Legeforeningens innspill til informasjonssikkerhet ved bruk av private leverandører i helse- og omsorgssektoren

Direktoratet for e-helse
PB 6737, St. Olavs plass
0107 OSLO

Deres ref.: 17/513
Vår ref.: 17/3852
Dato: 22.09.2017

Direktoratet ber om svar på to spørsmål:
• Hvilke kriterier, betingelser og tiltak anser organisasjonene som nødvendig for å kunne benytte private underleverandører på en trygg og ansvarlig måte?
• Er det tjenester som ikke bør overlates til private underleverandører, og hvilke kriterier legger en til grunn for denne anbefalingen?

Primum non nocere (først, gjør ikke skade).
Legeforeningen vil minne om gamle visdomsordet fra Hippokrates, Primum non nocere (først, gjør ikke skade). Dette er et av mantraene legene jobber etter. Derfor er vi forsiktige. Vi må sikre oss at ny teknologi ikke skader. Felles store journaler utfordrer dette prinsippet, selv om det vil være til fordel for svært mange vil noen oppleve konfidensialitetstap eller helsetap. Legeforeningen mener at grundige risikoanalyser er sentrale når man etablerer IKT-systemer i helsetjenesten.

...they were in the 'trust' business not the information business...
Sitatet kommer fra England der enkelte mener NHS har hatt for stort fokus på å gi tilgang til data, men ikke å ivareta pasientens konfidensialitet. Da undergraver man pasientens tillit til helsetjenesten. Konfidensialiteten er sentralt i helsetjenesten. Legene og helsetjenesten er avhengig av tillit til at vi tar vare på personene og informasjonen deres. lkke at vi skal «hente ut gevinster» på deres bekostning. Tillit kan rives ned på et øyeblikk, og tar år å bygge opp igjen. Vi har ikke råd til å skusle bort tilliten til helsevesenet på dette området.

Hvorfor taushetsplikt?
Taushetsplikten skal først og fremst ivareta det nødvendige tillitsforholdet mellom pasient og behandler. Legen får kjennskap til en rekke opplysninger av sensitiv art, ikke bare om helsemessige forhold, men også om personlige forhold, familieforhold, seksualitet, etc.
Dersom pasienten ikke har tillitt til at legen holder disse opplysningene for seg selv, risikerer man at essensiell informasjon ikke blir fortalt til legen, eller at pasienten ikke oppsøker legen.

Likevel – flere motstridende hensyn må avveies: Taushetsplikten er viktig for å ivareta personvernet, å skape tillit mellom pasient og lege, hindre misbruk av informasjon. På den annen side er informasjon om pasienter viktig for å kunne gi forsvarlig behandling, danne grunnlag for læring og forståelse, samt avverge fare, for å kunne føre kontroll med helsetjenesten og med ressursbruken samt i en rekke andre viktige sammenhenger.

På den bakgrunn er det nødvendig at vi har et regelverk og en praksis som balanserer disse viktige hensynene. Lovgiver har valgt et system der taushetsplikten er hovedregel, og at unntak skal ha rettslig grunnlag. Det er da viktig at det finnes unntak for de situasjoner hvor det er strengt nødvendig å utveksle informasjon.

Pasientens helsetjeneste.
Bør pasienten styre tilgangene selv? Kanskje vi må tenke nytt der også, og gi pasienter utstrakt rett til full bestemmelse ala, «Pasienter har rett til å reservere seg, men også en rett til å utsette seg for fare». Vi må passe på at denne retten ikke går utover andre. Med det menes at vi må støtte de som ønsker å dele informasjon, men også støtte de som ikke ønsker. Den ene gruppen er ikke viktigere enn den andre.

Et absolutt vanntett nivå av informasjonssikkerhet kan i det hele tatt ikke nåes når deling er blitt imperativet, og et hovedspørsmål er derfor hvorledes pasientene kan myndiggjøres til selv å styre sine tilganger og derved selv ta del i risikovurderinger i forhold til egne helsedata. Dette vil være å ta pasientens helsetjeneste ordentlig på alvor. Og da bør det bli slik, at pasienten selv kan sperre, blokkere eller kanskje til og med slette informasjon fra sin journal.

Bygge kompetanse lokalt
Helsetjenesten sysselsetter omtrentlig 300.000 personer, og kanskje 4-5000 jobber spesifikt med IKT på nasjonalt nivå. Med et så stort antall ansatte bør man forvente at nasjonen kan eie og utvikle fagmiljøer innen alle sider av IKT, som er høykompetente. Det er vanskelig å forstå at vi ikke skal kunne drifte våre egne løsninger innenfor landets grenser, og skaper tillitsutfordringer når det blir kjent at sparebehov fører til utflagging av helsedata. Det handler ikke bare om faktisk, men opplevd risiko for den enkelte borger. At IKT i helsetjenesten også er samfunnskritisk infrastruktur betyr også at nasjonen må ha nok kompetanse til å håndtere ulike typer hendelser og ondsinnede angrep på denne infrastrukturen.

Små virksomheter – store krav
Fastlegene og private spesialister er organisert på en meget kostnadseffektiv måte, med lite administrasjon. Innen informasjonssikkerhet er det mange krav å forholde seg til, og selv om Normen lager gode veiledninger oppleves de allikevel som omfattende for de fleste kontorer. GDRP vil også gi økt risiko for virksomhetene.

Legenes primære oppgave er å hjelpe pasienter. Selv om mange leger etter hvert har fått en del innsikt i bruk av ulike tekniske løsninger som benyttes i den praktiske kliniske hverdagen, er det varierende grad av detaljert kompetanse innenfor IKT og teknisk informasjonssikkerhet. Det er ikke gunstig for noen dersom legene må bruke for mye av sin tid på tekniske arbeidsoppgaver at det går på bekostning av pasientbehandling.

Legeforeninger mener derfor det må ses nærmere på hvordan myndighetene og næringslivet sammen kan hjelpe legekontorene i å velge tilfredsstillende og "riktige" løsninger. I dag får gjerne legene utlevert standardkontrakter fra leverandørene, uten at det nødvendigvis er særlig rom for å forhandle frem særskilte klausuler som stiller strengere krav til leverandørene. F.eks. mht. ansvar for sikkerhet for at produktet de leverer skal fungere på en måte som gjør at brudd på etterlevelse av regler om informasjonssikkerhet m.m. ikke oppstår pga. teknisk eller manuelle svikt fra leverandørens side. Med skytjenester vil dette være et sentralt spørsmål.

Legeforeningen mener man bør se nærmere på mulighetene for en sertifiseringsordning for EPJ, og evt. andre elektroniske løsninger som benyttes/vil benyttes på legekontor og for drift av disse. Dermed kan virksomhetene enklere vurdere leverandørene opp mot hverandre, uten å besitte den informasjonssikkerhetskompetansen som etterspørres. I tråd med at personvernforordningen innebærer et større ansvar for databehandlere, ville det i det minste kunne utformes anbefalinger, om ikke offisielle sertifiseringsordninger.

Hvorfor tjenesteutsetting?
Det er viktig å ha klart for seg formålet med tjenesteutsetting før man setter i gang. Skal man rasjonalisere? Skal man effektivisere? Skal man forenkle? Må man spare penger? E-helseløsninger bør være gjenstand for rasjonell drift, vi trenger stordrift, men man må gjøre meget grundige risikoanalyser på forhånd og man må ha tydelig for seg hva formålet med outsourcing er.

Med hilsen
Den norske legeforening

Eirik Nikolai Arnesen
Spesialrådgiver