Ikke til å tro
Norsk senter for elektronisk pasientjournal NSEP får beinhard kritikk av Datatilsynet for sin lemfeldige behandling av pasientdata. UA har gjennom flere artikler gitt offentligheten innsyn i en omgang med sensitive data som ikke er til å tro. Så langt har to doktorgradsstipendiater fått to års arbeid spolert. Hvordan kunne dette skje?
Det kan synes som NSEP har fulgt mottoet ”det er lettere å få tilgivelse enn tillatelse” i denne saken. I 2009 søkte NSEP Helsedirektoratet om tillatelse til forskningsbruk av sensitive pasientopplysninger. Direktoratet kunne tilby verken tillatelse eller tilgivelse. I stedet sendte de en bekymringsmelding til Datatilsynet, som så gikk til kontroll av NSEP. Det viste seg at pasientdataene allerede hadde vært i bruk en god tid – de var gitt to intetanende stipendiater, som i beste tro anvendte dem i sitt doktorgradsarbeid.
Skandalen som utspiller seg ved NSEP har to sider. På den ene siden har to stipendiater mistet to års innsats som forskerrekrutter. De forsøker nå å legge det hele bak seg og arbeider for å ta igjen det tapte.
På den andre siden har 116 000 personer fått sine pasientdata, som Datatilsynet karakteriserer som til dels ”svært sensitive”, anvendt i vitenskapelige artikler. I sin foreløpige rapport skriver Datatilsynet blant annet:
”Det anses som skjerpende at NTNU ikke kan dokumentere å ha hatt nødvendig kontroll med behandlingen av opplysningene ved NSEP. Det kan derfor reises alvorlige innvendinger i forhold til om informasjonssikkerhet har blitt tilfredsstillende ivaretatt ved behandlingen, herunder kravet til konfidensialitet.”
NSEP er en del av NTNU, som dermed står juridisk og overordnet faglig ansvarlig for hva NSEP foretar seg. Når Datatilsynet valgte å ikke politianmelde NTNU i saken, var det fordi man anså at universitetsledelsen har ”reagert adekvat” som det står, straks man mottok varsel om det inntrufne.
NTNU sentralt får ros for å ha tatt på alvor den ene stipendiaten som varslet om den lemfeldige omgangen med sensitive pasientdata. Samtidig får universitetet ris for å selv å ha brakt seg i denne uheldige situasjonen, ved manglende internkontroll: Man har ikke hatt den nødvendige kontroll med NSEPS behandling av slike data.
Tilsynet beretter imidlertid om at stipendiaten sendte bekymringsmeldinger til flere persomer, gjentatte ganger, over at nødvendige godkjenninger ikke var innhentet. Det var først da administrasjonen ved universitetet ble kontaktet at man satte i gang undersøkelser av saken.
Gjort er gjort og spist er spist – nå er det opp til NTNU å sørge for at slikt ikke gjentar seg. Antakelig var dette et enkeltstående tilfelle. Men det faktum at stipendiaten måtte varsle gjentatte ganger før noe skjedde, er egnet til bekymring.
Datatilsynet konkluderer med at man ”velger å tro at foreliggende situasjon ikke er representativt for universitetet…” Det er et fromt håp, som herved tiltredes.
