Prop. 89 L (2011–2012)

Endringer i helseregisterloven mv. (opprettelse av nasjonal kjernejournal m.m.)

Til innholdsfortegnelse

14 Helhetlig IKT-arkitektur og informasjonssikkerhet

14.1 Innledning

I Prop. 91 L (2010-2011) Lov om kommunale helse- og omsorgstjenester kapittel 26.6 er det uttalt følgende:

”Samhandlingsreformen vil forsterke behovet for elektronisk samhandling i helsesektoren. Forutsetningen for at aktører i helsesektoren skal kunne samhandle elektronisk på en hensiktsmessig måte, er at alle parter benytter standardiserte løsninger for å få tilgang til opplysninger, dele informasjon og utveksle informasjon ved elektroniske meldinger.”

Det pågår et omfattende arbeid når det gjelder e-helse i Norge, blant annet med videreutvikling av portalen www.helsenorge.no og elektroniske resepter (e-resept). Begrepet e-helse er en form for samlebetegnelse som omfatter IKT-anvendelse i helsesektoren. Målet er å understøtte helsehjelpen og bidra til forbedringer av kvalitet, sikkerhet og effektivitet i sektoren gjennom bruk av IKT (St. melding nr. 37 (2008-2009)). Ved utvikling av nasjonal kjernejournal, herunder de arkitektoniske valgene, skal det ses hen til og legges til rette for mulig samordning med det parallelt pågående e-helsearbeidet. Videre bør relevante krav til samhandling, standardisering og sertifisering som følger med helse- og omsorgstjenesteloven tas hensyn til.

Uavhengig av hvilke sikkerhetsløsninger som velges, vil det alltid foreligge en viss risiko for feil og/eller misbruk. Risikoen øker proposjonalt med antall brukere og omfang av tilgjengeliggjøring. God informasjonssikkerhet forutsetter kunnskap om risiko- og mulighetsbildet. For å kunne prioritere riktig og begrunne valg av sikkerhetstiltak, må databehandlingsansvarlig ha oversikt over oppgaver og verdier, hvilke regler som gjelder og hvilken trussel og risiko de står overfor (risikovurderinger).

Sikkerhetstiltak kan avverge og forebygge trusler, men også gjøre løsninger mulige som ikke ellers ville vært gjennomførbare.

14.2 Helhetlig IKT-arkitektur

14.2.1 Forslag i høringsnotatet

Etter forslaget i høringsnotatet, kan kjernejournalløsningen deles inn i tre hovedfunksjoner: innsamling av data, behandling og sammenstilling av data og visning av informasjon.

Fra helsepersonells (brukers) perspektiv vil kjernejournal kunne oppleves som en forlengelse av eget journalsystem. Oppslag i kjernejournal må kunne logges spesielt, og bruker av kjernejournal må kunne identifiseres tydelig. I journalsystemet vil kjernejournalopplysningene kunne gjøres tilgjengelig enten på egne arkfaner, felter og lignende i journalsystemet, eller åpnes gjennom å ”trykke på en knapp” i eget journalsystem. Det vil i de første fasene i begrenset utstrekning være automatisert oppdatering av kjernejournal fra journalsystemet, og tilsvarende liten grad av automatisk oppdatering av journalsystemet fra kjernejournal. Helsepersonellet må i stor grad ta stilling til om opplysninger bør sendes henholdsvis til journalsystem fra kjernejournal eller motsatt. Løsninger for synkronisering av journalsystem mot kjernejournal bør være brukervennlige.

Begrepet IKT-arkitektur er av Direktoratet for forvaltning og IKT (Difi) beskrevet som en reguleringsplan for bruk av IKT (www.difi.no/ikt/it-arkitektur). Hensikten med en slik plan er å bidra til at ulike IKT-løsninger passer sammen og kan benyttes i sammenheng. Dette kan bidra til bedre brukerretting og mer effektiv offentlig ressursbruk.

Videre har regjeringen besluttet at IKT-løsninger for statlige virksomheter skal bruke felles arkitekturprinsipper. Dette skal bidra til bedre brukerorientering og mer samordning på tvers av offentlige virksomheter.

I St.meld. nr. 19 (2008-2009) Ei forvaltning for demokrati og fellesskap presenteres syv arkitekturprinsipper som skal følges:

  • Tjenesteorientering

  • Interoperabilitet

  • Tilgjengelighet

  • Sikkerhet

  • Åpenhet

  • Fleksibilitet

  • Skalerbarhet

Difi har utarbeidet en nærmere beskrivelse av prinsippene og hvordan de skal forstås (www.difi.no/ikt/it-arkitektur/arkitekturprinsipper). Det er obligatorisk for statlige virksomheter å bruke prinsippene ved utvikling av nye IKT-løsninger eller ved vesentlige endringer av eksisterende løsninger. Det skal dokumenteres hvordan arkitekturprinsippene er fulgt ved satsingsforslag og ved etablering av store eller strategisk viktige prosjekter med vesentlig innslag av IKT.

I høringsnotatet fremheves viktigheten av at de ovenfor nevnte arkitekturprinsipper legges til grunn ved utviklingen av nasjonal kjernejournal.

14.2.2 Høringsinstansenes syn

Høringsinstanser som har avgitt uttalelse til dette punktet synes i all hovedsak å tiltre vurderingene gjort i høringsnotatet, men det pekes likevel på enkelte utfordringer i det videre arbeidet.

IKT-Norge uttaler følgende:

”Arbeidet som er gjort og alt arbeidet som står igjen vil være viktig for å få på plass en infrastruktur rundt innsyn og deling av elektronisk pasientjournal, noe vi som næring er svært opptatt av. Pasienten må nå få tilgang så raskt som mulig. En kjernejournal bør være tilgjengelig også gjennom eksisterende løsninger i helsearbeiderens egen virksomhet. Det må være svært enkelt å aksessere denne dersom den skal bli brukt.
Vi ser også den naturlige koblingen til helseportalen og ser en kjernejournal som en tjeneste som også bør kunne aksesseres fra helseportalen.”

Oslo universitetssykehus HF

”Ous mener det bør være et absolutt krav til løsningen at tilgang for helsepersonell må etableres på en funksjonell måte, slik at kjernejournalens informasjon gjøres effektivt tilgjengelig fra helsepersonellets eget EPJ-system. Tilleggspålogging for å få tilgang til kjernejournalen vurderes som lite effektivt, og vil oppleves som uønsket hinder for å få tilgang. Ikonet må dessuten vise om det ligger informasjon der eller ikke, slik at helsepersonellet ikke opplever stadige oppslag i tomme kjernejournaler.”

Norsk helsenett

”Vi vil peke på at ulike integrasjonsplattformer (tjenestebuss) kan sameksistere i lag-på-lag prinsipper og utnytte hverandres styrker. Det er dermed ikke nødvendigvis slik at det å etablere tjenstebuss "eksklusivt" for kjernejournalen vil være uheldig eller i kollisjon med mulige kommende felles tjenestebusskonsepter. Tjenesteorientering er uavhengig av tjenstebuss viktig fokus. Og sektoren vil ha utfordringer teknologisk som organisatorisk med å tilpasse seg dette.”

Helse Midt-Norge RHF

”Kopiering av data, som i å kopiere til eget journalsystem, mener vi ikke bør promoteres som en mulighet, dette av pasientsikkerhetshensyn. Det å ta beslutninger basert på innkopierte data kan være meget uheldig i tilfeller der kildeinformasjon kan bli korrigert/oppdatert på et senere tidspunkt.
Det fremstår som noe uklart hvorvidt man ønsker å etablere en tjenestebuss eller ikke. Det henvises eksplisitt til "to løsninger" det er noe uklart hva den andre løsningen er. HMN ønsker å uttrykke sin bekymring knyttet til at man først på et senere tidspunkt skal la tjenestene for kjernejournal inngå i en framtidig tjenestebuss, da dette vil kunne kreve omfattende endringer i systemer som er integrert med kjernejournalen. Vi mener at kjernejournalprosjektet vil være riktig startpunkt for å etablere nasjonal tjenestebuss for helsesektoren.”

Datatilsynet

”Datatilsynet støtter departementets vurdering om ikke å knytte kjernejournalen fast til en etablering av en tjenestebuss i sektoren. Som anført i tilsynets tidligere uttalelse, og i departementets notat, er det behov for å vurdere en slik arkitekturomlegging grundig.
For enkelte deler av kjernejournalen skal det benyttes pekere til informasjonselementer, som ikke er lagret i kjernejournalen som for eksempel svar på radiologiske undersøkelser og epikriser. Det er uklart hvorvidt det er en plikt til å tilgjengeliggjøre slik informasjon for de ulike kildene og om de alminnelige reglene for tilgang på tvers, informasjonssikkerhetsforskriften, skal følges ved tilgang til opplysningene.
Datatilsynet anbefaler, begrunnet i de samme hensyn som ved etablering av tilgang på tvers, at det ikke etableres en plikt til å tilgjengeliggjøre slik informasjon før sektoren er klar for det.
Datatilsynet vil avslutningsvis oppfordre til at departementet i størst mulig grad legger til rette for at godt personvern bygges inn i løsningen. Det er viktig at muligheten til å ivareta enkeltindividets personvern ved bruk av personvernfremmende teknologi benyttes og videreutvikles når man nå skal bygge opp en løsning for nasjonal kjernejournal. Områder som særlig kan nevnes er arkitektur, interaksjon med borgeren og helsepersonells brukergrensesnitt.”

Den norske legeforening

”Det kommenteres at helsepersonell må reagere ved alvorlige dokumentasjonsfeil utøvd av andre, som i dag. Det kan bli et mer belastende og tidkrevende arbeid enn tidligere, siden tilgangen på informasjon blir større. Det er umulig å si i hvor stor grad dette vil påvirke legenes hverdag. Det bør vurderes opprettet enklere systemer for dialog mellom leger, om nettopp slik informasjon - integrert med systemene primærinformasjonen ligger i (som oftest EPJ). Generelt savnes systemer for hva som skjer når pasientene oppdager feil eller uriktig informasjon. Etter erfaring fra andre land foreslår vi også her et enklere elektronisk system for direkte dialog mellom pasient og dokumenterende lege. Dette vil neppe dreie seg om mange tilfeller.”

14.2.3 Departementets vurderinger og forslag

Etter departementets forslag vil kjernejournal bestå av både informasjonselementer som i sin helhet ligger lagret i systemet, og pekere eller referanser til informasjon som er lagret i ulike kildesystemer. Et eksempel på informasjon som lagres i sin helhet er meldinger om utleverte reseptpliktige legemidler fra apotek, mens referanse til epikriser er et eksempel på en peker til informasjon i et kildesystem.

Departementet foreslår at kjernejournal først og fremst bør være et sted hvor helsepersonell kan gjøre oppslag, lese og kopiere informasjon. Journalføring bør, som i dag utføres i helsepersonellets lokale journalsystem. Videre skal pasienten selv få tilgang til egen kjernejournal via internett, for eksempel gjennom helseportalen (www.helsenorge.no). Tilgangen skal gjelde alle opplysninger som er registrert om vedkommende i kjernejournalregisteret, herunder logg over hvem som har benyttet tilgangen til kjernejournalen.

Departementet foreslår at dagens ansvarsstruktur videreføres. Det vil si at helsepersonellet selv har ansvar for det de journalfører. Dersom helsepersonell oppdager feil ved helsehjelp ytt av annet helsepersonell, videreføres også dagens plikt til å vurdere om eventuelle feil er så alvorlige at vedkommende helsepersonell må kontaktes. Helsepersonell har det samme ansvaret for å reagere overfor vedkommende helsepersonell/virksomhet, som vedkommende har etter dagens regelverk. Departementet har merket seg innspillene fra Den norske legeforening, og vil vurdere å ta dette med i det videre forskriftsarbeidet.

God IKT-arkitektur kan utgjøre et viktig bidrag til en teknisk og innholdsmessig samordnet løsning, men også legge til rette for sikre og tydelige ansvarslinjer, ivaretakelse av hensynet til fagmiljøene, behovet for sikker og effektiv informasjonsutveksling, personvern og informasjonssikkerhet.

For valget mellom alternative arkitekturløsninger vil det være av stor betydning hvor dataene hentes fra, lagres og hvor prosesseringen eller annen behandling av dataene foregår. Løsningen må sikre grenseflatene for informasjonsflyt med informasjonskilder, i tillegg til relasjonen mellom registeret og brukerne av registeret. Arkitekturvalgene må nødvendigvis også være nært knyttet til formålet med registeret.

I tidligere nevnte rapport fra Helsedirektoratets forprosjekt til nasjonal kjernejournal (se kapittel 2), beskrives en såkalt tjenestebuss som en av komponentene som skal ”hente” og oppdatere informasjon. Hvordan informasjon vil kunne tilgjengeliggjøres ved bruk av ”tjenestebuss” beskrives gjennom definerte tjenester som er felles for alle aktører. Slik vil det kunne sikres en enhetlig måte å utveksle informasjon til og fra kjernejournal på. Slik det er beskrevet kontrollerer ”tjenestebussen” sikkerheten og videreformidler forespørselen til registeret eller registrene som skal holde på informasjonen, og sammenstiller informasjonen før det leveres tilbake til journalsystemene. En nasjonal ”tjenestebuss” kan tilby tjenester til aktørene i helsesektoren som er av nasjonal interesse. Eksempler på dette kan være oppslag i Helsepersonellregisteret (HPR) og Det sentrale folkeregisteret. For kjernejournal vil ”kritisk informasjon” og oppslag i et legemiddelregister naturlig være de første kliniske tjenestene.

Departementet har merket seg at det er en viss uenighet blant høringsinstansene med hensyn til om ”tjenestebuss” bør innføres allerede ved etablering av nasjonal kjernejournal. Innføring av ”tjenestebuss” som en felleskomponent for helsesektoren vil være en omfattende og krevende prosess. Erfaringsmessig vil etablering av felles forvaltning være vel så krevende som å etablere den tekniske løsningen. Det medfører høy risiko for kjernejournalen å binde seg for tett til arbeidet med felles ”tjenestebuss”. Formålet med en ”tjenestebuss” og utforming av den må avklares nærmere med helsesektoren. Det er derimot ønskelig at kjernejournal etablerer en tjenesteorientert løsning som på sikt kan vurderes som felles ”tjenestebuss” for helsesektoren. På den måten kan helsesektoren unngå å etablere og pilotere to løsninger som har mange likhetstrekk med hensyn til tjenester, integrasjon og sikkerhet.

14.3 Informasjonssikkerhet

14.3.1 Forslag i høringsnotatet

I høringsnotatet presiseres at databehandlingsansvarlig skal sørge for at det gjennom planlagte og systematiske tiltak foreligger tilfredsstillende informasjonssikkerhet når helseopplysninger behandles, jf. helseregisterloven § 16. Informasjonssikkerheten skal være tilfredsstillende med hensyn til konfidensialitet, integritet, tilgjengelighet og kvalitet. Dette er krav som må ivaretas ved utforming av kjernejournalløsningen.

Databehandlingsansvarlige har blant annet plikt til å bygge opp systemer på en måte som gjør at taushetsplikten kan overholdes.

Informasjonssikkerhet skiller seg fra personvern ved at det kun er et verktøysett for å ivareta personvernet og andre informasjonskritiske elementer. Informasjonssikkerhetstiltak skal beskytte opplysningene. Det er strukturer og prosesser som skal sørge for eller forbedre sikkerhet som en løpende prosess.

Det foreslås innført tekniske og organisatoriske tiltak av høy kvalitet for å hindre misbruk. God informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. Hvilke tiltak som velges for teknisk og fysisk sikring av data er av stor betydning for å sikre personvernet. Av naturlige informasjonssikkerhetstiltak kan nevnes loggføring, passordrutiner, tilgangskontroll, brannmurer, antivirusprogrammer og kryptering.

Departementet gir i høringsnotatet uttrykk for et ønske, av hensyn til den raske utviklingen, å være tilbakeholden med å foreslå krav til konkrete tekniske løsninger, da det over tid vil kunne hindre utvikling i en positiv retning og gi dårligere sikkerhet. Dette er i tråd med vurderingene knyttet de generelle bestemmelsene om informasjonssikkerhet i henholdsvis helseregisterloven § 16 og personopplysningsloven § 13.

14.3.2 Høringsinstansenes syn

Det er relativt får høringsinstanser som har gitt innspill til dette punktet. Det er imidlertid stor enighet om krav til logging og viktigheten av at god informasjonssikkerhet ivaretas i løsningen.

Helse Vest RHF uttaler følgende:

”Før ein nasjonal kjernejournal blir etablert er det grunnleggande at det er tryggleik for at
  • journalen er lett tilgjengeleg for helsepersonell med kvalifisert behov

  • at den har høg oppetid

  • at opplysningane er oppdaterte

Helse Vest antar at det siste er særs krevjande i ein situasjon kor det er mange kjelder og ein er avhengig av både meir automatiske oppdateringar og manuelle innleggingar av opplysningar.
Frå pasienten si side er det vesentleg at opplysningane er tilgjengeleg på rett tidspunkt og stad men også at pasientane er sikra mot misbruk av opplysningane.
For pasientane er det elles særs viktig at den som er databehandlingsansvarleg har eit system for tilgangsstyring og tilgangskontroll som gir høg grad av sikkerheit for at opplysningane i kjernejournalen ikkje kan nyttast av personell som ikkje har eit tenestleg behov eller til andre formål enn føresett.”

Delta og Norsk Helsesekretærforbund

”Delta og Norsk Helsesekretærforbund støtter et tydelig loggsystem i kjernejournalen. Det er viktig for pasienten å kunne stole på at ingen unødvendig går inn for å innhente opplysninger. Det er her også viktig å understreke at det må være gode rutiner for bruk og lesing av journaler slik at man unngår misbruk av informasjon og at bare de som har legitim bruk for informasjonen kan hente denne ut.”

Apotekforeningen

”Etter Apotekforeningens vurdering bør det være tilstrekkelig at apotek autentiseres ved oppslag i kjernejournalen på tilsvarende måte som apotek autentiserer seg ved oppslag i Reseptformidleren. Innmelding av opplysninger til Reseptformidleren blir også signert med apotekets virksomhetssertifikat. Virksomheten tildeler da tilgang til det enkelte type helsepersonell, og logging for kontrollformål, basert på helsepersonellnummer kan skje både lokalt og sentralt i kjernejournalen.”

Den norske legeforening

”Det bemerkes at dersom loggen skal være et effektivt personverntiltak, vil informasjonstiltak rundt denne være en forutsetning. I tillegg må det etableres tilgangsbegrensinger til journal slik det er påpekt tidligere. […]
Det bør legges opp til et system hvor pasienten via kjernejournalen (et integrert system) kan sende en sikker elektronisk melding til primærkildens ansvarlige i spørsmål om ‘retting og sletting’ og til en administrasjonsavdeling tilhørende kjernejournalen i spørsmål vedrørende logg.
[…] foreslås det at sikkerhetsløsningen som legges til grunn for eResept også skal gjelde for kjernejournal.
Vi mener det er helt kritisk for bruk og nytteverdi at sikkerhetsløsningen integreres med EPJ og følger autentisering i EPJ.
Er man først autentisert gjennom sitt EPJ system er man allerede autentisert til å registrere og lese pasientens journal innenfor gitte rammer. Det synes da unødvendig og tidkrevende å kreve en ny autentisering. En bør i denne forbindelse også ta i betraktning at det nylig er innført strengere krav til tilgangskontroll og autentisering gjennom forskrift, og at partene ytterligere har forpliktet seg til å etterleve disse krav ved å skulle etterleve Norm for informasjonssikkerhet. […]
Det vil være kritisk for bruken av nasjonal kjernejournal at det organisatoriske rundt tilgangen ikke medfører større ulemper. Re-autentisering for hvert oppslag i kjernejournal må sies å være en større ulempe.”

Datatilsynet

”Datatilsynet slutter seg delvis til departementets vurdering at det ikke er naturlig å fastsette detaljer for generelle sikkerhetstiltak. Samtidig vil informasjonssikkerhet være en vesentlig rammefaktor for vurderingen om en skal opprette en kjernejournal som her foreslås, samt at enkelte rammer bør fastsettes for det kommende forskriftsarbeidet. Datatilsynet gir her enkelte konkrete merknader, samt at det vises til tidligere gitte kommentarer til forprosjektrapporten, spesielt om logging.
Datatilsynet ser det som grunnleggende at tilgangsstyring i de lokale behandlingsrettede helseregistrene benyttes som en forutsetning for å få tilgang til pasientens kjernejournal. Lokal tilgangsstyring og oppfølging av bruk av tilgang bør nyttiggjøres i den utstrekning det er mulig, da det er på dette nivået det kan knyttes en relasjon mellom behandlende helsepersonell og pasient. Videre kan dette benyttes til å dokumentere i den lokale journalen at informasjon er innhentet fra kjernejournalen.
En portalløsning fremstår som en mindre egnet tilnærming. Datatilsynet har imidlertid forståelse for at en portal benyttes i en innføringsfase for en begrenset kjernejournal.
For øvrig bemerkes det at en tilknytning til lokal journal faller naturlig for at kjernejournalen skal være brukervennlig for helsepersonellet.
Datatilsynet savner at departementet i notatet oppstiller nærmere rammer for knytning mellom kjernejournal og den lokale journalen, da en slik knytning er sentral for ivaretakelsen konfidensialiteten.
Kjernejournalen innebærer en delvis sentralisering av IT-systemer som forventes tilgjengelig ved ytelse av helsehjelp. Datatilsynet slutter seg naturlig til det beskrevne behovet for høy tilgjengelighet av kjernejournalløsningen.
[…]
Datatilsynet støtter i utgangspunktet at innsyn er mulig gjennom de sikre offentlige portaler for de bevisste borgerne. Dette bidrar til bedre kontroll med opplysningene for den registrerte, hvilket har en vesentlig verdi for å sikre personvernet til den enkelte. Samtidig er det klart at en nettbasert tilgang vil representere en utvidet risiko med hensyn til konfidensialitet.
[…]
Datatilsynet foreslår derfor at kjernejournalen ikke gjøres tilgjengelig for innsyn over internett uten at borgeren har bedt om dette. Det er nærliggende å foreslå at dette administreres sammen med samtykke til etablering av kjernejournalen.”

14.3.3 Departementets vurderinger og forslag

14.3.3.1 Innledning

For departementet er det en forutsetning for realisering av Nasjonal kjernejournal at det stilles høye krav til informasjonssikkerhet. God tilgangskontroll vil være et viktig element. Kravene skal gjennomføres ved planlagte og systematiske tiltak som sørger for tilfredsstillende informasjonssikkerhet, jf. helseregisterloven § 16. Informasjonssikkerheten skal være tilfredsstillende med hensyn til konfidensialitet, integritet, tilgjengelighet og kvalitet.

14.3.3.2 Konfidensialitet

Den databehandlingsansvarlige skal sørge for at kravene til taushetsplikt overholdes ved behandling av helseopplysninger i kjernejournalen.

Det følger av helseregisterloven § 15 at enhver som behandler helseopplysninger etter helseregisterloven, har taushetsplikt etter både forvaltningsloven §§ 13 til 13e og helsepersonelloven. Hovedregelen om taushetsplikt følger av helsepersonelloven § 21. De som er bundet av bestemmelsen, skal bevare taushet om folks legems- og sykdomsforhold eller andre personlige forhold, og samtidig hindre at andre får tilgang eller kjennskap til slike opplysninger.

Helsepersonelloven § 21a og helseregisterloven § 13a setter forbud mot urettmessig tilegnelse av helseopplysninger. Forbudet er med på å skape en preventiv effekt når det gjelder såkalt snoking i blant annet behandlingsrettede helseregistre. Se også omtale under kapittel 3 om gjeldende rett.

Anerkjente teknikker og standarder for informasjonssikkerhet skal legges til grunn. Kjernejournalløsningen forutsettes utformet på en slik måte at kravene som stilles i Norm for informasjonssikkerhet i helse-, omsorgs-, og sosialsektoren følges. Normen bygger på grunnleggende krav til informasjonssikkerhet i lovgivningen (for ytterligere informasjon se: www.normen.no). Departementet kan vanskelig se for seg akseptable løsninger for forsendelse og oppdatering av helseopplysninger i kjernejournalen, uten at dette skjer kryptert. All tilgang til, og forsøk på tilgang til, helseopplysninger i kjernejournalen forutsettes logget (hendelsesregistrert), og loggene skal bearbeides.

Enhver pasient har gjennom logg rett til innsyn i hvem som har hatt tilgang til helseopplysninger om ham eller henne, jf. blant annet helseregisterloven § 13 sjette ledd.

14.3.3.3 Integritet

Krav til integritet betyr i denne sammenheng at informasjonen skal beskyttes mot uautorisert endring ved lagring eller transport. For departementet fremstår det som naturlig at sikkerhetstiltakene, herunder bruk av personlig kvalifisert sertifikat/ PKI, som er lagt til grunn ved eReseptløsningen, også legges til grunn ved innmelding til kjernejournalsystemet. PKI er en forkortelse for Public Key Infrastructure. Enkelt forklart kan man si at PKI er en løsning for elektronisk legitimasjon og signatur som sikkert identifiserer både person og virksomhet. PKI kan benyttes for å sikre elektronisk forsendelse eller samhandling (datakommunikasjon) mellom virksomheter, som legekontor og sykehus, og for å signere enkelte meldinger. PKI kan også benyttes for pålogging (autentisering) til interne og eksterne tjenester. Krav om elektronisk signatur begrenser mulighetene for at andre aktører kan gjøre endringer i informasjonen.

Autoriserte og autentiserte avsendere og kryptering av forsendelser, er etter departementets oppfatning naturlige minimumstiltak for å ivareta nødvendige krav til opplysningsintegritet ved overføringer til kjernejournalløsningen. Når det gjelder opplysningene i kjernejournalen, er det en nødvendig forutseting at alle endringer logges på en god måte, og at alle som er autorisert med skrivetilgang autentiseres på et høyt nivå. Dette må også gjelde pasientens fritekstfelt.

14.3.3.4 Tilgjengelighet

Samtidig som databehandlingsansvarlig plikter å ivareta kravene til taushetsplikt og konfidensialitet, krever helseregisterloven § 16 at opplysningene faktisk er tilgjengelige når det foreligger et legitimt behov for det. Dette innebærer at det stilles store krav til kjernejournalen. Kjernejournalen vil være avhengig av meget høy oppetid og lav responstid for å sikre at helsepersonell raskt og effektivt får tilgang til helseopplysninger til enhver tid. Det forventes at det iverksettes tiltak som reduserer sårbarheten som ligger i dette til et akseptabelt nivå.

14.3.3.5 Kvalitet

Det vil ikke bli foretatt særskilt medisinskfaglig kontroll av helseopplysningene som overføres til kjernejournalen. Det vil fremdeles være det helsepersonell som har nedtegnet opplysningene som har ansvaret for at det er ytt og dokumentert forsvarlig helsehjelp til pasienten.

I kjernejournalsystemet skal det imidlertid bli ført en begrenset og automatisert kontroll av de opplysningene som overføres gjennom oppslag mot Helsepersonellregisteret, kontroll av PKI og kontroll av format for innsendte opplysninger.

14.3.3.6 Tilgangskontroll og tilgangsstyring

Tilgang til opplysningene i kjernejournalen vil kreve effektiv tilgangstyring og kontroll for å sikre at taushetsplikten og hensynet til pasientens forventning om konfidensialitet kan ivaretas. Det må blant annet etableres system for tilgang til og utlevering av opplysninger i kjernejournalløsningen.

I kapittel 2 er det vist til Rapport fra forprosjekt nasjonal kjernejournal, hvor tilgangsstyring er omtalt på side 60. Helsedirektoratet har i dette arbeidet identifisert enkelte nødvendige elementer i tilgangsstyringen:

  • Autorisasjon - Systemet må angi hvem som skal ha tilgang til kjernejournalløsningen.

  • Vurdering - Det må foreligge en beslutning om ytelse av helsehjelp til en bestemt person.

  • Autentisering - Behandlende helsepersonell skal autentisere seg ved bruk av personlig kvalifisert sertifikat.

  • Hendelsesregistrering og dokumentasjon.

Tilgangsstyringen skal utvikles på en slik måte at det effektivt begrenser mulighetene for urettmessig tilegnelse av opplysninger i kjernejournalløsningen, samtidig som den skal bidra til at helsepersonell har tilgang til relevante og nødvendige helseopplysninger når dette er nødvendig for at en pasient skal kunne få forsvarlig helsehjelp, eller for administrasjon av slik hjelp. God tilgangsstyring er etter departementets oppfatning ett av flere viktige elementer for at pasientene kan forventes å ha tillitt til at løsningen fungerer og at taushetsplikten ivaretas.

Til forsiden