Pasientdata sendt til privat
Samtlige helseforetak i Helse Sør-øst har vært med i en ordning der store mengder utilstrekkelig anonymiserte opplysninger er sendt til en utenlandsk database. Nå er alle data krevd slettet.
Det var Helse Sør-øst som tok initiativet til dette i 2013. Til å begynne med var det bare Sørlandet sykehus, Oslo universitetssykehus og Sykehuset Østfold som var med i et pilotprosjekt som ble kalt Global Comparator project, men ifølge Nasjonal helse- og sykehusplan har samtlige helseforetak med akuttfunksjoner i Helse Sør-øst meldt seg på ordningen siden. Det bekrefter også fagdirektør Geir Bøhler i en mail til Fædrelandsvennen.
Fagdirektør Per Engstrand ved Sørlandet sykehus skriver dette om hvorfor pasientdata er sendt til det private firmaet Dr. Foster i England:
– Hensikten har vært å sammenligne kvaliteten på den behandlingen våre pasienter får med andre sykehus, både i Norge og internasjonalt, og for å kunne forske på bedre behandlingsforløp.
BEKREFTER
– Jeg kan bekrefte at Sørlandet sykehus deltar i Global Comparator project, skriver direktør Vincent Sorel i Dr. Foster i en mail til Fædrelandsvennen. Utover det vil han ikke kommentere forretningssamarbeidet, og henviser til Sørlandet sykehus.
Fagdirektør Geir Bøhler opplyser imidlertid at det i juli 2016 ble sendt ut anmodning fra Helse Sør-øst til alle helseforetakene om å få dataene slettet.
– I 2016 ble det i fagmiljøene diskutert om dataene var tilstrekkelig anonymisert. Helse Sør-øst valgte på bakgrunn av denne usikkerheten umiddelbart (i juli 2016) å anmode våre helseforetak om å be Dr Foster om å slette dataene. Etter dette har Helse SørØst RHF tatt en ny vurdering av avtalen og valgt å avslutte avtaleforholdet med Dr Foster.
SLETTES
I et brev Fædrelandsvennen har fått tilgang til, fra fagdirektør Per Engstrand datert 2. august 2017 til direktør Vincent Sorel i Telstra Health ber han om at alle data som Sørlandet sykehus har oversendt må slettes.
– Når ble den mangelfulle anonymiseringen oppdaget, Engstrand?
– Anonymiseringen har ikke vært mangelfull, men flere av samarbeidspartnerne i Norge vurderte spørsmålet om anonymisering i fjor høst. Som et føre var-tiltak ble det bestemt å kalle tilbake data, skriver han men oppgir ikke konkret hva det var ved måten opplysningene ble oversendt, som gjorde at man nå krever dem slettet .
FØRE-VAR
– Hvordan kan det være et førevar-tiltak når dere har oversendt pasientopplysninger fra 2009 til 2015 som dere nå ser ikke er anonymisert godt nok?
– Sørlandet sykehus har oversendt data over et par år, etter oppstart av samarbeidet med Dr Foster Global Comparator i 2014. Generelt må vi, og alle som håndterer data, løpende vurdere sikkerhetsregimet for behandling av data. Datateknologi og kunnskap som kan gjøre det mulig å misbruke data i uhederlig hensikt er i dynamisk utvikling. I lys av dette er det naturlig å vurdere kontinuerlig både lagring og deling av data, som vi har gjort også i denne saken, opplyser Engstrand som ikke kan anslå hvor mange pasienters opplysninger det kan dreie seg om.
Bøhler opplyser at Helse SørØst nedsatte en arbeidsgruppe som utarbeidet retningslinjer for hvordan data skulle anonymiseres ved oversendelse.
– Det er det enkelte helseforetak som er ansvarlig for at pasientdataene som utleveres er anonymisert, og som eventuelt kan svare på om de har utlevert data til Dr Foster, skriver Bøhler.
VIL IKKE SVARE
Personvernombud Heidi Thorstensen ved Oslo universitetssykehus vil ikke svare på om når hun ble involvert i saken om Dr Foster Global comparators. Hun vil heller ikke svare på spørsmål om hvordan det ble avdekket at anonymiseringen ikke var tilstrekkelig, hvem som oppdaget det og hva som konkret var problemet. Hun vil heller ikke svare på om pasientdata er stoppet umiddelbart, og hva hun synes om måten saken er håndtert. Hun henviser i sin helhet til uttalelsen fra fagdirektør Geir Bøhler.
Etter at Fædrelandsvennen tok kontakt med Helse Sør-øst om saken, har samtlige involverte helseforetak blitt varslet om det, og gitt instruks om hvordan de skal forholde seg til spørsmål fra Fædrelandsvennen. Det bekrefter mediekontakter overfor oss.
IKKE TIL DATATILSYNET
Fædrelandsvennen har spurt Datatilsynet om det har vært involvert i saken:
– Ved et forholdsvis raskt søk i vårt saksbehandlingssystem kan jeg ikke finne dokumentasjon på at vi har behandlet denne saken om utlevering av data til Dr. Foster formelt. Det er imidlertid ikke utenkelig at noen i Datatilsynet kan ha hatt uformell kontakt med virksomheten i form av telefonsamtaler, e-post eller veiledningsmøte, sier seniorrådgiver, Camilla Nervik i Datatilsynet til Fædrelandsvennen.
Fagdirektør Per Engstrand bekrefter også at Datatilsynet ikke har vært involvert.
AVVIKSSAK
Nervik mener dette trolig burde vært sendt inn som en avvikssak.
– Hvis det viser seg at man har oversendt data man trodde var tilstrekkelig anonymisert, men så viser seg at det er mulig å finne personopplysninger så er det et alvorlig avvik som må meldes til oss, sier hun og understreker igjen at hun ikke med 100 prosent sikkerhet kan utelukke at dette har skjedd.
Jurist Inge V. Bakken ved Sørlandet sykehus har bare vært perifert involvert i saken, men sier dette generelt om anonymisering:
– Dersom man ut fra en database kan innsnevre søkeresultat slik at man står igjen med at det er fem mulige personer, er det brudd på taushetsplikten.