Bréf Persónuverndar til Landspítala Háskólasjúkrahúss vegna aðgangs læknanema að rafrænum sjúkraskrám
Efni: Aðgangur læknanema að rafrænum sjúkraskrám innan Landspítala – Háskólasjúkrahúss
I.
Persónuvernd vísar til fyrri samskipta af tilefni bréfs Landspítala – Háskólasjúkrahúss (LSH), dags. 11. nóvember 2005, varðandi aðgang læknanema að rafrænum sjúkraskrám innan sjúkrahússins. Í bréfinu segir:
„Læknanemar við læknadeild Háskóla Íslands stunda klínískt nám á Landspítala – háskólasjúkrahúsi. Fyrst koma þeir stuttlega til klínísks náms á þriðja námsári en samfellt klínískt nám hefst á fjórða námsári. Það ár eru þeir fyrst og fremst við nám á lyflækninga- og skurðlækningadeildum spítalans og eru þá við nám í spítalanum í 9 mánuði alls. Á fimmta ári er heildarnámstími á spítalanum einnig um 9 mánuðir; á barnadeild, fæðinga- og kvenlækningadeild, geð- og taugalækningadeild. Á sjötta námsári er einnig að jafnaði um 9 mánaða tímabil að ræða. Þá hafa læknanemar á seinni námsárum, eftir því sem reynsla þeirra hefur vaxið, tekið að sér afleysingavinnu undir sérstöku eftirliti í sumarfríum. Meðan læknanemar stunda klínískt nám taka þeir þátt í störfum lækna og er það hluti af starfsþjálfun þeirra og undirbúningur fyrir framtíðarstarf. Á þessum tíma þurfa þeir að taka þátt í meðferð sjúklinga, rita upplýsingar í sjúkraskrár, rita beiðnir, lesa upplýsingar í sjúkraská o.fl. Nemarnir flytjast á milli deilda og þurfa því að hafa aðgang að sjúkraskrám sjúklinga sem koma til skoðunar og vistast víða á sjúkrahúsinu.
Læknanemar starfa á ábyrgð lækna á LSH meðan á starfsnámi þeirra stendur en hafa í flestu öðru tilliti sömu stöðu og starfsmenn spítalans (sbr. samning LSH og HÍ) og bera ábyrgð á eigin gjörðum. LSH telur því eðlilegt að þeir fái sama aðgang að sjúkraskrárupplýsingum og læknar spítalans hafa.
LSH áformar að veita læknanemum sem stunda nám við HÍ á 3., 4., 5. og 6. ári sömu heimildir til notkunar upplýsinga á LSH og læknar spítalans hafa. Miðað er við að fyrirkomulag þetta gildi frá 1. desember 2005 og þá munu læknanemar, við upphaf klínísks náms á 3. námsári, fá sams konar aðgangsheimildir og læknar spítalans hafa, enda þurfi þeir slíkar heimildir til að sinna námi sínu og störfum innan spítalans. Þessar aðgangsheimildir munu síðan haldast óbreyttar þar til námi þeirra lýkur með lokaprófum í lok 6. árs eða þeir hverfa frá námi af öðrum ástæðum. Við námslok munu allar slíkar heimildir læknanema til aðgangs að sjúkraskrá verða felldar niður.
Til að gera læknanemum ljósa ábyrgð sína við meðferð sjúkraskrárupplýsinga mun læknadeild gera læknanemum grein fyrir þessari ábyrgð á þriðja ári læknanámsins, áður en þeir koma í fyrsta sinn á LSH vegna náms síns. Jafnframt mun skrifstofa kennslu, vísinda og þróunar, sem ber ábyrgð á framkvæmd klínísks náms á LSH, árétta þessi atriði sérstaklega fyrir læknanemunum áður en klínískt nám þeirra hefst á LSH. Er litið svo á að þetta fyrirkomulag sé hluti af þeirri þjálfun sem læknanemar fái til undirbúnings fyrir sitt framtíðarstarf."
Skömmu eftir að þetta bréf barst, eða hinn 16. nóvember 2005, var haldinn fundur um aðgang að rafrænum sjúkraskrám innan LSH. Meðal þess sem rætt var á fundinum var aðgangur læknanema að slíkum skrám. Á fundinum kom fram að stefnt væri að vottun bresku staðlastofnunarinnar á því að farið væri eftir öryggisstaðlinum ISO 27001 innan LSH vorið 2006. Tilkynnti þá formaður stjórnar Persónuverndar að vinna stofnunarinnar varðandi fyrirkomulag og öryggi rafrænna sjúkraskráa á LSH, þ. á m. aðgang læknanema að slíkum skrám, myndi liggja niðri til 1. maí 2006, þ.e. þar til fyrir lægju niðurstöður þeirrar úttektar og hvort vottun fengist.
Með bréfi Persónuverndar, dags. 10. mars 2006, var spurt hvernig innleiðingu framangreinds öryggisstaðals miðaði. LSH svaraði með bréfi, dags. 27. s.m., þar sem fram kom að vottunin myndi fást síðar en áætlað hafði verið. Hún myndi ekki fást þá um vorið heldur í nóvember 2006. Með bréfi, dags. 27. október s.á., óskaði Persónuvernd upplýsinga um hvað vinnunni liði. Svarað var með bréfi, dags. 21. nóvember 2006. Þar kom fram að úttekt bresku staðlastofnunarinnar vegna vottunarinnar myndi fara fram 4.–8. desember s.á. Í framhaldi af því sendi Persónuvernd LSH bréf, dags. 14. desember 2006, og óskaði þess að henni yrðu sendar niðurstöður vottunarinnar þegar þær lægju fyrir. Var þess sérstaklega óskað að upplýst yrði hvort vottunin hefði tekið til aðgangs að rafrænum sjúkraskrám.
Einnig ræddu forstjóri Persónuverndar og lækningaforstjóri LSH um forsendur aðgangs læknanema að rafrænum sjúkraskrám í síma hinn 17. janúar 2007. Samdægurs sendi LSH Persónuvernd tölvubréf sem m.a. lýtur að þessu. Þar er um aðgang læknanema að sjúkraskrám vísað til 2. mgr. 3. gr. reglugerðar nr. 227/1991 þar sem segir að m.a. læknanemar skuli afla upplýsinga um heilsufar og veikindi sjúklings, skoða hann og skrá niðurstöður. Einnig er vísað 2. mgr. 5. gr. sömu reglugerðar þar sem segir m.a. að heilbrigðisstéttir, sem vinna að greiningu og meðferð, skuli færa upplýsingar í sjúkraskrá um samskipti sín við sjúkling. Hver og einn sé ábyrgur fyrir því sem hann skráir í sjúkraskrá.
Með tölvubréfi frá LSH hinn 6. febrúar 2007 var Persónuvernd sent skjal frá bresku staðlastofnuninni, dags. 8. desember 2006, varðandi það hvort farið sé að öryggisstaðlinum ISO 27001 innan upplýsingatæknisviðs LSH. Eru þar gerðar ýmsar athugasemdir við öryggiskerfi persónuupplýsinga í ljósi ákvæða staðalsins.
II.
Á fundi stjórnar Persónuverndar hinn 19. febrúar síðastliðinn var erindi LSH varðandi aðgang læknanema að rafrænum sjúkraskrám rætt.
Um aðgang að sjúkraskrám er fjallað í lögum nr. 74/1997 um réttindi sjúklinga, m.a. í ákvæðum 1. og 2. mgr. 15. gr. Þar segir að þess skuli gætt við aðgang að sjúkraskrám að þær hafa að geyma viðkvæmar persónuupplýsingar og að upplýsingar í þeim eru trúnaðarmál. Þá segir að sjúkraskrár skuli geymdar á tryggum stað og að þess skuli gætt að einungis þeir starfsmenn, sem nauðsynlega þurfa, hafi aðgang að þeim. Einnig er fjallað um aðgang að sjúkraskrám í reglugerð nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, sbr. 6. mgr. 14. gr. laga nr. 74/1997. Í 3. gr. reglugerðarinnar er fjallað um ritun sjúkraskrár. Þar segir, í 2. mgr.: „Læknar, læknakandidatar og læknanemar afla upplýsinga um heilsufar og veikindi sjúklings, skoða hann og skrá niðurstöður."
Það var niðurstaða stjórnar að hvorki væri í framangreindum lagaákvæðum, né annars staðar í settum lögum eða reglum, að finna nægilega skýran lagagrundvöll undir aðgangi læknanema að sjúkraskrám til að unnt sé að komast að niðurstöðu um hvort nægilegs öryggis sé gætt við veitingu slíks aðgangs eins og honum er lýst í erindi LSH. Er það enda forsenda þess að tekin sé afstaða til öryggis persónuupplýsinga að lögmæti vinnslunnar liggi ljóst fyrir. Var ákveðið að benda heilbrigðis- og tryggingamálaráðherra ábendingu um að reglur skorti um aðgang læknanema að sjúkraskrám.