Du skal vide, hvor data er, førend du kan passe på dem. Det var med sikkerhedseksperten Jakob Holm Hansens pointe ringende i ørerne, at jeg satte mig for at finde ud af, hvor danskernes sundhedsdata egentlig er registreret.
Hans hovedpointe er, at virksomheder skal vide, hvilke data de behandler og opbevarer, samt hvor data befinder sig, inden de kan begynde at sikre dem med sikkerhedsteknologi. Mon der er et overblik over, hvor og hvordan danskernes sundhedsdata behandles og opbevares?
Jagten på registrene
Mit første stop var hos Sundhedsdatastyrelsen, hvor jeg stillede et enkelt spørgsmål: Hvor er danskernes sundhedsdata registreret?
Svaret fra Sundhedsdatastyrelsen kom efter et stykke tid – meget udførligt med henvisning til diverse paragraffer i persondataloven. Den komprimerede version af svaret: ”Der findes en lang række steder, hvor borgeres sundhedsdata er registreret i registre. Sundhedsdatastyrelsen har kun mulighed for at svare på den del, der handler om egenaccess i de registre, vi administrerer, og som indeholder borgeres sundhedsdata. Herudover kan borgeres sundhedsoplysninger være registreret i patientjournaler i regioner, kommuner, hos privatpraktiserende speciallæger, privathospitaler o.a. Hertil kommer, at sundhedsoplysninger tillige kan indgå i forskningsprojekter.”
På Sundhedsdatastyrelsens website kunne jeg se, hvilke registre styrelsen administrerer, men det er jo kun en lille del af det samlede antal.
Flere hundrede registre
Da jeg senere talte med Thomas Birk Kristiansen, der er formand i Patientdataforeningen, spurgte jeg, om han kendte til alle registrene, hvor danskernes sundhedsdata var. Det gjorde han ikke, men han kunne pege mig i retning af andre, som havde forsøgt at få et overblik. I en artikel fra 25. januar på dr.dk har journalisterne eksempelvis opgjort antallet af sundhedsdata-registre til 164.
Men der er andre optællinger, som giver et andet slutresultat. Den 23. februar 2017 spurgte Peder Hvelplund fra Enhedslisten sundhedsminister Ellen Trane Nørby (V) om, hvor mange offentlige sundhedsregistre, der findes. Svaret til Peder Hvelplund var en lang liste over registre - pænt ordnet efter, hvilken myndighed der har data-ansvaret. Sundhedsdatastyrelsen, Lægemiddelstyrelsen, Statens Serum Institut, Styrelsen for Patientsikkerhed, regionerne samt Danmarks Statistik.
I min optælling fik jeg det til 199 registre.
Der vil være system- og databaseadministratorer, som har adgang til data foruden forskellige typer af brugere, afhængigt af, om de enkelte systemer følger princippet om principle of least privilege.
Forskningsregistre undtaget
Til de 164-199 registre skal der lægges et ukendt antal forskningsregistre, da de ikke tælles med: ”Dataudtræk med sundhedsdata i forbindelse med konkrete forskningsprojekter er til eksempel ikke medtaget, ligesom Danske Regioner til besvarelsen har oplyst, at eksempelvis lokale forskningsdatabaser i regionerne ikke er medtaget, for så vidt angår deres besvarelse,” som det hedder i svaret fra sundhedsministeren.
Kort før Prosabladets deadline kunne netmediet Version2 oplyse resultatet af en aktindsigt hos de fem regioner, hvor Version2 havde spurgt, hvilke forskningsprojekter der benytter databehandlere uden for EU. Det tog tre måneder for Region Hovedstaden at finde frem til et svar, mens Region Syddanmark opgav at finde et svar. Det var for besværligt.
For de fire resterende regioner var der 63 forskningsprojekter, hvor data håndteres uden for EU. Det er selvfølgelig ikke et problem i sig selv, hvis der blot er en databehandleraftale, og der samtidig føres kontrol med sikkerheden og adgangen til data.
Man kunne dog få den tanke, at hvis det er svært at skaffe sig et overblik over, i hvor mange projekter databehandleren befinder sig uden for EU, så er der måske heller ikke helt styr på kontrol med sikkerheden?
Mulighed for indsigt
Du har mulighed for at få indsigt i, hvilke data Sundhedsdatastyrelsen har registreret om dig. Sundhedsdatastyrelsen er ansvarlig for Landspatientregisteret, Lægemiddelstatistikregisteret, Dødsårsagsregisteret, Cancerregisteret, Det danske Vaccinationsregister, Vævsanvendelsesregisteret, Regionernes kliniske kvalitetsdatabaser og Fælles Medicinkort.
Hvis man ikke har fået indsigt inden fire uger, skal den dataansvarlige begrunde hvorfor. Hvis oplysningerne udelukkende behandles i videnskabeligt øjemed eller anvendes til at udarbejde statistikker, kan man ikke få dataindsigt.
Sundhedsdatastyrelsen oplyser følgende om indsigt: ”Der er ingen formkrav til, hvordan man kan søge om egenaccess, så det kan ske både mundtligt og skriftligt. For at kunne undersøge, hvorvidt der måtte være eventuelle registreringer om den pågældende borger i styrelsens registre, beder vi om at få oplyst vedkommendes CPR-nummer. Dette er for at sikre entydig identifikation af den, der anmoder om egenaccess, og dermed også sikring af, at den, der eventuelt meddeles egenaccess, er rette vedkommende. Man kan sende sit CPR-nummer ind via sikker e-mail til Sundhedsdatastyrelsens hovedpostkasse, kontakt@sundhedsdata.dk. Ens postkasse skal så være sat op til at kunne sende sikkert. Hvis man har e-Boks, kan man også sende sikker mail til Sundhedsdatastyrelsen direkte fra sin e-Boks.”