FORNØYD: – For oss er det viktig å slå fast at behandlingen går først, sier administrerende direktør Bjørn Atle Bjørnbeth, som er glad for konklusjonen til Personvernnemnda.
Foto: Vidar SandnesSykehus må ikke ha egen avtale for å sende prøver til laboratorier i utlandet
Et ferskt vedtak slår fast at Oslo universitetssykehus får dele data med laboratorier i utlandet uten å måtte ha en egen avtale.
Årlig sender Oslo universitetssykehus (OUS) blodprøver og andre typer prøver fra rundt 8000 pasienter til utenlandske laboratorier. Grunnen til at sykehuset ikke gjennomfører analysene selv skyldes at det ikke finnes intern kompetanse eller mangel på kapasitet. Det er spesielt vanlig å benytte seg av kompetanse i utlandet for å vurdere analyser knyttet til sjeldne sykdommer.
Over år har det imidlertid pågått en intern og ekstern konflikt om sykehusets praksis med å sende pasientprøver til utlandet.
– Ikke inngått nødvendige avtaler
For ett år siden førte Datatilsynet tilsyn med OUS. De konkluderte da med at sykehuset ikke kunne dokumentere å ha kontroll over pasientenes opplysninger når prøver sendes til utlandet.
Til tross for at Datatilsynet anerkjente behovet for å sende prøver til utlandet, var ikke håndteringen personvernmessig god nok, mente tilsynet.
«Datatilsynet har konkludert med at sykehuset ikke har inngått de nødvendige avtalene som ivaretar en korrekt håndtering av sykehusets plikter og pasientenes rettigheter, blant annet fordi det ikke er inngått databehandleravtaler med laboratoriene», skrev tilsynet – som påla sykehuset å sørge for egne avtaler med laboratoriene.
Nå har imidlertid klageinstansen Personvernnemnda slått fast at det ikke er krav om denne typen avtaler når sykehuset sender prøver til utenlandske laboratorier.
Administrerende direktør Bjørn Atle Lein Bjørnbeth ved Oslo universitetssykehus sier at han er glad for vedtaket som nå er fattet.
– Dette vedtaket betyr at vi kan inngå samarbeid uten å ha på plass en databehandleravtale. Det vil være særlig viktig i hastesituasjoner.
Reguleres av helselover
En rekke personvern-debatter blusset opp etter at Norge innarbeidet EUs personvernforordning (GDPR) i lovverket for noen år tilbake.
OUS har vært kritisk til Datatilsynets fortolkning av regelverket.
«Datatilsynet anvender personvernforordningen direkte overfor OUS uten samtidig å anvende helselovene. I prinsippet betyr dette at helselovene ikke har betydning for spørsmål om deling av helseopplysninger og biologisk materiale, og at sykehuset er regulert på samme måte som Facebook og andre private aktører,» heter det blant annet i saksdokumentene.
I det ferske vedtaket som Personvernnemnda har fattet om saken på OUS, fremgår det at deling av data mellom sykehus og laboratorium omfattes av helselovgivningen.
Personvernnemnda viser til bestemmelser i pasientjournalloven § 19 og helsepersonelloven §§ 25 og 45 om deling av helseopplysninger med helsepersonell og «samarbeidende personell» når det er nødvendig for å yte helsehjelp.
Bjørnbeth mener at vedtaket er prinsipielt fordi det viser at GDPR ikke kan vurderes isolert, men må sees i sammenheng med annen lovgivning.
– Hvilke følger har tilsynets krav overfor sykehuset hatt?
– Jeg kan ikke si at det har vært skadelig for driften. Men for oss er det viktig å slå fast at behandlingen går først. Behandlere skal vite at praksisen de bedriver er godt innenfor regelverket og ønsket.
Varslet om personvern
I 2019 sendte over 20 leger og forskere inn et massivt varsel om personvern-praksisen ved OUS. Sykehuset konkluderte ett år senere med at daværende personvernombud ikke hadde opptrådt kritikkverdig. Men saken har fortsatt vært behandlet hos Statsforvalteren i Oslo og Viken, og i fjor slo Statsforvalteren fast at OUS hadde brutt forsvarlighetsplikten.
En av sakene gjaldt en situasjon hvor leger ikke fikk tilgang til viktige prøvesvar for pasienter med en sjelden stoffskifte-sykdom fordi de kom fra et tysk laboratorium. Sykehuset fikk blant annet kritikk for å ha stilt for rigide krav til datadeling.
Selve tilsynssaken ble avsluttet i november i fjor, men sykehuset har vist til statsforvalterens vedtak i prosessen knyttet til avtaler med laboratorier.
Ifølge OUS har sykehuset vært satt i en situasjon med krysspress fra to tilsynsorganer.
«To tilsynsorganer griper inn i hverandre på helsesektorens område. Personvernregelverket må tilpasses disse situasjonene», heter det i sakspapirene.
– Helsetilsynet ønsker søkelys på behandling og Datatilsynet på personvern. Dette er vedtaket viser, sett med mine øyne, en riktig retning på et komplisert felt som tradisjonelt har vært litt strengt fortolket av Datatilsynet, sier Bjørnbeth.
Sykehuset har også skiftet mening i løpet av saksgangen. Det kan du lese mer om her:
Både Datatilsynet og OUS endret syn underveis i personvern-sak
– Veldig positivt
Pål-Dag Line er leder for Avdeling for transplantasjonsmedisin ved OUS, og var en av dem som meldte inn saken om tilgang til prøvesvar fra Tyskland for pasienter med en sjelden stoffskifte-sykdom.
Han er glad for å høre at det nå er slått at fast at sykehusene ikke må ha databehandleravtaler.
– Det er viktig å ha et rammeverk som tillater oss å agere på medisinsk grunnlag. Det gode må ikke bli medisinens fiende. Vi har sett det både i vår sak og i tallrike andre eksempler ved OUS.
Line beskriver personvern-håndtering som en «kontinuerlig tannverk».
– Vi leger er også opptatt av personvern, men man må trekke en grense når det handler om forsvarlighet. Min erfaring er at også pasientene er fornøyde med det.
Tar saken til etterretning
Janne Stang Dahl i Datatilsynet sier at tilsynet tar til etterretning at Personvernnemnda konkluderer annerledes enn tilsynet.
– Vi mener at saken er viktig, siden den utfordrer pasientenes mulighet til å ha kontroll på egne helseopplysninger når norske sykehus får bistand fra utlandet, sier den konstituerte direktøren, som beskriver saken som kompleks.
– Var vedtaket overraskende?
– Vi er vant til at Personvernnemnda kan fatte andre konklusjoner enn oss.
– Det er en del av vårt demokratiske system. Det tar vi til etterretning. Så er vi opptatt av at plassering av ansvar og avtaler er viktig for informasjonssikkerhet.
– Har du forståelse for sykehusets frustrasjon i denne saken?
– Vi har forståelse for at man kan oppleve at man trekkes i flere retninger i en kompleks sak som denne. Vi har trukket konklusjonene vi mente var riktige. Men det viktige nå er at det er fattet en konklusjon.
Datatilsynet får noe støtte fra nemnda på ett punkt. Tilsynet hadde pålagt sykehuset å lage en oversikt over bruken av utenlandske laboratorier.
Personvernnemnda slår fast at OUS må utarbeide en protokoll over behandlingsaktiviteter som omfatter utlevering av helseopplysninger til utenlandske laboratorier, men mener det ikke er krav om en fullstendig oppregning av alle utenlandske laboratorier.
Saken anses nå som ferdigbehandlet fra tilsynets side, sier Dahl.
– Vi har fått en rettslig avklaring som vi forholder oss til.
