Ulovligt at samle og dele sundhedsoplysninger uden patienters samtykke

AFLYTTET har siden oktober 2013 forsøgt at gøre opmærksom på, at der er problemer med indhentning af patientdata uden samtykke.
Nu ser det ud til, der er skred i tingene – herunder et gæsteindlæg ved Læge Trine Mikkelsen.


Baggrund: Som en del af den nye sundhedslov, vedtaget juni 2013, og trådt i kraft den 1. september, og seneste udmøntet i en bekendtgørelse, SKAL danske læger under mulig bødestraf diagnose-kode og indberette diagnoser på patienter til regionerne.
Flere læger, heriblandt Trine Jeppesen, har spurgt til muligheden for informeret samtykke fra patienterne, da sundhedsstyrelsen har ønsket at dele data med blandt andet Statens Serum Institut, og sælge dem til medicinalindustrien. Nye oplysninger, heriblandt et høringssvar fra Datatilsynet, gør det imidlertid klart, at det er ulovligt at dele data uden samtykke fra patienterne.
De må altså slet ikke samle oplysningerne ind.

ORDFORKLARING:
DAMD: Dansk Almen Medicinsk Database
DAK-E:De praktiserende lægers og regionernes fælles enhed for kvalitetsudvikling
DATAFANGST: Datafangst er et program, som installeres i den praktiserende læges journalsystem. Når der i klinikkens lægesystem indtastes strukturerede data, opsamler Datafangst løbende kopier af disse og sender dem til Dansk AlmenMedicinsk Database, DAMD. Det drejer sig om ICPC-diagnosekoder, medicinordinationer, ydelseskoder, laboratorieværdier, som indtastes i klinikken eller kommer ind fra eksterne laboratorier, henvisninger samt epikriser.
DSAM: Dansk Selskab for Almen Medicon

Gæsteindlæg: Trine Jeppesen

Høringssvarene til bekendtgørelsen om kodning og datafangst er blevet offentliggjort på høringsportalen.
Der er flere interessante svar, blandt andet svaret fra Datatilsynet, der i virkeligheden blot er et referat af en telefonsamtale, der er foregået mellem ministeriet og Datatilsynet. Der er 2 vigtige punkter som Datatilsynet lige har skullet minde ministeriet om i denne samtale.
Dels det faktum at DAMD kun er registreret anmeldt og godkendt som en DIABETES kvalitetsdatabase. Dels at deklarationer om alder, køn og medlemskab af fagselskaber er uforenelig med persondataloven kapitel 4 paragraf 5.

Det krævede en nærmere undersøgelse.

Det er således at den dataansvarlige for databehandlende DAMD, er Region Syd. Det kræver en forklaring.

Hvad vil det sige at være henholdsvis dataansvarlig og databehandler?

Den dataansvarlige er den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler (på hvilken måde), der må foretages behandling af oplysninger. Det er med andre ord Region Syd der afgør til hvilket formål data i DAMD må behandles.

DAK-E er databehandler. Det centrale ved begrebet databehandler er, at databehandleren blot behandler oplysninger på den dataansvarliges vegne.

Her kommer første problem

Region Syd er som dataansvarlig forpligtet til at registrere og få godkendt, hvilke data og til hvilket formål DAMD skal behandle. De er forpligtet til at anmelde dette til den overordnede myndighed Datatilsynet. Datatilsynet har i den telefonsamtale, der er refereret til i høringssvaret, kontaktet sundhedsministeriet, for at gøre dem opmærksomme på, at region Syd aldrig har fået registreret og godkendt DAMD til andet end en DIABETES database. Det vil med andre ord sige, at det eneste læger lovligt kan indberette til DAMD er diagnoser og indikatorer vedrørende diabetes. Men fordi data nu er meget mere omfattende og samtidig bruges til andre formål, end de der fremgik af den oprindelige anmeldelse til Datatilsynet, så er DAMD ikke anmeldt eller registreret lovligt. Der nævnes intet om hverken kontroldata til regionen eller videredeling af data til sundhed.dk.
Region Syd har heller ikke fulgt op på en udvidelse af kodningsforpligtelsen. Det gælder de 7 andre kodeforpligtigelser vedr. de kroniske lidelser som vi har indleveret i årevis.

DAMD indsamler og behandler altså oplysninger, som den ikke er godkendt til. Det betyder, at de data vi er forpligtet til at indberette til DAMD er ULOVLIGT indsamlet og ULOVLIGT viderebragt.

Det er i øjeblikket som udgangspunkt mindre ulovligt at være sentinelblokeret, end det er at være opkoblet.
TIDLIGERE AFLYTTET:

Andet problem:

Region Syd skal som dataansvarlig sikre, at der foreligger en skriftlig aftale med DAK-E om at behandle data. DAK-E må som databehandler nemlig kun behandle oplysninger efter instruks fra den dataansvarlige. Der er med andre ord ikke DAK-E men Region Syd, der som dataansvarlig bestemmer hvilke formål data i DAMD databasen må benyttes til og hvordan de må behandles.

Hvordan disse forhold stiller DAK-E ‘s reelle styrende kompetence over DAMD er meget ubetryggende, men et er sikkert;

Det er en konsekvens af at et virvar af forskellige myndigheder er blevet gjort ansvarlige for en mangfoldighed af databaser, som andre myndigheder så er sat til at behandle, i et fuldstændigt uigennemsigtig netværk. Oplysningerne flyder rundt og den overordnede myndighed Datatilsynet, har slet ikke viden eller overblik over, hvad der sker derude i datahavstrømmen. Der deles rundt på kryds og tværs og ingen – inklusiv Datatilsynet – har overblik over om persondataloven overholdes, fordi de har uddelegeret ansvaret til andre, der heller ikke har styr på det eller forsømmer at registrere, anmelde og få det godkendt.

Bekendtgørelsen er pga dette juridisk død. Der skal foretages en masse anmeldelser og godkendelser inden DAMD overhoved kan fungere som andet end en diabetes database. DAMD bør selv med øjeblikkelig varsel blokere for al data høst af andet en diabetes ellers optræder DAMD ulovligt.

Hvis ikke vi kommer gevaldigt op at stolene vil DAKe også lide en hurtig død når først den dataansvarlige region vågner op af sin dvale. Det er nemlig dem der bestemmer. Alt. Hvad der skal kodes, hvor det skal sendes hen, til hvilket formål og på hvilken måde.

Med DSAMs ny retsstilling i sundhedsloven, der sikre at de kan indstille til flere kodeforpligtigelser, kræver det blot at de forklarer ministeren hvad de ønsker af data til deres forskning. Da kodning og datafangst fremadrettet udelukkende er reguleret i loven og ikke i overenskomsten, skal ministeren blot sanktionere dette, hvorefter region syd kan underrettets om hvad der skal registreres og anmeldes til Datatilsynet. Bliver det godkendt her, er cirklen fuldendt. DAK-E er totalt omgået og har absolut ingen styrende magt over hvilke data der skal behandles i DAMD og til hvilke formål.
TIDLIGERE I AFLYTTET OM EMMET:

LINKS:
dr.dk: Fortrolige sundhedsdata samles ulovligt i database

Farvel rettighed: Nu vil staten sælge dig til forsøg

Redigeret Gæsteindlæg ved Trine Jeppesen, praktiserende læge

Vi screener og koder som aldrig før. På hospitaler er registreringerne bl.a. drevet af et økonomisk incitament. Der er DRG(DiagnoseRelateredeGruppe) penge i at give folk de dyre diagnoser, mange bidiagnoser og screene for KRAM faktorer(Kost, Rygning, Alkohol, Motion).
fra https://cpr.dk/borgere/beskyttelser-i-cpr/
Skadelig brug af alkohol er et eksempel på en diagnose, som man hurtigt kan blive udstyret med, fordi vi opmuntres til livsstilsscreening. Man skal sådan set bare drikke mere end hvad lægen synes er sundt for en, eller mere end hvad sundhedsstyrelsen anbefaler, før man pludselig kan gøre sig fortjent til dette prædikat. Antal genstande ugentligt er ikke længere et objektivt mål, der er at finde i journalteksten. Et lignende eksempel fra almen praksis er, at sundhedsloven har forpligtet lægerne til, efter hver konsultation, at stille ikke psykotiske psykiatriske diagnoser, så snart der har været fremsat en psykisk klage. Med de diagnosekriterier man bruger idag, er der ikke ret mange patienter, der kan undgå på et eller andet tidspunkt at blive erklæret stressede eller deprimerede.
Sundhedsloven pålagde i første omgang almen praksis at levere alle patientens oplysninger fuldt personhenførbart til administrative, forebyggende og politiske formål. Formuleringen måtte glide ud af sundhedsloven efter skarp kritik i høringssvarene.
Men allerede 2 måneder efter sundhedslovens vedtagelse, forsøgte regeringen sig atter med en enslydende bekendtgørelse. Denne gang undlod man at invitere almen praksis som høringspart, til trods for at det var deres oplysninger man ønskede at få fingrene i. Efter samlede protester fra Lægeforeningen, måtte også denne bekendtgørelse vige.
Man arbejder nu på en formulering der skal sikre at patienternes oplysninger fortsat skal leveres fuldt identificerbart til Statens Serums Institut. Det er den institution der er udpeget af regeringen til at passe på danskernes helbredsoplysninger i et superregister. SSI er samtidig en privat virksomhed, der lever af at sælge personlige helbredsoplysninger til forskningsvirksomheder. Hvordan SSI vil forvalte denne dobbeltrolle, at agere beskytter af privatlivets fred OG tjene penge på at sælge private oplysninger, uden at blande kasketterne sammen, bliver noget af en udfordring.
I almen praksis lever vi i øjeblikket ikke op til reglen om at informere vores patienter om at vi registrerer og deler deres oplysninger med personhenførbare registre, og patienterne gives ingen mulighed for at takke nej til deling før den finder sted. Patienterne ved ofte ikke at deres journaloplysninger nu er tilgængelige på en lang række identificerbare platforme. Det kan være at de pludselig overraskende finder ud af at en registrering eller diagnose giver problemer i kommunallægelige eller forsikringsmæssige sammenhænge.
En diagnose kan idag give anledning til behandlingskrav fra en kommune, som betingelse for at patienten kan opretholde en ydelse, på trods af at der ikke er videnskabelig belæg for denne behandling. Et forsikringsselskab kan fralægge sig dækningsansvar på baggrund af tvivlsomme, forkerte eller fejlfortolkede diagnoser. Forsikringsselskaber arbejder målrettet på at finde den slags “huller” i patienternes bevisførelse for at undrage sig erstatning.
Nu er turen så kommet til ophævelsen af forskerbeskyttelsen. Den 15. januar fremsatte regeringen forslag om at det fremover IKKE skal være en persons rettighed, at man kan frabedes sig at forskningsvirksomheder personligt opsøger patienter, med henblik på rekruttering til forskningsprojekter. Det hedder i lovbegrundelsen at det er regeringens opfattelse at “en del af det der hører med til at være en samfundsengageret borger, at man deltager i forskning. Det er med til at styrke fællesskabet”. Der fremsættes et par argumenter i den sammenhæng. Dels at forskningsindustrien klager over at beskyttelsen går ud over det faktum at man ikke kan lave fuld ud repræsentativ forskning, hvilket er rigtig ærgerligt når nu Danmark ligger inde med verdens mest grundigt gennemregistrerede befolkningsregistre.
Dels er der indenfor de sidste 8 år kun sket en tilvækst på 200.000 borgere, der forbeholder sig retten til forskerbeskyttelse. Til sammenligning var der knap 600.000 der 10 år forinden lod sig forskerbeskytte. Regeringen slutter dermed at, der nok ikke længere er den store interesse i forskerbeskyttelse, eller måske har folk direkte misforstået hvad det indebærer. Formålet er altså at sikre repræsentativ forskning og det forpligtes man til for samfundets og videnskabens skyld. I Helsinki deklarationen hedder det i punkt 5 at; hensynet til forsøgspersonen skal veje tungere end videnskabens og samfundets interesser.
I stykke 10 står der, at vi som læger skal beskytte patientes helbred, privatliv og værdighed. Der er ikke meget privatliv og værdighed tilbage når du som borger fremover, måske mod din vilje, skal finde dig i at blive registreret på en hidtil uset detaljeret facon i forhold til dine livsstilsvaner og helbredsklager, og at disse oplysninger uden at du kan protestere, bliver leveret til Statens Serums Institut, og herefter kan blive solgt fuldt personhenførbart til forskningsvirksomheder, der ser en interesse og mulighed for at tjene penge på at udvikle medicin der macher skavankerne. Konsekvensen er at vi fremover skal vænne os til med mellemrum at modtage direkte henvendelser fra forsknings og medicinal virsomheder, der ligner dem vi så i CCBR affæren sidste år. “Goddag, vi har fået oplyst at du lider af træthed, skadelig brug af alkohol, luft i maven, stress og rejsningsbesvær. Vi er igang med at udvikle en pille mod disse lidelser. Kunne du tænke dig at være med i et forsøg?” Argumentet er at man altid kan takke nej til at deltage i forsøget.
Men det er en postgang for sent, når alle oplysninger allerede er solgt. Der er ikke tale om at privatlivet er respekteret.
I øvrigt understreges det i Helsinkideklarationen ligeledes at patienter der rekrutteres til forsøg skal informeres af en uvildig læge, der skal indhente informeret samtykke. En direkte henvendelse fra selve forskningsinstitutionen, kan vel næppe betegnes som uvildig. Lægelige fremskridt hviler på forskning og en del af disse må nødvendigvis udføres som forsøg på og med mennesker. Men glem ikke at individets ret og hensynet til patienten altid går forud for videnskaben. At patienterne stiller sig selv frivilligt til rådighed for medicinske forsøg er en værdifuld gave som vi skal værne om. Den er et produkt af tillidsforholdet mellem patient og læge. Tavshedspligten er i den forbindelse essentiel. Lægen har lovet ikke at dele med andre hvad der er blevet ham åbenbaret i konsultationen med patienten, med mindre de er blevet enige herom. Patienten bliver bare ikke spurgt længere. Individets rettigheder er elimineret, fordi de trumfes af overordnede borgerpligter. Det forventes at man som god moderne samfundsborger bidrager.
Det informerede samtykke er en illusion, når der først bliver spurgt om tilladelse til deling af personlige helbredsoplysninger, efter salg og delinger har fundet sted.
Vi er igang med at underminere det tillidsbasserede sundhedsvæsen for at tilgodese overordnede interesser som økonomiske incitamenter. Hvornår har vi nået grænsen for hvad vi vil udsætte tavshedspligten, tilliden og patientens rettigheder for?

I England foregår der lignende bevægelser – læs her: http://www.theguardian.com/society/2014/jan/19/nhs-patient-data-available-companies-buy

Tidligere indlæg af Trine Jeppesen: https://aflyttet.dk/klamydiatest-det-er-ikke-anonymt-hos-laegen/
https://aflyttet.dk/vi-har-faet-oplyst-at-du-lider-af-rejsningsbesvaer-kunne-du-taenke-dig-at-vaere-med-i-et-forsog/