Skyggeboksing mot personvernregelverket? | Thon og Nervik

Den endelige beslutningen om å ta i bruk ny teknologi og nivået på sikkerheten ligger hos ledelsen ved sykehusene, og ikke hos personvernombudet, skriver Thon og Nervik.

Forsøket på å fremstille personvern og pasientsikkerhet som motsetninger er uheldig.

Dette er et debattinnlegg. Eventuelle meninger i teksten står for skribentens regning. Hvis du ønsker å delta i debatten, kan du lese hvordan her.

I en kommentar av Joacim Lund 15. desember og et debattinnlegg av dr.med. Torkel Steen 18. desember kan vi lese om hvordan Oslo universitetssykehus (OUS) setter personvernet foran pasientsikkerheten og hindrer at man tar i bruk ny teknologi.

Datatilsynet kjenner ikke til detaljer i de eksemplene som trekkes frem. Vi reagerer imidlertid på påstanden om at personvernet prioriteres fremfor pasientsikkerheten. Forsøket på å fremstille personvern og pasientsikkerhet som motsetninger er etter vår mening uheldig. Og ikke minst er informasjonen om at leger bryter rutiner og instrukser gitt av sykehusene, og skryter av det, urovekkende.

Ombudet har ikke ansvaret

Steen plasserer ansvaret hos personvernombudet. Ombudet har en rådgivende rolle på sykehusene og har blant annet i oppgave å informere om gjeldende personvernlovgivning. Den endelige beslutningen om å ta i bruk ny teknologi og nivået på sikkerheten ligger hos ledelsen ved sykehusene, og ikke hos personvernombudet.

Bjørn Erik Thon
Camilla Nervik

Ledelsen kan velge å lytte til personvernombudets råd, men kan også velge å la være. Hvis noen skal stilles til ansvar for prosesser og beslutninger som er tatt, er det den øverste ansvarlige på sykehuset.

Vi kjenner ikke grunnene til at Pacemakerregisteret ennå ikke er etablert. Det er imidlertid viktig å huske dette: Et register skal være kilde til informasjon om alle med pacemakere i landet, med det formål å formidle kritisk informasjon. Da må sikkerheten være absolutt, og det er viktig å vurdere hva som kan gå galt, for eksempel dersom registeret blir utsatt for cyberangrep. Helse Sør-Østs datasystemer har vært utsatt for et fiendtlig angrep. Tilfredsstillende sikkerhet innen helsesektoren handler om at vi kan stole på den teknologien vi tar i bruk.

OUS har lært av sine feil

Etter regelverket skal den dataansvarlige, altså sykehuset, selv vurdere lovlighetene av det de gjør. OUS har ikke falt for fristelsen å lene seg på hva danskene har kommet til i sin vurdering av Pacemakerregisteret, men gjort egne vurderinger av risikoen forbundet med behandlingen av opplysninger.

I 2017 ble OUS ilagt gebyrer for nettopp å ha unnlatt å gjøre disse vurderingene skikkelig. Slik vi ser det, viser dette eksempelet at OUS har lært av tidligere feil.

Bruk av utstyr og teknologi som ikke er tilstrekkelig kvalitetssikret av de ansvarlige, bryter ikke bare med personvernlovgivningen, men kan også bryte med plikten til å gi forsvarlig helsehjelp. Legene er ikke nærmest til å vurdere alle aspektene ved teknologi og datasikkerhet. Det er nettopp derfor et stort sykehus er avhengig av velfungerende rutiner og internkontroll som sikrer at beslutningene tas på et nivå hvor det totale bildet er synlig. Nemlig i ledelsen.

For å bruke Torkel Steens bilde: Når hjertestarteren svikter eller kommuniserer feil som følge av angrep utenfra, eller en pustemaskin må restartes på grunn av oppdatering midt i en operasjon, da skulle vi ønske at IT-systemet hadde vært like sikkert som Fort Knox.

Følg og delta i debattene hos Aftenposten meninger på Facebook og Twitter