Hopp til hovedinnhold

Del av dokument 3:2 (2014-2015) / Offentliggjort Undersøkelse av styring og kontroll av tilgang i elektroniske pasientjournaler i fire helseforetak

Ansatte i helseforetak har tilgang til helseopplysninger utover tjenestebehov, og kontrollen av tilganger til elektronisk pasientjournal er mangelfull.

Funn

  • De fire helseforetakene som omfattes av undersøkelsen har ikke i tilstrekkelig grad implementert gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger.
  • Ansatte i helseforetakene har tilgang til helseopplysninger utover tjenstlig behov.
  • Helseforetakene har ingen systematisk kontroll og oppfølging av ansattes tilganger til elektronisk pasientjournal (EPJ).
  • Helseforetakene har mangelfull internkontroll av tilgangsstyringen i EPJ.

Anbefalinger

Riksrevisjonen anbefaler at

  • Helse- og omsorgsdepartementet pålegger de regionale helseforetakene å forsikre seg om at alle helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger
  • Helse- og omsorgsdepartementet sørger for at pålegg i regelverket om føring av journalansvarlig person og gjennomføring av sikkerhetsrevisjoner blir tolket og praktisert ensartet
  • Helse- og omsorgsdepartementet og de regionale helseforetakene følger opp at helseforetakene har en hensiktsmessig tildelingspraksis som balanserer EPJ-systemets standardisering etter rolle og regelverkets pålegg om at tilgang skal være basert på individuelt tjenstlig behov
  • Helse- og omsorgsdepartementet og de regionale helseforetakene sørger for at det blir utviklet verktøy og iverksatt tiltak som er egnet for å oppdage urettmessig tilegnelse av helseopplysninger
  • de regionale helseforetakene følger opp at helseforetakene etablerer systematisk kontroll og oppfølging av ansattes tilganger, og at det etableres en tilstrekkelig internkontroll av tilgangsstyringen
  • helseforetakene iverksetter tiltak som sikrer økt kunnskap om gjeldende regelverk og interne rutiner om behandling av helseopplysninger.

Bakgrunn og mål

Helseforetakene har flere elektroniske fagsystemer der helseopplysninger er registrert og lagret. Omfanget av sensitive opplysninger antas å være størst i systemet for elektronisk pasientjournal (EPJ). Datatilsynets kontroller i helseforetakene i perioden 2005–2008 har vist at både helsepersonell og andre ansatte gjennomgående hadde altfor vid tilgang til å tilegne seg pasientopplysninger i den elektroniske journalen. Samtidig var virksomhetens kontroll med hvilke opplysninger den enkelte ansatte faktisk tilegnet seg, altfor svak.

Målet med undersøkelsen har vært å vurdere om helseforetakenes styring og kontroll av tilgang til helseopplysninger i EPJ-systemet er i samsvar med gjeldende regelverk. Undersøkelsen omfatter

  • Oslo universitetssykehus HF
  • Helse Bergen HF
  • St. Olavs Hospital HF
  • Universitetssykehuset Nord-Norge HF

Denne saken er ferdigbehandlet av Stortinget

Saken ble behandlet i Stortinget 12. mai 2015.

Les mer på stortinget.no
Kategorier: Helse Statlig eierskap

Relaterte rapporter

Offentliggjort

Kontroll med forvaltningen av statlige selskaper for 2013
Offentliggjort

Undersøkelse av helseforetakenes beredskap innen IKT, vann og strøm