Totalt er det snakk om 116 000 personer fra 21 legekontor.
Opplysningene – som Datatilsynet karakteriserer som til dels ”svært sensitive” - stammer fra primærhelsetjenesten og kan direkte identifisere personene i datasettene. Saken, som har fått uforskyldt store følger for to stipendiater ved Institutt for datateknikk, startet i mai i 2009 ( se relatert sak). Da sendte Helsedirektoratet en bekymringsmelding til Datatilsynet om NSEPs ønske om forskningsbruk av sensitive pasientopplysninger.
Finnes ikke samtykke
Etter en gjennomgang av saken konkluderer Datatilsynet med at NSEP ikke har innhentet informert samtykke fra de 116.000 personene i det store journalmaterialet.
Opplysningene omfatter pasientenes helsesituasjon over lengre tid, de kan inneholde informasjon om både fysiske og psykiske forhold, og innbefatte sensitive forhold fra spesialisthelsetjenesten. I tillegg omfatter noen av journalene opplysninger om tredjeparter, som pasientens familiemedlemmer, partnere, eller andre i nærmeste omgangskrets.
Ifølge helseregisterloven har man kun lov å behandle elektroniske helseopplysninger dersom det finnes samtykke fra hver enkelt pasient. Elektroniske registre er omfattet av meget strenge håndteringsregler fordi digitalt innhold lett kan kopieres og spres til svært mange mennesker.
I henhold til Helseregisterloven paragraf 24 pliktet NSEP ifølge Datatilsynets rapport å informere alle innbefattet av forskningen om formålet med databehandlingen; om at det var frivillig å delta i prosjektet; og frambringe all relevant informasjon som skulle gjøre pasienten i stand til å ivareta rettigheter etter loven.
NTNU: Umulig situasjon
”Virksomheten ser store utfordringer knyttet til å få kontakt med alle pasientene som har vært omfattet av behandlingen.”
Det skriver NTNU i et tilsvar til Datatilsynet. Men NTNU har slettet de ulovlige pasientjournalene, etter krav fra Datatilsynet, og dermed er også identitetene borte. Det betyr at universitetet i dag verken har navn, adresser eller tilhørende legekontor på personene som skal informeres om de mulige lovbruddene.
Prodekan ved DMF, professor Helge Klungland, leder arbeidet fra fakultetets side mot Datatilsynet.
- Vi håper at tilsynet vil ha forståelse for at dette kan bli vanskelig, sier han.
Pasienter på Vestlandet
Pasientopplysningene stammer i hovedsak fra to kilder og to professorer: Surnadal legekontor, og fra det private firmaet PROMED AS sine kunder på Vestlandet. Til sammen skal det være snakk om over 20 ulike legekontorer.
PROMED AS er i dag meldt oppløst. Det har levert Programmeringstjenester til legekontorer, og har i den forbindelse hatt kopier av legejournaler for testing og utvikling.
Databehandling under enhver kritikk
Gjennom personlige intervjuer med sentrale personer ved NSEP har Datatilsynet dannet seg et bilde av pasientjournalenes vandring fra legekontorer på Vestlandet, over Dovre til Trondheim, samt om hva som har skjedd med dataene i perioden helt fram til Helsedirektoratet slo alarm sist vår.
De elektroniske pasientjournalene fra Surnadal legekontor ble i følge rapporten overført til en utrangert, usikret og ukryptert dataserver på stedet, og bragt over fjellet allerede i 2004.
Hvordan datasettene er brukt i de nesten fem årene fram til våren 2009, har ikke tilsynet full oversikt over.
Pasientjournalene fra begge kilder har ligget på professorenes egne datamaskiner, sannsynligvis på deres egne kontorer. De skal ikke ha vært koblet til NTNUs datanettverk, men det er usikkert hvor godt sikret selve dataopplysningene har vært i form av kryptering eller andre foranstaltninger.
Ikke gyldige avtaler
Det foreligger ikke gyldige avtaler i henhold til helseregisterloven mellom NTNU/NSEP og Surnadal legekontor, eller mellom legekontoret og de enkelte pasientene, konkluderer Datatilsynet.
Langt de fleste opplysningene stammer imidlertid fra PROMED AS sine kunder. Hele 110.000 pasientjournaler fra 21 legekontorer. Her finnes det en avtale mellom firmaet og legekontorene om bruk av anonymiserte data. Data brukt ved NTNU har imidlertid hatt direkte identifiserende opplysninger i seg.
En professor med bakgrunn fra PROMED AS har etter eget utsagn hatt digitale sikkerhetskopier hjemme hos seg selv, og i sin bil, på en usikret harddisk. Han brakte med seg pasientjournalene fra PROMED AS til NTNU midt i 2007.
Datatilsynet har begrenset sin undersøkelse til NTNU og NSEP, men konstaterer at det heller ikke i forhold til det private firmaet PROMED eksisterer skriftlige avtaler mellom universitetet og legekontorene om forskning på journalene. Datatilsynet anbefaler at Helsemyndighetene tar nødvendige skritt for å etterforske også virksomheter med forgreininger til NSEPs ulovlige databehandling.
- Mye god forskning tapt
- Dette har gått ut over to svært flinke stipendiater hos oss. Arbeidet som nå ikke kan brukes i deres avhandlinger, inneholdt meget interessante forskningsresultater. På sikt ville avhandlingene ledet til enda mer interessant forskning, sier fungerende leder ved NSEP, professor Arild Faxvaag.
Han tiltrådte som fungerende leder først i juli 2009 – etter at Helsedirektoratet hadde varslet Datatilsynet.
Så langt Faxvaag kjenner til, begrenser skadene seg til de to doktorgradsarbeidene.
Faxvaag slutter seg til dekan Stig Slørdahl, som mener mye av årsaken til systemsvikten ligger i den særegne organisatoriske stillingen ved tverrfaglige ”sentra”, hvor lederen ikke har personal- og administrasjonsansvar for driften. Dermed faller kontrollansvaret faller mellom alle stoler.
Tar lærdom
- Det er vanskelig å drive tverrfaglig forskning. Det tror jeg alle kan skrive under på, sier Faxvaag, som selv er medisiner.
- Det som er lærdommen etter denne saken er at tverrfaglig forskning forutsetter en høy bevissthet om forskningsetiske problemstillinger og tydelige rutiner. Dette er nå på plass, forsikrer Faxvaag.
NSEP er i hovedsak samarbeid mellom medisinere og datateknologer. I kjølvannet av Datatilsynets avsløringer, er ansvaret for internkontroll forankret hos daglig leder.
- Hvis ikke forskerne følger våre interne rutiner, har jeg myndighet til å kaste dem ut, slår Faxvaag fast.
Rette saksbehandlere ved Datatilsynet har foreløpig ikke vært tilgjengelige for kommentar.
Universitetsavisa presiserer at Datatilsynets rapport er foreløpig.
