GDPR ข้อมูลสุขภาพเดนมาร์ก: การบังคับใช้ของ Datatilsynet ปี 2024
Datatilsynet ของเดนมาร์กออกคดี GDPR 31 รายการในปี 2024 โดย 14 รายการจากทั้งหมด — คิดเป็น 45% — เกี่ยวข้องกับระบบข้อมูลทางการแพทย์ เดนมาร์กมีประชากร 5.9 ล้านคน สัดส่วนดังกล่าวถือว่าสูงมาก สะท้อนให้เห็นว่าประเทศนี้พัฒนาระบบสุขภาพดิจิทัลไปไกลเพียงใด และเป็นเครื่องยืนยันความเข้มงวดของกฎระเบียบที่บังคับใช้
ระบบสุขภาพของเดนมาร์ก
ชาวเดนมาร์กทุกคนมีหมายเลข CPR หมายเลขนี้เชื่อมโยงกับบันทึกผู้ป่วย ทะเบียนยา บันทึกโรงพยาบาล และตัวอย่างเนื้อเยื่อที่ Statens Serum Institut บันทึกของโรงพยาบาลย้อนกลับไปถึงปี 1977
ระบบนี้ทำให้การวิจัยทางการแพทย์ของเดนมาร์กอยู่ในระดับแนวหน้าของโลก แต่ในขณะเดียวกันก็หมายความว่าแฟ้มผู้ป่วยมีความอ่อนไหวสูงมาก นั่นคือสาเหตุที่ Datatilsynet ให้ความสำคัญกับด้านนี้อย่างมาก
ปัญหาหมายเลข CPR
หมายเลข CPR เป็นเลขประจำตัว 10 หลัก มีรูปแบบ DDMMYY-XXXX หลักสุดท้ายเป็นเลขตรวจสอบที่ใช้การคำนวณแบบ modulus-11
หมายเลข CPR ปรากฏในแฟ้มทางคลินิกทุกไฟล์ และเชื่อมต่อกับบันทึกด้านการดูแล ภาษี การธนาคาร และการเลือกตั้ง
Datatilsynet กำหนดให้ต้องตรวจสอบผลการระบุตัวตนก่อนนำบันทึกผู้ป่วยไปใช้งานในวัตถุประสงค์อื่น แต่เครื่องมือ NLP ทั่วไปถึง 67% ข้ามขั้นตอน modulus-11 สำหรับหมายเลข CPR เมื่อขาดขั้นตอนนี้ จะเกิดปัญหาสองประการ
ผลบวกเท็จ: สตริงวันที่ หมายเลขใบเสร็จ และรหัสอ้างอิงถูกระบุว่าเป็นหมายเลข CPR จริง ส่งผลให้ต้องตรวจสอบด้วยตนเองอย่างสิ้นเปลือง
หมายเลขที่พลาด: หมายเลข CPR ที่มีหลักสลับกันจะไม่ผ่านการตรวจสอบ ทำให้รหัสผู้ป่วยจริงหลุดรอดไป ผลลัพธ์ดูสะอาดแต่ไม่ใช่ความจริง
ดู คู่มือการตรวจจับเลขประจำชาติ EU สำหรับวิธีการทำงานของกฎเลขตรวจสอบสำหรับ ID ประเภทอื่นในสหภาพยุโรป
กฎสี่ข้อสำหรับการนำบันทึกผู้ป่วยมาใช้ซ้ำ
ทะเบียนข้อมูลทางการแพทย์ของเดนมาร์กช่วยสนับสนุนงานวิจัยชั้นนำ แนวทาง 2024 ของ Datatilsynet เกี่ยวกับการนำข้อมูลมาใช้ซ้ำกำหนดกฎสี่ประการ
บันทึกสิ่งที่ดำเนินการ: ระบุทุกช่องข้อมูลที่ลบหรือแก้ไข บันทึกวิธีการปัดเศษหรือจัดกลุ่มค่า บันทึกนโยบายสั้นๆ ไม่เพียงพอ
แสดงผลการทดสอบ: พิสูจน์ว่าเครื่องมือของคุณค้นพบหมายเลข CPR และรหัสประจำตัวอื่นๆ ของเดนมาร์ก คำกล่าวอ้างไม่ใช่หลักฐาน
จำกัดข้อมูลที่ดึงมา: อย่าดึงข้อมูลส่วนบุคคลมากกว่าที่การศึกษาต้องการ กฎนี้ใช้บังคับแม้กับชุดข้อมูลที่ผ่านการสร้างนามแฝงแล้ว
ทำ DPIA สำหรับเครื่องมือ AI: เครื่องมือ AI ใดๆ ที่ประมวลผลแฟ้มผู้ป่วยชาวเดนมาร์กต้องผ่าน DPIA ให้ใช้แบบฟอร์มมาตรฐานของ Datatilsynet
สามด้านที่จับตามองในโคเปนเฮเกน
บริษัทเทคโนโลยีทางการแพทย์ในโคเปนเฮเกน ได้แก่ Leo Pharma, Bavarian Nordic และสตาร์ตอัพอีกมาก Datatilsynet เฝ้าระวังความเสี่ยงสามด้าน
ชุดข้อมูลฝึก AI: หน่วยงานพบบริษัทในปี 2024 ที่ฝึกโมเดล AI บนแฟ้มที่มีหมายเลข CPR จริง ไม่มีรายใดมีฐานทางกฎหมายที่ถูกต้อง
การส่งข้อมูลออกต่างประเทศ: บริษัทบางแห่งส่งแฟ้มผู้ป่วยไปยังผู้ให้บริการคลาวด์ในสหรัฐฯ เพื่องาน AI หน่วยงานระบุว่า SCC เพียงอย่างเดียวไม่เพียงพอ ต้องมีมาตรการทางเทคนิคเพิ่มเติม เช่น การเข้ารหัสด้วยคีย์ที่เก็บในยุโรป
บันทึกการเข้าถึง: บันทึกต้องแสดงว่าใครอ่านแฟ้มใดและเพื่อวัตถุประสงค์อะไร ต้องเก็บรักษาไว้อย่างน้อยห้าปี
การละเมิดข้อมูลทางการแพทย์ในเดนมาร์กถึง 56% ในปี 2024 เกิดจากการระบุตัวตนที่ไม่สมบูรณ์ การใช้เครื่องมือที่ตรวจสอบ CPR พร้อมรองรับภาษาเดนมาร์กจะขจัดความล้มเหลวที่พบบ่อยที่สุดออกไปได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการบังคับใช้ในกลุ่มประเทศนอร์ดิก ดู คู่มือ GDPR การทำให้ข้อมูลไม่ระบุตัวตนของ IMY สวีเดน