Beslutningsstyrt tilgang
Beslutningsstyrt tilgang kan benyttes for å gi tilgang til helse- og personopplysninger. Se mer i EPJ standard: Tilgangsstyring, retting og sletting - kapittel 2.
En registrert beslutning om ytelse av helsehjelp vil være grunnlaget for at personell som skal delta i ytelsen av helsehjelpen får tilgang til å åpne pasientens journal.
Slik tilgang vil ofte kunne gis implisitt, for eksempel som en følge av at en beslutning om innleggelse til en bestemt form for behandling registreres i en journal på et sykehus.
Et annet eksempel er når det i den journalen som pleie- og omsorgstjenesten fører, registreres at pasienten har takket ja til et tilbud om sykehjemsplass.
Beslutningsstyrt tilgang benyttes ikke bare dersom det foreligger en beslutning om ytelse av helsehjelp.
Et tredje eksempel på beslutningsstyrt tilgang er ved mottak av en henvisning, der helsepersonell som er tildelt oppgaven med å vurdere henvisningen vil ha behov for å gjøre oppslag i pasientens journal. Resultatet av vurderingen vil i noen tilfeller være at forespørselen om helsehjelp avvises og at det ikke besluttes å iverksette behandling.
Videre kan prinsippene for beslutningsstyrt tilgang også benyttes ved administrasjon av helsehjelp. Personell som utfører administrasjon av helsehjelp, skal uten hinder av taushetsplikten gis pasientens fødselsnummer og opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato samt relevante administrative data.
Den enkelte skal likevel ikke gis tilgang til flere opplysninger enn det som er nødvendig for å ivareta det tjenstlige behovet. Tildelt autorisasjon for tilgang skal føres inn i autorisasjonsregisteret.
Tilgang i journalsystem eller fagsystem kan styres automatisk i forbindelse med ytelse av helsehjelpen, ved at det gis et tidsvindu for når tilgangen er åpen. Det vil si at journalen/fagsystemet kan åpnes i henhold til autorisasjonen for tilgang, for personell som er autorisert og kommer til å yte helsehjelp, før helsehjelpen gis, og være tilgjengelig så lenge den ytes.
Når ytelse av helsehjelpen avsluttes kan journalen stenges automatisk etter en angitt tid, slik at journalen kan skrives ferdig og eventuell epikrise sendes.
Rollebasert tilgang
Bruk av roller er en modell som kan benyttes i regler for tilgangsstyring når dette anses hensiktsmessig. Med rolle menes en kategorisering av personell som vil kunne yte, administrere eller kvalitetssikre helsehjelpen til pasienten/brukeren. Rolle kan også knyttes til en organisatorisk enhet. Bruk av roller er effektivt for dokumentasjonshensyn, ved at det er tydelig hvilken funksjon den som har aksessert opplysninger har hatt på tidspunktet opplysningene ble aksessert.
Rettigheter til å lese, registrere, redigere og rette helseopplysninger i rollene fastsettes ut fra informasjonsbehovet og dokumentasjonsplikten ulike grupper ansatte vil ha ved ytelse av helsehjelpen. Rettighetene kan administreres i en rollemal som beskriver hvilke tilganger de som opptrer i rollen skal ha, og hvilken journalinformasjon de som innehar rollen normalt skal gis tilgang til når det ytes helsehjelp.
Rollebasert tilgangsstyring er spesielt relevant å benytte når samme bruker gjennom ulike funksjoner har ulike tilgangsbehov. Tilgangen styres da ved å tildele personen flere roller i journalsystemet eller fagsystemet. Hver rolle skal tildeles selvstendig, uavhengig av vedkommendes øvrige roller, og ved behov gis ulike autentiseringsfaktorer.
Det er viktig å merke seg at det å operere med flere forskjellige roller for samme person kan by på utfordringer. Dette da helsepersonell kan ha behov for å opptre i flere roller i løpet av en arbeidsøkt, og det da kan være krevende å måtte bytte roller underveis i økten.
Roller som knyttes til lokasjoner vil også kunne gi utfordringer, for eksempel der en sykehusavdeling har filialer på ulike geografiske steder og hvor leger ambulerer mellom stedene.
For eksempel vil laboratoriesvar ofte måtte følges opp i ettertid når legen befinner seg på en annen lokasjon enn der prøven ble tatt. Den aktuelle rollen knyttet til denne lokasjonen gir ikke nødvendigvis tilgang til journalen til de pasientene legen trenger å følge opp på en annen lokasjon.
Det er ikke uvanlig at helsepersonell bruker mye tid på bytte av roller under en arbeidsdag, og det er ikke alltid tydelig hvilke tilganger som ligger i de ulike rollene. Det kan innebære at helsepersonell må «prøve og feile» før nødvendig tilgang oppnås.
Det kan derfor være fristende for helsepersonell å benytte seg av den rollen som gir bredest tilgang, uavhengig av hvilken funksjon brukeren er satt til å fylle i hver enkelt situasjon. Dette for å bruke minst mulig tid på å få tilgang til de pasientjournalene de har tjenstlig behov for tilgang til.
Tilstrekkelig opplæring i hva de ulike rollene gir tilgang til vil kunne avhjelpe dette problemet noe. Videre vil det være aktuelt å inkludere utfordringen med bruk av flere roller i risikovurderinger, da dette kan gå ut over effektivitet og i verste fall begrense helsepersonellet i å yte forsvarlig helsehjelp.
Behovet for roller og detaljstyring av tilgang for den enkelte rolle avhenger av virksomhetens størrelse og organisering.
Eksempel:
Roller kan utarbeides med utgangspunkt i brukernes ulike funksjoner og tilhørighet i virksomheten.
| Eksempel på roller | Eksempel på rollemaler |
| Lege ved anestesiavdelingen | Lege |
| ykepleier ved sengepost A7 | Sykepleier |
| Lege ved medisinsk avdeling | Fysioterapeut |
| Vakthavende lege | Jordmor |
| Kontormedarbeider / resepsjonist | Helsesekretær |
| IT-personell | IT-funksjon |
