Ákvörðun varðandi öryggi rafrænna sjúkraskráa innan LSH og lögmæti aðgangs að þeim
Hinn 19. febrúar 2007 tók stjórn Persónuverndar ákvörðun varðandi öryggi rafrænna sjúkraskráa innan Landspítala-Háskólasjúkrahúss og aðgang að þeim. Tekin var afstaða til lögmætis aðgangs lækna, hjúkrunardeildarstjóra og heilbrigðisstarfsmanna í skilgreindum teymum. Talið var að núverandi fyrirkomulag væri í samræmi við lög ef viðeigandi öryggisráðstasfanir yrðu viðhafðar.
Hinn 19. febrúar 2007 tók stjórn Persónuverndar ákvörðun varðandi öryggi rafrænna sjúkraskráa innan Landspítala-Háskólasjúkrahúss og aðgang að þeim. Tekin var afstaða til lögmætis aðgangs lækna, hjúkrunardeildarstjóra og heilbrigðisstarfsmanna í skilgreindum teymum. Talið var að núverandi fyrirkomulag væri í samræmi við lög ef viðeigandi öryggisráðstafanir yrðu viðhafðar. Ákvörðunin er birt í heild hér að neðan.
Forsaga
Árið 2005 höfðu Persónuvernd borist upplýsingar um aðgangsheimildir starfsmanna LSH að rafrænum sjúkraskrám. Þar kom fram að frá 3. mars 2005 myndu læknar og hjúkrunardeildarstjórar hafa aðgang að öllum sjúkraskrám allra klínískra skipulagskjarna sjúkrahússins. Sama ætti við um heilbrigðisstarfsmenn í skilgreindum teymum sem sinna sjúklingum víða á sjúkrahúsinu. Upplýsingar, sem talið væri að þyrftu sértæka vernd umfram aðrar sjúkraskrárupplýsingar, yrðu þó varðveittar í sérstökum „hólfum“ með takmarkaðri aðgangi. Þetta ætti við um upplýsingar á geðsviði, sem og m.a. upplýsingar um viðkvæm, félagsleg atriði; tilurð sjúkdómsástands, s.s. ofbeldi; og frásagnir þriðja aðila.
Með tilkomu rafrænna sjúkraskráa hafa forsendur fyrir aðgangi að þeim breyst. Notkun þeirra er orðin verulega útbreidd og samhliða hefur aðgangur að þeim orðið auðveldari og algengari. Í því ljósi taldi Persónuvernd að ekki yrði lengur undan því skorist að taka afstöðu til lágmarksöryggis varðandi aðgang að rafrænum sjúkraskrám, þrátt fyrir að nokkuð skorti á skýrleika núgildandi laga og reglugerðarákvæða, en þau bera þess merki að hafa að mestu leyti verið sett fyrir tilkomu slíkra skráa. Áður var þó nauðsynlegt að skoða lögmæti vinnslunnar.
Lögmæti
Að svo miklu leyti sem skráning og meðferð heilbrigðisupplýsinga byggist ekki á samþykki sjúklings er almennt talið að hún verði að byggjast á reglum sem settar hafa verið í lög, enda þótt heimilt sé að færa fyrirmæli þeirra nánar út í reglugerð. Sett hafa verið í lög ákvæði um heimildir aðgangs þeirra heilbrigðisstarfsmanna að heilbrigðisupplýsingum sem hans þurfa nauðsynlega í þágu læknismeðferðar, en aðrir heilbrigðisstarfsmenn hafa ekki sambærilegar heimildir.
Á Landspítala – Háskólasjúkrahúsi hafa læknar og hjúkrunardeildarstjórar aðgang að öllum sjúkraskrám allra klínískra skipulagskjarna sjúkrahússins. Sama á við um heilbrigðisstarfsmenn í líknarteymi, sýkingavarnateymi, útskriftar- og öldrunarteymi og teymi um sérhæfða heimaþjónustu fyrir veika aldraða. Persónuvernd dregur ekki í efa að lög standi til aðgangs þeirra að sjúkraskrám, enda séu uppfyllt lagaákvæði um upplýsingaöryggi.
Grundvallarþættir upplýsingaöryggis
Í „upplýsingaöryggi“ felast þrír grundvallarþættir: (a) Að persónuupplýsingum sé leynt gagnvart óviðkomandi, (b) að þær séu áreiðanlegar og (c) að þær séu aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Allir þessir þættir eru mikilvægir við vernd sjúkraskrárupplýsinga, en almennt er þó talið að við notkun þeirra í heilbrigðisþjónustu vegi áreiðanleiki upplýsinga og nauðsynlegt aðgengi heilbrigðisstarfsmanna að þeim þyngst, enda er hvoru tveggja mikilvægt til að tryggja góða heilbrigðisþjónustu. Með því er þó ekki gert lítið úr mikilvægi leyndar gagnvart óviðkomandi.
Varðandi öryggi og aðgang að rafrænum sjúkraskrám má með mikilli einföldun segja að velja verði á milli tveggja höfuðsjónarmiða: (a) að leggja megináherslu á setningu strangra reglna um aðgangsstýringar, er endurspegli raunverulega þörf fyrir aðgang, eða (b) að leggja megináherslu á virkt eftirfarandi eftirlit með notkun aðgangsheimilda. Því minni áhersla, sem lögð er á strangar reglur um aðgangsstýringar, þeim mun meiri áherslu þarf að leggja á eftirfarandi eftirlit. Af hálfu LSH hefur því verið lýst yfir að miklir meinbugir séu á setningu strangra reglna um aðgangsstýringar því flestir læknar og hjúkrunardeildarstjórar fari um allt sjúkrahúsið. Sama eigi við um heilbrigðisstarfsmenn í líknarteymi, sýkingavarnateymi, útskriftar- og öldrunarteymi og teymi um sérhæfða heimaþjónustu fyrir veika aldraða.
Ákvörðun
Í samræmi við þetta hefur Persónuvernd fremur litið til eftirfarandi eftirlits en aðgangsstýringa og ákveðið að LSH skuli, fyrir 1. maí 2007, hafa komið á eftirfarandi öryggisráðstöfunum:
1. Allur aðgangur að rafrænum sjúkraskrám skal vera háður því að viðkomandi starfsmaður þurfi hann nauðsynlega starfs síns vegna og að hann noti sérstakt persónubundið aðgangsorð í hvert sinn sem hann opnar sjúkraskrá. Skal hann ávallt tilgreina tilganginn, s.s. með því að haka við tiltekinn reit.
2. Sérstök nefnd á vegum stjórnar LSH skal hafa með höndum úthlutun aðgangsorða. Skal líftími aðgangsorða vera að hámarki fjórir mánuðir.
3. Færa skal í aðgerðaskrár (log-skrár) upplýsingar um alla skoðun sjúkraskráa og færslu upplýsinga í þær.
4. Sérstök eftirlitsnefnd skal fylgjast með aðgerðaskráningu (log-skrám) og starfa eftir verklagsreglum sem stjórn LSH setur. Með þeim skal tryggt að nefndin hafi kerfisbundið og virkt eftirlit með öllum handhöfum aðgangsheimilda/ aðgangsorða. Skal hún skila skýrslu um störf sín til stjórnar LSH eigi sjaldnar en tvisvar á ári.
5. Gera skal greinarmun á upplýsingum í sjúkraskrám eftir eðli þeirra og hafa upplýsingar, sem þurfa sértæka vernd, í sérstaklega vörðum „hólfum“. Þetta á við um upplýsingar á geðsviði, sem og m.a. upplýsingar um viðkvæm, félagsleg atriði; tilurð sjúkdómsástands, s.s. ofbeldi; og frásagnir þriðja aðila. Þær skulu aðeins aðgengilegar starfsfólki á þeirri deild þar sem upplýsingar í umrædd hólf eru skráð.
6. Við skoðun persónuupplýsinga samkvæmt 5. tölul. skal tilgreina ástæðu til viðbótar því sem gera þarf samkvæmt 1. tölul. Hið sama gildir þegar skoðaðar eru sjúkraskrár manna sem ekki hafa verið til meðferðar á sjúkrahúsinu í sex mánuði eða lengur, sem og þegar starfsfólk á öðrum deildum en þeirri þar sem sjúklingur er til meðferðar þarf að skoða sjúkraskrá hans.
7. Í þeim tilvikum, sem tilgreind eru í 6. tölul., skal skoðun á persónuupplýsingum merkt sérstaklega í aðgerðaskrám (log-skrám) til að auðvelda eftirlit þeirrar nefndar sem starfar samkvæmt 4. tölul. Skal hún, eigi sjaldnar en á þriggja mánaða fresti, gera sérstakar athuganir á skoðun þessara persónuupplýsinga og skila skýrslu um niðurstöður þeirra athugana til stjórnar LSH.
8. Fara skal yfir athugasemdir sem breska staðlastofnunin gerði við úttekt í desember 2006 á því hvort uppfyllt væru skilyrði öryggisstaðalsins ISO 27001 og gera viðeigandi úrbætur í ljósi þeirra.
.