Region Syddanmark lægger sig fladt ned: Har ikke ført tilsyn med sundhedsdata

Statens Serum Institut
Region Syddanmark

Hvem bliver den næste?

Det er beskæmmende, at vi som folk kan acceptere næsten hvilken som helst lovovertrædelse fra det offentlige samfunds side, bare ved at:

"Der lægger vi os fladt ned"
"Det er meget beklageligt"
"Det er vi (hvem?) meget kede af"

Det er nok en opførsel man lærer i vuggestue/børnehave; men det holder altså ikke ude i den virkelige verden, hvor det er virkelige mennesker det går ud over.

Hvor bliver sanktionerne mod de såkaldte ansvarlige af?
Vores private oplysninger og data er utrolig vigtige, og de skal omgærdes med stor sikkerhed og diskretion.
Befolkningen hverken kan eller bør have tillid til politikernes og embedsværkets omgang med betroede og følsomme personlige oplysninger. Talrige eksempler dokumenterer næsten dagligt offentlige myndigheders (og også privates) svigt og sjusk i omgangen med befolkningens tvangslagrede oplysninger og data i deres varetægt.
Med EU's Databeskyttelseforordning som grundlag åbnes nu op for dansk lovgivning (der vedtages om ca. en måned), der muliggør ubegrænset anvendelse og (mis)brug af befolkningens ufattelig mange data tvangslagret i de offentlige registre, uden at den enkelte borger oplyses herom. Det er det stik modsatte af forordningens intensioner, der er ved at blive til dansk lov.
På ministeriel- og styrelsesniveau kan embedsværket snart tildele sig selv alle rettigheder til tværsektorialt at benytte og samkøre oplysninger og data, som de selv finder passende, uden parlamentarisk eller demokratisk kontrol, og uden at befolkningen eller den enkelte borger får det at vide.

Når der ikke bliver holdt øje med person og sundheds-data , åbner det store muligheder for ulovlig forskning !!

Eller justitsministerens version:

"Jeg vil da skide på hvad EU siger - hvis det passer mig at fortsætte en ulovlig praksis, så gør jeg det"

er og bliver borgerne et gråt samlebegreb uden ansigt - og som derfor behandles derefter. Først helt ude i institutionerne kan den enkelte borger måske opnå den identitet, som er uopnåelig i det store hele.

Borgernes data er underkastet en tilsvarende virkelighed, og sådan går det helt naturligt for enhver større samling af "noget".

Vi kan hyle og skrige og i enkelttilfælde få ret, måske endda oprejsning, men lave grundlæggende om på det kan vi ikke nu, hvor vores folkevalgte i deres begejstring for noget, de kun forstår overfladisk, har gennemtrumfet, at stort set alt i vores liv - hvad enten vi vil det eller ej - bliver styret og reguleret af IT-baserede løsninger.

Desværre viser virkeligheden bare alt for ofte, at de er fyldte med fejl, mangler og uoverskuelighed, som sjældent bliver afsløret, før alvorlige konsekvenser for borgerne blotlægger ufuldkommenhederne.

Vi er forlængst langt ud over point of no return - bare ærgerligt...

Det bliver brugt flere og flere konsulent timer i regionerne og mange forskellige konsulent firmaer er løbende på banen.
De får udleveret betydelige mængde data til analyse for efterfølgende at aflevere en rapport til det politiske system.
Jeg har meget svært ved at se hvordan regionerne skal kunne sikre sig at de data ikke vil blive misbrugt af en løbsk medarbejder, det er oftest en tillidssag.
Anonymiserede data giver i nogle tilfælde mening i andre situationer ikke, det er en vurdering fra gang til gang.
Jeg kan huske for 25 år siden var jeg til et foredrag i hovedstaden. Jeg talte med en amerikansk forsker som allerede dengang fortalte at Danmark var det bedste land at hive data ud af fordi vi har vores unikke id på tværs af alle databaser/registre.
Det har siden da ikke ændret sig, tvært i mod. Det nye er dog at den intense registrering også er ved så småt at ske i andre lande.
Med sunddata er det lidt problematisk. For hvem ejer de data. Trenden pejer politiske mere over i at det er patientens data og dermed tilhører patienten. Personlig er jeg uenig i det. Sundhedsdata er sundhedspersonalets arbejdspapir. Sundhedsdata er et struktureret sæt data, analyser, observationer og konklusioner til brug for sundhedspersonale til at foreslå en evt. behandling eller forløb.
Den storm der nu retter sig mod de personfølsommedata skyldes udelukkende det faktum at du i Danmark, mere en noget andet sted i verden kan sammenkøre data på tværs af registere på en medborger og få et komplet livsforløb på stort set alle civile kategorier og hertil hører også sundhedsdata.

For mig at se ligger det store problemet i den voldsomme ensretning og centralisering man fra politisk side er i gang med at indføre på alle niveauer af samfundet og ikke i
at sundhedsvæsnet/personale arbejder med store mængder data for at kunne nå frem til en ny dokumenteret erkendelse.

Måske burde man opdele cpr i f.eks. i et sygesikringsnummer, er skattenummer osv.
En evt. sammenkørelse af de forskellige nummer vil så kræve en større ansøgning med div. sikkerhedsgodkendelser og garantier.

Jesper Springer:

Ja - så længe det bare bliver ved det. Men det gør det jo ikke - disse data benyttes jo netop til at profilere og snage (det hedder nu om dage at forske), hvorved man berøver befolkningen rettet til privatliv. For man kan ikke høste, samkøre og profilere, uden at konsekvensen bliver, at befolkningen mister privatlivet. Så kan man hælde nok så meget sukker over i form af "anonymisering", "pseudoanonymisering", "samtykke" (som sjældent hviler på ordentlig informering) og løfter om geniale nye behandlingsmetoder. Resultatet er stadig, at privatlivet forsvinder, og formålet er nu om dage primært en vækstdagsorden for det private erhvervsliv.

I mine øjne er sundhedsdata private oplysninger, afgivet til en sundhedsperson i et fortroligt rum mhp. behandling. Hvis man vil bevæge sig ud over det, så må man skriftligt:
1) Omhyggeligt oplyse om konkret formål - "forskning" og "statistik" er ikke konkret nok.
2) Oplyse om projektets økonomiske fundament og bagmænd
3) Oplyse om, hvad evt. anonymisering består af.
4) Oplyse om databehandler og hvor denne befinder sig.
5) Indhente udtrykkeligt skriftligt samtykke.
6) Love, at formålet overholdes, og ikke "skrider".
7) Give personen betænkningstid, dvs. ud over den aktuelle behandlingssession.
8) Give mulighed for at trække samtykke og data tilbage.
9) Samt sikkert noget mere, som jeg ikke lige nu kan komme i tanker om.

Det blev så Region Nordjylland:
https://www.computerworld.dk/art/242174/region-nordjylland-aner-ikke-om-...

Anne-Marie jeg på ingen måde uenig med dig i det du skriver.
Man skal have respekt og omtanke for de data der deles og sikre at eksempelvis følsomme uvæsentlige oplysninger skærmes.
Jeg mener dog fortsat at man skal have for øje at sammenkørelse af data er det store issue her.

Jesper: Ja, det er bestemt et kæmpe problem - men er det ikke hele bagtanken i øjeblikket, at det hele skal samkøres (det nævner du vist også)? Så det bliver en hård - og ulige - kamp at vende den tankegang.

Jeg har i nogen tid overvejet om det er på tide at vi som kærer os for vores private data begynder at samarbejde om udvikling af undervisningsmateriale med børn som målgruppe, som på en aldersvarende måde forklarer dem om deres rettigheder mht. både statslig og privat data-tyveri og langsigtede risici ved at afgive private informationer.

I givet fald er det noget der vil kræve megen overvejelse, da det jo ikke må kunne føre til at børn feks. undlader at søge hjælp hos myndighederne ved andre typer af overgreb.

Det blev så Region Nordjylland

Fantastisk at læse bortforklaringerne: it-chefen ved ikke hvad der kræves, og mener det er fuldt anerkendelsesværdig grund til at man ikke har forsøgt at leve op til loven!

Mjae. Jeg vil godt indrømme, at jeg i første omgang fik kaffen galt i halsen, da jeg læste det.

Men på den positive side tæller, at der her er en, som rent faktisk gør sig nogle overvejelser om, hvorvidt det er godt nok.

Til gengæld ser det desværre ud til, at man også her kun er ude efter en absolut minimumsløsning rent juridisk. Man gør sig ingen overvejelser om, hvorfor mon reglen er der, og om man rent faktisk (og ikke bare formelt) lever op til sit ansvar.

Så jeg er ganske splittet. Jeg er forarget over, at det er så udbredt, at man fuldkommen ignorer sit ansvar som dataansvarligt. Man er helt åbenlyst slet ikke sin opgave voksen. Det er rent ud sagt forkasteligt, og burde føre til et øjeblikkeligt moratorium for alle nye initiativer, mens man brugte al sin energi på at få styr på det, som allerede er sat i søen.

Og derfor er jeg også glad for, at det kommer frem i lyset.

Men jeg er alligevel bekymret. For jeg er alvorligt bange for, at vi nu bare kommet til at se, at man jagter et mere eller mindre vilkårligt papir med en underskrift, for at kunne bevise at man har opfyldt formalia, uden man på nogen måde af den grund prøver at leve op til det ansvar, som følger med.

Ja, det kan man godt frygte, Bjarne Nielsen. Men hvad er så vejen frem? I mine øjne ville det være en god start (ud over dit forslag om en time out til at få styr på tingene) at undlade at sende vore data rundt i hele verden. Ikke fordi vi er dydsmønste herhjemme, men det er trods alt nemmere at føre tilsyn med en gruppe lokale firmaer, end at føre det samme tilsyn med 100 gange så mange internationale firmaer.

Men der ville nok nærmest skulle væbnet kamp til for at få det gennemtvunget - det er ikke ligefrem i overensstemmelse med tidsånden. Jeg mener, jeg for nyligt læste, at tankerne i EU går i den modsatte retning - at det skal være forbudt at opstille forhindringer for datas frie udbredelse indenfor EU.

Så hvad gør vi (ud over altså i alle sammenhænge at kæmpe med næb og klør mod overhovedet at blive påtvunget rollen som umælende datamalkekvæg), hvis vi ikke kan få myndighederne til at tage deres ansvar og vore privatlivsrettigheder mere alvorligt end blot at skaffe en underskrift på et eller andet tomt dokument?

Region Midtjylland er den næste.

En aktindsigt gav som resultat, at de rekvirerede en revisionsrapport fra Rambøll og stregede alle tests ud, så man kun kunne læse at en række sikkerhedstests var OK, men ikke hvad de enkelte test gik ud på. Det var derfor komplet umuligt at vurdere kvaliteten af disse tests.