Sundheds- og Forebyggelsesudvalget 2014-15 (1. samling)
SUU Alm.del Bilag 210
Offentligt
1495311_0001.png
Regionshuset
Viborg
Regionssekretariatet
Skottenborg 26
Postboks 21
DK-8800 Viborg
Tel. +45 7841 0000
[email protected]
www.rm.dk
Datatilsynets udtalelse vedrørende Region Midtjyllands fælles
elektronisk patientjournal (MidtEPJ)
Region Midtjylland modtog den 2. februar 2015 en udtalelse fra
Datatilsynet med kritik af regionens MidtEPJ.
Udtalelsen er afgivet efter et inspektionsbesøg på Regionshospitalet
Randers den 22. november 2011. Under inspektionsbesøget deltog
repræsentanter fra Regionshospitalet Randers, It og
Regionssekretariatet.
Datatilsynet udtrykker i sin udtalelse – efter at sagen har været
behandlet i Datarådet - kritik vedrørende en række forhold i MidtEPJ.
Dele af kritikpunkterne er allerede håndteret eller kan løses i den
kommende tid, mens andre kritikpunkter giver anledning til større
udfordringer. En afklaring heraf vil ske i tæt samarbejde mellem It og
Regionssekretariatet.
Datatilsynets kritik kan opdeles i følgende hovedpunkter
Region Midtjyllands indretning af EPJ-systemet er kritisabel og
ikke i overensstemmelse med persondatalovens regler
Kritik af, at Region Midtjylland som dataansvarlig myndighed
ikke har kunnet redegøre for hjemlen/hjemlerne til
personalets opslag og baggrunden for deres adgang (roller)
Manglende halvårlige kontroller af udstedte autorisationer
Kritik af det langstrakte forløb
Dato 08-02-2015
1-51-70-1-15
Side 1
Administrationens bemærkninger vedrørende udtalelsen
Indledningsvis bemærkes, at Region Midtjylland naturligvis skal
efterleve lovgivningen. Derfor tages udtalelsen fra Datatilsynet
alvorligt, og der er straks iværksat tiltag og nærmere undersøgelser
for at kunne imødekomme kritikken. Administrationen ser på såvel
den tekniske som den organisatoriske indretning af MidtEPJ for så
 PDF to HTML - Convert PDF files to HTML files
1495311_0002.png
hurtigt som muligt at rette op på de dele af kritikken, som regionen umiddelbart kan løse.
Endvidere vil regionen gå i dialog og samarbejde med Datatilsynet, Danske Regioner, de øvrige
regioner og eventuelt Ministeriet for Sundhed og Forebyggelse med henblik på afdækning og
løsning af de øvrige kritikpunkter. En del af kritikken vedrører en generel usikkerhed om
rækkevidden af nogle af bestemmelserne i sundhedsloven, som antages at være af generel
betydning for indretning og brug af samtlige elektroniske patientjournaler. Der er taget
kontakt til Datatilsynet, der har indvilget i at mødes med Region Midtjylland den 19. februar
2015.
Samme dag som mødet med Datatilsynet iværksættes der i Region Midtjylland en awareness
kampagne om informationssikkerhed. Kampagnen har været planlagt igennem længere tid og
er møntet på at skærpe medarbejdernes opmærksomhed omkring informationssikkerhed.
Kampagnen er et udtryk for, at informationssikkerhed ikke kan løses med teknologi alene, men
at det også er vigtigt at skabe ledelsesforankring og påvirkning af medarbejdernes adfærd og
kultur i det daglige.
En del af Datatilsynets kritik af MidtEPJ går på, at for mange medarbejdere har adgang til for
mange oplysninger, hvilket også pressen efterfølgende har haft fokus på.
Hertil bemærkes, at en autorisation til MidtEPJ ikke i sig selv indebærer adgang til alle
oplysninger, der er registreret i MidtEPJ. Det er endvidere ikke alle med autorisation til
MidtEPJ, der har adgang til at se oplysninger i sundhedsjournalen.
MidtEPJ er udviklet med henblik på at sikre kontinuitet i patientbehandlingen, således at
kvalitet og høj patientsikkerhed i behandlingen understøttes af relevante, opdaterede og
tilgængelige data. Det er klinikernes oplevelse, at borgerne/patienterne forventer og sætter
pris på, at fagpersonalet har den for behandlingen nødvendige og fuldt opdaterede viden,
uanset om den kommer fra andre afdelinger, hospitalsenheder eller sektorer.
MidtEPJ understøtter, at det er muligt at følge en patient og dennes behandling, uanset om
patienten under forløbet har været omkring flere afdelinger. Derved undgås eksempelvis, at
der foretages flere undersøgelser, scanninger og prøver, end det er nødvendigt.
Tekniske begrænsninger af systemet, alt efter karakteren heraf, vil kunne medføre
uhensigtsmæssige begrænsninger eksempelvis, hvis samme afdeling ligger på flere matrikler
eller på flere hospitalsenheder.
Derfor vil det være nødvendigt at tage en drøftelse med Datatilsynet af omfanget af og den
nærmere karakter af de tekniske begrænsninger, der skal indarbejdes i MidtEPJ, således at
loven selvfølgelig overholdes, mens der fortsat er fokus på patientsikkerhed og kvalitet i
behandlingen.
Forhold, Region Midtjylland har ændret før udtalelsen fra Datatilsynet
Regionen har før udtalelsen fra Datatilsynet fået ændret proceduren for fratrådte
medarbejdere, således at der automatisk ved fratrædelse og dermed sletning i
lønsystemet sker udelukkelse fra MidtEPJ. I 2011 blev der indført en automatisk lukning
Side 2
 PDF to HTML - Convert PDF files to HTML files
1495311_0003.png
af autorisationer i forbindelse med ophør af ansættelser fra 2011. For autorisationer
oprettet før 2011 er gennemgangen endnu ikke afsluttet.
Forretningsudvalget godkendte den 9. december 2014, at der gennemføres en analyse
af regionens sikkerhedsniveau og modstandsdygtighed mod forsøg på adgang til
regionens systemer og data, herunder fortrolige patientdata.
Analysen vil resultere i en afrapportering af Region Midtjyllands it-sikkerhedsmæssige
niveau på it-driftsmæssige hovedkategorier og inden for udvalgte sikkerhedsmæssige
discipliner. Heraf udledes en prioritering af indsatser på it-sikkerhedsområdet. På den
baggrund tilvejebringes en erkendelse af Region Midtjyllands aktuelle risikoprofil i
forhold til forventelige trusler på kort, mellemlang og lang sigt. Ligeledes skabes et
grundlag for en dialog omkring iværksættelse af eventuelle tiltag med henblik på at
tilpasse risikoprofilen i forhold til Region Midtjyllands risikovillighed
Tiltag, der er foretaget i Region Midtjylland på baggrund af udtalelsen
Lukning af visse brugerroller i MidtEPJ, herunder kapelbetjent, piccoline, præst,
skolelærer, musikterapeut og ingeniør, i alt omfattende 45 brugere
o
hospitalsdirektørerne kan i enkelte tilfælde efter en vurdering af nødvendigheden
og sagligheden for den konkrete medarbejders opgaveløsning – indtil videre -
tildele en autorisation
It har iværksat en gennemgang af den komplette sikkerhedsmatrice (hvilke roller har
adgang til hvad) for at stramme op på de meget brede og åbne roller, som har været
tilfældet tidligere. It kommer med tidsplan samt indhold for implementering hurtigst
muligt
It er ved at gennemgå logfiler for de lukkede brugerroller og har indtil videre ikke
fundet noget, der indikerer overtrædelse (dog har en enkelt foretaget opslag på egen
journal, hvilket er en overtrædelse).
Tiltag, som Region Midtjylland vil igangsætte snarest muligt
Administrationen anerkender, at der ikke har været redegjort i tilstrækkelig grad for
lovgrundlaget for personalets opslag og baggrunden for deres autorisation
o
Regionen kan redegøre for hovedparten af de tildelte autorisationer, og dette vil
ske over for Datatilsynet snarest muligt
o
Der vil blive foretaget en systematisk gennemgang og kontrol af de tildelte
autorisationer for at sikre, at der kun autoriseres personale, der i deres
opgaveløsning har et sagligt, lovligt og relevant behov for adgangen
o
Sikkerhedsmodellen i MidtEPJ tillader en langt højere grad af granularitet, (det
vil sige, at rettighederne kan administreres på et lavere og mere detaljeret
niveau), end der hidtil er blevet anvendt i regionen. Regionen vil implementere
dette, hvor det bidrager til løsning af de nuværende problemstillinger.
Indstillingen og kulturen har hidtil været mest mulig åbenhed internt og færrest
mulige begrænsninger. Det tager vi nu initiativ til at justere.
Optimering af kontrollen af autorisationer, således at kontrollen bliver i
overensstemmelse med lovgivningen
Etablering af systematisk kontrol af log for MidtEPJ
o
Det bemærkes, at regionen har et system, der systematisk logger al aktivitet i
MidtEPJ
Side 3
 PDF to HTML - Convert PDF files to HTML files
1495311_0004.png
Kontrollen af loggen i MidtEPJ sker i dag alene i forbindelse med mistanke om
misbrug, eksempelvis pga. henvendelser fra kolleger eller borgere. Endvidere
foretages en systematisk kontrol af loggen for opslag foretaget i
sundhedsjournalen, der sker via MidtEPJ. I løbet af de sidste fire år har denne
kontrol afstedkommet to sager, der har ført til afskedigelse, og en række sager,
der har bevirket anden form for personalemæssig sanktion
o
Regionen påbegynder etablering af en procedure for automatisk kontrol af
loggen for MidtEPJ i lighed med den kontrol, der allerede gennemføres af loggen
i sundhedsjournalen. I første omgang etableres en stikprøvekontrol
Fra centralt hold tages initiativ til, at der sker en sikring af, at personer uden
ansættelsesforhold i regionen, eksempelvis forskere, ikke har eller tildeles adgang til
MidtEPJ
Undersøgelse af systemtekniske muligheder for begrænsning af adgang til MidtEPJ
Sikring af, at der fremadrettet sker en forudgående screening af it-systemer, der
indkøbes eller udvikles, med henblik på overholdelse af gældende lovgivning
Undersøgelse af andre af regionens systemer, der indeholder fortrolige og/eller
personoplysninger, med henblik på overholdelse af gældende lovgivning
o
Dialog med Datatilsynet om sagsbehandlingen
Datatilsynet bærer selv en del af ansvaret for sagens langstrakte forløb. Første gang,
Datatilsynet sendte bemærkninger til det foretagne tilsyn, var knap et år efter tilsynsbesøget,
ligesom der også undervejs i forløbet i øvrigt har været lange svartider. Administrationen har
aftalt forlængelser af svarfristerne med Datatilsynet, når dette har været nødvendigt.
Administrationen anerkender dog, at regionen har haft svært ved at levere svar inden for de af
Datatilsynet fastsatte frister, og at Datatilsynet har måttet stille samme spørgsmål flere gange
uden at få tilstrækkelige præcise svar. Forholdet vil indgå i regionens kommende drøftelse med
Datatilsynet.
Drøftelse af, om det er teknisk og økonomisk muligt at tilpasse MidtEPJ til gældende
lovgivning
Datatilsynet har indledningsvis påpeget, at MidtEPJ bevidst er indrettet på en sådan måde, at
det ikke er etableret tekniske foranstaltninger, som begrænser adgangen til patientoplysninger
på tværs af regionens behandlingsenheder eller som på anden måde teknisk hindrer, at der
kan ske uberettigede opslag i systemet.
På den baggrund er det nødvendigt, at Region Midtjylland foretager en grundig og
tilbundsgående undersøgelse af hvilke muligheder, der er for at lovliggøre systemet og hvilken
udgift, det vil indebære. Dette både på det organisatoriske og tekniske niveau.
Samarbejde med andre myndigheder
Datatilsynet sendte samtidig en kopi af udtalelsen til Ministeriet for Sundhed og Forebyggelse
med anmodning om en udtalelse fra Ministeriet om, hvorvidt MidtEPJ er i overensstemmelse
med sundhedsloven. Udtalelsen og brevet til ministeriet er fremsendt til Folketingets
Sundheds- og Forebyggelsesudvalg, Folketingets retsudvalg og Danske Regioner.
Datatilsynet har endvidere i henvendelsen til Ministeriet peget på, at det kan være praktisk
vanskeligt at foretage en opdeling af oplysninger om aktuel behandling og historiske
Side 4
 PDF to HTML - Convert PDF files to HTML files
1495311_0005.png
oplysninger, idet dette vil bero på en løbende, konkret vurdering af de pågældende
oplysninger. Datatilsynet gør herved Ministeriet opmærksom på, at der behov for at se på
denne del sundhedsloven.
Datatilsynet anerkender hermed, at udfordringerne ikke alene er gældende for Region
Midtjylland, og tilsynet kan med denne bemærkning være medvirkende til, at Region
Midtjylland og Danske Regioner får igangsat en dialog med Ministeriet om de udfordringer,
som det danske sundhedsvæsen dagligt står overfor, når digitale løsninger og muligheder er
vanskelige at forene med lovgivningen. Det er af stor betydning for den kliniske dagligdag at få
disse usikkerheder afklaret, således at de digitale værktøjer kan indrettes på en sådan måde,
at de på samme tid opfylder behovet i klinikken og gældende lovgivning.
Side 5