Kategoriarkiv: Sundheds-IT

At rense data for tid-, sted, og andre identificerende kendetegn

Jeg er blevet opmærksom på, at jeg ikke har været klar nok i spyttet i forhold til “at rense data for tid-, sted, og andre identificerende kendetegn”. Mener jeg, at disse ting slet ikke må registreres?

Nej! Det er klart, at disse skal registreres og kunne bruges. De er en meget vigtig del af det, der gør sundhedsdata værdifulde. Det handler om, at de ikke må lagres i en form, hvor de til enhver tid er tilgængelige for alle, og at det ikke skal være muligt at få fat de informationer uden patientens vidende og informerede samtykke.
Dette samtykke kan være i form af et: “Ja, mine data må til enhver tid anvendes til forskning og udvikling” og det kan i øvrigt indrettes således, at forskere i de organisationer, der indsamler data altid kan få adgang (som med papirjournalerne i arkivet), men måske kun når de arbejder på et projekt, hvor de har demonstreret et legitimt behov for adgang til netop disse data.
I så fald vil man i anmeldelsen af sin forskning til Videnskabsetisk Komité og/eller Datatilsynet skulle angive hvilke parametre, der vurderes som relevante. Dette behøver ikke nødvendigvis være ned til det enkelte prøvesvar, men kunne være analysegrupper el. lign. (f.eks. hæmatologi, patologi, metabolisme, fysiologiske parametre, etc.). Det virker umiddelbart ikke så langt fra de gældende regler.
Det ville være en begrænsning, der krævede at forskerne på forhånd overvejede, hvad de ville undersøge, men ikke nødvendigvis en hindring for at man kunne indgive en anmeldelse om udvidelse af datasættet, hvis man fandt det nødvendigt. Præcis som i dag.
Det kunne også sagtens være en begrænsning der kun var gældende, når det drejede sig om at give adgang til private virksomheder, der ikke selv havde indsamlet pågældende data. F.eks. Hjerteforeningen og CCBR, der for nylig har været fremme i medierne i den forbindelse. Jeg mener dog, at dette er et unødvendigt kompromis.

Jeg mener altså ikke, at data skal gøres mindre brugbare end i dag, bare at der ikke skal være fri adgang for “alle”, hvilket der i princippet heller ikke er i dag, da en læge eksempelvis ikke må søge information om en tidligere patient, der er henvist til videre behandling et andet sted – ikke engang for at følge op på denne! Men alligvel opstår der lækager. Læs blot de fakta, som det i øvrigt opdigtede kapitel om Kurt Strand i “De overvågede” bygger på (s. 58-59). En ting er hvad man må…
Det handler altså om, at systemet skal sikre, at der ikke er fri adgang til data, der ikke er behov for at have adgang til – især, når data videregives til tredjepart. Det skal vurderes, om der er behov for informeret samtykke, hvilket især vil være tilfældet, hvis forskeren mener at have behov for information der kan føre til identifikation af den enkelte (f.eks. CPR-numre som de er indrettet i dag, eller finkornede tidsstempler og stedsangivelser). Jeg er ikke klar over, om en forskergruppe hyret af et privat firma er underlagt tavshedspligten, men som lægestanden selv siger, skaber tvivl og utryghed hos patienterne om hvem der reelt får adgang til det man siger til sin læge, når data deles uden deres vidende.

Læs evt. argument “3. De gør mit arbejde besværligt og bureaukratisk” på s. 15-16 i bogen “De overvågede” for en diskussion af dette klassiske argument mod privacy-hensyn.

Et par links, hvor vilkår i persondataloven forklares:
Sundhedsvidenskabelige forskningsprojekter
Krav efter persondataloven til sundhedsvidenskabelige forskningsprojekter
Private forsknings- og statistikprojekter

I nedenstående lovuddrag mener jeg, at hensynet til forsøgspersoners rettigheder inkluderer retten til privatliv, sikkerhed inkluderer beskyttelse af personlig information, og velbefindende inkluderer konsekvenser af datalækager/-misbrug. Risici inkluderer altså mulighed for krænkelser af disse ting, der kan være en belastning eller ulempe for den enkelte forsøgsperson. Eller i hvert fald bør det inkludere dette.

Fra “Lov om videnskabsetisk behandling af sundhedsvidenskabelige forskningsprojekter”:

§ 1. Det videnskabsetiske komitésystem har som formål at sikre, at sundhedsvidenskabelige forskningsprojekter gennemføres videnskabsetisk forsvarligt. Hensynet til forsøgspersoners rettigheder, sikkerhed og velbefindende går forud for videnskabelige og samfundsmæssige interesser i at skabe mulighed for at tilvejebringe ny viden eller undersøge eksisterende viden, som kan berettige forskningsprojektets gennemførelse.

Registerforskningsprojekter

§ 10. Komiteen kan fravige kravet om samtykke eller stedfortrædende samtykke efter §§ 3-5, hvis et anmeldelsespligtigt sundhedsvidenskabeligt registerforskningsprojekt ikke indebærer sundhedsmæssige risici og forskningsprojektet ikke på anden måde efter omstændighederne i øvrigt kan være til belastning for forsøgspersonen. Det samme gælder, hvis det vil være umuligt eller uforholdsmæssigt vanskeligt at indhente informeret samtykke henholdsvis stedfortrædende samtykke.
Stk. 2. Indenrigs- og sundhedsministeren kan fastsætte nærmere regler om de forhold, som er nævnt i stk. 1.

Den videnskabsetiske bedømmelse

§ 18. For meddelelse af tilladelse er det en betingelse, at
1) de risici, der kan være forbundet med at gennemføre projektet, hverken i sig selv eller i forhold til projektets forudselige fordele har et uforsvarligt omfang,

Stk. 2. Den kompetente komité skal foretage en afvejning af de forudselige risici og ulemper i forhold til gevinsten for den enkelte forsøgsperson og for andre nuværende og fremtidige patienter, herunder om smerter, gener, frygt og anden forudselig risiko minimeres i forhold til forsøgspersonens sygdom og udviklingsstadium, jf. § 1, stk. 1, 2. pkt.

Registerforskningen

En af de problemstillinger, der skal tages højde for, er hvordan registerforskningen påvirkes af en given løsning. I en glimrende kronik beskrives nogle udfordringer, der opleves af registerforskere efter sundhedsregistrene er blevet samlet hos SSI – en institution, der også selv har forskningsmæssig interesse i anvendelse af registrene.

Disse udfordringer skyldes muligvis nærmere en sammenblanding af interesser, end hensynet til datasikkerheden, som officielt gives til grund for de stramninger af dataadgangen, der i kronikken udlægges som konkurrenceforvridende.

Ud fra en privacy-vinkel er det interessant, at kontrollen med data, der i bund og grund tilhører individet, og er tilvejebragt med hjælp fra aktører i sundhedssektoren, videregives til en tredjepart, der godt nok er statslig men, som har en økonomisk interesse i hvem, der får adgang til data.

Som patient forventer man, at ens læge og behandlingssted har adgang til ens sundhedsdata i form af en journal, og at denne kan videregives til en ny læge og et nyt behandlingssted, såfremt det skulle være relevant. Desuden forventer man, at kunne få en kopi af disse data, hvis man øsnker det. Men man forventer også, at det er fortrolige data afgivet til personer med tavshedspligt, og at disse ikke videregives til andre uden ens samtykke. Jeg tror, at i den udstrækning folk er klar over registerforskningens eksistens, forventer de, at det enten er anonymiseret, eller udføres af læger, der jo alligevel har tavshedspligt, og så har man tillid til, at ikke misbruges – men det er indtil videre blot min påstand.

Baggrundsstof om muligheder og udfordringer ved registerforskning kan findes i en artikel af Aage B. Sørensen fra Harvard University og i en rapport udgivet af IT- og Forskningsministeriet tilbage i 2001.

Endnu et eksempel på deling af sundhedsdata

Som i det tidligere nævnte tilfælde, er der også her tale om en bevidst deling af data, men denne gang kom man ikke til at udlevere data om et stort antal personer (84k), hvor der kun skulle bruges få (2000) for at finde endnu færre (210), der ville deltage i et forsøg med ny hjertemedicin. Nej, her har man udleveret data til Hjerteforeningen, der skulle bruge 5000 forsøgspersoner til en spørgeskemaundersøgelse. Et ukendt antal danskere har efterfølgende modtaget et brev fra Hjerteforeningen med en invitation til at deltage.

Det er der tilsyneladende ikke noget lovgivningsmæssigt i vejen med (jf. Persondataloven), men ifølge lektor i sundhedsjura ved SDU Kent  Kristensen er fremgangsmåden ikke “i overensstemmelse med Europarådets anbefalinger, som fastslår, at der altid skal indhentes informeret samtykke i forbindelse med spørgeskemaundersøgelser“.

Hvad jeg finder særligt interessant for mit speciale er, at praktiserende læge og medlem af Det Etiske Råd Lotte Hvas udtaler, at: “[…] man som det mindste må kunne forvente, at det er de læger, der har undersøgt disse mennesker, der tager kontakten og får tilladelse til at give oplysningerne videre“.

Hun gør opmærksom på, at det er oplysninger givet under tavshedspligt, og at patienterne ikke er informeret om, at oplysningerne er tilgængelige for tredjepart.

Tanken om at “de undersøgende læger” fungerer som en slags “sundhedsdatadørmand” (gatekeeper), der sikrer patientens informerede samtykke før data udleveres, er ikke langt fra min egen tanke om, at patientens pratiserende læge kan gives fuldmagt til at administrere adgang til sundhedsdata for de patienter, der enten ikke kan eller vil gøre det selv.

3 år er lang tid i politik

I aftes gik jeg i seng med planer om at læse om Danmarks deltagelse i “Five Eyes“.

Her til morgen vågnede jeg så op til nyheden om at regeringen vil give politiet adgang til patientjournaler uden dommerkendelse. Der er tale om en høring, og noget kunne tyde på, at forslaget falder til jorden, da både Enhedslisten og de borgerlige partier er imod.

Nu kommer det med de 3 år, for den 23. december 2010 kunne man læse  på Politiken.dk, at DF var ude med et lignende forslag, og den daværende borgerlige regering var enige. De “kriminelle” var dengang illegale indvandrere.

Her forbedres sikkerheden

Tidligere var det et krav, at patientens CPR-nummer fremgik af apotekets kassebon, når der var tale om receptpligtig medicin. Den praksis skulle være ophørt pr. 1. december 2013.

Så længe CPR-numre anvendes som de gør, og indeholder personfølsomme informationer (fødselsdato og køn), er det fint at eliminere en kilde til lækage, men måske ville det være bedre, om man overvejede en opdatering af det aldrende system?

Læger og Patienter protesterer og ønsker forslag trukket tilbage

En ny bekendtgørelse fra Sundhedsministeriet lægger op til, at regioner skal kunne bruge personfølsomme oplysninger om den enkelte patient fra de kliniske kvalitetsdatabaser til administrative og politiske formål. Om muligheden også skal omfatte kommunerne, er uklart.

Lægeforeningen advarer kraftigt mod at give myndighederne en udvidet adgang til at bruge personlige oplysninger indsamlet om patienter. Det drejer sig både om sundhedsoplysninger og andre rent private forhold.

Sådan starter en artikel udgivet af Lægeforeningen den 03-09-2013, og på Politiken.dk kan man læse, at Danske Patienter også er bekymrede. Der følges op 9. september i Ugeskrift for Læger 37/2013 med lederen “Et uigennemtænkt forslag om patientdata“.

Her fremgår det at:

En skærpende omstændighed ved udkastet til bekendtgørelse er, at patienten ikke har mulighed for at vide, hvad der cirkulerer af den type information. Når læger rapporterer til kliniske databaser, skal patienten ikke spørges, om hun er med på, at helbredsoplysninger videregives. Sådan bør det fortsat være, fordi alternativet er meget omstændeligt og reelt vil undergrave kvaliteten i forskningen. Men det bør så også stå krystalklart for alle – også embedsmænd og politikere – at den type data kun kan videregives i form af statistik. Adgang til kig ind i borgernes personlige oplysninger skal naturligvis være fuldstændig udelukket.

Jeg er på sin vis enig i, at er problematisk, at give adgang til identificerende data, og at det kan være problematisk at skulle bede om patientens samtykke for at kunne anvende de indsamlede data til forskning indenfor sundhedssektoren, men jeg tillader mig at stille spørgsmålstegn ved lægernes eget behov for i enhver henseende at have fuld adgang til alle persondata.

Hvis data håndteres på en måde, hvor dette ikke er en mulighed, behøver Lægeforeningen heller ikke bekymre sig for hverken tavshedspligten, fortroligheden eller patienternes tillid.

Godt 2 uger senere, den 26. september, udsender Ministeriet for Sundhed og Forebyggelse en pressemeddelelse, hvor man kan læse, at sundhedsminister Astrid Krag har nedsat et stående udvalg med navnet “STARS* – Strategisk Alliance for Register- og Sundhedsdata”.

”Jeg er meget opmærksom på de udfordringer, vækstplanen på sundhedsområdet aktualiserer i forhold til beskyttelsen af persondata. Vi må ikke glemme patient- og datasikkerheden og give køb på den tillid, som patienterne har til vores sundhedsvæsen. Derfor har vi også sammensat udvalget, så både regioner, kommuner, patientforeninger, forskningsverden og erhvervslivet er repræsenteret”, forklarer Astrid Krag og fortsætter:

”Ved at sammensætte udvalget på den måde kan medlemmerne tage aktuelle spørgsmål op om eksempelvis data- og patientsikkerhed. Og samtidig kan mine embedsmænd og jeg bruge udvalget til at få kvalificeret rådgivning om relevante problemstillinger, der er forbundet med at stille sundhedsdata til rådighed for forskningsverdenen, erhvervslivet og sundhedsvæsnet”.

Med det blev Lægeforeningen mildnet, måske fordi de sidder med i udvalget, hvis formand er tidligere direktør i Region Hovedstaden Helle Ulrichsen. Jeg vil snarrest gennemlæse kommissoriet, men kan indtil videre konstatere, at udvalget består af representanter fra:

  • Formand (udpeges af Ministeren for Sundhed og Forebyggelse)
  • Danske Regioner (to medlemmer)
  • KL
  • Danske Universiteter
  • Lægeforeningen
  • Lægevidenskabelige selskaber
  • Dansk Epidemiologisk Selskab
  • Dansk Selskab for Almen Medicin
  • Dansk Sygeplejeråd
  • Danske Patienter
  • Kræftens Bekæmpelse
  • Den Nationale Videnskabsetiske Komité
  • DI
  • LIF
  • Ministeriet for Forskning, Innovation og Videregående Uddannelser
  • Ministeriet for Sundhed og Forebyggelse

Det fremgår envidere at “STARS* sekretariatsbetjenes af Statens Serum Institut i samarbejde med departementet og Sundhedsstyrelsen. Sekretariatet deltager i møderne. Der afholdes ca. 3 møder om året.” I udpegelsesbrevet på Danske Patienters hjemmeside “indkaldes samtidig til første møde den 1. november 2013 kl. 12.00-15.00 i Jernesalen på Statens Serum Institut.”

Jeg vil prøve, om jeg kan opstøve et referat af dette første møde.

Baggrund for mit speciale med arbejdstitlen: “Sikker Deling af Sundhedsdata i Skyen – Privatliv og Cybersikkerhed”

Jeg er netop gået igang med at skrive mit speciale  på linjen Softwareudvikling og -teknologi ved IT-Universitetet i København.

I det følgende vil jeg beskrive baggrunden for mit speciale, og det er min hensigt at samle min research her, og løbende publicere de enkelte afsnit efterhånden som de bliver klar.

Specialet skriver jeg på dansk, da det omhandler danske forhold, men problemstillingerne er absolut relevante i et globalt perspektiv, og mange af kilderne vil naturligvis være på engelsk.

Når specialet er afleveret, vil jeg publicere det i sin helhed, såfremt der ikke er indvendinger fra mine vejledere.

Motivation

Motivationen for specialet er hændelser som [datalækager] og planer om “mere effektiv og gennemsigtig” [sundhedsdataadgang]. Samtidig synes den seneste tids afsløringer om masseovervågning og rapporter om identitetstyveri at vidne om et behov for nye løsninger, der beskytter privatlivet bedre.

Tese

Ifølge [ENISA rapporten] “Securing personal data” er den bedste beskyttelse af personlige data, at man slet ikke indsamler dem.

Det er min tese, at hvis sundhedsdata kan reduceres til værdier, der ikke kan henføres til personer uden deres accept, og reelt er renset for tid, sted og andre identificerende kendetegn, så kan de indsamlede data opbevares ukrypterede, og man skal blot sikre, at de ikke ændres eller går tabt, og at de er krypterede under transport.

Ideelt set skal det være helt op til borgeren at afgøre, om der skal gives adgang, til hvem, hvad og hvor meget, og at eneste “safe default” er “nej, intet”. Altså opt-in i stedet for opt-out, på en måde så det stemmer overens med princippet om informeret samtykke.

Afgrænsning

Derfor vil jeg med baggrund i privacy-by-design/security-by-design undersøge om modellen beskrevet i et [diskussionspapir] fra IT- og Telestyrelsen er en mulig løsning for sundhedsdata.

Med “sundhedsdata” mener jeg data indsamlet af og til brug i den primære og sekundære sundhedssektor. Jeg ser altså i dette speciale bort fra data indsamlet på eget initiativ af borgerne selv i forbindelse med services og gadgets, der ikke tilbydes som en del af et behandlingstilbud i offentligt regi.

Problemformulering

Hvordan kan danske borgeres digitale sundhedsdata sikres, således at privatlivets og samfundets sikkerhedsinteresser beskyttes, når data skal centraliseres i skyen og stilles til rådighed for forskning og udvikling?

Referencer

[datalækager] http://www.dr.dk/Nyheder/Indland/2013/10/10/10060546.htm
[sundhedsdataadgang] http://www.evm.dk/aktuelt/pressemeddelelser/2013/04-06-13-sundhed-vaekstplan
[ENISA rapporten] http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/recommended-cryptographic-measures-securing-personal-data
[diskussionspapir] http://digitaliser.dk/resource/781482/artefact/Nye+digitale+sikkerhedsmodeller.pdf