Utposten Nr 5 2004 Når Datatilsynet kommer på tilsynsbesøk

Nr 5 2004- Årgang 33

Kvalitetssikring på legekontoret er ingen spøk. Får man tilsynsbesøk kan selv de mest pliktoppfyllende av oss føle usikkerhet om kvalitetssikringen holder mål. Mange har faktisk lagt ned en god del arbeidstimer for å holde rimelig kvalitet på legekontoret, men hvem av oss kan med hånden på hjertet påstå at opplegget holder mål etter de ulike til- synenes krav? Ja, hvem vet helt sikkert hva som kreves for å ha god nok kvalitetssikring på de ulike feltene vi har ansvar for?

Vi synes det kan være lærerikt å høre hvordan et slikt tilsynsbesøk har forløpt og har derfor intervjuet spesialist i allmenn- og samfunnsmedisin Steinar Fretland ved Robrygga legekontor, Namsos medisinske senter i Namsos.

Han jobber i en meget veldrevet, privat trelegepraksis og har hatt Winmed journalsystem på data i fem år - og før det Profdoc i ti år. Både han og kollegene har alltid ligget i front på nye datatekniske løsninger og er nå med i et forsøksopplegg hvor epikriser og laboratoriesvar hentes inn i journalen via Helsenett Midt-Norge (HMN).

I fjor sommer fikk legekontoret brev fra Statens datatilsyn om tilsynsbesøk i oktober for å vurdere datasikkerheten ved kontoret.
Utposten: Hvordan vil du beskrive den kvalitetsikringen dere hadde arbeidet fram inntil Datatilsynet meldte sin ankomst?
Vi har en kvalitetssikringsperm som ble lastet ned fra et annet kontor for et par år siden og bearbeidet noe til forholdene hos oss. Den inneholder enkelte ting som berører datasikkerhet - taushetsplikt, utlevering av nøkler, back-up etc.

Stort sett synes vi at vi passer godt på journalopplysningene våre og har gode rutiner. Hver enkelt har passord for å logge inn på datasystemet, vi arkiverer papir med pasientdata forsvarlig i egne arkivskap, vi låser dører, slår på tyverialarmen når vi går hjem om kvelden og kjører back-up om natta.

Utposten: Hvilke tiltak gjorde dere i tiden før Datatilsynet kom på besøk?
I sitt brev hvor Datatilsynet varslet sitt tilsyn, ba de om å få en del dokumenter tilsendt på forhånd. Disse skulle omhandle en rekke forhold om vår håndtering av pasientopplysninger. Jeg tar med noen smakebiter:
ooversikt over informasjonssystemet,
okonfigurasjons/system-kart,
ostyrende dokumenter for internkontroll
oopplysninger og rutiner for tilgangskontroll til datajournaler.

I det forestående møtet ville de bl.a. høre mer om , de ville kartlegge om vi hadde en tilfredstillende risikovurdering - , og kartlegge våre internkontrollsystemer etter helselovgivningen mm.
Vi syntes mye av dette var byråkratisk formulert og vanskelig å svare konkret på.

Det er HMN som har ansvaret for datasikkerheten i vår oppkopling til helsenettet, og vi fikk dokumenter fra dem som vi sendte til Datatilsynet - sammen med et brev fra oss (ca. en side) -der vi trakk ut det viktigste om datahåndtering fra Kvalitetssikringspermen. Så krysset vi fingre og ønsket Datatilsynet velkommen.

Utposten: Kan du fortelle hvordan selve tilsynsbesøket gikk og hvordan denne saken utviklet seg etterpå?
Datatilsynet stilte med to mann som kom fra Oslo i sakens anledning - avdelingsdirektør Kaspersen og juridisk rådgiver Bråthen. Vi møtte med dataansvarlig og en representant fra Helsenett Midt-Norge - samt daglig leder, men han var forhindret deler av dagen da han hadde det travelt med øyeblikkelig-hjelp-ansvar. Vi viste rundt på kontoret, serverte kaffe og Datatilsynet stilte en rekke medbrakte, målrettede spørsmål og krysset av og noterte flittig våre svar underveis. I en oppsummerende samling til slutt, fikk vi inntrykk av at de var godt fornøyd. De sa imidlertid at i den offisielle rapporten, ville positive forhold ikke omtales - kun ting som ikke tilfredstilte lover og forskrifter og som vi måtte rette på.

Etter seks uker fikk vi tilsendt . Vår internkontroll fikk følgende karakteristikk: . Vi jublet en stakket stund. For ellers så det ikke så bra ut. Datatilsynet savnet tilfredstillende dokumentasjon og beskrivelse av flere forhold - og varslet pålegg i sakens anledning. Vi fikk imidlertid en måned på å komme med skriftlige innvendinger. Hovedpunktene der vi hadde mangler var:
osystem for avvikshåndtering/sikkerhetsbrudd,
oen bearbeidet risikovurdering,
odokumentert tilfredstillende konfigurasjonskontroll og
oansvars- og myndighetsforhold ovenfor kommunikasjonspartnere.

Nå måtte vi ha hjelp. Sammen med en lokal dataekspert gikk vi grundig til verks. Vi trålet lover og forskrifter og gikk i detalj inn på de enkelte punkter i Datatilsynets rapport. Resultatet ble et omfattende dokument (ca en kg) som ble oversendt Datatilsynet. Ni måneder etter dette fikk vi godkjenning av vårt opplegg fra Datatilsynet der de også beklaget lang saksgang grunnet stort arbeidspress!

Instituttets hovedside
UiBs Hovedside
Institutt for samfunnsmedisinske fag,
Oppdatert 17.11..2004
John Leer