Læger: Sundhedsregistre er gået amok
DEBAT: Samtykke og mulighed for at trække sine data tilbage skal genskabe tillid til den danske registerforskning, mener de to praktiserende læger Trine Jeppesen og Thomas Birk Kristiansen.
Lise-Lotte Skjoldan
FagdebatredaktørAf Trine Jeppesen og Thomas Birk Kristiansen
Praktiserende læger
De sidste par år har danske sundhedsregistre været involveret i et stigende antal skandaler. Der er ikke langt mellem historier om ulovligt indsamlede personoplysninger og fejludleveringer af store personfølsomme datasæt. En stor del af årsagen skal findes i, at danskernes personhenførbare helbredsoplysninger indsamles og deles som aldrig før. Helt uden at den enkelte dansker kan gøre indsigelser eller få medindflydelse. Spørgsmålet er, hvor længe tilliden til danske sundhedsregistre kan holde, når indsamlingen og udleveringen er så massiv, helt uden at danskerne har indsigt i, hvad der registreres, samt til hvem og hvilke data der udleveres. Og der er ingen medbestemmelsesret over, om man ønsker at deltage.
Kinesersagen
I 2015 blev to CD'er med data til brug i projektet ”Sygdomsbyrden i Danmark” afsendt fra Statens Serum Institut (SSI) til Danmarks Statistik. CD'erne indeholdt CPR-numre, psykiatriske sygdomme, kroniske lidelser og meget mere på 5.282.616 danskere, alt sammen i ukrypteret form. Brevet blev sendt som anbefalet brev, men blev altså afleveret til en forkert modtager på en forkert adresse. Brevet blev åbnet af det kinesiske firma, som dog efterfølgende lovede, at de to CD'er hverken var blev læst eller kopieret.
Til trods for at næsten alle danskeres personfølsomme sundhedsdata blev udleveret, var denne lovning tilstrækkelig til, at Datatilsynet har vurderet hændelsen som værende ubetydelig. Datatilsynet havde ellers i 2013, ved en inspektion, anbefalet, at SSI stoppede med at sende ukrypterede personfølsomme opløsninger med posten.
Har du indspark til Altingets sundhedsdebat, så send dit indlæg til [email protected]
Når myndighederne ikke kritiserer sig selv i så alvorlige sager som denne, kan det utilsigtet vise sig at få alvorlige konsekvenser for dansk registerforskning. Det kan det, fordi den manglende kritik betyder, at der ikke strammes op om sikkerhed og lovgivning, hvilket har betydet, at sager som denne hober sig op. I forvejen skiller Danmark sig markant ud fra lande, vi sammenligner os med, hvad angår datasikkerhed og manglende medbestemmelse over private sundhedsoplysninger.
Ulovlige registre
I perioden 2007-14 indsamledes danskernes sundhedsoplysninger automatisk i DAMD-databasen, når man gik til lægen. Redegørelsen om DAMD viser, at myndighederne fra starten vidste, at DAMD var i strid med loven. Alligevel vendte de det blinde øje til og lod indsamlingen fortsætte. Oplysningerne blev delt med over 100.000 ansatte i sundhedsvæsenet. Da DAMD's ulovlighed afsløredes, forsøgte myndighederne ved hjælp af kreative juridiske krumspring at bevare en kopi af databasen i Rigsarkivet. Over 30.000 personlige anmodninger om at blive individuelt slettet fra DAMD nåede dog at lande hos den ansvarlige myndighed, før Folketinget vedtog en lov, der stadfæstede, at ulovligt indsamlede oplysninger naturligvis skal slettes.
I andre lande har man set at politikerne i højere grad har taget ansvaret for, at digitalisering af patientjournalen sker uden et samtidigt brud på borgerrettigheder og samtidig har søgt at finde tillidsfremmende måder at udnytte digitaliseringens potentiale.
Trine Jeppesen og Thomas Birk Kristiansen
Praktiserende læger
I 2015 måtte SSI erkende, at et register om omskæring af drengebørn var oprettet uden nødvendige tilladelser. Også her var myndighederne fra start bekendt med problemer med godkendelsen. I 19 måneder nåede man alligevel ulovligt at registrere omskæringer, inden sundhedsministeren måtte gribe ind og iværksætte sletning. Den administrerende direktør for SSI måtte erkende: ”Vi burde have bremset registret længe før. Det skulle jo slet ikke være startet."
IT og tiden har ændret brugen af registre
Når først et register er oprettet, gælder det, at alle personer må lade sig registrere med CPR-nummer. Man kan ikke modsætte sig. Oplysningerne i registret kan herefter udleveres til alle mulige forskellige formål og personer, uden at patienten skal inddrages, på grund af en særregel i persondataloven. Der er tale om en såkaldt undtagelsesregel, der tilsidesætter den normale medbestemmelsesret. Den må anvendes, når noget skønnes at have ”væsentlig samfundsmæssig betydning”. Ud over at alle registre er tvungne og uden medbestemmelsesret, er der tillige meget lidt gennemsigtighed med, hvem der får oplysninger fra registrene, og hvad oplysningerne bruges til. Det er underligt, at der ikke er større interesse for disse registre, da de ved simple samkøringer kan tegne totale profiler over alle danskere.
I Danmark har vi siden Cancerregisterets oprettelse i 1943 haft tradition for overvågning af særligt farlige og smitsomme sygdomme i nationale sundhedsregistre. Hensynet til den mulige gavn, man kan få ud af at overvåge ellers private og følsomme personoplysninger, blev fra starten opvejet mod respekten for privatlivet. Det var velovervejet og sagligt. I takt med at patientjournalen er blevet digitaliseret, er graden af registrering og overvågning eksploderet. For 10 år siden var papirjournaler opbevaret i kartoteker. Indberetning til de særlige registre skete på særskilte blanketter. I dag er journalen digital, og der er oprettet så mange registre, at de stort set dækker enhver kontakt og handling i sundhedsvæsnet.
Ingen medbestemmelse
Med digitaliseringen har nærmest de mest bagatelagtige sundhedsinformationer fået karakter af at være så væsentlige, at myndighederne mener, at de skal indsamles systematisk uden indsigelsesmulighed. Landspatientregisteret, et superregister, kommer om få år til at indeholde enhver diagnose, proces og behandling, der finder sted på offentlige sygehuse Dertil kommer de omkring 80 kliniske kvalitetsdatabaser.
I takt med dokumentationskulturen har der sneget sig en ny praksis ind, hvor længerne som følge af ”kvalitetskrav” pålægges at udspørge patienterne om en lang række oplysninger (fx hvor meget drikker du), som ikke nødvendigvis var blevet oplyst, hvis patienten selv havde kunnet bestemme konsultationens indhold. På den måde deltager alle danskere, uden at vide det, indirekte i forskningsprojekter, der ligner det, vi kender fra spørgeskemaundersøgelser.
Væsentlighed
Der udleveres årligt omkring 400 CPR-koblede datasæt fra SSI, som er vurderet til at være af væsentlig samfundsmæssig betydning. Flere af dem på størrelse med ”Sundhedsbyrde”-projektet. Myndighederne, der godkender udtrækkene, kan ikke redegøre for, hvad der skal til, for at et projekt er af væsentlig samfundsmæssig betydning.
Nogle af de udtræk, man betegner som forskning og videnskab, handler i høj grad om private virksomheders kommercielle interesser. Registerdata er nemlig perfekte til at finde og opspore patienter, der er potentielle kunder til en bestemt medicin. De er også brugbare til at håndplukke statistiske sammenhænge, der kan bruges til at markedsføre medicin.
Sagerne hober sig op
I 2012 og 2013 udleverede SSI 22 dataudtræk med danskernes helbredsoplysninger til medicinalvirksomheder såsom AstraZeneca og Pfizer, hvoraf 15 var personfølsomme.
Det private ”forskningsfirma” CCBR fungerer som stråmand for medicinalindustrien. De fik i 2013 udleveret navn og adresse på 84.000 danskere med diagnosen hjertesygdom, uden at den enkelte havde givet samtykke til, at en privat virksomhed måtte læse med i deres diagnose. CCBR sendte herefter breve ud til patienterne med invitation til at afprøve en bestemt kolesterol-medicin, produceret af det firma, CCBR arbejdede for.
Hjerteforeningen, en privat forening, der finansieres af medlemmer og medicinalindustri, fik et lignende udtræk fra Landspatientregisteret. De brugte det til at udsende et spørgeskema om hjertesygdom. Samtidig blev deltagerne spurgt, om de havde kendskab til Hjerteforeningen. I medierne beskrev flere patienter efterfølgende disse breve som grænseoverskridende, dels fordi noget privat var udleveret uden deres vidende, og dels fordi de med rette følte sig ufrivilligt indblandet i hvervning af medlemmer.
Fejlregistrering
Fejlregistrering er udbredt i danske registre. Knap 15 procent af patienterne i det danske diabetesregister har slet ikke diabetes. Det er ellers en af de letteste diagnoser at håndtere. Fejlregistreringernes alvorlighed stiger i takt med diagnosernes alvorlighed og antallet af personer og virksomheder, der får udleveret disse oplysninger.
Kræftens Bekæmpelse, en privat forening, fik udleveret oplysninger fra cancerregisteret om 822 unge med kræftdiagnoser. Alle fik tilsendt et spørgeskema om, hvordan det er at være ung med kræft. 247 modtagere af brevet havde ikke en kræftdiagnose, og ingen havde givet tilladelse til, at foreningen og dennes medarbejdere kunne få udleveret disse oplysninger.
Når antallet af fejlregistrering i de danske sundhedsregistre, der ellers bryster sig af at være verdensklasse, er så højt, er det ekstra problematisk, at danskerne ikke har let adgang til, hvad der er registreret, og med mulighed for at få rettet fejl.
Danskernes helbredsdata til salg
I 2015 blev 2.500 danske diabetikeres personlige sundhedsdata sat til salg af det amerikanske firma Exactdata. Exactdata er en af talrige virksomheder, der benytter sig af ”repacked” data. Repacked data er data, som man ikke ved, hvor kommer fra. Ved at blande lovlige og stjålne data og dele dem op, er det umuligt at afgøre, hvor data oprinder fra. Forbrugerrådet frygtede, at oplysningerne var lækket fra danske registre.
Når man indsamler personfølsomme helbredsoplysninger uden at spørge om lov, skal der afvejes mellem den gavn, samfundet kan forvente at få, mod svækkelsen af individets ret til privatliv – den såkaldte proportionalitet. Det anses for en menneskeret at have retten til et privatliv, som offentlige myndigheder ikke kan gøre krav på.
Dansk lovgivning lægger op til både proportionalitet, gennemsigtighed og medbestemmelsesret. Men i praksis styres registerdata af en håndfuld undtagelsesregler. I praksis er patienternes journal blevet offentligt eje.
Kritik ikke ud af det blå
Kritikken af registerforskningen er ikke kommet ud af det blå. Den har rejst sig, fordi sikkerheden er stærkt kritisabel, og fordi myndigheder og lovgivningen entydigt har favoriseret politisk administrative formål, erhvervslivets interesser og tilsidesat borgeren.
Forskning, der med rette kan betegnes som værende af væsentlig samfundsmæssig betydning, udgør formentlig kun en brøkdel af de træk, der samlet er på de danske registre. Det er et problem, når størstedelen af registerprojekterne kunne udføres på anonymiserede data. Behøver den politiske overvågning og administration at kende den enkelte danskers præcise personlige sundhedsprofil for at kunne planlægge fremtidens sundhedsindsats? Hvorfor betegnes markedsføring som forskning?
I andre lande har man set, at politikerne i højere grad har taget ansvaret for, at digitalisering af patientjournalen sker uden et samtidigt brud på borgerrettigheder og samtidig har søgt at finde tillidsfremmende måder at udnytte digitaliseringens potentiale.
Samtykkemodel
I Storbritannien nedsatte man sidste år en kommission, der har kikket på datasikkerhed, borgertillid og respekt for menneskerettigheder, når det gælder sundhedsdata. Kommissionens anbefalinger lå klar i starten af juli. Udover væsentlige sikkerhedsforbedringer, såsom anbefalinger om at undlade at sende befolkningens sundhedsprofiler ukrypteret med posten, så anbefaler man i Storbritannien, at borgerne skal have ret til samtykke inden datadeling, og at borgerne skal gives retten til at trække personfølsomme data ud af registre. Desuden anbefales fuld gennemsigtighed med brugen af data, og at data ikke skal anvendes personhenførbart, hvis det ikke er nødvendigt.
Politikere og forskere yder stor modstand mod at miste den direkte adgang til de kæmpe datasiloer. De slår knuder på sig selv ved tanken om, at patienterne skal have deres retmæssige samtykkeret tilbage. I videnskabens hellige navn skriver professorvældet breve til ministeren og truer med, at samtykket og patientinddragelsen kan have alvorlige konsekvenser for forskningen. Der fremsættes alfaderlige argumenter om, at registertvang er til vores eget bedste, og der trues med, at registerkvaliteten svækkes, hvis ikke alle tvinges til at være med. Det omvendte argument er, at registertvang ødelægger kvaliteten, hvis patienter og læger mister tilliden.
Danske sundhedsregistre
Der skal ikke herske tvivl om, at de danske sundhedsregistre har bragt dansk sundhedsforskning frem i forreste række. Der foregår imidlertid verdensklasse registerforskning i andre lande end Danmark, hvor der både er samtykkeret og mulighed for at trække sine data ud af registrene. Kinesersager, massiv administrativ personhenførbar kvalitetsovervågning og kommerciel udnyttelse er på vej til at ødelægge danske registres verdensklasse-position. Ånden i dansk persondataret trænger til at blive genoplivet, hvis tilliden til dansk registerforskning skal bevares.