Pasientjournalloven § 22 forplikter virksomheter med dataansvar for behandlingsrettede helseregistre (pasientjournalen) å sørge for tilgangsstyring, logging og etterfølgende kontroll. Behovet for at opplysninger skal være tilgjengelig for å sikre pasientsikkerheten, innebærer at ansatte er gitt teknisk tilgang til langt flere pasienters journalopplysninger enn det den enkelte har direkte tjenstlig behov for. Det er ikke teknisk eller praktisk mulig å konfigurere pasientjournalsystemet slik at det «vet» hvem som til enhver tid har behov for tilgang til hvilke pasienter. Tilgangsstyring må derfor suppleres av flere kontrolltiltak.
Logging av oppslag har pågått i mange år, men helseforetakene har manglet et verktøy for systematisk å kunne avdekke urettmessige oppslag. Avviket i forhold til lovkravet har vært påpekt av både Datatilsynet og Riksrevisjonen. Mer enn 57 000 ansatte i Helse Sør-Øst har tilgang til journalsystemet DIPS og det gjøres over 1,3 milliarder oppslag hvert år. En teknisk løsning som kan håndtere og analysere store og komplekse volum av oppslag er derfor nødvendig.
Statistisk logganalyse har gjennom utprøving vist seg som den mest egnede praktiske tilnærming som evner å identifisere uvanlige oppslag som videre må vurderes manuelt. Utgangspunktet for løsningen er at oppslag som statistisk sett er vanlige, sannsynligvis er legitime. Styrken ligger i at det tas utgangspunkt i de ordinære arbeidsprosessene i klinikk, representert ved oppslagsmønstre i elektronisk pasientjournal. Det etableres ingen regler for hva som er riktig eller gal bruk av journal. Løsningen vil derimot «beskrive» hva som er vanlig versus uvanlig gjennom kombinasjoner av flere scoringsmodeller (scenarioer). Oppslagets samlede score avgjør hva som bør kontrolleres manuelt.
Uvanlige oppslag vil vurderes manuelt av helseforetakets loggkontrollør. Avklaring av oppslagets lovlighet gjøres av leder med faglig støtte fra HR. Ansatte involveres gjennom etablerte HR-prosedyrer slik at både pasientens og den ansattes interesser ivaretas.
