Patientjournal-lusker fyret - nu skal software finde flere data-snagere

Software, der finder mistænkelige mønstre i adgangen til sygehusenes elektroniske patientjournaler, kan mere sikkert afsløre tilfælde af misbrug end stikprøver.

Læger, sygeplejersker og andet klinisk personale på sygehusene har i princippet adgang til tusindvis af patientjournaler, som de kan læse fortrolige oplysninger i, selvom de ikke behandler patienten.

En stikprøvekontrol i Region Midtjylland har netop ført til, at regionen har fyret en medarbejder, fordi medarbejderen ulovligt i flere tilfælde havde tilgået en elektronisk patientjournal. Det skriver Dagens Medicin.

Alle danske sygehuse forsøger at forhindre misbrug af de elektroniske patientjournaler ved stikprøvekontroller, men den metode fanger selvsagt ikke alle tilfælde.

I Norge har man vurderet, at stikprøver slet ikke har bidraget til at finde ulovlige opslag. Derfor har Oslo Universitetssygehus afprøvet en automatisk overvågning ved hjælp af software, som kan opdage, hvis en medarbejder bryder det normale mønster.

»Vi har kørt et pilotprojekt, hvor vi har brugt mønstergenkendelse til at analysere logfilerne på alle opslag i EPJ-systemet,« siger seniorkonsulent på sundhedsområdet Peter Mortensen fra SAS Institutes Nordiske Center for Healthcare Excellence til Version2.

Systemet, der blev prøvekørt på det norske sygehus, fandt først mønstrene for normal adfærd på de forskellige afdelinger og ud fra personalegrupper. Derefter kunne det sammenligne de normale mønstre med logfilerne og se, om der var noget, der skilte sig ud.

»Det bliver brugt til at lave 'undringslister', som man kan kigge efter manuelt,« forklarer Peter Mortensen.

Systemet kan altså udpege, at en medarbejder har åbnet en journal, som man ikke normalt ville forvente, at en medarbejder i den funktion på den afdeling ville åbne. Det kan der være helt legitime grunde til, og derfor er det stadig nødvendigt med en manuel kontrol.

Til gengæld får man alle afvigelser fra det normale mønster i forhold til stikprøver, hvor afvigelsen skal være blandt de tilfældigt udtrukne prøver.

Det norske pilotprojekt blev sat i værk for at se, om det kunne tilfredsstille eksplicitte lovkrav samt retningslinjer om, at alle patientrelaterede systemer skal logges og loggene skal analyseres. Alternativt har andre sygehuse set på muligheden for at forhindre misbrug gennem adgangskontrol.

»Der har været tanker om at flytte adgangskontrollen tættere på klinikeren. Men man kan måske også gøre det unødig svært for klinikerne at tilgå de journaler, de har brug for. Det er uhensigtsmæssigt, hvis systemet forhindrer adgang i en behandlingssituation,« siger Peter Mortensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Som supplement til egenkontrol kunne man gøre listen over navn og afdeling for de personer, der har kigget i journalen, tilgængelig for patienten, fx via Sundhed.dk. Bortset fra omkostningerne ved at gøre disse oplysninger tilgængelige, er der vel ikke nogen grund til at hemmeligholde denne information over for patienten.

  • 4
  • 2
Peter Sørensen

To ting:
1: Det du foreslår kan man allerede (om end på en lidt anden måde) via sin e-journal og FMK på netop sundhed.dk
2: Jeg synes det er en dårlig idé. Selvfølgelig skal alle jo ikke have adgang til alle journaler, men at registrerer det og offentligøre det på den måde som du skriver er jeg ikke enig i.
- Jeg arbejder ofte som fastvagt (man sidder hos dårlige patienter) på diverse hospitaler i region syddanmark og region sjælland, et arbejde jeg har gennem FADL (foreningen af danske lægestuderende).
Når patienten enten sover, eller ikke har behov for ens opmærksomhed, så kommer sygeplejerskerne nogle gange ind med en af afdelingens computere, så man ex kan læse i patientens journal, om hvad man skal tage hensyn til hos patienten, og lære at læse og skrive journaler.
Som fastvagter har vi ofte døgnbemandning af patienterne, dvs der kommer en ny fastvagt hver 8. time. Hvis patienten (når vedkommende bliver rask) går ind og ser hvem der har læst hans journal, og alle fastvagter har været inde og læse på ham, kan det være at patienten begynder og undre sig, og sætter en fin undersøgelse (eller hvad det nu kan være) i gang.
Da vi er ansatte gennem FADL, og ikke sygehuset vil vi sikkert komme til at stå som ’ikke relevante læsere af journalen’.
Og tænk sig alt dette bureaukrati, til hvad nytte? Alle de fine klagesager og (i forvejen knappe) ressourcer spildt på ingenting.
Bare lidt strøtanker fra min side.

  • 5
  • 1
Christian Schmidt

Da vi er ansatte gennem FADL, og ikke sygehuset vil vi sikkert komme til at stå som ’ikke relevante læsere af journalen’.

I stedet for at skrive "ikke relevante læsere af journalen", hvilket jo er forkert i dette tilfælde, kan man skrive, at den ansatte er vikar/studerende, er det vel tilstrækkelig information. Så må det være op til patienten at afgøre, om han/hun har været i kontakt med en sådan.

Og tænk sig alt dette bureaukrati, til hvad nytte? Alle de fine klagesager og (i forvejen knappe) ressourcer spildt på ingenting.

"Ingenting"? Det afhænger vel af, hvor mange patientjournalluskere der findes. I dag er det nok et fåtal, der bliver afsløret, så det er svært at gisne om problemets omfang.

  • 5
  • 1
Mona Holm

Artiklen og kommentarerne her går ud fra at det var opslag i EPJ det drejer sig om. Det var det ikke, det var opslag i e-journal (fremgår hvis man nærlæser Dagens Medicin). EPJ og e-journalen tjener to forskellige formål med forskellige logningsbehov og adgangskontrol. EPJ er klinikernes daglige værktøj, hvor de hurtigt og uden bøvl skal kunne se og vurdere patientens aktuelle tilstand og behandling,mens e-journal opslag mere er af orienterende karakter - hvilke diagnoser har patienten haft, hvilken medicin tager vedkommende til daglig etc. Uvedkommende skal selvfølgelig ikke have adgang til nogen af delene, men implicit vil alle der er involverede i behandlingen af en patient på et sygehus, tilgå patientens data i en EPJ i større eller mindre omfang bare ved at passe deres arbejde. Det kan ikke være samme adgangskontrol og trigge samme alarmer som et bevidst opslag i e-journal imho.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize