Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

4. Sak 3: Styring og kontroll av tilgang til helseopplysninger i elektroniske pasientjournaler i fire helseforetak

Stortinget har i mange år framhevet betydningen av informasjons- og kommunikasjonsteknologi (IKT) for å nå helse- og omsorgspolitiske mål om bedre kvalitet, pasientsikkerhet, effektivitet og ressursbruk. Rask utveksling av helseopplysninger er viktig for å sikre god pasientbehandling og effektiv ressursutnyttelse i spesialisthelsetjenesten. Helseopplysninger er personidentifiserbar taushetsbelagt informasjon som er underlagt et strengt lovregulert behandlingsregime. Helseforetakene har flere elektroniske fagsystemer der helseopplysninger er registrert og lagret. Denne undersøkelsen omhandler styring og kontroll av tilgang til helseopplysninger i elektroniske pasientjournaler (EPJ) som har et stort omfang av sensitive opplysninger.

Målet med undersøkelsen har vært å vurdere om helseforetakenes styring og kontroll av tilgang til helseopplysninger i EPJ-systemet er i samsvar med gjeldende regelverk. Undersøkelsen omfatter Oslo universitetssykehus HF, Helse Bergen HF, St. Olavs Hospital HF og Universitetssykehuset Nord-Norge HF, og behandlingsområdene somatikk, psykisk helsevern og rus.

Utkast til rapport ble forelagt Helse- og omsorgsdepartementet ved brev av 25. juni 2014. Departementet har i brev av 20. august 2014 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak innarbeidet i Riksrevisjonens dokument.

  • Helseforetakene har ikke i tilstrekkelig grad implementert gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger.

  • Ansatte i helseforetakene har tilgang til helseopplysninger utover tjenstlig behov.

  • Helseforetakene har ingen systematisk kontroll og oppfølging av ansattes tilganger til EPJ.

  • Helseforetakene har mangelfull internkontroll av tilgangsstyringen i EPJ.

De fire helseforetakene har utarbeidet skriftlige prosedyrer basert på regelverket om blant annet personlig systempålogging, tilgangsstyring og loggkontroll i EPJ-systemet. Likevel er det flere eksempler på manglende etterlevelse av og lite kunnskap om interne rutiner og gjeldende regelverk:

  • I to av fire helseforetak har ansatte lånt hverandres bruker-ID og passord for pålogging til EPJ-systemet.

  • Det er gjennomgående for lite kunnskap om de tre ulike tilgangsrettighetene (normal-, aktualisert- og nødrettstilgang) til EPJ-systemet som helseforetakene benytter, og manglende kunnskap om når de skal brukes.

  • Ingen av helseforetakene har gjennomført sikkerhetsrevisjoner slik regelverket pålegger, og det er ulik oppfatning blant helseforetakene om hva pålegget innebærer.

  • Ingen av helseforetakene fører journalansvarlig i journalen slik regelverket pålegger, og det er gjennomgående manglende kunnskap om hvilket ansvar journalansvarlig har. I Universitetssykehuset Nord-Norge HF føres eksempelvis ikke journalansvarlig i journalen, selv om journalansvarlig ifølge prosedyrer for logganalyser er tillagt konkret ansvar for å bestille kontroller ved mistanke om ureglementert innsyn i pasientjournal.

Riksrevisjonen mener at helseforetakene verken har implementert gjeldende regelverk i tilstrekkelig grad eller i tilstrekkelig grad lagt til rette for at de ansatte blir i stand til å overholde sine lovpålagte plikter for behandling av sensitive taushetsbelagte helseopplysninger. Det er dessuten uheldig at pålegg i regelverk blir tolket og praktisert ulikt av helseforetakene.

Helseforetakenes egne prinsipper for tilgangsstyring fastslår at det må foretas en konkret vurdering av hvilke opplysninger den enkelte skal få tilgang til basert på det som er nødvendig, slik gjeldende regelverk forutsetter. Likevel viser undersøkelsen at det i liten grad foretas slike konkrete vurderinger av den enkeltes tjenstlige behov for helseopplysninger når ansatte tildeles roller av klinikk- og avdelingsledere. Etter Riksrevisjonens syn vil ikke EPJ-systemets forutsetning om en viss grad av standardisert tildeling være til hinder for å foreta konkrete behovsvurderinger.

Samtidig viser undersøkelsen at tre av fire undersøkte helseforetak gir normal tilgang eller aktualisert tilgang til de ansatte, på tvers av systemområdene somatikk og psykisk helsevern/rus. I St. Olavs Hospital HF gis det eksempelvis svært brede normale tilganger og rett til å benytte aktualisert tilgang til mange ansatte og roller, på tvers av somatikk og psykisk helsevern/rus. En vid tildelingspraksis med fravær av systematiske vurderinger av den enkelte ansattes individuelle tjenstlige behov innebærer etter Riksrevisjonens syn at mange ansatte gis tilgang til helseopplysninger uten at det foreligger nødvendig behov for tilgang til pasientjournal. Det er heller ingen av helseforetakene som har rutiner for systematisk å avslutte tilganger når ansatte bytter arbeidssted internt, og ved flere helseforetak er det ansatte som har tilganger de selv ikke er klar over. Etter Riksrevisjonens vurdering viser disse funnene et stort behov for at helseforetakene rydder opp i tildelingspraksisen slik at den blir i samsvar med gjeldende regelverk.

I helseforetakene som bruker DIPS-systemet, viser undersøkelsen at ansatte kan se samtlige kontakter (innleggelser og polikliniske konsultasjoner) en pasient har hatt med helseforetaket innen både somatikk og psykisk helsevern/rus. De ansatte kan også se samtlige henvisninger for den enkelte pasient, der mye sensitiv informasjon som diagnoser og koder av Diagnose Relaterte Grupper (DRG-koder) kan være tilgjengelig. I Universitetssykehuset Nord-Norge HF blir mange dokumenter med sensitiv informasjon rutinemessig scannet og lagret i pasientjournal som bilder. Disse bildene er tilgjengelig for ansatte på tvers av systemområdene somatikk og psykisk helsevern/rus. Etter Riksrevisjonens vurdering viser dette at ansatte har tilgang til mye sensitiv taushetsbelagt informasjon uavhengig av hvilke tilgangsrettigheter de har blitt tildelt og uten å åpne selve pasientjournalen.

EPJ-systemene legger til rette for å tidsbegrense tilgangen til pasientjournaler. Likevel viser undersøkelsen at det innen psykisk helsevern/rus i Oslo universitetssykehus HF og Universitetssykehuset Nord-Norge HF ikke er tidsbegrensning for de ansattes normale tilgang til pasientjournal i etterkant av utskrivning eller avsluttet konsultasjon. Dette innebærer at journalene til disse pasientene forblir tilgjengelige for de ansatte uten at det er nødvendig å oppgi noen behovsbegrunnelse for oppslag. Utgangspunktet ved aktualisert tilgang er at det er den enkelte ansattes individuelle tilgang som gjøres normal for en bestemt tidsperiode. Ved bruk av aktualisering i Universitetssykehuset Nord-Norge HF ble pasientjournalentilgjengelig også for øvrige ansatte gjennom normal tilgang på tvers av områdene somatikk og psykisk helsevern/rus i 24 timer. Dette innebærer at mange ansatte i disse timene har tilgang til journalen uten å være involvert i pasientbehandlingen. Riksrevisjonen mener disse funnene viser at mange ansatte gis tilgang til helseopplysninger uavhengig av om den enkelte ansatte er involvert i pasientbehandlingen.

Etter Riksrevisjonens vurdering viser undersøkelsen at helseforetakenes praksis for tilgangsstyring ikke er i samsvar med gjeldende regelverks krav om at ansattes tilgang til helseopplysninger skal være nødvendig for arbeidet vedkommende utfører (tjenstlig behov).

Ifølge prosedyrene har alle de fire helseforetakene delegert ansvaret for etterlevelse av vedtatte rutiner for tilgangsstyring og oppgavene med å tildele og administrere tilgangene til EPJ-systemet, til klinikk- eller avdelingsledere med budsjett- og personalansvar. Likevel viser undersøkelsen at det ikke er etablert rutiner for å administrere og vedlikeholde ansattes tilganger på avdelingsnivå. Avdelingene oppgir at dette er oppgaver som skal ivaretas av overordnet nivå. Samtidig viser undersøkelsen at overordnet nivå verken gjennomfører systematisk kontroll av tilganger eller følger opp at delegerte oppgaver blir utført. Riksrevisjonen mener dette viser at klinikk- og avdelingsnivå verken har tilstrekkelige ressurser eller verktøy til å ivareta det delegerte ansvaret for å sikre korrekt etterlevelse.

Etter Riksrevisjonens vurdering har helseforetakene mangelfullt grunnlag for å etterprøve om ansattes faktiske behov for bruk av aktualisert tilgang eller nødrettstilgang var til stede. Dette fordi behovsbegrunnelsene som må oppgis er forhåndsdefinerte og lite tilrettelagt for de ansattes faktiske arbeidssituasjon og behov, og fordi EPJ-systemet gjør det mulig å overstyre kravet om reell behovsbegrunnelse ved å godta et hvilket som helst ord eller tegn.

Alle helseforetakene har utarbeidet prosedyrer som slår fast at loggkontroller av ansattes oppslag i pasientjournaler skal gjennomføres rutinemessig, både på eget initiativ og basert på forespørsler fra pasienter. Likevel viser undersøkelsen at ingen av helseforetakene gjennomfører systematiske loggkontroller på eget initiativ for å avdekke ureglementerte oppslag, som for eksempel snoking. De få loggkontrollene som utføres, er primært på forespørsel fra pasienter. Riksrevisjonen mener det nærmest vil være tilfeldig om helseforetakene oppdager snoking i pasientjournaler.

Departementet mener at det er en forutsetning ved vide tilgangsrettigheter at de følges opp med god logging og et velfungerende kontrollregime som sikrer at ansatte ikke misbruker mulighetene. Riksrevisjonen mener derfor det er bekymringsfullt at undersøkelsen viser at helseforetakene verken har systematisk kontroll med oppslagene ansatte gjør i pasientjournalene, eller systematisk oppfølging av hvorvidt de ansattes tilganger er riktige ut fra faktisk behov.

Stortinget vedtok 20. juni 2014, ved endelig behandling av Innst. 295 L (2013–2014), jf. Prop. 72 L (2013–2014), at det skal kunne gis tilgang til helseopplysninger for ansatte på tvers av virksomheter. Dagens regelverk, som denne undersøkelsen tar utgangspunkt i, gir derimot kun tilgang til pasientjournaler for ansatte innad i egen virksomhet. Etter Riksrevisjonens vurdering vil lovendringen fordre at helseforetakene har et langt bedre kontrollregime enn det resultatet av denne undersøkelsen viser.

Helseforetakene er pålagt å ha internkontroll der databehandlingsansvarlige (administrerende direktør) skal etablere, vedlikeholde, dokumentere og gjøre tilgjengelig nødvendige systematiske tiltak. Likevel viser undersøkelsen at ingen av helseforetakene har etablert systematisk og integrert internkontroll for tilgangsstyring i EPJ-systemet.

Helseforetakene har fastsatt ambisiøse sikkerhetsmål for behandling av helseopplysninger. De er av overordnet karakter og i liten grad operasjonalisert. Samtlige helseforetak har en tilnærmet nullaksept på risiko for etterlevelse av sikkerhetsmålene, og legger til grunn at sikkerhetsbrudd ikke aksepteres. Samtidig viser undersøkelsen at helseforetakene verken har en systematisk oppfølging av risikovurderinger eller gjennomfører sikkerhetsrevisjoner i samsvar med regelverket. Til tross for at helseforetakene har etablert en rutine for rapportering til ledelsen (ledelsens gjennomgang), er risikoene ledelsen får seg forelagt av svært overordnet karakter, og resultater fra gjennomførte risikovurderinger og avvikshåndtering blir i liten grad gjennomgått. Etter Riksrevisjonens vurdering innebærer dette at det ikke er samsvar mellom helseforetakenes fastsatte sikkerhetsmål, faktisk kontrollregime for tilgangsstyring og håndtering av risiko.

Utilstrekkelig kontroll på tilgangene i EPJ-systemet og fravær av systematisk og integrert internkontroll for tilgangsstyring gjør etter Riksrevisjonens syn at administrerende direktør i helseforetakene ikke vil være i stand til å overholde sin lovpålagte plikt som databehandlingsansvarlig.

Riksrevisjonen anbefaler at:

  • Helse- og omsorgsdepartementet pålegger de regionale helseforetakene å forsikre seg om at alle helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger.

  • Helse- og omsorgsdepartementet sørger for at pålegg i regelverket om føring av journalansvarlig person og gjennomføring av sikkerhetsrevisjoner blir tolket og praktisert ensartet.

  • Helse- og omsorgsdepartementet og de regionale helseforetakene følger opp at helseforetakene har en hensiktsmessig tildelingspraksis som balanserer EPJ-systemets standardisering etter rolle og regelverkets pålegg om at tilgang skal være basert på individuelt tjenstlig behov.

  • Helse- og omsorgsdepartementet og de regionale helseforetakene sørger for at det blir utviklet verktøy og iverksatt tiltak som er egnet for å oppdage urettmessig tilegnelse av helseopplysninger.

  • De regionale helseforetakene følger opp at helseforetakene etablerer systematisk kontroll og oppfølging av ansattes tilganger, og at det etableres en tilstrekkelig internkontroll av tilgangsstyringen.

  • Helseforetakene iverksetter tiltak som sikrer økt kunnskap om gjeldende regelverk og interne rutiner om behandling av helseopplysninger.

Riksrevisjonen har merket seg at merknadene og anbefalingene framstår som relevante og viktige for departementets oppfølging av arbeidet på området. Riksrevisjonen vil likevel påpeke at Helse- og omsorgsdepartementet må sørge for at pålegg i regelverket, som i liten grad gir rom for ulik tolkning, blir praktisert ensartet.

Komiteen viser til at formålet med denne delen av undersøkelsen har vært å vurdere om helseforetakenes styring og kontroll av tilgang til helseopplysninger i EPJ-systemet er i samsvar med gjeldende regelverk.

Komiteen merker seg at Riksrevisjonen påpeker at helseforetakene ikke i tilstrekkelig grad har implementert gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger, og finner dette lite tilfredsstillende.

Komiteen deler Riksrevisjonens oppfatning av at det er uheldig at pålegg i regelverk blir tolket og praktisert ulikt av helseforetakene.

Komiteen finner det lite tilfredsstillende at ansatte i helseforetakene har tilgang til helseopplysninger utover tjenstlig behov, til tross for at EPJ-systemet legger til rette for at man kan foreta behovsvurderinger på en hensiktsmessig måte.

Komiteen ser alvorlig på at helseforetakene ikke har systematisk kontroll og oppfølging av de ansattes tilganger i EPJ.

Komiteen merker seg også at helseforetakene har mangelfull internkontroll av tilgangsstyringen i EPJ, til tross for at regelverket pålegger dette.

Komiteen viser ellers til anbefalingene fra Riksrevisjonen og ber HOD vurdere disse, slik at personvernet for pasienter i helsevesenet blir forbedret.