Leger og forskere krever at OUS rydder i personvern – frykter for pasientsikkerheten
– Det er ikke noen spøk dette, det er ikke noe morsomt å gå på tvers av reglene – selv når vi må, sier overlege Torkel Steen.
Denne artikkelen er mer enn fem år gammel.
OSLO/RIKSHOSPITALET (Dagens Medisin): Beretningene fra leger og forskere om hvordan de stanger hodet i veggen når de møter tolkningen av personvernlovgivningen på Oslo universitetssykehus er mange:
Medisinstudenter som ikke fikk lov å gjennomføre et helt enkelt forskningsprosjekt, om tillatelser som tar måneder og få, og som setter pasienter med behov for oppfølging på vent. Om uendelig byråkrati og om monitorering av pasienter som gjøres i resten av verden, men som man ikke får lov til i Norge.
Telefaks i akuttsituasjoner
Fagmøtet på Rikshospitalet tirsdag, der Store auditorium var fylt opp av leger, forskere, byråkrater, jurister og representanter fra helsemyndighetene kom i stand etter Aftenposten-avsløringene om implantater.
I forlengelsen av avsløringene skrev overlege Torkel Steen ved hjertemedisinsk avdeling, OUS, et innlegg i Aftenposten, med tittelen Dødelig personvern.
Tirsdag fortalte han igjen hvordan leger er nødt til å bryte personvernreglene for å kunne gi nødvendig behandling.
Vi er henvist til et slags «amish» datasystem Fridtjof Lund Johansen, forsker
– Det har ikke vært lov å sende bilder av EKG og andre ting på mobil, selv når man må. Grunnen til at vi må, er at de offisielle kommunikasjonssystemene er ikke-eksisterende eller mangelfulle. Jeg tror grunnen til det igjen, er kompliserte krav til IT-sikkerhet og personvern, som gjør at man ikke kan kjøpe ferdige kommunikasjonssystemer som finnes i rikt monn på markedet.
– Det går ikke en bakvakt på hjerteavdelingen hvor vi ikke må sende en videoloop eller EKG, eller motta dette fra andre sykehus for at pasientene skal kunne få rask og riktig behandling.
– Telefaks lever derfor i beste velgående i akuttsituasjoner, dessverre.
Kan ikke svare pasienter på epost
– Det er ikke engang lov å svare på en mail fra en pasient. Uansett hvor banalt spørsmålet måtte være. Grunnen er at det avslører et pasientforhold: Man avslører at pasienten er pasient ved Oslo universitetssykehus. Og det er jo skummelt, sa Steen, og forklarte videre:
– En sånn epost, den skal slettes fra programmet og man skal forte seg å tømme mailboksen i Outlook etterpå. Så farlig er en sånn epost. Alt dette har vi fått stadige påminnelser om av personvernavdelingen. Og de påminnelsene pleier å ende med «brudd på personvernbestemmelsene» og advarsel om at det «kan få følger for arbeidsforholdet».
– Det er ikke noen spøk dette, det er ikke noe morsomt å gå på tvers av reglene – selv når vi må, sa han.
Steen fortalte videre om vanskelighetene med å få tilgang til monitorering av pacemakere, og et system med hjemmemonitorering, der særnorske krav førte til årelange forsinkelser og ekstrautgifter for sykehusene.
Steen har jobbet lenge med et pacemakerregister.
– Vi må jo vite hvem som har alle pacemakerne det eventuelt er noe galt med, sa han.
Til Dagens Medisin sier Steen at det som haster mest nå, er å få på plass et nasjonalt behandlingsregister for pacemakere. ‘
– Neste gang vi får en tilbaketrekking, så har vi ingen måte å få tak i pasientene våre på. Vi kan implementere det raskt ved å si ja til det danske.
– Vi er henvist til et slags «amish» datasystem
Forsker Fridtjof Lund-Johansen, ved Avdeling for immunologi og transfusjonsmedisin ved OUS, var en av 32 leger og forskere ved sykehuset som i Aftenposten gikk ut og advarte sterkt mot å hindre forskere i å dele dataene sine.
– Her på sykehuset får vi ikke lenger lov å publisere data for vår forskning, åpnet han i sitt innlegg på fagmøtet.
– Sykehuset sa at dette beror på en misforståelse, vi er enig – og vil gjerne oppklare den, sa han, og fortsatte:
– I Norge har regjeringen lagt til rette for at alle som vil kan laste ned data fra New England journal of Medicine, dette er såkalt pseudonymiserte data, begynte han.
- Pseudonymiserte data betyr at navnet på pasienten er fjernet og erstattet med en bokstavkode eller tallkode. Ifølge Norsk senter for forskningsdata, som er personvernombud for alle norske universiteteter, vil den eneste måten å identifisere enkeltpersoner på i et pseudonymisert materiale være gjennom navnelisten/kodelisten.
– Vi bruker pseudonymiserte data for å kunne publisere data på individnivå, Ingen kan vite hvem disse personene er. Men forskerne har en liste som kobler resultatkoder til navn – det er nytt for mange her på sykehuset at det finns en kobling mellom dataene og forskeren, sa Lund-Johansen ironisk.
– Vi fikk tilbakemelding fra OUS om at en slik tabell brukt i New England journal of Medicine inneholder sensitive personopplysninger. Da er det nok sykehuset som har misforstått.
– Som OUS-ansatt kan jeg ikke sende en epost med en tabell som alle i Norge kan lese i New England journal of Medicine. Det er jo et paradoks. Vi er henvist til et slags «amish» datasystem.
– Det at forskeren vet hvem pasienten er må vi ikke lage et problem av. Vi er ute etter å hindre at en tredjepart som leser artikkelen ikke skal finne ut av hvem dette er.
– Må ha sunn fornuft
– Det vi gjør nå er å gå gjennom ulike typer data, og spørre oss om hvor stor sannsynligheten for at en pasient blir gjenkjent på et bilde – for eksempel et røntgenbilde. Den som kan svare på det er røntgenlegen, sa Johansen.
Han mener OUS misforstår når de holder tilbake pseudonymiserte data, og maner til sunn fornuft.
Lund-Johansen sa at det er få, eller ingen, eksempler på at noen er blitt gjenkjent fra tabeller eller figurer i vitenskapelige artikler. Dessuten framholdt han at store aktører som er ute etter å kartlegge oss har mye bedre verktøy enn figurer og tabeller i forskningsartikler – som for eksempel Google og Facebook.
Han understreket også at pasientene selv har et sterkt ønske om at deres helseopplysninger skal brukes til forskning.
Anne Kjersti Befring, forsker ved Institutt for offentlig rett ved UiO, pekte på at behovet for tydelige kjøreregler er prekært.
– Dette kan ikke overlates til hvert enkelt sykehus. GDPR henviser til nasjonale lover i flere spørsmål. Nasjonale lover henviser til vurderingstemaer: Hva er forsvarlig og nødvendig bruk av data. I mange av disse vurderingene må du ha med medisinsk kompetanse, sa hun.
Fikk etterslep på pasientundersøkelser
Pål Dag Line, ved avdeling for transplantasjonsmedisin fortalte om store vansker med å få tillatelse til å koble seg på et system som viser prøvesvar for pasientene. Det tok måneder, fortalte han.
– På grunn av vanskelig tilgjengelige prøvesvar begynte vi å få etterslep på undersøkelser, sa Line.
Professor Johan Ræder, ved avdeling for anestesiologi hadde et forskningsprosjekt om trådløs kontinuerlig overvåkning av nyopererte på sengepost. Han måtte til slutt til Helse Midt for å få det godkjent. Han har også hatt medisinstudenter som ikke fikk gjennomført enkel forskning. Han frykter at studentene skal skremmes fra forskningen på grunn av byråkratiet.
– Jeg er redd de skremmes fra forskning når de må ha de store mengdene tillatelser og avtaler.