Stortinget har i mange år framhevet betydningen av
informasjons- og kommunikasjonsteknologi (IKT) for å nå helse- og
omsorgspolitiske mål om bedre kvalitet, pasientsikkerhet, effektivitet og
ressursbruk. Rask utveksling av helseopplysninger er viktig for
å sikre god pasientbehandling og effektiv ressursutnyttelse i spesialisthelsetjenesten.
Helseopplysninger er personidentifiserbar taushetsbelagt informasjon som
er underlagt et strengt lovregulert behandlingsregime. Helseforetakene
har flere elektroniske fagsystemer der helseopplysninger er registrert
og lagret. Denne undersøkelsen omhandler styring og kontroll av
tilgang til helseopplysninger i elektroniske pasientjournaler (EPJ)
som har et stort omfang av sensitive opplysninger.
Målet med undersøkelsen har vært å vurdere om helseforetakenes
styring og kontroll av tilgang til helseopplysninger i EPJ-systemet
er i samsvar med gjeldende regelverk. Undersøkelsen omfatter Oslo
universitetssykehus HF, Helse Bergen HF, St. Olavs Hospital HF og
Universitetssykehuset Nord-Norge HF, og behandlingsområdene somatikk,
psykisk helsevern og rus.
Utkast til rapport ble forelagt Helse- og omsorgsdepartementet
ved brev av 25. juni 2014. Departementet har i brev av 20. august
2014 gitt kommentarer til rapportutkastet. Kommentarene er i hovedsak
innarbeidet i Riksrevisjonens dokument.
Helseforetakene har
ikke i tilstrekkelig grad implementert gjeldende regelverk om informasjonssikkerhet
og behandling av helseopplysninger.
Ansatte i helseforetakene har tilgang til
helseopplysninger utover tjenstlig behov.
Helseforetakene har ingen systematisk kontroll og
oppfølging av ansattes tilganger til EPJ.
Helseforetakene har mangelfull internkontroll av
tilgangsstyringen i EPJ.
De fire helseforetakene har utarbeidet skriftlige prosedyrer
basert på regelverket om blant annet personlig systempålogging,
tilgangsstyring og loggkontroll i EPJ-systemet. Likevel er det flere eksempler
på manglende etterlevelse av og lite kunnskap om interne rutiner
og gjeldende regelverk:
I to av fire helseforetak
har ansatte lånt hverandres bruker-ID og passord for pålogging til
EPJ-systemet.
Det er gjennomgående for lite kunnskap
om de tre ulike tilgangsrettighetene (normal-, aktualisert- og nødrettstilgang)
til EPJ-systemet som helseforetakene benytter, og manglende kunnskap
om når de skal brukes.
Ingen av helseforetakene har gjennomført
sikkerhetsrevisjoner slik regelverket pålegger, og det er ulik oppfatning
blant helseforetakene om hva pålegget innebærer.
Ingen av helseforetakene fører journalansvarlig
i journalen slik regelverket pålegger, og det er gjennomgående manglende
kunnskap om hvilket ansvar journalansvarlig har. I Universitetssykehuset
Nord-Norge HF føres eksempelvis ikke journalansvarlig i journalen,
selv om journalansvarlig ifølge prosedyrer for logganalyser er tillagt
konkret ansvar for å bestille kontroller ved mistanke om ureglementert
innsyn i pasientjournal.
Riksrevisjonen mener at helseforetakene verken har
implementert gjeldende regelverk i tilstrekkelig grad eller i tilstrekkelig
grad lagt til rette for at de ansatte blir i stand til å overholde
sine lovpålagte plikter for behandling av sensitive taushetsbelagte
helseopplysninger. Det er dessuten uheldig at pålegg i regelverk
blir tolket og praktisert ulikt av helseforetakene.
Helseforetakenes egne prinsipper for tilgangsstyring
fastslår at det må foretas en konkret vurdering av hvilke opplysninger
den enkelte skal få tilgang til basert på det som er nødvendig,
slik gjeldende regelverk forutsetter. Likevel viser undersøkelsen
at det i liten grad foretas slike konkrete vurderinger av den enkeltes
tjenstlige behov for helseopplysninger når ansatte tildeles roller
av klinikk- og avdelingsledere. Etter Riksrevisjonens syn vil ikke
EPJ-systemets forutsetning om en viss grad av standardisert tildeling
være til hinder for å foreta konkrete behovsvurderinger.
Samtidig viser undersøkelsen at tre av fire
undersøkte helseforetak gir normal tilgang eller aktualisert tilgang
til de ansatte, på tvers av systemområdene somatikk og psykisk helsevern/rus.
I St. Olavs Hospital HF gis det eksempelvis svært brede normale
tilganger og rett til å benytte aktualisert tilgang til mange ansatte og
roller, på tvers av somatikk og psykisk helsevern/rus. En vid tildelingspraksis
med fravær av systematiske vurderinger av den enkelte ansattes individuelle
tjenstlige behov innebærer etter Riksrevisjonens syn at mange ansatte
gis tilgang til helseopplysninger uten at det foreligger nødvendig
behov for tilgang til pasientjournal. Det er heller ingen av helseforetakene
som har rutiner for systematisk å avslutte tilganger når ansatte
bytter arbeidssted internt, og ved flere helseforetak er det ansatte
som har tilganger de selv ikke er klar over. Etter Riksrevisjonens vurdering
viser disse funnene et stort behov for at helseforetakene rydder
opp i tildelingspraksisen slik at den blir i samsvar med gjeldende regelverk.
I helseforetakene som bruker DIPS-systemet, viser
undersøkelsen at ansatte kan se samtlige kontakter (innleggelser
og polikliniske konsultasjoner) en pasient har hatt med helseforetaket innen
både somatikk og psykisk helsevern/rus. De ansatte kan også se samtlige
henvisninger for den enkelte pasient, der mye sensitiv informasjon
som diagnoser og koder av Diagnose Relaterte Grupper (DRG-koder)
kan være tilgjengelig. I Universitetssykehuset Nord-Norge HF blir
mange dokumenter med sensitiv informasjon rutinemessig scannet og
lagret i pasientjournal som bilder. Disse bildene er tilgjengelig
for ansatte på tvers av systemområdene somatikk og psykisk helsevern/rus.
Etter Riksrevisjonens vurdering viser dette at ansatte har tilgang
til mye sensitiv taushetsbelagt informasjon uavhengig av hvilke
tilgangsrettigheter de har blitt tildelt og uten å åpne selve pasientjournalen.
EPJ-systemene legger til rette for å tidsbegrense tilgangen
til pasientjournaler. Likevel viser undersøkelsen at det innen psykisk
helsevern/rus i Oslo universitetssykehus HF og Universitetssykehuset
Nord-Norge HF ikke er tidsbegrensning for de ansattes normale tilgang
til pasientjournal i etterkant av utskrivning eller avsluttet konsultasjon.
Dette innebærer at journalene til disse pasientene forblir tilgjengelige for
de ansatte uten at det er nødvendig å oppgi noen behovsbegrunnelse
for oppslag. Utgangspunktet ved aktualisert tilgang er at det er
den enkelte ansattes individuelle tilgang som gjøres normal for
en bestemt tidsperiode. Ved bruk av aktualisering i Universitetssykehuset
Nord-Norge HF ble pasientjournalentilgjengelig
også for øvrige ansatte gjennom normal tilgang på tvers av områdene
somatikk og psykisk helsevern/rus i 24 timer. Dette innebærer at
mange ansatte i disse timene har tilgang til journalen uten å være
involvert i pasientbehandlingen. Riksrevisjonen mener disse funnene
viser at mange ansatte gis tilgang til helseopplysninger uavhengig
av om den enkelte ansatte er involvert i pasientbehandlingen.
Etter Riksrevisjonens vurdering viser undersøkelsen
at helseforetakenes praksis for tilgangsstyring ikke er i samsvar
med gjeldende regelverks krav om at ansattes tilgang til helseopplysninger
skal være nødvendig for arbeidet vedkommende utfører (tjenstlig
behov).
Ifølge prosedyrene har alle de fire helseforetakene
delegert ansvaret for etterlevelse av vedtatte rutiner for tilgangsstyring
og oppgavene med å tildele og administrere tilgangene til EPJ-systemet,
til klinikk- eller avdelingsledere med budsjett- og personalansvar.
Likevel viser undersøkelsen at det ikke er etablert rutiner for
å administrere og vedlikeholde ansattes tilganger på avdelingsnivå.
Avdelingene oppgir at dette er oppgaver som skal ivaretas av overordnet
nivå. Samtidig viser undersøkelsen at overordnet nivå verken gjennomfører
systematisk kontroll av tilganger eller følger opp at delegerte
oppgaver blir utført. Riksrevisjonen mener dette viser at klinikk-
og avdelingsnivå verken har tilstrekkelige ressurser eller verktøy
til å ivareta det delegerte ansvaret for å sikre korrekt etterlevelse.
Etter Riksrevisjonens vurdering har helseforetakene
mangelfullt grunnlag for å etterprøve om ansattes faktiske behov
for bruk av aktualisert tilgang eller nødrettstilgang var til stede.
Dette fordi behovsbegrunnelsene som må oppgis er forhåndsdefinerte
og lite tilrettelagt for de ansattes faktiske arbeidssituasjon og
behov, og fordi EPJ-systemet gjør det mulig å overstyre kravet om
reell behovsbegrunnelse ved å godta et hvilket som helst ord eller
tegn.
Alle helseforetakene har utarbeidet prosedyrer som
slår fast at loggkontroller av ansattes oppslag i pasientjournaler
skal gjennomføres rutinemessig, både på eget initiativ og basert
på forespørsler fra pasienter. Likevel viser undersøkelsen at ingen
av helseforetakene gjennomfører systematiske loggkontroller på eget initiativ
for å avdekke ureglementerte oppslag, som for eksempel snoking.
De få loggkontrollene som utføres, er primært på forespørsel fra pasienter.
Riksrevisjonen mener det nærmest vil være tilfeldig om helseforetakene
oppdager snoking i pasientjournaler.
Departementet mener at det er en forutsetning ved
vide tilgangsrettigheter at de følges opp med god logging og et
velfungerende kontrollregime som sikrer at ansatte ikke misbruker
mulighetene. Riksrevisjonen mener derfor det er bekymringsfullt
at undersøkelsen viser at helseforetakene verken har systematisk
kontroll med oppslagene ansatte gjør i pasientjournalene, eller systematisk
oppfølging av hvorvidt de ansattes tilganger er riktige ut fra faktisk
behov.
Stortinget vedtok 20. juni 2014, ved endelig
behandling av Innst. 295 L (2013–2014), jf. Prop. 72 L (2013–2014),
at det skal kunne gis tilgang til helseopplysninger for ansatte
på tvers av virksomheter. Dagens regelverk, som denne undersøkelsen
tar utgangspunkt i, gir derimot kun tilgang til pasientjournaler
for ansatte innad i egen virksomhet. Etter Riksrevisjonens vurdering
vil lovendringen fordre at helseforetakene har et langt bedre kontrollregime
enn det resultatet av denne undersøkelsen viser.
Helseforetakene er pålagt å ha internkontroll
der databehandlingsansvarlige (administrerende direktør) skal etablere,
vedlikeholde, dokumentere og gjøre tilgjengelig nødvendige systematiske
tiltak. Likevel viser undersøkelsen at ingen av helseforetakene
har etablert systematisk og integrert internkontroll for tilgangsstyring
i EPJ-systemet.
Helseforetakene har fastsatt ambisiøse sikkerhetsmål
for behandling av helseopplysninger. De er av overordnet karakter
og i liten grad operasjonalisert. Samtlige helseforetak har en tilnærmet
nullaksept på risiko for etterlevelse av sikkerhetsmålene, og legger
til grunn at sikkerhetsbrudd ikke aksepteres. Samtidig viser undersøkelsen
at helseforetakene verken har en systematisk oppfølging av risikovurderinger eller
gjennomfører sikkerhetsrevisjoner i samsvar med regelverket. Til
tross for at helseforetakene har etablert en rutine for rapportering
til ledelsen (ledelsens gjennomgang), er risikoene ledelsen får
seg forelagt av svært overordnet karakter, og resultater fra gjennomførte
risikovurderinger og avvikshåndtering blir i liten grad gjennomgått.
Etter Riksrevisjonens vurdering innebærer dette at det ikke er samsvar
mellom helseforetakenes fastsatte sikkerhetsmål, faktisk kontrollregime
for tilgangsstyring og håndtering av risiko.
Utilstrekkelig kontroll på tilgangene i EPJ-systemet
og fravær av systematisk og integrert internkontroll for tilgangsstyring
gjør etter Riksrevisjonens syn at administrerende direktør i helseforetakene
ikke vil være i stand til å overholde sin lovpålagte plikt som databehandlingsansvarlig.
Riksrevisjonen anbefaler at:
Helse- og omsorgsdepartementet
pålegger de regionale helseforetakene å forsikre seg om at alle helseforetakene
etterlever gjeldende regelverk for informasjonssikkerhet og behandling
av helseopplysninger.
Helse- og omsorgsdepartementet sørger for
at pålegg i regelverket om føring av journalansvarlig person og
gjennomføring av sikkerhetsrevisjoner blir tolket og praktisert
ensartet.
Helse- og omsorgsdepartementet og de regionale helseforetakene
følger opp at helseforetakene har en hensiktsmessig tildelingspraksis
som balanserer EPJ-systemets standardisering etter rolle og regelverkets
pålegg om at tilgang skal være basert på individuelt tjenstlig behov.
Helse- og omsorgsdepartementet og de regionale helseforetakene
sørger for at det blir utviklet verktøy og iverksatt tiltak som
er egnet for å oppdage urettmessig tilegnelse av helseopplysninger.
De regionale helseforetakene følger opp
at helseforetakene etablerer systematisk kontroll og oppfølging
av ansattes tilganger, og at det etableres en tilstrekkelig internkontroll
av tilgangsstyringen.
Helseforetakene iverksetter tiltak som
sikrer økt kunnskap om gjeldende regelverk og interne rutiner om
behandling av helseopplysninger.
Riksrevisjonen har merket seg at merknadene
og anbefalingene framstår som relevante og viktige for departementets
oppfølging av arbeidet på området. Riksrevisjonen vil likevel påpeke
at Helse- og omsorgsdepartementet må sørge for at pålegg i regelverket,
som i liten grad gir rom for ulik tolkning, blir praktisert ensartet.
Komiteen viser til
at formålet med denne delen av undersøkelsen har vært å vurdere
om helseforetakenes styring og kontroll av tilgang til helseopplysninger
i EPJ-systemet er i samsvar med gjeldende regelverk.
Komiteen merker seg at Riksrevisjonen
påpeker at helseforetakene ikke i tilstrekkelig grad har implementert
gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger,
og finner dette lite tilfredsstillende.
Komiteen deler Riksrevisjonens
oppfatning av at det er uheldig at pålegg i regelverk blir tolket og
praktisert ulikt av helseforetakene.
Komiteen finner det lite tilfredsstillende
at ansatte i helseforetakene har tilgang til helseopplysninger utover
tjenstlig behov, til tross for at EPJ-systemet legger til rette
for at man kan foreta behovsvurderinger på en hensiktsmessig måte.
Komiteen ser alvorlig på at helseforetakene ikke
har systematisk kontroll og oppfølging av de ansattes tilganger
i EPJ.
Komiteen merker seg også at helseforetakene har
mangelfull internkontroll av tilgangsstyringen i EPJ, til tross
for at regelverket pålegger dette.
Komiteen viser ellers til anbefalingene
fra Riksrevisjonen og ber HOD vurdere disse, slik at personvernet
for pasienter i helsevesenet blir forbedret.