Logo: Tidsskrift for norsk psykologforening

Meninger

PDF-versjon av artikkel Del
Tidsskrift for Norsk psykologforening, Vol 55, nummer 3, 2018, side 210-211

Bekymringsmelding om Psykbase

Ståle William Reigstad

tidligere avtalespesialist

Når Psykbase overtas av fylkesmannens kontor ved pensjonering eller død, kan det oppstå situasjoner der personvernet svikter.

JOURNAL

AVTALESPESIALISTENE HER TIL lands bruker journalsystemet Psykbase. Det er etter hvert blitt et avansert elektronisk system for pasientregistrering, journal- og regnskapsføring, og for faglig kommunikasjon gjennom Norsk helsenett. Det er et godt og sikkert arkiveringssystem så lenge det administreres av psykologen som disponerer det.

Når avtalespesialister som bruker Psykbase, går av med pensjon, kan vi enten overføre arkivet til fylkesmannens kontor eller oppbevare det selv på en minnepinne så lenge vi lever. Når vi dør, er det fylkesmannens kontor som skal ha arkivet.

Hvis en tidligere pasient ber om journalutskrift etter at psykologen er død, kan pasienten henvende seg til fylkesmannen, som åpner arkivet ved hjelp av et passord fra Aspit, selskapet som drifter Psykbase, og skriver ut journalen. Så langt høres det greit ut.

Hele arkivet åpnes. Men så greit er det ikke. Det er ingen algoritmer i Psykbase som begrenser innsynet i arkivet. Har man PIN-kode og passord, åpnes arkivet, og man får tilgang til alle journaler og pasientopplysninger. Vedkommende som åpner, kan fritt snoke etter kjente navn uten risiko for å bli avslørt. Psykbase har ikke innordninger som gjør det mulig å spore ulovlig innlogging, antall innlogginger osv., og adgangen til Psykbase er ikke tidsbegrenset. Arkivet er åpent for innsyn så lenge kontoret har en adgangsnøkkel/passord fra Aspit. Det er ikke et engangspassord.

Vi har hørt mye i det siste om ansattes snoking i NAV-arkiver og snoking i helsevesenets pasientarkiver. Bekymringstemaet i denne saken er ikke om ansatte ved kontoret kommer til å snoke, men at de har anledning til det.

NRK har tidligere avslørt at IT-arbeidere i Bulgaria og Malaysia i flere måneder hadde tilgang til sensitive pasientjournaler fra 2,8 millioner nordmenn. Det er ikke dokumentert at noen snoket eller misbrukte opplysningene. Likevel førte dette til at teknologidirektøren i Helse Sør-Øst måtte gå, og styret i Sykehuspartner ble kastet. Toppsjefen i Sykehuspartner mistet jobben. Med Psykbase er vi i en situasjon der ansatte ved fylkesmannens kontor kan, under visse omstendigheter, få full tilgang til elektroniske journalarkiver i ubegrenset tid og uten at ulovlig snoking kan spores. Snoking blir risikofritt. Det dreier seg om pasientrettigheter, og det dreier seg om personvern.

Aspit bekreftet i en telefonsamtale i januar 2018 at Psykbase er innrettet som beskrevet ovenfor, og at det ikke er en prioritert oppgave å gjøre noe med det. De har nok med å utvikle og drive online-tjenesten. Dessuten kan vi være enige om at det ikke har vært noe stort problem hittil. Men når de store psykologkullene når pensjonsalder, blir det stadig flere som må gi fra seg arkivet. Vi forventer at Aspit finner løsninger som sikrer pasientrettighetene etter at vi går av med pensjon.

Hvilke løsninger kan vi så tenke oss? Fylkesmannen må jo kunne bistå når en tidligere pasient ber om utskrift av journalen. Ut fra min amatørforstand kan journalarkivet sikres ved at fylkesmannen får tilsendt en engangskode, og at Psykbase åpnes i et tidsvindu på 10–15 minutter. Klarer de ikke å skrive ut journalen på et kvarter, må de kontakte Aspit for veiledning og nytt passord. Ordningen med å oppbevare helsearkiver hos fylkesmannen er også helt utdatert. Det er en hundre år gammel ordning som kom i stand for å sikre forsvarlig lagring av journalene til privatpraktiserende leger når de sluttet å jobbe. Det er neppe godt gjennomtenkt at også elektroniske pasientjournaler i vår moderne tid sendes til fylkesmannen når vi avslutter virksomheten. De bør med fordel kunne oppbevares hos Aspit etter at behandleren dør. Og Aspit bør kunne skrive ut journalene til de som ber om det. Her tror jeg noen må tenke nytt.

Tilsvar

Psykologtidsskriftet har gitt daglig leder i Aspit Dag Helge Haslekås anledning til å svare på innlegget ovenfor.

Tilsvar

Psykologtidsskriftet har gitt daglig leder i Aspit Dag Helge Haslekås anledning til å svare på innlegget ovenfor.

«Innlegget fra Ståle William Reigstad tar opp et relevant tema. Det er godt beskrevet. Bortsett fra overskriften stiller vi oss bak innlegget. Bekymringsmeldingen bør imidlertid rettes til staten og ikke til PsykBase. Ordningen med deponering hos fylkesmannen er ingen god ordning – hverken når det gjelder data produsert i PsykBase, eller fra noen andre elektroniske journalsystem. Det er samme situasjon som gjelder alle journalsystem i Norge – det er et titalls slike for ulike nisjer i helsevesenet. Det eksisterer ikke noen god felles ordning for hvordan dette skal håndteres. Dagens praksis bærer preg av ad hoc-løsninger fra det offentliges side, og det er riktig at ved begjæring om innsyn hviler mye på taushetsplikt og interne rutiner hos fylkesmannen.

Vi i ASPIT er ikke rett adressat for en bekymringsmelding. Tvert imot. Vi fikk en tilsvarende henvendelse i 2011 rundt en avdød psykologs database. Situasjonen var den samme den gang. Ulike deler av Norsk psykologforening og andre ble involvert. Vi foreslo da en konkret ordning som er helt i tråd med hva Reigstad foreslår i sine to siste setninger i innlegget. Det ville være langt tryggere at vi foretok langtidslagringen i slike tilfeller inntil staten har fått på plass en forsvarlig løsning. Dette ble skissert i detalj og kostnadsberegnet.

I personopplysningsloven § 14 fremgår det at journaler kan avleveres til fylkesmannen eller deponeres i annen oppbevaringsinstitusjon. Dette kunne meget vel vært håndtert av ASPIT eller andre leverandører med tilsvarende sikkerhetsrutiner.

Som så mye annet som kanskje oppfattes som komplekst – vårt forslag rant ut i sanden etter at vi konkretiserte og sa vi var klare til å påta oss denne rollen på vegne av samfunnet.

Psykologtidsskriftet har fått tilsendt aktuell e-postkommunikasjon fra 2011 der det fremkommer at vi foreslo en konkret, enkel, sikker og rimelig langtidslagring av journaler. Den burde vært omfavnet og igangsatt – det ble den ikke.»

Tilsvar

Helsedirektoratet har foreløpig ikke svart på Psykologtidsskriftets henvendelser. Alle landets fylkesmenn er kontaktet. Fylkeslege Jan Petter Odden hos Fylkesmannen i Oslo og Akershus svarer:

Tilsvar

Helsedirektoratet har foreløpig ikke svart på Psykologtidsskriftets henvendelser. Alle landets fylkesmenn er kontaktet. Fylkeslege Jan Petter Odden hos Fylkesmannen i Oslo og Akershus svarer:

Fylkesmannens oppbevaring av avlagte journaler kan ikke sammenliknes med situasjonen som gjaldt Helse Sør-Øst og Bulgaria.

Alle som yter helsehjelp (helseforetak, avtalespesialister, legekontorer, helsepersonell), har plikt til å føre journal (helsepersonelloven § 39). Opplysningene må oppbevares forsvarlig.

Ved opphør av virksomhet der det ikke er aktuelt å overføre pasientjournalene til et bestemt helsepersonell eller til en bestemt virksomhet, kan de avleveres til offentlig arkivdepot eller leveres til fylkesmannen (forskrift om pasientjournal § 15 – Overføring av journal, opphør av virksomhet). Innsyn i disse journalene kan gis etter særskilte regler. Pasienter og pårørende kan få tilgang til journal for eksempel i forbindelse med erstatningssaker der personer har vært utsatt for miljøgifter, skader, eller ved barnevernssaker, o.l.

Helse- og omsorgstjenesteloven og lov om spesialisthelsetjenesten gir fylkesmannen hjemmel til tilgang til nødvendig dokumentasjon. Ansatte hos fylkesmannen er sikkerhetsklarert og er underlagt taushetsplikt om de opplysninger som foreligger.

Disse journalene skal oppbevares forsvarlig. Ved mistanke om snoking eller på forespørsel kan det foretas sporing av hvem som har vært inne i ulike saker/journaler.

Det er utarbeidet ny bevaringsforskrift for pasientarkiv i kommuner og fylkeskommuner, som nylig har vært til høring.

Norsk helsearkiv er under etablering på Tynset, planlagt ferdig i 2019, og vil ivareta alle innleverte journaler i Norge.

Til toppen av artikkelen