Etikk i praksis. Nordic Journal of Applied Ethics (2014), 8 (1), s. 52–66

Retten til privathed i det danske sundhedsvæsen

Hanne Pihl Bjerre1 & Katrine Juel Vang2

1 Institut for Design og Kommunikation, Syddansk Universitet, hpb@sdu.dk

2 Institut for Design og Kommunikation, Syddansk Universitet, katvang@sdu.dk

Formålet med nærværende oversigtsartikel er at undersøge den stigende digitalisering og deling af personlige informationer i sundhedsvæsenet, samt hvilke etiske udfordringer denne udvikling har for den enkelte borger. Mere præcis vil vi rammesætte denne diskussion i en dansk kontekst eksemplificeret ved Det Fælles Medicinkort. Det Fælles Medicinkort er en obligatorisk database for danske borgere indeholdende informationer om patienters medicinske historie to år tilbage. Denne database kan tilgås af en bred vifte af sundhedsprofessionelle i Danmark (Bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af de enkelte borgeres medicinoplysninger 2011).

På trods af lovede sundhedsmæssige fordele, såsom en højere grad af sikkerhed i forbindelse med medicinering, en øget effektivisering af sundhedsvæsenet og dermed besparelser på de offentlige budgetter, plæderer vi i artiklen for, at implementeringen af Det Fælles Medicinkort kompromitterer den enkeltes privathed. Den enkelte borger er ikke i tilstrækkelig grad informeret om brugen af Det Fælles Medicinkort. Ydermere finder vi ikke, at borgerens autonomi i forhold til indholdet af personlige oplysninger i Det Fælles Medicinkort er opretholdt på en tilfredsstillende måde.

Artiklens primære perspektiv er deontologisk, men for at nuancere vores diskussion inddrages lejlighedsvist også utilitaristiske argumenter. Endvidere inddrages i artiklen Helen Nissenbaum, Tom L. Beauchamp og James F. Childress samt John Rawls. I artiklen vil tre konkrete problemstillinger blive diskuteret i relation til Det Fælles Medicinkort: (1) Deler vi relevante og passende data? (2) Er distributionen af disse data til en så bred vifte af sundhedsprofessionelle på sin plads? Og slutteligt: (3) Er den enkelte borgers beslutningsdygtighed, og dermed mulighed for autonomi i forhold til personrelaterede informationer, tilstrækkelig.

Nøgleord: digitalisering, privathed, Danmark, sundhedsvæsen, Det Fælles Medicinkort

English summary: The right to privacy in Danish healthcare

The scope of this paper is to assess the growing digitalization of personal information in healthcare and the ethical challenges this development poses to the citizen. Specifically the paper discusses the right to privacy in a Danish context, namely in relation to the use of The Shared Medical Record. The Shared Medical Record is a default digital health record consisting of every patient’s medical history for the previous two years, accessible to a broad range of health professionals in Denmark.

In this paper we discuss three aspects of The Shared Medical Record, primarily from a normative point of view: 1) Are the personal data shared by The Shared Medical Record relevant and appropriate? 2) Is the distribution of this information to the current array of health professionals appropriate? And 3) Does The Shared Medical Record adequately support and account for the quorum and autonomy of the individual citizen with regards to personal information?

We argue that, advantages such as heightened security, efficiency and convenience aside, the citizens’ right to privacy is to some extent compromised by the terms and use of this record. The citizen is not extensively informed on the use of the record, and does not hold a sufficient degree of autonomy over the content and distribution of their personal data. The primary ethical perspective of the paper is deontological, but in order to properly nuance our stance we have chosen to include traditionally utilitarian points of view throughout our discussions.

In the paper we introduce Helen Nissenbaum’s notion of contextual integrity in order to thoroughly assess the service’s ethical implications for Danish citizens and their future privacy, as well as points from John Rawls, Tom L. Beauchamp and James F. Childress.

Keywords: digitalization, privacy, Denmark, healthcare, The Shared Medical Record


Introduktion

I nærværende oversigtsartikel behandles Det Fælles Medicinkort i krydsfeltet mellem den enkelte borgers ret til privathed og sundhedsvæsenets ønske om at dele data. Artiklen har til formål at belyse og diskutere et uddrag af de problemstillinger, Det Fælles Medicinkort repræsenterer for den enkelte. Artiklens primære afsæt er således deontologisk, men for at nuancere vores argumenter har vi valgt at belyse problemstillingerne fra både deontologiske og utilitaristiske perspektiver.

Vi er i en tidsalder, hvor informationer i allerhøjeste grad digitaliseres. Dette indebærer væsentlige fordele for samfundet som helhed og den enkelte borger. Denne digitalisering forekommer ligeledes i det danske sundhedsvæsen med henblik på at effektivisere, bespare, og give patienterne en bedre og mere sikker behandling. Et konkret eksempel på denne udvikling i Danmark er Det FællesMedicinkort (Bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af de enkelte borgeres medicinoplysninger 2011). Det Fælles Medicinkort giver mulighed for hurtigere deling af massive mængder data om patienter set i forhold til tidligere tider og dette i en form, der betyder en større grad af tilgængelighed hertil for sundhedspersonalet. Sundhedspersonalet skal ikke længere vente på, at informationer kommer frem med post eller foretage opkald for at få kendskab til disse. De har en umiddelbar adgang til opdaterede og korrekte oplysninger. Således er digitaliseringen inden for sundhedsområdet med til at sikre såvel mere effektive som mere fejlfri arbejdsgange. Informationerne lagres i databaser, og en bred vifte af sundhedsprofessionelle kan orientere sig heri, når en patient er under deres behandling.

Det, der bør overvejes og diskuteres, er, hvornår prisen for datatilgængelighed er for høj for den enkelte borger i forhold til fordelene for samfundet. De implicerede parter har med andre ord ikke nødvendigvis samstemmende ønsker for, hvordan optimal praksis bør være. Hensynet til samfundet kan begrundes utilitaristisk. Vi skal maksimere nytten for flest mulige uden at bekymre os om, hvorledes denne nytte er distribueret. Omvendt finder vi hensynet til det enkelte individ begrundet i en deontologisk grundtanke og ideerne her om respekten for det enkelte individ og retten til autonomi.

Artiklen har et normativt sigte, hvilket her betyder, at der fremsættes en række konkrete bud på, hvordan den nuværende praksis kan justeres med henblik på i højere grad end i nuværende praksis på passende vis at balancere privathed og tilgangen til data. Skal man trække artiklens hovedpointe frem her, mener vi, at Det Fælles Medicinkort i flere tilfælde vægter hensynet til de mange for højt i forhold til den enkelte borger. Vi plæderer for, at den enkelte borger i højere grad skal inddrages, og at man fremadrettet i højere grad designer med respekt for individet og retten til autonomi.

Struktur

Indledningsvist introduceres Det Fælles Medicinkort; hvad dette indeholder, og hvem der har adgang hertil. Ydermere anskueliggøres de sundhedsmæssige fordele, der er nævnt som bevæggrund for implementeringen heraf. Dernæst forefindes en diskussion af balancen mellem borgernes ret til privathed og den tilgængelighed til data, som der i offentligt regi ofte er et ønske om. Her karakteriseres det danske sundhedsvæsen som et socialt kontraktsundhedsvæsen forstået inden for rammen af John Rawls’ (1976) politiske teori om fordeling af goder i et samfund. Efterfølgende præsenteres Helen Nissenbaums moderne teori om privathed defineret som kontekstuel integritet. Denne teori anvendes senere som analyseværktøj og forklaringsmodel i forhold til Det Fælles Medicinkort. Herefter følger en diskussion af tre problemstillinger, som findes centrale i relation til artiklens fokus. Først vil det blive diskuteret og vurderet, (1) om vi i brugen af Det Fælles Medicinkort deler relevante og passende data. Til dette inddragesproportionalitetsprincippet, ét af seks principper, der ifølge professor Mette Hartlev (Hartlev 2005) har sin oprindelse i Databeskyttelseskonventionen og EU’s persondatabeskyttelsesdirektiv. Dernæst følger en diskussion af, hvorvidt (2) distributionen af disse data til en så bred vifte af sundhedsprofessionelle er på sin plads. Også her inddrages et af de førnævnte principper, transparensprincippet.Slutteligt tages den (3) enkelte borgers beslutningsdygtighed, og dermed mulighed for autonomi i forhold til personrelaterede informationer op til revision. Her inddrages bioetikerne Tom L. Beauchamp og James F. Childress (Beauchamp & Childress: 2001) i forbindelse med informeret samtykke.

Nærværende artikel tjener det formål at give en oversigt over nogle af de problemstillinger, der knytter sig til Det Fælles Medicinkort. Der er således tale om en artikel, hvori flere forskellige problemstillinger bliver belyst. Det er dog ikke hensigten at give en udtømmende diskussion af de diskuterede problemstillinger i indeværende artikel, men snarere at skabe et overblik og en oversigt over udvalgte problemstillinger.

Det Fælles Medicinkort

Det Fælles Medicinkort er en for danske borgere obligatorisk database, der indeholder informationer om medicinkøb og medicinordinationer de seneste to år. Det Fælles Medicinkort er på nuværende tidspunkt endnu ikke fuldt ud implementeret, men skal anvendes på tværs af sektorer i sundhedsvæsenet på nationalt plan.

Det Fælles Medicinkort implicerer, at vi som borgere og dermed brugere af sundhedsvæsenet nødvendigvis skal tillade, at vores medicinrelaterede informationer bliver tilgængelige for en lang række af sundhedsprofessionelle. Og netop antallet af sundhedsprofessionelle, der kan tilgå vores informationer via Det Fælles Medicinkort, er løbende blevet udvidet de seneste år. I dag tæller disse blandt andre læger, tandlæger, sundhedsplejersker, social- og sundhedshjælpere og -assistenter, plejehjemsassistenter, apotekere, apoteksansatte og farmaceuter (Bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af de enkelte borgeres medicinoplysninger 2011). Hensigten er, at det øgede antal sundhedsprofessionelle med adgang til Det Fælles Medicinkort skal medføre en større fleksibilitet i arbejdsgangene i sundhedsvæsenet.

De data, der indgår i Det Fælles Medicinkort, angår såvel den medicin, der er udskrevet, som den faktisk afhentede medicin. Dataene giver sundhedsprofessionelle et fuldt overblik over den enkeltes aktuelle medicinering minimum to år tilbage i tiden, hvilket er formålstjenligt i en lang række sammenhænge. Det viser sig ved nærmere gennemgang af lovgivningen omkring Det Fælles Medicinkort, at dataene om den enkelte borger i nogle tilfælde gemmes længere end to år. Disse data overføres fra Det Fælles Medicinkort til en given patients praktiserende læges eget journalsystem. Lægen er forpligtet til at gemme informationer indeholdt heri i minimum 10 år.

Et eksempel kan illustrere Det Fælles Medicinkorts potentiale i praksis: Man kan forestille sig et ældre menneske, der indlægges på sygehuset uden overblik over egen medicinering. Patienten møder måske endda op med en forældet medicinliste. Ligeledes kan man uden de store vanskeligheder forestille sig, at en person kommer slemt til skade i en ulykke og ikke er ved bevidsthed. Det vil i en sådan situation ikke være muligt for en sundhedsprofessionel at få oplyst patientens aktuelle medicinering ved at spørge patienten selv. Heri består et af Det Fælles Medicinkorts mest centrale anvendelsesmuligheder: Med dette system foreligger nu et fuldstændigt og korrekt overblik over en patients aktuelle medicinering, hvilket kan have signifikant betydning for de sundhedsprofessionelles arbejde. Dette fuldstændige overblik kan eksempelvis give sig udslag i hurtigere diagnosticering af patienter og færre fejl. Endvidere kan sundhedsprofessionelle sikre, at der ikke gives medicin, som interagerer uhensigtsmæssigt med den medicin, patienten i forvejen får. Medicin, der interagerer uhensigtsmæssigt, kan i yderste konsekvens koste liv.

På nuværende tidspunkt er der indlagt én måde, hvorpå man som borger kan få indflydelse på sundhedsprofessionelles mulighed for at tilgå ens data. Man kan bede om at få en medicinordination privatmarkeret. Dette betyder, at det kun er borgeren selv og den sundhedsprofessionelle, der har foretaget privatmarkeringen, der kan se, hvad der gemmer sig bag denne. Hvis borgeren så kommer i forbindelse med eksempelvis en anden læge, der jo så af gode grunde ikke kan se, hvilket præparat der gemmer sig bag privatmarkeringen, kan den sundhedsprofessionelle spørge borgeren om lov til at tilgå denne information. Fastholder borgeren, at lægen i dette tilfælde ikke skal kende til informationen, så må lægen ikke tilgå informationen.

Forestiller vi os en lignende situation som ovenstående, dog hvor borgeren ikke er ved bevidsthed og derfor ikke kan svare på lægens spørgsmål om at tilgå den privatmarkerede medicin, så må lægen bringe den såkaldte værdispringsregel i spil. Lægen kan således i praksis tilgå informationen på trods af privatmarkeringen, hvis lægen mener, at det kan være særligt problematisk ikke at have en fuldstændig medicinliste til rådighed.1

Det viser sig altså, at man ved udviklingen af Det Fælles Medicinkort har valgt at give borgerne en principiel mulighed for at kontrollere egen information. Denne ret er dog ikke absolut og kan således omstødes af en sundhedsprofessionel, hvis denne skønner, at dette er påkrævet af sundhedsmæssige grunde. Der kan her argumenteres for, at den sundhedsprofessionelles veritable vetoret implicerer, at man i allerhøjeste grad kompromitterer individets ret til privathed og mulighed for selvbestemmelse.

Forskellige begrundelser for implementeringen af Det Fælles Medicinkort er blevet givet gennem tiden. Ud over at hurtige diagnoser og færre fejl er i den enkelte patients interesse, så har samfundet også en betydelig økonomisk interesse i Det Fælles Medicinkort. Eksempelvis betyder hurtigere diagnoser helt konkret, at der kan spares penge i sundhedsvæsenet. Faktisk er det én af de 10 mest effektive besparelsesmuligheder, der forefindes i sundhedsvæsenet (Mandag Morgen 2011). Derudover skal Det Fælles Medicinkort medføre mere fleksible arbejdsgange sundhedsvæsenets personalegrupper imellem, hvilket også i sidste ende kan bibringe en økonomisk besparelse.

I forbindelse med implementeringen af Det Fælles Medicinkort må det være passende at overveje, hvad den enkelte borger kan og bør forvente af systemet. Her fokuseres ikke på de lovede sundhedsmæssige fordele, men derimod den tilgængelighed til den enkelte borgers data, som systemet automatisk medfører i sit nuværende design. Hvad kommer Det Fælles Medicinkort egentlig til at betyde for borgernes privathed? Og kan vi med mindre ændringer optimere forholdene omkring privatheden for borgeren i Det Fælles Medicinkort- og samtidigt bibeholde delingen af data?

Datatilgængelighedens pris i et samfundsperspektiv

Det er væsentligt at holde sig for øje som borger i et samfund, at der er begrænsede økonomiske ressourcer, og at disse skal anvendes mest hensigtsmæssigt. Det må her være essentielt at reflektere over, om man som borger i et land som Danmark med et omkostningsfuldt, frit tilgængeligt sundhedsvæsen og et betydeligt skattetryk ikke i en vis udstrækning er forpligtet til at give informationer om sig selv for at bidrage til, at udgifterne holdes nede. Sideløbende hermed er det dog ligeledes relevant i en tid, hvor informationer i høj grad digitaliseres i det offentlige, at vi er bevidste om, hvilken pris indsamlingen af disse data og delingen heraf har. Datatilgængeligheden i Det Fælles Medicinkort er forbundet med sundhedsrelaterede fordele, som det allerede er gjort klart tidligere i denne artikel. Hensynet til samfundet og hensynet til det enkelte individ kommer på den måde til at stå over for hinanden. Dermed ikke sagt, at hensynet til samfundet og hensynet til individet nødvendigvis altid er modstridende. Hensynet til samfundet kan begrundes utilitaristisk: Vi skal maksimere nytten for flest muligt uden at bekymre os om, hvorledes denne nytte er distribueret. Og hensynet til det enkelte individ finder vi begrundet deontologisk: Omdrejningspunktet er her tanker om respekten for det enkelte individ og det enkelte individs ret til autonomi.

Det danske sundhedsvæsen kan karakteriseres som et socialt kontraktsundhedsvæsen. John Rawls’ (1976) politiske teori om fordeling af goder i et samfund, kan her inddrages som en passende ramme. Teorien forudsætter, at ingen på forhånd kender deres plads i samfundet, når det kommer til fordeling af goder, evner, styrke, intelligens og så fremdeles (Rawls 1976: 12). Det er derfor i flertallets interesse at sikre et vist minimum af rettigheder for den enkelte. Dette forhold beskriver Rawls således: «Each person is to have an equal right to the most extensive basic liberty compatible with a similar liberty for others» (Rawls 1976: 60). Såfremt man godtager denne præmis, ville alle ønske sig et sundhedsvæsen, hvor alle altid kan opnå behandling, uafhængigt af hvilke goder der ellers er blevet én tildelt. Her betragtes det danske sundhedsvæsen som et sikkerhedsnet, hvor man som borger er garanteret et vist minimum af goder. Grundlaget for dette er endvidere en antagelse om, at mennesket i højere grad tilgodeser egne interesser ved at skabe sociale institutioner. En sådan social institution udgør altså det danske sundhedsvæsen. Hvis man i Danmark anser retten til medicinsk behandling for en basal rettighed, og en præmis for denne behandling med indførelsen af Det Fælles Medicinkort bliver registreringen af ens medicinske historie, synes der umiddelbart at være en vis balance i rettigheder og pligter – og at samme regler gælder for alle patienter, er i Rawls’ optik positivt. Dog kan man argumentere for, at misforholdet mellem sundhedspersonale og patient medfører en uhensigtsmæssig strukturel ulighed.

Rawls anerkender nyttigheden af et vist mål af strukturelle uligheder i samfundet, men pointerer, at disse kun kan betragtes som retfærdige, hvis de 1) kan sandsynliggøres at være til alles fordel og 2) er forbeholdt instanser og hverv, som er tilgængelige for alle (Rawls 1976: 60). Vedrørende punkt 1 mener vi principielt, at det er til alles fordel at der til visse professioner og positioner i samfundet knytter sig nogle beføjelser, som ikke er alle til del. Dette er grundlaget for vores retssamfund. Netop som i retssystemet skal den enkeltes friheder og rettigheder dog sikres i sundhedsvæsnet, og tanken er her, at man snildt kan styrke den enkeltes rettigheder i udformningen af Det Fælles Medicinkort.

Rawls uddyber om punkt 1, at: «Now it is possible, at least theoretically, that by giving up some of their fundamental liberties men are sufficiently compensated by the resulting social and economic gains» (Rawls 1976: 62). Dette citat rammer hovedet på sømmet i diskussionen om Det Fælles Medicinkort: Et stærkt argument for implementeringen heraf kan nemlig være, at netop de økonomiske vindinger kan siges i rigt mål at opveje et eventuelt tab af den basale friheds privathed. En mere tilbundsgående afvejning af økonomisk versus personlig frihed er uden for denne artikels rækkevidde, men det er ud fra et deontologisk perspektiv yderst problematisk at give køb på basale menneskelige rettigheder af økonomiske hensyn.

Inddragelsen af Rawls skulle gerne bidrage til yderligere at anskueliggøre den spænding, der er mellem borger og samfund. Den følger heraf, at hvis man som borger vil kræve en ret til privathed i et sundhedsvæsen baseret på principper om en sådan social kontrakt, må man som minimum kunne sandsynliggøre, at privathed har værdi. Dette er gjort på forskellig vis gennem tiden. En nyere og nutidig begrundelse for privathed er den amerikanske professor Helen Nissenbaums (Nissenbaum 2004) teori om kontekstuel integritet (forfatternes egen oversættelse af contextual integrity). For teorien gør sig gældende, at den ud over at anlægge et moderne perspektiv på privathed udgør et solidt analyseværktøj.

Privathed som kontekstuel integritet

Værdien af privathed er diskuteret og begrundet på et utal af måder. Typisk anskues privathed dog som værende en værdi af instrumentel karakter, der således er et middel til at opnå andre goder. Privathed har i den henseende under tiden været knyttet tæt sammen med blandt andet autonomi og integritet. At se privathed i relation til autonomi synes rimeligt, idet et sådant perspektiv bygger på en antagelse om, at mennesket selv bedst ved, hvordan det vil leve sit liv, og hvilke prioriteter dette indebærer. Denne opfattelse synes særligt relevant i en betragtning af Det Fælles Medicinkort, hvor man med udgangspunkt i autonomi kan argumentere for, at individet selv har retten til at bestemme over informationer vedrørende og tilhørende den enkelte. Denne ret har været krævet i mange forskellige sammenhænge og kan føres tilbage til den pligtetiske grundtanke. Argumenter for privathed vil således ofte bygge på deontologiske overvejelser. Omvendt vil man med slagkraftige, utilitaristisk begrundede argumenter og en cost-benefit-analyse i hånden kunne argumentere imod hensynet til privathed, ud fra betragtningen om at samfundet har ret til at kende og dele informationer, simpelthen fordi alternativet er for omkostningsfuldt. I denne artikel anses relationen mellem borger og sundhedsvæsen som nævnt for værende en social kontrakt. Dermed impliceres det, at der nødvendigvis skal findes en balance mellem disse to yderpunkter, og hensynet til retten til privathed kan, som følge heraf, kun ske til en vis grænse.

En måde at begrunde privathed på er under henvisning til integritet. Præcis hvadintegritet dækker over, er dog ikke entydigt. Begrebet kan for eksempel tilskrives såvel en fysisk som en psykisk urørlighedszone, og det er sidstnævnte definition af begrebet, der udgør forståelsesgrundlaget for denne artikel (Det Etiske Råd 2010: 33). Føromtalte Helen Nissenbaum definerer som nævnt privathed som kontekstuel integritet. Nissenbaums teori har afsæt i en antagelse om, at hvorvidt en given information er offentlig eller privat er uinteressant (Nissenbaum 2004: 151). Det væsentlige er derimod, om en given information kan siges at være passende i en konkret kontekst. Kontekst er her defineret som forskellige sfærer i livet, og eksempler herpå kan være en skolekontekst, en arbejdskontekst eller en sundhedsvæsenskontekst. Hver kontekst er defineret af et normsæt. Normerne har deres ophav i et utal af sammenhænge, eksempelvis kan de være kulturelt, historisk og juridisk bestemt. Ud over at normerne har indflydelse på personers indbyrdes roller, har de også indflydelse på, hvad man bør og ikke bør.

Nissenbaum knytter to normer specifikt til information, for hvilke det desuden gælder, at de er til stede i alle kontekster, ligesom de er bestemte heraf (Nissenbaum 2004: 137). Først i tilfælde, hvor begge normer er opretholdt, er den kontekstuelle integritet til stede. Nissenbaum sidestiller kontekstuel integritet med privathed. Den første af de to normer er normen for passende information(forfatternes egen oversættelse af Nissenbaums betegnelse norms of appropriateness) (Nissenbaum 2004: 141). Denne norm bestemmer, hvad der er passende i en bestemt kontekst. Selv eksemplificerer Nissenbaum dette med, at det er passende at tale med sine undervisere om karakterer. Det er ligeledes passende at diskutere sin sundhed med en læge. Det er omvendt ikke passende, at lægen taler med sin patient om egen sygdom. Information, som kan være passende i én kontekst, er det ikke nødvendigvis i en anden. Normen omhandlende bevægelse af information (forfatternes egen oversættelse af Nissenbaums betegnelse norms of flow or distribution) (Nissenbaum 2004: 141) angår, hvorledes en given information flyttes eller distribueres på passende vis. Nissenbaum bemærker, at: «What matters is not only whether information is appropriate or inappropriate for a given context, but whether its distribution, or flow, respects contextual norms of information flow» (Nissenbaum 2004: 141). Dette kan nemt illustreres med et eksempel fra dagligdagen: Om man selv fortæller sin chef, at man er gravid, eller om ens gode ven og kollega gør dette, giver principielt samme udfald. Med Nissenbaums to normer vil man her kunne påpege, at normen om bevægelse af information kun er opretholdt i det tilfælde, hvor man selv fortæller sin chef, at man er gravid. Dog vil informationen kunne anses for værende passende i konteksten. Nissenbaum eksemplificerer selv forståelsen heraf i sundhedsvæsenet med det forhold, at patienter forventer, at deres læge ikke vil dele informationer om dem til andre end relevante personer. Her kan der eksempelvis være tale om en specialist på området. Sælger lægen information om patienten til et firma, vil dette klart være et brud på informationsnormen omhandlende bevægelse af information i en sundhedsvæsenskontekst (Nissenbaum 2011: 33). Et salg af information vil betyde, at informationen skifter kontekst.

Teorien om kontekstuel integritet kan endvidere anvendes til konkret beslutningsstøtte i forhold til en vurdering af, om retten til privathed opretholdes i forhold til Det Fælles Medicinkort. Teorien er nemlig i høj grad anvendelig i en netmedieret sammenhæng, som Nissenbaum (2011) understreger ikke skal betragtes som et særskilt domæne, hvor tidligere tiders privathedsnormer ophører. Nettet er i høj grad medium for en masse forskellige kontekster, der tager deres primære udgangspunkt i de kontekster, vi i forvejen kender fra den sociale sfære. Nissenbaum understreger her, at de forventninger, man har til velkendte kontekster, hvad end det er banker eller sundhedssektoren, i høj grad stadig gør sig gældende online: «Although the medium may affect what actions are possible and likely, sensible policy-making focuses on the actions and practices themselves, with an eye to their function within social spheres and their standing in relations to entrenched social norms.» (Nissenbaum 2011: 43) Altså bliver det her helt afgørende for den enkeltes oplevelse af privathed, om man i den digitale lagring af personlige informationer overholder de til en kontekst hørende normer. Dette medfører ifølge Nissenbaum et ansvar for ikke blot at drage nytte af digitaliseringens gevinster ud fra politisk-økonomiske og utilitaristiske hensyn, fordi «… we expect functions such as education, health care, religion, telecommunication and transportation, whether privately paid for or not, to meet independent ideals» (Nissenbaum 2011: 41).

I de kommende afsnit vil det, under inddragelse af blandt andet Nissenbaums teori og analyseværktøj, blive diskuteret og vurderet, hvorvidt de tre tidligere omtalte problemområder kan siges at problematisere eller kompromittere den kontekstuelle integritet.

Deling af relevante data

Det første forhold, vi som nævnt bør kigge nærmere på, er, hvorvidt der delesrelevante data i Det Fælles Medicinkort. Spørgsmålet er, om det er rimeligt, at vi deler de data, som vi gør. Det er som sagt informationer, som faktisk fortæller særdeles meget om os som mennesker. De informationer, der indgår i Det Fælles Medicinkort, findes der dog ikke umiddelbart grund til at skulle ændre på. Det er informationer, som er meningsfulde og relevante i den kontekst, hvori de bliver anvendt. Set i lyset af Nissenbaums norm om passende informationer i en given kontekst kan disse informationer siges at opfylde dette krav. Der er tale om informationer, som det ville være dybt privathedskrænkende og grænseoverskridende for mange, hvis eksempelvis deres arbejdskolleger kendte til. Derimod er det meningsfuldt og passende, at ens egen læge ved, at man eksempelvis får medicin mod depression. Det er ligefrem relevant.

Med ovenstående er det dog ikke sagt, at alle informationerne dermed også ernødvendige. Det er til stadighed tilrådeligt at foretage en evaluering af, om man indsamler og lagrer flere informationer end nødvendigt. Dette kan problematiseres yderligere i lyset af det såkaldte proportionalitetsprincip (Hartlev 2005: 181). Dette princip er ét af seks principper, der ifølge professor Mette Hartlev har sin oprindelse i Databeskyttelseskonventionen og EU’s persondatabeskyttelsesdirektiv. Proportionalitetsprincippet foreskriver, at der kun må indsamles nødvendige data i forhold til formålet (Hartlev 2005: 181). I de tilfælde, hvor der indsamles data om et individ, er det yderst centralt, at der er en mening hermed, ligesom det må forventes, at der kun indsamles de informationer, der er nødvendige for at opfylde et givent systems målsætning. I forbindelse med nærværende artikel er det ikke lykkedes at finde evalueringsmateriale, der afdækker, hvorvidt de informationer der er indeholdt i Det Fælles Medicinkort, kan siges at være nødvendige og overholde proportionalitetsprincippet. Det kan således hverken bekræftes eller afkræftes, hvorvidt dette princip overholdes.

Distribution af data mellem sundhedsprofessionelle

Listen med forskellige sundhedsprofessionelle faggrupper, der kan tilgå patienters informationer, er i sin helhed overraskende lang.2 Det har været problematiseret, at op mod 200.000 mere eller mindre perifere sundhedsprofessionelle principielt har adgang til disse personfølsomme informationer (Sørensen & Vibjerg 2013). Nissenbaum anfører specifikt om sundhedsområdet, at: «In a health care context, for example, patients expect their physicians to keep personal medical information confidential, yet they accept that it might be shared with specialists if needed.» (Nissenbaum 2011: 33) Man tvinges ud fra et hensyn til den enkeltes privathed til at spørge, om det virkelig kan være relevant og nødvendigt, at en så bred vifte af forskellige faggrupper skal kunne få information om en borger. Det skal her gøres klart, at en hvilken som helst sundhedsprofessionel dog ikke har ret til at slå tilfældige borgere op. Det er udelukkende, når en patient er i behandling, eller det af anden grund er relevant, at et opslag må foretages. Som borger med et medicinkort har man selv mulighed for at tjekke, hvem der har tilgået ens medicinkort. Dette gøres online via ens personlige tilgang til medicinkortet. Foranstaltninger som denne giver den enkelte borger muligheden for at kunne kontrollere, at det kun er dem, der har haft brug for det, der har tilgået deres data. Denne mulighed for at tjekke, hvem der har tilgået ens data viser desuden, at respekten for det enkelte individ og dermed et deontologisk hensyn her er vægtet i designet af Det Fælles Medicinkort. Dette vurderes positivt af hensyn til den enkeltes oplevelse af autonomi.3

Hvorvidt det er rimeligt at tillade en så bred vifte professionelle i sundhedsvæsenet adgang til at læse og indlægge oplysninger i Det Fælles Medicinkort, bør tages op til revision (se note 2 for den fulde liste af sundhedsprofessionelle). Vi finder ikke, at man som samfund endnu har fundet en passende balance i forhold til at sikre den enkelte borgers ret til privathed. En særlig grund hertil er, at der ikke foreligger aktuelle planer om en målrettet evaluering af graden af tilgang til dataene. Det må være på sin plads, at man har helt klare mål for, hvad det skal betyde for eksempelvis effektiviteten, og hvilken konkret nytte det skal gøre, at de forskellige faggrupper har adgang. Hvis forventningerne ikke indfries, så må det genovervejes, om en given gruppe af sundhedsprofessionelle skal have adgang. Man kan få indtryk af, at der bare er givet grønt lys til «alle» i tilgangen til Det Fælles Medicinkort, fordi det er den nemmeste og umiddelbart den mindst ressourcekrævende løsning. Det vurderes her, at en grundigere gennemgang med henblik på at begrænse denne tilgang af hensyn til den enkelte borgers ret til privathed må være på sin plads.

I forbindelse med distribution af data imellem sundhedsprofessionelle gør yderligere et interessant forhold sig gældende, nemlig distributionens tidshorisont. Det Fælles Medicinkort er som tidligere nævnt konstrueret således, at informationer lagres i systemet i to år. I modsætning til hvad der loves, slettes dataene imidlertid ikke efter de to år. Borgerens praktiserende læge er nemlig forpligtet til at overføre dataene fra Det Fælles Medicinkort til eget system. Herefter er lægen ydermere forpligtet til at gemme informationerne i mindst 10 år (Bekendtgørelse om autoriserede sundhedspersoners patientjournaler (journalføring, opbevaring, videregivelse og overdragelse m.v.) 2013). Man indsamler med andre ord en massiv mængde data under nogle regler, men pludselig henhører disse samme data under nogle andre og langt mere vidtrækkende regler. Denne tilgængelighed har ud fra et utilitaristisk synspunkt givet en væsentlig nytteværdi. Samtidigt er tilgængeligheden ud fra et deontologisk perspektiv yderst problematisk.

At gemme data i 10 år er lang tid, og dette understøtter ikke i særlig høj grad muligheden for at «komme videre». Ydermere problematiserer dette muligheden for at have kontrol over egen identitet qua den information, der er tilgængelig om én selv. Dette er hæmmende for den enkeltes oplevede autonomi. Hvis man i en periode har været depressiv, kan man nemt forestille sig, hvilken frustration det må være, at alle de personer i sundhedsvæsenet, man kommer i kontakt med, har denne information tilgængelig qua ens medicinliste, hvis man ønsker, at disse ser på én med nye briller og at have mulighed for at udfolde sin identitet på en ny måde i samme kontekst. Det er også meget nærliggende, at en sundhedsprofessionel, der har denne information tilgængelig, ikke kan «se ud over» dette – et forhold, de fleste vel kan genkende fra sig selv.

Et analogt eksempel og et væsentligt argument for «retten til at komme videre» er, at mange kriminelle forhold i Danmark kun listes på en staffeattest i fem år. Dette er et udtryk for, at man i det danske retssystem anser denne ret til autonomi som central for borgerens videre livsmuligheder. Alene det faktum, at Det Fælles Medicinkort formelt har foretaget en tidsbegrænsning af informationens lagring, tyder da også på, at disse overvejelser har indgået i dettes designproces.

Yderligere kan distributionens tidshorisont ligeledes problematiseres i forhold til det såkaldte transparensprincip (Hartlev 2005: 182). Dette princip er endnu et af de seks principper, som det tidligere nævnte proportionalitetsprincip også er en del af. Princippet foreskriver, at det skal være gennemskueligt for den enkelte, hvor de indsamlede data om en selv befinder sig, og hvad disse anvendes til. Dette princip synes ikke at være overholdt. Borgeren har principielt adgang til oplysninger om, at data af den praktiserende læge gemmes i 10 år og ikke kun to år som lovet i henhold til de juridiske bestemmelser på området. Det anses dog her for utilfredsstillende, hvis borgere skal udføre et studie af komplicerede lovtekster for at få overblik over, hvorledes deres data bevæger sig imellem forskellige systemer i sundhedsvæsenet.

Borgernes kontrol med egne data

Samtidigt med at en stadig bredere vifte af sundhedsprofessionelle altså får adgang til stadig flere personlige informationer med Det Fælles Medicinkort, skal vi acceptere, at vi ikke som borgere har mulighed for at betakke os for at være opført heri. Der er ingen mulighed for at sige nej tak til denne «service» fra offentligt hold. Det forhold, at Det Fælles Medicinkort er obligatorisk i sin nuværende udformning, har været problematiseret af for eksempel Etisk Råd ud fra hensynet til den enkeltes autonomi. At systemet fortsat er obligatorisk i sin udformning, vurderes dog ikke her videre problematisk. Systemet mister i høj grad sin værdi som effektivitetsfremmer, hvis det kun eksisterer for de borgere, som har sagt ja hertil. Eller måske blot dem, som ikke har sagt nej. Hvis vi skal sikre den enkelte borgers privathed i sundhedsvæsenet, er debatten om, hvorvidt Det Fælles Medicinkort skal være obligatorisk, med andre ord ikke det rigtige sted at starte. Det er faktisk slet ikke relevant. At indrette systemer med overvejende blik for samfundet og i langt mindre grad med blik for borgernes privathed kan ikke begrundes med, at man jo bare kan undlade at være opført i systemet, hvis man ikke kan lide lugten i bageriet. Når alt kommer til alt, er det ikke i tråd med respekten for den enkelte borger at udvikle et system, som er med overvejende blik for samfundets muligheder herved, og så fortælle den enkelte borger, at der ikke er noget krav herom. Alle er i Danmark med til at finansiere sundhedsvæsenet, hvorfor en sådan løsning efter vores mening ikke kan komme på tale. Med Rawls’ blik kan man her argumentere for den ligelige distribution af såvel rettigheder som pligter. Hvis ikke alle er forpligtigede på at stå opført i systemet, medfører dette en uhensigtsmæssig ulighed til gene for såvel samfundet som for de øvrige individer.

Det er nu slået fast, hvorfor det ikke vurderes som en mulighed at gøre Det Fælles Medicinkort valgfrit. Problemet omkring retten til kontrol med egne data er dog ikke løst, og det viser sig, at vi handler i direkte modstrid med øvrige principper, vi gør brug af i sundhedsvæsenet. I dette konkrete tilfælde er detselvbestemmelsesprincippet, der kommer under pres. Dette princip er et af fire principper, der er afledt fra den deontologiske grundtanke, og fungerer som en operationalisering heraf. Principperne er således ikke en selvstændig teori, men mere et refleksionsværktøj til sundhedsprofessionelle (Beauchamp & Childress 2001: 23). Ud over selvbestemmelsesprincippet er også en række andre principper:lidelses-(minimerings)princippet, godheds-(maksimerings)princippet ogretfærdighedsprincippet (Beauchamp & Childress 2001: 64–65, 165, 225–226) (forfatternes egen oversættelse af navnene på principperne). Principperne kan give modstridende retningslinjer for, hvordan sundhedsprofessionelle skal handle i en konkret situation. Dog giver principperne mulighed for, at den sundhedsprofessionelle handler mere oplyst og på et velinformeret grundlag.

Et eksempel kan anskueliggøre problemstillingen, hvor selvbestemmelsesprincippet kommer under pres: Hvis man forestiller sig en kræftsyg patient, der tilbydes livsforlængende behandling, så har denne patient retten til at takke nej hertil. Patienten skal informeres fyldestgørende om, hvad det kan betyde at takke nej til behandling. Dette hedder informeret samtykke, og det er et grundlæggende fundament for forholdet mellem sundhedsprofessionel og patient i sundhedsvæsenet (Bekendtgørelse om information og samtykke og om videregivelse af helbredsoplysninger 2011). Informeret samtykke bygger direkte på en deontologisk grundide om retten til selvbestemmelse. Centralt for informeret samtykke er, at dette ikke nødvendigvis er et «ja», men som i eksemplet med kræftpatienten kan være et «nej tak» (Beauchamp & Childress 2001: 80). Sundhedsprofessionelle er forpligtede til at følge patientens ønske, uagtet deres egne forestillinger om, hvad der er godt for patienten. Dette princip i sundhedsvæsenet bygger nødvendigvis på en antagelse om, at den enkelte har ret til selv at bestemme over eget liv og egne informationer. Dette princip kan overføres til Det Fælles Medicinkort og vores data heri. Man kan nu spørge, hvorfor vi ikke tillader, at det rent faktisk også er fuldt ud gældende, når en borger har bedt om at få en given medicinordination privatmarkeret i sit medicinkort? En sådan løsning vil vi omtale som en absolut privatmarkering.

I praksis vil en absolut privatmarkering betyde, at en anden sundhedsprofessionel end den, der har foretaget privatmarkeringen, ikke kan få adgang til informationen – heller ikke i akutte situationer. Under hensyntagen til at Det Fælles Medicinkort stadig skal tilfredsstille samfundets behov for tilgængelige data, og at borgerne skal kunne være med til at kontrollere egne informationer, skønnes informeret samtykke at være et hensigtsmæssigt fundament for en ny privathedsfremmende løsningsmodel.

Der findes forskellige modeller for informeret samtykke, hvor disse er af mere eller mindre nuanceret karakter, og antallet af komponenter er flere eller færre. Dette kan bidrage til at forstå kompleksiteten heraf. Bioetikerne Beauchamp og Childress redegør i den forbindelse for the model of autonomous choice, der er bestående af syv komponenter. Disse konstituerer informeret samtykke. Først og fremmest gøres det her klart, at informeret samtykke forudsætter, at den person, der skal give et samtykke, overhovedet er kompetent til at forstå og ønsker at tage en beslutning. Først herefter bliver det relevant at give information til borgeren. Ydermere kan borgeren få forelagt en anbefalet plan. Afslutningsvist skal den sundhedsprofessionelle sikre sig, at patienten har forstået de givne informationer. (Beauchamp & Childress 2001: 80). Selve samtykket deler Beauchamp og Childress op i to delelementer, nemlig beslutning og autorisation af beslutningen (Beauchamp & Childress 2001: 80).

I «Bekendtgørelsen om information og samtykke og om videregivelse af helbredsoplysninger mv.» (2011) står blandt andet, at: «Ved informeret samtykke forstås et samtykke, der er givet på baggrund af fyldestgørende information fra en sundhedsperson». Informationen, der gives til en patient, skal jævnfør bekendtgørelsen herom, indeholde oplysning om relevante forhold vedrørende et indgreb og konsekvenserne heraf. Endvidere er det centralt, at informeret samtykke ikke reduceres til fælles beslutningstagning mellem patienten og den sundhedsprofessionelle (Beauchamp & Childress 2001: 77). Det er patienten, der skal være aktiv beslutningstager på baggrund af en substantiel forståelse og samtidig uden andres yderligere påvirkning (Beauchamp & Childress 2001: 78).

Utilitaristiske opponenter imod denne foreslåede praksisændring vil hurtigt kunne ty til argumenter om, at lægfolk ikke kan tage sådanne beslutninger, da de simpelthen ikke ved nok. Til det vil vi her anføre, at et sådant ægte paternalistisk menneskesyn og de heraf afledte handlinger kan overflødiggøre og undergrave enhver overvejelse omkring borgernes ret til selvbestemmelse. Der er tale om en form for paternalisme, som en patient ikke selv har indvilliget i, og som utvivlsomt vil være indskrænkende for det enkelte individ og dennes beslutningsfrihed. Det skal her siges, at vi ikke anser paternalisme for nødvendigvis at være moralsk forkasteligt i sig selv. Man sagtens kan forstille sig situationer, hvor en person ikkeønsker at tage en beslutning og derfor lader andre gøre det. Dette er dog ikke i tråd med en radikal opfattelse af kantiansk pligtetik, men dog en gangbar, reflekteret og afbalanceret måde at tilgå praksis på (Wulff, Pedersen & Rosenberg 1999: 215–216). Endvidere kan man forestille sig en situation, hvor en person ikke er i stand til at tage en beslutning, hvorfor det er hensigtsmæssigt at forlade sig på paternalisme. Det skal dog også siges her, at når en patient så genvinder sin beslutningsdygtighed, så skal denne også gives tilbage til patienten. Denne tanke er endvidere i tråd med Beauchamp og Childress’ perspektiv herpå.

Hvis der ikke ændres på praksis, mener vi, at der i eksemplet ovenfor er tale om en form for uønsket paternalisme. Et sådant grundsyn kan dog umuligt være et hensigtsmæssigt udgangspunkt for konstruktionen af et sundhedsvæsen, idet det vil underminere samtlige borgeres ret til frihed og deres muligheder.

Konklusion

I starten af nærværende artikel gav vi to små eksempler, der illustrerer Det Fælles Medicinkorts potentiale i praksis. Det ene eksempel tager udgangspunkt i en forældet medicinliste. Det andet eksempel omhandler en tilskadekommet person, der ikke er ved bevidsthed. Her bliver det klart, at Det Fælles Medicinkorts primære funktion er at kunne give de sundhedsprofessionelle adgang til korrekte, aktuelle og fyldestgørende informationer uden store vanskeligheder. Det Fælles Medicinkort afføder en række fordele for både samfund, den sundhedsprofessionelle og borgeren. Det anskueliggøres i artiklen, hvordan disse fordele for samfundet, den sundhedsprofessionelle og borgeren forekommer, parallelt med at den enkelte borgers privathed kompromitteres. I artiklen diskuteres og vurderes tre forskellige problemstillinger i relation til Det Fælles Medicinkort. Det vurderes for hver problemstilling, hvorledes ændringer kan have betydning for borgerens privathed.

I artiklen plæderes der for, at vi med Det Fælles Medicinkort på nuværende tidspunkt deler relevante data (punkt 1). De data, som deles, kan siges at tilhøre den kontekst, hvori de distribueres. Der er således ikke fremsat forslag til ændring heraf. Dog argumenteres der for en evaluering af, om de data, der indsamles, også er nødvendige, til trods for at de tilhører konteksten. Denne argumentation hviler på proportionalitetsprincippet og Nissenbaums informationsnorm om passende information i en kontekst.

Endvidere argumenteres der for, at vi bør overveje præcis, hvem der skal have adgang til informationerne i Det Fælles Medicinkort (punkt 2). Der foreligger ingen officielle planer om at evaluere, hvem der har brug for hvilke oplysninger og eventuelt overveje justering heraf. Det kan blot konstateres, at en bred vifte af sundhedsprofessionelle har denne adgang. Vi anbefaler derfor, at det tages op til grundig revision på baggrund af evaluering, hvem der skal have mulighed for at tilgå disse data. Desuden finder vi det problematisk i henhold tiltransparensprincippet, at den videre distribution af informationen er uigennemskuelig for den enkelte borger.

Ydermere foreslås det, at vi giver borgeren retten til en absolut privatmarkering. Nogle vil mene, at lægmand ikke kan håndtere en sådan mulighed, idet tilstrækkelig viden ikke er til stede. Set i lyset af, at man lader brugere i sundhedsvæsnet tage andre beslutninger om behandling selv på et velinformeret grundlag, på trods af at disse kan koste dem livet, giver forbeholdet på nærværende område anledning til forundring. Det anbefales således, at gældende principper om autonomi og anvendelse af informeret samtykke i det danske sundhedsvæsen også gøres gældende i forbindelse med Det Fælles Medicinkort.

Overordnet set argumenteres der i nærværende artikel for, at der med få indgreb i Det Fælles Medicinkort kan sikres en langt bedre ret for privathed for borgeren. Dette endda, uden at vi spænder ben for de sundhedsprofessionelles arbejde, og uden at vi i nævneværdig grad mister blikket for den enkeltes rettigheder og det fælles bedste.

Noter

1 Der rejser sig en række spørgsmål omkring fuldmagt i denne forbindelse. Diskussionen er dog særdeles omfattende, hvorfor det ligger uden for artiklen at inddrage denne diskussion, omend den er særdeles relevant at belyse.

2 § 5. Følgende personer har adgang til at indlægge oplysninger i Lægemiddelstyrelsens registrering af de enkelte borgeres elektroniske medicinoplysninger:

  1. læger, tandlæger, jordemødre, sygeplejersker, sundhedsplejersker, social- og sundhedsassistenter og plejehjemsassistenter, der har en borger i behandling,
  2. sygehusansatte farmaceuter eller farmakonomer, der efter udpegning af sygehusledelsen af patient- og lægemiddelsikkerhedsmæssige grunde foretager medicingennemgang eller -afstemning,
  3. ansatte i Kriminalforsorgens institutioner, der som led i deres erhverv, udleverer medicin til indsatte,
  4. ambulancebehandlere med særlige kompetencer, der som led i deres erhverv i akutsituationer, håndterer medicinoplysninger eller udleverer medicin til patienter,
  5. ansatte på botilbud og tilsvarende boligenheder i kommunen, herunder almene boliger for personer med nedsat fysisk eller psykisk funktionsevne, der som led i deres erhverv efter delegation fra borgerens læge, udleverer medicin til en borger,
  6. apotekere og apotekspersonale, der som led i ekspedition af en ordination har adgang til de registrerede oplysninger,
  7. den registrerede selv og
  8. Lægemiddelstyrelsen.

(Bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af de enkelte borgeres medicinoplysninger 2011)

3 Dette skal omvendt ses i lyset af, at alle ikke i praksis har en reel mulighed for at foretage denne kontrol, idet det trods alt kræver visse it-kompetencer. Det gør, at der implicit er en ulighed iblandt borgerne i denne sammenhæng.

References


Bekendtgørelse om information og samtykke og om videregivelse af helbredsoplysninger mv. (BEK nr. 436 af 11/05/11). (2011) Tilgået den 29/06/2013 fra: www.retsinformation.dk/Forms/R0710.aspx?id=21075

Bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af de enkelte borgeres medicinoplysninger (BEK nr. 436 af 11/05/11). (2011) Tilgået den 29/06/2013 fra: www.retsinformation.dk/Forms
/R0710.aspx?id=136921

Bekendtgørelse om autoriserede sundhedspersoners patientjournaler (journalføring, opbevaring, videregivelse og overdragelse m.v.) (BEK nr. 3 af 02/01/2013) (2013) Tilgået 29/06/2013 fra:www.retsinformation.dk/Forms/R0710.aspx?id=144978

Beauchamp, T.L. & Childress, J.F. (2001) Principles of biomedical ethics (5. udgave). Oxford: Oxford University Press.

Det Etiske Råd (2010) Det Fælles Medicinkort, fortrolighed og tilgængelighed i sundhedssektoren. Tilgået 26.3.2014 frawww.etiskraad.dk/~/media/bibliotek/rapporter/2010/Det-Faelles-
Medicinkort-PDFA-1a.pdf

Hartlev, M. (2005) Fortrolighed i sundhedssektoren – et patientretligt perspektiv. København: Forlaget Thomson.
Mandag Morgen (2011) 10 forslag til mere sundhed for pengene. Tilgået 29.06.2013 fra www.mm.dk/10-forslag-til-mere-sundhed-for-pengene

Nissenbaum, H. (2004). Privacy as contextual integrity. Washington Law Review (79), 119–158.

Nissenbaum, H. (2011). A Contextual Approach to Privacy Online. The Journal of American Academy of Arts & Sciences (4), 32–48.
Rawls, J. (1976) A Theory of Justice. London: Oxford University Press.

Sørensen, T.K. & Vibjerg, T. (2013) Kritik af medicinkortets sikkerhed.Jyllandsposten, 25. august 2013. Tilgået den 14/11/2013 jyllands-posten.dk/indland/ECE5864727/kritik-
af-medicinkortets-sikkerhed/

Thomson, J.J. (1975). The Right to Privacy. Philosophy and Public Affairs, 4, 295–314

Wulff, H.R., Pedersen S.A. & Rosenberg, R. (1999) Medicinsk Filosofi. København: Munksgaard.