Vil legge helseopplysninger i amerikansk sky: – I utgangspunktet ulovlig

Millionprosjektet skulle blant annet gjøre innsjekkingen enklere på sykehusene. Nå har en amerikansk skylagringstjeneste ført til problemer for Helse Sør-Øst.

OMFATTENDE DIALOG: Helse Sør-Øst og Datatilsynet har vært i omfattende dialog om personvern knyttet til prosjekt Helselogistikk. Foto: Ingvild Gjerdsjø / TV 2

Mina Maria Rise

Anna Myklebust Hodne

Ingvill Drægni

21. mar 2023 21:52

«Bedre oversikt» og «raskere tilgang». Slik beskriver Helse Sør-Øst prosjektet som har en prislapp på 282 millioner kroner.

Ved hjelp av nye løsninger skal logistikken på sykehusene i regionen bli bedre og raskere. Prosjektet har fått navnet Helselogistikk og skal etter planen tas i bruk i løpet av våren 2023.

Men allerede sommeren 2022 begynte bekymringsmeldingene å renne inn til Datatilsynet.

Flere av sykehusene som var del av pilotprosjektet var bekymret for at personopplysninger kunne lekkes til land utenfor EU.

TV 2 har fått innsyn i deler av den omfattende kommunikasjonen mellom Datatilsynet, sykehusene og Helse Sør-Øst.

– Hvis vi hadde funnet ut om dette gjennom for eksempel tips eller kontroll, ville vi ikke snakket om veiledning, men heller vedtak og sanksjoner, sier Tobias Judin, seksjonssjef i Datatilsynet, til TV 2.

Vil gjelde 3,2 millioner personer

Datatilsynet er fagmyndigheten som håndhever personvernforordningen og fører tilsyn med virksomheter i Norge.

Helsevesenet sitter på store mengder svært sensitive personvernopplysninger.

Dette kan være private og personlige opplysninger om deg, ditt liv og din helse.

– Derfor er det utrolig viktig at man gjør grundige vurderinger i forkant, sier Judin, som er sjef for internasjonal seksjon.

DIALOG: Thomas Judin fra Datatilsynet har vært i omfattende dialog om personvernlovgivning med Helse Sør-Øst. Foto: Ilja C. Hendel/Datatilsynet

Det var dette som bekymret personvernombudet på Vestre Viken.

I en mailkorrespondanse mellom sykehuset og Datatilsynet 21. oktober 2022, skriver personvernombudet at han ønsker å drøfte lovligheten av løsningen rundt Helselogistikk.

«Løsningen vil i sum omfatte 3,2 millioner innbyggere og er svært viktig for sykehusenes drift, samtidig som den har åpenbare utfordringer ift. personvern», skriver personvernombudet.

– I utgangspunktet ulovlig

For pasientene vil innføringen av Helselogistikk blant annet bety at de selv kan registrere sin ankomst og betale digitalt ved avreise.

For å klare dette vil helseforetaket ta i bruk en amerikansk skyløsning, som lagrer data digitalt.

– I utgangspunktet er det ulovlig under GDPR å sende personopplysninger ut av EØS, for eksempel til USA, sier Judin.

USA anses i dag som et utrygt land å sende personopplysninger til.

– De ivaretar ikke personvernet godt nok, sier seksjonssjefen.

Etter at Datatilsynet ble kontaktet av flere bekymrede rådgivere og sykehus, valgte tilsynsorganet å sende et brev til Helse Sør-Øst hvor de kommer med tre ulike anbefalinger for å bedre personvernet i prosjektet.

Datatilsynets tre forslag:

Iverksette tekniske tiltak som beskytter personopplysningene i løsningen fra å bli utlevert, for eksempel god kryptering eller pseudonymisering, eller
- gjøre ytterligere vurderinger av hva som faktisk er omfattet av amerikansk etterretninglovgivning, eller
- vente til en ny personvernavtale med USA er på plass

Vil ikke skrote prosjektet

Direktør i teknologi og e-helse ved Helse Sør-Øst opplyser til TV 2 at de har planer om å gå videre med Datatilsynets forslag om å gjøre ytterligere vurderinger rundt amerikansk etterretningslov.

– Disse tiltakene har ikke medført noen vesentlige ekstra kostnader eller forsinkelser, sier Rune Simensen, direktør for teknologi og e-helse i Helse Sør-Øst.

Datatilsynet mener det er bra at Helse Sør-Øst skal vurdere amerikansk lovgivning ytterligere, men understreker at det må gjøres grundig.

SKYLAGRING: Helse Sør-Øst vil blant annet bruke amerikansk skylagring til å håndtere persondata ved sykehus i regionen. Foto: Frode Sunde / TV 2

– Det er viktig å være oppmerksom på at en slik vurdering ikke er en løsning i seg selv. Man kan ikke forskuttere hva resultatet av vurderingen vil bli – og vurderingen kan vise at det er nødvendig med ytterligere tiltak, sier Judin.

Helse Sør-Øst sier de ikke har vurdert å skrote prosjektet.

– Kan dere garantere at ingen personopplysninger er på avveie i forbindelse med dette prosjektet?

– Så langt kan vi garantere det, siden man ikke har begynt å behandle personopplysninger i prosjektet ennå, sier Simensen.

Han understreker at ingen generelt kan gi slike garantier og sier den største risikoen for personopplysninger er gamle og sårbare systemer som ikke kommuniserer godt med hverandre.

ORIENTERT: Direktoratet for e-helse er orientert om personvernutfordringene til Helse Sør-Øst. Foto: Direktoratet for e-helse

Juridisk direktør i Direktoratet for e-helse, Birgitte Jensen Egset, skriver til TV 2 at de er orientert om saken og tar den til etterretning.

– Vi kjenner til at det har vært en omfattende dialog mellom Helse Sør-Øst og Datatilsynet i denne saken.

Har du et tips?

Vi jobber med helsejournalistikk i TV 2.

Har du innspill til denne saken eller tips til noe annet vi bør skrive om? Ta gjerne kontakt på helse@tv2.no

Skrotet prosjekt til 200 millioner

Dette er ikke første gang personvernlovene skaper problemer for et større prosjekt om helsedata.

Helseanalyseplattformen skulle lette tilgangen til helseopplysninger for forskere på sykehus over hele landet . Også her skulle man ta i bruk en amerikansk skyløsning.

Men i februar ble prosjektet vraket, skrev Dagens Medisin. Da hadde det allerede blitt brukt 200 millioner kroner på plattformen.

Det er en dom fra 2020 som har skapt problemer for både Helseanalyseplattformen og prosjekt helselogistikk.

Den såkalte Schrems II-dommen i EU-domstolen slo fast at det var ulovlig å lagre visse typer persondata i amerikanske skyløsninger.