Uppsala läns landsting gjorde 2012 journalerna tillgängliga på internet för patienter. Detta har följts av en härva av olaglig registrering av känsliga personuppgifter i olika forskningsprojekt, kvalitetsregister och verksamhetsuppföljningar.
Först tvingades de landstingsanställda att agera »testpiloter« och svara på en webbenkät med känsliga personuppgifter om hälsa och sexualliv som villkor för att få ta del av sin journal på nätet. I systemet identifierade de sig genom bank-ID eller e-legitimation, så att känsliga personuppgifter (direkt hänförbara till fysisk person) registrerades. Enkäten kallades initialt »forskningsprojekt« – protokollfört i facklig förhandling. När tillstånd från etikprövningsnämnden efterfrågades ändrade landstinget beteckning till »verksamhetsuppföljning«! Personuppgiftslagen följdes inte heller.
Att landstinget tvingar de anställda (i »underordnad och beroendeställning« i förhållande till arbetsgivaren) att uppge känsliga uppgifter om bl a könssjukdom för att få ta del av en samhällelig tjänst är upprörande. Det är inte tillåtet att utan samtycke tvinga medborgaren att svara på en webbenkät som del i en verksamhetsuppföljning. Inte heller framgår det vem som är personuppgiftsansvarig. Vidare saknas information om rätt till skadestånd och om rätten att få felaktigheter korrigerade etc.
Efter det att journalerna gjorts tillgängliga för hela befolkningen i Uppsala län sommaren 2012 genomförde landstinget ett forskningsprojekt med en webbenkät i ett samarbete med Uppsala universitet, Lunds universitet, Göteborgs universitet och Högskolan i Skövde. Svaren registrerades av ett externt dataföretag genom en s k molntjänst över internet, och uppgifter om bl a patienternas etnicitet och kroniska sjukdomar lagrades på en server i Danmark. Forskarna förlorade då den faktiska kontrollen över de känsliga personuppgifter som registrerats.
Som exempel på säkerhetsrisker kan nämnas att Försvarets radioanstalt (FRA) har laglig rätt att bedriva signalspaning på datatrafik över internet som passerar Sveriges gränser. Vilka risker för signalspaning som kan finnas utomlands är för oss okänt.
Datainspektionen kräver att den personuppgiftsansvarige som anlitar en molntjänst för insamling av känsliga personuppgifter ska göra såväl laglighetskontroll som risk- och sårbarhetsanalys. Det krävs också ett personuppgiftsbiträdesavtal med molnleverantören. I Uppsalafallet saknas tillstånd från etikprövningsnämnden, och forskarna har inte följt personuppgiftslagens regler om samtycke och information om personuppgiftsansvarig, rätt till skadestånd m m.
I rättsliga processer, som gått ända upp till regeringsrätten, har det fastställts att uppgifter insamlade genom webbenkäter utgör känsliga personuppgifter då de i vissa fall kan hänföras till fysisk person genom identifiering av IP-adresser.
I ett tredje projekt från landstinget i Uppsala län kommer patienter som läser sina journaler på nätet att inbjudas att svara på ytterligare en webbenkät. De ansvariga tycks till varje pris vilja undvika prövning av etikprövningsnämnden och kallar återigen projektet för verksamhetsuppföljning. Detaljerade uppgifter om vilka kroniska sjukdomar patienterna lider av kommer att registreras. Patienterna tilldelas ett elektroniskt ID och ska svara på en uppföljande enkät med samma frågor inom ett år.
Det finns visserligen en gråzon mellan forskning och verksamhetsuppföljning, men vår uppfattning är att denna interventionsstudie måste karaktäriseras som ett forskningsprojekt. En hypotes ska testas: att patienten kommer att ta mer ansvar för sin hälsa efter interventionen att patienten får tillgång till sin journal på nätet. Enkätundersökningen genomförs i elva länder som del i ett EU-projekt. Resultaten kommer att publiceras offentligt i en rapport till EU.
Enkäten i sin nuvarande form följer således varken personuppgiftslagen eller patientdatalagen. Vilken server data kommer att lagras på är för oss – liksom för de patienter som kommer att svara – okänt. Från landstingsstyrelsen – som är personuppgiftsansvarig – hörs ingenting.
Det är uppseendeväckande att ett EU-finansierat projekt inte följer vare sig EU:s dataskyddsdirektiv (den lagstiftning som ligger till grund för den svenska personuppgiftslagen) eller etikprövningslagen, vilken bl a baseras på internationella konventioner.
På annat håll har t ex SOM-institutet vid Göteborgs universitet varje år låtit tiotusentals svenskar svara på enkätundersökningar för forskningsändamål. Uppgifter om etniskt ursprung, politiska åsikter, religion, medlemskap i fackförening, hälsa och sexuell läggning har registrerats utan tillstånd från etikprövningsnämnden. Data har kunnat hänföras till fysiska personer genom streckkoder på pappersenkäter eller genom sifferkoder efter inloggning till webbenkäter. Data har lagrats på en server på Irland.
I en studie om lean-orienterat arbete har anställda vid femton enheter inom kommuner och landsting fått svara på webbenkäter från Linköpings universitet, Kungliga Tekniska högskolan och Örebroföretaget APeL AB. Känsliga personuppgifter om etnicitet och hälsa, vilka kan hänföras till fysiska personer genom e-postadresser, har registrerats i en molntjänst. Servern ligger visserligen i Sverige, men det framgår inte vem som är personuppgiftsansvarig, och samtycke från de registrerade har inte inhämtats på korrekt sätt. Projektet har godkänts av etikprövningsnämnden i Linköping, men trots det blev det fel.
Det är helt uppenbart att myndigheternas tillsyn måste skärpas och att informationen till forskare måste bli tydligare. Information om molntjänster saknas för närvarande helt på etikprövningsnämndernas webbplats, men finns på Datainspektionens. Den som uppsåtligen åsidosätter gällande lagstiftning måste straffas genom att polis och åklagare statuerar exempel. Juridiken kring molntjänster är komplicerad och kanske måste lagstiftningen ändras. De som deltar i olika webbenkäter, vare sig det gäller forskningsändamål eller s k verksamhetsuppföljning, måste få information om var och hur länge deras känsliga personuppgifter kommer att lagras och hur uppgifterna kommer att skyddas. Dessutom krävs information om vem som kommer att få tillgång till de känsliga personuppgifterna och för vilka syften.
Den enkättrötthet som redan finns riskerar att öka om inte medborgarna kan känna sig trygga med att känsliga personuppgifter, vilka de svarande haft vänligheten att tillhandhålla i webbenkäter, både skyddas och hanteras enligt gällande lagstiftning. Onödiga enkäter bör undvikas, annars löper vi risken att förstöra enkäten som redskap för ny kunskap i forskningen, liksom enkätens roll i förbättringsarbete i kvalitetsregister och verksamhetsuppföljningarna. Det förlorar vi alla på.
*
Potentiella bindningar eller jävsförhållanden: Inga uppgivna.
