Endelig rapport fra Datatilsynet er klar
Datatilsynet har publisert sin endelige rapport etter tilsyn med Helseplattformen våren 2024. Rapporten beskriver forholdene slik de var på tilsynstidspunktet, og gir et tydelig grunnlag for det videre forbedringsarbeidet.
Helseplattformen AS vil nå gå systematisk gjennom Datatilsynets vurderinger og sammenholde dem med tiltakene som er gjennomført siden 2024.
Datatilsynet peker på flere forhold som ikke var tilstrekkelig på tilsynstidspunktet, særlig knyttet til organisatoriske tiltak, styringssystem og teknisk støtte for tilgangsstyring.
– Vi tar rapporten på største alvor, og den gir klare føringer for vårt videre arbeid. Vi har allerede gjort betydelige grep det siste året, og vil nå vurdere hva som gjenstår for å møte Datatilsynets forventninger, sier administrerende direktør Siri Berg.
Tilsynet gjelder helsepersonells tilgang
Tilsynet handlet om helsepersonells tilgang til opplysninger i journalen, og Datatilsynet vurderte styringssystem, roller og ansvar, samt enkelte tekniske forhold – særlig knyttet til tilgangsstyring, logging og loggkontroll.
Tilsynet omfattet ikke pasientsikkerhet eller klinisk praksis, og rapporten avdekker ikke feil på disse områdene.
Et felles journalsystem med en annen ansvarsfordeling
Helseplattformen er landets eneste felles journal for primær- og spesialisthelsetjenesten, og brukes av om lag 40 000 helsearbeidere i 34 kommuner og samtlige åtte sykehus i Midt-Norge.
Enkeltvedtaket fra Helse- og omsorgsdepartementet fastsetter hvordan dataansvaret fordeles mellom Helseplattformen AS og helsetjenesten. Helseplattformen AS har et omfattende dataansvar, også for organisatoriske tiltak, mens helsefaglige vurderinger ligger hos kommuner og helseforetak.
Datatilsynet peker på at ansvarsbildet i praksis har vært krevende for alle aktører. Datatilsynet peker på at veiledningsplikten etter Enkeltvedtaket må følges opp gjennom konkrete tiltak og avtaler. Datatilsynets rapport er tydelig på hvilket ansvar som ligger til Helseplattformen AS.
Enkeltvedtaket skal nå evalueres av Helse- og omsorgsdepartementet. Eventuelle endringer i ansvarsmodellen vil bli innarbeidet i det videre arbeidet og i dialogen med aktørene.
Mye er gjort etter 2024
Flere av svakhetene Datatilsynet peker på er allerede rettet opp gjennom tiltak etter 2024, og arbeidet er betydelig styrket siden den gang. Det siste året er blant annet:
- styringssystemet og organiseringen av personvern- og sikkerhetsarbeidet videreutviklet
- avvikshåndtering forbedret, med større vekt på læring
- roller og ansvar tydeliggjort, både internt og i samspillet med helseforetak og kommuner
- opplæringsstrategi oppdatert, og samarbeid om felles rutiner og praksis styrket
Dette arbeidet fortsetter, og vurderes nå opp mot Datatilsynets forventninger i den endelige rapporten.
Redegjørelse og tiltaksplan innen 6.januar
Helseplattformen vil innen 6. januar sende Datatilsynet en faglig redegjørelse og en tiltaksplan som beskriver status, vurderinger og en tidsplan for eventuelle gjenværende forhold.
– Målet vårt er klart: Trygg og riktig bruk av journalsystemet i hele helsetjenesten, med der både personvern og pasientsikkerhet blir godt ivaretatt. Det forutsetter tydelige roller, godt samarbeid og felles forståelse av ansvar. Vi tar dataansvaret på alvor og viderefører dette arbeidet i tett dialog med kommuner og helseforetak, sier Siri Berg.
Lenke til rapporten på Datatilsynets sider
Kontakt i Helseplattformen: Avdelingsdirektør Tor-Erling Evjen, tlf. 911 12 506