Anne Kjersti Befrings blogg

Misforståelser om GDPR og risikoen for vridningseffekter

Denne artikkelen er mer enn fem år gammel.

Anne Kjersti Befring

Anne Kjersti Befring er ansatt ved juridisk fakultet i Oslo og har doktorgraden i rettsvitenskap. Avhandlingen dreier seg om rettslige perspektiver ved persontilpasset medisin. Befring er fagbokforfatter, har erfaring fra helsemyndighetene, som advokat og direktør i Legeforeningen. Hun blogger om rettslige spørsmål, organiseringen av helsetjenesten og ledelse.

 

Anne Kjersti Befring

Anne Kjersti Befring er ansatt ved juridisk fakultet i Oslo og har doktorgraden i rettsvitenskap. Avhandlingen dreier seg om rettslige perspektiver ved persontilpasset medisin. Befring er fagbokforfatter, har erfaring fra helsemyndighetene, som advokat og direktør i Legeforeningen. Hun blogger om rettslige spørsmål, organiseringen av helsetjenesten og ledelse.

 

Med virkning fra 20. juli i år er personvernforordningen (GDPR) en del av norsk lovgivning. Innenfor helse er det ikke nytt at helseopplysninger er nøye regulert. Det som er nytt er oppmerksomheten om behandling av data isolert sett, løsrevet fra formålet med slik behandling, og at det i løpet av noen måneder er truffet beslutninger i flere sykehus basert på misforståelser om GDPR og med potensielt alvorlige konsekvenser for pasienttilbudet. I løpet av kort tid har jeg sett eksempler på feil lovanvendelse av flere personvernombud som en konsekvens av generell kunnskap om GDPR. Det er ikke tilstrekkelig. Regler om helsehjelp, kvalitetskontroll, helseforskning og helseopplysninger, må ses i sammenheng for å kunne vurdere om behandlingen av helseopplysninger er påkrevd eller lovlig. Ansvaret ligger ikke bare hos personvernombudene, men også hos sykehusledelsen.  

Helsevirksomhetenes fokus på regler om behandling av helseopplysninger, skyldes trusler om høye gebyrer ved brudd på forordningens bestemmelser: inntil 4 % av brutto omsetninger. Tilsvarende trusler finnes ikke lenger når det gjelder behandling av pasienter da denne risikoen er overført til pasientskadeordningen som betaler ut erstatninger som følge av medisinsk svikt. Resultatet er at sykehusene har høyere økonomisk risiko når det gjelder behandling av data, enn behandling av mennesket. Dette kan gi uønskede faktiske virkninger. En risiko er at det skapes regimer for behandling av data som fører til uforsvarlighet i helsetjenesten og begrensninger når det gjelder å opparbeide et nødvendig kunnskapsgrunnlag for behandling og oppfølgning av pasienter.

Her kan det nevnes tre misforståelser som er observert i helsevirksomheter:

Den første misforståelsen er knyttet til at pasientopplysninger må være anonyme for å kunne behandles fritt internt i en helsevirksomhet i behandlingen av den enkelte pasient, i behandling av andre pasienter, eller ved lagring i registre for kvalitetskontroll.

Dette er feil. For det første har friheten til å behandle opplysninger innad i en helsevirksomhet aldri forutsatt at opplysningen er anonyme. Det er taushetsplikten som setter de rettslige grensene for behandling av opplysninger. Denne plikten gjelder ikke dersom pasientens identitet er tilstrekkelig beskyttes. Det er dermed ikke et krav om anonymitet.  Dessuten er det mange unntak fra taushetsplikten. Det må vurderes om opplysningene kan anvendes uten hinder av taushetsplikten. GDPR viser til taushetsplikten og nasjonal lovgivning som bør være kjent for de som treffer beslutninger innenfor helsevirksomheten. Ved behandling av sensitive pasientdata kan det kreves høy beskyttelse også innad i en helsevirksomheten, ved sperring, da slike data i seg selv kan gi potensiale for skader. Det forutsetter konkrete vurderinger av opplysningers karakter og dialog med pasienten.  

Formålet med å anvende opplysninger har betydning for hvordan de kan anvendes og for om pasientens identitet må beskyttes. Det er for eksempel store forskjeller mellom å anvende data for å opparbeide kunnskap om pasientbehandlingen, og på å levere de ut til politiet for straffeforfølgning. I sistnevnte tilfelle stilles det høye krav til beskyttelsen av pasientens identitet. Dersom pasientens identitet er tilstrekkelig beskyttet, eller det ikke foreligger særskilte beskyttelsesbehov knyttet til opplysningene, kan de brukes relativt fritt i helsevirksomheten.    

Den andre misforståelsen er at opplysninger ikke kan lagres og deles uten samtykke fra den opplysningene gjelder. Helsedata som er relevante og nødvendige for å gi helsehjelp, kontrollere helsehjelpen, og for å kunne informere pasienten og ev. tilsynsorganer, lagres i helsevirksomheten på bakgrunn av et lovpålegg. Mulighetene for forsvarlig helsehjelp og oppfølgning er avhengig av at helsehjelpen kan  kontrolleres, det vil si om den fungerte som tilsiktet. Sammenligning av data ved behandling av flere pasienter, er grunnleggende for å kunne utøve forsvarlig helsehjelp. Data for å sammenligne symptomer, diagnoser og helsehjelp benyttes regelmessig for å kunne gi forsvarlig helsehjelp. En forskjell i dag er at det benyttes større datasett. 

Det innebærer at opplysningene må lagres slik at de gjenfinnes, kan anvendes i oppfølgningen av den enkelte pasient og for kontroll av helsehjelpen, og at pasientens autonomi er begrenset når det gjelder slik lagring. Pasientopplysninger kan i tillegg deles med dette formålet, også med aktører utenfor landets grenser. Det kan som ledd i pasientbehandlingen være nødvendig å innhente second oponion og å opparbeide kunnskap ved hjelp av andre aktører, noe som begrunner lovregulert adgang til å dele data.    

Bestemmelsene i helselovene bygger opppunder det primære formålet til helsetjenesten om å kunne gi  befolkningen forsvarlig og effektiv helsehjelp – noe som omfattes av et vern om den enkeltes integritet, sammen med beskyttelsen av privatlivet. Både forsvarlighetsprinsippet og taushetspliktprinsippet er begrunnet i at befolkningen skal ha tillit til helsetjenesten og oppsøker helsetjenesten ved behov, samt avgir nødvendige data, og samtykker til prøver som kan gi omfattende data. Men beskyttelsen av privatlivet er i mange tilfeller underordnet mulighetene for å gi helsehjelp da det i seg selv vil være et inngrep i privatlivet. Lovgivningen inneholder avveininger av de ulike sidene av vernet om menneskets inetgritet, og viser til hva som er nødvendig for å kunne gi forsvarlig helsehjelp. Slike vurderingstemaer finnes også i  GDPR. Store deler av forordningen er ikke spesialtilpasset helseretten, men den henviser til nasjonal lovgivning på flere punkter, og ved vurderinger av «nødvendighet» og forsvarlighet».

Den tredje misforståelsen er at personvernombudene er i stand til å vurdere behovet for å lagre og anvende data i helsetjenesten for å oppfylle pliktene til å ha et forsvarlig helsetjenestetilbud når det bygger på behandling av data. Data er ikke lenger bare dokumentasjon, men også et medisinsk verktøy for å kunne stille diagnoser og opparbeide medisinsk kunnskap. For å ta stilling til hva som er lovlig kreves det mer enn kunnskap om databehandling isolert sett. Derfor er personvernombudenes rolle begrenset til å være rådgivere. Behovene for å anvende data følger av den medisinske metode, rettslige refguleringer av behandlerrelasjonen, der pasienter har rettigheter overfor helsepersonellet, og til medisinske vurderinger som ikke kan overprøves av et personvernombud. Ombudene må tilrettelegge slik helsevirksomheten er pålagt: for forsvarlig helsevirksomhet. Helsevirksomhetene er pålagt å treffe beslutninger som tilrettelegger for et forsvarlig helsetilbud basert på ny medisinsk kunnskap.

Med digitaliseringen av helsetjenesten og stadig raskere utvikling av medisinske metoder, er det behov for økt bruk av helsedata for kontinuerlig opparbeidelse av kunnskap. GDPR er generell og er utarbeidet for å gjelde alle livsområder. Det gir utfordringer for Datatilsynet og Helsetilsynet som skal anvende forordningen, og helsevirksomheter.

Helsevirksomhetene opplever nå å få ulike råd om forordningen, avhengig av om rådgiveren ser forordningen isolert sett eller i sammenheng med nasjonal lovgivning og de vurderingstemaer som må tas med. Helsemyndighetene bør sette ned et utvalg med formål om å utarbeide en veileder for helsetjenesten og eventuelle lovforslag for å presisere hvordan helseopplysninger skal anvendes. Dette er nødvendig for å hindre at det etableres systemer som fører til økt risiko i pasientbehandlingen som følge av uriktige beslutninger om hvordan pasientdata skal behandles.   

Powered by Labrador CMS