At få billeddiagnosedata og andre data fra patientbehandlingen vurderet ved hjælp af avancerede computersystemer i udlandet er en udvikling, som både danske patienter og politikere må vænne sig til.
Et land på knap 6 millioner indbyggere, svarende til den hamborgske metropolregion, vil aldrig kunne tilbyde de mest kraftfulde computersystemer inden for alle medicinske discipliner til at undersøge billeder fra fx en potentiel kræftpatient, for hurtigst muligt - og mest muligt præcist - at stille den rette diagnose.
Det er og bliver hverdag at udveksle data med lægekolleger og analyseenheder i fx Sverige, Frankrig eller USA.
Derfor forekommer det en smule ude at trit med virkeligheden - og i værste fald til skade for danske patienter - når flere forskere og politikere i denne uge himler op i pressen om, at Region Hovedstaden og Region Sjælland sender patientdata fra Sundhedsplatformen til behandling hos leverandøren Epic i USA.
Opstandelsen kommer på baggrund af en rapport om beskyttelse af persondata i Sundhedsplatformen, som advokatfirmaet Bech-Bruun har udarbejdet for Region Hovedstaden.
Intet nyt i dataoverførsler til USA
Konklusionen om at Epic-supportmedarbejdere i England og USA har adgang til personoplysninger på patienter og ansatte, burde heller ikke komme som en overraskelse.
Det har Region Hovedstaden været åben om siden starten af projektet med Sundhedsplatformen og Version2 omtalte i øvrigt dataoverførslen til USA for halvandet år siden.
Dermed ikke sagt, at regionerne kan melde hus forbi i forhold til deres ansvar for at sikre det rette grundlag samt åbenhed og transparens omkring overførsler og håndtering af patientdata.
Dels må direktionerne i regionerne træde i karakter og involvere sig tydeligt i forhold til at sikre, at danske borgernes data ikke kommer i fremmede magters hænder, når der gives adgang til dem uden for landets grænser.
Beskyttelse af dybt følsomme data er en kerneopgave for direktionen og ikke et arbejde, der kan overlades til en contract manager eller anden medarbejder langt nede i organisationerne.
Det behov understreges af, at Region Hovedstaden i over et år måtte bokse med Epic for at få selskabet til at levere den rette dokumentation for, hvordan data behandles og af hvem.
Derudover skal regionerne steppe op i forhold til at gøre informationen til offentligheden om dataoverførsler langt mere transparent over for borgerne.
I dag er den information stort set fraværende.
Her er der i høj grad brug for, at databeskyttelsesrådgiveren (DPO) træder i karakter og løbende lægger oplysninger ud.
For eksempel oplysninger om, hvilke data dækkende over hvor mange borgere, der overføres til udlandet, en begrundelse for, at der er tale om personhenførbare data og ikke anonymiserede, hvem der har adgang og hvordan der føres tilsyn med de medarbejdere, der har adgangen.
Og endelig må Region H ophøre med deres velkendte spin i forhold til, hvad der er fakta omkring Sundhedsplatformen.
I en orientering til politikerne har man forsøgt at nedtone dataoverførslerne til USA med, at Epic-ansatte kun havde adgang til ‘at se’ data, men at 'data ligger ikke i USA'. Det er i forhold til persondataforordningen en skelnen, som er fuldkommen uvedkommende - der er pr. definition tale om en overførsel, uanset om man alene 'kan se' data.
Øg kontrol og indsigt i dataopslag
Når regionernes DPO'er forhåbentlig kommer i gang med at rette op på spin og manglende transparens, bør de også være langt mere offensive i forhold til at sikre, at klinikere ikke tilgår data på patienterne uden et sagligt grundlag.
Bech-Bruuns rapport har afsløret, at patienterne er dårligt beskyttet mod uretmæssige opslag i sundhedsdata.
Kontrollen baserer sig i dag på en manuel årlig undersøgelse, hvor alle hospitalsafdelinger udvælger 10 brugere per afdeling over en periode på syv dage til kontrol. Det er selvfølgelig for sporadisk en kontrol.
I andre regioner bliver HR/juridisk afdeling adviseret, hvis en medarbejder f.eks. slår op på et familiemedlem, sig selv eller en nabo, uden at der er tale om aktuel behandling.
En sådan overvågning vil givetvis blandt nogle klinikere blive opfattet som en urimelig mistænkeliggørelse. Her er det bare vigtigt at skelne mellem offentlig dataovervågning af vores privatliv, som skal begrænses mest muligt, og så en overvågning i vores roller som professionelle mennesker, som er nødvendig for at sikre borgernes tillid til systemer og forvaltning.
Tidligere kunne papirjournalerne ligge og og flyde på et tilfældigt skrivebord til nem skue for nysgerrig blikke. Det var selvfølgelig sjusket og forkert, men dog et relativt begrænset antal ansatte, der ad den vej kunne få uretmæssig indsigt i data - og også tilfældigt hvem man kunne snage i.
I dag har de store centrale it-systemer åbnet for, at tusindvis af ansatte kan foretage opslag på fx toppolitikere, kendisser eller eksmandens nye kæreste.
Tidligere sager - fx sagen om misbrug af adgang blandt ansatte hos Nets til danskernes brug af betalingskort - viser, at der altid vil være brodne kar, som ikke forstår hvad der er ret og uret. Derfor må overvågningen selvfølgelig øges i takt med, at de digitale muligheder giver bredere og nemmere dataadgang.
Den læge eller sygeplejerske, som foretager opslag på et familiemedlem eller en ven for at hjælpe under et sagligt formål, har intet at skjule. Men også på dette område er der behov for øget transparens over for borgerne om, hvilke ansatte der har adgang til data, hvordan kontrollen gennemføres, hvor mange opslag der er undersøgt, og hvor mange som er konkluderet at være uretmæssige.
Uden en langt større gennemsigtighed om, hvilke klinikere, administrationsmedarbejdere, it-udviklere og forskere, der har adgang til vores meget private data om fx sygdom, seksuel orientering og livsstil og med hvilken begrundelse, vil tilliden til de store offentlige systemer falde - og i værste fald vil borgerne tilbageholde væsentlige oplysninger om dem selv.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.