Frykter helsedata på avveie

- Bruk av medisinske journaler, selv om de er anonyme, brukt til statistikk eller forskning, er en fare for personvernet, sier Ross Anderson, professor i sikkerhet ved University og Cambridge i England. Det skriver Computerworlds nyhetstjeneste.

Ifølge han, er et stort ”smutthull” i ferd med å danne seg i EUs kommende databeskyttelseslov.

- Det nåværende utkastet til loven tillater sekundær bruk av medisinske journaler, og dette kan fort lede til personvern-skandaler, fortalte Anderson under Amsterdam Privacy Conferance på mandag.

Stort smutthull

”Smutthullet” finnes ifølge han i paragraf 81 og 83 i utkastet til databeskyttelsesloven. Denne loven tar for seg hvordan helseopplysninger skal behandles i de 27 EU-landene. Sensitive helseopplysninger kan her brukes til historiske, statistiske og vitenskapelig forskningsformål, men ifølge Anderson ligger problemet i måten forslaget er utformet på. Det er denne som utgjør en personvern-risikoen.

- Det grunnleggende problemet er at alle, fra forsikringsselskaper til farmasautiske selskaper, ønsker tilgang til denne typen personlig informasjon. Hvis europeerne ikke er forsiktige kan de risikere å avsløre svært personlig informasjon til både akademiske og kommersielle forskere, sier Anderson.

Anderson forklarer videre at denne informasjonen for eksempel kan brukes til å sette opp pasientregistre for å forbedre diagnoser, differensiere mellom ulike typer sykdommer, og forbedre studier for behandling. Den samme informasjonen kan også være nyttig for farmasøyter som kanskje ønsker å justere sine resepter.

- Det vil bli et stort basketak om den sekundære bruken av denne typen informasjon, sier han.

Vanskelig å holde seg anonym

Selv om utkastet krever at denne informasjonen skal være anonym, mener Anderson at det vil bli veldig vanskelig å få til dette på en tilstrekkelig måte.

- Dette er noe vi ”geeker” har visst om lenge. Du kan alltid finne ut hvem informasjonen tilhører, sa Anderson til publikum under konferansen i Amsterdam.

Han mener alt som trengs, er noen som vet hvordan man søker på riktig måte i en database.

En av Andersons kolleger, Douwe Korff, professor i internasjonal lov ved London Metropolitan University, har allerede foreslått en endring ved paragraf 81 og 83. Han mener det fortsatt burde være mulig å tillate medlemslandene å gjøre unntak for helsevern og forskning, men bare ved ”usedvanlig spesielle tilfeller”.

Anderson vil gå enda lenger. Han foreslår at hvis en pasients informasjon skal bli brukt, må pasienten selv bli varslet på forhånd, slik at de har muligheten til å sin nei.

- De aller fleste ønsker ikke en fri deling av denne typen informasjon, og de aller fleste ønsker heller ikke forskning uten samtykke, sier Anderson.

Kan fort lede til skandaler

Hvis paragrafene ikke blir endret, ser Anderson for seg en situasjon der en professor i psykiatri som driver med forskning kan ”miste” en fil som inneholder ti millioner pasientjournaler. Disse kan eventuelt senere bli lagt inn på Pastebin, et nettsted som ofte brukes av hackere til å lekke stjålne personopplysninger. Slike scenarioer har allerede skjedd, sier Anderson som henviser til en sak der en bærbar datamaskin som inneholdt nesten 8 millioner pasientjournaler, ble stjålet.

- Hvis en slik database blir lastet opp til Pastebin, er det også lett å forestille seg at noen sammenligner informasjonen de har, med det de allerede vet om for eksempel medlemmer i Storbritannias parlament. Og så enkelt kan en skandale skje, sier Anderson.

- Selv om akkurat dette scenarioet er fiktivt, bør det være forventet, sier han.