Patientintegritet – en känslig fråga
I och med att sjukhusens patientjournaler övergår från pappersform till digital form ställs det också nya krav på att skydda patienternas integritet.
Efter påtryckningar från hälso- och sjukvårdsmyndigheter över hela världen börjar nu allt fler läkare och sjukhus använda sig av elektroniska patientjournaler.
Vilka är då fördelarna? Jo, med hjälp av effektiva, nätverksbaserade system kan alla läkare få tillgång till patientens fullständiga vårdhistoria. Det innebär att alla sjukhusavdelningar kan se exakt vad patienten har behandlats för, patientens allmänläkare får tillgång till alla provsvar och vårdräkningen skickas direkt till sjukförsäkringsgivaren. Patientinformationen finns dessutom tillgänglig för psykologer, socialservicekontor – och arbetsgivare. Och om patienten flyttar till en annan stad får de nya läkarna tillgång till hela journalen.
Ett enda musklick
Men när det gäller IT-säkerhet finns det vissa problem. Thilo Weichert, IT-säkerhetskommissionär för den tyska delstaten Schleswig-Holstein, berättar att enligt tysk lag får de olika avdelningarna på ett sjukhus normalt sett inte ta del av varandras journaler.
– Sjukhusets psykolog får till exempel inte läsa en patients gynekologiska journal, såvida det inte föreligger ett rent behandlingsmässigt samband.
Övergången till elektroniska journaler kräver med andra ord att man begränsar användningen av dessa journaler, för att garantera att patienternas bästa alltid står i fokus.
Den mest uppenbara skillnaden är den fysiska säkerheten. David S. Finn, IT-ansvarig för vårdsektorn på datasäkerhetsföretaget Symantec, säger att det är mycket som har förändrats sedan pappersjournalernas tid.
– Nuförtiden är det enkelt att slå ihop flera patientjournaler, säger han. Med ett enda musklick kan journaler för miljontals människor gå förlorade, inte bara några få papper som en läkare tagit med sig hem som kvällsarbete.
Och visst har det inträffat skandaler. I USA stals för en tid sedan namn och personnummer på 26,5 miljoner krigsveteraner samt detaljer om deras hälsoproblem, när en anställd tog med sig journalerna hem utan tillstånd.
– Men å andra sidan är det enklare att skydda informationen när man vet var den finns, säger David. Man kan låsa hårdiskar eller skapa verifieringskedjor för att kontrollera om journalerna har kopierats eller laddats ner.
Rutiner för IT-säkerhet
David har jobbat på Symantec i två år. Tidigare var han IT-chef på sjukhuset Texas Children’s Hospital, men hans budskap är fortfarande detsamma:
– I tjugo års tid har jag predikat för mina medarbetare om hur viktigt det är att spara, skydda och dela information på rätt sätt, säger han. IT-säkerhet handlar inte bara om teknologi, utan minst lika mycket om rutiner, procedurer och kunskap. Och i grund och botten handlar det om människor. Det gäller att övertyga all personal om att ta patienternas integritet på allvar. ”Tänk om ni själva hamnar på sjukhus en dag”, brukar jag säga till mina medarbetare.
Och det finns många som behöver övertygas. Enligt LA Times uppskattar det amerikanska hälsodepartementet att omkring 150 personer, däribland sjuksköterskor, röntgenpersonal och kontorspersonal, har tillgång till större delen av en patients journal under en sjukhusvistelse. Dessutom har 600 000 sjukförsäkringsgivare, anställda och övriga personer som bearbetar rådata till fakturering också en viss insyn.
Men kraven på integritet och principen om att patienten måste godkänna all överföring av information kan göra det svårare att samordna vården.
– Även om myndigheter och försäkringsgivare vill göra allmänläkarna till ”vårdlotsar” som guidar patienterna genom hela vårdsystemet, så är detta inte tillåtet i Tyskland om patienten inte har gett sitt godkännande, säger Thilo Weichert. Och inte ens då får allmänläkaren tillgång till hela journalen från specialistläkaren, utan bara ett brev med den viktigaste informationen.
Lagarna är olika i olika länder, men det viktigaste är enligt David att läkarna förstår lagen och syftet med den och ser till att endast behöriga personer får tillgång till patientinformationen.
Han säger att det finns mycket kvar att göra inom detta område:
– Lagen ger en bra vägledning, men det finns situationer som inte omfattas av befintlig lagstiftning. I dessa fall får vi skapa egna lösningar efter hand, och inom vårdsektorn läggs i dag stora resurser på att utveckla gemensamma standarder.
David menar att patienternas integritet tas på allvar inom hela vårdsektorn, inklusive sjukförsäkrings- och läkemedelsbranschen, även om det ibland uppstår brister i rutinerna.
Säkerhetsöverträdelser
Men Thilo är inte lika optimistisk. Han är inte säker på att sjukhusen prioriterar rätt alla gånger.
– I teorin kanske de gör det, men IT-säkerhet är en dyr och komplicerad fråga för sjukhusen, som många gånger kämpar med tuffa besparingskrav, säger han. Alla sjukhus har sina brister, och i vissa fall kan situationen vara rent katastrofal.
David vidhåller dock att de flesta överträdelser sker av misstag – en forskare som glömmer att ta bort namnet från en röntgenbild han kopierar eller en läkare som ska kopiera en journal men av misstag råkar kopiera tusen stycken.
– Det är viktigt att personalen förstår hur informationen överförs och att det finns tillräckligt bra kontroller, säger han.
Enligt David utgörs den största risken av det faktum att brottslingar i allt större utsträckning använder sig av så kallade sabotageprogram. Och här finns det specifika hot riktade mot vårdsektorn. Biomedicinska apparater som sonogram och monitorer ansluts allt oftare till nätverk, så att de avlästa värdena kan läggas in direkt i de elektroniska journalerna.
– Operativsystemen är ofta väldigt primitiva, vilket gör att sabotageprogrammen kan infektera hela nätverket. Med hjälp av personlig information som namn, födelsedatum och försäkringsuppgifter kan brottslingarna sedan få tillgång till annan information, som till exempel kreditkortsuppgifter, säger David.
Detta är användbar information i kriminella kretsar, men kanske inte den typ av information man brukar förknippa med patientintegritet. De flesta patienter är mer oroliga för att deras arbetsgivare ska få reda på att de har varit sjukskrivna för depression och inte för ryggskott, att deras nya försäkringsbolag ska få veta att de tidigare har haft problem med hjärtat eller att läkaren på den nya bostadsorten ska få nys om den där aborten för några år sedan.
Thilo säger att integritet är en avgörande faktor för att en patient ska känna förtroende för sin läkare och att det har varit så ända sedan Hippokrates tid.
– Jag tycker att man ska ha strikta regler. Men ingen regel utan undantag, och i vissa fall kan det finnas skäl att frångå rutinerna, säger han.
Men han är övertygad om att IT-säkerhet är något positivt även för sjukhusen.
– Pengar spelar en avgörande roll, men om sjukhusen investerar i IT-system som uppfyller kraven på IT-säkerhet kommer systemen att bli effektivare, vilket i slutändan gynnar alla parter.
Av Michael Lawton