Dánský Datatilsynet se stal evropským lídrem v oblasti vymáhání pravidel ochrany zdravotních dat. V roce 2024 vydal úřad 31 rozhodnutí podle GDPR, přičemž 14 z nich (45 %) se přímo týkalo systémů zpracování zdravotních dat. Pro zemi s 5,9 milionu obyvatel tato hustota vymáhání odráží vyspělou digitální zdravotnickou infrastrukturu Dánska a vysoké technické požadavky na shodu.
Dánská infrastruktura zdravotních dat
Dánsko provozuje jeden z nejkomplexnějších národních systémů zdravotních dat na světě. Každý dánský občan má číslo CPR propojené s elektronickými zdravotními záznamy, národním registrem předpisů, národním registrem pacientů (sledujícím veškeré nemocniční kontakty od roku 1977) a vzorky z biobankového úložiště na Statens Serum Institut.
Tato integrovaná infrastruktura řadí dánská zdravotní data k nejcennějším pro výzkum — a zároveň k nejcitlivějším z hlediska ochrany soukromí. Zaměření Datatilsynet na vymáhání pravidel ve zdravotnictví toto napětí přesně odráží.
Číslo CPR: technická výzva
Číslo CPR (Det Centrale Personregister-nummer) je 10místné identifikační číslo ve formátu DDMMRR-XXXX. Poslední číslice je kontrolní číslice ověřovaná pomocí aritmetiky modulo 11.
Číslo CPR tvoří základ veškeré dánské veřejné správy: zdravotnictví, daní, sociálních dávek, voleb i bankovnictví. Každý zdravotnický dokument ho obsahuje.
Datatilsynet požaduje zdokumentovanou validaci anonymizace pro sekundární využití zdravotních dat. Technický problém spočívá v tom, že 67 % běžných nástrojů NLP neprovádí validaci čísla CPR modulem 11. Bez ověření kontrolního součtu nastávají dva druhy chyb:
Falešně pozitivní výsledky: Řetězce podobné datům, čísla faktur a referenční kódy jsou označovány jako čísla CPR — a vyžadují nákladnou ruční kontrolu.
Falešně negativní výsledky: Čísla CPR s přehozenými číslicemi, která kontrolním součtem neprochází, jsou přehlédnuta — takže skutečné identifikátory pacientů zůstávají v datech označených jako „anonymizovaná“.
Požadavky na sekundární využití zdravotních dat
Data z dánských zdravotních registrů podporují špičkový lékařský výzkum. Pokyny Datatilsynetu z roku 2024 k sekundárnímu využití stanovují konkrétní technické požadavky:
Zdokumentované postupy anonymizace: Organizace musí vést písemnou technickou dokumentaci přesně popisující, jak deidentifikace probíhá — nikoli jen výsledek, ale konkrétní procesy, nástroje a kroky validace.
Ověření úplnosti: Dokumentace musí obsahovat doklady o tom, že anonymizace byla ověřena, včetně výsledků testů prokazujících pokrytí detekce čísel CPR a dalších dánských zdravotních identifikátorů.
Zásada minimalizace dat: Výzkumné soubory dat obsahující více osobních údajů, než výzkumná otázka vyžaduje, porušují zásadu proporcionality GDPR — i když jsou pseudonymizovány. Organizace musí prokázat, že rozsah dat odpovídá zdokumentovanému výzkumnému účelu.
DPIA pro systémy AI: Jakýkoli systém AI zpracovávající dánská zdravotní data vyžaduje dokončené DPIA v rámci modelového postupu Datatilsynetu.
Kodaňský zdravotnický tech-sektor: konkrétní požadavky
Kodaňský sektor zdravotnických technologií — Leo Pharma, Bavarian Nordic a řada start-upů v oblasti digitálního zdraví — čelí kontrolnímu dohledu ve třech oblastech:
Klinické nástroje AI: Diagnostické nástroje AI musí prokázat shodu s článkem 22 GDPR a zdokumentovanou anonymizaci tréninkových souborů. Datatilsynet v roce 2024 zjistil, že více společností používalo tréninkové soubory obsahující identifikovatelná čísla CPR pacientů bez dostatečného právního základu.
Přeshraniční přenosy: Několik dánských zdravotnických technologických společností uzavřelo smlouvy s americkými poskytovateli cloudových služeb pro trénink modelů AI. Datatilsynet vyžaduje posouzení dopadu přenosu (TIA) a shledal, že samotné standardní smluvní doložky bez doplňkových technických opatření (šifrování se správou klíčů v Evropě) nejsou pro zdravotní data dostačující.
Požadavky na auditní stopu: U zpracování zdravotních dat musí přístupové protokoly umožňovat rekonstrukci toho, ke kterým záznamům pacientů bylo přistoupeno, kdo k nim přistoupil a za jakým zdokumentovaným účelem — a to po dobu nejméně 5 let.
56 % porušení ochrany dánských zdravotních dat v roce 2024 bylo způsobeno nedostatečnou deidentifikací. Organizace využívající detekci čísla CPR s validací modulem 11 a podporou dánského jazyka odstraňují nejčastější technické selhání při vymáhání GDPR ve dánském zdravotnictví.
Zdroje: