Journalsnoking – når nysgjerrigheten gjør at du mister arbeidet og autorisasjonen

juli 8, 2016 bjoernar No comments exist

Journalsnoking - når nysgjerrigheten gjør at du mister arbeidet og autorisasjonen

- interessante utviklingstrekk i nyere snokelovgivning

 
(Denne artikkelen ble opprinnelig postet den 6.7.2009 på Helsebloggen på de gamle nettsidene www.jussboka.no. Siden den gang har det skjedd vesentlige endringer i relevant lovgivning. Denne oppdaterte og utvidede artikkelen er uttrykk for den rettslige reguleringen av temaet pr 1.11.2016.)

 

1. Oversikt og utviklingstrekk
2. Snokeforbudet og taushetsplikten i helsepersonelloven
3. Tilsvarende snokeforbud og taushetsplikt i pasientjournalloven og helseregisterloven
4. Behandlingsrettede helseregistre - pliktig elektronisk registrering, loggføring, taushetsplikt og innsynsrett
5. Ikke behandlingsrettede helseregistre - helseregisterlovens regulering
6. Nasjonal kjernejournal - med automatisert opplysningsrett
7. Lovlig utlevering etter helsepersonelloven § 29 c - viktig unntak fra snokebestemmelsene
8. Straffe- og straffeprosessuelle bestemmelser for brudd på taushetsplikt
9. Erstatningsansvar knyttet til helselovgivningens snokebestemmelser
10. Retts- og nemndspraksis rundt helselovgivningens snokebestemmelser
11. Snokeforbudets forhistorie – den offisielle versjonen i lovforarbeidene
12. Snokeforbudets forhistorie – den virkelige og dramatiske historien
13. Datatilsynets dramatiske forslag
14. Avdekket journalsnoking i inn – og utland
15. Artikkel 29-gruppens arbeidsdokument – internasjonalt om elektroniske pasientjournaler
16. Helseopplysninger tilgjengelig gjennom snoking i NAVs journaler

 

1. Oversikt og utviklingstrekk

Ved en ny bestemmelse i helsepersonelloven § 21 a, som trådte i kraft 9.5.2008, ble det forbudt for helsepersonell å snoke i pasientjournaler. Ordlyden i denne bestemmelsen er bare barnemat mot hva Datatilsynet foreslo. Og bak Datatilsynets forslag ligger det en dramatisk og lite kjent historie. Her får du den virkelige historien bak lovendringen.

 

Pasienter har til enhver tid full innsynsrett i egen pasientjournal, og i loggen til pasientjournalen som viser hvem som har vært inne og kikket i den. Ved å benytte innsynsretten kan pasienten avdekke urettmessig innsyn i journalen. Konsekvensene for helsepersonell som bryter snokeforbudet kan bli meget omfattende. I alvorlige tilfeller vil helsepersonellet kunne miste autorisasjonen som helsepersonell, bli meddelt avskjed fra stillingen, bli strafferettslig domfelt, og bli erstatningsansvarlig overfor fornærmede (den hvis helseopplysninger det er snoket i). Siden snokeforbudet kom i mai 2008 har en eller flere av disse konsekvensene rammet en rekke helsepersonell.

 

Journalsnoking er relativt lett å oppdage, bevis vil være der til evig tid, og kan bli avdekket flere år etter at snokingen har funnet sted. Bevisstheten om pasientrettighetene som kan avdekke dette er imidlertid lav hos det store flertallet av pasienter, og pasientene må selv aktivt be om journal- og logginnsyn for å få kunnskap om eventuell journalsnoking. Effektiviteten av et snokeforbud svekkes hvis innsynsretten i praksis viser seg ikke å bli benyttet i særlig grad. Dette har vært en vektig kritikk mot dagens system som Datatilsynet har reist gjentatte ganger, og de har foreslått at pasientene uanmodet og systematisk må få informasjon fra helseinstitusjonen om hvem som har vært inne i journalen og kikket.

 
I nyere store IKT-prosjekter i helsevesenet ser det ut til at teknikken kan komme Datatilsynet og kritikerne av dagens system i møte. Fra 1.9.2015 ble det gjennom IKT-standardforskriften ikke lenger tillatt å benytte manuelle journaler, men påbudt med elektroniske pasientjournaler som tilfredsstiller fastsatte tekniske krav. Dermed er man i ferd med å fjerne muligheten til kunne sniklese i manuelle journaler, uoppdaget og uten å legge igjen spor. I stedet for å la pasientene ha rett til å kunne be om innsyn i journalloggen, legges det opp til at helseforetaket mv uanmodet får plikt til å informere pasientene om oppslag i journalen. I Nasjonal kjernejournal som rulles ut i disse dager, er det i Kjernejournalforskriften lovfestet at pasienten uanmodet skal informeres om oppslag som gjøres på en selv i Nasjonal kjernejournal. Det er lagt opp til at pasienter ved en enkel avhuking på sin side i Nasjonal kjernejournal automatisk vil få et varsel til mobiltelefonen i form av en SMS hver gang noen er inne og kikker i journalen. Det er å forvente at vi i årene fremover vil se en utvidelse av disse automatiserte meldesystemene om hvem som er inne og kikker i ens journal. Stadig flere pasientjournaler blir elektronisk tilgjengelig for pasientene, blant annet Oslo universitetssykehus sitt system Min journal.

 

2. Snokeforbudet og taushetsplikten i helsepersonelloven

I helsepersonelloven § 21 a fremgår snokeforbudet, eller forbudet mot snikkikking i pasientjournaler:

  • § 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger
  •   Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.

Enhver tilegnelse av informasjon fra pasientjournaler helsepersonell foretar som ikke er begrunnet i tjenstlige behov, vil være i strid med denne bestemmelsen. Forbudet mot innsyn i opplysninger gjelder alt som registreres av opplysninger, det vil si pasientjournaler, innsyn i opplysninger i ulike fagsystemer, pasientkort, analyseresultater (blodprøver, urinprøver etc), opplysninger registrert i medisinsk-teknisk utstyr (MR-apparater mv), innscannede dokumenter i form av korrespondanse med fastlege mv. Så lenge man ikke tar del i behandlingen av vedkommende pasient, har man heller ikke lovlig adgang til innsyn i journalen. Flere helseinstitusjoner har etablert stikkprøvemessige kontroller hvor loggen fra journalsystemet gjennomgås, spesielt hvor kjente personer blir innlagt/ behandlet.

 

Dette journalsnokeforbudet kommer i tillegg til hovedregelen om taushetsplikt for helsepersonell i helsepersonelloven § 21:

  • § 21.Hovedregel om taushetsplikt
  •   Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.

3. Tilsvarende snokeforbud og taushetsplikt i pasientjournalloven og helseregisterloven

Pasientjournalloven gjelder behandling av opplysninger i behandlingsrettede helseregistre, det vil si registrering og behandling av pasientopplysninger i sammenheng med helsehjelp (primærbruk), og har i § 16 et tilsvarende lovforbud mot urettmessig å tilegne seg helseopplysninger:

  • § 16.Forbud mot urettmessig tilegnelse av helseopplysninger
  •   Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.

Lovfestet taushetsplikt for de behandlingsrettede pasientjournalene følger av pasientjournalloven § 15:

  • § 15.Taushetsplikt
  •   Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister, har samme taushetsplikt.

Tilsvarende finner vi i helseregisterloven § 18, som regulerer helseregistre som ikke er behandlingsrettede, men som skal danne grunnlag for statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap (sekundærbruk). Opplysningene i disse registrene er ofte innsamlet i forbindelse med at det gis helsehjelp til enkeltpasienter og videresendes til registrene:

  • § 18.Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger
  •   Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

Lovfestet taushetsplikt for behandling av helseopplysninger som ikke befinner seg i behandlingsrettede helseregistre følger av helseregisterloven § 17:

  • § 17.Taushetsplikt
  •   Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt.

Disse bestemmelsene om snokeforbud tilsvarer § 13a i den gamle helseregisterloven 2001. Ved å innta snokingsforbudet også i helseregisterloven har snokeforbudet derfor et videre virkeområde enn om forbudet alene fremgikk av helsepersonelloven og pasientjournalloven. Forbudet gjelder alle helseregistre, herunder eksempelvis Kreftregisteret, MSIS-registeret og Norsk pasientregister.

 

4. Behandlingsrettede helseregistre - pliktig elektronisk registrering, loggføring, taushetsplikt og innsynsrett

I medhold av IKT-forskriften § 3, som trådte i kraft 1.9.2015, skal ethvert behandlingsrettet helseregister føres elektronisk:

  • § 3.Krav om elektronisk behandling av helseopplysninger
  •   Behandlingsrettede helseregistre skal føres elektronisk. Dersom det i enkelttilfeller ikke er mulig å registrere opplysningene elektronisk, kan de dokumenteres på annen måte inntil de kan registreres elektronisk.

IKT-forskriften § 6 har blant annet fastsatte krav til funksjonalitet ved meldingsutveksling som alle pasientjournalsystemer må oppfylle.

 

I medhold av pasientjournalloven § 22 første ledd skal den databehandlingsansvarlige og databehandleren gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette omfatter blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll:

  • § 22.Sikring av konfidensialitet, integritet og tilgjengelighet
  •   Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette omfatter blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll.
  •   For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
  •   En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og andre ledd.
  •   Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger, blant annet om organisatoriske og tekniske tiltak.

Av særlig betydning for å dokumentere hvem som har vært inne i journal er kravet til logging eller loggføring i denne bestemmelsens første ledd.

 

Pasientjournalloven § 18 har regler om innsyn i behandlingsrettede helseregistre:

  • § 18.Informasjon og innsyn
  •   Pasienten eller brukeren har rett til informasjon og innsyn i behandlingsrettede helseregistre etter pasient- og brukerrettighetsloven § 5-1, helsepersonelloven § 41 og personopplysningsloven §§ 18 flg. Dette omfatter også innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.
  •   Når det er nødvendig for å gi innsyn, kan den databehandlingsansvarlige innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
  •   Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandlingsrettede helseregistre.

Det fremgår av bestemmelsens første ledd siste punktum at informasjons- og innsynsretten også gjelder innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn og fødselsnummer.

 

5. Ikke behandlingsrettede helseregistre - helseregisterlovens regulering

På samme måte som i pasientjournalloven § 22 første ledd har også helseregisterloven § 21 første ledd krav sikring av konfidensialitet, integritet og tilgjengelighet, herunder også loggføring, se første ledd siste punktum.

 

Og på samme måte som for behandlingsrettede helseregistre har den registrerte etter helseregisterloven § 24 annet ledd innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, for alle helseregistre etter §§ 8-11.

 

6. Nasjonal kjernejournal - med automatisert opplysningsrett

Nasjonal kjernejournal er en nasjonal elektronisk løsning som samler viktige helseopplysninger, og gjør dem tilgjengelig både for innbygger og helsepersonell. Kjernejournalen inneholder viktige helseopplysninger om pasientene, innsamlet fra blant annet fastlegejournal, sykehusjournal og Reseptformidleren, og skal sikre at helsepersonell har rask, sikker og strukturert tilgang til opplysningene ved akutt sykdom eller skade. Pasienten får tilgang ved å logge seg inn via helsenorge.no. Systemet er i ferd med å rulles ut i hele Norge etter en fastlagt plan.

 

Nasjonal kjernejournal er et helseregister hjemlet i pasientjournalloven § 13:

  • § 13.Nasjonal kjernejournal
  •   Kongen i statsråd kan gi forskrift om behandling av helseopplysninger i nasjonal kjernejournal.
  •   Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Journalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.
  •   Opplysninger kan registreres og på annen måte behandles uten samtykke fra pasienten. Den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.
  •   Helsepersonell med tjenstlig behov ved ytelse av helsehjelp kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke menes en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at det gis slik tilgang. Når det er nødvendig for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder helsepersonelloven § 45 første ledd første punktum tilsvarende.
  •   Kongen i statsråd kan i forskrift gi nærmere bestemmelser om drift og behandling av helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem som er databehandlingsansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

Taushetsplikten og journalsnokeforbudet i pasientjournalloven § 15 og § 16 gjelder fullt ut for opplysningene i helseregisteret Nasjonal kjernejournal. Det er fastsatt en egen Kjernejournalforskrift, hvor vi finner en interessant nyskapning i § 6:

  • § 6.Rett til innsyn, varsel, retting, sletting og sperring
  •   Den registrerte har rett til innsyn i egne opplysninger i den nasjonale kjernejournalen, og i opplysninger om hvem som har gjort oppslag i kjernejournalen. Pasient- og brukerrettighetsloven § 5-1, jf. § 3-3 og § 3-4 gjelder tilsvarende.
  •   Den registrerte skal informeres om oppslag i nasjonal kjernejournal. Pasient- og brukerrettighetsloven § 3-3 og § 3-4 gjelder tilsvarende.
  •   Krav om retting eller sletting av opplysninger skal fremsettes overfor primærkilden for opplysningene, med mindre feilen oppstod ved registreringen i den nasjonale kjernejournalen. Den registrerte kan kreve at tilgangen til opplysningene i den nasjonale kjernejournalen blir sperret, jf. helsepersonelloven § 45, første ledd første punktum og pasient- og brukerrettighetsloven § 5-3.

Det fremgår av første ledd at den registrerte har rett til innsyn i hvem som har gjort oppslag i kjernejournalen. Av stor betydning er dessuten annet ledd som snur rundt på prinsippet som gjelder for pasienters innsyn i andre pasientjournaler. Det fremgår at den registrerte skal informeres om oppslag i nasjonal kjernejournal. Det er altså den behandlingsansvarlige som har plikt til uanmodet å informere den registrerte. Denne plikten håndteres i Nasjonal kjernejournal blant annet med at enhver har rett til å registrere at de vil ha et SMS-varsel til sin mobiltelefon når noen er inne og kikker i deres kjernejournal. Dette vil kunne sikre en vesentlig mer effektiv gjennomføring av taushetsplikten og snokeforbudet i Nasjonal kjernejournal.

 

7. Lovlig utlevering etter helsepersonelloven § 29 c - viktig unntak fra snokebestemmelsene

Slik forbudene mot journalsnoking i helsepersonelloven § 21 a, pasientjournalloven § 16 og helseregisterloven § 18 er formulert, vil de isolert sett legge avgjørende hindringer i veien for at helsepersonell kan oppnå en nødvendig læring og kvalitetssikring av tidligere behandling, for helsepersonell som ikke lenger er involvert i behandling av vedkommende pasient. Journalsnokeforbudet alene ga derfor uheldige utslag, og la avgjørende begrensninger på målrettet og hensiktsmessig forbedringsarbeid i helsevesenet.

 

For å myke opp i uheldige utslag av journalsnokeforbudet, ble det fra 1.7.2013 innført en ny bestemmelse i helsepersonelloven § 29 c som på nærmere vilkår tillot at det kunne utleveres opplysninger i sammenheng med læring og kvalitetssikring til helsepersonell som tidligere hadde deltatt i behandlingen av pasienten i et konkret behandlingsforløp. Dette fungerte følgelig som et sentralt unntak fra det journalsnokeforbudet som ellers hadde rammet slik tilgang. Øvrige relevante bestemmelser som åpner for at opplysninger kan gjøres tilgjengelige uten hensyn til taushetsplikt er helsepersonelloven § 25, § 29 a, § 29 b og § 45. Bestemmelsen åpner for at den behandlingsansvarlige på nærmere vilkår, og uavhengig av innhenting av samtykke fra pasienten, også kan gi tilgang til opplysninger i forbindelse med læring og kvalitetssikring «nedover» til personell som har vært med før innleggelse i sykehus, eller personell som har vært med på den innledende undersøkelsen eller behandlingen av pasienten på sykehuset. Det er en ufravikelig forutsetning at helsepersonellet selv tidligere har deltatt i det konkrete behandlingsforløpet hun ber om innsyn i opplysninger fra. Det kan ikke utleveres opplysninger dersom den det gjelder, motsetter seg dette, samtidig som det ikke er et vilkår for utlevering at en har innhentet eksplisitt samtykke fra pasienten.

 

Etter en viktig lovendring av § 29 c som trådte i kraft 1.1.2015, lyder bestemmelsen i dag:

  • § 29 c. Opplysninger til bruk i læringsarbeid og kvalitetssikring
  •   Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gis til annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Helsepersonell kan bare gis de opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt utlevert til og hvilke opplysninger som har blitt utlevert, jf. § 40.

For å forstå rekkevidden av denne bestemmelsen er det hensiktsmessig å gå inn i lovforarbeidene til lovendringen fra 1.1.2015. Av Prop.72 L (2013-2014) kapittel 15.3.1 på side 113 fremgår at Sykehuset Østfold HF i høringsrunden hadde innvendinger til noen uhensiktsmessige føringer som de tidligere lovforarbeidene til helsepersonelloven § 29 c ga:

  • Sykehuset Østfold HF mente at føringene for forståelsen av § 29 c i Prop.87 L (2012-2013), bør revurderes. Sykehuset mente at intensjonen med bestemmelsen var god, men at merknadene til den ligger noe på siden når det gjelder den praktiske sykehushverdagen, blant annet fordi det presiseres at helsepersonell som etterspør informasjon ikke gis anledning til selv å gjøre oppslag i pasientjournalen. Sett i lys av nytenkningen i forslag til ny pasientjournallov, mente sykehuset at en så restriktiv holdning til å lære av egne erfaringer var noe underlig.

Problemet med hvordan helsepersonelloven § 29 c var formulert var at den bare tillot at opplysninger ble utlevert, og da etter en særskilt anmodning som en fysisk person måtte ta stilling til. I en sykehushverdag var det behov for at den behandlingsansvarlige ved et sykehus også kunne gi helsepersonellet med slikt behov tilgang til opplysningene, uten noen konkret vurdering av en fysisk person i det enkelte tilfellet. Lovgiver var enig i at adgangen i helsepersonelloven § 29 c burde mykes opp i tråd med innspillene fra Sykehuset Østfold HF, se Prop.72 L (2013-2014) kapittel 15.3.1 på side 113-114 hvorfra siteres:

  • Helsepersonelloven § 29 c
  • Departementet mener at helsepersonelloven § 29 c også bør endres. Denne bestemmelsen gjelder for helsepersonell som tidligere har ytt helsehjelp til en pasient, men som ikke lenger er involvert i ytelse av helsehjelp til pasienten. Bestemmelsen åpner kun for utlevering av opplysninger og ikke for tilgang til aktuelle opplysninger.
  •  

  • Det bør etter departementets vurdering være slik at den databehandlingsansvarlige skal kunne bestemme på hvilken måte opplysningene kan gis. Kravet i helsepersonelloven § 29 c om at opplysningene bare kan utleveres og at det ikke kan gis tilgang, har sammenheng med den tilsvarende begrensningen i gjeldende helseregisterlov § 13. Bestemmelsen bør endres i lys av forslaget om informasjonsdeling i pasientjournalloven § 19, se punkt 11.3.6 om ekstern tilgang. Helsepersonellovens bestemmelse om adgangen til å gi ut opplysninger til kvalitetssikring, bør ha samme rekkevidde og begrunnelse som denne.
  •  

  • Etter departementets vurdering bør derfor helsepersonelloven § 29 c endres slik at den databehandlingsansvarlige kan bestemme på hvilken måte opplysningene kan gjøre tilgjengelige ut fra en vurdering av hvordan personvern og informasjonssikkerheten best kan ivaretas. Dette betyr at den databehandlingsansvarlige også kan gi helsepersonell tilgang etter § 29 c. Dette følger opp høringsinnspillet fra Sykehuset Østfold HF.
  •  

  • På bakgrunn av at helsepersonelloven § 29 c gjelder personell som ikke lenger er involvert i helsehjelp til pasienten, mener departementet at opplysningene i utgangspunktet fortsatt bare bør kunne gis etter anmodning. Det er ikke noe i veien for at vurderingen av anmodningen kan skje automatisert, uten at en fysisk person i hvert enkelt tilfelle må ta stilling til anmodningen. Den databehandlingsansvarlige må kunne bestemme hvilke prosesser som skal følges, innenfor rammene av reglene om taushetsplikt og informasjonssikkerhet, inkludert pasientens rett til vern mot spredning av taushetsbelagte opplysninger.

Dagens lovbestemmelse innebærer altså at det er tilstrekkelig at den databehandlingsansvarlige (som ofte er identisk med den journalansvarlige etter Journalforskriften § 6) bestemmer at nærmere spesifiserte helsepersonellgrupper skal ha tilgang til helseopplysninger om disse pasientene, selv om helsepersonellet ikke lenger tar del i behandlingen av dem. Den databehandlingsansvarlige må kunne bestemme hvilke prosesser som skal følges ved slik tilgang, hvor hensynet til taushetsplikt og informasjonssikkert forsvarlig blir ivaretatt. Det fremgår av ovenstående sitat at det ikke er noe til hinder for at vurderingen skjer automatisert, noe som i praksis betyr at det ikke er noe i veien for at det overlates til det enkelte helsepersonell å gi seg selv tilgang, innenfor og i tråd med de regler for tilgang som den behandlingsansvarlig har forhåndsdefinert. For de sykehus og helseinstitusjoner som velger å benytte denne fremgangsmåten, er det sterkt å anbefale at de sørger for tilstrekkelig dokumentasjon for hvilken fremgangsmåte og de fastsatte krav som skal følges ved slik automatisert tilgang.

 

Det er fortsatt et krav at helsepersonell kun anvender denne adgangen for de opplysninger som er nødvendig og relevant for formålet, se § 29 c tredje punktum. Det er også et vilkår at helsepersonell som benytter seg at slik adgang dokumenterer i journalen hvilke opplysninger som har blitt utlevert og til hvem. Dette betyr at helsepersonellet må dokumentere dette i journalen hver gang denne adgangen benyttes. Det vil for eksempel ikke være tilstrekkelig at det kun fremgår av loggen at helsepersonellet har vært inne i journalen, selv om databehandlingsansvarlige har vært i den tro at kun spor i loggen har vært tilstrekkelig. Pasienten skal kunne kontrollere informasjonsflyten i den grad det er mulig, se pasient- og brukerrettighetsloven § 5-3 og pasientjournalloven § 22 første ledd..

 

I Rundskriv IS 8/2012 fremgår følgende eksempel på bruk av bestemmelsen:

  • Lovregelen vil blant annet gi hjemmel for utlevering av opplysninger om faktisk diagnose. Dette er opplysninger som i mange sammenhenger vil være relevante ut fra lærings- og kvalitetssikringshensyn. Det kan her for eksempel dreie seg om differensialdiagnoser som det er viktig at helsepersonellet har kunnskap om, og som kan være avgjørende ved fremtidig ytelse av helsehjelp. Dersom det for eksempel er snakk om helt nye opplysninger som kommer fram etter en behandlingsperiode, for eksempel dersom det viser seg at pasienten i tillegg til det som i utgangspunktet var årsak til innleggelsen, også har en tilleggsdiagnose, vil dette i mange tilfelle være opplysninger som ikke kan utleveres.

Denne kommentaren er skrevet før den vesentlige endringen som trådte i kraft fra 1.1.2015, hvor det også ble åpnet opp for tilgang og tillatt en automatisert behandling av tilgangsvurderingen.

 

8. Straffe- og straffeprosessuelle bestemmelser for brudd på taushetsplikt

8.1 Straffebestemmelser for brudd på taushetsplikt

Straffeloven § 209 og § 210 har straffebestemmelser for brudd på taushetsplikter, henholdsvis grovt brudd på taushetsplikter. Disse straffebestemmelsene omfatter brudd på alle de ovennevnte taushetspliktbestemmelsene og journalsnokebestemmelsene i henholdsvis helsepersonelloven § 21 og § 21 a, pasientjournalloven § 15 og § 16 og helseregisterloven § 17 og § 18.

 

Straffelovens bestemmelser gir straff for brudd og grovt brudd på taushetsplikten med fengsel i inntil henholdsvis 1 år og 3 år. Grov uaktsomhet er skyldkravet. Denne bestemmelsen kommer i tillegg til helsepersonelloven § 67 som imidlertid kun gir straff i form av bøter eller fengsel i inntil 3 måneder:

  • § 67.Straff
  •   Den som forsettlig eller grovt uaktsomt overtrer bestemmelser i loven eller i medhold av den, straffes med bøter eller fengsel i inntil tre måneder.
  •   Offentlig påtale finner sted hvis allmenne hensyn krever det eller etter begjæring fra Statens helsetilsyn.

Hvilken straff er det da helsepersonell risikerer ved brudd på taushetsplikten; maksimalt 3 måneder eller 3 år? Helsepersonell blir vurdert etter den strengeste straffebestemmelsen, og risikerer derfor bøter eller fengsel inntil 1 år, og fengsel i inntil 3 år ved grovt brudd på taushetsplikten. Helsepersonelloven § 67 representerer derfor ikke noen øvre grense for straff.

 

Et forhold man skal være klar over med taushetspliktbestemmelsene er at det ikke er straffbart alene å motta taushetsbelagte opplysninger. Men det å utnytte en slik opplysning med forsett om å skaffe seg eller andre en uberettiget vinning, er straffbart, se straffeloven § 209 første ledd, og grovt uaktsom overtredelse straffes på samme måte, se § 209 fjerde ledd. Også forsøk på å utnytte taushetsbelagte opplysninger er straffbart etter straffeloven § 16. Medvirkning til brudd på taushetsplikten er ikke straffbart, se § 209 femte ledd.

 

Straffebudet gjelder tilsvarende ved brudd på taushetsplikt som følger av tjeneste eller arbeid for statlig eller kommunalt organ, selv om handlingen er foretatt etter at gjerningspersonen har avsluttet tjenesten eller arbeidet, se § 209 tredje ledd. Man kan derfor straffes for brudd på taushetsplikt selv om det skjer etter at man har sluttet i den aktuelle stilling, og selv om man ikke lenger innehar autorisasjon eller lisens som helsepersonell.

 

8.2 Straffeprosessuelle bestemmelser for brudd på taushetsplikt

En viktig begrensning i forhold til straffebehandling av slike saker, følger imidlertid av helsepersonelloven § 67 annet ledd. Av bestemmelsen fremgår at offentlig påtale finner sted hvis allmenne hensyn krever det, eller etter begjæring fra Statens helsetilsyn. Offentlig påtale er et straffeprosessuelt uttrykk som viser til reglene for å igangsette en strafferettslig forfølging, som eventuelt leder til en pådømmelse. Det er kun det offentlige, representert ved domstolene, som kan idømme straff. Innledningen av en slik sak er enten en offentlig påtale fra den offentlige påtalemyndigheten, eller en anmeldelse fra en fornærmet. En anmeldelse fra en fornærmet vil typisk kreve et påstått straffbart forhold etterforsket og straffet (påtalt). Dette må sees i sammenheng med den fra 1.10.2015 endrede bestemmelsen i straffeprosessloven § 62 a hvor alle straffbare handlinger er undergitt ubetinget offentlig påtale med mindre annet er bestemt i lov. For overtredelser av straffebud som har en strafferamme på mer enn 2 år har den offentlige påtalemyndighet rett til å påtale straffbare handlinger (dvs reise straffesak eller reagere med annen straff som forelegg, bøter etc). Er strafferammen på 2 år eller lavere, som tilfellet er for straffbare brudd på taushetsplikten etter § 209, kan påtale unnlates hvis ikke allmenne hensyn tilsier påtale. Frem til 1.10.2015 var det et krav til straffebud som beskyttet en privat interesse, at fornærmede formelt og skriftlig begjærte offentlig påtale.

 

I en konkret sak 2105/2015 har Statens helsetilsyn i beslutning av 6.1.2016 gitt uttrykk for hvordan de praktiserer kravet om påtalebegjæring fra dem etter helsepersonelloven § 67 i relasjon til journalsnokingsbestemmelsen i helsepersonelloven § 21 a:

  • "Statens helsetilsyn viser videre til at brudd på helsepersonelloven § 21 a normalt vil være forsettlige, og uansett grovt uaktsomme, slik at skyldkravet i § 67 som regel vil være oppfylt.
  • Etter vår vurdering bør imidlertid begjæring av påtale reserveres til tilfeller hvor omfanget av de urettmessige oppslagene for eksempel bærer preg av kartlegging av omgangskrets og/eller samtidig brudd på taushetsplikten i § 21."

I nevnte sak har Statens helsetilsyn dessuten gitt uttrykk for at mindre alvorlige overtredelser bør behandles administrativt av dem, og ikke gjennom straffesaker. Dette er signaler fra tilsynsmyndigheten om at man fortsatt ønsker å praktisere en betydelig grad av indre justis for mindre lovbrudd i helsevesenet.

 

8.3 Arianson-utvalgets vurdering av etablering av et eget Helsekrim

Fylkeslege Helga Arianson har siden 11.8.2014 ledet et utvalg (Arianson-utvalget) som har sett på oppfølging av alvorlige hendelser i helse- og omsorgstjenesten. Den 2.11.2015 fremla utvalget sin utredning i NOU 2015:11 - Med åpne kort — Forebygging og oppfølging av alvorlige hendelser i helse- og omsorgstjenestene. Utredningen ble sendt på høring 11.11.2015 med høringsfrist 1.3.2016. Når dette skrives er høringen fortsatt til behandling i Regjeringen.

 

Av mandatet til Arianson-utvalget fremgår at de blant annet skulle vurdere:

  • de ulike sanksjonstypene, herunder hva som er formålet med sanksjoner, individualpreventive og allmennpreventive hensyn, forholdet til straff, herunder foretaksstraff, læring og forholdet mellom individ og system
  • om de ulike instansenes/aktørenes ansvar, uavhengighet, funksjon og oppgaver ved alvorlige hendelser og mistanke om lovbrudd i helse- og omsorgstjenesten er hensiktsmessig i et pasientsikkerhets- og tillitsperspektiv
  • utvalgte andre lands erfaringer med å følge opp og håndtere alvorlige hendelser og mistanke om lovbrudd
  • om politiet bør ha egen helsefaglig kompetanse for å kunne etterforske alvorlige hendelser i helse- og omsorgstjenesten eller om det er tilstrekkelig å hente inn slik kompetanse når det er nødvendig

Arianson-utvalgets hovedkonklusjoner knyttet til politietterforskning og straff fremgår av NOU 2015:11 side 12:

  • Politietterforsking og straff
  • I utvalgets mandat nevnes mistanke om lovbrudd sammen med alvorlige hendelser. Tilsynsmyndighetene fører administrativ kontroll med om relevant lovgivning overholdes, men den strafferettslige håndteringen av lovbrudd tilligger politi, påtalemyndighet og domstoler. Etter utvalgets syn er det ikke grunn til å gi strafforfølgning en mer framtredende plass i oppfølgingen av alvorlige hendelser.
  • Utvalget peker imidlertid på forbedringspunkter i håndteringen av meldinger til politiet om unaturlig dødsfall i helse- og omsorgstjenestene og helsesakene for øvrig. Blant annet må politiet i større grad foreta en selvstendig vurdering av om det er grunn til å iverksette etterforsking. Tilsynsmyndighetens frist for å gi tilråding om det bør iverksettes etterforsking, bør kortes ned betydelig. Utvalget framhever at muligheten for politidistriktene til å søke bistand fra Kripos bør benyttes oftere, men foreslår ikke at politiet knytter til seg helsefaglig kompetanse på fast basis. Utvalget foreslår også en rutine der statsadvokatene involveres i spørsmål om henleggelse av de aktuelle sakene.

Det gjenstår å se hvilke lovendringer Solberg-regjeringen vil fremme for Stortinget. I Solberg-regjeringens plattform av 7.10.2013 på side 43 er det imidlertid allerede beskrevet at den vil etablere en uavhengig undersøkelseskommisjon for uønskede hendelser i helsevesenet. Selv om kun et mindretall på 4 av 14 utvalgsmedlemmer støtter opprettelsen av en slik kommisjon, vil ventelig regjeringen gjennomføre sin uttrykte politikk og fremme slikt forslag for Stortinget.

 

9. Erstatningsansvar knyttet til helselovgivningens taushetspliktbestemmelser

Helsepersonell som gjennomfører ulovlig journalsnoking, risikerer å bli personlig saksøkt av den fornærmede med krav om oppreisningserstatning. Erstatningsansvar kan bli tilkjent etter reglene om oppreisningserstatning i skadeserstatningsloven § 3-6, selv om vedkommende fornærmede ikke har lidd noe dokumenterbart tap. Dette erstatningsansvaret forutsetter at helsepersonellet som har snoket har opptrådt enten grovt uaktsomt eller forsettlig. Det vil i de fleste tilfeller være tilfellet. Det er også nødvendig at det såkalte publiseringsvilkåret i straffeloven § 267 er oppfylt. Publiseringsvilkåret innebærer at den taushetsbelagte informasjon må være meddelt offentlig, se straffeloven § 10 (2). Det er tilstrekkelig at meddelelsen ble fremsatt på en slik måte at den var egnet til å nå et større antall personer, uavhengig av om dette faktisk skjedde. Det å for eksempel legge ut deler av slike opplysninger fra journalsnokingen på internett eller andre sosiale medier vil være tilstrekkelig til å rammes av bestemmelsen, selv om det skjer på fora som er begrenset til en viss krets av mennesker. Tilsvarende vil det naturligvis være hvis dette spres på annen måte i media e.l. I forhold til rubriseringen i forhold til taushetspliktbestemmelsene, vil det å senere spre opplysninger som i første omgang var innsamlet ved ulovlig journalsnoking i strid med helsepersonelloven § 21 a (dvs fra en pasientjournal hvis pasient helsepersonellet ikke tok del i behandlingen av), også innebære et brudd på hovedregelen om taushetsplikt i helsepersonelloven § 21.

 

Oppfylles ikke kravet om at opplysningene er meddelt offentlig etter straffeloven § 267, er det ikke grunnlag for å kreve oppreisningserstatning etter skadeserstatningsloven § 3-6, jf Rt 2012 side 1669. Den fornærmede hvis opplysninger har blitt snoket i, kan imidlertid også holde den databehandlingsansvarlige erstatningsrettslig ansvarlig for journalsnokingen i medhold av pasientjournalloven § 31 første ledd. Denne bestemmelsen gir anledning til å kreve en passende erstatning for ikke-økonomisk skade (oppreisningserstatning) etter annet ledd siste punktum. Bestemmelsen gir imidlertid ikke hjemmel for å kreve erstatning direkte fra journalsnokeren.

 

Erstatningsnivået for en oppreisningserstatning som følge av journalsnoking blir opp til domstolene å fastsette, men basert på tilgjengelig rettspraksis (se for eksempel Rt 2006 side 799) kan et slikt ansvar typisk ligge på fra kr 25 000 til opp mot kr 75 000, avhengig av omstendighetene (varighet, frekvens, tilknytning til fornærmede, hvem og hvor mange opplysningene er spredt til, helsepersonellets bruk av opplysningene mv). Et slikt ansvar dekkes ikke av pasientskadeloven og Norsk pasientskadeerstatning (NPE).

 

Sannsynligheten for at den fornærmede vinner frem med et slikt erstatningssøksmål mot helsepersonellet er stor, spesielt i alvorlige tilfeller av journalsnoking hvor taushetsopplysninger deretter er spredt til flere. Etter hovedregelen i tvisteloven § 20-2 (1) skal det medføre at helsepersonellet også blir dømt til å betale motpartens sakskostnader. For en enkel en-to dagers hovedforhandling i tingretten, kan dette medføre et sakskostnadsansvar på typisk fra kr 150 000 til kr 250 000. Dette kommer i tillegg til helsepersonellets omkostninger til egen advokat på anslagsvis det samme. Og ankes dommen til lagmannsretten, med samme resultat, vil beløpene dobles. Selv om selve oppreisningserstatningen er svært begrenset, kan de økonomiske konsekvensene ved et søksmål bli betydelig.

 

10. Retts- og nemndspraksis rundt helselovgivningens snokebestemmelser

Det finnes få dommer fra norske domstoler hvor helsepersonell er dømt for å ha brutt snokeforbudet i helsepersonelloven § 21 a. I en dom fra Borgarting lagmannsrett 9.9.2014 ble en helsesekretær (legesekretær) i Aleris Helse AS i Oslo dømt for brudd på både hovedregelen om taushetsplikt i helsepersonelloven § 21 og snokeforbudet i helsepersonelloven § 21 a overfor en gruppe på over 2 000 pasienter. Den 53 år gamle helsesekretæren ble dømt til betinget fengsel i 15 dager for brudd på helsepersonelloven § 21 og § 21 a. Den 62 år gamle legen (spesialist i plastisk kirurgi) som var ansatt i Aleris Helse AS i Trondheim ble dømt til betinget fengsel i 30 dager, og en bot på kr 30 000, for brudd på helsepersonelloven § 21 og § 21 a gjennom forsettlig medvirkning å ha forledet helsesekretæren til å gå inn i lister med taushetsbelagte pasientopplysninger uten at det hadde sammenheng med helsehjelp til pasientene. Både helsesekretæren og legen hadde vært varetektsfengslet i henholdsvis 3 dager og 2 dager for disse forholdene.

 

Her følger en gjennomgang av dommen:

  • Aleris Helse AS vant høsten 2009 en anbudskonkurranse om utføring av ortopediske operasjoner for det offentlige. Avtalen gikk over fire år og hadde en maksimal økonomisk ramme på mer enn NOK 500 millioner kroner. Flere konkurrerende private helseforetak valgte å påklage anbudstildelingen til Helse Sør-Øst RHF.
  •  

  • I forsøk på å frata Aleris Helse AS oppdraget, og for å gi både sitt eget helseforetak [Firma 2] AS og andre konkurrerende private helseforetak uberettiget fordel i klagerunden slik at disse helt eller delvis skulle tildeles oppdraget, ringte B (62 år gammel legespesialist i plastisk kirurgi) som [ansatt/innleid] lege hos Aleris Helse AS i Trondheim til helsesekretær A (53 år) i Aleris Helse AS i Oslo. Hun hadde i motsetning til B tilgang til Aleris Helse AS sine datasystemer. B ville at hun skulle logge seg på datasystemene til Aleris Helse AS i Oslo for å foreta utskrifter av operasjonsprogrammer og avtalebøker til to av foretakets ansatte leger med ansvar for ortopediske operasjoner.
  •  

  • Den 30.11.2009 tok A (helsesekretær i Aleris Helse) ut en rekke utskrifter fra journalsystemet som blant annet inneholdt navn på pasienter, pasientenes personnummer, diagnoser og behandlingen av nærmere 2 000 pasienter. Etter instruks fra B leverte A de usladdede operasjonsloggene og avtalebøkene til Bs kone utenfor sykehuset, som igjen leverte disse videre til B, som sladdet pasientnavnene og kopierte utskriftene. Han leverte deretter en [delvis sladdet] versjon av utskriftene til ledende personer i det konkurrerende helseforetaket [Firma 3] AS, og leverte tallmessige sammenstillinger av innholdet i pasientlistene til ledende personer i det konkurrerende private helseforetaket [Firma 1] AS. De to private helseforetakene benyttet deretter opplysningene i forbindelse med sine klager på anbudstildelingen.
  •  

  • Saken ble etterforsket og det ble tatt ut tiltale mot legesekretæren for brudd på blant annet taushetsplikten i helsepersonelloven § 21 og snokebestemmelsen i helsepersonelloven § 21 a. Saken ble endret i lagmannsretten og gjaldt straff for uberettiget bruk og utlevering av pasientopplysninger. Lagmannsretten kom til at helsesekretæren som hadde utlevert opplysningene, ikke kunne straffes for utroskap etter straffeloven 1902 § 275 (tilsvarer straffeloven 2005 § 390) fordi hun ikke hadde hatt en styrings- eller tilsynsfunksjon i lovens forstand. Hun kunne bare dømmes for overtredelse av helsepersonelloven § 21 (taushetsplikt) og § 21 a (uberettiget bruk av helseopplysninger), slik også tingretten kom til. Mottakeren av opplysningene - en lege - ble dømt for medvirkning til disse overtredelsene. Lagmannsretten kom videre til at et selskap som hadde mottatt opplysningene i anonymisert form, ikke kunne ilegges foretaksstraff for heleri (surrogatheleri) etter straffeloven 1902 § 317 (tilsvarer straffeloven 2005 § 332 først ledd annet punktum), jf § 48 a (tilsvarer straffeloven 2005 § 27). Lagmannsretten viste til at lovgiver bevisst hadde valgt ikke å gjøre det straffbart å motta taushetsbelagte opplysninger, jf straffeloven 1902 § 121 (tilsvarer straffeloven 2005 § 209). Sammenhengen i straffeloven 1902 sitt system tilsa da at forholdet heller ikke kunne være straffbart etter heleribestemmelsen. Straffen ble redusert sammenlignet med tingrettens dom.

11. Snokeforbudets forhistorie – den offisielle versjonen i lovforarbeidene

I lovforarbeidene til helsepersonelloven § 21 a heter det:

  • "Bakgrunnen for høringsnotatet var erfaringer med at det forekom urettmessig lesing («snoking») i pasientjournaler. Det ble blant annet vist til at Datatilsynet i november 2004 anmeldte et helseforetak til politiet for manglende informasjonssikkerhet. Anmeldelsen skjedde på bakgrunn av en henvendelse til Datatilsynet om en avdelingsleders ulovlig innsyn i sykejournaler til sine ansatte. Henvendelsen kom fra tillitsvalgte ved helseforetaket.
  •  

  • Politiet var enig med Datatilsynet i at det forelå brudd på helseregisterloven § 16, jf. § 34 første ledd nr. 1, og ga helseforetaket et forelegg, som sykehuset har vedtatt. Det vises til at helseregisterloven § 16 pålegger den databehandlingsansvarlige og databehandleren å sikre konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger og overtredelse er straffesanksjonert i helseregisterloven § 34.
  •  

  • I saken ble det også reist spørsmål om avdelingslederen for felleskontortjenesten/skrivestuen, som hadde snoket i journalene, hadde brutt sin taushetsplikt. Statsadvokaten vurderte spørsmålet i forhold til helsepersonelloven § 21, og uttalte:
  •  

  • ”Statsadvokaten er enig med direktoratet og departementet i at avdelingslederen har taushetsplikt etter helsepersonelloven. Statsadvokaten er imidlertid ikke enig med direktoratet og departementet i at en kan innfortolke et forbud mot at personell gjør seg kjent med taushetsbelagte opplysninger i helsepersonelloven § 21. Statsadvokaten ser at det foreligger reelle hensyn som taler for en slik forståelse. Kravet til lovhjemmel i straffesaker står imidlertid sterkt, jf. Grl. § 96. Det vises til at en naturlig forståelse av ordlyden i § 21 tilsier at det er det forhold å bringe informasjon videre som er brudd på bestemmelsen. Statsadvokaten er derfor av den oppfatning at det å oppsøke eller sette seg i besittelse av taushetsbelagt informasjon ikke kan ansees som brudd på helsepersonelloven § 21. Det understrekes at vurderingen er foretatt i strafferettslig sammenheng, og at statsadvokaten ikke har noen formening om hvorvidt resultatet kunne blitt et annet i sivilrettslig sammenheng.”

Etter departementets vurdering er det en mangel at det i helsepersonelloven ikke klart fremgår at det er forbudt å oppsøke eller sette seg inn i taushetsbelagte opplysninger uten at en har tjenstlig behov for dem. Det er likevel departementets inntrykk at helsepersonell har en etisk og yrkesmessig forståelse av at det ikke er adgang til å uberettiget tilta seg taushetsbelagte opplysninger. Likevel har den nevnte straffesaken vist at det er behov for å tette dette lovtomme området, spesielt i forhold til strafferettslige vurderinger.

 

12. Snokeforbudets forhistorie - den virkelige og dramatiske historien

Dersom en fjerner all departemental sminke og nøkternhet, og tar en titt på hva som reelt lå bak denne lovendringen, vil man finne en relativt dramatisk historie. Heng med så skal du få se.

 

Saken starter med en alvorlig svikt ved Helgelandssykehuset HF, avdeling Mosjøen, hvor 14 ansatte sekretærer på en skrivestueavdeling til slutt skrev et brev til Datatilsynet. Brevets innhold var eksplosivt, og beskrev en avdelingsleders innsyn i 13 ansattes private legejournaler. Nevnte avdelingsleder, som ifølge journalloggene hadde vært inne på journalnotater helt tilbake til 1992-93 på de ansatte, var utdannet økonom, og hadde ikke helsefaglig bakgrunn. Vedkommende var leder for en felleskontortjeneste/skrivestue som stod for innskriving i pasientjournaler for behandlende helsepersonell. Han hadde brukertilgang til alle somatiske pasientjournalnotater. Det gis en detaljert beskrivelse av avdelingslederens overtramp, som blant annet dagen før en vikar skulle til intervju hos vedkommende, var inne på hennes private journal. De ansatte har hatt det svært tungt etter dette, og de føler det meget vanskelig å jobbe samme med vedkommende. Les det meget sterke brevet av 8.11.2004 til Datatilsynet her.

 

Helgelandssykehusets ledelse håndterte innledningsvis denne saken på en måte som skapte alvorlig frykt hos de ansatte, ved at de følte at de indirekte ble utsatt for trusler som gjorde dem redde for jobben. Se tilleggsbrev 13.11.2004 fra de ansatte, hvor de beskriver hvordan de oppfatter sykehusets jurist sine uttalelser som en indirekte trussel.

 

Det kommer deretter en rekke brev mellom Datatilsynet og Helgelandssykehuset, hvor sistnevnte forsvarer sin opptreden. I ettertid er det spesielt interessant å lese Helgelandssykehusets første brev 29.12.2004, som er svar på brevet fra Datatilsynet av 1.12.2004. Sykehusets svar får de ansatte som er utsatt for snokingen i harnisk, og i brev 8.1.2005 går de sterkt i rette med sin egen arbeidsgivers fremstilling av saken.

 

Det utvikler seg så en mer og mer opphetet diskusjon mellom Datatilsynet og Helgelandssykehuset, hvor sistnevnte på et tidspunkt går til politianmeldelse av den aktuelle avdelingslederen. Her kan du lese politianmeldelsen av 8.2.2005 uten vedlegg.

 

Samme dag sender Helgelandssykehuset ytterligere informasjon om sitt syn på saken, se Helgelandssykehusets brev til Datatilsynet 8.2.2005. Også dette brevet har et innhold som de rammede ansatte reagerer sterkt på, og de sender Datatilsynet sine kommentarer i brev 13.2.2005.

 

Datatilsynet varsler Helsetilsynet i Troms i brev 11.2.2005, og anmoder om Helsetilsynets vurdering av om det foreligger brudd på taushetsplikten etter helsepersonelloven. Ettersom det aktuelle Helgelandssykehuset befinner seg i Nordland, blir dette senere videresendt Helsetilsynet i Nordland.

 

Temperaturen mellom partene stiger nå ytterligere, saken bringes opp på øverste nivå i Datatilsynet, og i brev 23.2.2005 fra Datatilsynets direktør til direktøren ved Helgelandssykehuset fremgår alvoret avslutningsvis:

  • "Ovenfor nevnte eksempler kan gi antydninger om at Helgelandssykehuset trenerer saksbehandlingen, samt holder tilbake informasjon. Tilsynet ser svært alvorlig på sykehusets manglende vilje til å opplyse saken."

Dette er meget sterk kost i tilsynssammenheng, og er konkret begrunnet i hva Datatilsynet har opplevd i denne saken.

 

Datatilsynets brev høster også et kraftig motsvar i brev 8.3.2005 fra Helgelandssykehuset.

 

Datatilsynet sender så et 12 siders brev til Politiet den 11.4.2005, hvor det gis en begrunnet oppfatning av det Datatilsynet mener er flere lovbrudd fra Helgelandssykehusets side.

 

Saken er nå så betent for Helgelandssykehuset at de velger å engasjere ekstern advokat, som i brev 16.6.2005 hevder at Datatilsynet har anmeldt galt rettssubjekt (person) når de har anmeldt direktøren for Helgelandssykehuset. Datatilsynet står i brev 24.6.2005 fast på sin anmeldelse og avviser Helgelandssykehusets anførsler om galt rettssubjekt.

 

Ved vedtak 7.10.2005 velger Helgeland politidistrikt å henlegge saken etter bevisets stilling. Henleggelsen blir umiddelbart påklaget til Riksadvokaten av Datatilsynet i brev 12.10.2005. Riksadvokaten oversender den 19.10.2005 saken til Statsadvokatembetet i Nordland for vurdering.

 

Det fremkommer av Datatilsynets klage 12.10.2005 til Riksadvokaten at det har vært en samtale mellom Riksadvokaten og Georg Apenes, direktøren i Datatilsynet. Helgelandssykehuset kritiserer i brev 22.11.2005 denne muntlige kontakten, og uttrykker blant annet:

  • «Det er etter vår oppfatning særlig uheldig at Riksadvokaten synes å gi føringer på resultatet av klagebehandlingen.»

Disse påstandene om innholdet i den muntlige kontakten mellom Riksadvokaten og Datatilsynet får Riksadvokaten til å reagere i brev 30.11.2005 til Helgelandssykehusets advokat.

 

Sosial- og helsedirektoratet kommer i brev 2.12.2005 til Datatilsynet til at vedkommende avdelingsleder (økonom) er å anse som helsepersonell etter helsepersonelloven. Dette i motsetning til hva Helsetilsynet hadde kommet til i brev 25.4.2005. Dessuten konkluderer Sosial- og helsedirektoratet med at det må innfortolkes et forbud mot at personell gjør seg kjent med taushetsbelagte opplysninger etter helsepersonelloven § 21. I brev 7.12.2005 slutter Helse- og omsorgsdepartementet seg til denne vurderingen som er foretatt at Sosial- og helsedirektoratet.

 

I vedtak 9.1.2006 omgjør Statsadvokatembetet i Nordland den tidligere henleggelsen, og pålegger Helgeland politidistrikt å foreta ytterligere etterforskning. I et annet brev fra Statsadvokatembetet i Nordland samme dag gir Statsadvokaten uttrykk for at de er enig i at vedkommende avdelingsleder har taushetsplikt etter helsepersonelloven, slik Sosial- og helsedirektoratet, og Helse- og omsorgsdepartementet har konkludert med. Samtidig uttrykkes det fra Statsadvokaten at en ikke er enig i at det kan innfortolkes et forbud mot at personell gjør seg kjent med taushetsbelagte opplysninger i helsepersonelloven § 21, selv om det kan foreligge reelle hensyn som tilsier en slik fortolkning. Hensynet til lovhjemmel i straffesaker står sterkt etter Grunnlovens § 96, slik at det å bringe informasjonen videre er det som representerer brudd på denne bestemmelsen. Det å oppsøke eller sette seg i besittelse av taushetsbelagt informasjon kan ikke anses som brudd på taushetspliktbestemmelsen i helsepersonelloven § 21.

 

Etter noe ytterligere etterforskning presenterte Politimesteren i Helgeland den 3.4.2006 et forelegg på kr 50 000 til Helgelandssykehuset, som styret i Helgelandssykehuset vedtok 25.4.2006. Innholdet i forelegget – det Helgelandssykehuset vedtok – er også spesielt, hvorfra siteres:

  • «Grunnlag:
  • I tidsrommet fra høsten 2004 til våren 2005, unnlot Helgelandssykehuset HF på forespørsel å fremlegge for Datatilsynet tilfredsstillende dokumentasjon vedrørende informasjonssystem og sikkerhetstiltak vedrørende elektronisk behandling av helseopplysninger. Herunder ble det ikke fremlagt tilstrekkelig dokumentasjon vedrørende overordnede rutiner for helseforetakets behandling av helseopplysninger, tilstrekkelig dokumentasjon for gjennomførende rutiner for tildeling av tilgang til elektronisk lagrede helseopplysninger, dokumenterte rutiner for etterfølgende kontroll av innsyn i helseregistre og dokumentasjon for planlagt oppfølging av systemet, samt systematisk håndtering av avvik. Helseforetaket kunne heller ikke dokumentere risikovurdering for konfidensialitet for behandling av helseopplysninger.»

Helgelandssykehuset vedtok altså ikke forelegget for brudd på taushetsplikten. Det de vedtok forelegg for var manglende fremleggelse av tilfredsstillende og tilstrekkelig forespurt dokumentasjon for Datatilsynet. I lovforarbeidene til snokebestemmelsen blir dette betegnet som at det "...forelå brudd på helseregisterloven § 16, jf. § 34 første ledd nr. 1", som kan forlede noen til å tro at dette var en sak hvor Helgelandssykehuset ikke hadde formell orden i all dokumentasjon som var nødvendig. Foreleggets ordlyd benytter imidlertid betegnelsen "..unnlot Helgelandssykehuset HF på forespørsel å fremlegge for Datatilsynet...", hvilket nok henspeiler på en mer bevisst unnlatelseshandling overfor en tilsynsmyndighet. Dette stemmer også bedre med den begivenhetsnære dokumentasjonen i saken som her er belyst.

 

Det hører med til historien at 11 av de berørte ansatte ved skrivestuen som hadde opplevd journalsnokingen, tok ut søksmål mot sin egen arbeidsgiver ved Alstadhaug tingrett, med krav om erstatning. I februar 2006 ble det inngått forlik i disse sakene, hvor hver av saksøkerne fikk kr 32 000,- i erstatning fra Helgelandssykehuset for den belastningen de hadde vært utsatt for. Den aktuelle avdelingslederen ble fjernet fra sin stilling.

 
Kommuneansattes Fellesorganisasjon (KFO) fikk MMI til å gjennomføre en spørreundersøkelse blant sine medlemmer, i etterkant av saken ved Helgelandssykehuset. Resultatet av denne undersøkelsen blant ansatte i helsevesenet viste at hele 86 % mente det var utbredt å kikke i journalene utover det som var nødvendig av hensyn til pasientbehandling.

 

En presentasjon av denne undersøkelsen og resultatene finner du her.

 

Det hører også med til historien at Helgelandssykehuset HF har brukt mer enn 1 million kroner til konsulentfirma i Oslo som har bistått dem, egne ansatte som har jobbet intensivt med saken, ekstern advokat mv. Sykehuset var på dette tidspunktet ikke villig til å innrømme at de hadde begått noen feil, men ble som kjent senere ilagt forelegg som de vedtok.

 

13. Datatilsynets dramatiske forslag

Datatilsynet var ikke fornøyd med denne begrensede innstrammingen knyttet til snikkikking i journalen, noe man kan ha en viss forståelse for etter å ha lest den dramatiske forhistorien. I et brev 1.10.2007 til statsråden i Helse- og omsorgsdepartementet fremmet Datatilsynet et eget lovforslag som gikk mye lenger enn snokingsbestemmelsen som da var ute på høring. Brevet gikk i kopi til Sosial -og helsedirektoratet, Statens Helsetilsyn og Legeforeningen.

 

Datatilsynets brev åpner med:

  • Datatilsynet har gjentatte ganger mottatt henvendelser som tilsier at uautorisert oppslag i pasientjournaler («snoking») finner sted i et uakseptabelt omfang. Helsepersonell flest har en etisk og yrkesmessig forståelse av at det ikke er adgang til å uberettiget tilta seg taushetsbelagte opplysninger. Det er likevel et faktum at urettmessig tilegnelse av slike opplysninger forekommer. Tilsynet ønsker med dette å fremme et forslag overfor departementet om endring av pasientrettighetsloven og eventuelt helsepersonelloven.

Lovforslaget konkretiseres så til følgende:

  • Ivaretakelse av taushetsplikten er grunnleggende for tillitsforholdet mellom lege og pasient. Etter tilsynets oppfatning vil det være naivt å legge til grunn at ”snoking” vil opphøre som en konsekvens av den departementets ovenfor nevnte forslag til lovendring. Selv om ”snoking” trolig blir forbudt, er det vanskelig å oppdage at noen har sniklest. Datatilsynet vil derfor foreslå at pasientrettighetsloven § 5-1 og eventuelt helsepersonelloven § 41, endres slik at alle pasienter –for eksempel en gang i året får tilsendt sine journallogger. Det forutsettes at dette skal være kostnadsfritt for pasienten. Pasienten selv, vil på denne måten gis anledning til å gjennomgå hvem som har lest dem. For tilsynet er det ikke avgjørende årlig oversendelse. Et annet alternativ kan være at loggen utleveres sammen med journalutskrift/epikrise etter utskriving. Det avgjørende er at det er tydelig opplyst, og lett tilgjengelig for pasienten. En aktivitetsplikt fra helseforetaket vil imidlertid være en forutsetning.
  •  

  • Formålet med Datatilsynets forslag er å gi pasienten bedre kontroll over hvem som åpner journalen av ren nysgjerrighet. Ved at pasientene får tilgang på loggene, kan de selv oppdage hvor ofte – og hvem – som har lest i journalene deres. Forslaget er bare ett av flere tiltak som er nødvendige for å begrense ulegitimert tilgang til pasientjournaler og spredning av sensitive pasientopplysninger. Når det gjelder detaljene i hvordan forslaget kan utvikles i praksis, er Datatilsynet åpne for diskusjon med departementet og eventuelt andre relevante aktører. Tilsynet antar at et møte i sakens anledning kan være nyttig.
  •  

  • Deres tilbakemelding imøteses.

Dette lovforslaget ble ikke tatt til følge av departementet. Senere har Datatilsynet fulgt opp dette på nytt.

 

Datatilsynet viste også til Kommunalansattes Fellesorganisasjon (KFO) undersøkelse fra 2005 utført av MMI Univero, hvor det kom frem at hele 86 % av ansatte i helsevesenet mente det er utbredt å snoke i pasientjournaler.

 

14. Avdekket journalsnoking i inn – og utland

Riksrevisjonen har i sitt dokument Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013 inntatt i Dokument 3:2 (2014-2015) av 11.11.2014 som sak 3 på side 23 tatt for seg styring og kontroll av tilgang til helseopplysninger i elektroniske pasientjournaler i fire helseforetak. Riksrevisjonen konstaterer at ansatte i helseforetak har tilgang til helseopplysninger utover tjenestebehov, og kontrollen av tilganger til elektronisk pasientjournal er mangelfull. Tilgang til helseopplysninger er underlagt streng lovregulering, men Helse- og omsorgsdepartementet må sørge for at foretakene følger reglene, uttaler riksrevisor Per-Kristian Foss. Det er nærmest tilfeldig om snokerne tas, fremkommer det i rapporten.
 

 

En alvorlig sak som innebar at hele 116 000 personers pasientjournal ble tilgjengelig for to doktorgradsstipendiater har vi i dommen fra Sør-Trøndelag tingrett av 18.2.2014. Her ble tidligere professor Carl-Fredrik Bassøe og NTNU-professor Anders Grimsmo dømt for å ha innhentet helsedata uten å informere pasientene om formålet, og for å ha gjort dataene tilgjengelig for forskningsmiljøet ved NTNU. Begge professorene var også tiltalt for å ha brukt dataene selv, men ble frifunnet for dette. Bassøe ble dømt ti å betale en bot på kr 30 000 for å ha begått lovbrudd knyuttet til omtrent 110 000 personer, mens Grimsmo ble dømt til å betale en bot på kr 10 000 for samme type lovbrudd for omtrent 6 000 personer.

 

Bassøe eide tidligere selskapet Promed AS som hadde utviklet et pasientjournalsystem for omtretn 21 legekontorer på Vestlandet, og tok med seg en kopi av pasientjournalene til Trondheim da han i 2007 fikk en deltidsstilling som professor ved NTNU. Anders Grimsmo hadde vært kommuneoverlege i Surnadal og var da databehandlingsansvarlig for 6 000 pasientjournaler. Han syntes journalsystemet var for dårlig, og ønsket å få folk fra NTNU-miljøet til å forbedre det, og han tok derfor med seg journalene til Trondheim da han gikk inn i et professorat der. Begge mente de at de hadde handlet innenfor loven (!), og hadde nektet å vedta forelegg. De har også gitt noen uttalelser til media som viser en grunnleggende misforståelse av jussen på området. Dette viser at høy medisinsk kompetanse ikke nødvendigvis faller sammen med den påkrevede respekten for pasientjournalers sensitive karakter. Dommens faktum viser også hvor skremmende lett det er blitt i tider med elektorniske pasientjournaler å begå slike lovbrudd mot en svært stor gruppe personer. Dette hadde jo vært helt umulig i en situasjon med manuelle journaler, og viser hvorfor det er svært viktig å reagere mot slike lovbrudd.

 

Her er et utvalg av nesten 40 snokesaker som har vært omtalt i media de siste årene.

Journalsnoking - avisartikler

40 avisartikler om journalsnoking i perioden 2004 - 2016
NettavisDatoHelseinstitusjonHelsepersonellKommentar
www.aftenposten.no11.11.2016NAVSeksjonssjef i NAVKvinnelig tidligere seksjonssjef i NAV politianmeldt for brudd på journalsnoking i NAV-journaler, som er brukt mot en nabo i en gjerdetvist. Også delt med hennes ektefelle. Måtte gå fra jobben, og er politianmeldt for brudd på straffeloven § 171 - Tjenestefeil.
smp.no29.03.2016Fastlege SunnmøreLegeLege på Sunnmøre tatt for gjentatt snoking i journal til en person som ikke var hans pasient. Legen gjorde hele 24 oppslag i journalen til personen på fem dager. Selv har legen uttalt til Helsetilsynet at han gikk inn i journalen for å ha grunnlag for å tilbakevise påstander rettet mot ham. Legen mener han hadde rett til dette i sin stilling som fastlege. Legen fikk advarsel fra Helsetilsynet, og sluttet i jobben høsten 2015.
nrk.no11.03.2016Volda kommuneSpesialsykepleierSykepleier hadde snoket i 145 journalnotater for totalt 23 pasienter i rus- og psykiatritjenesten på Volda, Sunnmøre. Fikk advarsel fra Helsetilsynet, og ble oppsagt fra jobben i februar 2015.. Senere inngått forlik mellom partene.
www.smp.no23.10.2015Fylkesmannen:
– Legen har trakassert pasienten, familien og fleire i nærmiljøet
LegeKvinnelig lege fikk bot for «skremmande» atferd og skal gransket for journalsnoking
nordlys.no24.09.2015FinnmarkssykehusetSykehusansatteSeks ansatte ved Finnmarkssykehuset anmeldt for ulovlig innsyn i pasientjournaler, deriblant sykehusdirektøren og klinikksjef for psykisk helsevern og rus. Saken også anmeldt til Helsetilsynet og politiet.
an.no01.04.2015Legekontor i SaltenLegeKvinnelig lege dømt til å betale kr 15 000 i bot og kr 5 000 i sakskostnader. Legen anmeldt av en kvinne som mente at fastlegen hennes hadde snoket i hennes journal. Både kvinnen og legen var ansatt på samme legekontor. Snokingen skal ha skjedd i forbindelse med en sykemelding hos den fornærmede kvinnen, som hun fikk fra en annen lege på et annet legekontor.
nrk.no11.11.2014HelsevesenetAlleRiksrevisjonen: Ikke nok kontroll med hvem som leser pasientjournalen din. Det er ikke gjort nok for å holde kontroll med hvem som leser sensitive helseopplysninger om deg og meg. – Nærmest tilfeldig om snokere tas, slår Riksrevisjonen fast i ny rapport.
ba.no14.08.2014Haukeland universitetssykehusSykepleierPasienten var innlagt ved Akuttmottaket på Haukeland universitetssykehus da sykepleieren falt for fristelsen til å åpne et notat til journalen til sin bekjente. Sykepleieren fikk en administrativ reaksjon fra sin arbeidsgiver, og en advarsel fra Helsetilsynet.
nrk.no17.07.2014HelsevesenetAlleFlere og flere pasienter vil kontrollere om helsepersonell snoker i private pasientjournaler. – Mulig mistillit til helsevesenet eller økt bevissthet rundt personvern, tror fylkeslege og personvernombud.
dagensmedisin.no03.01.2014UkjentHelsesekretærIkke autorisert, men uautorisert helsepersonell. Har fått advarsel fra Helsetilsynet. Har godtatt bot i straffesak.
nrk.no09.11.2013Volvat Medisinske Senter i OsloLege, Volvat i OsloEn 94 år gammel kvinne fra Oslo testamenterte alle sine verdier til legen og hans kone rett før hun døde i juli 2012. Det inkluderte leiligheter verdt 15 millioner kroner, alle bankkonti, smykker og sølvtøy. Legen hadde vært kvinnens faste lege i fem år, men sa fra seg behandleransvaret før hun døde. Det er klinikken hvor legen jobber, som har kontaktet fylkesmannen med mistanke om at legen har gått inn i kvinnens journal selv etter at han hadde sluttet som hennes behandler. Dette er ikke lov. Legen fikk senere en advarsel fra Helsetilsynet. Legen har også i et forlik godtatt å gi fra seg millionarven.
dagbladet.no11.12.2012Asker og Bærum legevaktLege og sykepleierLege og sykepleier ansatt på samme legevakt, hvor sykepleier snoket i journalen til legens ex-samboer. Legen benyttet opplysninger om rus i journalen i opprivende barnefordelingssak.
budstikka.no02.12.2012Vestre Viken Bærum sykehusSykepleierSnoking oppdaget av pasientens eget innsyn i journalen og loggen. En sykepleier hadde ved to anledninger urettmessig har vært inne i en pasientjournal, og også gitt informasjonen videre. Fylkesmannen har opprettet en tilsynssak.
vg.no20.05.2012Legekontor i Sør-TrøndelagAnsatt på legekontorPasient «hadde grunn til å tro» at hans svigermor - ansatt på et fastlegekontor - hadde vært inne i hans journal. Mistanken var begrunnet med at kvinnen hadde informasjon om mannens psykiske helse, opplysninger som han bare hadde gitt til sin fastlege. Avdekket svakheter i kommunenes elektroniske loggføringssystem.
sykepleien.no26.03.2012Vestre Viken Bærum sykehusLeger og sykepleiereVestre Viken-sykepleiere har fått nok av kolleger som snoker i journalene. Nå har Helseavdelingen hos Fylkesmannen fått beskjed.
rbnett.no08.03.2012Molde sjukehusLegeFra 2006 til 2009 skal en betrodd overlege minst 15 ganger har snoket i journaler til blant annet en idrettskjendis, en psykiatrisk pasient og en kollega. Avslørt av stikkprøver. Sluttet ved sykehuset. Anmeldt til Helsetilsynet.
ba.no02.03.2012Haukeland universitetssykehusSykepleierDen tidligere sykepleieren ved Haukeland sykehus ble avslørt da pasienten selv ba om å få utskrift av loggen over hvem som hadde sett hennes journal. Loggen viste at sykepleieren hadde vært inne i journalen til tross for at hun ikke deltok i behandlingen av pasienten. Sykepleieren innrømmet forholdet, og aksepterte en skriftlig advarsel fra arbeidsgiveren.
nrk.no06.04.2011Sørlandet sykehus KristiansandSykehusansattAnsatt kvinne snoket mer enn 400 ganger i pasientjournaler til arbeidskolleger, venner, naboer og deres familier. Meldt til Helsetilsynet, men ikke til politiet. Kvinnen har selv valgt å si opp stillingen. Partiet Demokratene anmeldte senere kvinnen til politiet.
dt.no02.03.2011Drammen sykehusSykehusansatteMangelfull loggføring avdekket ved innsynsbegjæring i loggen. I januar 2009 kontaktet en kvinne Drammen sykehus for å få vite hvilke ansatte som hadde vært inne på pasientjournalen hennes. Hun mistenkte at uvedkommende hadde snoket i de sensitive opplysningene. I det elektroniske pasientjournalsystemet sykehuset hadde fram til mai 2010, var det ikke mulig å hente ut fullverdige logger. Det var ikke mulig å spore hvem som hadde lest journaler, bare hvem som hadde skrevet i dem. Datatilsynet ilag Drammen sykehus kr 20 000 i tvangsmulkt for å ha somlet med å utlevere loggen.
nrk.no22.02.2011Vest-Oppland, sykehjemSykehjemsansattEn ansatt ved et sykehjem i Vest-Oppland har fått en formell advarsel etter at hun leste i journalen til pasienter hun ikke hadde behandlingsansvar for.
nettavisen.no02.02.2011Helse FørdeSykehusansattSnoket i naboens journal og benyttet dette i nabokrangel. Også spredt opplysninger til andre i nabolaget.
nettavisen.no10.11.2010Larvik kommune, Omsorg nordøstSykepleierLeste pasientjournal til nær slektning 24 ganger over 5 måneder, hvorav kun to ganger mens hun deltok i behandlingen. Avslørt av stikkontroll. Har sagt opp selv. Advarsel fra kommunen. Oversendt Helsetilsynet.
rbnett.no11.09.2010Molde sjukehusLegeKjent lege med 15 års praksis leste sykdomsjournalene til nære medarbeidere og til ni pasienter som han ikke hadde behandlingsansvar for. I tillegg har han fjorten ganger vært inne på journalene til nære familiemedlemmer, skriver Romsdals Budstikke. Mistet jobben (kom i forkjøpet og sa opp selv), anmeldt til Helsetilsynet, og anmeldt til politiet.
nrk.no06.05.2010St. Olavs hospitalSykehusansattDet var da mannen oppdaget at kvinnen visste tidspunktet for hans neste legetime at han tok kontakt med St. Olavs Hospital og bad om å få tilsendt en journallogg.. Ifølge Adresseavisens papirutgave skal kvinnen ha snoket i ni elektroniske pasientjournaler. Totalt skal hun ha vært inne og sett i journalene over 100 ganger i tidsrommet 2004-2008.
bt.se27.05.2009Sjukhuset i BoråsLegeSvensk kvinnelig lege snoket i pasientjournal for å sjekke en som satt på venterommet. Pasient hadde hiv og hepatitt c. Dømt til betinget dom og dagsbøter for "dataintrång".
vg.no01.04.2009Bellflower Medical Centre i California, USASykehusansatte15 personer har mistet jobben for å ha snoket i journalen til Nadya Suleman som ble verdenskjent i 2009 for å ha født åttlinger. Også meldt til amerikanske myndigheter.
framtidinord.no24.03.2009Universitetssykehuset Nord-NorgeIkke oppgittDet er reagert mot to ansatte på UNN for ulovlig journal-snoking. Ytterligere to saker er under behandling,
vg.no22.03.2009SykehusSykehusansatte19 sykehusansatte har fått advarsel, krass kritikk eller er oppsagt
nrk.no27.01.2009Universitetssykehuset Nord-NorgeLedelsen ved sykehusetLedelsen ved sykehuset sjekket journal til skytetragedieoffer på Kvaløya for å kunne håndtere mediepresset. Avdekket ved skjerpet kontroll med hvem som leser journalen ved slike episoder. Senere avklart at dette ikke var journalsnoking.
vg.no05.12.2008St. Olavs HospitalIkke oppgitt2 ansatte suspendert for å ha snoket. 1 har fått skriftlig advarsel for å ha kikket i sin egen journal.
vg.no05.12.2008Sykehuset ØstfoldSykepleierSykepleier snoket 70 ganger i journalen til slektningen og 21 ganger gikk pleieren inn i journalen til slektningens samboer. Straffes ikke pga før journalsnokeforbudet.
nrk.no03.10.2008Sørlandet sykehus KristiansandSykepleierKvinnelig sykepleier leste av egen interesse fortrolige helseopplysninger i pasientjournal. Erkjent forholdet og fått advarsel fra arbeidsgiver.
nrk.no04.07.2008St. Olavs HospitalIkke oppgittAnsatt har sagt opp sin stilling etter at det ble kjent at han videresendte opplysninger om en pasient. Forholdet anmeldt til politiet.
vg.no15.03.2008UCLA Medical CenterSykehusansatte13 ansatte sparket og 12 fikk andre reaksjoner etter snoking i Britney Spears-journaler etter hennes nervøse sammenbrudd.
dagensmedisin.no22.02.2007Akershus universitetssykehusLegerEnkelte leger ved Akershus Universitetssykehus har ikke skrevet journal etter å ha behandlet kolleger ved sykehuset. Dette er gjort for å sikre dem mot sniklesing. Før journalsnokebestemmelsen.
vg.no22.05.2006Helgelandssykehuset MosjøenAvdelingsleder (økonom)Helselandssykehuset i Mosjøen ilagt et forelegg på kr 50 000 for å ha forsøkt å lure Datatilsynet. Det er ikke riktig som det her står at det skyldes journalsnoking. Dette er saken som ledet til det senere journalsnokeforbudet. Står beskrevet i den bloggartikkelen du nå leser.
vg.no05.05.2004Oslo universitetssykehus
Universitetssykehuset Nord-Norge
Ikke oppgittOUS avslørte ansatt som leste kjendisjournaler. Brev til alle ansatte ved UNN om at det vil få konsekvenser hvis de er inne og leser i pasientjournaler uten å ha tjenstlig behov. Før journalsnokeforbudet.

 

15. Artikkel 29-gruppens arbeidsdokument – internasjonalt om elektroniske pasientjournaler

For de spesielt interesserte kan nevnes at den såkalte Artikkel 29-gruppen har arbeidet med personvernrettslige utfordringer knyttet til elektroniske journaler. Denne gruppen er dannet på grunnlag av bestemmelser i EUs Personverndirektiv (EF-direktivet 95/46/EF av 24.10.95), og består av representanter fra de nasjonale tilsynsmyndighetene i EU/EØS-statene. Personverndirektivet forutsetter at lederne av de nasjonale tilsynsmyndighetene samarbeider om løsninger og holdninger til hvordan direktivets bestemmelser bør forstås, og Artikkel 29-gruppen er blitt forumet for slike drøftelser. Datatilsynet representerer Norge i gruppen, og har som EØS-medlem observatørstatus uten stemmerett. Artikkel 29-gruppen har utviklet seg til å bli det viktigste internasjonale fagforumet for personvernarbeid. Gruppen konsulteres ofte av Kommisjonen og preger som hovedregel de holdninger EU inntar i personvernspørsmål.

 

Artikkel 29-gruppen utarbeider og publiserer anbefalinger til hvordan tilsynsmyndighetene vil praktisere loven innenfor ulike områder av samfunnet. I tilknytning til elektroniske pasientjournaler har Artikkel 29-gruppen utarbeidet og publisert sitt Arbeidsdokument av 15.2.2007 (WP 131) med tittelen:

  • "Working Document on the processing of personal data relating to health in electronic health records (EHR)"

Dette dokumentet er med på å definere hvordan Datatilsynet ser på ulike personvernrettslige problemer ved elektroniske pasientjournaler. Senere har også dokumentet Arbeidsdokument av 25.1.2012 (WP 189) tilkommet, med tittelen:

  • "Working Document 01/2012 on epSOS"

Betegnelsen EpSOS står for "European Patients Smart Open Services" project, og beskrives slik i dette dokumentet:

  • "EpSOS is a pilot that offers cross-border e-Health Services to European citizens. It focuses on developing a practical e-Health framework and ICT (information and communication technology) infrastructure that enables access to patient health information from different European healthcare systems. It aims at improving the quality of healthcare for citizens when travelling to another European country. EpSOS is being tested in two pilot phases. Different Member States are participating in these pilots. The pilot of the first phase of epSOS is about to start and the technical, legal and organizational concepts for the second phase are being established."

Epsos-prosjektet pågikk i 6 år fra 2008 til juni 2014. Her ble det arbeidet med å utvikle, pilotere og evaluere en felles infrastruktur for grenseoverskridende e-helse-tjenester gjennom elektronisk utveksling av helseopplysninger på tvers av landegrensene i Europa, samt formulert anbefalinger for fremtidig arbeid på feltet. Norge var representert i prosjektet fra 1.1.2011 ved Helsedirektoratet. En av de tjenestene det fokuseres på i piloten er tilgang til elektroniske resepter, herunder hvordan norske resepter kunne bli tilgjengelig i utlandet og utenlandske resepter bli tilgjengelig i Norge. Epsos-prosjektets hjemmesider vil være tilgjengelig til 2017.

 

16. Helseopplysninger tilgjengelig gjennom snoking i NAVs journaler

Selv om man får kontroll med journalsnoking i helseopplysninger i helse- og omsorgstjenesten, kan det være andre kilder til utbredt snoking i helseopplysninger. En yrkesgruppe som har et omfattende innsyn i helseopplysninger er ansatte i NAV. NAV er sentral i å gjennomføre arbeidsmarkeds-, trygde- og pensjonspolitikken i Norge, og forvalter omtrent 1/3 av det årlige statsbudsjettet. NAV massebehandler personopplysninger, og innhenter en rekke personidentifiserbare helseopplysninger om privatpersoner. Som denne artikkelen på Helsebloggen viser masseinnhenter også NAV opplysninger fra helsepersonell.

 

I rapporten Tilgangskontroller i NAV - Gjennomgang, analyse og forslag til forbedringer av 31.10.2016 får NAV sterk kritikk for sin manglende håndtering av journalinnsyn/-snoking i NAV-journaler. Rapporten ble bestilt av NAV-direktør Vågeng etter at en NAV-direktør i februar 2016 hadde misbrukt sin tilgang til personopplysninger i NAVs saksbehandlingssystemer. Det ble opprettet en personalsak på vedkommende og ansettelsesforholdet ble avsluttet. Vedkommende kvinnelige NAV-direktør hadde gjort oppslag i NAV-systemene hele 180 ganger. Forholdet ble oppdaget ved at NAV-seksjonssjefen og hennes ektefelle var involvert i en nabotvist om et gjerde som ble satt opp i 2012. NAV-sjefen og hennes ektefelle mente gjerdet var satt inn på deres eiendom. NAV-seksjonssjefen hadde rett, og naboekteparet flyttet derfor gjerdet 30-40 cm inn på sin eiendom. Da NAV-seksjonssjefens ektefelle noe senere slengte kommentaren "skaff deg en jobb" i en periode hvor kvinnen var sykemeldt, fikk naboen mistanke om journalsnoking. De oppsøkte derfor NAV, men ble forsikret om at det ikke var mulig med slik snoking på grunn av vanntette skott mellom kommunene. Etter på ny å ha konfrontert NAV med fornyede mistanker, innrømmet NAV at seksjonssjefen hadde gjort 180 oppslag på familien, både på henne, mannen og deres sønn, i perioden fra 4.8.2014 til 15.2.2016. Den kvinnelige seksjonssjefen i NAV valgte å si opp sin stilling da hun ble konfrontert med de omfattende tilfellene av journalsnoking, og har nå annen jobb i det offentlige. Saken er for tiden under politietterforskning.

 

De svært mange oppslagene den tidligere NAV-sjefen har foretatt, er anmeldt til politiet som brudd på straffeloven § 171

  • § 171. Tjenestefeil
  •   Med bot eller fengsel inntil 2 år straffes den som utøver eller bistår ved utøving av offentlig myndighet, og grovt bryter sin tjenesteplikt.

Bestemmelsen er ment å ramme handlinger som er grovt i strid med tjenesteplikten, som er foretatt av en offentlig tjenestemann innenfor sitt ansvarsområde. Både handlinger og unnlatelser kan straffes. Eksemplene som benyttes i lovforarbeidene for straffbare handlinger er hvis en offentlig tjenestemann treffer vedtak det åpenbart ikke er hjemmel for, eller hvis en underordnet saksbehandler foreslår å innvilge en søknad til en slektning. Bruddet må gjelde tjenesteplikten, som kan være fastsatt i lov eller forskrift, i arbeidsavtalen, instruks eller i pålegg fra overordnet myndighet. Det er ikke noe vilkår at vedkommende har hatt forsett om å oppnå vinning eller annen fordel, for å kunne straffes. Bruddet på tjenesteplikten må være grovt, og de bagatellmessige forgåelser er ikke straffbare. En polititjenestemann som ikke legitimerer seg kan ha opptrådt forsettlige og klart i strid med tjenesteplikten, men likevel er neppe bruddet av en slik betydning at det kan straffes som grovt, ifølge lovforarbeidene. Påtalemyndigheten vil også kunne vurdere om forholdet er i strid med straffebudet om grovt uaktsom tjenestefeil etter straffeloven 2005 § 172 og/ eller om ulovlig myndighetsutøving i straffeloven 2005 § 164.
 

NAV-rapporten av 31.10.2016 konkluderer med at NAV:

  • ikke har evnet, i tilstrekkelig grad, å forstå betydningen av at behandling av personopplysninger står sentralt i NAVs virksomhet og hvilke strenge krav som følger av dette. NAV har flere ganger blitt gjort oppmerksom på forhold som burde foranlediget at brukernes personvern og behandling av personopplysninger ble løftet på den strategiske agenda og dermed gitt arbeidet med å ivareta brukernes personvern den nødvendige prioritet. Dette synes ikke å være gjort.

I rapporten pekes det på at uberettigede oppslag utgjør en utfordring i NAV. Et manglende strategisk fokus på personervern og behandling av personopplysninger i NAV, oppsummeres i følgende fem punkter:

  1. Organisatoriske utfordringer
  2. Behov for forbedring av eksisterende styringssystem
  3. Mangelfull bruk av logger
  4. Fragmentert og begrenset opplæring
  5. Fravær av et klart håndhevingsregime ved brudd

På tide å gjøre det eksplisitt straffbart å foreta journalsnoking også i NAV-journaler, og ikke bare anse det som en tjenestefeil!

Legg igjen en kommentar