E-journals systemadministrator svarer på kritik: »Vi værner om patienternes privatliv«

5. december 2016 kl. 05:0719
Systemadministrator for e-journalen fortæller i et interview, at den hovedsaglige grund til, at alt ikke bliver delt på e-journalen er, at man ønsker at beskytte patienternes privatliv.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Systemadministratoren bag den landsdækkende elektroniske patientjournal, e-journalen, erkender, at der må gribes ind over for journalen, som viser sig at være mangelfuld.

Indrømmelsen kommer efter, at Version2 har afsløret, at sundhedspersonalet ikke kan finde alle relevante oplysninger om de patienter, de skal konsultere eller behandle, til trods for at det netop er formålet med e-journal.

Regionernes beskrivelse af e-journal

'Som praktiserende læge eller speciallæge får du via e-journalen adgang til patienters elektroniske patientjournaler på tværs af sygehuse og regioner samt til journal fra praktiserende læge. Du kan finde oplysninger om behandlingsforløb, diagnoser, notater samt epikriser. Klik på det enkelte forløb og få overblik over detaljer fra det enkelte forløb, som du så igen har mulighed for at se i en udvidet visning. Sygehuslæger kun har adgang til e-journal via sygehusenes egne systemer.'

Kilde: Sundhed.dk

Blandt andet er der problemer med at tilgå oplysninger om patienterne regionerne imellem, oplysninger fra specialafdelinger og fra privathospitaler.

Artiklen fortsætter efter annoncen

Det kan ifølge en læge, Version2 har været i kontakt med, resultere i, at patienten ikke får en tilstrækkelig behandling, eller at patienten i værste fald bliver fejlbehandlet, fordi sundhedspersonalet ikke har tilstrækkeligt med oplysninger om patientens behandlingsforløb.

Lægen fortæller, at hvis man vurderer, at det er vigtigt for behandlingen, må man få den pågældende afdeling til at faxe resultaterne, og det er ikke en sikker måde at behandle personfølsomme data på.

Version2 har interviewet systemadministratoren for e-journalen, Helle Hesthaven, for at få klarhed over, hvorfor alt ikke bliver lagt på den elektroniske patientjournal.

Hvis ikke man kan se alt inde på e-journalen, er beskrivelsen af den så ikke lidt misvisende?

»I forbindelse med et datakvalitetsprojekt, vi er i gang med, vurderer vi, om der skal åbnes op for alt, men der står ikke nogle steder i lovgivningen, at man skal dele alt, så derfor kunne formuleringen måske godt ændres. Lige nu lyder det, som om sundhedspersonalet kan se alt - det kan de reelt set ikke, når der er valgfrihed. Jeg vil skyde på, at de kan se mellem 95 og 98 procent af de oplysninger, de har brug for.«

Version2 har tidligere i dette efterår skrevet, at al aktivitet på e-journalen bliver logget, så både patienter og regioner kan holde øje med, hvem der har været inde og lave opslag i journalen.

Hvis alt bliver logget på 'Min Log', hvorfor så ikke bare dele alt materiale, så er I sikre på, at sundhedspersonalet kan tilgå de oplysninger, de skal bruge?

»Det er for at beskytte patientens privatliv. Har du en behandlerrelation, ville du i princippet kunne gå ind og se, at patienten har været ved eksempelvis sexologisk klinik. Det er ikke hensigtsmæssigt.«

Men det ville vel blive registreret i loggen?

»Ja, hvis du som eksempelvis læge går ind og åbner filen fra sexologisk klinik, så vil det fremgå. Patienten kan ikke se navngivne personer, men kan søge om oplysningerne hos os.«

Så hvis sundhedspersonale snager, vil det blive opdaget?

»Vi kan ikke garantere, at alle bliver opdaget, men borgerne kan se i 'Min log', hvem der har været inde og se på deres data. Derudover laves der en auditering, hvor ca. fire procent af alle opslag undersøges, og der verificeres, om der har været en behandlerrelation. Ved disse auditeringer sendes mistænkelige opslag videre til HR-afdelingerne. Sidste tiltag er, at der sendes et brev ud til de borgere, hvor en anden end 'egen praktiserende læge' eller speciallæge, hvor der foreligger en henvisning, har lavet opslag.«

Så som borger kan man selv holde øje med, hvem der har været inde at lave opslag i ens e-journal, og derefter rette henvendelse til jer?

»Ja.«

Hvis det bliver opdaget, at man snager, så bliver man straffet?

»Ja.«

Og det ved personalet godt?

»Det bør alle ansatte vide. Den slags informeres der om i et velkomstbrev, alle nye medarbejdere modtager.«

Så bliver jeg nødt til igen at spørge, hvorfor man ikke bare deler alt?

»Det er den dataansvarlige region, der alene bestemmer, hvilke data man vil overføre til e-journal/sundhedsjournalen. Det er ikke lovpligtigt at dele alt.«

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
8. december 2016 kl. 22:11

Og x0.000 har adgang til at et 1-2 cifret antal journaler.</p>
<pre><code> Det var dog et lavt tal. Jeg har forstået E-journals velsignelser derhen at man netop kan se alle danskeres journal.
</code></pre>
<p>

Jeg antog (dumt af mig måske) at hvis nogen begyndte at gennemse et hav af journaler, så rejste systemet automatisk et flag for at stoppe det - for at undgå data scraping etc. Hvis en sygeplejeske får lov at hente uanede mænger data ud hver eneste dag vil jeg være chokeret.

18
8. december 2016 kl. 10:55

Se og Hør sagen vidste klart og tydeligt at IT folk ikke altid har en gylden glorie hængende over hovedet...

Det er sådan set en vigtig pointe i hele registercirkusset. Der ligger ikke nogen implicit ufejlbarlighed i hverken en uddannelse, eller en ansættelse. Det gælder læger, forskere, sundhedsdatastyrelsen, politiet, PET, FET osv. osv.

Som jeg forstår CSC-sagen, så var der faktisk en log over hvad tys-tys kilden foretog sig. CSC gad bare ikke bruge resourcer på at kigge i loggen. . .

Jeg siger bare at et lille antal giver en stor risiko for stigmatisering og afsløring, hvorimod et stort antal giver en form for anonymitet.

16
8. december 2016 kl. 09:43

</p>
<pre><code> Feks. antallet ?
Der er måske 10 administratorer, som kan lave det nummer.
Sat i forhold til x0.000 sundhedsansatte.
</code></pre>
<p>

Så 10 personer har adgang til at lække 5,5 millioner journaler. Og x0.000 har adgang til at et 1-2 cifret antal journaler.

Og du er bange for de x0.000, som ved at alt logges. Jeg er bange for de 10 - som ved at intet logges.

Se og Hør sagen vidste klart og tydeligt at IT folk ikke altid har en gylden glorie hængende over hovedet...

15
6. december 2016 kl. 15:27

Men måske den vorte-medicin som du får af den praktiserende læge, må ikke tages sammen med den medicin du fik på intensiv afdelingen.
Så du ryger tilbage på intensiv afdelingen som bliver sur på praktiserende læge fordi han gav dig den vorte medicin.

Jeg synes stadig det skal være op til en selv hvad man vil ønske at dele, er det relevant for ens tandlæge (*1) at se man for 15 år siden blev opereret i ens ben ifb. med en ulykke, som idag ingen relevans har for noget som helst.

Er det relevant for ens tandlæge at de kan se man for 5 år siden tog noget medicin mod en eller anden kønssygdom, som for længst er behandlet og som ingen rigtig relevans har for noget som helst mere? .

Hvis man aktuelt er i diverse behandlinger og får medicin, så kan det give mere mening, men jeg synes stadig det skal være op til en selv, så længe det kun er ens eget helbred man sætter på spil, der er lidt corner cases, som ved så mange ting.

Man kunne så passende have en "akut" funktion som giver adgang til alt, uanset hvad man har sat op af adgang, hvor der så er tilsvarende strenge krav til logning, og sanktioner mod dem der evt. misbruger det, så ens (indsæt tilfældig sundheds personale) ikke bare kan overrule ens valg uden speciel relevant årsag.

*1) Erstat tandlæge, med hvilken som helst af de mange fag grupper der har adgang til ens sundheds data.

13
6. december 2016 kl. 14:55

"Så hvis sundhedspersonale snager, vil det blive opdaget"?

Så skidt med at Storage administratoren laver et Storage snapshot og kopiere dataene derfra og kigger i dem. - For det bliver nok ikke logget.

Skidt med at Hypervisor administratoren laver et VM snapshot/klon og snager - for det bliver nok heller ikke logget.

Skidt med at backup administratoren restore data og snager - for det bliver nok heller ikke logget.

Kort sagt, hvorfor denne fokus på sundhedspersonale?

Min erfaring med offentlige databaser med personfølsomt data er at det er yderst sjældent at man tænker på IT personalet som kan gå uden om loggen. Ofte er der ikke engang et krav om sikkerhedsgodkendelser eller lign. Det tages bare for givet at vi IT folk er en flok ærlige mennesker. (Det er vi heldigvis også oftest!)

11
6. december 2016 kl. 13:21

men den praktiserende læge, som bare skal give recept på noget vorte-medicin, måske ikke skal.

Men måske den vorte-medicin som du får af den praktiserende læge, må ikke tages sammen med den medicin du fik på intensiv afdelingen.
Så du ryger tilbage på intensiv afdelingen som bliver sur på praktiserende læge fordi han gav dig den vorte medicin. Den praktiserende fortæller af han ikke vidste af du havde været på intensiv fordi det havde du valgt af han ikke skulle vide. Så kigger intensiv og praktiserende læge surt på dig og smider dig ud i randestenen hvor du kan ligge og dø

Men i det mindste har du da dit privatliv

10
5. december 2016 kl. 17:14

Er data krypteret i den bagvedliggende database, hvis databasen nu kommer i forkerte hænder (noget der med garanti ikke vil fremgå af "Min log") vil betyde, at data ikke lige er brugbare. Hvis ja, hvordan sikre man så, at dekrypteringen kun kan foregå af autoriserede personer?

Det er en rigtigt god pointe, du har der. Jeg kan se, om en læge har kigget på, om jeg har haft mæslinger, men jeg kan ikke se om hele Danmarks sundhedsdata er blevet snuppet af skumle personager.

9
5. december 2016 kl. 15:51

Det kan ifølge en læge, Version2 har været i kontakt med, resultere i, at patienten ikke får en tilstrækkelig behandling, eller at patienten i værste fald bliver fejlbehandlet, fordi sundhedspersonalet ikke har tilstrækkeligt med oplysninger om patientens behandlingsforløb.

Nu har jeg ikke tilstrækkelig viden til at afgøre om lægens påstand er rigtigt eller forkert, men fra mit eget virke kender jeg til lignende problemstillinger.

Lad os tage et eksempel fra virkeligheden. En gift familiefar er på festival og har sex med en fremmed kvinde som resulterer i en (for kvinden måske ønsket) graviditet.

Manden påtager sig ansvaret og kvinden accepterer at blive alenemor med børnepenge fra faderén.

Hvordan får vi lagt det her ind i barnets og forældrenes lægejournaler, skatteoplysninger og e-postbakker imedens vi respekterer alles ret til "privacy" uden at mandens eksisterende familie opdager episoden?

Lægen ovenfor kunne uforvarende komme til at "tale over sig" over for mandens ægtefælle, såfremt lægen havde ufiltreret adgang til alle data i patientjournalen.

8
5. december 2016 kl. 15:37

Jeg er af den overbevisning, at det skal være op til den enkelte patient, hvad der skal registreres. Ligesom at man ved lægeskift skal give tilladelse til, at journalen sendes til ny læge, så kan den enkelte patient afgøre, hvilke data, forskellige former for læger skal havde adgang til. Man kunne forestille sig, at ambulatoriet og intensiv skal have adgang til alt, men den praktiserende læge, som bare skal give recept på noget vorte-medicin, måske ikke skal.

Det kunne så være en gang-til-gang tilkendegivelse med NemID, når man er ved lægen, eller en forhåndsgodkendelse på sundhed.dk.

Som udgangspunkt bør givetvis alt registreres uden nogen form for valgfrihed, men forskellige roller skal have adgang til forskellige ting. Ligesom med Sundhedsplatformen. Man kunne forestille sig en email/eboks eller sms med en advisering til borger, hver gang data bliver slået op, og hvad data, der blev tilgået.

7
5. december 2016 kl. 13:55

Dvs at der er et mørkt lag af informationer. Hvis nogen uberettiget tilgår de mørklagte informationer, bliver det vel så ikke registreret

Det betyder jo bare, at patientsystemer/patientjournaler på de enkelte sygehuse og klinikker har data liggende. De vil stadig skulle logge, hvem der kigger på dem og holde lidt øje med, om nogen snager i data. Men som borger, kan du ikke følge med i det. Det kan du heller ikke, selv om data findes som en kopi i e-journalen. Det er kun loggen på e-journalen, DU har adgang til.

6
5. december 2016 kl. 11:42

Hvis alt er samlet et sted, så er bliver konskvensen af fejl (sikkerhedsbrud, misbrug, utilsigtet sletning, H/W fejl) meget større. Hvis data er distribuerede bliver risikoen for opståelse af fejl større, men til gengæld vil skaden være mindre omfattende.
Når det drejer sig om, hvorvidt en enkelt person kan få tilgang til alle data for en borger, så vil jeg føle mig mere sikker ved et distribueret system af data, hvorfra data aggregeres ved tilgangen, men hvor adgangen logges 10 steder. Det vil være vanskeligere at skjule et misbrug på den måde.

5
5. december 2016 kl. 11:42

Hvorfor ligger alle offentlige data ikke et og kun et centralt sted?

Det kunne feks. være fordi at der ikke findes en reel sikkerhedsmodel for disse data. For nu at tage ekstremet, så vil nogle administrative medarbejdere have adgang til E-journalen, for at tjekke om lægernes fakturaer er korrekte. Det betyder ikke at det rager dem, hvad præcis min samtale med lægen handlede om. Men enten har de ikke adgang, eller også kan de se alt.

Dette er et problem, som kun bliver større jo mere der indsamles data, og jo mere centralt de lagres. I dag kan data reelt kun beskyttes, ved at undlade at registrere dem.

4
5. december 2016 kl. 11:12

Som borger vil jeg hejse nogle spørgsmål.

Hvorfor ligger alle offentlige data ikke et og kun et centralt sted? Det koster unødige penge til lagerkapacitet når data kopieres til flere steder. Endvidere skal man bruge ressourcer på, at sikre opdateringer og sletninger med en øget fejlrisiko til følge. Endeligt skal data sikres mange steder, og det koster også og øger risikoen for, at data måske ikke er lige sikre alle steder, med et sted kunne man koncentrere sikkerhedsaktiviteterne om dette ene sted og komme langt længere for mindre midler samlet. Er data krypteret i den bagvedliggende database, hvis databasen nu kommer i forkerte hænder (noget der med garanti ikke vil fremgå af "Min log") vil betyde, at data ikke lige er brugbare. Hvis ja, hvordan sikre man så, at dekrypteringen kun kan foregå af autoriserede personer?

3
5. december 2016 kl. 09:45

men det er ikke alle oplysninger i sundhedssystemet, der kan tilgås via e-journal. Dvs at der er et mørkt lag af informationer. Hvis nogen uberettiget tilgår de mørklagte informationer, bliver det vel så ikke registreret, så du selv kan se at de er blevet læst? For mig lyder det som to systemer med hver sin sikkerhed. og med den mest uigennemskuelige sikkerhed for de mest følsomme oplysninger.

2
5. december 2016 kl. 09:43

Jeg kommer til at tænke på de skilte, som vist stadig kan findes enkelte steder rundt omkring i landet: "Tøm bilen før tyven gør det!". Og det opsummerer vel egentlig meget godt "privacy by design": sørg for, at der ikke er noget værdifuldt at komme efter i første omgang.

Alle forsøg på at efterlade oplysninger rundt omkring, fordi de måske kunne være rare at have eller fordi det er nemmere end at rydde op efter sig, er et kapløb man er dømt til at tabe. Uanset, om man prøver at låse det væk, eller ved at sætte en vagt i døren.

1
5. december 2016 kl. 08:10

Om E-journalen har ramt det rette niveau ved jeg ikke noget om, men jeg er glad for at nogen faktisk forsøger at håndhæve retten til et privatliv.