Leser journaler hjemme

Om lag 250 ansatte ved Stavanger universitetssykehus har tilgang til journalene hjemmefra, men sykehuset har ikke noen rutiner for å ta sensitiv informasjon ut av sykehuset.

– Risikoen for at andre kan få innsyn, blir større, sier Camilla Nervik, juridisk seniorrådgiver i Datatilsynet.

Illustrasjonsfoto av pc

Illustrasjonsfoto: Shutterstock

«Er det greit at det gjøres journaloppslag utenfor sykehuset?» spurte daværende erfaringskonsulent ved Stavanger universitetssykehus i en klage til Fylkesmannen i Stavanger i vinter. Klagen gikk ut på at behandlere ved psykiatrisk divisjon har anledning til å ta med seg bærbar pc og tilgang til journalene hjem. Journalene lagres digitalt i et såkalt DIPS-system. Ved at ansatte kan gjøre oppslag i journaler hjemme, kan andre få tilgang til opplysningene.

Helse Stavangers svar er at ikke alle med bærbar pc har adgang til journalsystemet, og at det i dag er 253 ansatte som er vurdert til å ha behov for tilgang til DIPS hjemmefra. Men sykehuset skriver også: «Foretaket har ikke noen spesifikke skriftlige rutiner når det gjelder å ta sensitiv informasjon ut av virksomheten eller i forhold til bruk av bærbar pc.»

Portrettfoto av Sverre Uhlving

Hensiktsmessig

- Noen ganger er det uerfarne leger på sykehuset som ringer til mer erfarne leger, sier fagdirektør Sverre Uhlving.

Økt risiko

– Fjerntilgang til taushetsbelagt materiale er tillatt hvis man oppfyller kravene til tilfredsstillende sikkerhet, men risikoen for at andre kan få innsyn, blir større, sier Camilla Nervik, juridisk seniorrådgiver i Datatilsynet.

Datatilsynet har ikke vurdert denne saken og vil derfor ikke uttale seg spesielt, men det er klart at man er pålagt å ha tiltak for å sikre at sensitive opplysninger ikke kommer på avveie når ansatte har hjemme-pc med tilgang.

– All informasjonssikkerhet skal være beskrevet i rutiner. I helseforetak er dette veldig viktig. Når det er økt risiko for brudd på personvernregelverket, for eksempel ved at uvedkommende får tilgang til opplysninger, må man gjøre tiltak for å fjerne eller minske risikoen, sier Nervik.

Ekstra årvåken

– Noen ganger er det for eksempel uerfarne leger på sykehuset som ringer til mer erfarne leger. Da er det hensiktsmessig at de kommer inn i journalene, sier fagdirektør Sverre Uhlving ved Stavanger universitetssykehus.

Han understreker at taushetsplikten gjelder overalt og at man må være ekstra årvåken når man går inn i sensitiv informasjon hjemme eller utenfor sykehuset. Når man logger seg på journalsystemet utenfra, kommer det derfor opp en påminning om dette. Man logges også automatisk av hvis det ikke er aktivitet på pc-en i 15 minutter. Det er ikke mulig å printe ut på andre enn Helse Vests printere, og ingen har slike hjemme.

– Det er felles rutiner i Helse Vest, en påminning, men ingen spesifikk rutine når det gjelder pålogging utenfor sykehusets lokaler. Vi har vurdert denne løsningen som forsvarlig for å ivareta taushetsplikten, sier Uhlving. •