"Kan ministeren bekræfte, at man i Norge og England har haft tilsvarende debat om tekniske muligheder for begrænset/gradueret adgang til oplysninger i elektroniske patientjournaler, og at man i disse to lande skulle have fundet en løsning herpå? I givet fald bedes beskrevet de to landes løsningsmodeller. Vil ministeren herunder specifikt kommentere, at man i den norske lovgivning om EPJ skulle have løst problemet med social- og sundhedspersonalets adgang til EPJ?"
Sundhedsstyrelsen har oplyst, at man i såvel Norge som England har diskuteret konfidentialitet i forbindelse med EPJ, herunder mulighederne for at begrænse adgangen til data der vedrører patienten
Sundhedsstyrelsen har oplyst, at der i Norge i august 2006 er vedtaget en â€norm for informasjonsikkerhet i helsesektorenâ€. Normen er en sammenskrivning af de love og bestemmelser, der findes pÃ¥ omrÃ¥det. Normen udpeger ledelsen som havende â€databehandlingsansvaret†og ansvaret for at ansøge datatilsynet. Den stiller krav om dokumentation af gennemførte sikkerhedsrutiner. Den beskriver sammenhængen mellem konfidencialitet og tilgængelighed, liste over hvilke behandlinger af personoplysninger der udføres og risikovurdering. Normen beskriver tavshedspligt, teknisk og organisatorisk adgangsstyring og kontrollerende foranstaltninger. Adgang til sundhedsoplysninger gives til autoriseret personale, efter at det er besluttet, at patienten er taget i behandling. Adgangen skal styres sÃ¥ledes, at personoplysninger ikke gives til andre end dem, som har behov for det i forbindelse med udøvelsen af sit arbejde. Indholdet i den norske â€sikkerhedsnorm†svarer stort set til indholdet i den â€IT-sikkerhedsvejledning for sygehuseâ€, som Sundhedsstyrelsen udsendte i 2002.
For sÃ¥ vidt norsk lovgivnings regulering af social- og sundhedspersonalets adgang til EPJ har Sundhedsstyrelsen oplyst, at autorisation kun kan gives i det omfang, det er nødvendigt for vedkommendes arbejde, er begrundet i tjenstligt behov og i henhold til reglerne om tavshedspligt. Det er kun sÃ¥danne personer, der kan gives adgang til helbreds- og personoplysninger. For personer, som har forskellige â€rollerâ€, skal autorisation ske for hver rolle uafhængig af vedkommendes øvrige roller. Kun en af it-systemet autoriseret person kan fÃ¥ adgang til sundheds- og personoplysninger. Adgang skal gives efter en konkret vurdering baseret pÃ¥, at der er iværksat eller skal iværksættes tiltag til medicinsk behandling af patienten. Adgang skal styres sÃ¥ledes, at tavshedspligtsreglerne iagttages, og at adgang til helbreds- og personoplysninger ikke gives til andre den dem, der har tjenstligt behov.
Sundhedsstyrelsen har endvidere oplyst, at i England har NHS (National Health Service – det engelske sundhedsvæsen) behandlet problematikken i flere dokumenter fra hhv. 2003 og 2005. I â€The clinical development of the NHS care record service†beskrives, hvordan en rollebaseret adgang til patientdata kan indføres. I praksis udstyres ca. 880.000 sundhedsprofessionelle med et â€chipkortâ€, hvor den enkelte behandlers rolle(r) er lagt ind. Denne del af projektet er allerede pÃ¥begyndt. Rollen tager udgangspunkt i behandlerens relation til patienten, dels hvilken funktion behandleren har, hvilket typisk tager udgangspunkt i hans uddannelse (f.eks. læge, specialist). Dernæst kan f.eks. lægen som udgangspunkt kun fÃ¥ adgang til oplysninger om patienter, der er indlagt pÃ¥ den institution, hvor han er ansat eller tilknyttet. Det er yderligere beskrevet, at der skal kunne gives udvidet adgang i akutte situationer, og at behandlernes aktivitet skal â€loggesâ€.
Herudover har man i England oprettet en hjemmeside (â€HealthSpaceâ€), hvor man fra 2008 skal kunne læse sin egen journal og angive, om muligheden for opslag i dele af journalen skal omfattes af skærpede begrænsninger. Man etablerer sÃ¥ledes en teknisk løsning, hvor man vil inddrage patientens egenforvaltning i reguleringen af adgang til følsomme data.