GDPR за здравствени податоци во Данска: Извршување на Datatilsynet во 2024 г.
Данскиот Datatilsynet покрена 31 GDPR-предмет во 2024 г. Четиринаесет од нив — 45% — се однесуваа на медицински системи. Данска брои 5,9 милиони жители. Таа уделна вредност е исклучително висока и покажува колку далеку отишла земјата во дигитализацијата на здравството. Воедно сведочи и за строгоста на прописите.
Данскиот здравствен систем
Секој Данчанин поседува CPR-број. Тој број е поврзан со неговото здравствено досие, регистарот на лекови, болничкиот евиденциски систем и примероците на ткиво во Statens Serum Institut. Болничкиот евиденциски систем сеже наназад до 1977 г.
Тој систем го прави данското медицинско истражување едно од најдобрите во светот. Но исто така значи дека пациентските досиња се исклучително чувствителни. Затоа Datatilsynet го насочи своето внимание токму кон оваа област.
Проблемот со CPR-бројот
CPR-бројот е 10-цифрен идентификатор. Неговата форма е DDMMYY-XXXX. Последната цифра е контролна. Таа се пресметува со modulus-11 математика.
CPR-броевите се наоѓаат во секое клиничко досие. Тие ги поврзуваат здравствените, даночните, банкарските и избирачките записи.
Datatilsynet нагласува дека мора да ја проверите de-идентификацијата пред да ги употребите пациентските записи за каква и да е нова намена. Сепак, 67% од вообичаените NLP-алатки го прескокнуваат чекорот за modulus-11 при CPR-броевите. Кога тој чекор се изоставува, настануваат два проблема.
Лажни совпаѓања: Датумски низи, броеви на фактури и референтни кодови се означуваат како вистински CPR-броеви. Тоа доведува до скапи рачни проверки.
Пропуштени идентификатори: CPR-броеви со разменети цифри не ја поминуваат проверката. Вистинските пациентски идентификатори поминуваат непречено. Резултатот изгледа уреден, но не е.
Видете го нашиот водич за откривање на национални ЕУ идентификатори за тоа како функционираат правилата за контролни цифри кај другите ЕУ типови идентификатори.
Четири правила за повторна употреба на пациентски записи
Данските медицински регистри придонесуваат за врвно истражување. Упатството на Datatilsynet за повторна употреба од 2024 г. утврдува четири правила.
Документирајте ги постапките: Наведете ги сите полиња кои сте ги отстраниле или изменале. Забележете ги начините на заокружување или групирање вредности. Кратка белешка за политиката не е доволна.
Прикажете ги резултатите од тестовите: Докажете дека вашата алатка ги пронашла CPR-броевите и другите дански идентификатори. Тврдењето не е доказ.
Ограничете го обемот на собирање: Не собирајте повеќе лични податоци отколку што е потребно за вашата студија. Ова правило важи дури и за псевдонимизирани збирки.
Извршете DPIA за AI-алатки: Секоја AI-алатка која обработува дански пациентски досиња бара DPIA. Користете го стандардниот формулар на Datatilsynet.
Три области на фокус во Копенхаген
Мед-тек фирмите во Копенхаген ги вклучуваат Leo Pharma, Bavarian Nordic и многу стартапи. Datatilsynet следи три ризични области.
Збирки за AI-обука: Органот утврди во 2024 г. дека фирми обучувале AI-модели на досиња со живи CPR-броеви. Ниту една немала валидна правна основа.
Прекугранични трансфери: Некои фирми ги испраќале пациентските досиња до американски провајдери за AI-работа. Органот посочил дека SCC-клаузулите сами по себе не се доволни. Потребни се и технички мерки — на пример, шифрирање со клучеви чувани во Европа.
Дневници на пристап: Дневниците мора да покажат кој прочитал какви досиња и зошто. Чувајте ги барем пет години.
56% од прекршувањата на данскиот медицински систем во 2024 г. произлегувале од слаба de-идентификација. Употребата на алатки валидирани за CPR со поддршка на дански јазик ги отстранува најчестите причини за неуспех.
За повеќе информации за нордиско извршување, видете го нашиот водич за GDPR-анонимизација на IMY Шведска.