Islands Brygge 39 DK 2300 København S www.nsi.dk Informationssikkerhed og p journal Projektet vedr. p journal nedsatte på deres møde i december en arbejdsgruppe, som skulle foretage en vurdering af de sikkerhedsmæssige og juridiske barrierer for at kunne stille informationer fra praksis journaler til rådighed på tværs af sundhedsvæsenet. Dato: 25. januar 2011 Arbejdsgruppen består af: Jens Rahbek Nørgaard, MedCom Finn Klamer, sundhed.dk Henrik Schroll, DAK E Lene Grosen Meyer, DAK E Pia Jespersen, NSI Arbejdsgruppen har i deres arbejde identificeret følgende områder, hvor der er behov for afklaring: Dataansvarlig Anvendelse af sikkerhedsløsninger Indeksering Anmeldelse af databehandling hos praktiserende læger Autorisation af brugere Logning Anvendelse af DAK E data til behandlingsformål anmeldelse til Datatilsynet Dette notat beskriver status og løsningsforslag for hvert af de ovenstående problemfelter. Udpegning af dataansvarlig For ejournal gælder det, at hver region er dataansvarlig for hver sine data og derfor hver for sig har anmeldt databehandlingen til Datatilsynet. Hvis den samme praksis skal være gældende for pjournal, ville det indebære, at de praktiserende læger alle skal foretage anmeldelse af databehandlingen.
Ifølge persondataloven er den dataansvarlige den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger. Der er altså ikke noget i persondataloven, der hindrer, at man har mere end en dataansvarlig for en databehandling. I sikkerhedsbekendtgørelsen uddybes den dataansvarliges rolle 1. EU's artikel 29 gruppe har udarbejdet et notat om, hvordan man skal håndtere begreberne dataansvarlig og databehandler, efterhånden som it anvendelsen bliver mere kompleks og integreret 2. De peger ikke på konkrete løsninger, men gør opmærksom på, at uklarhed om, hvem der er dataansvarlig, underminerer borgerens retsstilling. Ligeledes peges der på, at manglende entydighed i dataansvaret kan gøre det sværere at sikre overensstemmelse med lovgivningen i alle led. Det vil ikke være hensigtsmæssigt at alle praktiserende læger fungerer som dataansvarlige i forhold til pjournal. Der er derfor taget kontakt til såvel Region Midt som Region Syddanmark, som begge er villige til at påtage sig at fungere som dataansvarlig for p journalen 3. Anvendelse af sikkerhedsløsninger ejournals eksisterende sikkerhedsløsning er accepteret af Datatilsynet. I forbindelse med, at man ønsker at udvide omfanget af informationer og det må forventes, at mængden af brugere, der anvender løsningen, vil stige, er der 1 Det er den dataansvarlige myndighed, som skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger.den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind og uddatamateriale samt anvendelse af edb udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Hvis databehandlingen foregår hos en ekstern part, skal den dataansvarlige indgå en aftale med databehandleren. 2 http://www.cbpweb.nl/downloads_med/med20100219_c.03%20dc DP_Opinion_ADOPTED.pdf 3 Hvis pjournal bliver en integreret del af ejournal/kommende sundhedsjournal??, bør det overvejes, om der skal udpeges én dataansvarlig for hele ejourna. Det ligger dog uden for dette projekt. 2/9
behov for at etablere en sikkerhedsløsning, der dels hæver sikkerhedsniveauet, men også gør det muligt at automatisere nogle af de processer, der i dag håndteres manuelt (kontrol og opfølgning). NSI har igangsat udviklingen af en række sikkerhedsservices, som skal kunne understøtte kommunikation og indhentning af elektroniske patientoplysninger på tværs af sundhedsvæsenet. Disse services stilles til rådighed for serviceudbyderne, der ved at anvende disse services kan øge sikkerhedsniveauet i deres løsninger. Fremgangsmåde De fælles nationale sikkerhedsservices indgår som et centralt element i den nationale infrastruktur (en støtteservice) på denne måde: Datakilder ejournal Fælles Medicin Kort Landspatientregister Vaccinationsregister Billeddiagnostiske opylsninger Andre datakilder Støtteservices Patient Indeks (NPI) Logning Nationale Sikkerhedsservices NSP Driftsmiljø for fælles komponenter Kommunikationsbus Gateway Omsorgs og Kliniske systemer (EPJ) Portal visning genoptræningssystemer Praksissystemer NPI- Viewer. Praktiserende læge Kommunalt plejepersonale Hospitalskliniker Borgere Klinikere Figur 1: Nationale sikkerhedsservices på NSP De primære nationale sikkerhedsservices, der skal understøtte sikker adgang til informationer, omfatter: 1. SOSI infrastruktur til autentificering af brugerne 2. Behandlingsrelations og opfølgningsservice 3. Samtykkeservice Sikkerhedsløsningerne etableres på NSP og opkoblingen af datakilder og brugere til sikkerhedskomponenterne skal derfor ske via NSP. SOSI infrastrukturen er etableret, behandlingsrelations og opfølgningsservice er under etablering i relation til FMK projektet, og samtykkeservicen forventes etableret som en del af NPI projektet SOSI infrastrukturen (punkt 1) indeholder en række komponenter, som på baggrund af brugerens digitale certifikat giver mulighed for at autentificere brugerne overfor serviceudbyderne, så man kan anvende fælles nationale løsnin 3/9
ger uden at man gentagne gange skal aktivere sin digitale signatur, når man tilgår data i de forskellige løsninger. SOSI komponenterne er udviklet og anvendes i dag i FMK. Disse komponenter kan genbruges i NPI. Behandlingsrelations og opfølgningsservice (punkt 2) skal muliggøre validering af, om brugeren har en behandlingsrelation til den borger, der forespørges på. Løsningen baserer sig på, at man via forskellige nationale datakilder (fx sygesikringsregistret eller LPR) kan kontrollere, at brugeren og borgeren har en tilknytning til samme organisatoriske enhed. I nogle tilfælde kendes behandlingsrelationen på tidspunktet for kontakten, f.eks. hvis der foreligger en henvisning. I andre tilfælde vil det være nødvendigt at foretage opfølgning på en lokalt etableret behandlingsrelation ved kontrol i eksisterende datakilder, f.eks. sygesikringsregisteret eller LPR. Løsningen er under udvikling i forbindelse med FMK projektet. Sundhedsloven indeholder en bestemmelse om at borgeren har ret til at frabede sig indhentning eller videregivelse af oplysninger (punkt 3), og i bemærkningerne til loven er det angivet, at denne ret ved nye it løsninger skal understøttes elektronisk. Grundlæggende vil der skulle anvendes den samme tekniske løsning, uanset om borgeren ønsker at begrænse adgangen til deres oplysninger, eller de ønsker at tillade en anden (sundheds)person, at se deres data. Ved at give borgerne mulighed for at afgive samtykke til indhentning af deres patientoplysninger, bliver det muligt at udbrede anvendelsen af NPI til andre sundhedspersoner, f.eks. privatpraktiserende læger eller privathospitaler. Da der ikke er fuld klarhed over, hvordan lovens bestemmelser vedr. håndtering af samtykke skal fortolkes og implementeres, foreslås det, at der i første omgang etableres en simpel løsning, hvor borgeren administrerer den sundhedsprofessionelles adgang. Løsningen kan senere udbygges, hvis der er behov herfor. Registreringen af samtykke skal ske på et for borgeren meningsfuldt niveau. Oplysninger, der hører til den samme patientkontakt, kan være lagret forskellige steder, men det skal ikke være borgerens problem at vide dette. Løsningen skal understøtte, at alle relevante data, som borgeren ikke ønsker indhentet eller videregivet, markeres uanset, hvor de er opbevaret. Løsningen til håndtering af samtykke kan anvendes af alle fælles nationale løsninger, som fx epsos, ejournal og FMK, og i lokale løsninger hos de enkelte parter. 4/9
Etableringen af pjournal bør baseres på anvendelse af de fælles sikkerhedsløsninger, beskrevet ovenfor. Dette indebærer, at der sker en løbende implementering af de skitserede sikkerhedsløsninger, efterhånden som de udvikles. Der bør evt. i samarbejde med andre fælles projekter, f.eks. FMK, NPI osv. gennemføres en afklaring af, hvilke barrierer, der eksisterer for anvendelsen af de fælles sikkerhedsløsninger, og hvordan disse barrierer kan reduceres eller afhjælpes. Der afholdes et møde med Datatilsynet evt. sammen med andre fælles projekter med henblik på at indhente Datatilsynets umiddelbare holdning til de foreslåede løsninger. Indeksering Datatilsynet har i forbindelse med drøftelser vedr. det nationale patientindeks tilkendegivet, at man lægger vægt på, at de løsninger, der etableres, giver mulighed for f.eks. gennem indeksering at målrette brugerens databehandling i stedet for at brugeren får alle tilgængelige data vist i samme skærmbillede. ejournal s brugergrænseflade er ved at blive moderniseret og i den forbindelse opererer man med forskellige løsninger til at målrette brugerens dataadgang. Forløbsoversigt for e journal sygehusdata. E Journal er ved at modernisere den aktuelle visning af data fra hospitalerne. Der er i den nuværende brugergrænseflade mulighed for at få vist en forløbsoversigt, som viser alle forløb der har fundet sted de sidste 10 år. Af oversigten fremgår det hvilken henvisnings eller aktionsdiagnose der er registreret for de enkelte forløb. Hvert forløb består af en række detaljerede hændelser som kan vises for det enkelte forløb. 5/9
Ændringer i forhold til P Journal: Når E Journal udvides til at rumme data fra praksis vil forløbsoversigten blive suppleret med et forløb for hver praksis som patienten har været i konsultation hos. Hændelsesoversigt for e journal sygehusdata. For hvert forløb kan der vises en række hændelsestyper. I hændelsesoverblikket vises ført o fremmest de 3 mest forekommende hændelsestyper Diagnoser, Procedurer og Notater. Hvis man vil se andre hændelsestyper vælger man en detaljevisning. Ændringer i forhold til P Journal: Når E Journal udvides til at rumme data fra praksis vil praksisforløbets indhold afspejle alle kontakter hos lægen herunder ICPC diagnoser og Ydelser som vil blive vist som procedurer. Tidslinje for e journal sygehusdata. I forbindelse med den nye E Journal brugergrænseflade introduceres der en tidslinie, som afspejler de samme forløb som der vises i forløbsoversigten. Denne tidslinje viser enten - alle forløb over tid fordelt på en geografisk opdeling (se figur), eller - alle forløb over tid fordelt på diagnoseopdeling 6/9
Ændringer i forhold til P Journal: Når E Journal udvides til at rumme data fra praksis vil tidslinjen vise en ny række for hver praksis som patienten har været i konsultation hos. Visning af mange data samtidig. Både med den nuværende og nye brugergrænseflade ser man kun i forløbsoversigten (og tidslinjen) mange historiske data samlet på et overblik. Man kan detaljere visningen til hændelsesniveau for udvalgte forløb og bevare detaljevisningen på forskellige faner, men data sammenstilles kun i forløbsoversigten. Ændringer i forhold til P Journal: Dette princip ændres ikke når P Journal data vises. Man har dog mulighed for at have detaljevisning på fx 2 udvalgte sygehusforløb og 1 praksisforløb på 3 detaljefaner. Det forventes at brugeren af E/P Journal kan vælge at vise P Journal og/eller E Journal data afhængig af det behov man står med som kliniker. ejournal brugergrænsefladens muligheder for at differentiere og målrette brugerens dataadgang bør indgå i drøftelsen med Datatilsynet. Anmeldelse af praktiserende lægers databehandling Datatilsynet har tilkendegivet, at de ikke mener, der er behov for at anmelde de praktiserende lægers databehandling. Anvendelse af og indberetning til 7/9
f.eks. FMK og p journal anses for at være en integreret og nødvendig del af de praktiserende lægers virksomhed, og er derfor undtaget anmeldelse jf. persondatalovens 49, stk. 8. Autorisation af brugere Der er blevet givet udtryk for, at oprettelsen af brugere hos de praktiserende læger er meget besværlig, hvilket vanskeliggør udbredelsen af fælles services. Oprettelsen af medarbejdere hos de praktiserende læger sker i dag i to tempi. Dels skal der bestilles en digital medarbejdersignatur hos DanID, dels skal brugeren oprettes på sundhed.dk med den eller de roller, som de skal varetage. Brugeroprettelsen vil kunne forenkles og effektiviseres, hvis oprettelsen af brugerne på sundhed.dk kan integreres med bestillingen af certifikatet hos DanID. Det bør derfor overvejes, om det er muligt at udvikle brugeradministrationsløsningen, så der i forbindelse med oprettelsen automatisk sendes en anmodning om et certifikat til medarbejderen til DanID. Herudover vil det lette brugeroprettelsen, hvis der udarbejdes en letforståelig vejledning, gerne elektronisk og integreret i brugeradministrationsløsningen, alternativt som et dokument, der kan udskrives. Logning Der foretages i dag logning på ejournal og der er etableret integration til Min- Log. MinLog indeholder for sygehuskontakter kun information om, hvilken afdeling, forespørgslen er foretaget af, ikke hvilken person, der konkret har behandlet oplysningerne. Som udgangspunkt er holdningen hos juristerne i såvel Indenrigs- og sundhedsministeriet som Sundhedsstyrelsen, at borgeren har ret til at se, hvilken person, der har behandlet deres oplysninger (svarende til de rettigheder, borgeren har i forbindelse med aktindsigt). Men i og med, at man ikke på nuværende tidspunkt har fastlagt de nærmere bestemmelser vedr. logning, er der ikke taget endelig stilling til, hvordan man vil håndtere evt. problemstillinger i forhold til personalets rettigheder 4. Eksisterende logning og integration til MinLog kan genanvendes. 4 Sundhedslovens 42c: Indenrigs og sundhedsministeren fastsætter nærmere regler om private dataansvarliges pligt til at registrere oplysninger om, hvem der har foretaget opslag i en patients elektroniske patientjournal (logning), samt om loggens indhold, opbevaring og sletning. Stk. 2. Indenrigs og sundhedsministeren fastsætter nærmere regler om patientens elektroniske adgang til oplysninger hos offentlige og private dataansvarlige om, hvem der har foretaget opslag i patientens elektroniske patientjournal, og på hvilket tidspunkt opslagene er foretaget. 8/9
Indenrigs og sundhedsministeriet anmodes om at tage stilling til, hvordan logning skal foregå. Anvendelse af DAK-E data til behandlingsformål I den eksisterende anmeldelse til Datatilsynet vedr. DAMD databasen er formålet med dataindsamlingen angivet til at være kvalitetsudvikling. Hvis data fra databasen skal anvendes til behandlingsformål, skal dette fremgå af formålet med databehandlingen. Der er udarbejdet udkast til anmeldelse af DAMD databasen, der tager udgangspunkt i, at databasen skal kunne anvendes til patientbehandlingsformål. 9/9