Tilsyn undersøger forskers adgang til millioner af journaler

Et forskningsprojekt, der har adgang til 3,65 millioner borgeres journaler, skal undersøges af Datatilsynet.

Det oplyser tilsynet i en pressemeddelelse.

Som led i undersøgelsen har Datatilsynet blandt andet bedt regionen om en redegørelse for de databeskyttelsesretlige vurderinger, der er blevet foretaget forud for behandlingen af personoplysninger i projektet.

Undersøgelsen kommer på baggrund af medieomtale af projektet, skriver tilsynet.

I sidste uge skrev DR, at en forsker fra Region Hovedstadens psykiatri har fået tilladelse til at bruge oplysninger fra 3,65 millioner personers sygehusjournaler - uden at de får besked om det.

Ifølge DR vil forskeren ved hjælp af kunstig intelligens bruge de mange data til at forbedre den psykiatriske behandling.

Data er pseudonymiseret, så oplysningerne ikke umiddelbart kan føres tilbage til de personer, de kommer fra.

Hvis det på et tidspunkt konstateres, at der er tale om en ulovlig behandling af personoplysninger, vil det "som udgangspunkt have som konsekvens, at behandlingen skal ophøre, og at alle persondata og resultater, som behandlingen har frembragt, skal slettes".

Det skriver Datatilsynet. Tilsynet er en uafhængig myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt.

Til Ritzau sagde Hanne Marie Motzfeldt, der er professor i forvaltningsret og digitalisering ved Københavns Universitet, i sidste uge, at brugen af data er problematisk.

- Man skal sørge for, at man på en anden måde bredt informerer om, hvad man bruger de her data til. Den brede information skal være med til at skabe åbenhed og debat om, hvad vi bruger sundhedsdata til i Danmark, sagde hun.

Medieomtalen fra sidste uge giver allerede nu Datatilsynet anledning til at komme med generelle bemærkninger om dataansvarlighed.

Her skriver tilsynet, at det har forståelse for, at kommuner, regioner og institutioner samt store dele af den private sektor oplever et pres for at bruge løsninger, der opstår som følge af ny teknologi.

Datatilsynet understreger dog i pressemeddelelsen, at "borgeres rettigheder og menneskerettigheder ikke kan tilsidesættes". Ud over i de situationer lovgivningen tilskriver, og kun hvis retssikkerhedsmæssige garantier er opfyldt.

Hvis der er en høj risiko for borgernes rettigheder, skal der ifølge tilsynet foretages en "databeskyttelsesretlig konsekvensanalyse".

Hvis sådan en analyse ikke er udført inden behandlingernes påbegyndelse, skal datatilsynet også anmode om at høre, hvilke skridt der tages i forhold til de allerede foretagne og igangværende behandlinger.

Det skriver Datatilsynet i et brev til regionen. Her fremgår det, at redegørelsen for Region Hovedstadens overvejelser om at beskytte de følsomme data skal afleveres senest 16. september.

I sidste uge skrev DR, at forskeren allerede havde fået udleveret journaloplysninger fra 350.000 psykiatriske patienter.

/ritzau/