Les mer i artikkelen  Pasientjournalen og psykologens journalføringsplikt

Elektronisk pasientjournal gir mulighet for økt tilgjengelighet til helseopplysninger. Dette er en fordel når det skal ytes helsehjelp til pasienten. På samme tid har pasienten rett til vern mot spredning av taushetsbelagte opplysninger.(2) En pasientjournal som for eksempel inneholder opplysninger om psykisk sykdom, avhengighetsproblematikk og opplysninger om overgrep, taler for en streng tilgangsstyring til journalen. 

Lovverket stiller flere krav til hvordan helseopplysninger kan håndteres i en elektronisk pasientjournal(EPJ).

Hvem er ansvarlig?

Virksomheter hvor det ytes helsehjelp skal ha et journalssystem.(3) Når virksomheten bruker elektronisk journalsystem har arbeidsgiver en plikt til å sørge for at det etableres rutiner, slik at systemene blir forsvarlige.(4) Virksomhetens leder skal påse at informasjonsbehandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.(5)

Helseregisterloven § 13 krever at tilgang til helseopplysninger i pasientjournalen kun skal gis i den utstrekning det er nødvendig for den enkelte medarbeiders oppgaver og i samsvar med reglene om taushetsplikt. Dette betyr at taushetsbelagte opplysninger må vernes mot innsyn fra ansatte som ikke har legitimt behov for opplysningene.

I dag er praksis slik at helsepersonell tildeles generelle tilganger til det elektroniske pasientjournalssystemet, slik at det er mulig å få tilgang til journaler til pasienter som f. eks. psykologen ikke skal yte helsehjelp til. I praksis kan det være tilfeller der det gis for smale tilganger slik at tilgang til journaler til pasienter som man skal yte helsehjelp til blir veldig komplisert. I utredning om elektronisk pasientjournal fra Sosial- og helsedirektoratet står det at det i dag ikke finnes kommersielt tilrettelagte journalssystem for sykehus med funksjonalitet som fullt ut er tilpasset kravene i norsk lovgivning. Dette gjelder vel også for kommunale pasientjournalssystem. Den som har fått tildelt tilgangsrettigheter i pasientjournaler, åpner selv pasientjournalen når det skal ytes helsehjelp til en konkret pasient.(6)

Helse- og omsorgsdepartementet har høsten 2008 hatt på høring lovforslag som skal fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon, blant annet om lettere tilgang til helseopplysninger på tvers av virksomhetsgrenser. (Se fjerde kulepunkt under referanser).

Elektroniske pasientjournaler skal ha databehandlingsansvarlig

Pasientjournalen er å anse som et behandlingsrettet register.(7) Helseregisterloven stiller krav til at det skal være en databehandlingsansvarlig for slike registre. Den databehandlingsansvarlige skal blant annet ”sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger” jf. helseregisterloven § 16.

Helseforetak

Et helseforetak kan være databehandlingsansvarlig for slike registre i de helseinstitusjoner som de eier. Helseforetak skal ikke være databehandlingsansvarlig for private helseinstitusjoner.

Kommunen

Kommunen er databehandlingsansvarlig for behandlingsrettede helseregistre som opprettes som følge av at det gis helsehjelp. Privat helsetjeneste som utgjør en virksomhet har på tilsvarende måte plikt til å opprette pasientjournalsystem og bli databehandlingsansvarlig for registeret.

Selvstendig virksomheter

Psykologen er databehandlingsansvarlig for de registre han/hun har i sin privatpraksis som selvstendig næringsdrivende.

Psykologer som driver selvstendig praksis i gruppepraksis eller på annen måte i nær sammenheng med andre, har ikke anledning til å slå sammen sine pasientjournalsystemer og så å si dele databehandlingsansvaret eller avtale hvem av dem som skal ivareta databehandlingsansvaret”.(8) Dette gjelder for eksempel psykologer som organiserer seg som et ansvarlig selskap (ANS) eller et ansvarlig selskap med delt ansvar (DA). Dette innebærer i prinsippet at psykologen må ha et eget EPJ-system, som er skjermet mot de øvrige psykologers(og eventuelt annet hjelpepersonells) innsyn. Det kan opprettes felles EPJ i gruppepraksis i de tilfellene, der psykologene og andre helsepersonell har organisert denne virksomheten som et felles aksjeselskap (AS) og man er ansatt av selskapet. Helsedepartementet har i høring høsten 2008 foreslått en lovendring som gjør det mulig for helsepersonell med formalisert fellesskap å etablere felles journalsystemer.

Om taushetsplikten

Bruk av elektronisk pasientjournal fører ikke til endringer i reglene om taushetsplikt. Hovedregelen er at helsepersonell har taushetsplikt om pasientforhold.(9) Psykologer skal derfor hindre at andre får adgang eller kjennskap til pasientopplysninger. Det er også et forbud mot urettmessig å tilegne seg taushetsbelagte opplysninger.(10) Verken organisatoriske eller teknologiske løsninger er styrende for hvordan pasientopplysninger kan eller skal håndteres og formidles til andre. Dette innebærer blant annet at oppbevaring av pasientopplysninger skal være forsvarlig.

Reglene om taushetsplikt gjelder selvsagt også mellom helsepersonell. At en psykolog snakker med en annen psykolog, betyr ikke at en kan snakke om taushetsbelagte pasientopplysninger som sådan. Det å være ansatt psykolog i en virksomhet betyr altså ikke at det er lov å se på helseopplysningene om alle pasientene der.

Om utlevering av helseopplysninger

Taushetsbelagte opplysninger kan kun utveksles mellom helsepersonell når det er nødvendig for behandling og oppfølging av pasienten, pasienten samtykker til dette eller det foreligger andre rettslige grunner for å gi slik informasjon.(11) Helseopplysninger kan gis til samarbeidende personell både innenfor og utenfor en virksomhet.(12) Diskusjon av pasientsaker i veiledningsforhold er et eksempel på dette. Ofte vil det være nødvendig å få opplysninger om pasienten fra tidligere journalnedtegnelser der pasienten har fått helsehjelp. Mottar psykologen en anmodning om å gi tilgang til eller utlevere opplysninger til andre, har de plikt til dette, når anmodningen gjelder opplysninger som er nødvendig for å yte helsehjelp. Psykologen skal vurdere om dette er opplysninger som er nødvendig for å yte helsehjelp.(13)

Pasienten er gitt en rett til å motsette seg at opplysninger blir gjort tilgjengelig for annet helsepersonell.(14) Selv om pasienten motsetter seg utlevering av journalopplysninger, kan dette skje når det anses nødvendig for å hindre fare for liv eller alvorlig helseskade. I forbindelse med tvangsinnleggelser av psykiatriske pasienter vil det kunne være svært viktig for helsepersonell som skal behandle pasienten å få kjennskap til tidligere behandling.(15)

Kan taushetsbelagte opplysninger overføres elektronisk?

Opplysningene kan overføres elektronisk dersom det brukes systemer med sikkerhetsløsninger som gjør det mulig å ivareta personvernhensynene i samsvar med regelverket.(16) Alminnelige e-postløsninger skal ikke brukes for utveksling av taushetsbelagte opplysninger om pasienten. Dette gjelder både internt i virksomheten, til kommunikasjon med pasienter osv. Eksempel på sikker kommunikasjon, kan være et webgrensesnitt, og som sørger for at sensitiv informasjon ikke overføres ukryptert eller blir liggende på brukerens lokale PC.(17)

Referanser 

• Reglene for informasjonssikkerhet, Norm for informasjonssikkerhet i helsetjenesten
• Utredning om Enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp (EPJ )– vurdering av lovendringer Divisjon for spesialisthelsetjenester, Sosial- og helsedirektoratet 31. mars 2008
• Høringsnotat – Tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser. Etablering av virksomhetsovergripende behandlingsrettede helseregistre 20. oktober 2008 Helsedepartementet

 Litteratur

1. Lov om helseregistre og behandling av helseopplysninger(helseregisterloven) av 18.5.2000 nr. 24 § 6 og Lov om helsepersonell m.v. (helsepersonelloven) av 2.7.1999 nr. 64 § 46
2. Lov om pasientrettigheter av 2. juli 1999 nr 63(pasientrettighetsloven) § 3-6
3. Forskrift om pasientjournal fastsatt av Sosial- og helsedepartementet 21. september 2000 nr. 1385 § 4
4. Lov om spesialisthelsetjenesten m.v.(spesialisthelsetjenesteloven) av 2.7.1999 § 2-2 nr. 61, Lov om kommunale helse- og omsorgstjenester (helse- og omsorgstjenestelov) av 24.06.2011 nr. 30 § 4-1
5. Se Referanse kulepunkt 2 om Norm for informasjonssikkerhet og søk etter Faktaark 1 om ansvar og organisering
6. Utredning om enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp(EPJ) – vurdering av lovendringer, av Sosial- og helsedirektoratet 31. mars 2008 pkt. 5.4
7. Helseregisterloven § 6 og helsepersonelloven § 46
8. Sitat fra Utredning om Enkel og trygg tilgjengelighet til pasientopplysninger i elektronisk pasientjournal ved ytelse av helsehjelp(EPJ) – vurdering av lovendringer, Divisjon for spesialisthelsetjenester, Sosial- og helsedirektoratet, 31. mars 2008 pkt. 16.2
9. Helsepersonelloven § 21
10. Helsepersonelloven § 21a
11. Se pkt. 1.3 om taushetsplikt i Rundskriv IS-7/2006 vedrørende tilgang til og utlevering av opplysninger i elektronisk pasientjournaler. Se blant annet helsepersonelloven § 21,§ 25 og § 45
12. Helsepersonelloven § 25
13. Helsepersonelloven § 45
14. Pasientrettighetsloven § 5-3
15. Se Rundskriv IS- 8/2012 Lov om helsepersonell m.v. og merknad til helsepersonelloven § 45
16. Se Helseregisterloven, personopplysningsloven og personopplysningsforskriften.
17. Se referanse kulepunkt 2 ovenfor om Norm for informasjonssikkerhet og søk etter Faktaark 24