Eksperter er rystede: Danske patientdata ender i USA

En større gruppe amerikanske it-medarbejdere har via Sundhedsplatformen adgang til dybt personlige oplysninger om patienter i hovedstaden og på Sjælland.

Det fremgår af en rapport om beskyttelse af persondata i Sundhedsplatformen fra advokatfirmaet Bech-Bruun, som Politiken har fået aktindsigt i.

Rapporten kaster ifølge Politiken lys over 22 punkter, som indebærer en potentiel risiko for privatlivet.

Punktet "overladelse af personoplysninger til tredjelande" er markeret med rødt og kategoriseres som en trussel, hvor "personer kan opleve betydelige konsekvenser".

- Supportmedarbejdere hos Epic i England og USA har adgang til personoplysninger på patienter og ansatte i Sundhedsplatformens produktionsmiljø, skriver Bech-Bruun i rapporten.

Rapporten er bestilt af Region Hovedstaden og Region Sjælland.

På baggrund af Bech-Bruun-rapporten vurderer flere eksperter, at sundhedsmyndighederne har taget alt for let på patientdatasikkerheden.

En af dem er lektor i sundhedsret Kent Kristensen fra SDU. Han er rystet over, at det har kunnet ske.

- Jeg havde ikke forestillet mig, at man kunne gå så langt, at man stiller borgernes helbredsoplysninger til rådighed for nogen, som skal udføre en servicefunktion i et usikkert tredjeland, siger Kent Kristensen til Politiken.

Professor Thomas Ploug, som forsker i it- og medicinsk etik på Aalborg Universitet, kalder sagen "meget, meget problematisk".

- Det viser, at Sundhedsplatformen udgør en betydelig risiko for patienter og også de ansattes privatliv, siger han.

Men der er ingen grund til, at patienter skal være bekymrede for, at uvedkommende har set deres sundhedsoplysninger.

Det siger vicedirektør Pia Kopke, Region Hovedstadens Center for IT, Medico og Telefoni, til Ritzau.

- Vi ser ingen grund til bekymring, siger hun.

- Jeg vil godt understrege, at alle data er i Danmark. Og når vi giver adgang til Epics medarbejdere, så er det udelukkende med henblik på fejlrettelse.

- Adgang kan kun ske, hvis en medarbejder i Region Hovedstaden eller Region Sjælland vurderer, det er nødvendigt, siger Pia Kopke.

Rapporten fra Bech-Bruun er ifølge vicedirektøren en opfordring til, at aftalerne med Epic, der blev indgået tilbage i 2012, opdateres, så de bringes i overensstemmelse med EU's skærpede regler om persondata.

- Det som Bech-Bruun beskriver er, at vi skal ind og konkretisere de procedureaftaler, der er. Det er et arbejde, der delvist er gennemført, og som vil blive bragt i orden i løbet af året, siger Pia Kopke.