp i planlagte eller akutte situasjoner. Rettsgrunnlaget for den elektroniske tilgangen vil fortsatt være helsepersonelloven §§ 25 og 45.
Behovet for å kommunisere pasientopplysninger på andre måter enn det er mulig i dag er fremhevet i flere sammenhenger. En arbeidsgruppe nedsatt av de regionale helseforetakene med representanter fra alle regionenes helseforetak avga i desember 2006 en rapport (Tilgang til elektronisk pasientjournalsystem) til Helse- og omsorgsdepartementet hvor behovene for spesialisthelsetjenesten er utredet.
Norsk senter for elektronisk pasientjournal (NSEP) gjorde en utredning for Helsedirektoratet i 2007 (Medisinskfaglig analyse av behovet for enklere kommunikasjon i tilknytning til bruken av elektronisk pasientjournal).
Jeg er enig i de vurderinger som gjøres i disse utredningene.
Jeg mener dessuten at pasientens rett til konfidensialitet må være like sterk, uavhengig av ansettelsesforhold og hvordan sykehusene er organisert.
FFO ber komiteen etterspørre HODs begrunnelse for hvorfor vide tilgangsrettigheter til journalopplysninger på tvers av virksomhetsgrenser er hensiktsmessig i en akuttsituasjon.
Det er min vurdering at foreliggende lovforslag ikke åpner for vide tilgangsrettigheter i akuttsituasjoner, jf. avsnittene ovenfor.
Det er relativt godt dokumentert at mangelfull informasjon har negativ innflytelse på pasientforløpet. Det brukes lengre tid og mer ressurser og pasienten lider mer. I den akuttmedisinske første fase brukes standardiserte rutiner og i mindre grad journalinformasjon. Opplysninger i pasientjournalen får betydning senere i akuttmottaket når spesifikk behandling og diagnostikk starter.
Behov for kommunikasjon på tvers av virksomheter vil først og fremst gjelde samarbeid mellom sykehus og ved samarbeid om pasienter med store og kompliserte behov i pleie- og omsorgstjenesten.
FFO ber komiteen etterspørre en redegjørelse for hvordan de skal kunne sikre at sensitive pasientopplysninger ikke spres, ved at det åpnes for vide tilgangsrettigheter til EPJ på tvers av virksomheter.
Jeg vil understreke at tilgang til journalopplysninger på tvers av virksomhetsgrenser bare skal kunne gis der det er behov for det for å kunne gi pasienten forsvarlig helsehjelp.
En forutsetning for tilgang er at journalopplysningene er strukturerte slik at helsepersonell som gis tilgang, bare gis tilgang til de opplysningene som er nødvendig, for eksempel opplysning om legemiddelbruk eller allergier. Den direkte tilgangen fra en virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenstlig behov for. Det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til.
Effektiv kontroll med tilgangsstyringen (internkontroll), sammen med økt fokus på opplæring, kunnskap og holdninger vil være viktige tiltak for å fremme informasjonssikkerheten. Logging av informasjon om hvem som har hatt tilgang til taushetsbelagte opplysninger og pasientenes innsynsrett i loggen kan bidra til å bedre informasjonssikkerheten.
FFO ber komiteen etterlyse en grundig redegjørelse fra HOD om hvordan en kan sikre at personvernet blir tilstrekkelig ivaretatt ved at opplysninger i EPJ gjøres tilgjengelig på tvers av virksomheter, særlig tatt i betraktning når tilsyn viser at dette ikke engang er tilstrekkelig ivaretatt internt i mange helseforetak.
Foreliggende lovforslag krever at det blir fastsatt krav til sikker utveksling av pasientopplysninger i forskrift - før det kan gis tilgang til pasientopplysninger på tvers av virksomheter.
En forutsetning for tilgang til helseopplysninger på tvers av virksomheter vil være at det i eget journalsystem er en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet". Det er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten skal det tilsvarende være et system for å autorisere de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem. Alle oppslag skal logges.
De krav som stilles betyr at det må skje tilpasninger i dagens elektroniske journalsystemer. Opplysningene i journalen må kunne avgrenses og struktureres slik at nødvendige helseopplysninger kan skilles fra annen sensitiv personinformasjon. I spesialisthelsetjenesten pågår et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet til pasientbehandling og sikkerhet. Tilpasningene til nye krav til sektoren vil måtte gjøres over lang tid. Virksomheter som ikke har journalsystem hvor nødvendige og relevante opplysninger kan avgrenses og struktureres vil ikke kunne åpne for tilgang fra en ekstern virksomhet.
FFO ber komiteen etterlyse en redegjørelse for hvorfor ikke lovforslaget avgrenses til å bare å gjelde kjernejournal og elektronisk meldingsutveksling.
Det er ulike behov for elektronisk samhandling i helsetjenesten. En kommunikasjonsform som fungerer godt i en del av helsetjenesten trenger ikke nødvendigvis å være det som fungerer best i en annen del av helsetjenesten. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for i alle deler av helsetjenesten gi pasient best mulig helsehjelp. Utviklingsarbeidet med elektroniske meldinger vil derfor foregå som før og er ikke avhenging av lovendringer. Kjernejournal er fremdeles under utredning, som blant annet gjelder hvilke elementer som skal inngå, ansvar for opplysninger og hvorledes den skal driftes.
FFO ber komiteen etterspørre en redegjørelse fra HOD om hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes klare kritikk av tilgangskontrollen og de manglende kontrollrutiner med hvem som tilegner seg journalopplysninger og i hvilken hensikt.
Jeg har på ingen måte oversett de synspunkter Statens helsetilsyn og Datatilsynet har fremført. Datatilsynet og Statens helsetilsyn har påpekt avvik i forhold til dagens regelverk for noen helseforetak. Noen av avvikene som er påpekt kan ikke lukkes innenfor dagens teknologi. Jeg mener i likhet med tilsynene at det er et potensial for forbedringer av informasjonssikkerhet og personvern i helsesektoren, herunder helseforetakene. Jeg er imidlertid av den oppfatning at utvikling og forbedringer kan gjøres samtidig.
Det er minst kostbart å tilpasse de siste versjonene av systemene til nåværende og nye krav, mens det for eldre systemer vil måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene kontra å foreta en nyanskaffelse. Som nevnt ovenfor foregår det i spesialisthelsetjenesten et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet i forhold til pasientbehandling og sikkerhet.
Foreliggende lovforslag innbærer verken fri tilgang til helseopplysninger for alt helsepersonell eller vide tilganger. Lovforslaget krever streng kontroll og det må skje et betydelig utviklingsarbeid før tilgang på tvers kan realiseres.
FFO vil be komiteen etterlyse en grundigere vurdering av de økonomiske og teknologiske utfordringene lovforslaget vil innebære, enn det som framgår av lovforslaget.
Kostnadene ved tilpasning og utviklingskostnader for de enkelte elektroniske pasientjournalsystemene som er i bruk og de evt. nye behandlingsrettede helseregistrene, vil variere sterkt. Dette skyldes at de aktørene som skal samhandle har mange ulike systemer av forskjellig teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde, for eksempel operativsystem/programvare, hvilket pasientjournalsystem brukes, maskinvare, systemversjon osv. Det er også uklart om alle aktørene ønsker å benytte mulighetene for tilgang på tvers.
Leverandørene har for nye versjoner implementert betydelig forbedrede tilgangskontroller for intern bruk som vil bli videreført i de tilgangskontroller som må designes for tilgang på tvers. I tillegg kommer blant annet utvikling av loggfunksjoner og strukturering av journalen
De teknologiske utfordringene med elektronisk kommunikasjon og tilgang til helseopplysninger vil i hovedsak være like for intern tilgang til helseopplysninger som tilgang til ekstern virksomhet.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I forbindelse med at Stortinget nå har saken til behandling har Helse- og omsorgskomiteen mottatt vedlagte brev fra Allmennlegeforeningen datert 13/5-09.1 brevet reises en rekke problemstillinger overfor komiteen, der Allmennlegeforeningen etterlyser vurderinger av ulike forhold knyttet til de foreslåtte lovendringene. Undertegnede ber om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra Allmennlegeforeningen til Stortingets Helse- og omsorgskomité.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I forbindelse med at Stortinget nå har saken til behandling har Helse- og omsorgskomiteen mottatt vedlagte brev fra Den norske Legeforening. I brevet reises en rekke problemstillinger overfor komiteen, der Legeforeningen etterlyser vurderinger av 18 ulike forhold knyttet til de foreslåtte lovendringene. Undertegnede ber om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra legeforeningen til Stortingets Helse- og omsorgskomité.
Undertegnede er saksordfører for Ot. prp. nr 51(2008-2009). I forbindelse med at Stortinget nå har saken til behandling har Helse- og omsorgskomiteen mottatt vedlagte brev fra FFO datert 14/5-09.1 brevet reises en rekke problemstillinger overfor komiteen, der FFO etterlyser vurderinger av ulike forhold knyttet til de foreslåtte lovendringene. Undertegnede ber om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra FFO til Stortingets Helse- og omsorgskomité.
Funksjonshemmedes Fellesorganisasjon viser til overnevnte Ot.prp. og vil gi noen merknader til komiteen om saken.
Helse- og omsorgsdepartementet ønsker gjennom forslagene i Ot.prp.nr.51 (2008-2009), å gjøre endringer i lovverket slik at det kan åpnes for elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrenser innen helsetjenesten. Dette for å sikre nødvendig helsehjelp og understøtte samhandling i helsetjenesten.
FFO vil innledningsvis si at vi støtter et system med mulighet for at pasientopplysninger kan gjøres tilgjengelig på tvers av virksomhetsgrenser, men vi støtter ikke endringer som innebærer mulighet for vide elektroniske tilgangsrettigheter til journalopplysninger på tvers av virksomheter slik lovforslaget åpner for. FFO mener at direkte elektronisk tilgang til journalopplysninger på tvers av virksomheter kun skal kunne gis gjennom en kjernejournal samt gjennom elektronisk meldingsutveksling.
FFO ber komiteen etterlyse en redegjørelse og dokumentasjon fra HOD om hvilket behov det er for å tillate vide tilgangsrettigheter til pasientopplysninger på tvers av virksomheter slik som det legges opp til i lovforslaget.
FFO ber komiteen etterspørre HODs begrunnelse for hvorfor vide tilgangsrettigheter til journalopplysninger på tvers av virksomhetsgrenser er hensiktsmessig i en akuttsituasjon.
FFO be komiteen etterspørre en redegjørelse for hvordan de skal kunne sikre at sensitive pasientopplysninger ikke spres, ved at det åpnes for vide tilgangsrettigheter til EPJ på tvers av virksomheter.
FFO ber komiteen etterlyse en grundig redegjørelse fra HOD om hvordan en kan sikre at personvernet blir tilstrekkelig ivaretatt ved at opplysninger i EPJ gjøres tilgjengelig på tvers av virksomheter, særlig tatt i betraktning når tilsyn viser at dette ikke engang er tilstrekkelig ivaretatt internt i mange helseforetak.
FFO ber komiteen etterlyse en redegjørelse for hvorfor ikke lovforslaget avgrenses til å bare å gjelde kjernejournal og elektronisk meldingsutveksling.
FFO ber komiteen etterspørre en redegjørelse fra HOD om hvorfor de velger å overse Statens helsetilsyn og Datatilsyntes klare kritikk av tilgangskontrollen og de manglende kontrollrutiner med hvem som tilegner seg journalopplysninger og i hvilken hensikt.
FFO vil be komiteen etterlyse en grundigere vurdering av de økonomiske og teknologiske utfordringene lovforslaget vil innebære, enn det som framgår av lovforslaget.
FFO oppfordrer komiteen til å be HOD gi Stortinget en grundig redegjørelse gjennom å besvare de overnevnte spørsmål før komiteen realitetsbehandler lovforslaget
Datatilsynet og Statens helsetilsyn har gjennomført tilsyn med helseforetakene om sikkerhet rundt elektroniske pasientjournaler, og har avdekket at sikkerhetsrutinene i mange tilfeller er altfor dårlig. Det viser seg at helsepersonell og andre ansatte har gjennomgående for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske pasientjournalen. I tillegg er kontrollen med hvilke opplysninger de ansatte tilegner seg for svak.
Det å åpne lovverket for en elektronisk tilgang til journalopplysninger på tvers av virksomhetsgrensene forutsetter en god tilgangsstyring, og oversikt over hvem som tilegner seg opplysninger slik at de journalopplysninger som gjøres tilgjengelig bare gis til de som har behov for det, og at opplysningene har relevans for behandlingen.
Erfaringene viser at sikkerhetsrutinene rundt elektroniske journaler ikke ivaretas på en betryggende måte internt i den enkelte virksomheter i dag. Dette gjør at en tilgang på tvers av virksomheter kan utgjøre en risiko for at sensitive pasientopplysninger kan flyte fritt mellom virksomheter. Mange helseforetak har ikke journaler som angir noe strukturert skille mellom sensitive og ikke sensitive opplysninger i EPJ, dette øker faren for at uvedkommende kan få tilgang til sensitiv informasjon som de absolutt ikke burde ha. Dette mener FFO svekker personvernet i betydelig grad.
Taushetsplikten i helsepersonelloven er en personlig plikt som er sterkt forankret hos helsepersonell og som er viktig for at sensitive pasientopplysninger ikke gis til andre enn de som har et klart tjenestelig behov. Erfaringer viser imidlertid at den personlige taushetsplikten ikke er tilstrekkelig som styringsverktøy for å forhindre at sensitiv informasjon ikke gjøres tilgjengelig for de som ikke burde få tilgang til slike opplysninger. Med vide tilgangsrettigheter og svake kontrollrutiner i virksomhetene vil ikke taushetsplikten være et sterkt nok vern for at opplysninger ikke tilkommer uvedkommende. I tillegg til taushetsplikten er det nødvendig å ha systemiske begrensninger som i størst mulig grad kan hindre urettmessige oppslag.
Departementet har etter FFOs oppfatning ikke i tilstrekkelig grad tatt hensyn til den faren den svake tilgangstyringen og de manglende kontrollrutiner er for personvernet. FFO vil sitere Statens helsetilsyn som skriver:
"Nevnte tilsyn med tilgang til EPJ innenfor virksomhetene taler ikke for utvidelse av tilgangsrettigheter."
Siden tilsynet har påpekt de vide tilgangsrettighetene som en klar svekkelse av personvernet, er FFO undrende til at departementet tillegger konklusjonen i tilsynsrapportene fra Statens helsetilsyn og Datatilsynet så liten vekt. Etter FFOs oppfatning burde disse tilsynsrapportene dannet grunnlag for utarbeidelse av strategier for hvordan sikre god tilgangsstyring og kontrollrutiner internt i virksomhetene, før en åpner for vide tilgangsrettigheter på tvers av virksomheter.
Forslaget til endringer i lovverket åpner etter FFOs oppfatning for vide tilgangsrettigheter til journalopplysninger på tvers av virksomheter. FFO mener at man isteden for å åpne for vide tilgangsrettigheter må lage løsninger som siden gir tilgang til en avgrenset kjernejournal, hvor bare de mest nødvendige opplysninger om pasienten er tilgjengelig, slik som medisinbruk og allergier og lignende. Det er slike kjerneopplysninger som er nødvendig og tilstrekkelig å ha i en akuttsituasjon for å yte nødvendig helsehjelp. Erfaringer fra Skottland som har hatt et system med kjernejournal i tre år, har vist at dette gir svært god funksjonalitet. FFO er derfor forundret over at HOD ikke redegjør nærmere for et kjernejournalsystem som vil kunne ivareta både hensynet til behovet for nødvendig tilgang til vitale opplysninger og et godt personvern.
FFO vil be komiteen medvirke til at HOD gir en grundig redegjørelse for hvorfor ikke kjernejournal legges som ramme og avgrensning for utveksling av nødvendige opplysninger på tvers av virksomheter i helsetjenesten.
En pasientjournal hvor opplysningene ikke kategorisert, systematisert og avgrenset, vil ikke være et godt verktøy i en akuttsituasjon. Helsepersonell som behandler pasienten vil måtte lete etter relevante kjerneopplysninger om pasienten. Slike usystematiserte journaler kan være mer til skade enn til gagn i en akuttsituasjon.
FFO mener derfor at et system med kjernejournal med de mest vitale opplysninger om pasienten er kun det som trengs av opplysninger for gi nødvendig helsehjelp i en akuttsituasjon.
Det kan allikevel være viktige journalopplysninger som ikke framgår av kjernejournalen, og som kan være nødvendig i en behandlingssituasjon. Slike opplysninger bør også kunne gjøres elektronisk tilgjengelig på tvers av virksomheter. Elektronisk meldingsutveksling hvor en har god tilgangskontroll mener FFO vil være et godt alternativ for slikt formål av. Potensialet for elektronisk meldingsutveksling er ikke tilstrekkelig utnyttet i helsetjenesten, og FFO mener at det vil kunne være et egnet system, som også vil ivareta viktige personvernhensyn.
FFO mener at HOD ikke i nødvendig grad drøfter de økonomiske og teknologiske utfordringene som en implementering av lovverket vil innebære for virksomhetene. Slik det fremgår av Ot.prp.nr.51 skal tilpasning av krav etc gjøres innen for de til enhver tid gjeldende økonomiske rammer for virksomhetene. FFO mener at departementet i denne sammenheng undervurderer kostnadene ved en slik implementering og vil be komiteen etterlyse grundigere analyser av disse forhold enn det som går fram av lovforslaget.
FFO støtter ikke forslaget om å gjøre EPJ tilgjengelig på tvers av virksomhetsgrenser uten at det etableres innenfor rammene av en samtykkebasert kjernejournal hvor pasient og helsepersonell i fellesskap har blitt enig i hvilke opplysninger som skal fremgå av journalen. Slik FFO ser det vil en kjernejournal dekke behovet for vitale opplysninger som er nødvendig i en akuttsituasjon. Ytterligere behov for journalopplysninger kan utveksles gjennom elektronisk meldingssystem. FFO vil med dette anmode komiteen om å medvirke til at HOD redegjør for Stortinget på egnet måte, de spørsmål som FFO har reist i denne merknaden.
Vi henvender oss til Stortingets Helse- og omsorgskomite for å gjøre oppmerksom på vår bekymring for at de foreslåtte lovendringer vil svekke personvern og vanskeliggjøre eller forsinke utvikling av helse-IKT som bidrag til trygge og effektive tjenester.
Vi vil særlig fremheve:
Det er helt nødvendig å ha fokus på de grunnleggende elementene i elektronisk kommunikasjon i helsetjenesten, slik at manikke får energi- og ressurslekkasjer fra det viktige fundamentale arbeidet med målrettet meldingsutveksling mellom helsevirksomheter - hvor mye arbeid dessverre fortsatt gjenstår- over i prestisjeprosjekter med enda høyere kompleksitet og stor risiko.
Vi opplever ikke at det er redegjort i tilstrekkelig grad for hvilken nytte behandlere vil ha av elektronisk virksomhetsøvergripende tilgang målt opp mot de omfattende kostnader og den usikre nytte som ligger i et slikt prosjekt.
Man signaliserer slik vi leser det også et behov for et personidentifiserbart register som skal kartlegge alle bevegelser for alle brukere av helsetjenester i helse-Norge. Dette fremstår som en teknisk betingelse for tversgående tilgang men reiser omfattende personvernmessige utfordringer.
AF anser at elektronisk tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av virksomhetsovergripende behandlingsrettede helseregistre er teknisk prematurt, personvernmessig svært uheldig, og feil signal til både helsetjenesten og befolkningen i dagens situasjon.
Formålet med lovforslagene er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av pasientopplysninger i helsetjenesten. Regelverket skal understøtte kvalitet på pasientbehandling samtidig som man ivaretar personvern og pasientens rettigheter. Vi oppfatter at dette søkes oppnådd ved å utvikle et elektronisk system for innhenting av journalinformasjon fra andre virksomheter i helsetjenesten basert på automatiserte elektronisk samtykke ved hjelp av sertifikatgodkjenninger, samt effektive systemer for tagangslagging og rapportering.
Høringsnotatet var omfattende og det er åpenbart behov for en grundig juridisk gjennomgang av mulige følger av de foreslåtte reguleringer. På et overordnet nivå er det liten tvil om at den foreslåtte tilgang på tvers av virksomheter reiser store utfordringer i forhold til personvern og taushetsplikt Vi registrerer at det for departementet også tydeligvis fortonte seg som svært krevende prosesser, i det man på høringsnotatets s. 5 uttaler: "Videre har det vært ønskelig å omtale pasientjournalen ag forholdet til forskning, kvalitetsutvikling og kvalitetsregistre. Departementet har ikke tatt mål av seg å dekke og løse alle utfordringer i dette høringsnotatet og flere av temaene er derfor bevisst ikke omtalt."
Dette er et vanskelig standpunkt fordi de lovendringer man her legger til grunn åpenbart vil ha overslagseffekt i forhold til å utvikle eventuelle virksomhetsovergripende personentydige helseregistre med detformål å følge pasienters forløp i helsetjenesten over lengre tid. Vi minner om Stortingets inntil nå klare holdning om at et hvert forslag til et nytt helseregister skal fremlegges for Stortinget. Deler av det som nå er lagt frem i otprp. 51 kan oppfattes som en omkamp på dette prinsippet, og en åpning for ytterligere tempo i uthuling av personvernet uten at nytte er godt beskrevet..
Vi finner i denne sammenheng grunn til å minne om et konkret historisk eksempel på at et omfattende register og tilgang på tvers ville vært en fare for folkehelsen, nemlig hiv-epidemien:
For snart 25 år siden var helsemyndighetene villige til å underordne behovet for eksakt registerinformasjon behovet for en tillitsfull dialog med risikoutsatte grupper for å kunne arbeide effektivt med forebygging. Det å bl.a, velge bort nominativ melding og frasi seg muligheten til å følge de enkelte pasientforløp eller drive aggressiv smitteoppsporing, slik man i og for seg like godt kunne ha valgt med henvisning til sunnhetsloven og lov om åtgjerder mot kjønnssjukdommer, viste seg å gi en betydelig folkehelsegevinst.
Vekt på personvern, menneskerettigheter, felles forståelse og tillit ble virkemiddelet for en i internasjonal målestokk meget vellykket begrensning av HIV-smittespredning i Norge. Man betalte en svært lav pris for dette, nemlig dårligere oversikt over hvem som var smittet.
Vi er i tvil om den rådende ånd i den sentrale helseforvaltning i dag ville ha gitt oss denne suksessen, etter mange år med "sliding slope" i personverntenkningen.
Det som nå kommuniseres om balansen mellom personvern på den ene side og antatt tryggere og mer effektive tjenester på den annen side er det mange allmennleger som for 15-25 år siden aldri ville ha trodd kunne bli utviklingen. Det som i realiteten kan kalles et paradigmeskifte kommer gradvis - og det er farlig.
Virksomhetsovergripende elektronisk tilgang vil ikke være teknisk mulig før målrettet meldingsutveksling er på plass.
AF vil også understreke at det er helt nødvendig å ha fokus på å få de grunnleggende elementene i elektronisk kommunikasjon til å fungere i helsetjenesten, slik at man ikke får energi- og ressurslekkasjer fra det viktige fundamentale arbeidet hvor mye fortsatt gjenstår. Vi er langt bakpå med å realisere effektiv målrettet meldingsutveksling mellom elektroniske pasientjournalsystemer av de mest nødvendige typer. Vi nevner her spesielt henvisninger, epikriser, laboratorie- og røntgensvar, og meldingsbasert kommunikasjon mellom behandlere knyttet til oppfølging av enkeltpasienter, hvor et system for elektroniske opplysninger om fast medisin hos brukere av pleie- og omsorgstjenester er det mest akutte behov. (Dette kan for øvrig vurderes løst ved endringer i e-resept-formidler løsningen, samt entydig avklaring av ansvar og myndighet til å fåstsette hva som er rett medisinliste for den enkelte pasient Fastlegeforskriften gir fastlegene en plikt til å ta dette ansvaret, mens ansvaret for kommunikasjonsløsningen ligger på myndighetsnivået)
Det ikke er redegjort i tilstrekkelig grad for hvilken nytte man kan ha av virksomhetsovergripende elektronisk tilgang målt opp mot de omfattende kostnader som ligger i slike prosjekter og risikoen for avsporing av det helt sentrale med et velfungerende helsenett med standardisert meldingsutveksling, og ikke minst et funksjonelt "Helsetjenestens elektroniske adresseregister" (HER). Et slikt register er dessverre fortsatt ikke tilgjengelig med virksomhetsinformasjon og brukergrensesnitt i behandleres elektroniske pasientjournaler. Det er etter hvert mange år siden "HER" ble lansert som en "ferdig løsning"
Med henvisning til Høringsnotatets kapittel 5.2 på side 17 første avsnitt vil vi bemerke at mange av de hensyn man her skisserer best ivaretas ved oversendelse av epikrise eller behandlingsnotater over Helsenettet og at tversgående tilgang ikke bør være nødvendig for å løse denne type oppgaver. Da bør heller ikke tversgående tilgang foreslåes.
Skal alle "bomring-passeringer" i helsetjenesten for hver enkelt av oss inn i et eget register?
Vi vil bemerke at man i kapittel 7 i høringsnotatet syntes å foreslå et landsomfattende kontaktoversiktsregister som man antar vil være nødvendig for at man ved elektronisk tilgang til andre virksomheters journaldatabaser skal kunne få den nyeste informasjon om pasienten. Vi forstår dette dit hen at man må etablere en kontaktoversiktsdatabase hvor man skal kunne søke seg automatisk frem til hvor pasienten sist var i kontakt med helsetjenesten. Det er vanskelig å se at elektronisk tilgang på tvers skal være mulig uten et slikt register.
Vi ser da for oss et register hvor man personidentifiserbart vil kartlegge alle bevegelser for alle brukere av helsetjenester i helse-Norge. Vi minner om de betydelige diskusjoner vi har hatt knyttet til logging av bomringpasseringer med bil i Norge og anser at utfordringene knyttet til personvern, og behovet for en klar reservasjonsrett for den enkelte pasient her må drøftes grundig hvis man i det hele tatt ønsker ågå inn på denne type kontaktoversiktsregistre, Vi vil også her for øvrig minne om at utviklings- og driftskostnader av et system som dette, hvis det skal bli driftssikkert og stabilt og nyttig for helsetjenesten, vil være omfattende og må veies i forhold til andre og mer påkrevde prioriteter i utviklingen av elektronisk samhandling i helsetjenesten.
Særlig ona virksomhetsovergripende elektronisk tilgang til elektronisk pasientjournal (EPJ) hos fastlegene.
Gjennomsnittlig varighet av de enkelte lege-pasientforhold i Fastlegeordningen er ca 8 år og økende i flg, SSB. I fastlegenes journaler samles store mengder sensitiv informasjon om den enkelte borgers psykiske og fysiske helse. Allmennleger startet opp med EPJ i stor stil for ca 25 år siden. Dette betyr at pr i dag vil de aller fleste nordmenn ha lagret omfattende helseinformasjon om lange livsløp elektronisk hos sin fastlege. Informasjonen er lagret kronologisk i tråd med tradisjonelle standarder for journalskrivning og lar seg ikke sortere eller kategorisere etter "viktighet", "sensitivitet?' eller andre akser.
Journalforskriftens krav til hva en journal skal inneholde når nødvendig og relevant er betydelige og sier noe om informasjonstilfanget som finnes. Det vises i denne forbindelse til forskrift om pasientjournals § 8 som lyder slik:
§ 8. (Krav til journalens innhold)
Pasientjournalen skal inneholde følgende opplysninger dersom de er relevante og nødvendige:
a) Tilstrekkelige opplysninger til å kunne identifisere og kontakte pasienten, blant annet pasientens navn, adresse, bostedskommune, fødselsnummer, telefonnummer, sivilstand og yrke.
b) Opplysninger om hvem som er pasientens nærmeste pårørende, jf, pasientrettighetsloven § 1-3 bokstav b og lov om psykisk helsevern § I-3, og hvordan vedkommende om nødvendig kan kontaktes,
c) Dersom pasienten ikke har samtykkekompetanse, skal det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasientrettighetsloven kapittel 4.
d) Når og hvordan helsehjelp er gitt, for eksempel i forbindelse med ordinær konsultasjon, telefonkontakt, sykebesøk eller opphold i helseinstitusjon. Dato for innleggelse og utskriving.
e) Bakgrunnen for helsehjelpen, opplysninger om pasientens sykehistorie, og opplysninger om pågående behandling. Beskrivelse av pasientens tilstand, herunder status ved innleggelse og utskriving.
f) Foreløpig diagnose, observasjoner, funn, undersøkelser, diagnose, behandling, pleie og annen oppfølgning som settes iverk og resultatet av dette. Plan eller avtale om videre oppfølgning.
g) Opplysninger som nevnt i § 6 fjerde ledd.
h) Overveielser som har ledet til tiltak som fraviker fra gjeldende retningslinjer.
i) Om det er gitt råd og informasjon til pasient og pårørende, og hovedinnholdet i dette, jf. pasientrettighetsloven § 3-2, Pasientens eventuelle reservasjon mot å motta informasjon.
j) Om pasienten har samtykket til eller motsatt seg nærmere angitt helsehjelp. Pasientens alvorlige overbevisning eller vegring mot helsehjelp, jf pasientrettighetsloven § 4-9. Pasientens samtykke eller reservasjon vedrørende informasjonsbehandling Pasientens øvrige reservasjoner, krav eller forutsetninger.
k) Om det er gjort gjeldende rettigheter som innsyn i journal og krav om retting og sletting, utfallet av dette, ved avslag at pasienten er gjort kjent med klageadgangen, og eventuell klage i slik sak
l) Utveksling av informasjon med annet helsepersonell, for eksempel henvisninger, epikriser, innleggelsebegjæringer, resultater fra rekvirerte undersøkelser, attestkopier m.m.
m) Pasientens faste lege. Det helsepersonell som har begjært innleggelse eller har henvist pasienten.
n) Individuell plan etter spesialisthelsetjenesteloven § 2-5, psykisk helsevernloven § 4-1 eller kommunehelsetjenesteloven § 6-2a.
o) Sykmeldinger og attester.
p) Uttalelser om pasienten, for eksempel sakkyndige uttalelser.
q) Om det er gitt opplysninger til politi, barneverntjenesten, sosialtjenesten mv., og om samtykke er innhentet fra pasienten eller den som har kompetanse til å avgi samtykke i saken. Det skal angis hvilke opplysninger som er gitt.
r) Tvangsinnleggelser, annen bruk av tvang, det faktiske og rettslige grunnlaget for slik tvang og eventuelle kontrollkommisjonsvedtak, jf. lov om psykisk helsevern.
s) En faglig begrunnelse i de tilfellene legen har reservert seg mot apotekets generiske bytterett.
Arbeidsdokumenter, pasientens egendokumentasjon, røntgenbilder, video- og lydopptak mv. er å anse som del av journalen inntil nødvendig informasjon er nedtegnet på forsvarlig måte.
Andre opplysninger enn de som er nevnt i første og andre ledd skal tas inn i journalen i den utstrekning de er relevante og nødvendige.
Det forekommer oss som en svært vanskelig tanke at vi heretter eventuelt skulle måtte informere våre pasienter om at denne type informasjon, allerede i dag samlet over inntil 25 år for den enkelte person skal være tilgjengelig for kanskje 150.000 helsearbeidere når man måtte "finne det nødvendig". Som fastleger ville vi måtte vurdere en plakat på venteværelset med svært tydelig informasjon om risiko for informasjonsspredning og reservasjonsmuligheter.
Vi ville dessverre også måtte gjøre pasientene oppmerksomme på muligheten for å la være å tillitsfullt informere sin behandler om livets aller vanskeligste ting, fordi man ikke lenger kan love at "det blir hos meg."
I forbindelse med komiteens behandling avovennevnte odelstingsproposisjon, ønsker Legeforeningen å sette søkelys på en del spørsmål og problemstillinger knyttet til det forslag som foreligger.
Det har de siste årene blitt vedtatt en rekke lovendringer som til sammen har ført til en utvanning av taushetsplikten. Personvernhensyn har gjennomgående måtte vike for de enkeltes tiltaks gode formål, og Legeforeningen etterlyser en kritisk tilnærming og helhetstekning fra offentlig forvaltning og helsepolitikerens side. Det foreliggende lovendringsforslag representerer det mest inngripende tiltak i forhold til taushetsplikt og personvern og uten at det er foretatt en vurdering av behov og andre alternative og mer målrettede tiltak. Legeforeningen etterlyser vurderinger av:
Konsekvensanalyser av forslaget i forhold til personvernet og tilliten til at taushetsplikten
Hvordan Personernkommisjonen advarsel i NOU 2009:1 kapittel 16, vil bli ivaretatt
Hvordan det kan sikres at sykehusansattes tilgang til journal hos fastlege begrenses til det som er relevant og nødvendig informasjon, dvs uten tilgang til øvrige deler av journalen
Hvor store endringer/investeringer dette vil innebære i forhold til dagens journalsystemer
Hvor store endringer dette vil innebære i forhold til praksis med hensyn til fortløpende nedtegning av journalopplysninger
Hva som skal være kriteriet for å få tilgang til f eks en journal hos fastlegen og hvordan slik tilgang skal begrenses i personkrets og innhold
Hvordan befolkningen og pasientene skal opplyses om hvem som har tilgang til journalen og på hvilket grunnlag
Hvordan befolkningen og pasientene skal kunne reservere seg mot at andre enn den som har mottatt opplysninger senere skal ha tilgang til disse opplysninger
Fordeler og ulemper med forslaget om å åpne for fri tilgang til pasientjournaler - sammenliknet med fordeler og ulemper med å fortsette utviklingsarbeidet når det gjelder bruk av målrettede meldinger fra behandler over helsenett, ev i kombinasjon med bruk av kjernejournal
Konsekvenser av forslaget for den alminnelige tillit til helsetjenesten
Det er avgjørende for å kunne gi god helsehjelp at befolkningen trygt kan oppsøke helsetjenesten for helsehjelp og trygt kan gi opplysninger uten risiko for at de videreformidles.
Legeforeningen har allerede registrert en økende skepsis fra deler av befolkningen til å gi sensitive opplysninger, blant annet ved krav om at leger unnlater å dokumentere opplysninger som er gitt. Vi antar at denne skepsis vil spre seg dersom pasienten mister all kontroll med tilgang til pasientopplysninger, uansett hvilke opplysninger det gjelder.
Helsetilsynet og Datatilsynet har påpekt store mangler ved informasjonssikkerheten og tilgangskontrollen internt i virksomhetene. Ved tilgang fra eksterne virksomheter øker antallet potensielle brukere av pasientinormasjonen drastisk, og dermed faren for økt spredning av sensitiv informasjon. Legeforeningen etterlyser vurderinger av:
Hvordan tilgangskontroll og informasjonssikkerhet rent faktisk kan ivaretas med dagens teknologi?
Virkninger og forskjellen på utlevering og direkte tilgang, når man ved direkte tilgang ikke får målrettet informasjon basert på en bestilling, men må gå igjennom store deler av journalen for å finne det som er nødvendig og relevant?
Om det er juridisk holdbart at en eventuell tilgang hjemles ved avtaler mellom helseforetak og ikke lov. Dvs at de nærmere vilkårene for tilgang ikke blir fastsatt av lovgiver, men det enkelte helseforetak
Departementet forutsetter at krav til avgrensning og strukturering av pasientjournalen bidrar til at man bare får tilgang til nødvendige opplysninger. Slik strukturering foreligger ikke i dag, og vil kreve omfattende ressurser. Legeforeningen etterlyser vurderinger av:
Om loven kan vedtas når avgjørende forutsetninger ikke foreligger
Om det er akseptabelt at tilgang på tvers gis inntil denne og andre forutsetninger foreligger, men faren for at sensitive opplysninger spres til den om ikke har tjenstlig behov
Legeforeningen mener det kan være gode grunner til å utrede nærmere en ordning med såkalt kjernejournal, dvs en journal med et begrenset utdrag av behandlingsinformasjon. Legeforeningen etterlyser vurderinger av:
Om Stortingets rolle i saken: om den skal vedta hjemmel før utredninger som allerede er satt i gang av departementet vedrørende behov, konsekvenser for personvernet, økonomi, innhold andre forhold er ferdigstilt
Om Stortinget skal vedta forskriften som etablerer en eventuell kjernejournal, enten den er lokal, regional eller sentral
Forholdet mellom flertallsregjeringen og Stortinget i spørsmål av særlig betydning for befolkningen, som personvernsspørsmål
Oslo, i helse- og omsorgskomiteen, den 4. juni 2009
Harald T. Nesvik | Olav Gunnar Ballo |
leder | ordfører |