Sundhedsdatabaser. 1. indlæg til Altinget, 2. oktober 2013

Offentliggjort på Altinget den 2. oktober 2013 under titlen: Patientsikkerhed bliver ikke taget alvorligt (paywall).

Af Niels Elgaard Larsen
Formand for IT-Politisk Forening

Privatliv er noget, man skal tage alvorligt. Privatliv er ikke bare store ord, som man kan bruge ved højtidelige lejligheder. Privatliv har en værdi i sig selv.

Hvis man ikke er villig til at ofre noget for borgeres privatliv, så er det fordi, man ikke mener, at vores privatliv har nogen som helst værdi.

Det er frustrerende, at når der opstår en modsætning mellem at sikre borgernes privatliv og gennemføre store projekter af samfundsmæssig betydning, så vælger regering og embedsmænd aldrig at skrinlægge projekterne for at sikre privatlivet.

De prøver ikke engang at ændre projekterne, så man reelt kan beskytte folks privatliv. I stedet ignorerer og bagatelliserer man problemerne med privatliv, og så sminkes projekterne med kosmetiske ændringer, som påstås at skulle sikre privatlivet, men som i virkeligheden ikke vil have den store virkning.

Det er sket med logningsbekendtgørelsen, digitale rejsekort og NemID. Det var tæt på at ske med elektroniske folketingsvalg og ACTA-traktaten. Og nu er det på vej til at ske for roadpricing og sundhedsdatabaser.

For medicinske databaser er kosmetikken først og fremmest forestillingen om anonymisering, sikre systemer og vandtætte skodder. Det er begreber, som vi IT-folk har en del erfaring med, så dem vil jeg se nærmere på.

Anonymitet

Anonymitet defineres typisk naivt som fraværet af direkte personhenførbare oplysninger som for eksempel CPR-numre, navne, adresser etc. Det virker kun, hvis de, som måtte ønske at de-anonymisere data, ikke har adgang til andre persondata overhovedet.

Hvis man derimod mere realistisk antager, at de, der vil de-anonymisere, har adgang til eksisterende offentlige og kommercielle registre, data opsamlet af Google og Facebook, materiale indsamlet i PRISM-programmet osv., så er det muligt at de-anonymisere stort set al medicinsk data af betydning ved hjælp af selve de medicinske oplysninger.

Hvis man for eksempel ved, at jeg har brækket venstre fod i en badmintonkamp i 1987 og havde lungebetændelse, som blev behandlet på Slagelse Sygehus i juni 1998, så kan man finde frem til min identitet.

Der er adskillige kendte eksempler på, at det har været muligt at de-anonymisere påståede "anonymiserede" datasæt, for eksempel at man fra DNA-prøver ved hjælp af slægtsforskningsdata har kunnet finde frem til forsøgspersoners identitet. Og der er vel at mærke kun tale om de lovlige tilfælde, hvor forskere har kunnet de-anonymisere fra frit tilgængelige kilder og offentliggøre deres resultater.

Sikkerhed

Ja, men sikkerhed for hvad? Er det industrien, regeringen eller den enkelte patient, der skal bestemme, hvad der gør et system sikkert? Hvis det er den enkelte patient, så vil jeg gerne have sikkerhed for, at mine helbredsoplysninger kun kendes af min egen læge.

Vi borgere har ikke brug for statens sikring mod misbrug af vores persondata, før staten tvinger vores læger til at udlevere vores persondata til staten. Den slags "sikkerhed" er det svært at have tillid til.

Vandtætte skodder

Erfaringen viser, at vandtætte skodder ikke er så vandtætte endda. Og patienterne har absolut ingen sikkerhed for, at Folketinget ikke i deres levetid vælger at flytte eller fjerne nogle af skodderne, sådan som vi jo har set det ske mange gange siden indførelsen af CPR-numre i form af nye registersammenkøringer, undringslister osv.

Det antages som regel, at det er statslige myndigheder, der skal sikre de vandtætte skodder og regulere hvem, der skal have adgang til hvilke personlige oplysninger. Men det bør være borgerne og ikke staten, der har kontrollen over hvem, der får adgang til borgernes persondata.

Tvang eller frivillighed

De fleste borgere ville sikkert gerne lade de fleste af deres helbredsdata bruge til forskningsformål, hvis de blev eksplicit spurgt, fik lov at se, hvad der blev videregivet til databaserne, og hvis de kunne sige stop, når de følte, at det gik for vidt.

Det ville betyde, at størrelsen og kvaliteten af sundhedsdatabaserne meget direkte ville være afhængige af om personoplysninger blev håndteret uden at svigte den tillid, som borgeren viste ved at frigive dem. Det ville være mere effektivt end myndighedskontrol og være et værn mod fremtidige politikeres ønske om mere registersammenkøring.