GDPR за здравни данни в Дания: изпълнение от Datatilsynet през 2024 г.
Датският Datatilsynet е разглеждал 31 случая по GDPR през 2024 г. Четиринадесет от тях — 45% — са свързани с медицински системи. Дания има 5,9 милиона жители. Този дял е много висок. Той показва колко далеч е стигнала страната в цифровото здравеопазване. Показва и колко строги са правилата.
Здравната система на Дания
Всеки датчанин има CPR номер. Той е свързан с пациентското досие, регистъра на лекарствата, болничния журнал и тъканните проби в Statens Serum Institut. Болничният журнал обхваща данни от 1977 г. насам.
Тази система прави датските медицински изследвания едни от най-добрите в света. Тя означава и че пациентските досиета са изключително чувствителни. Именно затова Datatilsynet е съсредоточил толкова много внимание върху тази сфера.
Проблемът с CPR номера
CPR номерът е 10-цифрен идентификатор. Форматът му е ДДММГГ-XXXX. Последната цифра е контролна. Тя се изчислява чрез математика по модул 11.
CPR номерата се появяват в почти всяко клинично досие. Те са свързани с данни за здравеопазване, данъци, банкови услуги и гласуване.
Datatilsynet изисква обработващите организации да проверяват процеса на деидентификация, преди да използват пациентски данни за нова цел. Но 67% от широко използваните NLP инструменти пропускат стъпката за модул 11 при CPR номерата. Когато я пропускат, се получават два вида грешки.
Фалшиви съвпадения: Дати, номера на фактури и референтни кодове се маркират като истински CPR номера. Това води до скъпи ръчни проверки.
Пропуснати идентификатори: CPR номера с разменени цифри не преминават проверката. Реални пациентски идентификатори остават незабелязани. Резултатът изглежда чист, но не е.
Вижте нашето ръководство за засичане на национални ЕС идентификатори за повече информация за правилата за контролни цифри при другите ЕС идентификатори.
Четири правила за повторно използване на пациентски данни
Датските медицински регистри помагат за финансирането на водещи изследвания. Насоките на Datatilsynet от 2024 г. за повторно използване установяват четири правила.
Документирайте какво сте направили: Изброете всяко поле, което сте премахнали или промeнили. Отбележете как сте закръглили или групирали стойности. Кратка политическа бележка не отговаря на това изискване.
Представете резултатите от тестовете: Докажете, че инструментът ви е открил CPR номера и другите датски идентификатори. Твърдение не е доказателство.
Ограничете обхвата на данните: Не извличайте повече лични данни, отколкото е необходимо за изследването ви. Това правило важи дори за псевдонимизирани набори.
Направете DPIA за AI инструменти: Всеки AI инструмент, обработващ датски пациентски данни, изисква DPIA. Използвайте стандартния формуляр на Datatilsynet.
Три области на фокус в Копенхаген
Сред медико-технологичните компании в Копенхаген са Leo Pharma, Bavarian Nordic и много стартъпи. Datatilsynet наблюдава три рискови области.
Набори за обучение на AI: Органът е установил, че компании през 2024 г. са обучавали AI модели върху файлове с реални CPR номера. Нито една от тях не е имала валидно правно основание.
Трансфери в чужбина: Някои компании са изпращали пациентски данни на американски облачни доставчици за AI работа. Органът е посочил, че SCCs сами по себе си не са достатъчни. Необходими са и технически мерки — като криптиране с ключове, съхранявани в Европа.
Журнали за достъп: Журналите трябва да показват кой е прочел кои файлове и защо. Съхранявайте ги поне пет години.
56% от пробивите на датски медицински данни през 2024 г. са породени от лоша деидентификация. Използването на инструменти с валидация на CPR и поддръжка на датски език елиминира най-честата причина за провал.
За повече информация за прилагането в Скандинавия вижте нашето ръководство за анонимизация по GDPR на IMY в Швеция.