- For mange får vite for mye for lett

Sensitive opplysninger i de nye elektroniske pasientjournalene blir ikke godt nok sikret.

Haukeland sykehus har vært for løsslupne med å sikre sensitive pasientopplysninger og må nå stramme opp rutinene. Datatilsynene i Danmark og Norge slår nå hardt ned på utilfredsstillende sikring av elektroniske pasientjournaler.

I Danmark ble et nyinnført elektronisk pasientjournal-system fredag stengt i fem fylker på grunn av for dårlig sikring mot innsyn. Saken i Danmark gikk på legenes innsyn i journalene.

Legene i Viborg, Vejle, Århus, Fyn og Sønderjylland skulle egentlig få innsyn i sykehusenes patientjournaler, når en av deres patienter ble innlagt, men det danske Datatilsynet mente at sensitive opplysninger ikke ble godt nok beskyttet i det nye systemet, skriver Politiken.dk.

Også i Norge er det et generelt problem at for mange personer for lett får for mye innsyn i pasientens elektronisk journaler, mener Datatilsynet. I vinter fikk Helseregion Vest påpakning for mangelfulle rutiner.

Naboen fikk titte

Haukleland sykehus fikk pålegg om flere endringer for å oppfylle krav i Heleregisterloven. Blant annet hadde ikke Haukeland innført gode nok systemer for å etterprøve forsøk på uautorisert innsyn i journaler.

Saken i Bergen dreide seg også om at leger ved Haukeland ga innsyn i elektroniske pasientjournaler til leger ved Harald Plass, som ligger rett ved siden av, men tilhører en annen juridisk enhet.

"Datatilsynet anser valgt løsning hvor ulike foretak kan gjøre oppslag i hverandres pasientjornaler for å være strid med Helseregisterlovens § 13" skriver Datatilsynet.

Haukeland sykehus skal fra 1. juni stenge for retten til å utveksle pasientinformasjon mellom ulike helseforetak.

For mye innsyn

- Vi har påpekt at for mange har tilgang til for mye. Egentlig er jo elektroniske pasientjournaler et positivt utgangspunkt for å begrense tilgangen til opplysninger, men gjennomføringen svikter, sier Sverre Engelschiøn i Datatilsynet.

Haukeland ville løse problemet midlertidig blant annet ved å benytte telefaks i stedet, men dette ble av Datatilsynet avvist som en tilfredsstillende løsning, går det fram av saksdokumentene fra tilsynets behandling av saken.

Vanskelig balanse

Lovverket i Norge begrenser innsynet på tvers av sykehusene, eller retter sagt, de juridiske enhetene. I praksis betyr det at innsyn kan gis mellom flere sykehus som tilhører samme juridiske enhet, mens de for eksempel ikke kan flyte fritt mellom Ullevål Universitetsykehus og Rikshospitalet.

- Vanskeligheten ligger i å legge opp til massiv tilgang og massiv beskyttelse samtidig, sier Engelschiøn.

Reglene sier at alle leger som skal behandle en pasient har krav på innsyn i pasientens journal. Det kan være livsviktig for pasienten at legen har dette innsynet, men det opplysningene skal ikke kunne komme på avveie heller.

- Tidligere måtte journalene sendes per post. Det som skjer nå er at i stedet kan journalene sendes per elektronisk meldingsutveksling. Det er fullt mulig å gjøre dette nå, selv med avanserte røntgenbilder, og det tar ikke så fryktelig lang tid, sier Sverre Engelschiøn.

Haukeland sykehus mangler et system for elektronisk meldingsutveksling, og Datatilsynet skriver sin brevkommunikasjon med sykehuset at det er underlig at sykehuset ikke har innført det slikt system.