Datatilsynet har nå endelig pålagt NTNU og Det medisinske fakultet å informere over hundre tusen legekontorpasienter om at universitetet ulovlig har benyttet seg av deres helseopplysninger uten samtykke.
Norsk senter for elektronisk pasientjournal (NSEP) ved NTNU. Foto: Tor H. Monsen.
Universitetsavisa har gjennom flere oppslag beskrevet hvordan Norsk senter for elektronisk pasientjournal ved NTNU har innhentet, oppbevart og forsket på sensitive pasientopplysninger uten at pasientene har vært klar over det, eller gitt sitt samtykke til bruken, slik loven krever.
Sensitive helsedata
Helsedirektoratet reagerte mai 2009 da NSEP søkte om dispensasjon fra taushetsplikten. Saken ble overlevert Datatilsynet, som leverte knallhard kritikk mot NSEP, etter å ha avdekket det tilsynet mener er misbruk av pasientopplysningene. Totalt er det snakk om over 110 000 personer fra 21 legekontorer på Vestlandet.
Opplysningene omfatter pasientenes helsesituasjon over lengre tid, de kan inneholde informasjon om både fysiske og psykiske forhold, og innbefatter sensitive forhold fra spesialisthelsetjenesten. I tillegg omfatter noen av journalene opplysninger om pasientens familiemedlemmer, partnere, eller andre i nærmeste omgangskrets.
Datatilsynet: Ingen bønn
Endelig vedtak er nå oversendt Det medisinske fakultet, som NSEP hører under. Datatilsynet står fest ved sin foreløpige vedtak om at universitetet må informere alle pasientene som er berørt av skandalen ved Norsk Senter for elektronisk pasientjournal. Det til tross for at NTNU har slettet alle journalene, og med dem navn og kontaktopplysninger.
Tilsynet vil ikke imøtekomme NTNUs ønske om lemping på informasjonskravet. Datatilsynet mener det vil være å undergrave lover og regler om virksomheter skal kunne slippe unna kravet fordi opplysningene er slettet.
Tilsynet har på den annen side fraveket sitt opprinnelige krav om at hver og en av de over 100 000 pasientene skulle informeres individuelt. Dette ville blitt en formidabelt oppsporingsarbeid.
NTNU blir nå nødt til å informere kollektivt, gjennom lokalaviser og på 21 legekontorer for å nå fram til de pasientene det gjelder. NTNU må snarest informere pasientene, slik at disse kan ivareta sine rettigheter etter Helseregisterloven, skriver Datatilsynet.
Det medisinske fakultet håndterer saken på vegne av universitetet. NTNU vil ikke påklage vedtaket fra Datatilsynet, bekrefter dekan Stig Slørdahl.
Oppretter nettside for pasienter og pårørende
Dere er pålagt å informere 110 000 pasienter snarest mulig, og senest innen 31. juli 2010. Mange reiser bort i fellesferien fra slutten av juni. Når planlegger dere å informere gjennom lokalaviser og på legekontorene?
- Vi er i gang med å utforme brev til legekontorene og starter dialogen med dem sannsynligvis neste uke. Oppslag til venteværelser og informasjonstekst til annonse ferdigstilles i disse dager. Vi vil også opprette egen nettside med informasjon til pasientene, med lenke til rapporten fra datatilsynet, skriver Slørdahl i en e-post til Universitetsavisa.
Saken har forgreininger over store deler av Vestlandet: Hvilke aviser vil dere informere gjennom?
- Hvilke aviser som er mest aktuelle er ennå ikke bestemt. Dette jobber vi med å få avklart.
- Det er snakk om 21 legekontorer i denne saken: Hvilke er disse?
- Vi innhenter fullstendig og bekreftet oversikt over hvilke legekontorer som har vært involvert i disse dager.
- Hvordan vil dere beklage bruken av pasientopplysningene, og hva vil dere tilby av tiltak og støtte for at pasientene skal kunne være sikre på at taushetsbelagte opplysninger ikke er misbrukt, eller kommet på avveie?
- Dette vil framgå av teksten som er under utarbeidelse. Vi vil informere i tråd med vedtaket fra Datatilsynet.
Unngår politianmeldelse
Datatilsynet vil ikke anmelde NTNU for lovbruddene. Universitetet har slettet pasientjournalene og kartlagt hvor dataene har tatt veien. Blant andre har to stipendiater allerede mistet mye av arbeidet med avhandlingene som følge av bruk av pasientjournalene. NTNU er allerede i gang med å utvikle systemer for internkontroll og avvikshåndtering for sensitive personopplysninger i forskningsøyemed for å sikre at alle prosjekter følger gjeldende lover og regler.
Varsler oversett
Datatilsynet framhever det som formidlende at NTNU ledelse ikke har vært klar over misbruket og at den reagerte raskt da forholdene ble kjent, men kritiserer samtidig at en varsling innad i miljøet på NSEP ikke ble håndtert forsvarlig, slik at lovbruddene kunne vært oppdaget tidligere.
Helsetilsynet skal granske legekontor
Pasientjournalene stammer fra totalt 21 legekontorer på Vestlandet, og ble skaffet til veie av professorer ved NSEP gjennom selskapet PROMED og Surnadal legekontor, sistnevnte med 6000 pasienter som må informeres gjennom lokalpresse og plakater på venterommet.
Datatilsynets kontroll har konsentrert seg om NTNU, men anser ”leverandørenes” handlemåte som så alvorlig at saken er oversendt Helsetilsynet for oppfølging overfor disse virksomhetene.
