OUS-sjefen vil endre tilgangen til helsedata

– Jeg skjønner at dette vil leses med argusøyne av varslere, personvernombud og andre, sier administrerende direktør Bjørn Atle Bjørnbeth ved Oslo universitetssykehus (OUS).

I en halvtime har gastrokirurgen, som i vår ble direktør for landets største sykehus, lagt ut om hva han egentlig mener når han den siste tiden har tatt til orde for en offentlig diskusjon om personvern og helsehjelp. Det er ikke til å stikke under stol at området han beveger seg inn i, er betent. Sykehuset han leder, har i løpet av det siste året blitt beskyldt for å forsømme sin plikt om å drive forsvarlig på grunn av streng tolkning av personvernregler – og for å dele for mye da det viste seg at offentlige postjournaler har gjort opplysninger om pasienter tilgjengelig for alle og enhver.

 Intervjuet er nesten omme når Bjørnbeth oppsummerer hvorfor han sier sin mening om saken, selv om det innebærer å stikke hånden inn i et vepsebol:

– Vi trenger en debatt om balansegangen. For meg er det viktig å få frem hva min mening er – med hensyn til god forskning, god undervisning og tilstrekkelig ivaretakelse av sensitive data.

«Hva er sikkert nok?»

Vi spoler tilbake til start. Den nye direktøren har i ulike debatter i det siste gitt uttrykk for at han ønsker at det skal snakkes mer om hvordan helsetjenesten kan forholde seg til pasientopplysninger.

– Jeg mener at vi trenger en debatt om hva som er «sikkert nok» når det gjelder beskyttelse av pasientdata, starter Bjørnbeth, som viser til egne erfaringer som lege med pasienter som blir overrasket over mangelen på informasjonsflyt i helsetjenesten.

– Vi må ha en diskusjon om hva som er godt nok slik at vi kan få overført informasjon på en effektiv måte, både mellom institusjoner og ulike nivåer i helsetjenesten. Der stopper det ofte opp på grunn av sikkerhets- og personvernhensyn. Jeg tror ikke befolkningen helt forstår at helsedata ikke er tilgjengelig på tvers av institusjoner i dag.

Direktøren understreker at han selv mener personvern er viktig, men tilføyer:

– Personvern kan ikke trumfe pasientsikkerhet. En del av avvikene hos oss i dag skyldes mangelfull informasjonsoverføring.

– Du har tidligere sagt at dette er en vanskelig diskusjon å føre fra din posisjon. Hvorfor det?

– Fordi det er klart at jeg da stiller meg lagelig til for hogg. Se på postlistesaken for eksempel. Vi skal jobbe hardt for å beskytte persondata. Jeg vil ikke spre et inntrykk av at jeg ikke tar dette arbeidet alvorlig, men det er viktig at folk skjønner hvilke utfordringer som er tilknyttet «best tenkelig personvern».

For høy prislapp

Årsaken til at direktøren er kritisk til å strekke seg etter det han kaller «best tenkelig personvern», er kroner og øre.

– Prislappen vil i noen tilfeller bli for høy.

Direktøren viser til at et nytt prosjekt for deling av dokumenter, mellom OUS og blant annet Legevakten, settes i gang i november, men at det fortsatt er mange sykehuset gjerne skulle ha delt dokumenter med.

– Vi har for eksempel ikke tilgang til røntgenbilder som tas ved andre sykehus. De må vi eksplisitt be om å få tilsendt. Jeg mener det burde være sånn at vi kunne få opp disse dokumentene. Misbruk kan da fanges opp med automatisk logganalyse, slik at man kan avdekke ureglementerte oppslag.

Skjev debatt

I debatten om hvem som skal ha tilgang til hvilke data om pasientene, går det et skille mellom bruk av informasjon i behandlingsøyemed og bruk av data til forskning. Bjørnbeth vil også ha en oppmyking når det gjelder forskningsbruk.

– Når vi kommer over på forskning, blir det mer teknisk. Da handler det om muligheten til sky-lagring av forskningsdata. Dette vil øke tilgangen helt enormt, sier han engasjert.

– Hvis du tenker deg at forskere som jobber med et forskningsprosjekt innen kreftområdet, kan dele og hente ned data fra prosjekter i andre deler av verden, vil det være veldig nyttig, sier Bjørnbeth, som poengterer at det da vil være snakk om såkalte «av-identifiserbare data».

Dette er data som er strippet for personidentifiserende informasjon, og det ikke skal være mulig å spore tilbake til den enkelte pasient.

– Hva står i veien for dette i dag?

–  I dag står GDPR (den europeiske personvernforordningen. journ.anm) i veien, slik den fortolkes nå iallfall. Det er en diskusjon i det juridiske miljøet om hvor sterkt GDPR på den ene siden, og helselovgivningen på den andre siden, skal gjøres gjeldende. Jeg skjønner at det vil være en løpende diskusjon om hvor grensen skal gå, men pendelen har gått mest mot den ene siden. Jeg ønsker at den skal bringes mer til midten.

– Er dette en indirekte kritikk av personvernombudet?

– Nei, det er det ikke. Jeg mener ikke at det gjelder spesifikt hos oss. Dette har vært et vanskelig område for mange. Jeg mener at vi trenger en nasjonal konsensus, og at tvil bringes inn til departementet for en avklaring. Bjørnbeth vil ikke si så mye om personvern-varselsakene hvor sykehuset nylig erkjente overfor Fylkesmannen å ha «tolerert risiko» i flere tilfeller, men et lite nikk sender han likevel.

– Det er viktig at en institusjon som oss også legger til rette for bruk av helseopplysninger i forskning. Blir dette for komplisert, kan vi gjøre både undervisere og forskere til potensielle lovbrytere.

En god ide

Helse- og omsorgsdepartementet sendte nylig på høring et forslag om å gi helsepersonell større adgang til journalopplysninger: Ett av forslagene var å gi helsepersonell rett til å gå inn i pasienters journal for å vurdere om opplysninger kan egne seg til undervisning. Det vil imidlertid fortsatt være krav om samtykke for bruk av informasjonen.

I forbindelse med høringen uttalte OUS-lege Frithjof Lund-Johansen til Dagens Medisin at han heller skulle ha sett at det ble slik at pasienter aktivt må reservere seg mot slik bruk. Dette støtter sykehusdirektøren.

– Jeg synes det er et godt forslag. Undervisning er en stor del av virksomheten, spesielt i et universitetssykehus, så det ville ha vært mer hensiktsmessig for oss om pasienten heller på generelt grunnlag ble opplyst om at vi kan bruke opplysninger i undervisningen, sier Bjørnbeth.

Det ville da være aktuelt å bruke avidentifiserte eller anonyme data, det vil si data som kan spores tilbake til pasienten, men kun gjennom bruk av en beskyttet kodenøkkel.

– Her er det snakk om at den enkelte underviser finner frem to–tre eksempler som gjennomgås i små grupper med studenter.

Liberal

På spørsmål om sykehuset har endret kurs innen spørsmål om personvern og helsedata med ham som leder, er svaret under tvil ja.

– Jeg har gitt til kjenne en mer liberal holdning, sier direktøren.

– Jeg har vært opptatt av å formidle at personvernombudets oppgave er begrenset – og at det er ledernes oppgave å foreta risikovurderingen. Samtidig er dette en problemstilling som ble erkjent, og et arbeid som ble påbegynt, før jeg havnet i denne stolen.

Direktøren lover at tempoet skal holdes oppe når det gjelder nye prosjekter fremover. Blant annet skal sykehuset i gang med en stor kartlegging av kvalitetsregistre for å kunne bruke registrene mer aktivt i styringen av sykehuset.

Ett løfte har den nye direktøren om fremtiden:

– Vi skal være ivrige og fremoverlente.