Region Syddanmark lægger sig fladt ned: Har ikke ført tilsyn med sundhedsdata

Rambøll indsamler massevis af sundhedsdata fra danske patienter, men Region Syddanmark har ingen kontrol over, om data misbruges eller på anden vis håndteres ulovligt.

Region Syddanmark har ikke styr på, om dens patientoplysninger faktisk bliver behandlet med den krævede it- og datasikkerhed.

Regionen har et samarbejde med Rambølls spørgeskema-service SurveyXact, hvor patienter inden hospitalsbesøg kan udfylde en række sundhedsoplysninger.

Problemet er, at regionen ikke har ført tilsyn med, at Rambøll faktisk har styr på patienternes data.

»Det har ikke været muligt at finde dokumentation for, at vi har ført tilsyn med leverandørens overholdelse af databehandleraftalen, så det har vi formodentlig ikke,« siger Nicolai Arvedsen, funktionschef i Region Syddanmark.

»Man kan dermed sige, at vi næppe i tilstrækkelig grad har levet op til Datatilsynets forventninger. Det har ikke tidligere haft tilstrækkeligt fokus.«

Databehandleraftale skulle spare tid

Aftalen er ellers sat op for at kunne effektivisere arbejdsgangen på hospitalet, så patienterne ikke bruger unødvendigt meget personaletid på at svare på spørgsmål.

Netop det formål kræver dog, at databehandleren ikke laver noget forkert, og det skal den dataansvarlige altså føre tilsyn med.

»Vi kan ikke dokumentere, at vi har lavet tilstrækkeligt kontrol. Der lægger vi os fladt ned,« erkender Nicolai Arvedsen.

Læs også: Samtlige regioner får røffel af Datatilsynet for at svigte persondataregler

Skulle regionens patienter føle sig utrygge, er det muligt at droppe spørgeskemaet på SurveyXact og i stedet tage det på papir - eller mundtligt med personalet.

»Vi undlader ikke at behandle en patient, fordi de ikke udfylder et digitalt spørgeskema. Det kan vi jo ikke,« siger Nicolai Arvedsen.

Manglende tilsyn hos myndighederne

Version2 havde i sidste uge fokus på, hvordan Statens Serum Institut på samme måde heller ikke førte tilsyn med deres databehandlere.

I den forbindelse fortalte Katrine Valbjørn Trebbien, specialkonsulent hos Datatilsynet, at:

»Det er et krav i persondataloven. Man skal uanset hvad påse, at databehandleren overholder reglerne. Hvis de ikke gør det, så er det selvfølgelig et problem.«

Formand i Patientdataforeningen Thomas Birk Kristiansen understregede samtidigt, at det manglende tilsyn ikke nødvendigvis betyder, at der er faktisk er sket noget forkert hos databehandleren, men at:

»Det viser lidt et billede af, hvordan man behandler sundhedsdata i Danmark. Man har simpelthen sluppet bremsen.«