Medicinalvirksomheder som Pfizer modtager oplysninger om danskerne hos Statens Serum Institut. Lektor i sundhedsjura vurderer, at der generelt bliver udvekslet så mange oplysninger fra staten, at det er på kant med persondataloven.
Det er langtfra kun forskere på hospitaler og universiteter, som henter hjælp til deres arbejde hos den danske stat., skriver Berlingske.
På en komplet liste over, hvilke institutioner og virksomheder der i 2012 og 2013 fik udleveret dataudtræk fra Statens Serum Institut, figurerer internationale medicinalvirksomheder som Astellas Pharma, AstraZeneca og Pfizer.
I løbet af de to år blev der 22 gange leveret dataudtræk til private virksomheder, blandt andet fra CPR-registret, Dødsårsagsregistret og Landspatientregistret. I 15 af de 22 tilfælde var dataene så nøjagtige, at de private virksomheder havde mulighed for at identificere, hvilke personer der var tale om.
Praktiserende læge i Roskilde Niels Ulrich Holm, som sidder i bestyrelsen i Praktiserende Lægers Organisation (PLO), kalder statens udlevering af data til medicinalvirksomheder for »problematisk«.
»Vil de gerne lave et forsøg på en bestemt gruppe, kan de jo annoncere efter personer i avisen. Det skal staten da ikke hjælpe med. Det er yderligere problematisk, fordi vi ved, at virksomheder i flere tilfælde undlader at offentliggøre ufordelagtige resultater,« siger Niels Ulrich Holm.
Også Forbrugerrådet Tænk er kritisk over for, at private virksomheder har adgang til statens registre over danskerne.
»Det er særligt problematisk, at personhenførebare oplysninger udleveres til den private sektor, fordi der er en øget risiko for kommerciel udnyttelse,« siger seniorjurist Anette Høyrup.
Folketingets rets- og kulturudvalg har for nylig krævet, at danskernes data skal beskyttes bedre, og Anette Høyrup mener, at politikerne også skal fokusere på muligheden for at anonymisere sundhedsdata, som udleveres til forskning.
Formanden for Lægeforeningen, Mads Koch Hansen, frygter, at udlevering af personhenførbare patientdata til private firmaer kan undergrave læge-patient-forholdet.
»Det er grænseoverskridende, hvis personhenførbare data om sygdom kommer private firmaer i hænde, uden at patienten har godkendt det«, siger han.
I 2013 udleverede Statens Serum Institut navne og adresser til medicinalvirksomheden Pfizer på cirka 225.000 danskere. De udvalgte var alle i alderen 10-25 år og fra samme region. Pfizer skulle i samarbejde med Aarhus Universitetshospital rekruttere forsøgspersoner til en vaccine.
Men spørgsmålet er, om det overhovedet var nødvendigt, at Pfizer fik de oplysninger?
I hvert fald oplyser Pfizer, at virksomheden helst havde været fri for at modtage de personhenførbare oplysninger. Ifølge senior manager Hans-Jacob Randskov bad Pfizer Statens Serum Institut om at sende oplysningerne direkte til Aarhus Universitetshospital.
»Men vi fik at vide, at vi skulle modtage dem, fordi vi var den dataansvarlige virksomhed. Vi fik et rekommanderet brev fra Statens Serum Institut, som vi hurtigt lagde i en ny kuvert til Aarhus Universitetshospital. Pfizer har ingen interesse i de navne og adresser. I den givne situation havde det været nemmere, hvis Statens Serum Institut havde sendt de data direkte til hospitalet,« siger Hans-Jacob Randskov.
Medicinalvirksomheden AstraZeneca modtog november 2012 data fra Landspatientregistret; det samme gjorde virksom-heden Astellas Pharma august 2013. Disse data var dog anonyme.
I løbet af 2012 og 2013 rekvirerede den private virksomhed CCBR fra Ballerup seks gange datasæt fra Statens Serum Institut, især fra CPR-registret. I ét af de seks udtræk til CCBR er der udvekslet CPR-numre frem og tilbage, oplyser Statens Serum Institut.
CCBR er en forskningsvirksomhed, der har specialiseret sig i at gennemføre kliniske forsøg, altså forsøg med mennesker. CCBR er bindeled til medicinalindustrien, men har både medicinalvirksomheder og offentlige institutioner som kunder.
CCBR kom i offentlighedens søgelys i efteråret 2013, da virksomheden skulle bruge et par hundrede forsøgspersoner, men ved en fejl i udvekslingen fik oplysninger på 84.000 danskere, som CCBR kontaktede. Desuden fik flere af de adspurgte fejlagtigt at vide, at de havde en hjertesygdom.
»Udtrækkene har meget stor værdi for os. Det er netop en af de ting, der sætter dansk forskning på landkortet og trækker international forskning til Danmark,« siger Hans Chr. Hoeck, direktør i CCBR.
Spørgsmål: Men udstiller fejlen fra efteråret 2013 ikke risikoen ved dataudveksling?«
Nej. Hvor der er mennesker involveret, sker der fejl. En af mine medarbejdere kom ved en beklagelig fejl til at sende breve til personer, der ikke havde hjertekarsygdomme,« siger Hans Chr. Hoeck.
Søndag skrev Berlingske, at Statens Serum Institut udleverer enorme mængder data til offentlige og private institutioner. Alene i 2012 og 2013 blev der udleveret 634 unikke træk fra adskillige databaser. Alene ét udtræk kan indeholde oplysninger om flere hundrede tusinde danskere. For nylig blev der leveret ét udtræk med navne, adresser og CPR-numre på ca. en million personer. Statens Serum Institut vurderer selv, at instituttet årligt sender »flere millioner CPR-numre« til forskningsprojekter.
Udleveringen sker med hjemmel i persondatalovens paragraf 10, som kræver »væsentlig samfundsmæssig betydning«, og at databehandlingen er »nødvendig« for projektet.
Kent Kristensen, lektor i sundhedsret ved Syddansk Universitet, kalder udleveringen for »voldsom«.
»Der er ingen tvivl om, at man har åbnet for sluserne. Tavshedspligten og retten til fortrolighed er mere blevet til undtagelsen end hovedreglen. Vi kan især frygte, at patienter bliver tilbageholdende med at søge behandling, og at lægerne ikke får alle nødvendige oplysninger,« siger han.
Lektoren vurderer faktisk, at udvekslingen er så massiv, at den er på kant med persondataloven.
»Loven siger, at man kun må videregive det absolut nødvendige. I mange tilfælde handler dataudvekslingen om, at virksomhederne eller institutionerne forsøger at finde forsøgspersoner. Der er ingen grund til, at forskerne ikke bare kunne få anonyme lister med en kode til hver person. Når virksomhederne så havde fundet de relevante forsøgspersoner, kunne de sende koderne tilbage til Statens Serum Institut, som kunne skrive direkte ud til forsøgspersonerne. På den måde kunne man undgå at udveksle CPR-numre og oplysninger, der er direkte personhenførbare, for eksempel navne og adresser,« siger Kent Kristensen.
Debatten om danskernes sundhedsdata er stærkt polariseret. I den ene grøft bliver der argumenteret for, at Danmark har helt unikke registre, og at det gælder om at benytte dem for at skabe værdi. I den anden grøft er der - ikke mindst i visse lægekredse - stor skepsis overfor, at danskernes oplysninger bliver udleveret af staten uden patienternes samtykke.
Eller som Peter Blume, professor i persondataret ved København Universitet, formulerer det:
»På den ene side hører vi argumentet om, at det enkelte menneske selv skal have kontrol over sine data. På den anden side står hensynet til befolkningens generelle sundhed.«
Selv hælder Blume til, at sundhedsdata skal »udnyttes på en forsvarlig måde.«
Sundhedsminister Nick Hækkerup (S) har ikke ønsket at stille op til interview. Han skriver i en mail, at det »ikke er nogen nem sag.« Ministeren har stor forståelse for, at mange kan være bekymrede for, om deres personlige oplysninger misbruges, men at der samtidig er nødt til at være en grundlæggende tillid til, at myndighederne følger reglerne.
Marianne Gjerstorff, sektionsleder i Forskerservice ved Statens Serum Institut, henviser til, at dataansøgerne har indhentet de fornødne tilladelser, inden de får udleveret datasæt:
»Vi ved godt, at det er kommercielt, når det er til medicinalvirksomheder, men Pfizer samarbejder for eksempel med en sygehusafdeling og har indhentet de fornødne tilladelser, og så vi må jo antage, at det er i orden.«
Spørgsmål: Hvem har besluttet, at der er hjemmel i persondataloven til, at danskernes private persondata kan udleveres til medicinalvirksomheder?
»Lovgivningen skelner ikke mellem, om det er det offentlige eller private, der får oplysningerne. Formålet bestemmer, om der er hjemmel. Ellers går jeg ud fra, at Datatilsynet er et godt sted at spørge,« siger hun.
Maiken Christensen, chefkonsulent i Datatilsynet, vurderer, at forskning ikke behøver at vedrøre liv eller død for at være af samfundsmæssig betydning.
»Men du må jo spørge Statens Serum Institut, med hvilken hjemmel man har udleveret personoplysninger til private virksomheder.«
Spørgsmål: Er det ikke jer, der er tilsynsmyndighed?
»Det er jeg med på. Men vi kan ikke være inde over hver eneste behandling af personoplysninger. Det er den dataansvarlige, der skal sørge for at overholde persondataloven,« siger Maiken Christensen fra Datatilsynet.
Marianne Gjerstorff fra Forskerservice tilføjer, at Statens Serum Institut er ved at lancere en såkaldt forskermaskine, hvor forskerne via en sikker adgang kan få data med krypterede CPR-numre. Forskermaskinen bliver et supplement til den nuværende ordning, hvor man fortsat kan rekvirere data hos Statens Serum Institut.
På spørgsmålet om, hvorfor Statens Serum Institut ikke følger lektor Kent Kristensens forslag om at sende koder i stedet for CPR-numre eller navne og adresser, svarer Marianne Gjerstorff:
»Det er ikke et spørgsmål, jeg kan afklare. For det vil jo involvere os i forskningsprojekterne.«
