Sikrere elektronisk pasientjournal

Bakgrunnen for samlingen var en rapport med overordnende prinsipper for tilgangsstyring, utarbeidet i tidligere Helse Øst RHF av en arbeidsgruppe med representanter fra helseforetakene og det regionale helseforetaket. Prosjektet ble ledet av Bjørn Magne Eggen, direktør ved enhet for medisinske fag og strategi ved Akershus universitetssykehus HF.

- Tilgang til EPJ er avgjørende for å sikre forsvarlig helsehjelp. Samtidig skal vi styre tilgangen slik at pasientopplysningene ikke er tilgjengelig for andre enn dem som skal yte helsehjelpen. Dette er selve grunnprinsippet for god tilgangsstyring, sier Bjørn Magne Eggen.

Sykehus er kompliserte organisasjoner med mange forskjellige aktører som har ulike roller.
- Våre medarbeidere kan arbeide på tvers av avdelingsgrenser og profesjoner, og de vil ha ulike arbeidsoppgaver ikke bare ut fra profesjon, men også etter hvor i organisasjonen de arbeider. Derfor er det viktig å sikre rett tilgang etter hvilken rolle den ansatte har ovenfor pasienten, sier Eggen.

Sikrere EPJ

Sosial- og helsedirektoratet har i Norm for Informasjonssikkerhet (2006) definert at informasjonssikkerhet omfatter fire ulike aspekter; konfidensialitet (taushetsplikt, personvern), integritet (at data er korrekte og beskyttet mot å bli urettmessig endret eller manipulert), tilgjengelighet (den som skal ha tilgang til opplysningene, får dem når hun/han trenger dette), og også kvalitet. En sikrere EPJ forutsetter at alle disse fire aspektene blir ivaretatt.

Arbeidsgruppen har i sin rapport synliggjort behovet for gode logger og logganalyseverktøy og viktigheten av holdningsskapende arbeid for å kunne ivareta kravene om informasjonssikkerhet i pasientjournalen.
- I tillegg til de tekniske og administrative grepene som gjøres, er det avgjørende med en bevisstgjøring gjennom praktisk opplæring, sier lederen for arbeidsgruppen.

Hvordan arbeide videre med egne systemer?

- Gjennom rapporten fra arbeidsgruppa og det som ble gjort på samlingen, har alle sykehusene i Helse Sør-Øst fått et push til å arbeide videre og bedre med styringen av tilgang til EPJ. Vi har dessuten fått positive tilbakemeldinger fra de store systemleverandørene som også var med i samlingen og dermed hørte det som ikke bare arbeidsgruppa la frem, men også synspunktene fra Datatilsynet, Statens helsetilsyn og Sosial- og helsedirektoratet. Leverandørene melder at dette har gitt dem økt innsikt både i forhold til å jobbe videre med sine systemer, men også råd for hvordan implementering av systemene helst bør skje, forteller Eggen.

Hvordan kan prinsippene implementeres for hele regionen?
- Det enkelte sykehus må bringe dette arbeidet inn i sine journalkomiteer og videre til praktisk handling lokalt. Rapporten er til fri benyttelse, og vi vet den allerede benyttes som hjelpemiddel ikke bare i egen region, men også i de tre andre helseregionene, avslutter Eggen.

Rapporten og foredragene

Rapporten fra arbeidsgruppen og foredragene som ble holdt på samlingen, kan lastes ned i pdf  ved å klikke på vedleggene til høyre.