Dette innlegget skrev jeg i 2018. Siden dette kom Helsetilsynet (Statsforvalteren i Oslo og Viken med kritikk av OUS for feil regelforståelse (manglende kunnskap om helselovene) og uforsvarlig ved at restriksjonene som var innført ifm å dele pasientopplysninger i et pasientforløp. Datatilsynet gikk motsatt vei i et vedtak etter dette. Ledelsen i OUS klaget på Datatilsynets vedtak. Før personvernnemnda kom med sin avgjørelse korrigerte Datatilsynet sin egen forståelse på flere punktet. Personvernnemnda slå fast i PVN 2021/21 at helselovene inneholder supplerende grunnlag for å dele pasientopplysninger med virksomheter i landet og i EU/EØS. Og at det ikke skal inngås databehandleravtale. Slik deling baseres ikke på samtykke.
——-/-
Med virkning fra 20. juli i år er personvernforordningen (GDPR) en del av norsk lovgivning. Innenfor helse er det ikke nytt at helseopplysninger er nøye regulert. Det som er nytt er oppmerksomheten om behandling av data isolert sett, løsrevet fra formålet med slik behandling.
I løpet av noen måneder er det truffet beslutninger i flere sykehus basert på misforståelser om GDPR og med potensielt alvorlige konsekvenser for pasienttilbudet, for eksempel at registeret over innsatte pacemakere nå er slettet. Det fører til at innmeldte feil fra produsenten ikke registreres på en systematisk måte og at det kan ta lang tid før pasienter får den informasjonen de har rett til og nødvendig oppfølgning.
Saken er omtalt i media.[1] I løpet av kort tid har jeg sett eksempler på feil lovanvendelse av flere personvernombud som en konsekvens av generell kunnskap om GDPR og mangel på kunnskap om helselovene. PVO skal i tillegg ikke gi pålegg direkte eller indirekte da de ikke har ansvar slik helsepersonell og helsevirksomheter har.
Regler om helsehjelp, kvalitetskontroll, helseforskning og helseopplysninger, må ses i sammenheng for å kunne vurdere om behandlingen av helseopplysninger er påkrevd eller lovlig. Manglende deling kan føre til uforsvarlighet, se Rt. 1997 s. 1800, der en liten gutt døde etter å ha fått et legemiddel han ikke tålte. Anestesilegen fikk aldri denne informasjonen. Forsvarlighetsplikten gjelder behandling av mennesket, helseopplysninger og biologisk materiale.
I helselovene er det supplerende grunnlag for å behandle pasientopplysninger som PVO ser bort fra. Dette får fatale konsekvenser. Det kan hellet ikke kreves databehandleravtale da de virksomhetene det deles med har et selvstendig ansvar.
Helsevirksomhetenes fokus på regler om behandling av helseopplysninger, skyldes trolig trusler om høye gebyrer ved brudd på forordningens bestemmelser: inntil 4 % av brutto omsetninger. Tilsvarende trusler finnes ikke lenger når det gjelder behandling av pasienter da denne risikoen er overført til pasientskadeordningen som betaler ut erstatninger som følge av medisinsk svikt. Resultatet er at sykehusene har høyere økonomisk risiko når det gjelder behandling av data, enn behandling av mennesket. Dette kan gi uønskede faktiske virkninger. En risiko er at det skapes regimer for behandling av data som fører til uforsvarlighet i helsetjenesten og begrensninger når det gjelder å opparbeide et nødvendig kunnskapsgrunnlag for behandling og oppfølgning av pasienter.
Her kan det nevnes tre misforståelser som er observert i helsevirksomheter:
Den første misforståelsen er knyttet til at pasientopplysninger må være anonyme for å kunne behandles fritt internt i en helsevirksomhet i behandlingen av den enkelte pasient, i behandling av andre pasienter, eller ved lagring i registre for kvalitetskontroll.
Dette er feil. For det første har friheten til å behandle opplysninger innad i en helsevirksomhet aldri forutsatt at opplysningen er anonyme. Det er taushetsplikten som setter de rettslige grensene for behandling av opplysninger. Denne plikten gjelder ikke dersom pasientens identitet er tilstrekkelig beskyttes. Det er dermed ikke et krav om anonymitet. Dessuten er det mange unntak fra taushetsplikten. Det må vurderes om opplysningene kan anvendes uten hinder av taushetsplikten. GDPR viser til taushetsplikten og nasjonal lovgivning som bør være kjent for de som treffer beslutninger innenfor helsevirksomheten. Ved behandling av sensitive pasientdata kan det kreves høy beskyttelse også innad i en helsevirksomheten, ved sperring, da slike data i seg selv kan gi potensiale for skader. Det forutsetter konkrete vurderinger av opplysningers karakter og dialog med pasienten.
Formålet med å anvende opplysninger har betydning for hvordan de kan anvendes og for om pasientens identitet må beskyttes. Det er for eksempel store forskjeller mellom å anvende data for å opparbeide kunnskap om pasientbehandlingen, og på å levere de ut til politiet for straffeforfølgning. I sistnevnte tilfelle stilles det høye krav til beskyttelsen av pasientens identitet. Dersom pasientens identitet er tilstrekkelig beskyttet, eller det ikke foreligger særskilte beskyttelsesbehov knyttet til opplysningene, kan de brukes relativt fritt i helsevirksomheten.
Den andre misforståelsen er at opplysninger ikke kan lagres og deles uten samtykke fra den opplysningene gjelder. Helsedata som er relevante og nødvendige for å gi helsehjelp, kontrollere helsehjelpen, og for å kunne informere pasienten og ev. tilsynsorganer, lagres i helsevirksomheten på bakgrunn av et lovpålegg. Mulighetene for forsvarlig helsehjelp og oppfølgning er avhengig av at helsehjelpen kan kontrolleres, det vil si om den fungerte som tilsiktet. Sammenligning av data ved behandling av flere pasienter, er grunnleggende for å kunne utøve forsvarlig helsehjelp. Data for å sammenligne symptomer, diagnoser og helsehjelp benyttes regelmessig for å kunne gi forsvarlig helsehjelp. En forskjell i dag er at det benyttes større datasett.
Det innebærer at opplysningene må lagres slik at de gjenfinnes, kan anvendes i oppfølgningen av den enkelte pasient og for kontroll av helsehjelpen, og at pasientens autonomi er begrenset når det gjelder slik lagring. Pasientopplysninger kan i tillegg deles med dette formålet, også med aktører utenfor landets grenser. Det kan som ledd i pasientbehandlingen være nødvendig å innhente second oponion og å opparbeide kunnskap ved hjelp av andre aktører, noe som begrunner lovregulert adgang til å dele data.
Bestemmelsene i helselovene bygger oppunder det primære formålet til helsetjenesten om å kunne gi befolkningen forsvarlig og effektiv helsehjelp – noe som omfattes av et vern om den enkeltes integritet, sammen med beskyttelsen av privatlivet. Både forsvarlighetsprinsippet og taushetspliktprinsippet er begrunnet i at befolkningen skal ha tillit til helsetjenesten og oppsøker helsetjenesten ved behov, samt avgir nødvendige data, og samtykker til prøver som kan gi omfattende data. Men beskyttelsen av privatlivet er i mange tilfeller underordnet mulighetene for å gi helsehjelp da det i seg selv vil være et inngrep i privatlivet. Lovgivningen inneholder avveininger av de ulike sidene av vernet om menneskets integritet, og viser til hva som er nødvendig for å kunne gi forsvarlig helsehjelp. Slike vurderingstemaer finnes også i GDPR, blant annet i art. 9 som tillater anvendelse av helseopplysninger til en rekke formål.
Andre deler av forordningen er ikke spesialtilpasset helseretten, men den henviser til nasjonal lovgivning på flere punkter, og ved vurderinger av «nødvendighet» og forsvarlighet».
Den tredje misforståelsen er at personvernombudene er i stand til å vurdere behovet for å lagre og anvende data i helsetjenesten for å oppfylle pliktene til å ha et forsvarlig helsetjenestetilbud når det bygger på behandling av data. Data er ikke lenger bare dokumentasjon, men også et medisinsk verktøy for å kunne stille diagnoser og opparbeide medisinsk kunnskap. For å ta stilling til hva som er lovlig kreves det mer enn kunnskap om databehandling isolert sett. Derfor er personvernombudenes rolle begrenset til å være rådgivere. Behovene for å anvende data følger av den medisinske metode, rettslige reguleringer av behandlerrelasjonen, der pasienter har rettigheter overfor helsepersonellet, og til medisinske vurderinger som ikke kan overprøves av et personvernombud. Ombudene må tilrettelegge slik helsevirksomheten er pålagt: for forsvarlig helsevirksomhet. Helsevirksomhetene er pålagt å treffe beslutninger som tilrettelegger for et forsvarlig helsetilbud basert på ny medisinsk kunnskap.
Med digitaliseringen av helsetjenesten og stadig raskere utvikling av medisinske metoder, er det behov for økt bruk av helsedata for kontinuerlig opparbeidelse av kunnskap. GDPR er generell og er utarbeidet for å gjelde alle livsområder. Det gir utfordringer for Datatilsynet og Helsetilsynet som skal anvende forordningen, og helsevirksomheter.
Helsevirksomhetene opplever nå å få ulike råd om forordningen, avhengig av om rådgiveren ser forordningen isolert sett eller i sammenheng med nasjonal lovgivning og de vurderingstemaer som må tas med. Helsemyndighetene bør sette ned et utvalg med formål om å utarbeide en veileder for helsetjenesten og eventuelle lovforslag for å presisere hvordan helseopplysninger skal anvendes. Dette er nødvendig for å hindre at det etableres systemer som fører til økt risiko i pasientbehandlingen som følge av uriktige fortolkninger og beslutninger om hvordan personvernforordningen skal anvendes på pasientdata.
[1] https://web.retriever-info.com/go/?sa=2007301&p=39153&a=71629&s=20002&d=0200022018120714525&x=df84d0766dd2107ba00ba98f27472cc1
Dette blogginnlegget ble publisert i dagens medisin 13. desember 2018.
Oppdag mer fra Befrings blogg
Abonner for å få de siste innleggene sendt til din e-post.
Befrings blogg 