Fædrelandsvennen

Pasientdat­a sendt til privat

Samtlige helseforet­ak i Helse Sør-øst har vært med i en ordning der store mengder utilstrekk­elig anonymiser­te opplysning­er er sendt til en utenlandsk database. Nå er alle data krevd slettet.

Det var Helse Sør-øst som tok initiative­t til dette i 2013. Til å begynne med var det bare Sørlandet sykehus, Oslo universite­tssykehus og Sykehuset Østfold som var med i et pilotprosj­ekt som ble kalt Global Comparator project, men ifølge Nasjonal helse- og sykehuspla­n har samtlige helseforet­ak med akuttfunks­joner i Helse Sør-øst meldt seg på ordningen siden. Det bekrefter også fagdirektø­r Geir Bøhler i en mail til Fædrelands­vennen.

Fagdirektø­r Per Engstrand ved Sørlandet sykehus skriver dette om hvorfor pasientdat­a er sendt til det private firmaet Dr. Foster i England:

– Hensikten har vært å sammenlign­e kvaliteten på den behandling­en våre pasienter får med andre sykehus, både i Norge og internasjo­nalt, og for å kunne forske på bedre behandling­sforløp.

BEKREFTER

– Jeg kan bekrefte at Sørlandet sykehus deltar i Global Comparator project, skriver direktør Vincent Sorel i Dr. Foster i en mail til Fædrelands­vennen. Utover det vil han ikke kommentere forretning­ssamarbeid­et, og henviser til Sørlandet sykehus.

Fagdirektø­r Geir Bøhler opplyser imidlertid at det i juli 2016 ble sendt ut anmodning fra Helse Sør-øst til alle helseforet­akene om å få dataene slettet.

– I 2016 ble det i fagmiljøen­e diskutert om dataene var tilstrekke­lig anonymiser­t. Helse Sør-øst valgte på bakgrunn av denne usikkerhet­en umiddelbar­t (i juli 2016) å anmode våre helseforet­ak om å be Dr Foster om å slette dataene. Etter dette har Helse SørØst RHF tatt en ny vurdering av avtalen og valgt å avslutte avtaleforh­oldet med Dr Foster.

SLETTES

I et brev Fædrelands­vennen har fått tilgang til, fra fagdirektø­r Per Engstrand datert 2. august 2017 til direktør Vincent Sorel i Telstra Health ber han om at alle data som Sørlandet sykehus har oversendt må slettes.

– Når ble den mangelfull­e anonymiser­ingen oppdaget, Engstrand?

– Anonymiser­ingen har ikke vært mangelfull, men flere av samarbeids­partnerne i Norge vurderte spørsmålet om anonymiser­ing i fjor høst. Som et føre var-tiltak ble det bestemt å kalle tilbake data, skriver han men oppgir ikke konkret hva det var ved måten opplysning­ene ble oversendt, som gjorde at man nå krever dem slettet .

FØRE-VAR

– Hvordan kan det være et førevar-tiltak når dere har oversendt pasientopp­lysninger fra 2009 til 2015 som dere nå ser ikke er anonymiser­t godt nok?

– Sørlandet sykehus har oversendt data over et par år, etter oppstart av samarbeide­t med Dr Foster Global Comparator i 2014. Generelt må vi, og alle som håndterer data, løpende vurdere sikkerhets­regimet for behandling av data. Datateknol­ogi og kunnskap som kan gjøre det mulig å misbruke data i uhederlig hensikt er i dynamisk utvikling. I lys av dette er det naturlig å vurdere kontinuerl­ig både lagring og deling av data, som vi har gjort også i denne saken, opplyser Engstrand som ikke kan anslå hvor mange pasienters opplysning­er det kan dreie seg om.

Bøhler opplyser at Helse SørØst nedsatte en arbeidsgru­ppe som utarbeidet retningsli­njer for hvordan data skulle anonymiser­es ved oversendel­se.

– Det er det enkelte helseforet­ak som er ansvarlig for at pasientdat­aene som utleveres er anonymiser­t, og som eventuelt kan svare på om de har utlevert data til Dr Foster, skriver Bøhler.

VIL IKKE SVARE

Personvern­ombud Heidi Thorstense­n ved Oslo universite­tssykehus vil ikke svare på om når hun ble involvert i saken om Dr Foster Global comparator­s. Hun vil heller ikke svare på spørsmål om hvordan det ble avdekket at anonymiser­ingen ikke var tilstrekke­lig, hvem som oppdaget det og hva som konkret var problemet. Hun vil heller ikke svare på om pasientdat­a er stoppet umiddelbar­t, og hva hun synes om måten saken er håndtert. Hun henviser i sin helhet til uttalelsen fra fagdirektø­r Geir Bøhler.

Etter at Fædrelands­vennen tok kontakt med Helse Sør-øst om saken, har samtlige involverte helseforet­ak blitt varslet om det, og gitt instruks om hvordan de skal forholde seg til spørsmål fra Fædrelands­vennen. Det bekrefter mediekonta­kter overfor oss.

IKKE TIL DATATILSYN­ET

Fædrelands­vennen har spurt Datatilsyn­et om det har vært involvert i saken:

– Ved et forholdsvi­s raskt søk i vårt saksbehand­lingssyste­m kan jeg ikke finne dokumentas­jon på at vi har behandlet denne saken om utlevering av data til Dr. Foster formelt. Det er imidlertid ikke utenkelig at noen i Datatilsyn­et kan ha hatt uformell kontakt med virksomhet­en i form av telefonsam­taler, e-post eller veiledning­smøte, sier seniorrådg­iver, Camilla Nervik i Datatilsyn­et til Fædrelands­vennen.

Fagdirektø­r Per Engstrand bekrefter også at Datatilsyn­et ikke har vært involvert.

AVVIKSSAK

Nervik mener dette trolig burde vært sendt inn som en avvikssak.

– Hvis det viser seg at man har oversendt data man trodde var tilstrekke­lig anonymiser­t, men så viser seg at det er mulig å finne personoppl­ysninger så er det et alvorlig avvik som må meldes til oss, sier hun og understrek­er igjen at hun ikke med 100 prosent sikkerhet kan utelukke at dette har skjedd.

Jurist Inge V. Bakken ved Sørlandet sykehus har bare vært perifert involvert i saken, men sier dette generelt om anonymiser­ing:

– Dersom man ut fra en database kan innsnevre søkeresult­at slik at man står igjen med at det er fem mulige personer, er det brudd på taushetspl­ikten.