1. Innledning
Bærum kommune takker for muligheten til å komme med innspill til arbeidet med endringer i pasientjournalloven, helsepersonelloven mm.
Forslagene viderefører i stor grad gjeldende regler om taushetsbelagte opplysninger og adgang til å dele disse, men med språklige endringer og presiseringer som sammen med lovtekniske endringer innebærer en forbedring av regelverket. Disse endringene, bl.a. slik de fremkommer i forslaget til helsepersonelloven §§ 21, 22, 25 og 26 tydeliggjør reglene bedre enn i dag og gjør dem lettere å bruke. Som eksempel vises til kravene til et samtykke i forslaget til § 22 andre ledd. At reglene blir mer oversiktlige og lettere å forstå vil gjøre helsepersonell tryggere i sin anvendelse av loven, med økt rettssikkerhet for pasientene som resultat. Bærum kommune støtter derfor disse endringene.
Også forslagene til materielle endringer støttes. Disse imøteser behovet for en utvidelse av adgangen til tilgjengeliggjøring av taushetsbelagte opplysninger når det foreligger tjenstlig behov.
Bærum kommune har følgende innspill:
Forslagene viderefører i stor grad gjeldende regler om taushetsbelagte opplysninger og adgang til å dele disse, men med språklige endringer og presiseringer som sammen med lovtekniske endringer innebærer en forbedring av regelverket. Disse endringene, bl.a. slik de fremkommer i forslaget til helsepersonelloven §§ 21, 22, 25 og 26 tydeliggjør reglene bedre enn i dag og gjør dem lettere å bruke. Som eksempel vises til kravene til et samtykke i forslaget til § 22 andre ledd. At reglene blir mer oversiktlige og lettere å forstå vil gjøre helsepersonell tryggere i sin anvendelse av loven, med økt rettssikkerhet for pasientene som resultat. Bærum kommune støtter derfor disse endringene.
Også forslagene til materielle endringer støttes. Disse imøteser behovet for en utvidelse av adgangen til tilgjengeliggjøring av taushetsbelagte opplysninger når det foreligger tjenstlig behov.
Bærum kommune har følgende innspill:
3. Forslaget til endringer i helsepersonelloven § 24 andre ledd
Bærum kommune støtter forslaget om at alt autorisert helsepersonell skal gis mulighet til å bruke opplysninger om andre pasienter i behandlingen av egne pasienter. Behovet for tilgang til relevante og nødvendige helseopplysninger om andre pasienter i en konkret behandling av egen pasient, er ikke kun begrenset til leger og tannleger. Det er f.eks. også aktuelt for psykologer.
Samtidig påpekes at en slik utvidelse og forenkling av tilgang til helseopplysninger, kan medføre en risiko for at helsepersonell som ikke trenger informasjonen kan få dette. Det er derfor ekstra viktig å forsøke og forhindre dette ved å se på hvilke opplysninger den enkelte helsepersonellgruppe vanligvis vil trenge, slik departementet også foreslår. Videre vil taushetsplikten og «snokeforbudet» være med på å sikre at pasienter vernes mot ulovlig tilegnelse og spredning av helseopplysninger.
Krav til logging av opplysninger vil også kunne motvirke at helsepersonell ikke slår opp i helseopplysninger de ikke har tjenstlig behov for, f.eks. for å finne opplysninger om tidligere ektefelle. Dette stiller krav til virksomhetene som kan lage utfordringer, jf. pkt. 5 nedenfor.
Samtidig påpekes at en slik utvidelse og forenkling av tilgang til helseopplysninger, kan medføre en risiko for at helsepersonell som ikke trenger informasjonen kan få dette. Det er derfor ekstra viktig å forsøke og forhindre dette ved å se på hvilke opplysninger den enkelte helsepersonellgruppe vanligvis vil trenge, slik departementet også foreslår. Videre vil taushetsplikten og «snokeforbudet» være med på å sikre at pasienter vernes mot ulovlig tilegnelse og spredning av helseopplysninger.
Krav til logging av opplysninger vil også kunne motvirke at helsepersonell ikke slår opp i helseopplysninger de ikke har tjenstlig behov for, f.eks. for å finne opplysninger om tidligere ektefelle. Dette stiller krav til virksomhetene som kan lage utfordringer, jf. pkt. 5 nedenfor.
§ 26 første ledd bokstav e.
Forslaget om unntak fra taushetsplikten for opplysninger til intern kvalitetsforbedring vurderes både som nødvendig og hensiktsmessig. Slikt unntak er en forutsetning for kvalitetsforbedring i helsetjenesten. At dette skal kunne skje på tvers av virksomheter, vurderes som positivt da det er nødvendig for å ivareta behovet for kvalitetsforbedring på tvers av virksomheter.
5. Forslag til endringer i pasientjournalloven § 20
Krav om logging av hvilke opplysninger som er gjort tilgjengelig, for hvem og i hvilket tidsrom gir et effektivt vern mot at helsepersonell som ikke trenger tilgang til opplysningene, slår opp disse. Bærum kommune ser imidlertid utfordringer med forslaget:
Forslaget innebærer strenge krav til dokumentasjon på tilgjengeliggjøring av helseopplysninger. Kravene vil i praksis hovedsakelig ivaretas gjennom automatisk logging av oppslag som gjøres i journalsystemene.
I ansvaret til dataansvarlig i forslaget til § 20 ligger bl.a. å forebygge urettmessige oppslag i journal gjennom rutiner og prosedyrer og logging av oppslag som gjøres i journalsystemene. Departementet uttaler at dette fordrer gode styringssystemer, herunder god internkontroll. Departementet uttaler videre på side 37 at dette har betydning for informasjonssikkerhet ift. f.eks. krav om bakgrunnssjekk av personer i kritiske stillinger og funksjoner.
Hvor funksjonen som dataansvarlig er lagt i organisasjonen, varierer fra kommune til kommune, og fra fagsystem til fagsystem. I store kommuner vil det kunne være flere personer på høyere ledelsesnivåer (f.eks. direktør, kommunalsjef el.) som vil kunne være fjernt fra den praktiske driften av disse systemene. I mindre kommuner vil det kunne være personer som er nærmere den daglige driften. Uavhengig av dette, vil den som er dataansvarlig få et stort ansvar, og det vil kreve tid og ressurser å få gjort dette arbeidet på en forsvarlig måte. Det stilles derfor spørsmål ved departementets vurdering på s. 67 av at (sitat) «Endringene tydeliggjør kravet om systematisk kontroll av virksomhetene (logg) som vil kunne ha økonomiske konsekvenser for virksomheter som ikke har tilfredsstillende løsninger i dag, men dette har vært et krav siden ikrafttredelsen av pasientjournalloven i 2015» .
Selv om mange kommuner har løsninger for logg, er det ikke gitt at det i seg selv er det eneste som er forbundet med økte kostnader. Det tas f.eks. ikke høyde for økt ansvar og behov for tid og ressurser til dataansvarlig for å utføre dette arbeidet. Tilsvarende vil flere kommuner kunne ha systemer for logging som ikke er gode nok. De vil dermed kunne få økte kostnader i en tid der mange kommuner sliter økonomisk. At kommunene skulle ha hatt dette på plass tidligere, løser heller ikke de økonomiske utfordringene de kan få som følge av forslaget. Det kan fremstå som departementet her undervurderer de faktiske kostnadsøkningene som kan komme som følge av det som foreslås.
Forslaget innebærer strenge krav til dokumentasjon på tilgjengeliggjøring av helseopplysninger. Kravene vil i praksis hovedsakelig ivaretas gjennom automatisk logging av oppslag som gjøres i journalsystemene.
I ansvaret til dataansvarlig i forslaget til § 20 ligger bl.a. å forebygge urettmessige oppslag i journal gjennom rutiner og prosedyrer og logging av oppslag som gjøres i journalsystemene. Departementet uttaler at dette fordrer gode styringssystemer, herunder god internkontroll. Departementet uttaler videre på side 37 at dette har betydning for informasjonssikkerhet ift. f.eks. krav om bakgrunnssjekk av personer i kritiske stillinger og funksjoner.
Hvor funksjonen som dataansvarlig er lagt i organisasjonen, varierer fra kommune til kommune, og fra fagsystem til fagsystem. I store kommuner vil det kunne være flere personer på høyere ledelsesnivåer (f.eks. direktør, kommunalsjef el.) som vil kunne være fjernt fra den praktiske driften av disse systemene. I mindre kommuner vil det kunne være personer som er nærmere den daglige driften. Uavhengig av dette, vil den som er dataansvarlig få et stort ansvar, og det vil kreve tid og ressurser å få gjort dette arbeidet på en forsvarlig måte. Det stilles derfor spørsmål ved departementets vurdering på s. 67 av at (sitat) «Endringene tydeliggjør kravet om systematisk kontroll av virksomhetene (logg) som vil kunne ha økonomiske konsekvenser for virksomheter som ikke har tilfredsstillende løsninger i dag, men dette har vært et krav siden ikrafttredelsen av pasientjournalloven i 2015» .
Selv om mange kommuner har løsninger for logg, er det ikke gitt at det i seg selv er det eneste som er forbundet med økte kostnader. Det tas f.eks. ikke høyde for økt ansvar og behov for tid og ressurser til dataansvarlig for å utføre dette arbeidet. Tilsvarende vil flere kommuner kunne ha systemer for logging som ikke er gode nok. De vil dermed kunne få økte kostnader i en tid der mange kommuner sliter økonomisk. At kommunene skulle ha hatt dette på plass tidligere, løser heller ikke de økonomiske utfordringene de kan få som følge av forslaget. Det kan fremstå som departementet her undervurderer de faktiske kostnadsøkningene som kan komme som følge av det som foreslås.
6. Særlige krav til tilgang til helseopplysninger om barn og unge og personer med adressesperre
Bærum kommune tiltrer departementets vurderinger på s. 56-59 av risikoen for at digitale innsynsløsninger innebærer at foreldre får tilgang til helseopplysninger om sine barn som de etter pasient- og brukerrettighetloven § 5-1 jf. 3-4 ikke skal ha innsyn i. Vissheten om at informasjon ikke vil tilkomme foreldrene er for enkelte barn avgjørende for at de f.eks. oppsøker helsesykepleier i visse situasjoner. Både ved utforming av regelverket og i de tekniske innsynsløsningene må det gjøres grundige vurderinger av dette.
Tilsvarende gjelder vurderingene om viktigheten av at trusselutøver ikke får tilgang til informasjon om et barns oppholdssted (skjermet adresse) gjennom digitale helseplattformer.
Tilsvarende gjelder vurderingene om viktigheten av at trusselutøver ikke får tilgang til informasjon om et barns oppholdssted (skjermet adresse) gjennom digitale helseplattformer.