GDPR Kesehatan Denmark: Penegakan Datatilsynet 2024
Datatilsynet Denmark menangani 31 kasus GDPR pada 2024. Empat belas di antaranya — 45% — melibatkan sistem medis. Denmark memiliki 5,9 juta penduduk. Proporsi tersebut sangat tinggi. Ini mencerminkan sejauh mana negara itu telah memajukan kesehatan digital. Sekaligus menunjukkan betapa ketatnya peraturan yang berlaku.
Sistem Kesehatan Denmark
Setiap warga Denmark memiliki nomor CPR. Nomor ini terhubung ke rekam medis, registri obat, catatan rumah sakit, dan sampel jaringan di Statens Serum Institut. Catatan rumah sakit sudah ada sejak 1977.
Sistem ini menjadikan penelitian medis Denmark sebagai yang terbaik di dunia. Namun juga berarti berkas pasien sangat sensitif. Itulah mengapa Datatilsynet sangat memfokuskan perhatian pada bidang ini.
Masalah Nomor CPR
Nomor CPR adalah ID 10 digit. Formatnya adalah DDMMYY-XXXX. Digit terakhir adalah digit pemeriksaan. Ini menggunakan matematika modulus-11.
Nomor CPR muncul di setiap berkas klinis. Nomor ini terhubung ke catatan perawatan, pajak, perbankan, dan pemilihan umum.
Datatilsynet menyatakan bahwa organisasi harus memverifikasi pekerjaan de-identifikasi sebelum menggunakan rekam medis untuk tujuan baru. Namun 67% alat NLP umum melewatkan langkah modulus-11 untuk nomor CPR. Ketika langkah ini dilewati, dua hal terjadi.
Positif palsu: String tanggal, nomor tagihan, dan kode referensi ditandai sebagai nomor CPR nyata. Ini menyebabkan pemeriksaan manual yang mahal.
ID yang terlewat: Nomor CPR dengan digit yang tertukar gagal pemeriksaan. Sehingga ID pasien nyata lolos. Outputnya terlihat bersih padahal sebenarnya tidak.
Lihat panduan deteksi ID nasional EU untuk memahami cara kerja aturan digit pemeriksaan pada jenis ID EU lainnya.
Empat Aturan untuk Menggunakan Kembali Rekam Medis
Registri medis Denmark membantu mendanai penelitian terkemuka. Panduan 2024 Datatilsynet tentang penggunaan ulang data menetapkan empat aturan.
Dokumentasikan apa yang Anda lakukan: Cantumkan setiap kolom yang Anda hapus atau ubah. Catat cara Anda membulatkan atau mengelompokkan nilai. Catatan kebijakan singkat tidak memenuhi standar ini.
Tunjukkan hasil pengujian Anda: Buktikan bahwa alat Anda menemukan nomor CPR dan ID Denmark lainnya. Pernyataan saja bukan bukti.
Batasi apa yang Anda ambil: Jangan mengambil lebih banyak data pribadi dari yang dibutuhkan penelitian Anda. Aturan ini berlaku bahkan untuk kumpulan data yang dipseudonymisasi.
Lakukan DPIA untuk alat AI: Setiap alat AI yang memproses berkas pasien Denmark memerlukan DPIA. Gunakan formulir standar Datatilsynet.
Tiga Area Fokus di Kopenhagen
Perusahaan med-tech Kopenhagen mencakup Leo Pharma, Bavarian Nordic, dan banyak startup. Datatilsynet memantau tiga area risiko.
Set pelatihan AI: Otoritas menemukan perusahaan pada 2024 yang melatih model AI menggunakan berkas dengan nomor CPR aktif. Tidak satu pun yang memiliki dasar hukum yang valid.
Transfer ke luar negeri: Beberapa perusahaan mengirim berkas pasien ke vendor cloud AS untuk pekerjaan AI. Otoritas menyatakan bahwa SCC saja tidak cukup. Langkah teknis juga diperlukan — seperti enkripsi dengan kunci yang disimpan di Eropa.
Log akses: Log harus menunjukkan siapa yang membaca berkas mana dan mengapa. Simpan setidaknya selama lima tahun.
56% pelanggaran data medis Denmark pada 2024 disebabkan oleh de-identifikasi yang buruk. Menggunakan alat bervalidasi CPR dengan dukungan bahasa Denmark menghilangkan kegagalan paling umum.
Untuk informasi lebih lanjut tentang penegakan Nordic, lihat panduan anonimisasi GDPR IMY Swedia.