EPJ-sikkerhed fuld af huller

Debatten fortsætter om datasikkerheden i forbindelse med indførelse af elektroniske patientjournaler (EPJ) på de danske hospitaler.

Sidste år betød debatten, at et planpagt lovforslag om blandt andet EPJ blev splittet op i to, så EPJ-forslaget blev skilt og ikke vedtaget. Nu har Ingeniørforeningen meldt sig i koret af kritikere af forslaget.

Ifølge Ingeniørforeningen er forslaget en ren ladeport til de fortrolige persondata. Foreningen mener, at adgangen til persondata er alt for lemfældig og giver personer uden egentlig formål adgang til de elektroniske patientoplysninger.

Som der er lagt op til i lovforslaget, vil dataadgang kun være begrænset af, at medarbejderen er ansat i en behandlende afdeling, men denne adgang finder Ingeniørforeningen for generel.

I et brev til Indenrigs- og Sundhedsministeriet foreslår Ingeniørforeningen, at de brugere, der har brug for ad-hoc-adgang til patientdata, skal "tiltage sig adgang", således at det registreres, hvorfor de har taget adgangen – dette gør det ifølge Ingeniørforeningen lettere at overvåge disse indhentninger af fortrolig information.

Ingeniørforeningen mener desuden, at applikationerne skal indrettes, så det kun er relevante personlige oplysninger, der vises, og ikke bare alle oplysninger om patienten. Foreningen ønsker endvidere skærpet logning omkring, hvem der har set hvilke data og ønsker, at borgerne selv skal kunne følge med i, hvem der har studeret de personfølsomme oplysninger.

Ingeniørforeningen betegner i øvrigt lovforslaget som bagudskuende og ude af trit med den udvikling, der foregår i sundhedssystemet i dag. Blandt andet påpeger foreningen, at lovforslaget tager udgangspunkt i den organisatoriske model, der findes i dag, så adgang til patientdata sker ud fra, hvilken medarbejdergruppe man tilhører.

Også dette forhold finder foreningen for lemfældigt. De ønsker en rolle-baseret adgang – blandt andet fordi behandlingsmønstret er under kraftig ændring, hvilket også placerer sundhedspersonalet i nye roller.