Jon Ørstavik
– Vi er ikke kjent med at sensitive pasientopplysninger er på avveie. Men vi tar selvfølgelig kommunerevisjonens rapport svært alvorlig, sier fagdirektør Jon Ørstavik i helseetaten. Foto: Arnsten Linstad

Pasientjournaler lå åpne hos legevakten i Oslo

Siden det tok så lang tid å logge seg på det 22 år gamle datasystemet, ble pasientjournalene liggende åpne på terminaler ved den kommunale legevakten i Oslo, viser ny rapport.

Det digitale systemet Profdoc Vision er overmodent for utskifting og utgjør en stor risiko for at sensitive pasientopplysninger kan komme på avveie, fastslår kommunerevisjonen i Oslo.

Med over 150.000 konsultasjoner årlig ved de to kommunale legevaktene i Storgata og på gamle Aker sykehus sier det seg selv at helseetaten i Oslo håndterer enorme mengder særs sensitive opplysninger om hovedstadens innbyggere.

Den kommunale legevakten håndterer blant annet akutte psykiatri- og ruspasienter. Helseetaten og legevakten sitter også på ansvaret for overgrepsmottaket og pasienter som skrives ut fra sykehus i forbindelse med samhandlingsreformen.

Åpne pasientjournaler

På revisjonstidspunktet i 2016 var det registrert over 1.300 brukere av helseetatens og legevaktens journalsystem.

Legevakten i Oslo
Pasientjournaler ved Legevakten både i Storgata og gamle Aker sykehus er for dårlig sikret, viser rapport fra kommunerevisjonen. Foto: Arnsten Linstad

– Vi er klar over svakhetene kommunerevisjonen påpeker, og de har hjulpet oss videre med å bedre informasjonssikkerheten. Men vi er helt avhengige av en viss åpenhet i vårt system, samtidig som vi må redusere risikoen for at uvedkommende skal få tilgang til sensitive pasientopplysninger, sier fagdirektør Jon Ørstavik i helseetaten til VårtOslo.

Kommunerevisjonens rapport beskriver hvordan noen ansatte ikke logget seg ut av systemet Profdoc Vision og dermed lot pasientjournaler ligge åpne på terminalen:

«Avdelingen på Aker hadde blant annet erfart at medarbeidere lot skjermen stå åpen og lot kolleger registrere opplysninger i systemet uten å logge på med sin egen bruker. Årsaken til dette skulle i hovedsak være at det tok så lang tid å logge seg inn på systemet at mange brukere valgte å ikke logge seg ut ved korte fravær».

Dårlig sikrede journaler for kjente personer

Helseetaten tok i bruk Profdoc Vision i 2006. Men selve grunnarkitekturen er 11 år eldre og ikke Windows-basert. I systemet ligger også pasientjournaler til kjente, offentlige personer. Disse journalene skal være ekstra godt skjermet gjennom såkalt sperring. Tilgang til disse pasientjournalene gis fra ledelsen ved allmennlegevakten til en egen gruppe autoriserte brukere.

Men kommunerevisjonen skriver: «I praksis kunne alle med tilgang til brukeradministrasjon gi tilganger også til denne avdelingen, men det var i tilfelle en ureglementert tilgangstildeling, om dette ble gjort».

For treg låsing av pasientjournalene

– Vi er ikke kjent med at sensitive pasientopplysninger er på avveie. Men vi tar selvfølgelig kommunerevisjonens rapport svært alvorlig, og det er flere tiltak som settes i gang for å redusere risikoen for at det skal skje, sier fagdirektør Ørstavik.

Når en ansatt ved legevakten forlater en terminal uten å logge seg av, skal systemet automatisk låses etter 15 minutter. Ikke god nok sikring mener kommunerevisjonen, som skriver at det tar for lang tid før terminalene blir låst med automatisk skjermlås.

Kommunerevisjonens rapport
Kommunerevisjonens rapport avdekker en rekke svakheter ved den kommunale allmennlegevaktens digitale journalsystem. Foto: Arnsten Linstad

Revisjonen påpeker også at ansatte benytter systemet innlogget som andre brukere, at passord mangler kompleksitet og lengde, at mange ansatte er gitt tilgang utover brukergruppene de tilhører og at oversikten over hvem som har adgang til pasientjournalene er for dårlig.

Trenger nytt system

VårtOslo har den siste tiden avdekket at digitale pasientopplysninger har vært på avveie fra Oslo-sykehusene og beskrevet dårlig sikring av digitale, sensitive opplysninger om barn og unge ved barnevernsinstitusjoner.

Nå viser kommunerevisjonens rapport at en av hjørnesteinene i Oslos akutte helsetilbud – legevakten – har et utdatert, 22 år gammelt datasystem, der det er risiko for at sensitive pasientopplysninger kan komme på avveie.

– Vi ønsker å bytte til et nytt journalsystem. Profdoc Vision er helt på slutten av sin levetid, og på et eller annet tidspunkt må vi bytte system, sier Jon Ørstavik.

Men ingen planer om tryggere datasystem

Det er byrådsavdeling for eldre, helse og sosiale tjenester som har ansvaret for helseetaten og legevakten. Men Oslo kommunes overordnede IKT-strategi er underlagt byrådsavdelingen for finans. Etter det VårtOslo kjenner til er det ingen konkrete planer eller penger satt av til et nytt, digitalt journalsystem for helseetaten.

– Med samhandlingsreformen har driften i helseetaten blitt kraftig utvidet. Vi har blant annet opprettet 72 nye sengeplasser ved gamle Aker sykehus. Helsesektoren er i kraftig endring, og det stiller nye krav til bedre funksjonalitet, sier fagdirektør Jon Ørstavik.

MELD DEG PÅ NYHETSBREVET VÅRT

Kommentarer