Universitetsdirektør Gunn-Elin Aa. Bjørneboe bestilte en gjennomgang fra internrevisjonen ved UiO i forbindelse med stengingen av klinikkene ved Psykologisk institutt. Internrevisjonen mener deler av driften av klinikkene ikke har vært tilfredsstillende. Foto: Siri Øverland Eriksen
Universitetsdirektør Gunn-Elin Aa. Bjørneboe bestilte en gjennomgang fra internrevisjonen ved UiO i forbindelse med stengingen av klinikkene ved Psykologisk institutt. Internrevisjonen mener deler av driften av klinikkene ikke har vært tilfredsstillende. Foto: Siri Øverland Eriksen

Altfor mange med tilgang til pasientjournalene

I rapporten fra internrevisjonen ved Universitetet i Oslo om psykologi-klinikkene kommer det fram at 1.192 personer hadde tilgang til rommet der journaler ble oppbevart. Revisjonen mener drift og kontroll ikke har vært tilfredsstillende.

Publisert   Sist oppdatert

(Saken er oppdatert med kommentar fra internrevisor Jørgen Bock til universitetsstyret). 

Universitetsdirektør ved Universitetet i Oslo, Gunn-Elin Aa. Bjørneboe, valgte å stenge klinikkene ved Psykologisk institutt med umiddelbar virkning tirsdag 10. oktober. Samtidig bestilte universitetsledelsen undersøkelser fra Kluge Advokatfirma og internrevisjonen ved universitetet. 

Tirsdag 17. oktober kom rapporten fra Kluge om de juridiske forholdene. Der står det at de har funnet ni avvik eller mulige avvik fra lover eller forskrifter, og det er uklart hvorvidt klinikkene kan åpne igjen den, slik planen var dersom det ikke ble funnet store feil.

Opprinnelig hadde ledelsen satt 23. oktober, i går, som mulig gjenåpningsdato.

I dag kom vurderingen fra Enhet for intern revisjon (EIR).

Årsakene til svakhetene skyldes etter vår vurdering mangel på tydelige roller og ansvar og mangelfull
kontroll-
bevissthet.

Enhet for internrevisjon, UiO
Rapport om klinikkene ved Psykologisk institutt

Ikke tilfredsstillende

Internrevisjonen oppsummerer slik: «helhetlig styring og kontroll ved virksomheten har ikke vært tilfredsstillende». De viser til svakheter i internkontrollrutiner og etterlevelse av lover og regler, og at flere har hatt tilgang til journaler enn de som skulle hatt lovlig tilgang til dem.

De er enige med punktet i Kluge Advokatfirmas notat om at klinikkene ikke har nødvendig konsesjon fra Datatilsynet. De trekker også fram at det er iverksatt strakstiltak av forskjellig omfang for å rette opp i feilene. 

De peker på årsakene til svakhetene som mangel på tydelige roller og «mangelfull kontrollbevissthet». Til slutt trekker internrevisjonen fram at klinikkene ikke har utført risikovurderinger, men også at det ikke er stilt krav om det fra fakultetet sin side.

1192 hadde tilgang

Et av punktene internrevisjonen peker på er at for mange hadde tilgang til journaler og helseregistre. Ifølge rapporten fikk studenter som skulle ha pasienter ved klinikken tilpasset nøkkelkortet så de skulle ha adgang til klinikken og rommet med pasientjournaler. Problemet ifølge internrevisjonen var at tilgangen ikke ble avsluttet da studentens tid ved klinikken løp ut. I tillegg var det flere utlånskort som hadde tilgang til rommet. 

Skapet der selve journalene ble oppbevart var låst med en kode, som ifølge rapporten ikke ble regelmessig byttet.

Totalt var det nesten 1.200 kort i omløp som kunne låse opp rommet med pasientjournaler, ifølge vaktsentralen, som internrevisjonen har hentet tall fra. I hvert kull studenter som har praksis ved klinikken er det omtrent 100. I tillegg kommer renholdspersonale og ansatte ved instituttet som jobber med klinikkene. Både kodelåsen og kortene er rettet opp i etter internrevisjonens besøk.

— Vi vet ikke nøyaktig hvor mange som har hatt tilgang til pasientopplysninger, men at det er altfor mange. Rutinene har vært for dårlig, sa internrevisor Jørgen Bock i sin redegjørelse til styret tirsdag.

Ikke logg for journal-innsyn

Ifølge pasientjournalloven har pasienter rett til å se hvem som har hatt tilgang til journalene deres, og dermed helseopplysninger om dem. Ifølge internrevisjonen har ikke klinikkene ved Psykologisk institutt ført noen logg over hvem som har sett og brukt journalene til hvilke tidspunkt.

Rapporten sammenfatter saken slik at det kan ha vært risiko for uautorisert tilgang til sensitive personpplysninger, og for at de kan ha havnet på avveie. De konkluderer at det ikke har vært god nok kontroll på pasientjournaler, inkludert arbeidsmateriale og minnepinner.

Internrevisjonen anbefaler flere tiltak i forbindelse med personopplysninger og journaler, blant annet at klinikkene tar i bruk e-journal med tilfredsstillende internkontroll, rutine for å gjennomgå autorisasjon og tilganger, sperre nøkkelkort og gå gjennom rutinene for behandling av nøkler. De skriver i tillegg: «Studenter og ansatte bør kun ha tilgang til ‘egne’ pasientjournaler og det må føres logg over hvem som har hatt innsyn og når».

Manglende taushetserklæringer

Selv om klinikkene samler inn politiattester fra studenter som skal arbeide med pasientene, skriver internrevisjonen at da de sjekket listene var det mange som tilsynelatende ikke hadde levert attester. 

Likevel påpeker de at så langt de vet er attestene først og fremst nødvendig ved behandling av barn og unge, i tillegg til spesialisthelsetjenesten. Internrevisjonen skriver at de støtter instituttets vurdering om at studenter bør ha politiattest, og at det bør være på plass før man starter behandlingen. 

I tillegg er det, ifølge listene internrevisjonen har sett, langt fra alle som har skrevet under på at de er kjent med det etiske regelverket, herunder taushetserklæring. De mener også at taushetsplikten er for lite tydelig i de etiske retningslinjene. Klinikkledelsen er sitert i rapporten, og de mener alle studenter skal ha undertegnet taushetserklæring, men at disse er lagret et annet sted. 

De påpeker også at alle studenter undertegner taushetserklæringer før undervisningen starter, også angående de sladdede videoene som alle studentene ser, ikke bare den som behandler pasienten.

Mulige årsaker

Til slutt i rapporten peker EIR på at de ikke har gjort en så omfattende undersøkelse at de kan peke på årsakene til utfordringene, men de lister opp forhold som kan ha spilt inn:

  • Utydelige roller og ansvar
  • Ikke tilstrekkelig kunnskap om krav og behov for å gjøre risikovurderinger
  • Ikke god nok kunnskap og kompetanse om internkontroll og sikkerhet
  • Regelverksutvikling innen helse- og personvern har ikke i tilstrekkelig grad blitt fanget opp
  • Det har vært for svak oppfølging av internkontroll i styringslinjene
  • Ikke tilstrekkelig administrativ kapasitet

Befring: Ikke krav om taushetserklæring

Anne Kjersti Befring, som i dag er stipendiat ved Det juridiske fakultet på Universitetet i Oslo (UiO), har tidligere vært direktør for juridisk avdeling i Legeforeningen og har ledet arbeidet med helsepersonelloven. Hun har tidligere kritiserte rapporten fra advokatfirmaet Kluge. Hun er også kritisk til deler av konklusjonene i hos universitetets internrevisjon:

— Ved sykehus og andre steder man tilbyr helsetjenester har man sluttet med taushetserklæringer, fordi det er dekket av loven. Det kommer selvsagt
an på om klinikkene definerer seg som helsetjeneste. Det kan også være hensiktsmessig å minne studentene på taushetsplikten, men en slik erklæring
er ikke nødvendig, sier hun til Khrono. 

Når det gjelder konsesjon sier hun følgende: 
— Dersom det benyttes helseopplysninger utover pasientjournalen kan det være nødvendig med konsesjon, men ellers ikke som følge av reguleringen i
pasientjournalloven.

Klinikksaken behandles i universitetsstyret i dag. 

(Denne artikkelen er et samarbeid mellom Khrono og Tidsskrift for Norsk psykologforening.)