Kæmpe dataskandale er under udvikling: Dit DNA tilhører nu staten

Infrastruktur

07/08/2019 07:00

Nick Allentoft

Den 1. juli påbegyndte Nationalt Genom Center indsamling af genetiske data fra danske borgere. Den ramme, som lovgivningen herom sætter for patienternes rettigheder, er problematisk, fordi den har totalitære takter, skriver Lisbeth Riisager, der tidligere har afsløret DAMD-skandalen.

Igennem de seneste år er genanalyser blevet en stadig vigtigere del af den diagnostiske proces og den medicinske behandling inden for lægevidenskaben. Man taler om personlig medicin som medicin, der tager særligt hensyn til den enkeltes DNA frem for alene til en diagnose.

I sammenhæng hermed er Nationalt Genom Center formelt blevet oprettet som en ny styrelse under Sundhedsministeriet per 1. maj. Det er finansieret af staten, regionerne og Novo Nordisk Fonden; sidstnævnte har indtil videre støttet centret med knap en milliard kroner.

Centret gik i luften 1. juli med arbejdet med at indsamle og overføre de første genetiske data fra danske patienter til centerets arkiver. Perspektiverne om medicinsk forskning anses som meget lovende og som en guldgrube af viden, der i bedste fald kan komme mange patienter til gavn, og derfor er oprettelsen af Nationalt Genom Center som sådan en god beslutning.

Men selve lovgivningen om borgernes rettigheder i denne forbindelse er problematisk, og lovgivningsprocessen, baggrunden og ambitionerne tegner konturen af en stat, der har større fokus på egne interesser end borgernes. I de forkerte hænder vil DNA kunne blive misbrugt og skade den enkelte borger.

Her er en kritisk gennemgang af lovgivningsprocessen og lovgivningens overskridende karakter i forhold til beskyttelse af borgernes privatliv.  

 

Udemokratisk lovgivningsproces

Hjemlen til oprettelsen af Nationalt Genom Center blev givet med en ændring af sundhedsloven 1. juli 2018. Den blev fremsat af nu tidligere sundhedsminister Ellen Trane Nørby (V) 9. februar 2018 og vedtaget 29. maj 2018 med stemmer fra alle Folketingets partier bortset fra Enhedslisten. 

Nyhedsbrev 2

100.000 mennesker læser med hver måned. Skal du være den næste? 

Prøv os! Bestil vores nyhedsbrev - og få automatisk artikler, debat og konstruktiv viden om velfærdssamfundet.

Det er gratis 

Men Folketinget havde allerede taget de første skridt året forinden, hvor der på Finansloven for 2017 blev afsat 100 millioner kroner til centrets første fire år. Og direktør for centret, Peter Løngren, afslørede i P1 Orientering 17. juli i år, at han i over to år har arbejdet på at opbygge det tekniske system omkring centret. Han fik altså opgaven fra Sundhedsministeriet, længe før lovforslaget blev vedtaget, og har således ageret på forventning om efterbevilling. Er det en helt demokratisk måde at føre politik på?

 

Slår revner i den fundamentale fortrolighed 

Nationalt Genom Center er at betragte som både en journal og et register. Dermed skal centret agere under to forskellige lovkomplekser: Sundhedslovgivningen og persondatalovgivningen. 

Når formålet med indhentelse og registrering af sundhedsdata er sygdomsbehandling, så er reglerne for deling og databehandling reguleret af sundhedsloven. Som ’behandling’ betragtes: forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling, forvaltning af læge- og sundhedstjenester, klagesager, erstatningssager, tilsynssager, undervisning, kvalitetsudvikling og kvalitetssikring.

Når formålet derimod er forskning, så fiskes sundhedsdata ud af journalen og lægges i et register, og så reguleres det af persondatalovgivningen. 

Hvis man siger ja til at få foretaget en genaflæsning i forbindelse med behandling, så har den ansvarlige for sygejournalen nu pligt til at aflevere en kopi af de genetiske data til Nationalt Genom Center, som vil give en fælles data-infrastruktur og ligge under statens ansvar. Det kommer til at ligge i den del af centret, som er at betragte som en journal.

I lovændringen lagde man op til at lagre gendata både lokalt og nationalt. Men med Vejledning om aktørers indberetning af oplysninger til Nationalt Genom Center fra 20. juni har Sundhedsministeriet imødekommet kritik af dobbeltlagring og indført en pligt til, at gendata skal slettes lokalt, når de er overgivet til Nationalt Genom Center, og behandlingen af patienten er afsluttet.

Man kan ikke undslå sig for at blive registreret i den del af Nationalt Genom Center, som er at betragte som en journal. Men man kan blokere for, at ens oplysninger bruges til forskning, hvis man registrerer det i det såkaldte vævsanvendelsesregister (se vejledning her).

I både høringsperioden og under behandlingen i Folketinget fremkom der massiv kritik af lovforslaget fra blandt andre Dansk Selskab for Almen Medicin, Patientdataforeningen, Etisk Råd og IT-Politisk Forening. Det er en kritik, som jeg deler.

Først og fremmest kritiseredes anslaget mod fortrolighed, tavshedspligt og respekten for privatliv. Når man samler så mange dybt personfølsomme data på ét sted og giver mange parter potentiel adgang til dem, så slår man revner i den fundamentale fortrolighed og får en meget stor magt over den enkelte patient. Slipper data ud, kan de skade patienten. 

Mere specifikt gik kritikken på manglende sikring af samtykke til overdragelse af genoplysninger til Nationalt Genom Center, samkøring af oplysninger, en risikabel datasikkerhedsmodel og manglende gennemsigtighed om lovens formål og dataanvendelsen. Hovedparten af kritikken består stadig.

 

Manglende sikring af samtykke

Lovforslaget blev kritiseret for, at det ikke ville give borgerne ret til at sige nej tak til overførsel og opbevaring af personoplysninger i Genom Centret. I sidste ende har ministeren og ikke borgerne beslutningsmyndigheden over borgernes data (dette bliver uddybet i afsnittet om manglende gennemsigtighed med lovens formål). 

Det krænker de helt fundamentale retsprincipper om privatliv og selvbestemmelsesret over egne persondata.

Under lovprocessen insisterede daværende sundhedsminister Ellen Trane Nørby og Sundhedsministeriet på, at der i lovforslaget var samtykke til registrering af DNA i Nationalt Genom Center.

For eksempel opstillede Sundhedsministeriet i en nyhedsartikel på deres hjemmeside 2. december 2017, "Myter og sandheder om Nationalt Genom Center", en liste med 10 såkaldte myter, som, de mente, florerede i den offentlige debat om lovforslaget. Her hed det om informeret samtykke ("Myte 1"):

"Falsk: Danske patienter vil ikke blive spurgt om lov, inden man opbevarer og bruger deres genetiske oplysninger. Der vil ikke være informeret samtykke.

Sandt: Jo, behandling i sundhedsvæsenet kræver samtykke. Det gælder også diagnostik som fx genomanalyser, som patienterne eksplicit skal spørges om og samtykke til. Danske patienter får derudover med et Nationalt Genom Center mulighed for at frabede sig, at deres egne genetiske oplysninger i centret bruges til andet end deres egen behandling."

Men det var faktuelt forkert og vildledende. Det eneste samtykke i lovforslaget var det, som borgeren giver til behandling. Det er ikke det samme som samtykke til registrering i et nationalt superregister og til helt andre formål end de oprindelige.

DAMD-skandalen

I over syv år indsamlede sundhedsmyndigheder ulovligt private fortrolige oplysninger om næsten alle danskere - det, der hedder DAMD. Læs alt om skandalen her

Dels er det første punkt i opstillingen ("Falsk:") derfor usandt, for patienterne vil netop ikke ifølge lovforslaget blive spurgt om lov til videregivelse af genomdata til Nationalt Genom Center.

Dels begynder det andet punkt i opstillingen ("Sandt":) med et udsagn, som i sig selv ikke er usandt, men som bliver direkte vildledende, når det placeres som svar på den såkaldte myte, fordi det lægger op til, at læseren selv skal konkludere, at "samtykke" så er det samme som det informerede samtykke, der ellers er emnet her. Overordnet taler ministeriet her bevidst vildledende og usandt.

Den type argumentation videreførte Ellen Trane Nørby i den offentlige debat om lovforslaget. Eksempelvis sagde hun til en nyhedsartikel i Altinget fra 23. februar 2018: "Med dette forslag slår vi fast, at danskernes personfølsomme oplysninger ikke kan bruges til formål, som den enkelte ikke har sagt god for".

Og hun gentog argumentationen om behandlingssamtykke fra "Myter og sandheder ..." i P1 Orientering 14. marts 2018 og i DR Deadline samme dato.

Her fastslog to professorer i sundhedsjura, Mette Hartlev og Helle Bødker Madsen, at behandlingssamtykke ikke er det samme som samtykke til registrering i et nationalt superregister og til helt andre formål end de oprindelige.

Med en ny vejledning fra 20. juni ser det dog ud til, at problemet med manglende samtykke til overdragelse af genoplysninger til Nationalt Genom Center er minimeret lidt. Vejledningen indfører som nævnt en slettepligt i den lokale sundhedsjournal, når genomdata efter endt behandling af patienten er blevet overført til Nationalt Genom Center og lagt i journaldelen af centret. Der bliver ikke længere tale om dobbeltlagring. Det ser endvidere ud til, hvis jeg forstår vejledningen korrekt, at der nu er kommet krav om samtykke i forhold til, at forskere kan få overgivet genoplysninger.

Det er en klar forbedring af personrettighederne, men langt fra nok. Et informeret samtykke burde være blevet indlagt fra første led.

 

Samkøring af oplysninger

Lovforslaget blev også kritiseret for, at genomdata, når de er blevet videregivet til Nationalt Genom Center, vil blive samkørt og beriget med andre personoplysninger på borgeren. Det vil blive til et superregister. 

Indtil for ganske få år siden var det en grundregel i persondatalovgivning, at man ikke måtte bruge persondata til andre formål end dem, de var blevet indhentet til, og at man ikke måtte samkøre forskellige personoplysninger. Det var det, fordi når mange data bliver samkørt, så er der stor risiko for, at de vil kunne blive misbrugt af magthavere og sætte borgeren i klemme.

Det er også tilfældet her, og denne del af kritikken består.

 

Risikabel datasikkerhedsmodel

Lovforslaget blev endvidere kritiseret for en risikabel sikkerhedsmodel for Nationalt Genom Center. Der vil ikke være nogen tilstrækkelig kontrol med de personfølsomme data.

Man har valgt en såkaldt pseudonymisering, men med lagring af DNA-information på CPR-nummerniveau. IT-Politisk Forening har kritiseret, at DNA tilknyttet CPR-numre udgør en stor sikkerhedsrisiko. Man burde i stedet lagre dem anonymt, mener foreningen. 

Frem til åbningen af centret har det dog været uklart, hvordan koblingen mellem DNA og CPR-nummer kommer til at foregå.

Fagmediet Version2 har flere gange i juni måned i år spurgt den dengang konstituerede direktør Peter Løngren, men han ønskede ikke at svare på det før den nye S-regerings tiltrædelse. Til P1 Orientering 17. juli fastslog han dog, at nøglen til koblingen alene ville blive lagt hos de behandlende læger. Det lyder jo umiddelbart okay, for så vidt at det indhegner antallet af potentielle brugere.

Det indebærer dog en potentiel risiko for, at læger ville kunne blive udsat for afpresningsforsøg fra kriminelle for at udlevere DNA-oplysninger, eller at Folketinget senere kan finde på at udvide antallet af personer, der får adgang til denne kobling mellem DNA-oplysninger og CPR-numre. 

Når man betragter forskningsformålet, er det også svært at forestille sig, at man fra centrets side ikke har til hensigt at lægge DNA-informationer på CPR-nummerniveau. Som praktiserende læge, formand for Dansk Selskab for Almen Medicin Anders Beich, har udtalt til P1 Orientering 14. juni: "Det er kun interessant at have genomoplysningerne, hvis man også har CPR-nummeret, så man kan berige dem med andre oplysninger. Det er deri, forskningspotentialet består.” 

Koblingen af DNA og cpr-numre peger altså i retning af en omfattende ny registrering af hver eneste borger og dermed en ulmende skandale.

Denne kritik består også.

 

Manglende gennemsigtighed om lovens formål

Endelig blev lovforslaget kritiseret for manglende gennemsigtighed om, hvad der egentlig var regeringens formål med loven, og hvad man rent faktisk ville bruge borgernes data til. Det blev vedtaget med vildledning og mørklægning af alle andre formål end udvikling af personlig medicin.

Den kritik består også.

Loven indeholder kun en vag og uklar tekst om, at de indsamlede oplysninger kan bruges til ”… forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje, patientbehandling eller forvaltning af læge- og sundhedstjenester (…), eller hvis behandlingen alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser” (§ 223).

Vi mangler klare svar fra staten på, hvad det mere konkret indebærer.

Hvis det eneste formål er at forske i og udvikle personlig medicin til bestemte personer eller patientgrupper, så er det ude af proportioner at indføre tvangsindsamling af hele befolkningens DNA. Man kunne have begrænset DNA-indsamlingen alene til folk med sygdomme, der er svære at behandle med den almindelige diagnostisk anlagte medicin. 

Hvorfor skulle man tro på, at sundhedsmyndighederne vil betale store penge for udvikling af personlig medicin til befolkningen, når den effektive medicin, der allerede i dag findes til en række sygdomsgrupper, afvises af Medicinrådet?

Kan vi i øvrigt regne med, at de patientgrupper og patienter, som har tvangsleveret deres DNA, også ender med at få tilbudt og betalt en sådan medicin? Der er ikke i loven indskrevet nogen retsgaranti herom, men det burde der have været. 

I første version af en nu opdateret nyhedsartikel på DR 14. juli hed det: ”På lidt længere sigt er ambitionen, at vi ved første kontakt med sundhedsvæsenet automatisk får taget en DNA-prøve, som analyseres og gemmes i et stort datacenter.”

Det fremgår ikke, hvem der har denne ambition, og i en opdateret udgave af artiklen fra 15. juli er formuleringen modereret i en mere vag retning. Men i det allerede nævnte indslag fra P1 Orientering 17. juli fremgik, at man her havde læst det som et skjult citat fra Peter Løngren, der jo som centrets direktør siden 1. juli er det politiske systems repræsentant her.

Hvis Nationalt Genom Center er en så udelt god ide, hvorfor forsøger man så ikke bare at overbevise befolkningen om det ved utilsløret at beskrive indholdet, formålet/formålene og konsekvenserne for det enkelte individ, som det/de er? 

 

Døren er åbnet for magtmisbrug

Man kan frygte, at et DNA-register for eksempel vil kunne blive misbrugt af kommuner og regioner til at inddele borgere efter social kredit og regulere i, hvilke borgere de vil satse på – dét, man kalder profilering. Man kan også frygte, at eksempelvis forsikringsselskaber vil betale for adgang, så de kan sortere i kunderne eller graduere priserne.

Men hvis ikke den nuværende lovgivning ender med at blive misbrugt i en sådan retning, så er risikoen for det i al fald med senere ændringer af lovgivningen og med nye bekendtgørelser. Derfor er det bekymrende, at Folketinget lader muligheden åben for, at antallet af personer, der får adgang til denne kobling mellem DNA-oplysninger og CPR-numre, kan udvides.

Derfor burde det have været præciseret, at myndighederne ikke må benytte DNA til andre formål end udvikling af personlig medicin og ikke må videregive eller sælge DNA til eksterne parter (forsikringsselskaber, statslige arbejdsgivere, kommuner og regioner i forbindelse med tvister om social- og beskæftigelsessager, medicinalfirmaer, politiet osv.). Og jeg mener, det også burde have været præciseret, at man ikke må udvide formålene med lovgivningen og brugen af DNA med senere lovgivning og bekendtgørelser.

Det står derimod klart, at loven tilgodeser statens og medicinalindustriens store kommercielle interesser, og at de her journaler og registre på sigt skal blive store indtægtskilder for staten. Det har der ikke været megen åbenhed om. 

Men hvis man har fulgt med i sundhedsdatastrategien siden Astrid Krags (dengang SF) tid som sundhedsminister, vil man være bekendt med den meget intensive politiske satsning på tvangsregistrering af borgeres patientdata (i den politiske sprogbrug kaldet sundhedsdata). Den gav sig blandt andet udtryk i Vækstplanen for 2013, herunder nedsættelsen af STARS* – Strategisk Alliance for Register og Sundhedsdata. 

Staten har endvidere siden 2014 investeret mindst 100 millioner kroner i det offentligt-private partnerskab NEXT mellem landets regioner, hospitaler, universiteter og medicinalindustrien, og disse har selv investeret 300 millioner kroner heri. Formålet er at fremme medicinalindustriens muligheder for at gennemføre hurtige humanforsøg med henblik på hurtig godkendelse af lægemidler og dermed styrket konkurrencedygtighed i medicinudviklingen. Det indebærer givetvis opsporing af forsøgspersoner.

Læg dertil den allerede nævnte rammebevilling fra Novo Nordisk Fonden ultimo 2018 på knap en milliard kroner til drift af infrastruktur i Nationalt Genom Center over en periode på fire et halvt år og de første 100 millioner kroners bevilling fra Finansloven 2017 til centrets første fire år. Der er mange penge på spil og dermed mange, der må være interesseret i at få fat i vores sundhedsdata. 

Jeg har svært ved at tro, at de gør det alene for patienternes skyld. Tværtimod er det tydeligt, at en vækstagenda – død og pine – skal hastes igennem på bekostning af retssikkerhed for patienterne. Man har ikke besværet sig med at give plads til, hvad den enkelte patient egentlig måtte ønske. Det er ikke betryggende.

 

Behov for styrkelse af patientrettigheder

Således fremstår rammelovgivningen om Nationalt Genom Center som totalitær og patientperspektivet stort set ignoreret.

Jeg håber, at alle de involverede parter vil passe godt på patienternes mest personfølsomme data. Men jeg ville ønske, at lovgiverne ville lytte til patienterne og respektere de grundlæggende hensyn til privatlivets fred og fortroligheden mellem læge og patient, som vi burde kunne forvente i et såkaldt retssamfund. Jeg ville ønske, at de ville styrke patientrettighederne.

Fremtiden vil vise, hvordan loven vil blive administreret.

 

Mest Læste

Annonce