1. Personvern og personopplysningsvern i
en implementeringstid
-noen generelle betraktninger om
balansen mellom profesjoner og
lovverk
advokat Eva I. E. Jarbekk
2. • Prinsipielt
– Personvern eller personopplysningsvern?
– Hvorfor personvern?
– Aktualitet
• Rettslig rammeverk
• Faktiske observasjoner
• Nytt lovforslag
– Norsk forslag
– Reaksjoner
– Nødvendige spørsmål videre for informasjonssikkerhet, tilgang
– Internasjonale løsninger
– Straff
Ettermiddagens temaer
3. • Advokat og partner i Brækhus Dege Advokatfirma
ANS, ca 80 medarbeidere
• Stortingsoppnevnt leder av personvernnemnda
• Leder advokatforeningens lovutvalg for ikt- og
personvern
• Arbeidet med flere granskninger med utfordringer innen
e-post
• Deltar i FAKTUM – granskningsnettverk – se
faktum.as – fokus på elektroniske bevis og ikt-
kontrakter
Min bakgrunn
4. Personvern eller
personopplysningsvern
• Medisinere utøver personvern i ytterste forstand
• Lover om personvern, taushetsplikt handler om
personopplysninger
– Personopplysningene har betydning for personene
• Kan være motsetninger
– Å hindre tilgang kan gi tap av liv
• Kirurg får ikke tilgang til vital informasjon fra bostedssykehuset
– Motsatt: urettmessig tilgang kan gi tap av liv
• Opplysinger om abort blir lekket
– Begge situasjoner er reelle
– Ved fare for liv må personvern vike
• Balanse – mulighet til å velge er sentralt – og hindre snoking
5. Litt om hvorfor personvern
• Sikring av konfidensialitet - uvedkommende får ikke tilgang
– Den enkeltes kontroll med opplysningene
– Ubehagelig at informasjon er på avveie
– Kan ha stor praktisk betydning
– Forventning om diskresjon hos legen
• Sikring av integritet – ikke utilsiktet endring av opplysninger
– Relevant?
• Sikring av tilgjengelighet -tilstrekkelig og relevante
opplysninger er tilgjengelige
– Mange mener dette er viktigst i helsesektoren
• Hensynene går igjen i alle regelsettene
6. Aktualitet i helsesektoren
• Journalen er nå elektronisk lagret
• Utveksling er mulig
• Økt spesialisering gir økt utvekslingsbehov
• Effektivisering er ønskelig
• Pasienter vil ikke gjenta historien sin hver gang
• Andre pasienter vil ikke at bekjente skal snoke
• 3 typer pasienter
– De som ”aldri” er syke – vil ofte ha åpenhet
– De med sosialt akseptable sykdommer – vil ofte ha åpenhet
– De med sosialt belastende sykdommer – vil IKKE ofte ha åpenhet
• Forbigående depresjon, rusproblemer,
7. Rettslig rammeverk
• Helsepersonelloven
– Angir journalplikt
– § 21 Angir taushetsplikt (evt Hippokrates for 2500 år siden)
• Flere unntak
– Samtykke kan oppheve taushetsplikt
– § 21 kan dele opplysninger pga nødvendig for å gi helsehjelp – når pasient
ikke motsetter seg det
– § 45 de som mottar henvendelse om utlevering skal gi dette – med mindre
pasienten motsetter seg det – utlevering skal noteres i journal
• Pasientrettighetsloven
– § 1-1 fremme tillit mellom pasient og helsetjeneste, ivareta respekt for
integritet og menneskeverd
– § 3-6 Angir taushetsplikt,
• Helseregisterloven
– Helseopplysninger er de som er underlagt taushetsplikt ihht
helsepersonelloven
– Om journalsystem, EPJ, registre – §5 - hjemmel i konsesjon fra DT,
forskrift eller lov
• §13 om hvem som har tilgang – innenfor HF
• Fra andre HF må man henvende seg til HF for å få tilgang – pga konfidensialitet
– §16 om informasjonssikkerhet
– Utfylles av POL (nedenfor) …forts.
8. Rettslig rammeverk
• Personopplysningsloven (EU-basert)
– §1 beskytte individ mot krenkelse gjennom behandling av
personopplysinger
– Helseopplysninger er ”sensitive”
• EMK
– Art 8 nr 1 gir rett til respekt for privatliv, familieliv, hjem og
korrespondanse
– Krav om informasjonssikkerhet
• Sykepleier i SF vant over sykehus for kollegenes snoking i hennes
journal, HIV, fikk erstatning for tort og svie
• Spesialisthelsetjenesteloven
• Kommunehelsetjenesteloven
• Forskrifter
• Kommer tilbake til nye rettsregler
9. Faktiske observasjoner
• Journalsystemene er forskjellige
• Noen journalsystemer har rutiner for å stenge journaler 14
dager etter utskrivelse, ikke alle
– Ikke alle tilgangskontroller brukes
• Snoking skjer; siste 3 år har 19 sykehusansatte fått advarsler,
kritikk eller oppsigelse
– snoker på bekjente, familier, kolleger, kjendiser
– minoritetskvinner har negative erfaringer
• Praksis viser at logger i liten grad gjennomgås
– ofte kun når kjente personer eller kolleger har vært pasienter
– dette vet ansatte
..sentralt brev
10. Faktiske observasjoner
Utklipp fra brev fra Helsetilsynet til helse og
omsorgsdepartementet 6/3-08 etter flere tilsyn i mai 2006
sammen med Datatilsynet:
”.. Den økte tilgjengeligheten skaper også utfordringer. Dette gjelder
spesielt taushetsplikten som nå er under større press enn før. Dette
bekymrer Statens helsetilsyn i en slik grad at vi ser det nødvendig å
informere Helse- og omsorgsdepartementet om den svikt vi har funnet
ved tilsyn og hva vi ser som bakenforliggende årsaker til dette..”
..forts
11. Faktiske observasjoner
”Avvikene som ble avdekket dreide seg om at helseforetakene ikke
sikret at taushetsbelagte personopplysninger i de elektroniske
pasientjournalsystemene var forsvarlig vernet mot innsyn fra ansatte
som ikke hadde legitimt behov for opplysningene. Avvikene bygde i
hovedsak på at store grupper helsepersonell var gitt tilgang til hele
eller deler av de elektroniske pasientjournalene uavhengig av om de
var involvert i pasientbehandlingen eller ei.
Dette skyldtes delvis at journalsystemene ikke var laget slik at det var
mulig å etterleve kravene til taushetsplikt og tilgangsstyring, og delvis
at helseforetakene ikke fullt ut hadde utnyttet de mulighetene for
tilgangsstyring som lå i systemene.
Personellgrupper var også gitt tilgang til opplysninger for situasjoner
som ville/kunne inntreffe svært sjeldent, fremfor i sjeldne tilfeller å
basere seg på utlevering i tråd med prinsippet i helsepersonelloven §
45.”
12. Faktiske observasjoner
”Hvert år gjør helsepersonell millioner av oppslag i
pasientjournalene ved disse sykehusene. Alle oppslag loggføres
automatisk. Det store antallet oppslag, små kontrollressurser og svake
kontrollrutiner gjør at ansatte ved kliniske avdelinger som kikker i
pasientjournaler uten å ha tjenestelige behov, har lav risiko for å bli
avslørt. Loggkontroll ble derfor vurdert til å være et lite egnet
hjelpemiddel til å avdekke misbruk. ”
Kunnskaper
Noe av problemet med sviktende beskyttelse av taushetsbelagt
informasjon skyldes mangelfull kunnskap om hva taushetsplikten etter
helselovgivningen betyr og innebærer. Mange ser ut til å tro at
taushetsbelagt informasjon kan utveksles fritt med andre som har
taushetsplikt (uavhengig av behov), som om det fantes noe som litt
enkelt kan kalles ”taushetspliktklubber.”
..
13. Faktiske observasjoner
”.. tilgangsstyringen hovedsakelig var innrettet etter helsepersonellets
behov for informasjon og ikke etter pasientenes behov for diskresjon.
Videre er det i stor grad de dramatiske situasjoner og ikke den daglige
drift som trekkes fram som begrunnelse for de løsninger som blir valgt
for tilgangsstyring. ”
”Det som gjør saken enda mer alvorlig er at pasientene som regel
ikke er klar over at innholdet i pasientjournalene ligger dårlig
beskyttet på sykehusenes interne datanettverk, og at de tror de kan
betro seg om sensitive ting uten nevneverdig risiko for lekkasjer. I
tillegg er de fleste pasientene ikke kjent med at det finnes logger som
viser hvem som har vært inne og lest, eller skrevet i journalen, og som
pasientene kan få tilgang til dersom de spør.
Direktøren for Datatilsynet har for eksempel tatt til orde for at
loggene regelmessig bør sendes til pasientene til gjennomgang slik at
pasientene selv kan vurdere om uvedkommende har snoket i
journalene. ”
..
14. Faktiske observasjoner
Teknokratene styrer
”Tilsynserfaringene tyder på at brukerne av pasientjournalsystemene
og linjelederne har liten innflytelse på funksjonaliteten. Det betyr at
personell som har taushetsplikt og innsikt i hva taushetsplikten
innebærer, ikke i tilstrekkelig grad blir hørt ved utforming av
journalsystemene. I stedet baseres funksjonaliteten og praktisk bruk
på hva som datateknisk er mest lettvint eller effektivt og på hva ledere
og rådgivere uten klinisk bakgrunn mener er viktig.
Dette bidrar til å svekke hensynet til taushetsplikt og diskresjon, og
legger til rette for lite selektiv tilgangsstyring og aksept for at det i
noen tilfeller må og skal være noe tungvint å innhente nødvendige
opplysninger i form av å be om å få opplysningene utlevert fra for
eksempel en psykiatrisk avdeling innen et helseforetak, eller fra et
annet sykehus/helseforetak.”
..
15. Faktiske observasjoner
Leverandørene
”Tilsynserfaringene kan også tyde på at leverandørene av systemene
har satt inn begrensede ressurser for å utvikle systemene i henhold til
kravene. Sammenholdt med en mer teknokratisk bestillerside i
helseforetakene kan dette innebære en relativt beskjeden dynamikk i
utviklingen av systemene knyttet til ivaretakelse av taushetsplikt. ”
Lav risiko for å bli avslørt og straffet for snoking
”Det store antallet oppslag i pasientjournalene gjør oppgaven med å
avdekke snoking fra helseforetakets side nærmest umulig med
eksisterende hjelpemidler. Den enkleste måten å avdekke snoking på
synes å være å gi utskrifter av loggene til pasientene slik at pasientene
selv kan vurdere om uvedkommende kan ha vært inne i journalen uten
legitim grunn. Ut over det vil loggkontroll i hovedsak måtte basere seg
på stikkprøver, eller på konkret mistanke om mulig snoking. Med
dagens teknologi er mulighetene for å avdekke snoking, og risikoen
for å bli tatt for slikt, så lav at det har utilstrekkelig preventiv effekt.
Konkrete saker i mange helseforetak bekrefter dette.”
16. Faktiske observasjoner
Mulige tiltak
”Ved anskaffelser og oppgraderinger må helseforetakene stille krav til
leverandørene om at de elektroniske pasientjournalsystemene er
utformet på en slik måte at kravene til taushetsplikt kan etterleves fullt
ut. Videre må helseforetakene sørge for at tilgangsstyringen til
pasientjournalene både sikrer behandlernes behov for tilgjengelighet
og pasientenes behov for diskresjon, og at disse behovene balanseres
slik at virksomheten utøves forsvarlig.
Vi ser på Helse- og omsorgsdepartementets forslag til endringer i
helsepersonelloven § 21 annet ledd om å gjøre snoking i
pasientjournaler ulovlig som et nyttig tiltak, men vil understreke at vi
mener at de viktigste tiltakene mot snoking er gode systemer for
tilgangsstyring.”
”..
17. Observasjoner
I de regionale helseforetakenes (RHF) rapport framgår det at det er
ønskelig med en åpen fullmakt slik at sykehus og andre virksomheter
kan avtale seg imellom når og hvordan direkte tilgang skal iverksettes.
Disse forventingene fra RHFene har Helsedirektoratet dessverre ikke
kunnet tilrå. Det skyldes blant annet at det gjennom tilsyn er
dokumentert at virksomhetene internt har mangelfull tilgangsstyring.
Taushetsplikten er truet.
Dagens mangelfulle overholdelse av taushetsplikten medfører at det er
en begynnende praksis hvor sensitiv informasjon i enkelte tilfeller ikke
føres i journal, for eksempel når sykehusets egne ansatte innlegges.
Dette truer kvaliteten i behandlingen og pasientsikkerheten.
Direktoratet kan derfor ikke tilrå ytterligere teknologiske løsninger nå,
som åpner for større spredning av pasientopplysninger.
– Helsedirektoratet høsten 2008
..
18. Nytt rettslig rammeverk
• Ot. Prp. 51 2008 – 2009, Helse og omsorgsdepartementet
• Endringer i helsepersonelloven
• Endringer i helseregisterloven
1. Helseregl. hjemler forskrift om tilgang til journal på tvers av HF
2. Helsepersonell. § 45 hjemler overføring, utlevering, tilgang
3. Helseregl .hjemler virksomhetsovergripende helseregistre
4. Helseregl. hjemler felles registre for helsepersonell med
arbeidsfellesskap
• Utkast til forskrift om informasjonssikkerhet og elektronisk
tilgang til helseopplysninger i behandlingsrettede helseregistre
19. Nytt rettslig rammeverk
Ny lov om helsepersonell § 45 lyde:
§ 45. Utlevering av og tilgang til journal og journalopplysninger
Med mindre pasienten motsetter seg det, skal helsepersonell
som skal yte eller yter helsehjelp til pasient etter denne lov, gis
nødvendige og relevante helseopplysninger i den grad dette er
nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig
måte. Det skal fremgå av journalen at annet helsepersonell er
gitt helseopplysninger etter første punktum.
Helseopplysninger som nevnt i første ledd kan gis av den
databehandlingsansvarlige for opplysningene eller det
helsepersonell som har dokumentert opplysningene, jf. § 39.
20. Nytt rettslig rammeverk
Ny § 6a i helseregisterloven skal lyde:
§ 6 a Virksomhetsovergripende behandlingsrettede helseregistre
Forskrift etter tredje ledd skal nærmere angi formålet med
behandlingen av helseopplysningene og hvilke opplysninger
som skal behandles. Forskriften skal videre gi nærmere regler
om databehandlingsansvaret for opplysningene, herunder om
plassering, tilgang, tilgangskontroll, samt gi pasienten rett til å
motsette seg behandling av opplysninger i registeret eller stille
krav om samtykke.
21. Sagt om de nye reglene
• Opplysninger fra fastlegen eller psykologen blir tilgjengelig for
titusenvis
• Dramatisk svikt i etterlevelse av personvernet ifbm EPJ
• Datatilsynets og Helsetilsynets kontroller viser alt for vid
tilgang
– Og kontrollen med hvem som benytter tilgangen er svak
• Kommer tilfredsstillende tilgangsstyring nå?? Finnes det
økonomi til å få ting på plass? Hva vet man egentlig om dette
spør juristene i Datatilsynet
22. Sagt om de nye reglene
• Man risikerer at pasient holder tilbake opplysninger
• Man risikerer at legen har doble journaler
– Kanskje enda flere journaler?
• Økt tilgang gir økt snoking?
• Legeforeningen mener taushetsplikten uthules
• Bedre tilgangskontroll nå enn med manuelle journaler– og
bedre blir den
• Retten til fritt sykehusvalg utøves bl a for å kunne starte med
”blanke ark”
• Samtykke regnes som beste grunnlag, reservasjonsrett mindre
bra
23. Tiltak videre
Tiltak for å sikre personvernet er speilbildet av hva
Helsetilsynet påpekte i sitt brav av 6/3-08.
• Sikre korrekt tilgang
– Kategorisere data, ulike typer data ulik tilgang?
– Hva skal til kjernejournal?
– Hva med gule lapper?
• Sikre tilgangsrettigheter og begrensninger basert på bestemte
kriterier
• Autentisering
24. Tiltak videre
• Hindre snoking
– Kontroll av logg
– Men hva skal kontrolleres?
I behandlingsrettede helseregistre skal det hver gang det gis
tilgang til helseopplysninger registreres opplysninger i et
hendelsesregister. Følgende dokumentasjon skal registreres:
– navn, rolle og organisatorisk tilhørighet til den som har fått
tilgang,
– hvilke opplysninger det er gitt tilgang til, - innsynslogg
– grunnlaget for tilgangen,
– tidspunkt og varighet for tilgangen – innloggingslogg
25. Tiltak videre
• Det skal jevnlig kontrolleres hvem som har hatt elektronisk
tilgang til helseopplysninger i et behandlingsrettet
helseregister.
• Dersom kontrollen viser at det har skjedd en urettmessig
tilegnelse av helseopplysninger, skal Datatilsynet informeres,
jf. personopplysningsforskriften § 2–6
..
26. Tiltak videre
”På Akershus Universitetssykehus HF er det, på vegne av alle
RHF/HF, under utvikling verktøy for automatisk overvåking og
kontroll av tilgangsloggene til alle systemer som inneholder
pasientdata.
Verktøyet vil på sikt i tillegg til å avsløre enkeltstående
uautoriserte hendelser, også kunne finne avvik f. eks. i
tilganger basert på slektskap/naboskap og tilgangsprofiler som
ikke er i overensstemmelse med den ansattes reelle behov.
Verktøyet utvikles med støtte fra Helsedirektoratet og skal på
sikt kunne benyttes av alle helseforetakene.”
Sitat Ot prp 51
..
27. Internasjonalt
Mange ulike standarder
Sverige: HF får tilgang til andre HFs opplysninger,
kombinasjon samtykke og reservasjonsrett
Danmark: Hf får tilgang, reservasjonsadgang ikke samtykke
Finland: nasjonalt arkiv, forsikringsselskaper kan ha tilgang (!),
utlevering til annet helsepersonell enn de som har
skrevet journal betinger samtykke eller lov
Skottland: sentral database (ECS) med kjerneopplysninger,
oppdateres 2 ganger daglig, kryptert kommunikasjon,
samtykke og reservasjonsrett
600 av 5 000 000 personer har reservert seg !
Frankrike: personlig journal, oppdateres via web,
et smartkort hos pasient, et smartkort hos lege,
aktivt samtykke
28. Ett eksempel
”Personal medical records belonging to Scotland's rich and powerful - including
Prime Minister Gordon Brown and Holyrood's First Minister Alex Salmond - have
been illegally accessed in a breach of a national database that holds details of 2.5
million people.
The files contained names, ages, addresses, and occupations of the patients, in
addition to medical information such as a list of any current medications and
allergies to medicines,
The files were guaranteed by the NHS that it was protected using the "highest
standards of security." NHS staff generally have to ask patients' permission before
reading records except when a patient is unconscious or otherwise unable to give
consent.”
Kilde: www.theregister.co.uk, By Dan Goodin , Posted in ID, 2nd March 2009 20:40 GMT
• Helt sikre systemer finnes ikke
• Lekkasjer /innbrudd vil alltid skje
29. Straffbarhet
§ 48,1 straff
Med bøter eller fengsel inntil et år eller begge deler straffes den som
forsettlig eller grovt uaktsomt
a) unnlater å sende melding etter § 31
b) behandler personopplysninger uten nødvendig konsesjon etter
§ 33,
c) overtrer vilkår fastsatt etter § 35 eller § 46,
d) unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27,
§ 28 eller § 46,
e) behandler personopplysninger i strid med § 13, § 15, § 26
eller § 39, eller
f) unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller §
44
30. Straffbarhet
§ 48,2 straff
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år
idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende
omstendigheter skal det blant annet legges vekt på faren for stor skade
eller ulempe for den registrerte, den tilsiktede vinningen ved
overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om
den behandlings-ansvarlige tidligere er straffet for å ha overholdt
tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold at loven, kan det fastsettes at den som
forsettelig eller grovt uaktsomt overtrer forskriften skal straffes med bøter
eller fengsel inntil ett år eller begge deler.
31. Nye regler
•DT kan gi overtredelsesgebyr opptil 10G
–Etter eget skjønn
–For enhver overtredelse – også dersom ikke har vært straffesanksjonert hittil
–Vil bli brukt – frustrasjon i DT over manglende konsekvens av regelbrudd
–Personvernnemnda er klageinstans for ileggelse av gebyr
–Vil gi økt fokus på reglene