Sundhedsdatastyrelsen, som 1. november 2015 overtog ansvaret for sundhedsdata fra Statens Serum Institut (SSI), bør snarest muligt komme med en klar udmelding om, hvordan den passer på danskernes helbredsoplysninger.
Det mener Henrik Ullum, formand for LVS – Lægevidenskabelige Selskaber.
”Hvis de ikke allerede har gjort det, må de gå igennem alle deres procedurer. Og så melde det ud. Vi har brug for, at den ansvarlige kommunikerer mere aktivt, synes jeg”, siger han.
”Når der kommer sådan en sag, kommer der jo en masse negativ kommunikation, og så bør de stille sig op på den største talerstol, de kan finde. Ellers risikerer vi at miste befolkningens tillid på området”.
Baggrunden er rædselsberetningen om sjusk med aflevering af en anbefalet forsendelse fra SSI med følsomme personoplysninger, der endte hos en privat, kinesisk virksomhed, selv om den var adresseret til Danmarks Statistik. De pågældende data var ikke krypterede.
Sagen, som er fra februar 2015, udløste en kritik af SSI fra Datastyrelsen, som oven i købet tidligere har anbefalet SSI at kryptere data ved forsendelse med post eller sende pr. anbefalet post. Det fremgår af en redegørelse på Datastyrelsens hjemmeside tidligere i denne måned. SSI valgte at sende med anbefalet post - et valg, som nu viser sig at have været et fejlskøn.
"Amatøragtigt"
”Det virker helt amatøragtigt”, siger Henrik Ullum om forløbet og glæder sig over, at ansvaret for sundhedsdata nu er placeret i en selvstændig styrelse, nemlig Sundhedsdatastyrelsen, og altså ikke længere hos SSI.
”Det er godt, at vi nu har en dedikeret styrelse, som har til opgave ene og alene at sikre, at vi anvender sundhedsdata, og at vi anvender dem sikkert. Den strukturændring vil gøre det lettere fremadrettet at sikre gode procedurer”, siger Henrik Ullum.
Sundhedsdatastyrelsens direktør, Lisbeth Nielsen, har på Twitter skrevet, at al post til Danmarks Statistik siden misèren med det fejludbragte brev nu krypteres og sendes elektronisk via ftp (file transfer protocol).
15. februar 2015 sender Statens Serum Institut (SSI) to cd’er med anbefalet brev til Danmarks Statistik, som ligger Sejrøgade 11 i København. Cd’erne indeholdt data, der ikke var krypterede.
Brevet bliver ved en fejl afleveret til Chinese Visa Application Service Center, en privat virksomhed med adresse på Lyngbyvej 28 – ca. tre minutters gang fra Danmarks Statistik.
En medarbejder tager mod brevet, åbner det og opdager, at det er afleveret det forkerte sted. Hun går derefter hen til Danmarks Statistik med det.
Danmarks Statistik melder sagen til Datastyrelsen, som beder om en redegørelse fra SSI. SSI ændrer sine procedurer, så dataforsendelser fremover sendes krypteret, men mener ikke, at der er sket noget misbrug af de følsomme oplysninger.
15. november 2015 etableres Sundhedsdatastyrelsen, som overtager de dataopgaver, der tidligere lå hos SSI.
Sagen kommer til offentlighedens kendskab, da Datastyrelsen lægger en redegørelse for forløbet på sin hjemmeside.
15. februar 2015 sender Statens Serum Institut (SSI) to cd’er med anbefalet brev til Danmarks Statistik, som ligger Sejrøgade 11 i København. Cd’erne indeholdt data, der ikke var krypterede.
Brevet bliver ved en fejl afleveret til Chinese Visa Application Service Center, en privat virksomhed med adresse på Lyngbyvej 28 – ca. tre minutters gang fra Danmarks Statistik.
En medarbejder tager mod brevet, åbner det og opdager, at det er afleveret det forkerte sted. Hun går derefter hen til Danmarks Statistik med det.
Danmarks Statistik melder sagen til Datastyrelsen, som beder om en redegørelse fra SSI. SSI ændrer sine procedurer, så dataforsendelser fremover sendes krypteret, men mener ikke, at der er sket noget misbrug af de følsomme oplysninger.
15. november 2015 etableres Sundhedsdatastyrelsen, som overtager de dataopgaver, der tidligere lå hos SSI.
Sagen kommer til offentlighedens kendskab, da Datastyrelsen lægger en redegørelse for forløbet på sin hjemmeside.
Hun skriver også, at ”praksis var for ringe og ændret nu”.
Risiko for svindende tillid
Henrik Ullum glæder sig over disse udmeldinger og føler sig overbevist om, at fejlene er blevet rettet, men han siger også:
”Selvom det ikke tyder på, at data er misbrugt, og selvom fejlene er rettet, kan faldende tillid i befolkningen være et problem. Dette kræver både, at der tages hånd om sikkerheden og at man får det kommunikeret".
Tilliden er en forudsætning for den enestående registerforskning, som de danske registre giver mulighed for at udføre.
”Vi har så hårdt brug for anvendelsen af disse data. Og hårdt brug for befolkningens tillid helt ud i yderste led og ved kilden. De vilkår, vi har til at anvende data, er en gensidig kontrakt mellem den danske befolkning og forskerne med de offentlige myndigheder som mellemled. Den skal bygge på tillid, og hvis den tillid ryger, vil et meget vigtigt forhold for forskerne gå tabt”, siger han.
Lægeforeningens formand, Andreas Rudkjøbing, skriver – ligeledes på Twitter – at ”kryptering, forskermaskiner og anonymisering er vejen frem”.
Den udmelding er Henrik Ullum helt enig i:
”Fremover bør meget mere forskning udføres via anonymiserede statistikadgange som de, der tilbydes af Danmarks Statistik”.
På vej til "Fort Knox"
Ironisk nok var de famøse oplysninger i februar 2015 netop på vej til Danmarks Statistik for at blive anonymiseret og stillet til rådighed for registerforskerne via disse forskermaskiner – dvs. et system, hvor data stilles til rådighed for forskerne uden at blive udleveret til dem men beholdes på centrale servere.
Men som Henrik Ullum udtrykker det: "Det nytter ikke at sende dem hen til Fort Knox, hvis de er ubeskyttede på vej derhen”.
<p>For ca. halvandet år siden blev over 5 mio. cpr-numre og helbredsoplysninger ved en fejl afleveret til en privat virksomhed i stedet for Danmarks Statistik. Lægevidenskabelige Selskaber efterlyser, at Sundhedsdatastyrelsen træder i karakter og får gjort danskerne trygge.</p>