SlideShare ist ein Scribd-Unternehmen logo

Personvern i helsesektoren foredrag for isf

Als PPT, PDF herunterladen
Eva Jarbekk
Eva Jarbekk
1 von 31
Personvern og personopplysningsvern i en implementeringstid -noen generelle betraktninger om balansen mellom profesjoner og lovverk advokat Eva I. E. Jarbekk
• Prinsipielt – Personvern eller personopplysningsvern? – Hvorfor personvern? – Aktualitet • Rettslig rammeverk • Faktiske observasjoner • Nytt lovforslag – Norsk forslag – Reaksjoner – Nødvendige spørsmål videre for informasjonssikkerhet, tilgang – Internasjonale løsninger – Straff Ettermiddagens temaer
• Advokat og partner i Brækhus Dege Advokatfirma ANS, ca 80 medarbeidere • Stortingsoppnevnt leder av personvernnemnda • Leder advokatforeningens lovutvalg for ikt- og personvern • Arbeidet med flere granskninger med utfordringer innen e-post • Deltar i FAKTUM – granskningsnettverk – se faktum.as – fokus på elektroniske bevis og ikt- kontrakter Min bakgrunn
Personvern eller personopplysningsvern • Medisinere utøver personvern i ytterste forstand • Lover om personvern, taushetsplikt handler om personopplysninger – Personopplysningene har betydning for personene • Kan være motsetninger – Å hindre tilgang kan gi tap av liv • Kirurg får ikke tilgang til vital informasjon fra bostedssykehuset – Motsatt: urettmessig tilgang kan gi tap av liv • Opplysinger om abort blir lekket – Begge situasjoner er reelle – Ved fare for liv må personvern vike • Balanse – mulighet til å velge er sentralt – og hindre snoking
Litt om hvorfor personvern • Sikring av konfidensialitet - uvedkommende får ikke tilgang – Den enkeltes kontroll med opplysningene – Ubehagelig at informasjon er på avveie – Kan ha stor praktisk betydning – Forventning om diskresjon hos legen • Sikring av integritet – ikke utilsiktet endring av opplysninger – Relevant? • Sikring av tilgjengelighet -tilstrekkelig og relevante opplysninger er tilgjengelige – Mange mener dette er viktigst i helsesektoren • Hensynene går igjen i alle regelsettene
Aktualitet i helsesektoren • Journalen er nå elektronisk lagret • Utveksling er mulig • Økt spesialisering gir økt utvekslingsbehov • Effektivisering er ønskelig • Pasienter vil ikke gjenta historien sin hver gang • Andre pasienter vil ikke at bekjente skal snoke • 3 typer pasienter – De som ”aldri” er syke – vil ofte ha åpenhet – De med sosialt akseptable sykdommer – vil ofte ha åpenhet – De med sosialt belastende sykdommer – vil IKKE ofte ha åpenhet • Forbigående depresjon, rusproblemer,
Rettslig rammeverk • Helsepersonelloven – Angir journalplikt – § 21 Angir taushetsplikt (evt Hippokrates for 2500 år siden) • Flere unntak – Samtykke kan oppheve taushetsplikt – § 21 kan dele opplysninger pga nødvendig for å gi helsehjelp – når pasient ikke motsetter seg det – § 45 de som mottar henvendelse om utlevering skal gi dette – med mindre pasienten motsetter seg det – utlevering skal noteres i journal • Pasientrettighetsloven – § 1-1 fremme tillit mellom pasient og helsetjeneste, ivareta respekt for integritet og menneskeverd – § 3-6 Angir taushetsplikt, • Helseregisterloven – Helseopplysninger er de som er underlagt taushetsplikt ihht helsepersonelloven – Om journalsystem, EPJ, registre – §5 - hjemmel i konsesjon fra DT, forskrift eller lov • §13 om hvem som har tilgang – innenfor HF • Fra andre HF må man henvende seg til HF for å få tilgang – pga konfidensialitet – §16 om informasjonssikkerhet – Utfylles av POL (nedenfor) …forts.
Rettslig rammeverk • Personopplysningsloven (EU-basert) – §1 beskytte individ mot krenkelse gjennom behandling av personopplysinger – Helseopplysninger er ”sensitive” • EMK – Art 8 nr 1 gir rett til respekt for privatliv, familieliv, hjem og korrespondanse – Krav om informasjonssikkerhet • Sykepleier i SF vant over sykehus for kollegenes snoking i hennes journal, HIV, fikk erstatning for tort og svie • Spesialisthelsetjenesteloven • Kommunehelsetjenesteloven • Forskrifter • Kommer tilbake til nye rettsregler
Faktiske observasjoner • Journalsystemene er forskjellige • Noen journalsystemer har rutiner for å stenge journaler 14 dager etter utskrivelse, ikke alle – Ikke alle tilgangskontroller brukes • Snoking skjer; siste 3 år har 19 sykehusansatte fått advarsler, kritikk eller oppsigelse – snoker på bekjente, familier, kolleger, kjendiser – minoritetskvinner har negative erfaringer • Praksis viser at logger i liten grad gjennomgås – ofte kun når kjente personer eller kolleger har vært pasienter – dette vet ansatte ..sentralt brev
Faktiske observasjoner Utklipp fra brev fra Helsetilsynet til helse og omsorgsdepartementet 6/3-08 etter flere tilsyn i mai 2006 sammen med Datatilsynet: ”.. Den økte tilgjengeligheten skaper også utfordringer. Dette gjelder spesielt taushetsplikten som nå er under større press enn før. Dette bekymrer Statens helsetilsyn i en slik grad at vi ser det nødvendig å informere Helse- og omsorgsdepartementet om den svikt vi har funnet ved tilsyn og hva vi ser som bakenforliggende årsaker til dette..” ..forts
Faktiske observasjoner ”Avvikene som ble avdekket dreide seg om at helseforetakene ikke sikret at taushetsbelagte personopplysninger i de elektroniske pasientjournalsystemene var forsvarlig vernet mot innsyn fra ansatte som ikke hadde legitimt behov for opplysningene. Avvikene bygde i hovedsak på at store grupper helsepersonell var gitt tilgang til hele eller deler av de elektroniske pasientjournalene uavhengig av om de var involvert i pasientbehandlingen eller ei. Dette skyldtes delvis at journalsystemene ikke var laget slik at det var mulig å etterleve kravene til taushetsplikt og tilgangsstyring, og delvis at helseforetakene ikke fullt ut hadde utnyttet de mulighetene for tilgangsstyring som lå i systemene. Personellgrupper var også gitt tilgang til opplysninger for situasjoner som ville/kunne inntreffe svært sjeldent, fremfor i sjeldne tilfeller å basere seg på utlevering i tråd med prinsippet i helsepersonelloven § 45.”
Faktiske observasjoner ”Hvert år gjør helsepersonell millioner av oppslag i pasientjournalene ved disse sykehusene. Alle oppslag loggføres automatisk. Det store antallet oppslag, små kontrollressurser og svake kontrollrutiner gjør at ansatte ved kliniske avdelinger som kikker i pasientjournaler uten å ha tjenestelige behov, har lav risiko for å bli avslørt. Loggkontroll ble derfor vurdert til å være et lite egnet hjelpemiddel til å avdekke misbruk. ” Kunnskaper Noe av problemet med sviktende beskyttelse av taushetsbelagt informasjon skyldes mangelfull kunnskap om hva taushetsplikten etter helselovgivningen betyr og innebærer. Mange ser ut til å tro at taushetsbelagt informasjon kan utveksles fritt med andre som har taushetsplikt (uavhengig av behov), som om det fantes noe som litt enkelt kan kalles ”taushetspliktklubber.” ..
Faktiske observasjoner ”.. tilgangsstyringen hovedsakelig var innrettet etter helsepersonellets behov for informasjon og ikke etter pasientenes behov for diskresjon. Videre er det i stor grad de dramatiske situasjoner og ikke den daglige drift som trekkes fram som begrunnelse for de løsninger som blir valgt for tilgangsstyring. ” ”Det som gjør saken enda mer alvorlig er at pasientene som regel ikke er klar over at innholdet i pasientjournalene ligger dårlig beskyttet på sykehusenes interne datanettverk, og at de tror de kan betro seg om sensitive ting uten nevneverdig risiko for lekkasjer. I tillegg er de fleste pasientene ikke kjent med at det finnes logger som viser hvem som har vært inne og lest, eller skrevet i journalen, og som pasientene kan få tilgang til dersom de spør. Direktøren for Datatilsynet har for eksempel tatt til orde for at loggene regelmessig bør sendes til pasientene til gjennomgang slik at pasientene selv kan vurdere om uvedkommende har snoket i journalene. ” ..
Faktiske observasjoner Teknokratene styrer ”Tilsynserfaringene tyder på at brukerne av pasientjournalsystemene og linjelederne har liten innflytelse på funksjonaliteten. Det betyr at personell som har taushetsplikt og innsikt i hva taushetsplikten innebærer, ikke i tilstrekkelig grad blir hørt ved utforming av journalsystemene. I stedet baseres funksjonaliteten og praktisk bruk på hva som datateknisk er mest lettvint eller effektivt og på hva ledere og rådgivere uten klinisk bakgrunn mener er viktig. Dette bidrar til å svekke hensynet til taushetsplikt og diskresjon, og legger til rette for lite selektiv tilgangsstyring og aksept for at det i noen tilfeller må og skal være noe tungvint å innhente nødvendige opplysninger i form av å be om å få opplysningene utlevert fra for eksempel en psykiatrisk avdeling innen et helseforetak, eller fra et annet sykehus/helseforetak.” ..
Faktiske observasjoner Leverandørene ”Tilsynserfaringene kan også tyde på at leverandørene av systemene har satt inn begrensede ressurser for å utvikle systemene i henhold til kravene. Sammenholdt med en mer teknokratisk bestillerside i helseforetakene kan dette innebære en relativt beskjeden dynamikk i utviklingen av systemene knyttet til ivaretakelse av taushetsplikt. ” Lav risiko for å bli avslørt og straffet for snoking ”Det store antallet oppslag i pasientjournalene gjør oppgaven med å avdekke snoking fra helseforetakets side nærmest umulig med eksisterende hjelpemidler. Den enkleste måten å avdekke snoking på synes å være å gi utskrifter av loggene til pasientene slik at pasientene selv kan vurdere om uvedkommende kan ha vært inne i journalen uten legitim grunn. Ut over det vil loggkontroll i hovedsak måtte basere seg på stikkprøver, eller på konkret mistanke om mulig snoking. Med dagens teknologi er mulighetene for å avdekke snoking, og risikoen for å bli tatt for slikt, så lav at det har utilstrekkelig preventiv effekt. Konkrete saker i mange helseforetak bekrefter dette.”
Faktiske observasjoner Mulige tiltak ”Ved anskaffelser og oppgraderinger må helseforetakene stille krav til leverandørene om at de elektroniske pasientjournalsystemene er utformet på en slik måte at kravene til taushetsplikt kan etterleves fullt ut. Videre må helseforetakene sørge for at tilgangsstyringen til pasientjournalene både sikrer behandlernes behov for tilgjengelighet og pasientenes behov for diskresjon, og at disse behovene balanseres slik at virksomheten utøves forsvarlig. Vi ser på Helse- og omsorgsdepartementets forslag til endringer i helsepersonelloven § 21 annet ledd om å gjøre snoking i pasientjournaler ulovlig som et nyttig tiltak, men vil understreke at vi mener at de viktigste tiltakene mot snoking er gode systemer for tilgangsstyring.” ”..
Observasjoner I de regionale helseforetakenes (RHF) rapport framgår det at det er ønskelig med en åpen fullmakt slik at sykehus og andre virksomheter kan avtale seg imellom når og hvordan direkte tilgang skal iverksettes. Disse forventingene fra RHFene har Helsedirektoratet dessverre ikke kunnet tilrå. Det skyldes blant annet at det gjennom tilsyn er dokumentert at virksomhetene internt har mangelfull tilgangsstyring. Taushetsplikten er truet. Dagens mangelfulle overholdelse av taushetsplikten medfører at det er en begynnende praksis hvor sensitiv informasjon i enkelte tilfeller ikke føres i journal, for eksempel når sykehusets egne ansatte innlegges. Dette truer kvaliteten i behandlingen og pasientsikkerheten. Direktoratet kan derfor ikke tilrå ytterligere teknologiske løsninger nå, som åpner for større spredning av pasientopplysninger. – Helsedirektoratet høsten 2008 ..
Nytt rettslig rammeverk • Ot. Prp. 51 2008 – 2009, Helse og omsorgsdepartementet • Endringer i helsepersonelloven • Endringer i helseregisterloven 1. Helseregl. hjemler forskrift om tilgang til journal på tvers av HF 2. Helsepersonell. § 45 hjemler overføring, utlevering, tilgang 3. Helseregl .hjemler virksomhetsovergripende helseregistre 4. Helseregl. hjemler felles registre for helsepersonell med arbeidsfellesskap • Utkast til forskrift om informasjonssikkerhet og elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre
Nytt rettslig rammeverk Ny lov om helsepersonell § 45 lyde: § 45. Utlevering av og tilgang til journal og journalopplysninger Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger etter første punktum. Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
Nytt rettslig rammeverk Ny § 6a i helseregisterloven skal lyde: § 6 a Virksomhetsovergripende behandlingsrettede helseregistre Forskrift etter tredje ledd skal nærmere angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering, tilgang, tilgangskontroll, samt gi pasienten rett til å motsette seg behandling av opplysninger i registeret eller stille krav om samtykke.
Sagt om de nye reglene • Opplysninger fra fastlegen eller psykologen blir tilgjengelig for titusenvis • Dramatisk svikt i etterlevelse av personvernet ifbm EPJ • Datatilsynets og Helsetilsynets kontroller viser alt for vid tilgang – Og kontrollen med hvem som benytter tilgangen er svak • Kommer tilfredsstillende tilgangsstyring nå?? Finnes det økonomi til å få ting på plass? Hva vet man egentlig om dette spør juristene i Datatilsynet
Sagt om de nye reglene • Man risikerer at pasient holder tilbake opplysninger • Man risikerer at legen har doble journaler – Kanskje enda flere journaler? • Økt tilgang gir økt snoking? • Legeforeningen mener taushetsplikten uthules • Bedre tilgangskontroll nå enn med manuelle journaler– og bedre blir den • Retten til fritt sykehusvalg utøves bl a for å kunne starte med ”blanke ark” • Samtykke regnes som beste grunnlag, reservasjonsrett mindre bra
Tiltak videre Tiltak for å sikre personvernet er speilbildet av hva Helsetilsynet påpekte i sitt brav av 6/3-08. • Sikre korrekt tilgang – Kategorisere data, ulike typer data ulik tilgang? – Hva skal til kjernejournal? – Hva med gule lapper? • Sikre tilgangsrettigheter og begrensninger basert på bestemte kriterier • Autentisering
Tiltak videre • Hindre snoking – Kontroll av logg – Men hva skal kontrolleres? I behandlingsrettede helseregistre skal det hver gang det gis tilgang til helseopplysninger registreres opplysninger i et hendelsesregister. Følgende dokumentasjon skal registreres: – navn, rolle og organisatorisk tilhørighet til den som har fått tilgang, – hvilke opplysninger det er gitt tilgang til, - innsynslogg – grunnlaget for tilgangen, – tidspunkt og varighet for tilgangen – innloggingslogg
Tiltak videre • Det skal jevnlig kontrolleres hvem som har hatt elektronisk tilgang til helseopplysninger i et behandlingsrettet helseregister. • Dersom kontrollen viser at det har skjedd en urettmessig tilegnelse av helseopplysninger, skal Datatilsynet informeres, jf. personopplysningsforskriften § 2–6 ..
Tiltak videre ”På Akershus Universitetssykehus HF er det, på vegne av alle RHF/HF, under utvikling verktøy for automatisk overvåking og kontroll av tilgangsloggene til alle systemer som inneholder pasientdata. Verktøyet vil på sikt i tillegg til å avsløre enkeltstående uautoriserte hendelser, også kunne finne avvik f. eks. i tilganger basert på slektskap/naboskap og tilgangsprofiler som ikke er i overensstemmelse med den ansattes reelle behov. Verktøyet utvikles med støtte fra Helsedirektoratet og skal på sikt kunne benyttes av alle helseforetakene.” Sitat Ot prp 51 ..
Internasjonalt Mange ulike standarder Sverige: HF får tilgang til andre HFs opplysninger, kombinasjon samtykke og reservasjonsrett Danmark: Hf får tilgang, reservasjonsadgang ikke samtykke Finland: nasjonalt arkiv, forsikringsselskaper kan ha tilgang (!), utlevering til annet helsepersonell enn de som har skrevet journal betinger samtykke eller lov Skottland: sentral database (ECS) med kjerneopplysninger, oppdateres 2 ganger daglig, kryptert kommunikasjon, samtykke og reservasjonsrett 600 av 5 000 000 personer har reservert seg ! Frankrike: personlig journal, oppdateres via web, et smartkort hos pasient, et smartkort hos lege, aktivt samtykke
Ett eksempel ”Personal medical records belonging to Scotland's rich and powerful - including Prime Minister Gordon Brown and Holyrood's First Minister Alex Salmond - have been illegally accessed in a breach of a national database that holds details of 2.5 million people. The files contained names, ages, addresses, and occupations of the patients, in addition to medical information such as a list of any current medications and allergies to medicines, The files were guaranteed by the NHS that it was protected using the "highest standards of security." NHS staff generally have to ask patients' permission before reading records except when a patient is unconscious or otherwise unable to give consent.” Kilde: www.theregister.co.uk, By Dan Goodin , Posted in ID, 2nd March 2009 20:40 GMT • Helt sikre systemer finnes ikke • Lekkasjer /innbrudd vil alltid skje
Straffbarhet § 48,1 straff Med bøter eller fengsel inntil et år eller begge deler straffes den som forsettlig eller grovt uaktsomt a) unnlater å sende melding etter § 31 b) behandler personopplysninger uten nødvendig konsesjon etter § 33, c) overtrer vilkår fastsatt etter § 35 eller § 46, d) unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46, e) behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller f) unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44
Straffbarhet § 48,2 straff Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlings-ansvarlige tidligere er straffet for å ha overholdt tilsvarende bestemmelser. Medvirkning straffes på samme måte. I forskrift som gis i medhold at loven, kan det fastsettes at den som forsettelig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
Nye regler •DT kan gi overtredelsesgebyr opptil 10G –Etter eget skjønn –For enhver overtredelse – også dersom ikke har vært straffesanksjonert hittil –Vil bli brukt – frustrasjon i DT over manglende konsekvens av regelbrudd –Personvernnemnda er klageinstans for ileggelse av gebyr –Vil gi økt fokus på reglene

Empfohlen

Yggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Yggdrasil 2015 - Derfor må da alltid lage et overordnet konseptYggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Yggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Eirik Hafver Rønjum
 
Visita de pedagógica ao laboratório da escola superior de biotecnologia
Visita de pedagógica ao laboratório da escola superior de biotecnologiaVisita de pedagógica ao laboratório da escola superior de biotecnologia
Visita de pedagógica ao laboratório da escola superior de biotecnologia
sofiapimentaesag
 
Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2
Stjørdal kommune
 
Arkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Arkivrutiner og regelverk 2010 Oslo kommune / OslobyarkivArkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Arkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Anne Marit Noraker
 
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
IKT-Norge
 
Nokios .Personverutfordringer
Nokios .PersonverutfordringerNokios .Personverutfordringer
Nokios .Personverutfordringer
IKT-Norge
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
Eva Jarbekk
 

Empfohlen

Yggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Yggdrasil 2015 - Derfor må da alltid lage et overordnet konseptYggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Yggdrasil 2015 - Derfor må da alltid lage et overordnet konsept
Eirik Hafver Rønjum
 
Visita de pedagógica ao laboratório da escola superior de biotecnologia
Visita de pedagógica ao laboratório da escola superior de biotecnologiaVisita de pedagógica ao laboratório da escola superior de biotecnologia
Visita de pedagógica ao laboratório da escola superior de biotecnologia
sofiapimentaesag
 
Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2Instruktørkurs kommune taushetsplikt v1.2
Instruktørkurs kommune taushetsplikt v1.2
Stjørdal kommune
 
Arkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Arkivrutiner og regelverk 2010 Oslo kommune / OslobyarkivArkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Arkivrutiner og regelverk 2010 Oslo kommune / Oslobyarkiv
Anne Marit Noraker
 
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
6B Olafsson Legeforeningen Morgendagens journal og gårsdagens personvernløsni...
IKT-Norge
 
Nokios .Personverutfordringer
Nokios .PersonverutfordringerNokios .Personverutfordringer
Nokios .Personverutfordringer
IKT-Norge
 
Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013Personvern i e-helse healthworld2013
Personvern i e-helse healthworld2013
Eva Jarbekk
 
E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013E-helse og personvern - helsedirektoratet 18 oktober 2013
E-helse og personvern - helsedirektoratet 18 oktober 2013
Eva Jarbekk
 
Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
Ellen Stralberg
 
Pasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheterPasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheter
Teknologirådet
 
Klagesaker mot leger. overbehandling.
Klagesaker mot leger. overbehandling. Klagesaker mot leger. overbehandling.
Klagesaker mot leger. overbehandling.
PKO Vestre Viken HF
 
Modul 7-5 helsepolitikk
Modul 7-5 helsepolitikkModul 7-5 helsepolitikk
Modul 7-5 helsepolitikk
JohanneAa
 
eHelse: Pasienten på nett
eHelse: Pasienten på netteHelse: Pasienten på nett
eHelse: Pasienten på nett
Teknologirådet
 
Hvorfor er helseinformasjon så vanskelig?
Hvorfor er helseinformasjon så vanskelig?Hvorfor er helseinformasjon så vanskelig?
Hvorfor er helseinformasjon så vanskelig?
Silje Ljosland Bakke
 
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 20144B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
IKT-Norge
 
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
Nasjonalt kunnskapssenter for helsetjenesten
 
3B Hellesø eSamhandling EHiN 2014
3B Hellesø eSamhandling EHiN 20143B Hellesø eSamhandling EHiN 2014
3B Hellesø eSamhandling EHiN 2014
IKT-Norge
 
Helseinformasjon - hvorfor er det så vanskelig?
Helseinformasjon - hvorfor er det så vanskelig?Helseinformasjon - hvorfor er det så vanskelig?
Helseinformasjon - hvorfor er det så vanskelig?
Silje Ljosland Bakke
 
Røren
RørenRøren
Røren
Kamikaze Media AS
 
Kjernejournal
KjernejournalKjernejournal
Kjernejournal
Kamikaze Media AS
 
1A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
1A Christiansen Alle møter – En historie fra vestlandet EHiN 20141A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
1A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
IKT-Norge
 
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Stjørdal kommune
 
Helsepolitikk - prioriteringer i helsetjenesten.
Helsepolitikk - prioriteringer i helsetjenesten. Helsepolitikk - prioriteringer i helsetjenesten.
Helsepolitikk - prioriteringer i helsetjenesten.
Martine Sæther
 
Helsepolitikk presenatsjon
Helsepolitikk presenatsjonHelsepolitikk presenatsjon
Helsepolitikk presenatsjon
Martine Sæther
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
Thorbjørn Værp
 
Rekruttering ReConnect mai 2015
Rekruttering ReConnect mai 2015Rekruttering ReConnect mai 2015
Rekruttering ReConnect mai 2015
Lillian Eng
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
Eva Jarbekk
 
Morgendagens helsearbeidere i nord, Per Hjortdal
Morgendagens helsearbeidere i nord, Per HjortdalMorgendagens helsearbeidere i nord, Per Hjortdal
Morgendagens helsearbeidere i nord, Per Hjortdal
Det helsevitenskapelige fakultet, UiT
 
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Eva Jarbekk
 
Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
Eva Jarbekk
 

Weitere ähnliche Inhalte

Ähnlich wie Personvern i helsesektoren foredrag for isf

Pasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheterPasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheter
Teknologirådet
 
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Stjørdal kommune
 
Helsepolitikk presenatsjon
Helsepolitikk presenatsjonHelsepolitikk presenatsjon
Helsepolitikk presenatsjon
Martine Sæther
 

Ähnlich wie Personvern i helsesektoren foredrag for isf (20)

Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
Pasientinformasjon på nett - fra mange lokale initiativ til en nasjonal hel...
 
Pasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheterPasientjournal på nett: Tilgang, bruk og muligheter
Pasientjournal på nett: Tilgang, bruk og muligheter
 
Klagesaker mot leger. overbehandling.
Klagesaker mot leger. overbehandling. Klagesaker mot leger. overbehandling.
Klagesaker mot leger. overbehandling.
 
Modul 7-5 helsepolitikk
Modul 7-5 helsepolitikkModul 7-5 helsepolitikk
Modul 7-5 helsepolitikk
 
eHelse: Pasienten på nett
eHelse: Pasienten på netteHelse: Pasienten på nett
eHelse: Pasienten på nett
 
Hvorfor er helseinformasjon så vanskelig?
Hvorfor er helseinformasjon så vanskelig?Hvorfor er helseinformasjon så vanskelig?
Hvorfor er helseinformasjon så vanskelig?
 
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 20144B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
4B Grønbekk Pasientinformasjonskvalitet for klinikere EHiN 2014
 
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
Når det verste skjer. Hvordan skal vi opptre? Olav Røise, Pasientsikkerhetsko...
 
3B Hellesø eSamhandling EHiN 2014
3B Hellesø eSamhandling EHiN 20143B Hellesø eSamhandling EHiN 2014
3B Hellesø eSamhandling EHiN 2014
 
Helseinformasjon - hvorfor er det så vanskelig?
Helseinformasjon - hvorfor er det så vanskelig?Helseinformasjon - hvorfor er det så vanskelig?
Helseinformasjon - hvorfor er det så vanskelig?
 
Røren
RørenRøren
Røren
 
Kjernejournal
KjernejournalKjernejournal
Kjernejournal
 
1A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
1A Christiansen Alle møter – En historie fra vestlandet EHiN 20141A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
1A Christiansen Alle møter – En historie fra vestlandet EHiN 2014
 
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0Instruktørkurs kommune personvern hdir versjon versjon v 1.0
Instruktørkurs kommune personvern hdir versjon versjon v 1.0
 
Helsepolitikk - prioriteringer i helsetjenesten.
Helsepolitikk - prioriteringer i helsetjenesten. Helsepolitikk - prioriteringer i helsetjenesten.
Helsepolitikk - prioriteringer i helsetjenesten.
 
Helsepolitikk presenatsjon
Helsepolitikk presenatsjonHelsepolitikk presenatsjon
Helsepolitikk presenatsjon
 
GDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCGGDPR presentation Tomas Sunde NCG
GDPR presentation Tomas Sunde NCG
 
Rekruttering ReConnect mai 2015
Rekruttering ReConnect mai 2015Rekruttering ReConnect mai 2015
Rekruttering ReConnect mai 2015
 
Nytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvernNytt personvernregelverk fra eu forum for ikt og personvern
Nytt personvernregelverk fra eu forum for ikt og personvern
 
Morgendagens helsearbeidere i nord, Per Hjortdal
Morgendagens helsearbeidere i nord, Per HjortdalMorgendagens helsearbeidere i nord, Per Hjortdal
Morgendagens helsearbeidere i nord, Per Hjortdal
 

Mehr von Eva Jarbekk

Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Eva Jarbekk
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
Eva Jarbekk
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptx
Eva Jarbekk
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
Eva Jarbekk
 

Mehr von Eva Jarbekk (19)

Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
Cloud skytjenester software 2016 juss, skytjenester, cloud, privacy shield og...
 
Nye personvernregler fra EU
Nye personvernregler fra EUNye personvernregler fra EU
Nye personvernregler fra EU
 
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelserKontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
Kontrakter om cloud, nettsky og offhoring: IKT-kontrakter og IKT-anskaffelser
 
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...
 
Advokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjenAdvokater og etikk, etikk i advokatbransjen
Advokater og etikk, etikk i advokatbransjen
 
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptxStedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
 
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptxArbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
Arbeidsgivers kontrollmulighet overfor arbeidstaker.pptx
 
For og i mot varsling.pptx
For og i mot varsling.pptxFor og i mot varsling.pptx
For og i mot varsling.pptx
 
Etikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptxEtikk i advokatbransjen.pptx
Etikk i advokatbransjen.pptx
 
Forholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptxForholdet offentleglova og personopplysningsloven.pptx
Forholdet offentleglova og personopplysningsloven.pptx
 
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptxForedrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
Foredrag for nirf om hvordan avdekke misligheter i offentlig sektor.pptx
 
Byggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptxByggherre hvordan hindre misligheter.pptx
Byggherre hvordan hindre misligheter.pptx
 
Personvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptxPersonvern i ikt kontrakter.pptx
Personvern i ikt kontrakter.pptx
 
Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011Cloud og personvern idg mai 2011
Cloud og personvern idg mai 2011
 
Sosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptxSosiale medier for hr bransjen 2012.pptx
Sosiale medier for hr bransjen 2012.pptx
 
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptxRevisjon av ikt kontrakter ssa-konferansen 2012.pptx
Revisjon av ikt kontrakter ssa-konferansen 2012.pptx
 
Foredrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptxForedrag om åpne data i regi av difi desember 2012.pptx
Foredrag om åpne data i regi av difi desember 2012.pptx
 
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptxForedrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
Foredrag for jus vår 2013 om personvernnemndas siste avgjørelser.pptx
 
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptxHr opplysninger i_nettskyen_og_litt_om_bcr.pptx
Hr opplysninger i_nettskyen_og_litt_om_bcr.pptx
 

Personvern i helsesektoren foredrag for isf

  • 1. Personvern og personopplysningsvern i en implementeringstid -noen generelle betraktninger om balansen mellom profesjoner og lovverk advokat Eva I. E. Jarbekk
  • 2. • Prinsipielt – Personvern eller personopplysningsvern? – Hvorfor personvern? – Aktualitet • Rettslig rammeverk • Faktiske observasjoner • Nytt lovforslag – Norsk forslag – Reaksjoner – Nødvendige spørsmål videre for informasjonssikkerhet, tilgang – Internasjonale løsninger – Straff Ettermiddagens temaer
  • 3. • Advokat og partner i Brækhus Dege Advokatfirma ANS, ca 80 medarbeidere • Stortingsoppnevnt leder av personvernnemnda • Leder advokatforeningens lovutvalg for ikt- og personvern • Arbeidet med flere granskninger med utfordringer innen e-post • Deltar i FAKTUM – granskningsnettverk – se faktum.as – fokus på elektroniske bevis og ikt- kontrakter Min bakgrunn
  • 4. Personvern eller personopplysningsvern • Medisinere utøver personvern i ytterste forstand • Lover om personvern, taushetsplikt handler om personopplysninger – Personopplysningene har betydning for personene • Kan være motsetninger – Å hindre tilgang kan gi tap av liv • Kirurg får ikke tilgang til vital informasjon fra bostedssykehuset – Motsatt: urettmessig tilgang kan gi tap av liv • Opplysinger om abort blir lekket – Begge situasjoner er reelle – Ved fare for liv må personvern vike • Balanse – mulighet til å velge er sentralt – og hindre snoking
  • 5. Litt om hvorfor personvern • Sikring av konfidensialitet - uvedkommende får ikke tilgang – Den enkeltes kontroll med opplysningene – Ubehagelig at informasjon er på avveie – Kan ha stor praktisk betydning – Forventning om diskresjon hos legen • Sikring av integritet – ikke utilsiktet endring av opplysninger – Relevant? • Sikring av tilgjengelighet -tilstrekkelig og relevante opplysninger er tilgjengelige – Mange mener dette er viktigst i helsesektoren • Hensynene går igjen i alle regelsettene
  • 6. Aktualitet i helsesektoren • Journalen er nå elektronisk lagret • Utveksling er mulig • Økt spesialisering gir økt utvekslingsbehov • Effektivisering er ønskelig • Pasienter vil ikke gjenta historien sin hver gang • Andre pasienter vil ikke at bekjente skal snoke • 3 typer pasienter – De som ”aldri” er syke – vil ofte ha åpenhet – De med sosialt akseptable sykdommer – vil ofte ha åpenhet – De med sosialt belastende sykdommer – vil IKKE ofte ha åpenhet • Forbigående depresjon, rusproblemer,
  • 7. Rettslig rammeverk • Helsepersonelloven – Angir journalplikt – § 21 Angir taushetsplikt (evt Hippokrates for 2500 år siden) • Flere unntak – Samtykke kan oppheve taushetsplikt – § 21 kan dele opplysninger pga nødvendig for å gi helsehjelp – når pasient ikke motsetter seg det – § 45 de som mottar henvendelse om utlevering skal gi dette – med mindre pasienten motsetter seg det – utlevering skal noteres i journal • Pasientrettighetsloven – § 1-1 fremme tillit mellom pasient og helsetjeneste, ivareta respekt for integritet og menneskeverd – § 3-6 Angir taushetsplikt, • Helseregisterloven – Helseopplysninger er de som er underlagt taushetsplikt ihht helsepersonelloven – Om journalsystem, EPJ, registre – §5 - hjemmel i konsesjon fra DT, forskrift eller lov • §13 om hvem som har tilgang – innenfor HF • Fra andre HF må man henvende seg til HF for å få tilgang – pga konfidensialitet – §16 om informasjonssikkerhet – Utfylles av POL (nedenfor) …forts.
  • 8. Rettslig rammeverk • Personopplysningsloven (EU-basert) – §1 beskytte individ mot krenkelse gjennom behandling av personopplysinger – Helseopplysninger er ”sensitive” • EMK – Art 8 nr 1 gir rett til respekt for privatliv, familieliv, hjem og korrespondanse – Krav om informasjonssikkerhet • Sykepleier i SF vant over sykehus for kollegenes snoking i hennes journal, HIV, fikk erstatning for tort og svie • Spesialisthelsetjenesteloven • Kommunehelsetjenesteloven • Forskrifter • Kommer tilbake til nye rettsregler
  • 9. Faktiske observasjoner • Journalsystemene er forskjellige • Noen journalsystemer har rutiner for å stenge journaler 14 dager etter utskrivelse, ikke alle – Ikke alle tilgangskontroller brukes • Snoking skjer; siste 3 år har 19 sykehusansatte fått advarsler, kritikk eller oppsigelse – snoker på bekjente, familier, kolleger, kjendiser – minoritetskvinner har negative erfaringer • Praksis viser at logger i liten grad gjennomgås – ofte kun når kjente personer eller kolleger har vært pasienter – dette vet ansatte ..sentralt brev
  • 10. Faktiske observasjoner Utklipp fra brev fra Helsetilsynet til helse og omsorgsdepartementet 6/3-08 etter flere tilsyn i mai 2006 sammen med Datatilsynet: ”.. Den økte tilgjengeligheten skaper også utfordringer. Dette gjelder spesielt taushetsplikten som nå er under større press enn før. Dette bekymrer Statens helsetilsyn i en slik grad at vi ser det nødvendig å informere Helse- og omsorgsdepartementet om den svikt vi har funnet ved tilsyn og hva vi ser som bakenforliggende årsaker til dette..” ..forts
  • 11. Faktiske observasjoner ”Avvikene som ble avdekket dreide seg om at helseforetakene ikke sikret at taushetsbelagte personopplysninger i de elektroniske pasientjournalsystemene var forsvarlig vernet mot innsyn fra ansatte som ikke hadde legitimt behov for opplysningene. Avvikene bygde i hovedsak på at store grupper helsepersonell var gitt tilgang til hele eller deler av de elektroniske pasientjournalene uavhengig av om de var involvert i pasientbehandlingen eller ei. Dette skyldtes delvis at journalsystemene ikke var laget slik at det var mulig å etterleve kravene til taushetsplikt og tilgangsstyring, og delvis at helseforetakene ikke fullt ut hadde utnyttet de mulighetene for tilgangsstyring som lå i systemene. Personellgrupper var også gitt tilgang til opplysninger for situasjoner som ville/kunne inntreffe svært sjeldent, fremfor i sjeldne tilfeller å basere seg på utlevering i tråd med prinsippet i helsepersonelloven § 45.”
  • 12. Faktiske observasjoner ”Hvert år gjør helsepersonell millioner av oppslag i pasientjournalene ved disse sykehusene. Alle oppslag loggføres automatisk. Det store antallet oppslag, små kontrollressurser og svake kontrollrutiner gjør at ansatte ved kliniske avdelinger som kikker i pasientjournaler uten å ha tjenestelige behov, har lav risiko for å bli avslørt. Loggkontroll ble derfor vurdert til å være et lite egnet hjelpemiddel til å avdekke misbruk. ” Kunnskaper Noe av problemet med sviktende beskyttelse av taushetsbelagt informasjon skyldes mangelfull kunnskap om hva taushetsplikten etter helselovgivningen betyr og innebærer. Mange ser ut til å tro at taushetsbelagt informasjon kan utveksles fritt med andre som har taushetsplikt (uavhengig av behov), som om det fantes noe som litt enkelt kan kalles ”taushetspliktklubber.” ..
  • 13. Faktiske observasjoner ”.. tilgangsstyringen hovedsakelig var innrettet etter helsepersonellets behov for informasjon og ikke etter pasientenes behov for diskresjon. Videre er det i stor grad de dramatiske situasjoner og ikke den daglige drift som trekkes fram som begrunnelse for de løsninger som blir valgt for tilgangsstyring. ” ”Det som gjør saken enda mer alvorlig er at pasientene som regel ikke er klar over at innholdet i pasientjournalene ligger dårlig beskyttet på sykehusenes interne datanettverk, og at de tror de kan betro seg om sensitive ting uten nevneverdig risiko for lekkasjer. I tillegg er de fleste pasientene ikke kjent med at det finnes logger som viser hvem som har vært inne og lest, eller skrevet i journalen, og som pasientene kan få tilgang til dersom de spør. Direktøren for Datatilsynet har for eksempel tatt til orde for at loggene regelmessig bør sendes til pasientene til gjennomgang slik at pasientene selv kan vurdere om uvedkommende har snoket i journalene. ” ..
  • 14. Faktiske observasjoner Teknokratene styrer ”Tilsynserfaringene tyder på at brukerne av pasientjournalsystemene og linjelederne har liten innflytelse på funksjonaliteten. Det betyr at personell som har taushetsplikt og innsikt i hva taushetsplikten innebærer, ikke i tilstrekkelig grad blir hørt ved utforming av journalsystemene. I stedet baseres funksjonaliteten og praktisk bruk på hva som datateknisk er mest lettvint eller effektivt og på hva ledere og rådgivere uten klinisk bakgrunn mener er viktig. Dette bidrar til å svekke hensynet til taushetsplikt og diskresjon, og legger til rette for lite selektiv tilgangsstyring og aksept for at det i noen tilfeller må og skal være noe tungvint å innhente nødvendige opplysninger i form av å be om å få opplysningene utlevert fra for eksempel en psykiatrisk avdeling innen et helseforetak, eller fra et annet sykehus/helseforetak.” ..
  • 15. Faktiske observasjoner Leverandørene ”Tilsynserfaringene kan også tyde på at leverandørene av systemene har satt inn begrensede ressurser for å utvikle systemene i henhold til kravene. Sammenholdt med en mer teknokratisk bestillerside i helseforetakene kan dette innebære en relativt beskjeden dynamikk i utviklingen av systemene knyttet til ivaretakelse av taushetsplikt. ” Lav risiko for å bli avslørt og straffet for snoking ”Det store antallet oppslag i pasientjournalene gjør oppgaven med å avdekke snoking fra helseforetakets side nærmest umulig med eksisterende hjelpemidler. Den enkleste måten å avdekke snoking på synes å være å gi utskrifter av loggene til pasientene slik at pasientene selv kan vurdere om uvedkommende kan ha vært inne i journalen uten legitim grunn. Ut over det vil loggkontroll i hovedsak måtte basere seg på stikkprøver, eller på konkret mistanke om mulig snoking. Med dagens teknologi er mulighetene for å avdekke snoking, og risikoen for å bli tatt for slikt, så lav at det har utilstrekkelig preventiv effekt. Konkrete saker i mange helseforetak bekrefter dette.”
  • 16. Faktiske observasjoner Mulige tiltak ”Ved anskaffelser og oppgraderinger må helseforetakene stille krav til leverandørene om at de elektroniske pasientjournalsystemene er utformet på en slik måte at kravene til taushetsplikt kan etterleves fullt ut. Videre må helseforetakene sørge for at tilgangsstyringen til pasientjournalene både sikrer behandlernes behov for tilgjengelighet og pasientenes behov for diskresjon, og at disse behovene balanseres slik at virksomheten utøves forsvarlig. Vi ser på Helse- og omsorgsdepartementets forslag til endringer i helsepersonelloven § 21 annet ledd om å gjøre snoking i pasientjournaler ulovlig som et nyttig tiltak, men vil understreke at vi mener at de viktigste tiltakene mot snoking er gode systemer for tilgangsstyring.” ”..
  • 17. Observasjoner I de regionale helseforetakenes (RHF) rapport framgår det at det er ønskelig med en åpen fullmakt slik at sykehus og andre virksomheter kan avtale seg imellom når og hvordan direkte tilgang skal iverksettes. Disse forventingene fra RHFene har Helsedirektoratet dessverre ikke kunnet tilrå. Det skyldes blant annet at det gjennom tilsyn er dokumentert at virksomhetene internt har mangelfull tilgangsstyring. Taushetsplikten er truet. Dagens mangelfulle overholdelse av taushetsplikten medfører at det er en begynnende praksis hvor sensitiv informasjon i enkelte tilfeller ikke føres i journal, for eksempel når sykehusets egne ansatte innlegges. Dette truer kvaliteten i behandlingen og pasientsikkerheten. Direktoratet kan derfor ikke tilrå ytterligere teknologiske løsninger nå, som åpner for større spredning av pasientopplysninger. – Helsedirektoratet høsten 2008 ..
  • 18. Nytt rettslig rammeverk • Ot. Prp. 51 2008 – 2009, Helse og omsorgsdepartementet • Endringer i helsepersonelloven • Endringer i helseregisterloven 1. Helseregl. hjemler forskrift om tilgang til journal på tvers av HF 2. Helsepersonell. § 45 hjemler overføring, utlevering, tilgang 3. Helseregl .hjemler virksomhetsovergripende helseregistre 4. Helseregl. hjemler felles registre for helsepersonell med arbeidsfellesskap • Utkast til forskrift om informasjonssikkerhet og elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre
  • 19. Nytt rettslig rammeverk Ny lov om helsepersonell § 45 lyde: § 45. Utlevering av og tilgang til journal og journalopplysninger Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger etter første punktum. Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
  • 20. Nytt rettslig rammeverk Ny § 6a i helseregisterloven skal lyde: § 6 a Virksomhetsovergripende behandlingsrettede helseregistre Forskrift etter tredje ledd skal nærmere angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering, tilgang, tilgangskontroll, samt gi pasienten rett til å motsette seg behandling av opplysninger i registeret eller stille krav om samtykke.
  • 21. Sagt om de nye reglene • Opplysninger fra fastlegen eller psykologen blir tilgjengelig for titusenvis • Dramatisk svikt i etterlevelse av personvernet ifbm EPJ • Datatilsynets og Helsetilsynets kontroller viser alt for vid tilgang – Og kontrollen med hvem som benytter tilgangen er svak • Kommer tilfredsstillende tilgangsstyring nå?? Finnes det økonomi til å få ting på plass? Hva vet man egentlig om dette spør juristene i Datatilsynet
  • 22. Sagt om de nye reglene • Man risikerer at pasient holder tilbake opplysninger • Man risikerer at legen har doble journaler – Kanskje enda flere journaler? • Økt tilgang gir økt snoking? • Legeforeningen mener taushetsplikten uthules • Bedre tilgangskontroll nå enn med manuelle journaler– og bedre blir den • Retten til fritt sykehusvalg utøves bl a for å kunne starte med ”blanke ark” • Samtykke regnes som beste grunnlag, reservasjonsrett mindre bra
  • 23. Tiltak videre Tiltak for å sikre personvernet er speilbildet av hva Helsetilsynet påpekte i sitt brav av 6/3-08. • Sikre korrekt tilgang – Kategorisere data, ulike typer data ulik tilgang? – Hva skal til kjernejournal? – Hva med gule lapper? • Sikre tilgangsrettigheter og begrensninger basert på bestemte kriterier • Autentisering
  • 24. Tiltak videre • Hindre snoking – Kontroll av logg – Men hva skal kontrolleres? I behandlingsrettede helseregistre skal det hver gang det gis tilgang til helseopplysninger registreres opplysninger i et hendelsesregister. Følgende dokumentasjon skal registreres: – navn, rolle og organisatorisk tilhørighet til den som har fått tilgang, – hvilke opplysninger det er gitt tilgang til, - innsynslogg – grunnlaget for tilgangen, – tidspunkt og varighet for tilgangen – innloggingslogg
  • 25. Tiltak videre • Det skal jevnlig kontrolleres hvem som har hatt elektronisk tilgang til helseopplysninger i et behandlingsrettet helseregister. • Dersom kontrollen viser at det har skjedd en urettmessig tilegnelse av helseopplysninger, skal Datatilsynet informeres, jf. personopplysningsforskriften § 2–6 ..
  • 26. Tiltak videre ”På Akershus Universitetssykehus HF er det, på vegne av alle RHF/HF, under utvikling verktøy for automatisk overvåking og kontroll av tilgangsloggene til alle systemer som inneholder pasientdata. Verktøyet vil på sikt i tillegg til å avsløre enkeltstående uautoriserte hendelser, også kunne finne avvik f. eks. i tilganger basert på slektskap/naboskap og tilgangsprofiler som ikke er i overensstemmelse med den ansattes reelle behov. Verktøyet utvikles med støtte fra Helsedirektoratet og skal på sikt kunne benyttes av alle helseforetakene.” Sitat Ot prp 51 ..
  • 27. Internasjonalt Mange ulike standarder Sverige: HF får tilgang til andre HFs opplysninger, kombinasjon samtykke og reservasjonsrett Danmark: Hf får tilgang, reservasjonsadgang ikke samtykke Finland: nasjonalt arkiv, forsikringsselskaper kan ha tilgang (!), utlevering til annet helsepersonell enn de som har skrevet journal betinger samtykke eller lov Skottland: sentral database (ECS) med kjerneopplysninger, oppdateres 2 ganger daglig, kryptert kommunikasjon, samtykke og reservasjonsrett 600 av 5 000 000 personer har reservert seg ! Frankrike: personlig journal, oppdateres via web, et smartkort hos pasient, et smartkort hos lege, aktivt samtykke
  • 28. Ett eksempel ”Personal medical records belonging to Scotland's rich and powerful - including Prime Minister Gordon Brown and Holyrood's First Minister Alex Salmond - have been illegally accessed in a breach of a national database that holds details of 2.5 million people. The files contained names, ages, addresses, and occupations of the patients, in addition to medical information such as a list of any current medications and allergies to medicines, The files were guaranteed by the NHS that it was protected using the "highest standards of security." NHS staff generally have to ask patients' permission before reading records except when a patient is unconscious or otherwise unable to give consent.” Kilde: www.theregister.co.uk, By Dan Goodin , Posted in ID, 2nd March 2009 20:40 GMT • Helt sikre systemer finnes ikke • Lekkasjer /innbrudd vil alltid skje
  • 29. Straffbarhet § 48,1 straff Med bøter eller fengsel inntil et år eller begge deler straffes den som forsettlig eller grovt uaktsomt a) unnlater å sende melding etter § 31 b) behandler personopplysninger uten nødvendig konsesjon etter § 33, c) overtrer vilkår fastsatt etter § 35 eller § 46, d) unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46, e) behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller f) unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44
  • 30. Straffbarhet § 48,2 straff Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlings-ansvarlige tidligere er straffet for å ha overholdt tilsvarende bestemmelser. Medvirkning straffes på samme måte. I forskrift som gis i medhold at loven, kan det fastsettes at den som forsettelig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
  • 31. Nye regler •DT kan gi overtredelsesgebyr opptil 10G –Etter eget skjønn –For enhver overtredelse – også dersom ikke har vært straffesanksjonert hittil –Vil bli brukt – frustrasjon i DT over manglende konsekvens av regelbrudd –Personvernnemnda er klageinstans for ileggelse av gebyr –Vil gi økt fokus på reglene