Vidste du, at staten udleverer befolkningens personlige data til forskere og private virksomheder i så stort et omfang, at lige præcis dine personlige data efter al sandsynlighed er blevet videregivet i det forgangne år?

Alene i 2012 og 2013 udleverede Statens Serum Institut 634 unikke udtræk fra forskellige databaser. Alene ét udtræk kan indeholde oplysninger om flere hundrede tusinde danskere. For nylig fik en forsker f.eks. navne, adresser og CPR-numre på ca. en million danskere, oplyser Statens Serum Institut.

Dataudleveringen er så omfattende, at der i løbet af ét år bliver videregivet oplysninger om faktisk samtlige indbyggere i Danmark, viser dokumenter og oversigter fra Statens Serum Institut. Udleveringen sker vel at mærke uden de omtaltes samtykke.

»Hvert år leverer vi udtræk, der tilsammen vedrører stort set hele den danske befolkning. Får man eksempelvis adgang til hele cancerregistreret for ti år, kan det udtræk i sig selv omfatte 300.000 personer,« fortæller Marianne Gjerstorff, sektionsleder i Forskerservice ved Statens Serum Institut.

I flere tilfælde indeholder de udleverede data også CPR-numre. Statens Serum Institut vurderer, at der på ét år bliver udleveret »flere millioner CPR-numre« til forskningsprojekter. Et dataudtræk kan bestå af et Excel-regneark med over 100.000 CPR-numre og så en række variabler som f.eks. tidspunkt for indlæggelse, den primære diagnose, bidiagnoser og hvilken afdeling, man var indlagt på.

Kan ikke overholde tavshedspligten

For nylig forlangte Folketingets Kulturudvalg og Folketingets Retsudvalg ellers i en fælles beretning, at datasikkerheden skal øges. Beretningen blev til som en reaktion på anklagerne om lækkede kreditkortoplysninger fra Nets til ugebladet Se og Hør.

Og Dansk Folkeparti fremsatte for godt et år siden et forslag om bedre beskyttelse af CPR-numre for at imødegå »det eskalerende identitetstyveri i Danmark,« mens Enhedslisten arbejder for helt at afskaffe CPR-nummeret, fordi systemet er »hamrende usikkert.« 

Så samtidig med at et politisk flertal på Christiansborg signalerer stor bekymring for danskernes persondata, udleverer staten selv omfattende mængder af data om befolkningen til offentlige institutioner og private virksomheder. I visse lægekredse vækker det harme.

»Dette var slet ikke meningen. Vi indsamlede oprindeligt data om patienterne for at blive dygtigere, ikke for skabe et marked for data,« siger praktiserende læge i Roskilde Niels Ulrich Holm, medlem af bestyrelsen i Praktiserende Lægers Organisation (PLO).

Trine Jeppesen, praktiserende læge på Amager, forklarer, at lægerne først på det seneste er blevet opmærksomme på den enorme dataudlevering.

»Jeg skal nu være indstillet på, at alt, hvad jeg taster ind i min computer om mine patienter, i princippet kan ende hos Statens Serum Institut og senere hos en privat virksomhed. Vel at mærke uden at min patient har givet samtykke. Jeg kan ikke skrive en recept på en klamydiatest eller en abortkonsultation, uden at det kommer til at figurere et sted. Vi kan reelt ikke overholde vores tavshedspligt,« konstaterer Trine Jeppesen.

Statens Serum Institut kan hente persondata fra eksempelvis Cancerregistret, Abortregistret, Børnedatabasen, Dødsårsagsregistret, CPR-registret, Landspatientregistret og Lægemiddelstatistikregistret.

»I næsten alle tilfælde er dataene personhenførbare, fordi de indeholder så mange oplysninger om den enkelte person. F.eks. at personen er fra en bestemt kommune, køn på personen, og hvor vedkommende har været indlagt hvornår,« oplyser Marianne Gjerstorff fra Forskerservice.

Giver sjældent afslag

Videregivelse af personoplysninger om danskerne fra diverse registre til statistisk og videnskabeligt arbejde bliver givet med hjemmel i en såkaldt forskerparagraf i persondatalovens § 10, som kræver »væsentlig samfundsmæssig betydning«, før oplysningerne kan udleveres. Men ansøgerne får stort set aldrig afslag.

»Jeg kan kun huske, at vi har givet ét afslag de seneste to år,« fortæller Marianne Gjerstorff.

»Ansøgningerne er forinden blevet behandlet i Datatilsynet og/eller det videnskabsetiske komitésystem og Sundhedsstyrelsen. Vi indgår i en dialog med ansøgeren om den rette afgrænsning, og så finder vi en løsning,« forklarer hun.

Datatilsynet har ingen statistik over afslag. Susanne Pihl Jakobsen, der er jurist i Den Nationale Videnskabsetiske Komité, bekræfter, at meget få projekter bliver afvist i komité-systemet, men at de ofte godkendes »med betingelser.«

Udleverede tusindvis af data ved en fejl

Forskerne betaler Statens Serum Institut for arbejdstiden for dataudtræk og databehandling. Prisen er 1.292 kr. i timen. I 2012 og 2013 omsatte instituttet dataudlevering for henholdsvis 2,6 mio. kr. og 2,5 mio. kr., oplyser Statens Serum Institut.

En lang række af de indhentede persondata anvendes til projekter, som åbenlyst øger folkesundheden. Et eksempel: I 2012 indikerede en canadisk undersøgelse, at en ny type antibiotika kunne føre til nethindeløsning og dermed stærkt nedsat syn.

Statens Serum Institut har helt unikke sundhedsregistre sammenlignet med resten af verden og kunne hente data over alle, som havde fået antibiotika, og alle med nethindeløsning.

Ved at sammenholde den population, som havde fået antibiotika med dem, der ikke havde, kunne forskerne konstatere, at der ikke var nogen sammenhæng mellem den givne antibiotika og nethindeløsning.

Men dataudleveringen øger også risikoen for, at dataene ender i de forkerte hænder, som man eksempelvis så det i sagen om ugebladet Se og Hør, som er mistænkt for at misbruge kreditkortoplysninger. Og dataudleveringen kan også gå galt i sig selv:

I efteråret 2013 bad den private virksomhed CCBR i Ballerup om navne, adresser og sundhedsoplysninger for at komme i kontakt med mulige forsøgspersoner. Ved en fejl kom Statens Serum Institut til at udlevere oplysninger på 84.000 danskere, selv om CCBR kun skulle bruge få hundrede forsøgspersoner.

Statens Serum Institut havde fået oplyst, at CCBR skulle bruge navne på 11.000 personer. Instituttet troede, at det var i Danmark, men det var på verdensplan. Desuden skete der en forveksling, så flere fejlagtigt fik at vide, at de havde en hjertesygdom.

Og i april i år beskrev Berlingske, hvordan den 69-årige Lis Emma Kjærgaard fejlagtigt fik at vide, at hun havde fået konstateret tarmkræft. Hun havde ganske vist været indlagt sommeren 2013 for maveonde, men blev udskrevet med beskeden om, at hun var helt rask. Oplysningerne om Lis Emma Kjærgaard var ligeledes hentet hos Statens Serum Institut.

Politikerne undrer sig

De senere år er der kommet flere tiltag på sundhedsdataområdet. Stort set alle indgreb trækker i samme retning: Det bliver nemmere og nemmere at få flere og flere data.

Datatilsynet indførte for nogle år siden såkaldte paraplyanmeldelser, så regionerne ikke længere skal sende en ansøgning, hver gang de sætter et nyt forskningsprojekt i gang. Regionerne formulerer en generel, bred anmeldelse, så de efterfølgende projekter automatisk er omfattet af den generelle anmeldelse, og Datatilsynet dermed ikke skal udtale sig om de konkrete projekter.

I maj 2012 blev det også indført, at hvis først et forskningsprojekt i et privat firma er blevet godkendt af det videnskabsetiske system, så skal Datatilsynet ikke tage stilling til selve projektet.

Og i marts i år ophævede Folketinget den såkaldte forskerbeskyttelse, som ellers betød, at man kunne sige nej til at blive kontaktet om statistiske og videnskabelige undersøgelser på baggrund af oplysninger fra CPR-registret. Næsten 800.000 danskere havde ellers frabedt sig at blive kontaktet.

Så på den ene side giver politikerne udtryk for, at de vil beskytte borgernes data bedre; på den anden side bliver reglerne løbende ændret, så det bliver nemmere at bruge danskernes data.

Retsordfører Karsten Lauritzen (V) er overrasket over, hvor mange data staten selv udleverer uden de involveredes samtykke:

»Og det tror jeg også, at de fleste danskere vil være. Den ene del af regeringen vil gerne stramme, og i den anden del sidder man så og åbner for lykkeposen. Det er også mit indtryk, at der er meget lempelig adgang til data i Danmark. Det understreger behovet for en samlet strategi på området.«

Må gerne tjene penge på data

Der tegner sig også et billede af, at Statens Serum Institut nærmest per automatik udleverer persondata. Men det afviser sektionsleder Marianne Gjerstorff:

»Man kan ikke frit rekvirere. I henhold til lovgivningen skal man have de fornødne tilladelser. Vi indgår i dialog med forskerne om den rette afgrænsning.«

Har I med den omfattende dataudlevering udvidet begrebet »væsentlig samfundsmæssig betydning«?

»Vi tager ikke stilling til, hvad der er god og dårlig forskning. Vi tager stilling til, om projektet overholder gældende lovgivning, og om det er godt dokumenteret,« siger Marianne Gjerstorff.

Maiken Christensen, chefkonsulent i Datatilsynet, vurderer, at man godt kan bruge paragraffen i persondataloven, selv om de dataansvarlige virksomheder bruger forskningsresultaterne kommercielt.

»Fordi en virksomhed tjener penge, betyder det ikke, at dens forskning ikke kan have væsentlig samfundsmæssig betydning,« siger hun.

Hun understreger, at begrebet »væsentlig samfundsmæssig betydning« ikke er blevet udvidet med årene:

»Men det kan godt ske, at der reelt sker flere videregivelser.«

»Og jeg er enig i, at jo flere oplysninger, der udleveres, jo større er den teoretiske risiko for misbrug. Men så længe persondataloven bliver overholdt, er udleveringen ikke et problem set fra Datatilsynets synsvinkel,« siger Maiken Christensen.

Ødelægger tilliden til lægerne

Trods forsikringerne fra Datatilsynet er nogle læger bekymrede:

»Vi har intet overblik over, om disse data ender de rigtige steder, og jeg har mange kolleger, som er bekymrede over, hvor stor magt Statens Serum Institut har fået over patienternes data,« siger praktiserende læge Niels Ulrich Holm, bestyrelsesmedlem i Praktiserende Lægers Organisation (PLO).

Trine Jeppesen, praktiserende læge på Amager, mener, at dataudleveringen kan få vidtrækkende konsekvenser:

»Som læge kan jeg ikke længere sige til mine patienter: Du kan være helt rolig, alt, hvad du fortæller mig, skal Statens Serum Institut nok passe godt på. På sigt kan denne dataudlevering komme til at ødelægge tilliden mellem læge og patient.«