FOR SLAPPE REGLER: Tekna mener forskriftene til ny helseregisterlov ikke tar innover seg trusselen mot personvernet. (Bilde: LPS)

– Spredte registre truer personvernet

  • IT

Lovendringen

  • Tillater at helsepersonell får tilgang til helseopplysninger på tvers av juridiske enheter i helsetjenesten.
  • Tillater å etablere helseregistre på tvers av juridiske enheter i helsetjenesten.
  • Tillater etablering av felles pasientjournal for helsepersonell i for eksempel legesentre, tannlegesentre, distriktsmedisinske sentre o.l.
  • Motstand i komitéarbeidet har ført til at Regjeringens opprinnelige forslag er noe modifisert.
  • Det er kommet inn et krav om aktivt samtykke fra pasientene, samt en formulering om innsynsrett til hvem som har hatt tilgang til ens egen pasientjournal.

Forkastede alternativer

  • Såkalt lagvise pasientopplysninger, anbefalt av blant andre Europarådet. På det øverste nivået finner vi navn, adresse og sentrale opplysninger om eksempelvis vaksinasjon og allergier. I andre enden av skalaen finner vi opplysninger om for eksempel spontanaborter eller sinnslidelser.
  • En variant er samtykkebasert «kjernejournal». Sentrale opplysninger som anses som vitale for liv og helse i behandlingssituasjoner er lagret i separat database, men inngår samtidig i den ordinære legejournalen.
  • Tenkes kombinert med elektronisk meldingsutveksling gjennom Norsk Helsenett.
  • Helsedirektoratet har gjennomført forsøksprosjekt på kjernejournal sammen med Trondheim kommune og Kompetansesenter for IT i helse- og sosialsektoren (KITH).
  • Løsningen ble også foreslått av et mindretall på Stortinget og av Datatilsynet, og støttes av flere pasientorganisasjoner.

Det ble bråk da Stortinget i fjor vedtok regjeringens forslag om å tillate at helsepersonell på forskjellige kanter av landet får såkalt «tilgang på tvers» til norske pasienters legejournaler.

Regjeringen trengte støtte fra Frp for å banke gjennom forslaget, etter at en ellers samlet opposisjon, samt utbrytere fra regjeringskoalisjonen, støttet å utrede andre alternativer (se fakta).

Les også: Frykter fri flyt av pasientdata

Ny lov åpner for misbruk

Tekna la på sine hjemmesider i går kveld ut sin høringsuttalelse om regjeringens forslag til forskrifter for den omstridte lovendringen. Og kritikken er fortsatt hard.

– På grunn av registrenes sensitive innhold bør det stilles strenge krav til bruken og forvaltningen av dem. Forskriften legger for liten vekt på at det innebærer strenge krav til databehandling med tilhørende betydelige kompetansebehov og kostnader, heter det i høringsuttalelsen.

Spredte registre

Tekna peker særlig på at det nye lovverket legger opp til fragmentert lagring av pasientdata, altså at registrene vil spres ut over landets kommuner og små og store helseenheter.

– Det er ikke bare utkastet til forskrift som bør endres, men også loven den bygger på, heter det i Teknas pressemelding.

Les høringsuttalelsen i sin helhet her.

– Loven legger opp til det, og vi vet at fragmentert lagring også er brukt som et argument for styrking av personvernet. Vi deler ikke den oppfatningen. Erfaringer fra kommunene viser at personvern og informasjonssikkerhet ikke prioriteres høyt nok lokalt. Tekna anbefaler en sikrere håndtering i et sentralt register, framfor flere regionale, sier visepresident i Tekna, prof. Mads Nygård til Teknisk Ukeblad.

Foreslår «kredittsjekk»

Tekna peker videre på at loven, selv i sin nåværende form, åpner for å samle ansvaret for logging og tilgangskontroll til en sentral aktør.

– Vi mener dette kan være et godt utgangspunkt for å danne seg erfaringer ved sentralisering, sier Nygård.

Fagorganisasjonen foreslår også at individer får full innsynsrett i hvorvidt ens egen pasientjournal er blitt åpnet, og av hvem.

Praktisk vil det arte seg etter modell av notaen man lovmessig får i posten når noen har foretatt en kredittsjekk av deg.

– Må følge pasienten

Det legges i høringsuttalelsen også stor vekt på at det er individet, ikke staten, som bør "eie" sin egen pasientjournal. Staten bør kun ha en rolle som forvalter, noe Tekna mener forskriftene er uklare på.

– Vi kan tenke oss et tilfelle der en person med fastlege i Oslo opereres på St. Olavs Hospital i Trondheim, en situasjon som blir vanligere og vanligere med fritt sykehusvalg. Hvor skal dataene legges? Vi mener helt klart at helseopplysningene må følge personen, og ikke sykehuset, sier Nygård.

– Forhastet

Protestene var mange da daværende helseminister Bjarne Håkon Hanssen (Ap) fikk lovendringen gjennom i fjor vår.

Argumentene gikk på at lovarbeidet var forhastet, og at flere alternativer burde vært utredet.

– Er dette også Teknas syn i dag, når forskriftene ligger på bordet?

– Det at vi har levert inn en høringsuttalelse med så mange merknader, kan vel stå som et svar på det spørsmålet. Vi har hatt en meget grundig behandling av dette spørsmålet innad, sier Mads Nygård.

Bred motstand

Fjorårets skarpe motstand mot endringen i helseregisterloven ble utad frontet av saksordføreren for komitébehandlingen, Olav Gunnar Ballo, selv lege og fra regjeringspartiet SV.

– På meg virker dette som en fiks idé som nå gjennomføres, mens de tyngste fagorganene sier klart fra om at dette ikke imøtekommer deres behov, sa Ballo til Teknisk Ukeblad da lovendringen ble vedtatt.

På veien mot forslag og vedtak valgte nemlig Helse- og omsorgsdepartementet bort innspill fra så vel Datatilsynet, Helsetilsynet, Legeforeningen og sitt eget fagdirektorat, Helsedirektoratet – i tillegg til en rekke pasientorganisasjoner.

Stryker på personvern

Et kriterium for å åpne for tilgang til folks pasientjournaler på tvers av de regionale helseforetakene, har fra myndighetenes side vært at tilgangsstyring, logging, kontroll og sikkerhetskultur allerede er på plass lokalt.

Tilsynet med dette er foretatt av Statens helsetilsyn og Datatilsynet i kompaniskap, og har så langt vist det stikk motsatte:

«Helsepersonell og andre ansatte i helsesektoren har gjennomgående alt for vid tilgang til å tilegne seg pasientopplysninger i den elektroniske journalen. Kontroll med hvilke opplysninger den enkelte ansatte faktisk tilegner seg er altfor svak. Dette er en oppfatning som også deles av departementets egne fagmyndigheter», heter det i en rapport fra april i fjor.

Ble ikke invitert

Rapporten kom i etterkant av den regulære behandlingen av saken.

Det fremste norske fagmyndigheten for personvern, Datatilsynet, ble nemlig ikke invitert da departementet nedsatte en arbeidsgruppe for å vurdere om nettopp personvernet var på plass i helseforetakene.

Les også: Frykter fri flyt av pasientdata