Høringssvar om bekendtgørelse vedrørende almen praksis (diagnosekodning, datafangst og indberetning af data)
Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/37898
Dette høringssvar beskæftiger sig alene med udkast til bekendtgørelse om kodning og datafangst i almen praksis, indberetning af data til regionen og offentliggørelse af oplysninger om lægen eller klinikken. IT-Politisk Forening har ikke bemærkninger til de øvrige bekendtgørelser i høringen.
§§ 1 og 2 i bekendtgørelsen om datafangst fastsætter en lovmæssig forpligtelse for den praktiserende læge til at registrere diagnosekoder (datafangst). Disse oplysninger skal indsendes til DAMD-databasen i personhenførbar form. Udover generering af aggregerede statistiske oplysninger til læger og regioner, som var det oprindelige formål, bliver oplysninger fra DAMD-databasen i dag sendt videre til sundhed.dk, ligesom oplysningerne kan videregives til offentlige og private forskningsprojekter, herunder i personhenførbar form.
IT-Politisk Forening finder det generelt problematisk, at oplysninger fra DAMD-databasen bruges til flere og flere formål, og at dette sker uden samtykke fra borgerne, og i realiteten også uden at borgerne informeres om, at deres helbredsoplysninger videregives til andre formål end den egentlige behandling af borgerne i sundhedssystemet.
Eftersom §§ 1 og 2 svarer til de forpligtelser, som de praktiserende læger i dag har efter deres overenskomst med regionerne, og derfor ikke direkte medfører nye registreringer om borgerne, har vi i dette høringssvar valgt at fokusere på § 3 i bekendtgørelsen.
§ 3 i bekendtgørelsen indebærer en ny registreringsforpligtelse for de praktiserende læger, som skal stille oplysningerne efter §§ 1 og 2 til rådighed for regionerne til brug for planlægning, kvalitetssikring og kontrol af udbetalte tilskud og honorarer.
Efter § 3, stk. 2 må oplysningerne ikke identificere eller gøre det muligt at identificere den enkelte patient. Dette krav følger af § 195, stk. 2 i sundhedsloven, som er indsat ved lov nr. 904 af 4. juli 2013.
Det fremgår imidlertid ikke af bekendtgørelsen hvordan det skal sikres, at de oplysninger, som de praktiserende læger skal indsende til regionerne, ikke gør det muligt at identificere den enkelte patient.
Af hensyn til borgernes retssikkerhed mener vi, at det skal fremgå af bekendtgørelsen hvordan oplysningerne skal anonymiseres. Selv om data er anonymiseret i persondatalovens forstand, kan der være en risiko for re-identifikation (de-anonymisering), og denne risiko afhænger blandt andet af hvordan anonymiseringen foretages, jf. vores bemærkninger nedenfor.
Grundlæggende kan anonymisering foretages på to måder:
- Ved kun at udlevere aggregerede data, hvori der indgår tilpas mange personer
- Ved at anonymisere personoplysninger som navne og CPR-numre i data på individniveau
Risikoen for re-identifikation af den enkelte borger eksisterer primært, hvis der er tale om data på individniveau, hvor de direkte personidentifikatorer som navn og CPR-nummer er anonymiseret.
Forarbejderne til lov nr. 904 giver ikke præcise anvisninger på hvordan kravet i § 195, stk. 2 om anonyme data skal fortolkes.
I følge besvarelsen af spørgsmål 10 til lovforslaget (L 227) vil bemyndigelsen i § 195, stk. 3 blive anvendt til at fastsætte regler om, at almen praksis skal stille oplysninger om antallet af patientkontakter til rådighed for regionerne. Svaret på spørgsmål 10 lægger således op til, at der alene skal overføres aggregerede data (antallet af patientkontakter) til regionerne.
I de generelle bemærkninger til lovforslaget afsnit 3.4.3 står der derimod
Det bemærkes dog, at der ved udtrykket »identificerbar person« forstås en person, der direkte eller indirekte kan identificeres, fx ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller social identitet. Oplysninger om patienter, der videregives til regionerne, vil som nævnt ikke kunne identificere eller gøre det mulig at identificere den enkelte patient.
Denne formulering kan muligvis fortolkes derhen, at der godt kan udleveres oplysninger på individniveau, hvis CPR-numre og andre personoplysninger er anonymiseret.
Hvis der med kravene i § 3 i bekendtgørelsen om datafangst alene menes aggregerede oplysninger som antallet af patientkontakter til de enkelte diagnosekoder, har vi ingen bemærkninger til § 3, da risikoen for re-identifikation må betragtes som værende ikke-eksisterende. De oplysninger som udleveres til regionerne vil i praksis være rene statistiske oplysninger. I givet fald skal vi dog opfordre til, at det i § 3 præciseres, at der alene er tale om aggregerede oplysninger, og ikke anonymiserede oplysninger på individniveau.
Hvis formålet med § 3 i bekendtgørelsen derimod er at de praktiserende læger skal udlevere oplysninger på individniveau (svarende til hvad der indsendes til DAMD-databasen) hvor de direkte personidentifikationer er anonymiseret, mener vi at der er en reel risiko for re-identifikation af borgeren, og at det er nødvendigt med yderligere oplysninger for at kunne vurdere omfanget af denne risiko.
Når vi er stærkt kritiske over for, om en anonymisering vil fungere tilstrækkeligt effektivt i den konkrete situation, skyldes det at den typiske praktiserende læge har omkring 1500 patienter, og regionerne ved hvilke borgere der er tilmeldt den enkelte læge. En anonym borger er således 1 af 1500 patienter hos lægen, men hvis datasættet yderligere suppleres med oplysninger om køn og for eksempel 10 intervaller for alder (af hensyn regionernes analyse og planlægning), er den enkelte borger nu 1 af 75.
En anonymiseringsmængde af den størrelse er så lille, at det i mange tilfælde vil være trivielt at identificere borgeren ud fra de angivne diagnosekoder. I den forbindelse skal man være opmærksom på, at regionerne har adgang til andre sundhedsoplysninger om borgerne, for eksempel medicinforbrug, som vil have sammenhæng med de angivne diagnosekoder.
Efter vores opfattelse er det ikke foreneligt med forarbejderne til § 195, stk. 2 i sundhedsloven at udlevere anonymiserede oplysninger på individniveau til regionerne. Risikoen for re-identifikation vil i praksis være så stor, at man ikke med rimelighed kan siges at opfylde kravet om, at borgeren ikke må kunne identificeres af regionerne.
Ud fra det foreliggende udkast til bekendtgørelsen er det ikke klart, om der med § 3 menes aggregerede oplysninger (som antal patienter for de enkelte diagnosekoder), eller om der menes anonymiserede oplysninger på individniveau. Men kun aggregerede oplysninger vil efter vores opfattelse kunne opfylde kravene i § 195, stk. 2 i sundhedsloven.
IT-Politisk Forening skal derfor opfordre til, at det i bekendtgørelsens § 3 præciseres, at der fra den enkelte praktiserede læge kun kan udleveres aggregerede oplysninger, som antallet af patientkontakter og lignende, til regionerne.