Råd: Sundhedsdata er mere end økonomiske gevinster

Af Ole Kjeldsen
Bestyrelsesmedlem, Rådet for Digital Sikkerhed

Der er i Danmark bred enighed om, at vore sundhedsdata er af en klasse og et omfang, som repræsenterer et betydeligt potentiale for økonomisk samfundsmæssig gevinst – og i Rådet for Digital Sikkerhed (herefter blot ’Rådet’) anerkender vi det og forstår fuldt ud samfundets ønske om - og behov - for at udnytte dette potentiale.

Ignorerer databeskyttelse
I Rådet vil vi dog samtidig gerne udfordre denne jagt på at realisere de økonomiske gevinster. Det er væsentligt, at der etableres principper, som kan sikre, at det sker på forsvarlig vis. I dag må vi konstatere, at jagten i større eller mindre grad alt for ofte tilsidesætter eller blot ignorerer vores databeskyttelseslovgivning og hensigten bag lovens paragraffer.

Et grelt eksempel er skandalen omkring Dansk AlmenMedicinsk Database (DAMD), hvor både omfang af dataindsamling, samtykkeforhold og omfang af dataadgang tilsidesatte ellers tydelige og specifikke paragraffer i både persondataloven og sundhedsloven.

Rådet udtrykker i øvrigt i den forbindelse stor tilfredshed med, at Databeskyttelsesdagens pris i 2016 blev tildelt Praktiserende Lægers Organisation for deres afsløring af skandalen og arbejde for ex-post at sikre lovens overholdelse og dermed patienternes lovbeskyttede rettigheder.

Ensidigt fokus på økonomi
I 2013 udgav den daværende regering en vækstplan for sundheds- og velfærdsløsninger. Denne plan fokuserer ensidet på, hvilke muligheder der er for økonomisk gevinst for samfundet. Både i den direkte anvendelse af data i forskning, optimering og videreudvikling af danske velfærdsydelser, men særligt også i de kommercielle muligheder som adgang til offentlige danske sundheddata giver.

Det er en forudsætning for den høje grad af tillid, vi har til offentlige tjenester i vores samfund, at vore data behandles med fortrolighed, og at det er enhvers ret at kontrollere adgangen til og indsigt i egne sundhedsdata.

Ole Kjeldsen
Bestyrelsesmedlem, Rådet for Digital Sikkerhed

Intet sted i planen bare nævnes, at dataanvendelsen og samfundets interesse i data skal balanceres med borgernes rettigheder og eventuelle ejerskab til data – og det mener Rådet er stærkt bekymrende.

Det er en forudsætning for den høje grad af tillid, vi har til offentlige tjenester i vores samfund, at vore data behandles med fortrolighed, og at det er enhvers ret at kontrollere adgangen til og få indsigt i egne sundhedsdata. Det vil sige, at man også skal kunne sige nej til, at egne data indgår i andre sammenhænge, end de oprindeligt er tiltænkt.

Samfundets opgave at skabe tillid
Rådet mener, at det bør være samfundets opgave at informere om det samfundsgavnlige som deling af data kan medføre og igennem professionel databehandling og gennemsigtighed etablere den nødvendige tillid og forståelse hos borgeren, så incitamentet til deling af data ikke er et krav fra det offentlige, men derimod hviler på et positivt frivillighedsprincip – helt parallelt med for eksempel det danske korps af bloddonorer.

Forskning baseret på adgang til sundhedsdata bør som minimum baseres på et forsigtighedsprincip, hvor adgangen kun gives efter:

• Der garanteres fortrolighed
• Hvor det er muligt elimineres personhenførbarhed eller besværliggøre personhenførbarhed gennem anonymisering, pseudonymisering, aggregering af data eller lignende
• Sun-setting – dataadgang gives i et nærmere bestemt tidsrum og data slettes efterfølgende, så kun summeringer eksisterer hos tredje part
• Der garanteres tilbagekaldelsesret for den enkelte dataejer (borger) og for dataansvarlige (myndighed)
• Der garanteres databehandling efter dansk persondatalovgivning og EU-Persondataforordning
• Der etableres gennemsigtighed i forespørgsel om adgang, etablering af adgang og afbrydelse af adgang
• Der etableres kontrolmekanismer i forhold til opfølgning på principperne

Rådets anbefalinger til myndighederne 
Det er således Rådets anbefaling, at man fra myndighedernes side arbejder med at præcisere:

• Ejerskabet af sundhedsdata
• Den enkelte borgers rettigheder til egne data og dataanvendelsen
• Reglerne for forskningsadgang og
• Tilsynspligten i forhold til disse adgange både nationalt, internationalt og for offentlige såvel som private/kommercielle partnere.

Ligeledes skal der gøres en indsats for at afmystificere potentialet i dataanvendelsen og med positive eksempler og fuld gennemsigtighed om hensigter, proces og effekt motivere borgere til at ønske, at deres data indgår.

Rådet støtter endvidere EU's kommende generelle databeskyttelsesforordning om konsekvensvurdering for privatlivet (privacy impact assessment) og databeskyttelse by design og opfordrer til, at offentlige myndigheder og private virksomheder, når de håndterer følsomme sundhedsdata, bringer disse øgede sikkerhedsforanstaltninger i anvendelse.

Kun igennem disse tiltag vil det være muligt at realisere de gevinster, der ligger for samfundet økonomisk og for den generelle sundhedstilstand i Danmark.