Pasientjournalloven § 22 forplikter virksomheter med dataansvar for behandlingsrettede helseregistre (pasientjournalen) å sørge for tilgangsstyring, logging og etterfølgende kontroll. Behovet for at opplysninger skal være tilgjengelig for å sikre pasientsikkerheten, innebærer at ansatte er gitt teknisk tilgang til langt flere pasienters journalopplysninger enn det den enkelte har direkte tjenstlig behov for. Det er ikke teknisk eller praktisk mulig å konfigurere pasientjournalsystemet slik at det «vet» hvem som til enhver tid har behov for tilgang til hvilke pasienter. Tilgangsstyring må derfor suppleres av flere kontrolltiltak.
Logging av oppslag har pågått i mange år, men helseforetakene har manglet et verktøy for systematisk å kunne avdekke urettmessige oppslag. Avviket i forhold til lovkravet har vært påpekt av både Datatilsynet og Riksrevisjonen. Det samlede estimerte volumet av oppslag i journalsystemet DIPS innen Helse Sør-Øst overstiger 1,3 milliarder hvert år. Mer enn 57 000 ansatte har tilgang til DIPS. En teknisk løsning som kan håndtere og analysere så store og komplekse volum av oppslag er dermed nødvendig.
Statistisk logganalyse har gjennom lokale og nasjonale utprøvingsprosjekter vist seg som den mest egnede praktiske tilnærming som evner å identifisere uvanlige oppslag som videre må vurderes manuelt. Utgangspunktet for løsningen er at oppslag som statistisk sett er vanlige, sannsynligvis er legitime. Styrken ligger i at det tas utgangspunkt i de ordinære arbeidsprosessene i klinikk, representert ved oppslagsmønstre i elektronisk pasientjournal. Det etableres ingen regler for hva som er riktig eller gal bruk av journal. Løsningen vil derimot «beskrive» hva som er vanlig versus uvanlig gjennom kombinasjoner av flere scoringsmodeller (scenarioer). Oppslagets samlede score avgjør hva som bør kontrolleres manuelt.
Uvanlige oppslag vil vurderes manuelt av helseforetakets loggkontrollør. Avklaring av oppslagets lovlighet gjøres av leder med faglig støtte fra HR. Ansatte involveres gjennom etablerte HR-prosedyrer slik at både pasientens og den ansattes interesser ivaretas.
Statistisk logganalyse gir ingen «bevis» for om oppslaget er lovlig eller ikke, men gir et bedre selektert grunnlag for kontroll. Formålet med kontrollen er avgrenset til å identifisere oppslag som bryter med bestemmelsene i pasientjournalloven § 16 jf. helsepersonelloven § 21a:
«Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.»
Løsningen skal ikke benyttes til å kontrollere ansattes arbeidsutførelse, tilstedeværelse på jobb eller lignende.