Sikker elektronisk utveksling av patologisvar

Roger Bjugn, Trine Brevig Om forfatterne
Artikkel

Tilgang til pasientopplysninger er nødvendig for at leger og annet helsepersonell skal kunne gi adekvat behandling. Vi beskriver en modell for elektronisk utveksling av patologisvar på tvers av helseforetak. Løsningen gir en sikker og begrenset tilgang til helseopplysninger samtidig som personvernet ivaretas. Modellen kan også brukes for informasjonsutveksling i andre spesialiteter.

For at helsepersonell skal kunne gi god helsehjelp trenger man relevant informasjon om den enkelte pasients nåværende og tidligere helsetilstand, inklusive undersøkelser og resultater av disse. Som følge av økt mobilitet i befolkningen, funksjonsfordeling i helsevesenet og fritt sykehusvalg vil mange pasienter over tid ha vært undersøkt og behandlet ved flere ulike helseinstitusjoner. Ved ny kontakt med helsevesenet er det ikke gitt at pasient eller behandler husker eller vet om tidligere relevant helseinformasjon.

Det meste av nyere pasientinformasjon fra primærhelsetjeneste og sykehus finnes i elektroniske journalsystemer. De siste årene har det vært mye debatt om elektronisk utveksling av helseopplysninger. Synspunktene spenner fra at «mangelen på elektronisk samhandling tar livet av pasienter» til «personvernet krenkes allerede gjennom dagens IT-systemer» (1). Stortinget har gjort flere lovendringer som berører utveksling av helseopplysninger. Det er vedtatt å etablere en samtykkebasert nasjonal kjernejournal (2), og i desember 2011 sendte Helse- og omsorgsdepartementet ut forslag til ny forskrift om virksomhetsovergripende behandlingsrettede helseregistre i formaliserte arbeidsfellesskap (3).

Verken samtykkebasert kjernejournal eller virksomhetsovergripende helseregistre i formaliserte arbeidsfellesskap vil i seg selv sikre at helsepersonell får tilgang til relevant helseinformasjon eller at personvernhensynet blir bedre ivaretatt. For å realisere uttalte politiske mål må man etablere praktiske løsninger som både ivaretar personvernhensyn og sikrer at helsepersonell får tilgang til relevante helseopplysninger.

Vi vil beskrive en modell for hvordan helsepersonell elektronisk kan forespørre annet helsepersonell om tilgang til begrenset, relevant pasientinformasjon uten at spørrer på forhånd vet om eller hvor slik informasjon eventuelt finnes. Utveksling av elektroniske patologisvar på tvers av virksomheter og helseregioner brukes som eksempel, men modellen kan også brukes for annen informasjonsutveksling.

Bestemmelser om tilgang til helseopplysninger

Håndtering av helseopplysninger i helse- og omsorgstjenesten reguleres av en rekke lover og forskrifter (4). Frem til nylig har lovverket tatt utgangspunkt i at hver enkelt organisasjon som yter helsehjelp har et selvstendig helseregister. For å få tilgang til helseinformasjon på tvers av organisasjoner kreves det at en identifiserbar person fra en identifiserbar organisasjon ber om slik informasjon, og at en slik anmodning innvilges av en identifiserbar person ved forespurte organisasjon.

Helsepersonell som mottar slik anmodning har en generell plikt til å etterkomme anmodningen. Det skal ikke utleveres flere opplysninger enn det som er nødvendig for å gi pasienten forsvarlig helsehjelp. Pasienter kan nekte informasjonsutveksling mellom helsepersonell, selv om opplysningene er nødvendig for å yte helsehjelp (5).

Selv om regelverket endres slik at organisasjoner kan etablere virksomhetsovergripende behandlingsrettede helseregistre (3), vil helsepersonell fremdeles måtte spørre om tilgang på samme måte som tidligere hvis informasjonen finnes ved organisasjoner utenfor arbeidsfellesskapet.

Tilgang til patologiopplysninger på tvers av virksomheter

I Norge er det 17 offentlige og to private patologilaboratorier som årlig undersøker en million celle- og vevsprøver. Når man diagnostiserer nye prøver, er det rutine å sjekke om det foreligger tidligere prøvesvar i patologiavdelingens datasystem. Ofte finnes det prøver fra pasientene ved andre patologilaboratorier. I enkelte situasjoner kontakter man derfor disse for å få kopi av tidligere prøvesvar eller for å få tilsendt materiale fra tidligere undersøkte prøver. Utfordringen er å finne ut hvor slike prøver befinner seg og få tilgang til informasjonen når man trenger den.

Behovet for tilgang til relevant pasientinformasjon fra andre patologilaboratorier er ikke unikt for Norge. Danmark etablerte i 1999 et felles onlineregister (www.patobank.dk) for patologiundersøkelser (6). Ved diagnostikk har patologene tilgang til tidligere prøvesvar fra alle landets patologilaboratorier uten at man på forhånd må spørre om tillatelse til slikt innsyn.

Med samme medisinske behov som i Danmark, men med ulik lovgivning, har vi modifisert den danske modellen for å oppnå samme funksjonalitet for pasientbehandling innenfor rammen av det norske regelverket.

Modell for elektronisk tilgang til patologisvar på tvers av virksomheter

En løsning må være i samsvar med gjeldende regelverk for håndtering av pasientinformasjon (4) og være tilpasset den praktiske hverdag. Følgende premisser er lagt til grunn for modellen:

  • Forespørsel om tilgang til pasientinformasjon må baseres på dokumenterbar ytelse av helsehjelp til den enkelte pasient

  • Fortløpende kontroll med hensyn til grunnlaget for forespørsel

  • Forespørsel og svar om utlevering av patologisvar krever tilgangsstyring gjennom mekanismer for autentisering og autorisering

  • Formidlingen av opplysninger skal skje gjennom forespørsel til aktuelle databehandlingsansvarlige og derfra gjennom aktiv utlevering

  • Alle hendelser vedrørende forespørsel og utlevering av patologisvar skal loggføres

  • Organisasjonen som drifter løsningen skal kun være databehandler, og hver enkelt organisasjon som avleverer kopi av data er databehandleransvarlig for disse

  • Pasientenes rett til å nekte informasjonsutveksling mellom helsepersonell må ivaretas

  • Løsningen må være praktisk i bruk

Figur 1 viser modellen vi mener tilfredsstiller både disse premissene og gjeldende regelverk. Modellen baserer seg på at alle patologilaboratorier overfører en kopi av sin pasientdatabase til en ekstern driftsorganisasjon (regulert av databehandleravtaler). Kopi av patologisvar hvor pasientene har reservert seg mot informasjonsutveksling vil ikke overføres. Automatiske, daglige oppdateringer via Norsk helsenett vil sikre at driftsorganisasjonen har oppdatert informasjon.

Figur 1  Modell for elektronisk tilgang til helseopplysninger (patologisvar) på tvers av virksomheter. En sentral driftsorganisasjon lagrer logisk atskilte kopier av patologidatabaser fra ulike helseforetak (HF1 – 6). Ved diagnostikk kan man via Norsk helsenett sende en elektronisk forespørsel til den sentrale driftsorganisasjonen om tilgang til pasientinformasjon (markert med blå pil på venstre side av figuren). Søke- og kommunikasjonsmotoren hos den sentrale driftsorganisasjonen vil da automatisk sjekke om det finnes slik informasjon i hver enkelt databasekopi.

 Hvis slik informasjon finnes, vil søkemotoren sende en elektronisk forespørsel til det helseforetaket som har slik informasjon (HF 4 på figuren). Ansatte med myndighet kan innvilge slik tilgang, og informasjon om slik tilgang sendes automatisk tilbake til driftsorganisasjonen som så videreformidler tillatelsen til forespørrende organisasjon (markert med gule piler på figuren). Diagnostiker kan da gjøre oppslag mot aktuelle databasekopi hos den sentrale driftsorganisasjonen og ved behov laste ned en kopi av tidligere prøvesvar. Alle hendelser knyttet til forespørsel og svar om tilgang blir lagret automatisk.

I driftsorganisasjonen er kopiene av patologidatabasene logisk atskilt. En forespørsel fra en identifiserbar person ved et identifiserbart laboratorium om pasientinformasjon vil via helsenettet gå til en søke- og kommunikasjonsmotor i driftsorganisasjonen. Motoren vil søke etter slik informasjon i hvert enkelte, logisk adskilte databasekopi. Der slik informasjon finnes, vil motoren automatisk sende en forespørsel om innsyn til elektronisk arbeidsliste for den som har forhåndsdefinert myndighet til å besvare slike forespørsler.

Besvares forespørselen med «ja», vil informasjon om forespørrer og besvarer automatisk lagres i det lokale patologisystemet slik at kravet om dokumentasjon ivaretas. Beskjed om innvilget tilgang går automatisk tilbake til søke- og kommunikasjonsmotoren. Motoren formidler så automatisk beskjed videre til forespørrende avdeling. Den som har definert rett til å se slik informasjon, kan så gjøre oppslag mot angjeldende databasekopi hos den sentrale driftsorganisasjonen. Ved behov kan man laste ned kopi av tidligere prøvesvar til lokalt datasystem.

Diskusjon

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren omhandler sentrale begreper knyttet til håndtering av pasientinformasjon (4). Vi vil diskutere noen av begrepene og vise hvordan normkrav og beskrevne premisser ivaretas i modellen.

Ytelse av helsehjelp til enkeltpasienter

Grunnlaget for forespørsel om tilgang til pasientinformasjon er ytelse av helsehjelp. Dette kan sikres gjennom krav om at kun «aktiv» prøveremisse utløser mulighet for elektronisk forespørsel om tilgang til pasientinformasjon fra andre virksomheter. «Aktiv» remisse betyr at en patologiavdeling har mottatt en prøve, men at det ennå ikke er avgitt endelig svar. Ved behov for revurdering av tidligere prøver kan besvarte remisser reaktiveres, og man vil da kunne sende forespørsel.

Autorisering og autentisering

Med autorisering menes tildeling av rettigheter til å kunne lese, redigere, rette, slette og/eller sperre helseopplysninger. Med autentisering menes sikker identifisering av autorisert bruker. Autorisasjon (med definerte roller) ivaretas gjennom avdelingslederes beslutning om å gi ansatte tilgang til ulike brukerdefinerte tilgangsnivåer i datasystemet patologilaboratoriet bruker. Autentisering knyttet til bruk av datasystemene sikres gjennom unike passord for hver enkelt bruker (7).

Gjennom styring av den enkelte ansattes rettigheter kan man lokalt delegere rett til å spørre om tilgang til pasientinformasjon til det personalet som registrerer nye prøver. Rett til å se informasjon kan begrenses til det personalet som har diagnostisk ansvar for den aktuelle patologiprøven.

Forespørsel til aktuelle databehandlingsansvarlige

Søke- og kommunikasjonsmotoren sikrer at forespørsler kun går til patologiavdelinger (dvs. databehandleransvarlig organisasjon) som faktisk har informasjon om aktuell pasient.

Dokumentasjon av hendelser og internkontroll

Modellen vil sikre at relevant informasjon om forespørsler og svar på slike blir lagret lokalt ved det enkelte patologilaboratorium og i sentral driftsorganisasjon. Gjennom å forhåndsdefinere mulige avvikssituasjoner, som forespørsel om tilgang til pasientinformasjon uten at det senere registreres prøvesvar, vil sentral driftsorganisasjon kunne sende rapporter til de enkelte patologilaboratoriene for lokal oppfølging.

Databehandlingsansvarlig versus databehandler

Modellen sikrer at hvert enkelt patologilaboratorium ivaretar sitt ansvar som databehandlingsansvarlig. Sentral driftsorganisasjon er kun databehandler innen de rammene som en databehandleravtale setter. Gjennom drift av logisk adskilte databasekopier, men med en felles søke- og kommunikasjonsmotor, etablerer driftsorganisasjonen heller ikke noe felles helseregister, kun et hendelsesregister.

Praktisk bruk ved fortløpende diagnostikk

Den skisserte løsningen vil ha en patologiavdeling som spør om tilgang, og en patologiavdeling som mottar forespørsel. Forespørrende avdeling kan velge å etablere en generell praksis om å spørre om tilgang til relevant pasientinformasjon ved innregistrering av nye patologiprøver. Løsningen illustrert i figur 1 sikrer at patologen eller screeneren som skal diagnostisere prøven, vil ha relevant helseinformasjon fra andre virksomheter tilgjengelig på diagnosetidspunktet. Arbeidsflyten vil dermed ikke forsinkes.

Avdelingene som mottar elektronisk forespørsel om tilgang til pasientinformasjon, kan semiautomatisere svarrutinen ved å etablere to svaralternativer (ja/nei), hvor «ja» er forhåndsvalgt. Den ansatte med myndighet til å besvare slike forespørsler, vil da kun måtte trykke på én knapp. Rutinen vil være enklere og raskere enn dagens praksis hvor man ved laboratoriene må ringe rundt til hverandre for å søke etter informasjon. Videre vil laboratoriene slippe arbeidet med å sende kopi av tidligere prøvesvar ettersom modellen gir spørrer mulighet for å lese og laste ned kopi av tidligere prøvesvar hvis tillatelse til tilgang innvilges.

Overføringsverdi

Modellen er generisk og ikke begrenset til patologi. Man kan tenke seg tilsvarende løsninger for radiologi og andre fagspesialiteter. Selv om modellen er tiltenkt en rutine hvor det går flere dager mellom prøveankomst og diagnostikk, kan modellen enkelt tilpasses situasjoner hvor det er behov for øyeblikkelig tilgang til helseinformasjon. Norm for informasjonssikkerhet beskriver «nødrettstilgang» som en mulighet for at autoriserte brukere kan gi seg selv tilgang uten å følge vanlig fremgangsmåte (4). Kravet er at begrunnelsen for nødrettstilgangen dokumenteres, og at hvert enkelt tilfelle følges opp som et avvik. I modellen som er skissert, kan slik nødrettstilgang sikres elektronisk 24 timer i døgnet.

Arbeidet med å utvikle modellen er delfinansiert av Norges forskningsråd gjennom Høykom-programmet.

Anbefalte artikler