Billede: fra venstre adokat fra NJORD Law Firm Nis Peter Dall, ph.d. i sundhedsret Katherina Ó Cathaoir og professor i medicinske videnskabs- og teknologistudier Klaus Høyer
“Reglerne på det tekniske område er meget overordnede. Så systemleverandørerne går og venter på, at der kommer en yderligere præcisering. Vi kender retningen, men mangler detaljerne. Derfor rådgiver vi også på et mere overordnet niveau lige nu”.
Sådan siger Nis Peter Dall, der er advokat og partner i NJORD Law Firm med speciale i databeskyttelse og digital regulering.
Hans udtalelse kommer i forbindelse med, at EU-forordningen European Health Data Space (EHDS), der skal gøre sundhedsdata anvendelige på tværs af EU, for tiden er ved at blive udrullet i etaper i alle EU-medlemslande, herunder Danmark.
Første etape løber fra 2026 til 2027 og omhandler patienterne og de sundhedsprofessionelle. Patienterne forventes at få bedre digital adgang til egne sundhedsoplysninger, og sundhedspersonale kan i stigende grad udveksle udvalgte data, som for eksempel recepter og journaloplysninger. Det gør det muligt i flere situationer at få behandling i et andet land uden at starte forfra.
I anden etape, der løber fra 2027 til 2029, skal sundhedsmyndigheder, hospitaler og systemleverandører kunne håndtere flere typer data i de fælles EU-systemer. Det gælder blandt andet røntgenbilleder, scanninger og laboratoriesvar.
Først i den sidste etape, der løber frem mod 2030 og 2031, åbnes der for bredere adgang til sundhedsdata til forskning og udvikling. Her kan forskere og virksomheder søge om adgang til data fra hele EU gennem nationale sundhedsdataorganer, hvis de får en godkendelse.
Da store dele af forordningen endnu ikke er konkretiseret, skaber det usikkerhed om, hvordan reglerne skal anvendes i praksis. Særligt for de virksomheder, der udvikler og driver de digitale systemer, bliver det en udfordring at omsætte reglerne til løsninger, der fungerer i praksis.
For eksempel skal patientjournalsystemerne opfylde en række tekniske krav (jf. art. 36 i forordningen, red.), herunder specifikationer til udveksling af elektroniske sundhedsdata, uddyber Nis Peter Dall:
”Vi kan fortælle systemleverandørerne, at der kommer krav, men vi kan ikke oplyse præcist hvilke, selvom der på nogle områder er dele klar. Systemleverandørerne vil helst ikke bevæge sig i en teknisk forkert retning, og selvom der gives tid efter offentliggørelsen til udvikling, test og implementering, spørger de ind til de præcise krav, som vi ikke kan oplyse dem om endnu,” siger han.
En fælles data-infrastruktur
Det er dog ikke kun usikkerhed om, hvordan virksomhederne reelt skal forberede sig på at efterleve reglerne i den nye forordning. European Health Data Space medfører også en række risici for andre aktører, lyder det fra nogle af de eksperter, som K-NEWS har talt med.
For borgere kan det blive vanskeligere at gennemskue, hvem der har adgang til deres oplysninger, og hvad de konkret bliver brugt til. For sundhedspersonale kan uens eller mangelfulde oplysninger fra andre lande skabe usikkerhed i behandlingen. Og for myndigheder og virksomheder kan de øgede krav til sikkerhed, dokumentation og kontrol med data betyde øget kompleksitet, højere omkostninger og risiko for forsinkelser i udvikling og anvendelse af nye løsninger.
På trods af de mange udfordringer mener Klaus Høyer, der er professor i medicinske videnskabs- og teknologistudier på Københavns Universitet med fokus på sundhedsdata, at der er god grund til at regulere europæiske sundhedsdata.
“Der foregår allerede i dag masser af tværnational forskning og bevægelse af sundhedsdata. Men det sker på et uensartet og til dels ureguleret grundlag. Derfor giver det god mening, at EU forsøger at skabe en fælles data-infrastruktur og nogle fælles rammer,” siger han.
Katharina Ó Cathaoir, der er ph.d. og tidligere lektor i sundhedsret og har skrevet en bog om EHDS, supplerer:
“I dag ligger mange sundhedsdata spredt hos forskellige virksomheder og myndigheder, uden at andre kan få adgang til dem. Med EHDS er tanken, at de data i højere grad skal deles og komme til gavn for forskning, politiske beslutninger, innovation og bedre behandling,” siger hun.
Men ambitionerne er altså ikke uproblematiske:
EHDS vil for eksempel gøre det lettere for forskere at få adgang til data, men det løser ikke nødvendigvis problemet med at forstå dem, påpeger Klaus Høyer:
“Hvis man ikke kender til, hvordan data er indsamlet, eller hvordan variabler har ændret sig over tid, kan man risikere at lave analyser, der ser rigtige ud, men i virkeligheden er misvisende, Derfor vil det kræve en langt større bevidsthed om data og dokumentation, før man går i gang med at analysere,” siger professoren.
Udfordringer med anonymitet
Med European Health Data Space skal data som udgangspunkt gøres anonyme eller pseudonyme, når de stilles til rådighed for forskere, myndigheder og virksomheder. Læg dertil, at data skal være så detaljerede, at de faktisk kan bruges.
Hvis der sendes forkerte data ud, kan det ramme mange brugere på én gang og føre til store erstatningskrav
Nis Peter Dall, advokat hos NJORD Law Firm
Det er netop detaljegraden, der kan skabe problemer. Kombinationer af oplysninger som alder, diagnose og behandlingsforløb kan gøre det muligt at genkende personer, også uden navn og CPR-nummer. Risikoen stiger yderligere, når data kobles på tværs af systemer og lande.
Ifølge Nis Peter Dall betyder det, at systemleverandørerne lige nu efterspørger konkret vejledning i, hvordan de overhovedet skal indrette deres systemer, så de kan leve op til kravene,
“Tag for eksempel røntgenbilleder, hvor CPR-numre kan være indlejret i selve billedet og derfor er meget svære at anonymisere fuldt ud. Skal det skæres ud eller sløres? Det gør det svært at fortælle leverandørerne, hvordan de skal forholde sig. Men indtil videre er svaret til vores kunder, at det skal fjernes helt for at sikre anonymitet,” siger Nis Peter Dall.
Lever systemleverandørerne ikke op til kravene, kan det få konsekvenser:
“For leverandørerne er det ikke bøderne, der fylder mest, men risikoen for, at systemer fejler i stor skala. Hvis der sendes forkerte data ud, kan det ramme mange brugere på én gang og føre til store erstatningskrav,” siger advokaten.
Erstatter ikke GDPR-regler
Katharina Ó Cathaoir understreger, at forordningen ikke erstatter de eksisterende GDPR-regler, der fortsat sætter rammerne for behandling af persondata. EHDS lægger sig ovenpå og giver i nogle tilfælde en ny hjemmel til at dele sundhedsdata, men uden at lempe kravene til databeskyttelse.
Det betyder, at virksomheder både skal leve op til GDPR’s krav om at begrænse brugen af data, beskytte dem mod misbrug og samtidig kunne stille data til rådighed for andre, for eksempel forskere. De to krav kan trække i hver sin retning og skabe usikkerhed i praksis.
“Der er en balance mellem at fremme innovation og beskytte virksomhedernes interesser. Når virksomheder bliver forpligtet til at dele eller i hvert fald stille oplysninger til rådighed, kan det skabe en bekymring for at miste kontrol, især hvis data i sidste ende kan blive brugt af konkurrenter. Det er endnu uklart, hvor grænsen går i praksis, og hvornår man kan undtage data med henvisning til forretningshemmeligheder,” siger Katharina Ó Cathaoir.
I sidste ende er det heller ikke virksomhederne selv, der afgør, om deres data skal deles. Det bliver op til nye sundhedsdataorganer at vurdere, om betingelserne er opfyldt, og om eventuelle undtagelser kan bruges. I Danmark vil det formentlig være Digital Sundhed Danmark, der skal godkende ansøgninger og føre tilsyn.
“Selv hvis virksomheder argumenterer for, at data er beskyttet af forretningshemmeligheder, er det myndighederne, der træffer den endelige beslutning. Og det kan blive svært i praksis, fordi reglerne stadig er nye og uprøvede, siger Katharina Ó Cathaoir.
Det vil i mange tilfælde kræve juridiske vurderinger af, hvornår data skal deles, og hvornår de kan undtages.
“Forskere kommer formentlig også til at søge juridisk hjælp. Nogle vil have adgang til interne juridiske enheder i deres organisation, mens andre vil skulle købe sig til rådgivning udefra, ”siger Klaus Høyer og peger på, at der venter et “enormt afklaringsarbejde”, før reglerne fungerer i praksis.