Debatt

Gode helseregistre på avveie

Nylig kunne Bergens Tidende melde om at helseopplysninger for 65 000 pasienter i Helse Vest er «kommet på avveie». Ved et uhell har opplysningene havnet hos leverandøren av medisinsk-teknisk utstyr, det amerikanske selskapet GE Healthcare. Til avisen uttaler Helse-Bergens direktør Stener Kvinnsland: «Vi har alle kastet oss over dette og vi er heilt sikre på at informasjon ikkje er komen på avveie. Men dette var aldri meininga.»

Datatilsynet på sin side slår fast at det er nettopp det som er skjedd: Informasjon er kommet på avveie. Hva som mer er: Uhellet ville neppe blitt oppdaget dersom ikke GE Healthcare selv hadde tatt kontakt med Helse Vest da de oppdaget hva som hadde skjedd.

Man kan undres over hva som skjer i tilfeller med mindre rettskafne samarbeidspartnere, eller der hvor opplysninger havner hos parter som ikke står i et kontraktsmessig forhold til helseforetakene. I digitaliseringens tidsalder er det bare et tidsspørsmål før faren for medisinsk identitetstyveri, et lite kartlagt men raskt voksende fenomen, må tas på alvor.

I 2010 vedtok norske myndigheter en strategi for digitalisering av helseregistre, kalt «Gode helseregistre – bedre helse». Strategien la opp til en omfattende sentralisering og samordning av eksisterende helseregistre. Den banet dermed også vei for fremtidig integrering av slike registre med biobanker, som er lagre av biologisk materiale og helseinformasjon til bruk for forskning. Strategien gikk inn for ikke-anonymiserte registre, det vil si at opplysninger innhentet gjennom kontakt med helsevesenet i prinsippet kan tilbakeføres til den enkelte pasient. Dette ble vedtatt gjennom sterkt press fra deler av det politiske miljøet, Folkehelseinstituttet og ledende aktører ved landets helseforetak.

Parallelt vedtok Stortinget endringer i helseregisterloven som avvek fra tidligere restriksjoner og prinsipper knyttet til personvern og informert samtykke. Alternative forslag fra Datatilsynet og Bioteknologinemda ble satt til side, og protester fra opposisjonen ble konsekvent neglisjert. Symptomatisk var helseminister Anne-Grete Strøm-Erichsens utsagn om at «jeg ville aldri tilgi noen dersom personvernet skulle være til hinder for muligheten til å få riktig behandling av beste kvalitet» (i tale 27.01.2010).

«Gode Helseregistre»-strategien la til grunn at man ikke kjente til «noen saker hvor helseopplysninger fra registrene er kommet på avveie». Dette ble gjentatt som et mantra gjennom hele rapporten og inngikk som sentralt premiss i rapportens faktagrunnlag. Vi prøvde den gang uten hell å komme til orde i dagspressen med det argument at faktagrunnlaget var feil. Det finnes faktisk kjente eksempler på at opplysninger kommer på avveie, og det bør også tas høyde for at slike tilfeller forekommer uten at de blir gjort kjent.

Men selv om faktagrunnlaget i «Gode Helseregistre» hadde vært korrekt, er det jo klart at det forelå en logisk brist: Det refererte til erfaringer i en ikke-digitalisert verden, mens hele formålet med strategien jo var å digitalisere helsevesenet. Tilfellet i Helse Vest leverer et kraftfullt eksempel, eller om man vil, 65 000 eksempler, på at «Gode Helseregistre», med eller uten hensikt, villedet den norske offentligheten.

Det var ikke bare faktagrunnlaget som var tvilsomt. Også behandlingen av personvern og informert samtykke var gjort med en harelabb. Personvernet ble i stor grad satt til side til fordel for et sterkt fokus på «datasikkerhet». Samtidig er datasikkerhet ingen konstant størrelse, men snarere en funksjon av en rekke faktorer: Det er den stadige kampen mellom de som vil sikre og de som vil bryte seg inn, men det er også, som i tilfellet Helse Vest, uventede glipp som man vanskelig kan forutse. Slike glipper er ikke bare utslag av tekniske feil eller menneskelig svikt: De er iboende muligheter i store distribuerte datasystemer. En realistisk tilnærming, viser det seg nå, krever ydmykhet overfor disse usikkerhetsmomentene, ikke skråsikker påståelighet.

Sommeren 2012 trer et nytt og forsterket europeisk datadirektiv i kraft. Det nye direktivet anerkjenner de store problemene med å ivareta personvern og informert samtykke i opprettelsen av store databaser, ikke minst slike som også skal anvendes for forskningsformål. Like fullt opprettholder direktivet plikten til å ivareta individuelle rettigheter. Blant annet innfører det en såkalt personvern-vurdering (privacy assessment), som innebærer en uavhengig vurdering av databasers mulige implikasjoner for den enkeltes rettigheter. Kreftene bak «Gode Helseregistre» gikk i motsatt retning, idet den ikke anerkjente autoriteten til uavhengige kontrollinstanser som Datatilsynet og Bioteknologinemda, men i stedet var seg selv nok.

«Gode Helseregistre» ble vedtatt som en strategi for reformering av det norske helsevesenet i tiden frem til 2020. Allerede nå synes det klart at strategien er uegnet som underlag for offentlig debatt og som grunnlag for en ansvarlig og etisk robust utvikling. Den er bygget på forestillinger om teknologisk kontroll forfektet av en gruppe aktører i helse- og forskningssektoren med sterke interesser i den utviklingen som fremmes.

Disse aktørene brukte et feilaktig faktagrunnlag og ekskluderte demokratisk korrigerende og kontrollerende institusjoner. Strategien vil ha store konsekvenser for alle brukere av helsetjenester. Den berører kjernen av de tillitsrelasjonene som helsevesenet er, og fortsatt bør være, bygget rundt. Vi foreslår at strategien legges til side og gjøres til gjenstand for en ny, upartisk utredning i tråd med det nye datadirektivet, og at den underkastes grundig offentlig debatt.

Kjetil Rommetveit
Senter for vitenskapsteori, UiB

Roger Strand
Senter for vitenskapsteori, UiB

Jan Reinert Karlsen
Senter for vitenskapsteori, UiB

Mer fra Debatt