Personvern: Feil regelforståelse øker risikoen i sykehus

Ledelsen ved flere norske sykehus har, på bakgrunn av feil rådgivning fra personvernombudene, etablert en praksis som kan øke risikoen i forbindelse med pasientbehandling og klinisk forskning.

Publisert

Denne artikkelen er mer enn tre år gammel.

Lars Duvaland

Kronikk: Lars Duvaland, avdelingsdirektør i Legeforeningen
Aadel Heilemann, seksjonssjef i avdeling for jus og arbeidsliv i Legeforeningen

DA PERSONVERNFORORDNINGEN (GDPR) ble en del av norsk lov i juli 2018, oppsto det usikkerhet om hvordan den skulle anvendes innenfor virksomheter i helsetjenesten. Helse- og omsorgsdepartementet (HOD) var tydelig i forarbeidene (prop. 56 LS 2017-2018) på at forordningen ikke førte til store endringer. Norske helselover ble vurdert til å være i samsvar med forordningen med noen få justeringer.

Norske lover er utgangspunktet for vurderinger av om helseopplysninger kan eller skal deles, og mange av vurderingene skal gjøres av helsepersonell. Det må samtidig ses hen til forordningen i enkelte spørsmål.

Aadel Heilemann

RISIKABEL PRAKSIS. Legeforeningen gjennomførte en kartlegging blant medlemmer i mars i 2019 som viste oppsiktvekkende resultater. Et gjennomgående resultat var at et flertall mente det var innført en ny praksis for å behandle helseopplysninger som reduserer mulighetene for å gi forsvarlig helsehjelp. Bakgrunnen for kartleggingen var at 22 leger ved OUS, i februar 2019, hadde sett seg nødt til å varsle om til dels betydelige utfordringer ved OUS, som følge av personvernombudets rolle og utøving av myndighet.

Les også: Legeforeningen vil ha granskning av OUS

Vår påstand er at ledelsen ved flere sykehus, på bakgrunn av feil rådgivning fra personvernombudene, har etablert en praksis som kan øke risikoen i forbindelse med pasientbehandling og klinisk forskning. Dette er motsatt av formålet med personvernforordningen.

Den nye praksisen er et resultat av at man tar utgangspunkt i personvernforordningen ‒ og ikke i de helselovene som gjelder for helsevirksomheter. EU begrunnet henvisningene fra den generelle forordningen til nasjonale lover og andre deler av unionsretten, med at de generelle bestemmelsene ikke er tilpasset sektorer med egen lovgivning. Dette gjelder helsesektoren, offentlig myndighetsutøvelse, strafferettspleien og flere andre sektorer som allerede har omfattende og tilpasset lovgivning som ivaretar de formål forordningen omfatter.

MANGLER KUNNSKAP OG INNSIKT. Vi vil peke på typiske misforståelser eller manglende kunnskaper som er observert av enkelte ledere – og deres rådgivere.

Resultatet av den nye tilnærmingen er at det lages regler uavhengig av norsk lov vedtatt av Stortinget, og at virksomheter som Google reguleres likt med sykehusene

  • De tror at det er GDPR som er utgangspunktet for reguleringer av grunnlaget for å behandle helseopplysninger. Personvernombudene ved sykehusene har uttalt at de bruker bestemmelsene i personvernforordningen og at de nasjonale lovreguleringer, rettspraksis og forvaltningspraksis, først kommer til anvendelse gjennom suppleringer. Resultatet av denne tilnærmingen er at det lages regler uavhengig av norsk lov vedtatt av Stortinget, og at virksomheter som Google reguleres likt med sykehusene.
  • De mangler innsikt i hvordan forsvarlighetsplikten i helsetjenesten har betydning for om helseopplysninger skal deles. Tilgang på helseopplysninger er avgjørende for å kunne overholde lovkrav til forsvarlig helsehjelp og forskning, og for å videreutvikle sikkerheten for pasienter.
  • De mangler innsikt om sammenhenger mellom de risikovurderingene som ligger i forsvarlighetsplikten, og at personvernforordningen er risikobasert og forutsetter mange av de samme vurderingene. Dette omfatter at risiko for pasienten som sådan er relevant og ikke bare en risiko for datasikkerheten, jamfør forordningens henvisning til grunnleggende rettigheter. Disse vurderingene vil forutsette ulike faglige kvalifikasjoner.
  • De tror at det kun er ett beslutningsnivå i sykehusene når det gjelder hvordan helseopplysninger skal behandles: Dataansvarlig. Dette representerer en svikt i kunnskapen om helsepersonellets personlige rettslige ansvar, som har betydning for både behandlingen av pasienten/forsøkspersonen og helseopplysninger.

«DØDELIG PERSONVERN». Det mest alvorlige er at flere ledere ikke viser evne og vilje til å korrigere en ulovlig praksis, til tross for at det er tydelig hvilke negative konsekvenser den kan få for pasientsikkerheten. Vårt inntrykk er at mange ledere i sykehus i dag har resignert når det gjelder krav til informasjonsbehandling. Ledere tror at det er «to juridiske leirer», når det i realiteten dreier seg om grunnleggende juridiske kunnskaper om regelverket som gjelder sykehus. Resultatet er at ledere ikke tar det systemansvaret de er pålagt i lov.

Det er behov for at helsemyndighetene tar grep med både veiledningsmateriale og oppfølging fra tilsynsmyndighetene for å unngå det som OUS-overlege Torkel Steen, i en kronikk i Aftenposten, karakteriserte som dødelig personvern.

Ingen oppgitte interessekonflikter

Dagens Medisin 15/2020, fra Kronikk og debattseksjonen

Powered by Labrador CMS