Opplysningstrygt
Kunder i apotek skal være trygge på at opplysninger om dem ikke kommer på avveie.
Astrid Marie Reksnes i Apotekforeningen.
Å sikre personvern i apotek er både apotekeiers og det enkelte helsepersonells ansvar. Helsepersonelloven pålegger helsepersonell en selvstendig plikt til å hindre at opplysninger om den enkelte pasient tilflyter uvedkommende. Apotekeier har et mer omfattende ansvar. Apotekeier har plikt til å sørge for at arbeidet tilrettelegges slik at helsepersonell kan overholde sin taushetsplikt. I tillegg har apotekeier ansvar for å etablere rutiner, styringssystemer og internkontrollsystemer som medfører at lovkravene ivaretas og at personvernet sikres. Men det er viktig å være klar over at helsepersonells taushetsplikt ikke er til hinder for plikten til å yte øyeblikkelig helsehjelp når situasjonen tilsier det.
Rutiner i apotek
Helsepersonell har taushetsplikt etter Helsepersonelloven. § 21 angir hovedregelen for helsespersonells taushetsplikt. Her står det at helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold. Dette stiller krav til hvordan helsepersonell håndterer taushetsbelagte opplysninger og til hvilke rutiner apotek etablerer for å legge forholdene til rette for at de som jobber der skal kunne etterleve sin taushetsplikt.
– Her er det mange ulike problemstillinger å ta stilling til. Hvordan forholder vi oss til utlevering av helseopplysninger ved telefonhenvendelser? Hvilke krav stiller vi for å være trygg på at opplysninger som utleveres over disk utleveres til riktig person? Er vi forsiktige når vi snakker med kunder slik at ingen andre får informasjon de ikke skal ha? Hvordan er skjermene plassert? Hvilke opplysninger utveksles på faks og i hvilken sammenheng? Hvor legges utskrifter med sensitiv informasjon? spør Astrid Marie Reksnes, seniorrådgiver i Apotekforeningen.
Reksnes forteller at Apotekforeningen skal utvikle et felles e-læringsprogram for apotekansatte som vil være en gjennomgang av hva helsepersonell kan gjøre og ikke minst hva de ikke kan gjøre for å sikre at personverket ivaretas. Apotekforeningen samarbeider med Helsedirektoratet om dette kurset, og innholdet skal kvalitetssikres av Helsedirektoratet.
– Det er planlagt utviklet i samarbeid med Apotekenes kompetanse- og opplæringssenter (APOKUS), og skal være ferdig i løpet av 2013. E-læringskurset vil gå grundig inn i enkelte, viktige rutiner for informasjonssikkerhet i apotek, sier Reksnes.
Datasystemene må følge kravene
Etter lovverket er det apotekeieren som har ansvar for at apoteket bruker datasystemer som følger kravene til personvern.
– Det har vist seg å være vanskelig for virksomhetene å påse dette, da dette krever stor innsikt og kompetanse på teknologiske løsninger. Særlig for små virksomheter er det utfordrende å følge opp lovkravene. Virksomhetene står som ansvarlig for at de bruker datasystemer som følger lovkrav, men på grunn av kompleksiteten er de på mange områder i praksis prisgitt det IT-leverandøren klarer å levere, sier Reksnes.
Derfor jobber myndighetene med å få på plass en sertifiseringsordning for å sikre at systemer som benyttes i helsesektoren fyller kravene til informasjonssikkerhet. Planen er at det skal forskriftsfestes at virksomhetene har plikt til å bruke sertifisert programvare. For at systemene skal bli sertifisert er planen at de skal være testet av en aktør som er autorisert til å kunne gi dem et godkjentstempel. I påvente av at en sertifiseringsordning etableres jobbes det med å få på plass en såkalt selvdeklareringsordning. Etter planen skal denne danne grunnlag for sertifiseringsordningen. Selvdeklareringsordningen er ikke etablert, men Helsedirektoratet har lagt ut konkrete krav på sin hjemmeside som leverandørene kan sjekke systemene sine opp mot.
– For FarmaPro 5 ble det gjort en gjennomgang mot lovkravene om informasjonssikkerhet da systemet var under utvikling. Det er gjort mye utvikling i FarmaPro 5 siden den gang. Derfor skal det nå gjøres en ny gjennomgang opp mot de kravene som er satt i selvdeklareringsdokumentene, sier Reksnes.
Krav til bruk av datasystemene
Det er også viktig at datasystemene brukes riktig. Man skal for eksempel ikke slå opp på helse- og personopplysninger hvis det ikke er for å utføre en spesifikk oppgave i forbindelse med utøvelse av jobb. Det gjelder både i apoteksystemet lokalt, og i Reseptformidleren.
– Oppslag i Reseptformidleren som ikke medfører ekspedisjon av resept eller nedhenting av resept blir logget i Reseptformidler. Det kan kjøres statistikker sentralt, og disse kan brukes i forbindelse med tilsyn av apotek. Det er også krav om at apoteker skal ta ut og gjennomgå såkalte hendelsesregistre med jevne mellomrom for å kontrollere bruk og forsøk på uautorisert bruk av systemet, sier Astrid Marie Reksnes i Apotekforeningen.
Bedre informasjonssikkerhet med norm
Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen) har bidratt til bedret informasjonssikkerhet, er konklusjonen i en evaluering gjennomført høsten 2012. Det skriver Helsedirektoratet.
PwC har utarbeidet rapporten for Helsedirektoratet basert på intervjuer med styringsgruppens medlemmer, i tillegg til representanter for kommuner, leverandører og myndigheter. Konklusjonen i rapporten er at Normen har bidratt til bedret informasjonssikkerhet i sektoren, og at den bør opprettholdes som en bransjenorm. Samtidig pekes det på en del områder for videreutvikling. Et sentralt spørsmål i evalueringen er hvordan bransjenormen har fungert som virkemiddel i sektoren. Her sier flere av respondentene at Normen som virkemiddel så langt har vært en suksess, og at den er et godt verktøy og felles referansepunkt, ikke minst fordi Normen samler og tolker lovverket i ett dokument. Samtidig er flere opptatt av at Normens krav kan være krevende å oppfylle, særlig for mindre virksomheter. En respondent uttalte: Målsetning og formål fremstår som et «fromt ønske» for små virksomheter.
PwC foreslår i sin rapport at videreutvikling av Normen og normarbeidet bør foregå særlig innenfor områdene organisering og ansvarsplassering, realitetsorientering og opplæring.
www.helsedirektoratet.no
Lovverk om informasjonssikkerhet
Lovverket som ligger til grunn for krav om informasjonssikkerhet i helsesektoren er omfattende og komplekst. Aktuelle lover er Personopplysningsloven, Helseregisterloven, Helsepersonelloven, Pasientrettighetsloven og Apotekloven. Informasjonssikkerhet må implementeres både i de elektroniske systemene og i rutiner for det daglige arbeidet i apoteket.
For å gjøre lovverket lettere tilgjengelig har det i regi av Helsedirektoratet blitt utarbeidet en norm for informasjonssikkerhet, som finnes på nettsiden deres.
Lovverket følges av faktaark som er veiledende og som skal hjelpe aktørene til
å implementere løsninger som er i tråd med lovverkets krav. Det er også laget
en veileder for implementering av kravene spesielt for apotek, og denne følges
av en mal som konkretiserer krav og løsninger.
Ansvaret for å følge lovverket ligger hos virksomheten, men noen forhold har hver enkelt et selvstendig ansvar for. Virksomhetens ledelse har ansvar for å lage et styringssystem for å sikre god informasjonssikkerhet i det daglige arbeidet i apoteket. Styringssystemet for informasjonssikkerhet skal være en integrert del av virksomhetens øvrige internkontrolldokumentasjon, iht. apotekforskriften § 37. Det er også krav om jevnlig kontroll av etterlevelse av styringssystemet.
Telefonhenvendelser
Taushetspliktbestemmelsene i Helsepersonelloven pålegger helsepersonell å sikre av at helseopplysninger ikke tilflyter uvedkommmende. Generelt er det strenge krav til tilgang til reseptopplysninger. Det er kun apotekansatte, leger, pasienten selv eller den pasienten har gitt fullmakt, som skal tilgang til pasientens reseptopplysninger.
• Leger skal i utgangspunktet kun se opplysninger om resepter de selv har skrevet ut, men pasienten kan gi samtykke til at fastlegen får se opplysninger fra resepter som er skrevet ut av andre leger.
• Apotekansatte skal kun se reseptopplysninger når de behandler reseptopplysninger i henhold til sine lovpålagte oppgaver eller etter oppdrag fra pasienten
• For øvrig er det kun pasienten selv eller den pasienten har gitt fullmakt som skal kunne motta informasjon om hvilke legemidler en pasient benytter
Dersom apotekene svarer på om en bestemt person har gyldige resepter i Reseptformidleren uten å være sikker på om den som henvender seg har rett på å få opplysningene, vil apotekene stå i fare for å utlevere taushetsbelagte opplysninger til personer som ikke har rett til å motta dem. Det er derfor viktig at helsepersonell i apotek er tilbakeholdne med å levere ut opplysninger om gyldige resepter i reseptformidler over telefon. Dersom de likevel leverer ut opplysninger over telefon må de ha rutiner for å forsikre seg om på at informasjonen ikke gis til uvedkommende.
Bransjen har laget en veileder for håndtering av telefonhenvendelser i apotek (apotek.no, logg inn på Apotekinfo). De samme reglene gjelder selvsagt også for videreformidling av historiske opplysninger om hvilke legemidler eller medisinsk utstyr en pasient har fått utlevert fra apoteket.
Bransjen vurderer når dette skrives om det også skal utarbeides veileder/retningslinjer for krav til legitimasjon/fullmakt ved utlevering av legemidler fra apotek. Andre områder vil også bli vurdert for veilder/retningslinjer.
Av Vendil Åse, Apotekforeningen