Ulovligt at samle og dele sundhedsoplysninger uden patienters samtykke

AFLYTTET har siden oktober 2013 forsøgt at gøre opmærksom på, at der er problemer med indhentning af patientdata uden samtykke.
Nu ser det ud til, der er skred i tingene – herunder et gæsteindlæg ved Læge Trine Mikkelsen.


Baggrund: Som en del af den nye sundhedslov, vedtaget juni 2013, og trådt i kraft den 1. september, og seneste udmøntet i en bekendtgørelse, SKAL danske læger under mulig bødestraf diagnose-kode og indberette diagnoser på patienter til regionerne.
Flere læger, heriblandt Trine Jeppesen, har spurgt til muligheden for informeret samtykke fra patienterne, da sundhedsstyrelsen har ønsket at dele data med blandt andet Statens Serum Institut, og sælge dem til medicinalindustrien. Nye oplysninger, heriblandt et høringssvar fra Datatilsynet, gør det imidlertid klart, at det er ulovligt at dele data uden samtykke fra patienterne.
De må altså slet ikke samle oplysningerne ind.

ORDFORKLARING:
DAMD: Dansk Almen Medicinsk Database
DAK-E:De praktiserende lægers og regionernes fælles enhed for kvalitetsudvikling
DATAFANGST: Datafangst er et program, som installeres i den praktiserende læges journalsystem. Når der i klinikkens lægesystem indtastes strukturerede data, opsamler Datafangst løbende kopier af disse og sender dem til Dansk AlmenMedicinsk Database, DAMD. Det drejer sig om ICPC-diagnosekoder, medicinordinationer, ydelseskoder, laboratorieværdier, som indtastes i klinikken eller kommer ind fra eksterne laboratorier, henvisninger samt epikriser.
DSAM: Dansk Selskab for Almen Medicon

Gæsteindlæg: Trine Jeppesen

Høringssvarene til bekendtgørelsen om kodning og datafangst er blevet offentliggjort på høringsportalen.
Der er flere interessante svar, blandt andet svaret fra Datatilsynet, der i virkeligheden blot er et referat af en telefonsamtale, der er foregået mellem ministeriet og Datatilsynet. Der er 2 vigtige punkter som Datatilsynet lige har skullet minde ministeriet om i denne samtale.
Dels det faktum at DAMD kun er registreret anmeldt og godkendt som en DIABETES kvalitetsdatabase. Dels at deklarationer om alder, køn og medlemskab af fagselskaber er uforenelig med persondataloven kapitel 4 paragraf 5.

Det krævede en nærmere undersøgelse.

Det er således at den dataansvarlige for databehandlende DAMD, er Region Syd. Det kræver en forklaring.

Hvad vil det sige at være henholdsvis dataansvarlig og databehandler?

Den dataansvarlige er den, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler (på hvilken måde), der må foretages behandling af oplysninger. Det er med andre ord Region Syd der afgør til hvilket formål data i DAMD må behandles.

DAK-E er databehandler. Det centrale ved begrebet databehandler er, at databehandleren blot behandler oplysninger på den dataansvarliges vegne.

Her kommer første problem

Region Syd er som dataansvarlig forpligtet til at registrere og få godkendt, hvilke data og til hvilket formål DAMD skal behandle. De er forpligtet til at anmelde dette til den overordnede myndighed Datatilsynet. Datatilsynet har i den telefonsamtale, der er refereret til i høringssvaret, kontaktet sundhedsministeriet, for at gøre dem opmærksomme på, at region Syd aldrig har fået registreret og godkendt DAMD til andet end en DIABETES database. Det vil med andre ord sige, at det eneste læger lovligt kan indberette til DAMD er diagnoser og indikatorer vedrørende diabetes. Men fordi data nu er meget mere omfattende og samtidig bruges til andre formål, end de der fremgik af den oprindelige anmeldelse til Datatilsynet, så er DAMD ikke anmeldt eller registreret lovligt. Der nævnes intet om hverken kontroldata til regionen eller videredeling af data til sundhed.dk.
Region Syd har heller ikke fulgt op på en udvidelse af kodningsforpligtelsen. Det gælder de 7 andre kodeforpligtigelser vedr. de kroniske lidelser som vi har indleveret i årevis.

DAMD indsamler og behandler altså oplysninger, som den ikke er godkendt til. Det betyder, at de data vi er forpligtet til at indberette til DAMD er ULOVLIGT indsamlet og ULOVLIGT viderebragt.

Det er i øjeblikket som udgangspunkt mindre ulovligt at være sentinelblokeret, end det er at være opkoblet.
TIDLIGERE AFLYTTET:

Andet problem:

Region Syd skal som dataansvarlig sikre, at der foreligger en skriftlig aftale med DAK-E om at behandle data. DAK-E må som databehandler nemlig kun behandle oplysninger efter instruks fra den dataansvarlige. Der er med andre ord ikke DAK-E men Region Syd, der som dataansvarlig bestemmer hvilke formål data i DAMD databasen må benyttes til og hvordan de må behandles.

Hvordan disse forhold stiller DAK-E ‘s reelle styrende kompetence over DAMD er meget ubetryggende, men et er sikkert;

Det er en konsekvens af at et virvar af forskellige myndigheder er blevet gjort ansvarlige for en mangfoldighed af databaser, som andre myndigheder så er sat til at behandle, i et fuldstændigt uigennemsigtig netværk. Oplysningerne flyder rundt og den overordnede myndighed Datatilsynet, har slet ikke viden eller overblik over, hvad der sker derude i datahavstrømmen. Der deles rundt på kryds og tværs og ingen – inklusiv Datatilsynet – har overblik over om persondataloven overholdes, fordi de har uddelegeret ansvaret til andre, der heller ikke har styr på det eller forsømmer at registrere, anmelde og få det godkendt.

Bekendtgørelsen er pga dette juridisk død. Der skal foretages en masse anmeldelser og godkendelser inden DAMD overhoved kan fungere som andet end en diabetes database. DAMD bør selv med øjeblikkelig varsel blokere for al data høst af andet en diabetes ellers optræder DAMD ulovligt.

Hvis ikke vi kommer gevaldigt op at stolene vil DAKe også lide en hurtig død når først den dataansvarlige region vågner op af sin dvale. Det er nemlig dem der bestemmer. Alt. Hvad der skal kodes, hvor det skal sendes hen, til hvilket formål og på hvilken måde.

Med DSAMs ny retsstilling i sundhedsloven, der sikre at de kan indstille til flere kodeforpligtigelser, kræver det blot at de forklarer ministeren hvad de ønsker af data til deres forskning. Da kodning og datafangst fremadrettet udelukkende er reguleret i loven og ikke i overenskomsten, skal ministeren blot sanktionere dette, hvorefter region syd kan underrettets om hvad der skal registreres og anmeldes til Datatilsynet. Bliver det godkendt her, er cirklen fuldendt. DAK-E er totalt omgået og har absolut ingen styrende magt over hvilke data der skal behandles i DAMD og til hvilke formål.
TIDLIGERE I AFLYTTET OM EMMET:

LINKS:
dr.dk: Fortrolige sundhedsdata samles ulovligt i database