Sundhedsplatformen sender ikke-anonymiseret sundhedsdata til USA

Vi har brug for en forventningsafstemning om, hvordan man håndterer sundhedsdata, mener formand for Patientdataforeningen.

I over tusind tilfælde har Sundhedsplatformen overført danske sundhedsdata til leverandøren Epic, som blandt andet behandler data i USA. I flere tilfælde har data ikke været anonymiseret.

Det oplyser Region Hovedstaden i en aktindsigt søgt af en Version2-læser og i en mailkorrespondance med Version2.

Sundhedsdata overføres til Epic, når Sundhedsplatformen anvender fejlretningssystemet Sherlock, som leverandøren har stillet til rådighed. Andre gange får Epic-medarbejdere direkte adgang til produktionsmiljøet fx på linje med en læges adgang.

Version2 har spurgt programchef for sundhedsplatformen Mikael Bay Skilbreid, hvorfor data skal videregives til leverandøren i USA.

»Det er for eksempel nødvendigt for at kunne rette de fejl, der opstår i systemet,« forklarer han i en mail til Version2.

»Der er tilfælde, hvor det er nødvendigt at have adgang til produktionsmiljøet, herunder sundhedsdata, for at genskabe og rette fejlene.«

Sundhedsdata anonymiseres ‘i vid udstrækning, inden de videregives', fortsætter programchefen i sit svar. Alle medarbejdere har desuden fået instrukser i, hvordan data kan anonymiseres, inden de gives videre til Epic.

»Nogle gange er det alligevel nødvendigt at udlevere data, som ikke er anonymiseret, hvis fx data er nødvendige for at kunne rette en fejl. Det er i øvrigt i fuld overensstemmelse med loven.«

Det er op til den enkelte medarbejder at vurdere, præcis hvor meget data der er nødvendigt for at lave en rettelse, og hvorvidt det er nødvendigt med ikke-anonymiseret data.

Rent juridisk Region H og Region Sjælland – der har delt dataansvar i denne sag – har lavet en databehandleraftale med Epic. Derudover har Epic og regionerne skrevet under på EU-Kommissionens Standardkontrakt for ‘overførsel af personoplysninger i et tredjeland med et ikke-tilstrækkeligt beskyttelsesniveau’ – en standard lov-hjemmel for at sende persondata til fx USA. Databehandlingen er anmeldt til Datatilsynet. Tilsynet oplyser, at anmeldelsen ikke er færdigbehandlet på grund af mange opgaver, men at man ikke ser det som problematisk, at databehandlingen allerede er gået i gang – dels fordi regionerne allerede har anmeldt behandling af sundhedsdata tidligere, og dels fordi tilsynet allerede har fået tilfredsstillende svar på en række opfølgende spørgsmål. Region H oplyser, at regionerne fører tilsyn med Epics overholdelse af den indgåede databehandler-aftale i henhold til gældende lovgivning. Derudover indeholder kontrakten en bestemmelse om, at Epic én gang om året skal udlevere en revisionsrapport om data- og system- og informationssikkerhed.

Alting logges

I forbindelse med besvarelsen af en aktindsigt oplyser regionen, at leverandøren Epic er en amerikanskbaseret virksomhed, »hvorfor der i visse tilfælde er behov for at konsultere eksperter, der er baseret i USA«.

En del af fejlretningen foregår også i Europa i Epics afdelinger i henholdsvis Storbritannien, Holland og Finland, skriver Mikael Bay Skilbreid.

Fra Sundhedsplatformen gik i produktion på Herlev og Gentofte Hospital i maj 2016 til marts 2017, har Epic i 1.093 tilfælde fået adgang til patientdata.

Behovet for adgange ændres løbende, oplyser regionen.

»Det sker for eksempel i forbindelse med go-live, hvor beredskabet øges i alle dele af programmet. Det sker også i perioder, hvor der gennemføres intensiv udvikling. De enkelte adgange revideres løbende og fjernes, når der ikke er et aktuelt behov.«

I slutningen af marts 2017 – ca. én uge efter go-live på Hvidovre Hospital – var antallet 122.

»Epic-udviklerne tildeles de adgange, som er relevant for at udføre deres opgaver,« forklarer Mikael Bay Skilbreid

»De kan fx få samme adgang, som en læge har, hvis udvikleren fx skal rette i en læges workflow.«

Programchefen understreger, at alle aktiviteter i Sundhedsplatformen logges, og at loggen systematisk bliver udsat for stikprøvekontroller.

Mangler gennemsigtighed

Til trods for de tekniske og juridiske mekanismer, der skal beskytte sundhedsdata mod misbrug, mener formand for Patientdataforeningen Thomas Birk Kristiansen, at der er grund til at være kritisk over for modellen.

»Jeg synes generelt ikke, man skal sende danske sundhedsdata til udlandet. Jeg tror danske patienter forventer, at deres data bliver behandlet i Danmark af det relevante sundhedspersonale – og eventuelt af teknisk personale lokalt,« siger han.

Version2 kunne for nyligt fortælle, at Statens Serum Institut sender pseudonymiseret sundhedsdata til USA i forbindelse med foreningsprojekter – uden at informere borgere om det. Den sag fik jurist Catrine Søndergaard Byrne, der er projektleder hos Data Ethics og advokat hos Labora Legal, til at efterlyse mere gennemsigtighed.

Og det er der også brug for her, mener Thomas Birk Kristiansen.

Læs også: Statens Serum Institut sender patientdata til USA uden at fortælle borgerne om det

»Jeg tror ikke, at man som patient har nogen ide om, at ens sundhedsdata bliver sendt verden rundt,« siger han og tilføjer, at man bør gentænke ideen om, hvad man kan og ikke kan med sundhedsdata.

»Hvis vi skal blive ved med at overlade vores data til det offentlige, så har vi som minimum brug for en forventningsafstemning i vores samfund, så vi er enige om, hvor grænsen går.«