Praktiserende læger har i flere år indberettet store mængder af personfølsomme oplysninger om deres patienter til en landsdækkende database, uden at databasen er godkendt til det i Statens Serum Institut.
Det er ulovligt, har flere eksperter i sundhedsjura vurderet over for P1 Orientering og DR Nyheder i denne uge.
Nu viser det sig, at databasen heller ikke er anmeldt til Datatilsynet, som den skal. Først efter at DR begyndte at grave i sagen, har den ansvarlige region indsendt en anmeldelse til Datatilsynet. Men ansøgningen er fyldt med forkerte oplysninger.
Det konstaterer lektor i sundhedsjura Kent Kristensen fra Syddansk Universitet i dag i P1 Orientering, på baggrund af den dokumentation, DR har fremskaffet i sagen.
Misvisende oplysninger
Det er Region Syddanmark, der er ansvarlig for databasen. Først i sidste måned, 3. september, sendte regionen en anmeldelse til Datatilsynet.
I en mail til P1 Orientering beklager Region Syddanmark, at databasen ikke har været fyldestgørende anmeldt, og tilføjer at: "En korrekt og aktuel anmeldelse er fremsendt til Datatilsynet den 3. september 2014".
Men anmeldelsen er langt fra korrekt og aktuel, siger sundhedsjuristen Kent Kristensen, som DR har forelagt anmeldelsen.
- Den er misvisende. Der er adskillige forkerte oplysninger i den her anmeldelse, siger han.
Ulovligt uden anmeldelse
Databasen, DAMD, indsamler blandt andet diagnosekoder, laboratorieværdier og medicinoplysninger på alle borgere, der er tilknyttet en praktiserende læge. Oplysningerne hentes automatisk via såkaldt datafangst fra lægens elektroniske journal.
Det har stået på i flere år, og det skulle være anmeldt til Datatilsynet, siger sundhedsjuristen Kent Kristensen.
- Det er i lovgivningen forudsat, at der ligger en anmeldelse over de data, der bliver behandlet, så når man i årevis har kørt uden sådan en anmeldelse, har det ikke været lovligt, siger Kent Kristensen.
Ikke kun afgrænset patientgruppe
Blandt andet står der i anmeldelsen, at DAMD-databasen behandler oplysninger om patienter, der får behandling på et "afgrænset behandlings- eller sygdomsområde".
- Det, vi ved, er, at man indsamler alle oplysninger fra almen praksis. Det vil sige, at man dagligt høster i omegnen af 100.000 registreringer for borgere, der er tilknyttet en praktiserende læge. Så det er langt fra rigtigt, at der kun indsamles data for et afgrænset sygdomsområde, siger Kent Kristensen.
Det er også forkert, når det i anmeldelsen er angivet, at data udelukkende skal bruges "i videnskabeligt eller statistisk øjemed".
- Oplysningerne fra DAMD-databasen går blandt andet videre til p-journalen, og så er det et krav i anmeldelsen, at man anfører, hvilke kategorier af modtagere, der er for de her data, siger Kent Kristensen.
Data til kontrol
I anmeldelsen har Region Syddanmark også oplyst til Datatilsynet, at der ikke vil blive foretaget samkøring af data til brug for kontrol.
Men i en bekendtgørelse fra Sundhedsministeriet, der trådte i kraft 2. september, står der, at helbredsoplysningerne skal sendes videre til regionerne til planlægning, kvalitetssikring og kontrol af de tilskud og honorarer, der udbetales til lægerne. Det skal ske i anonymiseret form.
- Så her er der også tale om en forkert oplysning i anmeldelsen, siger Kent Kristensen.
Korrekte oplysninger ville give afslag
Kent Kristensen vurderer, at Datatilsynet ikke ville kunne godkende DAMD-databasen, hvis Region Syddanmark havde givet korrekte oplysninger om, hvordan patienternes data indsamles og videregives.
- Man opfylder ikke betingelserne for at få databasen godkendt, fordi den indsamler oplysninger i langt videre omfang, end det er lovligt, for den indsamler ikke kun helbredsoplysninger om afgrænsede grupper af patienter, siger Kent Kristensen.
Region Syddanmark har også på et andet punkt haft rod i papirerne. Det er nemlig ikke regionen selv, der behandler de mange oplysninger i databasen, men DAK-E, som er de praktiserende lægers og regionernes fælles enhed for kvalitetsudvikling.
Ingen aftale om databehandling
Det indebærer, at der skal foreligge en aftale mellem Region Syddanmark og DAK-E, en databehandleraftale. Men regionen og DAK-E har først underskrevet sådan en aftale 1. september i år, efter at DR er begyndt at interesse sig for sagen.
- Der skal være en databehandleraftale mellem den dataansvarlige myndighed og databehandleren. Det er den eneste måde, man kan sikre sig som dataansvarlig myndighed, at man har styr på, hvad databehandlerne må og ikke må gøre med oplysningerne i databasen, siger Kent Kristensen.
Når dataindsamlingen har stået på i årevis, uden en databehandleraftale, har det været ulovligt, lyder vurderingen fra Kent Kristensen.
P1 Orientering har i dag forsøgt at få Region Syddanmark til at svare på kritikken i et interview, men det er ikke lykkedes.