När VGR inför det nya vårdinformationssystemet Millennium kommer patientuppgifter att lagras inom Sverige på servrar som VGR till största delen själv förfogar över.
– Att skydda vår data är en av våra mest prioriterade frågor och som patient ska du känna dig trygg med att dina patientuppgifter är säkra hos oss. Med Millennium ökar vi säkerheten jämfört med idag, säger Anders Andersson som är Västra Götalandsregionens informationssäkerhetschef.
Med Millennium får VGR för första gången ett gemensamt arbetsverktyg för all vård, bland annat för journaldokumentation. Informationen om patienterna blir därmed enklare att ta del av för alla som behöver den, såväl personal som patienterna själva.
Millennium levereras av det amerikanska företaget Oracle. I tider där datasäkerhet och överföring av personuppgifter ligger högt på agendan är det en relevant fråga hur patientdata skyddas i Millennium.
– Vårt informations- och riskhanteringsarbete är och har varit enormt stort inför införandet av Millennium, gällande allt från vilka krav vi ställer på leverantören till hur vi byggt upp vår egen organisation för att kunna drifta Millennium. Det innebär att all vital data kommer att lagras hos VGR och att vi har egen rådighet över systemet. Vi ställer hårda krav på såväl oss själva som på leverantören, och vi kommer följa upp kraven under hela Millenniums livslängd, säger Anders Andersson.
30 system blir ett
Idag hanteras patientuppgifter i flera olika system i vården. Journalsystemen Melior, AsynjaVisph och Obstetrix, det vårdadministrativa systemet Elvis och operationsplaneringssystemet Orbit (i etapp 4) kommer alla bytas ut mot Millennium. I slutändan kommer ett trettiotal system ha ersatts av Millennium. För patienterna innebär detta en mer sammanhållen hälso- och sjukvård, där patientinformationen blir samlad och patienten ska kunna vara mer delaktig i sin vård. Mer patientsäkert helt enkelt, och att patientdatan blir mer skyddad.
– Ur ett informationsperspektiv innebär Millennium att vi tar bort en hel del risker med att patientuppgifterna idag är spridda i flera olika system. Vi minskar antalet överföringar mellan olika system, vi minskar risken att viktig patientdata inte följer med och vi kommer ha en mycket större möjlighet att spåra och övervaka vad som sker, säger Anders Andersson.
– Med Millennium inför vi ett regionalt vårdsystem som totalt sett ger bättre förutsättningar för ett enhetligt, modernt och sammanhållet patientinformationssystem, säger Lina Kolsmyr, chefsjurist vid Västra Götalandsregionen. Att rätt personal har tillgång till korrekta och relevanta patientuppgifter när det behövs i deras arbete ligger både i linje med hälso- och sjukvårdens uppdrag och med dataskyddsförordningen.
Det är i princip uteslutande vårdpersonal som kommer hantera patientuppgifter i Millennium. För att kunna underhålla, uppdatera och lösa eventuella problem med systemet så behöver även andra personalgrupper ha tillgång till Millennium. Det handlar framför allt om VGR:s egen supportorganisation men även supportpersonal från leverantören.
Annan expertis
Underhåll och support kan i särskilt komplexa fall innebära att personal med relevant expertis som geografiskt befinner sig i andra länder behöver konsulteras. I praktiken innebär det att supportpersonal med VGR:s aktiva godkännande kan logga in i VGR:s system och se vissa uppgifter som behövs för att lösa uppgiften.
– Vi har noga reglerade avtal som styr vad som gäller när någon ska in i Millennium, vilka som får se vad, hur man säkerställer att patientdata skyddas och att patientuppgifterna alltid omfattas av sekretess och tystnadsplikt, säger Lina Kolsmyr, chefsjurist VGR.
Att någon sitter i ett annat land och på sin skärm kan ta del av personuppgifter betraktas enligt EU:s dataskyddsförordning (GDPR) i regel som en överföring av personuppgifter. VGR har i sitt avtal med leverantören godkänt att personuppgifter kan överföras till land inom EU/EES eller till Storbritannien. Till Storbritannien gäller detta dock endast under förutsättning att landet fortsätter att uppfylla EU:s regelverk om skydd för personuppgifter.
– Inom hela EU gäller dataskyddsförordningen som säkerställer att samma höga krav gäller för personuppgiftsbehandlingar som sker inom unionen, säger Lina Kolsmyr.
– I praktiken handlar det om att den som utför en supportuppgift endast får se det som behövs för att lösa problemet. Vi loggar allt som sker, vilka som loggar in och vad de gör och kommer regelbundet följa upp att vårt regelverk följs, säger Anders Andersson, cybersäkerhetschef VGR.
Vilka risker finns med ett sånt här system?
– Det finns hot mot all sorts IT, inte minst inom sjukvården. Vi pratar mycket om antagonistiska risker där utomstående försöker komma in i våra system och vi arbetar ständigt med att hantera den sortens risker. Sen har vi det vi kallar icke antagonistiska risker, att någon råkar se något man inte borde se, att fel person ser känslig information. Där jobbar vi bland annat med att ha spårbarhet i allt som sker i vår IT-miljö och utbilda de som arbetar i våra system, säger Anders Andersson.
Text: Andreas Kron
vgrfokus@vgregion.se
Fakta:
Snabbversionen, detta får vi med Millennium
- Ett gemensamt vårdinformationssystem med mer tillgänglig information för de som behöver den
- Stöd i det dagliga arbetet genom bland annat inbyggda beslutsstöd och rekommendationer
- Minskad dubbeldokumentation och ökad patientsäkerhet genom realtidsdokumentation
- Enklare att utveckla hälso- och sjukvården genom bättre tillgång till data
- Ökad delaktighet för patienter och mer jämlik vård utifrån gemensamma arbetssätt och riktlinjer
- Bättre möjligheter till samverkan för VGR, kommunerna och privata vårdgivare i Västra Götaland
Support och förvaltning av Millennium
VGR kommer att ha supportstöd av leverantören främst under de första etapperna i införandet, med personal på plats i hälso- och sjukvården. Därefter ska VGR hantera supporten vid återstående etapper.
När Millennium är helt infört kommer VGR att ansvara för support och förvaltning, finjustera systemet och fortsätta utveckla vårdprocesser.
Vill du veta mer?