Датский Datatilsynet стал европейским лидером в правоприменении в сфере данных здравоохранения. В 2024 году орган выдал 31 решение GDPR — из которых 14 (45%) непосредственно касались систем данных здравоохранения. Для страны с населением 5,9 млн человек эта плотность правоприменения отражает передовую цифровую инфраструктуру здравоохранения Дании и высокие ожидания технического соответствия.
Инфраструктура данных здравоохранения Дании
Дания обладает одной из наиболее полных национальных систем данных здравоохранения в мире. Каждый датский гражданин имеет номер CPR, связанный с электронными медицинскими записями, национальным реестром рецептов, национальным реестром пациентов (отслеживающим все больничные контакты с 1977 года) и биобанковыми образцами в Statens Serum Institut.
Эта интегрированная инфраструктура делает датские данные здравоохранения одними из наиболее ценных для исследований — и наиболее чувствительными с точки зрения конфиденциальности. Акцент Datatilsynet на правоприменении в сфере здравоохранения отражает это противоречие.
Номер CPR: технический вызов
Номер CPR (Det Centrale Personregister-nummer) — это 10-значный номер гражданской регистрации в формате GGMMGG-XXXX. Последняя цифра является контрольной цифрой, проверяемой с использованием арифметики по модулю 11.
Номер CPR является основой всего датского государственного управления: здравоохранение, налогообложение, социальные льготы, голосование, банковское дело. Каждый медицинский документ содержит его.
Datatilsynet требует задокументированной валидации анонимизации для вторичного использования данных здравоохранения. Техническая проблема: 67% общих инструментов NLP не реализуют валидацию по модулю 11 для номера CPR. Без валидации контрольной суммы:
Ложноположительные результаты: Строки, похожие на даты, номера счетов-фактур и коды ссылок помечаются как номера CPR, требуя дорогостоящей ручной проверки.
Ложноотрицательные результаты: Номера CPR с переставленными цифрами, не прошедшие валидацию контрольной суммы, пропускаются — оставляя реальные идентификаторы пациентов в данных, которые кажутся чистыми.
Требования к вторичному использованию данных здравоохранения
Данные датских реестров здравоохранения поддерживают медицинские исследования мирового класса. Руководство Datatilsynet 2024 года по вторичному использованию устанавливает конкретные технические требования:
Задокументированные процедуры анонимизации: Организации должны вести письменную техническую документацию, точно описывающую, как выполняется деидентификация — не только результат, но и конкретные процессы, инструменты и шаги валидации.
Валидация полноты: Документация должна включать доказательства того, что анонимизация была верифицирована. Это включает результаты тестов, демонстрирующих охват обнаружения для номеров CPR и других датских идентификаторов здравоохранения.
Принцип минимально необходимого: Исследовательские наборы данных, содержащие больше персональных данных, чем требует исследовательский вопрос, нарушают соразмерность GDPR, даже при псевдонимизации. Организации должны продемонстрировать, что объём данных соответствует задокументированной цели исследования.
DPIA для ИИ-систем: Любая ИИ-система, обрабатывающая датские данные здравоохранения, требует завершённой DPIA с использованием структуры модели Datatilsynet.
Копенгагенский медтех: специфические требования к соответствию
Копенгагенский сектор медицинских технологий (Leo Pharma, Bavarian Nordic и многочисленные стартапы цифрового здравоохранения) подвергается проверке правоприменения в трёх областях:
Клинические ИИ-инструменты: ИИ-инструменты диагностики должны продемонстрировать соответствие Статье 22 GDPR и задокументированную анонимизацию обучающих наборов данных. Datatilsynet выявил в 2024 году несколько компаний, использующих обучающие наборы данных, содержащие идентифицируемые номера CPR пациентов без адекватного правового основания.
Трансграничные передачи: Несколько датских компаний медтека заключили контракты с американскими облачными провайдерами для обучения моделей ИИ. Datatilsynet требует Оценок воздействия на передачу и признал SCC недостаточными для данных здравоохранения без дополнительных технических мер (шифрование с европейским управлением ключами).
Требования к журналу аудита: Для обработки данных здравоохранения журналы доступа должны позволять реконструкцию того, к каким записям пациентов был получен доступ, кем и для какой задокументированной цели — хранится не менее 5 лет.
56% датских утечек данных здравоохранения в 2024 году включали неадекватную деидентификацию. Организации, использующие обнаружение с валидацией CPR и поддержкой датского языка, устраняют наиболее распространённый режим технических сбоев в правоприменении GDPR в здравоохранении Дании.
Источники: