Opsang til regionerne: Dataoverførsel til udlandet vil stige - i dag er det for gedulgt

Illustration: Bakhtiar Zein/BigStock
Der skal være bedre hånd i hanke med danskernes sundhedsdata, lyder opsangen fra redaktionschef.

At få billeddiagnosedata og andre data fra patientbehandlingen vurderet ved hjælp af avancerede computersystemer i udlandet er en udvikling, som både danske patienter og politikere må vænne sig til.

Et land på knap 6 millioner indbyggere, svarende til den hamborgske metropolregion, vil aldrig kunne tilbyde de mest kraftfulde computersystemer inden for alle medicinske discipliner til at undersøge billeder fra fx en potentiel kræftpatient, for hurtigst muligt - og mest muligt præcist - at stille den rette diagnose.

Det er og bliver hverdag at udveksle data med lægekolleger og analyseenheder i fx Sverige, Frankrig eller USA.

Derfor forekommer det en smule ude at trit med virkeligheden - og i værste fald til skade for danske patienter - når flere forskere og politikere i denne uge himler op i pressen om, at Region Hovedstaden og Region Sjælland sender patientdata fra Sundhedsplatformen til behandling hos leverandøren Epic i USA.

Henning Mølsted er redaktionschef i Teknologiens Mediehus, som Version2 hører under. Han har i mange år beskæftiget sig journalistisk med området for sundheds-it. Illustration: Das Büro

Opstandelsen kommer på baggrund af en rapport om beskyttelse af persondata i Sundhedsplatformen, som advokatfirmaet Bech-Bruun har udarbejdet for Region Hovedstaden.

Intet nyt i dataoverførsler til USA

Konklusionen om at Epic-supportmedarbejdere i England og USA har adgang til personoplysninger på patienter og ansatte, burde heller ikke komme som en overraskelse.

Det har Region Hovedstaden været åben om siden starten af projektet med Sundhedsplatformen og Version2 omtalte i øvrigt dataoverførslen til USA for halvandet år siden.

Dermed ikke sagt, at regionerne kan melde hus forbi i forhold til deres ansvar for at sikre det rette grundlag samt åbenhed og transparens omkring overførsler og håndtering af patientdata.

Dels må direktionerne i regionerne træde i karakter og involvere sig tydeligt i forhold til at sikre, at danske borgernes data ikke kommer i fremmede magters hænder, når der gives adgang til dem uden for landets grænser.

Beskyttelse af dybt følsomme data er en kerneopgave for direktionen og ikke et arbejde, der kan overlades til en contract manager eller anden medarbejder langt nede i organisationerne.

Det behov understreges af, at Region Hovedstaden i over et år måtte bokse med Epic for at få selskabet til at levere den rette dokumentation for, hvordan data behandles og af hvem.

Derudover skal regionerne steppe op i forhold til at gøre informationen til offentligheden om dataoverførsler langt mere transparent over for borgerne.

I dag er den information stort set fraværende.

Her er der i høj grad brug for, at databeskyttelsesrådgiveren (DPO) træder i karakter og løbende lægger oplysninger ud.

For eksempel oplysninger om, hvilke data dækkende over hvor mange borgere, der overføres til udlandet, en begrundelse for, at der er tale om personhenførbare data og ikke anonymiserede, hvem der har adgang og hvordan der føres tilsyn med de medarbejdere, der har adgangen.

Og endelig må Region H ophøre med deres velkendte spin i forhold til, hvad der er fakta omkring Sundhedsplatformen.

I en orientering til politikerne har man forsøgt at nedtone dataoverførslerne til USA med, at Epic-ansatte kun havde adgang til ‘at se’ data, men at 'data ligger ikke i USA'. Det er i forhold til persondataforordningen en skelnen, som er fuldkommen uvedkommende - der er pr. definition tale om en overførsel, uanset om man alene 'kan se' data.

Læs også: Region H fremhæver GDPR-ugyldig sondring mellem 'at se' patientdata og placering af data

Øg kontrol og indsigt i dataopslag

Når regionernes DPO'er forhåbentlig kommer i gang med at rette op på spin og manglende transparens, bør de også være langt mere offensive i forhold til at sikre, at klinikere ikke tilgår data på patienterne uden et sagligt grundlag.

Bech-Bruuns rapport har afsløret, at patienterne er dårligt beskyttet mod uretmæssige opslag i sundhedsdata.

Kontrollen baserer sig i dag på en manuel årlig undersøgelse, hvor alle hospitalsafdelinger udvælger 10 brugere per afdeling over en periode på syv dage til kontrol. Det er selvfølgelig for sporadisk en kontrol.

I andre regioner bliver HR/juridisk afdeling adviseret, hvis en medarbejder f.eks. slår op på et familiemedlem, sig selv eller en nabo, uden at der er tale om aktuel behandling.

Læs også: Tyndbenet kontrol med snageopslag på patientdata i Region H

En sådan overvågning vil givetvis blandt nogle klinikere blive opfattet som en urimelig mistænkeliggørelse. Her er det bare vigtigt at skelne mellem offentlig dataovervågning af vores privatliv, som skal begrænses mest muligt, og så en overvågning i vores roller som professionelle mennesker, som er nødvendig for at sikre borgernes tillid til systemer og forvaltning.

Tidligere kunne papirjournalerne ligge og og flyde på et tilfældigt skrivebord til nem skue for nysgerrig blikke. Det var selvfølgelig sjusket og forkert, men dog et relativt begrænset antal ansatte, der ad den vej kunne få uretmæssig indsigt i data - og også tilfældigt hvem man kunne snage i.

I dag har de store centrale it-systemer åbnet for, at tusindvis af ansatte kan foretage opslag på fx toppolitikere, kendisser eller eksmandens nye kæreste.

Tidligere sager - fx sagen om misbrug af adgang blandt ansatte hos Nets til danskernes brug af betalingskort - viser, at der altid vil være brodne kar, som ikke forstår hvad der er ret og uret. Derfor må overvågningen selvfølgelig øges i takt med, at de digitale muligheder giver bredere og nemmere dataadgang.

Læs også: Tidligere Nets-ansat: Alle i kundeservice har adgang til danskernes kortoplysninger - og det bliver misbrugt

Den læge eller sygeplejerske, som foretager opslag på et familiemedlem eller en ven for at hjælpe under et sagligt formål, har intet at skjule. Men også på dette område er der behov for øget transparens over for borgerne om, hvilke ansatte der har adgang til data, hvordan kontrollen gennemføres, hvor mange opslag der er undersøgt, og hvor mange som er konkluderet at være uretmæssige.

Uden en langt større gennemsigtighed om, hvilke klinikere, administrationsmedarbejdere, it-udviklere og forskere, der har adgang til vores meget private data om fx sygdom, seksuel orientering og livsstil og med hvilken begrundelse, vil tilliden til de store offentlige systemer falde - og i værste fald vil borgerne tilbageholde væsentlige oplysninger om dem selv.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Et land på knap 6 millioner indbyggere, svarende til den hamborgske metropolregion, vil aldrig kunne tilbyde de mest kraftfulde computersystemer inden for alle medicinske discipliner [...].

Derfor forekommer det en smule ude at trit med virkeligheden - og i værste fald til skade for danske patienter - når flere forskere og politikere i denne uge himler op i pressen om, at Region Hovedstaden og Region Sjælland sender patientdata fra Sundhedsplatformen til behandling hos leverandøren Epic i USA.

Her sammenlignes æbler og pærer.

Epic er ikke et kraftfuldt og specialiseret computersystem, der baserer sig på den seneste forskning inden for alskens medicinske discipliner.

En kræftpatient vil formentlig gladeligt acceptere, at blodprøver, skanninger og anden persondata sendes til behandling i Langbortistan. Men man ser nok anderledes på det, hvis man er til en simpel undersøgelse for kønssygdomme eller bliver indlagt på en psykiatrisk afdeling.

Derfor mener jeg ikke, at man er “ude af trit med virkeligheden”, hvis man finder det problematisk, at persondata fra sundhedsplatformen sendes til tredjelande.

  • 21
  • 0
Paolo Poggi

Helt enig med Christian Schmidts kommentar.
Det er fra disse dage at fremmede magter forsøger at få adgang til Merkels sundhedsdata. Hvis det handlede om en dansk politiker ville CIA blot skulle ringe til Epic og kræve data udleveret. Og der er ingen grund til at tro, at de ikke allerede gør det på rutinebasis. Naivt er derfor at tro at problemet begrænser sig til "brodne kar, som ikke forstår hvad der er ret og uret". Det det handler om er, hvorvidt vi skal levere USA afpresningmidler på et sølvfad eller om vi vil beskytte vores uafhængighed.

  • 6
  • 0
Thomas Birk Kristiansen

I GDPR artikel 25 er man bundet på at benytte privacy-by-design herunder dataminimering. Det kan man ikke sige gør sig gældende når en fuldt spejlet version af SP kan tilgås i det såkaldt support miljø fra EPIC i USA.

Så skal danskernes sundhedsdata sendes verden rundt så skal man selvfølgelig informes om at det finder sted, men i nærmest alle tilfælde kan data som minimum pseudonymiseres.

Indelig mener jeg at man i langt højere grad burde tillade danskerne selv at styre hvem der kan få adgang til deres private og personhenførbare sundhedsoplysninger.

  • 1
  • 0
Bjarne Nielsen

Der er en pointe i, at vi kommer til at se flere tilfælde, hvor der vil blive talt for udveksling af data - og at sporene fra håndteringen af SP og Epic ikke just er et kønt syn - faktisk er der meget, som kan bruges som eksempel på, hvordan man ikke skal gøre det.

Det betyder ikke, at man så kan stoppe hovedet i busken, og slå fuldt bak. Det betyder, at man skal til at tage det meget mere alvorligt. Vi skal gøre det, når det er nødvendigt, men kun når det er nødvendigt - og så skal vi gøre det ordentligt! Dette inkludere også en reel afsøgning af alternativer, og en respekt for, at man mister kontrollen med hemmeligheder, når man deler dem med andre.

Og havde man taget det tilstrækkeligt alvorligt, så tror jeg, at historien om SP og EPIC ville være blevet meget anderledes.

  • 1
  • 0
Gert Madsen

"Det har Region Hovedstaden været åben om siden starten af projektet med Sundhedsplatformen og Version2 omtalte i øvrigt dataoverførslen til USA for halvandet år siden."
Det er vist en sandhed med modifikationer.
Anne Marie Krogsböll har skrevet om sine forsøg på at afdække hvilke data, som overføres, og til hvem. Der har ikke været meget spor af åbenhed.
Derudover bliver man herfra, og også fra andre sider, præsenteret for den falske påstand at man "behøver" adgang, for at kunne yde support.
Der findes altså systemer, som har kørt i årtier med support fra den udenlandske leverandør, uden at der gives adgang til data.
Den eneste forskel, som jeg har oplevet, er at der ikke kan sjuskes med dokumentationen, uden at det bliver meget besværligt.

  • 1
  • 0
Anne-Marie Krogsbøll

"Det har Region Hovedstaden været åben om siden starten af projektet med Sundhedsplatformen og Version2 omtalte i øvrigt dataoverførslen til USA for halvandet år siden."
Det er vist en sandhed med modifikationer.
Anne Marie Krogsböll har skrevet om sine forsøg på at afdække hvilke data, som overføres, og til hvem. Der har ikke været meget spor af åbenhed.


Enig, Gert Madsen. Det er ikke iveren efter at være åbne og transparante, der typisk præger kommunikationen fra regionerne.

Og som Markus Bernsen skriver i sin nye bog "Danmark Disrupted" (et "must read", hvis man vil have overblik over det kup fra tech-giganters og deres danske beslutningstagerhåndlangeres side, vi udsættes for herhjemme - det rulles ud side for side), så medfører offentligt-private partnerskabers hastige fremmarch herhjemme stadig mindre transparens og åbenhed, fordi alt stort set kan stemples som forretningshemmeligheder. Som f.eks. den revisionsrapport vedr. SP, som jeg fik efter et års kamp fik indsigt i for et par års tid siden: Sort fra ende til anden! Det rager ikke borgerne, hvordan deres data behandles.

Jeg prøvede allerede for 4-5 år siden, i forbindelse med købet af SP, at få svar på netop i hvilken grad Epic ville få adgang til vore data. Jeg fik uldne svar i retning af, at de i enkelte, særlige tilfælde var nødt til at have adgang - men kunne ikke få det præciseret. Jeg mener, at det også på SP's hjemmeside blev fremstillet som om, det var undtagelsestilfælde (har det vist nok et eller andet sted). Det lader så til at være en lodret løgn. Må man lyve for borgerne om, hvad der sker med deres data?

Jeg håber, at der kommer nogle svar fra regionen vedr. dine og andres oplysninger om, at det slet ikke er nødvendigt at give disse udstrakte adgange til data for at yde service, support og udvikling. Det kræver da en særdeles god forklaring, at man så alligevel gør det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize