Helse- og omsorgsdepartementet har sendt på høring forslag til ny forskrift som skal regulere adgangen til å gi helsepersonell tilgang til helseopplysninger i pasientjournaler og andre behandlingsrettede helseregistre mellom virksomheter.
En fantastisk, men umulig løsning.
Det foreligger forslag til ny forskrift som skal regulere mulighet til å dele journalopplysninger elektronisk – online tilgang til andres EPJ. Dette er en naturlig utvikling og all annen tenkning enn nettopp denne ville stride mot visjonen om ”en innbygger – en journal”. Både de nye lovene og alt arbeidet som for tiden nedlegges i å utvikle og bedre elektronisk pasientjournal og elektronisk kommunikasjon, peker mot at slike løsninger må komme, dersom de politisk meget høyt prioriterte mål skal nåes. Det er derfor trist at de vilkårene som settes i denne forskriften i praksis vil umuliggjøre utbredelse av denne funksjonaliteten. Vi skal begrunne dette sett ut fra fastlegekontorenes perspektiv, og bare derfra.
Fastlegekontor er små enheter uten særskilt personell til å være dataansvarlig. Alle fastlegekontor har EPJ, og alle er tilknyttet Norsk Helsenett. Disse to forhold skulle etter eksisterende regelverk hver for seg, og i hvert fall til sammen, sikre at alle fastlegekontorene fulgte alle regler som er gitt i eksisterende regelverk for personopplysninger, herunder ”tilgangsstyring, risikoanalyser, systemhensyn, opplæring, avvikshåndtering, tilgangsstyring og tilgangskontroll, system for administrasjon av autorisasjoner for tilgang til helseopplysninger, register over og kontroll av autorisasjon, opplæring av ansatte, krav til kommunikasjonen, autentiseringsløsning, elektronisk signatur, funksjon for at pasienten kan motsette seg utlevering eller tilgang til helseopplysninger, sporbarhet, langtidslagring, nærmere krav til dokumentasjon av tilgang til og utlevering av helseopplysninger (logg), innhold og lagringstid for logg”, og øvrige formål som synes aktuelle i enhver sammenheng der sikkerhet rundt personopplysninger drøftes. For å ha EPJ og for å knytte seg opp til NHN må det underskrives avtaler og leveres meldinger der slik sikkerhet skal garanteres og sikres. Problemet er at selv om alt dette er pent sammenfattet og gjort tilgjengelig i ”Normen”, så er kjennskap til og familiaritet med slike begreper ikke en hverdagslig sak i norske fastlegekontor. Til tross for at lekkasje av personopplysninger fra norske fastlegekontorer knapt er nevnt som problem i norske medier de siste 15 år, så gjelder altså samme strenge regelverk som for f eks OUS, som bør antas å ha mer personell tilgjengelig for å håndtere slike sakskomplekser. For fastleger er dette sakskomplekset en viltvoksende tidstyv. Riktignok er også tiltak for å etterleve ”Normen” skalert ned til en tilsynelatende overkommelig oppgave som nettkurs, med mye forhåndsutfylt materiell og mye hjelp. Problemet er imidlertid - det egentlig nødvendige og moderne - poenget med at det ikke skal stilles konkrete tekniske, strukturelle eller organisatoriske krav, men utarbeides vurderinger og betraktninger lokalt over hva som er godt nok, hvorfor og hvordan. Dette er utlagt i en språkdrakt ingen fastleger er familiære med. Realiteten er altså at til tross for at alle legekontor har avtaler og meldinger som sikrer at reglene blir fulgt, så er kjennskap til regelverket og konkrete risikoanalyser ikke utbredt. I denne situasjonen skal nå muligheten åpnes for at legekontorer gjennom en AVTALE skal kunne få tilgang til sykehusets journaler. Et glitrende forslag, men bare dersom de eksisterende avtaler og meldinger kan legges til grunn. Dersom avtalen skal følges bokstavelig, må først alt det som er nevnt ovenfor konkretiseres. Deretter kan man begynne å tenke på nye avtaler som stiller krav ut over hva Normen gjør. Det er ikke slike perspektiver vi ønsker å ha på informasjonsdeling.
Dagens elektroniske virkelighet gjør at sikkerheten rundt behandling av personopplysninger er så kompleks at det kreves dedikert personell for å gjennomføre kravene. Slikt personell er det ikke grunnlag for å ha i små virksomheter. Dagens virkelighet er at formelt er alle innenfor reglene, ellers ville de ikke hatt lov å ha tilgang til NHN, men svært få kjenner reglene eller har gjort det som reglene krever. Skulle det gjennomføres, ville det kreve enorme ressurser.
Det foreliggende forslaget føyer seg inn i denne virkeligheten. Den politiske og helsemyndighetsbaserte forestillingen om at alle reglene om personopplysninger kan følges av alle, er blitt et problem. Kart og terreng stemmer ikke overens, og det er tungvint å endre terrenget.
Med vennlig hilsen
Marit Hermansen Morten Laudal
leder NFA styremedlem