Region Syddanmark lægger sig fladt ned: Har ikke ført tilsyn med sundhedsdata

Illustration: Elnur, BigStock
Rambøll indsamler massevis af sundhedsdata fra danske patienter, men Region Syddanmark har ingen kontrol over, om data misbruges eller på anden vis håndteres ulovligt.

Region Syddanmark har ikke styr på, om dens patientoplysninger faktisk bliver behandlet med den krævede it- og datasikkerhed.

Regionen har et samarbejde med Rambølls spørgeskema-service SurveyXact, hvor patienter inden hospitalsbesøg kan udfylde en række sundhedsoplysninger.

Problemet er, at regionen ikke har ført tilsyn med, at Rambøll faktisk har styr på patienternes data.

Læs også: Sundhedsminister om SSI's manglende tilsyn: »Ikke godt nok og stærkt kritisabelt«

»Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,« siger Nicolai Arvedsen, funktionschef i Region Syddanmark.

»Man kan dermed sige, at vi næppe i tilstrækkelig grad har levet op til Datatilsynets forventninger. Det har ikke tidligere haft tilstrækkeligt fokus.«

Databehandleraftale skulle spare tid

Aftalen er ellers sat op for at kunne effektivisere arbejdsgangen på hospitalet, så patienterne ikke bruger unødvendigt meget personaletid på at svare på spørgsmål.

Netop det formål kræver dog, at databehandleren ikke laver noget forkert, og det skal den dataansvarlige altså føre tilsyn med.

»Vi kan ikke dokumentere, at vi har lavet tilstrækkeligt kontrol. Der lægger vi os fladt ned,« erkender Nicolai Arvedsen.

Læs også: Samtlige regioner får røffel af Datatilsynet for at svigte persondataregler

Skulle regionens patienter føle sig utrygge, er det muligt at droppe spørgeskemaet på SurveyXact og i stedet tage det på papir - eller mundtligt med personalet.

»Vi undlader ikke at behandle en patient, fordi de ikke udfylder et digitalt spørgeskema. Det kan vi jo ikke,« siger Nicolai Arvedsen.

Manglende tilsyn hos myndighederne

Version2 havde i sidste uge fokus på, hvordan Statens Serum Institut på samme måde heller ikke førte tilsyn med deres databehandlere.

I den forbindelse fortalte Katrine Valbjørn Trebbien, specialkonsulent hos Datatilsynet, at:

»Det er et krav i persondataloven. Man skal uanset hvad påse, at databehandleren overholder reglerne. Hvis de ikke gør det, så er det selvfølgelig et problem.«

Læs også: Jurist: Under GDPR ville Statens Serum Institut være blevet ramt af bøde-hammeren

Formand i Patientdataforeningen Thomas Birk Kristiansen understregede samtidigt, at det manglende tilsyn ikke nødvendigvis betyder, at der er faktisk er sket noget forkert hos databehandleren, men at:

»Det viser lidt et billede af, hvordan man behandler sundhedsdata i Danmark. Man har simpelthen sluppet bremsen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
Flemming Madsen

Det er beskæmmende, at vi som folk kan acceptere næsten hvilken som helst lovovertrædelse fra det offentlige samfunds side, bare ved at:

"Der lægger vi os fladt ned"
"Det er meget beklageligt"
"Det er vi (hvem?) meget kede af"

Det er nok en opførsel man lærer i vuggestue/børnehave; men det holder altså ikke ude i den virkelige verden, hvor det er virkelige mennesker det går ud over.

John Foley

Hvor bliver sanktionerne mod de såkaldte ansvarlige af?
Vores private oplysninger og data er utrolig vigtige, og de skal omgærdes med stor sikkerhed og diskretion.
Befolkningen hverken kan eller bør have tillid til politikernes og embedsværkets omgang med betroede og følsomme personlige oplysninger. Talrige eksempler dokumenterer næsten dagligt offentlige myndigheders (og også privates) svigt og sjusk i omgangen med befolkningens tvangslagrede oplysninger og data i deres varetægt.
Med EU's Databeskyttelseforordning som grundlag åbnes nu op for dansk lovgivning (der vedtages om ca. en måned), der muliggør ubegrænset anvendelse og (mis)brug af befolkningens ufattelig mange data tvangslagret i de offentlige registre, uden at den enkelte borger oplyses herom. Det er det stik modsatte af forordningens intensioner, der er ved at blive til dansk lov.
På ministeriel- og styrelsesniveau kan embedsværket snart tildele sig selv alle rettigheder til tværsektorialt at benytte og samkøre oplysninger og data, som de selv finder passende, uden parlamentarisk eller demokratisk kontrol, og uden at befolkningen eller den enkelte borger får det at vide.

Christian Nobel
Mikael Ibsen

er og bliver borgerne et gråt samlebegreb uden ansigt - og som derfor behandles derefter. Først helt ude i institutionerne kan den enkelte borger måske opnå den identitet, som er uopnåelig i det store hele.

Borgernes data er underkastet en tilsvarende virkelighed, og sådan går det helt naturligt for enhver større samling af "noget".

Vi kan hyle og skrige og i enkelttilfælde få ret, måske endda oprejsning, men lave grundlæggende om på det kan vi ikke nu, hvor vores folkevalgte i deres begejstring for noget, de kun forstår overfladisk, har gennemtrumfet, at stort set alt i vores liv - hvad enten vi vil det eller ej - bliver styret og reguleret af IT-baserede løsninger.

Desværre viser virkeligheden bare alt for ofte, at de er fyldte med fejl, mangler og uoverskuelighed, som sjældent bliver afsløret, før alvorlige konsekvenser for borgerne blotlægger ufuldkommenhederne.

Vi er forlængst langt ud over point of no return - bare ærgerligt...

Jesper Springer

Det bliver brugt flere og flere konsulent timer i regionerne og mange forskellige konsulent firmaer er løbende på banen.
De får udleveret betydelige mængde data til analyse for efterfølgende at aflevere en rapport til det politiske system.
Jeg har meget svært ved at se hvordan regionerne skal kunne sikre sig at de data ikke vil blive misbrugt af en løbsk medarbejder, det er oftest en tillidssag.
Anonymiserede data giver i nogle tilfælde mening i andre situationer ikke, det er en vurdering fra gang til gang.
Jeg kan huske for 25 år siden var jeg til et foredrag i hovedstaden. Jeg talte med en amerikansk forsker som allerede dengang fortalte at Danmark var det bedste land at hive data ud af fordi vi har vores unikke id på tværs af alle databaser/registre.
Det har siden da ikke ændret sig, tvært i mod. Det nye er dog at den intense registrering også er ved så småt at ske i andre lande.
Med sunddata er det lidt problematisk. For hvem ejer de data. Trenden pejer politiske mere over i at det er patientens data og dermed tilhører patienten. Personlig er jeg uenig i det. Sundhedsdata er sundhedspersonalets arbejdspapir. Sundhedsdata er et struktureret sæt data, analyser, observationer og konklusioner til brug for sundhedspersonale til at foreslå en evt. behandling eller forløb.
Den storm der nu retter sig mod de personfølsommedata skyldes udelukkende det faktum at du i Danmark, mere en noget andet sted i verden kan sammenkøre data på tværs af registere på en medborger og få et komplet livsforløb på stort set alle civile kategorier og hertil hører også sundhedsdata.

For mig at se ligger det store problemet i den voldsomme ensretning og centralisering man fra politisk side er i gang med at indføre på alle niveauer af samfundet og ikke i
at sundhedsvæsnet/personale arbejder med store mængder data for at kunne nå frem til en ny dokumenteret erkendelse.

Måske burde man opdele cpr i f.eks. i et sygesikringsnummer, er skattenummer osv.
En evt. sammenkørelse af de forskellige nummer vil så kræve en større ansøgning med div. sikkerhedsgodkendelser og garantier.

Anne-Marie Krogsbøll

Jesper Springer:

Sundhedsdata er et struktureret sæt data, analyser, observationer og konklusioner til brug for sundhedspersonale til at foreslå en evt. behandling eller forløb.


Ja - så længe det bare bliver ved det. Men det gør det jo ikke - disse data benyttes jo netop til at profilere og snage (det hedder nu om dage at forske), hvorved man berøver befolkningen rettet til privatliv. For man kan ikke høste, samkøre og profilere, uden at konsekvensen bliver, at befolkningen mister privatlivet. Så kan man hælde nok så meget sukker over i form af "anonymisering", "pseudoanonymisering", "samtykke" (som sjældent hviler på ordentlig informering) og løfter om geniale nye behandlingsmetoder. Resultatet er stadig, at privatlivet forsvinder, og formålet er nu om dage primært en vækstdagsorden for det private erhvervsliv.

I mine øjne er sundhedsdata private oplysninger, afgivet til en sundhedsperson i et fortroligt rum mhp. behandling. Hvis man vil bevæge sig ud over det, så må man skriftligt:
1) Omhyggeligt oplyse om konkret formål - "forskning" og "statistik" er ikke konkret nok.
2) Oplyse om projektets økonomiske fundament og bagmænd
3) Oplyse om, hvad evt. anonymisering består af.
4) Oplyse om databehandler og hvor denne befinder sig.
5) Indhente udtrykkeligt skriftligt samtykke.
6) Love, at formålet overholdes, og ikke "skrider".
7) Give personen betænkningstid, dvs. ud over den aktuelle behandlingssession.
8) Give mulighed for at trække samtykke og data tilbage.
9) Samt sikkert noget mere, som jeg ikke lige nu kan komme i tanker om.

Jesper Springer

Anne-Marie jeg på ingen måde uenig med dig i det du skriver.
Man skal have respekt og omtanke for de data der deles og sikre at eksempelvis følsomme uvæsentlige oplysninger skærmes.
Jeg mener dog fortsat at man skal have for øje at sammenkørelse af data er det store issue her.

Niels Madsen

Jeg har i nogen tid overvejet om det er på tide at vi som kærer os for vores private data begynder at samarbejde om udvikling af undervisningsmateriale med børn som målgruppe, som på en aldersvarende måde forklarer dem om deres rettigheder mht. både statslig og privat data-tyveri og langsigtede risici ved at afgive private informationer.

I givet fald er det noget der vil kræve megen overvejelse, da det jo ikke må kunne føre til at børn feks. undlader at søge hjælp hos myndighederne ved andre typer af overgreb.

Bjarne Nielsen

Fantastisk at læse bortforklaringerne: it-chefen ved ikke hvad der kræves, og mener det er fuldt anerkendelsesværdig grund til at man ikke har forsøgt at leve op til loven!

Mjae. Jeg vil godt indrømme, at jeg i første omgang fik kaffen galt i halsen, da jeg læste det.

Men på den positive side tæller, at der her er en, som rent faktisk gør sig nogle overvejelser om, hvorvidt det er godt nok.

Til gengæld ser det desværre ud til, at man også her kun er ude efter en absolut minimumsløsning rent juridisk. Man gør sig ingen overvejelser om, hvorfor mon reglen er der, og om man rent faktisk (og ikke bare formelt) lever op til sit ansvar.

Så jeg er ganske splittet. Jeg er forarget over, at det er så udbredt, at man fuldkommen ignorer sit ansvar som dataansvarligt. Man er helt åbenlyst slet ikke sin opgave voksen. Det er rent ud sagt forkasteligt, og burde føre til et øjeblikkeligt moratorium for alle nye initiativer, mens man brugte al sin energi på at få styr på det, som allerede er sat i søen.

Og derfor er jeg også glad for, at det kommer frem i lyset.

Men jeg er alligevel bekymret. For jeg er alvorligt bange for, at vi nu bare kommet til at se, at man jagter et mere eller mindre vilkårligt papir med en underskrift, for at kunne bevise at man har opfyldt formalia, uden man på nogen måde af den grund prøver at leve op til det ansvar, som følger med.

Anne-Marie Krogsbøll

Men jeg er alligevel bekymret. For jeg er alvorligt bange for, at vi nu bare kommet til at se, at man jagter et mere eller mindre vilkårligt papir med en underskrift, for at kunne bevise at man har opfyldt formalia, uden man på nogen måde af den grund prøver at leve op til det ansvar, som følger med.


Ja, det kan man godt frygte, Bjarne Nielsen. Men hvad er så vejen frem? I mine øjne ville det være en god start (ud over dit forslag om en time out til at få styr på tingene) at undlade at sende vore data rundt i hele verden. Ikke fordi vi er dydsmønste herhjemme, men det er trods alt nemmere at føre tilsyn med en gruppe lokale firmaer, end at føre det samme tilsyn med 100 gange så mange internationale firmaer.

Men der ville nok nærmest skulle væbnet kamp til for at få det gennemtvunget - det er ikke ligefrem i overensstemmelse med tidsånden. Jeg mener, jeg for nyligt læste, at tankerne i EU går i den modsatte retning - at det skal være forbudt at opstille forhindringer for datas frie udbredelse indenfor EU.

Så hvad gør vi (ud over altså i alle sammenhænge at kæmpe med næb og klør mod overhovedet at blive påtvunget rollen som umælende datamalkekvæg), hvis vi ikke kan få myndighederne til at tage deres ansvar og vore privatlivsrettigheder mere alvorligt end blot at skaffe en underskrift på et eller andet tomt dokument?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder