Statens Serum Institut sender patientdata til USA uden at fortælle borgerne om det

Hvis der blot er tale om et forskningsprojekt, så kan danske forskere selv vælge databehandler - også uden for EU. Det betyder, at danske sundhedsdata lovligt sendes på tværs af Atlanten - også uden dataenes ejermand oplyses om det.

Danske forskere sender person- og sundhedsdata til udlandet, uden at borgerne oplyses om det. Data havner hos såkaldte databehandlere i og uden for EU, der dermed kan få adgang til informationer om alt lige fra blodtype og arvemasse til religion, seksualitet og familieforhold.

Det viser dokumenter fra Statens Serum Institut (SSI), som Version2 har fået indsigt i. SSI har på nuværende tidspunkt 13 såkaldte databehandleraftaler uden for EU og Grønland.

Imidlertid oplyses de danske borgere ikke om overførslerne til udlandet, og netop det hemmelige element mener Catrine Søndergaard Byrne, der er projektleder hos Data Ethics og advokat hos Labora Legal, rummer nogle kritiske aspekter:

»En af de vigtigste elementer i den nye persondataforordning er den gennemsigtighed, der skal være omkring personlige oplysninger. Jeg skal som individ kunne gennemskue og kontrollere, hvor mine oplysninger behandles, hvem der behandler dem, hvem man deler dem med, og hvornår de slettes,« siger hun og tilføjer:

»Man har fra dansk side vurderet, at man vil fravige det her princip om gennemsigtighed i forbindelse med patientdata, hvis de bruges til forskning eller videnskabelige formål.«

Hun understreger dog samtidig, at der er stor forskel på oplysning og forbud. Borgeren kan ikke nødvendigvis forhindre forskere i at bruge vedkommendes persondata, men burde dog stadig kunne få information om, hvor det bliver brugt.

»Hvorfor må man i det mindste ikke få det at vide? Hvorfor skal det være hemmeligt?« spørger hun.

Der er ikke nødvendigvis et problem i at sende data til udlandet, men som Version2 kunne fortælle i går, tirsdag, så fører SSI ikke tilsyn med databehandlerne, selvom Persondataloven kræver det.

»Vil vi gerne lade vores sundhedsdata flyde over grænserne?«

Der rejser sig derfor et spørgsmål om, hvorvidt den nuværende model er fair over for de danske borgere, der altså uvidende stiller deres sundhedsdata til rådighed for udlandet.

Tove Holm-Larsen, der er adjungeret professor i sundhedsøkonomi på Ghent Universitet, Belgien, mener, det er »et af de væsentlige dilemmaer, vi p.t. står i«.

»Det understreger, at vi p.t. ikke som nation har en samlet sundhedsdata-strategi,« skriver Tove Holm-Larsen i en mail til Version2.

Hun er som udgangspunkt dog ikke nervøs for, at danske sundhedsdata bliver misbrugt, da de er svære at forstå, hvis man ikke får hjælp fra en dansk ekspert.

»Men det ændrer jo ikke ved det principielle i spørgsmålet: Vil vi gerne lade vores sundhedsdata flyde over grænserne? Jeg går ud fra, at de fleste danskere ville svare nej,« skriver hun.

SSI ser ikke et problem i, at danskernes data sendes til udlandet for at blive behandlet og analyseret, når formålet er forskning - og det sker på den rigtige måde.

Fakta om Statens Serum Instituts forskningsprojekter SSI har p.t. 290 forskningsprojekter

40 (13 pct.) af dem har databehandleraftaler i udlandet

23 har databehandlere udenfor EU - heraf 10 i Grønland

Det er det enkelte forskningsprojekt, der selv beslutter, hvilken databehandler der bruges Kilde: Statens Serum Institut

»Det handler om at få de bedste hoveder bragt i spil. Langt størstedelen af de aftaler, vi har, vedrører forskningsprojekter. De analyser skal ofte laves af specialister, der kan sidde alle mulige steder i verden,« siger Ole Jensen, vicedirektør i Statens Serum Institut. Han forklarer, at:

»Forskning er i sin natur international. Vi skal have bedst mulig forskning for de ressourcer, vi har til rådighed. Der er også mål om, at vi skal lave international forskning.«

Borgeren får intet at vide

Så længe der er tale om et forskningsprojekt, så pseudonymiseres de danske sundhedsdata og sendes så til databehandlere i f.eks. USA – uden at borgeren får noget at vide om det.

»Personen får det ikke nødvendigvis at vide. Der er ikke et lovmæssigt krav om at oplyse borgeren, så det gør vi ikke. Vi prøver jo at lave bedst mulig forskning indenfor de regler, der er,« siger Ole Jensen.

Vicedirektøren vil ikke forholde sig til, om den nuværende praksis er i orden.

»Det er mere et politisk spørgsmål, så jeg forholder mig mere til reglerne, som de er nu,« siger Ole Jensen.

»De går for vidt«

Der er simpelthen tale om en undtagelse i loven om persondata, når danske institutioner som SSI kan sende uanonymiserede sundhedsdata til udlandet.

»Man har som dataansvarlig pligt om at oplyse, hvis din persondata sendes til en databehandler uden for EU,« siger Catrine Søndergaard Byrne og tilføjer:

»Man har dog i Danmark valgt at undtage en lang række oplysninger fra denne generelle oplysningspligt. Man gør mange krumspring for at fravige den her pligt i forbindelse med forskning og videnskabelige formål.«

Catrine Søndergaard Byrne ser da også problemer i den måde, hvorpå institutioner som SSI kan omgås persondataforordningen ved at blåstemple alt som forskning.

»Juridisk er jeg ikke enig i, at man kan gøre det, som de gør det. Man tager hele områder ud, og det mener jeg ikke, man kan. Man kan godt tage specifikke behandlingssituationer ud, som man ikke skal oplyse om, men de tager simpelthen hele områder ud. Jeg synes, de går for vidt, når de siger, at man som individ ikke har krav på at få de her oplysninger,« siger hun.

Et eksempel fra virkeligheden

SSI oplyser, at instituttet for eksempel på nuværende tidspunkt har et forskningsprojekt, hvor det undersøger sammenhængen mellem niveauet af D-vitamin i blodet hos nyfødte og risikoen for at udvikle Multipel Sclerose.

Projektet kræver adgang til data fra følgende forskellige danske nationale registre: Medicinsk Fødselsregister, Scleroseregisteret, CPR-registeret og den Neonatale Screenings Biobank (PKU-biobanken), der gør det muligt at bestemme D-vitaminniveauet hos nyfødte børn.

Der er meget data, der skal analyseres, og ud over de åbenlyse faktorer kigger projektet også på andre typer data - såsom hvorvidt en af forældrene skulle have Multipel Sclerose, om mor og far var danske eller ej, fødselsvægt og gestationsalderen.

I projektet samarbejder SSI med en professor i epidemiologi og ernæring fra Harvard om fortolkning og anvendelse af analysemetoder. Han er ekspert indenfor Multipel Sclerose og D-vitamin, og SSI har derfor givet ham adgang til pseudonomiserede data for at understøtte arbejdet.

Der er i den forbindelse indgået en databehandleraftale med Harvard University.

Forskellige typer data

Når Version2 normalt taler om sundhedsdata, så er der ofte tale om bits i en database, men SSI behandler en lang række forskellige data - både digitale og biologiske.

Der kunne være tale om fysiske prøver, hvilket kan være alt lige fra blod til afføring, der skal sendes til et laboratorium i udlandet, hvor de kan have mere specialiserede maskiner eller specialister.

»Når vi overfører data, så er retningslinjerne, at det skal ske via en krypteret linje eller med en kurer. Det er vigtigt, at det er sikkert. Hvis man sender noget fysisk, så skal der kvitteres for, at det er modtaget i den anden ende,« siger Ole Jensen.

Selvom Catrine Søndergaard Byrne er skeptisk omkring SSI's forhold til at sende sundhedsdata ud af landet, så mener hun, at man skal se på sagen fra begge sider og få det bedste ud af situationen.

»Vi skal beskytte vores data, men vi skal også erkende, at vi kan blive sikrere og sundere, hvis vi giver forskere adgang til vores sundhedsdata. At bruge vores data til forskning er godt. Vi skal naturligvis beskytte vores data, men det er vigtigt, at vi på baggrund af vores egne data kan udvikle samfundet og folkesundheden. Men hvorfor skal det ske i hemmelighed?« spørger hun.