Om prosjektet
Med økende press på helsesektoren er det et politisk satt mål, at pasienter skal kunne bo hjemme og få helseoppfølging digitalt (Meld. St. 9 (2023 – 2024).
Flere eldre og pasienter med mer sammensatte sykdomsbilder enn tidligere gir nye utfordringer. Derfor ser aktører i helsesektoren på digitale løsninger for å lette presset. Ved å bruke teknologi kan pasienter sende måledata og andre oppdateringer på helsesituasjonen digitalt hjemmefra, og unngå unødvendige besøk på sykehus eller kommunehelsetjeneste. Digital deling av helseopplysninger mellom pasient og helsepersonell, eller mellom ulike aktører i omsorgssektoren, kan gi store gevinster, men stiller også høye krav til sikkerhet og personvern.
Akershus Universitetssykehus (Ahus) tilbyr Digital hjemmeoppfølging (DHO) til rundt 6000 pasienter. De ser at noen pasienter og enkelte pasientgrupper trenger hjelp fra pårørende, assistenter eller andre, heretter kalt hjelpere, med å bruke tjenesten.
De ønsker derfor å tilby en løsning, der pasienter kan gi hjelperne fullmakt til å utføre visse oppgaver på deres vegne i sykehusets digitale system. En fullmaktsløsning skal kunne avgrense tilgangen hjelperne får til akkurat det de trenger for å utføre spesifikke oppgaver, og vil gjøre tydelig hvem som har gjort og lest hva.
I dette prosjektet har vi undersøkt hvordan pasienter kan dele helseopplysninger ved hjelp av en slik fullmaktsløsning på en personvernvennlig måte.
Hva er fullmakt?
Fullmakt er en juridisk rettighet der en person (fullmaktsgiver) gir en annen person (fullmektig) tillatelse til å handle på deres vegne, men ved å samtidig opptre som seg selv.
Fullmakter kan være tidsbegrensede, oppgavebaserte eller tilknyttet spesifikke roller, og de må alltid gis frivillig og informert.
En fullmektig kan ikke få tilgang til mer enn pasienten selv.
Om Akershus Universitetssykehus (Ahus)
Akershus universitetssykehus (Ahus) er sykehuset for cirka 594 000 innbyggere i Follo, Romerike, kongsvingerregionen og de nordlige bydelene i Oslo. Sykehuset har omtrent 12 000 ansatte og eies av Helse Sør-Øst. De viktigste oppgavene er pasientbehandling, forskning, undervisning og opplæring av pasienter.
Ahus har i dag rundt 6000 pasienter som mottar digital hjemmeoppfølging. I likhet med andre sykehus, forventer de at flere vil få denne typen oppfølging de kommende årene.
Om sykehusets digitale hjemmeoppfølgningstjeneste (DHO)
Digital hjemmeoppfølging (DHO) betyr at du kan få behandling hjemme uten å måtte dra til sykehuset. Kommunikasjonen mellom lege og pasient skjer over nettet. Flere ulike selskaper tilbyr slike tjenester med funksjonalitet som gjør det mulig å sende informasjon mellom sykehuset og pasienter som bor hjemme.
DHO-tjenesten er som en verktøykasse, og lar de ulike avdelingene på sykehuset bruke de verktøyene de trenger for å tilby pasientgruppen sin den beste digitale hjemmeoppfølgingen. For eksempel vil avdelingen som følger opp pasienter med epilepsi ha behov for annen funksjonalitet enn avdelingen som følger opp pasienter med diabetes.
Ahus bruker en tjeneste fra Dignio Connected Care. Denne samler inn de samme opplysningene som sykehuset ville fått om pasienten var innlagt. Den hjemmeværende pasienten kan dele hvordan de føler seg, hvordan behandlingen virker, og hvordan livskvaliteten er (PROM-skjema). De kan også sende meldinger til sykehuset. Hvis pasienten har en maskin som måler puls eller andre vitale data, sendes disse til sykehuset også. Som et sikkerhetstiltak krever tjenesten at pasienten logger seg på med BankID.
Utfordringen med dagens DHO
Mange pasienter klarer fint å bruke sykehusets DHO på egenhånd. Men noen pasientgrupper trenger hjelp av andre for å bruke tjenesten. Det er ulike grunner til at pasienter trenger hjelp, og det varierer hva de trenger hjelp med:
- En del pasienter har motoriske utfordringer, som gjør det vanskelig å manøvrere seg rundt i tjenesten. Andre er hindret av svake digitale ferdigheter. Disse pasientene vil ha behov for at en hjelper gjør alle oppgavene i tjenesten for dem.
- Andre pasienter kan gjøre noe selv, men trenger hjelp til å løse enkelte oppgaver.
- Noen ønsker å holde deler av kommunikasjonen med sykehuset privat, mens de setter pris på hjelp til oppgaver de selv opplever som mindre sensitive.
Ahus ser at det hender hjelpere logger inn med pasientens BankID. Ahus oppfordrer ikke til slik praksis, men er klar over at det skjer i mangel av gode alternativer. De vet også at noen bruker en analog variant, der relevante instrukser og helseopplysninger er tilgjengelig i en papirperm hjemme hos pasienten.
Når det ikke finnes trygge og gode løsninger for hjelpere, kan det gå ut over pasientens personvern på flere måter:
- Rent overordnet er det risikabelt å gi fra seg påloggingsinformasjon til tjenester som krever høyt sikkerhetsnivå. En BankID gir tilgang til mer enn bare DHO – for eksempel Helsenorge, banken og Skatteetaten.
- Hjelpere kan få innsyn i mer enn nødvendig. Når de får samme tilgang til pasientens helseopplysninger som pasienten selv, enten den ligger i en fysisk perm eller i et DHO-system, kan de se helseopplysninger de ikke trenger for å hjelpe.
- At flere brukere deler samme innloggingsinformasjon gjør det vanskeligere å sikre at informasjonen er riktig, konfidensiell og beskytta mot misbruk. Etter Personvernforordningen har den dataansvarlige plikt til å sikre vedvarende konfidensialitet, integritet og tilgjengelighet av personopplysninger.
- Personopplysningenes konfidensialitet utfordres når det mangler sikkerhetstiltak som beskytter opplysningene mot uautorisert utlevering og tilgang. Dette gjør at det også er vanskelig for Ahus å spore hvem som har gjort hva med pasientens person- og helseopplysninger.
- Loggføring er mulig i en perm, men denne manuelle behandlingen kan skape risiko for at pasienter mister kontrollen over egne opplysninger, opplysningenes integritet og riktighet. For en sårbar pasient, kan det være krevende å avdekke misbruk under en slik praksis.
- Dagens praksis kan også utfordre krav om at personopplysninger skal være riktige og oppdaterte. Opplysninger som ligger i en perm eller noteres på et ark kan fort bli utdatert uten at det erstattes av nye og riktige opplysninger. De kan også komme på avveie. Enkelte opplysninger overleveres muntlig og blir ikke dokumentert. Dette kan føre til feil i behandlingen, noe som kan påvirke pasientens helse negativt. Når informasjonen er papirbasert og plassert hos pasienten, er det langt vanskeligere å opprettholde kontroll og tilstrekkelig personvernsikkerhet enn i et sentralisert informasjonssystem, der all informasjon blir behandlet etter definerte sikkerhetstiltak.
Dette er utfordringer Ahus deler med andre aktører som tilbyr digital hjemmeoppfølging. Utfordringen er også aktuell på andre områder der innbyggere trenger hjelp til å bruke digitale tjenester. Når stadig mer kontakt med viktige offentlige og private aktører skjer digitalt, må det finnes sikre og brukervennlige løsninger. Alle må ha mulighet til å få hjelp – uten at det går ut over personvernet.