– Dette er selvfølgelig problematisk med tanke på taushetsplikten, sier fastlege Peter Christersson. Som leder av Allmennlegeforeningen i Rogaland har han de siste månedene mottatt meldinger fra fastleger i regionen som mener at den elektroniske kommunikasjonen fra offentlige myndigheter til legekontorer byr på personvernsutfordringer.
Nylig opplevde for eksempel et anonymisert legesenter i Rogaland at fylkeslegen sendte en melding om en pasient gjennom Altinn. Dette er den norske felles internettportalen for å levere elektroniske skjemaer til offentlige myndigheter, og som blant andre Fylkesmannen i Rogaland benytter seg av.
Meldingen fra fylkeslegen inneholdt opplysninger om en person som ikke oppfylte helsekravene for førerkort. Pasienten var angitt med navn, personnummer og årsaken til at han ikke oppfylte kravene, som i dette tilfellet var rus. Men i stedet for at bare pasientens lege fikk tilgang til opplysningene, ble meldingen tilgjengelig for samtlige leger ved senteret, samt regnskapsfører. Det går fram av en bekymringsmelding som Christersson nylig sendte fylkeslegen i Rogaland.
– Legekontorenes Altinn-adresse er mest brukt til regnskap og arbeidsgiveropplysninger, derfor vil også regnskapsførere ha tilgang til den. Dette er imidlertid personer som ikke har taushetsplikt om helseopplysninger, sier han.
I utgangspunktet er det kun daglig leder og styreleder som har rettigheter til å åpne og lese posten i Altinn, hvis det er et AS. De kan velge å delegere rettigheter til andre, ifølge Altinn.
LES OGSÅ: Helsepersonell fikk ufrivillig innsyn i pasientjournaler (RA+)
Får ufrivillig tilgang
Men selv i tilfeller hvor kun daglig leder og styreleder som har tilgang, byr det på personvernmessige utfordringer, mener Christersson.
– Som daglig leder ved et legekontor tar du imot post som du delegerer videre til de andre legene på senteret. Slik er det der jeg jobber. Men problemet er at når du får inn en melding på Altinn, så ser du ikke hvem den er til eller hva den gjelder. Du er derfor nødt til å åpne den. Men på den måten får jeg også tilgang til taushetsbelagt informasjon om pasienter som ikke er i mine hender, sier han.
Han mener det kan settes spørsmålstegn ved om fylkesmannen bryter loven ved å benytte seg av Altinn for denne type meldinger, mener han.
– Det er alvorlig når fylkeslegen som selv er tilsynsmyndighet, og som blant annet skal passe på at helsepersonell ikke bryter taushetsplikten, faktisk gjør det selv. Forvaltningsloven har bestemmelser som er nesten like vidtgående som i helsepersonelloven. Det innebærer at de er ansvarlig for at sensitiv personinformasjon ikke kommer på avveie.
LES OGSÅ: – Lagring av stamceller fra nyfødte kan gi falsk trygghet (RA+)
Dropper digital post
Nylig tok fylkesmannen grep. De medgir at den digitale kommunikasjonen «har gitt utfordringer når det gjelder å overholde taushetsplikt», heter det i et svarbrev til Christersson.
«Fylkesmannen i Rogaland har derfor besluttet å inntil videre stanse utsending av digital post til fastleger, for å hindre at uvedkommende får tilgang til personsensitiv «informasjon», skriver assisterende fylkesmann Harald Thune og fylkeslege Janne Dahle-Melhus.
– Problemet her er å definere hvilken adresse som skal brukes for å komme til rette mottaker av meldingene. I dag har de ulike legekontorene gjerne flere mottakeradresser for digital post. Så lenge vi ikke får et system på plass som sikrer riktig adresse, sender vi kun ut meldinger på papir, sier Harald Thune til RA.
Ifølge ham valgte de å legge de digitale meldingene på is for om lag to uker siden. Digital post har de sendt til fastleger fra første halvdel av mars. Fra da av var det meste av papirposten historie hos fylkesmannen. Årsaken er at de gjennom Digitalseringsrundskrivet fra Direktoratet for forvaltning og IKET (Difi), er pålagt å benytte digital post i kommunikasjon med næringsdrivende og andre virksomheter med organisasjonsnummer. Difi har også gitt en uttalelse om at ingen virksomheter med organisasjonsnummer kan reservere seg mot å motta digitale forsendelser, ifølge ham.
LES OGSÅ: Gravide glemmer helsekort - kan skape farlige situasjoner (RA+)
– Skandale
Jørgen Ferkingstad, kommunikasjonsansvarlig i Altinn, som eies av Brønnøysundregistrene, presiserer at denne saken ikke handler om feil eller sikkerhetshull i Altinn.
– Digital post til virksomheter (DPV) er en generell tjeneste for forsendelse av post fra det offentlige til virksomhetene. De som har rettigheter til å åpne og lese post her, er i utgangspunktet daglig leder og styreleder, hvis det er et AS. Disse har taushetsplikt. Daglig leder kan velge å delegere rettigheter til andre, slik det har skjedd i dette tilfellet, påpeker han.
Men DPV er ikke designet spesielt for å sende taushetsbelagt pasientinformasjon, sier han.
– Til den type bruk finnes det elektroniske pasientjournalsystemer. Det er avsender, i dette tilfelle Fylkeslegen i Rogaland, som må vurdere hvilken kanal som egner seg. Hensynet til personvern og lov om personopplysninger vil være retningsgivende for hvilken kanal avsender velger. Her vil lov om personopplysninger være overordnet rundskriv og pålegg.
Fastlege Peter Christersson kritiserer myndighetene for ikke å ha rådført seg med fastleger da det ble bestemt at den offentlige postgangen skulle digitaliseres:
– At de ikke gjorde dette, mener jeg er en skandale, sier han.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/3XDFGI55IRAX5PIDVYPLWODGZU.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/RP3KW2WJ5ZGDNBJTFEGSPCKI7M.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/YDWSG2BA3NHORLNX2IYVFHFRTA.jpg)