Anonymisering av helsepersonellets identitet i innsynslogg for innbygger

[oekvennaas]

Enkelte helsepersonellkategorier påberoper seg anonymisering ved oppslag i en pasients opplysninger. Dette kan f.eks. gjelde AMK--operatører. Skal dette kobles opp mot tillitsrammeverket på en eller annen måte? Kan man f.eks. se for seg at dersom koden "ETREAT" benyttes for purpose_of_use, så skal helsepersonellets identitet anonymiseres i innsynsloggen til innbygger?

[richardhus]

Jeg mener nei, det skal tyngre argumentasjon til for å få innvilget anonymisering enn at man befinner seg i en akuttsituasjon, AMK-operatørene har fått innvilget dette fordi de gjerne gjør oppslag på vegne av ambulansepersonell (siden de mangler mulighet for direkte tilgang selv i ambulansene) og fordi de opplever å bli utsatt for personlige trusler i etterkant av sin tilgang. Dette bør være en manuell søknadsprosess, men med lagring i et register som de aktuelle modulene i helsenorge.no (eller andre tjenester) kan forholde seg til for å overholde anonymiseringen.

[steinarnoem]

• Dette kan gjelde flere enn AMK..
• Det er behov for å tydeliggjøre betydningen av de forskjellige kodene for PoU (BTG vs ETREAT vs ERTREAT)
• Er dette en forretningsregel som begrenser informasjon på Helsenorge-løsningen - altså noe som ikke påvirker attesteringa i seg selv?
• Skal denne typen forretningsregler for bruk av informasjonen i spesifikke systemer tas inn i informasjonsmodellen?

[mortsten]

I og med at dette er data som allerede er registrert i NHN, bør man kunne se hvor bredt behovet egentlig er. Bør ikke være slik at vi på forhånd beslutter at ulike større grupper anonymiseres. Tenker at behovet oppstår ovenfor enkelte pasienter der dette behovet, men ikke mot enhver pasient.

[oekvennaas]

Jeg tenker at praksis bør være at vi alltid logger helsepersonellets identitet som angitt av informasjonselementene i tillitsrammeverket. Videre bør helsepersonellets identitiet alltid utleveres når helsenorge ber om innsynslogg. Deretter kan det evt være forretningslogikk på helsenorge.no som viser eller ikke viser helsepersonellets identitet til pasienten selv. Da sikrer vi konsistent håndtering fra alle api'er som utleverer helsedata, samt at vi sikrer at vi har detaljer i innsynslogg dersom det blir nødvendig for debug og/eller deteksjon av snoking.

[oekvennaas]

Vi har vel ikke fått en klar og entydig tilbakemelding på dette. Vårt initielle forslag er altså å tillate følgende kodeverdier for purpose_of_use: TREAT, ETREAT, COC, BTG og ERTREAT. Deretter kan beslutningen hvorvidt helsepersonellets identitet skal vises for pasient eller ikke, baseres på verdien av purpose_of_use. F.eks. kan verdien ERTREAT bety at helsepersonellets identitet ikke skal vises. Det er ikke entydig enighet om dette forslaget internt i NHN, men vi ønsker en tilbakemelding fra feature teamet. Forslaget om at det heller bør foreligge en søknadsprosess synes jeg ikke noe om (dvs at helsepersonell må søke til NHN for å få aksept for at helsepersonellets identifet ikke vises. Det vil kreve saksbehandlerressurser som driver forvaltningskostnad, og i tillegg mener jeg NHN ikke har kompetanse eller myndighet (ihvertfall ikke som databehandler i dokumentdeling) til å avgjøre en slik søknad. Da mener jeg at det er bedre at helsepersonellet som ber om tilgang til data selv tar en beslutning om behandlersituasjonen tilsier at helsepersonellets identitet ikke skal vises for pasienten.

[mortsten]

Overordnet er det kun er unntaksvis at man skal holde tilbake helsepersonellets identitet i innsynslogg. Vi anser det som overgripende tiltak å basere anonymisering på en så generell regel som purpose_of_use. Med det som bakgrunn tenker jeg at det ikke er en del av tillitsrammeverket å løse dette.

[richardhus]

Støtter @mortsten her, men har også forståelse fra bekymringen din rundt forvaltningskostnad, @oekvennaas. Samtidig har det så langt vist seg å være temmelig begrenset antall helsepersonell som har dette behovet hvis man ser på antallet som står på anonymiseringslisten for kjernejournal så langt. Og jo mer krevende det er å søke om og å få innvilget for helsepersonell, jo mer får man filtrert bort de som ikke har god nok grunn til å få innvilget anonymiseringen i utgangspunktet kanskje? Mitt forslag var egentlig bare å videreføre eksisterende praksis, men at også tilgangsloggen på helsenorge.no bare tar hensyn til det som er innholdet i anonymiseringsoversikten kjernejournal sitter på i dag og maskerer/anonymiserer innslag med samme fødselsnummer. Det i seg selv krevet ingen endringer i prosessen og det bør heller ikke gi økt etterspørsel om vi ikke begynner å markedsføre dette som en lettvint løsning for dem som synes det er mest bekvemt...

[richardhus]

Et mer krevende alternativ for alle kilder som avgir til tilgangslogg til helsenorge.no er at de får tilgang til et API som man kan slå opp i anonymiseringslisten for kjernejournal for så å kunne filtrere bort dersom man finner noen innslag med de registrerte fødselsnumrene på, men det høres ut som en langt mer komplisert sak å få til enn om NHN gjør dette på helsenorge.no-siden.

[steinarnoem]

Enighet i arbeidsgruppa om at denne kan lukkes