Dato:            4. december 2006

Kontor:         Forvaltningsjuridisk kt.

J.nr.:             2006-1640-17

Sagsbeh.:   sdy

Fil-navn:       FT-spg/SUU nr. 44 L50 besvarelse

 


Besvarelse af spørgsmål nr. 44 (L 50), som Folketingets Sundhedsudvalg har stillet til indenrigs- og sund­hedsministeren den 14. november 2006

 

Spørgsmål 44:

"Kan ministeren sige noget nærmere om, hvordan de enkelte dataansvarlige i praksis vil udmønte ansvaret for teknisk adgang og den sikkerhedsmæssige forebyggelse af misbrug?"

 

Svar:

 

Jeg har til brug for besvarelse af spørgsmålet indhentet bidrag fra Danske Regioner.

 

Danske Regioner har på baggrund af de hidtidige erfaringer givet en vurdering af de nuværende systemer, en vurdering af de kommende muligheder for forebyggelse og en gengivelse af de drøftelser, Danske Regioner det seneste år har haft med Datatilsynet om emnet.

 

Danske Regioner har omkring teknisk adgang oplyst, at generelt er adgangen til Elektroniske Patient Journaler (EPJ) i dag for sundhedsprofessionelle internt på sygehusene styret via en personlig adgangskode og password. Administrationen af adgangen er generelt forankret i lokale IT brugercentre, der har en vagtfunktion alle ugens dage og alle døgnets timer. Adgang gives på baggrund af en ansøgning fra afdelingsledelsen. Adgangen defineres ud fra et nærmere defineret rollebegreb, som knytter sig til den funktion, der er i ansættelsen og ens faglige tilhørsforhold. Alle relevante faggrupper på en afdeling har adgang til EPJ systemet. Dette er nødvendigt for at sikre den tværfaglighed og effektive arbejdsdeling, der i 10 år har været et af målene med at indføre EPJ.

 

Danske Regioner har endvidere oplyst, at den personlige adgang åbner EPJ-systemet med de patienter, som den pågældende sundhedsprofessionelle har i behandling. Behandlerrelationen defineres i reglen ud fra afdelingstilhørsforhold. For tværgående systemer på sygehusene som ex. røntgen-, patologi-, onkologi- og laboratoriesystemer dokumenteres adgang ud fra henvisningen.

 

Desuden er det af Danske Regioner oplyst, at der er fuld logning af alle opslag på patienter i alle systemer.

 

Endvidere har Danske Regioner oplyst, at den ovenfor beskrevne tekniske begrænsning, der eksisterer i dag, har mange paralleller til den begrænsning, der skal ske i forbindelse med regionernes fælles e-journal projekt. Projektet skal bl.a. give adgang for praktiserende læger til sygehusenes EPJ oplysninger for derigennem at sikre en bedre kvalitet, større patientsikkerhed og mere effektivitet i overgangen mellem sygehus og praksissektor.

 

Sygehusene har, efter det det oplyste fra Danske Regioner, i 2006 påbegyndt masseudrulningen af digitale (OCES) certifikater i sygehusvæsenet. I forbindelse hermed vil samtlige EPJ brugere overgå til at anvende digitale certifikater til at få adgang til EPJ systemerne. Efter Danske Regioners opfattelse, vil dette styrke den tekniske sikkerhed og entydigt identificere de enkelte brugere i forhold til EPJ systemet og andre systemer. Alle praktiserende læger har fået tilbudt et gratis digitalt certifikat, hvilket har bevirket, at 80% af de praktiserede læger i dag har en digital signatur.

 

Det fremgår af Datatilsynets udtalelse af 22. september 2006, at der skal etableres følgende adgangsbegrænsede foranstaltninger i e-journal:

 

Adgangen gives til alle privatpraktiserende læger med et gyldigt medarbejdercertifikat og en autorisation som praktiserende læge.

 

Adgangen sker ved anvendelse af digital signatur og ved indtastning af patientens personnummer. E-journal følger den eksisterende log-løsning for digital signatur på sundhed.dk, således at der samles detaljerede oplysninger om, hvem der har set oplysninger i e-journalen, og hvornår søgningen har fundet sted. Der foretages logning af hvert enkelt skærmbillede, og den registrerede vil selv få adgang til disse log-oplysninger (dog ikke den mere detaljerede log om, hvilke specifikke oplysninger i e-journal lægen har set på).

 

I e-journal er det ligeledes muligt at delegere adgangsretten til oplysninger til lægens medhjælpere. I disse tilfælde er det af loggen pÃ¥ sundhed.dk muligt at se, hvilken medhjælper der er blevet tildelt adgangsretten fra hvilken læge, og hvornÃ¥r medhjælperen har set oplysningerne i e-journalen.   

 

Der er ved opslag adgang til oplysninger i e-journal, og pÃ¥ det første skærmbillede ser man en oversigt over de sygehusforløb, som patienten har haft, herunder om der har været tale om somatisk eller psykiatrisk behandling. De mere detaljerede oplysninger ligger imidlertid i flere lag, sÃ¥ledes at lægen mv. kan klikke ind pÃ¥ det forløb, der er relevant i forhold til den aktuelle behandlingssituation, og oplysningerne i hvert enkelt lag logges separat. Lægen mv. skal efterfølgende kunne dokumentere, at den pÃ¥gældende har haft et relevant behov for at se de pÃ¥gældende oplysninger. Lægen mv. skal endvidere specifikt anmode om patientens samtykke til de forskellige lag. Lægen mv. skal dog alene krydse af i samtykkefeltet én gang. 

 

Lægen skal ved e-journalens ibrugtagning ved samtlige opslag bekræfte, at han/hun har indhentet samtykke. Lægen gøres samtidig opmærksom på, at der foretages logning på alle opslag, således at disse kan gøres til genstand for nærmere analyse og auditering.

 

Adgangen er yderligere begrænset med en adgangsdifferentiering baseret pÃ¥ Sygesikringens yderregister, hvorefter lægerne som udgangspunkt alene vil fÃ¥ adgang til de patienter, der er tilknyttet den pÃ¥gældendes praksis. Sundhed.dk vil sÃ¥ledes for hver praksislæges opslag foretage en validering af opslaget i yderregisteret, det vil sige, at der laves en kontrol af, om patienten er tilmeldt den givne læge. 

 

Løsningen indebærer, at der både registreres og adviseres om ”adkomst” status: 1: patienten tilmeldt praksis, 2: advarsel om, at patienten ikke tilhører den pågældende praksis, og dermed ikke kan tilgås, medmindre situationen betragtes som akut og dermed berettiger til et ekstraordinært akut opslag.

 

Yderregisteret indeholder imidlertid alene oplysninger om gruppe 1 sikrede borgere, og løsningen tager således ikke højde for situationer, hvor borgeren ikke er gruppe 1 sikret. Endvidere tager en sådan løsning ikke højde for de tilfælde, hvor borgeren kontakter lægevagten, eller når den faste praktiserende læge er fraværende grundet sygdom, ferie, kursus osv.

 

”Yderregisterløsningen” er suppleret med en mulighed for ”akut ekstraordinære opslag”, hvorefter der etableres nogle særlige – ekstra – advarsler, når en læge vil søge på en patient, der ikke er tilknyttet lægens yderregisternummer. Det skønnes, at sådanne opslag vil udgøre omkring en fjerdedel af samtlige opslag.

 

Indenrigs- og Sundhedsministeriet kan hertil tilføje, at det fremgår af Datatilsynets udtalelse, at tilsynet har forstået det således, at ”yderregisterløsningen” i praksis vil indebære, at alle læger teknisk får mulighed for at se oplysninger om alle borgere.

 

Det fremgår desuden af Datatilsynets udtalelse, at der skal indføres følgende kontrolforanstaltninger i e-Journal:

 

1. Fremsendelse af månedlige opgørelser til de deltagende amters administratorer over alle sygehus- og sundhed.dk-brugere, der viser antal foretagne logins, antal afgivne samtykker på specifikke personnumre samt antal skift fra egen amtsserver til anden amtsserver. Amterne gennemgår disse lister, og listerne holdes op mod hinanden for at se, om der sker en udvikling i adfærd for at vurdere, om der har været såkaldt unormal adfærd.

 

2. Borgerne skal – ud over den af Danske Regioner skitserede adgang til indsigt i loggen vedrørende egne oplysninger – orienteres pr. sikker e-post eller brev, når en læge i e-journal har gjort sig bekendt med oplysninger om en person, der ikke er tilknyttet lægens ydernummer. Der kan i den forbindelse eventuelt etableres en ordning, hvorefter en borger over for den dataansvarlige kan frabede sig at modtage en sådan underretning.

 

3. Som minimum gennemføres kontrol af 1 % af alle ”normale” opslag, det vil sige de privatpraktiserende lægers opslag i oplysninger om patienter tilhørende lægens yderregisternummer, og kontrol af 10 % af alle ”akut ekstraordinære opslag”. Kontrollen af de ”akut ekstraordinære opslag ” kan eventuelt lempes, hvis den skærpede kontrol efter en periode ikke har afdækket tilfælde, hvor betingelserne for at indhente oplysninger i e-journal ikke har været opfyldt.

 

Danske Regioner har oplyst, at det er Danske Regioners vurdering, at det har en præventiv effekt overfor misbrug af patientoplysninger, at der sker en logning på de navngivne sundhedsprofessionelle der her foretaget opslag. Den præventive effekt styrkes kun ved, at de sundhedsprofessionelle er bevidste om, at loggen både stikprøvekontrolleres og borgerne får en konkret egen indsigt via Sundhed.dk.

 

Det er Danske Regioners opfattelse, at der bør etableres en national logløsning, der samler alle logoplysninger om patienterne i en central database på sundhed.dk, som borgerne har adgang til og som de i forbindelse med udskrivning fra et hospital får en udskrift af til egen kontrol.

 

Danske Regioner har endvidere oplyst, at udover logning og kontrol af opslag i EPJ systemerne gøres der i alle regioner en stor indsats for undervisning og information af personalet af, hvordan man forholder sig til samtykke, aktindsigt, journalføring osv. I forbindelse med undervisningen og informationen af medarbejderne drøftes misbrugsspørgsmålet også.

 

Indenrigs- og Sundhedsministeriet kan supplerende oplyse, at sikkerheds- og brugerstyringsproblematikker er endvidere et vedvarende tema i overvejelserne for den fremtidige EPJ-udvikling. Det er imidlertid den nye centrale EPJ-organisation, der i første omgang skal behandle denne problemstilling, herunder spørgsmålet om de tekniske muligheder og begrænsninger. Ligeledes vil det også i første omgang være op til den centrale EPJ-organisation at drøfte behovet for en central sikkerheds- og brugerstyringsløsning.

 

Når den centrale EPJ-organisation har færdiggjort sine overvejelser, vil der blive taget stilling til, hvorvidt der er behov for, at indenrigs- og sundhedsministeren som foreslået i lovforslagets § 1, nr. 31 (§ 193 a) fastsætter krav til sundhedsvæsenets IT-anvendelse, herunder IT-sikkerhed, samt til godkendelse heraf, eksempelvis i form af en certificeringsprocedure som styringsredskab, såfremt der er behov herfor for f.eks. at sikre effektiv gennemførelse.