Personvern er bare ett av mange lovpålagte hensyn i helsevesenet. Når personvern får forrang foran pasientens beste, er vi på ville veier. Ansvaret ligger hos staten som sykehuseier.
Foto: Einar Nilsen
«Dine opplysninger brukes kun til …», «Du kan til enhver tid trekke ditt samtykke tilbake …». Vi har alle mottatt slike e-poster etter at EUs personvernforordning – The General Data Protection Regulation (GDPR) – ble innlemmet i ny personopplysningslov 20. juli 2018 (1).
Hensikten med endret regelverk er blant annet at innbyggere i EU og EØS skal få enklere tilgang til opplysninger om seg selv og til å be om at data slettes. Men de nye reglene har også konsekvenser for behandling av helseopplysninger, inkludert bruk i kvalitetssikring og medisinsk forskning.
Tidligere hadde man melde- og konsesjonsplikt til Datatilsynet. Det var frivillig å ha personvernombud, og virksomheter med personvernombud kunne få unntak fra meldeplikten. Med de nye reglene har dette bortfalt. Alle offentlige organer, og en del private, må nå ha et personvernombud. Personvernombudet har en rådgivende rolle for behandlingsansvarlig, for eksempel et sykehus, som i sin tur skal sikre at det finnes behandlingsgrunnlag, dvs. et lovlig grunnlag for behandling av personopplysninger. Behandlingsansvarlig har også fått nye plikter i form av krav om dokumentasjon og konsekvensvurderinger, og i noen tilfeller forhåndsdrøftinger med Datatilsynet.
For medisinsk og helsefaglig forskning har forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) tidligere vært tilstrekkelig for behandling av personopplysninger. Det er det ikke lenger. Nå må behandlingsansvarlig også sikre at det foreligger et behandlingsgrunnlag (2).
I vinter har det kommet frem at lovverk om behandling av pasientopplysninger tolkes forskjellig (3). Leger ved Oslo universitetssykehus har uttrykt sterk uenighet med sykehusets personvernombud og hevder at personvernreglene tolkes så strengt at det går ut over pasientsikkerheten og mulighetene for å drive klinisk forskning (4).
Med lite rettspraksis og mer ansvar hos institusjonene er det å forvente at tolkning av ny personopplysingslov varierer. Mye tyder på at det ikke bare er et teoretisk problem. Eksempelvis har Refsum og medarbeidere nettopp avsluttet et nasjonalt forskningsprosjekt om kreftrisiko som involverte mange sykehus (5). Det viste seg å være svært vanskelig å gjennomføre, selv med REK-godkjenninger i orden. Forskerne opplevde god saksbehandling i sykehus der Norsk senter for forskningsdata (NSD) var personvernombud. I sykehus som holdt seg med lokale personvernombud, opplevde de derimot «utrolige begrunnelser for merkelige lokale regler, prosedyrer og forbud» og ikke minst «sykehusledere som lar ombudene operere langt utover deres mandat» (5).
Dette siste ser ut til å være et gjennomgående problem. Personvernombudenes rolle er å rådgi. I praksis synes deres råd å være bindende. Det er mange grunner til at det er slik. Manglende juridisk kompetanse i sykehusene kan være en av dem. En annen kan være at sykehusene risikerer store bøter, opptil 4 % av brutto omsetning, dersom personopplysningsloven brytes (6). Ved pasientskader, derimot, risikerer de ikke økonomiske sanksjoner. Det ansvaret er overført til Norsk pasientskadeerstatning (NPE). Satt på spissen: For sykehus er det økonomisk mer risikabelt å ikke tolke personvernreglene strengt enn å gi medisinsk uforsvarlig behandling. I praksis har vi sett eksempler på at sykehusene ikke er villige til å overprøve eget personvernombud, selv i tilfeller der fagfolk gjentatte ganger har pekt på at ombudets beslutninger setter pasientsikkerheten i fare (4).
Dertil er det i helsesektoren en rekke andre lover som regulerer behandling av pasientopplysninger, slik som helsepersonelloven og pasient- og brukerrettighetsloven. I noen tilfeller vil disse få forrang foran hensynet til personvern. Uansett må alltid de ulike lovverkene veies mot hverandre når beslutninger om bruk av personopplysninger skal tas (1, 7). I siste instans er alt lovverk som regulerer forsvarlig helsevirksomhet, til for å ivareta pasientens beste. Derfor kan personopplysningsloven aldri tolkes i et vakuum. Ansvaret ligger hos helseforetakene. Og til syvende og sist ligger det, slik en av landets mest erfarne helsejurister påpeker, hos staten som sykehuseier (7).
