De vanskelige helse­opplysningene

Fra nyttår trådte nye helselover i kraft. Her er hovedregelen at pasientopplysninger skal være tilgjengelig for helsepersonell når de er nødvendige - uavhengig av hvilket helseforetak som har samlet inn opplysningene. Likevel er det ingen storstilt deling av pasientinformasjon mellom helsevirksomheter i dag.

Blant de strengeste

I Norge gjelder strenge regler for behandling av personopplysninger, og det sies at den norske personopplysningsloven er blant de strengeste i Europa. Helsesektoren er regulert av egne personvernlover og her er reglene enda strengere. Tidligere var dette spesielt tydelig når en helseinstitusjon forsøkte å få tilgang til pasientopplysninger fra pasientjournalene til en annen virksomhet.

Kunne ikke dele

En særegen bestemmelse for helsetjenesten var forbudet mot å gi tilgang til pasientopplysninger på tvers av virksomhetsgrenser. For eksempel kunne et lokalsykehus ikke få tilgang til pasientopplysninger samlet inn av en fastlege. Og et sykehus kunne ikke få tilgang til pasientopplysninger samlet inn av et annet sykehus. Dette selv om flere virksomheter var involvert i behandlingen av én pasient.

Hindret helhetlig helsetjeneste

Forbudet mot tilgang på tvers, som det ble kalt, var en kontroversiell, upopulær og latterliggjort bestemmelse. For selv om den nok var et uttrykk for at Stortinget anser helseopplysninger som spesielt beskyttelsesverdig, mente mange at bestemmelsen forhindret en helhetlig helsetjeneste med effektiv pasientbehandling. Det er ingen tilsvarende bestemmelse i det øvrige personvernregelverket.

Fra forbud til påbud

Fra nyttår fikk vi nye personvernregler for helsesektoren: pasientjournalloven og helseregisterloven. Disse snur opp ned på reglene om tilgang på tvers av virksomhetsgrenser. Nå skal pasientopplysninger være tilgjengelige for andre virksomheter når de er nødvendige for behandlingen. Med nytt regelverk på plass burde deling av pasientinformasjon være en selvfølge. Likevel er det lite som tyder på at delingen av pasientopplysninger i helsesektoren har fått stor utbredelse. Hvorfor ikke?

Strenge krav

For at en virksomhet kan gi andre virksomheter tilgang til den pasientinformasjonen de har i sine journaler og helseregistre er det en rekke krav som må etterleves. Disse kravene finner vi i forskrift om tilgang til helseopplysninger mellom virksomheter.

Det sentrale kravet er at den som gir tilgang må inngå en skriftlig avtale med den virksomheten som skal få tilgangen. Denne avtalen skal blant annet beskrive hvordan helsepersonellet som får tilgang skal identifiseres, hvilke rutiner helsepersonellet må følge og hvilke situasjoner som kan utløse tilgangen.

En utfordring

At to virksomheter skal inngå en avtale seg imellom for å gi hverandre tilganger høres rimelig ut. Samtidig fins det 25 helseforetak, nesten 5 000 fastleger og et stort antall andre behandlere her i landet. Det er etter hvert mer regelen enn unntaket at pasienter overføres fra en institusjon til en annen i et behandlingsløp. Dermed vil en-til-en-avtaler mellom helseforetak fort bli en utfordring for å oppnå lovverkets formål.

Må logge

Videre må de samarbeidende virksomhetene gjennomføre egne risikovurderinger av tilgangene. Begge virksomheter må også registrere (logge) hvilke opplysninger det er gitt tilgang til. Både avgivende og mottakende virksomhet skal altså ha en oversikt over hvem som har sett hvilke pasientopplysninger.

Det er videre et krav om at pasientene skal informeres om hvem som har fått tilgang til sine opplysninger. Pasientene skal også ha anledning til å sperre sine egne pasientopplysninger fra å utleveres til andre helsevirksomheter.

Strukturerte data

I tillegg skal virksomhetene være trygge på at den informasjonen det gis tilgang til skal være nødvendig for å gi eller administrere helsehjelp. I dagens journaler, der pasientopplysninger sjelden er strukturert, vil det å velge ut hvilke informasjonselementer det skal og ikke skal gis tilgang til bli krevende. Datatilsynet har flere ganger gjennomført tilsyn med helseforetakenes interne tilgangsstyring og påpekt alvorlige mangler. Hvis sykehusene ikke engang har orden «i eget hus», hvordan kan de da forventes å ha kontroll over tilganger fra andre sykehus?

Til slutt følger personvernregelverkets alminnelige krav til behandling av personopplysninger. Dette innebærer blant annet å føre kontroll av tilganger, kryptering av kommunikasjon, informasjonssikkerhet og rutiner for å håndtere avvik. I sum utgjør alle disse kravene betydelige utfordringer for samarbeid om tilgang til helseopplysninger

Hvem er først?

Helseopplysninger er de mest private og beskyttelsesverdige opplysningene vi har. Det skal være strenge krav til hvem som får tilgang til dem og hvordan tilganger forvaltes. Utfordringen er å få til tilgang på tvers som er i henhold til regelverket og som støtter opp om helhetlige pasientforløp. Det skal være mulig å få til begge deler!

Det er myndighetenes ønske at landets sykehus og fastleger gjør nødvendige pasientopplysninger tilgjengelige uavhengig av virksomhetsgrense. Hvem blir de første til å få til tilgang på tvers på en lovlig måte?