Høringssvar vedr. forslag til lov om ændring af sundhedsloven (Organiseringen i Sundheds- og Ældreministeriet, oprettelse af Nationalt Genom Center m.v.)
Høringssvaret fra IT-Politisk Forening omfatter alene behandlingen af personoplysninger i Nationalt Genom Center. Personlig medicin og forskning med genetiske oplysninger ligger uden for IT-Politisk Forenings arbejdsområde. Vi har derfor ingen forudsætninger for at vurdere potentialet for personlig medicin, og om det er hensigtsmæssigt at satse på dette område. Men hvis der skal arbejdes med personlig medicin i det danske sundhedsvæsen, og hvis der skal forskes med genetiske oplysninger i Nationalt Genom Center, skal der stilles meget høje krav til datasikkerheden.
Vores høringssvar beskæftiger sig med dette punkt, især med fokus på at foreslå løsninger med den højeste datasikkerhed. Det forudsætter en datamodel med privacy by design på højeste niveau, hvor de meget følsomme genetiske oplysninger kun er personhenførbare i forbindelse med en konkret patientbehandling af borgeren, og kun for de sundhedspersoner som deltager i denne behandling. I alle andre sammenhænge skal det ikke være teknisk muligt under nogen omstændigheder at henføre genetiske oplysninger til personer. Det er også vigtigt, at datamodellen for Nationalt Genom Center understøtter, at visse genetiske oplysninger af eksempelvis etiske årsager aldrig må kunne henføres til personer, og at de kun eventuelt frembringes med henblik på statistik eller forskning baseret på sundhedsoplysninger, som er anonyme ved kilden. Anonymitet ved kilden er et meget stærkere begreb end det anonymitetsbegreb som typisk bruges i dansk sundhedsforskning, nemlig post-anonymisering efter at sundhedsoplysninger er behandlet og eventuelt registersammenkørt med andre personoplysninger (eksempelvis andre sundhedsoplysninger eller socioøkonomiske personoplysninger).
Vores bemærkninger nedenfor vedrører således lovforslagets § 29, stk. 1 om ”opt-out” fra forskning (anden anvendelse end behandling af den pågældende) og især kapitel 67 a (§§ 223 og 223 a) om Nationalt Genom Center.
Med disse bestemmelser i lovforslaget oprettes et Nationalt Genom Center (§ 223). Centeret kan behandle genetiske oplysninger, herunder foretage genomsekventering af biologisk materiale med henblik på forebyggende sygdomsbekæmpelse, medicinsk diagnose, sygepleje eller patientbehandling, eller forvaltning af læge- og sundhedstjenester, som foretages af en sundhedsperson undergivet tavshedspligt, eller (som det andet hovedformål med centeret) hvis behandlingen alene sker med henblik på at udføre statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning (§ 223 a, stk. 2). Sundhedsministeren kan fastsætte regler om at bl.a. biologisk materiale fra biobanker skal afleveres til Nationalt Genom Center (§ 223 a, stk. 1). Opt-out muligheden fra forskning i sundhedslovens § 29, stk. 1 udvides til at omfatte genetiske oplysninger, der er er udledt af biologisk materiale.
I forhold til datasikkerhed er der i lovforslaget ikke fastsat konkrete krav. Det nævnes i lovforslagets bemærkninger, at data- og informationssikkerhed er et væsentligt indsatsområde for Nationalt Genom Center, og at det forudsættes at Nationalt Genom Center i udviklingen af den fælles infrastruktur gør brug af moderne sikkerhedsteknologier, herunder brug af pseudonymisering. IT-Politisk Forening bemærker desuden, at det i brevet til høringsparterne anføres, at der i dag ikke eksisterer en fælles, sikker infrastruktur til analyse af bl.a. genetiske data, som udviklingen af personlig medicin kræver. Vi læser dette som en konstatering af, at en sikker infrastruktur til genomsekventering først skal opbygges.
Nationalt Genom Center er et absolut høj-risiko projekt for den danske samfund. Det er vigtigt at tingene bliver gjort rigtigt inden genomsekventering i stor stil påbegyndes. Konsekvenserne af forkerte beslutninger, der føres til utilstrækkelig sikkerhed, kan meget vel være uoprettelige for det danske samfund i mange generationer frem i tiden. I den forbindelse er der en række kritiske valg, som bør tages af Folketinget på grundlag af meget grundige overvejelser (herunder formentlig eksperthøringer med uafhængige eksperter).
Lovforslagets bestemmelser (bemærkninger) om krav til datasikkerhed overlader efter IT-Politisk Forenings opfattelse for store skøn til Sundhedsministeren (og Sundhedsdatastyrelsen), idet der kun er meget overordnede bemærkninger om datasikkerhed. Det er i den forbindelse vigtigt at slå fast, at de sikkerhedsmodeller som hidtil har været brugt i den danske sundhedssektor til at beskytte følsomme sundhedsoplysninger er klart utilstrækkelige i forhold til et høj-risiko projekt som Nationalt Genom Center.
Risici ved genomsekventering
Genomsekventering kan understøtte personlig medicin, som kan vise sig at være et væsentligt element i et mere effektivt sundhedsvæsen (vurderingen af dette falder som sagt uden for IT-Politisk Forenings arbejdsområde).
Derudover kan genomsekventering af en persons biologiske materiale afsløre en række oplysninger om personen og dennes familie, som er meget følsomme og/eller behæftet med betydelige etiske dilemmaer, og som personen måske slet ikke selv ønsker at kende. Der kan også være oplysninger, som personen selv ønsker at kende, men som under ingen omstændigheder må komme til andres kundskab. Borgerne kan have forskellige præferencer i den henseende, og det bør respekteres.
Eksempler på sådanne oplysninger frembragt via genomsekventering kunne være risiko for udvikling af bestemte (arvelige) sygdomme, oplysninger om at personen har en anden biologisk far end hvad der er registret på fødselsattesten, eller oplysninger relateret til en persons etniske oprindelse. Hvis sådanne oplysninger falder i de forkerte hænder, vil de kunne bruges til blandt andet kriminel afpresning. Hvis oplysningerne havner hos forsikringsselskaber, for eksempel via en datalækage fra forskningsprojekter med utilstrækkelig anonymisering og senere salg gennem flere led af databrokers (så kilden ikke kan spores), kan de afskære personer fra at tegne sundheds- og livsforsikringer, eller føre til højere præmiefastsættelse og anden diskrimination.
Idet genomet er unikt, kan oplysninger fra genomsekventering bruges til en sikker personidentifikation, uanset at dette ikke er formålet med genomsekventering i sundhedsvæsenet. Hvis sådanne oplysninger lækkes sammen med identitetsoplysninger om personen, kan det have store konsekvenser for personens sikkerhed. Det vil eliminere muligheden for at give personen en ny identitet i forbindelse med vidnebeskyttelsesprogrammer. Der er endvidere personer, som har behov for at optræde under flere forskellige identiteter, for eksempel en efterretningstjenestes agenter, når de opererer i fremmede lande. Den stigende brug af biometri til identifikation rundt omkring i verden, for eksempel automatisk ansigtsgenkendelse, opfattes af Bundesnachrichtendienst (BND) som en alvorlig trussel, og det har givet konkret anledning til overvejelser om hvordan BND kan beskytte sig mod denne trussel, jf. artiklen ”BND ønsker at beskytte sig mod ansigtsgenkendelse”, Zeit Online, 18. november 2014 [1].
Det er absolut påkrævet, at der er en ekstremt høj grad af beskyttelse mod at de genetiske oplysninger falder i forkerte hænder og misbruges. Eftersom det i praksis vil være fuldstændigt umuligt at sikre, at oplysninger fra en database aldrig nogen sinde lækkes i en eller anden form, skal denne sikkerhedsstrategi ikke bare være baseret på IT-firewalls og perimetersikkerhed omkring en centraliseret databasestruktur. Det er også vigtigt, at datamodellen er indrettet så konsekvenserne af datalækager, hvis de beklageligvis indtræffer trods forholdsreglerne mod dem, begrænses så meget som overhovedet muligt. Det handler især om personhenførbarhed, jf. det følgende afsnit om en sikker datamodel. Alene det forhold at Nationalt Genom Center skal beskæftige sig med forskning, foruden at understøtte personlig medicin, vil nærmest uundgåeligt skabe en række risici for at data utilsigtet lækkes i en eller anden form.
Det er også nødvendigt at forholde sig til den interne misbrugsrisiko i Nationalt Genom Center, specielt den systemiske misbrugsrisiko (her menes modsat ”tys-tys”-kilder, der uberettiget laver opslag på enkelte kendte personer). Det kan ikke udelukkes, at der engang i fremtiden opstår en politisk virkelighed, hvor der i Folketinget er flertal for brug af de genetiske oplysninger på en måde, som i dag anses for helt uacceptabelt af etiske eller menneskeretlige årsager. Det kunne eksempelvis være sortering af befolkningen i gode og dårlige liv for bedre at styre økonomien i et presset sundhedsvæsen, eller en genetisk kortlægning af hele befolkningen med henblik på at identificere minoritetsgrupper af uønsket etnisk oprindelse. Det er vigtigt, at Nationalt Genom Center organiseres på en sådan måde, at dette misbrug simpelthen ikke er teknisk muligt, hvis et flertal i Folketinget engang i fremtiden skulle blive fristet til det.
En sikker datamodel for genomsekventering
Det centrale problem i risikoanalysen i det forudgående afsnit er personhenførbarhed. Der må ikke eksistere en kobling fra det biologiske materiale og især genetiske oplysninger udledt fra dette, som af Nationalt Genom Center (eller andre tæt på centeret) kan kobles til identificerede eller identificerbare personer. Hvis denne kobling eksisterer, vil sikkerhedsopgaven være nærmest umuligt.
Det betyder at den traditionelle datamodel i den offentlige sektor, hvor oplysninger registreres med personens CPR-nummer er helt uanvendelig i forhold til at sikre Nationalt Genom Center.
Lovforslagets bemærkninger nævner pseudonymisering uden at være videre konkret om detaljerne. Pseudonymisering, som defineret i databeskyttelsesforordningens artikel 4, nr. 5 vil almindeligvis dække over, at CPR-nummeret erstattes med en anden identifikationskode, og at sammenhængen mellem CPR-nummeret og denne identifikationskode opbevares separat af den dataansvarlige under særlige tekniske og organisatoriske foranstaltninger med henblik på at sikre, at personoplysningerne alene (dvs. de pseudonymiserede personoplysninger) ikke henføres til en identificeret eller identificerbar fysisk person.
Pseudonymisering i den beskrevne forstand vil være helt utilstrækkelig til at sikre Nationalt Genom Center mod misbrug (eksternt såvel som internt misbrug) af de genetiske oplysninger.
Det er nødvendigt med en datamodel, hvor Nationalt Genom Center modtager og behandler biologisk materiale og foretager genomsekventering uden på nogen måde at kende identiteten på de personer, hvis biologisk materiale behandles. Det kan gøres ved at registrere det biologiske materiale og resultaterne af genomsekventering under en formålsspecifik nøgle, som ikke kan føres tilbage til personer. Der skal kun eksistere en en-vejs mekanisme, således at borgeren, eventuelt i samarbejde med de sundhedspersoner skal skal behandle borgeren, kan få adgang til oplysninger fra genomsekventeringen eller en delmængde af disse oplysninger. Det sidste kan understøtte muligheden for at borgeren slet ikke ønsker at få adgang til visse oplysninger fra genomsekventering.
Ideelt set bør denne nøglekontrol være hos borgeren, og borgeren alene, dog med mulighed for midlertidig delegering til sundhedspersoner, når borgeren er under behandling i sundhedssystemet og ikke selv kan udøve sin dataadgang og nøglekontrol. Et sådant ideelt system kan næppe realiseres fuldt ud fra starten af. I den mellemliggende periode må man nøjes med en policy-baseret nøglehåndtering, som sikrer at det kun er relevante sundhedspersoner sammen med borgeren, som har adgang til den relevante delmængde af oplysningerne, og at nøglerne under ingen omstændigheder er tilgængelige for Nationalt Genom Center eller andre centrale enheder tæt på Nationalt Genom Center. Det sidste krav er kritisk for sikkerhedsmodellen.
Den beskrevne datamodel giver den bedste sikkerhed mod misbrug af genetiske oplysninger i Nationalt Genom Center, idet personidentiteter holdes fuldstændigt separat fra det biologiske materiale og de genetiske oplysninger frembragt ved genomsekventering. Andre sikkerhedsmodeller, herunder traditionel pseudonymisering, giver en langt ringere (og i denne meget følsomme sammenhæng helt utilstrækkelig) sikkerhed.
I forhold til forskning er der flere muligheder i denne datamodel. Det biologiske materiale og oplysninger fra genomsekventeringen er på grund af en-vejs nøglerne så tæt på at være anonymt, som det er teknisk muligt (i forhold til databeskyttelsesforordningens definitioner er den fulde mængde af genetiske oplysningerne dog ikke anonyme, men kun pseudonyme). Der er kun den personhenførbar, som uundgåeligt følger af biologisk materiale og genetiske oplysninger. Det vil generelt være et godt og rimeligt sikkert grundlag for forskning og statistik med respekt for at der er tale om ekstremt følsomme pseudonyme oplysninger (delmængder af oplysningerne og især aggregering kan skabe anonymitet i forhold til databeskyttelsesforordningen).
Hvis det i forbindelse med et forskningsprojekt er nødvendigt at sammenstille (”samkøre”) visse genetiske oplysninger med andre oplysninger om personen, kan dette ikke gøres af Nationalt Genom Center, da centerets datamodel er designet, således at dette er teknisk umuligt. I stedet skal oplysningerne komme direkte fra borgeren, typisk i samspil med de sundhedspersoner som behandler borgeren. Her kan sammenstillingen af visse genetiske oplysninger og de andre personoplysninger til forskningsprojektet ske lokalt, og de kan anonymiseres inden de overføres til forskningsprojektet (forudsat at der er tale om oplysninger som reelt kan anonymiseres; ellers må andre garantier for at sikre den registreredes rettigheder og frihedsrettigheder i forbindelse med forskning anvendes, hvis forskningsprojektet skal gennemføres).
Sammenlignet med traditionel registerforskning, og dens centrale samkøring af alle mulige personoplysninger, er det en mere indviklet model, men af sikkerhedsmæssige årsager er det nødvendigt at gøre tingene på denne måde. Hvis Nationalt Genom Center skal lave registerforskning med genetiske oplysninger på traditionel vis, skal oplysningerne være registreret med CPR-nummer, eventuelt kombineret med pseudonymisering hos centeret selv, og det er helt utilstrækkeligt.
Det er muligt at forene ønskerne om personlig medicin og forskning i genetiske oplysninger med det højeste niveau af datasikkerhed. Den beskrevne datamodel kan meget vel understøtte forskningsprojekter, som det vil være uacceptabelt eller uetisk at udføre med sikkerhedsmodellen for den traditionelle registerforskning. Det potentiale bør ikke undervurderes.
Risiko for anvendelse som DNA-profil register
Selv om den foreslåede § 223 a, stk. 2 angiver, at der kun er to tilladelige formål for behandling af personoplysninger i Nationalt Genom Center (patientbehandling m.v. og forskning), vil personoplysningerne formentlig kunne blive videregivet til andre formål, hvis dette sker ved retskendelse.
Efter IT-Politisk Forenings opfattelse er det vigtigt at sikre, at Nationalt Genom Center ikke ad bagvejen indfører et DNA-profilregister, som omfatter en stor del af befolkningen. Justitsministeren har på et samråd i Retsudvalget den 10. januar 2013 udtalt, at et DNA-profilregister som omfatter hele befolkningen efter Justitsministeriets vurdering vil være at gå for langt i forhold til hvad Den Europæiske Menneskerettighedskonvention (EMRK) tillader (REU Alm. del 2012-13, spm. 466).
Den vurdering understøttes endvidere af præmis 37 i M.K. vs. Frankrig (sag 19522/09), hvor Den Europæiske Menneskerettighedsdomstol indirekte tager stilling til et biometrisk register til identifikation, som omfatter hele befolkningen, og hvor det i dommen anføres at denne lagring vil være irrelevant og for omfattende (”..be tantamount to justifying the storage of information on the whole population of France, which would most definitely be excessive and irrelevant”).
Når der etableres et National Genom Center, hvor behandlingen af genetiske oplysninger om en stor del af befolkningen (potentielt hele befolkningen) sker til patientbehandling og forskning, påhviler det samtidigt staten at sikre, at disse oplysninger ikke også kan bruges til formål, som vil udgøre en krænkelse af den grundlæggende ret til privatliv, jf. artikel 8 i EMRK.
Denne sikring bør ske på så mange måder som muligt. Efter genomsekventeringen bør der så vidt muligt ikke gemmes oplysninger i databaser, som kan bruges i et DNA-profilregister. Den ovenfor beskrevne sikkerhedsmodel, hvor Nationalt Genom Center under ingen omstændigheder er i stand til at identificere personer ud fra det biologiske materiale eller de lagrede genetiske oplysninger, vil også udgøre en sikring mod at National Genom Center via en retskendelse bliver misbrugt som DNA-profilregister.
Derudover vil IT-Politisk Forening anbefale, at der via specifikke retsgarantier i lovgivningen sker en fuldstændig juridisk sikring mod, at der kan foretages specielt en generel søgning efter en ukendt person i Nationalt Genom Centers oplysninger, svarende til den søgning som kan foretages i politiets DNA-profilregister baseret på DNA-spor fundet på et gerningssted. En generel søgning efter en ukendt person i Nationalt Genom Centers databaser med henblik på efterforskning af kriminalitet vil udgøre en meget omfattende behandling af personoplysninger om et stort antal personer (alle dem som gøres genstand for søgningen med henblik på at finde et eventuelt match) til et formål, som er inkompatibelt med de formål som oplysningerne er indsamlet til (patientbehandling og eventuelt forskning). Det kan under ingen omstændigheder være en nødvendig og proportional behandling af personoplysninger i et demokratisk samfund.
Frygt i befolkningen for at der etableres et DNA-profilregister ad bagvejen vil også undergrave borgernes tillid til Nationalt Genom Center, og det vil være direkte skadeligt for de samfundsformål, som dette center skal tjene (patientbehandling, personlig medicin og muligheden for innovativ forskning med genetiske oplysninger på en sikker måde).
Opt-out muligheden i sundhedslovens § 29, stk. 1
Ifølge lovforslagets bemærkninger er formålet med opt-out muligheden i § 29, stk. 1 at sikre fornødne garantier for de registreredes rettigheder og frihedsrettigheder, når personoplysninger kan videregives til forskning i overensstemmelse med databeskyttelsesforordningens artikel 89, stk. 1.
Behovet for at sikre fornødne garantier for de registreredes rettigheder og frihedsrettigheder hænger meget tæt sammen med hvordan datamodellen for Nationalt Genom Center konstrueres. Den valgte datamodel bestemmer hvilke risici der skabes for borgerne, også i forbindelse med viderebehandling til forskning.
Hvis centeret indrettes med direkte personhenførbare genetiske oplysninger (registrering på CPR-nummer sammen med brug af traditionel pseudonymisering i databaser), vil behovet for fornødne garantier være meget stort. En opt-out mulighed er efter vores opfattelse ikke tilstrækkelig i den situation. I stedet bør videregivelse til forskning kun ske efter udtrykkeligt samtykke fra den registrerede. Selv et samtykkekrav vil dog på ingen måde give en beskyttelse af den registrerede, som matcher beskyttelsen i den sikre datamodel, som er skitseret i dette høringssvar.
Hvis Sundheds- og Ældreministeriet finder, at Nationalt Genom Center skal behandle genetiske oplysninger som centeret kan koble til personer (kun sikret med traditionel pseudonymisering), bør opt-out muligheden i § 29, stk. 1, eller et krav om samtykke, suppleres med at patientens ret til destruktion efter sundhedslovens § 33 udvides til også at omfatte de genetiske oplysninger, som allerede er udledt af det biologiske materiale, medmindre disse oplysninger er nødvendige for den fortsatte behandling af patienten. Det skyldes et hensyn om at beskytte borgeren mod at disse meget følsomme genetiske oplysninger lækkes eller på anden måde misbruges.
Noter
[1] BND möchte sich vor Gesichtserkennung schützen, Zeit Online, 18. november 2014
http://www.zeit.de/digital/datenschutz/2014-11/bnd-gesichtserkennung-biometrie