E-journals systemadministrator svarer på kritik: »Vi værner om patienternes privatliv«

Systemadministrator for e-journalen fortæller i et interview, at den hovedsaglige grund til, at alt ikke bliver delt på e-journalen er, at man ønsker at beskytte patienternes privatliv.

Systemadministratoren bag den landsdækkende elektroniske patientjournal, e-journalen, erkender, at der må gribes ind over for journalen, som viser sig at være mangelfuld.

Indrømmelsen kommer efter, at Version2 har afsløret, at sundhedspersonalet ikke kan finde alle relevante oplysninger om de patienter, de skal konsultere eller behandle, til trods for at det netop er formålet med e-journal.

Læs også: Manglende data i landsdækkende EPJ rammer patienterne

Blandt andet er der problemer med at tilgå oplysninger om patienterne regionerne imellem, oplysninger fra specialafdelinger og fra privathospitaler.

Det kan ifølge en læge, Version2 har været i kontakt med, resultere i, at patienten ikke får en tilstrækkelig behandling, eller at patienten i værste fald bliver fejlbehandlet, fordi sundhedspersonalet ikke har tilstrækkeligt med oplysninger om patientens behandlingsforløb.

Lægen fortæller, at hvis man vurderer, at det er vigtigt for behandlingen, må man få den pågældende afdeling til at faxe resultaterne, og det er ikke en sikker måde at behandle personfølsomme data på.

Version2 har interviewet systemadministratoren for e-journalen, Helle Hesthaven, for at få klarhed over, hvorfor alt ikke bliver lagt på den elektroniske patientjournal.

Hvis ikke man kan se alt inde på e-journalen, er beskrivelsen af den så ikke lidt misvisende?

»I forbindelse med et datakvalitetsprojekt, vi er i gang med, vurderer vi, om der skal åbnes op for alt, men der står ikke nogle steder i lovgivningen, at man skal dele alt, så derfor kunne formuleringen måske godt ændres. Lige nu lyder det, som om sundhedspersonalet kan se alt - det kan de reelt set ikke, når der er valgfrihed. Jeg vil skyde på, at de kan se mellem 95 og 98 procent af de oplysninger, de har brug for.«

Version2 har tidligere i dette efterår skrevet, at al aktivitet på e-journalen bliver logget, så både patienter og regioner kan holde øje med, hvem der har været inde og lave opslag i journalen.

Læs også: Efter kritik af snageri i sundhedsdata: Sådan overvåger du adgangen til dine egne data

Hvis alt bliver logget på 'Min Log', hvorfor så ikke bare dele alt materiale, så er I sikre på, at sundhedspersonalet kan tilgå de oplysninger, de skal bruge?

»Det er for at beskytte patientens privatliv. Har du en behandlerrelation, ville du i princippet kunne gå ind og se, at patienten har været ved eksempelvis sexologisk klinik. Det er ikke hensigtsmæssigt.«

Men det ville vel blive registreret i loggen?

»Ja, hvis du som eksempelvis læge går ind og åbner filen fra sexologisk klinik, så vil det fremgå. Patienten kan ikke se navngivne personer, men kan søge om oplysningerne hos os.«

Så hvis sundhedspersonale snager, vil det blive opdaget?

»Vi kan ikke garantere, at alle bliver opdaget, men borgerne kan se i 'Min log', hvem der har været inde og se på deres data. Derudover laves der en auditering, hvor ca. fire procent af alle opslag undersøges, og der verificeres, om der har været en behandlerrelation. Ved disse auditeringer sendes mistænkelige opslag videre til HR-afdelingerne. Sidste tiltag er, at der sendes et brev ud til de borgere, hvor en anden end 'egen praktiserende læge' eller speciallæge, hvor der foreligger en henvisning, har lavet opslag.«

Så som borger kan man selv holde øje med, hvem der har været inde at lave opslag i ens e-journal, og derefter rette henvendelse til jer?

»Ja.«

Hvis det bliver opdaget, at man snager, så bliver man straffet?

»Ja.«

Og det ved personalet godt?

»Det bør alle ansatte vide. Den slags informeres der om i et velkomstbrev, alle nye medarbejdere modtager.«

Så bliver jeg nødt til igen at spørge, hvorfor man ikke bare deler alt?

»Det er den dataansvarlige region, der alene bestemmer, hvilke data man vil overføre til e-journal/sundhedsjournalen. Det er ikke lovpligtigt at dele alt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Jeg kommer til at tænke på de skilte, som vist stadig kan findes enkelte steder rundt omkring i landet: "Tøm bilen før tyven gør det!". Og det opsummerer vel egentlig meget godt "privacy by design": sørg for, at der ikke er noget værdifuldt at komme efter i første omgang.

Alle forsøg på at efterlade oplysninger rundt omkring, fordi de måske kunne være rare at have eller fordi det er nemmere end at rydde op efter sig, er et kapløb man er dømt til at tabe. Uanset, om man prøver at låse det væk, eller ved at sætte en vagt i døren.

Ebbe Hansen

men det er ikke alle oplysninger i sundhedssystemet, der kan tilgås via e-journal. Dvs at der er et mørkt lag af informationer. Hvis nogen uberettiget tilgår de mørklagte informationer, bliver det vel så ikke registreret, så du selv kan se at de er blevet læst?
For mig lyder det som to systemer med hver sin sikkerhed. og med den mest uigennemskuelige sikkerhed for de mest følsomme oplysninger.

Jan Juul Mortensen

Som borger vil jeg hejse nogle spørgsmål.

Hvorfor ligger alle offentlige data ikke et og kun et centralt sted?
Det koster unødige penge til lagerkapacitet når data kopieres til flere steder. Endvidere skal man bruge ressourcer på, at sikre opdateringer og sletninger med en øget fejlrisiko til følge.
Endeligt skal data sikres mange steder, og det koster også og øger risikoen for, at data måske ikke er lige sikre alle steder, med et sted kunne man koncentrere sikkerhedsaktiviteterne om dette ene sted og komme langt længere for mindre midler samlet.
Er data krypteret i den bagvedliggende database, hvis databasen nu kommer i forkerte hænder (noget der med garanti ikke vil fremgå af "Min log") vil betyde, at data ikke lige er brugbare. Hvis ja, hvordan sikre man så, at dekrypteringen kun kan foregå af autoriserede personer?

Gert Madsen

Hvorfor ligger alle offentlige data ikke et og kun et centralt sted?


Det kunne feks. være fordi at der ikke findes en reel sikkerhedsmodel for disse data.
For nu at tage ekstremet, så vil nogle administrative medarbejdere have adgang til E-journalen, for at tjekke om lægernes fakturaer er korrekte.
Det betyder ikke at det rager dem, hvad præcis min samtale med lægen handlede om.
Men enten har de ikke adgang, eller også kan de se alt.

Dette er et problem, som kun bliver større jo mere der indsamles data, og jo mere centralt de lagres.
I dag kan data reelt kun beskyttes, ved at undlade at registrere dem.

Jørgen A Thomsen

Hvis alt er samlet et sted, så er bliver konskvensen af fejl (sikkerhedsbrud, misbrug, utilsigtet sletning, H/W fejl) meget større.
Hvis data er distribuerede bliver risikoen for opståelse af fejl større, men til gengæld vil skaden være mindre omfattende.
Når det drejer sig om, hvorvidt en enkelt person kan få tilgang til alle data for en borger, så vil jeg føle mig mere sikker ved et distribueret system af data, hvorfra data aggregeres ved tilgangen, men hvor adgangen logges 10 steder.
Det vil være vanskeligere at skjule et misbrug på den måde.

Ditlev Petersen

Dvs at der er et mørkt lag af informationer. Hvis nogen uberettiget tilgår de mørklagte informationer, bliver det vel så ikke registreret


Det betyder jo bare, at patientsystemer/patientjournaler på de enkelte sygehuse og klinikker har data liggende. De vil stadig skulle logge, hvem der kigger på dem og holde lidt øje med, om nogen snager i data. Men som borger, kan du ikke følge med i det. Det kan du heller ikke, selv om data findes som en kopi i e-journalen. Det er kun loggen på e-journalen, DU har adgang til.

Henrik P. Stougaard Nielsen

Jeg er af den overbevisning, at det skal være op til den enkelte patient, hvad der skal registreres. Ligesom at man ved lægeskift skal give tilladelse til, at journalen sendes til ny læge, så kan den enkelte patient afgøre, hvilke data, forskellige former for læger skal havde adgang til. Man kunne forestille sig, at ambulatoriet og intensiv skal have adgang til alt, men den praktiserende læge, som bare skal give recept på noget vorte-medicin, måske ikke skal.

Det kunne så være en gang-til-gang tilkendegivelse med NemID, når man er ved lægen, eller en forhåndsgodkendelse på sundhed.dk.

Som udgangspunkt bør givetvis alt registreres uden nogen form for valgfrihed, men forskellige roller skal have adgang til forskellige ting. Ligesom med Sundhedsplatformen. Man kunne forestille sig en email/eboks eller sms med en advisering til borger, hver gang data bliver slået op, og hvad data, der blev tilgået.

René Nielsen

Det kan ifølge en læge, Version2 har været i kontakt med, resultere i, at patienten ikke får en tilstrækkelig behandling, eller at patienten i værste fald bliver fejlbehandlet, fordi sundhedspersonalet ikke har tilstrækkeligt med oplysninger om patientens behandlingsforløb.

Nu har jeg ikke tilstrækkelig viden til at afgøre om lægens påstand er rigtigt eller forkert, men fra mit eget virke kender jeg til lignende problemstillinger.

Lad os tage et eksempel fra virkeligheden. En gift familiefar er på festival og har sex med en fremmed kvinde som resulterer i en (for kvinden måske ønsket) graviditet.

Manden påtager sig ansvaret og kvinden accepterer at blive alenemor med børnepenge fra faderén.

Hvordan får vi lagt det her ind i barnets og forældrenes lægejournaler, skatteoplysninger og e-postbakker imedens vi respekterer alles ret til "privacy" uden at mandens eksisterende familie opdager episoden?

Lægen ovenfor kunne uforvarende komme til at "tale over sig" over for mandens ægtefælle, såfremt lægen havde ufiltreret adgang til alle data i patientjournalen.

Palle Due Larsen
Povl Hansen

men den praktiserende læge, som bare skal give recept på noget vorte-medicin, måske ikke skal.

Men måske den vorte-medicin som du får af den praktiserende læge, må ikke tages sammen med den medicin du fik på intensiv afdelingen.
Så du ryger tilbage på intensiv afdelingen som bliver sur på praktiserende læge fordi han gav dig den vorte medicin.
Den praktiserende fortæller af han ikke vidste af du havde været på intensiv fordi det havde du valgt af han ikke skulle vide.
Så kigger intensiv og praktiserende læge surt på dig og smider dig ud i randestenen hvor du kan ligge og dø

Men i det mindste har du da dit privatliv

Anders Lorensen

"Så hvis sundhedspersonale snager, vil det blive opdaget"?

Så skidt med at Storage administratoren laver et Storage snapshot og kopiere dataene derfra og kigger i dem. - For det bliver nok ikke logget.

Skidt med at Hypervisor administratoren laver et VM snapshot/klon og snager - for det bliver nok heller ikke logget.

Skidt med at backup administratoren restore data og snager - for det bliver nok heller ikke logget.

Kort sagt, hvorfor denne fokus på sundhedspersonale?

Min erfaring med offentlige databaser med personfølsomt data er at det er yderst sjældent at man tænker på IT personalet som kan gå uden om loggen. Ofte er der ikke engang et krav om sikkerhedsgodkendelser eller lign. Det tages bare for givet at vi IT folk er en flok ærlige mennesker. (Det er vi heldigvis også oftest!)

Michael Hansen

Men måske den vorte-medicin som du får af den praktiserende læge, må ikke tages sammen med den medicin du fik på intensiv afdelingen.
Så du ryger tilbage på intensiv afdelingen som bliver sur på praktiserende læge fordi han gav dig den vorte medicin.

Jeg synes stadig det skal være op til en selv hvad man vil ønske at dele, er det relevant for ens tandlæge (*1) at se man for 15 år siden blev opereret i ens ben ifb. med en ulykke, som idag ingen relevans har for noget som helst.

Er det relevant for ens tandlæge at de kan se man for 5 år siden tog noget medicin mod en eller anden kønssygdom, som for længst er behandlet og som ingen rigtig relevans har for noget som helst mere? .

Hvis man aktuelt er i diverse behandlinger og får medicin, så kan det give mere mening, men jeg synes stadig det skal være op til en selv, så længe det kun er ens eget helbred man sætter på spil, der er lidt corner cases, som ved så mange ting.

Man kunne så passende have en "akut" funktion som giver adgang til alt, uanset hvad man har sat op af adgang, hvor der så er tilsvarende strenge krav til logning, og sanktioner mod dem der evt. misbruger det, så ens (indsæt tilfældig sundheds personale) ikke bare kan overrule ens valg uden speciel relevant årsag.

*1) Erstat tandlæge, med hvilken som helst af de mange fag grupper der har adgang til ens sundheds data.

Anders Lorensen

Feks. antallet ?
Der er måske 10 administratorer, som kan lave det nummer.
Sat i forhold til x0.000 sundhedsansatte.

Så 10 personer har adgang til at lække 5,5 millioner journaler.
Og x0.000 har adgang til at et 1-2 cifret antal journaler.

Og du er bange for de x0.000, som ved at alt logges.
Jeg er bange for de 10 - som ved at intet logges.

Se og Hør sagen vidste klart og tydeligt at IT folk ikke altid har en gylden glorie hængende over hovedet...

Gert Madsen

Se og Hør sagen vidste klart og tydeligt at IT folk ikke altid har en gylden glorie hængende over hovedet...


Det er sådan set en vigtig pointe i hele registercirkusset. Der ligger ikke nogen implicit ufejlbarlighed i hverken en uddannelse, eller en ansættelse.
Det gælder læger, forskere, sundhedsdatastyrelsen, politiet, PET, FET osv. osv.

Som jeg forstår CSC-sagen, så var der faktisk en log over hvad tys-tys kilden foretog sig. CSC gad bare ikke bruge resourcer på at kigge i loggen. . .

Jeg siger bare at et lille antal giver en stor risiko for stigmatisering og afsløring, hvorimod et stort antal giver en form for anonymitet.

Anders Lorensen

Og x0.000 har adgang til at et 1-2 cifret antal journaler.

            Det var dog et lavt tal. Jeg har forstået E-journals velsignelser derhen at man netop kan se alle danskeres journal.  


Jeg antog (dumt af mig måske) at hvis nogen begyndte at gennemse et hav af journaler, så rejste systemet automatisk et flag for at stoppe det - for at undgå data scraping etc. Hvis en sygeplejeske får lov at hente uanede mænger data ud hver eneste dag vil jeg være chokeret.

Log ind eller Opret konto for at kommentere