16.10.07

George Clooneys patientjournal rejser spørgsmål

Nogen har måske læst, at det hospital, hvor skuespilleren George Clooney blev indlagt efter en motorcykelulykke, har suspenderet 27 ansatte. De havde kigget i Clooneys patientjournal uden at have ret til det.

Den håndfaste håndtering af sagen, der involverer Palisades Medical Center i New Jersey, bifaldes af den kendte sikkerhedsmand Bruce Schneier. Og ja, det er rigtigt at statuere et eksempel - HVER gang.

Men. Alt er ikke så sort eller hvidt i hverdagen. Læser man kommentarerne til hans blogindlæg ender man ude på en blog ført af en anonym sygeplejerske , som arbejder på en skadestue.

Hun formoder, at hun også ville blive suspenderet eller fyret, for der er anledning til det, så vidt hun forstår lovgivningen (HIPAA). Det hænder, at hun bekymrer sig så meget om en patient, der kom ind på skadestuen, at hun dagen efter lige tjekker, hvordan han klarer sig på den intensive afdeling.
I don't do it out of malice or to invade their privacy. I guess I just want to know if we made a difference, if they are going to make it. Simple human curiosity and concern.
Skulle hun suspenderes en måned uden løn? Skal hun lære, at være stjertende ligeglad med, om et menneske klarer sig. Og hvad med skadestuens unge læge, der bliver ved med at følge patientens udvikling via journalen for at få lært af erfaringen...Står han mon også til suspendering?

Nu kender jeg ikke HIPAA, men bringer blot dette op som en mere principiel sag. Det er jo rigtigt at have skrappe regler, ikke blot for at beskytte en Clooneys privatliv, men alles.

På den anden side kan det også lede til alt for komplicerede log in-øvelser - så hjælper det fortravlede sygehuspersonale blot hinanden ved ikke at logge ud. Meget rigide regler kan også lede til "Nå, ja, men det er jo ikke mit bord længere. Jeg bliver tilmed straffet, hvis jeg forsøger at lære af, hvad der videre sker".

Hvad Clooney selv siger til sagen?
"....while I very much believe in a patients right to privacy, I would hope that this could be settled without suspending medical workers".


Det bliver interessant at se, hvorledes den nationale EPJ-organisation, der nu har fået navnet SDSD (Sammenhængende Digital Sundhed i Danmark) kommer til at præge adgangskontrollen og lovgivningen. Der er liv på spil, og der er privatliv på spil. Hvordan sikrer man mon balancen bedst, når det er mennesker, man har med at gøre, og ikke robotter i menneskeskikkelser?

7 kommentarer:

Anonym sagde ...

Hvad Clooney selv mener er egentlig mindre relevant - hans mening havde måske været anderledes hvis han var på skadestuen med sin hemmelige loverboy for at få fjernet en agurk fra endetarmen, eller for at få modgift for en overdosis eller noget andet mindre socialt accepteret.

Og det giver også bedre pressekarma at være storladen overfor de svagere mennesker på hospitalet, fremfor at kræve bål og brand med erstatninger og retssager m.m.

I øvrigt kan man nemt forestille sig at en ansat havde afpresset Clooney for IKKE at gå til pressen, istedet for bare at skynde sig at lække informationerne. Og gad vide om der har været økonomisk kompensation fra sladderpressen til den ansatte som har leveret "varen"? Ligesom Se&Hør f.eks. har haft udlovet dusør for billeder af kongelige kærester (hvor usselt er det lige?)

Mht. læring for de ansatte, så vil jeg vædde en femmer mod en afbrændt tændstik på at der findes en anden fremgangsmåde at opnå vidensdeling på, end at "snage" i journalerne. Hvis ikke, så var det måske på tide at opfinde et dagligt statusmøde, et ugentligt læringsmøde eller noget andet i den dur.

Men du har ret i at det ofte besværliggør visse arbejdsgange at have styr på sikkerheden. Jeg drager selv fordel af den slags sikkerhedshuller på mit eget arbejde, som sætter mig i stand til at løse problemer hurtigt og selvstændigt - men jeg tænker da også på hvor forkert det er hver gang. Nu er Schneier så også min helt, så måske er der en sammenhæng der (selvom jeg ikke har læst hans kommentarer til Clooney-sagen)... :-)

Nåmen det var bare mine 0.02€.

Mvh
Kenneth

Stephan Engberg sagde ...

Dorte,

Du skriver

"Det bliver interessant at se, hvorledes den nationale EPJ-organisation, der nu har fået navnet SDSD (Sammenhængende Digital Sundhed i Danmark) kommer til at præge adgangskontrollen og lovgivningen. Der er liv på spil, og der er privatliv på spil. Hvordan sikrer man mon balancen bedst, når det er mennesker, man har med at gøre, og ikke robotter i menneskeskikkelser?"

Svaret er meget enkelt - det gør de ikke. Hvis du studerer L50B, så vil du se strategien udlagt i al sin enkelthed. Samtykke-retten fjernes, sikkerheden fjernes (kun logning og rolle-baseret adgangskontrol, dvs. nærmest ingenting) og samtidig overføres suveræniteten til ministeriet, så FOlektinget helt fralægger sig ansvaret.

Sikkerhed for borgerne og rettigheder anses for en unødvendig luksus i Digital Forvaltning.

Man kan jo stole på staten, så staten gider ikke spilde tiden på at lave systemer, man kan stole på.

Imens ser vi en tiltagende planøkonomi, der forspilder ressourcerne, kvaliteten og underminerer den nok så bekendte sammenhængskraft.

Vi er nødt til og ønsker at kunne stole på medarbejderne - men kun på de direkte involverede - andre skal ikke kunne komme i nærheden af personhenførbare data.

I den digitale verden, definerer vi selv naturlovene - det er kun et spørgsmål om at starte med de ønskede principper og så implementere dem i teknologi. Det er ikke mere komplekstm, selvom mange gerne vil gøre det komplekst.

Frans Meyer sagde ...

Jeg har kigget på www.sdsd.dk

Der snakkes, skrives, mødes osv.. men sker det noget konkret ?

For x antal gang - genstartes den process.
At få et landsdækkende EPJ system.
Som i bund og grund sagtens kunne have været sket for 20 år siden.
På det funktionelle plan.

Der er intet AFGØRENDE nyt teknologisk - som tilsiger at det er nemmere, bedre, billigere osv.. nu - end før.

Det er de samme aktører - der stadig ikke kan finde ud af, at indfører og udrulle dét. De har bare fået ny navne. Regioner, modsat amter osv..

Hvordan kan banker naionalt, og internationalt styre og indføre IT - så jeg kan hæve, flytte, modtage hvor som helst, når som helst - men 2 afd. på samme sygehus kan ikke udveksle journaler elektronisk?

Ang. sikkerhed, så har jeg aldrig hørt bekymring ang. forlagte journaler - vel vidende at det er dagligdag overalt.

Kan jeg idag se hvilken piccolo der har bået min papir journal rundt... næ.... .-)

Men det er extrem banalt at indføre i en elektonisk journal.
Jeg er fuldstændig sikker på at min bank ved hvem, hvor, hvornår osv. der sker access til min konto / portfolio.

Og ja:
"I den digitale verden, definerer vi selv naturlovene "

mvh
Frans

Dorte Toft sagde ...

@ anonym. Du har ret i, at det er let at være large, når man bare har brækket et ribben efter en motorcykelulykke.

Men du skriver også, at man kan udveksle erfaringer på sygehuset via "dagligt statusmøde, et ugentligt læringsmøde eller noget andet i den dur...." På kryds og tværs af de afdelinger, som en patient også let risikerer at ryge på kryds og tværs af? I en fortravlet hverdag? Jeg tror ikke, det holder.

@ Stephan. Du skriver: "Vi er nødt til og ønsker at kunne stole på medarbejderne - men kun på de direkte involverede - andre skal ikke kunne komme i nærheden af personhenførbare data."

Mener du dermed, at når patient Rasmussen flyttes fra en specialeafdeling til en anden, så skal der lukkes af for lægerne på den første afdeling? Så hvis den tidligere læge en dag pludselig får et indfald - en tanke om en mulig sammenhæng - så må han ikke længere kigge i journalen? Hvis han skal tvinges til at gå til den "nye" læge og anmode om at kigge med over skulderen, så.....

@ Frans. Nej endnu sker der intet konkret ... eller rettere, der er intet konkret meldt ud fra den nye organisation, og det frustrerer, fortæller Computerworld her:
http://korturl.dk/wrv

Frans Meyer sagde ...

Som Lederen i DagensMedicin skriver:

http://www.dagensmedicin.dk/leder/2007/10/18/otto-skal-vise-vejen/index.xml

Bl.a.

"...Dernæst ville han have fået et chok, når han opdagede, at intet – absolut intet – er sket inden for udviklingen af en national epj, siden han første gang forlangte, at samarbejdet om en national løsning skulle gå i gang. Alting er tydeligvis gået i stå, måske ligefrem sat i bakgear. Ministeren er nærmest udsat for massiv civil ulydighed....""

Der er flere guldkorn i den leder - læs selv...

Frans Meyer sagde ...

Som Lederen i DagensMedicin skriver:

http://www.dagensmedicin.dk/leder/2007/10/18/otto-skal-vise-vejen/index.xml

Bl.a.

"...Dernæst ville han have fået et chok, når han opdagede, at intet – absolut intet – er sket inden for udviklingen af en national epj, siden han første gang forlangte, at samarbejdet om en national løsning skulle gå i gang. Alting er tydeligvis gået i stå, måske ligefrem sat i bakgear. Ministeren er nærmest udsat for massiv civil ulydighed....""

Der er flere guldkorn i den leder - læs selv...

Stephan Engberg sagde ...

@ Dorte

Du spørger
"Mener du dermed, at når patient Rasmussen flyttes fra en specialeafdeling til en anden, så skal der lukkes af for lægerne på den første afdeling?"

Nej, jeg mener at vi skal ikke stole på servere og organisationer, men på personer. Om man (først og fremmest patienten) vælger at lukke af for historiske adgange efter en bahandling eller indlæggelse er slut, er jeg ret indifferent overfor - det er et valg med ret små konsekvenser.


@ Frans.

Det er korrekt at patient safety både kan og skal forbedres via digitalisering.

Men du har 100% misforstået sikkerhedsproblematikken.

Det er korrekt at sikkerheden omkring de fysiske journaler måske ikke er den bedste, men der er store omkostninger forbundet med misbrug heraf. Du kan ikke automatisere misbrug.

Derimod er der intet banalt ved server sikkerhed - den er nærmest ikke-eksisterende.

Sikkerhedstruslerne mod EPJ i databaser næsten uendelige og uden en væsentlig ændret tilgang til sikkerhed næsten umulige at forebygge.

Du kan slet ikke stole på det overfladiske snak for galeriet, som man pt. baseret sig på - logning og rolle-baseret adgangskontrol sikrer ingenting.

Problemet er meget værre end at man ikke ser den store fremdrift indenfor EPJ. Den udvikling, der sker, står på lerfødder fordi den på ingen måde har bare et minimum af hensyn til sikkerhed og kunde-orienteret effektivisering indbygget i tankegangen. Det vil både blive usikkert og ineffektivt.

Men fortæl os noget nyt om Digital Forvaltning, der mest synes at være reduceret til teknokraternes fødesystem til de omsiggribende planøkonomiske styringssystemer.