 |
|
|
Det Etiske Råds høringssvar angående Informationssikkerhed – vejledning for sundhedsvæsenet
Den 4. december 2007
Det Etiske Råd vil gerne takke for invitationen til at være med i den referencegruppe, der blev konsulteret i forbindelse med arbejdet med vejledningen, samt for henvendelsen angående høringen af udkastet til vejledningen.
Det Etiske Råd har én overordnet bemærkning og 3 mere specifikke bemærkninger til udkastet til vejledning.
Overordnet bemærkning
Det etiske eller værdimæssige aspekt af anvendelsen af IT i sundhedsvæsenet indgår ikke i vejledningen i ekspliciteret form. Efter rådets bør det fremgå af vejledningen, hvilke etiske værdier og dilemmaer anvendelsen af IT i sundhedssektoren involverer. Desuden bør det fremgå, at man næppe kan sikre en etisk set hensigtsmæssig praksis alene gennem tekniske og overvågningsmæssige tiltag. Denne type af tiltag bør suppleres med information og undervisning, som fremmer sundhedspersonernes forståelse af de værdier, der ligger til grund for en hensigtsmæssig anvendelse af IT. Efter rådets opfattelse er det kun muligt at skabe en etisk baseret sundhedspraksis ved at få opmærksomheden om det etiske aspekt helt ud i det yderste led i denne praksis - det vil sige ved at få den enkelte sundhedsperson til at se de etiske værdier som en nødvendig og integreret del af sin egen praksis.
At anvendelsen af IT på sygehuse er udtryk for en afvejning, som baserer sig på værdier af etisk karakter, fremgår allerede af forordet til udkastet til vejledningen: ”De nye regler i sundhedsloven om sundhedspersoners adgang til elektroniske systemer i forbindelse med behandling af patienter er udtryk for en afvejning af på den ene side effektivitet i patientbehandlingen og på den anden side patienternes krav på fortrolig behandling af data”. Den først beskrevne værdi – effektivitet i patientbehandlingen – forstår enhver sundhedsperson formodentlig uden videre betydningen af i den givne sammenhæng. Hvis man altid har let og sikker adgang til opdaterede informationer om patienten, for eksempel gennem EPJ, højner det kvaliteten af behandlingen og effektiviserer hele sundhedsvæsenet, hvilket kommer patienterne og borgerne til gode. Men forstår og accepterer enhver sundhedsperson på samme umiddelbare måde betydningen af værdien ”fortrolighed” eller måske rettere: Den betydning fortrolighed har for de patienter, der behandles i sundhedsvæsenet? Det er næppe tilfældet blandt andet af den grund, at kravet om fortrolighed kan opfattes som noget, der blot besværliggør behandlingsforløbet og i den forstand fremtræder som et eksternt krav. Det samme kan formodentlig siges om andre af de mere ”bløde” værdier, der spiller en rolle i forbindelse med anvendelsen af IT i sundhedsvæsenet, som for eksempel respekt for selvbestemmelse, forståelse for patienten som person mv.
Efter Det Etiske Råds opfattelse kan det ikke undgås, at den enkelte sundhedsperson i praksis ofte vil stå i situationer, hvor han eller hun i forbindelse med den konkrete anvendelse af IT er nødsaget til at afveje forskellige typer af værdier. Det kan for eksempel være i forbindelse med afgørelsen af, om den såkaldte ”værdispringsregel” gælder i den konkrete situation eller om bestemte informationer i EPJ skal gøres tilgængelige for andre sundhedspersoner, der ikke umiddelbart har adgang til dem. Det sidste kan man kun tage stilling til, hvis man både kan vurdere informationernes vigtighed i forhold til det aktuelle behandlingsforløb og tage stilling til, hvor væsentligt det i den konkrete situation er at værne om patientens krav på fortrolighed.
Denne type af afvejninger er det naturligvis vanskeligt at foretage, hvis man ikke har forståelse for alle de værdier, der indgår i afvejning. Har man ikke det, er det måske nærliggende at se mere eller mindre bort fra de værdier, der i den givne situation ligger en fjernest, hvilket i den sundhedsfaglige kontekst nogle gange vil være de ”bløde” værdier.
På baggrund af de ovenstående overvejelser vil rådet kraftigt anbefale, at Informationssikkerhed – vejledning for sundhedsvæsenet kommer til at rumme en præcisering om, at ”det fornødne awareeness- og uddannelsesniveau i organisationen” (s. 18) også omfatter det retsgrundlag, vejledningen bygger på, og de heri hvilende etiske principper og værdier, som er relevante i forbindelse med anvendelse af IT. Det bør derfor fremgå, at disse principper og værdier bør indgå som en integreret del af den ”uddannelse, træning og oplysning om informationssikkerhed” (s. 18), som udkastet til vejledningen lægger op til, at ledelsen skal sætte i værk. Det Etiske Råd vil ligeledes kraftigt anbefale, at Informationssikkerhed – vejledning for sundhedsvæsenet kommer til at rumme refleksioner over, hvad det er for typer af værdier, der indgår i forbindelse med diverse afvejninger angående anvendelsen af IT på sygehuse. Eventuelt kan refleksionerne have karakter af et kortfattet katalog med beskrivelser af de værdier, der er tale om. Det Etiske Råd vedlægger som bilag 1 til dette høringssvar et kort notat med overskriften Etiske hovedhensyn i forbindelse med anvendelse af IT på sygehuse. Sundhedsstyrelsen er velkommen til at gøre brug af notatet i vejledningen om informationssikkerhed![1]
1. specifikke bemærkning
De nye regler for adgang til informationer i EPJ baserer sig som nævnt i vejledningen på, at sundhedspersonen som udgangspunkt har adgang til oplysninger om patienten uden dennes samtykke, hvis bestemte betingelser er opfyldt. Patienten kan dog ifølge § 42 a. stk. 7 frabede sig, at en sundhedsperson indhenter oplysninger i en række tilfælde, men det er patienten selv, der skal sige fra. Efter Det Etiske Råds opfattelse er patientens kontrol med informationerne derfor i praksis væsentligt formindsket i forhold til en situation, hvor patienten skal samtykke til videregivelse af informationer. Patienten skal nemlig i højere grad foretage sig noget aktivt for at forhindre videregivelsen af informationer under en sige-fra-model end under en samtykke-model.
Det Etiske Råd finder det særdeles væsentligt, at patientens råderet over informationerne om sig selv i videst mulig udstrækning imødekommes. For at imødegå de problemer, en sige-fra-model let kan afstedkomme, vil rådet derfor anbefale Sundhedsstyrelsen at indskærpe de ansvarlige i sundhedsvæsenet, at der skal etableres en fast procedure som sikrer: - At patienten gives en fyldestgørende og forståelig information om sine muligheder for at frabede sig, at sundhedspersonerne indhenter oplysninger om ham eller hende.
- At patienten om nødvendigt hjælpes og vejledes i forhold til at sige fra over for indhentelse af informationer.
- At patientens ønsker på en overskuelig og standardiseret måde registreres i EPJ.
- At der skabes mulighed for at kontrollere, om patientens ønsker respekteres i de tilfælde, hvor de ifølge sundhedsloven skal respekteres.
2. specifikke bemærkning
I særlige tilfælde kan en sundhedsperson ifølge den såkaldte ”værdispringsregel” indhente oplysninger om en patient, som sundhedspersonen normalt ikke er berettiget til at indhente. Ifølge udkastet til vejledningen om informationssikkerhed, skal ”denne type behandling af data, som sundhedspersonen ikke har normal adgangstilladelse til, markeres i loggen, så den let kan gøres til genstand for en nærmere analyse og rapportering som beskrevet i sikkerhedsorganisationens procedurer. Det kan i praksis foregå ved brug af en særlig ”knap” i brugerfladen, der giver adgang til at finde evt. oplysninger, en bruger ikke normalt er autoriseret til” (s. 32-33). Det Etiske Råd kan i høj grad billige denne type af tiltag, som sikrer mod uautoriseret brug af informationer. Rådet finder samtidig, at der bør finde en analyse og rapportering sted hver gang, der indhentes informationer på baggrund af værdispringsreglen. Dette kan sikre mod misbrug og være med til at opbygge og skærpe en forståelse for, hvornår det er på sin plads at anvende reglen.
3. specifikke bemærkning
Det Etiske Råd anser patientens ret til selvbestemmelse og privathed for at være blandt de mest grundlæggende hensyn i en sundhedsmæssig sammenhæng, hvilket er i overensstemmelse med de hensigtserklæringer, der udtrykkes i § 2 i sundhedsloven. Derfor mener rådet, at anvendelsen af IT i sundhedsvæsenet bør foregå på en sådan måde, at patientens perspektiv på registrering, anvendelse og videregivelse af informationer om ham eller hende imødekommes, medmindre der er meget tungtvejende grunde til ikke at gøre det. Dette medfører blandt andet, at rådet som udgangspunkt kan anbefale tiltag, der understøtter patientens muligheder for at få adgang til og disponere over informationerne om ham eller hende.
I forlængelse heraf påskønner rådet en række af de tiltag, der lægges op til i udkastet til vejledningen om informationssikkerhed. Det gælder for eksempel hele den følgende passage: ”Den tekniske udvikling vil kunne medføre, at patienten får mulighed for at frabede sig indhentning af bestemte oplysninger eller bestemte kategorier af oplysninger, fx alle psykiatriske oplysninger. Dette vil medføre et krav om, at systemerne skal kunne administrere patienternes ønske om, at der ikke indhentes bestemte – kategorier af – oplysninger. Det vil sige, at sundhedsloven stiller krav om, at i det omfang, systemerne kan håndtere selektiv frasigelse, skal systemerne kunne håndtere dette” (s. 33). Det gælder også formuleringen om, at ”Patienters adgang til logoplysninger bør derfor indtænkes i de nye systemer” (s. 25).
Rådet kan fuldt ud tilslutte sig vigtigheden af, at der udvikles IT-systemer, som befordrer en etisk forsvarlig og lovpligtig anvendelse af data, herunder for eksempel systemer, der giver patienten adgang til relevante informationer om sig selv og eventuelt mulighed for at disponere over relevante informationer. Rådet anbefaler imidlertid også, at Sundhedsstyrelsen lægger op til, at systemerne bør tages i brug, så snart de er implementeret og fungerer tilfredsstillende. I det nuværende udkast til sikkerhedsvejledningen antyder formuleringerne blot, at de kan tages i brug, når de er udviklet, se for eksempel side 25: ”… hvis der systemteknisk er mulighed herfor [at give patienten adgang til logoplysninger], kan en sådan adgang naturligvis etableres af den dataansvarlige”. Råder finder, at denne formulering bør erstattes af formuleringen ”kan og bør en sådan adgang etableres af den dataansvarlige”. Dette gælder også i forbindelse med andre, lignende formuleringer.
|
Bilag 1
Etiske hovedhensyn i forbindelse med anvendelse af IT på sygehuse
Anvendelse af IT på sygehuse rummer mange fordele, både hvad angår den samlede effektivitet i sundhedssektoren og mulighederne for at behandle den enkelte patient på en hensigtsmæssig måde. Disse indlysende fordele må imidlertid sammenholdes med vigtige værdier, som for eksempel patientens privathed og selvbestemmelse, der også skal tilgodeses, når der anvendes IT. Det er derfor væsentligt at holde sig for øje, at der kan være tale om et sammenstød mellem hensyn, som man er nødsaget til at afveje og prioritere i forhold til hinanden. Nogle gange bør afvejningen falde ud til fordel for et effektivt og hensigtsmæssigt behandlingsforløb, andre gange vil det ikke være sådan. Men under alle omstændigheder er det nødvendigt at gøre sig klart, hvad det er for værdier og hensyn, man overhovedet skal forholde sig til og afveje. I det følgende beskrives nogle af de centrale hensyn, som indgår i en sådan afvejning.
Et hensigtsmæssigt behandlingsforløb
Ofte vil både personalet, sygehusledelsen og patienterne have en interesse i, at der anvendes IT til at effektivisere og optimere behandlingsforløbene. For eksempel er der næppe tvivl om, at den elektroniske patientjournal fremmer mulighederne for en fyldestgørende indsamling og videregivelse af informationerne om patienten sammenlignet med den traditionelle papirjournal, fordi der er hurtig og let adgang til den elektroniske journal og gode muligheder for at opdatere den. Dette forøger patientens mulighed for at få en optimal behandling og kan lette sagsgangene for personalet. En effektivisering af behandlingsforløbene er naturligvis også ud fra en samlet betragtning en fordel, da det kan bidrage til at give mere og bedre behandling for de penge, der er afsat til sundhedssektoren.
Den elektroniske patientjournal er også meget anvendelig i forskningsøjemed, hvis den udformes med henblik herpå, for eksempel ved at det gøres muligt at trække standardiserede informationer ud af hver enkelt journal i anonymiseret form. Dette vil blandt andet skabe basis for diverse former for registerforskning samt for at sammenligne effektiviteten af forskellige behandlingsformer. En sådan forskning vil på længere sigt både kunne højne effektiviteten og komme patienterne til gode.
Retten til privathed
Indsamling og videregivelse af informationer om patienten må imidlertid altid foregå under hensyntagen til patientens ret til privathed, det vil sige patientens ret til at være i en tilstand eller situation, hvor man i visse henseender er fysisk eller informationsmæssigt utilgængelig. Den enkelte patient kan ønske at begrænse videregivelsen af informationer om sig selv af rent pragmatiske grunde. Det gælder også, selv om informationerne kun videregives internt i sundhedsvæsenet. Det kan for eksempel være, at patienten forventer at få en dårligere behandling i systemet, hvis bestemte oplysninger er tilgængelige for de sundhedspersoner, der behandler ham eller hende.
Retten til privatlivets fred er imidlertid et mere generelt og grundlæggende begreb, som er beskrevet i internationale konventioner, for eksempel i artikel 12 i Verdenserklæringen om Menneskerettigheder fra 1948. Grunden til, at informationer om patienten skal indsamles og videregives under hensyn til patientens ret til privathed, er den principielle og væsentlige, at informationerne kan være identitetsbærende. Det vil sige, at de er afgørende for, hvordan andre opfatter patienten. Det ønsker man i mange sammenhænge selv at have kontrol med. Derfor kan det være en væsentlig krænkelse, hvis andre personer uden ens samtykke får adgang til væsentlige informationer, for eksempel informationer om psykiske forstyrrelser, medicinforbrug eller familiemæssige forhold. Hvis dette sker, vil det givetvis påvirke patientens tillid til systemet og hans eller hendes villighed til at give vigtige informationer om sig selv på et andet tidspunkt.
Det er væsentligt at være opmærksom på, at to personer kan have forskellige opfattelser af, hvilke typer af oplysninger, der skal betragtes som sensitive. For nogle er det måske kun stigmatiserende oplysninger angående for eksempel mental sygdom eller kønssygdomme, mens det for andre også gælder andre lidelser og eventuelt helt andre typer af informationer, der ikke knytter sig til sygdom eller lidelse. Der kan også være forskellige opfattelser af, hvilke informationer det er uproblematisk at indsamle, og hvem de kan videregives til. For nogle er det måske primært et problem, hvis der videregives sensitive informationer til personer, de kender i forvejen, mens andre også vil anse det for en krænkelse, hvis informationerne overhovedet videregives uden samtykke. Ligeledes vil nogle være villige til at beskytte deres privathed, også selv om dette muligvis ville mindske sandsynligheden for, at de får den bedste behandling, mens dette ikke gælder for andre. Disse forskelle i opfattelsen af privathed indebærer, at det er meget vanskeligt at lave regler om informationsvideregivelse, der fuldt ud tilgodeser alles interesser. Netop derfor kan det i stedet være på sin plads at understøtte den enkeltes råderet over informationerne ved, at der skal gives samtykke til såvel indsamlingen som videregivelsen af centrale informationer. Denne løsning rummer dog også sine problemer, da procedurerne for informationsvideregivelse herved kan blive usmidige og bureaukratiske.
En teknologi som EPJ giver også mulighed for indsamling og videregivelse af informationer om sundhedspersonalet. Her er situationen anderledes end for patienterne, da der er tale om et ansættelsesforhold. Visse former for indsamling og videregivelse af informationer kan på denne konto være berettiget, for eksempel som led i en kvalitetskontrol. Det er dog væsentligt, at retten til privathed også respekteres i forbindelse med ansatte. For eksempel er det nødvendigt at sørge for, at adgangen til oplysninger om ansatte som udgangspunkt er begrænset til en snæver personkreds. Ligeledes bør der naturligvis ikke være adgang til medicinske oplysninger om personale eller pårørende til personale, medmindre oplysningerne skal anvendes i behandlingsmæssig sammenhæng.
Et særligt problem i denne sammenhæng er, at at det kan være nødvendigt at videregive oplysninger om personalet til personer uden for sundhedssektoren for at tilgodese væsentlige samfundsmæssige interesser og værdier. Dette gælder for det første i forbindelse med samfundets overordnede kontrol med sundhedsvæsenet, hvor forskellige institutioner som Sundhedsvæsenets Patientklagenævn, Folketingets Ombudsmand, Datatilsynet, Sundhedsstyrelsen, domstolene osv. er involveret. Disse instanser må have adgang til en række informationer, hvis de skal sikre såvel kvalitet i patientbehandlingen som overholdelse af spillereglerne for behandling. En anden problematik er, at også almenhedens adgang til informationer kan være påkrævet af en række grunde, for eksempel i forbindelse med den enkeltes valg af behandler eller behandlingssted eller som udgangspunkt for en samfundsmæssig debat om prioritering af patienter og indsatsområder osv. Ud fra en sådan indfaldsvinkel kan oplysninger om sundhedspersonalet ikke betragtes som rent private oplysninger. Tværtimod kan man mene, at nogle typer af oplysninger burde være undergivet offentlighed, da dette er nødvendigt for at imødekomme bestemte samfundsmæssige interesser. Igen bør man dog være opmærksom på at beskytte personalets ret til privathed ved for eksempel i størst mulig grad at indskrænke gruppen af personer, der modtager personhenførbare oplysninger, og ved kun at videregive de oplysninger, det i den givne sammenhæng er strengt nødvendigt at videregive.
Selvbestemmelse
Det informerede samtykke bygger på retten til selvbestemmelse, og samtykke til behandling er faktisk et ganske stærkt værn mod overgreb. Ret til privathed og fortrolighed bygger ikke på samme direkte måde på selvbestemmelse, og der er derfor ikke en lige så stærk barriere mod brud på fortrolighed.
Beskyttelse mod, at oplysninger om patienten tilgår andre, kan være sværere at opretholde. Man skal nemlig kunne vise, at der er sket skade, men ”skaden” har at gøre med vage begreber som værdighed og respekt, den er derfor svær at måle og svær at beskrive. Heroverfor kan samfundet let vise og bevise sin interesse, og at det har stor betydning at få informationerne - og betydningen kan beskrives og måles. Balancen mellem tavshed og brud på tavshed bliver derfor bestemt af magtforhold snarere end berettiget varetagelse af patientens interesser. Der er så mange gode begrundelser for at indhente informationer. Samfundet har jo brug for sygdomsstatistikker for at kunne tilrettelægge sundhedskampagner, budgettere sundhedsydelser, kende til sygdomsudvikling osv. Frygten for terror kan for eksempel legitimere indsigt i patientoplysninger. Enhver infektion kunne ses som et biokemisk angreb - ja, kunne i princippet opfattes som et angreb på landet.
Men ud fra et selvbestemmelsesperspektiv er det klart, at informationer om patienten må opfattes som nogle, patienten som udgangspunkt har en form for dispositionsret over. De omhandler nemlig intime forhold vedrørende patientens situation og patientens krop – og i normale situationer tages det fuldstændig for givet, at man helt selv kan disponere over sin krop. Desuden er informationerne som oftest indsamlet på patientens foranledning og/eller med hans eller hendes samtykke. På denne baggrund forekommer det udelukket, at nogen skulle have en højere grad af kontrol med informationerne end patienten selv. Det kan dog diskuteres, om dispositionsretten udelukkende kan siges at omfatte personhenførbare informationer, eller om den også omfatter anonymiserede oplysninger. Hvis det sidste er tilfældet, skal dispositionsretten i princippet tages i betragtning i forbindelse med for eksempel kohorteundersøgelser eller tilsvarende statiske opgørelser, hvilket synes at være en meget vidtgående konklusion.
Med udgangspunkt i et selvbestemmelsesperspektiv kan det opfattes som et problem, at IT-systemerne primært er opbygget med fokus på de sundhedsprofessionelles arbejdsmåde og arbejdslogik. Denne logik er ikke altid let at videreformidle til patienterne og afskærer i realiteten også patienten fra at deltage i en række af de processer, der vedrører ham eller hende. Hvis der lægges vægt på selvbestemmelsesperspektivet burde patienten derfor have langt større mulighed for at indgå i processerne, for eksempel ved at have adgang til informationerne i EPJ; at kunne få korrigeret eller eventuelt tilføje, slette og selektivt skjule informationer om sig selv; aktivt at styre hver enkelt videregivelse af informationer mv. Udover at imødekomme patientens selvbestemmelse og ret til at disponere over informationerne, ville der knytte sig den fordel til at inddrage patienten, at denne normalt har det bedste overblik over symptomerne og den sikreste og mest dækkende viden om sin situation, herunder såvel de sociale aspekter samt sin villighed til at acceptere de forskellige hoved- og bivirkninger ved en given behandling. Dette sidste aspekt taler for, at det i mange tilfælde ville kunne effektivisere behandlingen at inddrage patienten ved at lade ham eller hende have adgang til oplysningerne i EPJ og eventuelt at kunne redigere dem.
Hvis patienten på denne måde blev en del af processen, ville det leve op til devisen om, at ”det ikke blot er patienten, der skal være gennemsigtig for systemet, systemet skal i endnu højere grad være gennemsigtigt for patienten”. På baggrund af en respekt for privathed og fortrolighed synes en sådan gennemsigtighed påkrævet. Det forekommer ikke acceptabelt, at systemet ligger inde med oplysninger om patienten, som han eller hun ikke selv har adgang til (medmindre patienten har frabedt sig at have adgang til oplysningerne, jævnfør den såkaldte ret til ikke-viden).
Som situationen er nu, ville det i praksis være umuligt at inddrage patienterne på de anførte måder, fordi det ville formindske sundhedsvæsenets effektivitet i helt uacceptabel grad. Men ud fra et selvbestemmelsesperspektiv kunne man argumentere for, at man burde forsøge at udvikle IT-systemer, hvor det i langt højere grad end nu lod sig gøre at lade patienten være en del af processen.
Patienten som person
I en sundhedsfaglig sammenhæng er det nødvendigt, at personalet har blik for patienten som person. Dette indebærer blandt andet, at personalet er i stand til at yde omsorg for patienten gennem forståelse for patientens situation. En sådan omsorg kan i sig selv være en betydningsfuld del af helbredelsen. At have blik for patienten som person betyder også, at personalet forsøger at få kendskab til patienten som det menneske eller den person, han eller hun er, herunder personens forhistorie, psykologi, værdier og i mere bred forstand personens indstilling til og forståelse af tilværelsen. Et sådant kendskab kan i nogle tilfælde være en betingelse for, at sundhedspersonalet er i stand til at give den bedste behandling. Dette hænger dels sammen med, at behandlingen nu om stunder i høj grad gives på patientens præmisser, det vil sige under hensyntagen til hans eller hendes værdier og ønsker for tilværelsen. Det hænger også sammen med, at en del behandling kræver patientens medvirken for at fungere ordentligt, hvilket for eksempel er tydeligt i forbindelse med genoptræning.
Nogle anvendelser af IT kan vanskeliggøre adgangen til patienten som person. Dette er for eksempel tilfældet, hvis teknologien overtager nogle af de traditionelle monitorerings- og plejeopgaver. Også indførelsen af EPJ kan måske være med til at skabe et sådant problem. Anvendelsen af EPJ, som også skal indbefatte sygeplejerskernes kardeks, vil formodentlig medføre en begrænsning af fritekst og dermed kræve en mere standardiseret beskrivelse af den enkelte patient, end den eksisterende papirjournal gør. Men den enkelte patients personlighed er netop karakteriseret ved, at den unddrager sig standardisering. Tværtimod er personligheden det, der udgør det unikke ved det enkelte menneske, og denne individualitet skal begribes i sin helhed. Om personligheden forstået som ”det hele menneske” kan indfanges i den elektroniske patientjournals standardiseringer kan diskuteres, men problematikken kan tale for, at der bør være plads til andet end standardiserede beskrivelser af den enkelte patient i EPJ. |
|
|
|
|
|
|
|
|
