Vedtaget ved lov: Ulovligt indsamlede DAMD-data bliver slettet

14 kommentarer.  Hop til debatten
Vedtaget ved lov: Ulovligt indsamlede DAMD-data bliver slettet
Illustration: Folketinget TV.
Et enstemmigt folketing har vedtaget et lovforslag, der dikterer, at de ulovligt indsamlede data om borgeres helbred ikke skal deles med Rigsarkivet. De bliver slettet, så snart loven træder i kraft.
13. maj 2015 kl. 10:56
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Folketinget har med total enighed tirsdag vedtaget et lovforslag, der sikrer at de ulovligt indsamlede patientoplysninger i Dansk Almenmedicinsk Database bliver slettet.

Det skriver Ugeskrift for Læger.

Konkret er lovforslaget en ændring af arkivloven, og med ændringen indgår nu følgende tekst:

»Oplysninger i Dansk AlmenMedicinsk Database (DAMD) om enkeltpersoners helbredsmæssige eller øvrige rent private forhold og andre fortrolige oplysninger, der ikke er opnået tilladelse til indsamling af, skal ikke afleveres til Rigsarkivet«.

Artiklen fortsætter efter annoncen

DAMD blev oprindeligt skabt ved indsamling af data om konsultationer hos de praktiserende læger om otte specifikke diagnoser. Men Region Syddanmark udvidede siden indsamlingen til flere hundrede forskellige diagnoser – uden at have lovhjemmel til at gøre det.

Rigsarkivet ønskede at gemme oplysningerne, men loven fastslår nu endeligt, at det ikke bliver tilfældet.

I stedet bliver de omstridte data slettet, og afdelingschef Mads Haugaard fra Region Syddanmark, der er ansvarlig for DAMD, fortæller, at sletningen iværksættes hurtigst muligt efter, at loven er kundgjort i lovtidende.

»Vi vil kigge efter, hvornår ikrafttrædelsesdatoen bliver, og når loven er trådt i kraft, instruerer vi DAK-e i at trykke på knappen,« siger han og tilføjer, at det vil tage mindre end en uge at foretage sletningen.

14 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
14
12. september 2017 kl. 19:18

hvor den stinker. Det lyder som mere end absurd når man læser den artikel. Hvad fanden sker der hos politiet?

12
12. september 2017 kl. 08:53

Ja. Bananmonarkiet Djøffistan.

Desværre er det her bare endnu et symptom på, at der er noget mere fundamentalt galt med vores samfund. Det trænger til en god og grundig revision.

Men hva pokker lidt militær i gaderne, kortere politiuddannelser, bevæbnede teenagere med politi autoritet og 6 måneders uddannelse.... jeg frygter for næste generation.

// Jesper

11
12. september 2017 kl. 08:04

DAMD-sagen er ramt af Mørkelygten:

https://www.facebook.com/BevarTavshedspligten/

http://ekstrabladet.dk/kup/elektronik/teknologi/gemte-millioner-af-patientdata-ulovligt-politiet-har-smidt-sagen-vaek/6818933

Og de samme personer er vi også i fremtiden tvunget til at overlade vort privatliv til?

Danmarks tid som retsstat er truet af BigData-Klondyke-mentaliteten. Hvor guldfeber hersker blandt samfundets spidser, er der ikke plads til lov og orden.

10
27. oktober 2015 kl. 10:48

I dagens Ugeskrift for Læger fremgår, at man nu vil til at genoptage dataindsamling hos egen læge. http://ugeskriftet.dk/nyhed/plo-vil-have-en-ny-model-dataindsamling

Det er lidt uigennemskueligt, men man vil i hvert fald i en overgangsperiode, indtil man har fået lavet et nyt system, fra PLO's side tillade en midlertidig ordning:

*"”Bestyrelsen er enig om, at der bør udvikles en helt ny model for datafangst, som både kan sikre beslutningsstøtte, kvalitetsrapporter og lovpligtig indberetning af indikatorer. I arbejdet med at udvikle en sådan ny model forestiller bestyrelsen sig, at såvel DAK-E som systemhusene vil blive inddraget,” står der i nyhedsbrevet. PLO forventer, at det kan tage op til to år, før der er en ny model klar. Men for at der ikke skal gå så lang tid, hvor loven ikke bliver overholdt, har PLO et forslag til en midlertidig løsning:”For at overholde den lovpligtige og overenskomstpligtige datafangst og indsamling til kliniske kvalitetsdatabaser har bestyrelsen besluttet sig for, at almen praksis midlertidigt kan imødekomme disse krav via en to-strenget model, hvor indberetning enten kan ske med en moderniseret version af Sentinel-programmet eller med bistand fra systemhusene. Dermed vil det være op til den enkelte klinik at beslutte, hvordan dataindberetningen skal foregå.”

......

"”PLO går derfor nu i dialog med Danske Regioner både om en nyudviklet, fremtidig model og om den midlertidig løsning, der snarest vil give mulighed for, at almen praksis lever op til kravene i sundhedsloven og overenskomsten om indberetning,” skriver PLO i sit nyhedsbrev."

Altså vil man overholde Sundhedsloven og overenskomsten - men hvordan med persondataloven, retten til samtykke o.l.?

Er man virkeligt blevet klogere, eller forsøger man blot at finde en ny kattelem for at fortsætte dataindsamling, der overskrider patienternes ret til egne data?

6
15. maj 2015 kl. 13:17

Nogen forsøger at lave nye og "bedre" samtykke regler:http://ugeskriftet.dk/nyhed/laegeforeningen-bakker-op-om-ny-slags-samtykke-til-forskning

Det er der andre, der ikke synes om - de mener, at det kan klares med mere tillid. Men mon ikke DET tog er kørt forlængst? Hvem tror mere på, at der er nogen samvittighed i "systemet", når det vedrører guldbelagte sundhedsdata (og Big Data i det hele taget):http://ugeskriftet.dk/debat/med-tillid-skal-dataangst-bekaempes

8
16. maj 2015 kl. 15:16

Det er der andre, der ikke synes om - de mener, at det kan klares med mere tillid.

Anne-Marie, tak for dine links. Ovenstående kommentar er til et link, som ledte videre til Forskning i sundhedsdata og biologisk materiale i Danmark (2015) fra Det Etiske Råd (følg f.eks. linket lige under billedet for oven til selve udtalelsen - det er 42 tætskrevne sider uden billeder af smilende børn og pensionister, så der er vist ikke tale om spin!)

Udtalelsen er ganske meget "på den ene side og på den anden side", men Det Etiske Råd forstår virkelig at lytte til vandrørene - der er mange guldkorn, som f.eks.:

På den baggrund er det bemærkelsesværdigt, at flere af de eksperter, Det Etiske Råd har været i kontakt med, anser Datatilsynets mulighed for at udføre et tilstrækkeligt tilsyn som stærkt begrænset på grund af ressourcemangel. Sanktionerne for sikkerhedsbrud beskrives desuden som meget svage. Den aktuelle udvikling med hensyn til tilvejebringelsen og behandlingen af data, herunder ikke mindst sundhedsdata, må forventes vedvarende at stille større krav.

Jeg vil anbefale alle, som gerne vil forstå, hvad det er for holdninger og hensyn, som er drivende, både på den ene side og på den anden side, at ofre tiden på at komme igennem de 42 sider.

Man må dog også sige, at når Det Etiske Råd skriver som de gør, så vil man som interessent finde det nemt at finde opbakning for ens egen side. Det er det konkrete link, som Anne-Marie henviste til ovenfor, et udemærket eksempel på. Så vi kommer nok til at se partsindlæg påstå opbakning til deres særstandpunkter i udtalelsen (og jeg vil næppe være en undtagelse). Så tag henvisninger med et gran salt eller to.

Nu har jeg så rost udtalelsen helt generelt, men så må jeg også sige, at der er et sted, hvor jeg mener, at de helt taber sutten:

Der bør ryddes op i eventuelle ulovlige dataregistre og biobanker. DAMD-sagen bragte fokus på ulovlig indsamling af data til de kliniske kvalitetsdatabaser. Det er uheldigt, hvis sådanne sager rejser usikkerhed om, hvorvidt indsamlingen af data og biologisk materiale foregår inden for lovens rammer. I lyset af at Datatilsynet i en årrække har haft begrænset mulighed for at føre et dækkende tilsyn, kan man overveje ud fra en individuel vurdering at indføre en ”frit lejde”-ordning, hvorved ulovlige samlinger kan lovliggøres

Oprydning, ja tak. Det kan kun gå for langsomt.

Datatilsynet underprioriteret og kun i ringe grad i stand til at løse de opgaver, som vi har brug for at de løser? Check!

Men "frit lejde" til ulovligheder, fordi man har svigtet kontrollen? Aldrig!

9
18. maj 2015 kl. 10:55

Bjarne Nielsen:

Tak for din kommentar - er helt og aldeles enig i din betragtning vedr. "frit lejde". I praksis er det vel på længere sigt meget svært at undgå, at det udvikler sig til "lovløse tilstande"? Især sammenholdt med konstateringen om de manglende/svage sanktioner?

Jeg har ikke engang selv orket at kæmpe mig igennem alle 42 sider, på trods af min interesse for emnet - så hvordan skal de borgere, som slet ikke har fattet interesse for sagen endnu, overhovedet opdage, hvad der foregår (mere eller mindre i det skjulte?) på dette område? Vil dog følge din opfordring og forsøge at få has på alle siderne.

Udviklingen på området er uhyggelig, synes jeg - vi skal være meget heldige, hvis vi ikke allerede er solgt som råstoffer for diverse økonomisk rentabel datamining. Ikke mere mennesker i vores egen ret - vi ser i mange politikeres og forskeres øjne ud til ud primært at have værdi som "dataråstoffer".

2
14. maj 2015 kl. 11:39

DAMD blev oprindeligt skabt ved indsamling af data om konsultationer hos de praktiserende læger om otte specifikke diagnoser. Men Region Syddanmark udvidede siden indsamlingen til flere hundrede forskellige diagnoser – uden at have lovhjemmel til at gøre det.

Det vigtige spørgsmål er, om nogen har lært noget her, eller om der fremadrettet også kan oprettes systemer som indsamler data ulovligt.

Noget tyder på at det oprindelige system var udsat for tilstrækkelig gennemsyn, men at den efterfølgende udvidelse ikke fik samme tur.

3
14. maj 2015 kl. 13:12

Det vigtige spørgsmål er, om nogen har lært noget her, eller om der fremadrettet også kan oprettes systemer som indsamler data ulovligt.

Bare rolig, man har forstået, at man skal sørge for at give sig selv lov til det på forhånd.

Jeg citerer lige fra de to pdf dokumenter over "Læs mere" fra denne side: Sundhedsdata skal give bedre forhold for patienter

Det skal endvidere være muligt at bruge data til at udøve en mere effektiv kontrol med de ydelser, som regionerne afregner i praksissektoren.

Oversat: din læge skal fortælle os alt om dig, så vi kan kontrollere hans arbejde.

Det er DAMD om igen.

I regionerne vil vi skabe de bedste forudsætninger for en innovativ brug af sundhedsdata. Vi vil skabe rammerne for, at data kan bruges til mange formål og, at det er nemt at bringe data i spil. Det gælder sundhedsvæsenets data om borgerne, men også de data som borgerne registrerer om sig selv.

Oversat: DAMD er kun en spæd begyndelse.

Vi mener dog, at lovgivningen på enkelte punkter stiller sig i vejen for en mere hensigtsmæssig brug af sundhedsdata, fordi brugen af data er begrænset af det formål, som data er samlet ind til.
...
I regionerne mener vi derfor, at kriteriet for at anvende sundhedsdata ikke skal vurderes ud fra det formål, som de er indsamlet til, men ud fra det formål, som informationerne ønskes anvendt til. Det gør vi, fordi det på forhånd ikke er muligt at forudse, hvordan sundhedsdata kan bruges i fremtiden.

Oversat: alt det, som din læge har fortalt om dig (til kontrolformål), vi vil gemme og prøve at bruge til alt muligt andet (og vi lovede ovenfor at være kreative!)

Vi udvikler vores sundhedsvæsen ved at anvende sundhedsdata i sundhedsforskning, innovation og offentlig-privat samarbejde.
...
I regionerne ønsker vi at skabe gode betingelser for sundhedsforskning og innovation ved at stille sundhedsdata til rådighed for de enkelte projekter. Det gælder også, når vi taler om projekter, som involverer offentlig-privat samarbejde.
...
Ydermere mener vi i regionerne, at det er vigtigt at være en aktiv samarbejdspartner for virksomhederne, fordi offentlig-privat samarbejde om kliniske forsøg og innovation kan bidrage til at skabe vækst og beskæftigelse i vores samfund.

Oversat: vi deler gerne alt det, som vi har indsamlet med private virksomheder.

Registerforskning og de kliniske kvalitetsdatabaser er to områder, hvor vi i Danmark har valgt, at sundhedsdata kan indsamles og anvendes uden at skulle bede om patientens samtykke. Det sikrer, at vi indsamler valide og fuldt dækkende data, fordi alle deltager, og det er det, som giver os et solidt fundament for den kvalitetsudvikling og forskning, der bedrives i Danmark. Dette udgangspunkt er vigtigt for det danske sundhedsvæsen, og det er noget, som kommer både danske og potentielt også udenlandske borgere til gode, da ny viden og nye behandlingsformer kan bruges på tværs af landegrænser. Derudover skaber banebrydende forskning vækst og beskæftigelse i virksomheder.

Oversat: Hvis vi skulle spørge først, så risikerer vi at folk siger nej tak.

<strong>SAMTYKKE</strong>
<strong>Informeret samtykke</strong>
Det skal være klart for patienten, hvad han eller hun giver samtykke til. Det betyder, at sundhedspersonalet skal tilpasse informationen til patienten. Samtykket skal være frivilligt.</p>
<p><strong>Formodet samtykke</strong>
Formodet samtykke betyder, at man går ud fra, at patienten deltager, med mindre han eller hun konkret har frabedt sig det. Formodet samtykke kaldes også for en ”opt-out”-model, fordi patienten aktivt skal melde fra.</p>
<p><strong>Fritagelse for samtykke</strong>
Der er i lovgivningen visse mulighed for, at data kan indsamles uden patientens samtykke. Det gælder fx godkendte kliniske kvalitetsdatabaser, hvor der er fritagelse for samtykke til at indsamle data.</p>
<p><strong>Negativt samtykke</strong>
Patienten har i en række tilfælde mulighed for at modsætte sig, at data videregives.

Oversat: Vi beder altid om lov ... medmindre vi ikke gør; og måske kan du frabede dig det, hvis du opdager hvordan, og måske kan du slet ikke.

<strong>FORSKNING OG SIKKERHED</strong>
<strong>Registerforskning</strong> er forskningsaktiviteter, der er baseret på data fra eksisterende registre. Oftest indgår flere registre i sådanne studier. Modsat forskning, der inddrager levendefødte menneskelige individer eller væv fra disse, skal registerforskning ikke anmeldes til komitésystemet.</p>
<p><strong>Anonymisering</strong> af data betyder, at den enkelte patient ikke kan identificeres
i datasættet.</p>
<p><strong>Pseudonymisering</strong> af data sker, når f.eks. navn og CPR-nummer er erstattet med et løbenummer eller en kode. Metoden gør det muligt at sammenkoble sundhedsdata fra flere registre uden, at borgerens CPRnummer fremgår. Samkøring med andre registre kan være nødvendig, hvis datasættet ønskes suppleret med opfølgningsdata eller nye variable for at belyse nye videnskabelige hypoteser. Det er typisk i registerforskning, at pseudonymisering anvendes, og det foretages af den myndighed, der udleverer datasættet.</p>
<p><strong>Kryptering</strong> af data sikrer, at det kun er modtageren og afsenderen, der kan læse informationen. Det skal sikre, at data f.eks. ikke kan opsnappes under transmission på internettet eller, hvis det hackes fra en computer.

Anonymisering er næsten umuligt at gøre vandtæt, og det bliver markant nemmere at de-anonymisere oplysninger, jo flere man har af dem. Pseudonymisering er endnu værre, for dels får man et lagt større billede at arbejde med, hvis man vil de-anonymisere, og dels så er der en pseudonymiseringsnøgle som man også skal formå at holde hemmelig - ellers er alle data kompromitteret.

Udgangspunktet for den fællesregionale indsats for informationssikkerhed er, at regionerne skal følge ISO 27001 standarden. Denne standard er lagt an på en risikobaseret tilgang til tilrettelæggelse af informationssikkerhed, hvor beskyttelsesniveau er afstemt efter risiko og væsentlighed. Den risikobaserede tilgang tager udgangspunkt i en erkendelse af, at alt ikke kan beskyttes fuldstændigt. Ressourcer og indsatser skal derfor prioriteres bedst muligt i forhold til opgavevaretagelsen.
...
Gennem risikovurderingen får organisationen overblik over sine it-systemer, og hvor vigtige de er for forretningen. På baggrund heraf kan ledelsen træffe beslutning om, i hvilken grad it-systemerne skal beskyttes, og hvor indsatsen skal prioriteres. Det accepterede risikoniveau og den heraf følgende handlingsplan skal godkendes på topledelsesniveau.
...
Hvordan regionerne lever op til politikken, er som udgangspunkt de enkelte regioners valg. Med udgangspunkt i sikkerhedspolitikken, det fællesregionale trusselsbillede, anbefalinger fra Center for Cybersikkerhed samt gennemførte risikovurderinger i de enkelte regioner, vil hver region udarbejde en handlingsplan for implementering af de prioriterede kontroller.

Oversat: Vi bestemmer selv, hvor meget vi synes at det er værd at vi vil bruge på at passe på dine data. Og vi lytter kun til militærets efterretningstjeneste.

OK, det kan godt være at sølvpapirshatten strammer lidt rigeligt ovenfor; med en passende ydmyg og professionel tilgang, så kunne det måske nok bringes til at fungere.

På den anden side, så er "ydmyghed" og "professionalisme" ikke ligefrem de første ord, som springer frem, når man betragter forløbet om DAMD i tilbageblik. Jeg er ikke overbevist.

4
15. maj 2015 kl. 11:32

Flot analyse Bjarne. Set i de sidste par års begivenheders klare lys synes jeg ikke der er noget sølvpapirshat tilstede overhovedet. Tværtimod tror jeg dine oversættelser er præcis det som kommer til at ske (og er sket), medmindre beslutningstagerne begynder at tænke om privatliv på en anden måde.

1
13. maj 2015 kl. 11:06

Får loven den konsekvens, at alle udtræk også skal slettes?

5
15. maj 2015 kl. 12:53

Som jeg har forstået det, så er der vist ikke endnu taget stilling til dette. Region Syddanmark har planer om at sende et brev til diverse forskere om, at deres data muligvis er ulovlige - men indtil nu foreligger der vist ikke noget om, at man derudover vil følge op på dette og sikre, at disse data OGSÅ bliver slettet.

Enhedslisten har stillet spørgsmål til ministeren vedr. dette, men jeg har ikke kunnet finde et svar endnu. Jeg føler mig bestemt ikke sikker på, at disse data bliver slettet, men som borger kan man ikke engang få oplyst, hvem data er udleveret til og med hvilket formål - for det er hemmeligt, når der er tale om forskning.

http://www.ft.dk/samling/20141/lovforslag/L168/index.htm