Riksrevisjonen slår alarm om manglende kontroll med snoking i de elektroniske pasientjournalene. De inneholder taushetsbelagt informasjon som er underlagt streng lovregulering.

Helsepersonell har svært ofte tilgang til journaler, selv om de ikke har bruk for slik tilgang for å utføre jobben sin.

— Helse- og omsorgsdepartementet må sørge for at foretakene følger reglene, sier riksrevisor Per-Kristian Foss.

Kan ikke overholde loven

Manglene er så store at Riksrevisjonen mener at «administrerende direktør i helseforetakene ikke vil være i stand til å overholde sin lovpålagte plikt som databehandlingsansvarlig».

Bare ved Oslo universitetssykehus er det mer enn 100 millioner oppslag i pasientjournaler pr. år. Riksrevisjonens stikkprøver i helseforetakene avdekker at «ingen av de utvalgte avdelingene på eget initiativ gjennomførte loggkontroller».

Avdekker ikke snoking

Alle helseforetakene oppgir at dagens løsninger for loggkontroll «ikke er egnet til å avdekke snoking».

Riksrevisjonen mener at omfanget av pasientjournaler og antallet oppslag er så stort at manuelle loggkontroller er lite effektivt for å avdekke ureglementerte oppslag, og at sannsynligheten for å avdekke snoking er liten. St. Olavs Hospital HF oppgir blant annet at de tilfellene der det er avdekket snoking, har vært basert på konkrete mistanker og tips fra pasienter.

Ledelsen i Helse Bergen HF, St. Olavs Hospital HF og Universitetssykehuset Nord-Norge HF rapporterer om underrapportering av avvik — det vil si snoking i pasientjournalene.

Tilfeldigheter

Riksrevisjonen mener det nærmest vil være tilfeldig om helseforetakene oppdager snoking i pasientjournaler. Og når det avdekkes, skjer det ofte etter tips fra pasienter.

Det finnes heller ingen oversikt over hvilke konsekvenser det får, om helsepersonell tas for snoking i pasientjournaler. Helse Bergen opplyser til Riksrevisjonen at de heller ikke vil vite:

«Helse Bergen HF redegjør for at de ikke ønsker en oversikt sentralt over reaksjoner iverksatt av ledere, og at dokumentasjonen lagres i personalmappen til den ansatte,» står det i rapporten.

Uforberedt på det uventede

I tillegg mangler flere helseforetak risiko- og sårbarhetsanalyser (ROS) og beredskapsplaner for IKT, vann og strøm. Ledelsen følger sjelden opp dette sikkerhetsarbeidet, som er avgjørende for sykehusdriften.

Ni av de 19 undersøkte helseforetakene mangler ROS-analyser for en eller flere av innsatsfaktorene. 13 helseforetak mangler én eller flere beredskapsplaner.

Ifølge Riksrevisjonen planlegger ikke helseforetakene for det uventede.

Riksrevisjonen kommer med en rekke anbefalinger, blant annet at

•Helse- og omsorgsdepartementet pålegger de regionale helseforetakene å forsikre seg om at alle helseforetakene etterlever gjeldende regelverk for informasjonssikkerhet og behandling av helseopplysninger.

•Det blir utviklet verktøy og iverksatt tiltak som er egnet for å oppdage urettmessig tilegnelse av helseopplysninger.

•De regionale helseforetakene følger opp at helseforetakene etablerer systematisk kontroll og oppfølging av ansattes tilganger, og at det etableres en tilstrekkelig internkontroll av tilgangsstyringen.

Helse- og omsorgsminister Bent Høie mener at Riksrevisjonens merknader og anbefalinger fremstår som relevante og viktige for det videre arbeidet på området, og at anbefalingene vil bli fulgt opp gjennom krav om oppfølging og rapportering til de regionale helseforetakene i foretaksmøtet i januar 2015.