– Mange forstår ikke lovgivningen

Varslerne i den omfattende saken om personvern som ble meldt inn våren 2019 har nå fått svart ut sakene sine fra sykehusets side. Sykehuset har ikke funnet kritikkverdige forhold etter sykehusets retningslinjer eller arbeidsmiljølovens bestemmelser, på bakgrunn av en juridisk vurdering gjennomført av et advokatfirma.

Forsker Anne Kjersti Befring er ansvarlig for helseretten ved Juridisk fakultet ved Universitetet i Oslo. Hun mener saken løfter frem prinsipielt viktige avveininger, som er mer vidtrekkende enn vurderingen som nå er gjort.

– Sykehuset har vurdert om det er forekommet brudd på arbeidsmiljøloven og finner at personvernombudet ikke har opptrådt på en klanderverdig måte. Et spørsmål som ikke har blitt vurdert er om sykehuset har innrettet seg lovlig og hensiktsmessig, sier Befring til Dagens Medisin.

– Forstår ikke lovgivningen

Befring er tidligere juridisk direktør i Legeforeningen. Hun har også en bistilling i foreningen som til over sommeren. Hun oppgir at hun har kjennskap til saken.

– Jeg har blitt spurt om råd fra flere angående denne saken, men har ingen formell rolle i saken.

Juristen mener at saken tyder på problemer med fortolkningen av forholdet mellom EUs personvernforordning (GDPR) som trådte i kraft i 2018 og helselovene. Helselovgivningen inkluderer en rekke lover, deriblant helse- og omsorgstjenesteloven, helsepersonelloven og pasient- og brukerrettighetsloven.

– Jeg samler nå materiale for å kunne analysere hva som er utfordringene for sykehusene etter innføringen av GDPR. Jeg ser allerede nå at mange ledere ikke forstår lovgivningen, selv om de uttaler seg om denne, og de rettslige ansvarsforholdene i et sykehus, sier Befring.

– Usikre

Hun mener at det er viktig at det tas utgangspunkt i helselovene, de to rettslige ansvarsnivåene og ledelsen plikt til å tilrettelegge for at helsepersonell kan oppfylle sine plikter.

– Jeg har registrert at både ledere og personvernombud er usikre på hvordan helselovene skal benyttes, med begrunnelse i at GDPR har «høyere rang». Det fremgår som regel av loven hvordan GDPR er tatt inn, og det er mange henvisninger fra GDPR til helselovene. Rang er først aktuelt når det oppstår konflikter. Enkelte kjenner ikke til unntakene som gjelder helseforskning, betydningen av taushetsplikten og unntak av denne plikten i lys av GDPR, ei heller plikter til å dokumentere, protokollere og publisere forskningsresultater.

Befring understreker at det ofte er snakk om komplekse forhold mellom juss og medisin.

– Det kan selvfølgelig ikke forventes at det enkelte personvernombudet skal kunne svare på komplekse juridiske spørsmål, men det kan forventes at de er i dialog med juridiske miljøer og kjenner sine faglige begrensninger både når det gjelder juss og medisin, sier hun.

Stiller spørsmål ved avgjørelser

Hun mener at svarbrevene som varslerne nå har fått er oppklarende på ett punkt.

– I svarbrevene legger sykehuset til grunn av personvernombud ikke skal treffe avgjørelser. Dette er et fremskritt, sier Befring.

– Samtidig mener jeg det er grunn til å stille spørsmål ved om det i noen av sakene det er uenighet om, er falt avgjørelser som avviker fra personvernombudets uttalelser, og om sykehusets ledelse forstår at personvernombudet verken kan eller skal vurdere og ta stilling til for eksempel spørsmål om taushetsplikt, unntak fra denne plikten og plikter som forsker.